Narzędzia ułatwiające podróżowanie po UE podczas pandemii COVID-19 Adekwatne inicjatywy o zróżnicowanym wpływie – od sukcesu po ograniczone stosowanie

Streszczenie

I W marcu 2020 r., po wykryciu pierwszych przypadków COVID-19 w UE, państwa członkowskie zaczęły wprowadzać zakazy podróżowania i inne ograniczenia w swobodnym przemieszczaniu się osób. Aby ułatwić podróżowanie i pomóc w wykrywaniu przypadków COVID-19, Komisja opracowała cztery narzędzia. Były to:

• europejska usługa bramy federacyjnej – brama sieciowa zapewniająca interoperacyjność krajowych aplikacji służących do ustalania kontaktów zakaźnych w całej UE;
• unijna cyfrowa karta lokalizacji pasażera – narzędzie to zastąpiło papierowe formularze, które wypełniano na potrzeby ustalania kontaktów zakaźnych podczas podróży;
• unijne cyfrowe zaświadczenie COVID – zaświadczenie potwierdzające szczepienie przeciwko COVID-19, powrót do zdrowia lub negatywny wynik testu;
• platforma wymiany kart lokalizacji pasażera – rozwiązanie umożliwiające organom krajowym różnych państw członkowskich wymianę danych na potrzeby ustalania kontaktów zakaźnych.

II Celem kontroli przeprowadzonej przez Trybunał była ocena, czy opracowane przez Komisję narzędzia mające ułatwić podróżowanie po UE podczas pandemii COVID-19 były skuteczne. W związku z tym Trybunał postanowił wskazać przykłady dobrych praktyk i określić elementy wymagające poprawy w sposobie opracowywania przez Komisję narzędzi informatycznych, które miały ułatwić swobodne przemieszczanie się podczas kryzysu zdrowotnego. Przedmiotowa kontrola stanowi uzupełnienie sprawozdania specjalnego 13/2022, w którym Trybunał ocenił, czy Komisja podjęła skuteczne działania, aby chronić prawo do swobodnego przemieszczania się osób w czasie pandemii COVID-19.

III Ogólnie rzecz biorąc, Trybunał stwierdził, że mimo ograniczonych uprawnień w zakresie polityki zdrowia publicznego Komisja szybko przystąpiła do działania i zaproponowała odpowiednie rozwiązania techniczne mające ułatwić podróżowanie po UE podczas pandemii COVID-19. Państwa członkowskie korzystały jednak z zaproponowanych narzędzi w bardzo różnym zakresie, w związku z czym wpływ tych inicjatyw na ułatwienie podróżowania w UE nie był jednolity.

IV Komisja szybko uruchomiła środki w kwocie 71 mln euro na opracowanie narzędzi, łącząc kilka źródeł finansowania i wykorzystując istniejące umowy ramowe zamiast postępowań o udzielenie zamówienia publicznego. Bramę sieciową służącą do ustalania kontaktów zakaźnych udostępniono krótko po rozpoczęciu pandemii, a unijne cyfrowe zaświadczenie COVID – w momencie, gdy na całym kontynencie intensyfikowano działania związane ze szczepieniami. Prace techniczne i legislacyjne nad tymi narzędziami przebiegały szybko. Zanim jednak udostępniono unijne karty lokalizacji pasażera, szereg państw członkowskich zdążyło już opracować własne cyfrowe karty lokalizacyjne.

V Przy projektowaniu narzędzi Komisja uwzględniła wymogi dotyczące ochrony danych i dobre praktyki w zakresie bezpieczeństwa informatycznego. Nie jest ona jednak uprawniona do sprawdzania, czy państwa korzystające z unijnego cyfrowego zaświadczenia COVID spełniają wymogi bezpieczeństwa informatycznego.

VI Unijne cyfrowe zaświadczenie COVID skutecznie ułatwiło podróżowanie oraz usprawniło wymianę informacji i koordynację w odniesieniu do ograniczeń związanych z podróżą. Państwa członkowskie i szereg państw spoza UE korzystały z systemu zaświadczeń na szeroką skalę – do marca 2022 r. w państwach UE i Europejskiego Obszaru Gospodarczego (EOG) wydano ponad 1,7 mld zaświadczeń. Ponadto w ciągu miesiąca od wejścia w życie rozporządzenia w sprawie unijnego cyfrowego zaświadczenia COVID państwa członkowskie w dużym stopniu zharmonizowały krajowe ograniczenia związane z podróżą. Trybunał stwierdził jednak, że rozwiązania w zakresie wzajemnego informowania się przez kraje o incydentach wymagających pilnej reakcji (np. w przypadku fałszywych zaświadczeń) są czasochłonne ze względu na trudności w określeniu, z jakimi właściwymi organami w innych krajach należy się skontaktować.

VII Pozostałe narzędzia zbadane przez Trybunał nie przyniosły zamierzonych skutków, ponieważ korzystano z nich w ograniczonym stopniu. Unijne cyfrowe karty lokalizacji pasażera stosowano tylko w czterech państwach członkowskich, podczas gdy pozostałe państwa nadal korzystały z rozwiązań krajowych. Ogólny poziom wykorzystania platformy wymiany kart lokalizacyjnych i bramy sieciowej służącej do ustalania kontaktów zakaźnych pozostał ograniczony.

VIII Na podstawie powyższych wniosków Trybunał zaleca, aby Komisja:

• przeanalizowała, dlaczego unijne cyfrowe karty lokalizacji pasażera były wykorzystywane w niewielkim stopniu, i zaradziła tej sytuacji;
• usprawniła komunikację w przypadku incydentów związanych z unijnymi cyfrowymi zaświadczeniami COVID;
• opracowała odpowiednie narzędzia unijne na wypadek kryzysów w przyszłości.

Wprowadzenie

01 Swobodny przepływ osób dotyczy prawa obywateli Unii i członków ich rodzin do swobodnego przemieszczania się i pobytu na terytorium państw członkowskich. To jedna z czterech podstawowych swobód UE (obok swobodnego przepływu towarów, usług i kapitału), która od samego początku projektu integracji europejskiej jest jego kluczowym elementem¹. W dyrektywie w sprawie swobodnego przemieszczania się² określono związane z nią warunki i ograniczenia.

02 Ochrona zdrowia publicznego należy do kompetencji krajowych³, w związku z czym Komisja Europejska odgrywa ograniczoną rolę w polityce zdrowotnej. Skupia się głównie na jej koordynacji⁴, a także może wspierać i uzupełniać działania państw członkowskich. Państwa te mają istotne uprawnienia w zakresie kształtowania własnych strategii w obszarze polityki zdrowotnej⁵.

03 W marcu 2020 r., po wykryciu pierwszych przypadków COVID-19, państwa członkowskie zaczęły wprowadzać kontrole graniczne oraz ograniczenia w swobodnym przemieszczaniu się osób, próbując powstrzymać rozprzestrzenianie się pandemii. Komisja ze swojej strony była odpowiedzialna za monitorowanie, czy ograniczenia te są zgodne z prawodawstwem unijnym w zakresie swobody przemieszczania się. Aby osłabić wpływ ograniczeń wprowadzonych w związku z pandemią COVID-19 na możliwość swobodnego przemieszczania się, podjęła ona szereg różnorodnych inicjatyw, których celem było wsparcie koordynacji działań państw członkowskich.

04 Komisja opracowała ponadto następujące narzędzia mające ułatwić podróżowanie i pomóc w wykrywaniu przypadków COVID-19 (szczegółowy opis narzędzi znajduje się w załączniku I):

• brama sieciowa służąca do ustalania kontaktów zakaźnych – europejska usługa bramy federacyjnej;
• cyfrowa karta lokalizacji pasażera;
• unijne cyfrowe zaświadczenie COVID;
• platforma wymiany kart lokalizacji pasażera.

05 Jednymi z pierwszych udostępnionych narzędzi były aplikacje służące do ustalania kontaktów zakaźnych, które z zachowaniem anonimowości informują użytkowników, że mogli mieć kontakt z osobą zakażoną. Komisja opracowała rozwiązanie łączące aplikacje służące do ustalania kontaktów zakaźnych w różnych państwach członkowskich, dzięki czemu niosły one dodatkową korzyść – ułatwiały podróżowanie po UE.

06 Aby ułatwić ustalenie kontaktów zakaźnych podczas podróży, w czasie pandemii pasażerowie byli proszeni o podanie danych kontaktowych i informacji dotyczących ich miejsca pobytu za pomocą kart lokalizacji pasażera, które wysyłano do odpowiednich organów krajowych. W przypadku gdy podróżny uzyskał następnie pozytywny wynik testu, władze wykorzystywały te formularze do skontaktowania się z osobami, które podczas podróży zajmowały sąsiadujące z nim miejsca, aby zalecić im wykonanie testu na COVID-19 i zastosowanie środków ostrożności.Komisja opracowała unijną cyfrową kartę lokalizacji pasażera, aby uprościć korzystanie z krajowych kart lokalizacyjnych podczas transgranicznych kryzysów zdrowotnych, takich jak kryzys związany z COVID-19. W trzecim Programie działań Unii w dziedzinie zdrowia (2014–2020) przewidziano wspólne działanie o nazwie „EU Healthy Gateways”, w ramach którego jeszcze przed wybuchem pandemii COVID-19 rozpoczęto opracowywanie papierowych kart lokalizacyjnych na potrzeby transportu morskiego i lądowego z wykorzystaniem międzynarodowych wzorów formularzy. W późniejszym okresie w oparciu o to działanie przeprowadzono digitalizację kart lokalizacji pasażera.

07 Komisja opracowała również unijne cyfrowe zaświadczenie COVID, które stanowiło możliwy do zweryfikowania i wzajemnie uznawany przez wszystkie zainteresowane strony dowód, że jego posiadacz został zaszczepiony przeciwko COVID-19, niedawno uzyskał negatywny wynik testu lub powrócił do zdrowia po przebyciu choroby. Państwa członkowskie mają obowiązek akceptować to zaświadczenie, jeśli w czasie pandemii COVID-19 wymagają od podróżnych przedstawienia dowodu szczepienia, przebycia choroby lub negatywnego wyniku testu.

08 Ostatnim narzędziem opracowanym przez Komisję była platforma wymiany kart lokalizacji pasażera między państwami członkowskimi. Umożliwiała ona zespołom ds. ustalania kontaktów zakaźnych bezpośrednią wymianę kart lokalizacyjnych drogą elektroniczną, a tym samym skróciła czas potrzebny na przekazanie informacji pasażerom zagrożonym zakażeniem.

