oficialusis leidinys
Europos Sąjungos
LT
Seriju L
|
|
oficialusis leidinys |
LT Seriju L |
|
2023/2117 |
2023 10 13 |
KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2023/2117
2023 m. spalio 12 d.
kuriuo pagal Europos Parlamento ir Tarybos reglamentą (ES) 2018/1139 nustatomos informacijos saugyklos veikimo ir valdymo būtinos taisyklės ir išsamūs reikalavimai
(Tekstas svarbus EEE)
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2018 m. liepos 4 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1139 dėl bendrųjų civilinės aviacijos taisyklių, ir kuriuo įsteigiama Europos Sąjungos aviacijos saugos agentūra, iš dalies keičiami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 2111/2005, (EB) Nr. 1008/2008, (ES) Nr. 996/2010, (ES) Nr. 376/2014 ir direktyvos 2014/30/ES ir 2014/53/ES bei panaikinami Europos Parlamento ir Tarybos reglamentai (EB) Nr. 552/2004 ir (EB) Nr. 216/2008 bei Tarybos reglamentas (EEB) Nr. 3922/91 (1), ypač į jo 74 straipsnio 8 dalį,
kadangi:
|
(1) |
pagal Reglamento (ES) 2018/1139 74 straipsnį, su civiline aviacija susijusi informacija turi būti saugoma Europos Sąjungos aviacijos saugos agentūros (toliau – Agentūra) sukurtoje ir tvarkomoje elektroninėje informacijos saugykloje, kuri yra būtina siekiant užtikrinti veiksmingą Agentūros ir nacionalinių kompetentingų institucijų bendradarbiavimą vykdant savo užduotis, susijusias su sertifikavimu, priežiūra ir vykdymo užtikrinimu pagal tą reglamentą; |
|
(2) |
svarbu, kad Komisija ir nacionalinės kompetentingos institucijos dalyvautų Agentūros vykdomoje saugyklos kūrimo ir valdymo veikloje, todėl šiame reglamente turėtų būti nustatytas tinkamas konsultavimosi mechanizmas siekiant užtikrinti, kad prieš priimdama sprendimus dėl saugyklos Agentūra konsultuotųsi su valstybėmis narėmis ir Komisija; |
|
(3) |
siekiant užtikrinti, kad saugykla būtų naudojama veiksmingai, jos struktūrą turėtų sudaryti centrinė duomenų bazė, ryšių infrastruktūra ir sąsaja, būtina tam, kad būtų galima pateikti saugykloje saugomą informaciją, atlikti jos užklausą ir gauti prie jos prieigą. Siekiant palengvinti saugyklą naudojančių subjektų bendradarbiavimą, turėtų būti numatyta viena sąsaja tiesioginėms naudotojų užklausoms saugyklai ir viena sąsaja nacionalinėms kompetentingoms institucijoms; |
|
(4) |
saugykla turėtų palengvinti kompetentingų institucijų integravimą į saugyklą ir keitimąsi pranešimais su ja, naudojant tinkamas funkcines specifikacijas, apimančias sąsają, saugumą, tinklą ir programų konfigūracijos informaciją; |
|
(5) |
siekiant išvengti techninių gedimų ir užtikrinti saugyklos veikimo tęstinumą ir jos duomenų tvarkymą, Agentūra turėtų užtikrinti tinkamas saugyklos veikimo sąlygas; |
|
(6) |
informacija į saugyklą turėtų būti perduodama ir ta informacija, pasitelkiant saugyklą, turėtų būti keičiamasi naudojant Agentūros pasiūlytus bendrai sutartus informacijos formatus, kad pranešimais besikeičiantys subjektai informaciją suprastų vienodai; |
|
(7) |
reguliarus saugykloje saugomos informacijos atnaujinimas turėtų padėti veiksmingiau keistis informacija. Šiuo tikslu Agentūra ir nacionalinės kompetentingos institucijos turėtų parengti duomenų saugykloje saugomos informacijos reguliaraus atnaujinimo metodiką; |
|
(8) |
šiame reglamente taip pat turėtų būti nustatyti informacijos įslaptinimo reikalavimai, kad saugykloje saugoma informacija būtų tvarkoma atsižvelgiant į privatumo, konfidencialumo, vientisumo ir prieinamumo parametrus. Informacijos slaptumo žyma turėtų būti pakartotinai įvertinama kiekvieną kartą, kai atsiranda duomenų naudojimo pokyčių, siekiant užtikrinti, kad slaptumo žyma būtų nuolat aktuali; |
|
(9) |
svarbu nustatyti suinteresuotąsias šalis, kurios gali gauti saugykloje saugomą informaciją, ir nustatyti išsamias jų prieigos prašymų tvarkymo taisykles. Šiuo tikslu šiame reglamente turėtų būti nustatytos būtinos sąlygos, kuriomis informacija turi būti perduodama suinteresuotosioms šalims. Taip pat reikėtų užtikrinti, kad suinteresuotųjų šalių gaunama informacija būtų tvarkoma konfidencialiai; |
|
(10) |
saugykloje saugomos informacijos atsekamumo sistema turėtų padėti užtikrinti apsaugą nuo neteisėtos prieigos prie jos ir sudaryti sąlygas stebėti informacijos, įskaitant asmens duomenis, tvarkymo operacijas siekiant užtikrinti duomenų vientisumą ir informacijos saugumą; |
|
(11) |
įgaliotųjų naudotojų darbuotojams, kuriems reikia gauti prieigą prie saugyklos, jų organizacijos leidimus turėtų suteikti pagal dokumentais įformintas procedūras. Aviacijos medicinos centrų darbuotojams leidimus turėtų suteikti jų atitinkamos nacionalinės kompetentingos institucijos; |
|
(12) |
atitinkamos infrastruktūros ir duomenų apsaugos reikalavimai turėtų būti parengti vadovaujantis saugumo valdymo politika. Visų pirma turėtų būti parengtos saugumo valdymo, veiklos tęstinumo ir veiklos atkūrimo po ekstremaliųjų įvykių planų priemonės. Įgaliotieji naudotojai turėtų užtikrinti, kad būtų įdiegtos būtinos saugumo priemonės ir turėtų tuo tikslu bendradarbiauti; |
|
(13) |
