Tidende
Den Europæiske Unions
DA
Serie L
|
|
Tidende |
DA Serie L |
|
2023/2117 |
13.10.2023 |
KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2023/2117
af 12. oktober 2023
om fastlæggelse af de fornødne bestemmelser for og detaljerede krav til, hvordan et register over oplysninger som omhandlet i Europa-Parlamentets of Rådets forordning (EU) 2018/1139 skal fungere og forvaltes
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2018/1139 af 4. juli 2018 om fælles regler for civil luftfart og oprettelse af Den Europæiske Unions Luftfartssikkerhedsagentur og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 2111/2005, (EF) nr. 1008/2008, (EU) nr. 996/2010, (EU) nr. 376/2014 og direktiv 2014/30/EU og 2014/53/EU og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 552/2004 og (EF) nr. 216/2008 og Rådets forordning (EØF) nr. 3922/91 (1), særlig artikel 74, stk. 8, og
ud fra følgende betragtninger:
|
(1) |
I overensstemmelse med artikel 74 i forordning (EU) 2018/1139 skal oplysninger vedrørende den civile luftfart opbevares i et elektronisk register, der oprettes og forvaltes af Den Europæiske Unions Luftfartssikkerhedsagentur (»agenturet«), og som indeholder de oplysninger, der er nødvendige for at sikre et effektivt samarbejde mellem agenturet og de kompetente nationale myndigheder om udførelsen af deres certificerings-, tilsyns- og håndhævelsesopgaver i henhold til nævnte forordning. |
|
(2) |
Det er vigtigt, at Kommissionen og de kompetente nationale myndigheder er involveret i udviklingen og forvaltningen af agenturets register, og derfor bør der ved denne forordning fastlægges en passende høringsmekanisme med henblik på at sikre, at agenturet hører medlemsstaterne og Kommissionen, inden det træffer beslutninger vedrørende registret. |
|
(3) |
For at sikre en effektiv anvendelse af registret bør dets struktur omfatte en central database, en kommunikationsinfrastruktur og en nødvendig grænseflade til udstedelse, søgning i og adgang til de oplysninger, der opbevares i registret. For at lette samarbejdet mellem de enheder, der gør brug af registret, bør der være én enkelt grænseflade, hvor brugerne kan søge direkte i registret, og én enkelt grænseflade til de kompetente nationale myndigheder. |
|
(4) |
Registret bør lette de kompetente myndigheders integration i og kommunikationen med registret ved hjælp af relevante funktionsspecifikationer, som omfatter grænseflade-, sikkerheds-, netværks- og applikationskonfigurationsoplysninger. |
|
(5) |
Agenturet bør sikre, at registret fungerer korrekt for at undgå tekniske fejl og sikre kontinuitet i driften af registret samt i forvaltningen af dataene heri. |
|
(6) |
Oplysningerne bør videresendes til og udveksles gennem registret på grundlag af i fællesskab aftalte oplysningsformater, som foreslås af agenturet, således at de udvekslede oplysninger forstås på samme måde af de kommunikerende enheder. |
|
(7) |
Regelmæssige ajourføringer af de oplysninger, der opbevares i registret, bør give mulighed for en bedre udveksling af oplysninger. I den forbindelse bør agenturet og de kompetente nationale myndigheder udarbejde en metode til regelmæssig ajourføring af de oplysninger, der opbevares i registret. |
|
(8) |
I denne forordning bør der også fastsættes krav til klassificering af oplysninger, således at de oplysninger, der opbevares i registret, behandles i overensstemmelse med betingelserne for personoplysninger, fortrolighed, integritet og tilgængelighed. Der bør foretages en revurdering af denne klassificering, når der sker en ændring i brugen af data for at sikre, at klassificeringen er tidssvarende. |
|
(9) |
Det er vigtigt at identificere de berørte parter, som må modtage oplysninger, der opbevares i registret, og at fastsætte nærmere bestemmelser for behandlingen af deres anmodninger om adgang. Med henblik herpå bør de nødvendige betingelser for formidling af oplysninger til de berørte parter fastsættes i denne forordning. Det bør også sikres, at de oplysninger, der modtages af de berørte parter, forvaltes fortroligt. |
|
(10) |
Et system til sporing af de oplysninger, der opbevares i registret, bør sikre, at de beskyttes mod uautoriseret adgang, og bør gøre det muligt at føre tilsyn med operationer, i forbindelse med hvilke der behandles oplysninger, herunder personoplysninger, med henblik på at sikre dataintegritet og informationssikkerhed. |
|
(11) |
Autoriserede brugeres personale, som har behov for at få adgang til registret, bør godkendes af deres organisation efter dokumenterede procedurer. Personale ved flyvemedicinske centre bør godkendes af deres respektive kompetente nationale myndigheder. |
|
(12) |
Der bør udarbejdes krav til beskyttelse af den relevante infrastruktur og data inden for rammerne af sikkerhedsforvaltningspolitikkerne. Der bør navnlig udarbejdes foranstaltninger med henblik på planer for sikkerhedsmæssig forvaltning, forretningskontinuitet og katastrofeberedskab. De autoriserede brugere bør sikre, at de nødvendige sikkerhedsforanstaltninger er på plads, og at de samarbejder i denne henseende. |
|
(13) |
