Uradni list
Evropske unije
SL
Serija L
|
|
Uradni list |
SL Serija L |
|
2023/2117 |
13.10.2023 |
IZVEDBENA UREDBA KOMISIJE (EU) 2023/2117
z dne 12. oktobra 2023
o določitvi potrebnih pravil in podrobnih zahtev za delovanje in upravljanje odložišča informacij v skladu z Uredbo (EU) 2018/1139 Evropskega parlamenta in Sveta
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2018/1139 Evropskega parlamenta in Sveta z dne 4. julija 2018 o skupnih pravilih na področju civilnega letalstva in ustanovitvi Agencije Evropske unije za varnost v letalstvu ter spremembi uredb (ES) št. 2111/2005, (ES) št. 1008/2008, (EU) št. 996/2010, (EU) št. 376/2014 ter direktiv 2014/30/EU in 2014/53/EU Evropskega parlamenta in Sveta ter razveljavitvi uredb (ES) št. 552/2004 in (ES) št. 216/2008 Evropskega parlamenta in Sveta ter Uredbe Sveta (EGS) št. 3922/91 (1) in zlasti člena 74(8) Uredbe,
ob upoštevanju naslednjega:
|
(1) |
V skladu s členom 74 Uredbe (EU) 2018/1139 se informacije, povezane s civilnim letalstvom, hranijo v elektronskem odložišču informacij, potrebnih za zagotovitev učinkovitega sodelovanja med Agencijo in pristojnimi nacionalnimi organi pri izvajanju njihovih nalog certificiranja, nadzora in izvrševanja v skladu z navedeno uredbo, ki ga vzpostavi in upravlja Agencija Evropske unije za varnost v letalstvu (v nadaljnjem besedilu: Agencija). |
|
(2) |
Pomembno je, da so Komisija in pristojni nacionalni organi vključeni v razvoj in upravljanje odložišča s strani Agencije, zato bi bilo treba v tej uredbi določiti ustrezen posvetovalni mehanizem za zagotovitev, da se Agencija pred sprejetjem odločitev v zvezi z odložiščem posvetuje z državami članicami in Komisijo. |
|
(3) |
Za učinkovito uporabo odložišča bi morala njegova struktura zagotavljati centralno podatkovno zbirko, komunikacijsko infrastrukturo in potreben vmesnik za izdajo, poizvedbo in dostop do informacij, shranjenih v odložišču. Da bi olajšali sodelovanje med subjekti, ki uporabljajo odložišče, bi bilo treba vzpostaviti enotni vmesnik za neposredne poizvedbe uporabnikov v odložišču in enotni vmesnik za nacionalne pristojne organe. |
|
(4) |
Odložišče bi moralo pristojnim organom omogočati vključevanje v odložišče in komunikacijo z njim z uporabo ustreznih funkcionalnih specifikacij, ki zajemajo vmesnik, varnost, omrežje in informacije o konfiguraciji aplikacije. |
|
(5) |
Agencija bi morala zagotoviti, da se odložišče hrani v ustreznih delovnih razmerah, da se preprečijo tehnične napake ter zagotovi neprekinjeno delovanje odložišča in upravljanje njegovih podatkov. |
|
(6) |
Informacije bi bilo treba prenesti v odložišče in jih izmenjevati prek njega v skladu s skupno dogovorjenimi informacijskimi formati, ki jih predlaga Agencija, zato da subjekti, ki sporočajo informacije, te informacije razumejo na enak način. |
|
(7) |
Redno posodabljanje informacij, shranjenih v odložišču, bi moralo omogočiti boljšo izmenjavo informacij. V zvezi s tem bi morali Agencija in pristojni nacionalni organi razviti metodologijo za redno posodabljanje informacij, shranjenih v odložišču. |
|
(8) |
Ta uredba bi morala določiti tudi zahteve za razvrstitev informacij, da se informacije, shranjene v odložišču, obravnavajo v skladu s parametri zasebnosti, zaupnosti, celovitosti in razpoložljivosti. Kadar pride do spremembe v uporabi podatkov, bi bilo treba to razvrstitev informacij ponovno oceniti, da se zagotovi njena ažurnost. |
|
(9) |
Pomembno je opredeliti zainteresirane strani, ki lahko prejemajo informacije, shranjene v odložišču, in določiti podrobna pravila za obravnavo njihovih zahtev za dostop. V ta namen bi morala ta uredba določiti potrebne pogoje za razširjanje informacij zainteresiranim stranem. Prav tako bi bilo treba zagotoviti, da se informacije, ki jih prejmejo zainteresirane strani, upravljajo zaupno. |
|
(10) |
Sistem sledljivosti informacij, shranjenih v odložišču, bi moral zagotavljati zaščito pred nepooblaščenim dostopom do odložišča in omogočati spremljanje postopkov, v katerih se obdelujejo informacije, vključno z osebnimi podatki, da se zagotovi celovitost podatkov in varnost informacij. |
|
(11) |
Osebje pooblaščenih uporabnikov, ki mora dostopati do odložišča, bi zadevne organizacije morale pooblastiti v skladu z dokumentiranimi postopki. Osebje zdravstvenih centrov za letalsko osebje bi morali pooblastiti pristojni nacionalni organi. |
|
(12) |
V okviru politik upravljanja varnosti bi bilo treba pripraviti zahteve za varstvo ustrezne infrastrukture in podatkov. Oblikovati bi bilo treba zlasti ukrepe za upravljanje varnosti in neprekinjeno poslovanje ter načrte ponovne vzpostavitve delovanja. Pooblaščeni uporabniki bi morali zagotoviti, da so vzpostavljeni potrebni varnostni ukrepi in da v zvezi s tem sodelujejo. |
|
(13) |
