Kommissionens genomförandeförordning (EU) 2023/2117 av den 12 oktober 2023 om fastställande av nödvändiga bestämmelser och närmare krav för funktionen hos och förvaltningen av en informationsdatabas i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1139

officiella tidning
Europeiska unionens

Serien L

2023/2117

13.10.2023

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2023/2117

av den 12 oktober 2023

om fastställande av nödvändiga bestämmelser och närmare krav för funktionen hos och förvaltningen av en informationsdatabas i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1139

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1139 av den 4 juli 2018 om fastställande av gemensamma bestämmelser på det civila luftfartsområdet och inrättande av Europeiska unionens byrå för luftfartssäkerhet, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 2111/2005, (EG) nr 1008/2008, (EU) nr 996/2010, (EU) nr 376/2014 och direktiv 2014/30/EU och 2014/53/EU, samt om upphävande av Europaparlamentets och rådets förordningar (EG) nr 552/2004 och (EG) nr 216/2008 och rådets förordning (EEG) nr 3922/91 (1), särskilt artikel 74.8, och

av följande skäl:

(1)

Enligt artikel 74 i förordning (EU) 2018/1139 ska information som rör civil luftfart lagras i en elektronisk informationsdatabas som inrättas och förvaltas av Europeiska unionens byrå för luftfartssäkerhet (byrån), med uppgifter som är nödvändiga för att säkerställa ett effektivt samarbete mellan byrån och de nationella behöriga myndigheterna när det gäller utförandet av deras uppgifter i samband med certifiering, tillsyn och kontroll av efterlevnad enligt den förordningen.

(2)

Det är viktigt att kommissionen och de nationella behöriga myndigheterna är delaktiga i byråns utveckling och förvaltning av databasen, och därför bör det i denna förordning fastställas en lämplig samrådsmekanism för att säkerställa att byrån samråder med medlemsstaterna och kommissionen innan den fattar beslut om databasen.

(3)

För att databasen ska kunna användas på ett effektivt sätt bör dess struktur omfatta en central databas, en kommunikationsinfrastruktur och det gränssnitt som krävs för att utfärda, söka i och ge tillgång till informationen i databasen. För att underlätta samarbetet mellan de organ som använder databasen bör det finnas ett enda gränssnitt för direkta användarsökningar i databasen och ett enda gränssnitt för de nationella behöriga myndigheterna.

(4)	Databasen bör underlätta de behöriga myndigheternas integration och kommunikation med databasen genom lämpliga funktionsspecifikationer som omfattar gränssnittet, säkerheten, nätverket och uppgifter om applikationskonfiguration.

(5)	Byrån bör se till att lämpliga förhållanden för databasens funktion upprätthålls så att tekniska fel undviks och kontinuitet i driften av databasen och i hanteringen av dess uppgifter säkerställs.

(6)	Informationen bör överföras till och utbytas via databasen på grundval av gemensamt överenskomna informationsformat som föreslås av byrån, så att de uppgifter som utbyts tolkas på samma sätt av de kommunicerande organen.

(7)	Regelbundna uppdateringar av de uppgifter som lagras i databasen bör möjliggöra ett bättre informationsutbyte. Byrån och de nationella behöriga myndigheterna bör därför utveckla en metod för att regelbundet uppdatera de uppgifter som lagras i databasen.

(8)

Denna förordning bör också fastställa krav för klassificering av information så att de uppgifter som lagras i databasen behandlas i enlighet med parametrarna för personlig integritet, konfidentialitet, dataintegritet och tillgänglighet. En ny utvärdering av denna informationsklassificering bör göras när användningen av uppgifterna ändras för att tillse att klassificeringen hålls uppdaterad.

(9)

Det är viktigt att identifiera de berörda parter som kan få del av uppgifter som lagras i databasen och att fastställa närmare bestämmelser för behandlingen av deras begäran om tillgång. Denna förordning bör därför fastställa nödvändiga villkor för spridning av uppgifter till berörda parter. Det bör också säkerställas att de uppgifter som de berörda parterna tar emot hanteras konfidentiellt.

(10)	Ett spårbarhetssystem för den information som lagras i databasen bör garantera att den skyddas mot obehörig tillgång och göra det möjligt att övervaka de transaktioner där information, inklusive personuppgifter, behandlas, för att trygga dataintegritet och informationssäkerhet.

(11)	Personal hos behöriga användare som behöver få tillgång till databasen bör beviljas tillgång av sina organisationer i enlighet med dokumenterade förfaranden. Personal från flygmedicinska centrum bör beviljas tillgång av sina respektive nationella behöriga myndigheter.

(12)

Kraven för skydd av relevant infrastruktur och relevanta uppgifter bör utarbetas inom ramen för politiken för säkerhetshantering. I synnerhet bör åtgärder för säkerhetshantering, driftskontinuitet och katastrofplaner utarbetas. De behöriga användarna bör se till att nödvändiga säkerhetsåtgärder vidtas och att de samarbetar i detta avseende.

(13)

Personuppgifter bör endast behandlas i syfte att säkerställa ett effektivt samarbete mellan byrån och de nationella behöriga myndigheterna när det gäller utförandet av deras uppgifter i samband med certifiering, tillsyn och kontroll av efterlevnad. Denna förordning bör fastställa detaljerade arrangemang för att skydda personuppgifter som lagras i och utbyts via databasen. Sådan behandling måste vara förenlig med Europarlamentets och rådets förordningar (EU) 2016/679 (2) och (EU) 2018/1725 (3) och klargöra ansvarsområdena för de relevanta organ som utsetts för att tillse att skyddet av personuppgifter garanteras.