Personoplysninger bør kun behandles med det formål at sikre et effektivt samarbejde mellem agenturet og de kompetente nationale myndigheder om udførelsen af deres certificerings-, tilsyns- og håndhævelsesopgaver. Der bør ved denne forordning fastsættes detaljerede ordninger for beskyttelsen af personoplysninger, som opbevares i og udveksles via registret. Behandling af personoplysninger skal ske i overensstemmelse med forordning (EU) 2018/1725 (2) og Europa-Parlamentets og Rådets forordning (EU) 2016/679 (3), og de relevante udpegede enheders ansvar bør præciseres for at garantere databeskyttelsen. |
|
(14) |
Der er behov for at identificere og fordele de respektive ansvarsområder blandt de enheder, der behandler personoplysninger i registret, herunder indfører personoplysninger i og udtrækker dem fra registret. I henhold til forordning (EU) 2018/1139 skal agenturet i samarbejde med Kommissionen og de kompetente nationale myndigheder oprette og forvalte et register over de oplysninger, der er nødvendige for at sikre et effektivt samarbejde mellem agenturet og de kompetente nationale myndigheder. De skal navnlig samarbejde om den sikkerhedsmæssige forvaltning af registret. Derfor bør de være fælles dataansvarlige for behandlingen af personoplysninger i forbindelse med forvaltningen af registret. Der er således behov for at fastlægge de fælles dataansvarliges ansvar og deres specifikke forpligtelser over for de registrerede. |
|
(15) |
Hver kompetent national myndighed, agenturet og Kommissionen bør være eneste dataansvarlige for databehandlingsaktiviteter udført inden for deres egne systemer som autoriserede brugere. Databehandlingsaktiviteterne bør udøves i overensstemmelse med forordning (EU) 2016/679 og (EU) 2018/1725. Eftersom oplysninger, der udveksles i registret, stammer fra hver enkelt dataansvarlig, bør de underrette agenturet i tilfælde af brud på persondatasikkerheden i deres systemer, som kunne kompromittere sikkerheden, fortroligheden, tilgængeligheden eller integriteten af personoplysninger, der behandles i registret. |
|
(16) |
Den gensidige forpligtelse til at underrette om brud på sikkerheden, herunder brud på persondatasikkerheden, bør gøre det muligt for de fælles dataansvarlige at identificere sikkerhedshændelser og brud på datasikkerheden hurtigst muligt. Hver dataansvarlig bør således sikre den nødvendige rapportering af disse brud. |
|
(17) |
Når det er nødvendigt, kan udøvelsen af den registreredes rettigheder begrænses på visse nærmere specificerede betingelser. Disse begrænsninger bør være forholdsmæssigt afpassede og begrænsede i omfang og tid. Den registrerede bør have mulighed for at udøve sin ret til adgang til et effektivt forsvar og effektive retsmidler. |
|
(18) |
Den kompetente myndighed kan af hensyn til luftfartssikkerheden have behov for adgang til tidligere registreringer, herunder registreringer af personoplysninger. Det gælder navnlig adgang til medicinske oplysninger, der begrunder tidligere perioder med uegnethed eller pålæggelsen af begrænsninger. Med forbehold af, at der kan være fastsat kortere perioder i national ret, bør en maksimal opbevaringsperiode på ti år regnet fra dokumentets udløbsdato (for f.eks. helbredscertifikater, lægeerklæringer og pilotcertifikater) herunder for eventuelle dokumenter, som er nødvendige for de procedurer, der er omtalt i forordning (EU) 2018/1139, derfor sikre, at disse oplysninger fortsat kan tilgås af autoriserede brugere. |
|
(19) |
Personoplysninger i registret er væsentlige oplysninger, som bør bevares til arkivformål i luftfartssikkerhedens interesse og til historisk forskning. Efter udløbet af opbevaringsperioden eller en eventuelt kortere periode, der er fastsat i national ret, bør personoplysninger omgående slettes fra registret. Personoplysninger må opbevares til arkivformål, hvis det er i almenhedens og luftfartssikkerhedens interesse, og hvis de bruges til historisk forskning uden for registret. |
|
(20) |
For at sikre en korrekt anvendelse af denne forordning bør medlemsstaterne og de berørte enheder have tilstrækkelig tid til at tilpasse deres procedurer til den nye lovgivningsramme, inden denne forordning finder anvendelse. Derfor bør visse krav i bilag I finde anvendelse fra senere datoer afhængigt af oplysningsobjektkategorien og udstedelsesdatoen. |
|
(21) |
Agenturet har udarbejdet et udkast til gennemførelsesretsakt om, hvordan et register over oplysninger som omhandlet i forordning (EU) 2018/1139 skal fungere og forvaltes, og har fremlagt det for Kommissionen sammen med udtalelse nr. 04/2022 (4) i overensstemmelse med artikel 75, stk. 2, litra b), og artikel 76, stk. 1, i forordning (EU) 2018/1139. |
|
(22) |
Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav en udtalelse den 29. marts 2023. |
|
(23) |
Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra Udvalget vedrørende Anvendelsen af Fælles Sikkerhedsregler for Civil Luftfart — |
VEDTAGET DENNE FORORDNING:
KAPITEL I
ALMINDELIGE BESTEMMELSER
Artikel 1
Genstand
Ved denne forordning fastsættes bestemmelserne og procedurerne for, hvordan det register over oplysninger, som er nødvendige for at sikre et effektivt samarbejde mellem agenturet og de kompetente nationale myndigheder om udøvelsen af deres certificerings-, tilsyns- og håndhævelsesopgaver i henhold til forordning (EU) 2018/1139, skal fungere og forvaltes.
