DEĊIŻJONI TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2022/483

tal-21 ta’ Marzu 2022

li temenda d-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/1073 li tistabbilixxi speċifikazzjonijiet tekniċi u regoli għall-implimentazzjoni tal-qafas ta’ fiduċja għaċ-Ċertifikat COVID Diġitali tal-UE stabbilit bir-Regolament (UE) 2021/953 tal-Parlament Ewropew u tal-Kunsill

(Test b’rilevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) 2021/953 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Ġunju 2021 dwar qafas għall-ħruġ, għall-verifika u għall-aċċettazzjoni ta’ ċertifikati COVID-19 interoperabbli tat-tilqim, tat-testijiet u tal-fejqan (Ċertifikat COVID Diġitali tal-UE) għall-faċilitazzjoni tal-moviment liberu waqt il-pandemija tal-COVID-19 (1), u b’mod partikolari l-Artikolu 9(1) tiegħu,

Billi:

(1)

Ir-Regolament (UE) 2021/953 jistabbilixxi ċ-Ċertifikat COVID Diġitali tal-UE li jagħti prova li persuna tkun irċeviet tilqima kontra l-COVID-19, riżultat tat-test negattiv, jew li tkun fieqet minn infezzjoni għall-fini tal-faċilitazzjoni tal-eżerċizzju tad-detenturi tad-dritt tagħhom għall-moviment liberu matul il-pandemija tal-COVID-19.

(2)

Ir-Regolament (UE) 2021/954 tal-Parlament Ewropew u tal-Kunsill (2) jipprevedi li l-Istati Membri għandhom japplikaw ir-regoli stabbiliti fir-Regolament (UE) 2021/953 għaċ-ċittadini ta’ pajjiżi terzi li ma jaqgħux fil-kamp ta’ applikazzjoni ta’ dak ir-Regolament, iżda li joqogħdu jew li jirrisjedu legalment fit-territorju tagħhom u li huma intitolati li jivvjaġġaw lejn Stati Membri oħra f’konformità mad-dritt tal-Unjoni.

(3)

Ir-Rakkomandazzjoni tal-Kunsill (UE) 2022/290 li temenda r-Rakkomandazzjoni (UE) 2020/912 dwar ir-restrizzjoni temporanja fuq vjaġġar mhux essenzjali lejn l-UE u t-tneħħija possibbli ta’ tali restrizzjoni (3) tipprevedi li ċ-ċittadini ta’ pajjiżi terzi li jixtiequ jagħmlu vjaġġar mhux essenzjali minn pajjiżi terzi lejn l-Unjoni jenħtieġ li jkollhom prova valida tat-tilqim jew tal-fejqan, bħal Ċertifikat COVID Diġitali tal-UE jew ċertifikat tal-COVID-19 maħruġ minn pajjiż terz kopert minn att ta’ implimentazzjoni adottat skont l-Artikolu 8(2) tar-Regolament (UE) 2021/953.

(4)

Sabiex iċ-Ċertifikat COVID Diġitali tal-UE jkun jista’ jintuża madwar l-Unjoni, il-Kummissjoni adottat id-Deċiżjoni ta’ Implimentazzjoni (UE) 2021/1073 (4), li tistabbilixxi speċifikazzjonijiet tekniċi u regoli biex iċ-Ċertifikati COVID Diġitali tal-UE jimtlew, jinħarġu u jiġu verifikati b’mod sigur, biex tkun żgurata l-protezzjoni tad-data personali, biex tiġi stabbilita l-istruttura komuni tal-identifikatur uniku taċ-ċertifikat, u biex jinħareġ barcode validu, sigur u interoperabbli.

(5)

F’konformità mal-Artikolu 4 tar-Regolament (UE) 2021/953, il-Kummissjoni u l-Istati Membri kellhom jistabbilixxu u jżommu qafas ta’ fiduċja għaċ-Ċertifikat COVID Diġitali tal-UE. Dak il-qafas ta’ fiduċja jista’ jappoġġa l-iskambju bilaterali tal-listi ta’ revoka taċ-ċertifikati li jkun fihom l-identifikaturi uniċi taċ-ċertifikati ta’ ċertifikati rrevokati.

(6)

Fl-1 ta’ Lulju 2021, il-gateway taċ-Ċertifikat COVID Diġitali tal-UE (“il-gateway”), li hija l-parti ċentrali tal-qafas ta’ fiduċja u li tippermetti l-iskambju sigur u affidabbli bejn l-Istati Membri tal-kjavi pubbliċi użati biex jiġu vverifikati ċ-Ċertifikati COVID Diġitali tal-UE, saret operattiva.

(7)

Minħabba l-introduzzjoni b’suċċess u fuq skala kbira tagħhom, iċ-Ċertifikati COVID Diġitali tal-UE sfaw fil-mira tal-frodaturi li jfittxu modi ta’ kif joħorġu ċertifikati frawdolenti. Għalhekk, jeħtieġ li dawk iċ-ċertifikati frawdolenti jiġu rrevokati. Barra minn hekk, ċerti Ċertifikati COVID Diġitali tal-UE jistgħu jiġu rrevokati mill-Istati Membri fil-livell nazzjonali għal raġunijiet mediċi u ta’ saħħa pubblika, pereżempju minħabba li lott ta’ vaċċini li jkunu ġew amministrati, aktar tard jinstab li jkunu difettużi.

(8)

Filwaqt li s-sistema taċ-Ċertifikat COVID Diġitali tal-UE hija kapaċi tiżvela immedjatament iċ-ċertifikati ffalsifikati, iċ-ċertifikati awtentiċi li jinħarġu illegalment abbażi ta’ dokumentazzjoni falza, aċċess mhux awtorizzat jew b’intenzjoni frawdolenti ma jistgħux jiġu identifikati fi Stati Membri oħra, sakemm il-listi ta’ ċertifikati rrevokati ġġenerati fil-livell nazzjonali ma jiġux skambjati bejn l-Istati Membri. L-istess japplika għaċ-ċertifikati li ġew irrevokati għal raġunijiet mediċi u ta’ saħħa pubblika. Nuqqas min-naħa tal-applikazzjonijiet għall-verifika tal-Istati Membri li jidentifikaw iċ-ċertifikati rrevokati minn Stati Membri oħra huwa ta’ theddida għas-saħħa pubblika u jimmina l-fiduċja u l-kunfidenza taċ-ċittadini fis-sistema taċ-Ċertifikat COVID Diġitali tal-UE.

(9)

Kif innotat fil-Permessa 19 tar-Regolament (UE) 2021/953, jenħtieġ li għal raġunijiet mediċi u ta’ saħħa pubblika u fil-każ ta’ ċertifikati maħruġa jew miksubin b’mod frawdolenti, l-Istati Membri jkunu jistgħu jistabbilixxu u jiskambjaw ma’ Stati Membri oħra għall-fini ta’ dak ir-Regolament listi ta’ revoka taċ-ċertifikati f’każijiet limitati, b’mod partikolari fir-rigward ta’ ċertifikati li jkunu nħarġu bi żball, bħala riżultat ta’ frodi jew wara s-sospensjoni ta’ lott ta’ vaċċini kontra l-COVID-19 li jinstab li jkunu difettużi. Jenħtieġ li l-Istati Membri ma jkunux jistgħu jirrevokaw ċertifikati maħruġa minn Stati Membri oħra. Il-listi ta’ revoka taċ-ċertifikati skambjati jenħtieġ li ma jkun fihom ebda data personali apparti l-identifikaturi uniċi taċ-ċertifikati. B’mod partikolari, jenħtieġ li ma jkunux jinkludu r-raġuni għaliex ċertifikat ikun ġie rrevokat.

(10)

Barra mill-informazzjoni ġenerali dwar il-possibbiltà ta’ revoka taċ-ċertifikati u r-raġuni possibbli għal dan, jenħtieġ li d-detenturi ta’ ċertifikati rrevokati jiġu infurmati minnufih mill-awtorità tal-ħruġ responsabbli dwar ir-revoka taċ-ċertifikati tagħhom u dwar ir-raġuni għar-revoka. Madankollu, f’xi każijiet u b’mod partikolari fil-każ taċ-Ċertifikati COVID Diġitali tal-UE stampati, li d-detentur jiġi traċċat u infurmat dwar ir-revoka jista’ jkun impossibbli jew ikun jinvolvi sforz sproporzjonat. Jenħtieġ li l-Istati Membri ma jiġbrux data personali addizzjonali mhux meħtieġa għall-proċess tal-ħruġ biss biex ikunu jistgħu jinfurmaw lid-detenturi taċ-ċertifikati f’każ li ċ-ċertifikati tagħhom jiġu rrevokati.

(11)	Għalhekk, jeħtieġ li l-qafas ta’ fiduċja taċ-Ċertifikat COVID Diġitali tal-UE jissaħħaħ billi jiġi appoġġat l-iskambju bilaterali tal-listi ta’ revoka taċ-ċertifikati bejn l-Istati Membri.

(12)

Din id-Deċiżjoni ma tkoprix is-sospensjoni temporanja taċ-ċertifikati għal każijiet ta’ użu nazzjonali li jaqgħu barra mill-kamp ta’ applikazzjoni tar-Regolament dwar iċ-Ċertifikat COVID Diġitali tal-UE, pereżempju minħabba li d-detentur ta’ ċertifikat tat-tilqim ikun irriżulta pożittiv għas-SARS-CoV-2. Hija mingħajr preġudizzju għall-proċeduri stabbiliti għall-kontroll tar-regoli operattivi għall-validità taċ-ċertifikati.

(13)

Filwaqt li minn perspettiva teknika, huwa fattibbli li jkun hemm arkitetturi differenti għall-iskambju tal-listi ta’ revoka, l-aktar mezz xieraq ta’ kif dawn jiġu skambjati huwa permezz tal-gateway, peress li dan jillimita l-iskambji tad-data għall-qafas ta’ fiduċja diġà stabbilit u jnaqqas kemm l-għadd ta’ punti ta’ falliment possibbli kif ukoll l-għadd ta’ skambji bejn l-Istati Membri meta mqabbel ma’ sistema alternattiva bejn il-pari.

