Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32022D0483

Komisijas Īstenošanas lēmums (ES) 2022/483 (2022. gada 21. marts), ar kuru groza Īstenošanas lēmumu (ES) 2021/1073, ar ko nosaka tehniskās specifikācijas un noteikumus ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/953 izveidotā ES digitālā Covid sertifikāta uzticamības satvara īstenošanai (Dokuments attiecas uz EEZ)

C/2022/1803

OV L 98, 25.3.2022, p. 84–104 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2022/483/oj

25.3.2022   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 98/84


KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2022/483

(2022. gada 21. marts),

ar kuru groza Īstenošanas lēmumu (ES) 2021/1073, ar ko nosaka tehniskās specifikācijas un noteikumus ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/953 izveidotā ES digitālā Covid sertifikāta uzticamības satvara īstenošanai

(Dokuments attiecas uz EEZ)

EIROPAS KOMISIJA,

ņemot vērā Līgumu par Eiropas Savienības darbību,

ņemot vērā Eiropas Parlamenta un Padomes Regulu (ES) 2021/953 (2021. gada 14. jūnijs) par sadarbspējīgu Covid-19 vakcinācijas, testa un pārslimošanas sertifikātu (ES digitālais Covid sertifikāts) izdošanas, verifikācijas un akceptēšanas satvaru nolūkā atvieglot brīvu pārvietošanos Covid-19 pandēmijas laikā (1), un jo īpaši tās 9. panta 1. punktu,

tā kā:

(1)

Lai atvieglotu turētāju tiesību uz brīvu pārvietošanos īstenošanu Covid-19 pandēmijas laikā, Regulā (ES) 2021/953 ir noteikts ES digitālais Covid sertifikāts, kas pierāda, ka persona ir saņēmusi Covid-19 vakcīnu, negatīvu testa rezultātu vai šo infekciju ir pārslimojusi.

(2)

Eiropas Parlamenta un Padomes Regula (ES) 2021/954 (2) nosaka, ka dalībvalstīm ir jāpiemēro Regulā (ES) 2021/953 paredzētie noteikumi attiecībā uz trešo valstu valstspiederīgajiem, uz kuriem neattiecas minētās regulas darbības joma, bet kuri likumīgi uzturas vai dzīvo to teritorijā un kuriem ir tiesības ceļot uz citām dalībvalstīm saskaņā ar Savienības tiesību aktiem.

(3)

Padomes Ieteikums (ES) 2022/290, ar ko groza Ieteikumu (ES) 2020/912 par pagaidu ierobežojumu nebūtiskiem ceļojumiem uz ES un iespējamu šāda ierobežojuma atcelšanu (3), paredz, ka trešo valstu valstspiederīgajiem, kuri vēlas veikt nebūtiskus ceļojumus no trešām valstīm uz Savienību, vajadzētu būt derīgam vakcinācijas vai pārslimošanas apliecinājumam, piemēram, ES digitālajam Covid sertifikātam vai Covid-19 sertifikātam, ko izdevušas trešās valstis, uz kurām attiecas īstenošanas akts, kas pieņemts saskaņā ar Regulas (ES) 2021/953 8. panta 2. punktu.

(4)

Lai ES digitālais Covid sertifikāts varētu darboties visā Savienībā, Komisija pieņēma Īstenošanas lēmumu (ES) 2021/1073 (4), ar ko nosaka tehniskās specifikācijas un noteikumus, lai ES digitālos Covid sertifikātus varētu aizpildīt, droši izdot un verificēt, nodrošinātu persondatu aizsardzību, noteiktu unikālā sertifikāta identifikatora kopīgo struktūru un izdotu derīgu, drošu un sadarbspējīgu svītrkodu.

(5)

Saskaņā ar Regulas (ES) 2021/953 4. pantu Komisijai un dalībvalstīm ir jāizveido un jāuztur ES digitālā Covid sertifikāta uzticamības satvars. Šis uzticamības satvars spēj atbalstīt divpusēju apmaiņu ar sertifikātu atsaukšanas sarakstiem, kuros ir ietverti atsaukto sertifikātu unikālie identifikatori.

(6)

2021. gada 1. jūlijā sāka darboties ES digitālā Covid sertifikāta vārteja (“vārteja”), kas ir viens no uzticamības satvara centrālajiem elementiem un kas ļauj dalībvalstīm droši un uzticami apmainīties ar publiskajām atslēgām, kuras izmanto ES digitālo Covid sertifikātu verificēšanai.

(7)

Tā kā ES digitālie Covid sertifikāti ir veiksmīgi un plaši ieviesti, tie ir kļuvuši par mērķi krāpniekiem, kuri cenšas rast veidus, kā izdot viltotus sertifikātus. Tāpēc šādi viltoti sertifikāti ir jāatsauc. Turklāt medicīnisku un sabiedrības veselības apsvērumu dēļ, piemēram, tāpēc, ka vēlāk ticis konstatēts, ka ievadīto vakcīnu partija ir defektīva, atsevišķus ES digitālos Covid sertifikātus dalībvalstis var atsaukt valsts līmenī.

(8)

Lai gan ES digitālā Covid sertifikāta sistēma spēj nekavējoties atklāt viltotus sertifikātus, citās dalībvalstīs nevar atklāt autentiskus sertifikātus, kas izdoti nelikumīgi, pamatojoties uz nepatiesu dokumentāciju, neatļautu piekļuvi vai krāpnieciskiem nolūkiem, ja vien dalībvalstis neapmainās ar atsaukto sertifikātu sarakstiem, kas izveidoti valsts līmenī. Tas pats attiecas uz sertifikātiem, kas atsaukti medicīnisku un sabiedrības veselības apsvērumu dēļ. Tā kā dalībvalstu verifikācijas lietotnes nespēj atklāt citu dalībvalstu atsauktos sertifikātus, tiek apdraudēta sabiedrības veselība un mazināta iedzīvotāju paļāvība un uzticēšanās ES digitālā Covid sertifikāta sistēmai.

(9)

Kā norādīts Regulas (ES) 2021/953 19. apsvērumā, medicīnisku un sabiedrības veselības apsvērumu dēļ un krāpšanas ceļā izdotu vai iegūtu sertifikātu gadījumā dalībvalstīm minētās regulas piemērošanas nolūkā vajadzētu spēt izveidot sertifikātu atsaukšanas sarakstus un ierobežotos gadījumos apmainīties ar tiem ar citām dalībvalstīm, jo īpaši attiecībā uz tādiem sertifikātiem, kas izdoti kļūdaini, krāpšanas rezultātā vai pēc tam, kad tikusi apturēta Covid-19 vakcīnas partija, kas atzīta par defektīvu. Dalībvalstīm nevajadzētu būt iespējai atsaukt sertifikātus, ko izdevušas citas dalībvalstis. Sertifikātu atsaukšanas sarakstos, ar kuriem apmainās, nebūtu jāietver nekādi citi persondati, kā vien unikālie sertifikātu identifikatori. Jo īpaši tajos nevajadzētu norādīt iemeslu, kāpēc sertifikāts ir atsaukts.

(10)

Papildus vispārējai informācijai par sertifikātu atsaukšanas iespēju un tā iespējamajiem iemesliem atbildīgajai izdevējiestādei būtu nekavējoties jāinformē atsaukto sertifikātu turētāji par sertifikātu atsaukšanu un atsaukšanas iemesliem. Tomēr dažos gadījumos, jo īpaši attiecībā uz ES digitālajiem Covid sertifikātiem, kas izdoti uz papīra, atsauktā sertifikāta turētāja izsekošana un informēšana var izrādīties neiespējama vai varētu prasīt nesamērīgas pūles. Dalībvalstīm nevajadzētu vākt citus persondatus, kas nav vajadzīgi sertifikāta izdošanas procesam, tikai tāpēc, lai varētu informēt sertifikātu turētājus, ja to sertifikāti tiek atsaukti.

(11)

Tāpēc ir jāuzlabo ES digitālā Covid sertifikāta uzticamības satvars, atbalstot sertifikātu atsaukšanas sarakstu divpusēju apmaiņu starp dalībvalstīm.

(12)

Šis lēmums neattiecas uz sertifikātu pagaidu apturēšanu tādu valsts līmenī noteiktu lietojumu gadījumā, kas nav ES digitālā Covid sertifikāta regulas darbības jomā, piemēram, tāpēc, ka vakcinācijas sertifikāta turētāja SARS-CoV-2 testa rezultāts ir pozitīvs. Tas neskar noteiktās procedūras darba kārtulu pārbaudei attiecībā uz sertifikātu derīgumu.

