Capitolul ii - ACCES LA PLATFORMELE eFTI - Regulamentul 2243/06-nov-2025 de stabilire a specificaţiilor detaliate privind cerinţele funcţionale pentru platformele eFTI în conformitate cu Regulamentul (UE) 2020/1056 al Parlamentului European şi al Consiliului

Acte UE

Jurnalul Oficial seria L

În vigoare
Versiune de la: 7 Noiembrie 2025
CAPITOLUL II:ACCES LA PLATFORMELE eFTI
Art. 3: Accesul autorităţilor competente la platformele eFTI
(1)Platformele eFTI le permit autorităţilor competente să acceseze datele eFTI exclusiv prin intermediul comunicării maşină-maşină, printr-o conexiune securizată între platforma eFTI şi un portal eFTI. O platformă eFTI stabileşte o astfel de conexiune cu cel puţin un portal eFTI.
(2)Pentru a permite comunicarea menţionată la alineatul (1), o platformă eFTI trebuie să furnizeze următoarele funcţionalităţi:
a)validează cererea de acces la datele eFTI sau comunicarea subsecventă primită de la portalul eFTI, prin verificarea cheii de securitate a portalului eFTI;
b)prelucrează cererea de acces la datele eFTI, identificând:
(i)identificatorul unic universal al CMDS eFTI;
(ii)trimiterile la drepturile de acces ale funcţionarului autorităţii competente responsabil de cerere, exprimate ca lista de identificatori ai subseturilor de date eFTI;
c)păstrează o pistă de audit a cererii de acces la datele eFTI, prin înregistrarea cel puţin a următoarelor informaţii:
(i)numărul unic de identificare al cererii de acces la datele eFTI, astfel cum figurează în cererea transmisă de portalul eFTI;
(ii)UUID al eFTI CMDS la care a fost solicitat accesul;
(iii)data şi ora solicitării;
d)pregăteşte şi transmite către portalul eFTI răspunsul la cererea de acces la datele eFTI, după caz:
(i)datele eFTI solicitate, ca subset al CMDS eFTI, constând în toate elementele de date care corespund cerinţelor aplicabile privind informaţiile de reglementare şi care sunt identificate de platforma eFTI pe baza trimiterilor la drepturile de acces ale funcţionarului autorităţii competente incluse în cerere;
(ii)un mesaj de eroare, care conţine specificaţii textuale codificate sau succinte ale tipului de eroare atunci când platforma nu poate furniza datele eFTI solicitate din motive tehnice sau din motive legate de procesul operaţional;
e)păstrează o pistă de audit a răspunsului, care să permită obţinerea cel puţin a următoarelor informaţii:
(i)numărul unic de identificare al răspunsului şi numărul unic de identificare al cererii la care a fost furnizat răspunsul;
(ii)tipul de răspuns furnizat, fie că este vorba de un CMDS eFTI sau de un mesaj de eroare;
(iii)data şi ora răspunsului;
(iv)în cazul în care răspunsul conţine CMDS eFTI, elementele de date şi valorile respective ale acestora, astfel cum sunt incluse în răspuns;
f)prelucrează comunicarea subsecventă, prin:
(i)extragerea identificatorului unic universal al CMDS eFTI şi a numărului unic de identificare al cererii de acces la datele eFTI pentru care a fost depusă comunicarea subsecventă;
(ii)înregistrarea informaţiilor cuprinse în comunicarea subsecventă, astfel cum au fost transmise de autoritatea competentă în conformitate cu specificaţiile prevăzute la articolul 3 alineatul (5) litera (a) din Regulamentul de punere în aplicare (UE) 2024/1942;
(iii)notificarea utilizatorilor comerciali în cauză, atunci când autorizaţia lor include drepturi de prelucrare corespunzătoare adecvate, şi transmiterea către portalul eFTI a unui mesaj de confirmare a primirii comunicării subsecvente;
g)păstrează o pistă de audit a comunicării subsecvente, care să permită obţinerea cel puţin a următoarelor informaţii:
(i)numărul unic de identificare al cererii de acces la datele eFTI pentru care a fost depusă comunicarea subsecventă;
(ii)data şi ora primirii comunicării subsecvente.
