25.3.2022 |
SK |
Úradný vestník Európskej únie |
L 98/84 |
VYKONÁVACIE ROZHODNUTIE KOMISIE (EÚ) 2022/483
z 21. marca 2022,
ktorým sa mení vykonávacie rozhodnutie (EÚ) 2021/1073, ktorým sa stanovujú technické špecifikácie a pravidlá pre vykonávanie rámca dôvery pre digitálny COVID preukaz EÚ zriadený nariadením Európskeho parlamentu a Rady (EÚ) 2021/953
(Text s významom pre EHP)
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie,
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2021/953 zo 14. júna 2021 o rámci pre vydávanie, overovanie a uznávanie interoperabilných potvrdení o očkovaní proti ochoreniu COVID-19, o vykonaní testu a prekonaní tohto ochorenia (digitálny COVID preukaz EÚ) s cieľom uľahčiť voľný pohyb počas pandémie ochorenia COVID-19 (1), a najmä na jeho článok 9 ods. 1,
keďže:
(1) |
V nariadení (EÚ) 2021/953 sa stanovuje digitálny COVID preukaz EÚ, ktorý slúži ako dôkaz, že osoba bola zaočkovaná proti ochoreniu COVID-19, má negatívny výsledok testu alebo prekonala infekciu, aby si držitelia takéhoto preukazu mohli počas pandémie COVID-19 ľahšie uplatňovať svoje právo na voľný pohyb. |
(2) |
V nariadení Európskeho parlamentu a Rady (EÚ) 2021/954 (2) sa stanovuje, že členské štáty majú uplatňovať pravidlá stanovené v nariadení (EÚ) 2021/953 na štátnych príslušníkov tretích krajín, ktorí nepatria do rozsahu pôsobnosti uvedeného nariadenia, ale ktorí sa oprávnene zdržiavajú na ich území alebo v nich majú oprávnený pobyt a ktorí sú oprávnení cestovať do iných členských štátov v súlade s právom Únie. |
(3) |
V odporúčaní Rady (EÚ) 2022/290, ktorým sa mení odporúčanie (EÚ) 2020/912 o dočasnom obmedzení ciest do EÚ, ktoré nie sú nevyhnutné, a o možnom zrušení tohto obmedzenia (3) sa stanovuje, že štátni príslušníci tretích krajín, ktorí majú v úmysle podniknúť cestu z tretích krajín do Únie, ktorá nie je nevyhnutná, by mali mať platný dôkaz o očkovaní alebo prekonaní ochorenia, ako je digitálny COVID preukaz EÚ alebo potvrdenie súvisiace s ochorením COVID-19 vydané treťou krajinou, na ktoré sa vzťahuje vykonávací akt prijatý podľa článku 8 ods. 2 nariadenia (EÚ) 2021/953. |
(4) |
Aby bolo možné používať digitálny COVID preukaz EÚ v celej Únii, Komisia prijala vykonávacie rozhodnutie (EÚ) 2021/1073 (4), ktorým sa stanovujú technické špecifikácie a pravidlá upravujúce vypĺňanie, bezpečné vystavovanie a overovanie digitálnych COVID preukazov EÚ, zabezpečenie ochrany osobných údajov, stanovenie spoločnej štruktúry jedinečného identifikátora potvrdenia a vystavovanie platného, zabezpečeného a interoperabilného čiarového kódu. |
(5) |
V súlade s článkom 4 nariadenia (EÚ) 2021/953 mali Komisia a členské štáty zriadiť a udržiavať rámec dôvery pre digitálny COVID preukaz EÚ. Tento rámec dôvery môže podporovať dvojstrannú výmenu zoznamov zrušených potvrdení obsahujúcich jedinečné identifikátory zrušených potvrdení. |
(6) |
Dňa 1. júla 2021 začala fungovať brána digitálneho COVID preukazu EÚ (ďalej len „brána“), ktorá je ústrednou súčasťou rámca dôvery a ktorá umožňuje bezpečnú a dôveryhodnú výmenu verejných kľúčov používaných na overovanie digitálnych COVID preukazov EÚ medzi členskými štátmi. |
(7) |
Digitálne COVID preukazy EÚ sa vzhľadom na ich úspešné a rozsiahle zavedenie stali cieľom podvodníkov, ktorí sa snažia nájsť spôsoby, ako vydávať podvodné potvrdenia. Tieto podvodné potvrdenia sa preto musia zrušiť. Okrem toho členské štáty môžu niektoré digitálne COVID preukazy EÚ zrušiť na vnútroštátnej úrovni zo zdravotných dôvodov a z dôvodov týkajúcich sa verejného zdravia, napríklad preto, lebo o šarži podaných vakcín sa neskôr zistilo, že vykazuje nedostatky. |
(8) |
Hoci systém digitálnych COVID preukazov EÚ dokáže okamžite odhaliť sfalšované potvrdenia, pravé potvrdenia vydané nezákonne na základe falošných dokladov, neoprávneného prístupu alebo s podvodným úmyslom nemožno v iných členských štátoch odhaliť, pokiaľ si členské štáty nevymieňajú zoznamy zrušených potvrdení vytvorené na vnútroštátnej úrovni. To isté platí pre potvrdenia, ktoré boli zrušené zo zdravotných dôvodov a z dôvodov verejného zdravia. Neschopnosť overovacích aplikácií členských štátov odhaliť potvrdenia zrušené inými členskými štátmi predstavuje ohrozenie verejného zdravia a oslabuje dôveru občanov v systém digitálnych COVID preukazov EÚ. |
(9) |
Ako sa uvádza v odôvodnení 19 nariadenia (EÚ) 2021/953, členské štáty by mali mať zo zdravotných dôvodov a z dôvodov verejného zdravia a v prípade výskytu podvodne vydaných alebo získaných potvrdení možnosť v obmedzených prípadoch na účely uvedeného nariadenia vytvárať zoznamy zrušených potvrdení a navzájom si ich vymieňať, najmä pokiaľ ide o potvrdenia, ktoré boli vydané chybne, v dôsledku podvodu alebo po pozastavení šarže očkovacej látky proti ochoreniu COVID-19, o ktorej sa zistí, že vykazuje nedostatky. Členské štáty by nemali mať možnosť zrušiť potvrdenia vydané inými členskými štátmi. Vymieňané zoznamy zrušených potvrdení by nemali obsahovať žiadne osobné údaje okrem jedinečných identifikátorov potvrdení. Predovšetkým by nemali obsahovať dôvod, prečo bolo potvrdenie zrušené. |
(10) |
Okrem všeobecných informácií o možnosti zrušenia potvrdení a jeho možných dôvodoch by mal zodpovedný vydávajúci orgán bezodkladne informovať držiteľov zrušených potvrdení aj o zrušení ich potvrdení a o dôvodoch tohto zrušenia. To sa však v niektorých prípadoch môže ukázať ako nemožné alebo by s tým mohlo byť spojené neprimerané úsilie na vysledovanie a informovanie držiteľa zrušeného potvrdenia, a to najmä v prípade digitálnych COVID preukazov EÚ vydaných v papierovej podobe. Členské štáty by nemali zbierať dodatočné osobné údaje, ktoré nie sú potrebné na proces vydávania, len na účely toho, aby mohli informovať držiteľov potvrdení v prípade ich zrušenia. |
(11) |
Je preto potrebné posilniť rámec dôvery pre digitálny COVID preukaz EÚ podporou dvojstrannej výmeny zoznamov zrušených potvrdení medzi členskými štátmi. |
(12) |
Toto rozhodnutie sa nevzťahuje na dočasné pozastavenie platnosti potvrdení v prípadoch vnútroštátneho použitia mimo rozsahu pôsobnosti nariadenia o digitálnom COVID preukaze EÚ, napríklad preto, lebo držiteľ potvrdenia o očkovaní má pozitívny test na prítomnosť vírusu SARS-CoV-2. Týmto nie sú dotknuté zavedené postupy kontroly obchodných pravidiel týkajúcich sa platnosti potvrdení. |
(13) |