(14)

Det är nödvändigt att fastställa och fördela ansvaret för respektive organ som behandlar personuppgifter i databasen, inbegripet registrering av personuppgifter i och extrahering av personuppgifter från databasen. Enligt förordning (EU) 2018/1139 ska byrån, i samarbete med kommissionen och de nationella behöriga myndigheterna, inrätta och förvalta en informationsdatabas med uppgifter som är nödvändiga för att säkerställa ett effektivt samarbete mellan byrån och de nationella behöriga myndigheterna. Detta rör i synnerhet samarbete för att trygga säkerhetshanteringen av databasen. De bör därför vara gemensamt personuppgiftsansvariga för behandlingen av personuppgifter vid förvaltningen av databasen. Det är därför nödvändigt att fastställa de gemensamt personuppgiftsansvarigas ansvar och deras särskilda skyldigheter gentemot de registrerade.

(15)

Varje nationell behörig myndighet, byrån och kommissionen bör vara den enda personuppgiftsansvariga för den behandling av uppgifter som de utför som behöriga användare inom sina egna system. Uppgiftsbehandlingen bör ske i enlighet med förordningarna (EU) 2016/679 och (EU) 2018/1725. Eftersom de uppgifter som utbyts via databasen härrör från varje personuppgiftsansvarig bör dessa underrätta byrån om alla personuppgiftsincidenter i sina system som skulle kunna äventyra säkerheten, konfidentialiteten, tillgängligheten eller integriteten för de personuppgifter som behandlas i databasen.

(16)

Skyldigheten att ömsesidigt anmäla säkerhetsöverträdelser, inbegripet personuppgiftsincidenter, bör specificeras så att gemensamt personuppgiftsansvariga kan identifiera säkerhetsincidenter och personuppgiftsuppgiftsincidenter så snart som möjligt. Varje personuppgiftsansvarig bör säkerställa nödvändig rapportering av dessa överträdelser i enlighet med detta.

(17)

Vid behov får den registrerades möjligheter att utöva sina rättigheter begränsas i enlighet med vissa angivna villkor. Dessa begränsningar bör vara proportionella och begränsade i omfattning och tid. Den registrerade bör ges möjlighet att utöva sin rätt till ett effektivt försvar och effektiva rättsmedel.

(18)

För att säkerställa flygsäkerheten kan en behörig myndighet behöva ha tillgång till tidigare registreringar, inklusive sådana som omfattar personuppgifter. Detta gäller i synnerhet tillgång till medicinska uppgifter som legat till grund för tidigare perioder av olämplighet för tjänstgöring eller införanden av begränsningar. Därför, och utan att det påverkar tillämpningen av kortare perioder i enlighet med nationell rätt, bör en maximal lagringsperiod på tio år från och med utgångsdatumet för handlingen (t.ex. hälsointyg, medicinska rapporter, certifikat), inbegripet alla handlingar som är nödvändiga för de förfaranden som avses i förordning (EU) 2018/1139, säkerställa att dessa uppgifter fortfarande kan vara tillgängliga för de behöriga användarna.

(19)

Personuppgifter i databasen är viktig information som bör bevaras för arkivändamål av intresse för flygsäkerheten och för historiska forskningsändamål. Efter att lagringsperioden har löpt ut, eller efter en kortare period som eventuellt föreskrivs i nationell rätt, bör personuppgifter omedelbart raderas från databasen. Personuppgifter får för arkivändamål av allmänt intresse för flygsäkerheten och för historiska forskningsändamål lagras utanför databasen.

(20)

För att säkerställa en korrekt tillämpning av denna förordning bör medlemsstaterna och de berörda organen ges tillräckligt med tid för att anpassa sina förfaranden till det nya regelverket innan denna förordning börjar tillämpas. Därför bör vissa krav i bilaga I börja tillämpas vid senare tidpunkter beroende på vilken kategori av informationsobjekt de avser och datumet för utfärdande.

(21)

Byrån har utarbetat ett utkast till genomförandeakt för funktionen hos och förvaltningen av en informationsdatabas i enlighet med förordning (EU) 2018/1139 och har lämnat det till kommissionen tillsammans med yttrande nr 04/2022 (4), i enlighet med artiklarna 75.2 b och 76.1 i förordning (EU) 2018/1139.

(22)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 29 mars 2023.

(23)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från kommittén för tillämpning av gemensamma säkerhetsbestämmelser på det civila luftfartsområdet.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Syfte

I denna förordning fastställs regler och förfaranden för funktionen hos och förvaltningen av en informationsdatabas med uppgifter som är nödvändiga för att säkerställa ett effektivt samarbete mellan byrån och de nationella behöriga myndigheterna när det gäller utförandet av deras uppgifter i samband med certifiering, tillsyn och kontroll av efterlevnad enligt förordning (EU) 2018/1139.

Artikel 2

Definitioner

1. I denna förordning ska definitionerna i förordningarna (EU) 2018/1139, (EU) 2016/679, (EU) 2018/1725 och i kommissionens genomförandeförordningar (EU) 2019/947 (5) och (EU) 2021/664 (6) gälla.