asmens duomenys turėtų būti tvarkomi tik siekiant užtikrinti veiksmingą Agentūros ir nacionalinių kompetentingų institucijų bendradarbiavimą vykdant savo užduotis, susijusias su sertifikavimu, priežiūra ir vykdymo užtikrinimu. Šiame reglamente turėtų būti nustatyta išsami saugykloje saugomų asmens duomenų, kuriais keičiamasi naudojant saugyklą, apsaugos tvarka. Toks duomenų tvarkymas turi atitikti Europos Parlamento ir Tarybos reglamentus (ES) 2016/679 (2) ir (ES) 2018/1725 (3), o šiame reglamente turi būti patikslintos atitinkamų subjektų, paskirtų užtikrinti, kad būtų garantuota duomenų apsauga, pareigos; |
|
(14) |
būtina nustatyti ir paskirstyti atitinkamas subjektų, tvarkančių asmens duomenis saugykloje, pareigas, įskaitant asmens duomenų įrašymą į saugyklą ir nuskaitymą iš jos. Reglamente (ES) 2018/1139 nustatyta, kad Agentūra, bendradarbiaudama su Komisija ir nacionalinėmis kompetentingomis institucijomis, sukuria ir tvarko informacijos saugyklą, kad užtikrintų veiksmingą Agentūros ir nacionalinių kompetentingų institucijų bendradarbiavimą. Visų pirma jos bendradarbiauja, kad užtikrintų saugyklos saugumo valdymą. Todėl jos turėtų būti laikomos bendrais duomenų valdytojais, kai tvarko asmens duomenis saugyklos valdymo tikslais. Taigi būtina apibrėžti bendrų duomenų valdytojų atsakomybę ir konkrečias jų pareigas duomenų subjektų atžvilgiu; |
|
(15) |
kiekviena nacionalinė kompetentinga institucija, Agentūra ir Komisija turėtų būti laikomos vienintelėmis duomenų valdytojomis, kai jos tvarko duomenis savo sistemose kaip įgaliotieji naudotojai. Duomenų tvarkymo operacijos turėtų būti atliekamos laikantis reglamentų (ES) 2016/679 ir (ES) 2018/1725. Kadangi duomenis, kuriais keičiamasi saugykloje, teikia kiekvienas duomenų valdytojas, jis turėtų pranešti Agentūrai apie bet kokį asmens duomenų saugumo pažeidimą savo sistemoje, dėl kurio galėtų kilti pavojus saugykloje tvarkomų asmens duomenų saugumui, konfidencialumui, prieinamumui ar vientisumui; |
|
(16) |
turėtų būti nustatyta abipusė pareiga pranešti apie saugumo pažeidimus, įskaitant asmens duomenų saugumo pažeidimus, kad bendri duomenų valdytojai galėtų kuo greičiau nustatyti saugumo incidentus ir duomenų saugumo pažeidimus. Atitinkamai kiekvienas duomenų valdytojas turėtų užtikrinti, kad būtų pranešama apie šiuos pažeidimus; |
|
(17) |
prireikus duomenų subjekto naudojimasis teisėmis gali būti apribotas laikantis tam tikrų nustatytų sąlygų. Šie apribojimai turėtų būti proporcingi ir jų taikymo sritis bei laikas turėtų būti riboti. Duomenų subjektui turėtų būti leidžiama naudotis jo teisėmis į veiksmingą gynybą ir teisminėmis teisių gynimo priemonėmis; |
|
(18) |
siekiant užtikrinti aviacijos saugą, kompetentingai institucijai gali prireikti prieigos prie ankstesnių įrašų, įskaitant tuos, kuriuose yra asmens duomenų. Visų pirma, gali reikėti prieigos prie medicininių duomenų, pagrindžiančių ankstesnius nedarbingumo laikotarpius arba apribojimus. Todėl, nedarant poveikio nacionalinėje teisėje nustatytiems trumpesniems laikotarpiams, ilgiausias 10 metų saugojimo laikotarpis, prasidedantis nuo dokumento (pvz., sveikatos pažymėjimų, medicininių ataskaitų, licencijų), įskaitant visus dokumentus, būtinus Reglamente (ES) 2018/1139 nurodytoms procedūroms atlikti, galiojimo pabaigos dienos, turėtų padėti užtikrinti, kad tokie duomenys vis dar būtų prieinami įgaliotiesiems naudotojams; |
|
(19) |
saugykloje saugomi asmens duomenys yra esminė informacija, kuri turėtų būti saugoma archyvavimo reikmėms, siekiant užtikrinti aviacijos saugą ir istorinių tyrimų tikslais. Pasibaigus saugojimo laikotarpiui arba trumpesniam laikotarpiui, kuris gali būti numatytas nacionalinėje teisėje, asmens duomenys turėtų būti nedelsiant pašalinami iš saugyklos. Siekiant archyvuoti asmens duomenis su aviacijos sauga susijusio viešojo intereso labui ir istorinių tyrimų tikslais, tie duomenys gali būti saugomi ne saugykloje; |
|
(20) |
siekiant užtikrinti, kad šis reglamentas būtų taikomas tinkamai, prieš pradedant jį taikyti valstybėms narėms ir susijusiems suinteresuotiesiems subjektams turėtų būti duota pakankamai laiko, kad jie galėtų pritaikyti savo procedūras prie naujosios reglamentavimo sistemos. Todėl tam tikri I priedo reikalavimai turėtų būti taikomi vėliau, atsižvelgiant į jų informacinių objektų kategoriją ir išdavimo datą; |
|
(21) |
Agentūra pagal Reglamentą (ES) 2018/1139 parengė įgyvendinimo akto dėl informacijos saugyklos veikimo ir valdymo projektą ir pagal Reglamento (ES) 2018/1139 75 straipsnio 2 dalies b punktą ir 76 straipsnio 1 dalį pateikė jį Komisijai kartu su Nuomone Nr. 04/2022 (4); |
|
(22) |
vadovaujantis Reglamento (ES) 2018/1725 42 straipsnio 1 dalimi buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė nuomonę 2023 m. kovo 29 d.; |
|
(23) |
šiame įgyvendinimo reglamente nustatytos priemonės atitinka Bendrųjų saugos taisyklių taikymo civilinės aviacijos srityje komiteto nuomonę, |
PRIĖMĖ ŠĮ REGLAMENTĄ:
I SKYRIUS
BENDROSIOS NUOSTATOS
1 straipsnis
Dalykas
Šiuo reglamentu nustatomos informacijos saugyklos veikimo ir valdymo taisyklės ir procedūros, būtinos veiksmingam Agentūros ir nacionalinių kompetentingų institucijų bendradarbiavimui vykdant savo užduotis, susijusias su sertifikavimu, priežiūra ir vykdymo užtikrinimu pagal Reglamentą (ES) 2018/1139, užtikrinti.
