EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022D0483
Commission Implementing Decision (EU) 2022/483 of 21 March 2022 amending Implementing Decision (EU) 2021/1073 laying down technical specifications and rules for the implementation of the trust framework for the EU Digital COVID Certificate established by Regulation (EU) 2021/953 of the European Parliament and of the Council (Text with EEA relevance)
Komisijos įgyvendinimo sprendimas (ES) 2022/483 2022 m. kovo 21 d. kuriuo iš dalies keičiamas Įgyvendinimo sprendimas (ES) 2021/1073, kuriuo nustatomos ES skaitmeninio COVID pažymėjimo patikimumo užtikrinimo sistemos, nustatytos Europos Parlamento ir Tarybos reglamentu (ES) 2021/953, techninės specifikacijos ir įgyvendinimo taisyklės (Tekstas svarbus EEE)
Komisijos įgyvendinimo sprendimas (ES) 2022/483 2022 m. kovo 21 d. kuriuo iš dalies keičiamas Įgyvendinimo sprendimas (ES) 2021/1073, kuriuo nustatomos ES skaitmeninio COVID pažymėjimo patikimumo užtikrinimo sistemos, nustatytos Europos Parlamento ir Tarybos reglamentu (ES) 2021/953, techninės specifikacijos ir įgyvendinimo taisyklės (Tekstas svarbus EEE)
C/2022/1803
OJ L 98, 25.3.2022, p. 84–104
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
2022 3 25 |
LT |
Europos Sąjungos oficialusis leidinys |
L 98/84 |
KOMISIJOS ĮGYVENDINIMO SPRENDIMAS (ES) 2022/483
2022 m. kovo 21 d.
kuriuo iš dalies keičiamas Įgyvendinimo sprendimas (ES) 2021/1073, kuriuo nustatomos ES skaitmeninio COVID pažymėjimo patikimumo užtikrinimo sistemos, nustatytos Europos Parlamento ir Tarybos reglamentu (ES) 2021/953, techninės specifikacijos ir įgyvendinimo taisyklės
(Tekstas svarbus EEE)
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2021 m. birželio 14 d. Europos Parlamento ir Tarybos reglamentą (ES) 2021/953 dėl sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų (ES skaitmeninio COVID pažymėjimo) išdavimo, tikrinimo ir pripažinimo sistemos, kuria siekiama sudaryti palankesnes sąlygas asmenims laisvai judėti COVID-19 pandemijos metu (1), ypač į jo 9 straipsnio 1 dalį,
kadangi:
|
(1) |
Reglamentu (ES) 2021/953 sukurtas ES skaitmeninis COVID pažymėjimas naudojamas kaip įrodymas, kad asmuo paskiepytas nuo COVID-19, jo tyrimo rezultatas yra neigiamas arba jis yra persirgęs šia liga, kad pažymėjimą turintiems asmenims būtų sudarytos palankesnės sąlygos laisvai judėti COVID-19 pandemijos metu; |
|
(2) |
Europos Parlamento ir Tarybos reglamente (ES) 2021/954 (2) nustatyta, kad valstybės narės turi taikyti Reglamentu (ES) 2021/953 nustatytas taisykles trečiųjų valstybių piliečiams, kurie nepatenka į to reglamento taikymo sritį, tačiau kurie teisėtai yra arba gyvena jų teritorijoje ir pagal Sąjungos teisę turi teisę vykti į kitas valstybes nares; |
|
(3) |
Tarybos rekomendacijoje (ES) 2022/290, kuria iš dalies keičiama Rekomendacija (ES) 2020/912 dėl laikino nebūtinų kelionių į ES apribojimo ir galimo tokio apribojimo panaikinimo (3), nustatyta, kad trečiųjų valstybių piliečiai, pageidaujantys vykti į nebūtinas keliones iš trečiųjų valstybių į Sąjungą, turėtų turėti galiojantį paskiepijimo arba persirgimo liga įrodymą, pavyzdžiui, ES skaitmeninį COVID pažymėjimą arba trečiosios valstybės, kuriai taikomas pagal Reglamento (ES) 2021/953 8 straipsnio 2 dalį priimtas įgyvendinimo aktas, išduotą COVID-19 pažymėjimą; |
|
(4) |
kad ES skaitmeninis COVID pažymėjimas būtų tinkamas naudoti visoje Sąjungoje, Komisija priėmė Įgyvendinimo sprendimą (ES) 2021/1073 (4), kuriuo nustatytos techninės specifikacijos ir taisyklės, kurių paskirtis – užtikrinti galimybę pildyti, saugiai išduoti ir tikrinti ES skaitmeninius COVID pažymėjimus, užtikrinti asmens duomenų apsaugą, nustatyti bendrą unikalaus pažymėjimo identifikatoriaus struktūrą ir sudaryti sąlygas generuoti galiojantį, saugų ir sąveikų brūkšninį kodą; |
|
(5) |
pagal Reglamento (ES) 2021/953 4 straipsnį, Komisija ir valstybės narės turėjo sukurti ir prižiūrėti ES skaitmeninio COVID pažymėjimo patikimumo užtikrinimo sistemą. Naudodamosi ta patikimumo užtikrinimo sistema dvi šalys gali keistis panaikintų pažymėjimų sąrašais, kuriuose nurodomi unikalūs panaikintų pažymėjimų identifikatoriai; |
|
(6) |
2021 m. liepos 1 d. pradėjo veikti ES skaitmeninių COVID pažymėjimų tinklų sietuvas (toliau – tinklų sietuvas) – pagrindinė patikimumo užtikrinimo sistemos dalis, leidžianti valstybėms narėms saugiai ir patikimai keistis viešaisiais raktais, naudojamais ES skaitmeniniams COVID pažymėjimams tikrinti; |
|
(7) |
sėkmingai ir plačiai naudojami ES skaitmeniniai COVID pažymėjimai tapo sukčiautojų, siekiančių rasti būdų išduoti suklastotus pažymėjimus, taikiniu. Tokie suklastoti pažymėjimai turi būti panaikinami. Be to, tam tikrus ES skaitmeninius COVID pažymėjimus valstybės narės gali panaikinti nacionaliniu lygmeniu dėl medicininių ir visuomenės sveikatos priežasčių, pavyzdžiui, vėliau paaiškėjus, kad skiepijimui naudota vakcinų partija buvo su trūkumais; |
|
(8) |
nors suklastoti pažymėjimai ES skaitmeninio COVID pažymėjimo sistemoje atpažįstami iš karto, autentiškų pažymėjimų, kurie išduoti neteisėtai – remiantis netikrais dokumentais, įgijus neleistiną prieigą ar turint ketinimų sukčiauti – kitose valstybėse narėse atpažinti neįmanoma, nebent valstybės narės keistųsi nacionaliniu lygmeniu sudarytais panaikintų pažymėjimų sąrašais. Tas pats pasakytina apie pažymėjimus, kurie buvo panaikinti dėl medicininių ir visuomenės sveikatos priežasčių. Jei valstybių narių tikrinimo programėlės negali nustatyti kitų valstybių narių panaikintų pažymėjimų, kyla grėsmė visuomenės sveikatai ir mažėja piliečių pasitikėjimas ES skaitmeninio COVID pažymėjimo sistema; |
|
(9) |
kaip pažymėta Reglamento (ES) 2021/953 19 konstatuojamojoje dalyje, valstybės narės turėtų galėti dėl medicininių ir visuomenės sveikatos priežasčių, taip pat nustačiusios, kad pažymėjimai išduoti arba gauti klastotės būdu, ribotais atvejais to reglamento tikslais sudaryti pažymėjimų, panaikinamų nustačius, kad jie buvo išduoti klastotės būdu, arba sustabdžius COVID-19 vakcinos partijos, kuri, kaip nustatyta, turi trūkumų, naudojimą, sąrašus ir jais keistis su kitomis valstybėmis narėmis. Valstybės narės neturėtų turėti galimybės panaikinti kitų valstybių narių išduotus pažymėjimus. Panaikintų pažymėjimų sąrašuose, kuriais keičiamasi, neturėtų būti jokių asmens duomenų, išskyrus unikalius pažymėjimų identifikatorius. Taip pat svarbu, kad juose nebūtų nurodyta pažymėjimo panaikinimo priežastis; |
|
(10) |
atsakinga išduodančioji institucija turėtų teikti ne tik bendrą informaciją apie galimybę panaikinti pažymėjimus ir galimas tokio panaikinimo priežastis, bet ir nedelsdama informuoti panaikintų pažymėjimų turėtojus apie jų pažymėjimų panaikinimą ir panaikinimo priežastis. Tačiau kai kuriais atvejais, visų pirma jei ES skaitmeniniai COVID pažymėjimai išduoti popierine forma, atsekti pažymėjimo turėtoją ir informuoti jį apie panaikinimą gali būti neįmanoma arba tam gali prireikti neproporcingai daug pastangų. Valstybės narės neturėtų rinkti papildomų išdavimo procesui nereikalingų asmens duomenų tik tam, kad galėtų informuoti pažymėjimų turėtojus, jei jų pažymėjimai būtų panaikinti; |
