Kommissionens delegerade förordning (EU) 2020/473 av den 20 januari 2020 om komplettering av Europaparlamentets och rådets direktiv (EU) 2017/2397 vad gäller standarderna för databaser för unionsbevis för kvalifikationer, tjänstgöringsjournaler och loggböcker

1.4.2020

Europeiska unionens officiella tidning

L 100/1

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2020/473

av den 20 januari 2020

om komplettering av Europaparlamentets och rådets direktiv (EU) 2017/2397 vad gäller standarderna för databaser för unionsbevis för kvalifikationer, tjänstgöringsjournaler och loggböcker

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets direktiv (EU) 2017/2397 av den 12 december 2017 om erkännande av yrkeskvalifikationer för inlandssjöfart och om upphävande av rådets direktiv 91/672/EEG och 96/50/EG (1), särskilt artikel 25.2, och

av följande skäl:

(1)

För att främja rörlighet, säkerställa navigationssäkerhet och skydda människors hälsa och miljö, är det av största vikt att besättningsmedlemmar innehar bevis som styrker deras kvalifikationer. För att erhålla sådana bevis bör besättningsmedlemmarna registrera sin tjänstgöringstid med hjälp av giltiga uppgifter i besättningsmedlemmens tjänstgöringsjournal vilka kan kontrolleras mot uppgifter i loggböckerna för de fartyg på vilka besättningsmedlemmen har tjänstgjort.

(2)

För att genomföra direktiv (EU) 2017/2397 och förebygga bedrägeri bör de behöriga myndigheter som utfärdar bevis i enlighet med det direktivet säkerställa att besättningsmedlemmar endast innehar ett enda specifikt bevis vid en viss tidpunkt. Vid identifiering av en besättningsmedlem bör vederbörlig hänsyn tas till Europaparlamentets och rådets förordning (EU) nr 910/2014 (2).

(3)

För att bidra till en effektiv förvaltning av unionskvalifikationsbevis enligt artikel 25.1 i direktiv (EU) 2017/2397 bör medlemsstater som utfärdar bevis i enlighet med direktiv (EU) 2017/2397 upprätta register för registrering av data om unionskvalifikationsbevis, tjänstgöringsjournaler och loggböcker samt om handlingar som erkänns i enlighet med artikel 10.2 i direktiv (EU) 2017/2397.

(4)

För att underlätta medlemsstaternas och kommissionens ömsesidiga utbyte av uppgifter om genomförandet, tillämpningen och utvärderingen av direktiv (EU) 2017/2397, samt för att fullgöra statistiska syften, för att upprätthålla säkerheten och för att underlätta framförandet av fartyg, bör medlemsstaterna tillgängliggöra/inkludera data om dessa handlingar och deras status med hjälp av en databas som förvaltas av kommissionen.

(5)	För samma ändamål bör denna databas även ha till uppgift att ge information om handlingar som erkänts i enlighet med artikel 10.2 eller 10.3 i direktiv (EU) 2017/2397.

(6)

Det faktum att kvalifikationsbevis och tjänstgöringsjournaler innehas av besättningsmedlemmar medan loggboken är knuten till fartyget gör det nödvändigt att ha en separat förvaltning av dessa data inom två olika ramar. I detta sammanhang bör hänsyn tas till den europeiska databasen med uppgifter om fartygsskrov som upprättades genom Europaparlamentets och rådets direktiv (EU) 2016/1629 (3), vilken innehåller information om farkoster som framförs på inre vattenvägar som är tillgänglig att användas av behöriga myndigheter.

(7)

Vederbörlig hänsyn bör tas till relevanta specifikationer för datautbyte som fastställs i tillämplig unionslagstiftning, och till de principer och rekommendationer som anges i EU:s handlingsplan för e-förvaltning 2016–2020 (4) och i den europeiska interoperabilitetsramen (5). Vederbörlig omsorg bör också ägnas åt att i möjligaste mån se till att specifikationerna förblir teknikneutrala och öppna för innovativ teknik. Engångsprincipen och principen om interoperabilitet som standard bör tillämpas.