2. Dessutom gäller följande definitioner:

a)	behöriga användare: kommissionen, byrån, nationella behöriga myndigheter och andra behöriga myndigheter i medlemsstaterna som fått i uppgift att utreda haverier och tillbud inom civil luftfart i enlighet med artikel 74.6 första meningen i förordning (EU) 2018/1139.

b)	gränssnitt: den punkt genom vilken oberoende och ofta fristående system ansluter till och interagerar eller kommunicerar med varandra.

c)	behörig personal: personal hos behöriga användare som har fått tillgång till databasen.

d)	kategori av informationsobjekt: den typ av information som omfattas av artikel 74.1 i förordning (EU) 2018/1139 och som de behöriga användarna ska utbyta och ha tillgång till.

e)	informationsobjekt: en informationsenhet som utbyts för sig och som alltid motsvarar en kategori av informationsobjekt och överensstämmer med dess informationsformat.

f)	informationsformat: en på förhand fastställd struktur för en kategori av informationsobjekt som utgörs av ett system av fält, där fälten motsvarar detaljerade innehållstyper inom varje kategori av informationsobjekt, samt vokabulärer med begränsade uppsättningar tillåtna värden för varje fält.

berörd part: offentliga myndigheter vid Europeiska unionens institutioner, byråer och organ samt medlemsstaternas offentliga myndigheter, fysiska och juridiska personer som omfattas av ett informationsobjekt enligt definitionen i bilaga I till denna förordning samt behöriga organ som har ackrediterats i enlighet med artikel 69 i förordning (EU) 2018/1139.

KAPITEL II

INRÄTTANDE, FÖRVALTNING OCH UNDERHÅLL AV DATABASEN

Artikel 3

Inrättande av databasen

1. Databasen ska bestå av gränssnitt för lagring, utbyte och användaråtkomst.

2. Det gränssnitt för lagring som avses i punkt 1 ska bestå av

a)	en central databas som innehåller den information som avses i artikel 74.1 i förordning (EU) 2018/1139 och omfatta både befintlig och ny information, och

b)	en historik över ändringar av informationen och dess status som aktuell/arkiverad.

3. Det gränssnitt för utbyte som avses i punkt 1 ska bestå av

a)	en kommunikationsinfrastruktur som tillhandahåller säkra applikationsprogrammeringsgränssnitt (API:er) för utfärdande, ändring, sökning/läsning och arkivering av information mellan de behöriga användarnas system och databasen, och

b)	regler för kvalitetskontroll av information som säkerställer den lagrade informationens enhetlighet, integritet och korrekthet.

4. Det gränssnitt för användaråtkomst som avses i punkt 1 ska möjliggöra en nätbaserad och säker sök- och läsåtkomst till den lagrade informationen. Gränssnittet för användaråtkomst ska endast vara tillgängligt för behörig personal.

5. Byrån ska utarbeta nödvändig dokumentation till stöd för de behöriga användarnas integration med databasen. Denna dokumentation ska bestå av

a)	API-standarder och utbytesmekanismer,

b)	information om den säkerhets-, nätverks- och applikationskonfiguration som krävs för att kommunicera med databasen,

c)	regler som anger giltig struktur för och giltigt innehåll i den information som utbyts med databasen.

6. Byrån ska även tillhandahålla en testmiljö där de behöriga användarna kan testa funktionen och prestandan hos gränssnittet för utbyte mellan sina system och databasen.

Artikel 4

Förvaltning av databasen

1. Byrån ska ansvara för den operativa förvaltningen av databasen och ska på ett säkert sätt lagra information i databasen.

2. De behöriga användarna ska överföra informationen till och utbyta den via databasen genom gränssnitten och säkerställa en säker nätanslutning mellan sina system och databasen.

3. Innan byrån fattar beslut om den operativa förvaltningen av databasen eller gör den allmänt tillgänglig ska den samråda med kommissionen och de nationella behöriga myndigheterna.

4. Den behöriga personalen vid de nationella flygläkarna och flygmedicinska centrumen ska överföra och utbyta informationen i databasen genom sina nationella behöriga myndigheter i enlighet med artikel 10.4 i denna förordning.

Artikel 5

Underhåll av databasen

1. Byrån ska underhålla databasen och säkerställa att den fungerar korrekt när det gäller personlig integritet, konfidentialitet, dataintegritet och tillgänglighet.

2. Byrån ska systematiskt säkerhetskopiera databasen och dess uppgifter.

KAPITEL III

REGLER OM DEN INFORMATION SOM LAGRAS I DATABASEN

Artikel 6

Format och standarder för informationen

1. De behöriga användarna ska överföra, regelbundet uppdatera och utbyta information via databasen på grundval av gemensamt överenskomna informationsformat som föreslagits av byrån.

2. Informationsformaten ska standardiseras per informationskategori. De behöriga användarna ska endast överföra informationsobjekt till databasen i det informationsformat som är specifikt för den informationskategorin.

3. Förteckningen över kategorier av informationsobjekt fastställs i bilaga I.

Artikel 7

Klassificering av information

1. Byrån ska i samarbete med kommissionen och de nationella behöriga myndigheterna klassificera kategorierna av informationsobjekt enligt följande märkningar:

a)	Personlig integritet: icke-personuppgifter, icke-känsliga eller känsliga personuppgifter.

b)	Konfidentialitet: ingen påverkan, begränsad, betydande, katastrofal.

c)	Dataintegritet: ingen påverkan, begränsad, betydande, katastrofal.

d)	Tillgänglighet: ingen inverkan, begränsad, betydande, katastrofal.

2. Detaljerade definitioner av de märkningar som avses i punkt 1 fastställs i bilaga II.

3. Byrån ska vid behov och i samarbete med kommissionen och de nationella behöriga myndigheterna se över klassificeringen av information för att säkerställa att den fortfarande är lämplig utifrån ändrad användning av information.

Artikel 8

Arrangemang för spridning av information

1. Byrån får på begäran av en berörd part förse den berörda parten med informationen i databasen, med förbehåll för de särskilda användningsvillkor som anges i denna artikel.

