7.5.2014

SV

Europeiska unionens officiella tidning

L 134/32

---

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) nr 463/2014

av den 5 maj 2014

om fastställande av villkoren för det elektroniska systemet för datautbyte mellan medlemsstaterna och kommissionen i enlighet med Europaparlamentets och rådets förordning (EU) nr 223/2014 om fonden för europeiskt bistånd till dem som har det sämst ställt

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) nr 223/2014 av den 11 mars 2014 om fonden för europeiskt bistånd till dem som har det sämst ställt (1), särskilt artikel 30.4, och

av följande skäl:

(1)	I enlighet med artikel 30.4 i förordning (EU) nr 223/2014 ska allt officiellt informationsutbyte mellan medlemsstaterna och kommissionen ske via ett elektroniskt system för datautbyte. De villkor som systemet måste uppfylla bör därför fastställas.

(2)	För att garantera en högre kvalitet på informationen om genomförandet av de operativa programmen, ett mer användbart system och en förenkling måste man fastställa grundläggande krav på form och syfte för den information som ska utväxlas.

(3)	Det är nödvändigt att fastställa principer och regler för driften av systemet, när det gäller att avgöra vilken part som är ansvarig för att ladda upp dokument och att uppdatera dem.

(4)	För att minska den administrativa bördan för medlemsstaterna och kommissionen och samtidigt säkerställa ett effektivt elektroniskt informationsutbyte bör tekniska krav fastställas för systemet.

(5)

Medlemsstaterna och kommissionen bör också ha möjlighet att mata in och föra över information på två olika sätt som ska fastställas. Regler bör också införas för när force majeure hindrar användningen av det elektroniska systemet för datautbyte, så att både medlemsstaterna och kommissionen kan fortsätta att utväxla information på annat sätt.

(6)

Medlemsstaterna och kommissionen bör säkerställa att överföringen av information genom det elektroniska systemet för datautbyte sker på ett säkert sätt, för att garantera att uppgifterna är tillgängliga, fullständiga, autentiska, sekretesskyddade och oavvisliga. Därför bör säkerhetsregler fastställas.

(7)

Denna förordning bör respektera de grundläggande rättigheterna och principerna i Europeiska unionens stadga om de grundläggande rättigheterna, särskilt rätten till skydd av personuppgifter. Denna förordning bör därför tillämpas i enlighet med dessa rättigheter och principer. För de personuppgifter som behandlas av medlemsstaterna gäller Europaparlamentets och rådets direktiv 95/46/EG (2). För behandlingen av personuppgifter vid unionens institutioner och organ och den fria rörligheten för sådana uppgifter gäller Europaparlamentets och rådets förordning (EG) nr 45/2001 (3).

(8)	För att man snabbt ska kunna genomföra de åtgärder som föreskrivs i denna förordning bör den träda i kraft dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

(9)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från kommittén för Fonden för europeiskt bistånd till dem som har det sämst ställt.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

TILLÄMPNINGSFÖRESKRIFTER FÖR FÖRORDNING (EU) nr 223/2014 NÄR DET GÄLLER FONDEN FÖR EUROPEISKT BISTÅND TILL DEM SOM HAR DET SÄMST STÄLLT

ELEKTRONISKT SYSTEM FÖR DATAUTBYTE

(Bemyndigande enligt artikel 30.4 i förordning (EU) nr 223/2014)

Artikel 1

Inrättande av ett elektroniskt system för datautbyte

Kommissionen ska inrätta ett elektroniskt system för datautbyte för allt officiellt informationsutbyte mellan medlemsstaterna och kommissionen.

Artikel 2

Innehåll i det elektroniska systemet för datautbyte

Det elektroniska systemet för datautbyte (nedan kallat SFC2014) ska innehålla åtminstone de uppgifter som anges i de mallar och format som fastställts i enlighet med förordning (EU) nr 223/2014. Uppgifterna i de elektroniska formulär som ingår i SFC2014 (nedan kallade strukturerade data) får inte ersättas av ostrukturerade data, vilket omfattar länkar och andra typer av ostrukturerade data, t.ex. bifogade dokument eller bilder. När en medlemsstat lämnar in samma uppgifter både i form av strukturerade data och ostrukturerade data och dessa inte överensstämmer ska strukturerade data användas.

Artikel 3

Driften av SFC2014

1.   Kommissionen, de myndigheter som utsetts av medlemsstaterna i enlighet med artikel 59.3 i Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 (4) och artikel 31 i förordning (EU) nr 223/2014 samt de organ till vilka dessa myndigheter delegerat uppgifter ska i SFC2014 mata in den information som de har ansvar för att föra över och eventuella uppdateringar.