09 W pracach nad opracowaniem wspomnianych narzędzi uczestniczyło kilka departamentów Komisji. W przypadku bramy sieciowej służącej do ustalania kontaktów zakaźnych właścicielami systemu były Dyrekcja Generalna ds. Zdrowia i Bezpieczeństwa Żywności oraz Dyrekcja Generalna ds. Sieci Komunikacyjnych, Treści i Technologii. Były one także odpowiedzialne za opracowanie unijnych cyfrowych zaświadczeń COVID, a wspierały je w tym Dyrekcja Generalna ds. Sprawiedliwości i Konsumentów oraz Dyrekcja Generalna ds. Migracji i Spraw Wewnętrznych. Ponadto Dyrekcja Generalna ds. Informatyki zapewniła niezbędną infrastrukturę informatyczną.

10 Państwa członkowskie uczestniczyły w opracowywaniu narzędzi głównie w ramach sieci e-zdrowie (zob. ramka 1). Udział w tym procesie miały też agencje UE, takie jak Europejskie Centrum ds. Zapobiegania i Kontroli Chorób czy Europejska Agencja Leków. Opracowywanie narzędzi służących do lokalizacji pasażerów koordynowały państwa członkowskie – jako wspólne działanie finansowane w ramach trzeciego Programu działań Unii w dziedzinie zdrowia – a także Agencja Unii Europejskiej ds. Bezpieczeństwa Lotniczego oraz Dyrekcja Generalna ds. Mobilności i Transportu.

11 Narzędzia objęte kontrolą zostały opracowane przez UE w niespotykanym dotąd celu, a tym samym w momencie ich projektowania nie istniały inne systemy, z którymi można by je porównać. Aby narzędzia te jak najskuteczniej ułatwiały podróżowanie podczas pandemii COVID-19, ważne było ich przyjęcie przez wszystkie państwa członkowskie. Miało to zapewnić spójne wykorzystanie danych dotyczących zdrowia do zarządzania podróżami w UE i koordynację ograniczeń związanych z podróżą.

12 Oprócz tego, że Komisja przekazała kwotę 71 mln euro na wsparcie opracowania narzędzi informatycznych, udostępniła ona państwom członkowskim środki finansowe w wysokości 100 mln euro, aby zmniejszyć ich obciążenie finansowe związane z przeprowadzaniem testów na COVID-19. Zwiększona liczba testów i szczepień spowodowała z kolei wzrost liczby wydawanych cyfrowych zaświadczeń COVID. Podróże transgraniczne w UE mogą się wiązać z wykorzystaniem wszystkich opisywanych narzędzi lub niektórych z nich, co pokazano na rys. 1.

Zakres kontroli i podejście kontrolne

13 Przedmiotowa kontrola stanowi uzupełnienie poprzedniego sprawozdania specjalnego Trybunału⁷, w którym ocenił on, czy Komisja podjęła skuteczne działania, aby chronić prawo do swobodnego przemieszczania się w czasie pandemii COVID-19. Pierwsze sprawozdanie obejmowało nadzór sprawowany przez Komisję nad kontrolami na granicach wewnętrznych strefy Schengen, związanymi z nimi ograniczeniami w podróżowaniu i staraniami na rzecz koordynacji działań na szczeblu unijnym.

14 Celem drugiej kontroli była ocena, czy Komisja opracowała skuteczne narzędzia mające ułatwić podróżowanie po UE podczas kryzysu związanego z COVID-19. W ramach tej kontroli Trybunał postanowił zidentyfikować przykłady dobrych praktyk i określić elementy wymagające poprawy w sposobie opracowywania przez Komisję narzędzi informatycznych, które miały ułatwić swobodne przemieszczanie się podczas kryzysów zdrowotnych. Aby udzielić odpowiedzi na główne pytanie kontrolne, kontrolerzy Trybunału podzielili je na dwa następujące pytania szczegółowe:

• Czy Komisja odpowiednio opracowała unijne narzędzia mające ułatwić podróżowanie?
• Czy państwa członkowskie stosowały narzędzia unijne na szeroką skalę i czy przyczyniło się to do usprawnienia koordynacji i wymiany informacji na temat wprowadzonych przez nie ograniczeń związanych z podróżą?

15 Przedmiotowa kontrola obejmuje okres od października 2020 r. do czerwca 2022 r. i koncentruje się na czterech narzędziach UE wymienionych w pkt 04, w tym na powiązanym finansowaniu ze środków UE. Nie obejmuje ona finansowania unijnego przeznaczonego na szczepionki przeciwko COVID-19, które Trybunał przeanalizował już w sprawozdaniu specjalnym na temat unijnych zamówień szczepionek przeciwko COVID-19⁸.

16 Kontrolę przeprowadzono z wykorzystaniem przeglądu dokumentacji, pisemnych kwestionariuszy oraz wywiadów z zainteresowanymi stronami. Kontrolerzy przejrzeli i przeanalizowali:

• odpowiednie prawodawstwo unijne w celu ustalenia, jakie są najważniejsze wymogi regulacyjne i obowiązki poszczególnych podmiotów;
• dokumenty wewnętrzne Komisji dotyczące technicznego opracowania i formalnego przyjęcia unijnego cyfrowego zaświadczenia COVID, europejskiej usługi bramy federacyjnej, unijnej cyfrowej karty lokalizacji pasażera i platformy wymiany kart lokalizacji pasażera;
• publikacje Komisji dotyczące podróży w kontekście pandemii COVID-19, takie jak wytyczne, komunikaty, wnioski dotyczące zaleceń lub wnioski dotyczące aktów ustawodawczych;
• specyfikacje techniczne narzędzi, oceny bezpieczeństwa i oceny ryzyka, sprawozdania z testów penetracyjnych i plany bezpieczeństwa informatycznego, tak aby umożliwić ekspertom Trybunału ds. IT sprawdzenie, czy narzędzia spełniają wymogi bezpieczeństwa.

17 Aby pozyskać dowody oraz potwierdzić stan faktyczny i dane zebrane z innych źródeł, Trybunał przeprowadził wywiady kontrolne z następującymi podmiotami:

• Dyrekcją Generalną Komisji ds. Sprawiedliwości i Konsumentów, Dyrekcją Generalną ds. Mobilności i Transportu, Dyrekcją Generalną ds. Zdrowia i Bezpieczeństwa Żywności oraz Dyrekcją Generalną ds. Sieci Komunikacyjnych, Treści i Technologii;
• Europejskim Centrum ds. Zapobiegania i Kontroli Chorób, do którego zadań należało opracowywanie map ryzyka i wytycznych dotyczących COVID-19;
• organami odpowiadającymi za politykę zdrowotną w państwach członkowskich i państwach spoza UE;
• przedstawicielami linii lotniczych, branży turystycznej i organizacji konsumenckich.

18 Kontrolerzy przeprowadzili także badanie mające na celu zebranie informacji zwrotnych na temat korzystania z narzędzi w poszczególnych państwach członkowskich. Z 27 delegatów państw członkowskich wyznaczonych na potrzeby opracowanego przez Radę mechanizmu reagowania na szczeblu politycznym w sytuacjach kryzysowych 13 udzieliło odpowiedzi w badaniu przeprowadzonym przez Trybunał. Oznacza to, że wskaźnik odpowiedzi wynosił 48%. Kontrolerzy Trybunału wykorzystali wyniki badania w swojej analizie i w oparciu o nie potwierdzili sformułowane uwagi.

Uwagi

Komisja opracowała odpowiednie rozwiązania techniczne, ale nie we wszystkich przypadkach państwa członkowskie je wykorzystały

19 W poniższych punktach Trybunał zbadał, czy Komisja odpowiednio opracowała narzędzia mające ułatwić podróżowanie podczas pandemii COVID-19, a w szczególności:

1. czy uruchomiła fundusze unijne w krótkim czasie po wybuchu pandemii;
2. czy w odpowiednim czasie udostępniła narzędzia;
3. czy uwzględniła potrzeby państw członkowskich i ich gotowość do korzystania z tych narzędzi;
4. czy wzięła pod uwagę kwestie bezpieczeństwa informatycznego i ochrony prywatności w odniesieniu do danych wrażliwych dotyczących zdrowia.

20 Kontrolerzy sprawdzili, czy dokonany przez Komisję wybór źródeł finansowania i dostawców usług pozwolił jej rozpocząć prace nad opracowaniem narzędzi natychmiast po wybuchu pandemii. Zbadali także proces konsultacji, aby ocenić, czy narzędzia odpowiadały priorytetom państw członkowskich. Wreszcie ocenili, czy narzędzia opracowano zgodnie z najlepszymi praktykami w zakresie ochrony danych osobowych i bezpieczeństwa informatycznego.

Komisja szybko uruchomiła środki unijne na potrzeby opracowania narzędzi

21 Komisja uruchomiła finansowanie unijne z różnych źródeł, takich jak instrument wsparcia w sytuacjach nadzwyczajnych i program „Cyfrowa Europa”. Na opracowanie narzędzi UE przeznaczyła 71 mln euro. Na rys. 2 przedstawiono przegląd finansowania unijnego przyznanego na opracowanie narzędzi.

22 Na unijne cyfrowe zaświadczenie COVID przeznaczono łącznie środki finansowe sięgające 50 mln euro (w tym 43 mln euro z instrumentu wsparcia w sytuacjach nadzwyczajnych, a dodatkowe 7 mln euro – z programu „Cyfrowa Europa”). Od marca 2022 r. 77% tego budżetu przydzielono na opracowywanie i dostosowywanie rozwiązań krajowych oraz połączenie ich z bramą sieciową unijnych cyfrowych zaświadczeń COVID, w tym 21,9 mln euro przeznaczono dla prywatnego wykonawcy, a 16,7 mln euro wypłacono w formie dotacji dla państw członkowskich.

23 Na bramę sieciową służącą do ustalania kontaktów zakaźnych przeznaczono łącznie środki finansowe sięgające 16,8 mln euro (w tym 13 mln euro z instrumentu wsparcia w sytuacjach nadzwyczajnych). Komisja uzasadniła to finansowanie potrzebą „ułatwienia wymiany danych między państwami przez zapewnienie możliwości powiadamiania użytkowników aplikacji krajowych o tym, że mieli kontakt z użytkownikiem innej aplikacji krajowej, który uzyskał pozytywny wynik testu na COVID-19”.

24 Platforma wymiany kart lokalizacji pasażera i unijne cyfrowe karty lokalizacji pasażera wymagały znacznie mniejszego finansowania ze środków unijnych: na platformę przeznaczono około 2,9 mln euro (głównie z instrumentu wsparcia w sytuacjach nadzwyczajnych), a na cyfrowe karty – 1,3 mln euro (z wykorzystaniem finansowania z programów działań w dziedzinie zdrowia). Środki przeznaczone na platformę wykorzystano na sfinansowanie projektu pilotażowego w celu sprawdzenia jej wykonalności oraz na rozbudowę, tak aby obejmowała więcej państw członkowskich i rodzajów transportu. Środki finansowe na cyfrową wersję kart lokalizacji pasażera zostały spożytkowane na ich opracowanie, hosting w chmurze oraz przeniesienie narzędzia do środowiska informatycznego Komisji Europejskiej.