2. En begäran om spridning av information i databasen ska lämnas i en form och på ett sätt som fastställs av byrån.

3. När byrån tar emot en begäran ska den kontrollera att

a)	begäran verkligen kommer från en berörd part,

b)	den berörda parten visar att den begärda informationen är absolut nödvändig för den berörda partens egen verksamhet.

4. Byrån ska bedöma om begäran är motiverad, och om villkoren i punkt 5 är uppfyllda ska den förse den berörda parten med den begärda informationen.

5. Byrån ska tillhandahålla den begärda informationen till den berörda parten endast på följande villkor:

a)	Den berörda parten får inte tillgång till hela innehållet i databasen.

b)	Informationen är absolut nödvändig för den berörda partens egen verksamhet.

c)	Inga personuppgifter sprids, såvida inte uppgifterna rör den berörda parten själv eller om sådan spridning är absolut nödvändig för att den berörda parten ska kunna utöva sin verksamhet.

6. Byrån ska ge de behöriga användarna tillgång till en uppdaterad förteckning över mottagna begäranden och åtgärder som vidtagits av byrån.

7. Den berörda parten ska

a)	använda informationen endast för det ändamål som anges i formuläret för begäran,

b)	inte lämna ut den mottagna informationen utan tillstånd från de behöriga användarna,

c)	vidta nödvändiga åtgärder för att säkerställa att den mottagna informationen behandlas konfidentiellt.

Artikel 9

Loggning av uppgiftsbehandling

1. Byrån ska säkerställa att all uppgiftsbehandling loggas. Loggarna ska innehålla följande uppgifter:

a)	Ändamålet med begäran om tillgång till databasen.

b)	Identifiering av den behöriga användare som hämtar uppgifterna.

c)	Datum och exakt tidpunkt för uppgiftsbehandlingen.

d)	Identifiering av den behöriga personal som utför sökningen.

2. Byrån ska använda loggarna för uppgiftsbehandlingen endast för att övervaka lagligheten i tillgången till informationen och för att säkerställa dataintegritet och datasäkerhet. Loggarna ska innehålla de uppgifter som är absolut nödvändiga för detta ändamål, i enlighet med den princip om uppgiftsminimering som anges i artikel 89 i förordning (EU) 2016/679 och artikel 13 i förordning (EU) 2018/1725. Loggarna ska raderas efter det att övervakningsförfarandet har slutförts eller senast efter ett år.

3. På begäran ska kommissionen och de nationella behöriga myndigheterna ges tillgång till loggarna för att bedöma om tillgången till informationen är laglig, övervaka att uppgiftsbehandlingen är laglig och säkerställa dataintegritet och datasäkerhet.

Artikel 10

Tillgång till databasen

1. De behöriga användarna ska säkerställa att endast behörig personal har tillgång till databasen.

2. De behöriga användarna ska säkerställa att deras personal ges tillgång till informationen på grundval av integritets- och konfidentialitetsmärkningarna för kategorin av informationsobjekt i enlighet med artikel 7.

3. De behöriga användarna ska fastställa och upprätthålla

a)	en förteckning över behörig personal,

b)	förfaranden för tillgång till databasen; sådana förfaranden ska uppfylla de rättsliga krav för tillgång till och behandling av information som fastställs i unionsrätt och nationell rätt. De ska dokumentera villkoren för att behörig personal ska få tillgång till databasen.

4. De nationella flygläkarna och flygmedicinska centrumen ska säkerställa att endast personal som har getts behörighet av sin nationella behöriga myndighet har tillgång till databasen.

Artikel 11

Säkerhetshantering av databasen

1. Byrån ska skydda databasens infrastruktur och dess information och utarbeta

a)	en säkerhetshanteringsplan,

b)	en kontinuitetsplan,

c)	en katastrofplan.

2. Byrån ska förhindra obehörig behandling av information och all obehörig läsning, kopiering, ändring, avlägsnande eller radering av den information som finns i databasen eller när denna sprids till eller från databasen eller överförs, i synnerhet med hjälp av lämplig krypteringsteknik.

3. Byrån ska säkerställa att personer som har åtkomstbehörighet till databasen har åtkomst endast till de uppgifter för vilka de är behöriga och endast genom individuella användaridentiteter och skyddade åtkomstmetoder,

4. De behöriga användarna ska hantera säkerheten för sin information före och under överföringen till databasen och ska skydda sin infrastruktur genom att säkerställa

a)	inrättande av gränssnitt mellan sina system och databasen,

b)	drift och underhåll av gränssnitten,

c)	att behörig personal har lämplig utbildning i informationssäkerhet, tillämplig dataskyddslagstiftning och grundläggande rättigheter innan de får behandla information som lagras i databasen.

5. De behöriga användarna ska samarbeta för att säkerställa säkerhetshanteringen av databasen.

KAPITEL IV

SKYDD AV PERSONUPPGIFTER

Artikel 12

Behandling av personuppgifter som lagras i databasen

1. Personuppgifter som lagras i databasen ska endast behandlas för att säkerställa det samarbete mellan de behöriga användarna som krävs rörande utförandet av deras uppgifter i samband med certifiering, tillsyn och kontroll av efterlevnad. Behandlingen ska begränsas till vad som är nödvändigt för att de ska kunna utföra sina uppgifter och till vad som är absolut nödvändigt och proportionellt i förhållande till de mål som eftersträvas.

2. Åtkomsten till och behandlingen av personuppgifter ska vara i överenstämmelse med de tekniska specifikationerna för databasen.

3. Skyldigheterna avseende inbyggt dataskydd och dataskydd som standard ska beaktas både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen.

