Rozporządzenie wykonawcze 2023/2117 ustanawiające zasady niezbędne do funkcjonowania repozytorium informacji i zarządzania nim oraz szczegółowe wymogi na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139

Dzienniki UE

Dz.U.UE.L.2023.2117

Akt obowiązujący
Wersja od: 13 października 2023 r.

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2023/2117
z dnia 12 października 2023 r.
ustanawiające zasady niezbędne do funkcjonowania repozytorium informacji i zarządzania nim oraz szczegółowe wymogi na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1139
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1139 z dnia 4 lipca 2018 r. w sprawie wspólnych zasad w dziedzinie lotnictwa cywilnego i utworzenia Agencji Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 2111/2005, (WE) nr 1008/2008, (UE) nr 996/2010, (UE) nr 376/2014 i dyrektywy Parlamentu Europejskiego i Rady 2014/30/UE i 2014/53/UE, a także uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 216/2008 i (WE) nr 552/2004 i rozporządzenie Rady (EWG) nr 3922/91 1 , w szczególności jego art. 74 ust. 8,

a także mając na uwadze, co następuje:

(1) Zgodnie z art. 74 rozporządzenia (UE) 2018/1139 informacje dotyczące lotnictwa cywilnego mają być przechowywane w ustanowionym i zarządzanym przez Agencję Unii Europejskiej ds. Bezpieczeństwa Lotniczego ("Agencja") elektronicznym repozytorium informacji niezbędnych do zapewnienia skutecznej współpracy między Agencją oraz właściwymi organami krajowymi w zakresie wykonywania ich zadań związanych z certyfikacją, nadzorem i egzekwowaniem przepisów wynikających z tego rozporządzenia.

(2) Ważne jest, aby Komisja i właściwe organy krajowe były zaangażowane w tworzenie repozytorium i zarządzanie nim przez Agencję, w związku z czym w niniejszym rozporządzeniu należy ustanowić odpowiedni mechanizm konsultacji w celu zapewnienia, aby Agencja konsultowała się z państwami członkowskimi i Komisją przed podjęciem decyzji dotyczących repozytorium.

(3) W celu zagwarantowania skutecznego korzystania z repozytorium jego struktura powinna zapewniać centralną bazę danych, infrastrukturę komunikacyjną i interfejs niezbędny do wydawania i przeszukiwania informacji przechowywanych w repozytorium oraz uzyskiwania dostępu do tych informacji. Aby ułatwić współpracę między podmiotami korzystającymi z repozytorium, powinien istnieć jeden interfejs bezpośrednich zapytań użytkowników do repozytorium oraz jeden interfejs dla właściwych organów krajowych.

(4) Repozytorium powinno ułatwiać integrację właściwych organów z repozytorium oraz komunikację z repozytorium za pomocą odpowiednich specyfikacji funkcjonalnych obejmujących informacje dotyczące interfejsu, bezpieczeństwa, sieci i konfiguracji aplikacji.

(5) Agencja powinna zapewnić, aby repozytorium było przechowywane w odpowiednich warunkach działania w celu uniknięcia awarii technicznych oraz zapewnienia ciągłości funkcjonowania repozytorium i zarządzania jego danymi.

(6) Informacje powinny być przekazywane do repozytorium i wymieniane za jego pośrednictwem z wykorzystaniem wspólnie uzgodnionych formatów informacji zaproponowanych przez Agencję, tak aby informacje będące przedmiotem wymiany były rozumiane w ten sam sposób przez poszczególne podmioty przekazujące informacje.

(7) Regularne aktualizacje informacji przechowywanych w repozytorium powinny przyczynić się do lepszej wymiany informacji. W związku z tym Agencja i właściwe organy krajowe powinny opracować metodykę regularnego aktualizowania informacji przechowywanych w repozytorium.

(8) W niniejszym rozporządzeniu należy również ustanowić wymogi dotyczące klasyfikacji informacji, tak aby informacje przechowywane w repozytorium były przetwarzane zgodnie z parametrami prywatności, poufności, integralności i dostępności. Należy dokonać ponownej oceny klasyfikacji informacji w każdym przypadku, gdy dojdzie do zmiany sposobu wykorzystania danych, aby zapewnić aktualność tej klasyfikacji.

(9) Ważne jest wskazanie zainteresowanych stron, które mogą otrzymywać informacje przechowywane w repozytorium, oraz określenie szczegółowych zasad rozpatrywania ich wniosków o dostęp. W tym celu w niniejszym rozporządzeniu należy określić warunki niezbędne do rozpowszechniania informacji wśród zainteresowanych stron. Należy również zapewnić, aby informacjami otrzymanymi przez zainteresowane strony zarządzano w sposób poufny.

(10) System identyfikowalności informacji przechowywanych w repozytorium powinien gwarantować ochronę przed nieuprawnionym dostępem do nich i umożliwiać monitorowanie operacji, w których przetwarzane są informacje, w tym dane osobowe, w celu zapewnienia integralności danych i bezpieczeństwa informacji.

(11) Personel upoważnionych użytkowników, który musi uzyskać dostęp do repozytorium, powinien być upoważniony przez odpowiednie organizacje zgodnie z udokumentowanymi procedurami. Odpowiednie właściwe organy krajowe powinny upoważnić personel centrów medycyny lotniczej.

(12) W ramach polityki zarządzania bezpieczeństwem należy opracować wymogi dotyczące ochrony odpowiedniej infrastruktury i danych. W szczególności należy opracować środki dotyczące zarządzania bezpieczeństwem, ciągłości działania i planów przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej. Uprawnieni użytkownicy powinni zapewnić wprowadzenie niezbędnych środków bezpieczeństwa i współpracę w tym zakresie.

(13) Dane osobowe powinny być przetwarzane wyłącznie w celu zapewnienia skutecznej współpracy między Agencją oraz właściwymi organami krajowymi dotyczącej wykonywania zadań związanych z certyfikacją, nadzorem i egzekwowaniem przepisów. W niniejszym rozporządzeniu należy określić szczegółowe ustalenia dotyczące ochrony danych osobowych przechowywanych w repozytorium i wymienianych za jego pośrednictwem. Takie przetwarzanie musi być zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 2  i (UE) 2018/1725 3  rozporządzeniem Parlamentu Europejskiego i Rady (UE); w jego ramach należy doprecyzować obowiązki odpowiednich podmiotów wyznaczonych do dopilnowania, aby zapewniono ochronę danych.

