7.5.2014

SL

Uradni list Evropske unije

L 134/32

---

IZVEDBENA UREDBA KOMISIJE (EU) št. 463/2014

z dne 5. maja 2014

o določitvi pogojev, ki se uporabljajo za sistem elektronske izmenjave podatkov med državami članicami in Komisijo, v skladu z Uredbo (EU) št. 223/2014 Evropskega parlamenta in Sveta o Skladu za evropsko pomoč najbolj ogroženim

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) št. 223/2014 Evropskega parlamenta in Sveta z dne 11. marca 2014 o Skladu za evropsko pomoč najbolj ogroženim (1) in zlasti člena 30(4) Uredbe,

ob upoštevanju naslednjega:

(1)	V skladu s členom 30(4) Uredbe (EU) št. 223/2014 potekajo vse uradne izmenjave informacij med državo članico in Komisijo prek sistema elektronske izmenjave podatkov. Zato je treba določiti pogoje, ki bi jih moral izpolnjevati navedeni sistem elektronske izmenjave podatkov.

(2)	Za zagotovitev boljše kakovosti informacij o izvajanju operativnih programov ter večje uporabnosti sistema in njegove poenostavitve je treba opredeliti osnovne zahteve glede oblike in obsega informacij, ki se izmenjajo.

(3)	Določiti je treba načela in pravila za delovanje sistema, ki bodo urejala identifikacijo strani, odgovornih za naložitev dokumentov v sistem in njihovo posodabljanje.

(4)	Da bi se zmanjšalo administrativno breme za države članice in Komisijo ter hkrati zagotavljala učinkovita in uspešna elektronska izmenjava informacij, je treba predpisati tehnične značilnosti sistema.

(5)

Poleg tega bi države članice in Komisija morale imeti možnost kodiranja in prenosa podatkov na dva različna načina. Prav tako je treba določiti pravila za primere, da bi višja sila ovirala uporabo sistema elektronske izmenjave podatkov, tako da bi lahko države članice in tudi Komisija še naprej izmenjevale informacije po alternativni poti.

(6)	Države članice in Komisija bi morale zagotoviti, da prenos podatkov prek sistema elektronske izmenjave podatkov poteka varno, da se zagotovijo razpoložljivost, celovitost, verodostojnost, zaupnost in nezmožnost izpodbijanja informacij. Zato bi bilo treba določiti pravila o varnosti.

(7)

Ta uredba bi morala spoštovati temeljne pravice in načela, priznana z Listino Evropske unije o temeljnih pravicah, zlasti pravico do varstva osebnih podatkov. Zato bi jo bilo treba uporabljati v skladu s temi pravicami in načeli. V zvezi z obdelavo osebnih podatkov v državah članicah se uporablja Direktiva Evropskega parlamenta in Sveta 95/46/ES (2). V zvezi z obdelavo osebnih podatkov v institucijah in organih Unije ter prostim pretokom takšnih podatkov se uporablja Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (3).

(8)	Da bi se omogočila takojšnja uporaba ukrepov iz te uredbe, bi morala uredba začeti veljati dan po objavi v Uradnem listu Evropske unije.

(9)	Ukrepi iz te uredbe so v skladu z mnenjem Odbora za Sklad za evropsko pomoč najbolj ogroženim –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

DOLOČBE ZA IZVAJANJE UREDBE (EU) ŠT. 223/2014 V ZVEZI S SKLADOM ZA EVROPSKO POMOČ NAJBOLJ OGROŽENIM

SISTEM ELEKTRONSKE IZMENJAVE PODATKOV

(Pooblastitev na podlagi člena 30(4) Uredbe (EU) št. 223/2014)

Člen 1

Vzpostavitev sistema elektronske izmenjave podatkov

Komisija vzpostavi sistem elektronske izmenjave podatkov za vse uradne izmenjave informacij med državo članico in Komisijo.

