Akty Prawne
Dziennik Urzędowy Unii Europejskiej - Seria C
Dz.U.UE.C.2022.288.7

Zawiadomienie Komisji w sprawie wytycznych dotyczących procedury akredytacji, zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów ustanowionej w załączniku X do rozporządzenia (UE) 2018/858

Zawiadomienie Komisji w sprawie wytycznych dotyczących procedury akredytacji, zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów ustanowionej w załączniku X do rozporządzenia (UE) 2018/858

(2022/C 288/02)

Rozporządzeniem delegowanym Komisji (UE) 2021/1244 1 zmieniono załącznik X do rozporządzenia (UE) 2018/858 2 , a w szczególności dodano nowy dodatek, w którym ustanowiono procedurę zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów.

Związane z tą procedurą zobowiązania prawne dotyczące roli i zakresów odpowiedzialności organów zaangażowanych w zatwierdzanie i autoryzację niezależnych podmiotów i ich pracowników w zakresie uzyskania dostępu do związanych z zabezpieczeniami informacji dotyczących naprawy i konserwacji pojazdów określono w dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. Zgodnie z załącznikiem X pkt 6.3 w załączniku do niniejszego zawiadomienia Komisji określono wymogi funkcjonalne dotyczące stosowania procedury jako uzupełnienie zobowiązań prawnych za pomocą przykładów i przypadków użycia.

ZAŁĄCZNIK

Wymogi funkcjonalne: przypadki użycia

SERMI - PRZYPADEK UŻYCIA 1 Wnioski o wprowadzenie zmian w procesie akredytacji oraz monitorowanie wdrażania w poszczególnych państwach członkowskich

Podmiot	Członkowie "forum na rzecz dostępu do RMI pojazdu związanych z zabezpieczeniami" lub "SERMI" i Komisja
Cel	Podmioty mogą złożyć wniosek o wprowadzenie zmian w systemie.
Przypadek użycia - sytuacja początkowa	Wniosek o wprowadzenie zmian w systemie uzyskiwania związanych z zabezpieczeniami informacji dotyczących naprawy i konserwacji (RMI)
Przypadek użycia - rezultat	Zaktualizowany system uzyskiwania RMI związanych z zabezpieczeniami (w stosownych przypadkach)
Opis	SERMI rozpatruje wnioski o wprowadzenie zmian w systemie. Jego członkowie dokonują oceny i aktualizują system. SERMI doradza Komisji w sprawie wniosków o wprowadzenie zmian w procesie akredytacji.

SERMI - PRZYPADEK UŻYCIA 2 Wybór centrum zaufania/centrów zaufania

Podmiot	Centrum zaufania (TC)
Cel	Wyznaczenie TC.
Przypadek użycia - sytuacja początkowa	Wniosek TC do SERMI, które ocenia, czy TC spełnia wszystkie wymogi funkcjonalne i techniczne.
Przypadek użycia - rezultat	Przyjęcie lub odrzucenie wniosku TC. Zaktualizowany wykaz wybranych TC.
Opis	SERMI rozpatruje wnioski TC ubiegających się o wybór zgodnie z kryteriami określonymi w pkt 4.1.2 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858, SERMI tworzy i aktualizuje wykaz wybranych TC. Komisja otrzymuje powiadomienie.

SERMI - PRZYPADEK UŻYCIA 3 Opracowanie podręcznika dotyczącego wdrażania na potrzeby interakcji między zaangażowanymi podmiotami

Podmiot	SERMI i Komisja
Cel	Wykorzystanie podręcznika dotyczącego wdrożenia przez producentów pojazdów i TC w celu dokonania prawidłowego wdrożenia wymaganych standardów komunikacyjnych Online Certificate Status Protocol (OCSP) i Simple Object Access Protocol (SOAP).
Przypadek użycia - sytuacja początkowa	Informacje i znane normy.
Przypadek użycia - rezultat	Podręcznik dotyczący wdrażania zawierający wszystkie wymagane informacje dotyczące interfejsów komunikacyjnych.
Opis	SERMI przekazuje Komisji uwagi dotyczące możliwości utworzenia i prowadzenia podręcznika dotyczącego wdrażania z uwzględnieniem zwiększających się w czasie wymagań w zakresie bezpieczeństwa i udoskonalanych technologii.

KRAJOWA JEDNOSTKA AKREDYTUJĄCA - PRZYPADEK UŻYCIA 1 Akredytacja jednostki oceniającej zgodność

Podmiot	Jednostka oceniająca zgodność
Cel	Akredytowana jednostka oceniająca zgodność
Przypadek użycia - sytuacja początkowa	Przekazanie formularza wniosku przez jednostkę oceniającą zgodność w celu rozpatrzenia przez krajową jednostkę akredytującą.
Przypadek użycia - rezultat	Jednostka oceniająca zgodność zostaje akredytowana lub nie zostaje akredytowana. Sprawozdanie krajowej jednostki akredytującej dotyczące akredytacji jednostki oceniającej zgodność.
Opis	Krajowa jednostka akredytująca przekazuje jednostce oceniającej zgodność formularz akredytacyjny do wypełnienia. Organizacja ubiegająca się o status jednostki oceniającej zgodność wypełnia formularz akredytacyjny. Krajowa jednostka akredytująca ocenia, czy dana organizacja spełnia wszystkie określone wymogi. Akredytacja ma zapewnić ocenę jednostki oceniającej zgodność pod kątem spełnienia normy "Ocena zgodności - Wymagania dotyczące działania różnych rodzajów jednostek przeprowadzających inspekcję" (ISO/IEC 17020:2012) jako jednostka kontrolująca typu A. Jednostka oceniająca zgodność występuje z wnioskiem o akredytację zgodnie z art. 7 rozporządzenia (WE) nr 765/2008.

KRAJOWA JEDNOSTKA AKREDYTUJĄCA - PRZYPADEK UŻYCIA 2 Rozpatrywanie skarg przeciwko jednostkom oceniającym zgodność

Zgodnie z art. 9 ust. 4 rozporządzenia (WE) nr 765/2008 krajowe jednostki akredytujące wprowadzają procedury konieczne do rozpatrywania skarg przeciwko jednostkom oceniającym zgodność, którym udzieliły akredytacji.

Obowiązki krajowej jednostki akredytującej obejmują:

a) decydowanie o dopuszczalności skargi,

b) zapewnienie, aby na skargę dotyczącą akredytowanej jednostki oceniającej zgodność odpowiedziała w pierwszej kolejności zainteresowana jednostka oceniająca zgodność,

c) w stosownych przypadkach zastosowanie odpowiednich środków naprawczych w rozsądnym terminie,

d) rejestrowanie wszystkich skarg i podjętych działań oraz

e) udzielenie odpowiedzi skarżącemu.

W toku procesu rozpatrywania skargi przez krajową jednostkę akredytującą zachowują ważność wszystkie istniejące zatwierdzenia niezależnego podmiotu, wszystkie autoryzacje pracowników, świadectwa kontroli i środki naprawcze wydane przez tę jednostkę oceniającą zgodność zachowują ważność.

Jeżeli krajowa jednostka akredytująca podejmie decyzję o wycofaniu akredytacji jednostki oceniającej zgodność, tracą ważność wszystkie zatwierdzenia niezależnego podmiotu i związane z nimi świadectwa kontroli zatwierdzenia oraz świadectwa kontroli autoryzacji wszystkich pracowników wydane przez tę jednostkę oceniającą zgodność. Następnie jednostka oceniająca zgodność powiadamia zatwierdzony niezależny podmiot o tej decyzji. Krajowa jednostka akredytująca powiadamia SERMI i Komisję o decyzji.

Podmiot	Niezależny podmiot, TC, producent pojazdów, właściwe organy.
Cel	Rozpatrywanie skarg.
Przypadek użycia - sytuacja początkowa	Skarga na jednostkę oceniającą zgodność.
Przypadek użycia - rezultat	Rozstrzygnięcie skargi na jednostkę oceniającą zgodność.
Opis	Skargi rozstrzyga się na szczeblu lokalnym między jednostką oceniającą zgodność a skarżącym. Skargi nierozstrzygnięte na szczeblu lokalnym można przekazać do dalszego rozpatrzenia przez krajową jednostkę akredytującą zgodnie z art. 9 ust. 4 rozporządzenia (WE) nr 765/2008.

KRAJOWA JEDNOSTKA AKREDYTUJĄCA - PRZYPADEK UŻYCIA 3 Wykaz akredytowanych jednostek oceniających zgodność sporządzony przez krajową jednostkę akredytującą

Podmiot	Krajowa jednostka akredytująca
Cel	Krajowa jednostka akredytująca prowadząca zaktualizowany wykaz wszystkich akredytowanych jednostek oceniających zgodność.
Przypadek użycia - sytuacja początkowa	Akredytowane jednostki oceniające zgodność.
Przypadek użycia - rezultat	Wykaz akredytowanych jednostek oceniających zgodność dla poszczególnych państw
Opis	Krajowa jednostka akredytująca tworzy, prowadzi i publikuje wykaz wszystkich akredytowanych jednostek oceniających zgodność dla poszczególnych państw.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 1 Nawiązanie przez jednostkę oceniającą zgodność relacji biznesowych z centrum zaufania

Podmiot	Jednostka oceniająca zgodność
Cel	Jednostka oceniająca zgodność zawiera umowę z wybranym centrum zaufania figurującym w opublikowanym przez SERMI wykazie wybranych centrów zaufania
Przypadek użycia - sytuacja początkowa	Umowa między jednostką oceniającą zgodność a wybranym centrum zaufania z wykazu zaakceptowanych centrów zaufania opublikowanego przez SERMI (zob. część "SERMI - PRZYPADEK UŻYCIA 2").
Przypadek użycia - rezultat	Zawarcie umowy między jednostką oceniającą zgodność a centrum zaufania.
Opis	Jednostka oceniająca zgodność nawiązuje relację biznesową z jednym wybranym centrum zaufania według opublikowanego przez SERMI wykazu w celu: a) utworzenia rejestrów certyfikatów cyfrowych i autoryzacji; b) utrzymania statusu zatwierdzenia i autoryzacji (w razie konieczności przesłanie "nowych" certyfikatów; c) przesłania certyfikatu cyfrowego oraz listu z kodem PIN do przekazania pracownikowi niezależnego podmiotu przez jednostkę oceniającą zgodność. Jednostka oceniająca zgodność zawiera tylko jedną umowę z jednym centrum zaufania.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 2 Jednostka oceniająca zgodność przeprowadza kontrolę niezależnego podmiotu do celów zatwierdzenia

