This document is an excerpt from the EUR-Lex website
Document 32022D0483
Commission Implementing Decision (EU) 2022/483 of 21 March 2022 amending Implementing Decision (EU) 2021/1073 laying down technical specifications and rules for the implementation of the trust framework for the EU Digital COVID Certificate established by Regulation (EU) 2021/953 of the European Parliament and of the Council (Text with EEA relevance)
Izvedbeni sklep Komisije (EU) 2022/483 z dne 21. marca 2022 o spremembi Izvedbenega sklepa (EU) 2021/1073 o določitvi tehničnih specifikacij in pravil za izvajanje okvira zaupanja za digitalno COVID potrdilo EU, uvedeno z Uredbo (EU) 2021/953 Evropskega parlamenta in Sveta (Besedilo velja za EGP)
Izvedbeni sklep Komisije (EU) 2022/483 z dne 21. marca 2022 o spremembi Izvedbenega sklepa (EU) 2021/1073 o določitvi tehničnih specifikacij in pravil za izvajanje okvira zaupanja za digitalno COVID potrdilo EU, uvedeno z Uredbo (EU) 2021/953 Evropskega parlamenta in Sveta (Besedilo velja za EGP)
C/2022/1803
UL L 98, 25.3.2022, p. 84–104
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
Relation | Act | Comment | Subdivision concerned | From | To |
---|---|---|---|---|---|
Modifies | 32021D1073 | dodatek | priloga I oddelek 9 | 25/04/2022 | |
Modifies | 32021D1073 | dodatek | priloga VI | 25/04/2022 | |
Modifies | 32021D1073 | dodatek | priloga VII | 25/04/2022 | |
Modifies | 32021D1073 | dodatek | člen 5a | 25/04/2022 | |
Modifies | 32021D1073 | dodatek | člen 5b | 25/04/2022 | |
Modifies | 32021D1073 | dodatek | člen 5c | 25/04/2022 | |
Modifies | 32021D1073 | zamenjava | priloga V oddelek 3 | 25/04/2022 |
25.3.2022 |
SL |
Uradni list Evropske unije |
L 98/84 |
IZVEDBENI SKLEP KOMISIJE (EU) 2022/483
z dne 21. marca 2022
o spremembi Izvedbenega sklepa (EU) 2021/1073 o določitvi tehničnih specifikacij in pravil za izvajanje okvira zaupanja za digitalno COVID potrdilo EU, uvedeno z Uredbo (EU) 2021/953 Evropskega parlamenta in Sveta
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2021/953 Evropskega parlamenta in Sveta z dne 14. junija 2021 o okviru za izdajanje, preverjanje in priznavanje interoperabilnih potrdil o cepljenju, testu in preboleli bolezni v zvezi s COVID-19 (digitalno COVID potrdilo EU) za olajšanje prostega gibanja med pandemijo COVID-19 (1) ter zlasti člena 9(1) Uredbe,
ob upoštevanju naslednjega:
(1) |
Uredba (EU) 2021/953 določa digitalno COVID potrdilo EU, ki je dokaz, da je bila oseba cepljena proti COVID-19, da je bil njen rezultat testa negativen ali da je prebolela okužbo, da se imetnikom olajša uveljavljanje pravice do prostega gibanja med pandemijo COVID-19. |
(2) |
Uredba (EU) 2021/954 Evropskega parlamenta in Sveta (2) določa, da države članice uporabljajo pravila iz Uredbe (EU) 2021/953 za državljane tretjih držav, ki ne spadajo na področje uporabe navedene uredbe, vendar se zakonito zadržujejo ali prebivajo na njihovem ozemlju in so upravičeni do potovanja v druge države članice v skladu s pravom Unije. |
(3) |
Priporočilo Sveta (EU) 2022/290 o spremembi Priporočila (EU) 2020/912 o začasni omejitvi nenujnih potovanj v EU in morebitni odpravi te omejitve (3) določa, da bi morali imeti državljani tretjih držav, ki želijo opraviti nenujna potovanja iz tretjih držav v Unijo, veljavno dokazilo o cepljenju ali preboleli bolezni, kot sta digitalno COVID potrdilo EU ali COVID-19 potrdilo, ki ga izda tretja država in je zajeto v izvedbenem aktu, sprejetem v skladu s členom 8(2) Uredbe (EU) 2021/953. |
(4) |
Za delovanje digitalnega COVID potrdila EU po vsej Uniji je Komisija sprejela Izvedbeni sklep Komisije (EU) 2021/1073 (4) o določitvi tehničnih specifikacij in pravil za izpolnjevanje, varno izdajanje in preverjanje digitalnih COVID potrdil EU, zagotavljanje varstva osebnih podatkov, določitev skupne strukture edinstvene identifikacijske oznake potrdila ter izdajo veljavne, varne in interoperabilne črtne kode. |
(5) |
V skladu s členom 4 Uredbe (EU) 2021/953 morajo Komisija in države članice vzpostaviti in vzdrževati okvir zaupanja za digitalno COVID potrdilo EU. Ta okvir zaupanja lahko podpira dvostransko izmenjavo seznamov preklicanih potrdil, ki vsebujejo edinstvene identifikatorje preklicanih potrdil. |
(6) |
Dne 1. julija 2021 je začel delovati prehod EU za digitalno COVID potrdilo (v nadaljnjem besedilu: prehod), ki je osrednji del okvira zaupanja in omogoča varno in zaupanja vredno izmenjavo javnih ključev, ki se uporabljajo za preverjanje digitalnih COVID potrdil EU, med državami članicami. |
(7) |
Digitalna COVID potrdila EU so zaradi svoje uspešne in obsežne uvedbe postala tarča goljufov, ki iščejo načine za izdajanje lažnih potrdil. Ta lažna potrdila je zato treba preklicati. Poleg tega lahko države članice na nacionalni ravni prekličejo nekatera digitalna COVID potrdila EU iz zdravstvenih in javnozdravstvenih razlogov, na primer zato, ker je bilo pozneje ugotovljeno, da ima serija cepiv napako. |
(8) |
Čeprav lahko sistem digitalnih COVID potrdil EU takoj razkrije ponarejena potrdila, pristnih potrdil, ki so bila nezakonito izdana na podlagi lažne dokumentacije, nepooblaščenega dostopa ali z goljufivim namenom, v drugih državah članicah ni mogoče odkriti, razen če si države članice izmenjujejo sezname preklicanih potrdil, pripravljene na nacionalni ravni. Enako velja za potrdila, ki so bila preklicana iz zdravstvenih in javnozdravstvenih razlogov. Če aplikacije držav članic za preverjanje ne odkrijejo potrdil, ki so jih druge države članice preklicale, to ogroža javno zdravje ter spodkopava zaupanje državljanov v sistem digitalnega COVID potrdila EU. |
(9) |
