(EU) 2023/2117Prováděcí nařízení Komise (EU) 2023/2117 ze dne 12. října 2023, kterým se stanoví nezbytná pravidla a podrobné požadavky pro fungování a správu databáze informací podle nařízení Evropského parlamentu a Rady (EU) 2018/1139
| Publikováno: | Úř. věst. L 2117, 13.10.2023 | Druh předpisu: | Prováděcí nařízení |
| Přijato: | 12. října 2023 | Autor předpisu: | Evropská komise |
| Platnost od: | 2. listopadu 2023 | Nabývá účinnosti: | 1. dubna 2025 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
|
Úřední věstník |
CS Série L |
|
2023/2117 |
13.10.2023 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2023/2117
ze dne 12. října 2023,
kterým se stanoví nezbytná pravidla a podrobné požadavky pro fungování a správu databáze informací podle nařízení Evropského parlamentu a Rady (EU) 2018/1139
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2018/1139 ze dne 4. července 2018 o společných pravidlech v oblasti civilního letectví a o zřízení Agentury Evropské unie pro bezpečnost letectví, kterým se mění nařízení (ES) č. 2111/2005, (ES) č. 1008/2008, (EU) č. 996/2010, (EU) č. 376/2014 a směrnice Evropského parlamentu a Rady 2014/30/EU a 2014/53/EU a kterým se zrušuje nařízení Evropského parlamentu a Rady (ES) č. 552/2004 a (ES) č. 216/2008 a nařízení Rady (EHS) č. 3922/91 (1), a zejména na čl. 74 odst. 8 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Podle článku 74 nařízení (EU) 2018/1139 mají být informace související s civilním letectvím uchovávány v elektronické databázi informací nezbytných k zajištění účinné spolupráce mezi agenturou a příslušnými vnitrostátními úřady při výkonu úkolů souvisejících s osvědčováním, dozorem a vynucováním podle uvedeného nařízení, kterou zřídí a spravuje Agentura Evropské unie pro bezpečnost letectví (dále jen „agentura“). |
|
(2) |
Protože je důležité, aby se na vývoji a správě databáze ze strany agentury podílela Komise a příslušné vnitrostátní orgány, mělo by toto nařízení stanovit vhodný mechanismus konzultací s cílem zajistit, aby agentura před přijetím rozhodnutí týkajících se databáze konzultovala s členskými státy a Komisí. |
|
(3) |
V zájmu zajištění účinného využívání databáze by její struktura měla zahrnovat centrální databázi, komunikační infrastrukturu a nezbytné rozhraní pro poskytování informací uchovávaných v databázi, jejich vyhledávání a přístup k nim. Aby se usnadnila spolupráce mezi subjekty využívajícími databázi, mělo by existovat jednotné rozhraní umožňující uživatelům přímo vyhledávat v databázi a jednotné rozhraní pro příslušné vnitrostátní orgány. |
|
(4) |
Databáze by měla prostřednictvím vhodných funkčních specifikací týkajících se rozhraní, bezpečnosti, sítě a informací o konfiguraci aplikací usnadnit integraci příslušných orgánů do databáze a jejich komunikaci s databází. |
|
(5) |
Agentura by měla zajistit udržování řádných provozních podmínek databáze, aby se zabránilo technickým selháním a byla zajištěna kontinuita provozu databáze a správa údajů v ní uchovávaných. |
|
(6) |
Předávání a výměna informací prostřednictvím databáze by měly probíhat na základě společně dohodnutých informačních formátů navržených agenturou tak, aby komunikující subjekty chápaly vyměňované informace stejným způsobem. |
|
(7) |
Díky pravidelným aktualizacím informací uchovávaných v databázi by měla být možná lepší výměna informací. V tomto ohledu by agentura a příslušné vnitrostátní orgány měly vypracovat metodiku pro pravidelné aktualizace informací uchovávaných v databázi. |
|
(8) |
Toto nařízení by mělo rovněž stanovit požadavky na klasifikaci informací tak, aby se s informacemi uchovávanými v databázi nakládalo v souladu s parametry ochrany soukromí, důvěrnosti, integrity a dostupnosti. Při každé změně v používání údajů by tato klasifikace informací měla být přehodnocena, aby se zajistila její aktuálnost. |
|
(9) |
Je důležité určit, které zúčastněné strany mohou dostávat informace uchovávané v databázi, a stanovit podrobná pravidla pro vyřizování jejich žádostí o přístup. Toto nařízení by proto mělo stanovit nezbytné podmínky poskytování informací zúčastněným stranám. Mělo by se také zajistit, aby byly informace, které zúčastněné strany obdrží, spravovány důvěrným způsobem. |
|
(10) |
Aby byla zajištěna integrita údajů a bezpečnost informací, měl by systém sledovatelnosti informací uchovávaných v databázi zaručit ochranu před neoprávněným přístupem k nim a umožnit monitorování operací zpracovávání informací, včetně osobních údajů. |
|
(11) |
Pracovníci oprávněných uživatelů, kteří potřebují přístup do databáze, by k němu měli získat oprávnění od své organizace na základě doložených postupů. Pracovníkům leteckých zdravotních středisek by měly oprávnění udělit příslušné vnitrostátní orgány. |
|
(12) |
V rámci politik řízení bezpečnosti by měly být vypracovány požadavky na ochranu příslušné infrastruktury a údajů. Zejména by měla být vypracována opatření pro řízení bezpečnosti a kontinuitu provozu a plány obnovy provozu po havárii. Oprávnění uživatelé by měli zajistit zavedení nezbytných bezpečnostních opatření a za tímto účelem spolupracovat. |