Podmiot	Niezależny podmiot
Cel	Zatwierdzenie niezależnego podmiotu, aby mógł wskazać pracowników, który uzyskają autoryzację zapewniającą dostęp do RMI związanych z zabezpieczeniami.
Przypadek użycia - sytuacja początkowa	Wypełnienie formularza wniosku wymaganego przez jednostkę oceniającą zgodność. Formularz wniosku zawiera kryteria wymienione w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858.
Przypadek użycia - rezultat	Świadectwo w formie papierowej zawierające wynik kontroli zatwierdzenia niezależnego podmiotu.
Opis	Niezależny podmiot przesyła formularz wniosku wraz ze wszystkimi niezbędnymi dokumentami jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność weryfikuje dokumenty i sprawdza, czy niezależny podmiot został już poddany kontroli przez inną jednostkę oceniającą zgodność. Jeżeli kryteria zatwierdzenia niezależnego podmiotu (pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858) zostały spełnione, jednostka oceniająca zgodność przesyła niezależnemu podmiotowi świadectwo kontroli zatwierdzenia w formie papierowej. Jednostka oceniająca zgodność powiadania - w sposób możliwy do skontrolowania - pozostałe jednostki oceniające zgodność w danym państwie, jeżeli niezależny podmiot nie przejdzie pomyślnie kontroli prowadzonej przez tę jednostkę oceniającą zgodność. Jednostka oceniająca zgodność weryfikuje spójność danych przedstawionych przez niezależny podmiot przez cały czas trwania procesu. Każdy pracownik niezależnego podmiotu, który uzyskuje autoryzację dostępu do informacji dotyczących zabezpieczeń, zostaje zarejestrowany w tej samej jednostce oceniającej zgodność i TC. Każdy zatwierdzony niezależny podmiot może zostać poddany niezapowiedzianej wyrywkowej kontroli na miejscu. Kontrola taka będzie mieć miejsce jeden raz w trakcie okresu ważności zatwierdzenia niezależnego podmiotu.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 3 Kontrole na miejscu prowadzone przez jednostkę oceniającą zgodność

Podmiot	Jednostka oceniająca zgodność
Cel	Co najmniej jedna wyrywkowa i niezapowiedziana kontrola ma miejscu każdego zatwierdzonego niezależnego podmiotu w trakcie okresu ważności zatwierdzenia oraz kontrola na miejscu na wniosek niezależnego podmiotu w okresie sześciu miesięcy przed wygaśnięciem zatwierdzenia w celu zapewnienia poprawności informacji podanych we wniosku oraz wdrożenia wymogów proceduralnych i ich stosowania w codziennej działalności, zgodnie z oświadczeniem niezależnego podmiotu zawartym we wniosku o udzielenie zatwierdzenia. Kontrola przeprowadzona w ciągu ostatnich sześciu miesięcy będzie również stanowić podstawę do przedłużenia zatwierdzenia niezależnego podmiotu. Skarga przeciwko zatwierdzonemu niezależnemu podmiotowi lub autoryzowanemu pracownikowi niezależnego podmiotu warunkuje konieczność przeprowadzenia kontroli na miejscu.
Przypadek użycia - sytuacja początkowa	Niezapowiedziana wizyta w siedzibie niezależnego podmiotu. Wizyta w siedzibie niezależnego podmiotu na jego wniosek w ciągu ostatnich sześciu miesięcy ważności zatwierdzenia tego niezależnego podmiotu na podstawie skargi.
Przypadek użycia - rezultat	Potwierdzenie lub cofnięcie zatwierdzenia niezależnego podmiotu. W przypadku cofnięcia zatwierdzenia niezależnego podmiotu zostają cofnięte autoryzacje pracowników niezależnego podmiotu, a centrum zaufania otrzymuje powiadomienie o cofnięciu odpowiednich certyfikatów cyfrowych. Przedłużenie zatwierdzenia niezależnego podmiotu (JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 4)
Opis	Jednostka oceniająca zgodność składa wizytę niezależnemu podmiotowi i przeprowadza kontrolę na miejscu, sprawdzając zgodność z kryteriami wymienionymi w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. W celu przeprowadzenia kontroli na miejscu jednostka oceniająca zgodność może wystąpić z wnioskiem o pomoc organów nadzoru rynku państwa członkowskiego, w którym ma siedzibę. Na podstawie ustaleń poczynionych w toku kontroli zatwierdzenie niezależnego podmiotu zostaje potwierdzone lub cofnięte. Jednostka oceniająca zgodność umożliwia niezależnemu podmiotowi korektę niewielkich niedociągnięć w przypadku negatywnego wyniku kontroli na miejscu zgodnie z pkt 4.3.1 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. Końcowy negatywny wynik kontroli skutkuje cofnięciem zatwierdzenia niezależnego podmiotu, autoryzacji pracowników niezależnego podmiotu oraz certyfikatów cyfrowych pracowników niezależnego podmiotu wydanych przez centrum zaufania.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 4 Jednostka oceniająca zgodność przeprowadza kontrolę niezależnego podmiotu w celu przedłużenia zatwierdzenia

Podmiot	Niezależny podmiot
Cel	Przedłużenie zatwierdzenia niezależnego podmiotu
Przypadek użycia - sytuacja początkowa	Wypełnienie wniosku wymaganego przez jednostkę oceniającą zgodność. Formularz wniosku zawiera kryteria wymienione w pkt 4.3.2 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858. Uzyskanie pozytywnego wyniku kontroli na miejscu przeprowadzonejprzez jednostkę oceniającą zgodność na wniosek niezależnego podmiotu w ciągu 6 miesięcy przed upływem terminu ważności zatwierdzenia.
Przypadek użycia - rezultat	Świadectwo w formie papierowejzawierające wynik kontroli w celu przedłużenia zatwierdzenia niezależnego podmiotu. Wygaśnięcie zatwierdzenia niezależnego podmiotu, autoryzacji pracowników niezależnego podmiotu oraz cofniecie certyfikatów cyfrowych w przypadku negatywnego wyniku kontroli lub odrzucenia wniosku o przedłużenie.
Opis	Zatwierdzenie należy przedłużyć po upływie 60 miesięcy. Przed wygaśnięciem zatwierdzenia jednostka oceniająca zgodność powiadamia niezależny podmiot o zbliżającym się wygaśnięciu. Powiadomienie o wygaśnięciu zatwierdzenia następuje z sześciomiesięcznym wyprzedzeniem. Niezależny podmiot występuje z wnioskiem o kontrolę na miejscu ze strony jednostki oceniającej zgodność. Jednostka oceniająca zgodność przeprowadza kontrolę na miejscu. Jeżeli wynik jest negatywny jednostka oceniająca zgodność cofa zatwierdzenie niezależnego podmiotu i autoryzacje pracowników niezależnego podmiotu. Jednostka oceniająca zgodność wydaje TC dyspozycję wycofania certyfikatów pracowników niezależnego podmiotu. Niezależny podmiot przesyła w sposób możliwy do skontrolowania wszystkie dokumenty jednostce oceniającej zgodność dwa miesiące przed wygaśnięciem zatwierdzenia. Jednostka oceniająca zgodność weryfikuje dokumenty i sprawdza, czy niezależny podmiot został już zatwierdzony lub odrzucony przez inną jednostkę oceniającą zgodność. Jednostka oceniająca zgodność weryfikuje zgodność z pojęciem legalnejdziałalności gospodarczej określonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858. Pomocy jednostce oceniającej zgodność może udzielać organ nadzoru rynku w państwie członkowskim, w którym jednostka ta ma siedzibę. Jeżeli kryteria zatwierdzenia niezależnego podmiotu (zob. pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858) zostały spełnione, jednostka oceniająca zgodność przesyła niezależnemu podmiotowi świadectwo kontroli zatwierdzenia w formie papierowej. Jednostka oceniająca zgodność powiadania - w sposób możliwy do skontrolowania - pozostałe jednostki oceniające zgodność w danym państwie, jeżeli niezależny podmiot nie przejdzie pomyślnie kontroli prowadzonej przez tę jednostkę oceniającą zgodność. Jednostka oceniająca zgodność weryfikuje spójność danych przedstawionych przez niezależny podmiot przez cały czas trwania procesu. Każdy pracownik niezależnego podmiotu, który uzyskuje autoryzację dostępu do informacji dotyczących zabezpieczeń w następstwie kontroli autoryzacji opisanej w przypadku użycia 6 dotyczącym oceny zgodności, zostaje zarejestrowany w tej samej jednostce oceniającej zgodność i TC.

JEDNOSTKA BADAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 5 Obsługiwanie danych niezależnego podmiotu przez jednostkę oceniającą zgodność

Podmiot	Niezależny podmiot
Cel	Korekta danych niezależnego podmiotu.
Przypadek użycia - sytuacja początkowa	Niezależny podmiot zwraca się do odpowiedniej jednostki oceniającej zgodność z wnioskiem o zmianę danych niezależnego podmiotu. Niezależny podmiot przedstawia odpowiednie uzasadnienie tej zmiany i przekazuje je jednostce oceniającej zgodność.
Przypadek użycia - rezultat	Zaktualizowane dane niezależnego podmiotu.
Opis	Niezależny podmiot przesyła wszystkie niezbędne dokumenty jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność sprawdza otrzymane dokumenty. Jeżeli jednostka oceniająca zgodność stwierdzi, że wniosek jest uzasadniony, dane zostają zmienione, a jednostka oceniająca zgodność wydaje niezależnemu podmiotowi zmienione świadectwo w formie papierowej.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 6 Jednostka oceniająca zgodność kontroluje pracownika niezależnego podmiotu na potrzeby autoryzacji