(13)

Lai gan no tehniskā viedokļa ir iespējamas dažādas atsaukšanas sarakstu apmaiņas struktūras, vispiemērotākā ir to apmaiņa vārtejā, jo tā ļauj veikt datu apmaiņu vienīgi jau izveidotajā uzticamības satvarā un salīdzinājumā ar alternatīvu vienādranga sistēmu samazina gan iespējamo kļūdaino darbību skaitu, gan apmaiņu starp dalībvalstīm.

(14)

Attiecīgi ES digitālā Covid sertifikāta vārteja būtu jāuzlabo, lai atbalstītu atsaukto ES digitālo Covid sertifikātu drošu apmaiņu nolūkā veikt to drošu verifikāciju, izmantojot vārteju. Šajā sakarā būtu jāīsteno pienācīgi drošības pasākumi vārtejā apstrādāto persondatu aizsardzībai. Lai nodrošinātu augstu aizsardzības līmeni, dalībvalstīm sertifikāta atribūti būtu jāpseidonimizē, izmantojot neatgriezenisku kontrolsummu, kas jāiekļauj atsaukšanas sarakstos. Unikālais identifikators faktiski būtu jāuzskata par pseidonimizētiem datiem, kas vajadzīgi vārtejā veiktajām apstrādes darbībām.

(15)

Turklāt būtu jānosaka noteikumi par dalībvalstu un Komisijas lomu sertifikātu atsaukšanas sarakstu apmaiņā.

(16)

Sertifikātu turētāju persondatu apstrāde, par ko atbild dalībvalstis vai citas publiskas organizācijas vai oficiālas struktūras dalībvalstīs, būtu jāveic saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (5). Persondatu apstrāde, par ko atbild Komisija un ko veic ar nolūku pārvaldīt ES digitālā Covid sertifikāta vārteju un garantēt tās drošību, būtu jāveic saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2018/1725 (6).

(17)

Dalībvalstis, ko pārstāv nozīmētās valstu iestādes vai oficiālās struktūras, kopīgi nosaka, kādā nolūkā un ar kādiem līdzekļiem ES digitālā Covid sertifikāta vārtejā var apstrādāt persondatus, un tāpēc tās ir kopīgi pārziņi. Regulas (ES) 2016/679 26. pants persondatu apstrādes darbību kopīgajiem pārziņiem uzliek pienākumu pārredzamā veidā noteikt to attiecīgos pienākumus, lai izpildītu minētajā regulā uzliktās saistības. Tajā arī paredzēta iespēja, ka šos pienākumus var noteikt Savienības vai dalībvalsts tiesību aktos, kas attiecas uz pārziņiem. 26. pantā minētā kārtība būtu jāiekļauj šā lēmuma III pielikumā.

(18)

Ar Regulu (ES) 2021/953 Komisijai ir uzticēts uzdevums atbalstīt šādu apmaiņu. Vispiemērotākais veids, kā īstenot minētās pilnvaras, ir dalībvalstu vārdā salīdzināt iesniegtos sertifikātu atsaukšanas sarakstus. Tāpēc, lai atbalstītu šo apmaiņu, atvieglojot sarakstu apmaiņu ES digitālā Covid sertifikāta vārtejā dalībvalstu vārdā, Komisijai būtu jāpiešķir datu apstrādātāja loma.

(19)

Komisija kā ES digitālā Covid sertifikāta vārtejas tehnisko un organizatorisko risinājumu nodrošinātāja dalībvalstu kā kopīgu pārziņu vārdā apstrādā persondatus, kas iekļauti vārtejā esošajos atsaukšanas sarakstos. Tāpēc Komisija darbojas kā apstrādātājs. Saskaņā ar Regulas (ES) 2016/679 28. pantu un Regulas (ES) 2018/1725 29. pantu apstrādi, ko veic apstrādātājs, reglamentē ar līgumu vai citu juridisku aktu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri ir saistoši apstrādātājam attiecībā uz pārzini un kurā ir precizēta apstrādes būtība. Tādēļ ir jāparedz noteikumi par apstrādi, ko Komisija veic kā datu apstrādātājs.

(20)

Komisijas atbalsta uzdevums neietver centrālās datubāzes izveidi, kā minēts Regulas (ES) 2021/953 52. apsvērumā. Minētā aizlieguma mērķis ir izvairīties no visu izdoto ES digitālo Covid sertifikātu uzkrāšanas centrālā repozitorijā, un tas neliedz dalībvalstīm apmainīties ar atsaukšanas sarakstiem, kas ir skaidri paredzēts Regulas (ES) 2021/953 4. panta 2. punktā.

(21)

Apstrādājot persondatus ES digitālā Covid sertifikāta vārtejā, Komisijai ir saistošs Komisijas Lēmums (ES, Euratom) 2017/46 (7).

(22)

Regulas (ES) 2021/953 3. panta 10. punkts ļauj Komisijai pieņemt īstenošanas aktus, ar kuriem nosaka, ka Covid-19 sertifikāti, kurus izdevusi trešā valsts, ar ko Savienība un dalībvalstis ir noslēgušas nolīgumu par personu brīvu pārvietošanos, kurš ļauj līgumslēdzējām pusēm nediskriminējošā veidā ierobežot šādu brīvu pārvietošanos sabiedrības veselības apsvērumu dēļ un kurš neparedz Savienības tiesību aktu iestrādāšanas mehānismu, ir līdzvērtīgi saskaņā ar šo regulu izdotajiem sertifikātiem. Uz šā pamata Komisija 2021. gada 8. jūlijā pieņēma Īstenošanas lēmumu (ES) 2021/1126 (8), ar ko nosaka Šveices izdoto Covid-19 sertifikātu līdzvērtīgumu.

(23)

Regulas (ES) 2021/953 8. panta 2. punkts ļauj Komisijai pieņemt īstenošanas aktus, lai noteiktu, ka Covid-19 sertifikāti, ko izdevusi trešā valsts saskaņā ar standartiem un tehnoloģiskām sistēmām, kas ir sadarbspējīgi ar ES digitālā Covid sertifikāta uzticamības satvaru un kas ļauj verificēt sertifikāta autentiskumu, derīgumu un integritāti, un kas ietver regulas pielikumā norādītos datus, ir uzskatāmi par līdzvērtīgiem ES digitālajiem Covid sertifikātiem nolūkā palīdzēt sertifikātu turētājiem izmantot to tiesības uz brīvu pārvietošanos Savienībā. Kā norādīts Regulas (ES) 2021/953 28. apsvērumā, minētās regulas 8. panta 2. punkts attiecas uz tādu sertifikātu akceptēšanu, kurus trešās valstis izdevušas Savienības pilsoņiem un viņu ģimenes locekļiem. Komisija jau ir pieņēmusi vairākus šādus īstenošanas aktus.

(24)

Lai izvairītos no nepilnībām tādu atsaukto sertifikātu atklāšanā, uz kuriem attiecas šādi īstenošanas akti, vajadzētu būt iespējai ES digitālā Covid sertifikāta vārtejā iesniegt attiecīgos sertifikātu atsaukšanas sarakstus arī trešām valstīm, kuru Covid-19 sertifikāti saskaņā ar Regulas (ES) 2021/953 3. panta 10. punktu un 8. panta 2. punktu ir atzīti par līdzvērtīgiem.

(25)

Daži trešo valstu valstspiederīgie, kuriem ir atsaukti Covid-19 sertifikāti, ko izdevusi trešā valsts, kuras Covid-19 sertifikāti saskaņā ar Regulu (ES) 2021/953 ir atzīti par līdzvērtīgiem, var neietilpt minētās regulas vai Regulas (ES) 2021/954 darbības jomā brīdī, kad attiecīgā trešā valsts izveido atsaukšanas sarakstu, kas ietver minēto valstspiederīgo sertifikātus. Tomēr brīdī, kad attiecīgā trešā valsts izveido sertifikātu atsaukšanas sarakstu, nav iespējams zināt, vai kādas minētās regulas darbības joma attiecas uz visiem trešo valstu valstspiederīgajiem, kuri ir atsaukto sertifikātu turētāji. Tādējādi brīdī, kad tiek izveidoti šo valstu sertifikātu atsaukšanas saraksti, nav iespējams izslēgt personas, uz kurām neattiecas neviena no šīm regulām, un mēģinājums to darīt novestu pie tā, ka dalībvalstis nevarētu atklāt atsauktos sertifikātus, kas ir tiem trešo valstu valstspiederīgajiem, kuri pirmo reizi ceļo uz Savienību. Tomēr šo trešo valstu valstspiederīgo atsauktos sertifikātus dalībvalstis pārbaudītu, kad to turētāji ceļotu uz Savienību, un pēc tam, kad viņi pārvietotos Savienības teritorijā. Trešās valstis, kuru sertifikāti saskaņā ar Regulu (ES) 2021/953 ir atzīti par līdzvērtīgiem, nav iesaistītas vārtejas pārvaldībā un tādējādi nav uzskatāmas par kopīgiem pārziņiem.