Kot je navedeno v uvodni izjavi 19 Uredbe (EU) 2021/953, bi moralo biti državam članicam iz zdravstvenih in javnozdravstvenih razlogov ter v primeru goljufivo izdanih ali pridobljenih potrdil omogočeno, da za namene navedene uredbe vzpostavijo sezname preklicanih potrdil in jih izmenjajo z drugimi državami članicami v omejenih primerih, zlasti v zvezi s potrdili, ki so bila izdana napačno, zaradi goljufije ali po preklicu serije cepiva proti COVID-19, za katero je bilo ugotovljeno, da ima napako. Države članice ne bi smele imeti možnosti preklicati potrdil, ki so jih izdale druge države članice. Izmenjani seznami preklicanih potrdil ne bi smeli vsebovati nobenih osebnih podatkov, razen edinstvenih identifikacijskih oznak potrdil. Zlasti ne bi smeli vsebovati razloga, zaradi katerega je bilo potrdilo preklicano. |
(10) |
Poleg splošnih informacij o možnosti preklica potrdil in možnih razlogih zanj bi moral pristojni organ izdajatelj imetnike preklicanih potrdil nemudoma obvestiti o preklicu njihovih potrdil in razlogih za preklic. Vendar se lahko v nekaterih primerih, zlasti v primeru digitalnih COVID potrdil EU, izdanih v papirni obliki, izsleditev in obveščanje imetnika o preklicu izkaže za nemogoče ali bi lahko zahtevalo nesorazmerno veliko truda. Države članice ne bi smele zbirati dodatnih osebnih podatkov, ki niso potrebni za postopek izdaje, samo zato, da bi imetnike potrdil lahko obvestile v primeru preklica njihovih potrdil. |
(11) |
Zato je treba okrepiti okvir zaupanja za digitalno COVID potrdilo EU s podpiranjem dvostranske izmenjave seznamov preklicanih potrdil med državami članicami. |
(12) |
Ta sklep ne zajema začasnega preklica potrdil za primere nacionalne uporabe zunaj področja uporabe uredbe EU o digitalnih COVID potrdilih EU, na primer, ker je bil imetnik potrdila o cepljenju pri testiranju pozitiven na SARS-CoV-2. To ne posega v uveljavljene postopke za preverjanje pravil poslovanja za veljavnost potrdil. |
(13) |
Čeprav so s tehničnega vidika izvedljive različne arhitekture za izmenjavo seznamov preklicev, je njihova izmenjava preko prehoda najprimernejša, saj omejuje izmenjavo podatkov na že vzpostavljeni okvir zaupanja in zmanjšuje število možnih šibkih točk in izmenjav med državami članicami v primerjavi z alternativnim sistemom vzajemne izmenjave. |
(14) |
V skladu s tem bi bilo treba prehod za digitalno COVID potrdilo EU okrepiti, da se podpre varna izmenjava preklicanih digitalnih COVID potrdil EU za namene njihovega varnega preverjanja preko prehoda. V zvezi s tem bi bilo treba uvesti ustrezne varnostne ukrepe za varstvo osebnih podatkov, ki se obdelujejo v prehodu. Za zagotovitev visoke ravni zaščite bi morale države članice psevdonimizirati atribute potrdila z nepovratno zgoščeno vrednostjo (hash), ki se vključi na sezname za preklic. Enotno identifikacijsko oznako bi bilo treba za postopke obdelave, ki se izvajajo v okviru prehoda, dejansko šteti za psevdonimizirane podatke. |
(15) |
Poleg tega bi bilo treba določiti določbe o vlogi držav članic in Komisije pri izmenjavi seznamov preklicanih potrdil. |
(16) |
Obdelava osebnih podatkov imetnikov potrdil, za katero so odgovorne države članice ali druge javne organizacije ali uradni organi v državah članicah, bi morala potekati v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta (5). Obdelava osebnih podatkov v pristojnosti Komisije za namen upravljanja in zagotavljanja varnosti prehoda za digitalna COVID potrdila EU bi morala biti v skladu z Uredbo (EU) 2018/1725 Evropskega parlamenta in Sveta (6). |
(17) |
Države članice, ki jih zastopajo imenovani nacionalni organi ali uradni organi, skupaj določijo namen in sredstva obdelave osebnih podatkov prek prehoda za digitalno COVID potrdilo EU in so zato skupni upravljavci. V členu 26 Uredbe (EU) 2016/679 je določena obveznost skupnih upravljavcev dejanj obdelave osebnih podatkov, da na pregleden način določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu z navedeno uredbo. Dopušča tudi možnost, da se navedene odgovornosti določijo s pravom Unije ali pravom države članice, ki velja za upravljavce. Dogovor iz člena 26 bi bilo treba vključiti v Prilogo III k temu sklepu. |
(18) |
Z Uredbo (EU) 2021/953 je bila Komisiji dodeljena naloga, da podpre take izmenjave. Najprimernejši način za izpolnitev te naloge je, da v imenu držav članic primerja predložene sezname preklicanih potrdil. Zato bi bilo treba Komisiji dodeliti vlogo obdelovalca podatkov, da bi podprla te izmenjave tako, da bi v imenu držav članic omogočala lažjo izmenjavo seznamov prek prehoda EU za digitalno COVID potrdilo. |
(19) |
Komisija kot ponudnik tehničnih in organizacijskih rešitev za prehod EU za digitalno COVID potrdilo EU v imenu držav članic kot skupnih upravljavcev obdeluje osebne podatke s seznamov preklicanih potrdil v prehodu. Zato deluje kot njihov obdelovalec. V skladu s členom 28 Uredbe (EU) 2016/679 in členom 29 Uredbe (EU) 2018/1725 obdelavo s strani obdelovalca ureja pogodba ali pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem je določena obdelava. Zato je treba določiti pravila za obdelavo s strani Komisije kot obdelovalca podatkov. |
(20) |
Podporna naloga Komisije ne vključuje vzpostavitve osrednje podatkovne zbirke iz uvodne izjave 52 Uredbe (EU) 2021/953. Namen te prepovedi je preprečiti nastanek centralne zbirke vseh izdanih digitalnih COVID potrdil EU in državam članicam ne preprečuje izmenjave seznamov preklicev, kar je izrecno določeno v členu 4(2) Uredbe (EU) 2021/953. |
(21) |
Komisijo pri obdelavi osebnih podatkov v prehodu digitalnega COVID potrdila EU zavezuje Sklep Komisije (EU, Euratom) 2017/46 (7). |
(22) |
Člen 3(10) Uredbe (EU) 2021/953 Komisiji omogoča, da sprejme izvedbene akte, s katerimi določi, da so COVID-19 potrdila, ki jih izda tretja država, s katero so Unija in države članice sklenile sporazum o prostem gibanju oseb, ki pogodbenicam omogoča nediskriminatorno omejitev takega prostega gibanja iz javnozdravstvenih razlogov in ki ne vsebuje mehanizma za vključitev pravnih aktov Unije, enakovredna tistim, izdanim v skladu s to uredbo. Na podlagi tega je Komisija 8. julija 2021 sprejela Izvedbeni sklep (EU) 2021/1126 (8) o enakovrednosti potrdil o COVID-19, ki jih izdaja Švica. |
(23) |