25 Ponadto po wprowadzeniu unijnych cyfrowych zaświadczeń COVID UE udostępniła kwotę 100 mln euro jako wsparcie w przeprowadzaniu testów na COVID-19 w państwach członkowskich⁹. Finansowanie to przyznano po osiągnięciu porozumienia politycznego z 20 maja 2021 r. między Parlamentem Europejskim a Radą dotyczącego rozporządzenia w sprawie unijnego cyfrowego zaświadczenia COVID. Państwa członkowskie wykorzystały przeważającą większość przydzielonych środków (90%). Finansowanie to umożliwiło wydanie dodatkowych zaświadczeń na podstawie wyników testów w celu ułatwienia podróżowania.

26 Trybunał ustalił, że Komisja szybko uruchomiła środki finansowe i przyjęła pragmatyczne podejście do opracowywania narzędzi, które odzwierciedlało potrzebę ich szybkiego udostępnienia. Narzędzia przygotowywano pod presją czasu, bez zwracania się o oferty do różnych wykonawców. Zamiast skorzystać z przetargów konkurencyjnych w celu zamówienia licencji i opracowania bramy sieciowej służącej do ustalania kontaktów zakaźnych, unijnych cyfrowych zaświadczeń COVID oraz platformy wymiany kart lokalizacji pasażera, Komisja wykorzystała umowy ramowe, które podpisała z dostawcą usług informatycznych już wcześniej, 30 października 2019 r. i 24 lutego 2020 r. Umowy ramowe określają ogólne warunki stosunków handlowych i stanowią podstawę do podpisania umów szczegółowych na poszczególne dostawy. W przypadku unijnych cyfrowych kart lokalizacji pasażera pierwsze środki finansowe uruchomiono w lipcu 2020 r. w ramach wspólnego działania „EU Healthy Gateways”, dzięki przesunięciu środków z działań, których nie można było zrealizować ze względu na pandemię.

27 W przypadku unijnych cyfrowych zaświadczeń COVID Komisja wybrała dostawcę za pomocą umowy ramowej zawartej w drodze procedury negocjacyjnej, którą rozpoczęto w 2019 r. bez publikacji ogłoszenia o zamówieniu. Według Komisji wybrany dostawca miał doświadczenie zdobyte podczas opracowywania bramy sieciowej służącej do ustalania kontaktów zakaźnych oraz jako jedyny dysponował niezbędną wiedzą ekspercką na temat oprogramowania, które miało być wykorzystywane do wystawiania unijnych cyfrowych zaświadczeń COVID.

Komisja w odpowiednim czasie opracowała bramę sieciową służącą do ustalania kontaktów zakaźnych oraz system unijnych cyfrowych zaświadczeń COVID, ale w przypadku kart lokalizacji pasażera rozwiązania krajowe były dostępne wcześniej niż unijne

28 Kiedy w marcu 2020 r. Światowa Organizacja Zdrowia ogłosiła pandemię COVID-19, państwa członkowskie zaczęły wprowadzać ograniczenia w swobodnym przemieszczaniu się¹⁰, a Komisja – wydawać wytyczne ułatwiające koordynację między nimi¹¹. Bramę sieciową służącą do ustalania kontaktów zakaźnych uruchomiono siedem miesięcy po ogłoszeniu wybuchu pandemii, a unijne cyfrowe zaświadczenia COVID i karty lokalizacji pasażera – 15 miesięcy po tej dacie. Na rys. 3 przedstawiono ramy czasowe projektowania i wdrażania tych narzędzi. Biorąc pod uwagę opisane poniżej wymagania prawne i techniczne dotyczące omawianych narzędzi, Trybunał uważa, że brama sieciowa służąca do ustalania kontaktów zakaźnych i unijne cyfrowe zaświadczenia COVID zostały opracowane w odpowiednim czasie, w przeciwieństwie do narzędzi związanych z kartami lokalizacji pasażera.

29 Pierwszym opracowanym narzędziem była brama sieciowa służąca do ustalania kontaktów zakaźnych, czyli ogólnounijny system zapewniający interoperacyjność krajowych aplikacji służących do ustalania kontaktów zakaźnych. 13 maja 2020 r. Komisja opublikowała zestaw wytycznych i zaleceń, aby wspomóc stopniowe znoszenie ograniczeń związanych z podróżą¹² nałożonych przez państwa członkowskie. W wytycznych tych zachęcała do stosowania w tym celu rozwiązań technicznych. Bramę sieciową uruchomiono w październiku 2020 r., pięć miesięcy po opublikowaniu przez Komisję wytycznych.

30 Pod koniec kwietnia 2020 r., zaledwie miesiąc po wprowadzeniu pierwszych ograniczeń, w ramach wspólnego działania „EU Healthy Gateways” zaproponowano Komisji digitalizację kart lokalizacji pasażera. Dyskusje między Komisją a państwami członkowskimi potrwały jednak kilka miesięcy, a wniosek został przyjęty w sierpniu 2020 r. W październiku 2020 r. Rada zaleciła¹³ opracowanie wspólnej unijnej cyfrowej karty lokalizacji pasażera. W tym czasie kilka państw członkowskich było już na zaawansowanym etapie wdrażania własnych rozwiązań krajowych (zob. tabela 1).

31 W następstwie zalecenia Rady w listopadzie 2020 r. Komisja rozpoczęła prace nad platformą wymiany kart lokalizacji pasażera. Decyzję wykonawczą Komisji¹⁴ regulującą wymianę kart lokalizacyjnych przyjęto jednak dopiero 27 maja 2021 r. W praktyce państwa członkowskie mogły zacząć wymianę cyfrowych kart na platformie dopiero w lipcu 2021 r.

32 Czwartym narzędziem opracowanym przez Komisję było unijne cyfrowe zaświadczenie COVID. Prace nad nim rozpoczęto później niż nad pozostałymi narzędziami, ponieważ było ono ściśle powiązane z procesem szczepień w UE. Dyskusje na temat zaświadczenia o szczepieniu przeciwko COVID-19 toczyły się między Komisją a państwami członkowskimi od listopada 2020 r. w ramach sieci e-zdrowie¹⁵ (zob. ramka 1). Estonia przedstawiła podczas nich pierwszy pilotażowy projekt dotyczący zaświadczenia o szczepieniu, które można było zweryfikować cyfrowo.

33 21 grudnia 2020 r. Europejska Agencja Leków zarekomendowała dopuszczenie pierwszej szczepionki, a kilka dni później w całej UE rozpoczęły się szczepienia. Miesiąc później, 28 stycznia 2021 r., kraje UE przyjęły podstawowe wytyczne dotyczące interoperacyjnego dowodu szczepienia do celów medycznych¹⁶, niepowtarzalnego identyfikatora zaświadczenia oraz zasad przewidzianych w ramach zaufania.

34 W porozumieniu politycznym z 20 maja 2021 r. między Parlamentem Europejskim a Radą dotyczącym rozporządzenia w sprawie unijnego cyfrowego zaświadczenia COVID przewidziano, że system ten należy wdrożyć do końca czerwca. Komisja musiała zatem jednocześnie prowadzić prace techniczne i prace legislacyjne związane z rozporządzeniem¹⁷. Przy projektowaniu architektury technicznej wykorzystała ona wcześniejsze doświadczenia zdobyte przy opracowywaniu bramy sieciowej służącej do ustalania kontaktów zakaźnych, co pozwoliło na przyspieszenie prac. 17 marca 2021 r. Komisja sfinalizowała wniosek ustawodawczy¹⁸. Siedem państw zaczęło korzystać z unijnych cyfrowych zaświadczeń COVID 1 czerwca 2021 r., na miesiąc przed wejściem w życie rozporządzenia, na podstawie którego obywatele i rezydenci Unii otrzymywali zaświadczenia, które były weryfikowane i akceptowane w całej UE. Do 1 lipca wszystkie państwa członkowskie UE/EOG zostały połączone z bramą sieciową unijnych cyfrowych zaświadczeń COVID (z wyjątkiem Irlandii, która dołączyła 14 lipca 2021 r., po tym jak w maju 2021 r. padła ofiarą cyberataku wymierzonego w krajową służbę zdrowia).

35 Parlament Europejski i Rada przyjęły rozporządzenie 14 czerwca 2021 r., niecałe trzy miesiące po opublikowaniu pierwotnego wniosku¹⁹. To bardzo szybki przebieg prac legislacyjnych, zważywszy że średni czas trwania procedury ustawodawczej w przypadku aktów prawa UE przyjętych w pierwszym czytaniu wynosi nieco mniej niż 18 miesięcy²⁰. Szybkie przyjęcie przepisów sprawiło, że unijne cyfrowe zaświadczenia COVID można było wprowadzić na samym początku okresu wakacyjnego, w czasie gdy na całym kontynencie intensyfikowano działania związane ze szczepieniami – 10 lipca 2021 r. UE otrzymała wystarczającą liczbę szczepionek, aby zaszczepić 71% dorosłej populacji.

Podczas opracowywania części narzędzi Komisji nie udało się rozwiać wątpliwości niektórych państw członkowskich

36 Konieczność szybkiego udostępnienia narzędzi i ułatwienia podróżowania podczas pandemii COVID-19 skłoniła Komisję do rozpoczęcia prac nad nimi bez wcześniejszego przeprowadzenia ocen skutków. Takie oceny wykorzystuje się do określenia prawdopodobnych skutków polityki publicznej oraz stwierdzenia, czy istnieje potrzeba podjęcia działań przez UE. Unijne wytyczne dotyczące lepszego stanowienia prawa²¹ zawierają wymóg, aby w normalnych okolicznościach przed przyjęciem każdego nowego rozporządzenia Komisja przeprowadzała ocenę skutków polityki. Uznano w nich jednak również, że w nadzwyczajnych okolicznościach, takich jak sytuacja nadzwyczajna wymagająca szybkiej reakcji, przestrzeganie wszystkich kroków zalecanych w wytycznych może być niemożliwe lub niewłaściwe.

37 Mimo że Komisja nie przeprowadziła oceny skutków, skonsultowała się z państwami członkowskimi za pośrednictwem grup roboczych w sprawie bramy sieciowej służącej do ustalania kontaktów i w sprawie cyfrowych zaświadczeń COVID. Już w grudniu 2020 r. podgrupa techniczna działająca w ramach sieci e-zdrowie przeanalizowała możliwe warianty wsparcia upowszechnienia cyfrowych zaświadczeń o szczepieniu i ułatwienia wymiany informacji między państwami członkowskimi. Przed opracowaniem pozostałych narzędzi Komisja nie przeprowadziła tak szczegółowych konsultacji. Badanie przeprowadzone przez Trybunał wykazało, że nie wszystkie państwa członkowskie były zainteresowane korzystaniem ze wszystkich narzędzi objętych niniejszą kontrolą.