(14)

Għaldaqstant, jenħtieġ li l-gateway taċ-Ċertifikat COVID Diġitali tal-UE tissaħħaħ biex tappoġġa l-iskambju sigur taċ-Ċertifikati COVID Diġitali tal-UE rrevokati għall-fini tal-verifika sigura tagħhom permezz tal-Gateway. F’dan ir-rigward, jenħtieġ li jiġu implimentati miżuri ta’ sigurtà xierqa biex tiġi protetta d-data personali pproċessata fil-gateway. Sabiex jiġi żgurat livell għoli ta’ protezzjoni, jenħtieġ li l-attributi taċ-ċertifikat jiġu psewdonimizzati mill-Istati Membri permezz ta’ hash irriversibbli li għandu jiġi inkluż fil-listi ta’ revoka. Fil-fatt, jenħtieġ li l-identifikatur uniku jitqies bħala data psewdonimizzata għall-operazzjonijiet ta’ proċessar mwettqin fil-qafas tal-gateway.

(15)	Barra minn hekk, jenħtieġ li jiġu stabbiliti d-dispożizzjonijiet dwar ir-rwol tal-Istati Membri u tal-Kummissjoni fir-rigward tal-iskambju tal-listi ta’ revoka taċ-ċertifikati.

(16)

Jenħtieġ li l-ipproċessar tad-data personali tad-detenturi taċ-ċertifikati, li jsir taħt ir-responsabbiltà tal-Istati Membri jew ta’ organizzazzjonijiet pubbliċi jew korpi uffiċjali oħra fl-Istati Membri, jitwettaq f’konformità mar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (5). Jenħtieġ li l-ipproċessar tad-data personali, li jaqa’ taħt ir-responsabbiltà tal-Kummissjoni għall-fini tal-ġestjoni u l-iżgurar tas-sigurtà tal-Gateway taċ-Ċertifikat COVID Diġitali tal-UE jikkonforma mar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (6).

(17)

L-Istati Membri, irrappreżentati mill-awtoritajiet nazzjonali jew mill-korpi uffiċjali nominati, jiddeterminaw flimkien il-fini u l-mezzi tal-ipproċessar tad-data personali permezz tal-gateway taċ-Ċertifikat COVID Diġitali tal-UE u għalhekk huma kontrolluri konġunti. L-Artikolu 26 tar-Regolament (UE) 2016/679 jimponi obbligu fuq il-kontrolluri konġunti ta’ operazzjonijiet tal-ipproċessar tad-data personali biex ir-responsabbiltajiet rispettivi tagħhom għall-konformità mal-obbligi skont dak ir-Regolament jiġu ddeterminati b’mod trasparenti. Dan jipprevedi wkoll il-possibbiltà li dawk ir-responsabbiltajiet jiġu ddeterminati mid-dritt tal-Unjoni jew tal-Istat Membru li għalih ikunu soġġetti l-kontrolluri. Jenħtieġ li l-arranġament imsemmi fl-Artikolu 26 jiġi inkluż fl-Anness III ta’ din id-Deċiżjoni.

(18)

Ir-Regolament (UE) 2021/953 jassenja kompitu lill-Kummissjoni biex tappoġġa tali skambji. L-aktar mod xieraq ta’ kif jitwettaq dak il-mandat huwa li jinġabru l-listi ta’ revoka taċ-ċertifikati sottomessi f’isem l-Istati Membri. Għaldaqstant, jenħtieġ li l-Kummissjoni tiġi assenjata rwol ta’ proċessur tad-data biex tappoġġa dawn l-iskambji billi tiffaċilita l-iskambji tal-listi permezz tal-gateway taċ-Ċertifikat COVID Diġitali tal-UE f’isem l-Istati Membri.

(19)

Il-Kummissjoni, bħala fornitur ta’ soluzzjonijiet tekniċi u organizzattivi għall-gateway taċ-Ċertifikat COVID Diġitali tal-UE, tipproċessa d-data personali fil-listi ta’ revoka fil-gateway f’isem l-Istati Membri bħala kontrolluri konġunti. Għaldaqstant, taġixxi bħala l-proċessur tagħhom. Skont l-Artikolu 28 tar-Regolament (UE) 2016/679 u l-Artikolu 29 tar-Regolament (UE) 2018/1725, l-ipproċessar minn proċessur għandu jkun irregolat minn kuntratt jew minn att legali skont id-dritt tal-Unjoni jew ta’ Stat Membru, li jorbot lill-proċessur fir-rigward tal-kontrollur, u li jispeċifika l-ipproċessar. Għaldaqstant, jeħtieġ li jiġu stabbiliti r-regoli dwar l-ipproċessar mill-Kummissjoni bħala proċessur tad-data.

(20)

Il-kompitu ta’ appoġġ tal-Kummissjoni ma jinvolvix l-istabbiliment ta’ bażi tad-data ċentrali kif imsemmi fil-Premessa 52 tar-Regolament (UE) 2021/953. Dik il-projbizzjoni hija maħsuba biex tevita repożitorju ċentrali taċ-Ċertifikati COVID Diġitali tal-UE kollha maħruġa u ma tipprekludix lill-Istati Membri milli jiskambjaw il-listi ta’ revoka, li huwa espressament previst fl-Artikolu 4(2) tar-Regolament (UE) 2021/953.

(21)	Meta tipproċessa data personali fil-gateway taċ-Ċertifikat COVID Diġitali tal-UE, il-Kummissjoni hija marbuta bid-Deċiżjoni tal-Kummissjoni (UE, Euratom) 2017/46 (7).

(22)

L-Artikolu 3(10) tar-Regolament (UE) 2021/953 jippermetti lill-Kummissjoni tadotta atti ta’ implimentazzjoni li jistabbilixxu li ċertifikati tal-COVID-19 maħruġa minn pajjiż terz li miegħu l-Unjoni u l-Istati Membri jkunu kkonkludew ftehim dwar il-moviment liberu tal-persuni li jippermetti lill-partijiet kontraenti jirrestrinġu tali moviment liberu għal raġunijiet ta’ saħħa pubblika b’mod nondiskriminatorju u li ma jkunx fih mekkaniżmu ta’ inkorporazzjoni ta’ atti legali tal-Unjoni huma ekwivalenti għal dawk maħruġa f’konformità ma’ dan ir-Regolament. Abbażi ta’ dak, fit-8 ta’ Lulju 2021, il-Kummissjoni adottat id-Deċiżjoni ta’ Implimentazzjoni (UE) 2021/1126 (8) li tistabbilixxi l-ekwivalenza taċ-ċertifikati tal-COVID-19 maħruġa mill-Iżvizzera.

(23)

L-Artikolu 8(2) tar-Regolament (UE) 2021/953 jippermetti lill-Kummissjoni tadotta atti ta’ implimentazzjoni li jistabbilixxu li ċ-ċertifikati tal-COVID-19 maħruġa minn pajjiż terz f’konformità mal-istandards u s-sistemi teknoloġiċi li jkunu interoperabbli mal-qafas ta’ fiduċja għaċ-Ċertifikat COVID Diġitali tal-UE u li jippermettu l-verifika tal-awtentiċità, il-validità u l-integrità taċ-ċertifikat, u li jkun fihom id-data stabbilita fl-Anness tar-Regolament, iridu jiġu ttrattati bħala ekwivalenti għaċ-Ċertifikati COVID Diġitali tal-UE għall-fini li jiġi ffaċilitat l-eżerċizzju tad-detenturi tad-dritt tagħhom għall-moviment liberu fl-Unjoni. Kif innotat fil-Premessa 28 tar-Regolament (UE) 2021/953, l-Artikolu 8(2) ta’ dak ir-Regolament jikkonċerna l-aċċettazzjoni ta’ ċertifikati maħruġa minn pajjiżi terzi liċ-ċittadini tal-Unjoni u lill-membri tal-familja tagħhom. Il-Kummissjoni diġà adottat diversi atti ta’ implimentazzjoni bħal dawn.

(24)

Sabiex jiġu evitati l-lakuni fl-identifikazzjoni taċ-ċertifikati rrevokati koperti minn tali atti ta’ implimentazzjoni, jenħtieġ li l-pajjiżi terzi ta’ min iċ-ċertifikati tal-COVID-19 ikunu tqiesu ekwivalenti skont l-Artikolu 3(10) u l-Artikolu 8(2) tar-Regolament (UE) 2021/953 ikollhom ukoll il-possibbiltà li jissottomettu l-listi ta’ revoka taċ-ċertifikati rilevanti lill-gateway taċ-Ċertifikat COVID Diġitali tal-UE.

(25)

Xi ċittadini ta’ pajjiżi terzi li jkollhom ċertifikati tal-COVID-19 irrevokati maħruġa minn pajjiż terz li ċ-ċertifikati tal-COVID-19 tiegħu jkunu tqiesu ekwivalenti skont ir-Regolament (UE) 2021/953 jistgħu jaqgħu barra mill-kamp ta’ applikazzjoni jew ta’ dak ir-Regolament jew tar-Regolament (UE) 2021/954 meta lista ta’ revoka li tinkludi ċ-ċertifikati tagħhom tiġi ġġenerata mill-pajjiż terz ikkonċernat. Madankollu, ma jistax ikun magħruf jekk iċ-ċittadini kollha ta’ pajjiżi terzi li huma detenturi ta’ ċertifikati rrevokati jaqgħux fil-kamp ta’ applikazzjoni ta’ kwalunkwe wieħed mir-Regolamenti, fil-mument meta tiġi ġġenerata lista ta’ revoka taċ-ċertifikati mill-pajjiż terz ikkonċernat. Għalhekk, mhuwiex fattibbli li l-persuni li mhumiex koperti mill-kamp ta’ applikazzjoni ta’ kwalunkwe wieħed minn dawn ir-regolamenti jiġu esklużi fil-mument meta jiġu ġġenerati l-listi ta’ revoka taċ-ċertifikati ta’ dawk il-pajjiżi, u t-tentattivi biex dan isir jagħmilha impossibbli għall-Istati Membri biex jidentifikaw iċ-ċertifikati rrevokati miżmuma minn ċittadini ta’ pajjiżi terzi li jivvjaġġaw lejn l-Unjoni għall-ewwel darba. Madankollu, anke ċ-ċertifikati rrevokati ta’ dawk iċ-ċittadini ta’ pajjiżi terzi jiġu vverifikati mill-Istati Membri meta d-detenturi tagħhom jivvjaġġaw lejn l-Unjoni, u sussegwentement, meta jivvjaġġaw fl-Unjoni. Il-pajjiżi terzi li ċ-ċertifikati tagħhom ikunu tqiesu ekwivalenti skont ir-Regolament (UE) 2021/953 mhumiex involuti fil-governanza tal-gateway u għalhekk ma jikkwalifikawx bħala kontrolluri konġunti.