Člen 8(2) Uredbe (EU) 2021/953 Komisiji omogoča, da sprejme izvedbene akte, v katerih določi, da so potrdila v zvezi s COVID-19, ki jih izda tretja država v skladu s standardi in tehnološkimi sistemi, ki so interoperabilni z okvirom zaupanja za digitalno COVID potrdilo EU in ki omogočajo preverjanje verodostojnosti, veljavnosti in celovitosti potrdila ter vsebujejo podatke iz Priloge k Uredbi, enakovredna digitalnim COVID potrdilom EU, da bi se imetnikom olajšalo uveljavljanje njihove pravice do prostega gibanja v Uniji. Kot je navedeno v uvodni izjavi 28 Uredbe (EU) 2021/953, se člen 8(2) navedene uredbe nanaša na priznavanje potrdil, ki jih tretje države izdajo državljanom Unije in njihovim družinskim članom. Komisija je že sprejela več takih izvedbenih aktov. |
(24) |
Da bi se izognili vrzelim pri odkrivanju preklicanih potrdil, zajetih v takih izvedbenih aktih, bi moralo biti tudi tretjim državam, katerih COVID-19 potrdila se štejejo za enakovredna v skladu s členom 3(10) in členom 8(2) Uredbe (EU) 2021/953, omogočeno, da v prehodu digitalnega COVID potrdila EU predložijo ustrezne sezname preklicanih potrdil. |
(25) |
Nekateri državljani tretjih držav, ki imajo preklicana COVID-19 potrdila, izdana s strani tretje države, katere COVID-19 potrdila se štejejo za enakovredna v skladu z Uredbo (EU) 2021/953, lahko v trenutku, ko zadevna tretja država ustvari seznam preklicev, na katerem je njihovo potrdilo, ne spadajo na področje uporabe navedene uredbe ali Uredbe (EU) 2021/954. Toda v trenutku, ko zadevna tretja država ustvari seznam preklicanih potrdil, ni mogoče vedeti, ali vsi državljani tretjih držav, ki so imetniki preklicanih potrdil, spadajo na področje uporabe ene od navedenih dveh uredb. Prizadevanje za izključitev oseb, ki ne spadajo na področje uporabe ene od navedenih dveh uredb, s seznamov preklicanih potrdil teh držav torej ni izvedljivo, če pa bi to skušali storiti, države članice ne bi mogle odkriti preklicanih potrdil državljanov tretjih držav, ki prvič potujejo v Unijo. Države članice pa bi preverile tudi preklicana potrdila teh državljanov tretjih držav, ko bi njihovi imetniki potovali v Unijo, in pozneje, ko bi potovali znotraj Unije. Tretje države, katerih certifikati se štejejo za enakovredne v skladu z Uredbo (EU) 2021/953, niso vključene v upravljanje prehoda in se zato ne štejejo za skupne upravljavce. |
(26) |
Poleg tega se je sistem digitalnega COVID potrdila EU izkazal za edini sistem digitalnih COVID-19 potrdil, ki v velikem obsegu deluje na mednarodni ravni. Zato postaja digitalno COVID potrdilo EU vse pomembnejše v svetovnem merilu in je prispevalo k reševanju pandemije na mednarodni ravni, saj omogoča varno mednarodno potovanje in okrevanje po vsem svetu. Pri sprejemanju dodatnih izvedbenih aktov v skladu s členom 8(2) Uredbe (EU) 2021/953 se pojavljajo nove potrebe glede izpolnjevanja digitalnega COVID potrdila EU. V skladu s pravili iz Izvedbenega sklepa (EU) 2021/1073 je priimek obvezno polje v tehnični vsebini potrdila. Glede na to, da v nekaterih tretjih državah obstajajo osebe brez priimka, je treba to zahtevo spremeniti, da se spodbudita vključevanje in interoperabilnost z drugimi sistemi. Če imena imetnika potrdila ni mogoče razdeliti na dva dela, je treba ime vpisati v isto polje (priimek ali ime) digitalnega COVID potrdila EU, kot je vpisano v imetnikovi potni listini ali osebnem dokumentu. S to spremembo bi se tudi tehnična vsebina potrdil bolje uskladila s trenutno veljavnimi specifikacijami za strojno berljive potne listine, ki jih je objavila Mednarodna organizacija civilnega letalstva. |
(27) |
Izvedbeni sklep (EU) 2021/1073 bi bilo zato treba ustrezno spremeniti. |
(28) |
V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 11. marca 2022. |
(29) |
Da bi imele države članice in Komisija dovolj časa za izvedbo sprememb, ki so potrebne za omogočitev izmenjave seznamov preklicanih potrdil preko prehoda za digitalno COVID potrdilo EU, bi se moral ta sklep začeti uporabljati štiri tedne po začetku veljavnosti. |
(30) |
Ukrepi, predvideni v tem sklepu, so v skladu z mnenjem odbora, ustanovljenega v skladu s členom 14 Uredbe (EU) 2021/953 – |
SPREJELA NASLEDNJI SKLEP:
Člen 1
Izvedbeni sklep (EU) 2021/1073 se spremeni:
(1) |
vstavijo se naslednji členi 5a, 5b in 5c: „Člen 5a Izmenjava seznamov preklicanih potrdil 1. Okvir zaupanja za digitalno COVID potrdilo EU omogoča izmenjavo seznamov preklicanih potrdil preko osrednjega prehoda za digitalno COVID potrdilo EU (v nadaljnjem besedilu: prehod) v skladu s tehničnimi specifikacijami iz Priloge I. 2. Če države članice prekličejo digitalna COVID potrdila EU, lahko preko prehoda predložijo sezname preklicanih potrdil. 3. Če države članice predložijo sezname preklicanih potrdil, organi izdajatelji vodijo seznam preklicanih potrdil. 4. Če se preko prehoda izmenjujejo osebni podatki, je obdelava omejena na namen podpiranja izmenjave informacij o preklicu. Taki osebni podatki se uporabljajo samo za preverjanje statusa preklica digitalnih COVID potrdil EU, izdanih v okviru področja uporabe Uredbe (EU) 2021/953. 5. Informacije, predložene prehodu, vključujejo naslednje podatke v skladu s tehničnimi specifikacijami iz Priloge I:
