ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2023/2117
z dnia 12 października 2023 r.
ustanawiające zasady niezbędne do funkcjonowania repozytorium informacji i zarządzania nim oraz szczegółowe wymogi na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia 4 lipca 2018 r. w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywy Parlamentu Europejskiego i Rady 2014/30/UE i 2014/53/UE, a także uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 216/2008 i (WE) nr 552/2004 i rozporządzenie Rady (EWG) nr 3922/91 (1), w szczególności jego art. 74 ust. 8,
a także mając na uwadze, co następuje:
(1) | Zgodnie z art. 74 rozporządzenia (UE) 2018/1139 informacje dotyczące lotnictwa cywilnego mają być przechowywane w ustanowionym i zarządzanym przez Agencję Unii Europejskiej ds. Bezpieczeństwa Lotniczego („Agencja”) elektronicznym repozytorium informacji niezbędnych do zapewnienia skutecznej współpracy między Agencją oraz właściwymi organami krajowymi w zakresie wykonywania ich zadań związanych z certyfikacją, nadzorem i egzekwowaniem przepisów wynikających z tego rozporządzenia. |
(2) | Ważne jest, aby Komisja i właściwe organy krajowe były zaangażowane w tworzenie repozytorium i zarządzanie nim przez Agencję, w związku z czym w niniejszym rozporządzeniu należy ustanowić odpowiedni mechanizm konsultacji w celu zapewnienia, aby Agencja konsultowała się z państwami członkowskimi i Komisją przed podjęciem decyzji dotyczących repozytorium. |
(3) | W celu zagwarantowania skutecznego korzystania z repozytorium jego struktura powinna zapewniać centralną bazę danych, infrastrukturę komunikacyjną i interfejs niezbędny do wydawania i przeszukiwania informacji przechowywanych w repozytorium oraz uzyskiwania dostępu do tych informacji. Aby ułatwić współpracę między podmiotami korzystającymi z repozytorium, powinien istnieć jeden interfejs bezpośrednich zapytań użytkowników do repozytorium oraz jeden interfejs dla właściwych organów krajowych. |
(4) | Repozytorium powinno ułatwiać integrację właściwych organów z repozytorium oraz komunikację z repozytorium za pomocą odpowiednich specyfikacji funkcjonalnych obejmujących informacje dotyczące interfejsu, bezpieczeństwa, sieci i konfiguracji aplikacji. |
(5) | Agencja powinna zapewnić, aby repozytorium było przechowywane w odpowiednich warunkach działania w celu uniknięcia awarii technicznych oraz zapewnienia ciągłości funkcjonowania repozytorium i zarządzania jego danymi. |
(6) | Informacje powinny być przekazywane do repozytorium i wymieniane za jego pośrednictwem z wykorzystaniem wspólnie uzgodnionych formatów informacji zaproponowanych przez Agencję, tak aby informacje będące przedmiotem wymiany były rozumiane w ten sam sposób przez poszczególne podmioty przekazujące informacje. |
(7) | Regularne aktualizacje informacji przechowywanych w repozytorium powinny przyczynić się do lepszej wymiany informacji. W związku z tym Agencja i właściwe organy krajowe powinny opracować metodykę regularnego aktualizowania informacji przechowywanych w repozytorium. |
(8) | W niniejszym rozporządzeniu należy również ustanowić wymogi dotyczące klasyfikacji informacji, tak aby informacje przechowywane w repozytorium były przetwarzane zgodnie z parametrami prywatności, poufności, integralności i dostępności. Należy dokonać ponownej oceny klasyfikacji informacji w każdym przypadku, gdy dojdzie do zmiany sposobu wykorzystania danych, aby zapewnić aktualność tej klasyfikacji. |
(9) | Ważne jest wskazanie zainteresowanych stron, które mogą otrzymywać informacje przechowywane w repozytorium, oraz określenie szczegółowych zasad rozpatrywania ich wniosków o dostęp. W tym celu w niniejszym rozporządzeniu należy określić warunki niezbędne do rozpowszechniania informacji wśród zainteresowanych stron. Należy również zapewnić, aby informacjami otrzymanymi przez zainteresowane strony zarządzano w sposób poufny. |
(10) | System identyfikowalności informacji przechowywanych w repozytorium powinien gwarantować ochronę przed nieuprawnionym dostępem do nich i umożliwiać monitorowanie operacji, w których przetwarzane są informacje, w tym dane osobowe, w celu zapewnienia integralności danych i bezpieczeństwa informacji. |
(11) | Personel upoważnionych użytkowników, który musi uzyskać dostęp do repozytorium, powinien być upoważniony przez odpowiednie organizacje zgodnie z udokumentowanymi procedurami. Odpowiednie właściwe organy krajowe powinny upoważnić personel centrów medycyny lotniczej. |
(12) | W ramach polityki zarządzania bezpieczeństwem należy opracować wymogi dotyczące ochrony odpowiedniej infrastruktury i danych. W szczególności należy opracować środki dotyczące zarządzania bezpieczeństwem, ciągłości działania i planów przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej. Uprawnieni użytkownicy powinni zapewnić wprowadzenie niezbędnych środków bezpieczeństwa i współpracę w tym zakresie. |