Artikel 2
Definitioner
1. I denne forordning finder definitionerne i forordning (EU) 2018/1139, Europa-Parlamentets og Rådets forordning (EU) 2016/679, Europa-Parlamentets og Rådets forordning (EU) 2018/1725, Kommissionens gennemførelsesforordning (EU) 2019/947 (5) og Kommissionens gennemførelsesforordning (EU) 2021/664 (6) anvendelse.
2. Derudover forstås der ved:
|
a) |
»autoriserede brugere«: Kommissionen, agenturet, nationale kompetente myndigheder og enhver anden kompetent myndighed i medlemsstaterne, som har fået til opgave at undersøge havarier og hændelser i den civile luftfart, jf. artikel 74, stk. 6, første punktum, i forordning (EU) 2018/1139 |
|
b) |
»grænseflade«: det punkt, hvor uafhængige og ofte uforbundne systemer forbinder til og reagerer på eller kommunikerer med hinanden |
|
c) |
»autoriseret personale«: personale hos de autoriserede brugere, som har fået adgang til registret |
|
d) |
»oplysningsobjektkategori«: den type oplysninger, der er omfattet af anvendelsesområdet for artikel 74, stk. 1, i forordning (EU) 2018/1139, og som skal udveksles og tilgås af autoriserede brugere |
|
e) |
»oplysningsobjekt«: en individuelt udvekslet oplysning, som altid skal stemme overens med oplysningsobjektkategorien og være forenelig med sit oplysningsformat |
|
f) |
»oplysningsformat«: en på forhånd defineret struktur for oplysningsobjektkategorien, som består af et skema med felter, der stemmer overens med specificerede typer indhold inden for hver oplysningsobjektkategori og ordforråd bestående af begrænsede sæt tilladte værdier forbundet med hvert felt |
|
g) |
»berørt part«: offentlige myndigheder fra Den Europæiske Unions institutioner, agenturer og organer og medlemsstaters offentlige myndigheder, fysiske og juridiske personer, som er omfattet af et oplysningsobjekt som fastsat i bilag I til denne forordning, og kvalificerede organer, der er akkrediteret i henhold til artikel 69 i forordning (EU) 2018/1139. |
KAPITEL II
OPRETTELSE, FORVALTNING OG VEDLIGEHOLDELSE AF REGISTRET
Artikel 3
Oprettelse af registret
1. Registret består af grænseflader til opbevaring, udveksling og brugeradgang.
2. Den opbevaringsgrænseflade, der er nævnt i stk. 1, består af:
|
a) |
en central database med de oplysninger, der er omhandlet i artikel 74, stk. 1, i forordning (EU) 2018/1139, idet den omfatter både eksisterende og nye oplysninger, samt |
|
b) |
en historik over ændringer af oplysningerne og deres status som aktuelle/arkiverede. |
3. Den udvekslingsgrænseflade, der er nævnt i stk. 1, består af:
|
a) |
en kommunikationsinfrastruktur, der giver mulighed for sikre programmeringsgrænseflader for applikationer (API'er) til udstedelse, ændring, søgning i/læsning af og arkivering af oplysninger mellem autoriserede brugeres systemer og registret, og |
|
b) |
bestemmelser om verificering af oplysningernes kvalitet, som sikrer de opbevarede oplysningers overensstemmelse, integritet og nøjagtighed. |
4. Den brugeradgangsgrænseflade, der er nævnt i stk. 1, giver sikker onlineadgang til at søge i og tilgå de opbevarede oplysninger. Brugeradgangsgrænsefladen er kun tilgængelig for autoriseret personale.
5. Agenturet udarbejder den nødvendige dokumentation til at understøtte de autoriserede brugeres integration i registret. Denne dokumentation skal bestå af:
|
a) |
API-standarder og udvekslingsmekanismer |
|
b) |
de sikkerheds-, netværks- og applikationskonfigurationsoplysninger, som er nødvendige for at kommunikere med registret |
|
c) |
bestemmelser, som specificerer den korrekte struktur og indholdet af de oplysninger, der udveksles med registret. |
6. Agenturet skal også stillet et testmiljø til rådighed, hvor de autoriserede brugere kan teste funktionen og præstationen af udvekslingsgrænsefladen mellem deres systemer og registret.
Artikel 4
Forvaltning af registret
1. Agenturet har ansvaret for den operationelle forvaltning af registret og skal opbevare oplysningerne i registret sikkert.
2. De autoriserede brugere videresender oplysninger til og udveksler oplysninger gennem registret via grænseflader og skal sørge for en sikker onlineforbindelse mellem deres system(er) og registret.
3. Agenturet skal høre Kommissionen og de kompetente nationale myndigheder, inden det træffer beslutninger vedrørende den operationelle forvaltning af registret, og inden disse gøres offentligt tilgængelige.
4. Det autoriserede personale blandt de nationale flyvelæger og ved nationale flyvemedicinske centre videresender og udveksler oplysningerne i registret gennem deres kompetente nationale myndigheder i overensstemmelse med denne forordnings artikel 10, stk. 4.
Artikel 5
Vedligeholdelse af registret
1. Agenturet vedligeholder registret og sikrer, at det fungerer korrekt med hensyn til personoplysninger, fortrolighed, integritet og tilgængelighed.