Hoci z technického hľadiska sú uskutočniteľné rôzne architektúry na výmenu zoznamov zrušených potvrdení, ich výmena prostredníctvom brány je najvhodnejšia, pretože sa ňou obmedzuje výmena údajov na už vytvorený rámec dôvery a minimalizuje sa počet možných bodov zlyhania i výmen medzi členskými štátmi v porovnaní s alternatívnym partnerským systémom (peer-to-peer). |
(14) |
Brána digitálneho COVID preukazu EÚ by sa preto mala posilniť s cieľom podporiť bezpečnú výmenu zrušených digitálnych COVID preukazov EÚ na účely ich bezpečného overenia prostredníctvom brány. V tejto súvislosti by sa mali zaviesť primerané bezpečnostné opatrenia na ochranu osobných údajov spracúvaných v rámci brány. V záujme vysokej úrovne ochrany by členské štáty mali pseudonymizovať atribúty potvrdení prostredníctvom nezvratného hašu, ktorý sa má zahrnúť do zoznamov zrušených potvrdení. Za taký pseudonymizovaný údaj pre spracovateľské operácie vykonávané v rámci brány by sa mal považovať jedinečný identifikátor. |
(15) |
Navyše by sa mali zaviesť ustanovenia o úlohe členských štátov a Komisie, pokiaľ ide o výmenu zoznamov zrušených potvrdení. |
(16) |
Spracúvanie osobných údajov držiteľov potvrdení, za ktoré sú zodpovedné členské štáty alebo iné verejné organizácie, alebo verejné subjekty v členských štátoch, by sa malo vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 (5). Spracúvanie osobných údajov na účely správy a zaistenia bezpečnosti brány digitálneho COVID preukazu EÚ, za ktoré je zodpovedná Komisia, by malo byť v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2018/1725 (6). |
(17) |
Členské štáty, ktoré sú zastúpené určenými vnútroštátnymi orgánmi alebo verejnými subjektmi, spoločne stanovia cieľ a spôsob spracúvania osobných údajov prostredníctvom brány digitálneho COVID preukazu EÚ, a preto sú spoločnými prevádzkovateľmi. V článku 26 nariadenia (EÚ) 2016/679 sa stanovuje povinnosť spoločných prevádzkovateľov operácií spracúvania osobných údajov transparentne určiť ich príslušné zodpovednosti za plnenie povinností podľa uvedeného nariadenia. Zároveň sa v ňom uvádza, že tieto zodpovednosti môžu byť stanovené v práve Únie alebo práve členského štátu, ktorému prevádzkovatelia podliehajú. Opatrenie uvedené v článku 26 by sa malo zahrnúť do prílohy III k tomuto rozhodnutiu. |
(18) |
Nariadením (EÚ) 2021/953 sa Komisii prideľuje úloha podporovať takéto výmeny. Najvhodnejším spôsobom na splnenie tohto mandátu je zhromažďovať odoslané zoznamy zrušených potvrdení v mene členských štátov. Komisii by sa preto mala zveriť úloha sprostredkovateľa, aby mohla podporovať tieto výmeny uľahčovaním výmeny zoznamov prostredníctvom brány digitálneho COVID preukazu EÚ v mene členských štátov. |
(19) |
Komisia ako poskytovateľ technických a organizačných riešení pre bránu digitálneho COVID preukazu EÚ spracúva osobné údaje v zoznamoch zrušených potvrdení v bráne v mene členských štátov ako spoločných prevádzkovateľov. Preto koná ako ich sprostredkovateľ. V súlade s článkom 28 nariadenia (EÚ) 2016/679 a článkom 29 nariadenia (EÚ) 2018/1725 sa spracúvanie sprostredkovateľom riadi zmluvou alebo iným právnym aktom podľa práva Únie alebo členského štátu, ktoré zaväzujú sprostredkovateľa voči prevádzkovateľovi a ktorými sa špecifikuje spracúvanie. Preto je nevyhnutné stanoviť pravidlá spracúvania, ktoré vykonáva Komisia ako sprostredkovateľ. |
(20) |
Podporná úloha Komisie nezahŕňa vytvorenie centrálnej databázy, ako sa uvádza v odôvodnení 52 nariadenia (EÚ) 2021/953. Cieľom tohto zákazu je zabrániť vzniku centrálneho úložiska všetkých vydaných digitálnych COVID preukazov EÚ, pričom členským štátom nebráni v tom, aby si vymieňali zoznamy zrušených potvrdení, čo je výslovne stanovené v článku 4 ods. 2 nariadenia (EÚ) 2021/953. |
(21) |
Pri spracúvaní osobných údajov v rámci brány digitálneho COVID preukazu EÚ je Komisia viazaná svojím rozhodnutím (EÚ, Euratom) 2017/46 (7). |
(22) |
Na základe článku 3 ods. 10 nariadenia (EÚ) 2021/953 môže Komisia prijímať vykonávacie akty, ktorými sa stanoví, že potvrdenia súvisiace s ochorením COVID-19 vydané treťou krajinou, s ktorou Únia a členské štáty uzavreli dohodu o voľnom pohybe osôb, ktorá zmluvným stranám umožňuje nediskriminačným spôsobom obmedziť takýto voľný pohyb z dôvodov verejného zdravia a ktorá neobsahuje mechanizmus zapracovania právnych aktov Únie, sú rovnocenné s potvrdeniami vydanými v súlade s uvedeným nariadením. Na základe toho Komisia 8. júla 2021 prijala vykonávacie rozhodnutie (EÚ) 2021/1126 (8), ktorým sa stanovuje rovnocennosť potvrdení súvisiacich s ochorením COVID-19 vydávaných Švajčiarskom. |
(23) |
Na základe článku 8 ods. 2 nariadenia (EÚ) 2021/953 môže Komisia prijímať vykonávacie akty, ktorými sa stanoví, že potvrdenia súvisiace s ochorením COVID-19 vydané treťou krajinou v súlade s normami a technologickými systémami, ktoré sú interoperabilné s rámcom dôvery pre digitálny COVID preukaz EÚ a ktoré umožňujú overiť pravosť, platnosť a integritu potvrdenia, a ktoré obsahujú údaje stanovené v prílohe k uvedenému nariadeniu, sa majú považovať za rovnocenné s digitálnymi COVID preukazmi EÚ na účely toho, aby sa ich držiteľom uľahčilo uplatňovanie ich práva na voľný pohyb v rámci Únie. Ako sa uvádza v odôvodnení 28 nariadenia (EÚ) 2021/953, článok 8 ods. 2 uvedeného nariadenia sa týka uznávania potvrdení vydaných tretími krajinami občanom Únie a ich rodinným príslušníkom. Komisia už prijala niekoľko takýchto vykonávacích aktov. |
(24) |
V snahe vyhnúť sa nedostatkom pri odhaľovaní zrušených potvrdení, na ktoré sa vzťahujú takéto vykonávacie akty, by tretie krajiny, ktorých potvrdenia súvisiace s ochorením COVID-19 sa považujú za rovnocenné podľa článku 3 ods. 10 a článku 8 ods. 2 nariadenia (EÚ) 2021/953, mali mať takisto možnosť odoslať príslušné zoznamy zrušených potvrdení do brány digitálneho COVID preukazu EÚ. |
(25) |
Niektorí štátni príslušníci tretích krajín, ktorí sú držiteľmi zrušených potvrdení súvisiacich s ochorením COVID-19 vydaných treťou krajinou, ktorých potvrdenia súvisiace s ochorením COVID-19 sa podľa nariadenia (EÚ) 2021/953 považujú za rovnocenné, nemusia patriť do rozsahu pôsobnosti uvedeného nariadenia ani nariadenia (EÚ) 2021/954 v čase, keď dotknutá tretia krajina vyhotoví zoznam zrušených potvrdení zahŕňajúci ich potvrdenia. V čase, keď dotknutá tretia krajina vyhotoví tento zoznam zrušených potvrdení, však nemôže byť známe, či všetci štátni príslušníci tretích krajín, ktorí sú držiteľmi zrušených potvrdení, patria do rozsahu pôsobnosti niektorého z uvedených nariadení. Snaha o vylúčenie osôb, ktoré nepatria do rozsahu pôsobnosti žiadneho z uvedených nariadení, v čase, keď uvedené krajiny vytvoria zoznamy zrušených potvrdení, preto nie je uskutočniteľná a pokus o takéto vylúčenie by viedol k tomu, že členské štáty by neboli schopné odhaliť zrušené potvrdenia, ktorých držiteľmi sú štátni príslušníci tretích krajín, ktorí cestujú do Únie po prvýkrát. Aj zrušené potvrdenia týchto štátnych príslušníkov tretích krajín by však členské štáty overili, keď ich držitelia cestujú do Únie a keď následne cestujú v rámci Únie. Tretie krajiny, ktorých potvrdenia sa považujú za rovnocenné podľa nariadenia (EÚ) 2021/953, nie sú zapojené do riadenia brány, a preto sa nepovažujú za spoločných prevádzkovateľov. |
