EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 02019D1765-20200717
Commission Implementing Decision 2019/1765 of 22 October 2019 providing the rules for the establishment, the management and the functioning of the network of national authorities responsible for eHealth, and repealing Implementing Decision 2011/890/EU (notified under document C(2019) 7460) (Text with EEA relevance)Text with EEA relevance
Consolidated text: Решение за изпълнение (ЕС) 2019/1765 на Комисията от 22 октомври 2019 година за предвиждане на правила за учредяването, управлението и функционирането на мрежата от национални органи, отговарящи за електронното здравеопазване, и за отмяна на Решение за изпълнение 2011/890/ЕС (нотифицирано под номер С(2019) 7460) (текст от значение за ЕИП)текст от значение за ЕИП
Решение за изпълнение (ЕС) 2019/1765 на Комисията от 22 октомври 2019 година за предвиждане на правила за учредяването, управлението и функционирането на мрежата от национални органи, отговарящи за електронното здравеопазване, и за отмяна на Решение за изпълнение 2011/890/ЕС (нотифицирано под номер С(2019) 7460) (текст от значение за ЕИП)текст от значение за ЕИП
ELI: http://data.europa.eu/eli/dec_impl/2019/1765/2020-07-17
02019D1765 — BG — 17.07.2020 — 001.001
Този текст служи само за информационни цели и няма правно действие. Институциите на Съюза не носят отговорност за неговото съдържание. Автентичните версии на съответните актове, включително техните преамбюли, са версиите, публикувани в Официален вестник на Европейския съюз и налични в EUR-Lex. Тези официални текстове са пряко достъпни чрез връзките, публикувани в настоящия документ
|
РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2019/1765 НА КОМИСИЯТА от 22 октомври 2019 година за предвиждане на правила за учредяването, управлението и функционирането на мрежата от национални органи, отговарящи за електронното здравеопазване, и за отмяна на Решение за изпълнение 2011/890/ЕС (нотифицирано под номер С(2019) 7460) (ОВ L 270, 24.10.2019 г., стp. 83) |
Изменено с:
|
|
|
Официален вестник |
||
|
№ |
страница |
дата |
||
|
РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2020/1023 НА КОМИСИЯТА текст от значение за ЕИП от 15 юли 2020 година |
L 227I |
1 |
16.7.2020 |
|
РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2019/1765 НА КОМИСИЯТА
от 22 октомври 2019 година
за предвиждане на правила за учредяването, управлението и функционирането на мрежата от национални органи, отговарящи за електронното здравеопазване, и за отмяна на Решение за изпълнение 2011/890/ЕС
(нотифицирано под номер С(2019) 7460)
(текст от значение за ЕИП)
Член 1
Предмет
В настоящото решение се предвиждат необходимите правила за учредяването, управлението и функционирането на мрежата за електронно здравеопазване от националните органи, отговарящи за електронното здравеопазване, както е предвидено в член 14 от Директива 2011/24/ЕС.
Член 2
Определения
1. За целите на настоящото решение:
„мрежа за електронно здравеопазване“ означава доброволната мрежа, свързваща определените от държавите членки национални органи, които отговарят за електронното здравеопазване, и следваща целите, определени в член 14 от Директива 2011/24/ЕС;
„национални точки за контакт във връзка с електронното здравеопазване“ означава организационни и технически входове за предоставянето на трансгранични информационни услуги в областта на електронното здравеопазване, за които отговарят държавите членки;
„трансгранични информационни услуги в областта на електронното здравеопазване“ означава съществуващи услуги, обработвани чрез национални точки за контакт във връзка с електронното здравеопазване и основна платформа за услуги, разработена от Комисията за целите на трансграничното здравно обслужване;
„инфраструктура за цифрови трансгранични информационни услуги в областта на електронното здравеопазване“ означава инфраструктурата, даваща възможност за предоставяне на трансгранични информационни услуги в областта на електронното здравеопазване чрез националните точки за контакт във връзка с електронното здравеопазване и европейската основна платформа за услуги. Тази инфраструктура включва както общи услуги, определени в член 2, параграф 2, буква д) от Регламент (ЕС) № 283/2014 и разработени от държавите членки, така и основна платформа за услуги, определена в член 2, параграф 2, буква г) от същия регламент и разработена от Комисията;
„други общи европейски услуги за електронно здравеопазване“ означава цифрови услуги, които могат да се разработват в рамките на мрежата за електронно здравеопазване и да бъдат споделяни от държавите членки;
„модел за управление“ означава набор от правила за определяне на органи, участващи в процеса на вземане на решения относно инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване или относно други общи европейски услуги за електронно здравеопазване, разработени в рамките на мрежата за електронно здравеопазване, както и описание на тези процеси;
„потребител на приложение“ означава притежаващо интелигентно устройство лице, което е изтеглило и използва одобрено мобилно приложение за проследяване на контактите и предупреждаване;
„проследяване на контакти“ означава мерки, изпълнявани с цел проследяване на лицата, които са били изложени на източник на сериозна трансгранична заплаха за здравето, по смисъла на член 3, буква в) от Решение № 1082/2013/ЕС на Европейския парламент и на Съвета ( 1 );