(13) | Dane osobowe powinny być przetwarzane wyłącznie w celu zapewnienia skutecznej współpracy między Agencją oraz właściwymi organami krajowymi dotyczącej wykonywania zadań związanych z certyfikacją, nadzorem i egzekwowaniem przepisów. W niniejszym rozporządzeniu należy określić szczegółowe ustalenia dotyczące ochrony danych osobowych przechowywanych w repozytorium i wymienianych za jego pośrednictwem. Takie przetwarzanie musi być zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (2) i (UE) 2018/1725 (3) rozporządzeniem Parlamentu Europejskiego i Rady (UE); w jego ramach należy doprecyzować obowiązki odpowiednich podmiotów wyznaczonych do dopilnowania, aby zapewniono ochronę danych. |
(14) | Konieczne jest określenie i przydzielenie odpowiednich obowiązków podmiotów, które przetwarzają dane osobowe w repozytorium, w tym wprowadzanie i pobieranie danych osobowych z repozytorium. Rozporządzenie (UE) 2018/1139 stanowi, że Agencja tworzy, we współpracy z Komisją oraz właściwymi organami krajowymi, repozytorium informacji niezbędnych do zapewnienia skutecznej współpracy między Agencją oraz właściwymi organami krajowymi, a także zarządza tym repozytorium. W szczególności współpraca ta ma na celu zapewnienie zarządzania bezpieczeństwem repozytorium. W związku z tym powinni oni być współadministratorami do celów przetwarzania danych osobowych na potrzeby zarządzania repozytorium. Konieczne jest zatem określenie obowiązków współadministratorów i ich szczególnych obowiązków wobec osób, których dane dotyczą. |
(15) | Każdy właściwy organ krajowy, Agencja oraz Komisja powinni być wyłącznymi administratorami operacji przetwarzania danych przeprowadzanych w ich własnych systemach jako uprawnieni użytkownicy. Operacje przetwarzania danych powinny być przeprowadzane zgodnie z rozporządzeniami (UE) 2016/679 i (UE) 2018/1725. Ponieważ dane wymieniane w repozytorium pochodzą od każdego administratora, powinni oni powiadomić Agencję o każdym naruszeniu ochrony danych osobowych w ich systemie, które mogłoby zagrozić bezpieczeństwu, poufności, dostępności lub integralności danych osobowych przetwarzanych w repozytorium. |
(16) | Należy przewidzieć obowiązek wzajemnego zgłaszania naruszeń bezpieczeństwa, w tym naruszeń ochrony danych osobowych, aby umożliwić współadministratorom jak najszybsze wykrywanie incydentów bezpieczeństwa i naruszeń ochrony danych. Każdy administrator powinien odpowiednio zapewnić niezbędne zgłaszanie tych naruszeń. |
(17) | W razie konieczności wykonywanie przez osobę, której dane dotyczą, przysługujących jej praw może zostać ograniczone pod pewnymi określonymi warunkami. Ograniczenia takie powinny być proporcjonalne i określone pod względem zakresu i czasu. Osoba, której dane dotyczą, powinna mieć możliwość skorzystania z prawa do skutecznej obrony i środka ochrony prawnej przed sądem. |
(18) | W celu zapewnienia bezpieczeństwa lotniczego właściwy organ może potrzebować dostępu do poprzednich rejestrów, w tym do rejestrów zawierających dane osobowe. W szczególności może to dotyczyć dostępu do danych medycznych uzasadniających wcześniejsze okresy niezdolności do pracy lub nakładających ograniczenia. W związku z tym, bez uszczerbku dla krótszych okresów przewidzianych w prawie krajowym, maksymalny okres przechowywania wynoszący 10 lat od daty upływu ważności dokumentu (np. świadectw zdrowia, orzeczeń lekarskich, licencji), w tym wszelkich dokumentów niezbędnych do przeprowadzenia procedur, o których mowa w rozporządzeniu (UE) 2018/1139, powinien przyczynić się do tego, aby uprawnieni użytkownicy mogli w dalszym ciągu mieć dostęp do tych danych. |
(19) | Dane osobowe w repozytorium stanowią podstawowe informacje, które należy przechowywać do celów archiwizacji ze względu na bezpieczeństwo lotnicze i do celów badań historycznych. Po upływie okresu przechowywania lub krótszego okresu, który może być przewidziany w prawie krajowym, należy natychmiast usunąć dane osobowe z repozytorium. Dane osobowe można przechowywać poza repozytorium do celów archiwizacji w interesie publicznym, do celów bezpieczeństwa lotniczego i badań historycznych. |
(20) | Aby zapewnić właściwe stosowanie niniejszego rozporządzenia, państwa członkowskie i zainteresowane podmioty powinny otrzymać wystarczająco dużo czasu na dostosowanie swoich procedur do nowych ram regulacyjnych przed rozpoczęciem stosowania niniejszego rozporządzenia. W związku z tym niektóre wymogi określone w załączniku I powinny mieć zastosowanie w późniejszym terminie zgodnie z ich kategorią obiektów informacji i datą wydania. |
(21) | Agencja przygotowała projekt aktu wykonawczego dotyczącego funkcjonowania repozytorium informacji i zarządzania nim na podstawie rozporządzenia (UE) 2018/1139 i przedłożyła go Komisji wraz z opinią nr 04/2022 (4) zgodnie z art. 75 ust. 2 lit. b) i art. 76 ust. 1 rozporządzenia (UE) 2018/1139. |
(22) | Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 29 marca 2023 r. |
(23) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ds. stosowania wspólnych zasad bezpieczeństwa w dziedzinie lotnictwa cywilnego, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Przedmiot
W niniejszym rozporządzeniu ustanawia się zasady i procedury dotyczące funkcjonowania repozytorium informacji niezbędnych do zapewnienia skutecznej współpracy między Agencją oraz właściwymi organami krajowymi w zakresie wykonywania ich zadań związanych z certyfikacją, nadzorem i egzekwowaniem przepisów wynikających z rozporządzenia (UE) 2018/1139, oraz zarządzania tym repozytorium.