Art. 4: Accesul utilizatorilor comerciali la platformele eFTI
(1)Platformele eFTI le permit utilizatorilor comerciali să acceseze şi să prelucreze datele eFTI prin intermediul uneia sau al ambelor modalităţi următoare:
a)interfeţe cu utilizatorul om-maşină;
b)comunicare de tip maşină-maşină prin conexiuni securizate la alte sisteme TIC care acţionează ca sisteme TIC afluente.
(2)Pentru accesarea şi prelucrarea datelor eFTI prin intermediul interfeţelor om-maşină, platformele eFTI oferă funcţionalităţi care asigură:
a)pentru fiecare utilizator integrat:
(i)identificarea şi autentificarea utilizatorului prin mijloace de identificare electronică emise în cadrul unui sistem de identificare electronică care respectă cerinţele prevăzute la alineatul (3);
(ii)autorizarea utilizatorilor, prin intermediul unui registru al autorizaţiilor menţionat la articolul 5 alineatul (1) litera (a);
b)pentru utilizatorii neintegraţi, identificarea, autentificarea şi autorizarea utilizatorilor prin intermediul mecanismului de autorizare menţionat la articolul 5 alineatul (1) litera (b).
(3)Sistemul de identificare electronică menţionat la alineatul (2) litera (a) punctul (i) respectă cel puţin cerinţele prevăzute la articolul 8 alineatul (2) litera (b) din Regulamentul (UE) nr. 910/2014.
Pentru utilizatorii care accesează şi prelucrează date eFTI care corespund cerinţelor privind informaţiile menţionate la articolul 2 alineatul (1) litera (a) punctul (iv) din Regulamentul (UE) 2020/1056, mijloacele de identificare electronică menţionate la alineatul (2) litera (a) punctul (i) de la prezentul articol includ o trimitere la numărul de identificare al operatorului de transferuri de deşeuri menţionat la articolul 9 din Regulamentul de punere în aplicare (UE) 2025/1290.
(4)Pentru accesarea şi prelucrarea datelor eFTI prin intermediul comunicării de tip maşină-maşină, platformele eFTI oferă funcţionalităţi care asigură pentru fiecare sistem TIC afluent:
a)identificarea şi autentificarea utilizatorului comercial sub a cărui responsabilitate juridică funcţionează sistemul TIC afluent, prin intermediul unui registru în care sunt înregistrate şi actualizate cel puţin următoarele informaţii:
(i)referinţa de identificare a utilizatorului comercial;
(ii)detalii privind cheia de securitate a sistemului TIC afluent;
b)autorizarea utilizatorului comercial sub a cărui responsabilitate juridică funcţionează sistemul TIC afluent, prin intermediul registrului de autorizare menţionat la articolul 5 alineatul (1) litera (a).
(5)Operatorii de platforme eFTI stabilesc şi pun în aplicare măsuri pentru integrarea adecvată a sistemelor TIC afluente care includ, cel puţin:
a)verificarea faptului că sistemul TIC afluent identifică şi autentifică utilizatorii cărora li se permite să acţioneze în calitate de utilizatori comerciali ai platformei eFTI, prin mijloace de identificare electronică emise în cadrul unui sistem de identificare electronică care respectă cerinţele prevăzute la alineatul (3);
b)verificarea faptului că sistemul TIC afluent controlează accesul utilizatorilor autorizaţi să acţioneze în calitate de utilizatori comerciali ai platformei eFTI, prin intermediul unui registru de autorizare menţionat la articolul 5 alineatul (1) litera (a).
(6)Pentru fiecare sesiune de conectare, platforma eFTI asigură identificarea, autentificarea şi autorizarea utilizatorului comercial, înainte de a permite utilizatorului comercial să prelucreze datele eFTI.
Art. 5: Mecanismul de autorizare
(1)Platformele eFTI utilizează unul sau ambele tipuri de mecanisme de autorizare de mai jos:
a)verificarea drepturilor de prelucrare ale utilizatorului, prin intermediul registrelor de autorizare în care drepturile de prelucrare ale utilizatorilor integraţi sunt înregistrate, actualizate şi rămân disponibile în scopuri de audit şi care constituie principalul mecanism de autorizare;
b)eliberarea şi verificarea drepturilor de prelucrare temporară, prin intermediul registrelor de autorizare în care sunt înregistrate acreditările privind accesul temporar ale utilizatorilor ocazionali, care nu sunt integraţi.