(8)

När de åtgärder som föreskrivs i denna delegerade förordning inbegriper behandling av personuppgifter, bör denna behandling ske i enlighet med EU-lagstiftningen om skydd av personuppgifter, särskilt Europaparlamentets och rådets förordning (EU) 2018/1725 (6) med avseende på behandling som utförs av Europeiska kommissionen och Europaparlamentets och rådets förordning (EU) 2016/679 (7) med avseende på behandling som utförs av medlemsstaternas behöriga myndigheter.

(9)

Medlemsstaterna, företrädda av relevanta behöriga myndigheter, fastställer ändamålen och medlen för behandlingen av personuppgifter i de nationella registren. Kommissionen är också personuppgiftsansvarig, genom att förvalta den databas som tillhandahåller lösningen för utbytet av uppgifter mellan medlemsstaterna. Medlemsstaterna är tillsammans med kommissionen gemensamt personuppgiftsansvariga för personuppgifter som behandlas i unionsdatabasen. Genom artikel 26 i förordning (EU) 2016/679 och artikel 28 i förordning (EU) 2018/1725 åläggs de gemensamt personuppgiftsansvariga att, under öppna former, fastställa sitt respektive ansvar för fullgörandet av skyldigheterna enligt dessa förordningar. I denna förordning fastställs dessa respektive ansvarsområden.

(10)	För att säkerställa lika åtkomsträttigheter på grundval av förordning (EU) 2016/679 och förordning (EU) 2018/1725 bör kommissionen betraktas som personuppgiftsansvarig för personuppgifter med anknytning till förvaltningen av åtkomsträttigheter till unionens databas.

(11)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42 i förordning (EU) 2018/1725.

(12)

För konsekvensens skull bör bestämmelserna i denna förordning generellt tillämpas från och med samma datum som fastställts för införlivandet av direktiv (EU) 2017/2397. Ett undantag bör dock föreskrivas med avseende på bestämmelserna om kommissionens drift av databasen under testfasen och om dess roll som personuppgiftsansvarig i samband med hanteringen av åtkomsträttigheter.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte

Denna förordning innehåller normer för att fastställa egenskaperna hos och villkoren för användning av kvalificeringsbevis, tjänstgöringsjournaler och loggböcker som utfärdats i enlighet med direktiv (EU) 2017/2397 och för handlingar som utfärdats i enlighet med artikel 10.2–10.3 i samma direktiv.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

unionsdatabas: den databas som kommissionen tillhandahåller i enlighet med artikel 25.2 i direktiv (EU) 2017/2397 för att registrera och utbyta data om kvalifikationsbevis och tjänstgöringsjournaler som avses i artikel 25.1 i direktiv (EU) 2017/2397 och om kvalifikationsbevis och tjänstgöringsjournaler som erkänns i enlighet med artikel 10.3 i det direktivet.

b)	den europeiska databasen med uppgifter om fartygsskrov (EHDB): den databas som kommissionen tillhandahåller i enlighet med artikel 25.2 i direktiv (EU) 2017/2397 för att registrera och utbyta data om de loggböcker som avses i artikel 25.1 i det direktivet.

c)	nationella register: register över EU-kvalifikationsbevis, tjänstgöringsjournaler och loggböcker samt, i förekommande fall, över dokument som erkänns i enlighet med artikel 10.2 i direktiv (EU) 2017/2397, vilka förs av medlemsstater i enlighet med artikel 25.1 i det direktivet.

d)	identifieringsnummer för besättningsmedlem: ett nummer som genererats av unionsdatabasen vilket identifierar en besättningsmedlem som är registrerad i den databasen och är unikt för innehavaren.

e)	status ”aktiv” : kvalifikationsbevis och särskilda tillstånd är giltiga.

status ”upphört” : kvalifikationsbevis och särskilda tillstånd är inte längre giltiga på grund av att giltighetsperioden har löpt ut eller på grund av att de har ersatts av ett nytt kvalifikationsbevis eller särskilt tillstånd efter det att det uppstått ett behov av ändra administrativa data eller giltighetsperioden närmar sig sitt slut.