Podmiot	Pracownik niezależnego podmiotu
Cel	Autoryzacja pracownika lub pracowników niezależnego podmiotu
Przypadek użycia - sytuacja początkowa	Wypełnienie formularza wniosku dotyczącego kontroli, wymaganego przez jednostkę oceniającą zgodność. Formularz wniosku jest zgodny z kryteriami wymienionymi w pkt 4.3.4 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858.
Przypadek użycia - rezultat	Wyniki kontroli przesłane TC przez jednostkę oceniającą zgodność, aby TC: 1) wydało certyfikat elektroniczny dla pracownika niezależnego podmiotu; 2) utworzyło rejestr autoryzacji pracowników niezależnego podmiotu w bazie danych.
Opis	Pracownik niezależnego podmiotu przesyła wniosek oraz wszystkie niezbędne dokumenty jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność sprawdza, czy pracownik niezależnego podmiotu złożył wcześniej wniosek, który został odrzucony przez tę samą jednostkę oceniającą zgodność lub przez inną jednostkę oceniającą zgodność na szczeblu unijnym. Jednostka oceniająca zgodność sprawdza przedmiotowe dokumenty. Jeżeli kryteria autoryzacji pracownika niezależnego podmiotu (zob. pkt 4.3.4 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858) zostały spełnione, jednostka oceniająca zgodność informuje TC, aby wydało ono certyfikat elektroniczny (TC - PRZYPADEK UŻYCIA 1). Każdy pracownik niezależnego podmiotu ubiega się o autoryzację w tej samej jednostce oceniającej zgodność, w której jest zarejestrowany niezależny podmiot, którego jest pracownikiem. Weryfikacja prawidłowości i kompletności informacji przedstawionych przez niezależny podmiot w imieniu swoich pracowników podlega normie ISO 17020:2012 pkt 7.1.6.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 7 Pseudonimizacja danych osobowych w jednostce oceniającej zgodność

Podmiot	Jednostka oceniająca zgodność
Cel	Pseudonimizacja danych osobowych otrzymanych od pracownika lub pracowników niezależnego podmiotu
Przypadek użycia - sytuacja początkowa	Imię i nazwisko pracownika niezależnego podmiotu.
Przypadek użycia - rezultat	Niepowtarzalny identyfikator pracownika niezależnego podmiotu stosowany tak jak w certyfikacie cyfrowym.
Opis	Imię i nazwisko pracownika niezależnego podmiotu zostają przeniesione do niepowtarzalnego identyfikatora pracownika niezależnego podmiotu, który to identyfikator będzie stosowany w całym procesie uzyskania dostępu do RMI związanych z zabezpieczeniami. W ramach tego przypadku użycia zapewnia się, aby przetwarzanie danych osobowych odbywało się zgodnie z przepisami UE dotyczącymi ochrony podstawowych praw i wolności osób fizycznych, określonymi w rozporządzeniu (UE) 2016/679 i dyrektywie 2002/58/WE.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 8 Jednostka oceniająca zgodność przekazuje informacje TC na potrzeby wydania certyfikatu cyfrowego

Podmiot	Jednostka oceniająca zgodność
Cel	Wyposażenie pracownika niezależnego podmiotu w certyfikat cyfrowy.
Przypadek użycia - sytuacja początkowa	Przekazanie TC wyniku kontroli przeprowadzonej przez jednostkę oceniającą zgodność w odniesieniu do autoryzowanego pracownika.
Przypadek użycia - rezultat	Przesłanie jednostce oceniającej zgodność tokena bezpieczeństwa wraz z certyfikatem cyfrowym i oddzielnego PIN dla danego pracownika niezależnego podmiotu. Pracownik niezależnego podmiotu otrzymuje PIN powiązany z certyfikatem cyfrowym przekazany przez jednostkę oceniającą zgodność w sposób możliwy do skontrolowania.
Opis	Jednostka oceniająca zgodność przesyła do TC wszystkie dane niezbędne do przygotowania certyfikatu cyfrowego, tokena bezpieczeństwa i PIN.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 9 Kontrola pracownika niezależnego podmiotu przeprowadzana przez jednostkę oceniającą zgodność w celu przedłużenia autoryzacji

Podmiot	Pracownik niezależnego podmiotu
Cel	Przedłużenie autoryzacji pracownika
Przypadek użycia - sytuacja początkowa	Wypełnienie formularza wniosku dotyczącego kontroli, wymaganego przez jednostkę oceniającą zgodność. Formularz wniosku zawiera kryteria wymienione w pkt 4.3.4 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858.
Przypadek użycia - rezultat	Wynik kontroli na potrzeby przedłużenia autoryzacji pracownika niezależnego podmiotu.
Opis	Jednostka oceniająca zgodność powiadamia niezależny podmiot o dacie wygaśnięcia autoryzacji pracowników 6 miesięcy przed wygaśnięciem tej autoryzacji. Pracownik niezależnego podmiotu przesyła w sposób możliwy do skontrolowania wszystkie dokumenty jednostce oceniającej zgodność 2 miesiące przed wygaśnięciem autoryzacji. Przeprowadza się proces kontroli autoryzacji opisany w części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 6".

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 10 Obsługiwanie danych pracownika przez jednostkę oceniającą zgodność

Podmiot	Pracownik niezależnego podmiotu
Cel	Prawidłowe dane pracownika niezależnego podmiotu.
Przypadek użycia - sytuacja początkowa	Zwrócenie się do odpowiedniej jednostki oceniającej zgodność z wnioskiem o aktualizację danych pracownika niezależnego podmiotu. Pracownik niezależnego podmiotu wypełnia i podpisuje odpowiedni formularz przed jego przedłożeniem jednostce oceniającej zgodność.
Przypadek użycia - rezultat	Zaktualizowane dane pracownika niezależnego podmiotu.
Opis	Pracownik niezależnego podmiotu przesyła wszystkie niezbędne dokumenty jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność sprawdza otrzymane dokumenty. Jeżeli wniosek o aktualizację wpływa na dane przechowywane w certyfikacie cyfrowym, jednostka oceniająca zgodność powiadamia o tym TC na potrzeby wydania nowego certyfikatu cyfrowego (TC - PRZYPADEK UŻYCIA 1).

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 11 Procedura jednostki oceniającej zgodność w zakresie skarg

Podmiot	Jednostka oceniająca zgodność
Cel	Jednostka oceniająca zgodność stosuje udokumentowaną procedurę otrzymywania, oceny i podejmowania decyzji w sprawie skarg. Procedura ta jest zgodna z odpowiednimi przepisami krajowymi.
Przypadek użycia - sytuacja początkowa	Przepisy, normy i system SERMI.
Przypadek użycia - rezultat	Udokumentowana procedura rozpatrywania skarg
Opis	Jednostka oceniająca zgodność opracowuje i dokumentuje procedurę rozpatrywania skarg. Skargi rozstrzyga się na szczeblu lokalnym między jednostką oceniającą zgodność a skarżącym. Strony chcące złożyć oświadczenie dotyczące zauważonego problemu związanego z systemem powinny mieć możliwość skontaktowania się z odpowiednią jednostką oceniającą zgodność i przekazania wszystkich niezbędnych informacji. Jednostka oceniająca zgodność wprowadza procedury i zasoby niezbędne do przeprowadzenia kontroli na miejscu, jeżeli uzna, że taka kontrola jest odpowiednia do celów oceny skargi. Skargi nierozstrzygnięte na szczeblu lokalnym można przekazać do dalszego rozpatrzenia przez krajową jednostkę akredytującą zgodnie z art. 9 ust. 4 rozporządzenia (WE) nr 765/2008.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 12 Jednostka oceniająca zgodność rozpatruje skargę dotyczącą zatwierdzenia niezależnego podmiotu

Podmiot	Producent pojazdów, TC, odpowiedni organ
Cel	Jednostka oceniająca zgodność rozpatruje skargi dotyczące zatwierdzenia niezależnego podmiotu W wyniku przeprowadzonejprocedury zatwierdzenie niezależnego podmiotu zostaje cofnięte albo potwierdzone. Baza danych zatwierdzeń jest stale aktualizowana.
Przypadek użycia - sytuacja początkowa	Złożenie skargi wraz z wymaganymi informacjami zgodnie z procedurą określoną w części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 11".
Przypadek użycia - rezultat	Odrzucenie skargi. Albo Decyzja o cofnięciu zatwierdzenia niezależnego podmiotu w wyniku procedury skargi: 1) udokumentowane cofnięcie zatwierdzenia niezależnego podmiotu oraz sklasyfikowanie zatwierdzenia niezależnego podmiotu jako cofnięte w bazie danych zatwierdzeń; 2) cofnięte autoryzacje pracownika niezależnego podmiotu.
Opis	Jednostka oceniająca zgodność bada skargę w szczególności w drodze oceny, czy niezależny podmiot nadal spełnia kryteria określone w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858 oraz zapewnia zgodność z pojęciem legalnej działalności gospodarczej określonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858. Pomocy jednostce oceniającej zgodność może udzielać organ nadzoru rynku w państwie członkowskim, w którym jednostka ta ma siedzibę. Jeżeli nie można potwierdzić zasadności skargi, skarga zastaje odrzucona. Jednostka oceniająca zgodność ustala, czy konieczna jest kontrola na miejscu. Jednostka oceniająca zgodność ocenia w szczególności, czy niezależny podmiot nadal spełnia powyższe punkty. W przypadku potwierdzenia zasadności zatwierdzenie niezależnego podmiotu zostaje cofnięte. W przypadku cofnięcia jednostka oceniająca zgodność: 1) powiadamia niezależny podmiot o cofnięciu zatwierdzenia, 2) powiadamia odpowiednie TC, aby zatwierdzenie zostało niezwłocznie udokumentowane jako cofnięte oraz aby cofnąć wszystkie certyfikaty cyfrowe i autoryzacje pracowników danego niezależnego podmiotu, 3) powiadamia o cofnięciu wszystkie jednostki oceniające zgodność w swoim państwie członkowskim.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 13 Jednostka oceniająca zgodność rozpatruje skargę dotyczącą autoryzacji pracownika niezależnego podmiotu

Podmiot	Producent pojazdów, niezależny podmiot, TC, odpowiedni organ
Cel	Jednostka oceniająca zgodność rozpatruje skargi dotyczące autoryzacji pracownika niezależnego podmiotu. W wyniku przeprowadzonej procedury autoryzacja pracownika niezależnego podmiotu zostaje cofnięta albo potwierdzona przez TC. Dokonuje się aktualizacji wykazu cofniętych certyfikatów cyfrowych i bazy danych autoryzacji.
Przypadek użycia - sytuacja początkowa	Złożenie skargi wraz z wymaganymi informacjami zgodnie z procedurą określoną w części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 11".
Przypadek użycia - rezultat	Odrzucenie skargi. Albo Poinformowanie TC na potrzeby cofnięcia autoryzacji pracownika niezależnego podmiotu w wyniku procedury skargi: 1) rejestracja certyfikatu cyfrowego pracownika niezależnego podmiotu jako nieważny, 2) aktualizacja statusu autoryzacji pracownika niezależnego podmiotu do statusu "nieważny".
Opis	Jednostka oceniająca zgodność bada skargę. Jednostka oceniająca zgodność w szczególności przeprowadza ocenę kwestii, czy dany pracownik niezależnego podmiotu nadal spełnia kryteria określone w pkt 4.3.4 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858 lub bierze udział w działalności, która byłaby niezgodna z pojęciem legalnej działalności gospodarczejokreślonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858. Jednostka oceniająca zgodność ustala, czy konieczna jest kontrola na miejscu. Pomocy jednostce oceniającej zgodność może udzielać organ nadzoru rynku w państwie członkowskim, w którym jednostka ta ma siedzibę. Jeżeli nie można potwierdzić zasadności skargi, skarga zastaje odrzucona. W przypadku potwierdzenia zasadności autoryzacja pracownika niezależnego podmiotu zostaje cofnięta. Jednostka oceniająca zgodność powiadamia odpowiednie TC, aby certyfikat cyfrowy danego pracownika oraz jego autoryzacja zostały niezwłocznie cofnięte. Jednostka oceniająca zgodność powiadamia niezależny podmiot o cofnięciu autoryzacji jego pracownika.

JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 14 Dostarczanie danych statystycznych przez jednostkę oceniającą zgodność

Podmiot	Jednostka oceniająca zgodność
Cel	Jednostka oceniająca zgodność monitoruje zatwierdzania i autoryzacje.
Przypadek użycia - sytuacja początkowa	Wyniki kontroli na miejscu zatwierdzeń i autoryzacji.
Przypadek użycia - rezultat	Jednostka oceniająca zgodność przedstawia SERMI i Komisji kwartalne sprawozdanie w pierwszym roku swojej działalności, a następnie sprawozdania roczne (publikowane na stronie internetowej SERMI)
Opis	Jednostka oceniająca zgodność analizuje wyniki procesu kontroli zatwierdzeń/autoryzacji i przedstawia sprawozdanie zawierające następujące informacje: - liczbę dochodzeń, - iloraz: zatwierdzeń do wniosków, - iloraz: autoryzacji do wniosków, - najczęstsze przyczyny (w stosownych przypadkach 3) odmowy zatwierdzenia, - najczęstsze przyczyny (w stosownych przypadkach 3) odmowy autoryzacji, - liczbę i wynik kontroli na miejscu w okresie sprawozdawczym, - najczęstsze przyczyny (w stosownych przypadkach 3) cofnięcia zatwierdzenia niezależnego podmiotu, - oprócz tego SERMI, we współpracy z Komisją, może dodać inne kluczowe wskaźniki skuteczności działania.

NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 1 Niezależny podmiot ubiega się o zatwierdzenie

Podmiot	Niezależny podmiot
Cel	Niezależny podmiot spełnia wszystkie wymogi określone w dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858, aby móc korzystać z RMI związanych z zabezpieczeniami.
Przypadek użycia - sytuacja początkowa	Wszystkie niezbędne dokumenty i formularz wniosku (przedłożone przez jednostkę oceniającą zgodność) są w formacie możliwym do skontrolowania.
Przypadek użycia - rezultat	Zatwierdzanie niezależnego podmiotu albo niezatwierdzenie niezależnego podmiotu.
Opis	Niezależny podmiot uzyskuje wykaz akredytowanych jednostek oceniających zgodność, korzystając ze strony internetowej krajowej jednostki akredytującej. Niezależny podmiot kontaktuje się z odpowiednią jednostką oceniającą zgodność. Niezależny podmiot otrzymuje od jednostki oceniającej zgodność formularz wniosku. Niezależny podmiot wypełnia formularz wniosku i przesyła go wraz ze wszystkimi niezbędnymi dokumentami jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność przeprowadza kontrolę niezależnego podmiotu, a następnie dokumentuje wyniki kontroli zatwierdzenia w swojej bazie danych, aby w przyszłości móc sprawdzić, czy wniosek niezależnego podmiotu poddano wcześniej kontroli. Każdy pracownik danego niezależnego podmiotu zostaje zarejestrowany w tejsamej jednostce oceniającej zgodność. Jednostka oceniająca zgodność powiadamia o niezatwierdzeniu niezależnego podmiotu wszystkie pozostałe jednostki oceniające zgodność podlegające jurysdykcji danej krajowej jednostki akredytującej.

NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 2 Rejestracja niezależnego podmiotu przez producenta pojazdów

(zob. norma EN/ISO 18541-1:2014, przypadek użycia 1.1)

NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 3 Zaprzestanie działalności handlowej przez niezależny podmiot

Podmiot	Niezależny podmiot
Cel	Aktualizacja bazy danych zatwierdzeń przez jednostkę oceniającą zgodność.
Przypadek użycia - sytuacja początkowa	Informacje o niezależnym podmiocie i zaprzestaniu przez niego danej działalności lub niezależny podmiot informuje jednostkę oceniającą zgodność o zaprzestaniu działalności gospodarczej.
Przypadek użycia - rezultat	Aktualizacja bazy danych zatwierdzeń, wraz z cofnięciem wszystkich powiązanych certyfikatów i autoryzacji wydanych pracownikom danego niezależnego podmiotu.
Opis	Jednostka oceniająca zgodność otrzymuje informacje, że niezależny podmiot zaprzestał danej działalności. Jednostka oceniająca zgodność powiadamia TC, aby wszystkie certyfikaty i autoryzacje wydane pracownikom danego niezależnego podmiotu zostały cofnięte.

NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 4 Zamawianie części

Podmiot	Niezależny podmiot
Cel	Dostarczenie zamówionej części niezależnemu podmiotowi.
Przypadek użycia - sytuacja początkowa	Uwierzytelnienie pracownika niezależnego podmiotu. Zamówienie na części związane z zabezpieczeniami.
Przypadek użycia - rezultat	Część związana z zabezpieczeniami.
Opis	Producent pojazdów oferuje autoryzowanym pracownikom niezależnego podmiotu dostęp do narzędzia do składania zamówień na części związane z zabezpieczeniami. Producenci oferują internetowe narzędzie do składania zamówień na części związane z zabezpieczeniami z wykorzystaniem certyfikatu cyfrowego do potwierdzenia tożsamości osoby zamawiającej daną część. Alternatywnie producenci mogą wymagać, aby części związane z zabezpieczeniami były pozyskiwane od autoryzowanych punktów sprzedaży, jeżeli stosuje się aktualnie obowiązujące procedury uwierzytelnienia. Producenci pojazdów lub ich pośrednicy/autoryzowane punkty sprzedaży dostarczają terminowo części związane z zabezpieczeniami niezależnym podmiotom.

NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 5 Niezależny podmiot otrzymuje token bezpieczeństwa

Podmiot	Jednostka oceniająca zgodność
Cel	Niezależny podmiot otrzymuje token bezpieczeństwa wraz z certyfikatem cyfrowym.
Przypadek użycia - sytuacja początkowa	Token bezpieczeństwa wraz z certyfikatem cyfrowym przekazany przez jednostkę oceniającą zgodność.
Przypadek użycia - rezultat	Niezależny podmiot otrzymał token bezpieczeństwa wraz z certyfikatem cyfrowym.
Opis	Niezależny podmiot otrzymuje certyfikat elektroniczny od TC. Niezależny podmiot przekazuje otrzymany certyfikat elektroniczny odpowiedniemu pracownikowi niezależnego podmiotu (zob. PRACOWNIK - PRZYPADEK UŻYCIA 6).

NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 6 Wymogi w zakresie przechowywania zapisów przez niezależny podmiot

Podmiot	Niezależny podmiot
Cel	Przechowywanie przez niezależny podmiot zapisów transakcji w możliwym do skontrolowania formacie.
Przypadek użycia - sytuacja początkowa	Dokumenty/informacje przekazane w ramach zlecenia naprawy.
Przypadek użycia - rezultat	Ścieżka audytu i szczegóły zlecenia naprawy.
Opis	Niezależny podmiot przechowuje dane, które mogą być wymagane w przypadku kontroli. Przed wydaniem zlecenia naprawy niezależny podmiot zapewnia, aby zgromadzono następujące informacje: 1) dane identyfikacyjne klienta, 2) dane identyfikacyjne pojazdu (pojazd na miejscu), 3) dowód potwierdzający, że klient jest uprawniony do zlecenia wykonania prac w pojeź- dzie.

NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 7 Ustanie stosunku pracy pracownika niezależnego podmiotu w danym niezależnym podmiocie

Podmiot	Niezależny podmiot
Cel	Przechowywanie aktualnych danych dotyczących zatwierdzeń/autoryzacji w jednostce oceniającej zgodność.
Przypadek użycia - sytuacja początkowa	Informacje na temat wygaśnięcia umowy zawartej z pracownikiem niezależnego podmiotu.
Przypadek użycia - rezultat	Zaktualizowana baza danych autoryzacji i wniosek do TC o cofnięcie odpowiedniego certyfikatu cyfrowego.
Opis	Niezależny podmiot powiadamia jednostkę oceniającą zgodność o zmianie zatrudnienia w terminie trzech dni roboczych. Jednostka oceniająca zgodność powiadamia TC na potrzeby aktualizacji bazy danych autoryzacji i cofnięcia odpowiedniego certyfikatu cyfrowego. O tych zmianach powiadamia się niezależny podmiot.

NIEZALEŻNY PODMIOT - PRZYPADEK UŻYCIA 8 Wymogi proceduralne w przypadku operacji związanych z zabezpieczeniami

1. Postępowanie ogólne

Dostęp do RMI związanych z zabezpieczeniami będą mieli wyłącznie pracownicy zatwierdzonego niezależnego podmiotu, którzy zostali z powodzeniem autoryzowani oraz posiadają świadectwo kontroli autoryzacji i ważny certyfikat elektroniczny wydany przez odpowiednie centrum zaufania.

Pracownik niezależnego podmiotu odpowiada za prawidłowe korzystanie z certyfikatu i kodu PIN.

Niezależne podmioty i ich pracownicy stosują procedury postępowania z urządzeniami użytkowników końcowych (komputer, laptop itp.), jak określono w normie ISO 18541-2:2014.