6. Kadar organ izdajatelj prekliče digitalna COVID potrdila EU, ki jih je izdal v skladu z Uredbo (EU) 2021/953 ali Uredbo (EU) 2021/954, in namerava izmenjavati zadevne informacije preko prehoda, lahko informacije iz odstavka 5 v obliki seznamov preklicanih potrdil posreduje preko prehoda v varni obliki v skladu s tehničnimi specifikacijami iz Priloge I. 7. Organi izdajatelji v največji možni meri zagotovijo rešitev, s katero imetnike preklicanih potrdil obvestijo o statusu preklica njihovih potrdil in razlogu za preklic v času preklica. 8. Prehod zbira prejete sezname preklicanih potrdil. Zagotavlja orodja za razdeljevanje seznamov državam članicam. Sezname samodejno izbriše v skladu z datumi izteka veljavnosti, ki jih je za vsak predloženi seznam navedel organ, ki ga je predložil. 9. Imenovani nacionalni organi ali uradni organi držav članic, ki obdelujejo osebne podatke v prehodu, so skupni upravljavci obdelanih podatkov. Odgovornosti posameznih skupnih upravljavcev se določijo v skladu s Prilogo VI. 10. Komisija je obdelovalec osebnih podatkov, ki se obdelujejo v prehodu. Komisija kot obdelovalec v imenu držav članic zagotavlja varnost prenosa in gostovanja osebnih podatkov v prehodu ter izpolnjuje obveznosti obdelovalca iz Priloge VII. 11. Komisija in skupni upravljavci redno preskušajo, ocenjujejo in vrednotijo učinkovitost tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov v prehodu. Člen 5b Predložitev seznamov preklicanih potrdil s strani tretjih držav Tretje države, ki izdajajo COVID-19 potrdila, v zvezi s katerimi je Komisija sprejela izvedbeni akt v skladu s členom 3(10) ali členom 8(2) Uredbe (EU) 2021/953, lahko predložijo sezname preklicanih COVID-19 potrdil, zajetih v takem izvedbenem aktu, da jih Komisija obdela v imenu skupnih upravljavcev v prehodu iz člena 5a, v skladu s tehničnimi specifikacijami iz Priloge I. Člen 5c Upravljanje obdelave osebnih podatkov v osrednjem prehodu za digitalno COVID potrdilo EU 1. Postopek odločanja skupnih upravljavcev ureja delovna skupina, ustanovljena v okviru odbora iz člena 14 Uredbe (EU) 2021/953. 2. Predstavnike te skupine imenujejo imenovani nacionalni organi ali uradni organi držav članic, ki obdelujejo osebne podatke v prehodu kot skupni upravljavci.“ |
(2) |
Priloga I se spremeni v skladu s Prilogo I k temu sklepu; |
(3) |
Priloga V se spremeni v skladu s Prilogo II k temu sklepu; |
(4) |
besedilo iz Priloge III k temu sklepu se doda kot Priloga VI; |
(5) |
besedilo iz Priloge IV k temu sklepu se doda kot Priloga VII. |
Člen 2
Ta sklep začne veljati tretji dan po objavi v Uradnem listu Evropske unije.
Uporabljati se začne štiri tedne po začetku veljavnosti.
V Bruslju, 21. marca 2022
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 211, 15.6.2021, str. 1.
(2) Uredba (EU) 2021/954 Evropskega parlamenta in Sveta z dne 14. junija 2021 o okviru za izdajanje, preverjanje in priznavanje interoperabilnih potrdil o cepljenju, testu in preboleli bolezni v zvezi s COVID-19 (digitalno COVID potrdilo EU) v zvezi z državljani tretjih držav, ki se zakonito nahajajo ali prebivajo na ozemlju držav članic med pandemijo COVID-19 (UL L 211, 15.6.2021, str. 24).
(3) Priporočilo Sveta (EU) 2022/290 z dne 22. februarja 2022 o spremembi Priporočila Sveta (EU) 2020/912 o začasni omejitvi nenujnih potovanj v EU in morebitni odpravi te omejitve (UL L 43, 24.2.2022, str. 79).
(4) Izvedbeni sklep Komisije (EU) 2021/1073 z dne 28. junija 2021 o določitvi tehničnih specifikacij in pravil za izvajanje okvira zaupanja za digitalno COVID potrdilo EU, uvedeno z Uredbo (EU) 2021/953 Evropskega parlamenta in Sveta (UL L 230, 30.6.2021, str. 32).
(5) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(6) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).
(7) Komisija dodatne informacije o varnostnih standardih, ki se uporabljajo za vse informacijske sisteme Evropske komisije, objavlja na spletišču https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_sl.
(8) Izvedbeni sklep Komisije (EU) 2021/1126 z dne 8. julija 2021 o enakovrednosti potrdil o COVID-19, ki jih izdaja Švica, in potrdil, izdanih v skladu z Uredbo (EU) 2021/953 Evropskega parlamenta in Sveta (UL L 243, 9.7.2021, str. 49).
PRILOGA I
V Prilogi I k Izvedbenemu sklepu (EU) 2021/1073 se doda naslednji oddelek 9:
„9. REŠITEV ZA PREKLIC
9.1 Določba za seznam preklicev DCC (DRL)
Prehod zagotavlja končne točke in funkcionalnost za hranjenje in upravljanje seznamov preklicev:
9.2 Model zaupanja
Vse povezave so vzpostavljene s standardnim modelom zaupanja DCCG s potrdili NBTLS in NBUP (glej upravljanje potrdil). Vse informacije so zapakirane in naložene s sporočili CMS, da se zagotovi celovitost.
9.3 Sestava serije
9.3.1 Serija
Vsak seznam preklicev vsebuje enega ali več vnosov in se pakira v serije, ki vsebujejo sklop zgoščenih vrednosti (hash) in njihove metapodatke. Serija je nespremenljiva in določa datum poteka veljavnosti, ki označuje, kdaj se serija lahko izbriše. Datum izteka veljavnosti vseh elementov v seriji mora biti popolnoma enak, kar pomeni, da morajo biti serije združene po datumu poteka veljavnosti in s podpisom potrdila DSC. Vsaka serija vsebuje največ 1 000 vnosov. Če seznam preklicev vsebuje več kot 1 000 vnosov, se ustvari več serij. Vsak vnos se lahko pojavi v največ eni seriji. Serija se pakira v strukturo CMS in se podpiše s potrdilom NBup države, ki jo je naložila.
9.3.2 Indeks serij
Ko se ustvari serija, ji prehod dodeli edinstveno identifikacijsko oznako in se samodejno doda v indeks. Indeks serij je urejen po datumu spremembe v naraščajočem kronološkem vrstnem redu.
9.3.3 Vedenje prehoda
Prehod obdeluje serije preklicev brez kakršnih koli sprememb: ne more niti posodobiti niti odstraniti niti dodati nobenih informacij v serije. Serije se pošljejo vsem pooblaščenim državam (glejte poglavje 9.6).
Portal dejavno spremlja datume poteka veljavnosti serij in briše potekle serije. Po izbrisu serije vstopno mesto vrne odgovor „HTTP 410 Gone“ za URL izbrisane serije. Zato je serija v indeksu serij označena z „izbrisano“.
9.4 Vrste zgoščene vrednosti
Seznam preklicev vsebuje zgoščene vrednosti, ki lahko predstavljajo različne vrste/lastnosti preklicev. Te vrste ali lastnosti se navedejo pri pripravi seznamov preklicev. Trenutne vrste so:
Vrsta |
Atribut |
Izračun zgoščene vrednosti |
SIGNATURE |
DCC Signature |
SHA256 of DCC Signature |
UCI |
UCI (Unique Certificate Identifier) |
SHA256 of UCI |
COUNTRYCODEUCI |
Issuing Country Code + UCI |
SHA256 of Issuing CountryCode + UCI |
Samo prvih 128 bitov zgoščenih vrednosti, kodiranih kot nizi base64, se vstavi v serije in uporabi za identifikacijo preklicanega DCC (1).