g)	status ”upphävt” : kvalifikationsbevis och särskilda tillstånd är inte längre giltiga på grund av att behöriga myndigheter har vidtagit åtgärder i enlighet med artikel 14.2 i direktiv (EU) 2017/2397.

h)	status ”återkallat” : kvalifikationsbevis och särskilda tillstånd är inte längre giltiga på grund av att behöriga myndigheter har vidtagit åtgärder i enlighet med artikel 14.1 i direktiv (EU) 2017/2397.

i)	status ”borttappat” : kvalifikationsbevis och särskilda tillstånd har anmälts som borttappade till den behöriga myndigheten.

j)	status ”stulet” : kvalifikationsbevis och särskilda tillstånd har anmälts som stulna till den behöriga myndigheten.

k)	status ”förstört” : kvalifikationsbevis och särskilda tillstånd har anmälts som förstörda till den behöriga myndigheten

l)	metadata: data som behandlas i unionsdatabasen i syfte att sända eller utbyta elektroniskt kommunikationsinnehåll; detta inkluderar data som används för att spåra och identifiera ett meddelandes källa och destination, data om elektroniskt kommunikationsinnehåll, datum och tidpunkt

Artikel 3

Information om kvalifikationsbevis och tjänstgöringsjournaler

1. Kommissionen ska upprätta unionsdatabasen. Den ska förvalta den i enlighet med kraven i bilaga I. Den ska ansvara för den tekniska driften och underhållet av den. Kommissionens ska vidta alla nödvändiga åtgärder för att säkerställa unionsdatabasens konfidentialitet, integritet och tillgänglighet.

2. Medlemsstater som utfärdar bevis i enlighet med direktiv (EU) 2017/2397 ska för unionsdatabasen, på maskin- till maskinbasis, tillgängliggöra de register som avses i artikel 25.1 i direktiv (EU) 2017/2397 vad gäller de uppgifter som avses i artikel 25.1 i direktiv (EU) 2017/2397.

3. Utan att det påverkar tillämpningen av punkt 4 ska varje medlemsstats behöriga myndighet som utsetts till personuppgiftsansvarig för data som behandlas i de nationella registren tillsammans fungera som gemensamt personuppgiftsansvariga vid behandlingen av personuppgifter i unionsdatabasen. Ansvaret ska fördelas mellan gemensamt personuppgiftsansvariga i enlighet med bilaga III.

4. Kommissionen ska betraktas som personuppgiftsansvarig för behandling av personuppgifter som behövs för att bevilja och hantera åtkomsträttigheter till unionsdatabasen.

Artikel 4

Information om loggboken

1. Medlemsstater ska registrera sådana data om loggböckerna som avses i artikel 25.1 i direktiv (EU) 2017/2397 i EHDB.

2. Villkoren för att använda EHDB i syfte att registrera data rörande loggböcker i enlighet med artikel 25.2 i direktiv (EU) 2017/2397 anges i bilaga II.

Artikel 5

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den 18 januari 2022, med undantag för artikel 3.1 och 3.4, som ska tillämpas från och med den dag denna förordning träder i kraft.

Denna delegerade förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 20 januari 2020.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 345, 27.12.2017, s. 53.

(2) Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73). Se även dess genomförandeförordningar, särskilt kommissionens genomförandeförordning (EU) 2015/1501 av den 8 september 2015 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014.

(3) Europaparlamentets och rådets direktiv (EU) 2016/1629 av den 14 september 2016 om tekniska krav för fartyg i inlandssjöfart, om ändring av direktiv 2009/100/EG och om upphävande av direktiv 2006/87/EG (EUT L 252, 16.9.2016, s. 118).

(4) EU:s handlingsplan för e-förvaltning för 2016–2020 Snabbare digital omvandling av förvaltningar. Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén, COM(2016) 179 final, 19.4.2016.

(5) Europeiska interoperabilitetsramen – genomförandestrategi. Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén (COM(2017) 134).