„национално мобилно приложение за проследяване на контактите и предупреждаване“ означава одобрено на национално равнище софтуерно приложение, функциониращо върху интелигентни устройства, най-вече смартфони, в общия случай разработено за широкообхватно и целенасочено взаимодействие с уеб ресурси, което обработва данни и друга контекстуална информация, събирана от множество датчици, намиращи се в интелигентните устройства, за целите на проследяването на контактите в непосредствена близост с лица, заразени със SARS-CoV-2, и предупреждаване на лицата, които може да са били изложени на SARS-CoV-2. Тези мобилни приложения могат да откриват присъствието на други устройства, използващи Bluetooth технологията, и да обменят информация с бекенд сървъри чрез използване на интернет;
„федериран портал“ означава мрежов портал, управляван от Комисията чрез защитен ИТ инструмент, който получава, съхранява и предоставя минимален набор от лични данни между бекенд сървърите на държавите членки с цел да се гарантира оперативната съвместимост на националните мобилни приложения за проследяване на контактите и предупреждаване;
„ключ“ означава уникален ефимерен идентификатор, свързан с потребител на приложение, който съобщава, че е бил заразен със SARS-CoV-2, или който може да е бил изложен на SARS-CoV-2;
„верифициране на инфекция“ означава метод, прилаган за потвърждаване на заразяване със SARS-CoV-2, било то когато то е било съобщено от потребителя на приложението или е вследствие потвърждение от национален здравен орган или от лабораторно изследване;
„държави, представляващи интерес“ означава държавата членка или държавите членки, в която/които потребителят на приложението се е намирал през 14-те дни, предхождащи датата на качване на ключовете, и където е изтеглил одобреното национално мобилно приложение за проследяване на контактите и предупреждаване и/или е пътувал;
„държава на произход на ключовете“ означава държавата членка, в която се намира бекенд сървърът, качил ключовете във федерирания портал;
„журнални данни“ означава автоматичен запис на дейност, свързана с обмена на данни, обработвани посредством федерирания портал, а също и с достъпа до такива данни, който посочва по-специално вида на дейността по обработване, датата и времетраенето на дейността по обработване, както и идентификатора на лицето, обработващо данните.
2. Прилагат се съответно разпоредбите в член 4, точки 1, 2, 7 и 8 от Регламент (ЕС) 2016/679.
Член 3
Членство в мрежата за електронно здравеопазване
1. Членове на мрежата за електронно здравеопазване са органите на държавите членки, отговарящи за електронното здравеопазване и определени от държавите членки, които участват в мрежата за електронно здравеопазване.
2. Държавите членки, желаещи да участват в мрежата за електронно здравеопазване, уведомяват в писмена форма Комисията относно:
решението за участие в мрежата за електронно здравеопазване;
националния орган, отговарящ за електронното здравеопазване, който ще стане член на мрежата за електронно здравеопазване, както и името на представителя и това на неговия/нейния заместник.
3. Членовете уведомяват в писмена форма Комисията относно:
решението си за оттегляне от мрежата за електронно здравеопазване;
всякакви промени в информацията, посочена в параграф 2, буква б).
4. Комисията предоставя на разположение на обществеността списъка на членовете, участващи в мрежата за електронно здравеопазване.
Член 4
Дейности на мрежата за електронно здравеопазване
1. Като следва целите, посочени в член 14, параграф 2, буква а) от Директива 2011/24/ЕС, мрежата за електронно здравеопазване може, по-специално:
да допринася за по-голяма оперативна съвместимост на националните системи за информационни и комуникационни технологии и за трансгранична преносимост на електронните данни за здравословното състояние при трансграничното здравно обслужване;
да дава указания на държавите членки, в сътрудничество с други компетентни надзорни органи, във връзка с обмена на данни за здравословното състояние между държавите членки и да предоставя правомощия на гражданите за достъп и обмен на собствените им данни за здравословното състояние;
да дава указания на държавите членки и да допринася за обмена на добри практики относно разработването на различни цифрови здравни услуги, като телемедицина, мобилно здравеопазване или нови технологии в областта на големите информационни масиви и изкуствения интелект, като взема предвид настоящите дейности на равнището на Съюза;
да дава указания на държавите членки във връзка с подкрепата за насърчаване на здравето, профилактика на заболяванията и подобрено предоставяне на здравни грижи чрез по-добро използване на данните за здравословното състояние и повишаване на цифровите умения на пациентите и медицинските специалисти;
да дава указания на държавите членки и да насърчава доброволния обмен на най-добри практики относно инвестициите в цифрова инфраструктура;
да дава указания, в сътрудничество с други съответни органи и заинтересовани страни, на държавите членки относно необходимите случаи на използване за клинична оперативна съвместимост и инструментите за постигането ѝ;
да дава указания на членовете относно сигурността на инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване или относно други общи европейски услуги за електронно здравеопазване, разработени в рамките на мрежата за електронно здравеопазване, като взема предвид законодателството и документите, изготвени на равнището на Съюза, по-специално в областта на сигурността, както и препоръките в областта на киберсигурността, като работи тясно с групата за сътрудничество в областта на мрежовата и информационната сигурност и Агенцията на Европейския съюз за мрежова и информационна сигурност, както и с националните органи, когато е уместно;
дава указания на държавите членки във връзка с трансграничния обмен на лични данни посредством федерирания портал между националните мобилни приложения за проследяване на контактите и предупреждаване.