Osebni podatki bi se morali obdelovati le za namene zagotavljanja učinkovitega sodelovanja med Agencijo in pristojnimi nacionalnimi organi pri opravljanju njihovih nalog certificiranja, nadzora in izvrševanja. Ta uredba bi morala določiti podrobno ureditev za varstvo osebnih podatkov, ki se hranijo v odložišču in se prek njega izmenjujejo. Taka obdelava mora biti v skladu z uredbama (EU) 2016/679 (2) in (EU) 2018/1725 (3) Evropskega parlamenta in Sveta ter pojasniti odgovornosti zadevnih subjektov, imenovanih za zagotovitev varstva podatkov. |
|
(14) |
Opredeliti in dodeliti je treba ustrezne odgovornosti subjektov, ki obdelujejo osebne podatke v odložišču, vključno z vnosom in pridobivanjem osebnih podatkov iz odložišča. Uredba (EU) 2018/1139 določa, da Agencija v sodelovanju s Komisijo in pristojnimi nacionalnimi organi vzpostavi in upravlja odložišče informacij, potrebnih za učinkovito sodelovanje med Agencijo in pristojnimi nacionalnimi organi, zlasti pri upravljanju varnosti odložišča. Zato bi morali biti skupni upravljavci za obdelavo osebnih podatkov za upravljanje odložišča. Opredeliti bi bilo treba odgovornosti skupnih upravljavcev in njihove posebne obveznosti do posameznikov, na katere se nanašajo osebni podatki. |
|
(15) |
Vsak nacionalni pristojni organ, Agencija in Komisija bi morali biti edini upravljavec postopkov obdelave podatkov, ki jih izvajajo v okviru svojih sistemov kot pooblaščeni uporabniki. Postopke obdelave podatkov bi bilo treba izvajati v skladu z uredbama (EU) 2016/679 in (EU) 2018/1725. Ker podatke, izmenjane v odložišču, zagotavlja vsak upravljavec, bi morali ti Agencijo obvestiti o vsaki kršitvi varnosti osebnih podatkov v svojem sistemu, ki bi lahko ogrozila varnost, zaupnost, razpoložljivost ali celovitost osebnih podatkov, ki se obdelujejo v odložišču. |
|
(16) |
Določiti bi bilo treba obveznost vzajemnega obveščanja o kršitvah varnosti, vključno s kršitvami varnosti osebnih podatkov, da bi lahko skupni upravljavci čim prej prepoznali varnostne incidente in kršitve varstva podatkov. V skladu s tem bi vsak upravljavec moral zagotoviti potrebno poročanje o teh kršitvah. |
|
(17) |
Po potrebi se lahko uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, omeji pod določenimi pogoji. Te omejitve bi morale biti sorazmerne ter omejene v obsegu in trajanju. Posamezniku, na katerega se nanašajo osebni podatki, bi moralo biti omogočeno, da uveljavlja svojo pravico do učinkovite obrambe in pravnega sredstva. |
|
(18) |
Za zagotovitev varnosti letalstva bi pristojni organ lahko potreboval dostop do prejšnjih evidenc, vključno s tistimi, ki vsebujejo osebne podatke. To vključuje zlasti dostop do zdravstvenih podatkov, ki upravičujejo pretekla obdobja nezmožnosti za delo ali uvedbo omejitev. Zato in brez poseganja v krajša obdobja, določena v nacionalnem pravu, bi se moralo z določitvijo najdaljšega obdobja hrambe 10 let od datuma izteka veljavnosti dokumenta (npr. zdravstvenih spričeval, zdravniških poročil, licenc), vključno z vsemi dokumenti, potrebnimi za postopke iz Uredbe (EU) 2018/1139, zagotoviti, da so ti podatki še vedno na voljo pooblaščenim uporabnikom. |
|
(19) |
Osebni podatki v odložišču so bistvene informacije, ki bi jih bilo treba hraniti za namene arhiviranja zaradi varnosti letalstva in za zgodovinske raziskave. Po izteku obdobja hrambe ali morebitnega krajšega obdobja, določenega v nacionalnem pravu, bi bilo treba osebne podatke takoj izbrisati iz odložišča. Osebni podatki se lahko za namene arhiviranja v javnem interesu varnosti v letalstvu in za namene zgodovinskih raziskav hranijo zunaj odložišča. |
|
(20) |
Za zagotovitev ustrezne uporabe te uredbe bi morale imeti države članice in zadevni subjekti pred začetkom uporabe te uredbe dovolj časa za prilagoditev svojih postopkov novemu regulativnemu okviru. Zato bi se morale nekatere zahteve iz Priloge I začeti uporabljati pozneje glede na njihovo kategorijo informacijskega objekta in datum izdaje. |
|
(21) |
Agencija je pripravila osnutek izvedbenega akta za delovanje in upravljanje odložišča informacij v skladu z Uredbo (EU) 2018/1139 ter ga predložila Komisiji z mnenjem št. 04/2022 (4) v skladu s členom 75(2), točka (b), in členom 76(1) Uredbe (EU) 2018/1139. |
|
(22) |
V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 29. marca 2023. |
|
(23) |
Ukrepi iz te uredbe so v skladu z mnenjem odbora za uporabo skupnih varnostnih predpisov na področju civilnega letalstva – |
SPREJELA NASLEDNJO UREDBO:
POGLAVJE I
SPLOŠNE DOLOČBE
Člen 1
Predmet urejanja
Ta uredba določa pravila in postopke za delovanje in upravljanje odložišča informacij, potrebnih za zagotovitev učinkovitega sodelovanja med Agencijo in pristojnimi nacionalnimi organi pri opravljanju njihovih nalog certificiranja, nadzora in izvrševanja v skladu z Uredbo (EU) 2018/1139.