(26)

Turklāt ir pierādījies, ka ES digitālā Covid sertifikāta sistēma ir vienīgā Covid-19 sertifikātu sistēma, kas plašā mērogā darbojas starptautiskā līmenī. Tā rezultātā ES digitālais Covid sertifikāts ir kļuvis arvien nozīmīgāks visā pasaulē un ir palīdzējis risināt pandēmijas problēmu starptautiskā līmenī, atvieglojot drošu starptautisko ceļošanu un globālo atveseļošanu. Papildu īstenošanas aktu pieņemšanas procesā saskaņā ar Regulas (ES) 2021/953 8. panta 2. punktu rodas jaunas vajadzības attiecībā uz ES digitālā Covid sertifikāta aizpildīšanu. Saskaņā ar Īstenošanas lēmumā (ES) 2021/1073 izklāstītajiem noteikumiem uzvārds sertifikāta tehniskajā saturā ir obligāts lauks. Minētā prasība ir jāgroza, lai veicinātu iekļaušanu un sadarbspēju ar citām sistēmām, ņemot vērā, ka dažās trešās valstīs ir arī tādas personas, kurām nav uzvārda. Gadījumos, kad sertifikāta turētāja vārdu nevar sadalīt divās daļās, vārds būtu jānorāda tajā pašā ES digitālā Covid sertifikāta laukā (uzvārda vai vārda laukā), kā tas norādīts turētāja ceļošanas vai personu apliecinošā dokumentā. Šīs izmaiņas arī labāk saskaņotu sertifikātu tehnisko saturu ar pašlaik spēkā esošajām specifikācijām attiecībā uz mašīnlasāmiem ceļošanas dokumentiem, ko publicējusi Starptautiskā Civilās aviācijas organizācija.

(27)

Tāpēc Īstenošanas lēmums (ES) 2021/1073 būtu attiecīgi jāgroza.

(28)

Saskaņā ar Regulas (ES) 2018/1725 42. panta 1. punktu ir notikusi apspriešanās ar Eiropas Datu aizsardzības uzraudzītāju, kas 2022. gada 11. martā sniedza atzinumu.

(29)

Lai dalībvalstīm un Komisijai būtu pietiekami daudz laika īstenot izmaiņas, kas vajadzīgas, lai ES digitālā Covid sertifikāta vārtejā varētu apmainīties ar sertifikātu atsaukšanas sarakstiem, šis lēmums būtu jāsāk piemērot četras nedēļas pēc tā stāšanās spēkā.

(30)

Šajā lēmumā paredzētie pasākumi ir saskaņā ar atzinumu, ko sniegusi komiteja, kura izveidota atbilstoši Regulas (ES) 2021/953 14. pantam,

IR PIEŅĒMUSI ŠO LĒMUMU.

1. pants

Īstenošanas lēmumu (ES) 2021/1073 groza šādi:

1)

iekļauj šādu 5.a, 5.b, un 5.c pantu:

“5.a pants

Apmaiņa ar sertifikātu atsaukšanas sarakstiem

1.   ES digitālā Covid sertifikāta uzticamības satvars ļauj apmainīties ar sertifikātu atsaukšanas sarakstiem, izmantojot centrālo ES digitālā Covid sertifikāta vārteju (“vārteja”) saskaņā ar I pielikumā izklāstītajām tehniskajām specifikācijām.

2.   Ja dalībvalstis atsauc ES digitālos Covid sertifikātus, tās var vārtejā iesniegt sertifikātu atsaukšanas sarakstus.

3.   Ja dalībvalstis iesniedz sertifikātu atsaukšanas sarakstus, izdevējas iestādes uztur atsaukto sertifikātu sarakstu.

4.   Ja vārtejā notiek persondatu apmaiņa, apstrādi veic vienīgi nolūkā atbalstīt ar atsaukšanu saistītās informācijas apmaiņu. Šādus persondatus izmanto tikai tam, lai pārbaudītu to ES digitālo Covid sertifikātu atsaukšanas statusu, kuri izdoti saskaņā ar Regulu (ES) 2021/953.

5.   Vārtejā iesniegtā informācija ietver šādus datus saskaņā ar I pielikumā izklāstītajām tehniskajām specifikācijām:

a)

atsaukto sertifikātu pseidonimizētie unikālie identifikatori;

b)

sertifikātu atsaukšanas saraksta derīguma termiņš.

6.   Ja izdevējiestāde atsauc ES digitālos Covid sertifikātus, ko tā izdevusi saskaņā ar Regulu (ES) 2021/953 vai Regulu (ES) 2021/954, un plāno apmainīties ar attiecīgo informāciju vārtejā, tā 5. punktā minēto informāciju sertifikātu atsaukšanas sarakstu veidā nosūta uz vārteju drošā formātā saskaņā ar I pielikumā izklāstītajām tehniskajām specifikācijām.

7.   Izdevējiestādes, ciktāl iespējams, nodrošina risinājumu, kā atsaukšanas brīdī informēt atcelto sertifikātu turētājus par sertifikātu atsaukšanas statusu un atsaukšanas iemeslu.

8.   Vārteja apkopo saņemtos sertifikātu atsaukšanas sarakstus. Tā nodrošina rīkus šo sarakstu izplatīšanai dalībvalstīm. Tā automātiski dzēš sarakstus saskaņā ar derīguma termiņiem, ko katram iesniegtajam sarakstam norādījusi iesniedzējiestāde.

9.   Dalībvalstu izraudzītās valsts iestādes vai oficiālās struktūras, kas vārtejā apstrādā persondatus, ir apstrādāto datu kopīgi pārziņi. Kopīgo pārziņu attiecīgie pienākumi tiek sadalīti saskaņā ar VI pielikumu.

10.   Vārtejā apstrādāto persondatu apstrādātājs ir Komisija. Komisija kā apstrādātājs dalībvalstu vārdā nodrošina persondatu nosūtīšanas un mitināšanas drošību vārtejā un ievēro apstrādātāja pienākumus, kas noteikti VII pielikumā.

11.   Komisija un kopīgie pārziņi regulāri testē, novērtē un izvērtē, cik efektīvi ir tehniskie un organizatoriskie pasākumi, kas nodrošina persondatu apstrādes drošību vārtejā.

5.b pants

Sertifikātu atsaukšanas sarakstu iesniegšana, ko veic trešās valstis

Trešās valstis, kas izdod Covid-19 sertifikātus, attiecībā uz kuriem Komisija saskaņā ar Regulas (ES) 2021/953 3. panta 10. punktu vai 8. panta 2. punktu ir pieņēmusi īstenošanas aktu, var iesniegt sarakstus ar atsauktajiem Covid-19 sertifikātiem, uz kuriem attiecas šāds īstenošanas akts un kuri Komisijai jāapstrādā 5.a pantā minēto vārtejā esošo kopīgo pārziņu vārdā saskaņā ar I pielikumā izklāstītajām tehniskajām specifikācijām.

5.c pants

Centrālajā ES digitālā Covid sertifikāta vārtejā veiktas persondatu apstrādes pārvaldība

1.   Kopīgo pārziņu lēmumu pieņemšanas procesu reglamentē darba grupa, kas izveidota Regulas (ES) 2021/953 14. pantā minētās komitejas ietvaros.

2.   Dalībvalstu izraudzītās valsts iestādes vai oficiālās struktūras, kas vārtejā apstrādā persondatus kā kopīgi pārziņi, izraugās minētās grupas pārstāvjus.”;

2)

I pielikumu groza saskaņā ar šā lēmuma I pielikumu;

3)

V pielikumu groza saskaņā ar šā lēmuma II pielikumu;

4)

šā lēmuma III pielikuma tekstu pievieno kā VI pielikumu;

5)

šā lēmuma IV pielikuma tekstu pievieno kā VII pielikumu.