|
(13) |
Osobní údaje by měly být zpracovávány pouze pro účely zajištění účinné spolupráce mezi agenturou a příslušnými vnitrostátními orgány ohledně plnění jejich úkolů souvisejících s osvědčováním, dozorem a vynucováním. Toto nařízení by mělo stanovit podrobná pravidla pro ochranu osobních údajů uchovávaných v databázi a vyměňovaných jejím prostřednictvím. Toto zpracování musí být v souladu s nařízeními Evropského parlamentu a Rady (EU) 2016/679 (2) a (EU) 2018/1725 (3) a v zájmu zajištění ochrany údajů při něm musí být objasněny povinnosti příslušných určených subjektů. |
|
(14) |
Je nezbytné identifikovat příslušné povinnosti subjektů, které osobní údaje v databázi zpracovávají, včetně vkládání osobních údajů do databáze a jejich získávání z ní, a tyto povinnosti jim přidělit. Nařízení (EU) 2018/1139 stanoví, že agentura ve spolupráci s Komisí a příslušnými vnitrostátními úřady zřídí a spravuje databázi informací nezbytných k zajištění účinné spolupráce mezi agenturou a příslušnými vnitrostátními orgány. Zejména musí spolupracovat v zájmu zajištění řízení bezpečnosti databáze. Měli by proto být společnými správci pro zpracovávání osobních údajů za účelem správy databáze. Je tudíž nezbytné vymezit povinnosti těchto společných správců a jejich konkrétní povinnosti vůči subjektům údajů. |
|
(15) |
Jednotlivé příslušné vnitrostátní orgány, agentura a Komise by měly být výlučnými správci operací zpracování údajů, které jsou prováděny v rámci svých vlastních systémů, a to jakožto oprávnění uživatelé. Operace zpracování údajů by měly být vykonávány v souladu s nařízeními (EU) 2016/679 a (EU) 2018/1725. Vzhledem k tomu, že údaje vyměňované v databázi pocházejí od jednotlivých správců, tito správci by měli agentuře nahlásit jakékoli porušení zabezpečení osobních údajů ve svém systému, které by mohlo ohrozit bezpečnost, důvěrnost, dostupnost nebo integritu osobních údajů zpracovávaných v databázi. |
|
(16) |
Měla by být stanovena povinnost vzájemně si hlásit narušení bezpečnosti, včetně porušení zabezpečení osobních údajů, aby mohli společní správci co nejdříve identifikovat bezpečnostní incidenty a porušení zabezpečení údajů. Nezbytné oznámení těchto porušení by měli příslušným způsobem zajistit jednotliví správci. |
|
(17) |
V případě potřeby a za určitých stanovených podmínek může být výkon práv subjektu údajů omezen. Tato omezení by měla být přiměřená a měla by být omezena co do rozsahu a doby trvání. Subjektu údajů by mělo být dovoleno uplatnit své právo na účinnou obhajobu a soudní ochranu. |
|
(18) |
V zájmu zajištění bezpečnosti letectví může být nezbytné, aby měl příslušný úřad přístup k předchozím záznamům, včetně záznamů obsahujících osobní údaje. Jde zejména o přístup k lékařským údajům, které odůvodňují předchozí období pracovní neschopnosti nebo ukládají omezení. Proto – a aniž jsou dotčeny kratší doby stanovené ve vnitrostátních právních předpisech – by se mělo stanovením maximální doby uchovávání údajů v délce 10 let od data skončení platnosti dokladu (např. osvědčení zdravotní způsobilosti, lékařské zprávy, průkazy způsobilosti), včetně veškerých dokumentů nezbytných pro postupy uvedené v nařízení (EU) 2018/1139, zajistit, aby byly tyto údaje oprávněným uživatelům i nadále dostupné. |
|
(19) |
Osobní údaje v databázi jsou významné informace, které by se měly uchovávat pro účely archivace v zájmu bezpečnosti letectví a pro účely historického výzkumu. Po uplynutí doby uchovávání nebo případně kratší doby, kterou stanoví vnitrostátní právní předpisy, by měly být osobní údaje z databáze okamžitě vymazány. Pro účely archivace ve veřejném zájmu bezpečnosti letectví a pro účely historického výzkumu mohou být osobní údaje uchovávány mimo databázi. |
|
(20) |
Aby bylo zajištěno řádné uplatňování tohoto nařízení, měl by být před tím, než se toto nařízení začne používat, členským státům a dotčeným subjektům ponechán dostatečný časový prostor k přizpůsobení jejich postupů novému regulačnímu rámci. Některé požadavky přílohy I by proto měly být v závislosti na kategorii informačního objektu a datu vydání použitelné k pozdějšímu datu. |
|
(21) |
V souladu s čl. 75 odst. 2 písm. b) a čl. 76 odst. 1 nařízení (EU) 2018/1139 agentura vypracovala návrh prováděcího aktu týkajícího se fungování a správy databáze informací podle nařízení (EU) 2018/1139 a předložila jej Komisi spolu se stanoviskem č. 04/2022 (4). |
|
(22) |
Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 42 odst. 1 nařízení (EU) 2018/1725 a vydal stanovisko dne 29. března 2023. |
|
(23) |
Opatření stanovená v tomto nařízení jsou v souladu se stanoviskem Výboru pro uplatňování společných bezpečnostních pravidel v oblasti civilního letectví, |
PŘIJALA TOTO NAŘÍZENÍ:
KAPITOLA I
OBECNÁ USTANOVENÍ
Článek 1
Předmět
Toto nařízení stanoví pravidla a postupy pro fungování a správu databáze informací nezbytných k zajištění účinné spolupráce mezi agenturou a příslušnými vnitrostátními orgány při výkonu jejich úkolů souvisejících s osvědčováním, dozorem a vynucováním podle nařízení (EU) 2018/1139.
