NOWOŚĆ LEX Cyberbezpieczeństwo Twoja tarcza w cyfrowym świecie!
Włącz wersję kontrastową
Zmień język strony
Włącz wersję kontrastową
Zmień język strony
Prawo.pl

Rozporządzenie wykonawcze 2025/2243 ustanawiające szczegółowe specyfikacje dotyczące wymogów funkcjonalnych dla platform eFTI zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2020/1056

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/2243
z dnia 6 listopada 2025 r.
ustanawiające szczegółowe specyfikacje dotyczące wymogów funkcjonalnych dla platform eFTI zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2020/1056
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2020/1056 z dnia 15 lipca 2020 r. w sprawie elektronicznych informacji dotyczących transportu towarowego 1 , w szczególności jego art. 9 ust. 2,

a także mając na uwadze, co następuje:

(1) W rozporządzeniu (UE) 2020/1056 zobowiązano właściwe organy w państwach członkowskich do uznawania informacji regulacyjnych udostępnianych drogą elektroniczną przez zainteresowane podmioty gospodarcze zgodnie z wymogami określonymi w tym rozporządzeniu, a w szczególności za pośrednictwem platform wymiany elektronicznych informacji dotyczących transportu towarowego (eFTI), które są certyfikowane jako spełniające wymogi określone w tym rozporządzeniu.

(2) Zainteresowane podmioty gospodarcze, jak również dostawcy rozwiązań ICT, powinni mieć możliwość elastycznego ponownego wykorzystywania rozwiązań ICT, które są obecnie wykorzystywane w sektorze transportu i logistyki, takich jak zarządzanie wewnętrznymi przepływami procesów biznesowych i komunikacją z partnerami biznesowymi w łańcuchu dostaw, w celu rozwoju platform eFTI. Możliwość wykorzystania istniejących rozwiązań pozwoliłaby szybciej i w bardziej opłacalny sposób rozwijać platformy eFTI oraz ułatwiłaby szybsze i szersze wykorzystanie eFTI przez zainteresowane podmioty gospodarcze bez znacznych inwestycji technologicznych lub obciążeń związanych z procesami biznesowymi.

(3) Zgodnie z art. 12 rozporządzenia (UE) 2020/1056 należy wprowadzić proces certyfikacji platform eFTI, w ramach którego należy oceniać zgodność z wymogami określonymi w art. 9 ust. 1 tego rozporządzenia. Po wydaniu certyfikatu przez jednostkę oceniającą zgodność akredytowaną w jednym z państw członkowskich zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 765/2008 2  będzie on ważny we wszystkich państwach członkowskich. Szczegółowe wspólne specyfikacje funkcjonalne i techniczne dotyczące funkcjonowania platform eFTI określone w niniejszym rozporządzeniu powinny zatem umożliwiać Komisji określenie na późniejszym etapie, zgodnie z art. 12 rozporządzenia (UE) 2020/1056, szczegółowych przepisów niezbędnych do zapewnienia jednolitej oceny zgodności platform eFTI w kontekście ich certyfikacji.

(4) Wrażliwość danych handlowych pozostaje czynnikiem wpływającym na gotowość podmiotów gospodarczych do elektronicznej wymiany danych. Aby budować zaufanie zainteresowanych podmiotów gospodarczych, wymogi dotyczące platform eFTI powinny zapewniać, aby dane przechowywane przez podmioty gospodarcze na platformach eFTI były udostępniane właściwym organom wyłącznie na podstawie bezpiecznych i uwierzytelnionych połączeń z systemami wykorzystywanymi przez właściwe organy. Ponadto dane udostępniane właściwym organom powinny ograniczać się do wymogów informacyjnych określonych we wnioskach o dostęp do danych eFTI i tylko wtedy, gdy wnioski te są przekazywane przez właściwe organy zgodnie ze specyfikacjami funkcjonalnymi i technicznymi określonymi w rozporządzeniu wykonawczym Komisji (UE) 2024/1942 3 . Z tego samego powodu zainteresowane podmioty gospodarcze powinny otrzymywać informacje, w tym za pośrednictwem powiadomień w czasie rzeczywistym, na temat wszystkich wniosków właściwych organów o dostęp do danych udostępnionych przez nie na platformie eFTI, w tym - w momencie ich złożenia - o odpowiednich powiadomieniach uzupełniających.

(5) W rozporządzeniu wykonawczym (UE) 2024/1942 ustanowiono wspólne procedury i szczegółowe przepisy dotyczące dostępu właściwych organów do informacji udostępnianych przez zainteresowane podmioty gospodarcze na platformach eFTI oraz ich przetwarzania. Obejmuje to szczegółowe wymogi funkcjonalne i techniczne dotyczące komunikacji między systemami ICT wykorzystywanymi przez właściwe organy a platformami eFTI. Aby zapewnić interoperacyjność i płynną komunikację między systemami wykorzystywanymi przez właściwe organy a platformami eFTI, wspólne wymogi funkcjonalne i techniczne dotyczące platform eFTI powinny być zgodne z wymogami ustanowionymi dla systemów stosowanych przez właściwe organy.

(6) Dostęp podmiotów gospodarczych do platform eFTI należy również zapewnić za pomocą bezpiecznych i przejrzystych mechanizmów zarządzania dostępem. Jedynie użytkownicy posiadający zezwolenie powinni mieć możliwość dostępu do danych eFTI i ich przetwarzania w imieniu podmiotów gospodarczych. Zezwolenia powinny opierać się na jasno określonych prawach do przetwarzania, które są wydawane pod kontrolą podmiotów gospodarczych posiadających prawa lub obowiązki w odniesieniu do tych danych, zgodnie z mającym zastosowanie prawem unijnym lub krajowym lub szczegółowymi umowami handlowymi. Jednocześnie zezwolenia powinny być udzielane wyłącznie użytkownikom, którzy zostali w sposób wiarygodny zidentyfikowani i uwierzytelnieni za pomocą środków identyfikacji elektronicznej zgodnych z wymogami określonymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 4 . Takie mechanizmy zarządzania dostępem powinny budować zaufanie między podmiotami gospodarczymi do udostępniania ich danych eFTI u źródła, a zatem wyeliminowałyby potrzebę tworzenia wielu punktów przechowywania danych oraz zmniejszyłyby powiązane koszty i złożoność m.in. w zakresie zarządzania danymi i synchronizacji danych.

(7) Przepisy, o których mowa w art. 2 ust. 1 rozporządzenia (UE) 2020/1056, umożliwiają zainteresowanym podmiotom gospodarczym w większości przypadków ponowne wykorzystywanie dokumentów między przedsiębiorstwami w celu dostarczenia wymaganych informacji dotyczących transportu towarowego. Szczegółowe specyfikacje określone w niniejszym rozporządzeniu powinny być zgodne z tym samym założeniem, koncentrując się na tym, w jaki sposób informacje dotyczące transportu towarowego powinny być wymieniane drogą elektroniczną z właściwymi organami. Nie powinny one określać wymogów dotyczących formatu elektronicznego i stosowania dokumentów handlowych, aby nie wpływać na informacje dotyczące transportu towarowego wykraczające poza zakres rozporządzenia (UE) 2020/1056 ani na elastyczność podmiotów gospodarczych w przygotowywaniu i wymianie informacji między przedsiębiorstwami. W niniejszym rozporządzeniu należy zatem określić specyfikacje dotyczące składu zbioru danych eFTI, umożliwiające zainteresowanym podmiotom gospodarczym wykazanie, poprzez udostępnienie tych samych danych tylko raz, zgodności z mającymi zastosowanie unijnymi i krajowymi wymogami dotyczącymi informacji regulacyjnych, o których mowa w art. 2 ust. 1 rozporządzenia (UE) 2020/1056. Zbiór danych eFTI powinien być skonstruowany zgodnie ze specyfikacjami dotyczącymi wspólnego zbioru danych eFTI i podzbiorów danych eFTI określonymi w załączniku do rozporządzenia delegowanego Komisji (UE) 2024/2024 5 . Przekazując informacje na potrzeby zbioru danych eFTI, podmioty gospodarcze powinny mieć możliwość ponownego wykorzystywania, w najszerszym możliwym zakresie, informacji dostępnych w ich wewnętrznych elektronicznych systemach zarządzania danymi, takich jak systemy planowania zasobów przedsiębiorstwa lub systemy zarządzania transportem, z których korzystają w celu zarządzania komercyjnymi dokumentami przewozowymi, takimi jak listy przewozowe lub zlecenia przewozowe.