Artykuł 2
Definicje
1. Do celów niniejszego rozporządzenia stosuje się definicje określone w rozporządzeniach (UE) 2018/1139, (UE) 2016/679, (UE) 2018/1725 i rozporządzeniach wykonawczych Komisji (UE) 2019/947 (5) i (UE) 2021/664 (6).
2. Stosuje się również następujące definicje:
a) | „uprawnieni użytkownicy” oznaczają Komisję, Agencję, właściwe organy krajowe oraz każdy właściwy organ państwa członkowskiego, któremu to organowi powierzono badanie wypadków i incydentów w lotnictwie cywilnym, jak określono w art. 74 ust. 6 zdanie pierwsze rozporządzenia (UE) 2018/1139; |
b) | „interfejs” oznacza punkt, w którym niezależne i często niepowiązane systemy łączą się i działają lub komunikują się ze sobą; |
c) | „upoważniony personel” oznacza personel uprawnionych użytkowników, który otrzymał dostęp do repozytorium; |
d) | „kategoria obiektów informacji” oznacza rodzaj informacji wchodzących w zakres stosowania art. 74 ust. 1 rozporządzenia (UE) 2018/1139, którymi mają się wymieniać uprawnieni użytkownicy i do których mają oni dostęp; |
e) | „obiekt informacji” oznacza indywidualnie wymienianą informację, która zawsze odpowiada kategorii obiektów informacji i musi być zgodna z jej formatem informacji; |
f) | „format informacji” oznacza z góry określoną strukturę kategorii obiektów informacji składającą się ze schematu pól odpowiadających szczegółowym rodzajom treści w ramach każdej kategorii obiektów informacji i słowników sporządzonych z ograniczonych zestawów dopuszczalnych wartości powiązanych z każdym polem; |
g) | „zainteresowana strona” oznacza organy publiczne instytucji, agencji i organów Unii Europejskiej oraz organy publiczne państw członkowskich, osoby fizyczne i prawne, które są objęte obiektem informacji zdefiniowanym w załączniku I do niniejszego rozporządzenia, oraz kwalifikowane jednostki akredytowane zgodnie z art. 69 rozporządzenia (UE) 2018/1139. |
ROZDZIAŁ II
UTWORZENIE REPOZYTORIUM, ZARZĄDZANIE NIM I JEGO UTRZYMANIE
Artykuł 3
Utworzenie repozytorium
1. Repozytorium składa się z interfejsów przechowywania, wymiany i dostępu użytkownika.
2. Interfejs przechowywania, o którym mowa w ust. 1, obejmuje:
a) | centralną bazę danych zawierającą informacje, o których mowa w art. 74 ust. 1 rozporządzenia (UE) 2018/1139, obejmującą zarówno informacje istniejące, jak i nowe; oraz |
b) | historię zmian informacji oraz ich aktualny/zarchiwizowany status. |
3. Interfejs wymiany, o którym mowa w ust. 1, obejmuje:
a) | infrastrukturę komunikacyjną, która zapewnia bezpieczne interfejsy programowania aplikacji (API) do celów wydawania, zmiany, przeszukiwania/odczytu i archiwizacji informacji między systemami uprawnionych użytkowników a repozytorium; oraz |
b) | zasady weryfikacji jakości informacji zapewniające spójność, integralność i prawidłowość przechowywanych informacji. |
4. Interfejs dostępu użytkownika, o którym mowa w ust. 1, zapewnia bezpieczny dostęp online umożliwiający przeszukiwanie i odczyt przechowywanych informacji. Interfejs dostępu użytkownika jest dostępny wyłącznie dla upoważnionego personelu.
5. Agencja opracowuje niezbędną dokumentację potwierdzającą integrację uprawnionych użytkowników z repozytorium. Dokumentacja ta obejmuje:
a) | normy API i mechanizmy wymiany; |
b) | informacje dotyczące bezpieczeństwa, sieci i konfiguracji aplikacji wymagane do komunikacji z repozytorium; |
c) | zasady określające ważną strukturę i treść informacji wymienianych z repozytorium. |
6. Agencja zapewnia również środowisko testowe, w którym uprawnieni użytkownicy mogą przetestować funkcjonalność i wydajność interfejsu wymiany między ich systemami a repozytorium.
Artykuł 4
Zarządzanie repozytorium
1. Agencja odpowiada za zarządzanie operacyjne repozytorium i przechowuje w nim informacje w bezpieczny sposób.
2. Uprawnieni użytkownicy przekazują informacje do repozytorium i wymieniają się nimi w repozytorium za pośrednictwem interfejsów oraz zapewniają bezpieczne połączenie internetowe między ich systemem lub systemami a repozytorium.
3. Przed podjęciem jakiejkolwiek decyzji dotyczącej zarządzania operacyjnego repozytorium lub przed podaniem jej do wiadomości publicznej Agencja konsultuje się z Komisją i właściwymi organami krajowymi.
4. Upoważniony personel krajowych lekarzy orzeczników medycyny lotniczej i centrów medycyny lotniczej przekazuje i wymienia informacje z repozytorium za pośrednictwem właściwych organów krajowych zgodnie z art. 10 ust. 4 niniejszego rozporządzenia.
Artykuł 5
Utrzymanie repozytorium
1. Agencja utrzymuje repozytorium i zapewnia jego prawidłowe funkcjonowanie pod względem prywatności, poufności, integralności i dostępności.
2. Agencja systematycznie tworzy kopie zapasowe repozytorium i jego danych.
ROZDZIAŁ III
PRZEPISY DOTYCZĄCE INFORMACJI PRZECHOWYWANYCH W REPOZYTORIUM
Artykuł 6
Formaty i standardy informacji
1. Uprawnieni użytkownicy przekazują, regularnie aktualizują i wymieniają informacje za pośrednictwem repozytorium w oparciu o wspólnie uzgodnione formaty informacji zaproponowane przez Agencję.