(14) Konieczne jest określenie i przydzielenie odpowiednich obowiązków podmiotów, które przetwarzają dane osobowe w repozytorium, w tym wprowadzanie i pobieranie danych osobowych z repozytorium. Rozporządzenie (UE) 2018/1139 stanowi, że Agencja tworzy, we współpracy z Komisją oraz właściwymi organami krajowymi, repozytorium informacji niezbędnych do zapewnienia skutecznej współpracy między Agencją oraz właściwymi organami krajowymi, a także zarządza tym repozytorium. W szczególności współpraca ta ma na celu zapewnienie zarządzania bezpieczeństwem repozytorium. W związku z tym powinni oni być współadministratorami do celów przetwarzania danych osobowych na potrzeby zarządzania repozytorium. Konieczne jest zatem określenie obowiązków współadministratorów i ich szczególnych obowiązków wobec osób, których dane dotyczą.

(15) Każdy właściwy organ krajowy, Agencja oraz Komisja powinni być wyłącznymi administratorami operacji przetwarzania danych przeprowadzanych w ich własnych systemach jako uprawnieni użytkownicy. Operacje przetwarzania danych powinny być przeprowadzane zgodnie z rozporządzeniami (UE) 2016/679 i (UE) 2018/1725. Ponieważ dane wymieniane w repozytorium pochodzą od każdego administratora, powinni oni powiadomić Agencję o każdym naruszeniu ochrony danych osobowych w ich systemie, które mogłoby zagrozić bezpieczeństwu, poufności, dostępności lub integralności danych osobowych przetwarzanych w repozytorium.

(16) Należy przewidzieć obowiązek wzajemnego zgłaszania naruszeń bezpieczeństwa, w tym naruszeń ochrony danych osobowych, aby umożliwić współadministratorom jak najszybsze wykrywanie incydentów bezpieczeństwa i naruszeń ochrony danych. Każdy administrator powinien odpowiednio zapewnić niezbędne zgłaszanie tych naruszeń.

(17) W razie konieczności wykonywanie przez osobę, której dane dotyczą, przysługujących jej praw może zostać ograniczone pod pewnymi określonymi warunkami. Ograniczenia takie powinny być proporcjonalne i określone pod względem zakresu i czasu. Osoba, której dane dotyczą, powinna mieć możliwość skorzystania z prawa do skutecznej obrony i środka ochrony prawnej przed sądem.

(18) W celu zapewnienia bezpieczeństwa lotniczego właściwy organ może potrzebować dostępu do poprzednich rejestrów, w tym do rejestrów zawierających dane osobowe. W szczególności może to dotyczyć dostępu do danych medycznych uzasadniających wcześniejsze okresy niezdolności do pracy lub nakładających ograniczenia. W związku z tym, bez uszczerbku dla krótszych okresów przewidzianych w prawie krajowym, maksymalny okres przechowywania wynoszący 10 lat od daty upływu ważności dokumentu (np. świadectw zdrowia, orzeczeń lekarskich, licencji), w tym wszelkich dokumentów niezbędnych do przeprowadzenia procedur, o których mowa w rozporządzeniu (UE) 2018/1139, powinien przyczynić się do tego, aby uprawnieni użytkownicy mogli w dalszym ciągu mieć dostęp do tych danych.

(19) Dane osobowe w repozytorium stanowią podstawowe informacje, które należy przechowywać do celów archiwizacji ze względu na bezpieczeństwo lotnicze i do celów badań historycznych. Po upływie okresu przechowywania lub krótszego okresu, który może być przewidziany w prawie krajowym, należy natychmiast usunąć dane osobowe z repozytorium. Dane osobowe można przechowywać poza repozytorium do celów archiwizacji w interesie publicznym, do celów bezpieczeństwa lotniczego i badań historycznych.

(20) Aby zapewnić właściwe stosowanie niniejszego rozporządzenia, państwa członkowskie i zainteresowane podmioty powinny otrzymać wystarczająco dużo czasu na dostosowanie swoich procedur do nowych ram regulacyjnych przed rozpoczęciem stosowania niniejszego rozporządzenia. W związku z tym niektóre wymogi określone w załączniku I powinny mieć zastosowanie w późniejszym terminie zgodnie z ich kategorią obiektów informacji i datą wydania.

(21) Agencja przygotowała projekt aktu wykonawczego dotyczącego funkcjonowania repozytorium informacji i zarządzania nim na podstawie rozporządzenia (UE) 2018/1139 i przedłożyła go Komisji wraz z opinią nr 04/2022 4  zgodnie z art. 75 ust. 2 lit. b) i art. 76 ust. 1 rozporządzenia (UE) 2018/1139.

(22) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 29 marca 2023 r.

(23) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ds. stosowania wspólnych zasad bezpieczeństwa w dziedzinie lotnictwa cywilnego,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ  I

PRZEPISY OGÓLNE

Artykuł  1

Przedmiot

W niniejszym rozporządzeniu ustanawia się zasady i procedury dotyczące funkcjonowania repozytorium informacji niezbędnych do zapewnienia skutecznej współpracy między Agencją oraz właściwymi organami krajowymi w zakresie wykonywania ich zadań związanych z certyfikacją, nadzorem i egzekwowaniem przepisów wynikających z rozporządzenia (UE) 2018/1139, oraz zarządzania tym repozytorium.

Artykuł  2

Definicje

1. 
Do celów niniejszego rozporządzenia stosuje się definicje określone w rozporządzeniach (UE) 2018/1139, (UE) 2016/679, (UE) 2018/1725 i rozporządzeniach wykonawczych Komisji (UE) 2019/947 5  i (UE) 2021/664 6 .
2. 
Stosuje się również następujące definicje:
a)
"uprawnieni użytkownicy" oznaczają Komisję, Agencję, właściwe organy krajowe oraz każdy właściwy organ państwa członkowskiego, któremu to organowi powierzono badanie wypadków i incydentów w lotnictwie cywilnym, jak określono w art. 74 ust. 6 zdanie pierwsze rozporządzenia (UE) 2018/1139;
b)
"interfejs" oznacza punkt, w którym niezależne i często niepowiązane systemy łączą się i działają lub komunikują się ze sobą;
c)
"upoważniony personel" oznacza personel uprawnionych użytkowników, który otrzymał dostęp do repozytorium;
d)
"kategoria obiektów informacji" oznacza rodzaj informacji wchodzących w zakres stosowania art. 74 ust. 1 rozporządzenia (UE) 2018/1139, którymi mają się wymieniać uprawnieni użytkownicy i do których mają oni dostęp;
e)
"obiekt informacji" oznacza indywidualnie wymienianą informację, która zawsze odpowiada kategorii obiektów informacji i musi być zgodna z jej formatem informacji;
f)
"format informacji" oznacza z góry określoną strukturę kategorii obiektów informacji składającą się ze schematu pól odpowiadających szczegółowym rodzajom treści w ramach każdej kategorii obiektów informacji i słowników sporządzonych z ograniczonych zestawów dopuszczalnych wartości powiązanych z każdym polem;
g)
"zainteresowana strona" oznacza organy publiczne instytucji, agencji i organów Unii Europejskiej oraz organy publiczne państw członkowskich, osoby fizyczne i prawne, które są objęte obiektem informacji zdefiniowanym w załączniku I do niniejszego rozporządzenia, oraz kwalifikowane jednostki akredytowane zgodnie z art. 69 rozporządzenia (UE) 2018/1139.