(8) Zgodnie z art. 4 rozporządzenia (UE) 2020/1056 zainteresowane podmioty gospodarcze nie są zobowiązane do udostępniania danych drogą elektroniczną właściwym organom, ponieważ nadal zachowują prawo do przedstawiania informacji regulacyjnych dotyczących transportu towarowego w formie dokumentów papierowych. Operatorzy platform eFTI powinni zatem zapewnić, aby zainteresowane podmioty gospodarcze były informowane, że przetwarzając dane na platformie eFTI, zgadzają się, by informacje regulacyjne dotyczące transportu towarowego zarejestrowane i w inny sposób przetwarzane jako dane eFTI na platformie eFTI były udostępniane przez tę platformę właściwym organom w imieniu danego operatora, za każdym razem, gdy platforma otrzyma wnioski o dostęp do danych eFTI od właściwych organów przekazane zgodnie z wymogami rozporządzenia wykonawczego (UE) 2024/1942. Operatorzy platformy eFTI powinni również zapewnić, aby operatorzy byli informowani, że przetwarzając dane na platformie eFTI, zgadzają się, by platforma eFTI udostępniała odpowiednie zapisy rejestrów przetwarzania danych do celów audytu zgodnie z mającym zastosowanie prawem unijnym lub krajowym.

(9) W art. 27 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady 6  (UE) 2024/1157 przewidziano interoperacyjność pomiędzy środowiskiem wymiany eFTI a centralnym systemem elektronicznego przekazywania oraz wymiany informacji i dokumentów dotyczących przemieszczania odpadów między zainteresowanymi podmiotami gospodarczymi a właściwymi organami, zwanym również cyfrowym systemem przemieszczania odpadów (DIWASS), ustanowionym zgodnie z tym rozporządzeniem. Ponadto w art. 5 ust. 2 rozporządzenia wykonawczego Komisji (UE) 2025/1290 7  określono, że użytkownicy reprezentujący zainteresowane podmioty gospodarcze działające jako przewoźnicy w odniesieniu do przemieszczania odpadów mogą podłączyć się do DIWASS za pomocą platformy eFTI połączonej z tym systemem za pośrednictwem interfejsu programowania aplikacji. Aby zapewnić interoperacyjność między platformami eFTI a DIWASS, konieczne jest określenie specyfikacji dotyczących wymiany informacji o odpadach objętych zakresem rozporządzenia (UE) 2020/1056, jak określono mowa w art. 2 ust. 1 lit. a) ppkt (iv) tego rozporządzenia. Interoperacyjność ta ułatwi przewoźnikom wykonującym operacje transportu odpadów udowodnienie, za pomocą środków elektronicznych, zgodności z wymogami dotyczącymi dostępności informacji regulacyjnych podczas operacji transportowej, jak przewidziano w przepisach, o których mowa w art. 2 ust. 1 rozporządzenia (UE) 2020/1056, oraz z wymogami dotyczącymi przekazywania informacji na temat przemieszczeń odpadów określonymi w rozporządzeniu (UE) 2024/1157.

(10) Dane rejestrowane przez podmioty gospodarcze na platformach eFTI będą miały znaczną wartość handlową, zarówno jako dowód spełnienia wymogów administracyjnych przez zainteresowane podmioty gospodarcze, jak i jako podstawa transakcji handlowych, świadczenia usług oraz monitorowania i planowania działalności gospodarczej. Istotne jest zatem, aby oprócz rygorystycznej polityki zarządzania dostępem operatorzy platform eFTI wprowadzili środki zapewniające ciągłą dostępność, ochronę i bezpieczeństwo tych danych, niezależnie od tego, czy są one przechowywane na fizycznych urządzeniach pamięci znajdujących się pod kontrolą operatora platformy eFTI, czy w chmurach danych zakupionych w ramach usług przechowywania danych. W tym celu i bez uszczerbku dla mających zastosowanie unijnych lub krajowych wymogów w zakresie cyberbezpieczeństwa operatorzy platform eFTI powinni przestrzegać najnowszych najlepszych praktyk i norm międzynarodowych w zakresie prywatności i bezpieczeństwa danych, takich jak ISO 27001, ISO 27017 i ISO 27701. W przypadku przetwarzania danych osobowych w kontekście stosowania niniejszego rozporządzenia wykonawczego zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 8 .

(11) Aby umożliwić operatorom platform eFTI uwzględnienie stale zmieniających się zmian i norm technicznych, szczegółowe specyfikacje określone w niniejszym rozporządzeniu nie powinny wykraczać poza wymogi niezbędne do zapewnienia funkcjonalnej i minimalnej interoperacyjności technicznej z innymi elementami środowiska wymiany eFTI, jak przewidziano w rozporządzeniu wykonawczym (UE) 2024/1942. Jednocześnie niezakłócona interoperacyjność między tymi różnymi komponentami ICT nie może zostać osiągnięta bez zestawu wspólnych i szczegółowych specyfikacji technicznych, które można łatwo aktualizować i udostępniać wszystkim zainteresowanym stronom. W celu wsparcia wdrażania niniejszego rozporządzenia należy zatem opracować wytyczne techniczne z udziałem zainteresowanych stron zarówno z sektora publicznego, jak i prywatnego, a w szczególności grupy roboczej ekspertów wyznaczonych przez państwa członkowskie do działania jako sieć wsparcia operacyjnego zgodnie z art. 13 rozporządzenia wykonawczego (UE) 2024/1942 oraz odpowiednich grup roboczych lub podgrup grupy ekspertów Forum Cyfrowego Transportu i Logistyki 9 .

(12) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady 10  (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który w dniu 8 lipca 2025 r. wydał swoją opinię.

(13) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego na mocy art. 15 ust. 1 rozporządzenia (UE) 2020/1056,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ  I