(26)

Barra minn hekk, is-sistema taċ-Ċertifikat COVID Diġitali tal-UE wriet li hija l-unika sistema taċ-ċertifikat COVID-19 li qed titħaddem fuq skala kbira fil-livell internazzjonali. Minħabba f’hekk, iċ-Ċertifikat COVID Diġitali tal-UE sar aktar sinifikanti fil-livell dinji u kkontribwixxa għall-indirizzar tal-pandemija fil-livell internazzjonali billi ffaċilita l-ivvjaġġar internazzjonali sikur kif ukoll l-irkupru globali. Fil-proċess tal-adozzjoni ta’ atti ta’ implimentazzjoni addizzjonali skont l-Artikolu 8(2) tar-Regolament (UE) 2021/953, jinqalgħu ħtiġijiet ġodda rigward il-mili taċ-Ċertifikat COVID Diġitali tal-UE. Skont ir-regoli stabbiliti fid-Deċiżjoni ta’ Implimentazzjoni (UE) 2021/1073, il-kunjom huwa entrata obbligatorja fil-kontenut tekniku taċ-ċertifikat. Jeħtieġ li dak ir-rekwiżit jiġi emendat biex jippromwovi l-inklużjoni u l-interoperabbiltà ma’ sistemi oħra, peress li, f’xi pajjiżi terzi, hemm persuni mingħajr kunjom. F’każijiet fejn isem id-detentur taċ-ċertifikat ma jkunx jista’ jinqasam f’żewġ partijiet, jenħtieġ li l-isem jitqiegħed fl-istess entrata (kunjom jew isem) taċ-Ċertifikat COVID Diġitali tal-UE bħalma jsir fid-dokument tal-ivvjaġġar jew tal-identità tad-detentur. Din il-bidla tallinja aħjar il-kontenut tekniku taċ-ċertifikati mal-ispeċifikazzjonijiet attwalment validi fir-rigward tad-dokumenti tal-ivvjaġġar li jinqraw mill-magni, ippubblikati mill-Organizzazzjoni tal-Avjazzjoni Ċivili Internazzjonali.

(27)	Għalhekk, jenħtieġ li d-Deċiżjoni ta’ Implimentazzjoni (UE) 2021/1073 tiġi emendata skont dan.

(28)	Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 u ta l-opinjoni tiegħu fil-11 ta’ Marzu 2022.

(29)

Sabiex l-Istati Membri u l-Kummissjoni jkollhom biżżejjed ħin biex jimplimentaw il-bidliet meħtieġa biex jippermettu l-iskambju tal-listi ta’ revoka taċ-ċertifikati permezz tal-gateway taċ-Ċertifikat COVID Diġitali tal-UE, jenħtieġ li din id-Deċiżjoni tibda tapplika erba’ ġimgħat wara d-dħul fis-seħħ tagħha.

(30)	Il-miżuri previsti f’din id-Deċiżjoni huma konformi mal-opinjoni tal-Kumitat stabbilit skont l-Artikolu 14 tar-Regolament (UE) 2021/953,

ADOTTAT DIN ID-DEĊIŻJONI:

Artikolu 1

Id-Deċiżjoni ta’ Implimentazzjoni (UE) 2021/1073 hija emendata kif ġej:

(1)

jiddaħħlu l-Artikoli 5a, 5b u 5c li ġejjin:

“Artikolu 5a

Skambju tal-listi ta’ revoka taċ-ċertifikati

1. Il-qafas ta’ fiduċja taċ-Ċertifikat COVID Diġitali tal-UE għandu jippermetti l-iskambju tal-listi ta’ revoka taċ-ċertifikati permezz tal-gateway ċentrali taċ-Ċertifikat COVID Diġitali tal-UE (il-“gateway”) f’konformità mal-ispeċifikazzjonijiet tekniċi fl-Anness I.

2. Fejn l-Istati Membri jirrevokaw iċ-Ċertifikati COVID Diġitali tal-UE, dawn jistgħu jissottomettu listi ta’ revoka taċ-ċertifikati lill-gateway.

3. Fejn l-Istati Membri jissottomettu l-listi ta’ revoka taċ-ċertifikati, l-awtoritajiet tal-ħruġ għandhom iżommu lista ta’ ċertifikati rrevokati.

4. Fejn id-data personali tiġi skambjata permezz tal-gateway, l-ipproċessar għandu jkun limitat għall-fini tal-appoġġ tal-iskambju ta’ informazzjoni tar-revoka. Tali data personali għandha tintuża biss għall-fini tal-verifika tal-istatus ta’ revoka taċ-Ċertifikati COVID Diġitali tal-UE maħruġa fil-kamp ta’ applikazzjoni tar-Regolament (UE) 2021/953.

5. L-informazzjoni sottomessa lill-gateway għandha tinkludi d-data li ġejja f’konformità mal-ispeċifikazzjonijiet tekniċi fl-Anness I:

(a)	l-identifikaturi uniċi taċ-ċertifikat psewdonimizzati taċ-ċertifikati rrevokati,

(b)	data tal-iskadenza għal-lista ta’ revoka taċ-ċertifikat sottomessa;

6. Fejn awtorità tal-ħruġ tirrevoka ċ-Ċertifikati COVID Diġitali tal-UE li tkun ħarġet skont ir-Regolament (UE) 2021/953 jew ir-Regolament (UE) 2021/954 u jkollha l-intenzjoni li tiskambja l-informazzjoni rilevanti permezz tal-gateway, din għandha tittrażmetti l-informazzjoni msemmija fil-paragrafu 5 fil-forma ta’ listi ta’ revoka taċ-ċertifikat lill-gateway f’format sigur f’konformità mal-ispeċifikazzjonijiet tekniċi fl-Anness I.

7. L-awtoritajiet tal-ħruġ għandhom, sa fejn possibbli, jipprovdu soluzzjoni biex jinfurmaw lid-detenturi taċ-ċertifikati rrevokati dwar l-istatus ta’ revoka taċ-ċertifikati tagħhom u r-raġuni għar-revoka fil-mument tar-revoka.

8. Il-gateway għandha tiġbor il-listi ta’ revoka taċ-ċertifikati riċevuti u għandha tipprovdi l-għodod għad-distribuzzjoni tal-listi lill-Istati Membri. Il-gateway għandha awtomatikament tħassar il-listi f’konformità mad-dati tal-iskadenza indikati għal kull lista sottomessa mill-awtorità li tagħmel is-sottomissjoni.

9. L-awtoritajiet nazzjonali jew il-korpi uffiċjali nominati tal-Istat Membri li jipproċessaw id-data personali fil-gateway għandhom ikunu kontrolluri konġunti tad-data pproċessata. Ir-responsabbiltajiet rispettivi tal-kontrolluri konġunti għandhom jiġu allokati f’konformità mal-Anness VI.

10. Il-Kummissjoni għandha tkun il-proċessur tad-data personali pproċessata fil-gateway. Fil-kapaċità tagħha bħala proċessur f’isem l-Istati Membri, il-Kummissjoni għandha tiżgura s-sigurtà tat-trażmissjoni u l-ospitar tad-data personali fil-gateway u għandha tikkonforma mal-obbligi tal-proċessur stabbiliti fl-Anness VII.

11. L-effettività tal-miżuri tekniċi u organizzattivi għall-iżgurar tas-sigurtà tal-ipproċessar tad-data personali fil-gateway għandha tiġi ttestjata, ivvalutata u evalwata regolarment mill-Kummissjoni u mill-kontrolluri konġunti.

Artikolu 5b

Sottomissjoni tal-listi ta’ revoka taċ-ċertifikati minn pajjiżi terzi

Il-pajjiżi terzi li joħorġu ċ-ċertifikati tal-COVID-19 li fir-rigward tagħhom il-Kummissjoni tkun adottat att ta’ implimentazzjoni skont l-Artikolu 3(10) jew l-Artikolu 8(2) tar-Regolament (UE) 2021/953, jistgħu jissottomettu listi taċ-ċertifikati tal-COVID-19 irrevokati koperti minn tali att ta’ implimentazzjoni li għandhom jiġu pproċessati mill-Kummissjoni f’isem il-kontrolluri konġunti fil-gateway msemmija fl-Artikolu 5a, f’konformità mal-ispeċifikazzjonijiet tekniċi stabbiliti fl-Anness I.

Artikolu 5c

Governanza tal-ipproċessar tad-data personali fil-gateway ċentrali taċ-Ċertifikat COVID Diġitali tal-UE

1. Il-proċess tat-teħid ta’ deċiżjonijiet tal-kontrolluri konġunti għandu jkun irregolat minn grupp ta’ ħidma stabbilit skont il-Kumitat imsemmi fl-Artikolu 14 tar-Regolament (UE) 2021/953.

2. L-awtoritajiet nazzjonali jew il-korpi uffiċjali nominati tal-Istat Membri li jipproċessaw id-data personali fil-gateway bħala kontrolluri konġunti għandhom jinnominaw ir-rappreżentanti għal dak il-grupp.”

(2)	l-Anness I huwa emendat f’konformità mal-Anness I ta’ din id-Deċiżjoni;

(3)	l-Anness V huwa emendat f’konformità mal-Anness II ta’ din id-Deċiżjoni;

(4)	it-test fl-Anness III ta’ din id-Deċiżjoni jiżdied bħala l-Anness VI;

(5)	it-test fl-Anness IV ta’ din id-Deċiżjoni jiżdied bħala l-Anness VII.