2. Formaty informacji są znormalizowane dla każdej kategorii informacji. Uprawnieni użytkownicy przekazują obiekty informacji do repozytorium wyłącznie w formacie informacji właściwym dla danej kategorii informacji.
3. Wykaz kategorii obiektów informacji określono w załączniku I.
Artykuł 7
Klasyfikacja informacji
1. Agencja, we współpracy z Komisją i właściwymi organami krajowymi, klasyfikuje kategorie obiektów informacji według następujących oznaczeń:
a) | prywatność: dane nieosobowe, niewrażliwe lub wrażliwe dane osobowe; |
b) | poufność: brak wpływu, ograniczony, znaczący, katastrofalny; |
c) | integralność: brak wpływu, ograniczony, znaczący, katastrofalny; |
d) | dostępność: brak wpływu, ograniczony, znaczący, katastrofalny. |
2. Szczegółowe definicje oznaczeń, o których mowa w ust. 1, zawarto w załączniku II.
3. Agencja, we współpracy z Komisją i właściwymi organami krajowymi, ilekroć uzna to za konieczne, dokonuje ponownej oceny klasyfikacji informacji, aby upewnić się, że jest ona nadal odpowiednia, uwzględniając zmiany sposobu wykorzystania informacji.
Artykuł 8
Ustalenia dotyczące rozpowszechniania informacji
1. Na wniosek zainteresowanej strony Agencja może przekazać tej zainteresowanej stronie informacje zawarte w repozytorium, z zastrzeżeniem szczególnych warunków wykorzystania określonych w niniejszym artykule.
2. Wniosek o rozpowszechnianie informacji zawartych w repozytorium składany jest w postaci i na zasadach ustanowionych przez Agencję.
3. Po otrzymaniu wniosku Agencja sprawdza, czy:
a) | wniosek został złożony przez zainteresowaną stronę; oraz |
b) | zainteresowana strona wykazała, że żądane informacje są absolutnie niezbędne do przeprowadzenia przez zainteresowaną stronę jej własnych działań. |
4. Agencja ocenia, czy wniosek jest uzasadniony, a jeżeli spełnione są warunki określone w ust. 5, przekazuje zainteresowanej stronie żądane informacje.
5. Agencja przekazuje żądane informacje zainteresowanej stronie wyłącznie na następujących warunkach:
a) | zainteresowana strona nie otrzymuje dostępu do całej zawartości repozytorium; |
b) | informacje te są absolutnie niezbędne do przeprowadzenia przez zainteresowaną stronę jej własnych działań; |
c) | żadne dane osobowe nie są rozpowszechniane, chyba że dane te dotyczą samej zainteresowanej strony lub jeżeli takie rozpowszechnianie jest absolutnie niezbędne do przeprowadzenia przez zainteresowaną stronę jej działań. |
6. Agencja udostępnia uprawnionym użytkownikom zaktualizowany wykaz otrzymanych wniosków i działań podjętych przez Agencję.
7. Zainteresowana strona:
a) | wykorzystuje informacje wyłącznie do celów określonych w formularzu wniosku; |
b) | nie ujawnia otrzymanych informacji bez zgody uprawnionych użytkowników; |
c) | stosuje niezbędne środki w celu zapewnienia poufności otrzymanych informacji. |
Artykuł 9
Rejestrowanie operacji przetwarzania danych
1. Agencja zapewnia rejestrowanie wszystkich operacji przetwarzania danych. Rejestry zawierają następujące informacje:
a) | cel wniosku o dostęp do repozytorium; |
b) | dane identyfikacyjne uprawnionego użytkownika, który pobiera dane; |
c) | datę i dokładną godzinę operacji przetwarzania danych; |
d) | dane identyfikacyjne upoważnionego personelu przeprowadzającego wyszukiwanie. |
2. Agencja wykorzystuje rejestry operacji przetwarzania danych wyłącznie w celu monitorowania zgodności z prawem dostępu do informacji oraz zapewnienia integralności i bezpieczeństwa danych. Rejestry zawierają dane, które są absolutnie niezbędne do tego celu, zgodnie z zasadą minimalizacji danych określoną w art. 89 rozporządzenia (UE) 2016/679 i art. 13 rozporządzenia (UE) 2018/1725. Rejestry są usuwane po zakończeniu procedury monitorowania lub najpóźniej po upływie jednego roku.
3. Komisji i właściwym organom krajowym udziela się na wniosek dostępu do rejestrów na potrzeby oceny zgodności z prawem dostępu do informacji, monitorowania zgodności operacji przetwarzania danych z prawem oraz zapewnienia integralności i bezpieczeństwa danych.
Artykuł 10
Dostęp do repozytorium
1. Uprawnieni użytkownicy zapewniają, aby dostęp do repozytorium miał wyłącznie upoważniony personel.
2. Uprawnieni użytkownicy zapewniają, aby ich personel otrzymał dostęp do informacji na podstawie oznaczeń prywatności i poufności kategorii obiektów informacji zgodnie z art. 7.
3. Uprawnieni użytkownicy sporządzają i utrzymują:
a) | wykaz upoważnionego personelu; |
b) | procedury dotyczące dostępu do repozytorium; takie procedury muszą być zgodne z wymogami prawnymi mającymi zastosowanie do dostępu do informacji i ich przetwarzania, określonymi w prawie Unii i prawie krajowym. W ich ramach dokumentuje się warunki dostępu upoważnionego personelu do repozytorium. |
4. Krajowi lekarze orzecznicy medycyny lotniczej i centra medycyny lotniczej zapewniają, aby dostęp do repozytorium miał wyłącznie personel upoważniony przez jego właściwy organ krajowy.