Člen 2

Vsebina sistema elektronske izmenjave podatkov

Sistem elektronske izmenjave podatkov (v nadaljnjem besedilu: sistem SFC2014) vsebuje vsaj informacije, opredeljene v vzorcih, formatih in predlogah, ki se določijo v skladu z Uredbo (EU) št. 223/2014. Informacij v elektronskih obrazcih, vgrajenih v sistem SFC2014 (v nadaljnjem besedilu: strukturirani podatki), ni mogoče nadomestiti z nestrukturiranimi podatki, vključno s hiperpovezavami ali drugimi vrstami nestrukturiranih podatkov, kot so priloge v obliki dokumentov ali slik. Če država članica posreduje iste informacije v obliki strukturiranih in nestrukturiranih podatkov, se v primeru neskladnosti uporabijo strukturirani podatki.

Člen 3

Delovanje sistema SFC2014

1.   Komisija, organi, ki jih imenujejo države članice v skladu s členom 59(3) Uredbe (EU, Euratom) št. 966/2012 Evropskega parlamenta in Sveta (4) ter členom 31 Uredbe (EU) št. 223/2014, in telesa, na katera je preneseno opravljanje nalog navedenih organov, v sistem SFC2014 vnašajo informacije, za prenos katerih so pristojni, ter vse posodobitve teh informacij.

2.   Vsak prenos informacij Komisiji preveri in izvede oseba, ki ni ista kot oseba, ki je vnesla podatke za zadevni prenos. To delitev nalog bodo podpirali sistem SFC2014 ali upravljavski in kontrolni informacijski sistemi držav članic, ki bodo samodejno povezani s sistemom SFC2014.

3.   Države članice na nacionalni ravni imenujejo eno ali več oseb, ki so odgovorne za upravljanje pravic dostopa do sistema SFC2014 in opravljajo naslednje naloge:

(a)	identifikacija uporabnikov, ki prosijo za dostop, in preverjanje, ali so ti uporabniki dejansko zaposleni v zadevni organizaciji;

(b)	obveščanje uporabnikov o njihovih dolžnostih glede ohranjanja varnosti sistema;

(c)	preverjanje upravičenosti uporabnikov do zahtevane ravni pravic dostopa glede na njihove naloge in hierarhični položaj;

(d)	zahteve za preklic pravic dostopa, kadar te niso več potrebne ali utemeljene;

(e)	takojšnje poročanje o sumljivih dogodkih, ki bi lahko ogrozili varnost sistema;

(f)	nenehno zagotavljanje točnosti identifikacijskih podatkov uporabnikov s sporočanjem vseh sprememb;

(g)	sprejemanje potrebnih previdnostnih ukrepov v zvezi z varstvom podatkov in poslovno skrivnostjo v skladu s pravili Unije in nacionalnimi pravili;

(h)	obveščanje Komisije o vseh spremembah, ki vplivajo na zmožnosti organov države članice ali uporabnikov sistema SFC2014 za izvajanje nalog iz odstavka 1 ali na njihovo osebno zmožnost za izvajanje nalog iz točk (a)–(g).

4.   Izmenjave podatkov in transakcije so opremljene z obveznim elektronskim podpisom v smislu Direktive Evropskega parlamenta in Sveta 1999/93/ES (5). Države članice in Komisija priznajo pravni učinek in dopustnost elektronskega podpisa, uporabljenega v sistemu SFC2014, kot dokaza v pravnem postopku.

Pri obdelavi informacij v okviru sistema SFC2014 se spoštujeta varstvo zasebnosti in osebnih podatkov posameznikov ter varstvo poslovne skrivnosti pravnih subjektov v skladu z Direktivo 2002/58/ES Evropskega parlamenta in Sveta (6), Direktivo 2009/136/ES Evropskega parlamenta in Sveta (7), Direktivo 1995/46/ES in Uredbo (ES) št. 45/2001.