Článek 2
Definice
1. Pro účely tohoto nařízení se použijí definice uvedené v nařízeních (EU) 2018/1139, (EU) 2016/679, (EU) 2018/1725 a prováděcích nařízeních Komise (EU) 2019/947 (5) a (EU) 2021/664 (6).
2. Použijí se rovněž tyto definice:
|
a) |
„oprávněnými uživateli“ se rozumí Komise, agentura, příslušné vnitrostátní orgány a jakýkoli příslušný orgán členského státu pověřený vyšetřováním nehod a incidentů v civilním letectví, jak je stanoveno v čl. 74 odst. 6 první větě nařízení (EU) 2018/1139; |
|
b) |
„rozhraním“ se rozumí bod, v němž se stýkají a působí na sebe nebo spolu komunikují vzájemně nezávislé a často nesouvisející systémy; |
|
c) |
„oprávněnými pracovníky“ se rozumí pracovníci oprávněných uživatelů, kteří získali přístup do databáze; |
|
d) |
„kategorií informačního objektu“ se rozumí typ informací spadajících do oblasti působnosti čl. 74 odst. 1 nařízení (EU) 2018/1139, k nimž mají mít oprávnění uživatelé přístup a které si mají vyměňovat; |
|
e) |
„informačním objektem“ se rozumí jednotlivě vyměňovaná informace, která musí vždy odpovídat určité kategorii informačního objektu a být v souladu s jejím informačním formátem; |
|
f) |
„informačním formátem“ se rozumí předem definovaná struktura kategorie informačního objektu tvořená schématem polí, která odpovídají konkrétním typům obsahu v rámci každé kategorie informačního objektu, a ze slovníků sestávajících z omezených souborů přípustných hodnot přiřazených každému poli; |
|
g) |
„zúčastněnou stranou“ se rozumí veřejné orgány, orgánů, institucí a jiných subjektů Evropské unie a veřejné orgány členských států, fyzické a právnické osoby, na které se vztahuje některý informační objekt vymezený v příloze I tohoto nařízení, a kvalifikované subjekty akreditované v souladu s článkem 69 nařízení (EU) 2018/1139. |
KAPITOLA II
ZŘÍZENÍ, SPRÁVA A ÚDRŽBA DATABÁZE
Článek 3
Zřízení databáze
1. Databáze se skládá z rozhraní pro uchovávání údajů, rozhraní pro výměnu údajů a rozhraní pro přístup uživatelů.
2. Rozhraní pro uchovávání údajů uvedené v odstavci 1 obsahuje:
|
a) |
centrální databázi obsahující informace uvedené v čl. 74 odst. 1 nařízení (EU) 2018/1139, která zahrnuje stávající i nové informace, a |
|
b) |
historii změn provedených v těchto informacích a údaj o jejich aktuálním/archivovaném stavu. |
3. Rozhraní pro výměnu údajů uvedené v odstavci 1 obsahuje:
|
a) |
komunikační infrastrukturu, která poskytuje zabezpečená aplikační programovací rozhraní (API) pro poskytování, změny, vyhledávání/čtení a archivování informací mezi systémy oprávněných uživatelů a databází, a |
|
b) |
pravidla pro ověřování kvality informací, která zajišťují konzistentnost, integritu a přesnost uchovávaných informací. |
4. Rozhraní pro přístup uživatelů uvedené v odstavci 1 musí umožňovat zabezpečený online přístup k uchovávaným informacím pro účely vyhledávání a čtení. Rozhraní pro přístup uživatelů je k dispozici pouze oprávněným pracovníkům.
5. Agentura vypracuje nezbytnou dokumentaci na podporu integrace oprávněných uživatelů do databáze. Tato dokumentace sestává:
|
a) |
ze standardů API a mechanismů výměny informací; |
|
b) |
z informací o zabezpečení, síti a konfiguraci aplikací nezbytných pro komunikaci s databází; |
|
c) |
z pravidel stanovících platnou strukturu a obsah informací vyměňovaných s databází. |
6. Agentura rovněž zajistí testovací prostředí, v němž mohou oprávnění uživatelé testovat funkčnost a výkonnost rozhraní pro výměnu informací mezi svými systémy a databází.
Článek 4
Správa databáze
1. Agentura odpovídá za provozní řízení databáze a uchovává informace v databázi bezpečným způsobem.
2. Oprávnění uživatelé předávají informace do databáze a vyměňují si je prostřednictvím rozhraní a zajišťují, aby existovalo zabezpečené online propojení mezi jejich systémem (systémy) a databází.
3. Před přijetím jakéhokoli rozhodnutí, které se týká provozního řízení databáze, nebo před jeho zveřejněním konzultuje agentura s Komisí a příslušnými vnitrostátními orgány.