2 straipsnis
Terminų apibrėžtys
1. Šiame reglamente vartojamų terminų apibrėžtys pateiktos reglamentuose (ES) 2018/1139, (ES) 2016/679, (ES) 2018/1725 ir Komisijos įgyvendinimo reglamentuose (ES) 2019/947 (5) ir (ES) 2021/664 (6).
2. Kitų vartojamų terminų apibrėžtys:
|
a) |
įgaliotieji naudotojai – Komisija, Agentūra, nacionalinės kompetentingos institucijos ir bet kuri valstybės narės kompetentinga institucija, kuriai pavesta tirti civilinės aviacijos avarijas ir incidentus, kaip nustatyta Reglamento (ES) 2018/1139 74 straipsnio 6 dalies pirmame sakinyje; |
|
b) |
sąsaja – nepriklausomų ir dažnai nesusijusių sistemų jungimosi, sąveikos ar komunikacijos taškas; |
|
c) |
įgaliotieji darbuotojai – įgaliotųjų naudotojų darbuotojai, gavę prieigą prie saugyklos; |
|
d) |
informacinio objekto kategorija – informacijos, kuriai taikoma Reglamento (ES) 2018/1139 74 straipsnio 1 dalis ir kuria turi keistis ir naudotis įgaliotieji naudotojai, rūšis; |
|
e) |
informacinis objektas – informacijos, kuria keičiamasi individualiai, dalis, kuri visada turi atitikti informacinio objekto kategoriją ir būti suderinama su atitinkamu informacijos formatu; |
|
f) |
informacijos formatas – iš anksto nustatyta informacinių objektų kategorijos struktūra, kurią sudaro laukų schema, atitinkanti išsamius kiekvienos informacinių objektų kategorijos turinio tipus, ir žodynai, sudaryti iš ribotų leidžiamųjų verčių, susijusių su kiekvienu lauku, rinkinių; |
|
g) |
suinteresuotoji šalis – Europos Sąjungos institucijų, agentūrų ir įstaigų valdžios institucijos ir valstybių narių valdžios institucijos, fiziniai ir juridiniai asmenys, kurie yra šio reglamento I priede apibrėžto informacinio objekto dalykas, ir kompetentingi subjektai, akredituoti pagal Reglamento (ES) 2018/1139 69 straipsnį. |
II SKYRIUS
SAUGYKLOS SUKŪRIMAS, VALDYMAS IR PRIEŽIŪRA
3 straipsnis
Saugyklos sukūrimas
1. Saugyklą sudaro saugojimo, mainų ir naudotojo prieigos sąsajos.
2. 1 dalyje nurodytą saugojimo sąsają sudaro:
|
a) |
centrinė duomenų bazė, kurioje saugoma Reglamento (ES) 2018/1139 74 straipsnio 1 dalyje nurodyta informacija, apimanti esamą ir naują informaciją, ir |
|
b) |
informacijos pokyčių istorija ir jos dabartinė (archyvuota) būsena. |
3. 1 dalyje nurodytą mainų sąsają sudaro:
|
a) |
ryšių infrastruktūra, kurioje įdiegtos programų sąsajos (API), naudojamos informacijai tarp įgaliotųjų naudotojų sistemų ir saugyklos skelbti, keisti, teikti užklausas/skaityti ir archyvuoti, ir |
|
b) |
informacijos kokybės tikrinimo taisyklės, kuriomis užtikrinamas saugomos informacijos nuoseklumas, vientisumas ir tikslumas. |
4. 1 dalyje nurodyta naudotojo prieigos sąsaja užtikrina galimybę internetu saugiai teikti saugomos informacijos užklausas ir skaityti tą informaciją. Naudotojo prieigos sąsaja turi būti prieinama tik įgaliotiesiems darbuotojams.
5. Agentūra parengia reikiamus dokumentus, kuriais pagrindžiamas įgaliotųjų naudotojų integravimas į saugyklą. Tuos dokumentus sudaro:
|
a) |
API standartai ir mainų mechanizmai; |
|
b) |
saugumo, tinklo ir programų konfigūracijos informacija, reikalinga komunikacijai su saugykla užtikrinti; |
|
c) |
taisyklės, kuriomis nustatoma tinkama informacijos, kuria keičiamasi su saugykla, struktūra ir turinys. |
6. Agentūra taip pat sukuria bandymų aplinką, kurioje įgaliotieji naudotojai gali išbandyti savo sistemų ir saugyklos mainų sąsajos funkcionalumą ir veikimą.
4 straipsnis
Saugyklos valdymas
1. Agentūra yra atsakinga už saugyklos operacijų valdymą ir saugiai saugo informaciją saugykloje.
2. Įgaliotieji naudotojai perduoda informaciją į saugyklą ir, pasitelkdami saugyklą, ta informacija keičiasi naudodamiesi sąsajomis, taip pat užtikrina saugų internetinį ryšį tarp savo sistemos (-ų) ir saugyklos.
3. Prieš priimdama bet kokį sprendimą dėl saugyklos operacijų valdymo arba padarydama jį viešai prieinamą, Agentūra konsultuojasi su Komisija ir nacionalinėmis kompetentingomis institucijomis.