4. Byrån ska genomföra regelbundna översyner för att säkerställa att alla åtgärder för skydd av personuppgifter som genomförs är effektiva.

Artikel 13

Gemensamt personuppgiftsansvar för personuppgifter som behandlas i databasen

1. De gemensamt personuppgiftsansvariga för de personuppgifter som lagras i databasen ska vara de behöriga användarna.

2. Varje gemensamt personuppgiftsansvarig ska ansvara för att kriterierna för informationsklassificering är uppfyllda för varje informationsobjekt som behandlas i databasen.

Artikel 14

Ansvarsfördelning mellan gemensamt personuppgiftsansvariga

1. Byrån ska ansvara för att

a)	inrätta, driva och administrera databasen,

b)	fortsatta förvaltningen av databasen, särskilt åtkomsträttigheterna och säkerheten och konfidentialiteten för de personuppgifter som behandlas i databasen i enlighet med artiklarna 4, 5, 9 och 12,

c)	meddela Europeiska datatillsynsmannen och, när så krävs, den registrerade om alla personuppgiftsincidenter inom databasen i enlighet med artikel 34 i förordning (EU) 2018/1725,

d)	fastställa och genomföra de tekniska hjälpmedel som ska göra det möjligt för den registrerade att utöva sina rättigheter i enlighet med förordning (EU) 2018/1725.

2. De nationella behöriga myndigheterna och kommissionen ska ansvara för att

a)	behandla personuppgifter i databasen i enlighet med de gränssnitt för lagring, utbyte och användaråtkomst som avses i artikel 3 och de säkerhetskrav som definieras i artikel 12.4,

b)	säkerställa säkerheten vid all behandling av personuppgifter utanför databasen när sådana uppgifter behandlas för eller i samband med behandlingen genom databasen,

c)	utse och meddela byrån den bemyndigade personal som ska beviljas åtkomst till databasen i enlighet med artikel 11,

fungera som kontaktpunkt för de registrerade som omfattas av deras ansvar som enda personuppgiftsansvariga, inbegripet när de utövar sina rättigheter, vid behov med användning av de tekniska medel som tillhandahålls av byrån i enlighet med punkt 1 d, eller genom de kommunikationskanaler som anges i punkt 3,

e)	underrätta byrån om alla säkerhetsincidenter, inbegripet personuppgiftsincidenter som kan äventyra säkerheten, konfidentialiteten, tillgängligheten eller integriteten för de personuppgifter som överförs och/eller lagras i databasen,

anmäla alla uppgiftsincidenter som rör personuppgifter som behandlas i databasen till respektive behöriga tillsynsmyndigheter och, om så krävs, till registrerade, i enlighet med artiklarna 33 och 34 i förordning (EU) 2016/679 och artikel 34 i förordning (EU) 2018/1725, beroende på vad som är tillämpligt.

3. Varje gemensamt personuppgiftsansvarig ska utse

a)	en kontaktpunkt med en funktionsbrevlåda för kommunikationen mellan dem.

b)	en kontaktpunkt för att stödja de registrerade när de utövar sina rättigheter i enlighet med tillämplig dataskyddslagstiftning.

4. När en gemensamt personuppgiftsansvarig får en förfrågan från en registrerad som inte omfattas av dess ansvar ska den omedelbart vidarebefordra förfrågan till den ansvariga gemensamt personuppgiftsansvariga parten. De gemensamt personuppgiftsansvariga ska på begäran bistå varandra i hanteringen av de registrerades förfrågningar och ska svara varandra utan onödigt dröjsmål, senast inom 15 dagar från den dag då begäran om bistånd mottogs.

5. Om en personuppgiftsansvarig behöver information från en annan personuppgiftsansvarig för att kunna uppfylla sina skyldigheter enligt artiklarna 33 och 34 i förordning (EU) 2016/679 eller artikel 34 i förordning (EU) 2018/1725, ska en särskild begäran skickas till den funktionsbrevlåda som avses i punkt 3 a. Den senare ska göra sitt yttersta för att tillhandahålla sådan information.

Artikel 15

Begränsningar

1. De personuppgiftsansvariga får begränsa de registrerades utövande av sina rättigheter endast i den utsträckning och så länge som det är absolut nödvändigt för att skydda den civila flygsäkerheten. Utövandet av de registrerades rättigheter får endast begränsas i följande situationer:

a)	Pågående utredningar, inspektioner eller övervakning som avses i artikel 75.2 e i förordning (EU) 2018/1139 och som utförs av byrån inom dess ansvarsområde, eller av de behöriga myndigheterna i enlighet med nationell rätt eller unionsrätt.

b)	Pågående förfaranden vid Europeiska unionens domstol eller någon annan behörig domstol enligt nationell eller internationell rätt.

2. I de fall kommissionen och byrån är personuppgiftsansvariga får de också begränsa de registrerades utövande av sina rättigheter endast i den utsträckning och så länge som det är absolut nödvändigt för att skydda den civila flygsäkerheten, i händelse av pågående it-säkerhetsutredningar som har en direkt eller indirekt inverkan på databasens funktion.

3. Alla begränsningar ska vara föremål för en nödvändighets- och proportionalitetsbedömning och ska vara begränsade i omfattning och tid.

4. Den registrerade vars utövande av sina rättigheter begränsas ska informeras om skälen till och omfattningen av begränsningen.

Artikel 16

Lagringstid för personuppgifter

1. De behöriga användarna ska

lagra personuppgifter i databasen i högst tio år från och med den dag då handlingen upphör att gälla, eller från och med den dag då den inte längre är giltig, inbegripet alla handlingar som krävs för de förfaranden som avses i förordning (EU) 2018/1139, såvida inte en annan period krävs enligt nationell lagstiftning,

b)	radera personuppgifter från databasen så snart lagringsperioden har löpt ut.