4. Oprávnění pracovníci vnitrostátních leteckých lékařů a leteckých zdravotních středisek předávají informace do databáze a vyměňují si informace v databázi prostřednictvím svých příslušných vnitrostátních orgánů v souladu s čl. 10 odst. 4 tohoto nařízení.
Článek 5
Údržba databáze
1. Agentura vede databázi a zajišťuje její řádné fungování, pokud jde o ochranu soukromí, důvěrnost, integritu a dostupnost.
2. Agentura databázi a údaje v ní uložené systematicky zálohuje.
KAPITOLA III
PRAVIDLA TÝKAJÍCÍ SE INFORMACÍ UCHOVÁVANÝCH V DATABÁZI
Článek 6
Formáty a standardy informací
1. Oprávnění uživatelé informace předávají, pravidelně je aktualizují a vyměňují si je prostřednictvím databáze na základě společně dohodnutých informačních formátů navržených agenturou.
2. Informační formáty jsou standardizovány podle jednotlivých kategorií informací. Oprávnění uživatelé předávají do databáze informační objekty pouze v informačním formátu specifickém pro danou kategorii informací.
3. Seznam kategorií informačních objektů je uveden v příloze I.
Článek 7
Klasifikace informací
1. Agentura ve spolupráci s Komisí a příslušnými vnitrostátními orgány klasifikuje kategorie informačních objektů podle těchto označení:
|
a) |
ochrana soukromí: neosobní údaje, osobní údaje necitlivé povahy nebo citlivé osobní údaje; |
|
b) |
důvěrnost: žádný dopad, omezený dopad, významný dopad, katastrofický dopad; |
|
c) |
integrita: žádný dopad, omezený dopad, významný dopad, katastrofický dopad; |
|
d) |
dostupnost: žádný dopad, omezený dopad, významný dopad, katastrofický dopad. |
2. Podrobné definice označení uvedených v odstavci 1 jsou stanoveny v příloze II.
3. Vždy, když to agentura považuje za nezbytné, přehodnotí ve spolupráci s Komisí a příslušnými vnitrostátními orgány klasifikaci informací, aby zajistila, že je s ohledem na změny ve využívání informací stále vyhovující.
Článek 8
Pravidla pro poskytování informací
1. S výhradou specifických podmínek použití stanovených v tomto článku může agentura zúčastněné straně na její žádost poskytnout informace obsažené v databázi.
2. Žádost o poskytnutí informací obsažených v databázi se podává formou a způsobem, které stanoví agentura.
3. Po obdržení žádosti agentura ověří:
|
a) |
zda žádost podala zúčastněná strana a |
|
b) |
zda zúčastněná strana prokázala, že požadované informace jsou nezbytně nutné pro její vlastní činnost. |
4. Agentura posoudí, zda je žádost oprávněná, a v případě, že jsou podmínky stanovené v odstavci 5 splněny, poskytne zúčastněné straně požadované informace.
5. Agentura poskytne zúčastněné straně požadované informace pouze za těchto podmínek:
|
a) |
zúčastněná strana nezíská přístup k celému obsahu databáze; |
|
b) |
dané informace jsou nezbytně nutné pro vlastní činnost zúčastněné strany; |
|
c) |
nejsou poskytnuty žádné osobní údaje, ledaže se tyto údaje týkají samotné zúčastněné strany nebo je poskytnutí nezbytně nutné pro výkon činnosti zúčastněné strany. |
6. Agentura zpřístupní oprávněným uživatelům aktualizovaný seznam žádostí, které obdržela, a kroků, které provedla.
7. Zúčastněná strana:
|
a) |
použije informace pouze pro účely uvedené ve formuláři žádosti; |
|
b) |
nezveřejní obdržené informace bez svolení oprávněných uživatelů; |
|
c) |
přijme nezbytná opatření k zajištění důvěrnosti obdržených informací. |
Článek 9
Vedení protokolů o operacích zpracování údajů
1. Agentura zajistí, aby byly všechny operace zpracování údajů zaprotokolovány. V protokolech musí být uvedeny tyto informace:
|
a) |
účel žádosti o přístup do databáze; |
|
b) |
identifikační údaje oprávněného uživatele, který údaje získává; |
|
c) |
datum a přesný čas operací zpracování údajů; |
|
d) |
identifikační údaje oprávněného pracovníka, který provádí vyhledávání. |
2. Agentura používá protokoly o operacích zpracování údajů pouze pro účely monitorování zákonnosti přístupu k informacím a zajištění integrity a bezpečnosti údajů. Protokoly musí obsahovat pouze údaje, které jsou pro tento účel nezbytně nutné, v souladu se zásadou minimalizace údajů stanovenou v článku 89 nařízení (EU) 2016/679 a článku 13 nařízení (EU) 2018/1725. Po skončení postupu monitorování nebo nejpozději po jednom roce se protokoly vymažou.
3. Komisi a příslušným vnitrostátním orgánům je na požádání udělen přístup k protokolům za účelem posouzení zákonnosti přístupu k informacím, monitorování zákonnosti operací zpracování údajů a zajištění integrity a bezpečnosti údajů.
Článek 10
Přístup do databáze
1. Oprávnění uživatelé zajistí, aby do databáze měli přístup pouze oprávnění pracovníci.
2. Oprávnění uživatelé zajistí, aby jejich pracovníci získali přístup k informacím na základě označení ochrany soukromí a důvěrnosti dané kategorie informačního objektu v souladu s článkem 7.