2. Procedura prowadzenia operacji związanej z zabezpieczeniami

Jeżeli pracownik przeprowadza aktualizację oprogramowania związaną z zabezpieczeniami lub potrzebuje innych związanych z zabezpieczeniami informacji dotyczących naprawy i konserwacji pojazdów, stosuje się procedurę opisaną w pkt 3-5 i pokazaną na rys. 1 poniżej.

Rys. 1

Ogólny zarys procedury prowadzenia operacji związanej z zabezpieczeniami

grafika

3. Weryfikacja klienta

Pracownik niezależnego podmiotu weryfikuje dane identyfikacyjne klienta, który dostarczył pojazd.

Możliwe źródła danych identyfikacyjnych: dowód tożsamości, paszport, prawo jazdy, karta pomocy drogowej.

Niezależny podmiot odpowiada za udokumentowanie informacji identyfikacyjnych.

W tej procedurze można wykorzystać informacje przedstawione na rys. 2.

Rys. 2

Odniesienie do pól w dowodzie rejestracyjnym pojazdu na potrzeby kontroli klienta

Dowody rejestracyjne pojazdów
Dane (część I)	Pole (część I)
Nazwisko lub nazwa przedsiębiorstwa	C.1.1
Inna nazwa(-y) lub inicjał(-y) (w stosownych przypadkach)	C.1.2
Adres w państwie członkowskim rejestracji w dniu wydania dokumentu	C.1.3
Dane (część II)	Pole (część II)
Nazwisko lub nazwa firmy	C.3.1 i C.6.1
Inna nazwa(-y) lub inicjał(-y) (w stosownych przypadkach)	C.3.2 i C.6.2
Adres w państwie członkowskim rejestracji w dniu wydania dokumentu	C.3.3 i C.6.3

W miarę możliwości pracownik niezależnego podmiotu odnotowuje następujące dane:

1) imię i nazwisko klienta,

2) numer dowodu tożsamości/paszportu lub numer karty pomocy drogowej,

3) nazwę przedsiębiorstwa zarządzającego flotą lub przedsiębiorstwa zajmującego się wynajmem samochodów,

4) imię i nazwisko osoby wyznaczonej do kontaktów w danym przedsiębiorstwie,

5) adres danego przedsiębiorstwa,

6) numer telefonu danego przedsiębiorstwa,

7) dane identyfikacyjny przedsiębiorstwa kierowcy.

Te dodatkowe informacje są wymagane w sytuacji, w której klient nie ma dowodu rejestracyjnego pojazdu:

8) zarządzanie flotą,

9) pojazdy na wynajem,

10) pożyczka.

4. Weryfikacja pojazdu

Pracownik niezależnego podmiotu upewnia się, że numer identyfikacyjny pojazdu (VIN) jest taki sam jak numer identyfikacyjny pojazdu (VIN) w dowodzie rejestracyjnym (zob. rys. 3).

Rys. 3

Kody wspólnotowe w dowodzie rejestracyjnym na potrzeby kontroli pojazdu

Dowody rejestracyjne pojazdów
Dane (część I)	Pole (część I)
Numer identyfikacyjny pojazdu	E

5. Wydanie zlecenia naprawy

Kolejnym etapem jest wydanie zlecenia naprawy za pomocą systemu zarządzania dla punktów sprzedaży. Zlecenie naprawy zawiera przynajmniej dane wskazane na rys. 4 i dane zastosowane do identyfikacji klienta i potwierdzenia jego uprawnień.

Rys. 4

Kody wspólnotowe w dowodzie rejestracyjnym na potrzeby wydania zlecenia naprawy

Dowody rejestracyjne pojazdów
Dane	Pole
Numer rejestracyjny	A
Marka	D.1
Typ, wariant, wersja	D.2

Odnotowuje się aktualną wartość wskazania drogomierza i powód naprawy, a klient (właściciel lub osoba dostarczająca pojazd do niezależnego podmiotu) musi podpisać zlecenie naprawy. Na rys. 5 opisano procedurę w przypadku niezależnego podmiotu i pracownika.

Niezależny podmiot przechowuje podpisane zlecenia naprawy co najmniej przez 5 lat.

Rys. 5

Wymogi proceduralne w przypadku niezależnego podmiotu

grafika

PRACOWNIK - PRZYPADEK UŻYCIA 1 Pracownik niezależnego podmiotu ubiega się o autoryzację

Podmiot	Pracownik niezależnego podmiotu
Cel	Pracownik niezależnego podmiotu uzyskuje autoryzację dającą mu dostęp do RMI związanych z zabezpieczeniami.
Przypadek użycia - sytuacja początkowa	Pracownik niezależnego podmiotu spełnia wszystkie wymogi określone w dodatku. Pracownik niezależnego podmiotu wypełnia formularz wniosku otrzymany od jednostki oceniającej zgodność.
Przypadek użycia - rezultat	Autoryzacja pracownika niezależnego podmiotu, dzięki której dany pracownik niezależnego podmiotu może otrzymać certyfikat cyfrowy dający mu dostęp do RMI związanych z zabezpieczeniami.
Opis	Pracownik niezależnego podmiotu otrzymuje formularz wniosku od jednostki oceniającej zgodność, jeżeli dany niezależny podmiot zwrócił się z wnioskiem o autoryzację danego pracownika. Pracownik niezależnego podmiotu wypełnia formularz wniosku i przesyła go wraz ze wszystkimi niezbędnymi dokumentami jednostce oceniającej zgodność w sposób możliwy do skontrolowania. Jednostka oceniająca zgodność wydaje świadectwo kontroli autoryzacji pracownikowi niezależnego podmiotu i powiadamia TC o pozytywnym wyniku kontroli na potrzeby utworzenia rejestru autoryzacji i wydania certyfikatu cyfrowego temu pracownikowi niezależnego podmiotu. Jednostka oceniająca zgodność dokumentuje również odmowę wydaną pracownikowi niezależnego podmiotu w przypadku negatywnego wyniku kontroli.

PRACOWNIK - PRZYPADEK UŻYCIA 2 Rejestracja pracownika niezależnego podmiotu przez producenta pojazdów

(zob. norma EN/ISO 18541-1 Podmiot 2014, przypadek użycia 1.2)

Niezależny podmiot lub pracownik niezależnego podmiotu

Cel	Rejestracja pracownika niezależnego podmiotu na potrzeby korzystania z systemu RMI producenta pojazdów, zgodnie ze wskazaniem ze strony niezależnego podmiotu.
Przypadek użycia - sytuacja początkowa	- Wniosek niezależnego podmiotu o zarejestrowanie nowego pracownika niezależnego podmiotu. Konieczne są identyfikator użytkownika i hasło niezależnego podmiotu. - Wniosek pracownika niezależnego podmiotu, w którym wskazuje się, że pracownik jest powiązany z niezależnym podmiotem i prosi o potwierdzenie przedstawiciela prawnego niezależnego podmiotu w celu zakończenia rejestracji.
Przypadek użycia - rezultat	Pracownik niezależnego podmiotu zostaje zarejestrowany jako autoryzowany użytkownik w systemie RMI producenta pojazdów.
Opis	Producent pojazdów zwraca się do niezależnego podmiotu o potwierdzenie ważności danych niezależnego podmiotu. Producent pojazdów akceptuje pracownika niezależnego podmiotu jako użytkownika i odpowiednio powiadamia tego użytkownika. W systemie RMI producenta pojazdów użytkownik jest proszony o wybranie identyfikatora użytkownika, a następnie zostaje mu przypisane początkowe hasło albo może on wprowadzić własne hasło spełniające wymogi bezpieczeństwa hasła określone przez producenta pojazdów. Producent pojazdów może pobierać rozsądną opłatę rejestracyjną od niezależnego podmiotu.

PRACOWNIK - PRZYPADEK UŻYCIA 3 Dostęp pracownika do RMI związanych z zabezpieczeniami

(zob. EN/ISO 18541:2014 wszystkie części)

PRACOWNIK - PRZYPADEK UŻYCIA 4 Uzyskanie PIN od jednostki oceniającej zgodność

Podmiot	Jednostka oceniająca zgodność
Cel	Przekazanie pracownikowi niezależnego podmiotu listu z kodem PIN do tokena bezpieczeństwa wraz z certyfikatem cyfrowym.
Przypadek użycia - sytuacja początkowa	PIN od TC.
Przypadek użycia - rezultat	List z kodem PIN dostarczony do pracownika niezależnego podmiotu.
Opis	Jednostka oceniająca zgodność sporządza list zawierający kod PIN dostarczony przez TC w odniesieniu do danej tożsamości i przesyła ten list na adres domowy pracownika niezależnego podmiotu w sposób możliwy do skontrolowania.

PRACOWNIK - PRZYPADEK UŻYCIA 5 Pracownik niezależnego podmiotu otrzymuje certyfikat cyfrowy od niezależnego podmiotu

Podmiot	Niezależny podmiot, pracownik niezależnego podmiotu
Cel	Dostarczenie certyfikatu elektronicznego pracownikowi niezależnego podmiotu.
Przypadek użycia - sytuacja początkowa	Certyfikat elektroniczny.
Przypadek użycia - rezultat	Pracownik niezależnego podmiotu otrzymuje certyfikat elektroniczny od niezależnego podmiotu.
Opis	Pracownik niezależnego podmiotu otrzymuje od niezależnego podmiotu certyfikat elektroniczny powiązany z odpowiednią tożsamością.

TC - PRZYPADEK UŻYCIA 1 Centrum zaufania tworzy i dostarcza certyfikat

Podmiot	Jednostka oceniająca zgodność
Cel	Jednostka oceniająca zgodność otrzymuje certyfikaty i kody PIN dostarczane pracownikom niezależnego podmiotu
Przypadek użycia - sytuacja początkowa	Wniosek o utworzenie certyfikatu cyfrowego.
Przypadek użycia - rezultat	Certyfikat cyfrowy i PIN.
Opis	Jednostka oceniająca zgodność kontaktuje się z TC (zob. procedura opisana w części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 11"). TC tworzy certyfikat cyfrowy i przekazuje go jednostce oceniającej zgodność do dostarczenia danemu pracownikowi niezależnego podmiotu w drodze następującej procedury: 1) TC przesyła spersonalizowany certyfikat cyfrowy jednostce oceniająca zgodność w sposób możliwy do skontrolowania. 2) Kod PIN zostaje przesłany w sposób możliwy do skontrolowania jednostce oceniającej zgodność oddzielnie od certyfikatu cyfrowego.