PRZEPISY OGÓLNE

Artykuł  1

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)
"system ICT" oznacza zorganizowany zespół technologii informacyjno-komunikacyjnych (ICT), łącznie ze sprzętem, oprogramowaniem i sieciami, połączony i regulowany interakcją lub współzależnością w celu realizacji zestawu określonych funkcji;
2)
"pomocniczy system ICT" oznacza możliwy do zidentyfikowania system ICT, zewnętrzny w stosunku do platformy eFTI, w tym inną platformę eFTI, za pomocą którego użytkownicy biznesowi łączą się z platformą eFTI w celu uzyskania dostępu do danych eFTI i ich przetwarzania;
3)
"dane eFTI" oznaczają dane odpowiadające informacjom regulacyjnym zdefiniowanym w art. 3 ust. 1 rozporządzenia (UE) 2020/1056;
4)
"operator platformy eFTI" oznacza osobę fizyczną lub prawną uznaną za prawnie odpowiedzialną za właściwe funkcjonowanie platformy eFTI;
5)
"bramka eFTI" oznacza komponent ICT realizujący funkcje określone w art. 6 rozporządzenia wykonawczego (UE) 2024/1942 lub zestaw takich komponentów ICT;
6)
"użytkownik biznesowy" oznacza osobę fizyczną lub prawną, która stanowi zainteresowany podmiot gospodarczy zgodnie z rozporządzeniem (UE) 2020/1056 lub jest upoważniona do jego reprezentowania lub inny podmiot gospodarczy, który jest posiadaczem danych zgodnie z pkt 23, i która przetwarza dane na platformie eFTI w imieniu tego zainteresowanego podmiotu gospodarczego lub innego posiadacza danych;
7)
"sesja zalogowania" oznacza ograniczony okres, w którym użytkownik biznesowy uzyskuje dostęp do platformy eFTI;
8)
"przemieszczanie przesyłki" oznacza transport zbioru towarów za pomocą jednego środka transportu z własnym napędem, z wyposażeniem transportowym lub bez wyposażenia, takiego jak przyczepa, paleta lub kontener, z tego samego miejsca załadunku lub przejęcia do tego samego miejsca rozładunku lub przekazania, zgodnie z warunkami pojedynczej umowy przewozowej;
9)
"zbiór danych eFTI dotyczących przemieszczania przesyłki" lub "eFTI CMDS" oznacza jednoznacznie zidentyfikowany zbiór danych eFTI złożony z danych eFTI, które łącznie stanowią informacje regulacyjne dotyczące transportu towarowego związane z przemieszczaniem określonej przesyłki;
10)
"stosowne wymogi dotyczące informacji regulacyjnych" oznaczają wymogi dotyczące informacji regulacyjnych, o których mowa w art. 2 ust. 1 rozporządzenia (UE) 2020/1056, mające zastosowanie do przemieszczania określonej przesyłki;
11)
"identyfikatory podzbiorów danych eFTI" oznaczają identyfikatory w formacie "EUyy" lub "XXyy" podzbiorów danych eFTI ustanowionych w sekcjach 3 i 4 załącznika do rozporządzenia delegowanego (UE) 2024/2024;
12)
"UUID zbioru eFTI CMDS" oznacza niepowtarzalny numer, o którym mowa w art. 11 ust. 2 lit. c) rozporządzenia wykonawczego (UE) 2024/1942, przydzielany automatycznie przez platformę eFTI do zbioru danych eFTI stanowiącego eFTI CMDS;
13)
"niepowtarzalny numer identyfikacyjny wniosku" oznacza niepowtarzalny numer wniosku o dostęp do danych eFTI złożonego przez urzędnika właściwego organu, wydany i przydzielony wnioskowi zgodnie z art. 3 ust. 2 lit. c) rozporządzenia wykonawczego (UE) 2024/1942;
14)
"powiadomienie uzupełniające" oznacza komunikację między właściwymi organami a zainteresowanymi podmiotami gospodarczymi zdefiniowaną w art. 1 pkt 6 rozporządzenia wykonawczego (UE) 2024/1942;
15)
"interfejs użytkownika człowiek-maszyna" oznacza graficzny interfejs użytkownika oparty na sieci lub aplikacji, który umożliwia osobom fizycznym wykonywanie operacji przetwarzania danych na platformie eFTI;
16)
"środek identyfikacji elektronicznej" oznacza materialną lub niematerialną jednostkę zawierającą dane identyfikujące osobę i używaną do uwierzytelniania w celu dostępu do usługi online lub, w stosownych przypadkach, usługi offline;
17)
"system identyfikacji elektronicznej" oznacza system identyfikacji elektronicznej, w ramach którego wydaje się środki identyfikacji elektronicznej osobom fizycznym lub prawnym bądź osobom fizycznym reprezentującym inne osoby fizyczne lub osoby prawne;
18)
"uwierzytelnianie" oznacza proces elektroniczny, który umożliwia potwierdzenie identyfikacji elektronicznej osoby fizycznej lub prawnej, lub potwierdzenie pochodzenia i integralności danych w postaci elektronicznej;
19)
"zaawansowany podpis elektroniczny" oznacza podpis elektroniczny spełniający wymogi określone w art. 26 rozporządzenia (UE) nr 910/2014;
20)
"zaawansowana pieczęć elektroniczna" oznacza pieczęć elektroniczną spełniającą wymogi określone w art. 36 rozporządzenia (UE) nr 910/2014;
21)
"użytkownik zintegrowany" oznacza użytkownika biznesowego, w przypadku którego identyfikacja, uwierzytelnienie i udzielenie zezwolenia zostały wykonane zgodnie z wymogami ustanowionymi w art. 4 ust. 2 lit. a);
22)
"użytkownik niezintegrowany" oznacza użytkownika biznesowego, który może uzyskać dostęp do platformy eFTI wyłącznie na podstawie tymczasowych praw dostępu i przetwarzania, wydanych zgodnie z wymogami ustanowionymi w art. 5 ust. 1 lit. b);
23)
"posiadacz danych" oznacza osobę fizyczną lub prawną, która ma prawo lub obowiązek, zgodnie z mającym zastosowanie prawem Unii, przepisami krajowymi lub prywatnymi umowami, do wykorzystywania i udostępniania danych stanowiących również informacje regulacyjne zgodnie z wymogami, o których mowa w art. 2 ust. 1 rozporządzenia 2020/1056;
24)
"główny podmiot autoryzujący" oznacza zintegrowanego użytkownika biznesowego, który może modyfikować informacje zapisane w profilu użytkownika zintegrowanego, w tym ustanawiać lub usuwać profil użytkownika;
25)
"podmiot tymczasowo autoryzujący" oznacza zintegrowanego użytkownika biznesowego, który może przyznawać tymczasowe prawa do przetwarzania danych użytkownikom niezintegrowanym;
26)
"uwierzytelnianie dwuskładnikowe" oznacza metodę bezpieczeństwa zarządzania tożsamością i dostępem, która wymaga dwóch form identyfikacji, aby uzyskać dostęp do platformy eFTI;
27)
"znak certyfikujący" oznacza kodowane odniesienie do platformy eFTI potwierdzające ważność jej statusu certyfikacji, które powinno towarzyszyć wszystkim informacjom udostępnianym właściwym organom za pośrednictwem certyfikowanej platformy eFTI zgodnie z art. 12 ust. 3 rozporządzenia (UE) 2020/1056;
28)
"cyfrowy system przemieszczania odpadów" (DIWASS) oznacza system centralny, o którym mowa w art. 27 ust. 3 rozporządzenia (UE) 2024/1157;
29)
"podmiot zajmujący się przemieszczaniem odpadów" oznacza podmiot zdefiniowany w art. 2 ust. 2 pkt 13 rozporządzenia wykonawczego (UE) 2025/1290;
30)
"dokumenty przemieszczania odpadów" oznaczają dokumenty, o których mowa w art. 9 ust. 2, art. 16 ust. 1 i art. 18 ust. 4 rozporządzenia (UE) 2024/1157;
31)
"szczegółowe informacje dotyczące transportu kombinowanego" oznaczają informacje regulacyjne, o których mowa w art. 3 dyrektywy Rady 92/106/EWG 11 ;
32)
"kwalifikowany elektroniczny znacznik czasu" oznacza elektroniczny znacznik czasu, który spełnia wymogi określone w art. 42 rozporządzenia (UE) nr 910/2014.
Artykuł  2

Architektura systemowa platform eFTI

Architektura systemowa platform eFTI składa się z dowolnej kombinacji komponentów lub systemów ICT, które spełniają wymogi określone w niniejszym rozporządzeniu.

ROZDZIAŁ  II

DOSTĘP DO PLATFORM eFTI

Artykuł  3

Dostęp właściwych organów do platform eFTI

1. 
Platformy eFTI umożliwiają właściwym organom dostęp do danych eFTI wyłącznie za pomocą komunikacji maszyna-maszyna, poprzez bezpieczne połączenie między platformą eFTI a bramką eFTI. Platforma eFTI zapewnia takie połączenie z co najmniej jedną bramką eFTI.
2. 
Aby umożliwić komunikację, o której mowa w ust. 1, platforma eFTI zapewnia następujące funkcje:
a)
walidację wniosku o dostęp do danych eFTI lub powiadomienia uzupełniającego otrzymanego z bramki eFTI poprzez weryfikację klucza bezpieczeństwa bramki eFTI;
b)
przetwarzanie wniosku o dostęp do danych eFTI, przez określenie:
(i)
UUID zbioru eFTI CMDS;
(ii)
odniesień do praw dostępu urzędnika właściwego organu odpowiedzialnego za wniosek, wyrażonych jako wykaz identyfikatorów podzbiorów danych eFTI;
c)
zachowanie ścieżki audytu wniosku o dostęp do danych eFTI poprzez zapisanie co najmniej następujących informacji:
(i)
niepowtarzalnego numeru identyfikacyjnego wniosku o dostęp do danych eFTI zawartego we wniosku przesłanym przez bramkę eFTI;
(ii)
UUID zbioru eFTI CMDS, do którego zażądano dostępu;
(iii)
daty i godziny wniosku;
d)
przygotowanie i przekazanie do bramki eFTI odpowiedzi na wniosek o dostęp do danych eFTI, stosownie do przypadku:
(i)
żądanych danych eFTI, jako podzbioru eFTI CMDS składającego się ze wszystkich elementów danych, które odpowiadają stosownym wymogom dotyczącym informacji regulacyjnych i które są identyfikowane przez platformę eFTI na podstawie odniesień do praw dostępu urzędnika właściwego organu zawartych we wniosku;
(ii)
komunikatu o błędzie zawierającego zakodowaną lub krótką specyfikację tekstową rodzaju błędu, w przypadku gdy z przyczyn technicznych lub biznesowych bramka eFTI lub platforma eFTI nie może dostarczyć żądanych danych eFTI;
e)
zachowanie ścieżki audytu odpowiedzi, która umożliwia uzyskanie co najmniej następujących informacji:
(i)
niepowtarzalnego numeru identyfikacyjnego odpowiedzi oraz niepowtarzalnego numeru identyfikacyjnego wniosku, na który udzielono odpowiedzi;
(ii)
rodzaju udzielonej odpowiedzi - eFTI CMDS czy komunikat o błędzie;
(iii)
daty i godziny odpowiedzi;
(iv)
jeżeli odpowiedź zawiera eFTI CMDS - elementów danych i ich odpowiednich wartości uwzględnionych w odpowiedzi;
f)
przetwarzanie powiadomienia uzupełniającego poprzez:
(i)
pobieranie UUID zbioru eFTI CMDS i niepowtarzalnego numeru identyfikacyjnego wniosku o dostęp do danych eFTI, w odniesieniu do którego złożono powiadomienie uzupełniające;
(ii)
rejestrowanie informacji zawartych w powiadomieniu uzupełniającym przekazanym przez właściwy organ zgodnie ze specyfikacjami określonymi w art. 3 ust. 5 lit. a) rozporządzenia wykonawczego (UE) 2024/1942;
(iii)
powiadamianie zainteresowanych użytkowników biznesowych, jeżeli ich zezwolenie obejmuje odpowiednie prawa do przetwarzania, oraz przekazywanie do bramki eFTI wiadomości potwierdzającej otrzymanie powiadomienia uzupełniającego;
g)
zachowanie ścieżki audytu powiadomienia uzupełniającego, która umożliwia uzyskanie co najmniej następujących informacji:
(i)
niepowtarzalnego numeru identyfikacyjnego wniosku o dostęp do danych eFTI lub powiadomienia uzupełniającego;
(ii)
daty i godziny otrzymania powiadomienia uzupełniającego.
Artykuł  4