3. Oprávnění uživatelé vypracují a vedou:
|
a) |
seznam oprávněných pracovníků; |
|
b) |
postupy týkající se přístupu do databáze; tyto postupy musí být v souladu s právními požadavky pro přístup k informacím a jejich zpracování, které jsou stanoveny v právních předpisech Unie a vnitrostátních právních předpisech. Musí v nich být zdokumentovány podmínky pro přístup oprávněných pracovníků do databáze. |
4. Vnitrostátní letečtí lékaři a letecká zdravotní střediska zajistí, aby do databáze měli přístup pouze pracovníci, kteří získali oprávnění od příslušného vnitrostátního orgánu.
Článek 11
Řízení bezpečnosti databáze
1. Agentura zajistí ochranu infrastruktury databáze a informací v ní uložených a vypracuje:
|
a) |
plán řízení bezpečnosti; |
|
b) |
plán kontinuity provozu; |
|
c) |
plán obnovy provozu po havárii. |
2. Agentura zabrání neoprávněnému zpracování informací a jakémukoli neoprávněnému čtení, kopírování, pozměňování, odstranění nebo výmazu informací obsažených v databázi nebo během jejich poskytování do databáze nebo z ní nebo během jejich přenosu, a to zejména prostřednictvím vhodných šifrovacích technik.
3. Agentura zajistí, aby osoby oprávněné k přístupu do databáze měly přístup pouze k informacím, na které se vztahuje jejich oprávnění k přístupu, a pouze s pomocí individuálních identifikátorů uživatele a chráněných režimů přístupu k informacím.
4. Oprávnění uživatelé řídí bezpečnost svých informací před přenosem do databáze a během něj a chrání svou infrastrukturu tím, že zajistí:
|
a) |
vytvoření rozhraní mezi svými systémy a databází; |
|
b) |
provoz a údržby těchto rozhraní; |
|
c) |
řádné vyškolení oprávněných pracovníků v oblasti bezpečnosti informací, platných právních předpisů v oblasti ochrany údajů a základních práv před tím, než jim je povoleno zpracovávat informace uchovávané v databázi. |
5. Oprávnění uživatelé musí v zájmu zajištění řízení bezpečnosti databáze spolupracovat.
KAPITOLA IV
OCHRANA OSOBNÍCH ÚDAJŮ
Článek 12
Zpracování osobních údajů uchovávaných v databázi
1. Osobní údaje uchovávané v databázi se zpracovávají pouze za účelem zajištění spolupráce mezi oprávněnými uživateli, která je nezbytná pro výkon jejich úkolů v oblasti osvědčování, dozoru a vynucování. Zpracování je omezeno na rozsah nezbytný pro výkon jejich úkolů a na to, co je nezbytně nutné a přiměřené sledovaným cílům.
2. Přístup k osobním údajům a jejich zpracování probíhá v souladu s technickými specifikacemi databáze.
3. Při určování prostředků pro zpracování i při samotném zpracování se zohlední povinnosti ochrany údajů již na úrovni návrhu a na úrovni standardního nastavení.
4. Agentura provádí pravidelné přezkumy, aby zajistila účinnost všech zavedených záruk ochrany údajů.
Článek 13
Společná správa osobních údajů zpracovávaných v databázi
1. Společnými správci osobních údajů uchovávaných v databázi jsou oprávnění uživatelé.
2. Každý společný správce odpovídá za splnění kritérií pro klasifikaci informací u každého informačního objektu, který se zpracovává v databázi.
Článek 14
Rozdělení povinností mezi společné správce
1. Agentura odpovídá za:
|
a) |
zřízení, provoz a správu databáze; |
|
b) |
nepřetržité řízení databáze, zejména přístupových práv a bezpečnosti a důvěrnosti osobních údajů zpracovávaných v databázi v souladu s články 4, 5, 9 a 12; |
|
c) |
nahlašování veškerých případů porušení zabezpečení osobních údajů uložených v databázi oprávněným uživatelům, evropskému inspektorovi ochrany údajů a v nezbytných případech subjektům údajů v souladu s článkem 34 nařízení (EU) 2018/1725; |
|
d) |
vymezení a zavedení technických prostředků umožňujících subjektům údajů vykonávat jejich práva v souladu s nařízením (EU) 2018/1725. |
2. Příslušné vnitrostátní orgány a Komise odpovídají za:
|
a) |
zpracování osobních údajů v databázi v souladu s rozhraním pro uchovávání dat, rozhraním pro výměnu dat a rozhraním pro přístup uživatelů uvedenými v článku 3 a s bezpečnostními požadavky stanovenými v čl. 12 odst. 4; |
|
b) |
zajištění bezpečnosti veškerého zpracování osobních údajů mimo databázi, pokud jsou tyto údaje zpracovávány pro účely zpracování prostřednictvím databáze nebo v souvislosti s ním; |
|
c) |
určení oprávněných pracovníků, kterým bude umožněn přístup do databáze v souladu s článkem 11, a oznámení jejich jmen agentuře; |
|
d) |
působení jako kontaktní místo pro subjekty údajů, které spadají do jejich odpovědnosti jakožto výlučných správců, a to i při výkonu práv těchto subjektů údajů, přičemž v nezbytných případech využívají technické prostředky poskytnuté agenturou v souladu s bodem 1 písm. d) nebo prostřednictvím komunikačních kanálů určených v bodě 3; |
|
e) |
nahlášení veškerých bezpečnostních incidentů, které mohou ohrozit bezpečnost, důvěrnost, dostupnost nebo integritu osobních údajů předávaných prostřednictvím databáze a/nebo v ní uchovávaných, včetně porušení zabezpečení osobních údajů, agentuře; |
|
f) |
nahlášení veškerých porušení zabezpečení osobních údajů zpracovávaných v databázi příslušným dozorovým úřadům a v příslušných případech i subjektům údajů v souladu s články 33 a 34 nařízení (EU) 2016/679 a případně článkem 34 nařízení (EU) 2018/1725. |
3. Každý společný správce určí:
|
a) |
kontaktní místo s vyhrazenou e-mailovou schránkou pro vzájemnou komunikaci; |
|
b) |
kontaktní místo na podporu subjektů údajů při výkonu jejich práv v souladu s platnými právními předpisy o ochraně údajů. |
4. Když společný správce obdrží žádost od subjektu údajů, který nespadá do jeho odpovědnosti, neprodleně ji předá odpovědnému společnému správci. Společní správci si na požádání poskytují vzájemnou součinnost při vyřizování žádostí subjektů údajů a vzájemně si odpovídají neprodleně, nejpozději však do 15 dní od data obdržení žádosti o součinnost.
5. Pokud správce ke splnění svých povinností stanovených v článcích 33 a 34 nařízení (EU) 2016/679 nebo článku 34 nařízení (EU) 2018/1725 potřebuje informace od jiného správce, zašle zvláštní žádost do vyhrazené e-mailové schránky uvedené v bodě 3 písm. a). Dožádaný správce vynaloží veškeré úsilí, aby tyto informace poskytl.
Článek 15
Omezení
1. Správci mohou omezit výkon práv subjektů údajů pouze v rozsahu a po dobu, jež jsou nezbytně nutné k zajištění bezpečnosti civilního letectví. Výkon práv subjektů údajů může být omezen pouze v těchto situacích:
|
a) |
probíhající šetření, kontroly nebo monitorovací činnosti uvedené v čl. 75 odst. 2 písm. e) nařízení (EU) 2018/1139 a prováděné agenturou v rámci jejích povinností nebo příslušnými úřady v souladu s vnitrostátním právem nebo právem Unie; |
|
b) |
probíhající řízení před Soudním dvorem Evropské unie nebo jiným příslušným soudem podle vnitrostátního nebo mezinárodního práva. |
2. Pokud jsou správci Komise a agentura, mohou v případě probíhajících šetření v oblasti bezpečnosti IT, která mají přímý nebo nepřímý dopad na fungování databáze, omezit výkon práv subjektů údajů pouze v rozsahu a po dobu, jež jsou nezbytně nutné k zajištění bezpečnosti civilního letectví.
3. U všech omezení musí být provedeno posouzení nezbytnosti a přiměřenosti a musí být omezena co do rozsahu a doby trvání.
4. Subjekt údajů, jehož výkon práv je omezen, musí být o důvodech a rozsahu tohoto omezení informován.
Článek 16
Doba uchovávání osobních údajů
1. Oprávnění uživatelé:
|
a) |
uchovávají osobní údaje v databázi po dobu nejvýše 10 let od data skončení platnosti dokladu nebo od data, kdy pozbyl platnosti, což se týká i veškerých dokumentů nezbytných pro postupy uvedené v nařízení (EU) 2018/1139, nevyžadují-li vnitrostátní právní předpisy odlišnou dobu; |
|
b) |
vymažou osobní údaje z databáze, jakmile uplyne doba uchovávání. |
2. Databáze musí mít technické prostředky umožňující:
|
a) |
automatizovaný výmaz osobních údajů po uplynutí doby uchovávání; |
|
b) |
automatizovanou pseudonymizaci osobních údajů uchovávaných pro účely archivace nebo jiná technická řešení s rovnocenným účinkem. |
Článek 17
Zpracování pro účely archivace a historického výzkumu v zájmu bezpečnosti letectví
1. Po uplynutí doby uchovávání může agentura osobní údaje z databáze uchovávat v samostatném registru pro účely archivace a historického výzkumu.
2. Tyto osobní údaje musí být omezeny na to, co je nezbytně nutné pro účely archivace a historického výzkumu v zájmu bezpečnosti letectví, a musí být v souladu se zásadou minimalizace údajů stanovenou v článku 89 nařízení (EU) 2016/679 a článku 13 nařízení (EU) 2018/1725.
3. Agentura vypracuje přístupový protokol k registru. Na tento registr se použijí články 4 a 5 a články 9 až 12.
KAPITOLA V
ZÁVĚREČNÁ USTANOVENÍ
Článek 18
Vstup v platnost a použitelnost
1. Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
2. Kapitoly I a II se použijí ode dne 1. dubna 2025.
3. Požadavky týkající se informačních objektů vydaných po vstupu tohoto nařízení v platnost se použijí:
|
a) |
ode dne 1. ledna 2027 pro kategorii A přílohy I; |
|
b) |
ode dne 1. ledna 2028 pro kategorii B přílohy I; |
|
c) |
ode dne 1. ledna 2029 pro kategorii C přílohy I. |
4. Požadavky týkající se informačních objektů, které jsou platné a byly vydány před vstupem tohoto nařízení v platnost a které jsou uvedeny v příloze I, se použijí ode dne 1. ledna 2029.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 12. října 2023.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 212, 22.8.2018, s. 1.
(2) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).
(3) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
(4) https://www.easa.europa.eu/document-library/opinions
(5) Prováděcí nařízení Komise (EU) 2019/947 ze dne 24. května 2019 o pravidlech a postupech pro provoz bezpilotních letadel (Úř. věst. L 152, 11.6.2019, s. 45).
(6) Prováděcí nařízení Komise (EU) 2021/664 ze dne 22. dubna 2021 o regulačním rámci pro vzdušný prostor U-space (Úř. věst. L 139, 23.4.2021, s. 161).
PŘÍLOHA I
SEZNAM INFORMAČNÍCH OBJEKTŮ
|
Informační objekt |
Prioritní skupiny |
|
Průkazy způsobilosti |
|
|
Průkaz způsobilosti pilota |
A |
|
Validace průkazu způsobilosti pilota |
A |
|
Průkaz způsobilosti řídícího letového provozu |
A |
|
Průkaz způsobilosti k údržbě letadel |
B |
|
Osvědčení – Organizace |
|
|
Osvědčení poskytovatele služeb ATM/ANS |
B |
|
Osvědčení provozovatele letiště |
B |
|
Osvědčení leteckého provozovatele (AOC) |
B |
|
Osvědčení pro vybavení letiště |
B |
|
Osvědčení letové způsobilosti (CofA) |
B |
|
Osvědčení způsobilosti zařízení pro výcvik pomocí letové simulace (FSTD) |
C |
|
Osvědčení provozovatele lehkých UAS (LUC) |
A |
|
Osvědčení provozovatele UAS |
C |
|
Osvědčení poskytovatele služeb U-space (USSP) |
B |
|
Osvědčení poskytovatele společných informačních služeb |
B |
|
Osvědčení – Personál |
|
|
Osvědčení o teoretickém výcviku dálkově řídícího pilota |
C |
|
Osvědčení examinátora |
A |
|
Osvědčení instruktora |
A |
|
Osvědčení centra pro hodnocení jazykových znalostí |
C |
|
Osvědčení – Výrobky/Vybavení |
|
|
Typové osvědčení (TC) |
B |
|
Doplňkové typové osvědčení (STC) |
B |
|
Typové osvědčení pro zvláštní účely (RTC) |
B |
|
Příloha k typovému osvědčení |
C |
|
Osvědčení hlukové způsobilosti |
C |
|
Osvědčení hlukové způsobilosti pro zvláštní účely |
C |
|
Osvědčení kontroly letové způsobilosti (ARC) |
C |
|
Osvědčení letové způsobilosti pro zvláštní účely (RCoA) |
C |
|
Schválení významných/nevýznamných změn |
C |
|
Schválení návrhu významné/nevýznamné opravy |
C |
|
Osvědčení systémů ATM/ANS a složek ATM/ANS |
B |
|
Osvědčení – ZdravotnÍ způsobilost |
|
|
Osvědčení leteckého lékaře |
A |
|
Osvědčení leteckého zdravotního střediska (AeMC) |
A |
|
Osvědčení leteckého lékaře pro řídícího letového provozu (ATCO) |
A |
|
Osvědčení zdravotní způsobilosti řídícího letového provozu |
A |
|
Formulář žádosti o osvědčení zdravotní způsobilosti pilota |
A |
|
Formuláře pro lékařské prohlídky pilotů a podpůrná osvědčení zdravotní způsobilosti |
A |
|
Osvědčení zdravotní způsobilosti pilota |
A |
|
Prohlášení |
|
|
Prohlášení poskytovatele letových informačních služeb (FIS) |
B |
|
Prohlášení poskytovatele služeb řízení provozu na odbavovací ploše |
B |
|
Prohlášení poskytovatele služeb pozemního odbavení |
B |
|
Systémy ATM/ANS a složky ATM/ANS – prohlášení |
B |
|
Systémy ATM/ANS a složky ATM/ANS – prohlášení o shodě |
B |
|
Prohlášení provozovatele jakožto poskytovatele technického výcviku v STS |
C |
|
Prohlášení NCC a SPO provozovatelů letadel |
C |
|
Prohlášení o provozu UAS v STS |
A |
|
Osvědčení a zprávy |
|
|
Osvědčení palubních průvodčích |
C |
|
Lékařská zpráva palubních průvodčích |
C |
|
Výjimky |
|
|
Doba trvání (kumulativní) výjimky delší než 8 měsíců – rozhodnutí |
B |
|
Doba trvání (kumulativní) výjimky delší než 8 měsíců – oznámení |
B |
|
Doba trvání (kumulativní) výjimky delší než 8 měsíců – doporučení |
B |
|
Doba trvání (kumulativní) výjimky nejvýše 8 měsíců – oznámení |
A |
|
Výjimka z povinnosti poskytovatele být držitelem osvědčení ATM/ANS – rozhodnutí |
C |
|
Výjimka z povinnosti poskytovatele být držitelem osvědčení ATM/ANS – oznámení |
C |
|
Výjimka z povinnosti poskytovatele být držitelem osvědčení ATM/ANS |
C |
|
Povolení/oprávnění/schválení |
|
|
Povolení k letu – schválení letových podmínek |
A |
|
Povolení k letu |
A |
|
Schválení zprávy výboru pro přezkoumání systému údržby (MRB) |
C |
|
Zkoušky z teoretických znalostí (ECQB) |
C |
|