4. Nacionalinių aviacijos medicinos gydytojų ir aviacijos medicinos centrų įgaliotieji darbuotojai perduoda informaciją į saugyklą ir keičiasi saugykloje esančia informacija per savo nacionalines kompetentingas institucijas pagal šio reglamento 10 straipsnio 4 dalį.
5 straipsnis
Saugyklos priežiūra
1. Agentūra prižiūri saugyklą ir užtikrina, kad ji tinkamai veiktų, t. y. būtų laikomasi privatumo, konfidencialumo, vientisumo ir prieinamumo principų.
2. Agentūra sistemingai atlieka atsarginį saugyklos ir joje laikomų duomenų kopijavimą.
III SKYRIUS
SAUGYKLOJE SAUGOMAI INFORMACIJAI TAIKOMOS TAISYKLĖS
6 straipsnis
Informacijos formatai ir standartai
1. Įgaliotieji naudotojai perduoda informaciją į saugyklą, reguliariai ją atnaujina ir, pasitelkdami saugyklą, ja keičiasi naudodamiesi Agentūros pasiūlytais bendrai sutartais informacijos formatais.
2. Informacijos formatai standartizuojami pagal informacijos kategorijas. Įgaliotieji naudotojai informacinius objektus į saugyklą perduoda tik tai informacijos kategorijai naudojamu informacijos formatu.
3. Informacinių objektų kategorijų sąrašas pateiktas I priede.
7 straipsnis
Informacijos įslaptinimas
1. Agentūra, bendradarbiaudama su Komisija ir nacionalinėmis kompetentingomis institucijomis, skirsto informacinių objektų kategorijas pagal šias žymas:
|
a) |
privatumas: ne asmens duomenys, nekonfidencialūs ar neskelbtini asmens duomenys; |
|
b) |
konfidencialumas: jokio poveikio, ribotas poveikis, reikšmingas poveikis, katastrofinis poveikis; |
|
c) |
vientisumas: jokio poveikio, ribotas poveikis, reikšmingas poveikis, katastrofinis poveikis; |
|
d) |
prieinamumas: jokio poveikio, ribotas poveikis, reikšmingas poveikis, katastrofinis poveikis. |
2. 1 dalyje nurodytų žymų išsamios apibrėžtys pateiktos II priede.
3. Agentūra, bendradarbiaudama su Komisija ir nacionalinėmis kompetentingomis institucijomis, visais atvejais, kai mano esant reikalinga, iš naujo įvertina informacijos slaptumo žymą, siekdama užtikrinti, kad ji tebebūtų tinkama atsižvelgiant į informacijos naudojimo pokyčius.
8 straipsnis
Informacijos platinimo tvarka
1. Suinteresuotosios šalies prašymu Agentūra gali tokiai suinteresuotajai šaliai pateikti saugykloje laikomą informaciją, laikydamasi šiame straipsnyje nustatytų specialių naudojimo sąlygų.
2. Prašymas platinti saugykloje laikomą informaciją pateikiamas Agentūros nustatyta forma ir būdu.
3. Gavusi prašymą, Agentūra patikrina, ar:
|
a) |
jį pateikė suinteresuotoji šalis, ir |
|
b) |
suinteresuotoji šalis įrodo, kad prašoma informacija yra tikrai būtina pačios suinteresuotosios šalies veiklos reikmėms. |
4. Agentūra įvertina, ar prašymas yra pagrįstas, ir, jei tenkinamos 5 dalyje nustatytos sąlygos, pateikia suinteresuotajai šaliai prašomą informaciją.
5. Agentūra prašomą informaciją suinteresuotajai šaliai pateikia tik šiomis sąlygomis:
|
a) |
suinteresuotoji šalis negauna prieigos prie viso saugyklos turinio; |
|
b) |
informacija yra tikrai būtina pačios suinteresuotosios šalies veiklos reikmėms; |
|
c) |
asmens duomenys neplatinami, išskyrus atvejus, kai tokie duomenys susiję su pačia suinteresuotąja šalimi arba jei toks platinimas tikrai būtinas suinteresuotosios šalies veiklai vykdyti. |
6. Agentūra įgaliotiesiems naudotojams pateikia atnaujintą gautų prašymų ir veiksmų, kurių ėmėsi Agentūra, sąrašą.
7. Suinteresuotoji šalis:
|
a) |
naudoja informaciją tik prašymo formoje nurodytu tikslu; |
|
b) |
neatskleidžia gautos informacijos be įgaliotųjų naudotojų leidimo; |
|
c) |
imasi būtinų priemonių gautos informacijos konfidencialumui užtikrinti. |
9 straipsnis
Duomenų tvarkymo operacijų registravimas
1. Agentūra užtikrina, kad visos duomenų tvarkymo operacijos būtų registruojamos. Registracijos žurnaluose pateikiama tokia informacija:
|
a) |
prašymo suteikti prieigą prie saugyklos tikslas; |
|
b) |
duomenis gaunančio įgaliotojo naudotojo tapatybė; |
|
c) |
duomenų tvarkymo operacijų data ir tikslus laikas; |
|
d) |
paiešką atliekančių įgaliotųjų darbuotojų tapatybė; |
2. Agentūra naudoja duomenų tvarkymo operacijų registracijos žurnalus tik prieigos prie informacijos teisėtumui stebėti ir duomenų vientisumui bei saugumui užtikrinti. Registracijos žurnaluose pateikiami duomenys, kurie yra griežtai būtini tuo tikslu, laikantis duomenų kiekio mažinimo principo, nustatyto Reglamento (ES) 2016/679 89 straipsnyje ir Reglamento (ES) 2018/1725 13 straipsnyje. Registracijos žurnalai pašalinami stebėsenos procedūrai pasibaigus arba ne vėliau kaip po vienų metų.
3. Gavus prašymą, Komisijai ir nacionalinėms kompetentingoms institucijoms suteikiama prieiga prie registracijos žurnalų, siekiant įvertinti prieigos prie informacijos teisėtumą, stebėti duomenų tvarkymo operacijų teisėtumą ir užtikrinti duomenų vientisumą ir saugumą.
10 straipsnis
Prieiga prie saugyklos
1. Įgaliotieji naudotojai užtikrina, kad prieigą prie saugyklos turėtų tik įgaliotieji darbuotojai.