2. Agenturet tager systematisk sikkerhedskopier af registret og data heri.
KAPITEL III
BESTEMMELSER OM DE OPLYSNINGER, DER OPBEVARES I REGISTRET
Artikel 6
Oplysningernes formater og standarder
1. De autoriserede brugere videresender, ajourfører regelmæssigt og udveksler oplysninger gennem registret på grundlag af i fællesskab aftalte oplysningsformater foreslået af agenturet.
2. Oplysningsformaterne skal være standardiserede pr. oplysningskategori. De autoriserede brugere må kun videresende oplysningsobjekter til registret i det oplysningsformat, der gælder specifikt for den pågældende oplysningskategori.
3. Listen over oplysningsobjektkategorier er fastsat i bilag I.
Artikel 7
Klassifikation af oplysninger
1. Agenturet klassificerer i samarbejde med Kommissionen og de kompetente nationale myndigheder oplysningsobjektkategorierne i overensstemmelse med følgende mærkning:
|
a) |
personoplysninger: andre oplysninger end personoplysninger, ikkefølsomme eller følsomme personoplysninger |
|
b) |
fortrolighed: ingen virkning, begrænset, væsentlig, katastrofal |
|
c) |
integritet: ingen virkning, begrænset, væsentlig, katastrofal |
|
d) |
tilgængelighed: ingen virkning, begrænset, væsentlig, katastrofal. |
2. De nærmere definitioner af mærkningerne i stk. 1 er fastsat i bilag II.
3. Agenturet revurderer, når det finder det nødvendigt, i samarbejde med Kommissionen og de kompetente nationale myndigheder klassificeringen af oplysninger for at sikre, at den stadig er passende på baggrund af ændringer i anvendelsen af oplysningerne.
Artikel 8
Ordninger vedrørende formidling af oplysninger
1. Agenturet må på anmodning fra en berørt part stille oplysningerne i registret til rådighed for den berørte part på de specifikke betingelser for anvendelse, der er fastsat i nærværende artikel.
2. En anmodning om formidling af oplysninger indeholdt i registret skal indgives i et format og efter en metode, som er fastlagt af agenturet.
3. Når det modtager en anmodning, kontrollerer agenturet:
|
a) |
at anmodningen er indgivet af en berørt part, og |
|
b) |
at den berørte part godtgør, at de oplysninger, der anmodes om, er strengt nødvendige for den berørte parts egne operationer. |
4. Agenturet vurderer om anmodningen er berettiget, og hvis de betingelser, der er fastsat i stk. 5, er opfyldt, skal det give den berørte part de ønskede oplysninger.
5. Agenturet giver kun den berørte part de ønskede oplysninger på følgende betingelser:
|
a) |
den berørte part får ikke adgang til hele registrets indhold |
|
b) |
oplysningerne er strengt nødvendige for den berørte parts egne operationer |
|
c) |
der formidles ingen personoplysninger, medmindre der er tale om oplysninger vedrørende den berørte part selv, eller formidlingen er strengt nødvendig for, at den berørte part kan gennemføre sine operationer. |
6. Agenturet stiller en ajourført liste over modtagne anmodninger og agenturets reaktion herpå til rådighed for de autoriserede brugere.
7. De berørte parter:
|
a) |
må kun anvende oplysningerne til det formål, der er angivet i anmodningsformularen |
|
b) |
må ikke videregive de modtagne oplysninger uden tilladelse fra de autoriserede brugere |
|
c) |
skal træffe de nødvendige foranstaltninger for at sikre de modtagne oplysningers fortrolighed. |
Artikel 9
Logning af databehandlingsaktiviteter
1. Agenturet sørger for, at alle databehandlingsaktiviteter logges. Følgende oplysninger skal fremgå af logfilerne:
|
a) |
formålet med anmodningen om adgang til registret |
|
b) |
en identifikation af den autoriserede bruger, der modtager de pågældende data |
|
c) |
dato og det nøjagtige tidspunkt for databehandlingsaktiviteterne |
|
d) |
en identifikation af det autoriserede personale, der udfører søgningen. |
2. Agenturet må kun bruge logfilerne fra databehandlingsaktiviteterne til at føre tilsyn med, at der gives lovlig adgang til oplysningerne, og til at sikre dataintegriteten og -sikkerheden. Logfilerne skal indeholde de data, som er strengt nødvendige til dette formål, og overholde princippet om dataminimering som fastsat i artikel 89 i forordning (EU) 2016/679 og i artikel 13 i forordning (EU) 2018/1725. Logfilerne skal slettes efter endt tilsynsprocedure eller senest efter ét år.
3. Kommissionen og de kompetente nationale myndigheder skal på anmodning gives adgang til logfilerne med henblik på at vurdere, om der er givet lovlig adgang til oplysningerne, at overvåge, om databehandlingsaktiviteterne er lovlige, og at sikre dataintegriteten og -sikkerheden.
Artikel 10
Adgang til registret
1. De autoriserede brugere sikrer, at kun autoriseret personale har adgang til registret.
2. De autoriserede brugere sikrer, at deres personale får adgang til oplysningerne på grundlag af de personoplysnings- og fortrolighedsmærkninger, der er tildelt den pågældende oplysningsobjektkategori i overensstemmelse med artikel 7.