Artikolu 2

Din id-Deċiżjoni għandha tidħol fis-seħħ fit-tielet jum wara dak tal-pubblikazzjoni tagħha f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Għandha tapplika minn erba’ ġimgħat wara d-dħul fis-seħħ tagħha.

Magħmul fi Brussell, il-21 ta’ Marzu 2022.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1) ĠU L 211, 15.6.2021, p. 1.

(2) Ir-Regolament (UE) 2021/954 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Ġunju 2021 dwar qafas għall-ħruġ, għall-verifika u għall-aċċettazzjoni ta’ ċertifikati COVID-19 interoperabbli tat-tilqim, tat-testijiet u tal-fejqan (Ċertifikat COVID Diġitali tal-UE) fir-rigward taċ-ċittadini ta’ pajjiżi terzi li joqogħdu jew li jirrisjedu legalment fit-territorji tal-Istati Membri waqt il-pandemija tal-COVID-19 (ĠU L 211, 15.6.2021, p. 24).

(3) Ir-Rakkomandazzjoni tal-Kunsill (UE) 2022/290 tat-22 ta’ Frar 2022 li temenda r-Rakkomandazzjoni tal-Kunsill (UE) 2020/912 dwar ir-restrizzjoni temporanja fuq vjaġġar mhux essenzjali lejn l-UE u t-tneħħija possibbli ta’ tali restrizzjoni (ĠU L 43, 24.2.2022, p. 79).

(4) Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/1073 tat-28 ta’ Ġunju 2021 li tistabbilixxi speċifikazzjonijiet tekniċi u regoli għall-implimentazzjoni tal-qafas ta’ fiduċja għaċ-Ċertifikat COVID Diġitali tal-UE stabbilit bir-Regolament (UE) 2021/953 tal-Parlament Ewropew u tal-Kunsill (ĠU L 230, 30.6.2021, p. 32).

(5) Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1).

(6) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39).

(7) Il-Kummissjoni tippubblika aktar informazzjoni dwar l-istandards ta’ Sigurtà li japplikaw għas-sistemi ta’ informazzjoni kollha tal-Kummissjoni Ewropea fuq https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.

(8) Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/1126 tat-8 ta’ Lulju 2021 li tistabbilixxi l-ekwivalenza taċ-ċertifikati tal-COVID-19 maħruġa mill-Iżvizzera għaċ-ċertifikati maħruġa f’konformità mar-Regolament (UE) 2021/953 tal-Parlament Ewropew u tal-Kunsill (ĠU L 243, 9.7.2021, p. 49).

ANNESS I

Fl-Anness I tad-Deċiżjoni ta’ Implimentazzjoni (UE) 2021/1073 tiżdied it-taqsima 9 li ġejja:

“9. Soluzzjoni ta’ revoka

9.1. Dispożizzjoni tal-Lista ta’ Revoka tad-DCC (DRL)

Il-Gateway għandu jipprovdi punti ta’ tmiem u funzjonalità biex jinżammu u jiġu ġestiti l-listi ta’ revoka:

9.2. Mudell ta’ Fiduċja

Il-konnessjonijiet kollha huma stabbiliti mill-mudell ta’ fiduċja standard tad-DCCG miċ-ċertifikati NBTLS u NBUP (ara governanza taċ-ċertifikati). L-informazzjoni kollha tiġi ppakkjata u mtellgħa mill-messaġġi tas-CMS biex tiġi żgurata l-integrità.

9.3. Kostruzzjoni ta’ Lott

9.3.1. Lott (Batch)

Kull lista’ ta’ revoka għandu jkun fiha entrata waħda jew aktar u għandha tiġi ppakkjata f’lottijiet li jkun fihom sett ta’ hashes u l-metadata tagħhom. Lott huwa immutabbli u jiddefinixxi data ta’ skadenza li tindika meta jista’ jitħassar il-lott. Id-data ta’ skadenza tal-oġġetti kollha fil-lott trid tkun eżattament l-istess - jiġifieri l-lottijiet iridu jiġu raggruppati skont id-data ta’ skadenza u billi jiġi ffirmat id-DSC. Kull lott għandu jkollu massimu ta’ 1 000 entrata. Jekk il-lista ta’ revoka tikkonsisti minn aktar minn 1 000 entrata, għandhom jinħolqu diversi lottijiet. Entrata tista’ sseħħ f’mhux aktar minn lott wieħed. Il-lott għandu jiġi ppakkjat fi struttura CMS u ffirmat miċ-ċertifikat NBup tal-pajjiż li għamel l-upload.

9.3.2. Indiċi tal-Lott

Meta jinħoloq lott għandu jiġi assenjat ID uniku mill-gateway u għandu jiżdied awtomatikament mal-indiċi. L-indiċi tal-lottijiet huwa organizzat skont id-data modifikata, f’ordni kronoloġika axxendenti.

9.3.3. Imġiba tal-Gateway

Il-gateway jipproċessa l-lottijiet ta’ revoka mingħajr ebda tibdil: la jista’ jaġġorna jew ineħħi, u lanqas iżid informazzjoni fil-lottijiet. Il-lottijiet jintbagħtu lill-pajjiżi awtorizzati kollha (ara l-Kapitolu 9.6).

Il-gateway josserva b’mod attiv id-dati ta’ skadenza tal-lottijiet u jneħħi l-lottijiet skaduti. Wara li jitħassar il-lott, il-gateway jagħti risposta “HTTP 410 Gone” għall-URL tal-lott imħassar. Għalhekk, il-lott jidher fl-indiċi tal-lott bħala “imħassar”.

9.4. Tipi ta’ Hashes

Il-lista ta’ revoka fiha hashes li jistgħu jirrappreżentaw tipi/attributi ta’ revoka differenti. Dawn it-tipi jew l-attributi għandhom jiġu indikati fil-proviżjonament tal-listi ta’ revoka. It-tipi attwali huma:

Tip	Attribut	Kalkolu tal-Hash
SIGNATURE	DCC Signature	SHA256 of DCC Signature
UCI	UCI (Unique Certificate Identifier)	SHA256 of UCI
COUNTRYCODEUCI	Issuing Country Code + UCI	SHA256 of Issuing CountryCode + UCI

L-ewwel 128 bits tal-hashes ikkodifikati bħala base64 strings biss jitqiegħdu fil-lottijiet u jintużaw biex jidentifikaw id-DCC revokat (1).

9.4.1. Tip ta’ hash: SHA256(DCC Signature)

F’dan il-każ il-hash tiġi kkalkulata fuq il-bytes tal-firma COSE_SIGN1 mis-CWT. Għall-firem tal-RSA, il-firma kollha tintuża bħala input. Il-formula għaċ-ċertifikati ffirmati tal-EC-DSA tuża l-valur r bħala input:

SHA256(r)

[meħtieġa għall-implimentazzjonijiet ġodda kollha]

9.4.2. Tip ta’ hash: SHA256(UCI)

F’dan il-każ il-hash tiġi kkalkulata fuq l-istring UCI kkodifikat f’UTF-8 u kkonvertita f’byte array.

[m’għadux jintuża (2), iżda appoġġat għar-retrokompatibbiltà]

9.4.3. Tip ta’ hash: SHA256(Issuing CountryCode+UCI)

F’dan il-każ il-Kodiċi tal-Pajjiż huwa kkodifikat bħala string UTF-8 miġbura flimkien mal-UCI kkodifikat ma’ string UTF-8. Dan imbagħad jiġi konvertit f’byte array u jintuża bħala input għall-funzjoni hash.

[m’għadux jintuża2, iżda appoġġat għar-retrokompatibbiltà]

9.5. Struttura tal-API

9.5.1. Entrata tar-Revoka Proviżjonament tal-API

9.5.1.1. Skop

L-API tipprovdi l-entrati tal-listi ta’ revoka f’lottijiet inkluż indiċi tal-lott.

9.5.1.2. Punti ta’ Tmiem (Endpoints)

9.5.1.2.1. Punt ta’ Tmiem tat-Tniżżil tal-Lista tal-Lott

Il-punti ta’ tmiem isegwu disinn sempliċi, jirritornaw lista ta’ lottijiet bi tgeżwir żgħir li jipprovdi l-metadata. Il-lottijiet huma organizzati skont id-data f’ordni axxendenti (kronoloġika):

/revocation-list

Verb: GET

Content-Type: application/json

Response: JSON Array

{

‘more’:true|false,

‘batches‘:

[{

‘batchId’: ‘{uuid}’,

‘country’: ‘XY’,

‘date’: ‘2021-11-01T00:00:00Z’

‘deleted’: true | false

}, ..

]

}

Nota: Ir-riżultat huwa limitat b’mod awtomatiku għal 1 000. Jekk il-marka “more” tiġi ssettjata għal true, ir-risposta tindika li hemm aktar lottijiet disponibbli għat-tniżżil. Biex iniżżel aktar oġġetti l-klijent irid jissettja l-intestatura If-Modified-Since għal data mhux qabel l-aħħar entrata riċevuta.

Ir-risposta fiha JSON array bl-istruttura li ġejja:

Kamp	Definizzjoni
more	Marka Boolean li tindika li hemm aktar lottijiet.
batches	Array bil-lottijiet eżistenti.
batchId	https://en.wikipedia.org/wiki/Universally_unique_identifier
country	Kodiċi tal-Pajjiż ISO 3166
date	ISO 8601 Data UTC. Id-data meta l-lott ġie miżjud jew imħassar.
deleted	boolean. True jekk imħassra. Meta tiġi ssettjata l-marka mħassra, l-entrata tista’ finalment titneħħa mir-riżultati tat-tfittxija wara sebat (7) ijiem.

9.5.1.2.1.1. Kodiċijiet tar-Risposta

Kodiċi	Deskrizzjoni
200	Kollox ok.
204	L-ebda kontenut, jekk il-kontenut tal-Intestatura “If-Modified-Since” ma jkollu l-ebda konkordanza.