Artykuł 11
Zarządzanie bezpieczeństwem repozytorium
1. Agencja chroni infrastrukturę repozytorium i jego informacje oraz opracowuje:
a) | plan zarządzania bezpieczeństwem; |
b) | plan ciągłości działania; |
c) | plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej. |
2. Agencja zapobiega nieuprawnionemu przetwarzaniu informacji oraz wszelkiemu nieuprawnionemu odczytywaniu, kopiowaniu, modyfikowaniu, usuwaniu lub kasowaniu informacji zawartych w repozytorium lub podczas ich rozpowszechniania do lub z repozytorium lub podczas przekazywania, w szczególności za pomocą odpowiednich technik szyfrowania.
3. Agencja zapewnia, aby osoby upoważnione do dostępu do repozytorium miały dostęp jedynie do informacji objętych udzielonym im uprawnieniem dostępu, wyłącznie za pomocą niepowtarzalnych identyfikatorów użytkownika oraz trybu poufnego dostępu.
4. Uprawnieni użytkownicy zarządzają bezpieczeństwem swoich informacji przed przekazaniem do repozytorium i w jego trakcie oraz chronią swoją infrastrukturę, zapewniając:
a) | utworzenie interfejsów między ich systemami a repozytorium; |
b) | funkcjonowanie i obsługę interfejsów; |
c) | aby upoważniony personel był odpowiednio przeszkolony w zakresie bezpieczeństwa informacji, obowiązujących przepisów w dziedzinie ochronie danych i praw podstawowych, zanim będzie mógł przetwarzać informacje przechowywane w repozytorium. |
5. Uprawnieni użytkownicy współpracują w celu zapewnienia zarządzania bezpieczeństwem repozytorium.
ROZDZIAŁ IV
OCHRONA DANYCH OSOBOWYCH
Artykuł 12
Przetwarzanie danych osobowych przechowywanych w repozytorium
1. Dane osobowe przechowywane w repozytorium są przetwarzane wyłącznie w celu zapewnienia współpracy między uprawnionymi użytkownikami niezbędnej do wykonywania ich zadań związanych z certyfikacją, nadzorem i egzekwowaniem przepisów. Przetwarzanie jest ograniczone do zakresu niezbędnego do wykonywania ich zadań oraz do tego, co jest absolutnie niezbędne i proporcjonalne do założonych celów.
2. Dostęp do danych osobowych i ich przetwarzanie odbywa się zgodnie ze specyfikacjami technicznymi repozytorium.
3. Obowiązki związane z ochroną danych w fazie projektowania oraz domyślną ochroną danych uwzględnia się zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.
4. Agencja przeprowadza regularne przeglądy w celu zapewnienia skuteczności wszystkich wdrożonych zabezpieczeń w zakresie ochrony danych.
Artykuł 13
Współadministrowanie danymi osobowymi przetwarzanymi w repozytorium
1. Współadministratorami danych osobowych przechowywanych w repozytorium są uprawnieni użytkownicy.
2. Każdy współadministrator jest odpowiedzialny za spełnienie kryteriów klasyfikacji informacji w odniesieniu do każdego obiektu informacji przetwarzanego w repozytorium.
Artykuł 14
Podział obowiązków między współadministratorów
1. Agencja jest odpowiedzialna za:
a) | ustanowienie i funkcjonowanie repozytorium oraz zarządzanie nim; |
b) | dalsze zarządzanie repozytorium, w szczególności prawami dostępu oraz bezpieczeństwem i poufnością danych osobowych przetwarzanych w repozytorium zgodnie z art. 4, 5, 9 i 12; |
c) | zgłaszanie wszelkich przypadków naruszenia ochrony danych osobowych w repozytorium uprawnionym użytkownikom, Europejskiemu Inspektorowi Ochrony Danych oraz, w razie potrzeby, osobom, których dane dotyczą, zgodnie z art. 34 rozporządzenia (UE) 2018/1725; |
d) | określenie i wdrożenie środków technicznych umożliwiających osobom, których dane dotyczą, wykonywanie przysługujących im praw zgodnie z rozporządzeniem (UE) 2018/1725. |
2. Właściwe organy krajowe i Komisja są odpowiedzialne za:
a) | przetwarzanie danych osobowych w repozytorium zgodnie z interfejsami przechowywania, wymiany i dostępu użytkownika, o których mowa w art. 3, oraz wymogami w zakresie bezpieczeństwa określonymi w art. 12 ust. 4; |
b) | zapewnienie bezpieczeństwa wszelkiego przetwarzania danych osobowych poza repozytorium, gdy dane te są przetwarzane do celów przetwarzania za pośrednictwem repozytorium lub w związku z takim przetwarzaniem; |
c) | wyznaczanie upoważnionego personelu, któremu udziela się dostępu do repozytorium zgodnie z art. 11, i informowanie o nim Agencji; |
d) | pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, wchodzących w zakres ich odpowiedzialności jako wyłącznych administratorów, w tym w przypadku wykonywania przez te osoby swoich praw, w razie potrzeby z wykorzystaniem środków technicznych udostępnionych przez Agencję zgodnie z ust. 1 lit. d) lub za pośrednictwem kanałów komunikacji określonych w ust. 3; |
e) | powiadamianie Agencji o wszelkich incydentach bezpieczeństwa, w tym o naruszeniach ochrony danych osobowych, które mogą zagrozić bezpieczeństwu, poufności, dostępności lub integralności danych osobowych przekazywanych lub przechowywanych w repozytorium; |
f) | powiadamianie odpowiednich właściwych organów nadzorczych oraz, w razie potrzeby, osób, których dane dotyczą, zgodnie z art. 33 i 34 rozporządzenia (UE) 2016/679 oraz art. 34 rozporządzenia (UE) 2018/1725, stosownie do przypadku, o wszelkich naruszeniach ochrony danych w związku danymi osobowymi przetwarzanymi w repozytorium. |
3. Każdy współadministrator wyznacza:
a) | punkt kontaktowy z funkcyjną skrzynką pocztową służącą komunikacji między nimi; |
b) | punkt kontaktowy w celu wspierania osób, których dane dotyczą, w wykonywaniu przysługujących im praw zgodnie z mającymi zastosowanie przepisami o ochronie danych. |
4. Jeżeli współadministrator otrzyma wniosek od osoby, której dane dotyczą, a która nie podlega zakresowi jego odpowiedzialności, niezwłocznie przekazuje taki wniosek odpowiedzialnemu współadministratorowi. Jeżeli zostaną o to poproszeni, współadministratorzy pomagają sobie nawzajem w rozpatrywaniu wniosków osób, których dane dotyczą, i udzielają sobie nawzajem odpowiedzi bez zbędnej zwłoki, przy czym nie później niż w terminie 15 dni od daty otrzymania prośby o udzielenie pomocy.