Dostęp użytkowników biznesowych do platform eFTI

1. 
Platformy eFTI umożliwiają użytkownikom biznesowym dostęp do danych eFTI i ich przetwarzanie za pomocą jednego lub obu następujących sposobów:
a)
interfejsy użytkownika człowiek-maszyna;
b)
komunikacja maszyna-maszyna za pośrednictwem bezpiecznych połączeń z innymi systemami ICT, które działają jako pomocnicze systemy ICT.
2. 
W odniesieniu do dostępu do danych eFTI i ich przetwarzania za pomocą interfejsów człowiek-maszyna platformy eFTI dostarczają funkcji zapewniających:
a)
w odniesieniu do każdego użytkownika zintegrowanego:
(i)
identyfikację i uwierzytelnienie użytkownika za pomocą środków identyfikacji elektronicznej wydanych w ramach systemu identyfikacji elektronicznej spełniającego wymogi określone w ust. 3;
(ii)
udzielenie użytkownikowi zezwolenia za pomocą rejestru zezwoleń, o którym mowa w art. 5 ust. 1 lit. a);
b)
w przypadku użytkowników niezintegrowanych - identyfikację i uwierzytelnienie użytkowników oraz udzielenie im zezwolenia za pomocą mechanizmu udzielania zezwoleń, o którym mowa w art. 5 ust. 1 lit. b).
3. 
System identyfikacji elektronicznej, o którym mowa w ust. 2 lit. a) ppkt (i), musi spełniać co najmniej wymogi określone w art. 8 ust. 2 lit. b) rozporządzenia (UE) nr 910/2014.

W przypadku użytkowników uzyskujących dostęp do danych eFTI odpowiadających wymogom informacyjnym, o których mowa w art. 2 ust. 1 lit. a) ppkt (iv) rozporządzenia (UE) 2020/1056, i przetwarzających te dane, środki identyfikacji elektronicznej, o których mowa w ust. 2 lit. a) ppkt (i) niniejszego artykułu, muszą zawierać odniesienie do numeru identyfikacyjnego podmiotu przemieszczającego odpady, o którym mowa w art. 9 rozporządzenia wykonawczego (UE) 2025/1290.

4. 
Jeśli chodzi o dostęp do danych eFTI i ich przetwarzanie za pomocą komunikacji maszyna-maszyna, platformy eFTI dostarczają funkcji zapewniających każdemu z pomocniczych systemów ICT:
a)
identyfikację i uwierzytelnienie użytkownika biznesowego, na którego odpowiedzialność prawną działa pomocniczy system ICT, za pomocą rejestru, w którym zapisywane i aktualizowane są co najmniej następujące informacje:
(i)
oznaczenie identyfikacyjne użytkownika biznesowego;
(ii)
szczegóły klucza bezpieczeństwa pomocniczego systemu ICT;
b)
udzielenie zezwolenia użytkownikowi biznesowemu, na którego odpowiedzialność prawną działa pomocniczy system ICT, za pomocą rejestru zezwoleń, o którym mowa w art. 5 ust. 1 lit. a).
5. 
Operatorzy platform eFTI ustanawiają i wprowadzają środki na rzecz odpowiedniego wdrożenia pomocniczych systemów ICT, które obejmują co najmniej:
a)
weryfikowanie, czy pomocniczy system ICT identyfikuje i uwierzytelnia użytkowników, którzy mogą działać jako użytkownicy biznesowi platformy eFTI, za pomocą środków identyfikacji elektronicznej wydanych w ramach systemu identyfikacji elektronicznej spełniającego wymogi określone w ust. 3;
b)
weryfikowanie, czy za pomocą rejestru zezwoleń, o którym mowa w art. 5 ust. 1 lit. a), pomocniczy system ICT kontroluje dostęp użytkowników, którzy mogą działać jako użytkownicy biznesowi platformy eFTI.
6. 
W odniesieniu do każdej sesji zalogowania platforma eFTI zapewnia identyfikację, uwierzytelnienie użytkownika biznesowego i udzielenie mu zezwolenia przed umożliwieniem mu przetwarzania danych eFTI.
Artykuł  5

Mechanizm udzielania zezwoleń

1. 
Platformy eFTI wykorzystują jeden lub oba z następujących rodzajów mechanizmów udzielania zezwoleń:
a)
weryfikację praw użytkownika do przetwarzania, za pomocą rejestrów zezwoleń, w których prawa do przetwarzania przysługujące użytkownikom zintegrowanym są rejestrowane, aktualizowane i pozostają dostępne do celów audytu i które stanowią główny mechanizm udzielania zezwoleń;
b)
wydawanie i weryfikowanie tymczasowych praw do przetwarzania, za pomocą rejestrów zezwoleń, w których rejestruje się dane uwierzytelniające tymczasowy dostęp okazjonalnych użytkowników niezintegrowanych.
2. 
Rejestry zezwoleń, o których mowa w ust. 1, ustanawia się i utrzymuje jako oddzielny komponent ICT. Ten oddzielny komponent ICT jest albo wewnętrzny dla platformy eFTI, albo stanowi część systemu ICT zewnętrznego w stosunku do platformy eFTI, z którą platforma eFTI ustanawia bezpieczną komunikację, zgodnie z art. 12 ust. 4.
3. 
Rejestry zezwoleń, o których mowa w ust. 1 lit. a), prowadzą niepowtarzalnie zidentyfikowany "profil użytkownika" dla każdego zintegrowanego użytkownika biznesowego, zapisując co najmniej następujące informacje:
a)
niepowtarzalną identyfikację użytkownika biznesowego w postaci zakodowanego odniesienia;
b)
prawa do przetwarzania, wyrażone jako odniesienia, które obejmują:
(i)
odniesienia do operacji przetwarzania, o których mowa w art. 8;
(ii)
okres, na jaki przyznaje się każde z praw do przetwarzania, o których mowa w lit. b);
(iii)
zakodowane odniesienia do elementów danych eFTI lub grup elementów danych eFTI, jak określono w sekcji 2 załącznika do rozporządzenia delegowanego (UE) 2024/2024, w odniesieniu do których można wykonać każdą z operacji przetwarzania, o których mowa w art. 8;
c)
wskazanie, czy użytkownik biznesowy może działać jako główny podmiot autoryzujący czy jako podmiot tymczasowo autoryzujący;
d)
w przypadku użytkowników biznesowych wyznaczonych jako główny podmiot autoryzujący - niepowtarzalne numery identyfikacyjne istniejących profili użytkowników zintegrowanych, które mogą oni modyfikować;
e)
w przypadku użytkowników biznesowych wyznaczonych jako podmiot tymczasowo autoryzujący - tymczasowe prawa do przetwarzania, które mogą przyznawać użytkownikom niezintegrowanym, wyrażone jako odniesienia do operacji przetwarzania, o których mowa w art. 8;
f)
wskazanie, czy użytkownik biznesowy może żądać powiadomień związanych z wnioskami właściwych organów o dostęp do danych eFTI i powiązanymi powiadomieniami uzupełniającymi, jeżeli są one związane z eFTI CMDS, do którego ma prawa do przetwarzania.
4. 
Operator platformy eFTI lub, w przypadku gdy rejestr zezwoleń został ustanowiony jako element systemu ICT zewnętrznego w stosunku do platformy eFTI, operator zewnętrznego systemu ICT, podejmują środki w celu zapewnienia odpowiedniego zatwierdzania użytkowników biznesowych, którzy mogą działać jako "główny podmiot autoryzujący". Środki te obejmują co najmniej:
a)
identyfikację i uwierzytelnienie zgodnie z wymogami określonymi w art. 4 ust. 2 lit. a);
b)
weryfikację danych uwierzytelniających stwierdzającą, że użytkownik biznesowy jest posiadaczem danych lub jest przedstawicielem prawnym posiadacza danych lub że użytkownik biznesowy jest upoważniony do zezwalania, w imieniu posiadacza danych, na przetwarzanie danych, w odniesieniu do których ten posiadacz danych ma prawa lub obowiązki, jak określono w art. 1 pkt 23;
c)
prowadzenie rejestru tych danych uwierzytelniających do celów audytu.
5. 
Mechanizm udzielania zezwoleń, o którym mowa w ust. 1 lit. b), obejmuje funkcje, które są zgodne co najmniej z następującymi specyfikacjami:
a)
zezwalanie użytkownikom zintegrowanym, którzy mają uprawnienia podmiotu tymczasowo autoryzującego na przyznawanie tymczasowych praw do przetwarzania użytkownikom niezintegrowanym, poprzez rejestrowanie w specjalnym rejestrze danych uwierzytelniających tymczasowy dostęp użytkowników niezintegrowanych, które obejmują co najmniej:
(i)
dane kontaktowe identyfikujące użytkownika niezintegrowanego oraz informacje o tym, na jaki adres można wysyłać wiadomości elektroniczne;
(ii)
UUID zbioru eFTI CMDS, do którego użytkownik niezintegrowany otrzymuje tymczasowe prawa do przetwarzania;
(iii)
prawa do przetwarzania przyznane użytkownikowi niezintegrowanemu, wyrażone jako odniesienia do operacji przetwarzania, o których mowa w art. 8;
(iv)
dokładny okres ważności tych praw do przetwarzania;
b)
zezwalanie użytkownikom zintegrowanym z uprawnieniami podmiotu tymczasowo autoryzującego na przyznanie tymczasowego dostępu do danych eFTI użytkownikom niezintegrowanym, w odniesieniu do których zarejestrowali oni dane uwierzytelniające tymczasowy dostęp, poprzez przesłanie - z wykorzystaniem zarejestrowanych danych kontaktowych użytkownika niezintegrowanego - komunikatu zawierającego:
(i)
link dostępu do platformy eFTI;
(ii)
UUID każdego zbioru eFTI CMDS, do którego użytkownik niezintegrowany otrzymuje tymczasowe prawa do przetwarzania;
c)
w przypadku gdy o dostęp do platformy eFTI zwraca się użytkownik niezintegrowany, udzielenie użytkownikowi niezintegrowanemu dostępu do platformy eFTI w oparciu o uwierzytelnianie dwuskładnikowe i umożliwienie mu wykonywania operacji przetwarzania w oparciu o jego prawa do przetwarzania zarejestrowane zgodnie z lit. a);
d)
zakończenie sesji zalogowania użytkownika niezintegrowanego niezwłocznie po wystąpieniu jednego z następujących zdarzeń:
(i)
potwierdzenia przez użytkownika zakończenia sesji przetwarzania danych;
(ii)
upłynięcia okresu, o którym mowa w lit. a) ppkt (iv).
6. 
Informacje zapisane w rejestrach zezwoleń zgodnie z ust. 1-5 przechowuje się do celów audytu co najmniej przez ten sam okres, przez jaki musi być przechowywany eFTI CMDS, w którym odnośni użytkownicy wykonali operacje przetwarzania, zgodnie z mającym zastosowanie prawem krajowym lub prawem Unii, zgodnie z art. 9 ust. 1 lit. i) rozporządzenia (UE) 2020/1056.
7. 
Platformy eFTI usuwają wszystkie informacje stanowiące dane osobowe zgodnie z rozporządzeniem (UE) 2016/679 w rozsądnym terminie po upływie okresu, o którym mowa w ust. 6.
Artykuł  6