Intestatura tat-Talba

Intestatura	Obbligatorju	Deskrizzjoni
If-Modified-Since	Iva	Din l-intestatura fiha l-aħħar data mniżżla biex jinkisbu l-aktar riżultati ġodda. Fis-sejħa inizjali l-intestatura jenħtieġ li tkun issettjata għal “2021-06-01T00:00:00Z”

9.5.1.2.2. Punt ta’ Tmiem tat-Tniżżil tal-Lott

Il-lottijiet fihom lista ta’ identifikaturi taċ-ċertifikati:

/revocation-list/{batchId}

Verb: GET

Accepts: application/cms

Response:CMS with Content

{

‘country’: ‘XY’,

‘expires’: ‘2022-11-01T00:00:00Z’,

‘kid’:‘23S+33f=’,

‘hashType’:’SIGNATURE’,

‘entries’:[{

‘hash’:‘e2e2e2e2e2e2e2e2’

}, ..]

}

Ir-risposta fiha CMS li tinkludi firma li trid taqbel maċ-ċertifikat NBUP tal-pajjiż. L-oġġetti kollha fil-JSON array fihom l-istruttura li ġejja:

Kamp	Obbligatorju	Tip	Definizzjoni
expires	Iva	String	Id-data meta l-oġġett jista’ jitneħħa. ISO8601 Data/Ħin UTC
country	Iva	String	Kodiċi tal-Pajjiż ISO 3166
hashType	Iva	String	Tip ta’ Hash tal-entrati pprovduti (ara Tipi ta’ Hash)
entries	Iva	JSON Object Array	Ara t-TabellaEntrati
kid	Iva	String	base64 KID ikkodifikat tad-DSC użat biex jiġi ffirmat id-DCC. Jekk il-KID ma jkunx magħruf, tista’ tintuża l-istring `UNKNOWN_KID` (bl-esklużjoni ta’ `).
Noti:

—	Il-lottijiet għandhom jiġu raggruppati skont id-data ta’ skadenza u d-DSC - l-oġġetti kollha għandhom jiskadu fl-istess ħin u jkunu ffirmati bl-istess kjavi.

—	Il-ħin ta’ skadenza huwa data/ħin f’UTC minħabba li l-EU-DCC hija sistema globali u rridu nużaw ħin mhux ambigwu.

—	Id-data ta’ skadenza ta’ DCC revokat b’mod permanenti għandha tiġi stabbilita fid-data ta’ skadenza tad-DSC korrispondenti użata biex jiġi ffirmat id-DCC jew fil-Ħin ta’ Skadenza tad-DCC revokat (f’liema każ il-ħinijiet NumericDate/epoch għandhom jiġu ttrattati bħala li huma fiż-żona tal-ħin UTC).

—	Il-Backend Nazzjonali (National Backend - NB) għandu jneħħi l-oġġetti mil-lista ta’ revoka tagħhom meta tintlaħaq id-data ta’ skadenza.

—	L-NB jista’ jneħħi l-oġġetti mil-lista ta’ revoka tagħhom f’każ li l-kid użat biex jiġi ffirmat id-DCC jiġi revokat.

9.5.1.2.2.1. Entrati

Kamp	Obbligatorju	Tip	Definizzjoni
hash	Iva	String	L-ewwel 128 bits tal-hash SHA256 ikkodifikati bħala base64 string

Nota: L-oġġett tal-entrati bħalissa fih biss hash, iżda biex ikun kompatibbli mal-bidliet fil-futur intgħażel oġġett, minflok json array.

9.5.1.2.2.2. Kodiċijiet tar-Risposta

Kodiċi	Deskrizzjoni
200	Kollox ok.
410	Lott imneħħi. Il-lott jista’ jitħassar fil-backend nazzjonali.

9.5.1.2.2.3. Intestaturi tar-Risposta

Intestatura	Deskrizzjoni
ETag	ID tal-Lott.

9.5.1.2.3. Punt ta’ Tmiem tal-Upload tal-Lott

L-upload isir fuq l-istess punt ta’ tmiem permezz tal-Verb POST:

/revocation-list

Verb: POST

Accepts: application/cms

Request: CMS with Content

ContentType: application/cms

Content:

{

‘country’: ‘XY’,

‘expires’: ‘2022-11-01T00:00:00Z’,

‘kid’:‘23S+33f=’,

‘hashType’:‘SIGNATURE’,

‘entries’:[{

‘hash’:‘e2e2e2e2e2e2e2e2’

}, ..]

}

Il-lott għandu jiġi ffirmat bl-użu taċ-ċertifikat NBUP. Il-Gateway għandu jivverifika li l-firma ġiet issettjata mill-NBUP għall-pajjiż speċifiku. Jekk il-verifika tal-firma ma tirnexxix lanqas l-upload ma jirnexxi.

NOTA: Kull lott huwa immutabbli u ma jistax jinbidel wara li jittella’. Iżda jista’ jitħassar. L-ID ta’ kull lott imħassar jinħażen, u upload ta’ lott ġdid bl-istess ID jiġi rrifjutat.

9.5.1.2.4. Punt ta’ Tmiem tat-Tħassir tal-Lott

Lott jista’ jitħassar fuq l-istess punt ta’ tmiem permezz tal-Verb DELETE:

/revocation-list

Verb: DELETE

Accepts: application/cms

ContentType: application/cms

Request: CMS with Content

Content:

{

‘batchId’: ‘...’

}

jew, għal raġunijiet ta’ kompatibbiltà, lill-punt ta’ tmiem li ġej bil-verb POST:

/revocation-list/delete

Verb: POST

Accepts: application/cms

ContentType: application/cms

Request: CMS with Content

Content:

{

‘batchId’: ‘...’

}

9.6. Protezzjoni tal-API/GDPR

Din it-taqsima tispeċifika l-miżuri għall-implimentazzjoni biex ikun hemm konformità mad-dispożizzjonijiet tar-Regolament 2021/953 fir-rigward tal-ipproċessar ta’ data personali.

9.6.1. Awtentikazzjoni Eżistenti

Il-Gateway attwalment juża ċ-ċertifikat NBTLS biex jawtentika l-pajjiżi li jikkollegaw mal-Gateway. Din l-awtentikazzjoni tista’ tintuża biex tiġi determinata l-identità tal-pajjiż konness mal-Gateway. Dik l-identità tista’ mbagħad tintuża biex jiġi implimentat il-kontroll tal-aċċess.

9.6.2. Kontroll tal-Aċċess

Sabiex ikun jista’ jipproċessa d-data personali b’mod legali, il-Gateway għandu jimplimenta mekkaniżmu ta’ kontroll tal-aċċess.

Il-Gateway jimplimenta Lista ta’ Kontroll tal-Aċċess flimkien ma’ Sigurtà Ibbażata fuq ir-Rwol. F’dik l-iskema, għandhom jinżammu żewġ tabelli - tabella waħda li tiddeskrivi liema Rwoli jistgħu japplikaw liema Operazzjonijiet għal liema Riżorsi, u t-tabella l-oħra li tiddeskrivi liema Rwoli huma assenjati għal liema Utenti.

Sabiex jiġu implimentati l-kontrolli meħtieġa minn dan id-dokument, huma meħtieġa tliet Rwoli, jiġifieri:

RevocationListReader

RevocationUploader

RevocationDeleter

Il-punti ta’ tmiem li ġejjin għandhom jiċċekkjaw jekk l-Utent għandux ir-Rwol RevocationListReader; jekk ikollu dan ir-Rwol l-aċċess għandu jingħata, jekk ma jkollux tingħata r-risposta HTTP 403 Forbidden:

GET/revocation-list/

GET/revocation-list/{batchId}

Il-punti ta’ tmiem li ġejjin għandhom jiċċekkjaw jekk l-Utent għandux ir-Rwol RevocationUploader; jekk ikollu dan ir-Rwol l-aċċess għandu jingħata, jekk ma jkollux tingħata r-risposta HTTP 403 Forbidden:

POST/revocation-list

Il-punti ta’ tmiem li ġejjin għandhom jiċċekkjaw jekk l-Utent għandux ir-Rwol RevocationDeleter; jekk ikollu dan ir-Rwol l-aċċess għandu jingħata, jekk ma jkollux tingħata r-risposta HTTP 403 Forbidden:

DELETE/revocation-list

POST/revocation-list/delete

Il-Gateway għandu jipprovdi wkoll metodu affidabbli li bih l-amministraturi jkunu jistgħu jimmaniġġjaw ir-Rwoli li huma marbuta mal-Utenti b’tali mod biex inaqqsu l-possibbiltà ta’ żbalji umani filwaqt li ma jkunux ta’ piż fuq l-amministraturi funzjonali.”

(1) Jekk jogħġbok ikkunsidra wkoll 9.5.1.2 għad-deskrizzjonijiet dettaljati tal-API

(2) M’għadux jintuża tfisser li din il-karatteristika għal implimentazzjonijiet ġodda iżda għandha tiġi appoġġata għall-implimentazzjonijiet eżistenti għal perjodu ta’ żmien definit sew.

ANNESS II

It-Taqsima 3 tal-Anness V tad-Deċiżjoni ta’ Implimentazzjoni 2021/1073 hija sostitwita b’dan li ġej:

“3. Strutturi komuni u rekwiżiti ġenerali

Ċertifikat COVID Diġitali tal-UE ma għandux jinħareġ jekk l-kampi tad-data kollha ma jkunux jistgħu jiġu popolati f’konformità ma’ din l-ispeċifikazzjoni minħabba informazzjoni nieqsa. Dan ma għandux jinftiehem li jaffettwa l-obbligu li l-Istati Membri joħorġu ċ-Ċertifikati COVID Diġitali tal-UE.

L-informazzjoni fil-kampi kollha tista’ tiġi pprovduta bl-użu tas-sett sħiħ tal-karattri UNICODE 13.0 kodifikati permezz tal-UTF-8, sakemm ma jkunx hemm restrizzjoni speċifika għal settijiet ta’ valuri jew settijiet aktar dojoq ta’ karattri.

L-istruttura komuni għandha tkun kif ġej:

“JSON”:{

“ver”:<informazzjoni dwar il-verżjoni>,

“nam”:{

“dob”:<data tat-twelid>,

“v” jew “t” jew “r”:[

{<informazzjoni dwar id-doża tat-tilqima jew dwar it-test jew il-fejqan, entrata waħda>}

]

}

L-informazzjoni dettaljata dwar il-gruppi u l-kampi individwali tingħata fit-taqsimiet li jmiss.