5. Jeżeli administrator, w celu wypełnienia swoich obowiązków określonych w art. 33 i 34 rozporządzenia (UE) 2016/679 lub art. 34 rozporządzenia (UE) 2018/1725, potrzebuje informacji od innego administratora, wysyła specjalny wniosek na adres funkcyjnej skrzynki pocztowej, o której mowa w ust. 3 lit. a). Administrator, który otrzymał taki wniosek, dokłada wszelkich starań, aby takie informacje przekazać.
Artykuł 15
Ograniczenia
1. Administratorzy mogą ograniczyć wykonywanie przez osoby, których dane dotyczą, przysługujących im praw wyłącznie w takim zakresie i tak długo, jak jest to absolutnie niezbędne do zapewnienia bezpieczeństwa lotnictwa cywilnego. Wykonywanie przez osoby, których dane dotyczą, przysługujących im praw może być ograniczone wyłącznie w następujących sytuacjach:
a) | w sytuacji trwających dochodzeń, inspekcji lub działań monitorujących, o których mowa w art. 75 ust. 2 lit. e) rozporządzenia (UE) 2018/1139, prowadzonych przez Agencję w ramach jej obowiązków lub przez właściwe organy zgodnie z prawem krajowym lub prawem Unii; |
b) | w sytuacji postępowań toczących się przed Trybunałem Sprawiedliwości Unii Europejskiej lub innym sądem właściwym na mocy prawa krajowego lub międzynarodowego. |
2. W przypadku trwających dochodzeń w sprawie bezpieczeństwa informatycznego mających bezpośredni lub pośredni wpływ na funkcjonowanie repozytorium, jeżeli administratorami są Komisja i Agencja, mogą one również ograniczyć wykonywanie przez osoby, których dane dotyczą, przysługujących im praw wyłącznie w takim zakresie i tak długo, jak jest to absolutnie niezbędne do zapewnienia bezpieczeństwa lotnictwa cywilnego.
3. Wszystkie ograniczenia podlegają ocenie konieczności i proporcjonalności oraz są ograniczone pod względem zakresu i czasu.
4. Osoba, której dane dotyczą i w przypadku której ograniczono wykonywanie przysługujących jej praw, jest informowana o przyczynach i zakresie ograniczenia.
Artykuł 16
Okres przechowywania danych osobowych
1. Uprawnieni użytkownicy:
a) | przechowują w repozytorium dane osobowe przez maksymalny okres wynoszący 10 lat od daty upływu ważności dokumentu lub od dnia, w którym utracił on ważność, w tym wszelkie dokumenty niezbędne do przeprowadzenia procedur, o których mowa w rozporządzeniu (UE) 2018/1139, chyba że w prawie krajowym wymaga się innego okresu; |
b) | usuwają dane osobowe z repozytorium niezwłocznie po upływie okresu przechowywania. |
2. W ramach repozytorium udostępnione są środki techniczne umożliwiające:
a) | zautomatyzowane usuwanie danych osobowych po upływie okresu przechowywania; |
b) | zautomatyzowaną pseudonimizację danych osobowych przechowywanych do celów archiwalnych lub umożliwiające inne rozwiązanie techniczne o równoważnym skutku. |
Artykuł 17
Przetwarzanie do celów archiwizacji i badań historycznych w interesie bezpieczeństwa lotniczego
1. Po upływie okresu przechowywania Agencja może przechowywać dane osobowe z repozytorium w odrębnym rejestrze do celów archiwizacji i badań historycznych.
2. Takie dane osobowe ograniczają się do tego, co jest absolutnie niezbędne do osiągnięcia celów archiwizacji i badań naukowych w interesie bezpieczeństwa lotniczego oraz zgodnie z zasadą minimalizacji danych określoną w art. 89 rozporządzenia (UE) 2016/679 i w art. 13 rozporządzenia (UE) 2018/1725.