(2)Registrele de autorizare menţionate la alineatul (1) se instituie şi se menţin ca o componentă TIC separată. Această componentă TIC separată este fie internă platformei eFTI, fie parte a unui sistem TIC extern platformei eFTI cu care platforma eFTI stabileşte comunicaţii securizate, în conformitate cu articolul 12 alineatul (4).
(3)Registrele de autorizare menţionate la alineatul (1) litera (a) menţin un "profil de utilizator" identificat în mod unic pentru fiecare utilizator comercial integrat, prin înregistrarea cel puţin a următoarelor informaţii:
a)identificarea unică a utilizatorului comercial, exprimată ca referinţă codificată;
b)drepturile de prelucrare, exprimate ca referinţe, în cazul în care aceste referinţe includ:
(i)referinţele la operaţiunile de prelucrare menţionate la articolul 8;
(ii)perioada de timp pentru care se acordă fiecare dintre drepturile de prelucrare menţionate la litera (b);
(iii)referinţele codificate ale elementelor de date eFTI sau ale grupurilor de elemente de date eFTI, astfel cum se specifică în secţiunea 2 din anexa la Regulamentul delegat (UE) 2024/2024, pe care poate fi efectuată fiecare dintre operaţiunile de prelucrare menţionate la articolul 8;
c)o indicaţie din care să reiasă dacă utilizatorul comercial poate acţiona în calitate de autoritate principală sau temporară de autorizare;
d)pentru utilizatorii comerciali desemnaţi ca autoritate principală de autorizare, numerele unice de identificare ale profilurilor existente de utilizatori integraţi pe care sunt autorizaţi să le modifice;
e)pentru utilizatorii comerciali desemnaţi ca autoritate temporară de autorizare, drepturile de prelucrare temporară pe care au dreptul să le acorde utilizatorilor neintegraţi, exprimate ca referinţe la operaţiunile de prelucrare menţionate la articolul 8;
f)o indicaţie din care să reiasă dacă utilizatorul comercial poate solicita notificări referitoare la cererile de acces la datele eFTI din partea autorităţilor competente şi la comunicările subsecvente aferente, atunci când acestea sunt legate de CMDS eFTI pentru care utilizatorul comercial are drepturi de prelucrare.
(4)Operatorul platformei eFTI sau, în cazul în care registrul de autorizare este instituit ca o componentă a unui sistem TIC extern platformei eFTI, operatorul sistemului TIC extern ia măsuri pentru a asigura integrarea adecvată a utilizatorilor comerciali care pot acţiona în calitate de "autoritate primară de autorizare". Aceste măsuri constau cel puţin în:
a)identificarea şi autentificarea, în conformitate cu cerinţele prevăzute la articolul 4 alineatul (2) litera (a);
b)verificarea acreditărilor care atestă că utilizatorul comercial este un deţinător de date sau că este reprezentantul legal al unui deţinător de date sau că utilizatorul comercial este împuternicit să autorizeze, în numele unui deţinător de date, prelucrarea datelor în legătură cu care deţinătorul de date are drepturile sau obligaţiile menţionate la articolul 1 punctul 23;
c)păstrarea unei evidenţe a acestor acreditări în scopuri de audit.
(5)Mecanismul de autorizare menţionat la alineatul (1) litera (b) include funcţionalităţi care respectă cel puţin următoarele specificaţii:
a)le permite utilizatorilor integraţi cu desemnare de autorizare temporară să elibereze drepturi temporare de prelucrare utilizatorilor neintegraţi, prin înregistrarea într-un registru dedicat a acreditărilor de acces temporar ale utilizatorilor neintegraţi, care să conţină cel puţin:
(i)datele de contact care identifică utilizatorul neintegrat şi unde pot fi trimise mesaje electronice;
(ii)identificatorul unic universal al CMDS eFTI căruia i se acordă drepturi temporare de prelucrare a datelor utilizatorului neintegrat;
(iii)drepturile de prelucrare acordate utilizatorului neintegrat, exprimate ca referinţe la operaţiunile de prelucrare menţionate la articolul 8;
(iv)perioada exactă de valabilitate a acestor drepturi de prelucrare;
b)le permite utilizatorilor integraţi cu desemnare temporară de autorizare să acorde acces temporar la datele eFTI utilizatorilor neintegraţi pentru care au înregistrat acreditări de acces temporar trimiţând, cu ajutorul datelor de contact înregistrate ale utilizatorului neintegrat, un mesaj care conţine:
(i)un link de acces la platforma eFTI;
(ii)identificatorul unic universal al fiecărui CMDS eFTI căruia i se acordă drepturi temporare de prelucrare a datelor utilizatorului neintegrat;
c)atunci când accesul la platforma eFTI este solicitat de un utilizator neintegrat, îi acordă acestuia acces la platforma eFTI pe baza autentificării cu doi factori şi îi permite să efectueze operaţiuni de prelucrare pe baza drepturilor sale de prelucrare înregistrate în conformitate cu litera (a);
d)termină sesiunea de conectare a unui utilizator neintegrat de îndată ce are loc unul dintre următoarele evenimente:
(i)utilizatorul confirmă finalizarea sesiunii de prelucrare a datelor;
(ii)perioada de timp menţionată la litera (a) punctul (iv) expiră.