(6) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(7) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

BILAGA I

Krav på unionsdatabasen

1. Allmänt

1.1	Unionsdatabasen ska ge en samlad överblick över data i kvalifikationsbevis och tjänstgöringsjournaler som avses i artikel 25.1 i direktiv (EU) 2017/2397, vilka lagras i de nationella register i medlemsstaterna som upprättas och förvaltas i enlighet med artikel 25.1 i det direktivet.

1.2

Unionsdatabasen ska också ge information om kvalifikationsbevis och tjänstgöringsjournaler som har erkänts i enlighet med artikel 10.2 eller 10.3 i direktiv (EU) 2017/2397, om kommissionen har beviljat en myndighet i tredjeland tillgång till denna i enlighet med artikel 25.4 i direktiv (EU) 2017/2397.

1.3	Unionsdatabasen ska tillhandahålla ett användargränssnitt (nedan kallad unionens webbportal), genom vilken de behöriga användarna ska kunna få tillgång till data i enlighet med sina åtkomsträttigheter.

2. Användare och åtkomsträttigheter

2.1	Kommissionens ska bevilja åtkomsträtt till enskilda användare som motsvarar de användarprofiler som fastställs i tabell 1, på grundval av en förteckning som tillhandahålls av medlemsstaterna.

2.2

Kommissionen kan också bevilja internationella organisationer och myndigheter i tredjeländer åtkomst till unionsdatabasen, i enlighet med artikel 25.4 i direktiv (EU) 2017/2397, särskilt under förutsättning att kraven i artikel 46 i förordning (EU) 2018/1725 är uppfyllda. Användarprofiler som anges i tabell 1 eller åtkomsträttigheter för dessa kan begränsas med hänsyn till vad bedömningen av nivån på skyddet av fysiska personers personuppgifter ger för resultat.

Tabell 1

Användarprofiler

Definitioner

Åtkomsträttigheter

Certifieringsmyndigheter

Behöriga myndigheter som utsetts för att utfärda, förnya eller återkalla kvalifikationsbevis, särskilda tillstånd och tjänstgöringsjournaler som avses i artikel 26 i direktiv (EU) 2017/2397

Läsa och skriva vad gäller funktionerna 3.1 till 3.5.

Myndigheter med ansvar för tillfällig indragning.

Användare vid behöriga myndigheter med befogenhet att upphäva kvalifikationsbevis och särskilda tillstånd som avses i artikel 26 i direktiv (EU) 2017/2397.

Läsa och skriva vad gäller funktionerna 3.3 och 3.4.

Brottsbekämpande myndigheter

Behöriga användare vid behöriga myndigheter som arbetar med att avslöja och bekämpa bedrägerier och andra olagliga metoder som avses i artikel 26 i direktiv (EU) 2017/2397.

Skrivskyddad åtkomst vad gäller funktionerna 3.1, 3.2, 3.3 och 3.5

Registratorer

Behöriga användare vid behöriga myndigheter som utsetts till att föra de register som avses i artikel 26 i direktiv (EU) 2017/2397.

Läsa och skriva med avseende på funktionerna 3.1 till 3.5, om inte dessa utövas av certifieringsmyndigheter eller myndigheter med ansvar för tillfällig indragning

Statistikbyråer

Behöriga användare vid nationella eller internationella byråer med ansvar för samla in statistiska uppgifter

Skrivskyddad åtkomst med avseende på funktion 3.5

Internationella organisationer

Behöriga användare i internationella organisationer som har beviljats åtkomst i enlighet med artikel 25.4 i direktiv (EU) 2017/2397 och artikel 46 i förordning (EU) 2018/1725.

Skrivskyddad åtkomst som ska fastställas i förhållande till funktionerna 3.2, 3.3 och 3.5 efter resultatet av bedömningen av graden av skydd för fysiska personer och efterlevnaden av denna förordning

Myndigheter från tredjeländer

Behöriga användare vid utsedda behöriga myndigheter i tredjeländer som har beviljats åtkomst i enlighet med artikel 25.4 i direktiv (EU) 2017/2397 och artikel 46 i förordning (EU) 2018/1725.