Fejn ir-regoli jindikaw li kamp għandu jinqabeż, dan ifisser li l-kontenut tiegħu għandu jkun vojt u li la l-isem u lanqas il-valur tal-kamp mhuma permessi fil-kontenut.

3.1. Verżjoni

Għandha tiġi pprovduta l-informazzjoni dwar il-verżjoni. Il-verżjonijiet isegwu s-Semantic Versioning (semver: https://semver.org). Fil-produzzjoni, għandha tkun waħda mill-verżjonijiet maħruġa uffiċjalment (dik attwali jew waħda uffiċjalment maħruġa preċedentement). Ara t-Taqsima Post tal-Iskema JSON għal aktar dettalji.

ID tal-kamp

Isem tal-kamp

Struzzjonijiet

ver

Verżjoni tal-iskema

Għandha tkun taqbel mal-identifikatur tal-verżjoni tal-iskema użata għall-produzzjoni tal-EUDCC.

Eżempju:

“ver”:“1.3.0”

3.2. L-isem u d-data tat-twelid tal-persuna

L-isem tal-persuna huwa l-isem uffiċjali sħiħ tal-persuna, li jikkorrispondi ma’ dak indikat fuq id-dokumenti tal-ivvjaġġar. L-identifikatur tal-istruttura huwa nam. Għandu jingħata eżattament isem wieħed (1) ta’ persuna.

ID tal-kamp	Isem tal-kamp	Struzzjonijiet
nam/fn	Kunjom(ijiet)	Kunjom(ijiet) id-detentur. Jekk id-detentur ma jkollu l-ebda kunjom u jkollu isem, dan il-kamp għandu jinqabeż. Fil-każijiet kollha l-oħrajn, għandu jiġi pprovdut eżattament kamp wieħed (1) mhux vojt, bil-kunjomijiet kollha inklużi fih. Fil-każ ta’ aktar minn kunjom wieħed, dawn għandhom jiġu mifrudin bi spazju. L-ismijiet ikkombinati, li jinkludu singijiet jew karattri simili għandhom madankollu jibqgħu l-istess. Eżempji: “fn”:“Musterfrau-Gößinger” “fn”:“Musterfrau-Gößinger Müller”
nam/fnt	Kunjom(ijiet) standardizzat(i)	Il-kunjom(ijiet) tad-detentur trażlitterat(i) bl-użu tal-istess konvenzjoni bħal dik użata fid-dokument tal-ivvjaġġar li jinqraw minn magna (bħar-regoli definiti fil-Parti 3 tal-ICAO Doc 9303). Jekk id-detentur ma jkollu l-ebda kunjom u jkollu isem, dan il-kamp għandu jinqabeż. Fil-każijiet l-oħrajn kollha, għandu jiġi pprovdut eżattament kamp wieħed (1) mhux vojt, li jinkludi biss il-karattri A-Z u <. Tul massimu: 80 karattru (skont l-ispeċifikazzjoni tal-ICAO 9303). Eżempji: “fnt”:“MUSTERFRAU<GOESSINGER” “fnt”:“MUSTERFRAU<GOESSINGER<MUELLER”
nam/gn	Isem/ismijiet	Isem/ismijiet, bħal pereżempju l-isem/l-ismijiet mogħti/mogħtija, tad-detentur. Jekk id-detentur ma jkollu l-ebda isem u jkollu kunjom, dan il-kamp għandu jinqabeż. Fil-każijiet kollha l-oħrajn, għandu jiġi pprovdut eżattament kamp wieħed (1) mhux vojt, bl-ismijiet kollha inklużi fih. Fil-każ ta’ aktar minn isem wieħed, dawn għandhom jiġu mifrudin bi spazju. Eżempju: “gn”:“Isolde Erika”
nam/gnt	Isem/ismijiet standardizzat(i)	L-isem/ismijiet tad-detentur trażlitterat(i) bl-użu tal-istess konvenzjoni bħal dik użata fid-dokument tal-ivvjaġġar li jinqraw minn magna (bħar-regoli definiti fl-ICAO Doc 9303 Parti 3). Jekk id-detentur ma jkollu l-ebda isem u jkollu kunjom, dan il-kamp għandu jinqabeż. Fil-każijiet l-oħrajn kollha, għandu jiġi pprovdut eżattament kamp wieħed (1) mhux vojt, li jinkludi biss il-karattri A-Z u <. Tul massimu: 80 karattru. Eżempju: “gnt”:“ISOLDE<ERIKA ”
dob	Data tat-twelid	Data tat-twelid tad-detentur tad-DCC. Data sħiħa jew parzjali mingħajr ħin, ristretta għall-medda bejn 1900-01-01 u 2099-12-31. Għandu jiġi pprovdut eżattament kamp wieħed (1) mhux vojt jekk id-data tat-twelid sħiħa jew parzjali tkun magħrufa. Jekk id-data tat-twelid ma tkunx magħrufa lanqas parzjalment, fil-kamp għandu jitqiegħed string vojt “”. Din jenħtieġ li tkun taqbel mal-informazzjoni mogħtija fid-dokumenti tal-ivvjaġġar. Għandhom jintużaw il-formati ISO 8601 li ġejjin jekk l-informazzjoni dwar id-data tat-twelid tkun disponibbli. Għażliet oħra mhumiex appoġġjati. YYYY-MM-DD YYYY-MM YYYY (L-app għall-verifika tista’ turi partijiet neqsin tad-data tat-twelid bl-użu tal-konvenzjoni XX bħal dik użata fid-dokumenti tal-ivvjaġġar li jinqraw minn magna, pereżempju 1990-XX-XX.) Eżempji: “dob”:“1979-04-14” “dob”:“1901-08” “dob”:“1939” “dob”:“”

3.3. Gruppi għal informazzjoni speċifika għat-tip ta’ ċertifikat

L-iskema JSON tappoġġa tliet gruppi ta’ entrati li jiġbru informazzjoni speċifika għat-tip ta’ ċertifikat. Kull EUDCC għandu jkun fih eżattament grupp wieħed (1). Il-gruppi vojta mhumiex permessi.

Identifikatur tal-grupp	Isem il-grupp	Entrati
v	Grupp tat-tilqim	Jekk preżenti, għandu jkun fih eżattament entrata waħda (1) li tiddeskrivi eżattament doża waħda (1) ta’ vaċċin (doża waħda).
t	Grupp tat-testijiet	Jekk preżenti, għandu jkun fih eżattament entrata waħda (1) li tiddeskrivi eżattament riżultat wieħed (1) ta’ test.
r	Grupp tal-fejqan	Jekk preżenti, għandu jkun fih eżattament entrata waħda (1) li tiddeskrivi eżattament dikjarazzjoni waħda (1) ta’ fejqan.”

ANNESS III

“ANNESS VI

RESPONSABBILTAJIET TAL-ISTATI MEMBRI BĦALA KONTROLLURI KONĠUNTI GĦALL-GATEWAY TAĊ-ĊERTIFIKAT COVID DIĠITALI TAL-UE GĦALL-ISKAMBJU TAL-LISTI TA’ REVOKA TAL-EU DCC

TAQSIMA 1

Subtaqsima 1

Qsim tar-responsabbiltajiet

(1)

Il-kontrolluri konġunti għandhom jipproċessaw id-data personali permezz tal-gateway tal-qafas ta’ fiduċja f’konformità mal-ispeċifikazzjonijiet tekniċi fl-Anness I.

(2)

L-awtoritajiet tal-ħruġ tal-Istati Membri jibqgħu l-kontrollur uniku għall-ġbir, għall-użu, għall-iżvelar u għal kwalunkwe pproċessar ieħor ta’ informazzjoni dwar ir-revoka barra mill-gateway, inkluż għall-proċedura li twassal għar-revoka ta’ ċertifikat.

(3)

Kull kontrollur għandu jkun responsabbli għall-ipproċessar ta’ data personali fil-gateway tal-qafas ta’ fiduċja f’konformità mal-Artikoli 5, 24 u 26 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data.

(4)

Kull kontrollur għandu jistabbilixxi punt ta’ kuntatt b’kaxxa postali funzjonali li sservi għall-komunikazzjoni bejn il-kontrolluri konġunti nfushom u bejn il-kontrolluri konġunti u l-proċessur.

(5)

Grupp ta’ ħidma stabbilit mill-Kumitat imsemmi fl-Artikolu 14 tar-Regolament (UE) 2021/953 għandu jingħata l-mandat li jiddeċiedi dwar kwalunkwe kwistjoni li tinqala’ mill-iskambju tal-listi ta’ revoka u mill-kontroll konġunt tal-ipproċessar relatat ta’ data personali u biex jiffaċilita struzzjonijiet koordinati lill-Kummissjoni bħala proċessur. Il-proċess ta’ teħid ta’ deċiżjonijiet tal-Kontrolluri Konġunti huwa rregolat minn dak il-grupp ta’ ħidma u mir-regoli ta’ proċedura li għandhom jiġu adottati minnu. Bħala regola bażi, in-nuqqas ta’ parteċipazzjoni ta’ kwalunkwe wieħed mill-kontrolluri konġunti f’laqgħa ta’ dan il-grupp ta’ ħidma, li jkun tħabbar mill-inqas sebat (7) ijiem qabel ma tissejjaħ bil-miktub, jirriżulta fi ftehim taċitu mal-eżiti ta’ dik il-laqgħa tal-grupp ta’ ħidma. Kwalunkwe wieħed mill-kontrolluri konġunti jista’ jsejjaħ laqgħa ta’ dan il-grupp ta’ ħidma.