Člen 2
Opredelitev pojmov
1. V tej uredbi se uporabljajo opredelitve pojmov iz uredb (EU) 2018/1139, (EU) 2016/679 in (EU) 2018/1725, izvedbenih uredb Komisije (EU) 2019/947 (5) in (EU) 2021/664 (6).
2. Uporabljajo se tudi naslednje opredelitve pojmov:
|
(a) |
„pooblaščeni uporabniki“ pomenijo Komisijo, Agencijo, pristojne nacionalne organe in vse pristojne organe držav članic, ki so pooblaščeni za preiskavo nesreč in incidentov v civilnem letalstvu, kot je določeno v členu 74(6), prvi stavek, Uredbe (EU) 2018/1139; |
|
(b) |
„vmesnik“ pomeni točko, na kateri se neodvisni in pogosto nepovezani sistemi povežejo in na kateri delujejo ali komunicirajo med seboj; |
|
(c) |
„pooblaščeno osebje“ pomeni osebje pooblaščenih uporabnikov, ki je prejelo dostop do odložišča; |
|
(d) |
„kategorija informacijskega objekta“ pomeni vrsto informacije, ki spada na področje uporabe člena 74(1) Uredbe (EU) 2018/1139 in jo pooblaščeni uporabniki izmenjajo ter do nje dostopajo; |
|
(e) |
„informacijski objekt“ pomeni posamezno izmenjano informacijo, ki vedno ustreza kategoriji informacijskega objekta in je združljiva z informacijskim formatom; |
|
(f) |
„informacijski format“ pomeni vnaprej določeno strukturo kategorije informacijskega objekta, sestavljeno iz sheme polj, ki ustrezajo podrobnim vrstam vsebine znotraj vsake kategorije informacijskega objekta in besednjakov, izdelanih iz omejenih sklopov dovoljenih vrednosti, povezanih z vsakim poljem; |
|
(g) |
„zainteresirana stran“ pomeni javne organe institucij, agencij in organov Evropske unije, javne organe držav članic, fizične in pravne osebe, ki so predmet informacijskega objekta, kot je opredeljen v Prilogi I k tej uredbi, ter usposobljene subjekte, akreditirane v skladu s členom 69 Uredbe (EU) 2018/1139. |
POGLAVJE II
VZPOSTAVITEV, UPRAVLJANJE IN VZDRŽEVANJE ODLOŽIŠČA
Člen 3
Vzpostavitev odložišča
1. Odložišče sestavljajo vmesniki za shranjevanje, izmenjavo in uporabniški dostop.
2. Vmesnik za shranjevanje iz odstavka 1 sestavljata:
|
(a) |
osrednja podatkovna zbirka z informacijami iz člena 74(1) Uredbe (EU) 2018/1139, ki zajema obstoječe in nove informacije, ter |
|
(b) |
zgodovina sprememb informacij in njihov trenutni/arhivirani status. |
3. Vmesnik za izmenjavo iz odstavka 1 sestavljajo:
|
(a) |
komunikacijska infrastruktura, ki zagotavlja varne vmesnike za aplikacijsko programiranje (API) za izdajo, spremembo, poizvedbo/branje in arhiviranje informacij med sistemi pooblaščenih uporabnikov in odložiščem, ter |
|
(b) |
pravila za preverjanje kakovosti informacij, ki zagotavljajo doslednost, celovitost in točnost shranjenih informacij. |
4. Vmesnik za uporabniški dostop iz odstavka 1 zagotavlja spletne in varne poizvedbe in dostop za branje shranjenih informacij. Vmesnik za uporabniški dostop je na voljo samo pooblaščenemu osebju.
5. Agencija pripravi potrebno dokumentacijo, ki podpira vključitev pooblaščenih uporabnikov v odložišče. Navedena dokumentacija vsebuje:
|
(a) |
standarde API in mehanizme izmenjave; |
|
(b) |
informacije o varnosti, omrežju in konfiguraciji aplikacije, ki so potrebne za komunikacijo z odložiščem; |
|
(c) |
pravila, ki določajo veljavno strukturo in vsebino informacij, izmenjanih z odložiščem. |
6. Agencija zagotovi tudi preskusno okolje, v katerem lahko pooblaščeni uporabniki preskusijo funkcionalnost in učinkovitost vmesnika za izmenjavo med svojimi sistemi in odložiščem.
Člen 4
Vzdrževanje odložišča
1. Agencija je odgovorna za operativno upravljanje odložišča in varno hrani informacije v njem.
2. Pooblaščeni uporabniki prek vmesnikov prenašajo informacije v odložišče in si prek njih izmenjujejo informacije ter zagotovijo varno spletno povezavo med svojim(-i) sistemom(-i) in odložiščem.
3. Agencija se pred sprejetjem ali javno objavo kakršne koli odločitve v zvezi z operativnim upravljanjem odložišča posvetuje s Komisijo in pristojnimi nacionalnimi organi.
4. Pooblaščeno osebje pri nacionalnih zdravnikih letalske medicine in centrih za letalsko medicino posreduje in izmenjuje informacije v odložišču prek svojih pristojnih nacionalnih organov v skladu s členom 10(4) te uredbe.