3. Agencja opracowuje protokół dostępu do rejestru. Do rejestru stosuje się przepisy art. 4, 5 i 9-12.
ROZDZIAŁ V
PRZEPISY KOŃCOWE
Artykuł 18
Wejście w życie i stosowanie
1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
2. Rozdziały I i II stosuje się od dnia 1 kwietnia 2025 r.
3. Wymogi dotyczące obiektów informacji wydane po wejściu w życie niniejszego rozporządzenia mają zastosowanie:
a) | od dnia 1 stycznia 2027 r. w przypadku kategorii grupy A w załączniku I; |
b) | od dnia 1 stycznia 2028 r. w przypadku kategorii grupy B w załączniku I; |
c) | od dnia 1 stycznia 2029 r. w przypadku kategorii grupy C w załączniku I. |
4. Wymienione w załączniku I wymogi dotyczące obiektów informacji, które są ważne i zostały wydane przed wejściem w życie niniejszego rozporządzenia, stosuje się od dnia 1 stycznia 2029 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 12 października 2023 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 212 z 22.8.2018, s. 1.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(4) https://www.easa.europa.eu/document-library/opinions
(5) Rozporządzenie wykonawcze Komisji (UE) 2019/947 z dnia 24 maja 2019 r. w sprawie przepisów i procedur dotyczących eksploatacji bezzałogowych statków powietrznych (Dz.U. L 152 z 11.6.2019, s. 45).
(6) Rozporządzenie wykonawcze Komisji (UE) 2021/664 z dnia 22 kwietnia 2021 r. w sprawie ram regulacyjnych dotyczących U-space (Dz.U. L 139 z 23.4.2021, s. 161).
ZAŁĄCZNIK I
WYKAZ OBIEKTÓW INFORMACJI
Obiekt informacji | Grupy priorytetowe |
Licencje | |
Licencja pilota | A |
Potwierdzenie ważności licencji pilota | A |
Licencja kontrolera ruchu lotniczego | A |
Licencja na obsługę techniczną statku powietrznego | B |
Certyfikaty - Organizacje | |
Certyfikat instytucji zapewniającej ATM/ANS | B |
Certyfikat operatora lotniska | B |
Certyfikat przewoźnika lotniczego (AOC) | B |
Certyfikat wyposażenia lotniska | B |
Świadectwo zdatności do lotu (CofA) | B |
Certyfikat kwalifikacji szkoleniowych urządzeń symulacji lotu (FSTD) | C |
Certyfikat operatora lekkich systemów bezzałogowych statków powietrznych (certyfikat LUC) | A |
Certyfikat operatora systemów bezzałogowych statków powietrznych (SBSP) | C |
Certyfikat instytucji świadczących usługi U-space (USSP) | B |
Certyfikat instytucji świadczącej centralne usługi informacyjne | B |
Certyfikaty - Personel | |
Certyfikat szkolenia teoretycznego pilota bezzałogowego statku powietrznego | C |
Certyfikat egzaminatora | A |
Certyfikat instruktora | A |
Certyfikat centrum oceny biegłości językowej | C |
Certyfikaty - Wyroby/Wyposażenie | |
Certyfikat typu (TC) | B |
Uzupełniający certyfikat typu (STC) | B |
Ograniczony certyfikat typu (RTC) | B |
Arkusz danych certyfikatu typu | C |
Świadectwo zdatności w zakresie hałasu | C |
Ograniczone świadectwo zdatności w zakresie hałasu | C |
Poświadczenie przeglądu zdatności do lotu (ARC) | C |
Ograniczone świadectwo zdatności do lotu (RCofA) | C |
Zatwierdzenie poważnych/drobnych zmian | C |
Zatwierdzenie projektu poważnej/drobnej naprawy | C |
Certyfikat systemów ATM/ANS i części składowych ATM/ANS | B |
Certyfikaty - Orzeczenia Lekarskie | |
Orzeczenie lekarza orzecznika medycyny lotniczej | A |
Orzeczenie centrum medycyny lotniczej (AeMC) | A |
Orzeczenie lekarza orzecznika medycyny lotniczej dla kontrolerów ruchu lotniczego | A |
Orzeczenie lekarskie dla kontrolerów ruchu lotniczego | A |
Formularz wniosku o wydanie orzeczenia lekarskiego dla pilotów | A |
Formularze badań lekarskich dla pilotów i uzupełniające orzeczenia lekarskie | A |
Orzeczenie lekarskie dla pilotów | A |
Deklaracje | |
Deklaracja instytucji świadczącej służbę informacji powietrznej (FIS) | B |
Deklaracja instytucji zapewniającej służbę zarządzania płytą postojową | B |
Deklaracja podmiotu świadczącego usługi obsługi naziemnej | B |
Systemy ATM/ANS i części składowe ATM/ANS - deklaracja | B |
Systemy ATM/ANS i części składowe ATM/ANS - oświadczenie o zgodności | B |
Oświadczenie operatora jako dostawcy szkolenia technicznego - STS | C |
Deklaracje NCC i SPO operatorów statków powietrznych | C |
Oświadczenie o operacji w odniesieniu do systemu bezzałogowego statku powietrznego - STS | A |
Świadectwa Dopuszczenia i Raporty | |
Świadectwo dopuszczenia do pracy personelu pokładowego | C |
Raport medyczny dotyczący personelu pokładowego | C |
Zwolnienia | |
Czas zwolnienia (sumarycznie) powyżej 8 miesięcy - decyzja | B |
Czas zwolnienia (sumarycznie) powyżej 8 miesięcy - powiadomienie | B |
Czas zwolnienia (sumarycznie) powyżej 8 miesięcy - zalecenie | B |
Czas zwolnienia (sumarycznie) do 8 miesięcy - powiadomienie | A |
Zwolnienie z posiadania certyfikatu jako instytucja zapewniająca ATM/ANS - decyzja | C |
Zwolnienie z posiadania certyfikatu jako instytucja zapewniająca ATM/ANS - powiadomienie | C |