9.4.1 Vrsta zgoščene vrednosti: SHA256(podpis DDC)
V tem primeru se zgoščena vrednost izračuna prek bajtov podpisa COSE_SIGN1 iz CWT. Pri podpisih RSA se bo kot vnos uporabil celoten podpis. Formula za potrdila, podpisana z ES-DSA, kot vhodni podatek uporablja vrednost r:
SHA256(r)
[zahtevano za vse nove izvedbe]
9.4.2 Vrsta zgoščene vrednosti: SHA256(UCI)
V tem primeru se zgoščena vrednost izračuna na podlagi niza UCI, kodiranega v UTF-8 in pretvorjenega v vrsto (array) bajtov.
[zastarelo (2), vendar podprto zaradi združljivosti za nazaj]
9.4.3 Vrsta zgoščene vrednosti: SHA256(Koda države izdajateljice + UCI)
V tem primeru je koda države izdajateljice kodirana kot niz UTF-8, povezan z UCI, kodiranim z nizom UTF-8. Ta se nato pretvori v vrsto bajtov in uporabi kot vnos v funkcijo zgoščene vrednosti.
[zastarelo2, vendar podprto zaradi združljivost za nazaj]
9.5. Struktura API
9.5.1 API za dodeljevanje vnosov s seznama preklicev
9.5.1.1
API zagotavlja vnose s seznama preklicev v serijah, vključno z indeksom serij.
9.5.1.2
9.5.1.2.1 Končna točka za prenos seznama serij
Končne točke imajo preprosto zasnovo in vračajo seznam serij z majhnim ovojem, ki vsebuje metapodatke. Serije so razvrščene po datumu v naraščajočem (kronološkem) vrstnem redu:
/revocation-list
Verb: GET
Content-Type: application/json
Response: JSON Array
|
{
|
|
} |
Opomba: Rezultat je privzeto omejen na 1 000. Če je oznaka „more“ nastavljena na vrednost „true“, je v odzivu navedeno, da je na voljo več serij za prenos. Če želite prenesti več elementov, mora odjemalec nastaviti glavo If-Modified-Since na datum, ki ni starejši od zadnjega prejetega vnosa.
Odziv vsebuje vrsto JSON z naslednjo strukturo:
Polje |
Opredelitev |
more |
Oznaka Boolean, ki kaže, da obstaja več serij. |
batches |
Vrsta z obstoječimi serijami. |
batchId |
https://en.wikipedia.org/wiki/Universally_unique_identifier |
country |
Koda države ISO 3166 |
date |
ISO 8601 Datum UTC. Datum, ko je bila serija dodana ali izbrisana. |
deleted |
boolean. Vrednost „true“, če je izbrisano. Če je nastavljena oznaka „izbrisano“, se lahko vnos po 7 dneh dokončno odstrani iz zadetkov poizvedbe. |
9.5.1.2.1.1 Kode odzivov
Koda |
Opis |
200 |
Vse v redu. |
204 |
Ni vsebine, če vsebina glave „If-Modified-Since“ nima ujemanja. |
Glava zahtevka
Glava |
Obvezno |
Opis |
If-Modified-Since |
Da |
Ta glava vsebuje datum zadnjega prenosa, tako da dobite le najnovejše rezultate. Ob prvem pozivu mora biti v glavi nastavljena vrednost ‘2021-06-01T00:00:00Z’ |
9.5.1.2.2 Končna točka za prenos serije
Serije vsebujejo seznam identifikatorjev potrdila:
/revocation-list/{batchId}
Verb: GET
Accepts: application/cms
Response:CMS with Content
|
{
|
|
} |
Odgovor vsebuje CMS, vključno s podpisom, ki se mora ujemati s potrdilom NBUP države. Vsi elementi v vrsti JSON vsebujejo naslednjo strukturo:
Polje |
Obvezno |
Vrsta |
Opredelitev |
expires |
Da |
String |
Datum, ko se element lahko odstrani. ISO 8601 Datum/Čas UTC |
country |
Da |
String |
Koda države ISO 3166 |
hashType |
Da |
String |
Vrsta zgoščene vrednosti navedenih vnosov (glej Vrste zgoščene vrednosti) |
entries |
Da |
JSON Object Array |
Glejte tabelo Vnosi |
kid |
Da |
String |
KID potrdila DSC, kodiran z base64, ki se uporablja za podpis DCC. Če KID ni znan, se lahko uporabi niz „UNKNOWN_KID“ (brez `). |
Opombe: |
— |
Serije se združijo po datumu poteka veljavnosti in DSC – vsem elementom veljavnost poteče hkrati in so podpisani z istim ključem. |
— |
Čas izteka je datum/čas v UTC, ker je EU-DCC globalen sistem in moramo uporabljati nedvoumen čas. |
— |
Datum izteka veljavnosti trajno preklicanega DCC se določi na datum izteka ustreznega potrdila DSC, ki se uporablja za podpis DCC, ali na čas izteka preklicanega DCC (v tem primeru se uporabljeni časi v formatu NumericDate/epoch obravnavajo, kot da so v časovnem pasu UTC). |
— |
Nacionalno zaledje (NB) odstrani predmete s seznama preklica, ko je dosežen datum poteka veljavnosti. |
— |
NB lahko odstrani elemente s svojega seznama preklicev v primeru, da je bil kid, ki je bil uporabljen za podpis DCC, preklican. |
9.5.1.2.2.1 Vnosi
Polje |
Obvezno |
Vrsta |
Opredelitev |
hash |
Da |
String |
Prvih 128 bitov zgoščene vrednosti SHA256, kodiranih kot niz base64 |
Opomba: Objekt vnosov trenutno vsebuje le zgoščeno vrednost, da pa bi bil združljiv s spremembami v prihodnosti, je bil namesto vrste json izbran objekt.
9.5.1.2.2.2 Kode odzivov
Koda |
Opis |
200 |
Vse v redu. |
410 |
Izbrisana serija. Serija se lahko izbriše v nacionalnem zaledju. |
9.5.1.2.2.3 Glave za odzive
Glava |
Opis |
ETag |
Identifikacijska številka serije. |
9.5.1.2.3 Končna točka za nalaganje serije
Nalaganje se izvede prek iste končne točke s funkcijo (verb) POST:
/revocation-list
Verb: POST
Accepts: application/cms
Request: CMS with Content
ContentType: application/cms
Content:
|
{
|
|
} |
Serija se podpiše s potrdilom NBUP. Portal preveri, ali je NBUP za zadevno državo določil podpis. Če preverjanje podpisa ni uspešno, je nalaganje neuspešno.
OPOMBA: Vsaka serija je nespremenljiva in je po nalaganju ni mogoče spremeniti. Vendar se jo lahko izbriše. Identifikacijska oznaka (ID) vsake izbrisane serije se shrani, nalaganje nove serije z isto identifikacijsko oznako (ID) pa se zavrne.