2. pants

Šis lēmums stājas spēkā trešajā dienā pēc tā publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

To sāk piemērot četras nedēļas pēc tā stāšanās spēkā.

Briselē, 2022. gada 21. martā

Komisijas vārdā –

priekšsēdētāja

Ursula VON DER LEYEN


(1)   OV L 211, 15.6.2021., 1. lpp.

(2)  Eiropas Parlamenta un Padomes Regula (ES) 2021/954 (2021. gada 14. jūnijs) par sadarbspējīgu Covid-19 vakcinācijas, testa un pārslimošanas sertifikātu (ES digitālais Covid sertifikāts) izdošanas, verifikācijas un akceptēšanas satvaru attiecībā uz trešo valstu valstspiederīgajiem, kas Covid-19 pandēmijas laikā likumīgi uzturas vai dzīvo dalībvalstu teritorijā (OV L 211, 15.6.2021., 24. lpp.).

(3)  Padomes Ieteikums (ES) 2022/290 (2022. gada 22. februāris), ar ko groza Padomes Ieteikumu (ES) 2020/912 par pagaidu ierobežojumu nebūtiskiem ceļojumiem uz ES un iespējamu šāda ierobežojuma atcelšanu (OV L 43, 24.2.2022., 79. lpp.).

(4)  Komisijas Īstenošanas lēmums (ES) 2021/1073 (2021. gada 28. jūnijs), ar ko nosaka tehniskās specifikācijas un noteikumus ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/953 izveidotā ES digitālā Covid sertifikāta uzticamības satvara īstenošanai (OV L 230, 30.6.2021., 32. lpp.).

(5)  Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp.).

(6)  Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK (OV L 295, 21.11.2018., 39. lpp.).

(7)  Vairāk informācijas par drošības standartiem, kas piemērojami visām Eiropas Komisijas informācijas sistēmām, Komisija publicē šeit: https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.

(8)  Komisijas Īstenošanas lēmums (ES) 2021/1126 (2021. gada 8. jūlijs), ar ko nosaka Šveices izdoto Covid-19 sertifikātu līdzvērtīgumu sertifikātiem, kuri izdoti saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2021/953 (OV L 243, 9.7.2021., 49. lpp.).


I PIELIKUMS

Īstenošanas lēmuma (ES) 2021/1073 I pielikumā pievieno šādu 9. iedaļu:

“9.   ATSAUKŠANAS RISINĀJUMS

9.1.    DCC atsaukšanas saraksta (DRL) noteikums

Vārteja nodrošina galapunktus un funkcionalitāti, kas vajadzīga, lai glabātu un pārvaldītu atsaukšanas sarakstus:

Image 1

9.2.   Uzticamības modelis

Visus savienojumus veido, izmantojot DCCG standarta uzticamības modeli ar NBTLS un NBUP sertifikātiem (sk. sertifikātu pārvaldību). Lai nodrošinātu integritāti, visu informāciju iekļauj un augšupielādē ar CMS ziņojumiem.

9.3.   Partijas veidošana

9.3.1.   Partija

Katrā atsaukšanas sarakstā ir viens vai vairāki ieraksti, un tos veido pa partijām, iekļaujot kontrolsummas (hashes) un to metadatus. Partija ir nemaināma un nosaka derīguma termiņu, kurā partiju var dzēst. Visu partijas vienību derīguma termiņam jābūt vienādam, proti, partijas jāgrupē pēc derīguma termiņa un pēc parakstīšanas DSC. Katrā partijā ir ne vairāk kā 1 000 ierakstu. Ja atsaukšanas sarakstā ir vairāk nekā 1 000 ierakstu, izveido vairākas partijas. Katrs ieraksts var būt tikai vienā partijā. Partiju ievieto CMS struktūrā un paraksta ar augšupielādētājas valsts NBup sertifikātu.

9.3.2.   Partijas indekss

Vārteja partijai pēc izveidošanas piešķir unikālu ID, ko automātiski pievieno indeksam. Partiju indeksu sakārto augošā hronoloģiskā secībā pēc izmaiņu datuma.

9.3.3.   Vārtejas darbība

Vārteja atsaukšanas partijas apstrādā, neizdarot izmaiņas, proti, tā neatjauno, nedzēš un nepievieno partijām jaunu informāciju. Partijas nosūta visām pilnvarotajām valstīm (sk. 9.6. nodaļu).

Vārteja aktīvi novēro partiju derīguma termiņu un izņem partijas, kurām derīguma termiņš ir beidzies. Kad partija ir dzēsta, vārteja attiecībā uz dzēstās partijas URL nosūta atbildi “HTTP 410 Gone”. Tādējādi partija indeksā parādās kā “dzēsta”.

9.4.   Kontrolsummu veidi

Atsaukšanas saraksti satur kontrolsummas, kas atbilst dažādiem atsaukšanas veidiem/atribūtiem. Šos veidus vai atribūtus norāda atsaukšanas sarakstu aprakstā. Pašreizējie veidi ir šādi:

Veids

Atribūts

Kontrolsummas aprēķināšana

SIGNATURE

DCC Signature

SHA256 of DCC Signature

UCI

UCI (Unique Certificate Identifier)

SHA256 of UCI

COUNTRYCODEUCI

Issuing Country Code + UCI

SHA256 of Issuing CountryCode + UCI

Partijā iekļauj tikai sākotnējos kontrolsummas 128 bitus, kas kodēti kā base64 virknes, un tos izmanto atsaukto DCC identificēšanai  (1).

9.4.1.   Kontrolsummu veids: SHA256(DCC paraksts)

Šajā gadījumā kontrolsummu aprēķina no CWT COSE_SIGN1 paraksta baitiem. RSA parakstu gadījumā kā ievadi izmanto visu parakstu. EC-DSA parakstīto sertifikātu gadījumā formulā kā ievadi izmanto r vērtību:

SHA256(r)

[nepieciešama visiem jauniem īstenošanas gadījumiem]

9.4.2.   Kontrolsummu veids: SHA256(UCI)

Šajā gadījumā kontrolsummu aprēķina no UCI virknes, kas kodēta UTF-8 un konvertēta baitu kopumā.

[novecojis (2), bet tiek atbalstīts, lai nodrošinātu atpakaļsaderību]

9.4.3.   Kontrolsummu veids: SHA256(Issuing CountryCode+UCI)

Šajā gadījumā CountryCode ir kodēta kā UTF-8 virkne, kas savienota ar UCI, kas kodēta ar UTF-8 virkni. To pēc tam konvertē baitu virknē un izmanto kā ievadi kontrolsummas funkcijā.

[novecojis2, bet tiek atbalstīts, lai nodrošinātu atpakaļsaderību]

9.5.    API struktūra

9.5.1.   Atsaukšanas ierakstu sniedzošā API

9.5.1.1.   Nolūks

API sniedz atsaukšanas saraksta ierakstus partijās, tai skaitā partijas indeksu.

9.5.1.2.   Galapunkti

9.5.1.2.1.   Partijas saraksta lejupielādes galapunkts

Galapunkti veidoti pēc vienkārša principa; tie nosūta atpakaļ partiju sarakstu un metadatu informāciju (wrapper). Partijas sakārto pēc datuma augošā (hronoloģiskā) secībā:

/revocation-list

Verb: GET

Content-Type: application/json

Response: JSON Array

 

{

 

‘more’:true|false,

 

‘batches’:

 

[{

 

‘batchId’: ‘{uuid}’,

 

‘country’: ‘XY’,

 

‘date’: ‘ 2021-11-01T00:00:00Z’

 

‘deleted’: true | false

 

}, ..

 

]

 

}

Piezīme. Rezultāti pēc noklusējuma ir ierobežoti līdz 1 000 vienībām. Ja karogu “ more ” iestata kā patiesu (true), atbildē tiek norādīts, ka lejupielādei ir pieejamas papildu partijas. Lai lejupielādētu vairāk vienību, klientam galvenē (header) If-Modified-Since jāievada datums, kas nav agrāks kā pēdējā saņemtā ieraksta datums.

Atbilde satur JSON kopu ar šādu struktūru:

Lauks

Definīcija

more

Būla vērtības karogs, kas norāda, ka ir vairāk partiju.

batches

Esošo partiju kopa.

batchId

https://en.wikipedia.org/wiki/Universally_unique_identifier

country

Valsts kods no ISO 3166

date

ISO 8601 datums UTC laikā. Datums, kad partija pievienota vai dzēsta.

deleted

Būla vērtība. Patiesa (true), ja dzēsta. Ja dzēšanas karogs ir iestatīts, ierakstu no vaicājuma rezultātiem var dzēst pēc 7 dienām.