Kommer att fastställas i förhållande till funktionerna 3.1, 3.3 och 3.5 efter resultatet av bedömningen av graden av skydd för fysiska personer och efterlevnaden av denna förordning

Kommissionen

Behöriga användare bland kommissionens personal

1.	med ansvar för att förvalta unionsdatabasen eller

2.	med ansvar för frågor om inlandssjöfart.

—	Leverantör av den tekniska lösningen för alla funktioner;

—	Skrivskyddad åtkomst med avseende på funktion 3.5

3. Funktioner

Följande funktioner ska tillhandahållas genom unionsdatabasen:

3.1

Kontroll av besättningsmedlemmens registrering i unionsdatabasen

Unionsdatabasen ska tillåta certifieringsinstanser och brottsbekämpande myndigheter att kontrollera huruvida en besättningsmedlem redan är registrerad i systemet. Detta ska ske på grundval av antingen innehavarens identifieringsnummer för besättningsmedlem (CID) eller uppgifter i en identitetshandling som tillhandahålls av besättningsmedlemmen. Vad gäller online-tjänster ska identifieringen av en besättningsmedlem ske med stöd av datasetet i enlighet med förordning (EU) 2015/1501.

Förutsatt att ingen person med ett liknande identitetsrelaterat dataset påträffas i systemet efter en sökning av certifieringsmyndigheten, ska besättningsmedlemmen registreras i systemet.

3.2	Sökning på data om kvalificeringsbevis och tjänstgöringsjournaler Unionsdatabasen ska ge läsåtkomst till uppgifter om kvalificeringsbevis och tjänstgöringsjournaler så som dessa görs tillgängliga genom de nationella registren.

3.3

Sökning och ändring av status på kvalifikationsbevis

Unionsdatabasen ska ge läsåtkomst vad gäller kvalifikationsbevisens status och skrivåtkomst när det handlar om att registrera ett upphävande av ett kvalifikationsbevis i unionsdatabasen.

Standardstatus för bevisen är följande: ”aktivt”, ”upphört”, ”upphävt”, ”återkallat”, ”förlorat”, ”stulet” eller ”förstört”.

3.4

Översändande och mottagande av anmälningar

Unionsdatabasen ska göra det möjligt för certifieringsmyndigheter och myndigheter med ansvar för beslut om upphävande att bli underrättade om ändringar eller om begäranden i registren med avseende på kvalifikationsbevis eller särskilda tillstånd som de har utfärdat eller tillfälligt dragit in.

3.5	Generera statistik Unionsdatabasen ska innehålla funktioner som gör det möjligt för behöriga användare att göra sökningar för statistiska ändamål.

3.6	Uppdatering av metadata Kommissionen ska uppdatera metadata i unionsdatabasen efter anmälan om ändring av motsvarande uppgifter i ett nationellt register.

3.7

Information om ofullständig överföring

Om systemet inte kan slutföra en funktion ska denna uppgift och skälen för detta meddelas den berörda användaren. Begäran eller uppgifterna ska vara tillfälligt buffrade i unionsdatabasen och transaktionen upprepas automatiskt till dess att felet eller bristen har åtgärdats och funktionen slutförs.

3.8	Hantering av användaråtkomst Användare ska ha åtkomst till unionsdatabasen genom kommissionens autentiseringstjänst (EU Login).

3.9	Övervakning av användarnamn och transaktioner Unionsdatabasen ska logga alla inloggningsuppgifter och transaktioner för övervaknings- och felsökningsändamål och möjliggöra generering av statistik om dessa inloggningsuppgifter och transaktioner för behandling av kommissionens personal.

4. Data i unionsdatabasen

4.1

För att unionsdatabasen ska kunna utföra sina funktioner ska den lagra följande data:

a)	Routingmetadata.

b)	Tabeller över åtkomsträtter.