2.   Information som ska föras över till kommissionen ska kontrolleras och skickas av en annan person än den som matade in uppgifterna. En sådan ansvarsfördelning ska stödjas av SFC2014 eller av medlemsstaternas förvaltnings- och kontrollsystem som automatiskt kopplas till SFC2014.

3.   Medlemsstaterna ska på nationell nivå utse en eller flera personer som ska hantera åtkomsträttigheterna för SFC2014 och som ska göra följande:

a)	Identifiera de användare som begär åtkomst och fastställa att dessa är anställda av organisationen.

b)	Informera användarna om att de är skyldiga att bevara systemets säkerhet.

c)	Kontrollera att användarna är berättigade till den begärda åtkomstnivån, med hänsyn till deras arbetsuppgifter och befattning.

d)	Begära att åtkomsträttigheterna upphör när de inte längre behövs eller är motiverade.

e)	Omedelbart rapportera misstänkta händelser som kan hota systemets säkerhet.

f)	Säkerställa att användaruppgifterna hålls uppdaterade, genom att rapportera alla ändringar.

g)	Vidta alla nödvändiga försiktighetsåtgärder, både när det gäller uppgiftsskydd och affärshemligheter, i enlighet med unionens och medlemsstaternas bestämmelser.

h)	Informera kommissionen om ändringar som påverkar kapaciteten hos de nationella myndigheterna eller SFC2014:s användare att fullgöra de uppgifter som avses i första stycket eller deras personliga förmåga att fullgöra de uppgifter som avses i leden a–g.

4.   Vid datautbyte och överföringar ska en elektronisk signatur användas i enlighet med Europaparlamentets och rådets direktiv 1999/93/EG (5). Medlemsstaterna och kommissionen ska erkänna den elektroniska signaturens rättsliga verkan och giltighet som bevis vid rättsliga förfaranden.

Behandlingen av uppgifter i SFC2014 ska respektera skyddet av integritet och personuppgifter för enskilda personer och av affärshemligheter för juridiska personer i enlighet med Europaparlamentets och rådets direktiv 2002/58/EG (6), Europaparlamentets och rådets direktiv 2009/136/EG (7), direktiv 95/46/EG och förordning (EG) nr 45/2001.

Artikel 4

Tekniska krav på SFC2014

För att säkerställa ett effektivt elektroniskt informationsutbyte ska följande tekniska krav för SFC2014 beaktas:

a)	Interaktiva formulär eller formulär som fylls i automatiskt med utgångspunkt på grundval av de uppgifter som tidigare matats in i systemet.

b)	Automatiska beräkningar, som underlättar inmatningen för användarna.

c)	Inbyggda kontroller av att de inmatade uppgifterna överensstämmer inbördes respektive med tillämpliga bestämmelser.

d)	Automatiska meddelanden när användarna kan eller inte kan göra vissa åtgärder i SFC2014.

e)	En onlinetjänst som visar hur långt behandlingen av de inmatade uppgifterna hunnit.

f)	Tillgång till historiken för alla uppgifter som matats in för ett operativt program.

Artikel 5

Överföring av uppgifter genom SFC2014

1.   SFC2014 ska vara åtkomligt för medlemsstaterna och kommissionen antingen direkt genom ett interaktivt gränssnitt (dvs. en webbtillämpning) eller via ett tekniskt gränssnitt med på förhand fastställda protokoll (dvs. webbtjänster) som gör det möjligt att automatiskt synkronisera och överföra data mellan medlemsstaternas datasystem och SFC2014.

2.   Dagen då den elektroniska överföringen av information mellan medlemsstaten och kommissionen ägde rum gäller som inlämningsdag för dokumentet.

3.   Vid force majeure, då SFC2014 fungerar dåligt eller när det saknas uppkoppling till SFC2014 mer än en arbetsdag under den sista veckan för en fastställd frist för inlämnande av uppgifter eller under perioden 23–31 december eller mer än fem arbetsdagar vid övriga tidpunkter, kan informationsutbytet mellan medlemsstaterna och kommissionen ske på papper, med hjälp av de mallar och format som avses i artikel 2 i denna förordning.

När det elektroniska systemet för datautbyte fungerar väl igen, när det är uppkopplat på nytt eller när force majeure upphört ska berörda parter omedelbart mata in de uppgifter i SFC2014 som redan sänts på papper.