ROZDZIAŁ  II

UTWORZENIE REPOZYTORIUM, ZARZĄDZANIE NIM I JEGO UTRZYMANIE

Artykuł  3

Utworzenie repozytorium

1. 
Repozytorium składa się z interfejsów przechowywania, wymiany i dostępu użytkownika.
2. 
Interfejs przechowywania, o którym mowa w ust. 1, obejmuje:
a)
centralną bazę danych zawierającą informacje, o których mowa w art. 74 ust. 1 rozporządzenia (UE) 2018/1139, obejmującą zarówno informacje istniejące, jak i nowe; oraz
b)
historię zmian informacji oraz ich aktualny/zarchiwizowany status.
3. 
Interfejs wymiany, o którym mowa w ust. 1, obejmuje:
a)
infrastrukturę komunikacyjną, która zapewnia bezpieczne interfejsy programowania aplikacji (API) do celów wydawania, zmiany, przeszukiwania/odczytu i archiwizacji informacji między systemami uprawnionych użytkowników a repozytorium; oraz
b)
zasady weryfikacji jakości informacji zapewniające spójność, integralność i prawidłowość przechowywanych informacji.
4. 
Interfejs dostępu użytkownika, o którym mowa w ust. 1, zapewnia bezpieczny dostęp online umożliwiający przeszukiwanie i odczyt przechowywanych informacji. Interfejs dostępu użytkownika jest dostępny wyłącznie dla upoważnionego personelu.
5. 
Agencja opracowuje niezbędną dokumentację potwierdzającą integrację uprawnionych użytkowników z repozytorium. Dokumentacja ta obejmuje:
a)
normy API i mechanizmy wymiany;
b)
informacje dotyczące bezpieczeństwa, sieci i konfiguracji aplikacji wymagane do komunikacji z repozytorium;
c)
zasady określające ważną strukturę i treść informacji wymienianych z repozytorium.
6. 
Agencja zapewnia również środowisko testowe, w którym uprawnieni użytkownicy mogą przetestować funkcjonalność i wydajność interfejsu wymiany między ich systemami a repozytorium.
Artykuł  4

Zarządzanie repozytorium

1. 
Agencja odpowiada za zarządzanie operacyjne repozytorium i przechowuje w nim informacje w bezpieczny sposób.
2. 
Uprawnieni użytkownicy przekazują informacje do repozytorium i wymieniają się nimi w repozytorium za pośrednictwem interfejsów oraz zapewniają bezpieczne połączenie internetowe między ich systemem lub systemami a repozytorium.
3. 
Przed podjęciem jakiejkolwiek decyzji dotyczącej zarządzania operacyjnego repozytorium lub przed podaniem jej do wiadomości publicznej Agencja konsultuje się z Komisją i właściwymi organami krajowymi.
4. 
Upoważniony personel krajowych lekarzy orzeczników medycyny lotniczej i centrów medycyny lotniczej przekazuje i wymienia informacje z repozytorium za pośrednictwem właściwych organów krajowych zgodnie z art. 10 ust. 4 niniejszego rozporządzenia.
Artykuł  5

Utrzymanie repozytorium

1. 
Agencja utrzymuje repozytorium i zapewnia jego prawidłowe funkcjonowanie pod względem prywatności, poufności, integralności i dostępności.
2. 
Agencja systematycznie tworzy kopie zapasowe repozytorium i jego danych.

ROZDZIAŁ  III

PRZEPISY DOTYCZĄCE INFORMACJI PRZECHOWYWANYCH W REPOZYTORIUM

Artykuł  6

Formaty i standardy informacji

1. 
Uprawnieni użytkownicy przekazują, regularnie aktualizują i wymieniają informacje za pośrednictwem repozytorium w oparciu o wspólnie uzgodnione formaty informacji zaproponowane przez Agencję.
2. 
Formaty informacji są znormalizowane dla każdej kategorii informacji. Uprawnieni użytkownicy przekazują obiekty informacji do repozytorium wyłącznie w formacie informacji właściwym dla danej kategorii informacji.
3. 
Wykaz kategorii obiektów informacji określono w załączniku I.
Artykuł  7

Klasyfikacja informacji

1. 
Agencja, we współpracy z Komisją i właściwymi organami krajowymi, klasyfikuje kategorie obiektów informacji według następujących oznaczeń:
a)
prywatność: dane nieosobowe, niewrażliwe lub wrażliwe dane osobowe;
b)
poufność: brak wpływu, ograniczony, znaczący, katastrofalny;
c)
integralność: brak wpływu, ograniczony, znaczący, katastrofalny;
d)
dostępność: brak wpływu, ograniczony, znaczący, katastrofalny.
2. 
Szczegółowe definicje oznaczeń, o których mowa w ust. 1, zawarto w załączniku II.
3. 
Agencja, we współpracy z Komisją i właściwymi organami krajowymi, ilekroć uzna to za konieczne, dokonuje ponownej oceny klasyfikacji informacji, aby upewnić się, że jest ona nadal odpowiednia, uwzględniając zmiany sposobu wykorzystania informacji.
Artykuł  8