TC - PRZYPADEK UŻYCIA 2 Centrum zaufania ocenia ważność certyfikatu cyfrowego

Podmiot	Producent pojazdów
Cel	Walidacja statusu certyfikatu cyfrowego.
Przypadek użycia - sytuacja początkowa	Numer seryjny certyfikatu cyfrowego.
Przypadek użycia - rezultat	Status przedstawiony przez TC jest następujący: 0 -+ zawieszony 1 -+ ważny 2 -+ cofnięty 3 -+ nieznany
Opis	Producent pojazdów zwraca się do TC z pytaniem o status certyfikatu cyfrowego na potrzeby uwierzytelnienia pracowników za pomocą kanału komunikacyjnego określonego w normie OCSP. TC reaguje na status odpowiadającego OCSP. Do tego celu TC prowadzi bazę danych certyfikatów cofniętych zgodnie ze standardem OCSP.

TC - PRZYPADEK UŻYCIA 3 Centrum zaufania informuje o statusie autoryzacji pracownika niezależnego podmiotu

Podmiot	Producent pojazdów
Cel	Walidacja statusu autoryzacji za pomocą interfejsu programowania aplikacji API SOAP/RESTful.
Przypadek użycia - sytuacja początkowa	Numer seryjny certyfikatu cyfrowego i atrybuty.
Przypadek użycia - rezultat	Status przedstawiony w odpowiedzi przez TC jest następujący: Ważność IOEUID IOUID CABUID
Opis	Producent pojazdów zwraca się o przedstawienie statusu autoryzacji pracowników niezależnego podmiotu. TC reaguje na status autoryzacji.

TC - PRZYPADEK UŻYCIA 4 Zawieszenie wydanych certyfikatów przez centrum zaufania

Podmiot	Producent pojazdów, niezależny podmiot, jednostka oceniająca zgodność, odpowiedni organ
Cel	Zawieszenie certyfikatu cyfrowego w przypadku wykrytego nadużycia w celu uniknięcia przyszłych nadużyć ze strony właściciela certyfikatu.
Przypadek użycia - sytuacja początkowa	Inicjatorem jest pracownik podmiotu za pomocą numeru seryjnego lub innego środka identyfikacji certyfikatu.
Przypadek użycia - rezultat	Zawieszenie certyfikatu, aktualizacja statusu OCSP. TC przesyła informacje jednostce oceniającej zgodność. Pracownik niezależnego podmiotu zostaje poinformowany o przyczynie zawieszenia certyfikatu cyfrowego.
Opis	Odpowiedni pracownik danego uczestnika. Ten pracownik jednostki oceniającej zgodność przesyła wiadomość do TC w sposób możliwy do skontrolowania. Wiadomość ta zawiera: - nagłówek danego uczestnika, - numer seryjny lub inny środek identyfikacji certyfikatu, - w stosownych przypadkach numer transakcji odpowiedniego uczestnika. Zawieszenie zostaje przetworzone natychmiast po otrzymaniu wniosku o zawieszenie. TC bada źródło wiadomości: - TC zawiesza certyfikat cyfrowy (aktualizacja OCSP). - TC powiadamia jednostkę oceniającą zgodność o zawieszeniu na potrzeby wszczęcia procedury skargi w formie pisemnej lub elektronicznej.

TC - PRZYPADEK UŻYCIA 5 Zawieszenie zatwierdzenia niezależnego podmiotu przez centrum zaufania

Podmiot	Producent pojazdów, jednostka oceniająca zgodność, odpowiedni organ
Cel	Zawieszenie autoryzacji wszystkich pracowników danego niezależnego podmiotu (oraz wszystkich autoryzacji należących do tego niezależnego podmiotu) w celu uniknięcia przyszłych nadużyć ze strony pracowników danego niezależnego podmiotu, jeżeli wykryto nadużycie.
Przypadek użycia - sytuacja początkowa	Wniosek ze strony pracownika reprezentującego uwierzytelniony podmiot (tj. posiadający odpowiedni certyfikat), np. pracownika jednostki oceniającej zgodność odpowiadającego za zawieszenie za pomocą niepowtarzalnego identyfikatora niezależnego podmiotu lub innego środka identyfikacji niezależnego podmiotu.
Przypadek użycia - rezultat	Aktualizacja statusu zawieszonych autoryzacji TC przesyła informacje jednostce oceniającej zgodność.
Opis	Uwierzytelniony pracownik danego podmiotu przesyła wiadomość do TC w sposób możliwy do skontrolowania. Wiadomość ta zawiera: - nagłówek danego uczestnika, - niepowtarzalny identyfikator niezależnego podmiotu lub inny środek identyfikacji niezależnego podmiotu, - w stosownych przypadkach numer transakcji odpowiedniego uczestnika. - uzasadnienie zawieszenia. Zawieszenie zostaje przetworzone po otrzymaniu wniosku o zawieszenie. TC weryfikuje źródło wiadomości. TC zawiesza wszystkie autoryzacje należące do danego niezależnego podmiotu. TC powiadamia jednostkę oceniającą zgodność o zawieszeniu na potrzeby wszczęcia procedury skargi w formie pisemnej lub elektronicznej.

TC - PRZYPADEK UŻYCIA 6 Centrum zaufania zawiesza autoryzację pracownika niezależnego podmiotu

Podmiot	Producent pojazdów, niezależny podmiot, jednostka oceniająca zgodność, odpowiednie organy
Cel	Zawieszenie autoryzacji pracownika niezależnego podmiotu w przypadku wykrytego nadużycia w celu uniknięcia przyszłych nadużyć.
Przypadek użycia - sytuacja początkowa	Na wniosek przedstawiciela uwierzytelnionego uczestnika.
Przypadek użycia - rezultat	Zawieszenie autoryzacji, aktualizacja bazy danych autoryzacji. Powiadomienie jednostki oceniającej zgodność o zawieszeniu. Pracownik niezależnego podmiotu zostaje poinformowany o przyczynie zawieszenia autoryzacji.
Opis	Uwierzytelniony pracownik odpowiedniego uczestnika, np. pracownik jednostki oceniającej zgodność odpowiedzialny za zawieszenie przesyła informacje do TC (stosując wspólną metodę). Informacje te obejmują: - nagłówek danego uczestnika, - niepowtarzalny identyfikator niezależnego podmiotu, - niepowtarzalny identyfikator pracownika niezależnego podmiotu, - w stosownych przypadkach numer transakcji odpowiedniego podmiotu, - uzasadnienie zawieszenia. Zawieszenie zostaje przetworzone po otrzymaniu wniosku o zawieszenie. TC weryfikuje źródło informacji. TC zawiesza autoryzację należącą do danego pracownika. TC powiadamia jednostkę oceniającą zgodność o zawieszeniu na potrzeby wszczęcia procedury skargi w formie pisemnej lub elektronicznej.

TC - PRZYPADEK UŻYCIA 7 Centrum zaufania cofa zatwierdzenie niezależnego podmiotu

Podmiot	Jednostka oceniająca zgodność
Cel	Baza danych zatwierdzeń jest stale aktualizowana.
Przypadek użycia - sytuacja początkowa	Jednostka oceniająca zgodność informuje o decyzji o cofnięciu zatwierdzenia niezależnego podmiotu.
Przypadek użycia - rezultat	Sklasyfikowanie zatwierdzenia niezależnego podmiotu jako cofnięte w bazie danych.
Opis	TC zaktualizuje bazę danych zatwierdzeń po otrzymaniu od jednostki oceniającej zgodność powiadomienia o decyzji o cofnięciu zatwierdzenia danego niezależnego podmiotu. Zatwierdzenie niezależnego podmiotu zostaje sklasyfikowane jako cofnięte. Certyfikaty cyfrowe i autoryzacje wszystkich pracowników danego niezależnego podmiotu zostają sklasyfikowane jako cofnięte w odpowiednich bazach danych.

TC - PRZYPADEK UŻYCIA 8 Centrum zaufania cofa autoryzację pracownika niezależnego podmiotu

Podmiot	Jednostka oceniająca zgodność
Cel	Bazy danych certyfikatów cyfrowych i autoryzacji są stale aktualizowane.
Przypadek użycia - sytuacja początkowa	Jednostka oceniająca zgodność informuje o decyzji o cofnięciu autoryzacji niezależnego podmiotu.
Przypadek użycia - rezultat	Certyfikat cyfrowy pracownika niezależnego podmiotu zostaje sklasyfikowany jako cofnięty. Autoryzacja pracownika niezależnego podmiotu zostaje sklasyfikowana jako cofnięta.
Opis	TC zaktualizuje bazy danych certyfikatów cyfrowych i autoryzacji po otrzymaniu od jednostki oceniającej zgodność powiadomienia o decyzji o cofnięciu certyfikatu i autoryzacji danego pracownika niezależnego podmiotu. Certyfikaty cyfrowe i autoryzacje pracowników danego niezależnego podmiotu zostają sklasyfikowane jako cofnięte w odpowiednich bazach danych.

TC - PRZYPADEK UŻYCIA 9 Centrum zaufania zapewnia środowisko do testowania gotowości certyfikatu i metody uwierzytelnienia wieloskładnikowego zapewnionej przez TC

Podmiot	Pracownik niezależnego podmiotu
Cel	Potwierdzenie pracownikowi niezależnego podmiotu, że certyfikat elektroniczny działa.
Przypadek użycia - sytuacja początkowa	Certyfikat elektroniczny pracownika niezależnego podmiotu + PIN i uwierzytelnienie wieloskładnikowe na urządzeniu(-ach) klienta.
Przypadek użycia - rezultat	Wynik pozytywny/negatywny testu. W przypadku negatywnego wyniku testu - wiadomość zawierająca informacje na temat tego wyniku.
Opis	Pracownik wchodzi na stronę internetową TC. Pracownik niezależnego podmiotu loguje się do testowej strony internetowej TC za pomocą swojego certyfikatu elektronicznego. Pracownik niezależnego podmiotu widzi wynik testu (pozytywny/negatywny). TC zapisuje działania na potrzeby procesu dalszego wsparcia (np. producent pojazdów).