Člen 5
Vzdrževanje odložišča
1. Agencija vzdržuje odložišče in zagotavlja njegovo pravilno delovanje v smislu zasebnosti, zaupnosti, celovitosti in razpoložljivosti.
2. Agencija sistematično varnostno kopira odložišče in njegove podatke.
POGLAVJE III
PRAVILA O INFORMACIJAH, SHRANJENIH V ODLOŽIŠČU
Člen 6
Oblike in standardi informacij
1. Pooblaščeni uporabniki prenašajo, redno posodabljajo in izmenjujejo informacije prek odložišča na podlagi skupno dogovorjenih informacijskih formatov, ki jih predlaga Agencija.
2. Informacijski formati se standardizirajo glede na kategorijo informacij. Pooblaščeni uporabniki prenesejo informacijske objekte v odložišče samo v informacijskem formatu, ki je značilen za to kategorijo informacij.
3. Seznam kategorij informacijskih objektov je določen v Prilogi I.
Člen 7
Razvrstitev informacij
1. Agencija v sodelovanju s Komisijo in pristojnimi nacionalnimi organi razvrsti kategorije informacijskih objektov v skladu z naslednjimi oznakami:
|
(a) |
zasebnost: neosebni podatki, neobčutljivi osebni podatki, občutljivi osebni podatki; |
|
(b) |
zaupnost: brez vpliva, omejen vpliv, pomemben vpliv, katastrofalen vpliv; |
|
(c) |
celovitost: brez vpliva, omejen vpliv, pomemben vpliv, katastrofalen vpliv; |
|
(d) |
razpoložljivost: brez vpliva, omejen vpliv, pomemben vpliv, katastrofalen vpliv. |
2. Podrobne opredelitve oznak iz odstavka 1 so določene v Prilogi II.
3. Agencija v sodelovanju s Komisijo in pristojnimi nacionalnimi organi, kadar se ji to zdi potrebno, ponovno oceni razvrstitev informacij, da zagotovi, da je ta še vedno ustrezna glede na spremembe pri uporabi informacij.
Člen 8
Ureditve za razširjanje informacij
1. Agencija lahko na zahtevo zainteresirane strani tej zagotovi informacije iz odložišča ob upoštevanju posebnih pogojev uporabe iz tega člena.
2. Zahteva za razširjanje informacij iz odložišča se predloži v obliki in na način, ki ju določi Agencija.
3. Agencija ob prejemu zahteve preveri, ali je:
|
(a) |
zahtevo vložila zainteresirana stran; |
|
(b) |
zainteresirana stran dokazala, da so zahtevane informacije nujno potrebne za lastno delovanje zainteresirane strani. |
4. Agencija oceni, ali je zahteva utemeljena in, če so izpolnjeni pogoji iz odstavka 5, zainteresirani strani zagotovi zahtevane informacije.
5. Agencija zainteresirani strani zagotovi zahtevane informacije samo pod naslednjimi pogoji:
|
(a) |
zainteresirana stran nima dostopa do celotne vsebine odložišča; |
|
(b) |
informacije so nujno potrebne za lastno delovanje zainteresirane strani; |
|
(c) |
osebni podatki se ne razširjajo, razen če ti podatki zadevajo zainteresirano stran ali če je tako razširjanje nujno potrebno za izvajanje dejavnosti zainteresirane strani. |
6. Agencija da pooblaščenim uporabnikom na voljo posodobljen seznam prejetih zahtev in ukrepov, ki jih je sprejela.
7. Zainteresirana stran:
|
(a) |
uporablja informacije samo za namen, določen v obrazcu zahteve; |
|
(b) |
ne razkrije prejetih informacij brez dovoljenja pooblaščenih uporabnikov; |
|
(c) |
sprejme potrebne ukrepe za zagotovitev zaupnosti prejetih informacij. |
Člen 9
Beleženje postopkov obdelave podatkov
1. Agencija zagotovi, da se zabeležijo vsi postopki obdelave podatkov. V dnevnikih so navedene naslednje informacije:
|
(a) |
namen zahteve za dostop do odložišča; |
|
(b) |
identifikacija pooblaščenega uporabnika, ki pridobi podatke; |
|
(c) |
datum in točen čas postopkov obdelave podatkov; |
|
(d) |
identifikacija pooblaščenega uporabnika, ki izvede iskanje. |
2. Agencija uporablja dnevnike postopkov obdelave podatkov samo za spremljanje zakonitosti dostopa do informacij ter za zagotavljanje celovitosti in varnosti podatkov. Dnevniki vsebujejo podatke, ki so nujno potrebni za ta namen, v skladu z načelom najmanjšega obsega podatkov iz člena 89 Uredbe (EU) 2016/679 in člena 13 Uredbe (EU) 2018/1725. Dnevniki se izbrišejo po koncu postopka spremljanja ali najpozneje po enem letu.
3. Na zahtevo se Komisiji in pristojnim nacionalnim organom odobri dostop do dnevnikov za namene ocenjevanja zakonitosti dostopa do informacij, spremljanja zakonitosti postopkov obdelave podatkov ter zagotavljanja celovitosti in varnosti podatkov.
Člen 10
Dostop do odložišča
1. Pooblaščeni uporabniki zagotovijo, da ima dostop do odložišča samo pooblaščeno osebje.
2. Pooblaščeni uporabniki zagotovijo, da ima njihovo osebje dostop do informacij na podlagi oznak zasebnosti in zaupnosti kategorije informacijskih objektov v skladu s členom 7.