(6)

L-istruzzjonijiet għandhom jintbagħtu lill-proċessur minn kwalunkwe punt ta’ kuntatt tal-kontrolluri konġunti, bi qbil mal-kontrolluri konġunti l-oħra, skont il-proċess deċiżjonali tal-grupp ta’ ħidma msemmi f’(5) hawn fuq. Il-kontrollur konġunt li jipprovdi l-istruzzjoni jenħtieġ li jipprovdihom lill-proċessur bil-miktub, u jinforma lill-kontrolluri konġunti l-oħra kollha b’dan. Jekk il-kwistjoni kkonċernata tkun kritika biżżejjed f’termini ta’ żmien biex ma tippermettix laqgħa tal-grupp ta’ ħidma kif imsemmi f’(5) hawn fuq, xorta waħda tista’ tingħata struzzjoni, iżda tista’ tiġi rrevokata mill-grupp ta’ ħidma. Din l-istruzzjoni jenħtieġ li tingħata bil-miktub, u l-kontrolluri konġunti l-oħra kollha jenħtieġ li jiġu informati b’dan fil-mument tal-għoti tal-istruzzjoni.

(7)

Il-grupp ta’ ħidma kif stabbilit skont (5) hawn fuq ma jipprekludi l-ebda kompetenza individwali tal-kontrolluri konġunti li jinfurmaw l-awtorità superviżorja kompetenti tagħhom f’konformità mal-Artikoli 33 u 24 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data. Tali notifika ma teħtieġx il-kunsens ta’ kwalunkwe wieħed mill-kontrolluri konġunti l-oħra.

(8)

Fil-kamp ta’ applikazzjoni tal-gateway tal-qafas ta’ fiduċja, huma biss il-persuni awtorizzati mill-awtoritajiet nazzjonali jew mill-korpi uffiċjali maħtura li jistgħu jaċċessaw id-data personali skambjata.

(9)

Kull awtorità tal-ħruġ għandha żżomm rekord tal-attivitajiet ta’ pproċessar taħt ir-responsabbiltà tagħha. Il-kontroll konġunt jista’ jiġi indikat fir-rekord.

Subtaqsima 2

Responsabbiltajiet u rwoli għall-immaniġġjar ta’ talbiet tas-suġġetti tad-data u għall-infurmar tagħhom

(1)

Kull kontrollur fir-rwol tiegħu bħala awtorità tal-ħruġ għandu jipprovdi lill-persuni fiżiċi li ċ-ċertifikat(i) tagħhom ikun irrevoka (“is-suġġetti tad-data”) informazzjoni dwar din ir-revoka u l-ipproċessar tad-data personali tagħhom fil-Gateway taċ-Ċertifikat COVID Diġitali tal-UE għall-finijiet ta’ appoġġ tal-iskambju tal-listi ta’ revoka, f’konformità mal-Artikolu 14 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data, sakemm dan ma jkunx impossibbli jew ma jkunx jinvolvi sforz sproporzjonat.

(2)

Kull kontrollur għandu jaġixxi bħala l-punt ta’ kuntatt għall-persuni fiżiċi li ċ-ċertifikat tagħhom ikun irrevoka u għandu jimmaniġġja t-talbiet ippreżentati mis-suġġetti tad-data jew mir-rappreżentanti tagħhom fl-eżerċizzju tad-drittijiet tagħhom f’konformità mar-Regolament Ġenerali dwar il-Protezzjoni tad-Data. Jekk kontrollur konġunt jirċievi talba minn suġġett tad-data, li tkun relatata ma’ ċertifikat maħruġ minn kontrollur konġunt ieħor, huwa għandu jinforma lis-suġġett tad-data dwar l-identità u d-dettalji ta’ kuntatt ta’ dak il-kontrollur konġunt responsabbli. Jekk jiġi mitlub minn kontrollur konġunt ieħor, il-kontrolluri konġunti għandhom jgħinu lil xulxin fil-immaniġġjar tat-talbiet tas-suġġett tad-data u għandhom iwieġbu lil xulxin mingħajr dewmien u mill-aktar tard fi żmien xahar minn meta jirċievu talba għal għajnuna. Jekk talba tkun relatata ma’ data sottomessa minn pajjiż terz, il-kontrollur li jirċievi t-talba għandu jimmaniġġjaha u jinforma lis-suġġett tad-data dwar l-identità u d-dettalji ta’ kuntatt tal-awtorità tal-ħruġ fil-pajjiż terz.

(3)

Kull kontrollur għandu jqiegħed il-kontenut ta’ dan l-Anness, inkluż l-arranġamenti stipulati fil-punti 1 u 2, għad-dispożizzjoni tas-suġġetti tad-data.

TAQSIMA 2

Ġestjoni ta’ inċidenti ta’ sigurtà, inkluż il-ksur ta’ data personali

(1)

Il-kontrolluri konġunti għandhom jgħinu lil xulxin biex jidentifikaw u jieħdu ħsieb kwalunkwe inċident ta’ sigurtà, inkluż il-ksur ta’ data personali, marbuta mal-ipproċessar fil-Gateway taċ-Ċertifikat COVID Diġitali tal-UE.

(2)

B’mod partikolari, il-kontrolluri konġunti għandhom jgħarrfu lil xulxin dwar dan li ġej:

(a)	kwalunkwe riskju potenzjali jew proprju għad-disponibbiltà, il-kunfidenzjalità u/jew l-integrità tad-data personali li tkun qed tiġi pproċessata fil-gateway tal-qafas ta’ fiduċja;

(b)

kwalunkwe ksur ta’ data personali, il-konsegwenzi probabbli tal-ksur ta’ data personali u l-valutazzjoni tar-riskju għad-drittijiet u għal-libertajiet ta’ persuni fiżiċi, u kwalunkwe miżuri meħuda biex jiġi indirizzat il-ksur ta’ data personali u biex jittaffa r-riskju għad-drittijiet u għal-libertajiet ta’ persuni fiżiċi;

(c)	kwalunkwe ksur tas-salvagwardji tekniċi u/jew organizzattivi tal-operazzjoni ta’ proċessar fil-gateway tal-qafas ta’ fiduċja.

(3)

Il-kontrolluri konġunti għandhom jgħarrfu lill-Kummissjoni, lill-awtorità ta’ superviżjoni kompetenti u, fejn meħtieġ, lis-suġġetti tad-data bi kwalunkwe ksur ta’ data personali relatati mal-operazzjoni tal-ipproċessar fil-gateway tal-qafas ta’ fiduċja, f’konformità mal-Artikoli 33 u 34 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data jew wara li tinħareġ notifika mill-Kummissjoni.

(4)

Kull awtorità tal-ħruġ għandha timplimenta miżuri tekniċi u organizzattivi xierqa, imfassla biex:

(a)	jiżguraw u jipproteġu d-disponibbiltà, l-integrità u l-kunfidenzjalità tad-data personali pproċessata b’mod konġunt;

(b)	jipproteġu kontra kull aċċess, ipproċessar, telf, użu, żvelar jew akkwist mhux awtorizzati jew illegali ta’ xi data personali fil-pussess tagħha;

(c)	jiżguraw li l-aċċess għad-data personali ma jiġi żvelat jew permess lil ħadd għajr ir-riċevituri jew il-proċessuri.

TAQSIMA 3

Valutazzjoni tal-Impatt fuq il-Protezzjoni tad-Data

(1)

Jekk kontrollur, sabiex jikkonforma mal-obbligi tiegħu speċifikati fl-Artikoli 35 u 36 tar-Regolament (UE) 2016/679, jeħtieġ informazzjoni minn kontrollur ieħor, dan għandu jibgħat talba speċifika lill-kaxxa postali funzjonali msemmija fis-Subtaqsima 1(4) tat-Taqsima 1. Dan tal-aħħar għandu jagħmel l-aħjar li jista’ sabiex jipprovdi tali informazzjoni.

”

ANNESS IV

“ANNESS VII

RESPONSABBILTAJIET TAL-KUMMISSJONI BĦALA PROĊESSUR TAD-DATA GĦALL-GATEWAY TAĊ-ĊERTIFIKAT COVID DIĠITALI TAL-UE GĦALL-APPOĠĠ TAL-ISKAMBJU TAL-LISTI TA’ REVOKA TAL-EU DCC

Il-Kummissjoni għandha:

(1)	Tistabbilixxi u tiżgura infrastruttura ta’ komunikazzjoni affidabbli f’isem l-Istati Membri li tappoġġa l-iskambju ta’ listi ta’ revoka ppreżentati lill-Gateway taċ-Ċertifikat COVID Diġitali.

(2)

Biex tissodisfa l-obbligi tagħha bħala proċessur tad-data tal-gateway tal-qafas ta’ fiduċja għall-Istati Membri, il-Kummissjoni tista’ tinvolvi lil partijiet terzi bħala sottoproċessuri; il-Kummissjoni għandha tinforma lill-kontrolluri konġunti dwar kwalunkwe bidla maħsuba li tikkonċerna ż-żieda jew is-sostituzzjoni ta’ sottoproċessuri oħra, u b’hekk tagħti lill-kontrolluri l-opportunità li joġġezzjonaw b’mod konġunt għal tali bidliet. Il-Kummissjoni għandha tiżgura li l-istess obbligi tal-protezzjoni tad-data kif stabbiliti f’din id-Deċiżjoni japplikaw għal dawn is-sottoproċessuri.

(3)

Tipproċessa d-data personali, biss skont l-istruzzjonijiet dokumentati mill-kontrolluri, sakemm ma tkunx meħtieġa tagħmel dan skont id-dritt tal-Unjoni jew ta’ Stat Membru; f’tali każ, il-Kummissjoni għandha tgħarraf lill-kontrolluri konġunti dwar dak ir-rekwiżit ġuridiku qabel twettaq l-attività ta’ pproċessar, sakemm dik il-liġi ma tipprojbixxix it-tressiq ta’ tali informazzjoni minħabba raġunijiet importanti ta’ interess pubbliku.

L-ipproċessar mill-Kummissjoni jinvolvi dan li ġej:

(a)	L-awtentikazzjoni tas-servers backend nazzjonali, abbażi taċ-ċertifikati tas-servers backend nazzjonali;

(b)	Ir-riċeviment tad-data msemmija fl-Artikolu 5a(3) tad-Deċiżjoni mtella’ mis-servers backend nazzjonali billi tiġi pprovduta interfaċċa għall-ipprogrammar tal-applikazzjonijiet li tippermetti lis-servers backend nazzjonali jtellgħu d-data rilevanti;

(c)	Il-ħżin tad-data tal-gateway taċ-Ċertifikat COVID Diġitali tal-UE;

(d)	L-organizzar tad-data b’mod li tkun disponibbli biex titniżżel mis-servers backend nazzjonali;

(e)	It-tħassir tad-data fid-data ta’ skadenza tagħha jew fuq struzzjoni tal-kontrollur li ppreżentaha;

(f)	Wara li jintemm il-forniment tas-servizzi, kwalunkwe data li jkun fadal trid titħassar sakemm id-dritt tal-Unjoni jew ta’ Stat Membru ma jirrikjedix li d-data personali tinħażen.