Oprávnění organizace letové způsobilosti s kombinovanými právy (CAOA) – část CAO |
B |
|
Oprávnění organizace k řízení zachování letové způsobilosti (CAMOA) |
B |
|
Oprávnění organizace k údržbě (MOA) – část M hlava F Formulář EASA 3-MF |
B |
|
Oprávnění organizace k údržbě (MOA) – část 145 |
B |
|
Oprávnění organizace pro výcvik údržby (MTOA) – část 147 |
B |
|
Schvalovací dopis k výrobě bez oprávnění organizace k výrobě |
C |
|
Oprávnění organizace k výrobě (POA) |
B |
|
Alternativní postup pro oprávnění organizace k projektování (APDOA) |
C |
|
Oprávnění organizace k projektování (DOA) |
B |
|
Oprávnění k projektování nebo výrobě vybavení ATM/ANS |
B |
|
Organizace pro výcvik řídících letového provozu (ATCO) |
B |
|
Oprávnění organizace pro výcvik palubních průvodčích (CCTO) |
C |
|
Oprávnění organizace pro výcvik (ATO) (piloti) |
C |
|
Ohlášená organizace pro výcvik (DTO) pilotů |
C |
|
Oprávnění organizace pro výcvik provádění prohlídek na odbavovací ploše (RITO) |
B |
|
Rozhodnutí |
|
|
Účast na uplatňování zvláštních ustanovení základního nařízení u činností uvedených na seznamu – rozhodnutí |
C |
|
Zneplatnění a uznání osvědčení nebo prohlášení |
C |
|
Rozhodnutí o vynětí letiště z ustanovení základního nařízení |
C |
|
Společná odpovědnost za úkoly týkající se provozovatelů letadel zapojených do obchodní letecké dopravy |
C |
|
Návrh na změnu prováděcího aktu/aktu v přenesené pravomoci |
C |
|
Akreditace jako kvalifikovaný subjekt |
C |
|
Návrh individuálního plánu specifikací doby letu (IFTSS) |
C |
|
Oznámení režimů omezení doby letové služby (FTL) |
C |
|
Potvrzení provozovatele o přijatelnosti aktualizovaných zmírňujících opatření a dodržování místních podmínek v případě přeshraničních operací |
C |
|
Registrace provozovatele UAS |
A |
|
Rozhodnutí členského státu o určení jediného poskytovatele společných informačních služeb |
B |
|
Opatření |
|
|
Okamžité opatření přijaté v reakci na závažný bezpečnostní problém (rozhodnutí) |
B |
|
Okamžité opatření přijaté v reakci na závažný bezpečnostní problém (doporučení) |
B |
|
Okamžité opatření přijaté v reakci na závažný bezpečnostní problém (oznámení) |
B |
|
Informační bulletiny o konfliktních oblastech (CZIB) – opatření |
B |
|
Účast (dle čl. 2 odst. 6) na uplatňování zvláštních ustanovení základního nařízení u činností uvedených na seznamu (oznámení) |
C |
|
Účast na uplatňování zvláštních ustanovení základního nařízení u činností uvedených na seznamu (doporučení) |
C |
|
Neúčast – vynětí kategorií letadel z uplatňování zvláštních ustanovení základního nařízení |
C |
|
Ostatní |
|
|
Letecký provozovatel – provozní specifikace |
C |
|
Oprávnění provozovatele ze třetí země |
B |
|
Specializované obchodní operace s vysokým rizikem – oprávnění |
B |
|
Registrace certifikovaného zařízení UAS |
A |
|
Evropský technický normalizační příkaz (ETSOA) |
C |
|
Odchylka od ETSO |
C |
|
Návrh změny prováděcího aktu/aktu v přenesené pravomoci – oznámení |
B |
|
Návrh změny prováděcího aktu/aktu v přenesené pravomoci – doporučení |
B |
|
Seznam členských států a organizací, které přenesly odpovědnost, přerozdělily úkol (v souladu s články 64 a 65), a příslušný orgán odpovědný po přerozdělení |
C |
|
Příkazy k zachování letové způsobilosti (AD), příkazy k zajištění bezpečnosti, bezpečnostní informační bulletiny (SIB) |
C |
|
Návrhy doporučení pro odpověď na dopisy ICAO jednotlivým státům |
C |
|
Seznam pro kontrolu souladu se standardy a doporučenými postupy (SARP) ICAO |
C |
|
Doporučení pro odpověď na dopisy ICAO jednotlivým státům |
C |
|
Žádosti o alternativní způsoby průkazu |
C |
PŘÍLOHA II
KLASIFIKACE INFORMACÍ
Podrobné definice označení v souladu s čl. 7 odst. 2
|
a) |
OCHRANA SOUKROMÍ se hodnotí podle těchto kategorií:
|
|
b) |
DŮVĚRNOST se klasifikuje podle těchto úrovní:
|
|
c) |
INTEGRITA se klasifikuje podle těchto úrovní:
|
|
d) |
DOSTUPNOST se klasifikuje podle těchto úrovní:
|
ELI: http://data.europa.eu/eli/reg_impl/2023/2117/oj
ISSN 1977-0626 (electronic edition)