3. De autoriserede brugere skal oprette og ajourføre:
|
a) |
en liste over autoriseret personale |
|
b) |
procedurer for adgang til registret; disse procedurer skal overholde de retlige krav, der gælder for adgang til og behandling af oplysninger som fastsat i EU-retten og national ret. De skal dokumentere betingelserne og vilkårene for autoriseret personales adgang til registret. |
4. De nationale flyvelæger og de nationale flyvemedicinske centre sikrer, at kun personale, som er autoriseret af deres kompetente nationale myndighed, har adgang til registret.
Artikel 11
Sikkerhedsmæssig forvaltning af registret
1. Agenturet beskytter registrets infrastruktur og oplysningerne heri, og udarbejder:
|
a) |
en plan for den sikkerhedsmæssige forvaltning |
|
b) |
en forretningskontinuitetsplan |
|
c) |
en katastrofeberedskabsplan. |
2. Agenturet skal forhindre uautoriseret behandling af oplysninger og enhver uautoriseret læsning, kopiering, ændring, fjernelse eller sletning af oplysninger, der opbevares i registret, eller under disses formidling til eller fra registret eller overførsel, navnlig ved hjælp af passende krypteringsteknikker.
3. Agenturet sikrer udelukkende ved hjælp af individuelle brugeridentiteter og fortrolige adgangsmetoder, at personer, som er autoriseret til at få adgang til registret, kun får adgang til de oplysninger, der er omfattet af deres adgangstilladelse.
4. De autoriserede brugere skal forvalte sikkerheden af deres oplysninger før og under overførslen til registret og beskytte deres infrastruktur ved at sikre:
|
a) |
udvikling af grænseflader mellem deres systemer og registret |
|
b) |
grænsefladernes operation og vedligeholdelse |
|
c) |
at det autoriserede personale er behørigt uddannet inden for informationssikkerhed, gældende databeskyttelseslovgivning og grundlæggende rettigheder, inden de får mulighed for at behandle oplysninger, som opbevares i registret. |
5. De autoriserede brugere skal samarbejde om at sikre den sikkerhedsmæssige forvaltning af registret.
KAPITEL IV
BESKYTTELSE AF PERSONOPLYSNINGER
Artikel 12
Behandling af personoplysninger opbevaret i registret
1. Personoplysninger opbevaret i registret må kun behandles for at sikre det samarbejde mellem de autoriserede brugere, som er nødvendigt for udøvelsen af deres certificerings-, tilsyns- og håndhævelsesopgaver. Behandlingen skal være begrænset til, hvad der er nødvendigt for udførelsen af deres opgaver, og til hvad der er strengt nødvendigt for og står i et rimeligt forhold til de tilstræbte mål.
2. Personoplysningerne skal tilgås og behandles i overensstemmelse med registrets tekniske specifikationer.
3. Der skal tages hensyn til forpligtelserne til databeskyttelse gennem design og standardindstillinger både ved fastlæggelsen af midlerne til behandling og på tidspunktet for selve behandlingen.
4. Agenturet foretager regelmæssige audits for at sikre effektiviteten af alle de indførte databeskyttelsesgarantier.
Artikel 13
Fælles dataansvar for personoplysninger behandlet i registret
1. De fælles dataansvarlige for personoplysninger opbevaret i registret er de autoriserede brugere.
2. Hver fælles dataansvarlig har ansvaret for, at kriterierne for oplysningsklassificering er opfyldt for hvert oplysningsobjekt, der behandles i registret.
Artikel 14
Fordelingen af ansvar mellem de fælles dataansvarlige
1. Agenturet er ansvarligt for:
|
a) |
indførelse, drift og administration af registret |
|
b) |
den fortsatte forvaltning af registret, i særdeleshed adgangsrettighederne til samt sikkerheden og fortroligheden af de personoplysninger, der behandles i registret, i overensstemmelse med artikel 4, 5, 9 og 12 |
|
c) |
at meddele eventuelle brud på persondatasikkerheden til de autoriserede brugere, Den Europæiske Tilsynsførende for Databeskyttelse og, hvis det er relevant, til de registrerede i overensstemmelse med artikel 34 i forordning (EU) 2018/1725 |
|
d) |
at definere og gennemføre de tekniske hjælpemidler, som skal gøre det muligt for de registrerede at udøve deres rettigheder i overensstemmelse med forordning (EU) 2018/1725. |
2. De kompetente nationale myndigheder og Kommissionen er ansvarlige for:
|
a) |
at behandle personoplysninger i registret i overensstemmelse med grænsefladerne for opbevaring, udveksling og brugeradgang, som omhandlet i artikel 3, og sikkerhedskravene, som defineret i artikel 12, stk. 4 |
|
b) |
at sørge for sikkerheden i forbindelse med enhver behandling af personoplysninger uden for registret, når disse data behandles med henblik på eller i forbindelse med behandling gennem registret |
|
c) |
at udpege og give agenturet meddelelse om det autoriserede personale, som skal gives adgang til registret i overensstemmelse med artikel 11 |
|
d) |
at fungere som kontaktpunkt for registrerede, der er omfattet af deres ansvar som eneste dataansvarlige, når disse udøver deres rettigheder, hvor det er nødvendigt ved hjælp af de tekniske midler, der stilles til rådighed af agenturet, i overensstemmelse med stk. 1, litra d), eller via de kommunikationskanaler, der er angivet i stk. 3 |
|
e) |
at underrette agenturet om eventuelle sikkerhedshændelser, herunder brud på persondatasikkerheden, som kan kompromittere sikkerheden, fortroligheden, tilgængeligheden eller integriteten af de personoplysninger, der fremsendes til og/eller opbevares i registret |
|
f) |
at meddele eventuelle brud på sikkerheden af persondata, der behandles i registret, til de respektive kompetente tilsynsmyndigheder, og hvis det er påkrævet, til de registrerede i overensstemmelse med artikel 33 og 34 i forordning (EU) 2016/679 og artikel 34 i forordning (EU) 2018/1725, alt efter hvad der er relevant. |
3. Hver fælles dataansvarlig skal udpege:
|
a) |
et kontaktpunkt med en fællespostkasse til kommunikation mellem kontaktpunkterne |
|
b) |
et kontaktpunkt, der bistår registrerede med at udøve deres rettigheder i overensstemmelse med den gældende databeskyttelseslovgivning. |
4. Når en fælles dataansvarlig modtager en anmodning fra en registreret, der ikke falder ind under dens ansvarsområde, videresender den straks anmodningen til den ansvarlige fælles dataansvarlige. De fælles dataansvarlige bistår efter anmodning hinanden med behandlingen af registreredes anmodninger, og de svarer hinanden uden unødigt ophold og under alle omstændigheder senest 15 dage efter den dato, hvor de har modtaget en anmodning om bistand.