9.5.1.2.1.1.   Atbildes kodi

Kods

Apraksts

200

Viss kārtībā.

204

Nav satura, ja galvenei If-Modified-Since nav atbilsmes.

Pieprasījuma galvene

Galvene

Obligāts

Apraksts

If-Modified-Since

Šajā galvenē ir norādīts pēdējais lejupielādētais datums, lai iegūtu tikai jaunākos rezultātus. Sākotnējā pieprasījumā galvenei jābūt ‘2021-06-01T00:00:00Z’.

9.5.1.2.2.   Partijas lejupielādes galapunkts

Partijas satur sertifikātu identifikatoru sarakstu:

/revocation-list/{batchId}

Verb: GET

Accepts: application/cms

Response:CMS with Content

 

{

 

‘country’: ‘XY’,

 

‘expires’: ‘ 2022-11-01T00:00:00Z’,

 

‘kid’:’23S+33f=’,

 

‘hashType’:’SIGNATURE’,

 

‘entries’:[{

 

‘hash’:’e2e2e2e2e2e2e2e2’

 

}, ..]

 

}

Atbilde satur CMS, tai skaitā parakstu, kam jāatbilst valsts NBUP sertifikātam. Visām JSON kopas vienībām ir šāda struktūra:

Lauks

Obligāts

Veids

Definīcija

expires

String

Datums, kurā vienību var dzēst.

ISO8601 datums/UTC laiks.

country

String

Valsts kods no ISO 3166

hashType

String

Sniegto ierakstu kontrolsummas veids (sk. kontrolsummas veidus)

entries

JSON Object Array

Sk. tabulu par ierakstiem

kid

String

base64 kodēts KID no DSC, ko izmanto DCC parakstīšanai.

Ja KID nav zināms, tad var izmantot virkni “UNKNOWN_KID” (bez pēdiņām).

Piezīmes

Partijas grupē pēc derīguma termiņa un DSC; visām vienībām ir vienāds derīgums, un tās ir parakstītas ar to pašu atslēgu.

Derīguma termiņš ir datums/UTC laiks, jo EU-DCC ir globāla sistēma un ir jāizmanto nepārprotams laiks.

Pilnīgi atsaukta DCC derīguma termiņu nosaka tā attiecīgā DSC derīguma termiņā, kuru izmanto DCC parakstīšanai, vai atsauktā DCC derīguma laikā (šādā gadījumā izmantotos NumericDate/epoch laikus uzskata par UTC laika zonā esošiem laikiem).

Nacionālā aizmugursistēma (NB) vienības no sava atsaukšanas saraksta dzēš, kad tiek sasniegts derīguma termiņš.

NB no sava atsaukšanas saraksta vienības var dzēst, ja tiek atsaukts DCC parakstīšanai izmantotais kid.

9.5.1.2.2.1.   Ieraksti

Lauks

Obligāts

Veids

Definīcija

hash

String

Sākotnējie 128 biti no SHA256 kontrolsummas, kas kodēta kā base64 virkne.

Piezīme. Ierakstu objekts pašlaik satur tikai kontrolsummu, bet, lai tas būtu saderīgs ar izmaiņām nākotnē, tika izvēlēts objekts, nevis json kopa.

9.5.1.2.2.2.   Atbildes kodi

Kods

Apraksts

200

Viss kārtībā.

410

Partijas nav. Partiju var dzēst nacionālajā aizmugursistēmā.

9.5.1.2.2.3.   Atbildes galvenes

Galvene

Apraksts

ETag

Partijas ID.

9.5.1.2.3.   Partijas augšupielādes galapunkts

Augšupielādi veic ar to pašu galapunktu, izmantojot verbu POST:

/revocation-list

Verb: POST

Accepts: application/cms

Request: CMS with Content

ContentType: application/cms

Content:

 

{

 

‘country’: ‘XY’,

 

‘expires’: ‘ 2022-11-01T00:00:00Z’,

 

‘kid’:’23S+33f=’,

 

‘hashType’:’SIGNATURE’,

 

‘entries’:[{

 

‘hash’:’e2e2e2e2e2e2e2e2’

 

}, ..]

 

}

Partiju paraksta, izmantojot NBUP sertifikātu. Vārteja verificē, vai parakstu ir noteicis attiecīgās valsts NBUP . Ja paraksta pārbaude neizdodas, augšupielāde nenotiek.

PIEZĪME. Katra partija ir nemaināma, un to nevar izmainīt pēc augšupielādes. Bet to var izdzēst. Katras dzēstās partijas ID tiek glabāts, un jaunas partijas augšupielāde ar tādu pašu ID tiek noraidīta.

9.5.1.2.4.   Partijas dzēšanas galapunkts

Partiju no tāda paša galapunkta var izdzēst, izmantojot verbu DELETE:

/revocation-list

Verb: DELETE

Accepts: application/cms

ContentType: application/cms

Request: CMS with Content

Content:

 

{

 

‘batchId’: ‘...’

 

}

vai saderības vajadzībām ar turpmāk minēto galapunktu, izmantojot verbu POST:

/revocation-list/delete

Verb: POST

Accepts: application/cms

ContentType: application/cms

Request: CMS with Content

Content:

 

{

 

‘batchId’: ‘...’

 

}

9.6.    API aizsardzība/GDPR

Šajā iedaļā aprakstīti īstenošanas pasākumi, ar kuriem izpilda Regulas (ES) 2021/953 prasības attiecībā uz persondatu apstrādi.

9.6.1.   Pašreizējā autentifikācija

Šobrīd vārteja izmanto NBTLS sertifikātu, lai autentificētu valstis, kas savienojas ar vārteju. Šo autentifikāciju var izmantot, lai noteiktu ar vārteju savienotās valsts identitāti. Pēc tam šo identitāti var izmantot, lai kontrolētu piekļuvi.

9.6.2.   Piekļuves kontrole

Lai likumīgi varētu apstrādāt persondatus, vārteja piemēro piekļuves kontroles mehānismu.

Vārteja izveido piekļuves kontroles sarakstu, ko izmanto kopā ar drošības pasākumiem, kuru pamatā ir lomas. Minētajā shēmā uztur divas tabulas: vienā tabulā apraksta, kādas darbības lomām ir atļautas ar attiecīgiem resursiem, otrā tabulā apraksta, kuras lomas lietotājiem piešķirtas.

Lai veiktu šajā dokumentā paredzēto kontroli, ir vajadzīgas trīs lomas:

 

RevocationListReader

 

RevocationUploader

 

RevocationDeleter

Turpmāk minētie galapunkti pārbauda, vai lietotājam ir loma RevocationListReader; ja lietotājam šī loma ir, piešķir piekļuvi, bet ja lietotājam šīs lomas nav, nosūta atbildi HTTP 403 Forbidden:

GET/revocation-list/

GET/revocation-list/{batchId}

Turpmāk minētie galapunkti pārbauda, vai lietotājam ir loma RevocationUploader; ja lietotājam šī loma ir, piešķir piekļuvi, bet ja lietotājam šīs lomas nav, nosūta atbildi HTTP 403 Forbidden:

POST/revocation-list

Turpmāk minētie galapunkti pārbauda, vai lietotājam ir loma RevocationDeleter; ja lietotājam šī loma ir, piešķir piekļuvi, bet ja lietotājam šīs lomas nav, nosūta atbildi HTTP 403 Forbidden:

DELETE/revocation-list

POST/revocation-list/delete

Vārteja nodrošina uzticamu metodi, ar ko administratori var pārvaldīt ar lietotājiem saistītās lomas tā, lai samazinātu cilvēka kļūdas, vienlaikus neapgrūtinot funkcionālos administratorus.”


(1)  Lūdzam attiecībā uz API aprakstu ņemt vērā arī 9.5.1.2. punktu.

(2)  Novecojis nozīmē, ka šo elementu vairs neizmanto jauniem īstenošanas gadījumiem, bet to turpinās atbalstīt esošajiem gadījumiem uz skaidri noteiktu periodu.