2. Databasen ska ha de tekniska medel som krävs för att möjliggöra

a)	automatisk radering av personuppgifter när lagringsperioden har löpt ut,

b)	automatisk pseudonymisering, eller andra tekniska lösningar med motsvarande verkan, av personuppgifter som lagras för arkivändamål.

Artikel 17

Behandling för arkivändamål eller historiska forskningsändamål av intresse för flygsäkerheten

1. När lagringsperioden har löpt ut får byrån lagra personuppgifter från databasen i ett separat register för arkivändamål och historiska forskningsändamål.

2. Sådana personuppgifter ska begränsas till vad som är absolut nödvändigt för att uppnå arkiv- och forskningsändamål av intresse för luftfartssäkerheten och i överensstämmelse med principen om uppgiftsminimering enligt artikel 89 i förordning (EU) 2016/679 och artikel 13 i förordning (EU) 2018/1725.

3. Byrån ska utarbeta åtkomstprotokoll för registret. Artiklarna 4, 5 samt 9–12 ska tillämpas på detta register.

KAPITEL V

SLUTBESTÄMMELSER

Artikel 18

Ikraftträdande och tillämpning

1. Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2. Kapitel I och II ska tillämpas från och med den 1 april 2025.

3. Kraven avseende de informationsobjekt som utfärdas efter denna förordnings ikraftträdande ska tillämpas

a)	från och med den 1 januari 2027 för grupp A-kategorin i bilaga I,

b)	från och med den 1 januari 2028 för grupp B-kategorin i bilaga I,

c)	från och med den 1 januari 2029 för grupp C-kategorin i bilaga I.

4. Kraven avseende de informationsobjekt som är giltiga och har utfärdats före ikraftträdandet av denna förordning och som förtecknas i bilaga I ska tillämpas från och med den 1 januari 2029.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 12 oktober 2023.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 212, 22.8.2018, s. 1.

(2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(3) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(4) https://www.easa.europa.eu/document-library/opinions.

(5) Kommissionens genomförandeförordning (EU) 2019/947 av den 24 maj 2019 om regler och förfaranden för drift av obemannade luftfartyg (EUT L 152, 11.6.2019, s. 45).

(6) Kommissionens genomförandeförordning (EU) 2021/664 av den 22 april 2021 om ett regelverk för U-space (EUT L 139, 23.4.2021, s. 161).