|
(11) |
todėl ES skaitmeninio COVID pažymėjimo patikimumo užtikrinimo sistemą būtina patobulinti, kad ji būtų tinkama dvišaliam valstybių narių keitimuisi panaikintų pažymėjimų sąrašais; |
|
(12) |
šis sprendimas netaikomas į ES skaitmeninio COVID pažymėjimo reglamento taikymo sritį nepatenkančiam laikinam pažymėjimų galiojimo sustabdymui valstybės narės viduje, pavyzdžiui, dėl to, kad skiepijimo pažymėjimo turėtojo tyrimo dėl SARS-CoV-2 rezultatas buvo teigiamas. Jis nedaro poveikio nustatytoms pažymėjimų galiojimo tikrinimo procedūroms; |
|
(13) |
nors techniškai galimos įvairios keitimosi panaikintų pažymėjimų sąrašais architektūros, keitimasis jais per tinklų sietuvą yra tinkamiausias, nes tokiu atveju duomenimis bus keičiamasi per jau sukurtą patikimumo užtikrinimo sistemą ir bus sumažintas tiek galimų gedimo taškų, tiek apsikeitimų tarp valstybių narių skaičius, palyginti su alternatyvia dvišalio keitimosi sistema; |
|
(14) |
taigi ES skaitmeninio COVID pažymėjimo tinklų sietuvas turėtų būti patobulintas, kad per jį galėtų būti saugiai keičiamasi informacija apie panaikintus ES skaitmeninius COVID pažymėjimus siekiant juos tinklų sietuve saugiai patikrinti. Todėl turėtų būti įgyvendintos tinkamos apsaugos priemonės, kad būtų apsaugoti tinklų sietuve tvarkomi asmens duomenys. Siekdamos užtikrinti aukšto lygio apsaugą, valstybės narės turėtų supseudoniminti pažymėjimų požymius į panaikintų pažymėjimų sąrašus įtraukdamos negrįžtamos maišos reikšmes. Iš tiesų, tinklų sietuve atliekant duomenų tvarkymo operacijas, unikalus identifikatorius turėtų būti laikomas pseudoniminiais duomenimis; |
|
(15) |
be to, turėtų būti nustatyta, kokį vaidmenį keičiantis panaikintų pažymėjimų sąrašais atlieka valstybės narės ir Komisija; |
|
(16) |
valstybės narės arba kitos valstybių narių viešosios organizacijos ar oficialios įstaigos pažymėjimų turėtojų asmens duomenis, kuriuos jos privalo tvarkyti, turėtų tvarkyti laikydamosi Europos Parlamento ir Tarybos reglamento (ES) 2016/679 (5). Komisija asmens duomenis, kuriuos ji privalo tvarkyti siekdama valdyti ES skaitmeninio COVID pažymėjimo tinklų sietuvą ir užtikrinti jo saugumą, turėtų tvarkyti laikydamasi Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (6); |
|
(17) |
valstybės narės, kurioms atstovauja paskirtosios nacionalinės institucijos arba oficialios įstaigos, kartu nustato asmens duomenų tvarkymo naudojant ES skaitmeninio COVID pažymėjimo tinklų sietuvą tikslą ir priemones, todėl jos laikomos bendromis duomenų valdytojomis. Reglamento (ES) 2016/679 26 straipsniu asmens duomenų tvarkymo operacijų bendri duomenų valdytojai įpareigojami skaidriai nustatyti atitinkamą savo atsakomybę už pagal tą reglamentą nustatytų įpareigojimų vykdymą. Jame taip pat numatyta galimybė, kad minėta atsakomybė būtų nustatyta Sąjungos arba valstybės narės teisėje, kuri yra taikoma duomenų valdytojams. 26 straipsnyje nurodytas susitarimas turėtų būti įtrauktas į šio sprendimo III priedą; |
|
(18) |
Reglamentu (ES) 2021/953 Komisijai pavedama užduotis remti tokį keitimąsi. Tinkamiausias būdas šiam įgaliojimui įvykdyti – valstybių narių vardu į vieną vietą surinkti pateiktus panaikintų pažymėjimų sąrašus. Todėl, kad Komisija galėtų remti tokį keitimąsi sudarydama valstybėms narėms sąlygas keistis sąrašais per ES skaitmeninio COVID pažymėjimo tinklų sietuvą, jai turėtų būti priskirtas duomenų tvarkytojo vaidmuo; |
|
(19) |
Komisija, kuri rūpinasi techniniais ir organizaciniais sprendimais, susijusiais su ES skaitmeninio COVID pažymėjimo tinklų sietuvu, per sietuvą perduodamuose panaikintų pažymėjimų sąrašuose pateiktus asmens duomenis tvarkys valstybių narių kaip bendrų duomenų valdytojų vardu. Todėl ji atliks duomenų tvarkytojo vaidmenį. Pagal Reglamento (ES) 2016/679 28 straipsnį ir Reglamento (ES) 2018/1725 29 straipsnį, duomenų tvarkytojo atliekamas duomenų tvarkymas reglamentuojamas sutartimi arba teisės aktu pagal Sąjungos arba valstybės narės teisę, kurie yra privalomi duomenų tvarkytojui duomenų valdytojo atžvilgiu ir kuriuose nustatomas konkretus duomenų tvarkymas. Todėl būtina nustatyti Komisijos, kaip duomenų tvarkytojos, atliekamo duomenų tvarkymo taisykles; |
|
(20) |
Komisijos pagalbinė užduotis neapima centralizuotos duomenų bazės, minimos Reglamento (ES) 2021/953 52 konstatuojamojoje dalyje, sukūrimo. Tuo draudimu siekiama, kad nebūtų sukurta centrinė visų išduotų ES skaitmeninių COVID pažymėjimų saugykla, tačiau juo valstybėms narėms nedraudžiama keistis panaikintų pažymėjimų sąrašais, kaip aiškiai numatyta Reglamento (ES) 2021/953 4 straipsnio 2 dalyje; |
|
(21) |
tvarkydama asmens duomenis ES skaitmeninio COVID pažymėjimo tinklų sietuve Komisija privalo laikytis Komisijos sprendimo (ES, Euratomas) 2017/46 (7); |
|
(22) |
pagal Reglamento (ES) 2021/953 3 straipsnio 10 dalį Komisija gali priimti įgyvendinimo aktus, kuriais nustatoma, kad trečiosios valstybės, su kuria Sąjunga ir jos valstybės narės yra sudariusios susitarimą dėl laisvo asmenų judėjimo, kuriuo visuomenės sveikatos sumetimais susitariančiosioms šalims leidžiama nediskriminuojant nustatyti laisvo asmenų judėjimo apribojimus ir kuriame nenumatytas Sąjungos teisės aktų įtraukimo mechanizmas, išduoti COVID-19 pažymėjimai yra lygiaverčiai pagal tą reglamentą išduotiems pažymėjimams. Tuo remdamasi 2021 m. liepos 8 d. Komisija priėmė Įgyvendinimo sprendimą (ES) 2021/1126 (8), kuriuo nustatomas Šveicarijos išduotų COVID-19 pažymėjimų lygiavertiškumas; |
|
(23) |
pagal Reglamento (ES) 2021/953 8 straipsnio 2 dalį Komisija gali priimti įgyvendinimo aktą, kuriuo nustatoma, kad COVID-19 pažymėjimai, išduoti trečiosios valstybės laikantis standartų ir technologinių sistemų, kurios yra sąveikios su ES skaitmeninio COVID pažymėjimo patikimumo užtikrinimo sistema ir kuriomis sudaroma galimybė patikrinti pažymėjimų autentiškumą, galiojimą ir vientisumą, ir kuriuose yra to reglamento priede nurodyti duomenys, yra laikytini lygiaverčiais ES skaitmeniniams COVID pažymėjimams, taip siekiant sudaryti palankesnes sąlygas jų turėtojams naudotis savo teise laisvai judėti Sąjungoje. Kaip pažymėta Reglamento (ES) 2021/953 28 konstatuojamojoje dalyje, to reglamento 8 straipsnio 2 dalis susijusi su trečiųjų valstybių Sąjungos piliečiams ir jų šeimos nariams išduotų pažymėjimų pripažinimu. Komisija jau priėmė keletą tokių įgyvendinimo aktų; |
|
(24) |
siekiant išvengti spragų nustatant panaikintus pažymėjimus, kuriems taikomi tokie įgyvendinimo aktai, trečiosios valstybės, kurių COVID-19 pažymėjimai buvo pripažinti lygiaverčiais pagal Reglamento (ES) 2021/953 3 straipsnio 10 dalį ir 8 straipsnio 2 dalį, taip pat turėtų turėti galimybę į ES skaitmeninio COVID pažymėjimo tinklų sietuvą perduoti atitinkamus panaikintų pažymėjimų sąrašus; |
|
(25) |