(4)

Tieħu l-miżuri ta’ sigurtà organizzattivi, fiżiċi u loġiċi kollha tal-ogħla livell ta’żvilupp tekniku sabiex tmantni l-Gateway taċ-Ċertifikat COVID Diġitali tal-UE. Għal dan il-għan, il-Kummissjoni għandha:

(a)	tinnomina entità responsabbli għall-ġestjoni tas-sigurtà fil-livell tal-Gateway taċ-Ċertifikat COVID Diġitali tal-UE, tgħarraf l-informazzjoni ta’ kuntatt tagħha lill-kontrolluri konġunti u tiżgura d-disponibbiltà tagħha biex tirreaġixxi għal theddid ta’ sigurtà;

(b)	tieħu r-responsabbiltà tas-sigurtà tal-Gateway taċ-Ċertifikat COVID Diġitali tal-UE, inkluż it-twettiq regolari ta’ testijiet, evalwazzjonijiet u valutazzjonijiet tal-miżuri ta’ siġurtà;

(c)	tiżgura li l-individwi kollha li jingħataw aċċess għall-Gateway taċ-Ċertifikat COVID Diġitali tal-UE jkunu soġġetti għall-obbligu ta’ kunfidenzjalità kuntrattwali, professjonali jew statutorju.

(5)

Tieħu l-miżuri ta’ sigurtà kollha meħtieġa biex tevita li tikkomprometti l-funzjonament operazzjonali bla xkiel tas-servers backend nazzjonali. Għal dan il-għan, il-Kummissjoni għandha tistabbilixxi proċeduri speċifiċi rigward il-konnessjoni bejn is-servers backend u l-Gateway taċ-Ċertifikat COVID Diġitali tal-UE. Dan jinkludi:

(a)	proċedura ta’ valutazzjoni tar-riskju, sabiex jiġi identifikat u stmat it-theddid potenzjali għas-sistema;

(b)

proċedura ta’ awditu u ta’ rieżami sabiex:

i.	tiġi vverifikata l-korrispondenza bejn il-miżuri ta’ sigurtà implimentati u l-politika ta’ sigurtà applikabbli;

ii.	isir kontroll regolari tal-integrità tal-fajls tas-sistema, tal-parametri tas-sigurtà u tal-awtorizzazzjonijiet mogħtija;

iii.	jitwettaq monitoraġġ biex jiġu identifikati każijiet ta’ ksur ta’ sigurtà u intrużjonijiet;

iv.	jiġu implimentati bidliet biex jitnaqqsu d-dgħufijiet tas-sigurtà eżistenti

jiġu definiti l-kundizzjonijiet li bihom jiġu awtorizzati, inkluż fuq talba tal-kontrolluri, u tkun tista’ ssir kontribuzzjoni lejn, awditi indipendenti, inkluż spezzjonijiet, u rieżamijiet tal-miżuri ta’ sigurtà soġġett għall-kundizzjonijiet li jħarsu l-Protokoll (Nru 7) tat-TFUE dwar il-Privileġġi u l-Immunitajiet tal-Unjoni Ewropea.

(c)	il-bdil tal-proċedura ta’ kontroll sabiex jiġi ddokumentat u jitkejjel l-impatt ta’ bidla qabel l-implimentazzjoni tagħha u sabiex il-kontrolluri konġunti jinżammu infurmati dwar kull bidla li tista’ taffettwa l-komunikazzjoni mal-infrastrutturi tagħhom u/jew is-sigurtà ta’ dawn l-infrastrutturi;

(d)	l-istabbiliment ta’ proċedura ta’ manutenzjoni u ta’ tiswija biex jiġu speċifikati r-regoli u l-kundizzjonijiet li għandhom jiġu segwiti meta jkun jenħtieġ li ssir manutenzjoni u/jew tiswija tat-tagħmir;

(e)

l-istabbiliment ta’ proċedura għall-inċidenti tas-sigurtà biex tiġi definita l-iskema ta’ rappurtar u ta’ eskalazzjoni, biex jiġu infurmati mingħajr dewmien il-kontrolluri affettwati, biex il-kontrolluri jiġu infurmati mingħajr dewmien ħalli jinnotifikaw lill-awtoritajiet superviżorji nazzjonali għall-protezzjoni tad-data dwar kull ksur tad-data personali u biex jiġi definit proċess dixxiplinari għat-trattament ta’ każijiet ta’ ksur ta’ sigurtà.

(6)

Tieħu miżuri ta’ sigurtà fiżiċi u/jew loġiċi tal-ogħla livell ta’ żvilupp tekniku għall-faċilitajiet li jospitaw tagħmir tal-Gateway taċ-Ċertifikat COVID Diġitali tal-UE u għall-kontrolli tad-data loġika u tal-aċċess tas-sigurtà. Għal dan il-għan, il-Kummissjoni għandha:

(a)	tiżgura sigurtà fiżika biex tistabbilixxi perimetri ta’ sigurtà distintivi u tippermetti l-identifikazzjoni ta’ ksur;

(b)	tikkontrolla l-aċċess għall-faċilitajiet u żżomm reġistru tal-viżitaturi għal skopijiet ta’ traċċar;

(c)	tiżgura li l-persuni esterni li jingħataw aċċess għall-bini jiġu akkumpanjati minn persunal awtorizzat kif dovut;

(d)	tiżgura li t-tagħmir ma jkunx jista’ jiġi miżjud, sostitwit jew imneħħi mingħajr awtorizzazzjoni minn qabel tal-korpi responsabbli nominati;

(e)	tikkontrolla l-aċċess minn u lejn is-servers backend nazzjonali u lejn il-gateway tal-qafas ta’ fiduċja;

(f)	tiżgura li l-individwi li jaċċessaw il-Gateway taċ-Ċertifikat COVID Diġitali tal-UE huma identifikati u awtentikati;

(g)	twettaq rieżami tad-drittijiet tal-awtorizzazzjoni marbuta mal-aċċess għall-Gateway taċ-Ċertifikat COVID Diġitali tal-UE f’każ ta’ ksur ta’ sigurtà li jaffettwa din l-infrastruttura;

(h)	iżżomm l-integrità tal-informazzjoni trażmessa permezz tal-Gateway taċ-Ċertifikat COVID Diġitali tal-UE;

(i)	timplimenta miżuri ta’ sigurtà tekniċi u organizzattivi għall-prevenzjoni ta’ aċċess mhux awtorizzat għal data personali;

(j)	timplimenta, kull meta jkun meħtieġ, miżuri biex jimblukkaw l-aċċess mhux awtorizzat għall-Gateway taċ-Ċertifikat COVID Diġitali tal-UE mid-dominju tal-awtoritajiet tal-ħruġ (jiġifieri: l-imblukkar ta’ post/indirizz IP).

(7)	Tieħu l-passi biex tipproteġi d-dominju tagħha, inkluż billi taqtal-konnessjonijiet, f’każ ta’ devjazzjoni sostanzjali mill-prinċipji u mill-kunċetti ta’ kwalità jew ta’ sigurtà.

(8)	Iżżomm pjan ta’ ġestjoni tar-riskju marbut mal-qasam ta’ responsabbiltà tagħha.

(9)	Timmonitorja - f’ħin reali - il-prestazzjoni tal-komponenti tas-servizz kollha tas-servizzi tal-gateway tal-qafas ta’ fiduċja tagħha, tipproduċi statistika regolari u żżomm rekords.

(10)

Tipprovdi appoġġ għas-servizzi kollha tal-gateway tal-qafas ta’ fiduċja bl-Ingliż kuljum u f’kull ħin permezz tat-telefon, tal-posta jew tal-Portal Web u taċċetta telefonati mill-persuni awtorizzati: il-koordinaturi tal-Gateway taċ-Ċertifikat COVID Diġitali tal-UE u l-helpdesks rispettivi tagħhom, l-Uffiċjali tal-Proġetti u l-persuni deżinjati mill-Kummissjoni.

(11)

Tgħin lill-kontrolluri konġunti permezz ta’miżuri tekniċi u organizzattivi xierqa, sa fejn dan ikun possibbli f’konformità mal-Artikolu 12 tar-Regolament (UE) 2018/1725, għat-twettiq tal-obbligu tal-kontrollur li jwieġeb għat-talbiet tal-eżerċitar tad-drittijiet tas-suġġett tad-data stipulati fil-Kapitolu III tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data.

(12)	Tappoġġa lill-kontrolluri konġunti billi tipprovdi informazzjoni dwar il-Gateway taċ-Ċertifikat COVID Diġitali tal-UE, sabiex timplimenta l-obbligi tal-Artikoli 32, 33, 34, 35 u 36 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data.

(13)	Tiżgura li d-data pproċessata fi ħdan il-Gateway taċ-Ċertifikat COVID Diġitali tal-UE ma tinftiehem minn l-ebda persuna li ma għandhiex l-awtorizzazzjoni li taċċessaha.

(14)	Tieħu l-miżuri kollha rilevanti biex tipprevjeni li l-operaturi tal-Gateway taċ-Ċertifikat COVID Diġitali tal-UE jkollhom aċċess mhux awtorizzat għad-data trażmessa.

(15)	Tieħu l-miżuri sabiex tiffaċilita l-interoperabbiltà u l-komunikazzjoni bejn il-kontrolluri nominati tal-Gateway taċ-Ċertifikat COVID Diġitali tal-UE.

(16)	Iżżomm rekord tal-attivitajiet tal-ipproċessar imwettqa f’isem il-kontrolluri konġunti f’konformità mal-Artikolu 31(2) tar-Regolament (UE) 2018/1725.

”