II PIELIKUMS

Īstenošanas lēmuma (ES) 2021/1073 V pielikuma 3. iedaļu aizstāj ar šādu:

“3.    Kopīgas struktūras un vispārīgas prasības

ES digitālo Covid sertifikātu neizdod, ja trūkstošas informācijas dēļ nav iespējams pareizi aizpildīt visus datu laukus saskaņā ar šo specifikāciju. Tas neietekmē dalībvalstu pienākumu izdot ES digitālos Covid sertifikātus.

Informāciju visos laukos var sniegt, izmantojot pilnu UNICODE 13.0 rakstzīmju kopu, kas kodēta, izmantojot UTF-8, izņemot, ja tas nav īpaši atļauts tikai vērtību kopām vai šaurākām rakstzīmju kopām.

Kopīgā struktūra ir šāda:

"JSON":{

"ver":<informācija par versiju>,

"nam":{

<personas vārda informācija>

},

"dob":<dzimšanas datums>,

"v" vai "t", vai "r":[

{<vakcīnas devas vai testa, vai atsaukšanas informācija; viens ieraksts>}

]

}

Sīkāka informācija par atsevišķām grupām un laukiem ir sniegta nākamajās iedaļās.

Ja noteikumos paredzēts, ka kāds lauks ir jāizlaiž, tas nozīmē, ka tam jābūt tukšam un ka tajā nedrīkst būt ne lauka nosaukums, ne vērtība.

3.1.    Versija

Sniedz informāciju par versiju. Versijas noteikšanai izmanto semantisko versiju (semver: https://semver.org). Ražošanā tā ir viena no oficiāli izlaistajām (pašreizējām vai vecākām oficiāli izlaistām) versijām. Sīkākai informācijai skatīt iedaļu “JSON Schema location”).

Lauka ID

Lauka nosaukums

Instrukcijas

ver

Shēmas versija

Atbilst EUDCC sagatavošanai izmantotās shēmas versijas identifikatoram.

Piemēram:

"ver":"1.3.0"

3.2.    Personas vārds, uzvārds un dzimšanas datums

Personas vārds ir personas oficiālais pilnais vārds, kas atbilst ceļošanas dokumentos norādītajam vārdam. Struktūras identifikators ir nam. Sniedz tieši 1 (vienas) personas vārdu.

Lauka ID

Lauka nosaukums

Instrukcijas

nam/fn

Uzvārds(-i)

Turētāja uzvārds(-i).

Ja turētājam nav uzvārdu, bet ir vārds, šo lauku izlaiž.

Visos pārējos gadījumos sniedz tieši 1 (vienu) lauku, kas nav tukšs, kurā ietverti visi uzvārdi. Vairāku uzvārdu gadījumā tos atdala ar atstarpi. Uzvārdu kombinācijai, kurā ir defises vai līdzīgas rakstzīmes, ir jāpaliek nemainīgai.

Piemēram:

"fn":"Musterfrau-Gößinger"

"fn":"Musterfrau-Gößinger Müller "

nam/fnt

Standartizēts(-i) uzvārds(-i)

Turētāja uzvārds(-i), kas transliterēts(-i), izmantojot to pašu konvenciju, kas izmantota turētāja mašīnlasāmos ceļošanas dokumentos (piemēram, ICAO dokumenta 9303 3. daļas noteikumi).

Ja turētājam nav uzvārdu, bet ir vārds, šo lauku izlaiž.

Visos pārējos gadījumos sniedz tieši 1 (vienu) lauku, kas nav tukšs, kurā ietvertas tikai rakstzīmes A-Z un <. Maksimālais garums: 80 rakstzīmes (saskaņā ar ICAO 9303 specifikāciju)

Piemēram:

"fnt":"MUSTERFRAU<GOESSINGER"

"fnt":"MUSTERFRAU<GOESSINGER<MUELLER"

nam/gn

Vārds(-i)

Turētāja vārds(-i).

Ja turētājam nav vārdu, bet ir uzvārds, šo lauku izlaiž.

Visos pārējos gadījumos sniedz tieši 1 (vienu) lauku, kas nav tukšs, kurā ietverti visi vārdi. Vairāku vārdu gadījumā tos atdala ar atstarpi.

Piemēram:

"gn":"Isolde Erika"

nam/gnt

Standartizēts(-i) vārds(-i)

Turētāja vārds(-i), kas transliterēts(-i), izmantojot to pašu konvenciju, kas izmantota turētāja mašīnlasāmos ceļošanas dokumentos (piemēram, ICAO dokumenta 9303 3. daļas noteikumi).

Ja turētājam nav vārdu, bet ir uzvārds, šo lauku izlaiž.

Visos pārējos gadījumos sniedz tieši 1 (vienu) lauku, kas nav tukšs, kurā ietvertas tikai rakstzīmes A-Z un <. Maksimālais garums: 80 rakstzīmes.

Piemēram:

"gnt": "ISOLDE<ERIKA"

dob

Dzimšanas datums

DCC turētāja dzimšanas datums.

Pilnīgs vai daļējs datums, nenorādot dzimšanas laiku, vērtību intervālā no 1900-01-01 līdz 2099-12-31.

Sniedz tieši 1 (vienu) lauku, kas nav tukšs, ja ir zināms pilnīgs vai daļējs dzimšanas datums. Ja dzimšanas datums nav zināms pat daļēji, lauku iestata uz tukšu virkni “”. Tam būtu jāatbilst informācijai, kas sniegta ceļošanas dokumentos.

Izmanto vienu no šādiem ISO 8601 formātiem, ja ir pieejama informācija par dzimšanas datumu. Citas iespējas netiek atbalstītas.

YYYY-MM-DD

YYYY-MM

YYYY

(Verificētāja lietotne var parādīt trūkstošās dzimšanas datuma daļas, izmantojot XX konvenciju, kas izmantota mašīnlasāmos ceļošanas dokumentos, piemēram, 1990-XX-XX.).

Piemēram:

"dob":"1979-04-14"

"dob":"1901-08"

"dob":"1939"

"dob":""

3.3.    Grupas konkrēta veida sertifikāta informācijai

JSON shēma atbalsta ierakstu trīs grupas, kas ietver konkrēta veida sertifikāta informāciju. Katrā EUDCC ir tieši 1 (viena) grupa. Tukšas grupas nav atļautas.

Grupas identifikators

Grupas nosaukums

Ieraksti

v

Vakcinācijas grupa

Ja tāda ir, tā ietver tieši 1 (vienu) ierakstu, kurā precīzi apraksta 1 (vienu) vakcīnas devu (viena deva).

t

Testa grupa

Ja tāda ir, tā ietver tieši 1 (vienu) ierakstu, kurā precīzi apraksta 1 (vienu) testa rezultātu.

r

Pārslimošanas grupa

Ja tāda ir, tā ietver tieši 1 (vienu) ierakstu, kurā apraksta 1 (vienu) paziņojumu par pārslimošanu.”


III PIELIKUMS

“VI PIELIKUMS

DALĪBVALSTU PIENĀKUMI KĀ ES DIGITĀLĀ COVID SERTIFIKĀTA VĀRTEJAS KOPĪGIEM PĀRZIŅIEM ATTIECĪBĀ UZ ES DCC ATSAUKŠANAS SARAKSTU APMAIŅU

1. IEDAĻA

1. apakšiedaļa

Pienākumu sadale

1.

Kopīgie pārziņi uzticamības satvara vārtejā apstrādā persondatus atbilstoši tehniskajām specifikācijām, kas noteiktas I pielikumā.

2.

Dalībvalstu izdevējiestādes joprojām ir vienīgais pārzinis par atsaukšanas informācijas vākšanu, izmantošanu, izpaušanu un jebkādu citu apstrādi ārpus vārtejas, tai skaitā par procedūru līdz sertifikāta atsaukšanai.

3.

Katrs pārzinis ir atbildīgs par uzticamības satvara vārtejā esošo persondatu apstrādi atbilstīgi Vispārīgās datu aizsardzības regulas 5., 24. un 26. pantam.

4.

Katrs pārzinis izveido kontaktpunktu ar funkcionālo pastkastīti, kas tiks izmantota saziņai starp kopīgajiem pārziņiem pašiem un starp kopīgajiem pārziņiem un apstrādātāju.

5.