TC - PRZYPADEK UŻYCIA 10 TC zapewnia interfejs w związku ze specyfikacją części "JEDNOSTKA OCENIAJĄCA ZGODNOŚĆ - PRZYPADEK UŻYCIA 1"

Podmiot	TC
Cel	TC obsługuje standardowy interfejs komunikacyjny między TC i jednostką oceniającą zgodność (usługa sieciowa).
Przypadek użycia - sytuacja początkowa	Informacje i znane normy na potrzeby opracowania interfejsu komunikacyjnego (usługa sieciowa).
Przypadek użycia - rezultat	Interfejs komunikacyjny między TC i jednostką oceniającą zgodność.
Opis	TC opracowuje i obsługuje standardowy interfejs komunikacyjny dla jednostki oceniającej zgodność. Jednostka oceniająca zgodność korzysta z tego standardowego interfejsu komunikacyjnego. Z tego interfejsu można korzystać do zamawiania certyfikatu cyfrowego.

TC - PRZYPADEK UŻYCIA 11 TC zapewnia użytkowników testowych posiadających certyfikaty testowe w celu walidacji komunikacji (OCSP i API SOAP/RESTful)

Podmiot	Producent pojazdów
Cel	Funkcjonalna komunikacja między producentem pojazdów i TC.
Przypadek użycia - sytuacja początkowa	Wniosek w interfejsie TC.
Przypadek użycia - rezultat	Dane testowe: użytkownicy testowi, certyfikaty testowe, zawartość testowej bazy danych autoryzacji.
Opis	Producent pojazdów zwraca się z wnioskiem o dane testowe we wszystkich odpowiednich językach w odniesieniu do wszystkich odpowiednich rynków. TC przesyła producentowi pojazdów informacje (użytkownicy testowi/certyfikaty testowe) obejmujące wszystkie możliwe wyniki testu.

PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 1 Badanie zatwierdzenia niezależnego podmiotu

Podmiot	Producent pojazdów
Cel	Zbadanie, czy obowiązujące zatwierdzenie powinno pozostać ważne.
Przypadek użycia - sytuacja początkowa	Producent pojazdów odnotowuje ewentualne nadużycie/przesłanki nadużycia.
Przypadek użycia - rezultat	Ewentualne nadużycie/przesłanki nadużycia zostają potwierdzone albo odrzucone.
Opis	W przypadku braku zgodności z kryteriami określonymi w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858 lub z pojęciem legalnejdziałalności gospodarczej określonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858 producent pojazdów zgłasza tę niezgodność ze strony niezależnego podmiotu jednostce oceniającej zgodność. Producent pojazdów wszczyna proces rozpatrywania skargi przez powiadomienie odpowiedniej jednostki oceniającej zgodność. W stosownych przypadkach producent pojazdów może powiadomić odpowiednie organy.

PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 2 Badanie autoryzacji pracownika niezależnego podmiotu

Podmiot	Producent pojazdów
Cel	Zbadanie, czy obowiązująca autoryzacja powinna pozostać ważna.
Przypadek użycia - sytuacja początkowa	Producent pojazdów odnotowuje ewentualne nadużycie/przesłanki nadużycia.
Przypadek użycia - rezultat	Ewentualne nadużycie/przesłanki nadużycia zostają potwierdzone albo odrzucone.
Opis	W przypadku braku zgodności z kryteriami określonymi w pkt 4.3.3 dodatku 3 do załącznika X do rozporządzenia (UE) 2018/858 lub z pojęciem legalnejdziałalności gospodarczej określonym w pkt 6.3 akapit drugi załącznika X do rozporządzenia (UE) 2018/858 producent pojazdów zgłasza takie przesłanki nadużycia jednostce oceniającej zgodność. W razie potrzeby producent pojazdów może wewnętrznie zablokować danego pracownika niezależnego podmiotu. Producent pojazdów wszczyna proces rozpatrywania skargi przez powiadomienie odpowiedniej jednostki oceniającej zgodność. Producent pojazdów może powiadomić odpowiednie organy.

PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 3 Producent pojazdów blokuje dostęp niezależnego podmiotu

Podmiot	Producent pojazdów, jednostka oceniająca zgodność
Cel	Odmowa dostępu do informacji związanych z zabezpieczeniami udzielona niezależnemu podmiotowi (a następnie wszystkim powiązanym pracownikom niezależnego podmiotu).
Przypadek użycia - sytuacja początkowa	Producent pojazdów rejestruje fakt nieprzestrzegania warunków przez niezależny podmiot.
Przypadek użycia - rezultat	Dostęp do informacji dotyczących zabezpieczeń zablokowany dla niezależnego podmiotu (i wszystkich pracowników niezależnego podmiotu).
Opis	W wyniku dochodzenia jednostka oceniająca zgodność ustaliła, że zatwierdzenie należy cofnąć. Producent pojazdów może następnie wewnętrznie zablokować dostęp dla niezależnego podmiotu. Producent pojazdów blokuje dostęp do informacji dotyczących zabezpieczeń dla danego niezależnego podmiotu.

PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 4 Producent pojazdów blokuje dostęp pracownika niezależnego podmiotu

Podmiot	producent pojazdów, jednostka oceniająca zgodność
Cel	Producenci pojazdów mają możliwość zablokowania dostępu do RMI związanych z zabezpieczeniami dla pracownika niezależnego podmiotu.
Przypadek użycia - sytuacja początkowa	Producent pojazdów rejestruje przyczynę zablokowania dostępu pracownika niezależnego podmiotu.
Przypadek użycia - rezultat	Dostęp do informacji dotyczących zabezpieczeń zablokowany dla danego pracownika niezależnego podmiotu.
Opis	W wyniku dochodzenia jednostka oceniająca zgodność ustaliła, że zatwierdzenie należy cofnąć. Producent pojazdów może następnie wewnętrznie zablokować dostęp dla danego pracownika. Producent pojazdów blokuje dostęp do informacji dotyczących zabezpieczeń dla danego pracownika niezależnego podmiotu.

PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 5 Producent pojazdów bada status autoryzacji pracownika niezależnego podmiotu

Podmiot	Producent pojazdów
Cel	Producent pojazdów weryfikuje status autoryzacji, gdy pracownik korzysta z certyfikatu uwierzytelniającego w celu uzyskania dostępu do RMI związanych z zabezpieczeniami.
Przypadek użycia - sytuacja początkowa	Informacje o treści elektronicznego certyfikatu pracownika.
Przypadek użycia - rezultat	Status autoryzacji
Opis	Producent pojazdów weryfikuje ważność certyfikatu (TC, OCSP). Producent pojazdów sprawdza, czy pracownik został zablokowany (wewnętrzna blokada przez producenta pojazdów). Producent pojazdów weryfikuje ważność autoryzacji pracownika: - Producent pojazdów kontaktuje się z TC, używając z informacji o treści elektronicznego certyfikatu pracownika. - W odpowiedzi TC informuje o aktualnym statusie uwierzytelnienia.

PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 6 Pobranie przez producenta pojazdów podręcznika dotyczącego wdrażania ze strony internetowej SERMI (obecnie OCSP i API SOAP/RESTful)

Podmiot	Producent pojazdów
Cel	Pracownik niezależnego podmiotu z pozytywnym wynikiem kontroli uzyskuje certyfikat elektroniczny autoryzacji i świadectwo kontroli autoryzacji.
Przypadek użycia - sytuacja początkowa	Wniosek o udostępnienie podręcznika dotyczącego wdrażania.
Przypadek użycia - rezultat	Pobrany podręcznik dotyczący wdrażania.
Opis	Pobranie podręcznika dotyczącego wdrażania ze strony internetowejSERMI. Producent pojazdów bada certyfikat elektroniczny i autoryzację pracownika niezależnego podmiotu, korzystając z podręcznika dotyczącego wdrażania (OCSP, API SOAP/RESTful).

PRODUCENT POJAZDÓW - PRZYPADEK UŻYCIA 7 Producent pojazdów przekazuje informacje władzom lokalnym

Podmiot	Producent pojazdów
Cel	Przekazanie informacji odpowiedniemu organowi.
Przypadek użycia - sytuacja początkowa	Klient kontaktuje się z władzami lokalnymi. Zapytanie ze strony odpowiednich organów w drodze procedury ręcznej(dodatkowa obsługa IT niewymagana).
Przypadek użycia - rezultat	Informacje o pojeździe (np. historia czynności wykonywanych w związku z konkretnym VIN).
Opis	Klient zgłasza przestępstwo karalne w prawie krajowym. Podaje VIN lub informacje o transakcji. Właściwy organ kontaktuje się z konkretnym producentem pojazdów z zapytaniem dotyczącym danego VIN. W przypadku odzyskania pojazdu skradzionego odpowiedni organ powiadamia o tym producenta pojazdów i zostaje przywrócony normalny status pojazdu (ścieżka audytu zawiera informacje na temat zdarzenia).

PRZYPADEK UŻYCIA. Wymogi techniczne

1.1. Wymogi dotyczące bezpiecznej komunikacji

Każda komunikacja cyfrowa lub każde przekazanie danych identyfikacyjnych, danych zatwierdzenia i autoryzacji między jednostką oceniającą zgodność, TC i producentem pojazdów przebiega w zabezpieczony sposób, tj. z wykorzystaniem protokołu https-ssl/tls i wzajemnego uwierzytelnienia na podstawie certyfikatów X.509.

1.2. Opis zarządzania danymi

W systemie SERMI jedynie jednostka oceniająca zgodność gromadzi i wykorzystuje dane osobowe: w poniższej tabeli przedstawiono minimalny zestaw atrybutów przechowywanych w systemie informacyjnym każdej jednostki, umożliwiających wdrożenie zdefiniowanych procesów i przypadków użycia.

Rys. 6

Przykładowe dane przechowywane zgodnie z normą ISO 18541-1 przypadek użycia grupa 1

Jednostka oceniająca zgodność

Producent pojazdów

Jednostka oceniająca zgodność gromadzi i wykorzystuje do celów kontroli zatwierdzenia przedstawiciela prawnego niezależnego podmiotu dane opisane w rozdziale 6.3.3, a do celów kontroli autoryzacji pracowników niezależnego podmiotu - dane opisane w rozdziale 6.3.5.

Korzystając z usługi sieciowej, jednostka oceniająca zgodność przesyła następujące dane:

- IOEUID

- IOUID

- hasło aktywacyjne

TC otrzymuje od jednostki oceniającej zgodność następujące dane:

- IOEUID

- IOUID

- hasło aktywacyjne

Dodatkowo TC generuje

i wykorzystuje następujące dane: - CABUID

- numer seryjny certyfikatu elektronicznego

- status ważności certyfikatu elektronicznego

- status autoryzacji

Producent pojazdów generuje

i wykorzystuje następujące dane:

- dane zgodnie z normą ISO 18541-1 przypadek użycia grupa 1

- nazwę użytkownika i hasło powiązane z IOEUID

- IOEUID

- IOUID

- CABUID

- numer seryjny certyfikatu elektronicznego

Opis atrybutów

1) Niepowtarzalny identyfikator pracownika niezależnego podmiotu (IOEUID):

ciąg wygenerowany przez jednostkę oceniającą zgodność ściśle identyfikujący pracownika niezależnego podmiotu.

2) niepowtarzalny identyfikator niezależnego podmiotu (IOUID):

wartość wygenerowana przez jednostkę oceniającą zgodność ściśle identyfikująca niezależny podmiot jako osobę prawną.

3) niepowtarzalny identyfikator jednostki oceniającej zgodność (UID):

wartość wygenerowana przez centrum zaufania ściśle identyfikująca jednostkę oceniającą zgodność.

4) Numer seryjny:

zawiera numer seryjny certyfikatu X509, który jest niepowtarzalny dla każdego certyfikatu i zostaje automatycznie wygenerowany w procesie wydawania certyfikatu.

Autoryzacja X / Status autoryzacji X:

opisuje autoryzację(-e) i powiązany status danego użytkownika.

1.3. Projekt certyfikatu

W standardzie certyfikatu x509.V3 (RFC 5280 i ISO 9594-8.2017) określono wykaz wspólnych pól i wartości, które należy wypełnić w certyfikacie elektronicznym.

Certyfikat cyfrowy musi spełniać wymogi bezpieczeństwa BSI (http://www.bsi.de) dotyczące długości klucza i algorytmów kryptograficznych. Czas zastosowania wymogów BSI musi określić SERMI.

W przypadku łączenia się z serwerem za pomocą certyfikatu cyfrowego serwer sprawdza standardowe pole o nazwie "Sub- ject DN", co pozwala na powiązanie go z tożsamością niezależnego podmiotu w wewnętrznym systemie producenta pojazdów.

Na poniższym rysunku ukazano fragment pól zawartości wymaganych do celów identyfikacji w systemie producenta pojazdów. Nie ukazano tu pełnej struktury certyfikatu x509.V3 określonej w RFC 5280.

Rys. 7

Pola zawartości certyfikatu elektronicznego

Pole	Wartość	Uwagi
Numer serii	XXX	Numer seryjny certyfikatu
Wystawca	XXX	Przyjazna nazwa TC.
Ważność	X lat (od/do)	Okres ważności certyfikatu od chwili wydania do końca okresu ważności.
Subject DN	IOEUID=<UserUniqueIdentifier> (niepowtarzalny identyfikator użytkownika), IOUID=<IOUniqueIdentifier> (niepowtarzalny identyfikator niezależnego podmiotu), CABUID=<CABUniqueIdentifier> (niepowtarzalny identyfikator jednostki oceniającej zgodność),	Informacje sprawdzone przez system producenta pojazdów po etapie uwierzytelnienia w celu identyfikacji użytkownika.
Subject Public Key Info	Szyfrowanie za pomocą klucza RSA o długości 4 096 bitów	Algorytm i wartość klucza publicznego zawarte w certyfikacie elektronicznym.
Authority Info Access	http://XXX	Lokalizacja serwera OCSP, która zostanie zdefiniowana przez TC.

Ważność

Okres ważności określony w tym systemie. Każdy certyfikat elektroniczny jest ważny maksymalnie przez 60 miesięcy. Okres ten nie może przekraczać pozostałego okresu ważności zatwierdzenia niezależnego podmiotu zatrudniającego posiadacza certyfikatu.

Subject Distinguished Name (DN)

1) IOEUID:

zawiera wartość wygenerowaną przez jednostkę oceniającą zgodność oznaczającą tożsamość pracownika niezależnego podmiotu. Wartość ta jest niepowtarzalna dla autoryzowanych użytkowników: jeżeli użytkownik wysyła wniosek o wydanie nowego certyfikatu elektronicznego przez tę samą jednostkę oceniającą zgodność lub inną jednostkę oceniającą zgodność (po przedłużeniu lub cofnięciu), taki użytkownik jest powiązany z tym samym niepowtarzalnym identyfikatorem (UID).

IOEUID tworzy się w następujący sposób: < KOD-KRAJU-ISO-3166-1- DLA LOKALIZACJI JEDNOSTKI OCENIAJĄCEJ ZGODNOŚĆ/NAZWA JEDNOSTKI OCENIAJĄCEJ ZGODNOŚĆ/KOD ALFANUMERYCZNY>

Przykład: BE/CAB-CERT/1234567890A

Wartość może mieć co najwyżej 64 bity.

2) IOUID:

zawiera wartość wygenerowaną przez jednostkę oceniającą zgodność oznaczającą nazwę prawną, adres i numer identyfikacyjny VAT niezależnego podmiotu.

PRZYKŁAD: <NAZWA PRAWNA NIEZALEŻNEGO PODMIOTU: JOHNS_GARAGE/ADRES:MAINSTREET1BRUS- SELS12345/VAT:BE12345678910

3) CABUID:

zawiera wartość wygenerowana przez TC niepowtarzalną dla akredytowanej jednostki oceniającej zgodność. Wartość może mieć co najwyżej 64 bity.

Jednostka oceniająca zgodność odpowiada za zarządzanie niepowtarzalnymi identyfikatorami użytkowników. TC odpowiada za zarządzanie niepowtarzalnymi identyfikatorami osób prawnych niezależnych podmiotów i jednostki oceniającej zgodność.

Subject Public Key Info

Określenie algorytmu i długości klucza publicznego zawartych w certyfikacie elektronicznym. Aby zapewnić wystarczający poziom ufności względem siły algorytmu, stosuje się klucz o długości 4 096 bitów.

Authority Info Access

Centrum zaufania zapewnia dostęp OCSP do wykazu cofniętych certyfikatów w celu zapewnienia automatycznego dostępu do statusu certyfikatu cofniętego. Usługa OCSP jest usługą świadczoną całodobowo.

1.4. Usługa sieciowa kontroli autoryzacji z wykorzystywaniem SOAP/RESTful API

System producenta pojazdów może sprawdzić status autoryzacji użytkownika ubiegającego się o dostęp do informacji dotyczących zabezpieczeń.

Odbywa się to za pomocą standardowej usługi SOAP XML/RESTful API z wykorzystaniem protokołu HTTPS. Dostęp do tej usługi wymaga uwierzytelnienia za pomocą certyfikatu elektronicznego. Wniosek w serwerze TC opiera się na następujących informacjach:

Rys. 8

Dane wejściowe

Dane wejściowe
Pole	Wartość	Uwagi
Niepowtarzalny identyfikator pracownika niezależnego podmiotu (IOEUID)	<UserUniqueIdentifier>
Niepowtarzalny identyfikator niezależnego podmiotu (IOUID)	<IOUniqueIdentifier>
Identyfikator autoryzacji	<AuthorizationUniqueIdentifier>

Rys. 9

Dane wyjściowe - szczegóły dotyczące informacji użytkownika uzyskane przy rejestracji z wykorzystaniem SOAP/RESTful API

Dane wyjściowe
Pole	Wartość	Uwagi
Status użytkownika	0 -+ zawieszony
	1 -+ ważny
	2 -+ cofnięty
	3 -+ nieznany
Niepowtarzalny identyfikator pracownika niezależnego podmiotu	<UserUniqueIdentifier>

Odbywa się to za pomocą standardowej usługi SOAP XML/RESTful API z wykorzystaniem protokołu HTTPS. Uwierzytelnienie dostępu do tej usługi wymaga certyfikatu elektronicznego powiązanego z producentem pojazdów.

1 Rozporządzenie delegowane Komisji (UE) 2021/1244 z dnia 20 maja 2021 r. zmieniające załącznik X do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/858 w odniesieniu do znormalizowanego dostępu do informacji z pokładowego układu diagnostycznego oraz informacji dotyczących naprawy i konserwacji pojazdów, a także wymogów i procedur w zakresie dostępu do informacji dotyczących zabezpieczeń pojazdu (Dz.U. L 272 z 30.7.2021, s. 16).

2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/858 z dnia 30 maja 2018 r. w sprawie homologacji i nadzoru rynku pojazdów silnikowych i ich przyczep oraz układów, komponentów i oddzielnych zespołów technicznych przeznaczonych do tych pojazdów, zmieniające rozporządzenie (WE) nr 715/2007 i (WE) nr 595/2009 oraz uchylające dyrektywę 2007/46/WE (Dz.U. L 151 z 14.6.2018, s. 1).

Zmiany w prawie

Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką

Choć ustawa o dodatku osłonowym wskazuje, że wnioski można składać do 30 kwietnia 2024 r., to dla wielu mieszkańców termin ten może okazać się pułapką. Datą złożenia wniosku jest bowiem data jego wpływu do organu. Rząd uznał jednak, że nie ma potrzeby doprecyzowania tej kwestii. A już podczas rozpoznawania poprzednich wniosków, właśnie z tego powodu wielu mieszkańców zostało pozbawionych świadczeń.

Robert Horbaczewski 30.04.2024

Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024

Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024

Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024

Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024

Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024

Identyfikator:	Dz.U.UE.C.2022.288.7
Rodzaj:	Informacja
Tytuł:	Zawiadomienie Komisji w sprawie wytycznych dotyczących procedury akredytacji, zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów ustanowionej w załączniku X do rozporządzenia (UE) 2018/858
Data aktu:	28/07/2022
Data ogłoszenia:	29/07/2022
Data wejścia w życie:	29/07/2022

Zawiadomienie Komisji w sprawie wytycznych dotyczących procedury akredytacji, zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów ustanowionej w załączniku X do rozporządzenia (UE) 2018/858

Zawiadomienie Komisji w sprawie wytycznych dotyczących procedury akredytacji, zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów ustanowionej w załączniku X do rozporządzenia (UE) 2018/858 (2022/C 288/02)

ZAŁĄCZNIK Wymogi funkcjonalne: przypadki użycia

Zmiany w prawie

Dz.U.UE.C.2022.288.7

Zawiadomienie Komisji w sprawie wytycznych dotyczących procedury akredytacji, zatwierdzania i autoryzacji niezależnych podmiotów w zakresie dostępu do zabezpieczeń pojazdów ustanowionej w załączniku X do rozporządzenia (UE) 2018/858

(2022/C 288/02)

ZAŁĄCZNIK

Wymogi funkcjonalne: przypadki użycia