Zwolnienie z posiadania certyfikatu jako instytucja zapewniająca ATM/ANS | C |
Zatwierdzenia | |
Zezwolenie na lot - zatwierdzenie warunków lotu | A |
Zezwolenie na lot | A |
Zatwierdzenie sprawozdania rady kontroli obsługi technicznej (MRB) | C |
Egzaminy z wiedzy teoretycznej (ECQB) | C |
Zatwierdzenia organizacji kompleksowej zdatności do lotu (CAOA) - część CAO | B |
Zatwierdzenia organizacji zarządzania ciągłą zdatnością do lotu (CAMOA) | B |
Zatwierdzenia organizacji obsługowej (MOA) - część M podczęść F Formularz 3-MF EASA | B |
Zatwierdzenia organizacji obsługowej (MOA) - część 145 | B |
Zatwierdzenia organizacji prowadzących szkolenia w zakresie obsługi technicznej (MTOA) - część 147 | B |
Zezwolenie na produkcję bez zatwierdzenia organizacji produkującej | C |
Zatwierdzenia organizacji produkującej (POA) | B |
Alternatywne procedury zatwierdzania organizacji projektującej (APDOA) | C |
Zatwierdzenia organizacji projektującej (DOA) | B |
Zatwierdzenia projektowania lub produkcji urządzeń ATM/ANS | B |
Organizacje szkolące kontrolerów ruchu lotniczego | B |
Zatwierdzenie organizacji szkolącej personel pokładowy (CCTO) | C |
Zatwierdzenie organizacji szkolącej pilotów | C |
Zadeklarowana organizacja szkoląca w odniesieniu do pilotów | C |
Zatwierdzenie organizacji szkolącej w zakresie inspekcji na płycie (RITO) | B |
Decyzje | |
Możliwość zdecydowania się na stosowanie przepisów szczegółowych rozporządzenia podstawowego do wymienionych rodzajów działalności - decyzja | C |
Unieważnianie i uznawanie certyfikatów lub deklaracji | C |
Decyzja o zwolnieniu ze stosowania przepisów rozporządzenia podstawowego w odniesieniu do lotnisk | C |
Wspólna odpowiedzialność za zadania związane z operatorami statków powietrznych zaangażowanymi w zarobkowy transport lotniczy | C |
Wniosek dotyczący zmiany aktu wykonawczego/aktu delegowanego | C |
Akredytacja jako kwalifikowana jednostka | C |
Wniosek dotyczący indywidualnego programu określania czasu lotu (IFTSS) | C |
Powiadomienia o systemach ograniczania czasu lotu (FTL) | C |
Potwierdzenie przez operatora dopuszczalności zaktualizowanych środków zaradczych oraz zgodności w odniesieniu do warunków lokalnych w przypadku operacji transgranicznych | C |
Rejestracja operatora systemów bezzałogowych statków powietrznych | A |
Decyzja państwa członkowskiego w sprawie wyznaczenia wyłącznej instytucji świadczącej centralne usługi informacyjne | B |
Środki | |
Natychmiastowe środki wdrożone w odpowiedzi na poważny problem związany z bezpieczeństwem (decyzja) | B |
Natychmiastowe środki wdrożone w odpowiedzi na poważny problem związany z bezpieczeństwem (zalecenie) | B |
Natychmiastowe środki wdrożone w odpowiedzi na poważny problem związany z bezpieczeństwem (powiadomienie) | B |
Biuletyny informacyjne na temat stref konfliktu (CZIB) - środki | B |
Możliwość zdecydowania się (art. 2 ust. 6) na stosowanie przepisów szczegółowych rozporządzenia podstawowego do wymienionych rodzajów działalności (powiadomienie) | C |
Możliwość zdecydowania się na stosowanie przepisów szczegółowych rozporządzenia podstawowego do wymienionych rodzajów działalności - zalecenie | C |
Możliwość zdecydowania się na wyłączenie kategorii statków powietrznych ze stosowania przepisów szczegółowych rozporządzenia podstawowego | C |
Inne | |
Przewoźnik lotniczy - specyfikacje operacyjne | C |
Zezwolenie dla operatora z państwa trzeciego (TCO) | B |
Zarobkowe operacje specjalistyczne wysokiego ryzyka - zezwolenie | B |
Rejestracja certyfikowanego urządzenia systemu bezzałogowego statku powietrznego | A |
Autoryzacja Europejskiej Normy Technicznej (ETSOA) | C |
Odstępstwo od ETSO | C |
Wniosek dotyczący zmiany aktu wykonawczego/aktu delegowanego - powiadomienie | B |
Wniosek dotyczący zmiany aktu wykonawczego/aktu delegowanego - zalecenie | B |
Wykaz państw członkowskich i organizacji, które przekazały obowiązki, przeniosły zadanie (zgodnie z art. 64 i 65), oraz właściwy organ odpowiedzialny po przeniesieniu | C |
Dyrektywy zdatności do lotu (AD), dyrektywy w sprawie bezpieczeństwa, biuletyny informacyjne dotyczące bezpieczeństwa (SIB) | C |
Projekt zaleceń dotyczących odpowiedzi na pisma ICAO skierowane do państw | C |
Lista kontrolna dotycząca zgodności z międzynarodowymi normami i zalecanymi metodami postępowania ICAO (SARP) | C |
Zalecenia dotyczące odpowiedzi na pisma ICAO skierowane do państw | C |
Wnioski w sprawie alternatywnych sposobów spełnienia wymagań | C |
ZAŁĄCZNIK II
KLASYFIKACJA INFORMACJI
Szczegółowe definicje oznaczeń zgodnie z art. 7 ust. 2
a) | PRYWATNOŚĆ ocenia się zgodnie z poniższymi kategoriami:
|
b) | POUFNOŚĆ klasyfikuje się zgodnie z poniższymi poziomami:
|
c) | INTEGRALNOŚĆ klasyfikuje się zgodnie z poniższymi poziomami:
|
d) | DOSTĘPNOŚĆ klasyfikuje się zgodnie z poniższymi poziomami:
|
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00