BILAGA I

Förteckning över informationsobjekt

Informationsobjekt	Prioritetsgrupper
Licenser
Flygcertifikat	A
Validering av flygcertifikat	A
Flygledarcertifikat	A
Certifikat för luftfartygsunderhåll	B
Certifikat – organisationer
Certifikat för leverantör som tillhandahåller flygledningstjänster/flygtrafiktjänster (ATM/ANS)	B
Certifikat för flygplatsoperatör	B
Drifttillstånd (AOC)	B
Certifikat för flygplatsutrustning	B
Luftvärdighetsbevis (CofA)	B
Kvalificeringscertifikat för utbildningshjälpmedel för flygsimulering (FSTD)	C
Drifttillstånd för lätt UAS (LUC)	A
Drifttillstånd för UAS	C
Certifikat för leverantör av U-space-tjänster	B
Certifikat för leverantör av gemensamma informationstjänster	B
Certifikat – personal
Certifikat för teoretisk utbildning av fjärrpilot	C
Kontrollantbehörighet	A
Instruktörsbehörighet	A
Certifikat för centrum för bedömning av språkkunskaper	C
Certifikat – produkter/utrustning
Typcertifikat (TC)	B
Kompletterande typcertifikat (STC)	B
Begränsat typcertifikat (RTC)	B
Datablad för typcertifikat	C
Miljövärdighetsbevis (buller)	C
Begränsat miljövärdighetsbevis (buller)	C
Granskningsbevis avseende luftvärdighet	C
Begränsat luftvärdighetsbevis (RCofA)	C
Godkännande av större/mindre ändringar	C
Godkännande av underlag för större/mindre reparation	C
Certifikat för system och komponenter för flygledningstjänster/flygtrafiktjänster (ATM/ANS)	B
Certifikat – medicinska
Certifikat för flygläkare	A
Certifikat för flygmedicinska centrum (AeMC)	A
Certifikat för flygläkare för flygledare (ATCO)	A
Medicinskt intyg för flygledare (ATCO)	A
Ansökningsformulär för medicinskt intyg för piloter	A
Formulär för medicinsk undersökning av pilot och styrkande medicinska intyg	A
Medicinskt intyg för pilot	A
Deklarationer
Deklaration från leverantör som tillhandahåller flyginformationstjänster	B
Deklaration från leverantör av ledningstjänster för trafik på plattan	B
Deklaration från leverantör av marktjänster	B
System och komponenter för flygledningstjänster/flygtrafiktjänster (ATM/ANS) – deklaration	B
System och komponenter för flygledningstjänster/flygtrafiktjänster (ATM/ANS) – försäkran om överensstämmelse	B
Deklaration från operatör som leverantör av teknisk utbildning STS	C
NCC- och SPO-deklarationer från luftfartygsoperatörer	C
Operativ deklaration för UAS STS	A
Intyg och rapporter
Kabinbesättningsintyg	C
Medicinsk rapport för kabinbesättning	C
Undantag
Undantag för (sammanlagd) varaktighet som överstiger åtta månader – beslut	B
Undantag för (sammanlagd) varaktighet som överstiger 8 månader – underrättelse	B
Undantag för (sammanlagd) varaktighet som överstiger åtta månader – rekommendation	B
Undantag för (sammanlagd) varaktighet upp till åtta månader – underrättelse	A
Undantag från krav på certifikat för flygledningstjänster/flygtrafiktjänster (ATM/ANS) som leverantör – beslut	C
Undantag från krav på certifikat för flygledningstjänster/flygtrafiktjänster (ATM/ANS) som leverantör – underrättelse	C
Undantag från krav på certifikat för flygledningstjänster/flygtrafiktjänster (ATM/ANS) som leverantör	C
Godkännanden
Flygtillstånd – godkännande av flygförhållanden	A
Flygtillstånd	A
Godkännande av rapport från instansen för översyn av underhållet (Maintenance Review Board – MRB)	C
Teoriprov (ECQB)	C
Godkännanden av kombinerad organisation som svarar för fortsatt luftvärdighet (CAOA) – Del-CAO	B
Godkännanden av organisation som svarar för fortsatt luftvärdighet (CAMOA)	B
Godkännanden av underhållsorganisation (MOA) – Del M kapitel F Easa-blankett 3-MF	B
Godkännanden av underhållsorganisation (MOA) – Del-145	B
Godkännanden av organisation för underhållsutbildning (MTOA) – Del-147	B
Godkännandebrev (Tillverkning utan godkännande av tillverkningsorganisation)	C
Godkännanden av tillverkningsorganisation (POA)	B
Godkännanden av alternativt förfarande för konstruktionsorganisation (APDOA)	C
Godkännanden av konstruktionsorganisation (DOA)	B
Godkännande av konstruktion eller produktion av utrustning för flygledningstjänster och flygtrafiktjänster (ATM/ANS)	B
Utbildningsorganisationer för flygledare (ATCO)	B
Godkännande av utbildningsorganisation för utbildning av kabinbesättning (CCTO)	C
Godkännande av utbildningsorganisation (ATO) (pilot)	C
Deklarerad utbildningsorganisation (DTO) för pilot	C
Godkännande av utbildningsorganisation för rampinspektion (RITO)	B
Beslut
Val att tillämpa särskilda bestämmelser i grundförordningen för förtecknade verksamheter – beslut	C
Ogiltigförklaring och erkännande av certifikat eller deklarationer	C
Beslut om undantag från grundförordningens bestämmelser för flygplatser	C
Gemensamt ansvar för uppgifter rörande luftfartygsoperatörer som medverkar i kommersiell lufttransport	C
Förslag till ändring av genomförandeakt/delegerad akt	C
Ackreditering som behörigt organ	C
Förslag till individuellt system för specificering av flygtid (IFTSS)	C
Underrättelser om system för flygtidsbegränsningar (FTL)	C
Bekräftelse till operatör om att uppdaterade kompenserande åtgärder är godtagbara och lokala villkor uppfyllda vid gränsöverskridande drift	C
Registrering av UAS-operatör	A
Beslut av en medlemsstat om utseende av en enda leverantör av gemensamma informationstjänster	B
Åtgärder
Omedelbar åtgärd som vidtagits som reaktion på ett allvarligt säkerhetsproblem (beslut)	B
Omedelbar åtgärd som vidtas till följd av ett allvarligt säkerhetsproblem (rekommendation)	B
Omedelbara åtgärder som vidtas som svar på ett allvarligt säkerhetsproblem (anmälan)	B
Informationsbulletiner om konfliktområden (CZIB) – Åtgärder	B
Opt-in (artikel 2.6) att tillämpa särskilda bestämmelser i grundförordningen för förtecknade verksamheter (anmälan)	C
Beslut att tillämpa särskilda bestämmelser i grundförordningen för förtecknade verksamheter (rekommendation)	C
Beslut om att undanta luftfartygskategorier från särskilda bestämmelser i grundförordningen	C
Övriga
Operatör – driftsspecifikationer	C
Auktorisation som tredjelandsoperatör (TCO)	B
Kommersiell specialiserad flygverksamhet av högriskkaraktär – auktorisation	B
Registrering av certifierad anordning för UAS	A
ETSO-tillstånd (ETSOA)	C
Avvikelse från ETSO	C
Förslag till ändring av genomförandeakt/delegerad akt – underrättelse	B
Förslag till ändring av genomförandeakt/delegerad akt – rekommendation	B
Förteckning över medlemsstater och organisationer som har överfört ansvar, omfördelade uppgifter (i enlighet med artiklarna 64 och 65) och ansvarig behörig myndighet efter omfördelning	C
Luftvärdighetsdirektiv (AD), säkerhetsdirektiv, säkerhetsinformationsbulletiner (SIB)	C
Utkast till rekommendationer till svar på Icaos skrivelser	C
Checklista för efterlevnad av Icaos standarder och rekommenderade metoder (SARP)	C
Rekommendationer till svar på Icaos skrivelser	C
Begäranden om alternativa sätt att uppfylla kraven	C

BILAGA II

KLASSIFICERING AV INFORMATIONEN

Detaljerade definitioner av märkningen i enlighet med artikel 7.2

PERSONLIG INTEGRITET graderas i enlighet med nedanstående kategorier:

ID	Namn på graderingen av personlig integritet	Beskrivning av gradering av personlig integritet
PRIV-2	Känsliga personuppgifter	Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening; behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person; uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning; uppgifter som rör fällande domar i brottmål och lagöverträdelser
PRIV-1	Icke-känsliga personuppgifter	All information som avser en identifierad eller identifierbar fysisk person (den registrerade); en identifierbar person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till ett identifikationsnummer eller en eller flera faktorer som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet och i den utsträckning de inte avslöjar aspekter av den registrerade som utgör känsliga personuppgifter.
PRIV-0	Icke-personuppgifter	Information som inte hänför sig till en fysisk person eller som inte leder till identifiering av en fysisk person, t.ex. anonymiserade personuppgifter.