CID med

i)	innehavarens förteckning över typer av intyg och särskilda tillstånd med deras respektive utfärdande myndighet och status,

ii)	serienumret för innehavarens aktiva tjänstgöringsjournal, i förekommande fall,

iii)	länken till det nationella register som innehåller innehavarens senaste personuppgifter.

4.2

Unionsdatabasen kan också lagra uppgifter som avses i artikel 25 i direktiv (EU) 2017/2397 med avseende på kvalifikationsbevis och tjänstgöringsjournaler som erkänns enligt artikel 10.3 när kommissionen har vägrat tillgång för en myndighet i ett tredjeland, i enlighet med artikel 25.4 i direktiv (EU) 2017/2397.

5. Kommunikation mellan unionsdatabasen och registren

5.1	Kopplingen mellan unionsdatabasen och de nationella registren ska grunda sig på kommissionens elektroniska tjänst för rekommenderad leverans (CEF eDelivery).

5.2	Informationsutbytet ska bygga på standardiserade metoder för datastrukturering och uttryckas i XML-format.

5.3	Tjänsten ska fungera dygnet runt, sju dagar i veckan med en tillgänglighetsgrad för systemet på minst 98 % exklusive schemalagt underhåll.

6. Unionsdatabasens referensuppgifter

6.1	Referensuppgifterna, såsom kodlistor, kontrollerade vokabulärer och ordlistor, ska lagras i det europeiska referensdatahanteringssystemet (ERDMS), inklusive, i förekommande fall, en översättning till EU:s officiella språk.

7. Skydd av personuppgifter

7.1	All behandling av personuppgifter som utförs av behöriga användare i medlemsstaterna ska ske i enlighet med unionslagstiftningen om skydd av personuppgifter, särskilt Europaparlamentets och rådets förordning (EU) 2016/679.

7.2	Kommissionen ska utföra all behandling av personuppgifter som föreskrivs i denna förordning i enlighet med förordning (EU) 2018/1725.

7.3	De personuppgifter som avses i artikel 25.1 i direktiv (EU) 2017/2397 ska endast användas och behandlas för utförandet av de uppgifter som avses i avsnitt 3, och då enbart av behöriga användare.

7.4

De personuppgifter som avses i avsnitt 4 ska inte lagras i unionsdatabasen längre än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas och inte efter besättningsmedlemmarnas pensionering. Innehavarens förteckning över typer av intyg och särskilda tillstånd får inte omfatta sådana intyg och tillstånd som har upphört att gälla, har återkallats eller förstörts, har anmälts som förlorade eller stulna, efter det att de har ersatts av ett nytt intyg eller tillstånd.

7.5	Personuppgifter som behandlas med avseende på den funktion som beskrivs i punkt 3.9 får inte lagras i unionsdatabasen längre än 6 månader.

7.6	Andra personuppgifter än de som avses i punkterna 7.4 och 7.5 ska inte lagras i unionsdatabasen längre än vad som är absolut nödvändigt för att transaktionen ska kunna slutföras.

7.7	De uppgifter som finns tillgängliga för statistiska ändamål ska anonymiseras och aggregeras. Statistiska uppgifter som har anonymiserats i vederbörlig ordning och registrerats i aggregerad form får lagras på obestämd tid.

8. Gemensamma kontaktpunkter

8.1	När det gäller driften av unionsdatabasen ska kommissionen hålla kontakt med medlemsstaterna genom en gemensam kontaktpunkt som utses av respektive medlemsstat bland de behöriga myndigheter som avses i artikel 26 g i direktiv (EU) 2017/2397.

BILAGA II

Krav för användning av den europeiska databasen över fartygsskrov för att söka information om loggböcker

Data som rör loggböcker får endast användas och behandlas av de behöriga användare som avses i tabell 1.

Kommissionen ska bevilja åtkomsträtt till användare som motsvarar de användarprofiler som fastställs i tabell 1, på grundval av en förteckning som medlemsstaterna tillhandahåller via de gemensamma kontaktpunkter som avses i delegerad förordning 2020/474 (1), samt till internationella organisationer och myndigheter i ett tredjeland, i enlighet med artikel 25.4 i direktiv (EU) 2017/2397.