Ustalenia dotyczące rozpowszechniania informacji

1. 
Na wniosek zainteresowanej strony Agencja może przekazać tej zainteresowanej stronie informacje zawarte w repozytorium, z zastrzeżeniem szczególnych warunków wykorzystania określonych w niniejszym artykule.
2. 
Wniosek o rozpowszechnianie informacji zawartych w repozytorium składany jest w postaci i na zasadach ustanowionych przez Agencję.
3. 
Po otrzymaniu wniosku Agencja sprawdza, czy:
a)
wniosek został złożony przez zainteresowaną stronę; oraz
b)
zainteresowana strona wykazała, że żądane informacje są absolutnie niezbędne do przeprowadzenia przez zainteresowaną stronę jej własnych działań.
4. 
Agencja ocenia, czy wniosek jest uzasadniony, a jeżeli spełnione są warunki określone w ust. 5, przekazuje zainteresowanej stronie żądane informacje.
5. 
Agencja przekazuje żądane informacje zainteresowanej stronie wyłącznie na następujących warunkach:
a)
zainteresowana strona nie otrzymuje dostępu do całej zawartości repozytorium;
b)
informacje te są absolutnie niezbędne do przeprowadzenia przez zainteresowaną stronę jej własnych działań;
c)
żadne dane osobowe nie są rozpowszechniane, chyba że dane te dotyczą samej zainteresowanej strony lub jeżeli takie rozpowszechnianie jest absolutnie niezbędne do przeprowadzenia przez zainteresowaną stronę jej działań.
6. 
Agencja udostępnia uprawnionym użytkownikom zaktualizowany wykaz otrzymanych wniosków i działań podjętych przez Agencję.
7. 
Zainteresowana strona:
a)
wykorzystuje informacje wyłącznie do celów określonych w formularzu wniosku;
b)
nie ujawnia otrzymanych informacji bez zgody uprawnionych użytkowników;
c)
stosuje niezbędne środki w celu zapewnienia poufności otrzymanych informacji.
Artykuł  9

Rejestrowanie operacji przetwarzania danych

1. 
Agencja zapewnia rejestrowanie wszystkich operacji przetwarzania danych. Rejestry zawierają następujące informacje:
a)
cel wniosku o dostęp do repozytorium;
b)
dane identyfikacyjne uprawnionego użytkownika, który pobiera dane;
c)
datę i dokładną godzinę operacji przetwarzania danych;
d)
dane identyfikacyjne upoważnionego personelu przeprowadzającego wyszukiwanie.
2. 
Agencja wykorzystuje rejestry operacji przetwarzania danych wyłącznie w celu monitorowania zgodności z prawem dostępu do informacji oraz zapewnienia integralności i bezpieczeństwa danych. Rejestry zawierają dane, które są absolutnie niezbędne do tego celu, zgodnie z zasadą minimalizacji danych określoną w art. 89 rozporządzenia (UE) 2016/679 i art. 13 rozporządzenia (UE) 2018/1725. Rejestry są usuwane po zakończeniu procedury monitorowania lub najpóźniej po upływie jednego roku.
3. 
Komisji i właściwym organom krajowym udziela się na wniosek dostępu do rejestrów na potrzeby oceny zgodności z prawem dostępu do informacji, monitorowania zgodności operacji przetwarzania danych z prawem oraz zapewnienia integralności i bezpieczeństwa danych.
Artykuł  10

Dostęp do repozytorium

1. 
Uprawnieni użytkownicy zapewniają, aby dostęp do repozytorium miał wyłącznie upoważniony personel.
2. 
Uprawnieni użytkownicy zapewniają, aby ich personel otrzymał dostęp do informacji na podstawie oznaczeń prywatności i poufności kategorii obiektów informacji zgodnie z art. 7.
3. 
Uprawnieni użytkownicy sporządzają i utrzymują:
a)
wykaz upoważnionego personelu;
b)
procedury dotyczące dostępu do repozytorium; takie procedury muszą być zgodne z wymogami prawnymi mającymi zastosowanie do dostępu do informacji i ich przetwarzania, określonymi w prawie Unii i prawie krajowym. W ich ramach dokumentuje się warunki dostępu upoważnionego personelu do repozytorium.
4. 
Krajowi lekarze orzecznicy medycyny lotniczej i centra medycyny lotniczej zapewniają, aby dostęp do repozytorium miał wyłącznie personel upoważniony przez jego właściwy organ krajowy.
Artykuł  11

Zarządzanie bezpieczeństwem repozytorium

1. 
Agencja chroni infrastrukturę repozytorium i jego informacje oraz opracowuje:
a)
plan zarządzania bezpieczeństwem;
b)
plan ciągłości działania;
c)
plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej.
2. 
Agencja zapobiega nieuprawnionemu przetwarzaniu informacji oraz wszelkiemu nieuprawnionemu odczytywaniu, kopiowaniu, modyfikowaniu, usuwaniu lub kasowaniu informacji zawartych w repozytorium lub podczas ich rozpowszechniania do lub z repozytorium lub podczas przekazywania, w szczególności za pomocą odpowiednich technik szyfrowania.
3. 
Agencja zapewnia, aby osoby upoważnione do dostępu do repozytorium miały dostęp jedynie do informacji objętych udzielonym im uprawnieniem dostępu, wyłącznie za pomocą niepowtarzalnych identyfikatorów użytkownika oraz trybu poufnego dostępu.
4. 
Uprawnieni użytkownicy zarządzają bezpieczeństwem swoich informacji przed przekazaniem do repozytorium i w jego trakcie oraz chronią swoją infrastrukturę, zapewniając:
a)
utworzenie interfejsów między ich systemami a repozytorium;
b)
funkcjonowanie i obsługę interfejsów;
c)
aby upoważniony personel był odpowiednio przeszkolony w zakresie bezpieczeństwa informacji, obowiązujących przepisów w dziedzinie ochronie danych i praw podstawowych, zanim będzie mógł przetwarzać informacje przechowywane w repozytorium.
5. 
Uprawnieni użytkownicy współpracują w celu zapewnienia zarządzania bezpieczeństwem repozytorium.

ROZDZIAŁ  IV

OCHRONA DANYCH OSOBOWYCH

Artykuł  12

Przetwarzanie danych osobowych przechowywanych w repozytorium

1. 
Dane osobowe przechowywane w repozytorium są przetwarzane wyłącznie w celu zapewnienia współpracy między uprawnionymi użytkownikami niezbędnej do wykonywania ich zadań związanych z certyfikacją, nadzorem i egzekwowaniem przepisów. Przetwarzanie jest ograniczone do zakresu niezbędnego do wykonywania ich zadań oraz do tego, co jest absolutnie niezbędne i proporcjonalne do założonych celów.
2. 
Dostęp do danych osobowych i ich przetwarzanie odbywa się zgodnie ze specyfikacjami technicznymi repozytorium.
3. 
Obowiązki związane z ochroną danych w fazie projektowania oraz domyślną ochroną danych uwzględnia się zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.
4. 
Agencja przeprowadza regularne przeglądy w celu zapewnienia skuteczności wszystkich wdrożonych zabezpieczeń w zakresie ochrony danych.
Artykuł  13

Współadministrowanie danymi osobowymi przetwarzanymi w repozytorium

1. 
Współadministratorami danych osobowych przechowywanych w repozytorium są uprawnieni użytkownicy.
2. 
Każdy współadministrator jest odpowiedzialny za spełnienie kryteriów klasyfikacji informacji w odniesieniu do każdego obiektu informacji przetwarzanego w repozytorium.
Artykuł  14