Komunikacja z DIWASS

1. 
Aby umożliwić zainteresowanym podmiotom gospodarczym udostępnianie właściwym organom informacji regulacyjnych, o których mowa w art. 2 ust. 1 lit. a) ppkt (iv) rozporządzenia (UE) 2020/1056, platformy eFTI ustanawiają bezpieczne połączenia z centralnym systemem, o którym mowa w art. 27 ust. 3 rozporządzenia (UE) 2024/1157, za pośrednictwem interfejsu programowania aplikacji, o którym mowa w art. 5 ust. 2 rozporządzenia wykonawczego (UE) 2025/1290, lub - w przypadku gdy informacje są udostępniane przez państwo członkowskie - poprzez połączenie z lokalnym systemem obsługiwanym przez właściwy organ w tym państwie członkowskim zgodnie z art. 27 ust. 4 rozporządzenia (UE) 2024/1157, który łączy się z tym centralnym systemem zgodnie z wymogami rozporządzenia wykonawczego (UE) 2025/1290.
2. 
W przypadku gdy platformy eFTI ustanawiają jedno z połączeń, o których mowa w ust. 1, zapewniają one również odpowiednie dodatkowe funkcje zgodnie z art. 9 ust. 2 niniejszego rozporządzenia.
Artykuł  7

Przejrzystość

1. 
Platformy eFTI zapewniają funkcje umożliwiające użytkownikom biznesowym zwracanie się o powiadomienia i ich otrzymywanie, w tym w formie okresowych raportów, w oparciu o odpowiednie zezwolenia. Te powiadomienia i raporty obejmują wnioski właściwych organów o dostęp do danych eFTI oraz powiązane powiadomienia uzupełniające. Obejmują one również operacje przetwarzania dokonywane przez użytkowników biznesowych, w przypadku gdy użytkownik biznesowy wnioskujący o te powiadomienia lub raporty jest posiadaczem danych lub ma prawa do przetwarzania tych danych przypisane w rejestrze zezwoleń, o którym mowa w art. 5 ust. 1 lit. a), w odniesieniu do tych danych.
2. 
W przypadku gdy powiadomienia lub raporty, o których mowa w ust. 1, dotyczą wniosków właściwych organów o dostęp do danych eFTI i powiązanych powiadomień uzupełniających, powiadomienia te muszą zawierać co najmniej następujące informacje:
a)
datę i godzinę otrzymania wniosku o dostęp do danych eFTI oraz, jeżeli zostało złożone, powiadomienia uzupełniającego;
b)
państwo członkowskie właściwego organu, który złożył wniosek o dostęp do danych eFTI;
c)
UUID zbioru eFTI CMDS, w odniesieniu do którego złożono wniosek o dostęp do danych eFTI;
d)
informacje zawarte w powiadomieniu uzupełniającym, o ile zostało ono złożone.

ROZDZIAŁ  III

PRZETWARZANIE DANYCH NA PLATFORMACH eFTI

Artykuł  8

Zbiór danych eFTI CMDS

1. 
Platformy eFTI zarządzają przetwarzaniem danych eFTI w oparciu o jednoznacznie zidentyfikowane zbiory danych, z których każdy stanowi eFTI CMDS.
2. 
Zbiór danych eFTI CMDS generuje się, wybierając wszystkie elementy danych, które stanowią podzbiory danych eFTI odpowiadające stosownym wymogom dotyczącym informacji regulacyjnych w odniesieniu do konkretnego przemieszczenia przesyłki, przy czym wszystkie elementy danych wspólne dla co najmniej dwóch podzbiorów danych eFTI uwzględnia się tylko raz.
3. 
Wszystkie dane eFTI przetwarzane na platformie eFTI muszą być zgodne z definicjami i właściwościami technicznymi, w tym ze strukturą, wykazami kodów i regułami biznesowymi, ustanowionymi rozporządzeniem delegowanym (UE) 2024/2024.
Artykuł  9