Darba grupai, ko izveidojusi Regulas (ES) 2021/953 14. pantā minētā komiteja, ir pilnvaras lemt par visām problēmām, kas rodas sakarā ar atsaukšanas sarakstu apmaiņu un ar to saistīto persondatu apstrādes kopīgo pārziņu, un sekmēt saskaņotu norādījumu sniegšanu Komisijai kā apstrādātājam. Kopīgo pārziņu lēmumu pieņemšanas procesu reglamentē minētā darba grupa un reglaments, kas tai jāpieņem. Pamatnoteikums ir tāds, ka, ja kāds no kopīgajiem pārziņiem nepiedalās šīs darba grupas sanāksmē, par kuru ir rakstveidā paziņots vismaz septiņas (7) dienas pirms tās sasaukšanas, tas nozīmē automātisku piekrišanu minētās darba grupas sanāksmes rezultātiem. Jebkurš no kopīgajiem pārziņiem var sasaukt šīs darba grupas sanāksmi.

6.

Norādījumus apstrādātājam nosūta jebkurš kopīgo pārziņu kontaktpunkts, vienojoties ar pārējiem kopīgajiem pārziņiem atbilstīgi darba grupas lēmumu pieņemšanas procesam, kas izklāstīts 5. punktā. Kopīgais pārzinis, kurš sniedz norādījumus, apstrādātājam tos sniedz rakstveidā un par tiem informē visus pārējos kopīgos pārziņus. Ja lēmums par kādu jautājumu jāpieņem īsā laikā un šajā laikā nevar sasaukt darba grupas sanāksmi, kā minēts 5. punktā, var sniegt norādījumus, bet darba grupa tos var atsaukt. Šādi norādījumi jādod rakstveidā, un visi pārējie kopīgie pārziņi par to jāinformē norādījumu došanas brīdī.

7.

Saskaņā ar 5. punktu izveidotā darba grupa neliedz kopīgajiem pārziņiem izmantot savu individuālo kompetenci informēt savu kompetento uzraudzības iestādi saskaņā ar Vispārīgās datu aizsardzības regulas 33. un 24. pantu. Šādam paziņojumam nav vajadzīga pārējo kopīgo pārziņu piekrišana.

8.

Uzticamības satvara vārtejas tvērumā persondatiem, ar kuriem notikusi apmaiņa, drīkst piekļūt tikai personas, kuras pilnvarojusi izraudzītā valsts iestāde vai oficiālās struktūras.

9.

Katra izdevējiestāde reģistrē apstrādes darbības, par kurām tā ir atbildīga. Kopīgo pārziņu veiktās darbības var norādīt reģistrā.

2. apakšiedaļa

Pienākumi un lomas attiecībā uz datu subjektu pieprasījumu izskatīšanu un viņu informēšanu

1.

Katrs pārzinis, pildot izdevējiestādes pienākumus, fiziskām personām, kuru sertifikātu(-us) tas ir atsaucis (“datu subjekti”), sniedz informāciju par minēto atsaukšanu un viņu persondatu apstrādi ES digitālā Covid sertifikāta vārtejā, kas notikusi saistībā ar atsaukšanas sarakstu apmaiņu, saskaņā ar Vispārīgās datu aizsardzības regulas 14. pantu, izņemot, ja tas nav iespējams vai būtu saistīts ar nesamērīgām pūlēm.

2.

Katrs pārzinis rīkojas kā kontaktpunkts fiziskām personām, kuru sertifikātu(-us) tas ir atsaucis, un apstrādā pieprasījumus, ko datu subjekti vai to pārstāvji iesnieguši, izmantojot savas tiesības atbilstīgi Vispārīgai datu aizsardzības regulai. Ja kopīgais pārzinis no datu subjekta saņem pieprasījumu, kas ir saistīts ar sertifikātu, ko izdevis cits kopīgais pārzinis, datu subjekts ir jāinformē par atbildīgā kopīgā pārziņa identitāti un kontaktinformāciju. Pēc pieprasījuma saņemšanas no cita kopīgā pārziņa tie cits citam palīdz izskatīt datu subjektu pieprasījumus un cits citam atbild bez liekas kavēšanās un vēlākais 1 mēneša laikā pēc palīdzības pieprasījuma saņemšanas. Ja pieprasījums ir saistīts ar trešās valsts iesniegtiem datiem, pārzinis, kas saņem pieprasījumu, to izskata un informē datu subjektu par trešās valsts izdevējiestādes identitāti un kontaktinformāciju.

3.

Katrs pārzinis datu subjektiem dara pieejamu šā pielikuma saturu, arī 1. un 2. punktā noteikto.

2. IEDAĻA

Rīcība drošības incidentu, tai skaitā persondatu aizsardzības pārkāpumu, gadījumā

1.

Kopīgie pārziņi cits citam palīdz identificēt un risināt drošības incidentus, arī persondatu aizsardzības pārkāpumus, kas saistīti ar datu apstrādi ES digitālā Covid sertifikāta vārtejā.

2.

Jo īpaši, kopīgie pārziņi cits citam paziņo:

a)

jebkuru potenciālu vai faktisku risku uzticamības satvara vārtejā esošo apstrādājamo persondatu pieejamībai, konfidencialitātei un/vai integritātei;

b)

jebkuru persondatu aizsardzības pārkāpumu, persondatu aizsardzības pārkāpuma iespējamās sekas un fizisku personu tiesību un brīvību riska novērtējumu, un jebkurus pasākumus, kas veikti, lai risinātu persondatu aizsardzības pārkāpumu un mazinātu risku fizisku personu tiesībām un brīvībām;

c)

jebkuru apstrādes darbības tehnisko un/vai organizatorisko aizsardzības pasākumu pārkāpumu uzticamības satvara vārtejā.

3.

Jebkurus persondatu aizsardzības pārkāpumus saistībā ar apstrādes darbību uzticamības satvara vārtejā kopīgie pārziņi saskaņā ar Vispārīgās datu aizsardzības regulas 33. un 34. pantu vai pēc Komisijas paziņojuma paziņo Komisijai, kompetentajām uzraudzības iestādēm un vajadzības gadījumā datu subjektiem.

4.

Katra izdevējiestāde īsteno pienācīgus tehniskus un organizatoriskus pasākumus, kuru nolūks ir:

a)

nodrošināt un aizsargāt kopīgi apstrādāto persondatu pieejamību, integritāti un konfidencialitāti;

b)

aizsargāt pret jebkādu neatļautu vai nelikumīgu tās rīcībā esošo persondatu apstrādi, nozaudēšanu, izmantošanu, izpaušanu vai iegūšanu vai piekļuvi tiem;

c)

nodrošināt, ka piekļuve persondatiem netiek izpausta vai atļauta nevienam citam, izņemot saņēmējus vai apstrādātājus.

3. IEDAĻA

Novērtējums par ietekmi uz datu aizsardzību

1.

Ja pārzinim, lai izpildītu Regulas (ES) 2016/679 35. un 36. pantā norādītos pienākumus, vajadzīga informācija no cita pārziņa, tas sūta īpašu pieprasījumu uz 1. iedaļas 1. apakšiedaļas 4. punktā minēto funkcionālo pastkasti. Attiecīgi šis cits pārzinis dara visu iespējamo, lai šo informāciju sniegtu.

IV PIELIKUMS

“VII PIELIKUMS

KOMISIJAS PIENĀKUMI KĀ ES DIGITĀLĀ COVID SERTIFIKĀTA VĀRTEJAS DATU APSTRĀDĀTĀJAI ATTIECĪBĀ UZ ES DCC ATSAUKŠANAS SARAKSTU APMAIŅAS ATBALSTĪŠANU

Komisija:

1.

Dalībvalstu vārdā izveido un nodrošina drošu un uzticamu sakaru infrastruktūru, kas atbalsta digitālā Covid sertifikāta vārtejā iesniegto atsaukšanas sarakstu apmaiņu.

2.

Lai izpildītu dalībvalstu uzticamības satvara vārtejas datu apstrādātāja pienākumus, Komisija kā apakšapstrādātājus var piesaistīt trešās personas; Komisija informē pārziņus par visām plānotajām izmaiņām attiecībā uz citu apakšapstrādātāju pievienošanu vai aizstāšanu, tādējādi dodot pārziņiem iespēju kopīgi iebilst pret šādām izmaiņām. Komisija gādā, lai šādiem apakšapstrādātājiem būtu tādi paši datu aizsardzības pienākumi, kādi izklāstīti šajā lēmumā.

3.

Persondatus apstrādā, tikai pamatojoties uz pārziņu dotiem dokumentētiem norādījumiem, ja vien tas nav prasīts Savienības vai dalībvalstu tiesību aktos; šādā gadījumā Komisija pirms datu apstrādes darbības par attiecīgo juridisko prasību informē kopīgos pārziņus, ja vien šādas informācijas iesniegšana ar attiecīgo tiesību aktu nav aizliegta, ievērojot svarīgas sabiedrības intereses.