3. Pooblaščeni uporabniki vzpostavijo in vzdržujejo:
|
(a) |
seznam pooblaščenega osebja; |
|
(b) |
postopke v zvezi z dostopom do odložišča. Taki postopki so skladni s pravnimi zahtevami, ki se uporabljajo za dostop do informacij in njihovo obdelavo ter so določene v pravu Unije in nacionalnem pravu. Dokumentirajo pogoje za dostop pooblaščenega osebja do odložišča. |
4. Nacionalni zdravniki letalske medicine in centri za letalsko medicino zagotovijo, da ima dostop do odložišča samo osebje, ki ga pooblasti njihov pristojni nacionalni organ.
Člen 11
Upravljanje varnosti odložišča
1. Agencija varuje infrastrukturo odložišča in informacije v njem ter razvije:
|
(a) |
načrt upravljanja varnosti; |
|
(b) |
načrt neprekinjenega poslovanja; |
|
(c) |
načrt ponovne vzpostavitve delovanja. |
2. Agencija prepreči nepooblaščeno obdelavo informacij in kakršno koli nepooblaščeno branje, kopiranje, spreminjanje, odstranjevanje ali brisanje informacij, ki jih vsebuje odložišče ali med razširjanjem v odložišče ali iz njega ali med prenosom, zlasti z ustreznimi tehnikami šifriranja.
3. Agencija zagotovi, da lahko osebe, pooblaščene za dostop do odložišča, dostopajo le do informacij, na katere se nanaša njihovo pooblastilo za dostop, in sicer z uporabo individualne uporabniške identitete ter zaupnega načina dostopa.
4. Pooblaščeni uporabniki upravljajo varnost svojih informacij pred in med prenosom v odložišče ter varujejo svojo infrastrukturo tako, da zagotovijo:
|
(a) |
vzpostavitev vmesnikov med njihovimi sistemi in odložiščem; |
|
(b) |
upravljanje in vzdrževanje vmesnikov; |
|
(c) |
da je pooblaščeno osebje ustrezno usposobljeno na področju varnosti informacij, veljavne zakonodaje o varstvu podatkov in temeljnih pravic, preden lahko obdeluje informacije, shranjene v odložišču. |
5. Pooblaščeni uporabniki sodelujejo za zagotovitev upravljanja varnosti odložišča.
POGLAVJE IV
VARSTVO OSEBNIH PODATKOV
Člen 12
Obdelava osebnih podatkov, shranjenih v odložišču
1. Osebni podatki, shranjeni v odložišču, se obdelujejo le za zagotovitev sodelovanja med pooblaščenimi uporabniki, ki je potrebno za opravljanje njihovih nalog certificiranja, nadzora in izvrševanja. Obdelava je omejena na obseg, ki je potreben za opravljanje njihovih nalog, ter na to, kar je nujno potrebno in sorazmerno z zastavljenimi cilji.
2. Dostop do osebnih podatkov in njihova obdelava potekata v skladu s tehničnimi specifikacijami odložišča.
3. Obveznosti vgrajenega in privzetega varstva podatkov se upoštevajo ob določitvi sredstev za obdelavo in v času same obdelave.
4. Agencija izvaja redne preglede, da zagotovi učinkovitost vseh izvedenih zaščitnih ukrepov za varstvo podatkov.
Člen 13
Skupno upravljanje osebnih podatkov, obdelanih v odložišču
1. Skupni upravljavci osebnih podatkov, shranjenih v odložišču, so pooblaščeni uporabniki.
2. Vsak skupni upravljavec je odgovoren za izpolnjevanje meril za razvrstitev informacij za vsak informacijski objekt, ki se obdeluje v odložišču.
Člen 14
Dodelitev pristojnosti skupnim upravljavcem
1. Agencija je odgovorna za:
|
(a) |
vzpostavitev, delovanje in upravljanje odložišča; |
|
(b) |
nadaljnje upravljanje odložišča, zlasti glede pravic dostopa ter varnosti in zaupnosti osebnih podatkov, ki se obdelujejo v odložišču, v skladu s členi 4, 5, 9 in 12; |
|
(c) |
sporočanje vseh kršitev varnosti osebnih podatkov v odložišču pooblaščenim uporabnikom, Evropskemu nadzorniku za varstvo podatkov in po potrebi posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 34 Uredbe (EU) 2018/1725; |
|
(d) |
opredelitev in izvajanje tehničnih sredstev, s katerimi lahko posamezniki, na katere se nanašajo osebni podatki, uveljavljajo svoje pravice v skladu z Uredbo (EU) 2018/1725. |
2. Pristojni nacionalni organi in Komisija so odgovorni za:
|
(a) |
obdelavo osebnih podatkov v odložišču v skladu z vmesniki za shranjevanje, izmenjavo in dostop uporabnikov iz člena 3 ter varnostnimi zahtevami iz člena 12(4); |
|
(b) |
zagotavljanje varnosti kakršne koli obdelave osebnih podatkov zunaj odložišča, kadar se taki podatki obdelujejo za namene obdelave v odložišču ali v povezavi z njo; |
|
(c) |
določitev pooblaščenega osebja, ki se mu odobri dostop do odložišča v skladu s členom 11, in obveščanje Agencije o tem osebju; |
|
(d) |
delovanje kot kontaktna točka za posameznike, na katere se nanašajo osebni podatki in ki spadajo v njihovo pristojnost kot edini upravljavci, tudi kadar uveljavljajo svoje pravice, po potrebi z uporabo tehničnih sredstev, ki jih zagotovi Agencija v skladu s točko 1(d), ali prek komunikacijskih kanalov iz točke 3; |
|
(e) |
obveščanje Agencije o vsakem varnostnem incidentu, vključno s kršitvami varnosti osebnih podatkov, ki bi lahko ogrozil varnost, zaupnost, razpoložljivost ali celovitost osebnih podatkov, ki so prenešeni v odložišče in/ali shranjeni v njem; |