2. Įgaliotieji naudotojai užtikrina, kad jų darbuotojai gautų prieigą prie informacijos remiantis informacinių objektų kategorijos privatumo ir konfidencialumo žymomis pagal 7 straipsnį.
3. Įgaliotieji naudotojai parengia ir reguliariai atnaujina:
|
a) |
įgaliotųjų darbuotojų sąrašą; |
|
b) |
prieigos prie saugyklos procedūras; tokios procedūros turi atitikti Sąjungos ir nacionalinėje teisėje nustatytus informacijos prieigos ir tvarkymo teisinius reikalavimus. Jie dokumentuoja įgaliotųjų darbuotojų prieigos prie saugyklos sąlygas. |
4. Nacionaliniai aviacijos medicinos gydytojai ir aviacijos medicinos centrai užtikrina, kad prieigą prie saugyklos turėtų tik jų nacionalinės kompetentingos institucijos įgalioti darbuotojai.
11 straipsnis
Saugyklos valdymas
1. Agentūra saugo saugyklos infrastruktūrą ir jos informaciją ir parengia:
|
a) |
saugumo valdymo planą, |
|
b) |
veiklos tęstinumo planą, |
|
c) |
veiklos atkūrimo po ekstremaliųjų įvykių planą. |
2. Agentūra užtikrina neteisėto informacijos tvarkymo ir neteisėto informacijos skaitymo, kopijavimo, keitimo, šalinimo ar panaikinimo, kai ji saugoma saugykloje arba perduodama iš saugyklos ar saugyklai, prevenciją, visų pirma naudodama tinkamas šifravimo priemones.
3. Agentūra užtikrina, kad asmenys, kuriems leidžiama turėti prieigą prie saugyklos, galėtų prieiti tik prie tos informacijos, kuriai taikomas jų prieigos leidimas, nurodant naudotojo asmens tapatybę ir taikant tik konfidencialios prieigos formas.
4. Įgaliotieji naudotojai valdo savo informacijos saugumą iki perdavimo saugyklai ir tokio perdavimo metu, taip pat saugo savo infrastruktūrą, užtikrindami, kad:
|
a) |
būtų sukurtos jų sistemas ir saugyklą jungiančios sąsajos; |
|
b) |
sąsajos veiktų ir būtų prižiūrimos; |
|
c) |
įgaliotieji darbuotojai, prieš suteikiant jiems leidimą tvarkyti saugykloje saugomą informaciją, baigtų tinkamą informacijos saugumo, taikytinų duomenų apsaugos teisės aktų ir pagrindinių teisių mokymą. |
5. Įgaliotieji naudotojai bendradarbiauja siekdami užtikrinti saugyklos saugumo valdymą.
IV SKYRIUS
ASMENS DUOMENŲ APSAUGA
12 straipsnis
Saugykloje saugomų asmens duomenų tvarkymas
1. Saugykloje saugomi asmens duomenys tvarkomi tik siekiant užtikrinti įgaliotųjų naudotojų bendradarbiavimą, būtiną jų užduotims, susijusioms su sertifikavimu, priežiūra ir vykdymo užtikrinimu, vykdyti. Duomenys tvarkomi tik tiek, kiek tai būtina jų užduotims atlikti, ir tik tiek, kiek griežtai būtina ir proporcinga siekiamiems tikslams.
2. Prieiga prie asmens duomenų užtikrinama ir tie duomenys tvarkomi pagal technines saugyklos specifikacijas.
3. Į pritaikytosios ir standartizuotosios duomenų apsaugos pareigas atsižvelgiama tiek nustatant duomenų tvarkymo priemones, tiek paties duomenų tvarkymo metu.
4. Agentūra reguliariai atlieka peržiūras, kad užtikrintų visų taikomų duomenų apsaugos priemonių veiksmingumą.
13 straipsnis
Bendras saugykloje tvarkomų asmens duomenų valdymas
1. Saugykloje saugomų asmens duomenų bendri valdytojai yra įgaliotieji naudotojai.
2. Kiekvienas bendras duomenų valdytojas atsako už kiekvieno saugykloje tvarkomo informacinio objekto slaptumo žymos kriterijų laikymąsi.
14 straipsnis
Bendrų duomenų valdytojų atsakomybės sritys
1. Agentūrai tenka pareiga:
|
a) |
įsteigti, eksploatuoti ir administruoti saugyklą; |
|
b) |
užtikrinti tęstinį saugyklos valdymą, visų pirma prieigos teisių ir saugykloje tvarkomų asmens duomenų saugumo ir konfidencialumo valdymą pagal 4, 5, 9 ir 12 straipsnius; |
|
c) |
pranešti apie visus saugykloje įvykusius asmens duomenų saugumo pažeidimus įgaliotiesiems naudotojams, Europos duomenų apsaugos priežiūros pareigūnui ir, jei reikia, duomenų subjektams pagal Reglamento (ES) 2018/1725 34 straipsnį; |
|
d) |
nustatyti ir įgyvendinti technines priemones, kad duomenų subjektai galėtų naudotis savo teisėmis pagal Reglamentą (ES) 2018/1725. |
2. Nacionalinėms kompetentingoms institucijoms ir Komisijai tenka pareiga:
|
a) |
tvarkyti asmens duomenis saugykloje naudojant 3 straipsnyje nurodytas saugojimo, mainų ir naudotojo prieigos sąsajas ir laikantis 12 straipsnio 4 dalyje nustatytų saugumo reikalavimų; |
|
b) |
užtikrinti bet kokio asmens duomenų tvarkymo ne saugykloje saugumą, kai tokie duomenys tvarkomi duomenų tvarkymo naudojantis saugykla tikslais arba su tuo susijusiais tikslais; |
|
c) |
paskirti ir pranešti Agentūrai apie įgaliotuosius darbuotojus, kuriems pagal 11 straipsnį suteikiama prieiga prie saugyklos; |
|
d) |
veikti kaip kontaktiniams punktams, skirtiems duomenų subjektams, už kuriuos jos yra atsakingos kaip vieninteliai duomenų valdytojai, be kita ko, kai jos naudojasi savo teisėmis, prireikus pasitelkdamos Agentūros pagal 1 punkto d papunktį pateiktas technines priemones arba 3 punkte nurodytus ryšių kanalus; |
|
e) |
pranešti Agentūrai apie visus saugumo incidentus, įskaitant asmens duomenų saugumo pažeidimus, kurie gali kelti pavojų saugyklai perduodamų ir (arba) joje saugomų asmens duomenų saugumui, konfidencialumui, prieinamumui ar vientisumui; |
|
f) |
pranešti apie visus duomenų saugumo pažeidimus, susijusius su saugykloje tvarkomais asmens duomenimis, atitinkamoms kompetentingoms priežiūros institucijoms ir, prireikus, duomenų subjektams pagal Reglamento (ES) 2016/679 33 ir 34 straipsnius ir Reglamento (ES) 2018/1725 34 straipsnį. |
3. Kiekvienas bendras duomenų valdytojas paskiria:
|
a) |
kontaktinį punktą su funkcine e. pašto dėžute tarpusavio komunikacijai užtikrinti; |
|
b) |
kontaktinį punktą, padedantį duomenų subjektams naudotis savo teisėmis pagal taikomus duomenų apsaugos teisės aktus. |
4. Jei bendras duomenų valdytojas gauna prašymą iš duomenų subjekto, kuris nepatenka į jo atsakomybės sritį, jis nedelsdamas persiunčia tą prašymą atsakingam bendram duomenų valdytojui. Jei paprašoma, bendri duomenų valdytojai padeda vieni kitiems nagrinėti duomenų subjektų prašymus ir atsako vieni kitiems nepagrįstai nedelsdami ir ne vėliau kaip per 15 dienų nuo pagalbos prašymo gavimo dienos.