kai kurie trečiųjų valstybių piliečiai, turintys trečiosios valstybės, kurios COVID-19 pažymėjimai pagal Reglamentą (ES) 2021/953 buvo pripažinti lygiaverčiais, išduotus COVID-19 pažymėjimus, kurie vėliau buvo panaikinti, gali nepatekti į to reglamento arba Reglamento (ES) 2021/954 taikymo sritį tuo metu, kai atitinkama trečioji valstybė sudaro panaikintų pažymėjimų sąrašą, į kurį įtraukiami ir jų pažymėjimai. Tačiau tuo metu, kai atitinkama trečioji valstybė sudaro panaikintų pažymėjimų sąrašą, nėra galimybės žinoti, ar visi trečiųjų valstybių piliečiai, kurių pažymėjimai buvo panaikinti, patenka į kurio nors iš tų dviejų reglamentų taikymo sritį. Taigi neįtraukti asmenų, kuriems tuo metu, kai sudaromi tų valstybių panaikintų pažymėjimų sąrašai, netaikomas nė vienas reglamentas, yra neįmanoma, o bandymas tai padaryti reikštų, kad valstybės narės negalėtų nustatyti, kurie pirmą kartą į Sąjungą keliaujančių trečiųjų valstybių piliečių turimi pažymėjimai yra panaikinti. Tačiau net ir panaikintus tų trečiųjų valstybių piliečių pažymėjimus valstybės narės tikrintų jų turėtojams atvykstant į Sąjungą ir joje keliaujant. Trečiosios valstybės, kurių pažymėjimai pagal Reglamentą (ES) 2021/953 pripažinti lygiaverčiais, tinklų sietuvo valdyme nedalyvauja ir todėl bendromis duomenų valdytojomis nelaikomos; |
|
(26) |
be to, patirtis rodo, kad ES skaitmeninio COVID pažymėjimo sistema yra vienintelė COVID-19 pažymėjimų sistema, kuri naudojama plačiai tarptautiniu mastu. Todėl ES skaitmeninis COVID pažymėjimas įgyja vis daugiau svarbos pasaulyje ir padeda kovoti su pandemija tarptautiniu lygmeniu, nes sudaro palankesnes sąlygas saugiai keliauti iš vienos valstybės į kitą ir atsigauti pasaulio ekonomikai. Pagal Reglamento (ES) 2021/953 8 straipsnio 2 dalį priimant papildomus įgyvendinimo aktus, atsiranda naujų poreikių, susijusių su ES skaitmeninio COVID pažymėjimo pildymu. Pagal Įgyvendinimo sprendime (ES) 2021/1073 nustatytas taisykles, pavardės laukelis yra privalomas pažymėjimo techninio turinio laukelis. Siekiant didinti įtrauktį ir sąveikumą su kitomis sistemomis, šį reikalavimą būtina pakeisti, nes kai kuriose trečiosiose valstybėse yra asmenų, neturinčių pavardės. Tais atvejais, kai pažymėjimo turėtojo asmenvardį sudaro tik vienas dėmuo, jis turėtų būti įrašomas į tą patį ES skaitmeninio COVID pažymėjimo laukelį („pavardė“ arba „vardas“), kaip būtų įrašoma pažymėjimo turėtojo kelionės ar tapatybės dokumentuose. Šiuo pakeitimu techninis pažymėjimų turinys taip pat būtų geriau suderintas su šiuo metu galiojančiomis Tarptautinės civilinės aviacijos organizacijos paskelbtomis mašininio nuskaitymo kelionės dokumentų specifikacijomis; |
|
(27) |
todėl Įgyvendinimo sprendimas (ES) 2021/1073 turėtų būti atitinkamai iš dalies pakeistas; |
|
(28) |
vadovaujantis Reglamento (ES) 2018/1725 42 straipsnio 1 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė nuomonę 2022 m. kovo 11 d.; |
|
(29) |
siekiant, kad valstybės narės ir Komisija turėtų pakankamai laiko įgyvendinti pakeitimus, kurių reikia, kad per ES skaitmeninio COVID pažymėjimo tinklų sietuvą būtų galima keistis panaikintų pažymėjimų sąrašais, šis sprendimas turėtų būti pradėtas taikyti praėjus keturioms savaitėms nuo jo įsigaliojimo; |
|
(30) |
šiame sprendime numatytos priemonės atitinka pagal Reglamento (ES) 2021/953 14 straipsnį įsteigto komiteto nuomonę, |
PRIĖMĖ ŠĮ SPRENDIMĄ:
1 straipsnis
Įgyvendinimo sprendimas (ES) 2021/1073 iš dalies keičiamas taip:
|
1) |
Įterpiami šie 5 a, 5b ir 5c straipsniai: „5a straipsnis Keitimasis panaikintų pažymėjimų sąrašais 1. ES skaitmeninio COVID pažymėjimo patikimumo užtikrinimo sistemoje sudaromos sąlygos keistis panaikintų pažymėjimų sąrašais per centrinį ES skaitmeninių COVID pažymėjimų tinklų sietuvą (toliau – tinklų sietuvas) laikantis I priede pateiktų techninių specifikacijų. 2. Panaikinusios ES skaitmeninius COVID pažymėjimus valstybės narės gali panaikintų pažymėjimų sąrašus perduoti į tinklų sietuvą. 3. Valstybėms narėms perdavus tokius panaikintų pažymėjimų sąrašus, išduodančiosios institucijos tvarko panaikintų pažymėjimų sąrašą. 4. Kai per tinklų sietuvą keičiamasi asmens duomenimis, jie tvarkomi tik tiek, kiek reikia siekiant apsikeisti informacija apie panaikinimą. Tokie asmens duomenys naudojami tik siekiant patikrinti, ar pagal Reglamentą (ES) 2021/953 išduoti ES skaitmeniniai COVID pažymėjimai nėra panaikinti. 5. Pagal I priede pateiktas technines specifikacijas į tinklų sietuvą perduodama informacija apima šiuos duomenis:
6. Jeigu išduodančioji institucija panaikina pagal Reglamentą (ES) 2021/953 arba Reglamentą (ES) 2021/954 savo išduotus ES skaitmeninius COVID pažymėjimus ir ketina atitinkama informacija apsikeisti per tinklų sietuvą, ji į sietuvą perduoda 5 dalyje nurodytą informaciją apimančius panaikintų pažymėjimų sąrašus, pateikiamus saugiu formatu, laikantis I priede nustatytų techninių specifikacijų. 7. Išduodančiosios institucijos pagal savo galimybes pasirūpina, kad panaikintų pažymėjimų turėtojai būtų panaikinimo metu informuojami apie tai, kad jų pažymėjimai panaikinti, ir apie to priežastį. 8. Tinklų sietuve renkami gauti panaikintų pažymėjimų sąrašai. Jame sukuriamos priemonės, kuriomis sąrašai išplatinami valstybėms narėms. Sąrašai iš jo automatiškai pašalinami pagal juos pateikusios institucijos nurodytą kiekvieno sąrašo galiojimo pabaigos datą. 9. Valstybių narių paskirtosios nacionalinės institucijos arba oficialios įstaigos, tvarkančios asmens duomenis tinklų sietuve, yra bendros tvarkomų duomenų valdytojos. Atitinkama bendrų duomenų valdytojų atsakomybė paskirstoma taip, kaip nustatyta VI priede. 10. Komisija yra tinklų sietuve tvarkomų asmens duomenų tvarkytoja. Komisija, valstybių narių vardu atliekanti duomenų tvarkytojos funkciją, užtikrina asmens duomenų perdavimo ir saugojimo tinklų sietuve saugumą ir laikosi VII priede nustatytų duomenų tvarkytojo pareigų. 11. Komisija ir bendri duomenų valdytojai reguliariai atlieka techninių ir organizacinių priemonių, skirtų tinklų sietuve tvarkomų asmens duomenų saugumui užtikrinti, veiksmingumo bandymus, tikrinimus ir vertinimus. 5b straipsnis Trečiųjų valstybių pateikiami panaikintų pažymėjimų sąrašai COVID-19 pažymėjimus išduodančios trečiosios valstybės, dėl kurių Komisija priėmė įgyvendinimo aktą pagal Reglamento (ES) 2021/953 3 straipsnio 10 dalį arba 8 straipsnio 2 dalį, gali pateikti panaikintų COVID-19 pažymėjimų, kuriems taikomas toks įgyvendinimo aktas, sąrašus, kad Komisija juos bendrų duomenų valdytojų vardu tvarkytų 5a straipsnyje nurodytame tinklų sietuve pagal I priede išdėstytas technines specifikacijas. 5c straipsnis Asmens duomenų tvarkymo centriniame ES skaitmeninio COVID pažymėjimo tinklų sietuve valdymas 1. Bendrų duomenų valdytojų sprendimų priėmimo procesą valdo Reglamento (ES) 2021/953 14 straipsnyje nurodyto komiteto darbo grupė. 2. Valstybių narių paskirtosios nacionalinės institucijos arba oficialios įstaigos, tvarkančios asmens duomenis tinklų sietuve, paskiria atstovus į tą grupę.“; |
|
2) |
I priedas iš dalies keičiamas pagal šio sprendimo I priedą; |
|
3) |
V priedas iš dalies keičiamas pagal šio sprendimo II priedą; |
|
4) |
Šio sprendimo III priede pateiktas tekstas pridedamas kaip VI priedas; |
|
5) |
Šio sprendimo IV priede pateiktas tekstas pridedamas kaip VII priedas. |
2 straipsnis
Šis sprendimas įsigalioja trečią dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Jis pradedamas taikyti praėjus keturioms savaitėms po jo įsigaliojimo.