|
(f) |
obveščanje zadevnih pristojnih nadzornih organov in po potrebi posameznikov, na katere se nanašajo osebni podatki, o vseh kršitvah varnosti osebnih podatkov, ki se obdelujejo v odložišču, v skladu s členoma 33 in 34 Uredbe (EU) 2016/679 ter členom 34 Uredbe (EU) 2018/1725, kot je ustrezno. |
3. Vsak skupni upravljavec določi:
|
(a) |
kontaktno točko z namenskim poštnim predalom za medsebojno komunikacijo; |
|
(b) |
kontaktno točko za podporo posameznikom, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic v skladu z veljavno zakonodajo o varstvu podatkov. |
4. Kadar skupni upravljavec prejme zahtevo posameznika, na katerega se nanašajo osebni podatki in za katerega ni pristojen, to zahtevo nemudoma posreduje pristojnemu skupnemu upravljavcu. Skupni upravljavci si na zahtevo medsebojno pomagajo pri obravnavanju zahtev posameznikov, na katere se nanašajo osebni podatki, ter si odgovorijo brez nepotrebnega odlašanja in najpozneje v petnajstih dneh od datuma prejema zahteve za pomoč.
5. Če upravljavec za izpolnjevanje svojih obveznosti iz členov 33 in 34 Uredbe (EU) 2016/679 ali člena 34 Uredbe (EU) 2018/1725 potrebuje informacije od drugega upravljavca, pošlje specifično zahtevo v namenski poštni predal iz točke 3(a). Navedeni drugi upravljavec si po svojih najboljših močeh prizadeva zagotoviti take informacije.
Člen 15
Omejitve
1. Upravljavci lahko omejijo uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, le kolikor in dokler je to nujno potrebno za zaščito varnosti v civilnem letalstvu. Uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, se lahko omeji le v primeru:
|
(a) |
tekočih preiskav, inšpekcijskih pregledov ali dejavnosti spremljanja iz člena 75(2), točka (e), Uredbe (EU) 2018/1139, ki jih izvajajo Agencija v okviru svojih pristojnosti ali pristojni organi, kot je določeno v nacionalnem pravu ali pravu Unije; |
|
(b) |
tekočih postopkov pred Sodiščem Evropske unije ali katerim koli drugim sodiščem, pristojnim v skladu z nacionalnim ali mednarodnim pravom. |
2. Kadar sta upravljavca Komisija in Agencija, lahko omejita uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, le kolikor in dokler je to nujno potrebno za zaščito varnosti v civilnem letalstvu, tudi v primeru tekočih preiskav v zvezi z varnostjo IT, ki imajo neposreden ali posreden vpliv na delovanje odložišča.
3. Vse omejitve so predmet ocene nujnosti in sorazmernosti ter so omejene v obsegu in trajanju.
4. Posameznika, na katerega se nanašajo osebni podatki in katerega uveljavljanje pravic je omejeno, je treba obvestiti o razlogih in obsegu omejitve.
Člen 16
Obdobje hrambe osebnih podatkov
1. Pooblaščeni uporabniki:
|
(a) |
hranijo osebne podatke v odložišču največ 10 let od datuma izteka veljavnosti dokumenta ali od datuma, ko dokument ni več veljaven, vključno z vsemi dokumenti, potrebnimi za postopke iz Uredbe (EU) 2018/1139, razen če nacionalno pravo zahteva drugačno obdobje; |
|
(b) |
izbrišejo osebne podatke iz odložišča takoj, ko poteče obdobje hrambe. |
2. Odložišče ima tehnična sredstva, ki omogočajo:
|
(a) |
samodejni izbris osebnih podatkov po izteku obdobja hrambe; |
|
(b) |
samodejno psevdonimizacijo osebnih podatkov, shranjenih za namene arhiviranja, ali druge tehnične rešitve z enakovrednim učinkom. |
Člen 17
Obdelava za namene arhiviranja in zgodovinskih raziskav v interesu varnosti letalstva
1. Po izteku obdobja hrambe lahko Agencija hrani osebne podatke iz odložišča v ločenem registru za namene arhiviranja in zgodovinskih raziskav.
2. Taki osebni podatki so omejeni na nujno potrebne za namen arhiviranja in raziskav v interesu varnosti v letalstvu ter v skladu z načelom najmanjšega obsega podatkov iz člena 89 Uredbe (EU) 2016/679 in člena 13 Uredbe (EU) 2018/1725.
3. Agencija razvije protokol dostopa do registra. Za ta register se uporabljajo členi 4, 5 in 9 do 12.
POGLAVJE V
KONČNE DOLOČBE
Člen 18
Začetek veljavnosti in uporaba
1. Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
2. Poglavji I in II se uporabljata od 1. aprila 2025.
3. Zahteve v zvezi z informacijskimi objekti, izdanimi po začetku veljavnosti te uredbe, se uporabljajo:
|
(a) |
od 1. januarja 2027 za skupino A iz Priloge I; |
|
(b) |
od 1. januarja 2028 za skupino B iz Priloge I; |
|
(c) |
od 1. januarja 2029 za skupino C iz Priloge I; |
4. Zahteve v zvezi z informacijskimi objekti, ki so veljavni in izdani pred začetkom veljavnosti te uredbe ter so navedeni v Prilogi I, se uporabljajo od 1. januarja 2029.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 12. oktobra 2023
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 212, 22.8.2018, str. 1.