4.   I de fall som avses i punkt 3 gäller poststämpelns datum som inlämningsdag för dokumentet i fråga.

Artikel 6

Säkerhet för uppgifter som överförs genom SFC2014

1.   Kommissionen ska fastställa en it-säkerhetspolicy för SFC2014 (nedan kallad SFC:s it-säkerhetspolicy) som ska gälla för personal som använder SFC2014 i enlighet med relevanta unionsbestämmelser, särskilt kommissionens beslut C(2006) 3602 (8) och dess genomförandebestämmelser. Kommissionen ska utse en eller flera personer som ska fastställa, upprätthålla och säkerställa en korrekt tillämpning av SFC:s it-säkerhetspolicy.

2.   Medlemsstater och andra unionsinstitutioner än kommissionen som har fått åtkomsträttigheter till SFC2014 ska följa de it-säkerhetsvillkor som finns på SFC2014:s portal och de åtgärder som kommissionen infört i SFC2014 för att säkra dataöverföringen, särskilt i samband med användningen av det tekniska gränssnitt som avses i artikel 5.1 i denna förordning.

3.   Medlemsstaterna och kommissionen ska genomföra antagna säkerhetsåtgärder och säkerställa att de är effektiva för att skydda de uppgifter som de lagrar i och överför genom SFC2014.

4.   Medlemsstaterna ska anta nationella, regionala eller lokala it-säkerhetspolicyer för åtkomst till SFC2014 och automatisk inmatning av data, och garantera ett minimum av säkerhetskrav. Dessa nationella, regionala eller lokala it-säkerhetspolicyer kan hänvisa till andra säkerhetsdokument. Varje medlemsstat ska säkerställa att it-säkerhetspolicyerna tillämpas vid alla myndigheter som använder SFC2104.

5.   Dessa nationella, regionala eller lokala it-säkerhetspolicyer ska omfatta följande:

a)	It-säkerhetsaspekterna på det arbete som utförs av den eller de personer som hanterar åtkomsträttigheterna och som avses i artikel 3.3 i denna förordning, vid en interaktiv tillämpning.

b)	Säkerhetsåtgärder för nationella, regionala eller lokala it-system som kopplas upp mot SFC2014 genom det tekniska gränssnitt som avses i artikel 5.1 i denna förordning, så att dessa system kan anpassas till säkerhetskraven för SFC2014.

I första stycket led b avses följande aspekter som i tillämpliga fall ska omfattas:

a)	Fysisk säkerhet.

b)	Datamedier och åtkomstkontroll.

c)	Lagringskontroll.

d)	Åtkomst och lösenordskontroll.

e)	Övervakning.

f)	Sammankoppling med SFC2014.

g)	Kommunikationsinfrastruktur.

h)	Personaladministration före, under och efter anställning.

i)	Tillbudshantering.

6.   Dessa nationella, regionala eller lokala it-säkerhetspolicyer ska bygga på en riskbedömning och de beskrivna åtgärderna ska stå i proportion till de risker som identifierats.

7.   Dokument som innehåller nationella, regionala eller lokala it-säkerhetspolicyer ska på begäran ställas till förfogande för kommissionen.

8.   Medlemsstaterna ska på nationell nivå utse en eller flera personer som ska upprätthålla de nationella, regionala eller lokala it-säkerhetspolicyerna och se till att de tillämpas korrekt. Den eller de personerna ska fungera som kontaktpunkt för den eller de personer som utsetts av kommissionen och som avses i artikel 6.1 i denna förordning.

9.   Både SFC:s it-säkerhetspolicy och relevanta nationella, regionala och lokala it-säkerhetspolicyer ska uppdateras vid tekniska ändringar, nya hot eller andra relevanta händelser. Under alla omständigheter ska de ses över årligen för att garantera ett fortsatt lämpligt skydd.

KAPITEL II

SLUTBESTÄMMELSER

Artikel 7

Denna förordning träder i kraft dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

---

(1)  EUT L 72, 12.3.2014, s. 1.

(2)  Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

(3)  Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(4)  Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 av den 25 oktober 2012 om finansiella regler för unionens allmänna budget och om upphävande av rådets förordning (EG, Euratom) nr 1605/2002 (EUT L 298, 26.10.2012, s. 1).

(5)  Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer (EGT L 13, 19.1.2000, s. 12).

(6)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(7)  Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 om ändring av direktiv 2002/22/EG om samhällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster, direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation och förordning (EG) nr 2006/2004 om samarbete mellan de nationella tillsynsmyndigheter som ansvarar för konsumentskyddslagstiftningen (EUT L 337, 18.12.2009, s. 11).

(8)  Commission Decision C(2006) 3602 of 16 August 2006 concerning the security of information systems used by the European Commission (ej översatt till svenska).

---