Priimta Briuselyje 2022 m. kovo 21 d.
Komisijos vardu
Pirmininkė
Ursula VON DER LEYEN
(1) OL L 211, 2021 6 15, p. 1.
(2) 2021 m. birželio 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2021/954 dėl sąveikiųjų COVID-19 skiepijimo, tyrimo ir persirgimo pažymėjimų (ES skaitmeninio COVID pažymėjimo), skirtų trečiųjų valstybių piliečiams, teisėtai esantiems arba gyvenantiems valstybių narių teritorijose, išdavimo, tikrinimo ir pripažinimo COVID-19 pandemijos metu sistemos (OL L 211, 2021 6 15, p. 24).
(3) 2022 m. vasario 22 d. Tarybos rekomendacija (ES) 2022/290, kuria iš dalies keičiama Tarybos rekomendacija (ES) 2020/912 dėl laikino nebūtinų kelionių į ES apribojimo ir galimo tokio apribojimo panaikinimo (OL L 43, 2022 2 24, p. 79).
(4) 2021 m. birželio 28 d. Komisijos įgyvendinimo sprendimas (ES) 2021/1073, kuriuo nustatomos ES skaitmeninio COVID pažymėjimo patikimumo užtikrinimo sistemos, nustatytos Europos Parlamento ir Tarybos reglamentu (ES) 2021/953, techninės specifikacijos ir įgyvendinimo taisyklės (OL L 230, 2021 6 30, p. 32).
(5) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).
(6) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39).
(7) Daugiau informacijos apie visoms Europos Komisijos informacinėms sistemoms taikomus saugumo standartus Komisija skelbia adresu https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.
(8) 2021 m. liepos 8 d. Komisijos įgyvendinimo sprendimas (ES) 2021/1126, kuriuo nustatomas Šveicarijos išduotų COVID-19 pažymėjimų lygiavertiškumas pagal Europos Parlamento ir Tarybos reglamentą (ES) 2021/953 išduotiems pažymėjimams (OL L 243, 2021 7 9, p. 49).
I PRIEDAS
Įgyvendinimo sprendimo (ES) 2021/1073 I priedas papildomas šiuo 9 skirsniu:
„9. Su panaikintais pažymėjimais susijęs sprendinys
9.1. Galimybė teikti panaikintų SCP sąrašus
Tinklų sietuve sukuriami panaikintų pažymėjimų sąrašams saugoti ir tvarkyti reikalingi galiniai taškai (angl. endpoints) ir funkcinės galimybės:
9.2. Patikimumo užtikrinimo modelis
Visi ryšiai užmezgami taikant standartinį SCPTS patikimumo užtikrinimo modelį, naudojant NBTLS ir NBUP sertifikatus (žr. sertifikatų valdymo nuostatas). Siekiant užtikrinti vientisumą, visa informacija supakuojama ir įkeliama CMS pranešimais.
9.3. Paketų sudarymas
9.3.1. Paketas
Kiekvienas iš vieno ar kelių įrašų susidedantis panaikintų pažymėjimų sąrašas yra įtraukiamas į paketą (angl. batch), kurį sudaro maišos reikšmių (angl. hashes) ir jų metaduomenų rinkinys. Paketas yra nekintamas ir jam yra nustatoma galiojimo pabaigos data, t. y. diena, kurią paketas gali būti pašalintas. Visų į paketą įeinančių elementų galiojimo pabaigos data turi būti ta pati, t. y. paketai turi būti grupuojami pagal galiojimo pabaigos datą ir pasirašymui naudotą DSC. Kiekvieną paketą gali sudaryti ne daugiau kaip 1 000 įrašų. Jei panaikintų pažymėjimų sąrašą sudaro daugiau kaip 1 000 įrašų, sukuriami keli paketai. Kiekvienas įrašas gali būti įtrauktas į ne daugiau kaip vieną paketą. Paketas supakuojamas į CMS struktūrą ir pasirašomas naudojant jį įkeliančios šalies NBUP sertifikatą.
9.3.2. Paketų rodyklė
Sukurtam paketui tinklų sietuve suteikiamas unikalus identifikatorius, o paketo nuoroda yra automatiškai įtraukiama į rodyklę (angl. index). Paketai rodyklėje nurodomi eilės tvarka pagal jų pakeitimo datą, pradedant nuo seniausiai pakeistų paketų.
9.3.3. Tinklų sietuvo veiksmai
Tinklų sietuvas panaikintų pažymėjimų paketus tvarko niekaip jų nekeisdamas – jis negali nei atnaujinti ar pašalinti jokios į paketus įeinančios informacijos, nei į juos įtraukti papildomos informacijos. |Paketai persiunčiami visoms šalims, kurioms juos galima siųsti (žr. 9.6 skirsnį).
Tinklų sietuvas aktyviai seka paketų galiojimo pabaigos datas ir pašalina paketus, kurių galiojimas baigėsi. Kai paketas pašalinamas, į kreipimąsi jo URL adresu tinklų sietuvas atsako pranešimu „HTTP 410 Gone“. Todėl paketų rodyklėje tas paketas nurodomas kaip pašalintas.
9.4. Maišos reikšmių tipai
Panaikintų pažymėjimų sąrašą sudaro maišos reikšmės (angl. hashes), kuriomis gali būti išreikšti skirtingi panaikintų pažymėjimų tipai ir (arba) požymiai. Šie tipai arba požymiai nurodomi užtikrinant galimybę teikti panaikintų pažymėjimų sąrašus. Dabartiniai tipai yra:
|
Tipas |
Požymis |
Maišos reikšmės apskaičiavimas |
|
SIGNATURE |
SCP parašas |
SCP parašo maišos reikšmė, apskaičiuota naudojant SHA256 |
|
UCI |
UPI (unikalus pažymėjimo identifikatorius) |
UPI maišos reikšmė, apskaičiuota naudojant SHA256 |
|
COUNTRYCODEUCI |
Pažymėjimą išdavusios šalies kodas ir UPI |
Pažymėjimą išdavusios šalies kodo ir UPI maišos reikšmė, apskaičiuota naudojant SHA256 |
Į paketus yra įtraukiami ir panaikintiems SCP identifikuoti naudojami tik pirmieji 128 maišos reikšmių, užkoduotų „base64“ eilutėmis (angl. strings), bitai (1).