Operacje przetwarzania

1. 
Platformy eFTI zapewniają funkcje umożliwiające użytkownikom biznesowym, po zatwierdzeniu ich praw do przetwarzania za pomocą mechanizmu zezwoleń, o którym mowa w art. 5, wykonywanie następujących operacji przetwarzania danych eFTI:
a)
tworzenie eFTI CMDS;
b)
edycja eFTI CMDS;
c)
odczytywanie danych eFTI CMDS;
d)
pobieranie kopii danych eFTI CMDS;
e)
podpis nadawcy;
f)
podpis przewoźnika;
g)
podpis odbiorcy;
h)
użycie "znacznika" transportu kombinowanego przez właściwy organ w porcie morskim, porcie żeglugi śródlądowej lub na stacji kolejowej;
i)
archiwizacja eFTI CMDS.
2. 
Funkcje platformy eFTI, o której mowa w art. 6, umożliwiają użytkownikom biznesowym, po zatwierdzeniu ich praw do przetwarzania za pomocą mechanizmu autoryzacji, o którym mowa w art. 5, wykonywanie następujących operacji przetwarzania danych eFTI:
a)
pobieranie kopii dokumentów przemieszczania odpadów;
b)
przedkładanie potwierdzeń przekazania przez przewoźnika w odniesieniu do przemieszczeń odpadów zgodnie z częścią B pkt 3 i częścią C pkt 3 załącznika II do rozporządzenia wykonawczego 2025/1290;
c)
edycja przedłożonych potwierdzeń przekazania przez przewoźnika w odniesieniu do przemieszczeń odpadów zgodnie z częścią B pkt 4 i częścią C pkt 4 załącznika II do rozporządzenia wykonawczego 2025/1290.
3. 
Operacje przetwarzania, o których mowa w ust. 1 i 2, są określone w załączniku, wraz z działaniami, które mają być wykonywane przez platformy eFTI, aby umożliwić użytkownikom biznesowym wykonywanie tych operacji.
4. 
Przed umożliwieniem użytkownikowi biznesowemu wykonania operacji przetwarzania na danych eFTI platforma informuje użytkownika za pomocą wyraźnie sformułowanych komunikatów, że przetwarzając dane na platformie eFTI, użytkownik wyraża zgodę na to, aby:
a)
dane przetwarzane przez użytkownika biznesowego mogły być automatycznie udostępniane właściwym organom, w szczególności za każdym razem, gdy platforma eFTI otrzyma od właściwego organu wniosek o dostęp do danych eFTI w odniesieniu do konkretnego eFTI CMDS, którego częścią są te dane;
b)
ścieżka audytu operacji przetwarzania danych przeprowadzonych przez użytkownika biznesowego była rejestrowana zgodnie z przepisami ust. 6 i mogła być udostępniana właściwym organom do wglądu zgodnie z mającym zastosowanie prawem Unii lub prawem krajowym.
5. 
Platformy eFTI zapisują każdą operację przetwarzania wykonaną przez użytkownika biznesowego w eFTI CMDS, rejestrując w odniesieniu do każdego przetwarzanego elementu danych następujące informacje:
a)
UUID zbioru eFTI CMDS;
b)
w przypadku użytkowników zintegrowanych - kodowaną identyfikację powiązaną z ich kontem użytkownika;
c)
w przypadku użytkowników niezintegrowanych - informacje identyfikacyjne dostarczone przez użytkownika w kontekście uwierzytelniania dwuskładnikowego, o którym mowa w art. 5 ust. 5 lit. c);
d)
datę i godzinę;
e)
rodzaj wykonanej operacji, określony zgodnie z ust. 1 i 2; jeżeli operacja przetwarzania wiąże się z modyfikacją lub usunięciem wartości elementu danych, zachowuje się również pierwotną wartość elementu danych.
6. 
Platformy eFTI rejestrują i przechowują dane eFTI CMDS łatwo dostępne zarówno dla użytkowników biznesowych, jak i właściwych organów w internetowym systemie przechowywania danych, co najmniej przez okres, w którym eFTI CMDS ma status "aktywny" i, w stosownych przypadkach, "nieaktywny", przypisany przez platformę eFTI zgodnie ze specyfikacjami określonymi w załączniku do niniejszego rozporządzenia.
7. 
Platformy eFTI utrzymują eFTI CMDS, który mają status "gotowy do archiwizacji" lub "zarchiwizowany", oraz odpowiednie rejestry operacji przetwarzania, do których dostęp mają właściwe organy, przez okresy, o których mowa w art. 9 ust. 1 lit. i) rozporządzenia (UE) 2020/1056.
8. 
Platformy eFTI usuwają wszystkie informacje stanowiące dane osobowe zgodnie z rozporządzeniem (UE) 2016/679 w rozsądnym terminie po upływie okresów, o których mowa w ust. 8.
Artykuł  10

Interfejsy użytkownika człowiek-maszyna

1. 
Interfejsy człowiek-maszyna, o których mowa w art. 4 ust. 1 lit. a), zapewniają następujące funkcje internetowe lub oparte na aplikacjach:
a)
umożliwiają użytkownikom biznesowym interakcję z platformą eFTI do celów identyfikacji, uwierzytelniania i udzielania zezwoleń przez platformę eFTI zgodnie z art. 4 i 5 oraz, odpowiednio, przetwarzania danych eFTI na platformie eFTI zgodnie z art. 5 i 9;
b)
umożliwiają upoważnionym użytkownikom pobieranie unikalnego elektronicznego łącza identyfikującego (UIL) eFTI CMDS oraz umożliwiają im przekazywanie go właściwym organom w formacie nadającym się do odczytu maszynowego;
c)
umożliwiają upoważnionym użytkownikom pobieranie czytelnej dla człowieka kopii eFTI CMDS oraz, w stosownych przypadkach, dokumentów przemieszczania odpadów oraz wyświetlanie tych kopii do wglądu urzędników właściwych organów, jeżeli wymagają tego ci urzędnicy zgodnie z art. 4 ust. 2 rozporządzenia (UE) 2020/1056.
2. 
Kopie nadające się do odczytu przez człowieka, o których mowa w ust. 1 lit. d), zawierają nadające się do odczytu maszynowego odniesienie do znaku certyfikującego platformy eFTI oraz wskazanie daty i godziny pobrania, w formie znacznika czasu.
3. 
Interfejsy platformy eFTI człowiek-maszyna muszą obejmować zabezpieczenia dostępu zapobiegające nieuprawnionemu dostępowi do danych eFTI i funkcji platformy eFTI, jeżeli urządzenie, za pomocą którego użytkownik biznesowy uzyskuje dostęp do platformy eFTI, nie znajduje się pod kontrolą użytkownika.

ROZDZIAŁ  IV

ŚRODKI DOSTĘPNOŚCI, BEZPIECZEŃSTWA I ODPORNOŚCI

Artykuł  11

Dostępność

Platforma eFTI pozostaje dostępna do wglądu dla właściwych organów, jak określono w art. 3, co najmniej przez okres, przez jaki zarejestrowane na tej platformie eFTI CMDS mają status "aktywny" i, w stosownych przypadkach, "nieaktywny", przypisany przez platformę eFTI zgodnie ze specyfikacjami określonymi w załączniku do niniejszego rozporządzenia.

Artykuł  12

Bezpieczeństwo wymiany danych

1. 
Na potrzeby komunikacji z bramką eFTI platforma eFTI:
a)
utrzymuje punkt dostępu eDelivery, zgodnie ze specyfikacjami wymiany komunikatów eDelivery, lub punkt dostępu zgodny z równoważnymi specyfikacjami wymiany komunikatów obsługiwanymi przez bramkę eFTI, jeżeli takie specyfikacje wymiany komunikatów zostały ustanowione przez państwo członkowskie zgodnie z art. 9 ust. 4 rozporządzenia wykonawczego (UE) 2024/1942;
b)
stosuje bezpieczne procedury i protokoły do odbierania, rejestrowania, wyszukiwania i walidacji kluczy bezpieczeństwa lub certyfikatów bezpieczeństwa bramki eFTI.
2. 
Punkty dostępu, o których mowa w ust. 1 lit. a), wykorzystują certyfikaty bezpieczeństwa wydane za pośrednictwem organu certyfikującego przez państwo członkowskie, w którym platforma eFTI otrzymała certyfikat zgodności, o którym mowa w art. 12 ust. 1 rozporządzenia (UE) 2020/1056.
3. 
Cała komunikacja między platformą eFTI a bramką eFTI odbywa się za pomocą wymiany komunikatów zgodnych ze specyfikacjami określonymi w art. 9 ust. 3 i 4 rozporządzenia wykonawczego (UE) 2024/1942.
4. 
W przypadku komunikacji z pomocniczymi systemami ICT lub innymi zewnętrznymi komponentami systemów ICT realizującymi niektóre funkcje platformy eFTI, platformy eFTI muszą co najmniej:
a)
utrzymywać punkty dostępu z ważnymi kluczami bezpieczeństwa lub certyfikatami bezpieczeństwa;
b)
stosować bezpieczne procedury i protokoły do odbierania, rejestrowania, wyszukiwania i walidacji kluczy bezpieczeństwa lub certyfikatów bezpieczeństwa tych innych systemów ICT.
5. 
Na potrzeby komunikacji z DIWASS platformy eFTI:
a)
utrzymują punkty dostępu zgodne ze specyfikacjami, o których mowa w art. 12 rozporządzenia wykonawczego (UE) 2025/1290;
b)
stosują bezpieczne procedury i protokoły do odbierania, rejestrowania, wyszukiwania i walidacji klucza bezpieczeństwa DIWASS;
c)
utrzymują interfejs programowania aplikacji, który umożliwia im otrzymywanie danych DIWASS związanych z podpisem odbiorcy, jeżeli odbiorcą jest instalacja przetwarzania odpadów, o której mowa w rozporządzeniu (UE) 2024/1157.
Artykuł  13

Bezpieczeństwo przechowywanych danych

Operatorzy platform eFTI określają i wdrażają środki zapewniające bezpieczeństwo i ochronę danych przechowywanych na platformach eFTI, a w szczególności:

a)
w przypadku gdy dane eFTI są przechowywane na fizycznych urządzeniach pamięci zarządzanych przez operatora platformy:
(i)
środki zapewniające odpowiednie przechowywanie danych, w tym na potrzeby tworzenia kopii zapasowych;
(ii)
środki zapewniające ochronę przed fizycznym uszkodzeniem fizycznych jednostek magazynowych, zarówno zamierzonym, jak i przypadkowym, spowodowanym przez człowieka lub będącym wynikiem klęsk żywiołowych;
(iii)
środki zapewniające odzyskanie danych w przypadku awarii;
(iv)
środki wdrażające odpowiednie polityki zarządzania ryzykiem związanym z bezpieczeństwem informacji, w tym regularne oceny podatności na zagrożenia bezpieczeństwa i działania następcze;
b)
w przypadku przechowywania danych eFTI w chmurze, środki zapewniające, że przestrzeń do przechowywania danych w chmurze jest nabywana od dostawców usług, którzy przestrzegają głównych międzynarodowych norm i najlepszych praktyk w zakresie bezpieczeństwa chmury i ochrony danych osobowych;
c)
środki zapewniające przechowywanie danych eFTI w Unii lub pod jurysdykcją Unii lub państwa członkowskiego.