5. Jei tam, kad duomenų valdytojas galėtų vykdyti Reglamento (ES) 2016/679 33 ir 34 straipsniuose arba Reglamento (ES) 2018/1725 34 straipsnyje nurodytas pareigas, jam reikia informacijos iš kito duomenų valdytojo, jis nusiunčia specialų prašymą į 3 punkto a papunktyje nurodytą funkcinę e. pašto dėžutę. Duomenų valdytojas, kuriam skirtas prašymas, deda visas pastangas pateikti tokią informaciją.
15 straipsnis
Apribojimai
1. Duomenų valdytojai gali apriboti duomenų subjektų naudojimąsi teisėmis tik tiek ir tik tol, kiek ir kol tai griežtai būtina civilinės aviacijos saugai užtikrinti. Duomenų subjektų naudojimasis teisėmis gali būti ribojamas tik šiais atvejais:
|
a) |
Agentūra pagal savo kompetenciją arba nacionalinės ar Sąjungos teisės aktuose numatytos kompetentingos institucijos vykdo Reglamento (ES) 2018/1139 75 straipsnio 2 dalies e punkte nurodytus tyrimus, patikras ar stebėsenos veiklą; |
|
b) |
Europos Sąjungos Teisingumo Teisme arba bet kuriame kitame pagal nacionalinę ar tarptautinę teisę kompetentingame teisme vykdomas teismo procesas. |
2. Kai Komisija ir Agentūra yra duomenų valdytojos, jos taip pat gali apriboti duomenų subjektų naudojimąsi teisėmis tik tiek ir tik tol, kiek ir kol griežtai būtina civilinės aviacijos saugai užtikrinti, jei vykdomi IT saugumo tyrimai, turintys tiesioginį ar netiesioginį poveikį saugyklos veikimui.
3. Turi būti atliekamas visų apribojimų būtinumo ir proporcingumo vertinimas, o jų taikymo sritis ir trukmė turi būti ribotos.
4. Duomenų subjektas, kurio naudojimasis teisėmis yra apribotas, informuojamas apie apribojimo priežastis ir mastą.
16 straipsnis
Asmens duomenų saugojimo laikotarpis
1. Įgaliotieji naudotojai turi:
|
a) |
saugoti asmens duomenis saugykloje ne ilgiau kaip 10 metų nuo dokumento galiojimo pabaigos dienos arba nuo dienos, nuo kurios jis nebegalioja, įskaitant visus dokumentus, būtinus Reglamente (ES) 2018/1139 nurodytoms procedūroms atlikti, išskyrus atvejus, kai pagal nacionalinę teisę reikalaujama nustatyti kitokį laikotarpį; |
|
b) |
pasibaigus saugojimo laikotarpiui pašalinti asmens duomenis iš saugyklos. |
2. Saugykla turi turėti technines priemones, kurias naudojant galima:
|
a) |
automatizuotai pašalinti asmens duomenis saugojimo laikotarpiui pasibaigus; |
|
b) |
automatizuotai suteikti pseudonimus asmens duomenims, saugomiems archyvavimo tikslais, arba taikyti kitus lygiaverčio poveikio techninius sprendinius. |
17 straipsnis
Duomenų tvarkymas archyvavimo ir istorinių tyrimų tikslais aviacijos saugai gerinti
1. Pasibaigus saugojimo laikotarpiui, iš saugyklos gautus asmens duomenis Agentūra gali archyvavimo ir istorinių tyrimų tikslais saugoti atskirame registre.
2. Tokie asmens duomenys turi būti tik tie, kurie yra griežtai būtini archyvavimo ir tyrimų tikslais aviacijos saugai gerinti ir laikantis duomenų kiekio mažinimo principo, nustatyto Reglamento (ES) 2016/679 89 straipsnyje ir Reglamento (ES) 2018/1725 13 straipsnyje.