9.4.1. Maišos reikšmės tipas SHA256 (SCP parašas)
Šiuo atveju maišos reikšmė apskaičiuojama naudojant COSE_SIGN1 parašo baitus iš CWT. RSA parašų atveju kaip įvedinys naudojamas visas parašas. Jei pažymėjimas pasirašytas EC-DSA parašu, formulėje kaip įvedinys naudojama r reikšmė:
SHA256(r).
[privaloma naudoti visose naujose įgyvendinimo priemonėse]
9.4.2. Maišos reikšmės tipas SHA256 (UPI)
Šiuo atveju maišos reikšmė apskaičiuojama naudojant UTF-8 koduote užkoduotą ir į baitų masyvą (angl. byte array) paverstą UPI eilutę.
[nebenaudotina (2), tačiau palaikoma siekiant užtikrinti atgalinį suderinamumą]
9.4.3. Maišos reikšmės tipas SHA256 (pažymėjimą išdavusios šalies kodas ir UPI)
Šiuo atveju UTF-8 eilute užkoduotas šalies kodas yra sujungiamas su UTF-8 eilute užkoduotu UPI. Gautas junginys paverčiamas baitų masyvu ir naudojamas kaip maišos funkcijos įvedinys.
[nebenaudotina2, tačiau palaikoma siekiant užtikrinti atgalinį suderinamumą]
9.5. API struktūra
9.5.1. Įrašų apie panaikintus pažymėjimus pateikimo API
9.5.1.1.
API pateikia į atskirus paketus suskirstytus panaikintų pažymėjimų sąrašų įrašus ir paketų rodyklę.
9.5.1.2.
9.5.1.2.1. Paketų sąrašo atsisiuntimo galinis taškas
Galinių taškų struktūra yra paprasta; jos paskirtis – pateikti paketų sąrašą kartu su nedideliu kiekiu metaduomenų. Paketai išdėstomi eilės tvarka pagal datą, pradedant nuo seniausio paketo.
/revocation-list
Verb: GET
Content-Type: application/json
Response: JSON Array
|
|
{
|
|
|
} |
Pastaba. Rezultatų skaičius standartiškai yra apribotas iki 1 000. Jei žymos „more“ reikšmė yra „true“, atsakyme nurodoma, kad esama daugiau galimų atsisiųsti paketų. Norėdamas atsisiųsti daugiau elementų, klientas turi pakeisti antraštės „If-Modified-Since“ reikšmę į datą, kuri yra ne ankstesnė nei paskutinio gauto įrašo data.
Atsakyme pateikiamas JSON formato masyvas, kurio struktūra yra tokia:
|
Laukelis |
Apibrėžtis |
|
more |
Loginė žyma, kuri rodo, ar yra daugiau paketų. |
|
batches |
Esamų paketų masyvas. |
|
batchId |
https://en.wikipedia.org/wiki/Universally_unique_identifier |
|
country |
Šalies kodas pagal ISO 3166. |
|
date |
Data (UTC) pagal ISO 8601. Paketo pridėjimo arba pašalinimo data. |
|
deleted |
Loginė reikšmė. Jei paketas pašalintas, reikšmė yra „true“. Kai įrašas pažymimas žyma „deleted“, po septynių dienų galima jį galutinai pašalinti iš užklausų rezultatų. |
9.5.1.2.1.1. Atsakymų kodai
|
Kodas |
Aprašymas |
|
200 |
Viskas gerai. |
|
204 |
Nėra turinio (kai nėra antraštės „If-Modified-Since“ reikšmę atitinkančio turinio). |
Užklausų antraštės
|
Antraštė |
Privaloma |
Aprašymas |
|
If-Modified-Since |
Taip |
Norint gauti tik pačius naujausius rezultatus, šioje antraštėje nurodoma paskutinio atsisiųsto įrašo data. Pradinėje užklausoje šios antraštės reikšmė turėtų būti „2021–06–01 T00:00:00Z“. |
9.5.1.2.2. Paketų atsisiuntimo galinis taškas
Paketą sudaro pažymėjimų identifikatorių sąrašas:
/revocation-list/{batchId}
Verb: GET
Accepts: application/cms
Response:CMS with Content
|
|
{
|
|
|
} |
Atsakymui naudojama CMS, įskaitant parašą, kuris turi atitikti konkrečios šalies NBUP sertifikatą. Visų JSON formato masyvo elementų struktūra yra tokia:
|
Laukelis |
Privalomas |
Tipas |
Apibrėžtis |
|
expires |
Taip |
Eilutė |
Diena, kurią elementas gali būti pašalintas. Data ir laikas (UTC) pagal ISO 8601. |
|
country |
Taip |
Eilutė |
Šalies kodas pagal ISO 3166. |
|
hashType |
Taip |
Eilutė |
Pateikiamų įrašų maišos reikšmių tipas (žr. skirsnį „Maišos reikšmių tipai“). |
|
entries |
Taip |
JSON formato objektinis masyvas |
Žr. lentelę „Įrašai“. |
|
kid |
Taip |
Eilutė |
„base64“ koduote užkoduotas DSC, naudoto SCP pasirašyti, KID. Jei KID nežinomas, gali būti naudojama eilutė „UNKNOWN_KID“ (be kabučių). |
|
Pastabos. |
|||
|
— |
Paketai grupuojami pagal galiojimo pabaigos datą ir DSC – visi elementai turi nustoti galioti tuo pačiu metu ir būti pasirašyti naudojant tą patį raktą. |
|
— |
Galiojimo pabaigos laikas yra data ir laikas suderintuoju pasauliniu laiku (UTC), nes ES SCP sistema yra pasaulinė, todėl laiką turime nurodyti be dviprasmybių. |
|
— |
Visam laikui panaikinto SCP galiojimo pabaigos data prilyginama atitinkamo DSC, naudoto SCP pasirašyti, galiojimo pabaigos datai arba panaikinto SCP galiojimo pabaigos laikui (šiuo atveju nurodyti NumericDate/epoch laikai yra laikomi UTC laiko zonos laikais). |
|
— |
Suėjus galiojimo pabaigos datai, nacionalinės galinės sistemos pašalina atitinkamus elementus iš savo saugomų panaikintų pažymėjimų sąrašų. |
|
— |
Nacionalinės galinės sistemos gali pašalinti tam tikrus elementus iš savo saugomų panaikintų pažymėjimų sąrašų, jei yra atšaukiamas SCP pasirašyti naudotas kid. |
9.5.1.2.2.1. Įrašai
|
Laukelis |
Privalomas |
Tipas |
Apibrėžtis |
|
hash |
Taip |
Eilutė |
Pirmieji 128 SHA256 maišos reikšmės, užkoduotos „base64“ eilute, bitai. |
Pastaba. Šiuo metu įrašų objektas apima tik maišos reikšmę, tačiau ne JSON formato masyvas, o objektas buvo pasirinktas tam, kad būtų galima prisiderinti prie pokyčių ateityje.
9.5.1.2.2.2. Atsakymų kodai
|
Kodas |
Aprašymas |
|
200 |
Viskas gerai. |
|
410 |
Paketo nebėra. Jis gali būti pašalintas iš nacionalinės galinės sistemos. |
9.5.1.2.2.3. Atsakymų antraštės
|
Antraštė |
Aprašymas |
|
ETag |
Paketo identifikatorius. |
9.5.1.2.3. Paketų įkėlimo galinis taškas
Paketai įkeliami per tą patį galinį tašką naudojant metodą (angl. verb) POST:
/revocation-list
Verb: POST
Accepts: application/cms
Request: CMS with Content
ContentType: application/cms
Content:
|
|
{
|
|
|
} |
Paketas pasirašomas naudojant NBUP sertifikatą. Tinklų sietuvas patikrina, ar parašą sukūrė atitinkamos šalies NBUP. Jei parašo patvirtinti nepavyksta, paketas neįkeliamas.
PASTABA. Visi paketai yra nekintami ir po įkėlimo negali būti keičiami. Tačiau jie gali būti pašalinami. Kiekvieno pašalinto paketo identifikatorius išsaugomas ir bandymai įkelti naują paketą, kuriam suteiktas toks pats identifikatorius, atmetami.