(2) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(3) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).
(4) https://www.easa.europa.eu/document-library/opinions
(5) Izvedbena uredba Komisije (EU) 2019/947 z dne 24. maja 2019 o pravilih in postopkih za upravljanje brezpilotnih zrakoplovov (UL L 152, 11.6.2019, str. 45).
(6) Izvedbena uredba Komisije (EU) 2021/664 z dne 22. aprila 2021 o regulativnem okviru za U-space (UL L 139, 23.4.2021, str. 161).
PRILOGA I
SEZNAM INFORMACIJSKIH OBJEKTOV
|
Informacijski objekt |
Prednostne skupine |
|
Licence |
|
|
Pilotska licenca |
A |
|
Potrditev pilotske licence |
A |
|
Licenca kontrolorja zračnega prometa |
A |
|
Licenca za vzdrževanje zrakoplova |
B |
|
Certifikati – organizacije |
|
|
Certifikat izvajalca ATM/ANS |
B |
|
Certifikat operatorja aerodroma |
B |
|
Spričevalo letalskega prevoznika (AOC) |
B |
|
Certifikat opreme aerodroma |
B |
|
Spričevalo o plovnosti (CofA) |
B |
|
Certifikat o ustreznosti naprav za simulacijo letenja (FSTD) |
C |
|
Spričevalo operatorja lahkega sistema brezpilotnega zrakoplova (LUC) |
A |
|
Spričevalo operatorja sistema brezpilotnega zrakoplova |
C |
|
Spričevalo izvajalca služb U-space (USSP) |
B |
|
Spričevalo enotnega izvajalca skupne informacijske službe |
B |
|
Certifikati – osebje |
|
|
Certifikat o teoretičnem usposabljanju pilotov na daljavo |
C |
|
Potrdilo izpraševalca |
A |
|
Potrdilo inštruktorja |
A |
|
Spričevalo centra za ocenjevanje znanja jezika |
C |
|
Certifikati – proizvodi/oprema |
|
|
Certifikat tipa (TC) |
B |
|
Dodatni certifikat tipa (STC) |
B |
|
Certifikat tipa z omejitvami (RTC) |
B |
|
Podatkovni list certifikata tipa |
C |
|
Spričevalo o hrupu |
C |
|
Spričevalo o hrupu z omejitvami |
C |
|
Certifikat pregleda plovnosti (ARC) |
C |
|
Spričevalo o plovnosti z omejitvami (RCofA) |
C |
|
Odobritev večjih/manjših sprememb |
C |
|
Odobritev načrta večjega/manjšega popravila |
C |
|
Certifikat za sisteme ATM/ANS in sestavne dele ATM/ANS |
B |
|
Zdravniška spričevala |
|
|
Spričevalo zdravnika letalske medicine |
A |
|
Spričevalo centra za letalsko medicino (AeMC) |
A |
|
Spričevalo zdravnika letalske medicine za kontrolorja zračnega prometa (ATCO) |
A |
|
Zdravniško spričevalo kontrolorja zračnega prometa (ATCO) |
A |
|
Vloga za izdajo zdravniškega spričevala pilota |
A |
|
Obrazci za zdravniški pregled pilota in podporna zdravniška spričevala |
A |
|
Zdravniško spričevalo pilota |
A |
|
Izjave |
|
|
Izjava izvajalca službe informacij za letenje (FIS) |
B |
|
Izjava izvajalca službe upravljanja ploščadi |
B |
|
Izjava izvajalca zemeljske oskrbe |
B |
|
Sistemi ATM/ANS in sestavni deli ATM/ANS – izjava |
B |
|
Sistemi ATM/ANS in sestavni deli ATM/ANS – izjava o skladnosti |
B |
|
Izjava operatorja kot izvajalca tehničnega usposabljanja evropskega standardnega scenarija (STS) |
C |
|
Izjave operaterjev zrakoplovov o nekomercialnih operacijah s kompleksnimi zrakoplovi na motorni pogon (NCC) in specializiranih operacijah (SPO) |
C |
|
Operativna izjava za sistem brezpilotnega zrakoplova evropskega standardnega scenarija (STS) |
A |
|
Potrdila in poročila |
|
|
Potrdilo kabinskega osebja |
C |
|
Zdravniško poročilo kabinskega osebja |
C |
|
Izjeme |
|
|
(Skupno) trajanje izjeme več kot 8 mesecev – sklep |
B |
|
(Skupno) trajanje izjeme več kot 8 mesecev – uradno obvestilo |
B |
|
(Skupno) trajanje izjeme več kot 8 mesecev – priporočilo |
B |
|
(Skupno) trajanje izjeme do 8 mesecev – uradno obvestilo |
A |
|
Izvzetje izvajalca iz obveznosti pridobitve certifikata ATM/ANS – sklep |
C |
|
Izvzetje izvajalca iz obveznosti pridobitve certifikata ATM/ANS – uradno obvestilo |
C |
|
Izvzetje izvajalca iz obveznosti pridobitve certifikata ATM/ANS |
C |
|
Odobritve |
|
|
Dovoljenje za letenje – odobritev pogojev letenja |
A |
|
Dovoljenje za letenje |
A |
|
Odobritev poročila odbora za pregled vzdrževanja (MRB) |
C |
|
Preverjanja teoretičnega znanja |
C |
|
Odobritve organizacije za kombinirano plovnost (CAOA) – Del CAO |