Podział obowiązków między współadministratorów

1. 
Agencja jest odpowiedzialna za:
a)
ustanowienie i funkcjonowanie repozytorium oraz zarządzanie nim;
b)
dalsze zarządzanie repozytorium, w szczególności prawami dostępu oraz bezpieczeństwem i poufnością danych osobowych przetwarzanych w repozytorium zgodnie z art. 4, 5, 9 i 12;
c)
zgłaszanie wszelkich przypadków naruszenia ochrony danych osobowych w repozytorium uprawnionym użytkownikom, Europejskiemu Inspektorowi Ochrony Danych oraz, w razie potrzeby, osobom, których dane dotyczą, zgodnie z art. 34 rozporządzenia (UE) 2018/1725;
d)
określenie i wdrożenie środków technicznych umożliwiających osobom, których dane dotyczą, wykonywanie przysługujących im praw zgodnie z rozporządzeniem (UE) 2018/1725.
2. 
Właściwe organy krajowe i Komisja są odpowiedzialne za:
a)
przetwarzanie danych osobowych w repozytorium zgodnie z interfejsami przechowywania, wymiany i dostępu użytkownika, o których mowa w art. 3, oraz wymogami w zakresie bezpieczeństwa określonymi w art. 12 ust. 4;
b)
zapewnienie bezpieczeństwa wszelkiego przetwarzania danych osobowych poza repozytorium, gdy dane te są przetwarzane do celów przetwarzania za pośrednictwem repozytorium lub w związku z takim przetwarzaniem;
c)
wyznaczanie upoważnionego personelu, któremu udziela się dostępu do repozytorium zgodnie z art. 11, i informowanie o nim Agencji;
d)
pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, wchodzących w zakres ich odpowiedzialności jako wyłącznych administratorów, w tym w przypadku wykonywania przez te osoby swoich praw, w razie potrzeby z wykorzystaniem środków technicznych udostępnionych przez Agencję zgodnie z ust. 1 lit. d) lub za pośrednictwem kanałów komunikacji określonych w ust. 3;
e)
powiadamianie Agencji o wszelkich incydentach bezpieczeństwa, w tym o naruszeniach ochrony danych osobowych, które mogą zagrozić bezpieczeństwu, poufności, dostępności lub integralności danych osobowych przekazywanych lub przechowywanych w repozytorium;
f)
powiadamianie odpowiednich właściwych organów nadzorczych oraz, w razie potrzeby, osób, których dane dotyczą, zgodnie z art. 33 i 34 rozporządzenia (UE) 2016/679 oraz art. 34 rozporządzenia (UE) 2018/1725, stosownie do przypadku, o wszelkich naruszeniach ochrony danych w związku danymi osobowymi przetwarzanymi w repozytorium.
3. 
Każdy współadministrator wyznacza:
a)
punkt kontaktowy z funkcyjną skrzynką pocztową służącą komunikacji między nimi;
b)
punkt kontaktowy w celu wspierania osób, których dane dotyczą, w wykonywaniu przysługujących im praw zgodnie z mającymi zastosowanie przepisami o ochronie danych.
4. 
Jeżeli współadministrator otrzyma wniosek od osoby, której dane dotyczą, a która nie podlega zakresowi jego odpowiedzialności, niezwłocznie przekazuje taki wniosek odpowiedzialnemu współadministratorowi. Jeżeli zostaną o to poproszeni, współadministratorzy pomagają sobie nawzajem w rozpatrywaniu wniosków osób, których dane dotyczą, i udzielają sobie nawzajem odpowiedzi bez zbędnej zwłoki, przy czym nie później niż w terminie 15 dni od daty otrzymania prośby o udzielenie pomocy.
5. 
Jeżeli administrator, w celu wypełnienia swoich obowiązków określonych w art. 33 i 34 rozporządzenia (UE) 2016/679 lub art. 34 rozporządzenia (UE) 2018/1725, potrzebuje informacji od innego administratora, wysyła specjalny wniosek na adres funkcyjnej skrzynki pocztowej, o której mowa w ust. 3 lit. a). Administrator, który otrzymał taki wniosek, dokłada wszelkich starań, aby takie informacje przekazać.
Artykuł  15

Ograniczenia

1. 
Administratorzy mogą ograniczyć wykonywanie przez osoby, których dane dotyczą, przysługujących im praw wyłącznie w takim zakresie i tak długo, jak jest to absolutnie niezbędne do zapewnienia bezpieczeństwa lotnictwa cywilnego. Wykonywanie przez osoby, których dane dotyczą, przysługujących im praw może być ograniczone wyłącznie w następujących sytuacjach:
a)
w sytuacji trwających dochodzeń, inspekcji lub działań monitorujących, o których mowa w art. 75 ust. 2 lit. e) rozporządzenia (UE) 2018/1139, prowadzonych przez Agencję w ramach jej obowiązków lub przez właściwe organy zgodnie z prawem krajowym lub prawem Unii;
b)
w sytuacji postępowań toczących się przed Trybunałem Sprawiedliwości Unii Europejskiej lub innym sądem właściwym na mocy prawa krajowego lub międzynarodowego.
2. 
W przypadku trwających dochodzeń w sprawie bezpieczeństwa informatycznego mających bezpośredni lub pośredni wpływ na funkcjonowanie repozytorium, jeżeli administratorami są Komisja i Agencja, mogą one również ograniczyć wykonywanie przez osoby, których dane dotyczą, przysługujących im praw wyłącznie w takim zakresie i tak długo, jak jest to absolutnie niezbędne do zapewnienia bezpieczeństwa lotnictwa cywilnego.
3. 
Wszystkie ograniczenia podlegają ocenie konieczności i proporcjonalności oraz są ograniczone pod względem zakresu i czasu.
4. 
Osoba, której dane dotyczą i w przypadku której ograniczono wykonywanie przysługujących jej praw, jest informowana o przyczynach i zakresie ograniczenia.
Artykuł  16

Okres przechowywania danych osobowych

1. 
Uprawnieni użytkownicy:
a)
przechowują w repozytorium dane osobowe przez maksymalny okres wynoszący 10 lat od daty upływu ważności dokumentu lub od dnia, w którym utracił on ważność, w tym wszelkie dokumenty niezbędne do przeprowadzenia procedur, o których mowa w rozporządzeniu (UE) 2018/1139, chyba że w prawie krajowym wymaga się innego okresu;
b)
usuwają dane osobowe z repozytorium niezwłocznie po upływie okresu przechowywania.
2. 
W ramach repozytorium udostępnione są środki techniczne umożliwiające:
a)
zautomatyzowane usuwanie danych osobowych po upływie okresu przechowywania;
b)
zautomatyzowaną pseudonimizację danych osobowych przechowywanych do celów archiwalnych lub umożliwiające inne rozwiązanie techniczne o równoważnym skutku.
Artykuł  17