9.5.1.2.4. Paketų pašalinimo galinis taškas
Paketą galima pašalinti per tą patį galinį tašką naudojant metodą DELETE:
/revocation-list
Verb: DELETE
Accepts: application/cms
ContentType: application/cms
Request: CMS with Content
Content:
|
|
{
|
|
|
} |
arba – dėl suderinamumo priežasčių – per šį galinį tašką naudojant metodą POST:
/revocation-list/delete
Verb: POST
Accepts: application/cms
ContentType: application/cms
Request: CMS with Content
Content:
|
|
{
|
|
|
} |
9.6. API apsauga/BDAR
Šiame skirsnyje nurodomos įgyvendinimo priemonės, kurių tikslas – užtikrinti, kad būtų laikomasi su asmens duomenų tvarkymu susijusių Reglamento (ES) 2021/953 nuostatų.
9.6.1. Dabartinis tapatumo nustatymo procesas
Prie tinklų sietuvo besijungiančių šalių tapatumas šiuo metu nustatomas naudojant NBTLS sertifikatą. Šis tapatumo nustatymo procesas gali būti naudojamas prie tinklų sietuvo prisijungusios šalies tapatybei nustatyti. Tada pagal tą tapatybę gali būti taikomos prieigos kontrolės priemonės.
9.6.2. Prieigos kontrolė
Kad būtų galima teisėtai tvarkyti asmens duomenis, tinklų sietuve įdiegiamas prieigos kontrolės mechanizmas.
Konkrečiai, tinklų sietuve taikomas prieigos teisių sąrašas ir funkcijomis grindžiama saugumo sistema. Pagal šį mechanizmą tvarkomos dvi lentelės – vienoje aprašoma, kokius veiksmus su kokiais ištekliais gali atlikti kiekvienos konkrečios funkcijos vykdytojas, kitoje nurodoma, kokios funkcijos yra priskirtos konkretiems naudotojams.
Siekiant vykdyti šiame dokumente reikalaujamą kontrolę, reikalingos trys funkcijos:
|
|
RevocationListReader |
|
|
RevocationUploader |
|
|
RevocationDeleter |
Toliau nurodyti galiniai taškai patikrina, ar naudotojui yra priskirta funkcija RevocationListReader; jei taip, jam suteikiama prieiga, o jei ne, pateikiamas klaidos pranešimas HTTP 403 Forbidden:
GET/revocation-list/
GET/revocation-list/{batchId}
Toliau nurodyti galiniai taškai patikrina, ar naudotojui yra priskirta funkcija RevocationUploader; jei taip, jam suteikiama prieiga, o jei ne, pateikiamas klaidos pranešimas HTTP 403 Forbidden:
POST/revocation-list
Toliau nurodyti galiniai taškai patikrina, ar naudotojui yra priskirta funkcija RevocationDeleter; jei taip, jam suteikiama prieiga, o jei ne, pateikiamas klaidos pranešimas HTTP 403 Forbidden:
DELETE/revocation-list
POST/revocation-list/delete
Tinklų sietuve taip pat įdiegiamas patikimas metodas, kurį taikydami administratoriai galėtų valdyti naudotojams priskiriamas funkcijas taip, kad žmogiškųjų klaidų tikimybė būtų kuo mažesnė ir kad tai neapsunkintų funkcinių administratorių.“
(1) Žr. ir 9.5.1.2 skirsnį, kuriame pateikiami išsamūs API aprašymai.
(2) Nuoroda „nebenaudotina“ reiškia, kad naujose įgyvendinimo priemonėse šio elemento nebebus, tačiau esamose įgyvendinimo priemonėse jis dar bus palaikomas tam tikrą aiškiai nustatytą laikotarpį.
II PRIEDAS
Įgyvendinimo sprendimo (ES) 2021/1073 V priedo 3 skirsnis pakeičiamas taip:
„3. Bendros struktūros ir bendrieji reikalavimai
ES skaitmeninis COVID pažymėjimas neišduodamas, jei dėl trūkstamos informacijos ne visi duomenų laukeliai gali būti tinkamai užpildyti pagal šias specifikacijas. Tai nedaro poveikio valstybių narių pareigai išduoti ES skaitmeninius COVID pažymėjimus.
Informacija visuose laukeliuose gali būti pateikiama naudojant visą UTF-8 koduote užkoduotų UNICODE 13.0 ženklų rinkinį, išskyrus konkrečius atvejus, kuriais leidžiama naudoti tik tam tikrus reikšmių rinkinius arba mažesnius ženklų rinkinius.
Naudojama ši bendra struktūra:
„JSON“:{
„ver“:<version information>,
„nam“:{
<person name information>
},
„dob“:<date of birth>,
„v“ or „t“ or „r“:[
{<vaccination dose or test or recovery information, one entry>}
]
}
Išsamesnė informacija apie atskiras grupes ir laukelius pateikiama tolesniuose skirsniuose.
Jei taisyklėse nurodyta, kad laukelis praleidžiamas, tai reiškia, kad jo turinys turi būti tuščias ir jame negali būti nurodytas nei laukelio pavadinimas, nei jo reikšmė.
3.1. Versija
Pateikiama informacija apie versiją. Versijos nurodomos pagal semantinio versijų žymėjimo sistemą (semver: https://semver.org). Praktiškai naudojama viena iš oficialiai paskelbtų (naujausia arba viena iš senesnių oficialiai paskelbtų) versijų. Daugiau informacijos pateikiama skirsnyje apie JSON formato schemos šaltinį.
|
Laukelio identifikatorius |
Laukelio pavadinimas |
Nurodymai |
|
ver |
Schemos versija |
Atitinka ES SCP generuoti naudojamos schemos versijos identifikatorių. Pavyzdys: „ver“:„1.3.0“ |
3.2. Asmenvardis ir gimimo data
Asmenvardis – visas oficialus asmenvardis, sutampantis su nurodytuoju kelionės dokumentuose. Struktūros identifikatorius – nam. Pateikiamas tik 1 (vienas) asmenvardis.
|
Laukelio identifikatorius |
Laukelio pavadinimas |
Nurodymai |
|
nam/fn |
Pavardė (-ės) |
Pažymėjimo turėtojo pavardė (-ės) Jei pažymėjimo turėtojas neturi pavardės, bet turi vardą, šis laukelis praleidžiamas. Visais kitais atvejais privalomas 1 (vienas) netuščias laukelis, kuriame turi būti įrašytos visos pavardės. Jei pavardės kelios, jos atskiriamos tarpeliu. Tačiau jei pavardė mišri (su brūkšneliais ar panašiais ženklais), ji turi likti nepakeista. Pavyzdžiai: „fn“:„Musterfrau-Gößinger“ „fn“:„Musterfrau-Gößinger Müller“ |
|
nam/fnt |
Standartizuota pavardė (-ės) |
Pažymėjimo turėtojo pavardė (-ės), transliteruota (-os) laikantis tos pačios tvarkos (pvz., ICAO dok. 9303 3 dalyje nustatytų taisyklių), pagal kurią ji (jos) yra transliteruotos jo mašininio nuskaitymo kelionės dokumentuose. Jei pažymėjimo turėtojas neturi pavardės, bet turi vardą, šis laukelis praleidžiamas. Visais kitais atvejais privalomas 1 (vienas) netuščias laukelis, kuriame turi būti naudojami tik ženklai A–Z ir <. Leidžiama įrašyti ne daugiau kaip 80 ženklų (kaip nurodyta ICAO 9303). Pavyzdžiai: „fnt“:„MUSTERFRAU<GOESSINGER“ „fnt“:„MUSTERFRAU<GOESSINGER<MUELLER“ |
|
nam/gn |
Vardas (-ai) |
Pažymėjimo turėtojo vardas (-ai) Jei pažymėjimo turėtojas neturi vardo, bet turi pavardę, šis laukelis praleidžiamas. Visais kitais atvejais privalomas 1 (vienas) netuščias laukelis, kuriame turi būti įrašyti visi vardai. Jei vardų keli, jie atskiriami tarpeliu. Pavyzdys: „gn“:„Isolde Erika“ |
|
nam/gnt |
Standartizuotas vardas (-ai) |
Pažymėjimo turėtojo vardas (-ai), transliteruotas (-i) laikantis tos pačios tvarkos (pvz., ICAO dok. 9303 3 dalyje nustatytų taisyklių), pagal kurią jis (jie) yra transliteruoti jo mašininio nuskaitymo kelionės dokumentuose. Jei pažymėjimo turėtojas neturi vardo, bet turi pavardę, šis laukelis praleidžiamas. Visais kitais atvejais privalomas 1 (vienas) netuščias laukelis, kuriame turi būti naudojami tik ženklai A–Z ir <. Leidžiama įrašyti ne daugiau kaip 80 ženklų. Pavyzdys: „gnt“:„ISOLDE<ERIKA“ |
|
dob |
Gimimo data |
SCP turėtojo gimimo data Į laikotarpį nuo 1900–01–01 iki 2099–12–31 patenkanti visa data arba jos dalis nenurodant laiko. Jei žinoma visa gimimo data arba jos dalis, privalomas 1 (vienas) netuščias laukelis. Jei nežinoma net dalis gimimo datos, laukelio reikšmė prilyginama tuščiai eilutei (""). Ši informacija turėtų atitikti kelionės dokumentuose pateiktą informaciją. Jei gimimo data žinoma, naudojamas vienas iš toliau nurodytų ISO 8601 formatų. Kiti variantai negalimi. YYYY-MM-DD YYYY-MM YYYY (Tikrinimo programėlėje trūkstamos gimimo datos dalys gali būti rodomos naudojant pakaitalą XX, kaip kad daroma mašininio nuskaitymo kelionės dokumentuose, pvz., 1990-XX-XX). Pavyzdžiai: „dob“:„1979–04–14“ „dob“:„1901–08“ „dob“:„1939“ „dob“:„“ |
3.3. Konkrečios rūšies pažymėjimuose pateikiamos informacijos grupės
JSON formato schemoje numatytos trys konkrečios rūšies pažymėjimuose pateikiamą informaciją apimančios įrašų grupės. Kiekviename ES SCP turi būti naudojama tik 1 (viena) grupė. Ji negali būti tuščia.
|
Grupės identifikatorius |
Grupės pavadinimas |
Įrašai |
|
v |
Skiepijimo informacijos grupė |
Jei naudojama, joje turi būti tik 1 (vienas) įrašas apie 1 (vieną) skiepijimo dozę. |
|
t |
Tyrimo informacijos grupė |
Jei naudojama, joje turi būti tik 1 (vienas) įrašas apie 1 (vieno) tyrimo rezultatą. |
|
r |
Persirgimo informacijos grupė |
Jei naudojama, joje turi būti tik 1 (vienas) įrašas apie 1 (vieną) persirgimą.“ |
III PRIEDAS
„VI PRIEDAS
VALSTYBIŲ NARIŲ, KAIP BENDRŲ DUOMENŲ VALDYTOJŲ, KURIOS VALDO PER ES SKAITMENINIO COVID PAŽYMĖJIMO TINKLŲ SIETUVĄ PERDUODAMUS DUOMENIS SIEKDAMOS KEISTIS PANAIKINTŲ ES SCP SĄRAŠAIS, ATSAKOMYBĖ
1 SKIRSNIS
1 poskirsnis
Atsakomybės pasidalijimas
|
1) |
Bendri duomenų valdytojai per patikimumo užtikrinimo sistemos tinklų sietuvą perduodamus asmens duomenis tvarko vadovaudamiesi I priede nustatytomis techninėmis specifikacijomis. |
|
2) |
Pažymėjimus išduodančios valstybių narių institucijos išlieka vienintelės su pažymėjimų panaikinimu susijusių duomenų, kurie yra renkami, naudojami, atskleidžiami ir kitaip tvarkomi ne tinklų sietuve, be kita ko, vykdant procedūrą, po kurios pažymėjimas panaikinamas, valdytojos. |
|
3) |
Kiekvienas duomenų valdytojas atsako už asmens duomenų tvarkymą patikimumo užtikrinimo sistemos tinklų sietuve pagal Bendrojo duomenų apsaugos reglamento 5, 24 ir 26 straipsnius. |
|
4) |
Kiekvienas duomenų valdytojas sukuria funkcinę e. pašto dėžutę turintį kontaktinį punktą, per kurį palaikomi ryšiai tarp bendrų duomenų valdytojų ir tarp bendrų duomenų valdytojų ir duomenų tvarkytojo. |
|
5) |
Reglamento (ES) 2021/953 14 straipsnyje nurodyto komiteto įsteigta darbo grupė įgaliojama priimti sprendimus dėl visų klausimų, susijusių su keitimusi panaikintų pažymėjimų sąrašais ir su bendru šiuo tikslu tvarkomų asmens duomenų valdymu, ir palengvinti suderintų nurodymų teikimą duomenų tvarkytojo funkciją atliekančiai Komisijai. Bendrų duomenų valdytojų sprendimų priėmimo procesą valdo ta darbo grupė ir reglamentuoja jos priimtos darbo tvarkos taisyklės. Paprastai, jei kuris nors iš bendrų duomenų valdytojų nedalyvauja šios darbo grupės posėdyje, apie kurį buvo raštu pranešta ne vėliau kaip prieš septynias (7) dienas iki jo surengimo, laikoma, kad jis nebyliai sutinka su to darbo grupės posėdžio rezultatais. Šios darbo grupės posėdį gali sušaukti bet kuris bendras duomenų valdytojas. |
|
6) |
Nurodymus duomenų tvarkytojui gali siųsti bet kuris iš bendrų duomenų valdytojų kontaktinių punktų; dėl to, laikantis 5 punkte nurodyto darbo grupės sprendimų priėmimo proceso, turi būti susitarta su kitais bendrais duomenų valdytojais. Nurodymus duomenų tvarkytojui atitinkamas bendras duomenų valdytojas turėtų pateikti raštu ir apie tai informuoti visus kitus bendrus duomenų valdytojus. Jei tam tikrą klausimą būtina išspręsti gana skubiai ir dėl to neįmanoma surengti 5 punkte nurodytos darbo grupės posėdžio, nurodymą galima pateikti ir nesusitarus, tačiau darbo grupė gali jį atšaukti. Šis nurodymas turėtų būti pateiktas raštu ir jį pateikiant apie tai turėtų būti informuoti visi kiti bendri duomenų valdytojai. |
|
7) |
Pagal 5 punktą įsteigta darbo grupė netrukdo nė vienam bendram duomenų valdytojui naudotis individualiais savo įgaliojimais teikti kompetentingai savo priežiūros institucijai informaciją pagal Bendrojo duomenų apsaugos reglamento 33 ir 24 straipsnius. Tokiems pranešimams teikti kitų bendrų duomenų valdytojų sutikimas nereikalingas. |
|
8) |
Patikimumo užtikrinimo sistemos tinklų sietuve prieiga prie asmens duomenų, kuriais keičiamasi, suteikiama tik paskirtųjų nacionalinių institucijų arba oficialių įstaigų įgaliotiems asmenims. |
|
9) |
Kiekviena pažymėjimus išduodanti institucija tvarko duomenų tvarkymo veiklos, už kurią ji atsako, įrašus. Šiuose įrašuose gali būti nurodoma, kad duomenys valdomi bendrai. |
2 poskirsnis
Su duomenų subjektų prašymų nagrinėjimu ir duomenų subjektų informavimu susijusi atsakomybė ir funkcijos
|
1) |
Kiekvienas pažymėjimus išduodančios institucijos funkciją atliekantis duomenų valdytojas, vadovaudamasis Bendrojo duomenų apsaugos reglamento 14 straipsniu, pateikia fiziniams asmenims, kurių pažymėjimus jis panaikino (toliau – duomenų subjektai), informaciją apie tą panaikinimą ir apie jų asmens duomenų tvarkymą ES skaitmeninio COVID pažymėjimo tinklų sietuve siekiant palengvinti keitimąsi panaikintų pažymėjimų sąrašais, išskyrus atvejus, kai to padaryti neįmanoma arba kai tam reikėtų neproporcingų pastangų. |
|
2) |
Kiekvienas duomenų valdytojas atlieka kontaktinio punkto, į kurį gali kreiptis fiziniai asmenys, kurių pažymėjimus jis panaikino, funkciją ir nagrinėja duomenų subjektų arba jų atstovų prašymus, pateiktus naudojantis savo teisėmis pagal Bendrąjį duomenų apsaugos reglamentą. Jei bendras duomenų valdytojas iš duomenų subjekto gauna prašymą, kuris yra susijęs su kito bendro duomenų valdytojo išduotu pažymėjimu, jis tam duomenų subjektui nurodo atsakingą bendrą duomenų valdytoją ir pateikia jo kontaktinius duomenis. Gavę kito bendro duomenų valdytojo prašymą, bendri duomenų valdytojai padeda vieni kitiems nagrinėti duomenų subjektų prašymus ir atsako vieni kitiems nepagrįstai nedelsdami ir ne vėliau kaip per 1 mėnesį nuo pagalbos prašymo gavimo dienos. Jei prašymas yra susijęs su trečiosios valstybės pateiktais duomenimis, jį gavęs duomenų valdytojas jį išnagrinėja ir tam duomenų subjektui nurodo pažymėjimą išdavusią trečiosios valstybės instituciją bei pateikia jos kontaktinius duomenis. |
|
3) |
Kiekvienas duomenų valdytojas pateikia duomenų subjektams šio priedo turinį, be kita ko, informuoja apie 1 ir 2 punktuose nustatytą tvarką. |