38 Z badania wynika, że niemal połowa z 11 państw członkowskich, które poinformowały, że nie korzystają z narzędzi obejmujących karty lokalizacji pasażera, nie zdecydowała się na ich stosowanie ze względu na kwestie ochrony danych i inne wątpliwości prawne. Trzy państwa członkowskie wskazały, że opracowały już własne krajowe karty lokalizacji pasażera, dostosowane do ich potrzeb, i nie widzą korzyści z przejścia na rozwiązania unijne.

39 Ponadto konsultacje w ramach działania „EU Healthy Gateways”, które odbyły się w październiku 2021 r. i marcu 2022 r., wykazały, że opinie państw członkowskich na temat przydatności narzędzi obejmujących karty lokalizacji pasażera były podzielone. Pięć państw członkowskich UE korzystało z co najmniej jednego z tych narzędzi, a 10 państw wyraziło zainteresowanie ich wykorzystaniem. Jednocześnie jednak 12 państw stwierdziło, że raczej nie zastosuje narzędzi unijnych, z czego dwa (Dania i Szwecja) stwierdziły, że nie są zainteresowane ich wykorzystaniem.

40 Jeśli chodzi o bramę sieciową służącą do ustalania kontaktów zakaźnych, nie wszystkie państwa członkowskie przyjęły to rozwiązanie po jego udostępnieniu we wrześniu 2020 r. Kolejne państwa członkowskie przyłączały do bramy sieciowej swoje krajowe aplikacje stopniowo, w momencie gdy decydowały się przyjąć to rozwiązanie, a ich aplikacje były gotowe. Do połowy listopada 2020 r. sześć państw członkowskich połączyło swoje aplikacje z bramą sieciową. Następnie kolejne państwa decydowały o przyjęciu tego rozwiązania, aż do lipca 2021 r., kiedy to połączonych było 19 państw członkowskich.

Komisja wzięła pod uwagę wątpliwości dotyczące ochrony danych i zastosowała dobre praktyki w dziedzinie bezpieczeństwa informatycznego

41 Przy opracowywaniu narzędzi służących do zarządzania danymi dotyczącymi zdrowia należy wziąć pod uwagę dwa główne rodzaje ryzyka²²:

1. ochrona danych – dane dotyczące zdrowia to dane bardzo wrażliwe, uznane w unijnym ogólnym rozporządzeniu o ochronie danych za szczególną kategorię danych²³. W związku z tym narzędzia wykorzystywane do zarządzania takimi danymi muszą zawierać szczególne zabezpieczenia i mechanizmy kontrolne w celu ochrony przechowywanych i wysyłanych informacji. Trybunał przeanalizował oceny skutków dotyczące ochrony danych w ramach narzędzi objętych kontrolą i sprawdził, czy zastosowane procesy pozwoliły zminimalizować przetwarzanie danych osobowych;
2. bezpieczeństwo informatyczne – cyfryzacja służby zdrowia i dostęp do cyfrowej dokumentacji medycznej zwiększają ryzyko wystąpienia cyberincydentów, ponieważ tworzą potencjalne nowe punkty dostępu dla cyberprzestępców. W związku z tym Trybunał ocenił, czy narzędzia opracowano i wykorzystywano zgodnie z dobrymi praktykami w dziedzinie bezpieczeństwa²⁴.

42 Z punktu widzenia ochrony danych w przypadku aplikacji wykorzystywanych w całej UE (takich jak brama sieciowa służąca do ustalania kontaktów zakaźnych oraz niektóre elementy unijnego cyfrowego zaświadczenia COVID) uczestniczące państwa członkowskie uznawane są za „współadministratorów danych” (w rozumieniu ogólnego rozporządzenia o ochronie danych). Są one współodpowiedzialne za podejmowanie decyzji o tym, jak i w jakich celach przetwarzane są dane osobowe, oraz za wprowadzenie odpowiednich mechanizmów kontrolnych. Każde państwo musi przygotować oceny skutków dla ochrony danych w celu zidentyfikowania i ograniczenia ryzyka wynikającego z wykorzystania takich aplikacji do przetwarzania danych osobowych. Komisja, która działa w imieniu państw członkowskich jako „podmiot przetwarzający dane”, pomogła im w przygotowaniu ocen skutków dla ochrony danych dotyczących narzędzi unijnych objętych niniejszym sprawozdaniem, zapewniając dokumentację uzupełniającą i wzory dokumentów²⁵. Posłużenie się wzorami dokumentów było dobrowolne, a Komisja nie odpowiadała za monitorowanie ich wykorzystania.

43 Zarówno w przypadku bramy sieciowej unijnych cyfrowych zaświadczeń COVID, jak i bramy sieciowej służącej do ustalania kontaktów zakaźnych przyjęto architekturę techniczną, która pozwala ograniczyć do minimum gromadzenie danych osobowych za pośrednictwem centralnych unijnych bram sieciowych. Jeśli chodzi o zaświadczenia COVID, dane osobowe obywateli Unii pozostawały w systemach krajowych i odpowiadały za nie poszczególne państwa członkowskie. Do centralnej bramy sieciowej przekazywano jedynie informacje kryptograficzne (a później wykazy unieważnionych zaświadczeń) potrzebne organom krajowym do weryfikacji ważności zaświadczeń. Jeśli chodzi o bramę sieciową służącą do ustalania kontaktów zakaźnych, przetwarzała ona wyłącznie pseudonimizowane dane osobowe, mające postać losowych identyfikatorów zwanych kluczami generowanych przez aplikacje służące do ustalania kontaktów zakaźnych. To podejście pozwoliło w znacznym stopniu ograniczyć ryzyko związane z ochroną danych.

44 W rozporządzeniu w sprawie unijnego cyfrowego zaświadczenia COVID nie przewidziano standardowej procedury unieważniania zaświadczeń, na przykład w przypadku stwierdzenia, że zostały one sfałszowane. Państwa uczestniczące mogły swobodnie wdrażać wybrane przez siebie rozwiązania techniczne. Komisja nie ponosiła odpowiedzialności za ocenę prawidłowości tych rozwiązań z perspektywy ochrony danych.

45 Aby zapewnić możliwość identyfikacji unieważnionego zaświadczenia w innych krajach, państwa członkowskie musiałyby wymieniać się między sobą informacjami, mającymi postać wykazów unieważnionych zaświadczeń. Jedna z wątpliwości zgłoszonych podczas kontroli Trybunału dotyczyła tego, że taka dwustronna wymiana z udziałem różnych podmiotów i z wykorzystaniem różnych rozwiązań w zakresie unieważniania byłaby nieefektywna, szczególnie wobec rosnącej liczby nowych zaświadczeń.

46 Z myślą o rozwiązaniu tego problemu 30 marca 2022 r. – osiem miesięcy po wprowadzeniu unijnych cyfrowych zaświadczeń COVID – Komisja opublikowała specyfikacje techniczne i zasady mające służyć ustanowieniu bardziej efektywnego mechanizmu wymiany wykazów unieważnionych zaświadczeń za pośrednictwem centralnej bramy sieciowej. W specyfikacjach technicznych zalecono też trzy techniki przekazywania tych wykazów z krajowych baz danych do aplikacji stosowanych do weryfikacji zaświadczeń. Można uznać, że przy prawidłowym stosowaniu proponowanych rozwiązań pozwalają one na ochronę prywatności, choć jedno z nich (filtr Blooma) zapewnia znacznie lepszą ochronę niż dwa pozostałe²⁶. Niemniej jednak korzystanie z tych rozwiązań było dobrowolne, a Komisja nie miała uprawnień do monitorowania tego, czy i w jaki sposób państwa członkowskie je stosowały.

47 Ryzyko związane z bezpieczeństwem informatycznym można uwzględnić i ograniczyć za pomocą ustrukturyzowanych ram bezpieczeństwa informatycznego²⁷. Takie ramy przeważnie obejmują szereg elementów, takich jak zasady zarządzania, polityka bezpieczeństwa, wymogi i normy. Obejmują także dobre praktyki, m.in. aktywne poszukiwanie słabych punktów (skanowanie pod kątem luk w zabezpieczeniach) i aktywne testowanie zabezpieczeń (testy penetracyjne).

48 Komisja przyjęła własne ramy bezpieczeństwa informatycznego²⁸, które mają zastosowanie do wszystkich systemów informatycznych przechowywanych w jej ośrodkach przetwarzania danych, w tym do bramy do ustalania kontaktów zakaźnych i bramy sieciowej unijnych cyfrowych zaświadczeń COVID. Ramy te są zgodne z normami międzynarodowymi²⁹. Obejmują one wymóg przeprowadzania przez Komisję oceny ryzyka w odniesieniu do każdego systemu informatycznego, uwzględnienia poszczególnych czynników ryzyka w planie bezpieczeństwa informatycznego i stosowania zestawu formalnych polityk i norm bezpieczeństwa.

49 Komisja przedsięwzięła rozsądne kroki, aby zapewnić bezpieczeństwo informatyczne w odniesieniu do bramy sieciowej służącej do ustalania kontaktów zakaźnych. Specjalistyczna firma przeprowadziła ocenę bezpieczeństwa architektury i kodu źródłowego bramy sieciowej w momencie uruchamiania systemu (październik 2020 r.) i nie stwierdziła żadnych istotnych słabych punktów. Aby uzyskać jeszcze większą pewność co do bezpieczeństwa bramy sieciowej, przeprowadzono trzy rundy testów w ramach etycznego hakowania.

50 Komisja określiła również minimalne wymogi bezpieczeństwa dla krajowych aplikacji służących do ustalania kontaktów zakaźnych, łączących się z platformą wymiany w ramach bramy sieciowej służącej do ustalania kontaktów zakaźnych. Przeprowadzona przez Trybunał analiza architektury bezpieczeństwa, a także odpowiedzi udzielone przez państwa członkowskie w badaniu wykazały, że techniczny proces łączenia systemów krajowych z unijną bramą sieciową (czyli ich rejestracji) był ustrukturyzowany i uwzględniał aspekty związane z bezpieczeństwem informatycznym.

51 Jeśli chodzi o unijne cyfrowe zaświadczenia COVID, Dyrekcja Generalna ds. Informatyki przeprowadziła ocenę podatności bramy sieciowej na zagrożenia, a niezależny wykonawca wykonał dodatkowe testy penetracyjne. Testy potwierdziły, że centralna brama sieciowa został zaprojektowana w sposób, który gwarantuje wysoki poziom bezpieczeństwa. Większość wykrytych problemów dotyczyła infrastruktury, a nie kodu źródłowego. W związku ze stwierdzonymi zagrożeniami podjęto działania następcze. Konsultanci wykonujący testy penetracyjne bramy sieciowej zalecili przeprowadzenie pełnego audytu większej liczby elementów, w tym tych elementów, które mogą być wykorzystywane na poziomie krajowym, jak np. usługa wydawania zaświadczeń czy aplikacje mobilne. Ten dodatkowy audyt zakończono w kwietniu 2022 r. Nie zakwestionowano w nim architektury bezpieczeństwa narzędzia.