(26) |
Navyše sa ukázalo, že systém digitálnych COVID preukazov EÚ je jediným systémom potvrdení súvisiacich s ochorením COVID-19, ktorý sa vo veľkom využíva aj na medzinárodnej scéne. Digitálny COVID preukaz EÚ má preto čoraz väčší globálny význam a prispieva k riešeniu pandémie na medzinárodnej úrovni, keďže uľahčuje bezpečné medzinárodné cestovanie a celosvetovú obnovu. V procese prijímania dodatočných vykonávacích aktov podľa článku 8 ods. 2 nariadenia (EÚ) 2021/953 vznikajú nové potreby v súvislosti s vypĺňaním digitálneho COVID preukazu EÚ. Podľa pravidiel stanovených vo vykonávacom rozhodnutí (EÚ) 2021/1073 je priezvisko v technickom obsahu potvrdenia povinným poľom. Túto požiadavku treba zmeniť v záujme podpory začlenenia a interoperability s inými systémami, keďže v niektorých tretích krajinách sú osoby bez priezviska. V prípadoch, keď meno držiteľa potvrdenia nemožno rozdeliť na dve časti, malo by sa uviesť v tom istom poli (priezvisko alebo rodné meno) digitálneho COVID preukazu EÚ, ako by to bolo v cestovnom doklade alebo v doklade totožnosti držiteľa. Touto zmenou by sa takisto lepšie zosúladil technický obsah potvrdení s aktuálne platnými špecifikáciami strojovo čitateľných cestovných dokladov uverejnenými Medzinárodnou organizáciou civilného letectva. |
(27) |
Vykonávacie rozhodnutie (EÚ) 2021/1073 by sa preto malo zodpovedajúcim spôsobom zmeniť. |
(28) |
V súlade s článkom 42 ods. 1 nariadenia (EÚ) 2018/1725 sa konzultovalo s európskym dozorným úradníkom pre ochranu údajov, ktorý vydal svoje stanovisko 11. marca 2022. |
(29) |
S cieľom poskytnúť členským štátom a Komisii dostatočný čas na vykonanie zmien potrebných na umožnenie výmeny zoznamov zrušených potvrdení prostredníctvom brány digitálneho COVID preukazu EÚ by sa toto rozhodnutie malo začať uplatňovať štyri týždne po nadobudnutí jeho účinnosti. |
(30) |
Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 14 nariadenia (EÚ) 2021/953, |
PRIJALA TOTO ROZHODNUTIE:
Článok 1
Vykonávacie rozhodnutie (EÚ) 2021/1073 sa mení takto:
1. |
Vkladajú sa tieto články 5a, 5b a 5c: „Článok 5a Výmena zoznamov zrušených potvrdení 1. Rámec dôvery pre digitálny COVID preukaz EÚ umožňuje výmenu zoznamov zrušených potvrdení prostredníctvom centrálnej brány digitálneho COVID preukazu EÚ (ďalej len „brána“) v súlade s technickými špecifikáciami uvedenými v prílohe I. 2. Ak členské štáty zrušia digitálne COVID preukazy EÚ, môžu do brány odoslať zoznamy zrušených potvrdení. 3. Ak členské štáty odošlú zoznamy zrušených potvrdení, vydávajúce orgány vedú zoznam zrušených potvrdení. 4. Ak sa prostredníctvom brány vymieňajú osobné údaje, spracúvanie sa obmedzuje na účel podpory výmeny informácií o zrušených potvrdeniach. Takéto osobné údaje sa použijú len na účely overenia stavu zrušenia digitálnych COVID preukazov EÚ vydaných v rozsahu pôsobnosti nariadenia (EÚ) 2021/953. 5. Informácie odoslané do brány obsahujú v súlade s technickými špecifikáciami uvedenými v prílohe I tieto údaje:
6. Ak vydávajúci orgán zruší digitálne COVID preukazy EÚ, ktoré vydal podľa nariadenia (EÚ) 2021/953 alebo nariadenia (EÚ) 2021/954, a ak má v úmysle vymieňať si príslušné informácie prostredníctvom brány, informácie uvedené v odseku 5 v podobe zoznamov zrušených potvrdení zašle do brány v bezpečnom formáte v súlade s technickými špecifikáciami uvedenými v prílohe I. 7. Vydávajúce orgány v čo najväčšej možnej miere zabezpečujú riešenie na informovanie držiteľov zrušených potvrdení o stave zrušenia ich potvrdení a o dôvode zrušenia v čase zrušenia. 8. Brána zhromažďuje prijaté zoznamy zrušených potvrdení. Poskytuje pritom nástroje na distribúciu týchto zoznamov členským štátom. Zoznamy automaticky vymaže v súlade s dátumami uplynutia platnosti, ktoré zasielajúci orgán uvedie v prípade každého odoslaného zoznamu. 9. Spoločnými prevádzkovateľmi spracúvaných údajov sú určené vnútroštátne orgány alebo verejné subjekty členských štátov, ktoré spracúvajú osobné údaje v bráne. Spoločným prevádzkovateľom sa prideľujú príslušné zodpovednosti v súlade s prílohou VI. 10. Sprostredkovateľom osobných údajov spracúvaných v bráne je Komisia. Komisia v postavení sprostredkovateľa v mene členských štátov zaisťuje bezpečnosť prenosu a ukladania osobných údajov v bráne a dodržiava povinnosti sprostredkovateľa stanovené v prílohe VII. 11. Komisia a spoloční prevádzkovatelia pravidelne testujú, posudzujú a hodnotia účinnosť technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov v bráne. Článok 5b Odosielanie zoznamov zrušených potvrdení tretími krajinami Tretie krajiny vydávajúce potvrdenia súvisiace s ochorením COVID-19, v súvislosti s ktorými Komisia prijala vykonávací akt podľa článku 3 ods. 10 alebo článku 8 ods. 2 nariadenia (EÚ) 2021/953, môžu odoslať zoznamy zrušených potvrdení súvisiacich s ochorením COVID-19, na ktoré sa vzťahuje takýto vykonávací akt, aby ich Komisia spracovala v mene spoločných prevádzkovateľov v bráne, ako sa uvádza v článku 5a, a to v súlade s technickými špecifikáciami uvedenými v prílohe I. Článok 5c Riadenie spracúvania osobných údajov v centrálnej bráne digitálneho COVID preukazu EÚ 1. Rozhodovací proces spoločných prevádzkovateľov riadi pracovná skupina zriadená v rámci výboru uvedeného v článku 14 nariadenia (EÚ) 2021/953. 2. Určené vnútroštátne orgány alebo verejné subjekty členských štátov, ktoré spracúvajú osobné údaje v bráne ako spoloční prevádzkovatelia, určia zástupcov uvedenej skupiny.“ |
2. |
Príloha I sa mení v súlade s prílohou I k tomuto rozhodnutiu. |
3. |
Príloha V sa mení v súlade s prílohou II k tomuto rozhodnutiu. |
4. |
Text v prílohe III k tomuto rozhodnutiu sa dopĺňa ako príloha VI. |
5. |
Text v prílohe IV k tomuto rozhodnutiu sa dopĺňa ako príloha VII. |
Článok 2
Toto rozhodnutie nadobúda účinnosť tretím dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
Uplatňuje sa po štyroch týždňoch od nadobudnutia jeho účinnosti.