Przetwarzanie do celów archiwizacji i badań historycznych w interesie bezpieczeństwa lotniczego

1. 
Po upływie okresu przechowywania Agencja może przechowywać dane osobowe z repozytorium w odrębnym rejestrze do celów archiwizacji i badań historycznych.
2. 
Takie dane osobowe ograniczają się do tego, co jest absolutnie niezbędne do osiągnięcia celów archiwizacji i badań naukowych w interesie bezpieczeństwa lotniczego oraz zgodnie z zasadą minimalizacji danych określoną w art. 89 rozporządzenia (UE) 2016/679 i w art. 13 rozporządzenia (UE) 2018/1725.
3. 
Agencja opracowuje protokół dostępu do rejestru. Do rejestru stosuje się przepisy art. 4, 5 i 9-12.

ROZDZIAŁ  V

PRZEPISY KOŃCOWE

Artykuł  18

Wejście w życie i stosowanie

1. 
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
2. 
Rozdziały I i II stosuje się od dnia 1 kwietnia 2025 r.
3. 
Wymogi dotyczące obiektów informacji wydane po wejściu w życie niniejszego rozporządzenia mają zastosowanie:
a)
od dnia 1 stycznia 2027 r. w przypadku kategorii grupy A w załączniku I;
b)
od dnia 1 stycznia 2028 r. w przypadku kategorii grupy B w załączniku I;
c)
od dnia 1 stycznia 2029 r. w przypadku kategorii grupy C w załączniku I.
4. 
Wymienione w załączniku I wymogi dotyczące obiektów informacji, które są ważne i zostały wydane przed wejściem w życie niniejszego rozporządzenia, stosuje się od dnia 1 stycznia 2029 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 12 października 2023 r.