52 Państwa członkowskie i państwa spoza UE uczestniczące w ramowym systemie unijnych cyfrowych zaświadczeń COVID generowały zaświadczenia w systemach krajowych. Gdyby systemy krajowe zostały naruszone, a nieupoważnione strony uzyskały do nich dostęp, wówczas użytkownicy działający w złej wierze mogliby wystawiać ważne, ale fałszywe zaświadczenia. Przedostanie się takich zaświadczeń do powszechnego obiegu mogłoby wpłynąć na swobodę przemieszczania się, ponieważ podważyłoby zaufanie do unijnych cyfrowych zaświadczeń COVID, zwiększając tym samym ryzyko ponownego wprowadzenia przez państwa członkowskie dodatkowych ograniczeń. Dlatego ważne było upewnienie się, że krajowe systemy zawierają odpowiednie mechanizmy kontroli bezpieczeństwa.

53 Jeśli chodzi o mechanizmy kontroli bezpieczeństwa w ramach systemów w państwach członkowskich, Komisja polegała również na kwestionariuszach samooceny wypełnianych przez poszczególne kraje, ale nie była uprawniona do sprawdzania ich rzeczywistej zgodności (na przykład przez przegląd sprawozdań ze skanowania pod kątem luk w zabezpieczeniach, sprawozdań z audytu, planów działania czy międzynarodowych certyfikatów). W rezultacie pewność co do stanu bezpieczeństwa systemów krajowych była ograniczona.

54 Wywiady przeprowadzone przez Trybunał potwierdziły, że w jednym państwie niebędącym członkiem UE wystąpił incydent związany z bezpieczeństwem informatycznym. W krajowym rozwiązaniu istniała luka w zabezpieczeniach, która umożliwiła nieupoważnionym użytkownikom dostęp do aplikacji i generowanie niezgodnych z prawem zaświadczeń na poziomie krajowym, dopóki incydent nie został wykryty i rozwiązany. Według sprawozdania na temat incydentu sporządzonego w państwie, w którym on wystąpił, wygenerowano jedynie niewielką liczbę zaświadczeń.

55 Nie istnieją rozwiązania techniczne, które mogłyby ograniczyć wszystkie czynniki ryzyka. Przykładowo nawet najnowocześniejsze mechanizmy kontroli bezpieczeństwa nie mogą zapobiec sytuacji, w której uprawniony pracownik mający prawo dostępu do systemów krajowych nadużyje uprawnień i wygeneruje fałszywe zaświadczenia.

56 W związku z powyższym zgłaszanie i zwalczanie takich incydentów jak generowanie fałszywych zaświadczeń wymaga szybkiej wymiany informacji między właściwymi organami. Państwa członkowskie i państwa spoza UE, z których przedstawicielami rozmawiali kontrolerzy Trybunału, stwierdziły, że zgłaszanie takich przypadków jest czasochłonne ze względu na trudności w określeniu, z jakimi właściwymi organami w innych krajach należy się skontaktować.

57 Jeśli chodzi o unijne cyfrowe karty lokalizacji pasażera i platformy wymiany tych kart, zastosowano następujące zalecane praktyki w zakresie bezpieczeństwa informatycznego³⁰: uwierzytelnianie dwuskładnikowe, bezpieczne protokoły komunikacyjne, zapory sieciowe dla aplikacji internetowych i fizyczne kontrole bezpieczeństwa dostępu. Wykonawca przeprowadził również ocenę ryzyka informatycznego i ustanowił ustrukturyzowaną procedurę rejestracji państw w systemie.

58 Pierwszy test penetracyjny tego systemu odbył się jednak dopiero w marcu 2022 r., czyli rok po połączeniu z nim pierwszego kraju. Po przeprowadzeniu testu zewnętrzny dostawca usług opracował plan wdrożenia w celu rozwiązania stwierdzonych problemów. Oznacza to, że system działał przez rok z niewykrytymi lukami w zabezpieczeniach.

Wpływ narzędzi unijnych na ułatwienie podróżowania podczas pandemii COVID-19 nie był jednolity

59 W poniższych punktach Trybunał zbadał, czy narzędzia unijne ułatwiły podróżowanie po UE w pierwszych latach pandemii COVID-19. W szczególności kontrolerzy ocenili, czy narzędzia:

1. były wykorzystywane przez państwa członkowskie na szeroką skalę, co stanowi warunek ich skuteczności;
2. usprawniły koordynację i wymianę informacji między państwami członkowskimi w odniesieniu do nakładania przez nie ograniczeń związanych z podróżą, a zatem czy doprowadziły do rozwiązania dwóch kwestii, które – jak ustalił wcześniej Trybunał – utrudniały podróże po UE³¹.

60 Trybunał zestawił i przeanalizował dane dotyczące wykorzystania przez państwa członkowskie narzędzi objętych kontrolą. Porównał także ograniczenia w podróży nałożone przez państwa członkowskie przed wprowadzeniem unijnych cyfrowych zaświadczeń COVID i po ich wprowadzeniu.

Unijne karty lokalizacji pasażera i brama sieciowa służąca do ustalania kontaktów zakaźnych nie przyniosły zamierzonych skutków ze względu na ich ograniczone wykorzystanie w państwach członkowskich

61 Aby narzędzia unijne mogły przynieść zamierzone skutki, musiałyby być powszechnie stosowane. W tabeli 2 podsumowano wykorzystanie narzędzi w poszczególnych państwach członkowskich. Wynika z niej, że jedynym narzędziem stosowanym we wszystkich państwach członkowskich było unijne cyfrowe zaświadczenie COVID.

62 Państwa członkowskie nie korzystały z unijnych cyfrowych kart lokalizacji pasażera i platformy wymiany w stopniu wystarczającym do tego, aby narzędzia te miały znaczący wpływ na ograniczenie rozprzestrzeniania się COVID-19 i ułatwienie bezpiecznego podróżowania.

63 Unijne cyfrowe karty lokalizacji pasażera³² były stosowane tylko w czterech państwach członkowskich, podczas gdy 17 państw członkowskich pozostało przy rozwiązaniach krajowych. Z niemal 27 mln kart wydanych w lutym 2022 r. 91,6% (24,7 mln) wydano we Włoszech.

64 Podobnie ograniczone było wykorzystanie platformy wymiany. Choć teoretycznie narzędzie to mogło służyć do wymiany informacji z każdej platformy krajowej, zostało ono przyjęte głównie przez te kraje, które korzystały również z unijnych kart lokalizacji pasażera. Ogólnie wykorzystywano platformę w nieznacznym stopniu: w 2021 r. wymieniono tylko trzy karty, a w pierwszych dwóch miesiącach 2022 r. – 253. Z tych 256 kart wszystkie poza jedną wydano w Hiszpanii.

65 Poziom wykorzystania aplikacji służących do ustalania kontaktów zakaźnych był bardzo różny w poszczególnych państwach członkowskich. Niektóre z nich nie wprowadziły żadnej aplikacji tego typu. W tych państwach, które wprowadziły aplikację, faktyczne jej wykorzystanie wśród ludności było ograniczone. Łącznie obywatele UE pobrali aplikacje służące do ustalania kontaktów zakaźnych 74 mln razy (stan na październik 2021 r.). Brakuje jednak statystyk na szczeblu UE dotyczących tego, ile osób faktycznie z aplikacji korzystało.

66 Do 22 maja 2022 r. łączna liczba potwierdzonych przypadków COVID-19 wyniosła ponad 522 mln³³, a liczba przesłanych kluczy – 55 mln. Dane pochodzące z bramy sieciowej służącej do ustalania kontaktów zakaźnych wskazują na nierównomierne korzystanie z narzędzi do śledzenia kontaktów w państwach członkowskich: 83% kluczy zostało przesłanych przez użytkowników aplikacji z samych Niemiec (zob. załącznik II).

67 Ogólnie rzecz biorąc, narzędzia objęte kontrolą Trybunału opracowano w celu zaspokojenia nowo pojawiających się potrzeb, co utrudniło trwałe uzyskanie synergii między nimi. Przykładowo, mimo że unijne cyfrowe karty lokalizacji pasażera i platforma wymiany tych kart są ze sobą nierozerwalnie związane, zostały opracowane oddzielnie (odpowiednio w ramach wspólnego działania „EU Healthy Gateways” i przez Agencję Unii Europejskiej ds. Bezpieczeństwa Lotniczego). Z kolei wytyczne dotyczące połączenia unijnych cyfrowych zaświadczeń COVID i kart lokalizacji pasażera udostępniono na szczeblu unijnym po wprowadzeniu każdego z tych narzędzi i dotąd nie zostały one wdrożone.

68 Ponieważ narzędzia te zostały zaprojektowane do działania w krótkim okresie, nie przyjęto elastycznych procedur pozwalających na ich stosowanie w dłuższym okresie ani szybkie ponowne uruchomienie, gdyby były potrzebne w przyszłości. Przykładowo obecna podstawa prawna dotycząca unijnych cyfrowych zaświadczeń COVID przestanie obowiązywać w czerwcu 2023 r. i konieczne byłoby jej odnowienie przez Parlament Europejski i Radę na podstawie wniosku Komisji. Podczas kontroli Trybunału Komisja zwróciła uwagę, że ponowne wdrożenie systemu zaświadczeń COVID w krótkim czasie byłoby niezwykle trudne, zarówno pod względem prawnym, jak i technicznym.

Państwa członkowskie korzystały z unijnych cyfrowych zaświadczeń COVID na szeroką skalę, co ułatwiło podróżowanie

69 Unijną bramę sieciową cyfrowych zaświadczeń COVID uruchomiono 1 czerwca 2021 r. Połączonych było z nią wówczas siedem państw członkowskich. Po półtora miesiąca połączone były już wszystkie państwa członkowskie UE, tj. 27 krajów. Rozwiązanie zaproponowane przez Komisję cieszyło się również dużym zainteresowaniem poza UE. Do lipca 2022 r. 45 państw i terytoriów spoza UE przyjęło unijne ramy cyfrowych zaświadczeń COVID.

70 Do 13 października 2021 r. państwa członkowskie wydały 585 mln zaświadczeń. Pięć miesięcy później wydano już 1,7 mld zaświadczeń, z czego większość (1,1 mld) dotyczyła szczepień. Liczba ta jest większa niż liczba ludności UE, ponieważ jedna osoba mogła uzyskać wiele zaświadczeń (na przykład dwa zaświadczenia o wyniku testu, a potem zaświadczenie o szczepieniu). Po każdej przyjętej dawce szczepionki, każdym przypadku powrotu do zdrowia i każdym wykonanym teście wydawano jedno zaświadczenie. Oprócz tego, że cyfrowe zaświadczenia ułatwiały podróżowanie, były one także wykorzystywane w państwach członkowskich w celu kontroli dostępu do miejsc publicznych, takich jak restauracje czy teatry. Na rys. 4 przedstawiono liczbę zaświadczeń (1,7 mld) w rozbiciu na państwa członkowskie, w których zostały wydane.

71 Narzędzia, o których mowa w niniejszym sprawozdaniu, miały na celu ułatwienie bezpiecznego podróżowania. Ze względu na pandemię wiele państw członkowskich zdecydowało się wprowadzić rozmaite ograniczenia związane z podróżą. W sprawozdaniu specjalnym dotyczącym swobodnego przemieszczania się w UE podczas pandemii COVID-19³⁴ Trybunał stwierdził, że do czerwca 2021 r. ograniczenia w podróży wprowadzone w państwach członkowskich były wciąż nieskoordynowane, a dotyczyło to między innymi obowiązku przeprowadzania testów PCR, wymogu poddania się kwarantannie i zakazów wjazdu.

72 Do czasu wejścia w życie unijnych cyfrowych zaświadczeń COVID ograniczenia wjazdu dla podróżnych zależały od zagrożeń dla zdrowia na obszarze geograficznym, z którego podróżni ci wyjechali. Podejście to zmieniło się w lipcu 2021 r. wraz z wprowadzeniem rozporządzenia w sprawie unijnego cyfrowego zaświadczenia COVID – wkrótce po jego wejściu w życie ograniczenia zaczęły stopniowo dotyczyć nie obszarów geograficznych, ale poszczególnych osób, a ponadto opierały się głównie na posiadaniu ważnego zaświadczenia.

73 Oprócz tego, że w wyniku przyjęcia rozporządzenia w sprawie unijnego cyfrowego zaświadczenia COVID zmienił się charakter ograniczeń w podróżowaniu, wprowadzono w nim również nowy oficjalny mechanizm mający poprawić wymianę informacji na temat takich ograniczeń. Od czasu wejścia w życie rozporządzenia państwa członkowskie muszą informować Komisję i inne państwa członkowskie o zamiarze wprowadzenia nowych ograniczeń. W powiadomieniach tych muszą wskazywać powody ich wprowadzenia oraz zakres i czas trwania. Do marca 2022 r. 13 państw członkowskich przedłożyło informacje na podstawie tego przepisu.

74 W lipcu 2021 r. Komisja przeprowadziła konsultacje w sprawie ograniczeń związanych z podróżą, z których wynika, że wszystkie państwa członkowskie (z wyjątkiem Grecji, Węgier i Włoch, które udzieliły odpowiedzi w późniejszym terminie) zniosły ograniczenia dla posiadaczy unijnych cyfrowych zaświadczeń COVID. Na rys. 5 pokazano ograniczenia związane z podróżą przed wprowadzeniem systemu zaświadczeń i tuż po jego wprowadzeniu (czerwiec i lipiec 2021 r.). Z 13 państw uczestniczących w badaniu przeprowadzonym przez Trybunał 12 przyznało, że unijne cyfrowe zaświadczenia COVID pomogły skoordynować ograniczenia związane z podróżą między państwami członkowskimi.

Wnioski i zalecenia

75 Trybunał stwierdził, że mimo ograniczonych uprawnień w zakresie polityki zdrowia publicznego Komisja szybko przystąpiła do działania i zaproponowała odpowiednie rozwiązania techniczne mające ułatwić podróżowanie po UE podczas pandemii COVID-19. Niemniej wpływ niektórych z tych narzędzi zależał od gotowości państw członkowskich do ich stosowania. Unijne cyfrowe zaświadczenie COVID cieszyło się wprawdzie dużym zainteresowaniem i skutecznie ułatwiło podróżowanie, jednak wpływ pozostałych narzędzi był umiarkowany ze względu na ich ograniczone wykorzystanie.

76 Komisja szybko uruchomiła środki w kwocie 71 mln euro na opracowanie narzędzi, łącząc kilka źródeł finansowania i wykorzystując istniejące umowy ramowe zamiast postępowań o udzielenie zamówienia publicznego. Narzędzia te zostały opracowane przez UE w niespotykanym dotąd celu, a tym samym nie ma innych istniejących systemów, z którymi można by je porównać (pkt 21–27).

77 Komisja w odpowiednim czasie udostępniła bramę sieciową służącą do ustalania kontaktów zakaźnych i system unijnych cyfrowych zaświadczeń COVID. Brama sieciowa służąca do ustalania kontaktów zakaźnych, opracowana z myślą o zapewnieniu interoperacyjności aplikacji służących do ustalania kontaktów zakaźnych, została uruchomiona w październiku 2020 r., siedem miesięcy po tym, jak Światowa Organizacja Zdrowia ogłosiła pandemię COVID-19. Doświadczenia zdobyte przy jej projektowaniu wykorzystano następnie w procesie technicznego opracowywania systemu unijnych cyfrowych zaświadczeń COVID, który zakończono, zanim państwa członkowskie sfinalizowały wdrażanie planów szczepień. Także proces legislacyjny dotyczący przyjęcia zaświadczeń COVID przebiegł dużo szybciej niż zazwyczaj (pkt 28–35).

78 Komisji nie udało się rozwiać wątpliwości niektórych państw członkowskich co do korzystania z rozwiązań unijnych w zakresie kart lokalizacji pasażera, które wdrożono już po tym, jak kilka państw opracowało własne narzędzia. W rezultacie z rozwiązań unijnych skorzystało zaledwie pięć państw członkowskich (pkt 36–40).

Zalecenie 1 – Zaradzenie przyczynom niewielkiego stopnia wykorzystania unijnych cyfrowych kart lokalizacji pasażera

Komisja powinna zaradzić przyczynom powodującym, że unijne cyfrowe karty lokalizacji pasażera i platformę wymiany wykorzystywano w niewielkim stopniu, a także promować stosowanie tych narzędzi na szerszą skalę przez państwa członkowskie na przyszłych etapach pandemii COVID-19.

Termin realizacji: grudzień 2023 r.

79 Ogólnie rzecz biorąc, przy projektowaniu narzędzi Komisja uwzględniła wymogi dotyczące ochrony danych i dobre praktyki w zakresie bezpieczeństwa informatycznego. W ramach narzędzi unijnych wykorzystywana jest bardzo niewielka ilość danych osobowych (pkt 42–43). Oceny ryzyka w zakresie bezpieczeństwa i testy penetracyjne były zasadniczo systematycznie przeprowadzane – jedyny wyjątek stanowiło późne przeprowadzenie niektórych testów bezpieczeństwa w odniesieniu do unijnej cyfrowej karty lokalizacji pasażera, co oznacza, że narzędzie to działało przez rok z niewykrytymi lukami w zabezpieczeniach (pkt 47–51 i 57–58).

80 Jeśli chodzi o unijne cyfrowe zaświadczenia COVID, państwa uczestniczące musiały prowadzić między sobą wymianę wykazów fałszywych zaświadczeń za pomocą różnych kanałów komunikacji. To podejście zmniejsza skuteczność blokowania fałszywych zaświadczeń. W marcu 2022 r. Komisja zaproponowała odpowiednie mechanizmy eliminujące ten problem, ale ich wprowadzenie jest dobrowolne (pkt 44–46). Ponadto rozwiązania w zakresie wzajemnego informowania się przez kraje o incydentach wymagających pilnej reakcji (np. o fałszywych zaświadczeniach) są czasochłonne (pkt 55–56).

Zalecenie 2 – Usprawnienie komunikacji w przypadku incydentów związanych z unijnymi cyfrowymi zaświadczeniami COVID

Komisja powinna ułatwić bezpośrednią wymianę informacji między osobami oficjalnie wyznaczonymi do kontaktu w każdym państwie uczestniczącym w systemie unijnych cyfrowych zaświadczeń COVID, tak aby usprawnić komunikację w przypadku wystąpienia sytuacji nadzwyczajnych związanych z zaświadczeniami.

Termin realizacji: czerwiec 2023 r.

81 Ponieważ kody stosowane w unijnych cyfrowych zaświadczeniach COVID były generowane przez systemy krajowe państw uczestniczących, ważne było zapewnienie w tych systemach odpowiednich mechanizmów kontroli bezpieczeństwa. Komisja nie ma uprawnień do sprawdzania faktycznej zgodności systemów krajowych z wymogami bezpieczeństwa, dlatego w kwestii bezpieczeństwa informatycznego opierała się na samoocenie państw uczestniczących. W rezultacie pewność co do stanu bezpieczeństwa systemów krajowych jest ograniczona (pkt 52–54).

82 Unijne karty lokalizacji pasażera i brama sieciowa służąca do ustalania kontaktów zakaźnych nie przyniosły zamierzonych skutków, gdyż ich wykorzystanie było ograniczone. Karty te stosowano tylko w czterech państwach członkowskich, podczas gdy pozostałe kraje pozostały przy rozwiązaniach krajowych. Platformę do wymiany kart lokalizacji pasażera wykorzystywano ogólnie w nieznacznym stopniu: w 2021 r. wymieniono tylko trzy karty, a w pierwszych dwóch miesiącach 2022 r. – 253. Ograniczone korzystanie z bramy sieciowej służącej do ustalania kontaktów zakaźnych wynikało z faktu, że państwa członkowskie w niewielkim stopniu stosowały aplikacje służące do ustalania kontaktów zakaźnych, a w większości przypadków ich użytkownicy pochodzili z jednego i tego samego państwa (pkt 61–67).

83 Przeanalizowane przez Trybunał narzędzia zostały opracowane w celu zaspokojenia nowo pojawiających się potrzeb i działają niezależnie od siebie. Co więcej, zaprojektowano rozmaite krajowe rozwiązania w zakresie kart lokalizacji pasażera. W rezultacie równomierne wprowadzenie narzędzi unijnych było utrudnione. Ponadto opracowano je z myślą o eksploatacji w krótkim okresie, w odpowiedzi na kryzys zdrowotny. Nie wprowadzono szczegółowych procedur pozwalających na ich wykorzystanie w dłuższym okresie ani szybkie ponowne uruchomienie, gdyby okazały się potrzebne w przyszłości. Obecna podstawa prawna dotycząca unijnych cyfrowych zaświadczeń COVID przestanie obowiązywać w czerwcu 2023 r. i konieczne byłoby jej odnowienie w drodze standardowej unijnej procedury ustawodawczej (pkt 68).

84 Trybunał stwierdził, że unijne cyfrowe zaświadczenia COVID były skuteczne w ułatwianiu podróżowania podczas pandemii COVID-19. Na szeroką skalę korzystały z nich państwa członkowskie i kilka państw spoza UE – do marca 2022 r. w państwach UE/EOG wydano ponad 1,7 mld zaświadczeń. Ponadto Trybunał stwierdził, że w ciągu miesiąca od wejścia w życie rozporządzenia w sprawie unijnego cyfrowego zaświadczenia COVID państwa członkowskie w dużym stopniu zharmonizowały krajowe ograniczenia związane z podróżą. Konkretniej rzecz ujmując, wszystkie państwa członkowskie zniosły ograniczenia w podróży dla obywateli UE posiadających zaświadczenie potwierdzające, że zostali oni w pełni zaszczepieni, uzyskali niedawno negatywny wynik testu na COVID-19 lub powrócili do zdrowia po przebyciu choroby.