Apstrādes ietvaros Komisija:

a)

autentificē valstu aizmugursistēmas serverus, pamatojoties uz valstu aizmugursistēmas serveru sertifikātiem;

b)

saņem Lēmuma 5.a panta 3. punktā minētos un valstu aizmugursistēmas serveru augšupielādētos datus, nodrošinot lietojumprogrammas saskarni, ar kuras palīdzību valstu aizmugursistēmas serveri var augšupielādēt attiecīgos datus;

c)

glabā datus ES digitālā Covid sertifikāta vārtejā;

d)

dod iespēju datus lejupielādēt valstu aizmugursistēmas serveros;

e)

dzēš datus derīguma termiņā vai pēc tā pārziņa norādījumiem, kas tos iesniedzis;

f)

pēc pakalpojuma sniegšanas beigām dzēš visus atlikušos datus, ja vien Savienības vai dalībvalsts tiesību akti nepieprasa glabāt persondatus.

4.

Veic visus mūsdienīgos organizatoriskos, fiziskos un loģiskos drošības pasākumus, kādi vajadzīgi, lai uzturētu ES digitālā Covid sertifikāta vārteju. Šajā nolūkā Komisija:

a)

nozīmē struktūru, kas ir atbildīga par drošības pārvaldību ES digitālā Covid sertifikāta vārtejas līmenī, paziņo kopīgajiem pārziņiem tās kontaktinformāciju un nodrošina tās pieejamību, lai tā varētu reaģēt uz drošības apdraudējumiem;

b)

uzņemas atbildību par ES digitālā Covid sertifikāta vārtejas drošību, tai skaitā regulāri veic drošības pasākumu testus, izvērtējumus un novērtējumus;

c)

nodrošina, ka visas personas, kam piešķirta piekļuve ES digitālā Covid sertifikāta vārtejai, ir uzņēmušās līgumiskas, profesionālas vai likumā paredzētas saistības attiecībā uz konfidencialitāti.

5.

Veic visus vajadzīgos drošības pasākumus, lai nebūtu apdraudēta valstu aizmugursistēmas serveru raita darbība. Šajā nolūkā Komisija ievieš īpašas procedūras, kas saistītas ar aizmugursistēmas serveru pieslēgšanu ES digitālā Covid sertifikāta vārtejai. Tajās iekļauj:

a)

riska novērtēšanas procedūru, kurā nosaka un novērtē iespējamos sistēmas apdraudējumus;

b)

revīzijas un pārbaudes procedūru, kurā:

i)

pārbauda īstenoto drošības pasākumu atbilstību piemērojamajai drošības politikai;

ii)

regulāri kontrolē sistēmas datņu integritāti, drošības parametrus un piešķirtos pilnvarojumus;

iii)

veic novērošanu, lai atklātu drošības pārkāpumus un ielaušanos;

iv)

ievieš izmaiņas, lai mazinātu pastāvošos drošības trūkumus;

v)

paredz nosacījumus, kādos tiek atļauts, arī pēc pārziņu pieprasījuma, veikt neatkarīgas revīzijas, arī pārbaudes, un piedalīties tajās, un pārskatīt drošības pasākumus, ievērojot nosacījumus, kuros ir ņemts vērā LESD 7. protokols par privilēģijām un imunitāti Eiropas Savienībā;

c)

kontroles procedūras maiņu, lai dokumentētu un novērtētu izmaiņu ietekmi pirms to ieviešanas, un kopīgo pārziņu regulāru informēšanu par jebkurām izmaiņām, kas var ietekmēt sakarus ar to infrastruktūrām un/vai šo infrastruktūru drošību;

d)

apkopes un remonta procedūras noteikšanu, lai precizētu noteikumus un nosacījumus, kādi jāievēro, kad veic aprīkojuma apkopi un/vai remontu;

e)

procedūras noteikšanu attiecībā uz drošības incidentiem, lai definētu ziņošanas un eskalācijas shēmu, nekavējoties informētu ietekmētos pārziņus par jebkuru persondatu aizsardzības pārkāpumu, nekavējoties informētu pārziņus, kuri attiecīgi informē nacionālās datu aizsardzības iestādes, kā arī tādas disciplinārās procedūras definēšanu, saskaņā ar kuru risina drošības pārkāpumus.

6.

Veic mūsdienīgus fiziskus un/vai loģiskus drošības pasākumus objektiem, kuros atrodas ES digitālā Covid sertifikāta vārtejas aprīkojums, un loģisko datu un drošības piekļuves kontrolei. Šajā nolūkā Komisija:

a)

pastiprina fizisko drošību, lai izveidotu norobežotus drošības perimetrus un varētu atklāt pārkāpumus;

b)

kontrolē piekļuvi infrastruktūrai un uztur apmeklētāju reģistru izsekošanas vajadzībām;

c)

nodrošina, ka ārējas personas, kam dota piekļuve telpām, eskortē pienācīgi pilnvarots personāls;

d)

nodrošina, ka bez iepriekšējas izraudzīto atbildīgo struktūru atļaujas nav iespējams pievienot, nomainīt vai izņemt aprīkojumu;

e)

kontrolē valstu aizmugursistēmas serveru un uzticamības satvara vārtejas savstarpējo piekļuvi;

f)

nodrošina, ka cilvēki, kas piekļūst ES digitālā Covid sertifikāta vārtejai, tiek identificēti un autentificēti;

g)

drošības pārkāpuma gadījumā, kas skar šo infrastruktūru, pārbauda tiesības, kas saistītas ar piekļuvi ES digitālā Covid sertifikāta vārtejai;

h)

saglabā caur ES digitālā Covid sertifikāta vārteju nosūtītās informācijas integritāti;

i)

īsteno tehniskus un organizatoriskus drošības pasākumus, lai nepieļautu neatļautu piekļuvi persondatiem;

j)

vajadzības gadījumā īsteno pasākumus, kas bloķē neatļautu piekļuvi ES digitālā Covid sertifikāta vārtejai no izdevējiestāžu domēna (t. i., bloķē vietas/IP adresi).

7.

Veic pasākumus, lai aizsargātu savu domēnu, arī sarauj savienojumus, ja ir būtiska novirze no kvalitātes vai drošības principiem vai jēdzieniem.

8.

Uztur riska pārvaldības plānu, kas attiecas uz tās atbildības jomu.

9.

Reāllaikā pārrauga visu savu pakalpojumu komponentu veiktspēju uzticamības satvara vārtejā, regulāri sagatavo statistiku un kārto uzskaiti.

10.

24 stundas dienā un 7 dienas nedēļā pa tālruni, e-pastu vai tīmekļa portālā sniedz atbalstu angļu valodā par visiem uzticamības satvara vārtejas pakalpojumiem un atbild, ja zvana apstiprināti zvanītāji: ES digitālā Covid sertifikāta vārtejas koordinatori un to attiecīgie palīdzības dienesti, projektu vadītāji un nozīmētas personas no Komisijas.

11.

Ar attiecīgiem tehniskiem un organizatoriskiem pasākumiem atbilstīgi Regulas (ES) 2018/1725 12. pantam, cik vien iespējams, palīdz kopīgajiem pārziņiem pildīt pārziņu pienākumu atbildēt uz pieprasījumiem, kuros datu subjekti vēlas izmantot tiesības, kas noteiktas Vispārīgās datu aizsardzības regulas III nodaļā.

12.

Atbalsta kopīgos pārziņus, sniedzot informāciju par ES digitālā Covid sertifikāta vārteju, lai pildītu Vispārīgās datu aizsardzības regulas 32., 33., 34., 35. un 36. pantā noteiktos pienākumus.

13.

Nodrošina, ka ES digitālā Covid sertifikāta vārtejā apstrādātie dati ir nesaprotami personām, kam nav atļauts tiem piekļūt.

14.

Veic visus nepieciešamos pasākumus, lai nepieļautu, ka ES digitālā Covid sertifikāta vārtejas operatoriem būtu neatļauta piekļuve nosūtītajiem datiem.

15.

Veic pasākumus, lai atvieglotu sadarbspēju un saziņu starp nozīmētajiem ES digitālā Covid sertifikāta vārtejas pārziņiem.

16.

Saskaņā ar Regulas (ES) 2018/1725 31. panta 2. punktu uztur kopīgo pārziņu vārdā veikto apstrādes darbību reģistru.


Top