B |
|
Odobritve organizacije za vodenje stalne plovnosti (CAMOA) |
B |
|
Odobritve vzdrževalnih organizacij (MOA) – Del M, Poddel F Obrazec EASA 3-MF |
B |
|
Odobritve vzdrževalnih organizacij (MOA) – Del 145 |
B |
|
Odobritve organizacije za usposabljanje za vzdrževanje (MTOA) – Del 147 |
B |
|
Izjava o soglasju za proizvodnjo brez odobritve proizvodne organizacije |
C |
|
Odobritve proizvodne organizacije (POA) |
B |
|
Alternativni postopek za odobritve projektivne organizacije (APDOA) |
C |
|
Odobritve projektivne organizacije (DOA) |
B |
|
Odobritev projektiranja ali proizvodnje opreme ATM/ANS |
B |
|
Organizacije za usposabljanje kontrolorjev zračnega prometa (ATCO) |
B |
|
Odobritev organizacije za usposabljanje kabinskega osebja (CCTO) |
C |
|
Odobritev organizacije za usposabljanje (ATO) (piloti) |
C |
|
Prijavljena organizacija za usposabljanje (DTO) pilotov |
C |
|
Odobritev organizacije za usposabljanje za preverjanje na ploščadi (RITO) |
B |
|
Sklepi |
|
|
Klavzula o možnosti uporabe posebnih določb osnovne uredbe za navedene dejavnosti – sklep |
C |
|
Razveljavitev in priznavanje certifikatov ali izjav |
C |
|
Sklep o izvzetju iz določbe iz osnovne uredbe o aerodromih |
C |
|
Skupna odgovornost za naloge, povezane z operaterji zrakoplovov, ki se ukvarjajo s komercialnim zračnim prevozom |
C |
|
Predlog spremembe izvedbenega/delegiranega akta |
C |
|
Akreditacija kot usposobljeni subjekt |
C |
|
Predlog individualne specifikacijske sheme za čas letenja (IFTS) |
C |
|
Uradna obvestila o shemah omejitve časa letenja (FTL) |
C |
|
Potrditev operatorja o sprejemljivosti posodobljenih ukrepov za zmanjšanje tveganja in skladnosti lokalnih razmer v primeru čezmejnih operacij |
C |
|
Registracija operatorja sistema brezpilotnega zrakoplova |
A |
|
Sklep države članice o imenovanju enotnega izvajalca skupne informacijske službe |
B |
|
Ukrepi |
|
|
Takojšen ukrep v odziv na resno varnostno težavo (sklep) |
B |
|
Takojšen ukrep v odziv na resno varnostno težavo (priporočilo) |
B |
|
Takojšen ukrep v odziv na resno varnostno težavo (uradno obvestilo) |
B |
|
Informacijski bilteni o konfliktnih območjih (CZIB) – Ukrepi |
B |
|
Klavzula (člen 2(6)) o možnosti uporabe posebnih določb osnovne uredbe za navedene dejavnosti (uradno obvestilo) |
C |
|
Klavzula o možnosti uporabe posebnih določb osnovne uredbe za navedene dejavnosti (priporočilo) |
C |
|
Klavzula o izvzetju kategorij zrakoplovov iz posebnih določb osnovne uredbe |
C |
|
Drugo |
|
|
Letalski prevoznik – operativne specifikacije |
C |
|
Dovoljenje operatorja iz tretje države (TCO) |
B |
|
Komercialne specializirane operacije z visokim tveganjem – dovoljenje |
B |
|
Registracija certificirane naprave sistema brezpilotnega zrakoplova |
A |
|
Dovoljenje po Odredbi o evropskem tehničnem standardu (ETSOA) |
C |
|
Odstopanje od ETSO |
C |
|
Predlog spremembe izvedbenega/delegiranega akta – uradno obvestilo |
B |
|
Predlog spremembe izvedbenega/delegiranega akta – priporočilo |
B |
|
Seznam držav članic in organizacij, ki so prenesle pristojnosti ali prerazporedile naloge (v skladu s členoma 64 in 65), ter pristojni organ, odgovoren po prerazporeditvi |
C |
|
Plovnostne zahteve (AD), varnostne zahteve, bilteni varnostnih informacij (SIB) |
C |
|
Osnutek priporočil za odgovor na dopise ICAO |
C |
|
Kontrolni seznam skladnosti z mednarodnimi standardi in priporočenimi praksami ICAO |
C |
|
Priporočila za odgovor na dopise ICAO |
C |
|
Zahteve za druge načine usklajevanja |
C |
PRILOGA II
RAZVRSTITEV INFORMACIJ
Podrobne opredelitve oznak v skladu s členom 7(2)
|
(a) |
ZASEBNOST se določi v skladu s spodnjimi kategorijami:
|
|
(b) |
ZAUPNOST se razvrsti v skladu s spodnjimi stopnjami:
|
|
(c) |
CELOVITOST se razvrsti v skladu s spodnjimi stopnjami:
|
|
(d) |
RAZPOLOŽLJIVOST se razvrsti v skladu s spodnjimi stopnjami:
|
ELI: http://data.europa.eu/eli/reg_impl/2023/2117/oj
ISSN 1977-0804 (electronic edition)