ZAŁĄCZNIKI

ZAŁĄCZNIK  I

WYKAZ OBIEKTÓW INFORMACJI

Obiekt informacjiGrupy priorytetowe
Licencje
Licencja pilotaA
Potwierdzenie ważności licencji pilotaA
Licencja kontrolera ruchu lotniczegoA
Licencja na obsługę techniczną statku powietrznegoB
Certyfikaty - Organizacje
Certyfikat instytucji zapewniającej ATM/ANSB
Certyfikat operatora lotniskaB
Certyfikat przewoźnika lotniczego (AOC)B
Certyfikat wyposażenia lotniskaB
Świadectwo zdatności do lotu (CofA)B
Certyfikat kwalifikacji szkoleniowych urządzeń symulacji lotu (FSTD)C
Certyfikat operatora lekkich systemów bezzałogowych statków powietrznych (certyfikat LUC)A
Certyfikat operatora systemów bezzałogowych statków powietrznych (SBSP)C
Certyfikat instytucji świadczących usługi U-space (USSP)B
Certyfikat instytucji świadczącej centralne usługi informacyjneB
Certyfikaty - Personel
Certyfikat szkolenia teoretycznego pilota bezzałogowego statku powietrznegoC
Certyfikat egzaminatoraA
Certyfikat instruktoraA
Certyfikat centrum oceny biegłości językowejC
Certyfikaty - Wyroby/Wyposażenie
Certyfikat typu (TC)B
Uzupełniający certyfikat typu (STC)B
Ograniczony certyfikat typu (RTC)B
Arkusz danych certyfikatu typuC
Świadectwo zdatności w zakresie hałasuC
Ograniczone świadectwo zdatności w zakresie hałasuC
Poświadczenie przeglądu zdatności do lotu (ARC)C
Ograniczone świadectwo zdatności do lotu (RCofA)C
Zatwierdzenie poważnych/drobnych zmianC
Zatwierdzenie projektu poważnej/drobnej naprawyC
Certyfikat systemów ATM/ANS i części składowych ATM/ANSB
Certyfikaty - Orzeczenia Lekarskie
Orzeczenie lekarza orzecznika medycyny lotniczejA
Orzeczenie centrum medycyny lotniczej (AeMC)A
Orzeczenie lekarza orzecznika medycyny lotniczej dla kontrolerów ruchu lotniczegoA
Orzeczenie lekarskie dla kontrolerów ruchu lotniczegoA
Formularz wniosku o wydanie orzeczenia lekarskiego dla pilotówA
Formularze badań lekarskich dla pilotów i uzupełniające orzeczenia lekarskieA
Orzeczenie lekarskie dla pilotówA
Deklaracje
Deklaracja instytucji świadczącej służbę informacji powietrznej (FIS)B
Deklaracja instytucji zapewniającej służbę zarządzania płytą postojowąB
Deklaracja podmiotu świadczącego usługi obsługi naziemnejB
Systemy ATM/ANS i części składowe ATM/ANS - deklaracjaB
Systemy ATM/ANS i części składowe ATM/ANS - oświadczenie o zgodnościB
Oświadczenie operatora jako dostawcy szkolenia technicznego - STSC
Deklaracje NCC i SPO operatorów statków powietrznychC
Oświadczenie o operacji w odniesieniu do systemu bezzałogowego statku powietrznego - STSA
Świadectwa Dopuszczenia i Raporty
Świadectwo dopuszczenia do pracy personelu pokładowegoC
Raport medyczny dotyczący personelu pokładowegoC
Zwolnienia
Czas zwolnienia (sumarycznie) powyżej 8 miesięcy - decyzjaB
Czas zwolnienia (sumarycznie) powyżej 8 miesięcy - powiadomienieB
Czas zwolnienia (sumarycznie) powyżej 8 miesięcy - zalecenieB
Czas zwolnienia (sumarycznie) do 8 miesięcy - powiadomienieA
Zwolnienie z posiadania certyfikatu jako instytucja zapewniająca ATM/ANS - decyzjaC
Zwolnienie z posiadania certyfikatu jako instytucja zapewniająca ATM/ANS - powiadomienieC
Zwolnienie z posiadania certyfikatu jako instytucja zapewniająca ATM/ANSC
Zatwierdzenia
Zezwolenie na lot - zatwierdzenie warunków lotuA
Zezwolenie na lotA
Zatwierdzenie sprawozdania rady kontroli obsługi technicznej (MRB)C
Egzaminy z wiedzy teoretycznej (ECQB)C
Zatwierdzenia organizacji kompleksowej zdatności do lotu (CAOA) - część CAOB
Zatwierdzenia organizacji zarządzania ciągłą zdatnością do lotu (CAMOA)B
Zatwierdzenia organizacji obsługowej (MOA) - część M podczęść F Formularz 3-MF EASAB
Zatwierdzenia organizacji obsługowej (MOA) - część 145B
Zatwierdzenia organizacji prowadzących szkolenia w zakresie obsługi technicznej (MTOA) - część 147B
Zezwolenie na produkcję bez zatwierdzenia organizacji produkującejC
Zatwierdzenia organizacji produkującej (POA)B
Alternatywne procedury zatwierdzania organizacji projektującej (APDOA)C
Zatwierdzenia organizacji projektującej (DOA)B
Zatwierdzenia projektowania lub produkcji urządzeń ATM/ANSB
Organizacje szkolące kontrolerów ruchu lotniczegoB
Zatwierdzenie organizacji szkolącej personel pokładowy (CCTO)C
Zatwierdzenie organizacji szkolącej pilotówC
Zadeklarowana organizacja szkoląca w odniesieniu do pilotówC
Zatwierdzenie organizacji szkolącej w zakresie inspekcji na płycie (RITO)B
Decyzje
Możliwość zdecydowania się na stosowanie przepisów szczegółowych rozporządzenia podstawowego do wymienionych rodzajów działalności - decyzjaC
Unieważnianie i uznawanie certyfikatów lub deklaracjiC
Decyzja o zwolnieniu ze stosowania przepisów rozporządzenia podstawowego w odniesieniu do lotniskC
Wspólna odpowiedzialność za zadania związane z operatorami statków powietrznych zaangażowanymi w zarobkowy transport lotniczyC
Wniosek dotyczący zmiany aktu wykonawczego/aktu delegowanegoC
Akredytacja jako kwalifikowana jednostkaC
Wniosek dotyczący indywidualnego programu określania czasu lotu (IFTSS)C
Powiadomienia o systemach ograniczania czasu lotu (FTL)C
Potwierdzenie przez operatora dopuszczalności zaktualizowanych środków zaradczych oraz zgodności w odniesieniu do warunków lokalnych w przypadku operacji transgranicznychC
Rejestracja operatora systemów bezzałogowych statków powietrznychA
Decyzja państwa członkowskiego w sprawie wyznaczenia wyłącznej instytucji świadczącej centralne usługi informacyjneB
Środki
Natychmiastowe środki wdrożone w odpowiedzi na poważny problem związany z bezpieczeństwem (decyzja)B
Natychmiastowe środki wdrożone w odpowiedzi na poważny problem związany z bezpieczeństwem (zalecenie)B
Natychmiastowe środki wdrożone w odpowiedzi na poważny problem związany z bezpieczeństwem (powiadomienie)B
Biuletyny informacyjne na temat stref konfliktu (CZIB) - środkiB
Możliwość zdecydowania się (art. 2 ust. 6) na stosowanie przepisów szczegółowych rozporządzenia podstawowego do wymienionych rodzajów działalności (powiadomienie)C
Możliwość zdecydowania się na stosowanie przepisów szczegółowych rozporządzenia podstawowego do wymienionych rodzajów działalności - zalecenieC
Możliwość zdecydowania się na wyłączenie kategorii statków powietrznych ze stosowania przepisów szczegółowych rozporządzenia podstawowegoC
Inne
Przewoźnik lotniczy - specyfikacje operacyjneC
Zezwolenie dla operatora z państwa trzeciego (TCO)B
Zarobkowe operacje specjalistyczne wysokiego ryzyka - zezwolenieB
Rejestracja certyfikowanego urządzenia systemu bezzałogowego statku powietrznegoA
Autoryzacja Europejskiej Normy Technicznej (ETSOA)C
Odstępstwo od ETSOC
Wniosek dotyczący zmiany aktu wykonawczego/aktu delegowanego - powiadomienieB
Wniosek dotyczący zmiany aktu wykonawczego/aktu delegowanego - zalecenieB
Wykaz państw członkowskich i organizacji, które przekazały obowiązki, przeniosły zadanie (zgodnie z art. 64 i 65), oraz właściwy organ odpowiedzialny po przeniesieniuC
Dyrektywy zdatności do lotu (AD), dyrektywy w sprawie bezpieczeństwa, biuletyny informacyjne dotyczące bezpieczeństwa (SIB)C
Projekt zaleceń dotyczących odpowiedzi na pisma ICAO skierowane do państwC
Lista kontrolna dotycząca zgodności z międzynarodowymi normami i zalecanymi metodami postępowania ICAO (SARP)C
Zalecenia dotyczące odpowiedzi na pisma ICAO skierowane do państwC
Wnioski w sprawie alternatywnych sposobów spełnienia wymagańC

ZAŁĄCZNIK  II

KLASYFIKACJA INFORMACJI

Szczegółowe definicje oznaczeń zgodnie z art. 7 ust. 2
a)
PRYWATNOŚĆ ocenia się zgodnie z poniższymi kategoriami:
IDNazwa wskaźnika oceny prywatnościOpis wskaźnika oceny prywatności
PRIV-2Wrażliwe dane osoboweDane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych; przetwarzanie danych genetycznych lub danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej; dane dotyczące zdrowia, seksualności lub orientacji seksualnejosoby fizycznej; dane dotyczące wyroków skazujących i czynów zabronionych.
PRIV-1Niewrażliwe dane osoboweWszelkie informacje o zidentyfikowanejlub możliwejdo zidentyfikowania osobie fizycznej("osoba, którejdane dotyczą"); możliwa do zidentyfikowania osoba to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie numeru identyfikacyjnego lub co najmniej jednego ze szczególnych czynników określających fizyczną, fizjologiczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby, o ile elementy te nie ujawniają aspektów w odniesieniu do osoby, której dane dotyczą, kwalifikujących się jako wrażliwe dane osobowe.
PRIV-0Dane nieosoboweInformacje, które nie dotyczą osoby fizycznej lub które nie prowadzą do identyfikacji osoby fizycznej, takie jak zanonimizowane dane osobowe.
b)
POUFNOŚĆ klasyfikuje się zgodnie z poniższymi poziomami:
IDNazwa poziomu klasyfikacjiOpis poziomu klasyfikacji
CONF-3Katastrofalny wpływInformacje, których nieuprawnione ujawnienie miałoby co najmniej jedną z następujących konsekwencji:

- wpływ finansowy w wysokości > 10 mln EUR;

- opiewające na wysoką kwotę roszczenia o odszkodowanie z tytułu odpowiedzialności/szkody zgłaszane przez uprawnionych użytkowników repozytorium lotniczego lub zainteresowane strony;

- znaczna niekorzystna sytuacja konkurencyjna dla uprawnionych użytkowników repozytorium lotniczego lub zainteresowanych stron;

- niemożność osiągnięcia wyznaczonych celów przez uprawnionych użytkowników repozytorium lotniczego;

- całkowita utrata zaufania zainteresowanych stron i opinii publicznej;

- całkowita utrata reputacji;

- kwestionowanie Agencji jako organizacji.