9.5.1.2.4 Končna točka za izbris serije
Serija se lahko prek iste končne točke izbriše s funkcijo (verb) ‚DELETE‘:
/revocation-list
Verb: DELETE
Accepts: application/cms
ContentType: application/cms
Request: CMS with Content
Content:
|
{
|
|
} |
ali (zaradi združljivosti) do naslednje končne točke s funkcijo (verb) ‚POST‘:
/revocation-list/delete
Verb: POST
Accepts: application/cms
ContentType: application/cms
Request: CMS with Content
Content:
|
{
|
|
} |
9.6 Zaščita API/Splošna uredba o varstvu podatkov
Ta oddelek določa ukrepe za izvajanje za skladnost z določbami Uredbe 2021/953 v zvezi z obdelavo osebnih podatkov.
9.6.1 Obstoječa avtentikacija
Prehod trenutno uporablja potrdilo NBTLS za avtentikacijo držav, ki se povezujejo s prehodom. Ta avtentikacija se lahko uporabi za določitev identitete države, povezane s prehodom. Ta identiteta se lahko nato uporabi za izvajanje nadzora dostopa.
9.6.2 Upravljanje dostopa
Da bi lahko prehod zakonito obdeloval osebne podatke, izvaja mehanizem za nadzor dostopa.
Prehod uporablja kontrolni seznam dostopa v kombinaciji z varnostjo na podlagi vloge (Role Based Security). V tej shemi se ohranjata dve tabeli – v eni od njiju je opisano, katere vloge lahko uporabljajo katere operacije za katere vire, v drugi pa, katere vloge se dodelijo katerim uporabnikom.
Za izvajanje postopkov nadzora, ki jih zahteva ta dokument, so potrebne tri vloge, in sicer:
|
RevocationListReader |
|
RevocationUploader |
|
RevocationDeleter |
Naslednje končne točke preverijo, ali ima uporabnik vlogo RevocationListReader; če jo ima, se dostop odobri, če pa ne, uporabnik dobi sporočilo HTTP 403 Forbidden:
GET /revocation-list/
GET /revocation-list/{batchId}
Naslednje končne točke preverijo, ali ima uporabnik vlogo RevocationUploader; če jo ima, se dostop odobri, če pa ne, uporabnik dobi sporočilo HTTP 403 Forbidden:
POST /revocation-list
Naslednje končne točke preverijo, ali ima uporabnik vlogo RevocationDeleter; če jo ima, se dostop odobri, če pa ne, uporabnik dobi sporočilo HTTP 403 Forbidden:
DELETE /revocation-list
POST /revocation-list/delete
Prehod zagotavlja tudi zanesljivo metodo, s katero lahko administratorji vloge, ki so povezane z uporabniki, upravljajo tako, da zmanjšajo možnost človeške napake, hkrati pa ne obremenjujejo funkcionalnih administratorjev.“
(1) Za podrobne opise API upoštevajte tudi oddelek 9.5.1.2.
(2) "Zastarelo“ pomeni, da se ta značilnost sicer ne upošteva pri novih izvedbah, vendar se podpira za obstoječe izvedbe v natančno določenem obdobju.
PRILOGA II
Priloga V, oddelek 3, k Izvedbenemu sklepu (EU) 2021/1073 se nadomesti z naslednjim:
„3. Skupne strukture in splošne zahteve
Digitalno COVID potrdilo EU se ne izda, če zaradi manjkajočih informacij ni mogoče pravilno izpolniti vseh podatkovnih polj v skladu s to specifikacijo. To ne vpliva na obveznost držav članic, da izdajajo digitalna COVID potrdila EU.
Informacije v vseh poljih se lahko navedejo z uporabo celotnega nabora znakov UNICODE 13.0, kodiranih z uporabo UTF-8, razen če so posebej omejeni na nabore vrednosti ali ožji nabor znakov.
Skupna struktura je naslednja:
"JSON":{
"ver":<informacije o različici>,
"nam":{
<informacije o imenu osebe>
},
"dob":<datum rojstva>,
"v" ali "t" ali "r":[
{<< odmerek cepiva ali podatki o testu ali prebolevnosti, en vnos>}
]
}
Podrobne informacije o posameznih skupinah in poljih so na voljo v naslednjih oddelkih.
Kadar pravila določajo, da se polje preskoči, to pomeni, da je njegova vsebina prazna in da v vsebini nista dovoljena niti ime niti vrednost polja.
3.1 Različica
Zagotovijo se informacije o različici. Različica sledi sistemu semantičnega določanja različic (semver: https://semver.org). Pri pripravi potrdil je to ena od uradno objavljenih različic (trenutna ali ena od starejših uradno objavljenih različic). Za več podrobnosti glej oddelek JSON Schema location.
ID polja |
Ime polja |
Navodila |
ver |
Različica sheme |
Ujemati se mora z identifikacijsko oznako različice sheme, ki se uporablja za pripravo digitalnega COVID potrdila EU. Primer: "ver":"1.3.0" |
3.2 Ime in datum rojstva osebe
Ime osebe je uradno polno ime osebe, ki se ujema z imenom, navedenim na potnih listinah. Identifikacijska oznaka strukture je nam. Zagotovi se natanko eno (1) ime osebe.
ID polja |
Ime polja |
Navodila |
nam/fn |
Priimek(-ki) |
Priimek(-ki) imetnika. Če imetnik nima priimkov in ima ime, se polje preskoči. V vseh drugih primerih je treba navesti natanko 1 (eno) neprazno polje, ki vključuje vse priimke. V primeru več priimkov so ti ločeni s presledkom. Vendar morajo kombinirana imena, vključno z vezajem ali podobnimi znaki, ostati enaka. Primeri: "fn":"Musterfrau-Gößinger" "fn":"Musterfrau-Gößinger Müller" |
nam/fnt |
Standardiziran(-i) priimek(-ki) |
Priimek(-ki) imetnika, prečrkovani z uporabo iste konvencije, kot se uporablja v strojno berljivih potnih listinah imetnika (kot so na primer pravila, opredeljena v dokumentu ICAO 9303, del 3). Če imetnik nima priimkov in ima ime, se polje preskoči. V vseh drugih primerih se zagotovi natanko eno (1) neprazno polje, ki vključuje samo znake A–Z in <. Največja dolžina: 80 znakov (v skladu s specifikacijo ICAO 9303). Primeri: "fnt":"MUSTERFRAU<GOESSINGER" "fnt":"MUSTERFRAU<GOESSINGER<MUELLER" |
nam/gn |
Ime(-na) |
Ime(-na), na primer rojstno(-a) ime(-na) imetnika. Če imetnik nima imen in ima priimek, se polje preskoči. V vseh drugih primerih se zagotovi natanko eno (1) neprazno polje, ki vključuje vsa imena. V primeru več imen so ta ločena s presledkom. Primer: "gn«:"Isolde Erika" |
nam/gnt |
Standardiziran(-a) ime(-na) |
Ime(-na) imetnika, prečrkovana z uporabo iste konvencije, kot se uporablja v strojno berljivih potovalnih dokumentih imetnika (kot so na primer pravila, opredeljena v dokumentu ICAO 9303, del 3). Če imetnik nima imen in ima priimek, se polje preskoči. V vseh drugih primerih se zagotovi natanko eno (1) neprazno polje, ki vključuje samo znake A–Z in <. Največja dolžina: 80 znakov. Primer: "gnt":"ISOLDE<ERIKA" |
dob |
Datum rojstva |
Datum rojstva imetnika potrdila digitalnega COVID potrdila EU. Popolni ali delni datum brez časovne omejitve, omejen na razpon od 1900-01-01 do 2099-12-31. Če je znan popolni ali delni datum rojstva, se zagotovi natanko eno (1) neprazno polje. Če datum rojstva ni znan niti delno, se v polje vnese prazen niz „“. To bi se moralo ujemati z informacijami, kakor so navedene v potnih listinah. Če so na voljo informacije o datumu rojstva, se uporabi eden od naslednjih formatov ISO 8601. Druge možnosti niso podprte. YYYY-MM-DD YYYY-MM YYYY (Aplikacija za preverjanje lahko manjkajoče dele datuma rojstva označi z XX, kot pri strojno berljivih potovalnih listinah, npr. 1990-XX-XX.) Primeri: "dob":"1979-04-14" "dob":"1901-08" "dob":"1939" "dob":"" |
3.3 Skupine za posebne informacije o vrsti potrdila
Shema JSON podpira tri skupine vnosov, ki vključujejo posebne informacije o vrsti potrdila. Vsako digitalno COVID potrdilo EU mora vsebovati natanko eno (1) skupino. Prazne skupine niso dovoljene.