Člen 4

Značilnosti sistema SFC2014

Da bi sistem SFC2014 zagotavljal učinkovito in uspešno elektronsko izmenjavo informacij, mora imeti naslednje značilnosti:

(a)	interaktivne obrazce ali obrazce, ki jih vnaprej izpolni sistem na podlagi predhodno vnesenih podatkov;

(b)	samodejne izračune, če se uporabnikom s tem olajša kodiranje;

(c)	vgrajene samodejne kontrole za preverjanje notranje skladnosti prenesenih podatkov in skladnosti teh podatkov z veljavnimi pravili;

(d)	sistemska opozorila, ki uporabnike sistema SFC2014 obveščajo, da je določene postopke mogoče oz. da jih ni mogoče izvesti;

(e)	sprotno sledenje statusa obdelave informacij, vnesenih v sistem;

(f)	razpoložljivost preteklih podatkov v zvezi z vsemi informacijami, vnesenimi za operativni program.

Člen 5

Prenos podatkov prek sistema SFC2014

1.   Države članice in Komisija lahko do sistema SFC2014 dostopajo neposredno prek interaktivnega uporabniškega vmesnika (tj. spletne aplikacije) ali prek tehničnega vmesnika na podlagi vnaprej predpisanih protokolov (tj. spletne storitve), ki omogočajo samodejno sinhronizacijo in prenos podatkov med informacijskimi sistemi držav članic in sistemom SFC2014.

2.   Za datum predložitve zadevnega dokumenta velja datum, ko je država članica elektronsko prenesla informacije Komisiji ali obratno.

3.   V primeru višje sile, napak v delovanju sistema SFC2014 ali odsotnosti povezave s sistemom SFC2014 za več kot en delovni dan v zadnjem tednu pred predpisanim rokom za posredovanje informacij ali v obdobju od 23. do 31. decembra ali pet delovnih dni v katerem koli drugem obdobju lahko izmenjava informacij med državami članicami in Komisijo poteka v papirni obliki z uporabo vzorcev, formatov in predlog iz člena 2(1) te uredbe.

Ko je napaka v delovanju sistema SFC2014 odpravljena ali povezava s tem sistemom ponovno vzpostavljena ali preneha razlog višje sile, zadevna stran v sistem SFC2014 nemudoma vnese informacije, ki so že bile poslane v papirni obliki.

4.   V primerih iz odstavka 3 se za datum predložitve zadevnega dokumenta šteje datum poštnega žiga.

Člen 6

Varnost prenosa podatkov prek sistema SFC2014

1.   Komisija za sistem SFC2014 v skladu z ustreznimi predpisi Unije, zlasti Sklepom Komisije C(2006) 3602 (8) in njegovimi izvedbenimi pravili, določi politiko za varnost informacijske tehnologije (v nadaljnjem besedilu: politika za varnost informacijske tehnologije za sistem SFC), ki velja za uporabnike sistema SFC2014. Komisija imenuje eno ali več oseb, odgovornih za opredelitev, ohranjanje in zagotavljanje pravilne uporabe varnostne politike za sistem SFC2014.

2.   Države članice in druge evropske institucije poleg Komisije, ki so pridobile pravice dostopa do sistema SFC2014, spoštujejo pogoje v zvezi z varnostjo informacijske tehnologije, objavljene na portalu sistema SFC2014, in ukrepe, ki jih v sistemu SFC2014 izvede Komisija, da bi zagotovila varen prenos podatkov, zlasti v zvezi z uporabo tehničnega vmesnika iz člena 5(1) te uredbe.

3.   Države članice in Komisija izvajajo varnostne ukrepe, sprejete za varstvo podatkov, ki so jih shranile in prenesle prek sistema SFC2014, ter zagotavljajo učinkovitost teh ukrepov.

4.   Države članice sprejmejo nacionalno, regionalno ali lokalno politiko za varnost informacijske tehnologije, ki zajema dostop do sistema SFC2014 in samodejni vnos podatkov v ta sistem ter predpisuje minimalni sklop varnostnih zahtev. Ta nacionalna, regionalna ali lokalna politika za varnost informacijske tehnologije se lahko sklicuje na druge dokumente v zvezi z varnostjo. Vsaka država članica zagotovi, da se navedene politike za varnost informacijske tehnologije uporabljajo za vse organe, ki uporabljajo sistem SFC2014.