CONF-2Znaczący wpływInformacje, których nieuprawnione ujawnienie miałoby co najmniej jedną z następujących konsekwencji:

- wpływ finansowy w wysokości 1-10 mln EUR;

- opiewające na średnią kwotę roszczenia o odszkodowanie z tytułu odpowiedzialności/szkody zgłaszane przez uprawnionych użytkowników repozytorium lotniczego lub zainteresowane strony;

- w znacznym stopniu zniszczona reputacja w konkretnym obszarze działalności, przedstawienie w negatywnym świetle zarówno w prasie specjalistycznej, jak i ogólnej;

- utrata zaufania zainteresowanych stron w związku z konkretnym procesem biznesowym;

- naruszenie obowiązków regulacyjnych;

- naruszenie obowiązków prawnych;

- naruszenie wymogów umownych.

CONF-1Ograniczony wpływInformacje, których nieuprawnione ujawnienie miałoby co najmniej jedną z następujących konsekwencji:

- wpływ finansowy w wysokości < 1 mln EUR;

- opiewające na niską kwotę roszczenia o odszkodowanie z tytułu odpowiedzialności/szkody zgłaszane przez uprawnionych użytkowników repozytorium lotniczego lub zainteresowane strony;

- reputacja - w ograniczonym zakresie przedstawienie w negatywnym świetle w prasie specjalistycznej;

- utrata zaufania wewnętrznych zainteresowanych stron w związku z konkretnym procesem biznesowym.

CONF-0Brak wpływuInformacje, których nieuprawnione ujawnienie sprawiłoby, że reputacja uprawnionych użytkowników repozytorium lotniczego stałaby się niezgodna z pożądanym wizerunkiem, ale:

- brak przekazów medialnych - informacje są już dostępne publicznie;

- brak wpływu na zainteresowane strony;

- brak wpływu finansowego.

c)
INTEGRALNOŚĆ klasyfikuje się zgodnie z poniższymi poziomami:
IDNazwa poziomu integralnościOpis poziomu klasyfikacji
INTGR-3Katastrofalny wpływUszkodzenie lub naruszenie informacji należących do tej kategorii miałoby co najmniej jedną z następujących konsekwencji:

- strata finansowa w wysokości > 10 mln EUR;

- opiewające na wysoką kwotę roszczenia o odszkodowanie z tytułu odpowiedzialności/szkody zgłaszane przez uprawnionych użytkowników repozytorium lotniczego lub zainteresowane strony;

- znaczna niekorzystna sytuacja konkurencyjna dla uprawnionych użytkowników repozytorium lotniczego lub zainteresowanych stron; niemożność osiągnięcia wyznaczonych celów przez uprawnionych użytkowników repozytorium lotniczego;

- całkowita utrata zaufania zainteresowanych stron i opinii publicznej;

- całkowita utrata reputacji;

- kwestionowanie Agencji jako organizacji.

INTGR-2Znaczący wpływUszkodzenie lub naruszenie informacji należących do tej kategorii miałoby co najmniej jedną z następujących konsekwencji: - wpływ finansowy w wysokości 1-10 mln EUR;

- opiewające na średnią kwotę roszczenia o odszkodowanie z tytułu odpowiedzialności/szkody zgłaszane przez uprawnionych użytkowników repozytorium lotniczego lub zainteresowane strony;

- w znacznym stopniu zniszczona reputacja w konkretnym obszarze działalności, przedstawienie w negatywnym świetle zarówno w prasie specjalistycznej, jak i ogólnej;

- utrata zaufania zainteresowanych stron w związku z konkretnym procesem biznesowym;

- naruszenie obowiązków regulacyjnych;

- naruszenie obowiązków prawnych;

- naruszenie wymogów umownych.

INTGR-1Ograniczony wpływInformacje, których nieuprawnione ujawnienie miałoby co najmniej jedną z następujących konsekwencji:

- wpływ finansowy w wysokości < 1 mln EUR;

- opiewające na niską kwotę roszczenia o odszkodowanie z tytułu odpowiedzialności/szkody zgłaszane przez uprawnionych użytkowników repozytorium lotniczego lub zainteresowane strony;

- reputacja - w ograniczonym zakresie przedstawienie w negatywnym świetle w prasie specjalistycznej;

- utrata zaufania wewnętrznych zainteresowanych stron w związku z konkretnym procesem biznesowym.

INTGR-0Brak wpływuInformacje, których nieuprawnione ujawnienie sprawiłoby, że reputacja uprawnionych użytkowników repozytorium lotniczego stałaby się niezgodna z pożądanym wizerunkiem, ale:

- brak przekazów medialnych;

- informacje są już dostępne publicznie;

- brak wpływu na zainteresowane strony;

- brak wpływu finansowego.

d)
DOSTĘPNOŚĆ klasyfikuje się zgodnie z poniższymi poziomami:
IDNazwa poziomu dostępnościOpis poziomu klasyfikacji
AVAIL-3Katastrofalny wpływW przypadku zakłóceń dostęp do informacji należy przywrócić w ciągu maksymalnie 24 godzin (uwzględniając noce i weekendy).
AVAIL-2Znaczący wpływW przypadku zakłóceń dostęp do informacji należy przywrócić w ciągu maksymalnie 1 tygodnia kalendarzowego.
AVAIL-1Ograniczony wpływW przypadku zakłóceń dostęp do informacji należy przywrócić w ciągu maksymalnie 2 tygodni kalendarzowych.
AVAIL-0Brak wpływuW przypadku zakłóceń dostęp do informacji należy przywrócić w ciągu maksymalnie 1 miesiąca
1 Dz.U. L 212 z 22.8.2018, s. 1.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
5 Rozporządzenie wykonawcze Komisji (UE) 2019/947 z dnia 24 maja 2019 r. w sprawie przepisów i procedur dotyczących eksploatacji bezzałogowych statków powietrznych (Dz.U. L 152 z 11.6.2019, s. 45).
6 Rozporządzenie wykonawcze Komisji (UE) 2021/664 z dnia 22 kwietnia 2021 r. w sprawie ram regulacyjnych dotyczących U-space (Dz.U. L 139 z 23.4.2021, s. 161).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .