NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Decyzja wykonawcza 2023/729 w sprawie ustanowienia architektury technicznej, specyfikacji technicznych dotyczących wprowadzania i przechowywania informacji oraz procedur kontroli i weryfikacji informacji zawartych w systemie Europejskiej Straży Granicznej i Przybrzeżnej "Fałszywe i Autentyczne Dokumenty Online" ("EBCG FADO")

DECYZJA WYKONAWCZA KOMISJI (UE) 2023/729
z dnia 30 marca 2023 r.
w sprawie ustanowienia architektury technicznej, specyfikacji technicznych dotyczących wprowadzania i przechowywania informacji oraz procedur kontroli i weryfikacji informacji zawartych w systemie Europejskiej Straży Granicznej i Przybrzeżnej "Fałszywe i Autentyczne Dokumenty Online" ("EBCG FADO")

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2020/493 z dnia 30 marca 2020 r. w sprawie systemu "Fałszywe i Autentyczne Dokumenty Online" (FADO) oraz uchylenia wspólnego działania Rady 98/700/WSiSW 1 , w szczególności art. 6 ust. 1 lit. a), b) i c) tego rozporządzenia,

a także mając na uwadze, co następuje:

(1) Europejski system archiwizacji obrazu - "Fałszywe i Autentyczne Dokumenty Online" (system FADO) został ustanowiony w celu ułatwienia wymiany informacji na temat zabezpieczeń i potencjalnych cech wskazujących na fałszerstwo autentycznych i fałszywych dokumentów między organami państw członkowskich właściwymi w zakresie przestępstw przeciwko wiarygodności dokumentów. System FADO służy także do wymiany informacji z innymi podmiotami, w tym z ogółem społeczeństwa.

(2) Po wejściu w życie rozporządzenia (UE) 2020/493 obecny system FADO - obecnie obsługiwany przez Radę - zostanie przekazany Europejskiej Agencji Straży Granicznej i Przybrzeżnej ("Agencja"), dlatego konieczne są środki w zakresie architektury technicznej i specyfikacji technicznych systemu FADO.

(3) Architektura techniczna i specyfikacje techniczne nowego systemu "EBCG FADO" powinny umożliwić Agencji zapewnienie prawidłowego i niezawodnego funkcjonowania systemu oraz wprowadzanie uzyskanych informacji w terminowy i efektywny sposób, gwarantując przy tym jednolitość i jakość tych informacji zgodnie z wysokimi standardami. Należy zapewnić odpowiednią weryfikację dokumentów i tożsamości na wszystkich poziomach, od najbardziej zaawansowanych badań kryminalistycznych po zwyczajne kontrole. System EBCG FADO powinien stanowić pojedynczy punkt dostępu dla użytkowników chcących zarządzać informacjami lub wyszukiwać treści w systemie. System ten powinien zapewniać m.in. systematyczny i zorganizowany transfer wiedzy pomiędzy specjalistami ds. dokumentów oraz pomiędzy tymi ekspertami a specjalistami z innych dziedzin.

(4) W sprawie niniejszej decyzji wykonawczej skonsultowano się z Europejskim Inspektorem Ochrony Danych.

(5) Zważywszy że rozporządzenie (UE) 2020/493 powstało w oparciu o dorobek Schengen, zgodnie z art. 4 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do Traktatu o Unii Europejskiej (TUE) oraz do TFUE, Dania powiadomiła o wdrożeniu rozporządzenia (UE) 2020/493 do swojego prawa krajowego. Dania jest zatem związana niniejszą decyzją.

(6) Rozporządzenie (UE) 2020/493 ma zastosowanie do Irlandii zgodnie z art. 5 ust. 1 Protokołu nr 19 w sprawie dorobku Schengen włączonego w ramy Unii Europejskiej, załączonego do TUE i do TFUE, oraz art. 6 ust. 2 decyzji Rady 2002/192/WE 2 . Irlandia jest zatem związana niniejszą decyzją.

(7) W odniesieniu do Islandii i Norwegii niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 3 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. H decyzji Rady 1999/437/WE 4 .

(8) W odniesieniu do Szwajcarii niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 5 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. H decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/149/WSiSW 6 .

(9) W odniesieniu do Liechtensteinu niniejsza decyzja stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu o przystąpieniu Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 7 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. H decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2011/349/UE 8 .

(10) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 6 rozporządzenia Rady (WE) nr 1683/95 9  (dalej "komitet ustanowiony na mocy art. 6") i zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 10 ,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł  1

Architektura techniczna systemu FADO, specyfikacje techniczne dotyczące wprowadzania i przechowywania informacji w systemie FADO oraz procedury kontroli i weryfikacji informacji zawartych w systemie FADO są określone w załączniku.

Artykuł  2

Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Sporządzono w Brukseli dnia 30 marca 2023 r.

ZAŁĄCZNIK

CZĘŚĆ  1

1.
Cele

Niniejsza część załącznika zawiera opis architektury technicznej systemu Europejskiej Agencji Straży Granicznej i Przybrzeżnej ("Agencja") "Fałszywe i Autentyczne Dokumenty Online" (zwanego dalej "systemem EBCG FADO") oraz jego elementów składowych.

Architektura techniczna nowego systemu EBCG FADO będzie rozwijana stopniowo po uruchomieniu nowego systemu i z uwzględnieniem ewentualnych przyszłych wymogów.

2.
Opis architektury systemu EBCG FADO

Architektura techniczna umożliwia Agencji określenie różnych poziomów dostępu do informacji przechowywanych w systemie. Agencja wprowadza uzyskane informacje do systemu EBCG FADO w sposób terminowy i efektywny oraz w celu zagwarantowania jednolitości i jakości tych informacji.

System EBCG FADO będzie stanowił nadrzędną aplikację dla wszystkich poziomów dostępu oraz pojedynczy punkt dostępu dla użytkowników chcących zarządzać informacjami lub wyszukiwać treści w systemie.

Architektura techniczna systemu EBCG FADO pozwoli utrzymać:

a)
domenę publiczną zawierającą podzbiór podstawowych informacji o autentycznych dokumentach i ich wzory;
b)
wrażliwą domenę jawną UE podlegającą kontroli dostępu, która umożliwia:
różnym kategoriom użytkowników przegląd informacji zgodnie z określonymi prawami dostępu,
określonej grupie użytkowników wprowadzanie i walidację szczególnie chronionych informacji jawnych przed ich udostępnieniem użytkownikom końcowym (konsumenci szczególnie chronionych informacji jawnych UE),
archiwizację części szczególnie chronionych informacji jawnych do celów statystycznych i historycznych po ustaniu potrzeby wyszukiwania tych informacji;
c)
niejawną domenę UE (EU Restricted) podlegającą kontroli dostępu dla upoważnionych użytkowników umożliwiającą:
przeglądanie informacji niejawnych,
określonej grupie użytkowników wprowadzanie i walidację informacji niejawnych przed ich udostępnieniem innym użytkownikom końcowym posiadającym uprawnienia dostępu do sieci zastrzeżonej (konsumenci informacji niejawnych).

Architektura techniczna systemu pozwoli ponadto:

a)
zapewnić wysoki poziom cyberbezpieczeństwa;
b)
stworzyć szerokie możliwości w zakresie wyszukiwania i sprawozdawczości oraz stosować zaawansowane usługi analityczne, w tym sztuczną inteligencję;
c)
zintegrować ją z podmiotami zewnętrznymi i ich systemami - takimi jak system dokumentów biblioteki elektronicznej Interpolu i Fronteksu (FIELDS), system DISCS (Document Information System Civil Status) itp. - oraz zapewnić możliwości w zakresie wymiany danych za pośrednictwem zautomatyzowanych interfejsów;
d)
pracować na infrastrukturze opartej na chmurze w odniesieniu do domen jawnych, wrażliwych i publicznych w UE, o ile zapewniona zostanie zgodność z wymogami w zakresie ochrony danych osobowych;
e)
wdrożyć zaawansowane technologie i nowoczesne rozwiązania techniczne, w tym przy zapewnieniu dostępności, niezawodności i elastyczności nowych funkcji, produktów i modyfikacji, a także możliwość zwiększenia skali w celu uwzględnienia dużej liczby użytkowników;
f)
na integrację ze sprzętem oraz wsparcie dostępu do systemu offline lub, w sytuacjach ograniczonej łączności, z urządzeń mobilnych.

CZĘŚĆ  2

1.
Cele

Niniejsza druga część załącznika zawiera opis specyfikacji technicznych dotyczących wprowadzania informacji do systemu Europejskiej Agencji Straży Granicznej i Przybrzeżnej ("Agencja") "Fałszywe i Autentyczne Dokumenty Online" (dalej "system EBCG FADO") i ich przechowywania z zachowaniem wysokich standardów

EBCG FADO przyczyni się również do zwalczania oszustw dotyczących tożsamości dzięki wymianie informacji z innymi podmiotami, w tym z ogółem społeczeństwa.

W przedmiotowych specyfikacjach technicznych uwzględniono przetwarzanie danych osobowych. Wprowadzanie informacji do systemu i ich przechowywanie odbywa się zgodnie z celem przetwarzania.

2.
Opis procesu wprowadzania informacji do systemu EBCG FADO i ich przechowywania

Upoważnieni użytkownicy będą dostarczali informacje za pośrednictwem specjalnego modułu systemu EBCG FADO do celów ich walidacji przed udostępnieniem innym użytkownikom.

Walidacja dotyczy wszystkich informacji wprowadzonych do systemu EBCG FADO lub wytworzonych w jego ramach.

Agencja kontroluje walidację takich informacji i wdraża ją w porozumieniu z ich dostawcą. W celu zapewnienia wysokich standardów Agencja może podjąć decyzję o przeprowadzeniu konsultacji z wybranymi ekspertami ds. dokumentów lub z inspektorem ochrony danych Agencji.

Po zatwierdzeniu informacje będą tłumaczone i przechowywane w domenach systemu EBCG FADO.

3.
Kontrola i weryfikacja informacji w systemie EBCG FADO

Dane dotyczące dokumentów (dalej "informacje") w systemie EBCG FADO będą weryfikowane i przetwarzane do celów administracyjnych wyłącznie za pomocą środków elektronicznych i materialnych, w zależności od formatu, w jakim informacje dostarczono Agencji. W ramach systemu EBCG FADO nie odbywa się przetwarzanie operacyjnych danych osobowych w rozumieniu art. 3 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 11 .

Przetwarzane informacje podlegają procesom biznesowym opracowanym na potrzeby wprowadzania informacji do systemu EBCG FADO i ich przechowywania. Użytkownikom zostają udostępnione wyłącznie opublikowane dokumenty poddane uprzedniej walidacji.

Przetwarzanie informacji w ramach systemu EBCG FADO będzie podlegało ciągłym udoskonaleniom w celu zapewnienia stopniowej weryfikacji i dostosowania środków technicznych i organizacyjnych zgodnie z rozwojem technologicznym oraz w celu wyeliminowania luk w podstawowych procesach biznesowych.

Agencja określa:

a)
kategorie osób, których dane dotyczą i których dane osobowe są przetwarzane w ramach systemu;
b)
kategorie przetwarzanych danych osobowych;
c)
administratora lub kategorie administratorów, w tym współadministratorów;
d)
odbiorców danych osobowych;
e)
zabezpieczenia zapobiegające nadużyciom lub niezgodnemu z prawem dostępowi do danych lub ich przekazywaniu;
f)
okres zatrzymywania związany z przetwarzaniem danych osobowych do celów obsługi systemu EBCG FADO oraz wykonywania zadań administracyjnych;
g)
metodykę gromadzenia danych, w tym czy pochodzą one z państw członkowskich lub z państw trzecich;
h)
metody upowszechniania i odbiorców danych osobowych.
4.
Przetwarzanie danych osobowych w ramach wprowadzania informacji do systemu EBCG FADO i ich przechowywania

Agencja wdroży konkretne środki organizacyjne i techniczne w trakcie procesu wprowadzania informacji do systemu EBCG FADO i ich przechowywania poprzez:

a)
udzielanie upoważnionym użytkownikom wskazówek dotyczących utajniania - minimalizacji i pseudonimizacji - danych osobowych przed dostarczeniem informacji Agencji i w trakcie ich walidacji;
b)
wdrożenie odpowiednich środków technicznych w celu zapewnienia niezbędnych zabezpieczeń, aby chronić prawa osób, których dane dotyczą, podczas walidacji, przed udostępnieniem informacji użytkownikom końcowym;
c)
ograniczenie do minimum liczby użytkowników posiadających dostęp do modułu służących walidacji;
d)
udostępnianie informacji przechowywanych w ramach wrażliwej domeny jawnej i domeny niejawnej znanej liczbie użytkowników zgodnie z zasadą ograniczonego dostępu.

CZĘŚĆ  3

1.
Cele

Trzecia część załącznika zawiera opis procedur kontroli i weryfikacji informacji w ramach systemu Europejskiej Agencji Straży Granicznej i Przybrzeżnej ("Agencja") "Fałszywe i Autentyczne Dokumenty Online" (dalej "system EBCG FADO").

Przetwarzanie danych osobowych zostanie uwzględnione w procedurach kontroli i weryfikacji informacji w ramach systemu EBCG FADO.

Komisja nadzoruje między innymi wdrażanie środków przewidzianych w niniejszej decyzji. Komisję wspomaga komitet ustanowiony na mocy art. 6 rozporządzenia Rady (WE) nr 1683/95 12 . Agencja uczestniczy w posiedzeniach komitetu ustanowionego na mocy art. 6 bez uprawnień decyzyjnych.

Agencja będzie stosować techniki zapewniania i kontroli jakości w celu kontrolowania i weryfikacji informacji zawartych w systemie EBCG FADO.

2.
Zapewnienie jakości oraz kontrola jakości

Zgodnie z częścią 2 załącznika do niniejszej decyzji wykonawczej Komisji ustanawiającej specyfikacje techniczne dotyczące wprowadzania informacji do systemu EBCG FADO i ich przechowywania 13  Agencja ustanowi procedury wdrażania:

a)
zapewniania jakości:
przed wprowadzeniem informacji do systemu FADO na potrzeby walidacji,
w trakcie walidacji;
b)
kontrola jakości:
po publikacji, po udostępnieniu informacji opinii publicznej i innym użytkownikom końcowym (konsumentom).
3.
Zapewnianie jakości
i.
Zarządzanie dostępem

Celem zarządzania dostępem do systemu FADO jest:

a)
udzielanie dostępu do systemu FADO na zasadzie ograniczonego dostępu;
b)
cofanie praw dostępu.

Agencja ustanowi procedury zarządzania dostępem do systemu FADO, w ramach których spełnione będą następujące wymogi minimalne:

a)
użytkownicy otrzymują informacje na temat przetwarzania ich danych osobowych;
b)
użytkownicy zarządzają swoimi kontami w systemie FADO;
c)
dane osobowe są przekazywane Agencji bezpośrednio przez osoby, których dane dotyczą, lub ich punkty kontaktowe;
d)
do zarządzania dostępem jest upoważniona ograniczona liczba użytkowników w Agencji zajmujących się organizacją systemu FADO.
ii.
Walidacja informacji wprowadzonych do systemu FADO

Celem walidacji informacji jest zmniejszenie ryzyka wystąpienia luk w systemie, dzięki czemu zapewnione są jednolitość i odpowiednia jakość informacji.

Informacje w ramach systemu wprowadza i waliduje wyłącznie wyselekcjonowana grupa upoważnionych i przeszkolonych ekspertów ds. dokumentów.

Przed przystąpieniem do wprowadzania informacji do systemu użytkownicy ci:

a)
zostaną przeszkoleni w zakresie wprowadzania informacji do systemu;
b)
otrzymają wytyczne lub instrukcje poświęcone wprowadzaniu informacji do systemu;
c)
zostaną poinformowani o procesach biznesowych ustanowionych przez Agencję do celów walidacji.