5.   Nacionalna, regionalna ali lokalna politika za varnost informacijske tehnologije vključuje:

(a)	pri neposredni uporabi, vidike varnosti informacijske tehnologije, povezane z delom, ki ga opravlja ena ali več oseb, odgovornih za upravljanje pravic dostopa, iz člena 3(3) te uredbe;

(b)	pri nacionalnih, regionalnih ali lokalnih računalniških sistemih, ki so povezani s sistemom SFC2014 prek tehničnega vmesnika iz člena 5(1) te uredbe, varnostne ukrepe za te sisteme, ki omogočajo usklajevanje z varnostnimi zahtevami za sistem SFC2014.

Za namene iz točke (b) prvega pododstavka so zajeti naslednji vidiki, če je ustrezno:

(a)	fizična varnost;

(b)	nadzor nosilcev podatkov in dostopa;

(c)	nadzor shranjevanja;

(d)	nadzor dostopa in gesel;

(e)	spremljanje;

(f)	povezava s sistemom SFC2014;

(g)	komunikacijska infrastruktura;

(h)	upravljanje človeških virov pred začetkom delovnega razmerja, v času delovnega razmerja in po njegovem prenehanju;

(i)	obvladovanje incidentov.

6.   Nacionalna, regionalna ali lokalna politika za varnost informacijske tehnologije temelji na oceni tveganja, opisani ukrepi pa so sorazmerni z opredeljenimi tveganji.

7.   Komisiji se na njeno zahtevo zagotovi dostop do dokumentov, v katerih je določena nacionalna, regionalna ali lokalna politika za varnost informacijske tehnologije.

8.   Države članice na nacionalni ravni imenujejo eno ali več oseb, odgovornih za ohranjanje in zagotavljanje uporabe nacionalne, regionalne ali lokalne politike za varnost informacijske tehnologije. Ta oseba ali osebe bodo kontaktna točka za osebo ali osebe, ki jih imenuje Komisija v skladu s členom 6(1) te uredbe.

9.   Pri tehnoloških spremembah, opredelitvi novih groženj ali drugih pomembnih dogodkih se politika za varnost informacijske tehnologije za sistem SFC ter zadevna nacionalna, regionalna oz. lokalna politika za varnost informacijske tehnologije ustrezno posodobijo. Ne glede na navedeno so te politike predmet letnega pregleda, s katerim se zagotovi, da še naprej zagotavljajo ustrezen odziv.

POGLAVJE II

KONČNA DOLOČBA

Člen 7

Ta uredba začne veljati dan po objavi v Uradnem listu Evropske unije.

---

(1)  UL L 72, 12.3.2014, str. 1.

(2)  Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(3)  Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(4)  Uredba (EU, Euratom) št. 966/2012 Evropskega parlamenta in Sveta z dne 25. oktobra 2012 o finančnih pravilih, ki se uporabljajo za splošni proračun Unije, in razveljavitvi Uredbe Sveta (ES, Euratom) št. 1605/2002 (UL L 298, 26.10.2012, str. 1).

(5)  Direktiva Evropskega parlamenta in Sveta 1999/93/ES z dne 13. decembra 1999 o okviru Skupnosti za elektronski podpis (UL L 13, 19.1.2000, str. 12).

(6)  Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(7)  Direktiva 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 o spremembah Direktive 2002/22/ES o univerzalnih storitvah in pravicah uporabnikov v zvezi z elektronskimi komunikacijskimi omrežji in storitvami, Direktive 2002/58/ES o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij in Uredbe (ES) št. 2006/2004 o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov (UL L 337, 18.12.2009, str. 11).

(8)  Sklep Komisije C(2006) 3602 z dne 16. avgusta 2006 o varnosti informacijskih sistemov, ki jih uporablja Evropska komisija.

---