3. Agentūra parengia prieigos prie registro protokolą. Šiam registrui taikomi 4, 5 ir 9–12 straipsniai.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
18 straipsnis
Įsigaliojimas ir taikymas
1. Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
2. I ir II skyriai taikomi nuo 2025 m. balandžio 1 d.
3. Reikalavimai, susiję su informaciniais objektais, išduotais po šio reglamento įsigaliojimo, taikomi:
|
a) |
nuo 2027 m. sausio 1 d. – I priede nurodytai A grupės kategorijai; |
|
b) |
nuo 2028 m. sausio 1 d. – I priede nurodytai B grupės kategorijai; |
|
c) |
nuo 2029 m. sausio 1 d. – I priede nurodytai C grupės kategorijai. |
4. Reikalavimai, susiję su informaciniais objektais, kurie galioja ir yra išduoti iki šio reglamento įsigaliojimo, taikomi nuo 2029 m. sausio 1 d.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Briuselyje 2023 m. spalio 12 d.
Komisijos vardu
Pirmininkė
Ursula VON DER LEYEN
(1) OL L 212, 2018 8 22, p. 1.
(2) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).
(3) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39).
(4) https://www.easa.europa.eu/document-library/opinions
(5) 2019 m. gegužės 24 d. Komisijos įgyvendinimo reglamentas (ES) 2019/947 dėl bepiločių orlaivių naudojimo taisyklių ir tvarkos (OL L 152, 2019 6 11, p. 45).
(6) 2021 m. balandžio 22 d. Komisijos įgyvendinimo reglamentas (ES) 2021/664 dėl sistemos „U-space“ reglamentavimo sistemos (OL L 139, 2021 4 23, p. 161).
I PRIEDAS
INFORMACINIŲ OBJEKTŲ SĄRAŠAS
|
Informacinis objektas |
Prioritetinės grupės |
|
Licencijos |
|
|
Piloto licencija |
A |
|
Piloto licencijos patvirtinimas |
A |
|
Skrydžių vadovo licencija |
A |
|
Orlaivio techninės priežiūros licencija |
B |
|
Pažymėjimai. Organizacijos |
|
|
OEV/ONP teikėjo pažymėjimas |
B |
|
Aerodromo naudotojo pažymėjimas |
B |
|
Oro vežėjo pažymėjimas (OVP) |
B |
|
Aerodromo įrangos pažymėjimas |
B |
|
Tinkamumo skraidyti pažymėjimas (CofA) |
B |
|
Imituojamo skrydžio treniruoklių (FSTD) kvalifikacijos pažymėjimas |
C |
|
Lengvosios UAS naudotojo pažymėjimas (LUC) |
A |
|
UAS naudotojo pažymėjimas |
C |
|
Sistemos „U-space“ paslaugų teikėjo (USSP) pažymėjimas |
B |
|
Bendrų informacijos paslaugų teikėjo pažymėjimas |
B |
|
Pažymėjimai. Darbuotojai |
|
|
Nuotolinio piloto teorinio mokymo pažymėjimas |
C |
|
Egzaminuotojo pažymėjimas |
A |
|
Instruktoriaus pažymėjimas |
A |
|
Kalbos mokėjimo vertinimo centro pažymėjimas |
C |
|
Pažymėjimai. Gaminiai / įranga |
|
|
Tipo pažymėjimas (TC) |
B |
|
Papildomas tipo pažymėjimas (STC) |
B |
|
Riboto galiojimo tipo pažymėjimas (RTC) |
B |
|
Tipo pažymėjimo duomenų lapas |
C |
|
Triukšmo pažymėjimas |
C |
|
Riboto galiojimo triukšmo pažymėjimas |
C |
|
Tinkamumo skraidyti patikros pažymėjimas (TSPP) |
C |
|
Riboto galiojimo tinkamumo skraidyti pažymėjimas (RCofA) |
C |
|
Esminių / neesminių pakeitimų patvirtinimas |
C |
|
Esminio / neesminio remonto projekto patvirtinimas |
C |
|
OEV/ONP sistemų ir OEV/ONP sudedamųjų dalių pažymėjimas |
B |
|
Pažymėjimai. Medicinos pažymėjimai |
|
|
Aviacijos medicinos gydytojo pažymėjimas |
A |
|
Aviacijos medicinos centrų (AeMC) pažymėjimas |
A |
|
Skrydžių vadovo (ATCO) aviacijos medicinos gydytojo pažymėjimas |
A |
|
Skrydžių vadovo (ATCO) sveikatos pažymėjimas |
A |
|
Piloto sveikatos pažymėjimo prašymo forma |
A |
|
Piloto sveikatos patikrinimo formos ir patvirtinamieji sveikatos pažymėjimai |
A |
|
Piloto sveikatos pažymėjimas |
A |
|
Deklaracijos |
|
|
Skrydžių informacijos paslaugų (FIS) teikėjo deklaracija |
B |
|
Perono valdymo paslaugų teikėjo deklaracija |
B |
|
Antžeminių paslaugų teikėjo deklaracija |
B |
|
OEV/ONP sistemos ir OEV/ONP sudedamosios dalys. Deklaracija |
B |
|
OEV/ONP sistemos ir OEV/ONP sudedamosios dalys. Atitikties pareiškimas |
B |
|
Naudotojo kaip techninio mokymo STS paslaugų teikėjo deklaracija |
C |
|
Orlaivių naudotojų NCC ir SPO deklaracijos |
C |
|
UAS naudojimo deklaracija STS |
A |
|
Atestacijos pažymėjimai ir ataskaitos |
|
|
Keleivių salono įgulos nario atestacijos pažymėjimas |
C |
|
Keleivių salono įgulos nario medicinos ekspertizės išvada |
C |
|
Išimtys |
|
|
Išimties (bendra) trukmė – daugiau kaip 8 mėnesiai. Sprendimas |
B |
|
Išimties (bendra) trukmė – daugiau kaip 8 mėnesiai. Pranešimas |
B |
|
Išimties (bendra) trukmė – daugiau kaip 8 mėnesiai. Rekomendacija |
B |
|
Išimties (bendra) trukmė – iki 8 mėnesių. Pranešimas |
A |
|
Atleidimas nuo reikalavimo turėti OEV/ONP pažymėjimą kaip teikėjui. Sprendimas |
C |
|
Atleidimas nuo reikalavimo turėti OEV/ONP pažymėjimą kaip teikėjui. Pranešimas |