Identifikacijska oznaka skupine |
Ime skupine |
Vnosi |
v |
Skupina cepljeni |
Če je na voljo, mora vsebovati natanko en (1) vnos, ki navaja natanko en (1) odmerek cepiva (en odmerek). |
t |
Skupina testirani |
Če je na voljo, mora vsebovati natanko en (1) vnos, ki navaja natanko en (1) rezultat testiranja. |
r |
Skupina preboleli |
Če je na voljo, vsebuje natanko en (1) vnos, ki navaja natanko eno (1) izjavo o prebolelosti.“ |
PRILOGA III
„PRILOGA VI
ODGOVORNOSTI DRŽAV ČLANIC KOT SKUPNIH UPRAVLJAVCEV PREHODA ZA DIGITALNO COVID POTRDILO EU ZA IZMENJAVO SEZNAMOV PREKLICANIH DIGITALNIH COVID POTRDIL EU
ODDELEK 1
Pododdelek 1
Delitev odgovornosti
(1) |
Skupni upravljavci osebne podatke obdelujejo prek prehoda okvira zaupanja (trust framework gateway) v skladu s tehničnimi specifikacijami iz Priloge I. |
(2) |
Organi izdajatelji držav članic ostajajo edini upravljavec za zbiranje, uporabo, razkritje in kakršno koli drugo obdelavo informacij o preklicu zunaj prehoda, vključno s postopkom, ki vodi do preklica potrdila. |
(3) |
Vsak upravljavec je odgovoren za obdelavo osebnih podatkov v prehodu okvira zaupanja v skladu s členi 5, 24 in 26 Splošne uredbe o varstvu podatkov. |
(4) |
Vsak upravljavec vzpostavi kontaktno točko z namenskim poštnim predalom, ki se uporablja za komunikacijo med skupnimi upravljavci ter med skupnimi upravljavci in obdelovalcem. |
(5) |
Delovna skupina, ki jo ustanovi odbor iz člena 14 Uredbe (EU) 2021/953, je pooblaščena za odločanje o vprašanjih, ki izhajajo iz izmenjave seznamov preklicev in skupnega upravljanja s tem povezane obdelave osebnih podatkov, ter za omogočanje usklajenih navodil Komisiji kot obdelovalcu. Postopek odločanja skupnih upravljavcev ureja ta delovna skupina in poslovnik, ki ga sprejme. Osnovno pravilo je, da neudeležba katerega koli skupnega upravljavca na sestanku te delovne skupine, ki je bil napovedan vsaj sedem (7) dni pred pisnim sklicem, pomeni tiho soglasje z rezultati tega sestanka delovne skupine. Sestanek te delovne skupine lahko skliče kateri koli skupni upravljavec. |
(6) |
Navodila obdelovalcu pošlje katera koli od kontaktnih točk skupnih upravljavcev v dogovoru z drugimi skupnimi upravljavci v skladu s postopkom odločanja delovne skupine, opisanim v točki 5. Skupni upravljavec, ki daje navodila, jih mora pisno posredovati obdelovalcu in o tem obvestiti vse druge skupne upravljavce. Če je obravnavana zadeva tako nujna, da ni možen sestanek delovne skupine iz točke 5, je kljub temu mogoče dati navodilo, ki pa ga lahko delovna skupina prekliče. To navodilo bi bilo treba dati v pisni obliki in o tem v času dajanja navodila obvestiti vse druge skupne upravljavce. |
(7) |
Delovna skupina, ustanovljena v skladu s točko 5, ne izključuje individualne pristojnosti katerega koli od skupnih upravljavcev, da uradno obvesti svoj pristojni nadzorni organ v skladu s členoma 33 in 24 splošne uredbe o varstvu podatkov. Za tako uradno obvestilo ni potrebna privolitev drugih skupnih upravljavcev. |
(8) |
V okviru prehoda okvira zaupanja lahko do izmenjanih osebnih podatkov dostopajo samo osebe, ki jih pooblastijo imenovani nacionalni organi ali uradni organi. |
(9) |
Vsak organ izdajatelj vodi evidenco dejavnosti obdelave, za katere je odgovoren. V evidenci se lahko navede skupno upravljanje. |
Pododdelek 2
Odgovornosti in vloge pri obravnavanju zahtevkov in obveščanju posameznikov, na katere se nanašajo osebni podatki
(1) |
Vsak upravljavec v vlogi organa izdajatelja fizičnim osebam, katerih potrdilo oziroma potrdila je preklical (v nadaljnjem besedilu: posamezniki, na katere se nanašajo osebni podatki), zagotovi informacije o navedenem preklicu in obdelavi njihovih osebnih podatkov v prehodu za digitalno COVID potrdilo EU za namene podpore izmenjavi seznamov preklicev v skladu s členom 14 Splošne uredbe o varstvu podatkov, razen če se to izkaže za nemogoče ali bi vključevalo nesorazmerno veliko truda. |
(2) |
Vsak upravljavec deluje kot kontaktna točka za fizične osebe, katerih potrdilo je preklical, in obravnava zahteve, ki jih posamezniki, na katere se nanašajo osebni podatki, ali njihovi predstavniki predložijo pri uveljavljanju svojih pravic v skladu s Splošno uredbo o varstvu podatkov. Če skupni upravljavec prejme zahtevo posameznika, na katerega se nanašajo osebni podatki, ki se nanaša na potrdilo, ki ga je izdal drug skupni upravljavec, obvesti posameznika, na katerega se nanašajo osebni podatki, o identiteti in kontaktnih podatkih tega odgovornega skupnega upravljavca. Na zahtevo drugega skupnega upravljavca si skupni upravljavci medsebojno pomagajo pri obravnavi zahtev posameznikov, na katere se nanašajo osebni podatki, ter drug drugemu odgovarjajo brez nepotrebnega odlašanja in najpozneje v 1 mesecu po prejemu zahteve za pomoč. Če se zahteva nanaša na podatke, ki jih je predložila tretja država, jo upravljavec, ki prejme zahtevo, obravnava ter obvesti posameznika, na katerega se nanašajo osebni podatki, o identiteti in kontaktnih podatkih organa izdajatelja v tretji državi. |
(3) |
