Art. 5. - Art. 5: Mecanismul de autorizare - Regulamentul 2243/06-nov-2025 de stabilire a specificaţiilor detaliate privind cerinţele funcţionale pentru platformele eFTI în conformitate cu Regulamentul (UE) 2020/1056 al Parlamentului European şi al Consiliului
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 7 Noiembrie 2025
Art. 5: Mecanismul de autorizare
(1)Platformele eFTI utilizează unul sau ambele tipuri de mecanisme de autorizare de mai jos:
a)verificarea drepturilor de prelucrare ale utilizatorului, prin intermediul registrelor de autorizare în care drepturile de prelucrare ale utilizatorilor integraţi sunt înregistrate, actualizate şi rămân disponibile în scopuri de audit şi care constituie principalul mecanism de autorizare;
b)eliberarea şi verificarea drepturilor de prelucrare temporară, prin intermediul registrelor de autorizare în care sunt înregistrate acreditările privind accesul temporar ale utilizatorilor ocazionali, care nu sunt integraţi.
(2)Registrele de autorizare menţionate la alineatul (1) se instituie şi se menţin ca o componentă TIC separată. Această componentă TIC separată este fie internă platformei eFTI, fie parte a unui sistem TIC extern platformei eFTI cu care platforma eFTI stabileşte comunicaţii securizate, în conformitate cu articolul 12 alineatul (4).
(3)Registrele de autorizare menţionate la alineatul (1) litera (a) menţin un "profil de utilizator" identificat în mod unic pentru fiecare utilizator comercial integrat, prin înregistrarea cel puţin a următoarelor informaţii:
a)identificarea unică a utilizatorului comercial, exprimată ca referinţă codificată;
b)drepturile de prelucrare, exprimate ca referinţe, în cazul în care aceste referinţe includ:
(i)referinţele la operaţiunile de prelucrare menţionate la articolul 8;
(ii)perioada de timp pentru care se acordă fiecare dintre drepturile de prelucrare menţionate la litera (b);
(iii)referinţele codificate ale elementelor de date eFTI sau ale grupurilor de elemente de date eFTI, astfel cum se specifică în secţiunea 2 din anexa la Regulamentul delegat (UE) 2024/2024, pe care poate fi efectuată fiecare dintre operaţiunile de prelucrare menţionate la articolul 8;
c)o indicaţie din care să reiasă dacă utilizatorul comercial poate acţiona în calitate de autoritate principală sau temporară de autorizare;
d)pentru utilizatorii comerciali desemnaţi ca autoritate principală de autorizare, numerele unice de identificare ale profilurilor existente de utilizatori integraţi pe care sunt autorizaţi să le modifice;
e)pentru utilizatorii comerciali desemnaţi ca autoritate temporară de autorizare, drepturile de prelucrare temporară pe care au dreptul să le acorde utilizatorilor neintegraţi, exprimate ca referinţe la operaţiunile de prelucrare menţionate la articolul 8;
f)o indicaţie din care să reiasă dacă utilizatorul comercial poate solicita notificări referitoare la cererile de acces la datele eFTI din partea autorităţilor competente şi la comunicările subsecvente aferente, atunci când acestea sunt legate de CMDS eFTI pentru care utilizatorul comercial are drepturi de prelucrare.
(4)Operatorul platformei eFTI sau, în cazul în care registrul de autorizare este instituit ca o componentă a unui sistem TIC extern platformei eFTI, operatorul sistemului TIC extern ia măsuri pentru a asigura integrarea adecvată a utilizatorilor comerciali care pot acţiona în calitate de "autoritate primară de autorizare". Aceste măsuri constau cel puţin în:
a)identificarea şi autentificarea, în conformitate cu cerinţele prevăzute la articolul 4 alineatul (2) litera (a);
b)verificarea acreditărilor care atestă că utilizatorul comercial este un deţinător de date sau că este reprezentantul legal al unui deţinător de date sau că utilizatorul comercial este împuternicit să autorizeze, în numele unui deţinător de date, prelucrarea datelor în legătură cu care deţinătorul de date are drepturile sau obligaţiile menţionate la articolul 1 punctul 23;
c)păstrarea unei evidenţe a acestor acreditări în scopuri de audit.
(5)Mecanismul de autorizare menţionat la alineatul (1) litera (b) include funcţionalităţi care respectă cel puţin următoarele specificaţii:
a)le permite utilizatorilor integraţi cu desemnare de autorizare temporară să elibereze drepturi temporare de prelucrare utilizatorilor neintegraţi, prin înregistrarea într-un registru dedicat a acreditărilor de acces temporar ale utilizatorilor neintegraţi, care să conţină cel puţin:
(i)datele de contact care identifică utilizatorul neintegrat şi unde pot fi trimise mesaje electronice;
(ii)identificatorul unic universal al CMDS eFTI căruia i se acordă drepturi temporare de prelucrare a datelor utilizatorului neintegrat;
(iii)drepturile de prelucrare acordate utilizatorului neintegrat, exprimate ca referinţe la operaţiunile de prelucrare menţionate la articolul 8;
(iv)perioada exactă de valabilitate a acestor drepturi de prelucrare;
b)le permite utilizatorilor integraţi cu desemnare temporară de autorizare să acorde acces temporar la datele eFTI utilizatorilor neintegraţi pentru care au înregistrat acreditări de acces temporar trimiţând, cu ajutorul datelor de contact înregistrate ale utilizatorului neintegrat, un mesaj care conţine:
(i)un link de acces la platforma eFTI;
(ii)identificatorul unic universal al fiecărui CMDS eFTI căruia i se acordă drepturi temporare de prelucrare a datelor utilizatorului neintegrat;
c)atunci când accesul la platforma eFTI este solicitat de un utilizator neintegrat, îi acordă acestuia acces la platforma eFTI pe baza autentificării cu doi factori şi îi permite să efectueze operaţiuni de prelucrare pe baza drepturilor sale de prelucrare înregistrate în conformitate cu litera (a);
d)termină sesiunea de conectare a unui utilizator neintegrat de îndată ce are loc unul dintre următoarele evenimente:
(i)utilizatorul confirmă finalizarea sesiunii de prelucrare a datelor;
(ii)perioada de timp menţionată la litera (a) punctul (iv) expiră.
(6)Informaţiile înregistrate în registrele de autorizaţii în conformitate cu alineatele (1)-(5) se păstrează în scopuri de audit cel puţin pentru aceeaşi perioadă pentru care CMDS eFTI, în care utilizatorii respectivi au efectuat operaţiuni de prelucrare, trebuie să fie pus la dispoziţie, în conformitate cu dreptul intern sau cu dreptul Uniunii aplicabil, în temeiul articolului 9 alineatul (1) litera (i) din Regulamentul (UE) 2020/1056.
(7)Platformele eFTI şterg toate informaţiile care constituie date cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 într-un termen rezonabil de la expirarea perioadei menţionate la alineatul (6).