V Bruseli 21. marca 2022
Za Komisiu
predsedníčka
Ursula VON DER LEYEN
(1) Ú. v. EÚ L 211, 15.6.2021, s. 1.
(2) Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/954 zo 14. júna 2021 o rámci pre vydávanie, overovanie a uznávanie interoperabilných potvrdení o očkovaní proti ochoreniu COVID-19, o vykonaní testu a prekonaní tohto ochorenia (digitálny COVID preukaz EÚ), pokiaľ ide o štátnych príslušníkov tretích krajín, ktorí sa oprávnene zdržiavajú na území členských štátov alebo v nich majú oprávnený pobyt, počas pandémie ochorenia COVID-19 (Ú. v. EÚ L 211, 15.6.2021, s. 24).
(3) Odporúčanie Rady (EÚ) 2022/290 z 22. februára 2022, ktorým sa mení odporúčanie Rady (EÚ) 2020/912 o dočasnom obmedzení ciest do EÚ, ktoré nie sú nevyhnutné, a o možnom zrušení tohto obmedzenia (Ú. v. EÚ L 43, 24.2.2022, s. 79).
(4) Vykonávacie rozhodnutie Komisie (EÚ) 2021/1073 z 28. júna 2021, ktorým sa stanovujú technické špecifikácie a pravidlá pre vykonávanie rámca dôvery pre digitálny COVID preukaz EÚ zriadený nariadením Európskeho parlamentu a Rady (EÚ) 2021/953 (Ú. v. EÚ L 230, 30.6.2021, s. 32).
(5) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1).
(6) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39).
(7) Komisia uverejňuje ďalšie informácie o bezpečnostných normách, ktoré sa týkajú všetkých informačných systémov Európskej komisie, na adrese https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.
(8) Vykonávacie rozhodnutie Komisie (EÚ) 2021/1126 z 8. júla 2021, ktorým sa stanovuje rovnocennosť potvrdení súvisiacich s ochorením COVID-19 vydávaných Švajčiarskom s potvrdeniami vydávanými v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2021/953 (Ú. v. EÚ L 243, 9.7.2021, s. 49).
PRÍLOHA I
V prílohe I k vykonávaciemu rozhodnutiu (EÚ) 2021/1073 sa dopĺňa tento oddiel 9:
„9. RIEŠENIE TÝKAJÚCE SA POSTUPU ZRUŠENIA
9.1. Poskytnutie zoznamu zrušených digitálnych COVID preukazov EÚ (DCC)
Brána poskytuje koncové body a funkcie vedenia a správy zoznamov zrušených potvrdení:
9.2. Model zabezpečenia dôveryhodnosti
Všetky spojenia sú vytvorené štandardným modelom zabezpečenia dôveryhodnosti DCCG pomocou certifikátov NBTLS a NBUP (pozri správu certifikátov). Všetky informácie sú zbalené a nahraté prostredníctvom správ CMS, aby sa zabezpečila integrita.
9.3. Vytvorenie dávky
9.3.1. Dávka
Každý zoznam zrušených potvrdení obsahuje jeden alebo viacero zápisov a balí sa do dávok, ktoré obsahujú súbor hašov (hashes) a ich metaúdaje. Dávka je nezameniteľná (immutable) a je v nej zadefinovaný dátum uplynutia platnosti, ktorý určuje, kedy ju možno vymazať. Dátum uplynutia platnosti všetkých položiek v dávke musí byť presne rovnaký, čo znamená, že dávky musia byť zoskupené podľa dátumu uplynutia platnosti a podpisu DSC. Každá dávka obsahuje najviac 1 000 zápisov. Ak zoznam zrušených potvrdení obsahuje viac ako 1 000 zápisov, vytvorí sa viacero dávok. Každý zápis sa môže vyskytnúť maximálne v jednej dávke. Dávka sa zbalí do štruktúry CMS a podpíše certifikátom NBUP nahrávajúcej krajiny.
9.3.2. Index dávok (Batch Index)
Pri vytvorení dávky jej brána pridelí jedinečný identifikátor ID a automaticky sa pridá do indexu. Index dávok je zoradený podľa dátumu úprav vo vzostupnom chronologickom poradí.
9.3.3. Správanie brány
Brána spracúva dávky (batches) zrušených potvrdení bez akýchkoľvek zmien: dávky nemôže aktualizovať, odstrániť ani do nich pridať žiadne informácie. Dávky sa ďalej zasielajú do všetkých autorizovaných krajín (pozri bod 9.6).
Brána aktívne monitoruje dátumy uplynutia platnosti dávok a dávky po uplynutí platnosti odstraňuje. Po vymazaní dávky brána v prípade adresy URL vymazanej dávky zobrazí hlásenie „HTTP 410 Gone“. Preto sa táto dávka zobrazuje v indexe dávok ako „vymazaná“ (deleted).
9.4. Druhy hašov (Hash Types)
Zoznam zrušených potvrdení obsahuje haše, ktoré môžu predstavovať rôzne druhy/atribúty zrušených potvrdení. Tieto druhy alebo atribúty sa uvedú pri poskytovaní zoznamov zrušených potvrdení. Aktuálnymi druhmi sú:
Druh |
Atribút |
Výpočet hašu |
SIGNATURE |
DCC Signature |
SHA256 of DCC Signature |
UCI |
UCI (Unique Certificate Identifier) |
SHA256 of UCI |
COUNTRYCODEUCI |
Issuing Country Code + UCI |
SHA256 of Issuing CountryCode + UCI |
Do dávok sa vkladá len prvých 128 bitov hašov kódovaných ako reťazce (strings) base64, ktoré sa používajú na identifikáciu zrušeného DCC (1).
9.4.1. Druh hašu: SHA256(podpis DCC)
V tomto prípade sa haš vypočíta podľa bajtov podpisu COSE_SIGN1 z CWT. V prípade podpisov RSA sa ako vstup použije celý podpis. Vo vzorci v prípade certifikátov podpísaných algoritmom EC-DSA sa používa ako vstup hodnota r:
SHA256(r).