C |
|
Atleidimas nuo reikalavimo turėti OEV/ONP pažymėjimą kaip teikėjui |
C |
|
Patvirtinimai |
|
|
Leidimas skristi – skrydžio sąlygų patvirtinimas |
A |
|
Leidimas skristi |
A |
|
Techninės priežiūros peržiūros valdybos (MRB) ataskaitos patvirtinimas |
C |
|
Teorijos egzaminai (ECQB) |
C |
|
Išplėstinių teisių tinkamumą skraidyti užtikrinančios organizacijos patvirtinimai (CAOA). CAO dalis |
B |
|
Nepertraukiamąjį tinkamumą skraidyti užtikrinančios organizacijos patvirtinimai (CAMOA) |
B |
|
Techninės priežiūros organizacijos patvirtinimai (MOA). M dalies F poskyris EASA 3-MF forma |
B |
|
Techninės priežiūros organizacijos patvirtinimai (MOA). 145 dalis |
B |
|
Techninės priežiūros mokymo organizacijos patvirtinimai (MTOA). 147 dalis |
B |
|
Atskirasis leidimas gaminti neturint gamybinės organizacijos patvirtinimo |
C |
|
Gamybinės organizacijos patvirtinimai (POA) |
B |
|
Alternatyvi projektavimo organizacijos patvirtinimo procedūra (APDOA) |
C |
|
Gamybinės organizacijos patvirtinimai (DOA) |
B |
|
OEV/ONP įrangos projektavimo ar gamybos patvirtinimas |
B |
|
Skrydžių vadovų (ATCO) mokymo organizacijos |
B |
|
Keleivių salono įgulos mokymo organizacijos (CCTO) patvirtinimas |
C |
|
Mokymo organizacijos (ATO) patvirtinimas (pilotai) |
C |
|
Deklaruotoji mokymo organizacija (DTO), skirta pilotams |
C |
|
Patikrinimų perone mokymo organizacijos (RITO) patvirtinimas |
B |
|
Sprendimai |
|
|
Sutikimas taikyti specialias pagrindinio reglamento nuostatas į sąrašą įtrauktoms veiklos rūšims. Sprendimas |
C |
|
Pažymėjimų ir deklaracijų pripažinimas negaliojančiais ir pripažinimas |
C |
|
Sprendimas netaikyti pagrindinio reglamento nuostatų aerodromams |
C |
|
Bendra atsakomybė už užduotis, susijusias su orlaivių naudotojais, dalyvaujančiais komercinio oro transporto veikloje |
C |
|
Pasiūlymas dėl įgyvendinimo akto / deleguotojo akto pakeitimo |
C |
|
Kompetentingo subjekto akreditavimas |
C |
|
Individualios skrydžio laiko specifikacijos schemos (IFTSS) pasiūlymas |
C |
|
Pranešimai apie skrydžio laiko ribojimo schemas |
C |
|
Naudotojo patvirtinimas, kad atnaujintos poveikio švelninimo priemonės yra priimtinos ir kad tarpvalstybinės veiklos atveju laikomasi vietos sąlygų |
C |
|
UAS naudotojo registracija |
A |
|
Valstybės narės sprendimas dėl vieno bendrų informacijos paslaugų teikėjo paskyrimo |
B |
|
Priemonės |
|
|
Neatidėliotina priemonė, kurios imtasi reaguojant į didelę saugos problemą (sprendimas) |
B |
|
Neatidėliotina priemonė, kurios imtasi reaguojant į didelę saugos problemą (rekomendacija) |
B |
|
Neatidėliotina priemonė, kurios imtasi reaguojant į didelę saugos problemą (pranešimas) |
B |
|
Konfliktų zonų informacijos biuleteniai (CZIB). Priemonės |
B |
|
Sutikimas (2 str. 6 dalis) taikyti specialias pagrindinio reglamento nuostatas į sąrašą įtrauktoms veiklos rūšims (pranešimas) |
C |
|
Sutikimas taikyti specialias pagrindinio reglamento nuostatas į sąrašą įtrauktoms veiklos rūšims (rekomendacija) |
C |
|
Sprendimas netaikyti specialių pagrindinio reglamento nuostatų tam tikroms orlaivių kategorijoms |
C |
|
Kita |
|
|
Oro vežėjas. Skrydžių specifikacijos |
C |
|
Trečiosios šalies vežėjo (TCO) leidimas |
B |
|
Didelės rizikos komerciniai specialieji skrydžiai. Leidimas |
B |
|
UAS sertifikuoto įrenginio registracija |
A |
|
Europos techninio standarto specifikacija (ETSOA) |
C |
|
Nuokrypis nuo ETSO |
C |
|
Pasiūlymas dėl įgyvendinimo akto / deleguotojo akto pakeitimo. Pranešimas |
B |
|
Pasiūlymas dėl įgyvendinimo akto / deleguotojo akto pakeitimo. Rekomendacija |
B |
|
Valstybių narių ir organizacijų, kurios perdavė pareigas, perskirstė užduotis (pagal 64 ir 65 straipsnius), sąrašas ir po perskirstymo atsakinga kompetentinga institucija |
C |
|
Tinkamumo skraidyti nurodymai (AD), saugos nurodymai, saugos informacijos biuleteniai (SIB) |
C |
|
Rekomendacijų dėl atsakymo į ICAO valstybėms skirtus raštus projektas |
C |
|
Atitikties ICAO standartams ir rekomenduojamai praktikai (SARP) kontrolinis sąrašas |
C |
|
Rekomendacijos dėl atsakymo į ICAO valstybėms skirtus raštus |
C |
|
Prašymai dėl alternatyvių atitikties užtikrinimo priemonių |
C |
II PRIEDAS
Informacijos įslaptinimas
Išsamios žymų apibrėžtys pagal 7 straipsnio 2 dalį
|
a) |
PRIVATUMAS skirstomas į toliau nurodytas kategorijas:
|
|
b) |
KONFIDENCIALUMO laipsniai nurodyti toliau:
|
|
c) |
VIENTISUMO laipsniai nurodyti toliau:
|
|
d) |
PRIEINAMUMO laipsniai nurodyti toliau:
|
ELI: http://data.europa.eu/eli/reg_impl/2023/2117/oj
ISSN 1977-0723 (electronic edition)