Bestämmelserna i bilaga III och bilaga IV om fullständig åtkomst, skrivskyddad åtkomst och behandling av uppgifterna i den europeiska databasen med uppgifter om fartygsskrov (EHDB) i den delegerade förordningen 2020/474 om europeiska databasen med uppgifter om fartygsskrov.

All behandling av personuppgifter som utförs av behöriga användare ska ske i enlighet med unionslagstiftningen om skydd av personuppgifter, särskilt Europaparlamentets och rådets förordning (EU) 2016/679.

Kommissionen ska utföra all behandling av personuppgifter som föreskrivs i denna förordning i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725.

Tabell 1

Användarprofiler	Definitioner	Åtkomsträttigheter
Certifieringsmyndigheter	Behöriga användare vid myndigheter som är behöriga att utfärda loggböcker i enlighet med artikel 26 i direktiv (EU) 2017/2397.	Fullständig åtkomst
Brottsbekämpande myndigheter	Behöriga användare vid behöriga myndigheter som arbetar med att avslöja och bekämpa bedrägerier och andra olagliga metoder i enlighet med artikel 26 i direktiv (EU) 2017/2397.	Skrivskyddad åtkomst
Statistikbyråer	Behöriga användare vid nationella eller internationella byråer med ansvar för samla in statistiska uppgifter	Skrivskyddad åtkomst
Internationella organisationer	Behöriga användare i internationella organisationer som har beviljats åtkomst till EHDB i enlighet med artikel 25.4 i direktiv (EU) 2017/2397 och artikel 46 i förordning (EU) 2018/1725.	Skrivskyddad åtkomst kommer att fastställas efter resultatet av bedömningen avseende nivån på skyddet för fysiska personer
Myndigheter från tredjeländer	Behöriga användare vid utsedda behöriga myndigheter i tredjeländer som har beviljats åtkomst i enlighet med artikel 25.4 i direktiv (EU) 2017/2397 och artikel 46 i förordning (EU) 2018/1725.	Kommer att fastställas efter resultatet av den berörda bedömningen av skyddet för fysiska personer.

(1) Kommissionens delegerade förordning (EU) 2020/474 av den 20 januari 2020 om den europeiska databasen med uppgifter om fartygsskrov (EUT L 100, 1.4.2020, s. 12).

BILAGA III

Ansvarsfördelning mellan gemensamt personuppgiftsansvariga

Medlemsstaterna, företrädda av de behöriga myndigheterna, fastställer ändamålen med och metoderna för behandlingen av personuppgifter i de nationella registren. Kommissionen är också personuppgiftsansvarig genom att sköta/förvalta unionsdatabasen som möjliggör utbyte av uppgifter mellan medlemsstaterna. Medlemsstaterna och kommissionen är gemensamt personuppgiftsansvariga för behandlingen av personuppgifter i unionsdatabasen.

Varje gemensamt personuppgiftsansvarig ska följa relevant unionslagstiftning och nationell lagstiftning som respektive personuppgiftsansvarig omfattas av.

Kommissionen ska ansvara för att

säkerställa att unionsdatabasen uppfyller de krav som ställs på kommissionens kommunikations- och informationssystem, inbegripet de som rör skydd av personuppgifter och tillämpningen av bestämmelser om uppgiftsskydd när det gäller säkerheten i samband med behandlingen (1), Kommissionen ska göra en riskbedömning av informationssäkerheten och säkerställa en lämplig säkerhetsnivå;

den ska svara på förfrågningar från registrerade som är direkt riktade till den avseende unionsdatabasen och offentliggöra meddelanden om skydd av personuppgifter för att uppfylla informationskraven. När så är lämpligt, och i synnerhet när begäran avser rättelse och radering av personuppgifter, ska kommissionen vidarebefordra den berörda personens begäran till den eller de relevanta gemensamma kontaktpunkter som ska behandla den. Om en begäran riktas direkt till kommissionen, ska den informera den registrerade om uppföljningen av begäran.