[vyžaduje sa v prípade všetkých nových implementácií]
9.4.2. Druh hašu: SHA256(UCI)
V tomto prípade sa haš vypočíta podľa reťazca UCI kódovaného v UTF-8 a konvertovaného na bajtové pole (byte array).
[zastarané (2), ale podporované v prípade spätnej kompatibility]
9.4.3. Druh hašu: SHA256(kód vydávajúcej krajiny Issuing CountryCode+UCI)
V tomto prípade kód krajiny CountryCode kódovaný ako reťazec UTF-8 zreťazený s identifikátorom UCI kódovaným pomocou reťazca UTF-8. Ten sa následne konvertuje na bajtové pole a použije sa ako vstup do hašovacej funkcie.
[zastarané 2, ale podporované v prípade spätnej kompatibility]
9.5. Štruktúra API
9.5.1. API na zadávanie zápisov zrušených potvrdení
9.5.1.1.
API posiela zápisy zoznamov zrušených potvrdení v dávkach vrátane indexu dávok.
9.5.1.2.
9.5.1.2.1. Koncový bod – sťahovanie zoznamu dávok
Koncové body sa riadia jednoduchou koncepciou a vracajú zoznam dávok s malým obalom (wrapper) poskytujúcim metaúdaje (metadata). Dávky sú roztriedené podľa dátumu vo vzostupnom (chronologickom) poradí:
/revocation-list
Verb: GET
Content-Type: application/json
Response: JSON Array
|
{
|
|
} |
Poznámka: Výsledok je obmedzený na predvolený počet 1 000. Ak je príznak „more“ nastavený na hodnotu „true“, odpoveď naznačuje, že na stiahnutie je k dispozícii viac dávok. Na stiahnutie viacerých položiek musí klient nastaviť záhlavie (header) If-Modified-Since na dátum, ktorý nie je skorší ako posledný prijatý zápis.
Odpoveď obsahuje pole JSON s touto štruktúrou:
Pole |
Vymedzenie |
more |
Booleovský príznak, ktorý naznačuje, že existuje viac dávok. |
batches |
Pole s existujúcimi dávkami. |
batchId |
https://en.wikipedia.org/wiki/Universally_unique_identifier |
country |
Kód krajiny podľa normy ISO 3166. |
date |
Dátum vo formáte UTC podľa normy ISO 8601. Dátum, keď bola dávka pridaná alebo vymazaná. |
deleted |
boolean. Hodnota „true“ v prípade vymazania. Keď sa nastaví príznak „vymazaný“ (deleted), zápis možno s konečnou platnosťou odstrániť z výsledkov vyhľadávania po siedmich dňoch. |
9.5.1.2.1.1. Kódy odpovedí
Kód |
Opis |
200 |
Všetko je v poriadku. |
204 |
Žiadny obsah, ak obsah záhlavia „If-Modified-Since“ nemá zhodu. |
Záhlavie požiadavky
Záhlavie |
Povinné |
Opis |
If-Modified-Since |
áno |
Toto záhlavie obsahuje posledný dátum stiahnutia, aby sa zobrazili len najnovšie výsledky. Pri prvom volaní by záhlavie malo byť nastavené na „2021-06-01T00:00:00Z“. |
9.5.1.2.2. Koncový bod – sťahovanie dávok
Dávky obsahujú zoznam identifikátorov potvrdení:
/revocation-list/{batchId}
Verb: GET
Accepts: application/cms
Response:CMS with Content
|
{
|
|
} |
Odpoveď obsahuje CMS s podpisom, ktorý sa musí zhodovať s certifikátom NBUP danej krajiny. Všetky položky v poli JSON majú túto štruktúru:
Pole |
Povinné |
Druh |
Vymedzenie |
expires |
áno |
String |
Dátum, keď možno položku odstrániť. Dátum/čas vo formáte UTC podľa normy ISO 8601. |
country |
áno |
String |
Kód krajiny podľa normy ISO 3166. |
hashType |
áno |
String |
Druh hašu zadaných zápisov (pozri Druhy hašov). |
entries |
áno |
JSON Object Array |
Pozri tabuľku Zápisy. |
kid |
áno |
String |
Identifikátor KID certifikátu DSC s kódovaním base64, ktorý sa použil na podpísanie DCC. Ak KID nie je známy, možno použiť reťazec „UNKNOWN_KID“ (bez „“). |
Poznámky: |
— |
Dávky sa zoskupujú podľa dátumu uplynutia platnosti a DSC – platnosť všetkých položiek musí uplynúť v rovnakom čase a musia byť podpísané tým istým kľúčom. |
— |
Čas uplynutia platnosti je dátum/čas vo formáte UTC, pretože EU-DCC je globálny systém a musí sa používať jednoznačný čas. |
— |
Dátum uplynutia platnosti trvalo zrušeného DCC sa stanovuje na dátum uplynutia platnosti príslušného DSC použitého na podpísanie DCC alebo na čas uplynutia platnosti zrušeného DCC (v tomto prípade sa s použitými časmi NumericDate/epoch zaobchádza, ako keby boli v časovom pásme UTC). |
— |
Vnútroštátny spracovateľský subjekt (National Backend, NB) odstraňuje položky zo svojho zoznamu zrušených potvrdení po dátume uplynutia platnosti. |
— |
NB môže odstrániť položky zo svojho zoznamu zrušených potvrdení, ak bol kid použitý na podpísanie DCC zrušený. |
9.5.1.2.2.1. Zápisy
Pole |
Povinné |
Druh |
Vymedzenie |
hash |
áno |
String |
Prvých 128 bitov hašu SHA256 kódovaných ako reťazec base64. |
Poznámka: Objekt zápisov aktuálne obsahuje len haš, ale v záujme kompatibility so zmenami v budúcnosti bol namiesto poľa json vybraný objekt.
9.5.1.2.2.2. Kódy odpovedí
Kód |
Opis |
200 |
Všetko je v poriadku. |
410 |
Dávka nenájdená. Dávku možno vymazať vo vnútroštátnom spracovateľskom subjekte. |
9.5.1.2.2.3. Záhlavia odpovedí
Záhlavie |
Opis |
ETag |
ID dávky. |
9.5.1.2.3. Koncový bod – nahrávanie dávok
Nahrávanie sa uskutočňuje cez ten istý koncový bod pomocou slovesa POST (odoslať):
/revocation-list
Verb: POST
Accepts: application/cms
Request: CMS with Content
ContentType: application/cms
Content:
|
{
|
|
} |
Dávka sa podpisuje pomocou certifikátu NBUP. Brána overuje, či sa podpis v prípade danej krajiny nastavil pomocou NBUP. Ak je kontrola podpisu neúspešná, nahrávanie zlyhá.
POZNÁMKA: Každá dávka je nezameniteľná (immutable) a po nahratí ju nemožno zmeniť. Možno ju však vymazať. ID každej vymazanej dávky sa uloží a nahratie novej dávky s rovnakým ID sa zamietne.
9.5.1.2.4. Koncový bod – vymazanie dávok
Dávku možno vymazať cez ten istý koncový bod pomocou slovesa (verb) VYMAZAŤ (DELETE):
/revocation-list
Verb: DELETE
Accepts: application/cms
ContentType: application/cms
Request: CMS with Content
Content:
|
{
|
|
} |
alebo v záujme kompatibility sa odošle na tento koncový bod pomocou slovesa (verb) ODOSLAŤ (POST):
/revocation-list/delete
Verb: POST
Accepts: application/cms
ContentType: application/cms
Request: CMS with Content
Content:
|
{
|
|
} |
9.6. Ochrana API/všeobecné nariadenie o ochrane údajov
V tomto oddiele sa špecifikujú opatrenia na zabezpečenie súladu vykonávania s ustanoveniami nariadenia 2021/953, pokiaľ ide o spracúvanie osobných údajov.