ROZDZIAŁ  V

PRZEPISY KOŃCOWE

Artykuł  14

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 6 listopada 2025 r.

ZAŁĄCZNIK

OPERACJE PRZETWARZANIA, KTÓRE MOGĄ BYĆ WYKONYWANE PRZEZ UŻYTKOWNIKÓW BIZNESOWYCH NA PLATFORMACH EFTI (określone w art. 9)

W poniższej tabeli opisano operacje przetwarzania danych eFTI, których wykonywanie platformy eFTI umożliwiają użytkownikom biznesowym, zgodnie z art. 9 ust. 1 i 2, oraz automatyczne działania, które platformy eFTI muszą wykonywać w celu umożliwienia realizacji tych operacji przetwarzania, przy czym:
a)
kolumna zatytułowana "Operacja" zawiera skróconą nazwę, za pomocą której w art. 9 ust. 1 lub 2 zidentyfikowano operację przetwarzania;
b)
kolumna zatytułowana "Działanie użytkownika biznesowego" opisuje działania, których wykonywanie platformy eFTI powinny umożliwiać użytkownikom biznesowym w celu realizacji odpowiedniej operacji przetwarzania;
c)
kolumna zatytułowana "Działanie platformy eFTI" opisuje działania, które platformy eFTI wykonują jako minimum, w połączeniu z odpowiednimi działaniami użytkowników biznesowych, aby zapewnić przeprowadzenie danej operacji.

Tabela

OperacjaDziałanie użytkownika biznesowegoDziałanie platformy eFTI
a)Tworzenie eFTI CMDSŻądanie utworzenia nowego eFTI CMDS przez platformę eFTI.1. Na wniosek użytkownika biznesowego platforma eFTI generuje szablon eFTI CMDS na podstawie informacji dostarczonych przez użytkownika biznesowego. Platforma eFTI zwraca się do użytkownika biznesowego o dostarczenie niezbędnych informacji umożliwiających mu określenie odpowiednich podzbiorów danych eFTI, które zawierają stosowne wymogi dotyczące informacji regulacyjnych.

2. Po wygenerowaniu szablonu eFTI CMDS platforma przydziela UUID do zbioru eFTI CMDS, jak przewidziano w art. 11 ust. 2 lit. c) rozporządzenia wykonawczego (UE) 2024/1942, przypisuje mu status "wersja robocza" i udostępnia go do przetwarzania przez użytkowników biznesowych.

b)Edycja eFTI CMDSWprowadzanie informacji o przemieszczaniu przesyłki do pól danych eFTI CMDS.1. Platforma eFTI umożliwia użytkownikowi biznesowemu wprowadzanie danych w odpowiednich polach elementów danych eFTI CMDS, w tym poprzez modyfikację uprzednio zarejestrowanych danych, w zakresie wszystkich informacji regulacyjnych, w odniesieniu do których ten użytkownik biznesowy ma prawa do przetwarzania, jak przewidziano w art. 5.

2. Platforma eFTI rejestruje dane wprowadzone przez użytkownika biznesowego do internetowego systemu przechowywania danych platformy eFTI po przeprowadzeniu procesu walidacji, o którym mowa w pkt 3, oraz po potwierdzeniu przez użytkownika, że nie chce on dalej przetwarzać tych danych.

3. Przed zarejestrowaniem danych platforma eFTI przeprowadza kontrole walidacyjne danych wprowadzanych przez użytkownika biznesowego poprzez:

a) zweryfikowanie, czy dostarczono dane dla wszystkich elementów danych, w odniesieniu do których status prawny określono jako obowiązkowy lub warunkowy w odniesieniu do podzbiorów eFTI, na podstawie których ustanowiono eFTI CMDS, zgodnie z opisem podzbiorów danych eFTI w sekcjach 3 i 4 załącznika do rozporządzenia delegowanego (UE) 2024/2024;

b) zweryfikowanie, czy wartości podane dla każdego elementu danych odpowiadają specyfikacjom technicznym (np. typowi danych, formatowi, wykazowi kodów) określonym dla tych elementów danych w załączniku do rozporządzenia delegowanego (UE) 2024/2024;

c) poinformowanie użytkownika biznesowego, za pomocą odpowiednich komunikatów, o wynikach procesu walidacji.

4. Jeżeli zredagowane elementy danych odpowiadają danym, które stanowią identyfikator (identyfikatory) zgodnie z art. 11 ust. 3 rozporządzenia wykonawczego (UE) 2024/1942, a status eFTI CMDS jest "aktywny", platforma eFTI aktualizuje wartości odpowiednich identyfikatorów danego eFTI CMDS w rejestrze identyfikatorów bramki eFTI, w którym identyfikatory te zostały pierwotnie zamieszczone.

c)Odczytywanie danych eFTI CMDSZwracanie się o dostęp do danych wprowadzonych do eFTI CMDS.Platforma eFTI umożliwia domyślnie dostęp wyłącznie do odczytu do wszystkich elementów danych eFTI CMDS, w odniesieniu do którego użytkownik biznesowy ma prawa do przetwarzania.
d)Pobieranie kopii danych eFTI CMDSŻądanie kopii danych eFTI CMDS.Platforma eFTI generuje i udostępnia do pobrania przez użytkownika biznesowego kopię danych eFTI CMDS, zarówno w formacie czytelnym dla człowieka, jak i w formacie nadającym się do odczytu maszynowego.
e)Podpis nadawcyOdczyt lub edycja, a następnie podpisanie danych eFTI CMDS.1. Platforma eFTI umożliwia użytkownikowi biznesowemu odczytywanie i, zgodnie z odpowiednimi prawami do przetwarzania, wykonywanie innych operacji przetwarzania na eFTI CMDS.

2. Platforma eFTI umożliwia użytkownikowi biznesowemu złożenie podpisu elektronicznego po potwierdzeniu przez użytkownika, że:

a) przeczytał wszystkie dane eFTI CMDS, do których ma prawa do przetwarzania, oraz

b) nie chce dalej przetwarzać tych danych.

3. Platforma eFTI rejestruje metadane umożliwiające zweryfikowanie, czy użytkownik biznesowy złożył podpis przy użyciu środków, które spełniają co najmniej wymogi dotyczące zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej zgodnie z rozporządzeniem (UE) nr 910/2014, oraz przypisuje wartość "1" elementowi danych eFTI65.

f)Podpis przewoźnikaOdczyt lub edycja, a następnie podpisanie danych eFTI CMDS.1. Platforma eFTI umożliwia użytkownikowi biznesowemu odczytywanie i, zgodnie z odpowiednimi prawami do przetwarzania, wykonywanie innych operacji przetwarzania na eFTI CMDS.

2. Platforma eFTI umożliwia użytkownikowi biznesowemu złożenie podpisu elektronicznego po potwierdzeniu przez użytkownika, że:

a) przeczytał wszystkie dane eFTI CMDS, do których ma prawa do przetwarzania, oraz

b) nie chce dalej przetwarzać tych danych.

3. Platforma eFTI rejestruje metadane umożliwiające zweryfikowanie, czy użytkownik biznesowy złożył podpis przy użyciu środków, które spełniają co najmniej wymogi dotyczące zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej zgodnie z rozporządzeniem (UE) nr 910/2014, oraz przypisuje wartość "1" elementowi danych eFTI115.

4. Platforma eFTI generuje UIL zbioru eFTI CMDS zgodnie ze specyfikacjami przewidzianymi w art. 11 ust. 2 rozporządzenia wykonawczego (UE) 2024/1942 i przesyła UIL, wraz z odpowiednimi identyfikatorami, do rejestru identyfikatorów bramki eFTI, do której podłączona jest platforma eFTI i do której odniesienie znajduje się w UIL, zgodnie z art. 11 ust. 3 tego rozporządzenia.

5. Platforma eFTI przypisuje status "aktywny" zbiorowi danych eFTI CMDS i udostępnia go właściwym organom do celów dostępu i przetwarzania.

g)Podpis odbiorcyOdczyt lub edycja, a następnie podpisanie danych eFTI CMDS.1. Platforma eFTI umożliwia użytkownikowi biznesowemu odczytywanie i, zgodnie z odpowiednimi

prawami do przetwarzania, wykonywanie innych operacji przetwarzania na eFTI CMDS.

2. Platforma eFTI umożliwia użytkownikowi biznesowemu złożenie podpisu elektronicznego po potwierdzeniu przez użytkownika, że:

a) przeczytał wszystkie dane eFTI CMDS, do których ma prawa do przetwarzania, oraz

b) nie chce dalej przetwarzać tych danych.