c)	meddela eventuella personuppgiftsincidenter i unionens databas till de gemensamma kontaktpunkter som avses i avsnitt 8.1 i bilaga I, till Europeiska datatillsynsmannen och till berörda individer om det föreligger en hög risk i enlighet med artiklarna 34 och 35 i förordning (EU) 2018/1725,

d)	identifiera de kategorier av anställda och andra personer med avseende på vilka tillgång till unionsdatabasen kan beviljas och säkerställa att alla berörda parters åtkomst överensstämmer med tillämpliga regler om uppgiftsskydd,

säkerställa att personal vid kommissionen som har åtkomst till besättningsmedlemmarnas personuppgifter i unionsdatabasen har lämplig utbildning för att säkerställa att de utför sina uppgifter i enlighet med de regler som är tillämpliga på skyddet av personuppgifter och omfattas av tystnadsplikt enligt unionsrätten,

Medlemsstaterna och de behöriga myndigheterna ska ansvara för att

samla in och behandla sökandes personuppgifter, och för att behandla de personuppgifter som de erhåller från/utbyter via unionsdatabasen. Insamling och behandling av personuppgifter ska ske i enlighet med förordning (EU) 2016/679, särskilt för att säkerställa att insamlingen av uppgifter sker på lagligt sätt, tillhandahålla lämplig information, se till att uppgifterna är riktiga (inbegripet genom att radera föråldrade uppgifter eller profiler i förekommande fall) samt säkerställa lämplig säkerhet för uppgifterna i de nationella registren.

fungera som kontaktpunkt för besättningsmedlemmar, även när de utövar sina rättigheter, svara på begäranden från besättningsmedlemmar och se till att besättningsmedlemmar vars uppgifter behandlas via unionens databas och nationella register ges möjlighet att utöva sina rättigheter i överensstämmelse med dataskyddslagstiftningen. De ska i detta sammanhang samarbeta med andra medlemsstaters behöriga myndigheter via de gemensamma kontaktpunkterna och med kommissionen för att på lämpligt sätt behandla begäranden från registrerade personer som riktas till myndigheten, till andra medlemsstater eller till kommissionen. Behöriga myndigheter i medlemsstaterna som har tagit emot en begäran från en registrerad ska informera den registrerade om uppföljningen av begäran;

meddela alla personuppgiftsincidenter med avseende på uppgifter om besättningsmedlemmar som behandlas via unionsdatabasen till kommissionen, till den gemensamma kontaktpunkt som avses i avsnitt 8.1 i bilaga I, till den behöriga tillsynsmyndigheten på nationell nivå och, om så krävs, till relevanta besättningsmedlemmar, i enlighet med artiklarna 33 och 34 i förordning (EU) 2016/679 eller på begäran av kommissionen,

d)	identifiera, i enlighet med åtkomsträtten för användare som motsvarar användarprofilerna i tabell 1 i bilaga I, personal som ska ha tillgång till besättningsmedlemmarnas personuppgifter i unionens databas och vidarebefordra denna information till kommissionen,

se till att deras personal som har tillgång till besättningsmedlemmarnas personuppgifter i unionsdatabasen har lämplig utbildning för att säkerställa att de utför sina uppgifter i enlighet med de regler som är tillämpliga på skyddet av personuppgifter och omfattas av tystnadsplikt i enlighet med nationell lagstiftning eller nationella bestämmelser som fastställts av den nationella behöriga myndigheten.

(1) Kommissionens beslut (EU, Euratom) 2017/46 av den 10 januari 2017 om säkerheten i Europeiska kommissionens kommunikations- och informationssystem och kommissionens beslut av den 13 december 2017 om tillämpningsföreskrifter för artiklarna 3, 5, 7, 8, 9, 10, 11, 12, 14 och 15 i beslut (EU, Euratom) 2017/46 om säkerheten i kommissionens kommunikations- och informationssystem (EUT L 6, 11.1.2017, s. 40).