9.6.1. Existujúca autentifikácia
Brána aktuálne používa na autentifikáciu krajín, ktoré sa k nej pripájajú, certifikát NBTLS. Túto autentifikáciu možno použiť na určenie identity krajiny pripojenej k bráne. Uvedená identita sa následne môže použiť na vykonanie kontroly prístupu.
9.6.2. Kontrola prístupu
Brána uplatňuje mechanizmus kontroly prístupu, aby mohla spracúvať osobné údaje v súlade s právnymi predpismi.
V rámci brány sa zavádza zoznam kontroly prístupu v kombinácii s bezpečnosťou na základe rolí. V tomto systéme sa vedú dve tabuľky – jedna tabuľka opisuje, ktoré roly môžu uplatňovať ktoré operácie na ktoré zdroje, a druhá tabuľka opisuje, ktoré roly sú pridelené ktorým používateľom.
Na vykonávanie kontrol požadovaných v tomto dokumente sa vyžadujú tri roly, a to:
|
RevocationListReader |
|
RevocationUploader |
|
RevocationDeleter |
Uvedené koncové body (endpoints) kontrolujú, či má používateľ rolu RevocationListReader; ak má, prístup sa udelí, ak nemá, následne sa zobrazí hlásenie HTTP 403 Forbidden:
GET/revocation-list/
GET/revocation-list/{batchId}
Uvedené koncové body kontrolujú, či má používateľ (User) rolu (Role) RevocationUploader; ak má, prístup sa udelí, ak nemá, následne sa zobrazí hlásenie HTTP 403 Forbidden:
POST/revocation-list
Uvedené koncové body kontrolujú, či má používateľ rolu RevocationDeleter; ak má, prístup sa udelí, ak nemá, následne sa zobrazí hlásenie HTTP 403 Forbidden:
DELETE/revocation-list
POST/revocation-list/delete
Brána takisto poskytuje spoľahlivú metódu, pomocou ktorej správcovia môžu spravovať roly spojené s používateľmi, a to takým spôsobom, aby sa znížila pravdepodobnosť ľudských chýb a aby sa zároveň nezaťažovali funkční správcovia.“
(1) Podrobné opisy API sa uvádzajú aj v bode 9.5.1.2.
(2) Zastarané znamená, že táto funkcia sa nezohľadňuje pri nových implementáciách, ale podporuje sa v prípade existujúcich implementácií počas presne vymedzeného obdobia.
PRÍLOHA II
Oddiel 3 prílohy V k vykonávaciemu rozhodnutiu (EÚ) 2021/1073 sa nahrádza takto:
„3. Spoločné štruktúry a všeobecné požiadavky
Digitálny COVID preukaz EÚ sa nesmie vystaviť, pokiaľ z dôvodu chýbajúcich informácií nemožno všetky dátové polia správne vyplniť v súlade s touto špecifikáciou. Nesmie sa to však vykladať tak, že je tým ovplyvnená povinnosť členských štátov vystavovať digitálne COVID preukazy EÚ.
Informácie sa môžu vo všetkých poliach vypĺňať pomocou úplného súboru znakov UNICODE 13.0 kódovaných pomocou UTF-8, pokiaľ nie sú osobitne obmedzené na súbory hodnôt alebo užšie súbory znakov.
Spoločná štruktúra je takáto:
„JSON“:{
„ver“:<informácie o verzii>,
„nam“:{
<informácie o mene osoby>
},
„dob“:<dátum narodenia>,
„v“ alebo „t“ alebo „r“:[
{<vakcinačná dávka alebo informácie o teste alebo informácie o prekonaní, jeden zápis>}
]
}
Podrobné informácie o jednotlivých skupinách a poliach sú uvedené v ďalších oddieloch.
Keď sa v pravidlách uvádza, že pole sa vynechá, znamená to, že jeho obsah musí byť prázdny a že meno ani hodnota poľa nie sú v obsahu povolené.
3.1. Verzia
Uvedú sa informácie o verzii. Správa verzií sa riadi sémantickou správou verzií (Semantic Versioning) (semver: https://semver.org). Pri generovaní preukazu sa musí použiť jedna z oficiálne vydaných verzií (súčasná verzia alebo jedna zo starších oficiálne vydaných verzií). Podrobnejšie informácie sú uvedené v oddiele o umiestnení schémy (Schema location) JSON.
ID poľa |
Názov poľa |
Pokyny |
ver |
Verzia schémy |
Zodpovedá identifikátoru verzie schémy, ktorá bola použitá na vygenerovanie EUDCC. Príklad: „ver“: „1.3.0“ |
3.2. Meno osoby a dátum narodenia
Meno osoby je celé úradné meno osoby, ktoré sa zhoduje s menom uvedeným v cestovných dokladoch. Identifikátor štruktúry je nam. Zadá sa presne 1 (jedno) meno osoby.
ID poľa |
Názov poľa |
Pokyny |
nam/fn |
Priezvisko(-á) |
Priezvisko(-á) držiteľa Ak držiteľ nemá priezviská a má rodné meno, pole sa vynechá. Vo všetkých ostatných prípadoch sa zadá presne 1 (jedno) pole s obsahom, v ktorom sa uvedú všetky priezviská. V prípade viacerých priezvisk sa tieto priezviská oddelia medzerou. Zložené mená vrátane tých, ktoré obsahujú spojovníky alebo podobné znaky, však musia zostať rovnaké. Príklady: „fn“:„Musterfrau-Gößinger “ „fn“:„Musterfrau-Gößinger Müller“ |
nam/fnt |
Štandardizované priezvisko(-á) |
Priezvisko(-á) držiteľa sa prepíše(-u) s použitím rovnakého dohovoru, aký sa použil v strojovo čitateľných cestovných dokladoch držiteľa (ako sú napríklad pravidlá vymedzené v časti 3 dokumentu ICAO Doc 9303). Ak držiteľ nemá priezviská a má rodné meno, pole sa vynechá. Vo všetkých ostatných prípadoch sa zadá presne 1 (jedno) pole s obsahom, v ktorom sa použijú iba znaky A – Z a <. Maximálna dĺžka: 80 znakov (podľa špecifikácií dokumentu ICAO 9303). Príklady: „fnt“:„MUSTERFRAU<GOESSINGER“ „fnt“:„MUSTERFRAU<GOESSINGER<MUELLER“ |
nam/gn |
Rodné meno(-á) |
Rodné meno(-á), ako napríklad rodné meno(-á) držiteľa. Ak držiteľ nemá rodné mená a má priezvisko, pole sa vynechá. Vo všetkých ostatných prípadoch sa zadá presne 1 (jedno) pole s obsahom, v ktorom sa uvedú všetky rodné mená. V prípade viacerých rodných mien sa tieto mená oddelia medzerou. Príklad: „gn“:„Isolde Erika“ |
nam/gnt |
Štandardizované rodné meno(-á) |
Rodné meno(-á) držiteľa sa prepíše(-u) s použitím rovnakého dohovoru, aký sa použil v strojovo čitateľných cestovných dokladoch držiteľa (ako sú napríklad pravidlá vymedzené v časti 3 dokumentu ICAO Doc 9303). Ak držiteľ nemá rodné mená a má priezvisko, pole sa vynechá. Vo všetkých ostatných prípadoch sa zadá presne 1 (jedno) pole s obsahom, v ktorom sa použijú iba znaky A – Z a <. Maximálna dĺžka: 80 znakov Príklad: „gnt“:„ISOLDE<ERIKA“ |
dob |
Dátum narodenia |
Dátum narodenia držiteľa digitálneho COVID preukazu EÚ Úplný alebo čiastočný dátum bez časového údaja, ktorý sa bude pohybovať v rozpätí vymedzenom od 1900-01-01 do 2099-12-31. Zadá sa presne 1 (jedno) pole s obsahom, ak je známy úplný alebo čiastočný dátum narodenia. Ak dátum narodenia nie je známy ani čiastočne, pole sa nastaví ako prázdny reťazec „“. To by malo zodpovedať informáciám uvedeným v cestovných dokladoch. Ak sú k dispozícii informácie o dátume narodenia, použije sa jeden z týchto formátov ISO 8601. Iné možnosti nie sú podporované. YYYY-MM-DD YYYY-MM YYYY (Overovacia aplikácia môže zobraziť chýbajúce časti dátumu narodenia s použitím dohovoru XX rovnako ako pri strojovo čitateľných cestovných dokladoch, napr. 1990-XX-XX.) Príklady: „dob“:„1979-04-14“ „dob“:„1901-08“ „dob“:„1939“ „dob“:„“ |
3.3. Skupiny so špecifickými informáciami o type potvrdenia
Schéma JSON podporuje tri skupiny zápisov, ktoré obsahujú špecifické informácie o type potvrdenia. Každý digitálny COVID preukaz EÚ obsahuje presne 1 (jednu) skupinu. Prázdne skupiny nie sú povolené.