5. Hvis en dataansvarlig, for at overholde sine forpligtelser i henhold til artikel 33 og 34 i forordning (EU) 2016/679 eller artikel 34 i forordning (EU) 2018/1725, har brug for oplysninger fra en anden dataansvarlig, sender førstnævnte dataansvarlige en specifik anmodning til den fællespostkasse, der er omhandlet i stk. 3, litra a). Sidstnævnte gør sit bedste for at tilvejebringe de pågældende oplysninger.
Artikel 15
Begrænsninger
1. De dataansvarlige må kun begrænse udøvelsen af de registreredes rettigheder i det omfang og så længe det er strengt nødvendigt for at beskytte den civile luftfarts sikkerhed. Udøvelsen af registreredes rettigheder må kun begrænses i følgende situationer:
|
a) |
igangværende undersøgelser, inspektioner eller overvågningsopgaver i henhold til artikel 75, stk. 2, litra e), i forordning (EU) 2018/1139, som udføres af agenturet inden for dets ansvarsområde eller af de kompetente myndigheder i henhold til national ret eller EU-retten |
|
b) |
igangværende sager ved Den Europæiske Unions Domstol eller enhver anden kompetent ret under national eller international ret. |
2. Hvor Kommissionen og agenturet er dataansvarlige, må de også kun begrænse registreredes udøvelse af deres rettigheder i det omfang og så længe det er strengt nødvendigt for at beskytte den civile luftfarts sikkerhed i tilfælde af igangværende IT-sikkerhedsundersøgelser med en direkte eller indirekte indvirkning på registrets funktion.
3. Alle begrænsninger skal underkastes en vurdering af nødvendighed og proportionalitet og være begrænset i omfang og tid.
4. Registrerede, hvis udøvelse af rettigheder er begrænset, skal oplyses om årsagerne til og omfanget af begrænsningen.
Artikel 16
Opbevaringsperiode for personoplysninger
1. De autoriserede brugere skal:
|
a) |
opbevare personoplysninger i registret i en periode på højst 10 år fra datoen for dokumentets udløb, eller fra den dato, hvor det ikke længere er gyldigt, inklusive ethvert andet dokument, der er nødvendigt med henblik på procedurerne i forordning (EU) 2018/1139, medmindre en anden periode er fastsat i national ret |
|
b) |
slette personoplysninger fra registret, så snart opbevaringsperioden udløber. |
2. Registret skal råde over de tekniske midler til at muliggøre:
|
a) |
automatisk sletning af personoplysninger ved opbevaringsperiodens udløb |
|
b) |
automatisk pseudonymisering eller andre tekniske løsninger med en tilsvarende virkning på personoplysninger, der opbevares til arkivformål. |
Artikel 17
Behandling til arkivformål og historisk forskning i luftfartssikkerhedens interesse
1. Efter opbevaringsperiodens udløb må agenturet opbevare personoplysninger fra registret i et separat register til arkivformål og historisk forskning.
2. Disse personoplysninger skal begrænses til, hvad der er strengt nødvendigt til arkivformål og forskning i luftfartssikkerhedens interesse, og overholde princippet om dataminimering som fastsat i artikel 89 i forordning (EU) 2016/679 og i artikel 13 i forordning (EU) 2018/1725.
3. Agenturet udarbejder en protokol for adgang til registret. Artikel 4, 5 og 9-12 finder anvendelse på dette register.
KAPITEL V
AFSLUTTENDE BESTEMMELSER
Artikel 18
Ikrafttræden og anvendelse
1. Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
2. Kapitel I og II finder anvendelse fra den 1. april 2025.
3. Kravene vedrørende oplysningsobjekter udstedt efter nærværende forordnings ikrafttræden finder anvendelse:
|
a) |
fra den 1. januar 2027 for bilag I, gruppekategori A |
|
b) |
fra den 1. januar 2028 for bilag I, gruppekategori B |
|
c) |
fra den 1. januar 2029 for bilag I, gruppekategori C. |
4. Kravene vedrørende oplysningsobjekter, der er gældende og udstedt før denne forordnings ikrafttræden, og som fremgår af bilag I, finder anvendelse fra den 1. januar 2029.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 12. oktober 2023.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
(1) EUT L 212 af 22.8.2018, s. 1.
(2) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
(3) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
(4) https://www.easa.europa.eu/document-library/opinions.
(5) Kommissionens gennemførelsesforordning (EU) 2019/947 af 24. maj 2019 om regler og procedurer for operation af ubemandede luftfartøjer (EUT L 152 af 11.6.2019, s. 45).
(6) Kommissionens gennemførelsesforordning (EU) 2021/664 af 22. april 2021 om et regelsæt for U-space (EUT L 139 af 23.4.2021, s. 161).
BILAG I
LISTE OVER OPLYSNINGSOBJEKTER
|
Oplysningsobjekt |
Prioritetsgruppe |
|
Certifikater |
|
|
Pilotcertifikat |
A |
|
Pilotcertifikatvalidering |
A |
|
Flyveledercertifikat |
A |
|
Luftfartøjsvedligeholdelsescertifikat |
B |
|
Certifikater — Organisationer |
|
|
ATM/ANS-leverandørcertifikat |
B |
|
Flyvepladsoperatørcertifikat |
B |
|
Air operator certificate (AOC) |
B |
|
Flyvepladsudstyrscertifikat |
B |
|
Luftdygtighedsbevis (CofA) |
B |
|
Kvalifikationscertifikat til flyvesimulatortræningsanordninger (FSTD) |
C |
|
Operatørcertifikat for lette UAS'er (LUC) |
A |
|
Operatørcertifikat for UAS'er |
C |
|
Certifikat for U-space-tjenesteudøver (USSP) |
B |
|
Certifikat for udøver af fælles informationstjenester |
B |
|
Beviser — Personnel |
|
|
Bevis for teoretisk fjernpilotuddannelse |
C |
|
Eksaminatorbevis |
A |
|
Instruktørbevis |
A |
|
Bevis for sprogfærdigheder fra et sprogvurderingscenter |
C |
|
Certifikater — Produkter/Udstyr |
|
|
Typecertifikat (TC) |
B |
|
Supplerende typecertifikat (STC) |
B |
|
Begrænset typecertifikat (RTC) |
B |
|
Dataark for typecertifikat |
C |
|
Støjcertifikat |
C |
|
Begrænset støjcertifikat |
C |
|
Luftdygtighedseftersynsbevis (ARC) |
C |
|
Begrænset luftdygtighedsbevis (RCofA) |
C |
|
Godkendelse af større/mindre ændringer |
C |
|
Konstruktionsgodkendelse af større/mindre reparationer |
C |
|
Certifikat for ATM/ANS-systemer og ATM/ANS-komponenter |
B |
|
Certifikater — Helbredsbeviser |
|
|
Flyvelægecertifikat |
A |
|
Certifikat for flyvemedicinske centre (AeMC) |
A |
|
Flyvelægecertifikat til udstedelse af helbredsbeviser til flyveledere (ATCO) |
A |
|
Helbredsbevis til flyveledere (ATCO) |
A |
|
Formular til ansøgning om et helbredsbevis til piloter |
A |
|
Formular til helbredsundersøgelser for piloter og supplerende helbredsbeviser |
A |
|
Helbredsbevis til piloter |
A |
|
Erklæringer |
|
|
Erklæring fra udøver af flyveinformationstjenester (FIS) |
B |
|
Erklæring fra yder af forpladstjenester |
B |
|
Erklæring fra ground handling-leverandør |
B |
|
Erklæring for ATM/ANS-systemer og ATM/ANS-komponenter |
B |
|
Overensstemmelseserklæring for ATM/ANS-systemer og ATM/ANS-komponenter |
B |
|
Operatørerklæring som leverandør af teknisk uddannelse STS |
C |
|
NCC- og SPO-erklæringer for luftfartøjsoperatører |
C |
|
UAS-driftserklæring STS |
A |
|
Certificering Og Attester |
|
|
Kabinepersonalecertificering |
C |
|
Helbredsattest for kabinepersonale |
C |
|
Undtagelser |
|
|
Undtagelse (akkumuleret) med varighed over 8 måneder — afgørelse |
B |
|
Undtagelse (akkumuleret) med varighed over 8 måneder — meddelelse |
B |
|
Undtagelse (akkumuleret) med varighed over 8 måneder — henstilling |
B |
|
Undtagelse (akkumuleret) med varighed op til 8 måneder — meddelelse |
A |
|
Undtagelse fra kravet om at besidde et ATM/ANS-certifikat som udbyder — afgørelse |
C |
|
Undtagelse fra kravet om at besidde et ATM/ANS-certifikat som udbyder — meddelelse |
C |
|
Undtagelse fra kravet om at besidde et ATM/ANS-certifikat som udbyder |
C |
|
Godkendelser |
|
|
Flyvetilladelse — godkendelse af flyvebetingelser |
A |
|
Flyvetilladelse |
A |
|
Godkendelse af rapporten fra vedligeholdelseseftersynsrådet (MRB) |
C |
|
Teoriprøver (ECQB) |
C |
|
Godkendelse af kombinerede luftdygtighedsorganisationer (CAOA) — del-CAO |
B |
|
Godkendelse af organisationer til sikring af vedvarende luftdygtighed (CAMOA) |
B |
|
Godkendelse af vedligeholdelsesorganisationer (MOA) — del M subpart F EASA-formular 3-MF |
B |
|
Godkendelse af vedligeholdelsesorganisationer (MOA) — del-145 |
B |
|
Godkendelse af vedligeholdelsesuddannelsesorganisationer (MTOA) del-147 |
B |
|
Godkendelsesbrev for produktion uden produktionsorganisationsgodkendelse |
C |
|
Produktionsorganisationsgodkendelser (POA) |
B |
|
Alternativ procedure for godkendelse af konstruktionsorganisationer (APDOA) |
C |
|
Godkendelse af konstruktionsorganisationer (DOA) |
B |
|
Godkendelse af konstruktion eller produktion af ATM/ANS-udstyr |
B |
|
Flyvelederuddannelsesorganisationer (ATCO) |
B |
|
Godkendelse af organisationer til uddannelse af kabinepersonale (CCTO) |
C |
|
Godkendelse af uddannelsesorganisationer (ATO) (pilot) |
C |
|
Anmeldt træningsorganisation (DTO) for piloter |
C |
|
Godkendelse af organisationer til uddannelse i rampeinspektioner (RITO) |
B |
|
Afgørelser |
|
|
Tilvalg af anvendelsen af specifikke bestemmelser i grundforordningen for listeopførte aktiviteter — afgørelse |
C |
|
Ugyldiggørelse og anerkendelse af certifikater eller erklæringer |
C |
|
Afgørelse om undtagelse fra bestemmelser i grundforordningen for flyvepladser |
C |
|
Fælles ansvar for opgaver i forbindelse med luftfartøjsoperatører, som er involveret i erhvervsmæssig lufttransport |
C |
|
Forslag til ændring af gennemførelsesretsakt/delegeret retsakt |
C |
|
Akkreditering som et kvalificeret organ |
C |
|
Forslag til individuelle specifikationssystemer for flyvetid (IFTSS) |
C |
|
Anmeldelser af ordninger for flyvetidsbegrænsning |
C |
|
Operatørbekræftelse af accepten af de ajourførte afhjælpende foranstaltninger og overholdelse af lokale betingelser i tilfælde af grænseoverskridende operationer |
C |
|
Registrering af UAS-operatør |
A |
|
En medlemsstats afgørelse om udpegelse af en eneudøver af fælles informationstjenester |
B |
|
Foranstaltninger |
|
|
Øjeblikkelig foranstaltning truffet som reaktion på et alvorligt sikkerhedsproblem (afgørelse) |
B |
|
Øjeblikkelig foranstaltning truffet som reaktion på et alvorligt sikkerhedsproblem (henstilling) |
B |
|
Øjeblikkelig foranstaltning truffet som reaktion på et alvorligt sikkerhedsproblem (meddelelse) |
B |
|
Informationstidender om konfliktområder Conflict Zones Information Bulletins (CZIB'er) — Foranstaltninger |
B |
|
Tilvalg (jf. artikel 2, stk. 6) af anvendelsen af specifikke bestemmelser i grundforordningen for listeopførte aktiviteter (meddelelse) |
C |
|
Tilvalg af anvendelsen af specifikke bestemmelser i grundforordningen for listeopførte aktiviteter (henstilling) |
C |
|
Fravalg med henblik på at fritage kategorier af luftfartøjer fra specifikke bestemmelser i grundforordningen |
C |
|
Andet |
|
|
Luftfartsoperatør — operationsspecifikationer |
C |
|
Godkendelse af tredjelandsoperatører (TCO) |
B |
|
Specialiseret erhvervsmæssig højrisikooperation — godkendelse |
B |
|
Registrering af certificeret UAS-udstyr |
A |
|
ETSO-godkendelse (ETSOA) |
C |
|
Afvigelse fra ETSO |
C |
|
Forslag til ændring af gennemførelsesretsakt/delegeret retsakt — meddelelse |
B |
|
Forslag til ændring af gennemførelsesretsakt/delegeret retsakt — henstilling |
B |
|
Liste over medlemsstater og organisationer, der har overført ansvar og omfordelt opgaver (i overensstemmelse med artikel 64 og 65), og kompetente myndigheder, som er ansvarlige efter omfordelingen |
C |
|
Luftdygtighedsdirektiver, sikkerhedsdirektiver, Safety Information Bulletins (SIB) |
C |
|
Udkast til henstillinger til svar på ICAO's skrivelser |
C |
|
Tjekliste til overholdelse af ICAO-standarder og anbefalet praksis (SARP) |
C |
|
Henstillinger til svar på ICAO's skrivelser |
C |
|
Anmodninger om alternative måder for overensstemmelse |
C |
BILAG II
KLASSIFIKATION AF OPLYSNINGERNE
Specifikke definitioner af mærkninger i henhold til artikel 7, stk. 2
|
a) |
PERSONOPLYSNINGER klassificeres i overensstemmelse med nedenstående kategorier:
|
|
b) |
FORTROLIGHED klassificeres i overensstemmelse med nedenstående kategorier:
|
|
c) |
INTEGRITET klassificeres i overensstemmelse med nedenstående kategorier:
|
|
d) |
TILGÆNGELIGHED klassificeres i overensstemmelse med nedenstående kategorier:
|
ELI: http://data.europa.eu/eli/reg_impl/2023/2117/oj
ISSN 1977-0634 (electronic edition)