KONFIDENTIALITET klassificeras i enlighet med nedanstående nivåer:

Namn på klassificeringsnivån

Beskrivning av klassificeringsnivån

CONF-3

Katastrofal

Information vars obehöriga röjande skulle få en eller flera av följande konsekvenser:

—	Ekonomiska konsekvenser på > tio miljoner EUR

—	Betydande skadeståndsanspråk från behöriga användare av luftfartsdatabasen och/eller berörda parter

—	Betydande konkurrensnackdelar för behöriga användare av luftfartsdatabasen och/eller berörda parter

—	Omöjligt för behöriga användare av luftfartsdatabasen att uppnå sina mål

—	Total förlust av berörda parters och allmänhetens förtroende

—	Total förlust av anseende

—	Byrån som organisation ifrågasätts

CONF-2

Betydande

Information vars obehöriga röjande skulle få en eller flera av följande konsekvenser:

—	Ekonomiska konsekvenser på en till tio miljoner EUR

—	Medelhöga skadeståndsanspråk från behöriga användare av luftfartsdatabasen och/eller berörda parter

—	Betydande skada för anseendet inom det specifika verksamhetsområdet, negativ publicitet i både fackpress och allmän press

—	Minskat förtroende hos berörda parter för den specifika verksamhetsprocessen

—	Överträdelse av reglerings- och tillsynsmässiga skyldigheter

—	Överträdelse av rättsliga skyldigheter

—	Överträdelse av avtalsenliga krav

CONF-1

Begränsad

Information vars obehöriga röjande skulle få en eller flera av följande konsekvenser:

—	Ekonomiska konsekvenser på < en miljon EUR

—	Mindre skadeståndsanspråk från behöriga användare av luftfartsdatabasen och/eller berörda parter

—	Anseende – begränsad negativ publicitet i specialiserad media

—	Minskat förtroende hos interna intressenter för den specifika verksamhetsprocessen

CONF-0

Ingen påverkan

Information vars obehöriga röjande skulle leda till att anseendet för de behöriga användarna av luftfartsdatabasen inte överensstämmer med den bild som önskas, men

—	ingen pressbevakning – informationen är redan offentlig

—	ingen påverkan för berörda parter

—	inga ekonomiska konsekvenser

DATAINTEGRITET klassificeras i enlighet med nedanstående nivåer:

Namn på dataintegritetsnivån

Beskrivning av klassificeringsnivån

INTGR-3

Katastrofal

Information i denna kategori som förvanskas och/eller komprometteras skulle få en eller flera av följande konsekvenser:

—	Ekonomiska förluster på > tio miljoner EUR

—	Betydande skadeståndsanspråk från behöriga användare av luftfartsdatabasen och/eller berörda parter

—	Betydande konkurrensnackdelar för behöriga användare av luftfartsdatabasen och/eller berörda parter; omöjligt för behöriga användare av luftfartsdatabasen att uppnå sina mål

—	Total förlust av berörda parters och allmänhetens förtroende

—	Total förlust av anseende

—	Byrån som organisation ifrågasätts

INTGR-2

Betydande

Information i denna kategori som förvanskas och/eller komprometteras skulle få en eller flera av följande konsekvenser:

—	Ekonomiska konsekvenser på en till tio miljoner EUR

—	Medelhöga skadeståndsanspråk från behöriga användare av luftfartsdatabasen och/eller berörda parter

—	Betydande skada för anseendet inom det specifika verksamhetsområdet, negativ publicitet i både fackpress och allmän press

—	Minskat förtroende hos berörda parter för den specifika verksamhetsprocessen

—	Överträdelse av reglerings- och tillsynsmässiga skyldigheter

—	Överträdelse av rättsliga skyldigheter

—	Överträdelse av avtalsenliga krav

INTGR-1

Begränsad

Information vars obehöriga röjande skulle få en eller flera av följande konsekvenser:

—	Ekonomiska konsekvenser på < en miljon EUR

—	Mindre skadeståndsanspråk från behöriga användare av luftfartsdatabasen och/eller berörda parter

—	Anseende – begränsad negativ publicitet i specialiserad media

—	Minskat förtroende hos interna intressenter för den specifika verksamhetsprocessen

INTGR-0

Ingen påverkan

Information vars obehöriga röjande skulle leda till att anseendet för de behöriga användarna av luftfartsdatabasen inte överensstämmer med den bild som önskas, men

—	ingen pressbevakning

—	informationen är redan offentlig

—	ingen påverkan för berörda parter

—	inga ekonomiska konsekvenser

TILLGÄNGLIGHET klassificeras i enlighet med nedanstående nivåer:

ID	Namn på tillgänglighetsnivån	Beskrivning av klassificeringsnivån
AVAIL-3	Katastrofal	Vid störningar måste tillgången till information återupprättas inom högst 24 timmar (inbegripet nätter och veckoslut)
AVAIL-2	Betydande	Vid störningar måste tillgången till information återupprättas inom högst en kalendervecka
AVAIL-1	Begränsad	Vid störningar måste tillgången till information återupprättas inom högst två kalenderveckor
AVAIL-0	Ingen påverkan	Vid störningar måste tillgången till information återupprättas inom högst en månad

ELI: http://data.europa.eu/eli/reg_impl/2023/2117/oj

ISSN 1977-0820 (electronic edition)