Identifikátor skupiny |
Názov skupiny |
Zápisy |
v |
Skupina o očkovaní |
Ak je k dispozícii, obsahuje presne 1 (jeden) zápis opisujúci presne 1 (jednu) dávku vakcíny (jednu dávku). |
t |
Skupina o vykonaní testu |
Ak je k dispozícii, obsahuje presne 1 (jeden) zápis opisujúci presne 1 (jeden) výsledok testu. |
r |
Skupina o prekonaní ochorenia |
Ak je k dispozícii, obsahuje presne 1 (jeden) zápis opisujúci presne 1 (jedno) vyhlásenie o prekonaní ochorenia.“ |
PRÍLOHA III
„PRÍLOHA VI
ZODPOVEDNOSTI ČLENSKÝCH ŠTÁTOV AKO SPOLOČNÝCH PREVÁDZKOVATEĽOV BRÁNY DIGITÁLNEHO COVID PREUKAZU EÚ NA VÝMENU ZOZNAMOV ZRUŠENÝCH DIGITÁLNYCH COVID PREUKAZOV EÚ
ODDIEL 1
Pododdiel 1
Rozdelenie zodpovedností
1. |
Spoloční prevádzkovatelia spracúvajú osobné údaje prostredníctvom brány založenej na rámci dôvery v súlade s technickými špecifikáciami uvedenými v prílohe I. |
2. |
Vydávajúce orgány členských štátov zostávajú jediným prevádzkovateľom, pokiaľ ide o zber, používanie, zverejňovanie a akékoľvek iné spracúvanie informácií o zrušených potvrdeniach mimo brány, a to aj pri postupe vedúcom k zrušeniu potvrdenia. |
3. |
Každý prevádzkovateľ je v súlade s článkami 5, 24 a 26 všeobecného nariadenia o ochrane údajov zodpovedný za spracúvanie osobných údajov v bráne založenej na rámci dôvery. |
4. |
Každý prevádzkovateľ zriadi kontaktné miesto s funkčnou e-mailovou schránkou, ktorá bude slúžiť na vzájomnú komunikáciu medzi spoločnými prevádzkovateľmi a na komunikáciu medzi spoločnými prevádzkovateľmi a sprostredkovateľom. |
5. |
Pracovná skupina zriadená výborom uvedeným v článku 14 nariadenia (EÚ) 2021/953 je poverená preskúmaním akýchkoľvek problémov vyplývajúcich z výmeny zoznamov zrušených potvrdení a zo spoločného prevádzkovania súvisiaceho spracúvania osobných údajov a uľahčením koordinovaných pokynov pre Komisiu ako sprostredkovateľa. Táto pracovná skupina usmerňuje rozhodovací proces spoločných prevádzkovateľov, ktorý sa riadi jej rokovacím poriadkom. Základným pravidlom je, že neúčasť ktoréhokoľvek zo spoločných prevádzkovateľov na zasadnutí tejto pracovnej skupiny, ktoré bolo oznámené aspoň sedem (7) dní pred jej písomným zvolaním, vedie k tichému súhlasu s výsledkami tohto zasadnutia pracovnej skupiny. Zasadnutie tejto pracovnej skupiny môže zvolať ktorýkoľvek zo spoločných prevádzkovateľov. |
6. |
Pokyny pre sprostredkovateľa posiela ktorékoľvek kontaktné miesto spoločných prevádzkovateľov po dohode s ostatnými spoločnými prevádzkovateľmi, a to na základe rozhodovacieho procesu pracovnej skupiny uvedeného v bode 5. Spoločný prevádzkovateľ, ktorý poskytuje pokyny, by ich mal v písomnej podobe poskytnúť sprostredkovateľovi a informovať o tom všetkých ostatných spoločných prevádzkovateľov. Ak je predmetná záležitosť natoľko naliehavá, že neumožňuje zasadnutie pracovnej skupiny podľa bodu 5, pokyn sa môže poskytnúť aj tak, no pracovná skupina ho môže zrušiť. Tento pokyn by sa mal vydať písomne a všetci ostatní spoloční prevádzkovatelia by o tom mali byť v čase vydania pokynu informovaní. |
7. |
Pracovná skupina zriadená podľa bodu 5 nevylučuje individuálnu právomoc spoločných prevádzkovateľov informovať svoj príslušný dozorný orgán v súlade s článkami 33 a 24 všeobecného nariadenia o ochrane údajov. Takéto oznámenie si nevyžaduje súhlas žiadneho z ostatných spoločných prevádzkovateľov. |
8. |
V bráne založenej na rámci dôvery majú prístup k vymieňaným osobným údajom len osoby autorizované určenými vnútroštátnymi orgánmi alebo verejnými subjektmi. |
9. |
Každý vydávajúci orgán vedie záznamy o činnostiach spracúvania údajov, za ktoré zodpovedá. V záznamoch môže byť uvedené aj spoločné prevádzkovanie. |
Pododdiel 2
Zodpovednosti a úlohy pri vybavovaní žiadostí a informovaní dotknutých osôb
1. |
Každý prevádzkovateľ vo svojej úlohe vydávajúceho orgánu poskytuje fyzickým osobám, ktorých potvrdenie(-ia) zrušil (ďalej len „dotknuté osoby“), informácie o uvedenom zrušení potvrdenia a spracúvaní ich osobných údajov v bráne digitálneho COVID preukazu EÚ na účely podpory výmeny zoznamov zrušených potvrdení v súlade s článkom 14 všeobecného nariadenia o ochrane údajov, pokiaľ sa to neukáže ako nemožné alebo by s tým súviselo neprimerané úsilie. |
2. |
Každý prevádzkovateľ koná ako kontaktné miesto pre fyzické osoby, ktorých potvrdenie zrušil, a vybavuje žiadosti predložené dotknutými osobami alebo ich zástupcami pri výkone ich práv v súlade so všeobecným nariadením o ochrane údajov. Ak spoločný prevádzkovateľ dostane od dotknutej osoby žiadosť, ktorá sa týka potvrdenia vydaného iným spoločným prevádzkovateľom, informuje dotknutú osobu o identite a kontaktných údajoch daného zodpovedného spoločného prevádzkovateľa. Na požiadanie od iného spoločného prevádzkovateľa si spoloční prevádzkovatelia pri vybavovaní žiadostí dotknutých osôb navzájom pomáhajú a vzájomne si odpovedajú bez zbytočného odkladu, a to najneskôr do jedného mesiaca od doručenia žiadosti o pomoc. Ak sa žiadosť týka údajov predložených treťou krajinou, prevádzkovateľ, ktorý dostane žiadosť, ju vybaví a dotknutú osobu informuje o identite a kontaktných údajoch vydávajúceho orgánu v tretej krajine. |
3. |
Každý prevádzkovateľ sprístupní dotknutým osobám obsah tejto prílohy vrátane opatrení stanovených v bodoch 1 a 2. |
ODDIEL 2
Riadenie kybernetických incidentov vrátane prípadov porušenia ochrany osobných údajov