Agencja wdroży moduł systemu EBCG FADO służący do walidacji informacji przed ich udostępnieniem innym użytkownikom. Podczas walidacji moduł ten umożliwia:

a)
określonej grupie użytkowników wprowadzanie informacji do systemu EBCG FADO lub ich korygowanie;
b)
ograniczonej liczbie użytkowników walidację informacji w systemie, w tym prowadzenie nieobowiązkowych konsultacji z wybranymi użytkownikami innymi niż użytkownicy wprowadzający lub korygujący informacje;
c)
w razie potrzeby, ograniczonej liczbie użytkowników zapewnienie tłumaczeń;
d)
ograniczonej liczbie użytkowników zatwierdzanie i publikowanie informacji.
iii.
Publikacja informacji

Po zakończeniu walidacji informacje zostaną opublikowane.

4.
Kontrola jakości

Agencja ustanowi roczny plan kontroli jakości w ramach systemu EBCG FADO.

Plan zapewni regularne coroczne kontrole na odpowiedniej ilości informacji oceniające m.in.:

a)
adekwatność informacji zawartych w systemie EBCG FADO;
b)
jakość informacji zawartych w systemie EBCG FADO;
c)
zgodność zarządzania systemem EBCG FADO z przepisami, w tym wymogami zgodności w zakresie ochrony danych osobowych.

Wyniki audytów zostaną przekazane Komisji, zarządowi Agencji oraz inspektorowi ochrony danych Agencji.

5.
Wkład użytkowników w jakość

Użytkownicy mogą być uwzględniani w procedurach kontroli i weryfikacji informacji w ramach systemu EBCG FADO.

1 Dz.U. L 107 z 6.4.2020, s. 1.
2 Decyzja Rady 2002/192/WE z dnia 28 lutego 2002 r. dotycząca wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen (Dz.U. L 64 z 7.3.2002, s. 20).
3 Dz.U. L 176 z 10.7.1999, s. 36.
4 Decyzja Rady 1999/437/WE z dnia 17 maja 1999 r. w sprawie niektórych warunków stosowania Układu zawartego przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącego włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 176 z 10.7.1999, s. 31).
5 Dz.U. L 53 z 27.2.2008, s. 52.
6 Decyzja Rady 2008/149/WSiSW z dnia 28 stycznia 2008 r. w sprawie zawarcia w imieniu Unii Europejskiej Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 53 z 27.2.2008, s. 50).
7 Dz.U. L 160 z 18.6.2011, s. 21.
8 Decyzja Rady 2011/349/UE z dnia 7 marca 2011 r. w sprawie zawarcia w imieniu Unii Europejskiej Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen, odnoszącego się w szczególności do współpracy sądowej w sprawach karnych i współpracy policji (Dz.U. L 160 z 18.6.2011, s. 1).
9 Rozporządzenie Rady (WE) nr 1683/95 z dnia 29 maja 1995 r. ustanawiające jednolity formularz wizowy (Dz.U. L 164 z 14.7.1995, s. 1).
10 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).
11 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
12 Rozporządzenie Rady (WE) nr 1683/95 z dnia 29 maja 1995 r. ustanawiające jednolity formularz wizowy (Dz.U. L 164 z 14.7.1995, s. 1).
13 Decyzja wykonawcza Komisji ustanawiająca architekturę techniczną systemu FADO Europejskiej Straży Granicznej i Przybrzeżnej (EBCG) zgodnie z art. 6 ust. 1 lit. a) rozporządzenia (UE) 2020/493.
Metryka aktu
Identyfikator:

Dz.U.UE.L.2023.94.66

Rodzaj:decyzja
Tytuł:Decyzja wykonawcza 2023/729 w sprawie ustanowienia architektury technicznej, specyfikacji technicznych dotyczących wprowadzania i przechowywania informacji oraz procedur kontroli i weryfikacji informacji zawartych w systemie Europejskiej Straży Granicznej i Przybrzeżnej "Fałszywe i Autentyczne Dokumenty Online" ("EBCG FADO")
Data aktu:2023-03-30
Data ogłoszenia:2023-04-03
Data wejścia w życie:2023-04-04