2 SKIRSNIS
Saugumo incidentų, įskaitant asmens duomenų saugumo pažeidimus, valdymas
|
1) |
Bendri duomenų valdytojai padeda vieni kitiems nustatyti ir nagrinėti su duomenų tvarkymu ES skaitmeninio COVID pažymėjimo tinklų sietuve susijusius saugumo incidentus, įskaitant asmens duomenų saugumo pažeidimus. |
|
2) |
Visų pirma bendri duomenų valdytojai vieni kitiems praneša apie:
|
|
3) |
Apie visus asmens duomenų saugumo pažeidimus, susijusius su duomenų tvarkymo operacija patikimumo užtikrinimo sistemos tinklų sietuve, bendri duomenų valdytojai, vadovaudamiesi Bendrojo duomenų apsaugos reglamento 33 ir 34 straipsniais arba iš Komisijos gautu pranešimu, praneša Komisijai, kompetentingoms priežiūros institucijoms ir, kai būtina, duomenų subjektams. |
|
4) |
Kiekviena pažymėjimus išduodanti institucija įdiegia tinkamas technines ir organizacines priemones, kurių paskirtis:
|
3 SKIRSNIS
Poveikio duomenų apsaugai vertinimas
|
1) |
Jei tam, kad duomenų valdytojas galėtų vykdyti Reglamento (ES) 2016/679 35 ir 36 straipsniuose nurodytas pareigas, jam reikia informacijos iš kito duomenų valdytojo, jis nusiunčia specialų prašymą į 1 skirsnio 1 poskirsnio 4 punkte nurodytą funkcinę e. pašto dėžutę. Duomenų valdytojas, kuriam skirtas prašymas, deda visas pastangas pateikti tokią informaciją. |
IV PRIEDAS
„VII PRIEDAS
KOMISIJOS, KAIP DUOMENŲ TVARKYTOJOS, KURI TVARKO PER ES SKAITMENINIO COVID PAŽYMĖJIMO TINKLŲ SIETUVĄ PERDUODAMUS DUOMENIS SIEKDAMA PADĖTI KEISTIS PANAIKINTŲ ES SCP SĄRAŠAIS, ATSAKOMYBĖ
Komisija:
|
1) |
valstybių narių vardu sukuria saugią ir patikimą ryšių infrastruktūrą, padedančią keistis į Skaitmeninio COVID pažymėjimo tinklų sietuvą įkeltais panaikintų pažymėjimų sąrašais, ir užtikrina jos veikimą; |
|
2) |
kad įvykdytų duomenų, perduodamų per patikimumo užtikrinimo sistemos tinklų sietuvą, tvarkytojos pareigas, Komisija gali kaip pagalbines duomenų tvarkytojas pasitelkti trečiąsias šalis. Komisija informuoja bendrus duomenų valdytojus apie bet kokius numatomus pokyčius, susijusius su naujų pagalbinių duomenų tvarkytojų įtraukimu arba esamų pagalbinių duomenų tvarkytojų pakeitimu, taip suteikdama duomenų valdytojams galimybę pateikti bendrą prieštaravimą tokiems pokyčiams. Komisija užtikrina, kad šiems pagalbiniams duomenų tvarkytojams būtų taikomi tokie pat kaip šiame sprendime nustatyti duomenų apsaugos įpareigojimai; |
|
3) |
asmens duomenis tvarko tik pagal duomenų valdytojų dokumentais įformintus nurodymus, išskyrus atvejus, kai ji juos tvarkyti privalo pagal Sąjungos arba valstybės narės teisę; tokiu atveju Komisija, prieš pradėdama tvarkyti duomenis, apie tokį teisinį reikalavimą praneša bendriems duomenų valdytojams, išskyrus atvejus, kai pagal atitinkamą teisę pateikti tokią informaciją draudžiama dėl svarbių viešojo intereso priežasčių; tvarkydama duomenis atlieka šiuos veiksmus:
|
|
4) |
imasi visų pažangiausių organizacinio, fizinio ir loginio saugumo priemonių ES skaitmeninio COVID pažymėjimo tinklų sietuvui prižiūrėti. Šiuo tikslu Komisija:
|
|
5) |
imasi visų būtinų saugumo priemonių, padedančių užtikrinti, kad nebūtų sutrikdytas sklandus nacionalinių galinių serverių veikimas. Šiuo tikslu Komisija nustato specialias procedūras, susijusias su galinių serverių jungimusi prie ES skaitmeninio COVID pažymėjimo tinklų sietuvo. Jos apima:
|
|
6) |
imasi pažangiausių fizinio ir (arba) loginio saugumo priemonių, skirtų patalpoms, kuriose yra ES skaitmeninio COVID pažymėjimo tinklų sietuvo įranga, apsaugoti ir loginiams duomenims bei saugiai prieigai kontroliuoti. Šiuo tikslu Komisija:
|
|
7) |
imasi domeno apsaugos veiksmų, įskaitant ryšių nutraukimą, jeigu nustatomas esminis nukrypimas nuo kokybės arba saugumo principų ir koncepcijų; |
|
8) |
taiko su jos atsakomybės sritimi susijusį rizikos valdymo planą; |
|
9) |
realiuoju laiku stebi visų jos teikiamų patikimumo užtikrinimo sistemos tinklų sietuvo paslaugų komponentų veikimą, reguliariai rengia statistiką ir tvarko įrašus; |
|
10) |
kasdien visą parą anglų kalba teikia su visomis patikimumo užtikrinimo sistemos tinklų sietuvo paslaugomis susijusią pagalbą telefonu, e. paštu arba per interneto portalą ir priima leidimą skambinti turinčių asmenų – ES skaitmeninio COVID pažymėjimo tinklų sietuvo koordinatorių ir atitinkamų jų pagalbos tarnybų, projektų pareigūnų ir Komisijos paskirtų asmenų – skambučius; |
|
11) |
tinkamomis techninėmis ir organizacinėmis priemonėmis, kiek tai įmanoma pagal Reglamento (ES) 2018/1725 12 straipsnį, padeda bendriems duomenų valdytojams vykdyti pareigą atsakyti į prašymus, kuriais siekiama pasinaudoti Bendrojo duomenų apsaugos reglamento III skyriuje nustatytomis duomenų subjektų teisėmis; |
|
12) |
teikdama informaciją apie ES skaitmeninio COVID pažymėjimo tinklų sietuvą, padeda bendriems duomenų valdytojams vykdyti Bendrojo duomenų apsaugos reglamento 32, 33, 34, 35 ir 36 straipsniuose nustatytas pareigas; |
|
13) |
užtikrina, kad ES skaitmeninio COVID pažymėjimo tinklų sietuve tvarkomi duomenys būtų nesuprantami asmenims, neturintiems prieigos prie jų leidimo; |
|
14) |
imasi visų tinkamų priemonių, kad užkirstų kelią ES skaitmeninio COVID pažymėjimo tinklų sietuvo operatorių neteisėtai prieigai prie perduodamų duomenų; |
|
15) |
imasi priemonių, kad palengvintų paskirtų ES skaitmeninio COVID pažymėjimo tinklų sietuvo duomenų valdytojų tarpusavio sąveiką ir komunikaciją; |
|
16) |
pagal Reglamento (ES) 2018/1725 31 straipsnio 2 dalį tvarko bendrų duomenų valdytojų vardu vykdomos duomenų tvarkymo veiklos įrašus. |