85 Co więcej, zaświadczenia COVID usprawniły wymianę informacji i koordynację w odniesieniu do ograniczeń związanych z podróżą, ponieważ obowiązujące rozporządzenie nakłada na państwa członkowskie wymóg zgłoszenia i uzasadnienia wprowadzenia takich ograniczeń (pkt 69–74).

Zalecenie 3 – Opracowanie odpowiednich narzędzi na wypadek kryzysów w przyszłości

Komisja powinna:

1. określić, które narzędzia unijne zaprojektowane podczas pandemii COVID-19 były najbardziej przydatne dla obywateli i państw członkowskich, oraz opracować procedury ich szybkiego ponownego uruchomienia w przypadku sytuacji nadzwyczajnych w przyszłości;
2. poprzez uzyskanie synergii lub wprowadzenie uproszczeń ułatwić obywatelom UE dostęp do narzędzi unijnych umożliwiających transgraniczne ustalanie kontaktów zakaźnych w czasie kryzysów;
3. wraz z państwami członkowskimi przeanalizować zapotrzebowanie na ewentualne dodatkowe narzędzia z myślą o możliwych kryzysach w przyszłości.

Termin realizacji: wrzesień 2023 r. dla zaleceń z lit. a) i c) oraz wrzesień 2024 r. dla zalecenia z lit. b).

Niniejsze sprawozdanie zostało przyjęte przez Izbę III, której przewodniczy Bettina Jakobsen, członkini Trybunału Obrachunkowego, w Luksemburgu w dniu 22 listopada 2022 r.

Załączniki

Załącznik I – Opis narzędzi unijnych mających ułatwić bezpieczne podróżowanie podczas pandemii COVID-19

Europejska usługa bramy federacyjnej

Europejska usługa bramy federacyjnej to system umożliwiający interoperacyjność krajowych aplikacji służących do ustalania kontaktów zakaźnych. Aplikacje te zostały opracowane w celu informowania obywateli o potencjalnym kontakcie obarczonym ryzykiem zakażenia, aby pomóc w przerwaniu łańcucha zakażeń COVID-19.

Aplikacja służąca do ustalania kontaktów zakaźnych stale rejestruje kontakty z innymi użytkownikami tego typu aplikacji znajdującymi się w pobliżu. Co 15 minut generuje ona klucz (identyfikator) dla użytkownika w celu ochrony prywatności. Za pomocą technologii Bluetooth aplikacja wykrywa inne smartfony w pobliżu i wymienia z nimi klucze. Każde spotkanie użytkowników skutkuje wymianą między nimi kluczy, które są następnie przechowywane na ich telefonach.

Kiedy dany użytkownik uzyska pozytywny wynik testu na COVID-19, zgłasza to w aplikacji, która wysyła wszystkie klucze tego użytkownika z ostatnich 14 dni do krajowego serwera wewnętrznego. Klucze zakażonego użytkownika są wysyłane przez serwer do aplikacji wszystkich pozostałych użytkowników, w których są one porównywane z kluczami przechowywanymi na telefonie. Jeżeli na telefonie przechowywany jest taki sam klucz, oznacza to, że dany użytkownik przebywał w pobliżu osoby zakażonej i otrzymuje o tym informację.

Większość państw członkowskich przyjęła opisane zdecentralizowane podejście, polegające na tym, że kombinacja kluczy osób zakażonych jest przesyłana do aplikacji użytkowników, a porównanie odbywa się w ich telefonie. Kilka państw członkowskich wybrało bardziej scentralizowane podejście, zakładające, że porównywanie kluczy i dopasowywanie ich do urządzeń użytkowników odbywa się na centralnych serwerach krajowych.

Krajowe platformy służące do ustalania kontaktów zakaźnych oparte na podejściu zdecentralizowanym i wykorzystujące kompatybilne komponenty techniczne mogą wymieniać między sobą zanonimizowane klucze osób zakażonych za pośrednictwem unijnej bramy sieciowej służącej do ustalania kontaktów zakaźnych. W ten sposób brama sieciowa umożliwia podróżnym korzystanie z ich krajowej aplikacji służącej do śledzenia kontaktów podczas podróży po innych krajach, które są połączone z unijną bramą sieciową.

Cyfrowa karta lokalizacji pasażera

Organy odpowiadające za obszar zdrowia publicznego wykorzystują karty lokalizacji pasażera, aby ułatwić ustalanie kontaktów zakaźnych, w przypadku gdy podróżni byli narażeni na zakażenie podczas podróży samolotem, pociągiem, statkiem lub autobusem. Światowa Organizacja Zdrowia i Organizacja Międzynarodowego Lotnictwa Cywilnego zaczęły opracowywać karty lokalizacyjne już podczas poprzednich epidemii chorób zakaźnych (zwłaszcza w przypadku gorączki Ebola).

Dotychczas w krajach, w których wymagano wypełniania kart lokalizacji pasażera, często stosowano formularze papierowe. Takie formularze mają jednak istotne ograniczenia – mogą być trudne do odczytania, a zawarte w nich dane trzeba ręcznie wprowadzić do systemów komputerowych w celu ich automatycznego przetwarzania. Te ograniczenia zmotywowały wiele krajów do sporządzenia elektronicznych wersji formularzy. Unijna cyfrowa karta lokalizacji pasażera to aplikacja internetowa opracowana w celu uproszczenia korzystania z kart lokalizacji pasażera w przypadku transgranicznych zagrożeń zdrowotnych, takich jak pandemia COVID-19.

Podróżny wypełnia kartę przez internet, wpisując w niej szczegółowe informacje dotyczące podróży, i otrzymuje niepowtarzalny kod QR. Kod ten może zostać zeskanowany przez właściwe organy w krajach docelowych w celu sprawdzenia, czy pasażerowie podali wymagane informacje. Cyfrowy format ma ułatwić i przyspieszyć gromadzenie danych i ich wymianę między zainteresowanymi stronami, a tym samym zwiększyć wydajność i skuteczność ustalania kontaktów zakaźnych.

Wymiana kart lokalizacji pasażera

Jeżeli podróżny uzyska pozytywny wynik testu na COVID-19, konieczne może być bezpieczne przekazanie zawartych w karcie lokalizacyjnej danych, które zebrało jedno z państw, innym zainteresowanym państwom, wyłącznie w celu ustalenia kontaktów zakaźnych w związku z COVID-19. Ze względu na ograniczenia istniejącego europejskiego systemu wymiany informacji dotyczących zdrowia (systemu wczesnego ostrzegania i reagowania) Komisja postanowiła opracować specjalną platformę wymiany danych zawartych w kartach lokalizacji pasażera między różnymi systemami krajowymi.

Platforma ta umożliwia bezpieczną transmisję zaszyfrowanych danych między właściwymi organami krajowymi, natomiast nie są na niej przechowywane żadne dane. Organy państw członkowskich mogą połączyć się z platformą za pośrednictwem unijnego systemu cyfrowych kart lokalizacji pasażera bądź też systemów krajowych.

Unijne cyfrowe zaświadczenie COVID

Unijne cyfrowe zaświadczenie COVID stanowi dowód, że dana osoba została zaszczepiona przeciwko COVID-19, uzyskała negatywny wynik testu na COVID-19 lub powróciła do zdrowia po przebyciu choroby. Zaświadczenia te wydają właściwe organy krajowe.

Zaświadczenia COVID mogą mieć formę papierową lub elektroniczną. W obu przypadkach zawierają one kod QR, który stanowi zabezpieczenie przed sfałszowaniem działające w oparciu o publiczne i prywatne klucze kryptograficzne. Wykorzystywane są dwa rodzaje kluczy: klucze prywatne, służące do cyfrowego podpisywania kodu QR, i klucze publiczne, pozwalające na weryfikację podpisu cyfrowego.

Każdy organ wydający zaświadczenia ma własny klucz prywatny i odpowiadający mu klucz publiczny. Klucze prywatne są bezpiecznie przechowywane, a klucze publiczne udostępnia się w centralnej krajowej bazie danych. Organy wydające zaświadczenia COVID udostępniają swój system wydawania zaświadczeń podmiotom w sektorze zdrowia publicznego (np. szpitalom i punktom pobrań) po uzyskaniu przez nie odpowiednich uprawnień i umożliwiają im cyfrowe podpisywanie zaświadczeń.

Aplikacje wykorzystywane do weryfikacji autentyczności unijnych cyfrowych zaświadczeń COVID uzyskują klucze publiczne z krajowych baz danych. Bazy te wymieniają klucze publiczne z innymi krajami za pośrednictwem bramy sieciowej unijnych cyfrowych zaświadczeń COVID. Tym samym brama sieciowa umożliwia wzajemną weryfikację zaświadczeń z innych państwach członkowskich.

Załącznik II – Wykorzystanie aplikacji służących do ustalania kontaktów zakaźnych w UE

Aplikacji służących do ustalania kontaktów zakaźnych nie stosowano równomiernie w całej UE. Tylko w dwóch państwach członkowskich liczba pobrań tego typu aplikacji przekroczyła 50% liczby ludności w tych krajach. Poniższy wykres pokazuje zróżnicowaną sytuację w państwach członkowskich, które korzystały ze zdecentralizowanych aplikacji służących do ustalania kontaktów zakaźnych.

Samo pobranie aplikacji nie oznacza jeszcze, że faktycznie służyła ona do ustalania kontaktów zakaźnych, gdyż w tym celu musi ona być aktywna, a jej użytkownik musi dobrowolnie zgłosić pozytywny wynik testu na COVID-19. Za każdym razem, gdy użytkownicy zgłaszają pozytywny wynik testu, do bramy sieciowej służącej do ustalania kontaktów zakaźnych przesyłane są odpowiednie klucze. Dane dotyczące wykorzystania bramy sieciowej wykazują, że w poszczególnych państwach członkowskich w różnym stopniu korzystano z systemu ustalania kontaktów zakaźnych. Z kolei na podstawie liczby kluczy przesłanych do bramy sieciowej można stwierdzić, że zdecydowana większość z nich pochodziła z jednego kraju.

Glosariusz

Administrator danych – wrozumieniu unijnego ogólnego rozporządzenia o ochronie danych osoba lub organizacja, która ustala sposoby i cele przetwarzania danych osobowych.

Kontrola graniczna – weryfikacja i nadzór prowadzone na granicy w stosunku do osób przekraczających granicę lub tych, które zamierzają ją przekroczyć.