3. Platforma eFTI rejestruje metadane umożliwiające zweryfikowanie, czy użytkownik biznesowy

złożył podpis przy użyciu środków, które spełniają co najmniej wymogi dotyczące zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej zgodnie z rozporządzeniem (UE) nr 910/2014, oraz przypisuje wartość "1" elementowi danych eFTI84. Jeżeli odbiorcą jest instalacja przetwarzania odpadów, o której mowa w rozporządzeniu (UE) 2024/1157, platforma eFTI może alternatywnie rejestrować dane dotyczące podpisu odbiorcy otrzymanego od DIWASS za pomocą interfejsu programowania aplikacji, o którym mowa w art. 12 ust. 5 lit. c).

4. Platforma eFTI aktualizuje w rejestrze identyfikatorów bramki eFTI identyfikator odpowiadający elementowi danych eFTI188.

5. Platformy eFTI przypisują status "gotowy do archiwizacji" do eFTI CMDS, chyba że element danych eFTI581 zbioru eFTI CMDS ma wartość "3" odpowiadającą "transportowi drogowemu".

6. Jeżeli element danych eFTI581 zbioru eFTI CMDS ma wartość "3" odpowiadającą "transportowi drogowemu", platforma eFTI przypisuje eFTI CMDS status "nieaktywny" dla kumulacji okresów, o których mowa w art. 8 ust. 2 i art. 8 ust. 2a rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1072/2009 (1), oraz - po upływie tego skumulowanego okresu - status "gotowy do archiwizacji".

h)Użycie "znacznika" transportu kombinowanego przez organ w porcie morskim, porcie żeglugi śródlądowej lub na stacji kolejowejPotwierdzenie szczegółów dotyczących transportu kombinowanego.1. Platforma eFTI umożliwia użytkownikowi biznesowemu odczytywanie i, zgodnie z odpowiednimi prawami do przetwarzania, wykonywanie innych operacji przetwarzania na eFTI CMDS.

2. Platforma eFTI umożliwia użytkownikowi biznesowemu złożenie podpisu elektronicznego lub użycie znacznika elektronicznego po potwierdzeniu przez użytkownika, że:

a) przeczytał wszystkie dane eFTI CMDS, do których ma prawa do przetwarzania, oraz

b) nie chce dalej przetwarzać tych danych.

3. Platforma eFTI rejestruje metadane umożliwiające zweryfikowanie, czy użytkownik biznesowy złożył podpis lub użył pieczęci za pomocą środków, które spełniają co najmniej wymogi dotyczące zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej lub, odpowiednio, kwalifikowanego elektronicznego znacznika czasu, zgodnie z rozporządzeniem (UE) nr 910/2014, i przypisuje wartość "1" elementowi danych eFTI608.

i)Archiwizacja eFTI CMDSŻądanie archiwizacji eFTI CMDS.1. Po potwierdzeniu przez użytkownika biznesowego platforma eFTI przypisuje status "zarchiwizowany" do eFTI CMDS.

2. W przypadku braku konkretnego wniosku użytkownika biznesowego platforma eFTI może przypisać status "zarchiwizowany" zbiorowi danych eFTI CMDS, który ma status "gotowy do archiwizacji", pod warunkiem że użytkownicy biznesowi mający odpowiednie zezwolenia w odniesieniu do tego eFTI CMDS zostaną należycie poinformowani o takim działaniu.

j)Pobieranie kopii dokumentów przemieszczania odpadówŻądanie kopii dokumentów dotyczących przemieszczania odpadów.1. Na podstawie dostarczonych przez użytkownika biznesowego numerów dokumentów platforma żąda i pobiera od DIWASS kopię dokumentów przemieszczania odpadów zidentyfikowanych według tych numerów.

2. Platforma eFTI umożliwia użytkownikowi biznesowemu odczytywanie i pobieranie informacji zawartych w dokumentach przemieszczania odpadów w nieedytowalnym formacie nadającym się do odczytu przez człowieka.

k)Przesyłanie lub edytowanie potwierdzenia przekazania przez przewoźnika w odniesieniu do przemieszczeń odpadówOdczyt lub edycja, a następnie podpisanie danych eFTI CMDS. Uwierzytelnianie dokumentów przemieszczania odpadów.1. Platforma eFTI umożliwia użytkownikowi biznesowemu odczytywanie i, zgodnie z odpowiednimi prawami do przetwarzania, wykonywanie innych operacji przetwarzania na eFTI CMDS.
2. Platforma eFTI umożliwia użytkownikowi biznesowemu złożenie podpisu elektronicznego po potwierdzeniu przez użytkownika, że:

a) przeczytał wszystkie dane eFTI CMDS, do których ma prawa do przetwarzania,

b) nie chce dalej przetwarzać tych danych, oraz

c) zapoznał się z kopiami dokumentów przemieszczania odpadów i chce przystąpić do uwierzytelnienia tych dokumentów.

3. Platforma eFTI rejestruje metadane umożliwiające zweryfikowanie, czy użytkownik biznesowy złożył podpis przy użyciu środków, które spełniają co najmniej wymogi dotyczące zaawansowanego podpisu elektronicznego lub zaawansowanej pieczęci elektronicznej zgodnie z rozporządzeniem (UE) nr 910/2014, oraz przypisuje wartość "1" elementowi danych eFTI115.

4. Platforma eFTI rejestruje informacje, o których mowa w art. 14 ust. 2 rozporządzenia wykonawczego (UE) 2025/1290, i przesyła do DIWASS dane potwierdzające przewoźnika odpowiadające specyfikacjom przewidzianym w części B pkt 3 i 4 oraz części C pkt 3 i 4 załącznika II do tego rozporządzenia, stosownie do przypadku.

(1) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1072/2009 z dnia 21 października 2009 r. dotyczące wspólnych zasad dostępu do rynku międzynarodowych przewozów drogowych (Dz.U. L 300 z 14.11.2009, s. 72, ELI: http://data.europa.eu/eli/reg/2009/1072/oj).
1 Dz.U. L 249 z 31.7.2020, s. 33, ELI: http://data.europa.eu/eli/reg/2020/1056/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30, ELI: http://data.europa.eu/eli/reg/2008/ 765/oj).
3 Rozporządzenie wykonawcze Komisji (UE) 2024/1942 z dnia 5 lipca 2024 r. ustanawiające wspólne procedury i szczegółowe przepisy regulujące dostęp właściwych organów do elektronicznych informacji dotyczących transportu towarowego oraz przetwarzanie przez nie takich informacji zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2020/1056 (Dz.U. L, 2024/1942, 20.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/1942/oj).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj).
5 Rozporządzenie delegowane Komisji (UE) 2024/2024 z dnia 26 lipca 2024 r. uzupełniające rozporządzenie (UE) 2020/1056 przez ustanowienie wspólnego zbioru danych eFTI i podzbiorów danych eFTI (Dz.U. L, 2024/2024, 20.12.2024, ELI: http://data.europa.eu/ eli/reg_del/2024/2024/oj).
6 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1157 z dnia 11 kwietnia 2024 r. w sprawie przemieszczania odpadów, zmiany rozporządzeń (UE) nr 1257/2013 i (UE) 2020/1056 oraz uchylenia rozporządzenia (WE) nr 1013/2006 (Dz.U. L, 2024/1157, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1157/oj).
7 Rozporządzenie wykonawcze Komisji (UE) 2025/1290 z dnia 2 lipca 2025 r. ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1157 w odniesieniu do wymogów niezbędnych do zapewnienia interoperacyjności między systemem centralnym umożliwiającym elektroniczne przekazywanie i wymianę informacji i dokumentów dotyczących przemieszczania odpadów a innymi systemami lub oprogramowaniem, a także innych wymogów technicznych i organizacyjnych niezbędnych do praktycznego wdrożenia takiego elektronicznego przekazywania i wymiany informacji i dokumentów (Dz.U. L, 2025/1290, 14.7.2025, ELI: http://data.europa.eu/eli/reg_impl/2025/1290/oj).
8 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/ 2016/679/oj).
10 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
11 Dyrektywa Rady 92/106/EWG z dnia 7 grudnia 1992 r. w sprawie ustanowienia wspólnych zasad dla niektórych typów transportu kombinowanego towarów między państwami członkowskimi (Dz.U. L 368 z 17.12.1992, s. 38, ELI: http://data.europa.eu/eli/dir/ 1992/106/oj).
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.2243

Rodzaj:rozporządzenie
Tytuł:Rozporządzenie wykonawcze 2025/2243 ustanawiające szczegółowe specyfikacje dotyczące wymogów funkcjonalnych dla platform eFTI zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2020/1056
Data aktu:2025-11-06
Data ogłoszenia:2025-11-07
Data wejścia w życie:2025-11-27