(6)Informaţiile înregistrate în registrele de autorizaţii în conformitate cu alineatele (1)-(5) se păstrează în scopuri de audit cel puţin pentru aceeaşi perioadă pentru care CMDS eFTI, în care utilizatorii respectivi au efectuat operaţiuni de prelucrare, trebuie să fie pus la dispoziţie, în conformitate cu dreptul intern sau cu dreptul Uniunii aplicabil, în temeiul articolului 9 alineatul (1) litera (i) din Regulamentul (UE) 2020/1056.
(7)Platformele eFTI şterg toate informaţiile care constituie date cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 într-un termen rezonabil de la expirarea perioadei menţionate la alineatul (6).
Art. 6: Comunicarea cu DIWASS
(1)Pentru a le permite operatorilor economici în cauză să pună la dispoziţia autorităţilor competente informaţiile de reglementare menţionate la articolul 2 alineatul (1) litera (a) punctul (iv) din Regulamentul (UE) 2020/1056, platformele eFTI stabilesc conexiuni securizate cu sistemul central menţionat la articolul 27 alineatul (3) din Regulamentul (UE) 2024/1157, prin intermediul unei interfeţe de programare a aplicaţiilor, astfel cum se menţionează la articolul 5 alineatul (2) din Regulamentul de punere în aplicare (UE) 2025/1290, sau, în cazul în care sunt puse la dispoziţie de un stat membru, prin conectarea la sistemul local operat de o autoritate competentă din statul membru respectiv în conformitate cu articolul 27 alineatul (4) din Regulamentul (UE) 2024/1157 şi care se conectează la sistemul central respectiv în conformitate cu cerinţele Regulamentului de punere în aplicare (UE) 2025/1290.
(2)În cazul în care platformele eFTI stabilesc oricare dintre conexiunile menţionate la alineatul (1), acestea furnizează, de asemenea, funcţionalităţi suplimentare corespunzătoare în conformitate cu articolul 9 alineatul (2) din prezentul regulament.
Art. 7: Transparenţă
(1)Platformele eFTI oferă funcţionalităţi care le permit utilizatorilor comerciali să solicite şi să primească notificări, inclusiv sub formă de rapoarte periodice, pe baza unor autorizaţii adecvate. Notificările şi rapoartele respective se referă la cererile de acces la datele eFTI ale autorităţilor competente şi la comunicările subsecvente aferente. Acestea acoperă, de asemenea, operaţiunile de prelucrare efectuate de utilizatorii comerciali, atunci când utilizatorul comercial care solicită notificările sau rapoartele respective este un deţinător de date sau are drepturi de prelucrare a datelor respective atribuite în registrul de autorizaţii menţionat la articolul 5 alineatul (1) litera (a) în legătură cu datele respective.
(2)În cazul în care notificările sau rapoartele menţionate la alineatul (1) se referă la cereri de acces la datele eFTI din partea autorităţilor competente şi la comunicările subsecvente aferente, notificările respective conţin cel puţin următoarele informaţii:
a)data şi ora primirii cererii de acces la datele eFTI şi, în cazul în care a fost depusă, a comunicării subsecvente;
b)statul membru al autorităţii competente care a depus cererea de acces la datele eFTI;
() identificatorul unic universal al CMDS eFTI pentru care a fost depusă cererea de acces la datele eFTI;
d)informaţiile din comunicarea subsecventă, în cazul în care a fost depusă.