Skanowanie pod kątem luk w zabezpieczeniach – proces inspekcji urządzeń sieciowych, systemów komputerowych i aplikacji mający na celu identyfikację wszelkich luk i słabych punktów.

Strefa Schengen – grupa 26 krajów europejskich, które zniosły kontrole paszportowe i imigracyjne na wspólnych granicach.

Test penetracyjny – metoda oceny bezpieczeństwa systemu informatycznego poprzez próby naruszenia jego zabezpieczeń przy użyciu narzędzi i technik stosowanych zwykle przez przeciwników.

Odpowiedzi Komisji Europejskiej

https://www.eca.europa.eu/pl/Pages/DocItem.aspx?did=62947

Harmonogram

https://www.eca.europa.eu/pl/Pages/DocItem.aspx?did=62947

Zespół kontrolny

W sprawozdaniach specjalnych Trybunału przedstawiane są wyniki kontroli dotyczących polityk i programów UE bądź kwestii związanych z zarządzaniem w wybranych obszarach budżetowych. Trybunał wybiera i opracowuje zadania kontrolne tak, aby osiągnąć jak największe oddziaływanie, biorąc przy tym pod uwagę kryteria takie jak zagrożenia dla wykonania zadań lub zgodności, poziom dochodów lub wydatków w danym obszarze, nadchodzące zmiany oraz interes polityczny i społeczny.

Niniejsza kontrola wykonania zadań została przeprowadzona przez Izbę III – Działania zewnętrzne, bezpieczeństwo i wymiar sprawiedliwości – której przewodniczy członkini Trybunału Bettina Jakobsen. Kontrolą kierował członek Trybunału Baudilio Tomé Muguruza, a w działania kontrolne zaangażowani byli: Daniel Costa de Magalhães, szef gabinetu; Ignacio Garcia de Parada, attaché; Alejandro Ballester Gallardo, kierownik; Piotr Senator, koordynator zadania, a także kontrolerzy: João Coelho, Mirko Iaconisi, Ioanna Topa i Andrej Minarovic. Wsparcie językowe zapewnił Michael Pyper.

Od lewej: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi i Michael Pyper.

Przypisy

¹ Art. 20 ust. 2 lit. a) i art. 21 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej.

² Dyrektywa 2004/38/WE.

³ Art. 168 ust. 7 Traktatu o funkcjonowaniu Unii Europejskiej.

⁴ Art. 17 Traktatu o Unii Europejskiej (TUE).

⁵ Art. 4 ust. 2 lit. k), art. 6 akapit pierwszy lit. a) i art. 168 TFUE.

⁶ Dyrektywa 2011/24/UE w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej.

⁷ Sprawozdanie specjalne 13/2022.

⁸ Sprawozdanie specjalne 19/2022.

⁹ Oświadczenie Komisji z dnia 15 czerwca 2021 r.

¹⁰ Rys. 4 w sprawozdaniu specjalnym 13/2022.

¹¹ Wytyczne dotyczące środków zarządzania granicami w celu ochrony zdrowia i zapewnienia dostępności towarów i usług podstawowych, C(2020) 1753 final Dz.U. C 86 I z 16.3.2020, s. 1).

¹² Komunikaty Komisji: C(2020) 3250, C(2020) 3251 i C(2020) 3139.

¹³ Zalecenie Rady (UE) 2020/1475.

¹⁴ Decyzja wykonawcza Komisji (UE) 2021/858.

¹⁵ Strona internetowa Komisji Europejskiej „e-Zdrowie a COVID-19”.

¹⁶ Wytyczne sieci e-zdrowie pt, „Guidelines on verifiable vaccination certificates – basic interoperability elements”, 12 marca 2021 r.

¹⁷ Rozporządzenie (UE) 2021/953.

¹⁸ Wniosek dotyczący rozporządzenia COM(2021) 130.

¹⁹ Procedura 2021/0068/COD.

²⁰ Sprawozdanie z działalności pt. „Development and Trends of the Ordinary legislative Procedure”, Parlament Europejski.

²¹ Wytyczne dotyczące lepszego stanowienia prawa, SWD(2017) 350, 7 lipca 2017 r.

²² Publikacja ENISA pt. „Taking Care of Health Data”.

²³ Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679.

²⁴ Podręcznik ISACA pt. „Certified Information System Auditor Review Manual”, 2019; Międzynarodowa Organizacja Normalizacyjna / Międzynarodowa Komisja Elektrotechniczna, norma 27001.

²⁵ Projekt oceny ryzyka dla ochrony danych (wzór DPRA-DRAFT).

²⁶ Publikacja sieci e-zdrowie pt. „EU DCC Revocation – B2A Communication between the Backend and the Applications”, sekcja 4.6.3.

²⁷ Podręcznik ISACA pt. „Certified Information System Auditor Review Manual”, 2019.

²⁸ Decyzja Komisji (UE, Euratom) 2017/46 w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej, a także przepisy wykonawcze C(2017) 8841 final.

²⁹ Międzynarodowa Organizacja Normalizacyjna / Międzynarodowa Komisja Elektrotechniczna, normy 27001, 27002, 27005 i 27035.

³⁰ Międzynarodowa Organizacja Normalizacyjna / Międzynarodowa Komisja Elektrotechniczna, norma 27001.

³¹ Sprawozdanie specjalne 13/2022, pkt 69–75.

³² Unijna cyfrowa karta lokalizacji pasażera.

³³ Cotygodniowe informacje na temat pandemii COVID-19 – 25 maja 2022 r., Światowa Organizacja Zdrowia.

³⁴ Sprawozdanie specjalne 13/2022.

Kontakt

EUROPEJSKI TRYBUNAŁ OBRACHUNKOWY
12, rue Alcide De Gasperi
1615 Luksemburg
LUKSEMBURG

Tel. +352 4398-1
Formularz kontaktowy: eca.europa.eu/pl/Pages/ContactForm.aspx
Strona internetowa: eca.europa.eu
Twitter: @EUAuditors

Więcej informacji o Unii Europejskiej można znaleźć w portalu Europa (https://europa.eu).

Luksemburg: Urząd Publikacji Unii Europejskiej, 2023

PDF	ISBN 978-92-847-9198-9	ISSN 1977-5768	doi:10.2865/224415	QJ-AB-22-027-PL-N
HTML	ISBN 978-92-847-9214-6	ISSN 1977-5768	doi:10.2865/930976	QJ-AB-22-027-PL-Q

PRAWA AUTORSKIE

© Unia Europejska, 2023.

Polityka Europejskiego Trybunału Obrachunkowego w zakresie ponownego wykorzystywania dokumentów została określona w decyzji Trybunału nr 6/2019 w sprawie polityki otwartych danych oraz ponownego wykorzystywania dokumentów.

O ile nie wskazano inaczej (np. nie zamieszczono szczegółowych adnotacji o prawach autorskich), treści Europejskiego Trybunału Obrachunkowego będące własnością UE objęte są licencją Creative Commons Uznanie autorstwa 4.0 Międzynarodowe (CC BY 4.0). Oznacza to, że co do zasady ponowne wykorzystanie jest dozwolone, pod warunkiem że dokumenty zostaną odpowiednio oznaczone i zostaną wskazane dokonane w nich zmiany. W przypadku ponownego wykorzystania treści Trybunału niedozwolone jest zmienianie ich oryginalnego znaczenia albo przesłania. Trybunał nie ponosi odpowiedzialności za jakiekolwiek konsekwencje ponownego ich wykorzystania.

Jeżeli konkretna treść wskazuje na możliwą do zidentyfikowania osobę fizyczną – tak jak w przypadku zdjęć, na których widoczni są pracownicy Trybunału – lub zawiera prace stron trzecich, wymagane jest uzyskanie dodatkowego zezwolenia.

W takim przypadku uzyskane dodatkowe zezwolenie na ponowne wykorzystanie określonej treści unieważnia i zastępuje wspomniane wcześniej zezwolenie ogólne. Powinny być w nim wyraźnie wskazane wszelkie ograniczenia dotyczące wykorzystania treści.

W celu wykorzystania lub powielenia treści niebędącej własnością UE konieczne może być wystąpienie o zgodę bezpośrednio do właścicieli praw autorskich.

Oprogramowanie lub dokumenty objęte prawem własności przemysłowej, takie jak patenty, znaki towarowe, wzory użytkowe, znaki graficzne i nazwy, nie są objęte polityką Europejskiego Trybunału Obrachunkowego w zakresie ponownego wykorzystywania.

Na stronach internetowych instytucji Unii Europejskiej dostępnych w domenie europa.eu zamieszczane są odsyłacze do stron zewnętrznych. Trybunał nie ma kontroli nad ich zawartością i w związku z tym zachęca użytkowników, aby we własnym zakresie zapoznali się z polityką ochrony prywatności i polityką w zakresie praw autorskich obowiązującymi na tych stronach.

Wykorzystywanie znaku graficznego Europejskiego Trybunału Obrachunkowego

Znak graficzny Europejskiego Trybunału Obrachunkowego nie może być wykorzystywany bez uprzedniej zgody Trybunału.

JAK SKONTAKTOWAĆ SIĘ Z UE

Osobiście
W całej Unii Europejskiej istnieje kilkaset centrów Europe Direct. Adres najbliższego centrum można znaleźć na stronie: european-union.europa.eu/contact-eu/meet-us_pl.

Telefonicznie lub pisemnie
Europe Direct to serwis informacyjny, który udziela odpowiedzi na pytania na temat Unii Europejskiej. Można się z nim skontaktować:

• dzwoniąc pod bezpłatny numer telefonu: 00 800 6 7 8 9 10 11 (niektórzy operatorzy mogą naliczać opłaty za te połączenia),
• dzwoniąc pod standardowy numer telefonu: +32 22999696,
• za pomocą formularza: european-union.europa.eu/contact-eu/write-us_pl.

WYSZUKIWANIE INFORMACJI O UE

Online
Informacje o Unii Europejskiej są dostępne we wszystkich językach urzędowych UE w portalu Europa (european-union.europa.eu).

Publikacje UE
Publikacje UE można obejrzeć lub zamówić na stronie: op.europa.eu/pl/publications. Większą liczbę egzemplarzy bezpłatnych publikacji można otrzymać, kontaktując się z serwisem Europe Direct lub z lokalnym centrum dokumentacji europejskiej (european-union.europa.eu/contact-eu/meet-us_pl).

Prawo UE i powiązane dokumenty
Informacje prawne dotyczące UE, w tym wszystkie unijne akty prawne od 1951 r., są dostępne we wszystkich językach urzędowych UE w portalu EUR-Lex (eur-lex.europa.eu).

Otwarte dane UE
Portal data.europa.eu zapewnia dostęp do otwartych zbiorów danych pochodzących z instytucji, organów i agencji UE. Dane te można pobierać i wykorzystywać bezpłatnie, zarówno do celów komercyjnych, jak i niekomercyjnych. Portal umożliwia również dostęp do wielu zbiorów danych z krajów europejskich.