1. |
Spoloční prevádzkovatelia si navzájom pomáhajú pri identifikácii a riešení všetkých kybernetických incidentov vrátane prípadov porušenia ochrany osobných údajov, ktoré sú spojené so spracúvaním v bráne digitálneho COVID preukazu EÚ. |
2. |
Spoloční prevádzkovatelia sa navzájom informujú najmä o týchto skutočnostiach:
|
3. |
Spoloční prevádzkovatelia oznamujú Komisii, príslušným orgánom dohľadu a v prípade potreby dotknutým osobám všetky prípady porušenia ochrany osobných údajov týkajúce sa spracovateľských operácií realizovaných v bráne založenej na rámci dôvery v súlade s článkami 33 a 34 všeobecného nariadenia o ochrane údajov alebo po oznámení Komisie. |
4. |
Každý vydávajúci orgán zavedie vhodné technické a organizačné opatrenia, ktorých účelom je:
|
ODDIEL 3
Posúdenie vplyvu na ochranu údajov
1. |
Ak prevádzkovateľ v záujme plnenia svojich povinností stanovených v článkoch 35 a 36 nariadenia (EÚ) 2016/679 potrebuje informácie od iného prevádzkovateľa, zašle osobitnú žiadosť do funkčnej e-mailovej schránky uvedenej v oddiele 1 pododdiele 1 bode 4. Oslovený prevádzkovateľ vynaloží maximálne úsilie na poskytnutie týchto informácií. |
PRÍLOHA IV
“PRÍLOHA VII
ZODPOVEDNOSTI KOMISIE AKO SPROSTREDKOVATEĽA ÚDAJOV BRÁNY DIGITÁLNEHO COVID PREUKAZU EÚ NA PODPORU VÝMENY ZOZNAMOV ZRUŠENÝCH DIGITÁLNYCH COVID PREUKAZOV EÚ
Komisia:
1. |
V mene členských štátov zriadi a zaistí bezpečnú a spoľahlivú komunikačnú infraštruktúru, ktorá podporuje výmenu zoznamov zrušených potvrdení odoslaných do brány digitálneho COVID preukazu. |
2. |
V záujme plnenia svojich povinností ako sprostredkovateľa údajov v bráne založenej na dôvere pre členské štáty môže Komisia zapojiť tretie strany ako ďalších sprostredkovateľov; Komisia informuje spoločných prevádzkovateľov o všetkých zamýšľaných zmenách týkajúcich sa doplnenia alebo výmeny iných ďalších sprostredkovateľov, pričom prevádzkovatelia budú mať možnosť proti takýmto zmenám spoločne vzniesť námietku. Komisia zabezpečí, aby sa na týchto ďalších sprostredkovateľov vzťahovali rovnaké povinnosti v oblasti ochrany údajov, ako sú povinnosti stanovené v tomto rozhodnutí. |
3. |
Spracúva osobné údaje len na základe zdokumentovaných pokynov od prevádzkovateľov s výnimkou prípadu, keď sa to vyžaduje podľa práva Únie alebo členského štátu; v takom prípade Komisia oznámi spoločným prevádzkovateľom túto právnu požiadavku ešte predtým, ako bude pokračovať s činnosťou spracúvania, pokiaľ sa podľa daného práva predkladanie takéhoto oznámenia zo závažných dôvodov verejného záujmu nezakazuje. Spracúvanie údajov zo strany Komisie zahŕňa tieto činnosti:
|
4. |
Prijíma všetky špičkové organizačné, fyzické a logické bezpečnostné opatrenia na spravovanie brány digitálneho COVID preukazu EÚ. Na tento účel Komisia:
|
5. |
Prijíma všetky potrebné bezpečnostné opatrenia, aby nedošlo k ohrozeniu bezproblémového prevádzkového fungovania vnútroštátnych zálohových serverov. Komisia na tento účel zavedie osobitné postupy týkajúce sa pripojenia zo zálohových serverov do brány digitálneho COVID preukazu EÚ. To zahŕňa:
|
6. |
Prijíma špičkové fyzické a/alebo logické bezpečnostné opatrenia pre zariadenia, v ktorých sa nachádza brána digitálneho COVID preukazu EÚ, a pre kontroly prístupu k logickým údajom a prístupu k zabezpečeniu. Na tento účel Komisia:
|
7. |
Podniká kroky na ochranu svojej domény vrátane prerušenia pripojení v prípade výraznej odchýlky od zásad a koncepcií v oblasti kvality alebo bezpečnosti. |
8. |
Vypracúva a aktualizuje plán riadenia rizík v oblasti svojej pôsobnosti. |
9. |
Monitoruje – v reálnom čase – výkonnosť všetkých zložiek služby v rámci svojich služieb brány založenej na rámci dôvery, zostavuje pravidelnú štatistiku a vedie záznamy. |
10. |
Poskytuje podporu pre všetky služby brány založenej na rámci dôvery v angličtine, a to 24 hodín denne a 7 dní v týždni cez telefón, mailom alebo cez webový portál a prijíma hovory od autorizovaných volajúcich, ktorými sú: koordinátori brány digitálneho COVID preukazu EÚ a ich príslušné asistenčné služby, projektoví manažéri a určené osoby z Komisie. |
11. |
Primeranými technickými a organizačnými opatreniami a pokiaľ je to možné v súlade s článkom 12 nariadenia (EÚ) 2018/1725 pomáha spoločným prevádzkovateľom pri plnení ich povinnosti reagovať na žiadosti o výkon práv dotknutej osoby stanovených v kapitole III všeobecného nariadenia o ochrane údajov. |
12. |
Podporuje spoločných prevádzkovateľov poskytovaním informácií týkajúcich sa brány digitálneho COVID preukazu EÚ na účely plnenia povinností vyplývajúcich z článkov 32, 33, 34, 35 a 36 všeobecného nariadenia o ochrane údajov. |
13. |
Zabezpečuje, aby boli údaje spracúvané v rámci brány digitálneho COVID preukazu EÚ nezrozumiteľné pre všetky osoby, ktoré nemajú oprávnenie na prístup k nim. |
14. |
Prijíma všetky príslušné opatrenia, ktorými sa zabraňuje, aby mali prevádzkovatelia brány digitálneho COVID preukazu EÚ neoprávnený prístup k prenášaným údajom. |
15. |
Prijíma opatrenia na uľahčenie interoperability a komunikácie medzi určenými prevádzkovateľmi brány digitálneho COVID preukazu EÚ. |
16. |
Vedie záznamy o spracovateľských činnostiach, ktoré vykonala v mene spoločných prevádzkovateľov, v súlade s článkom 31 ods. 2 nariadenia (EÚ) 2018/1725. |