Vsak upravljavec da posamezniku, na katerega se nanašajo osebni podatki, na voljo vsebino te priloge, vključno z ureditvijo iz točk 1 in 2. |
ODDELEK 2
Obvladovanje varnostnih incidentov, vključno s kršitvami varstva osebnih podatkov
(1) |
Skupni upravljavci si medsebojno pomagajo pri ugotavljanju in obravnavi morebitnih varnostnih incidentov, vključno s kršitvami varstva osebnih podatkov, povezanih z obdelavo v prehodu za digitalno COVID potrdilo EU. |
(2) |
Skupni upravljavci se zlasti medsebojno obvestijo o:
|
(3) |
Skupni upravljavci v skladu s členoma 33 in 34 Splošne uredbe o varstvu podatkov ali po obvestilu Komisije sporočijo Komisiji, pristojnim nadzornim organom in po potrebi posameznikom, na katere se nanašajo osebni podatki, vse kršitve varstva osebnih podatkov v zvezi z obdelavo v prehodu okvira zaupanja. |
(4) |
Vsak organ izdajatelj izvede ustrezne tehnične in organizacijske ukrepe, za:
|
ODDELEK 3
Ocena učinka v zvezi z varstvom podatkov
(1) |
Če upravljavec za izpolnjevanje svojih obveznosti iz členov 35 in 36 Uredbe (EU) 2016/679 potrebuje informacije od drugega upravljavca, pošlje specifično zahtevo v namenski poštni predal iz pododdelka 1(4) oddelka 1. Slednji si po svojih najboljših močeh prizadeva zagotoviti take informacije. |
PRILOGA IV
„PRILOGA VII
ODGOVORNOSTI KOMISIJE KOT OBDELOVALCA PODATKOV ZA PREHOD ZA DIGITALNO COVID POTRDILO EU ZA PODPORO IZMENJAVI SEZNAMOV PREKLICANIH DIGITALNIH COVID POTRDIL EU DCC
Komisija:
(1) |
Vzpostavi in zagotovi varno in zanesljivo komunikacijsko infrastrukturo v imenu držav članic, ki podpira izmenjavo seznamov preklicev, predloženih v prehodu za digitalno COVID potrdilo. |
(2) |
Lahko za izpolnjevanje obveznosti, ki jih ima kot obdelovalec podatkov v prehodu okvira zaupanja za države članice, kot podobdelovalce vključi tretje osebe; Komisija obvesti skupne upravljavce o vseh nameravanih spremembah glede dodajanja ali zamenjave drugih podobdelovalcev, s čimer upravljavcem omogoči, da skupaj ugovarjajo takšnim spremembam. Komisija zagotovi, da se za te podobdelovalce uporabljajo enake obveznosti glede varstva podatkov, kot so določene v tem sklepu. |
(3) |
Obdeluje osebne podatke le na podlagi dokumentiranih navodil upravljavcev, razen če to od nje zahteva pravo Unije ali držav članic; v slednjem primeru Komisija o tej pravni zahtevi pred obdelavo podatkov obvesti skupne upravljavce, razen če zadevno pravo prepoveduje predložitev takšnih informacij na podlagi pomembnih razlogov v javnem interesu. Obdelava s strani Komisije vključuje:
|
(4) |
Sprejme vse najsodobnejše organizacijske, fizične in logične varnostne ukrepe za vzdrževanje prehoda za digitalno COVID potrdilo EU. V ta namen Komisija:
|
(5) |
Sprejme vse potrebne varnostne ukrepe, da prepreči ogrožanje nemotenega operativnega delovanja nacionalnih zalednih strežnikov. V ta namen Komisija vzpostavi specifične postopke v zvezi s povezovanjem zalednih strežnikov na prehod za digitalno COVID potrdilo EU. To vključuje:
|
(6) |
Sprejme najsodobnejše fizične in/ali logične varnostne ukrepe za objekte z opremo za prehod digitalnega COVID potrdila EU, ter kontrole dostopa do logičnih podatkov in varnosti. V ta namen Komisija:
|
(7) |
Sprejme ukrepe za zaščito svoje domene, vključno s prekinitvijo povezav, v primeru pomembnega odstopanja od načel in konceptov kakovosti ali varnosti. |
(8) |
Pripravi načrt za obvladovanje tveganj v zvezi s svojim področjem pristojnosti. |
(9) |
Spremlja delovanje vseh storitvenih komponent prehoda okvira zaupanja v realnem času, redno pripravlja statistične podatke in vodi evidence. |
(10) |
Zagotavlja podporo za vse storitve prehoda okvira zaupanja v angleščini, in sicer 24 ur na dan in 7 dni v tednu po telefonu, e-pošti ali prek spletnega portala, ter sprejema klice pooblaščenih klicateljev: mednje spadajo koordinatorji prehoda za digitalno COVID potrdilo EU ter njihove službe za pomoč uporabnikom, projektni referenti in imenovane osebe Komisije. |
(11) |
Pomaga skupnim upravljavcem z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče v skladu s členom 12 Uredbe (EU) 2018/1725, za izpolnitev obveznosti upravljavca, da odgovori na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III Splošne uredbe o varstvu podatkov. |
(12) |
Podpira skupne upravljavce z zagotavljanjem informacij o prehodu za digitalno COVID potrdilo EU za izpolnitev obveznosti iz členov 32, 33, 34, 35 in 36 Splošne uredbe o varstvu podatkov. |
(13) |
Zagotovi, da so podatki, ki se obdelujejo v prehodu za digitalno COVID potrdilo EU, nerazumljivi vsem tistim, ki nimajo dovoljenja za dostop do njih. |
(14) |
Sprejme vse ustrezne ukrepe za preprečitev nepooblaščenega dostopa operaterjev prehoda za digitalna COVID potrdila EU do prenesenih podatkov. |
(15) |
Sprejme ukrepe za olajšanje interoperabilnosti in komunikacije med imenovanimi upravljavci prehoda za digitalno COVID potrdilo EU. |
(16) |
Vodi evidenco dejavnosti obdelave, ki se izvajajo v imenu skupnih upravljavcev v skladu s členom 31(2) Uredbe (EU) 2018/1725. |