2. При изготвяне на насоките относно ефективни методи, които да позволяват използването на медицинска информация за нуждите на общественото здравеопазване и научните изследвания, както е посочено в член 14, параграф 2, буква б), точка ii) от Директива 2011/24/ЕС, мрежата за електронно здравеопазване взема предвид насоките, приети от Европейския комитет по защита на данните, и ако е целесъобразно — ги обсъжда с него. Тези насоки може да се отнасят и до информацията, обменена посредством инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване или чрез други общи европейски услуги за електронно здравеопазване.
Член 5
Функциониране на мрежата за електронно здравеопазване
1. Мрежата за електронно здравеопазване изготвя свой процедурен правилник с обикновено мнозинство от членовете си.
2. Мрежата за електронно здравеопазване приема многогодишна работна програма и инструмент за оценка на изпълнението на тази програма.
3. За изпълнение на своите задачи мрежата за електронно здравеопазване може да създаде постоянни подгрупи във връзка със специфични задачи, отнасящи се по-конкретно до инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване или до други общи европейски услуги за електронно здравеопазване, разработени в рамките на мрежата за електронно здравеопазване.
4. Мрежата за електронно здравеопазване може освен това да създаде временни подгрупи, включително с експерти за проучване на специфични въпроси въз основа на мандат, определен от самата мрежа за електронно здравеопазване. Тези подгрупи се разпускат веднага след изпълнението на мандата им.
5. Когато членовете на мрежата за електронно здравеопазване решат да задълбочат сътрудничеството си в някои области от приложното поле на задачите на мрежата, те следва да изразят съгласието си с правилата за задълбочено сътрудничество и да ги спазват.
6. При следването на своите цели мрежата за електронно здравеопазване работи в тясно сътрудничество със съвместните действия в подкрепа на дейностите на мрежата за електронно здравеопазване, когато има такива съвместни действия, със заинтересовани страни или други съответни органи или помощни механизми, като взема предвид резултатите, постигнати в рамките на тези дейности.
7. Мрежата за електронно здравеопазване изготвя, съвместно с Комисията, моделите за управление на инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване и участва в това управление, като:
приема приоритетите на инфраструктурата за цифрови услуги в областта на електронното здравеопазване и упражнява надзор върху работата по тях;
изготвя насоки и изисквания за нейната работа, включително подбора на стандартите, използвани за инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване;
одобрява дали на членовете на мрежата за електронно здравеопазване да се позволи да започнат и да продължат обмен на електронни данни за здравословното състояние посредством инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване чрез техните национални точки за контакт във връзка с електронното здравеопазване въз основа на спазването от тяхна страна на изискванията, установени от мрежата за електронно здравеопазване, съгласно резултата от проведените от Комисията тестове и одити;
одобрява годишния работен план за инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване.
8. Мрежата за електронно здравеопазване може да изготвя, съвместно с Комисията, моделите за управление на други общи европейски услуги в областта на електронното здравеопазване, разработени в рамките на мрежата за електронно здравеопазване, и да участва в тяхното управление. Мрежата може също така да определя приоритетите, съвместно с Комисията, и да изготвя насоки за работата на такива общи европейски услуги в областта на електронно здравеопазване.
9. В процедурния правилник може да се предвиди, че държави, които не са държави членки, но прилагат Директива 2011/24/ЕС, могат да участват в заседанията на мрежата за електронно здравеопазване като наблюдатели.
10. Членовете на мрежата за електронно здравеопазване и техните представители, както и поканените експерти и наблюдатели, спазват задълженията за професионална тайна, определени в член 339 от Договора, както и правилата за сигурност на Комисията относно защитата на класифицирана информация на ЕС, определени в Решение (ЕС, Евратом) 2015/444 на Комисията ( 2 ). Ако те не спазват тези задължения, председателят на мрежата за електронно здравеопазване може да предприеме всички необходими мерки, както е предвидено в процедурния правилник.
Член 6
Взаимодействие между мрежата за електронно здравеопазване и Комисията
1. Комисията:
участва във и съпредседателства заседанията на мрежата за електронно здравеопазване съвместно с представителите на членовете;
сътрудничи си със и подпомага мрежата за електронно здравеопазване във връзка с нейните дейности;
предоставя секретарски услуги за мрежата за електронно здравеопазване;
разработва, прилага и поддържа необходимите технически и организационни мерки във връзка с основните услуги на инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване;
подпомага мрежата за електронно здравеопазване при одобряване на техническото и организационното спазване от националните точки за контакт във връзка с електронното здравеопазване на изискванията за трансграничния обмен на данни за здравословното състояние, като организира и провежда необходимите тестове и одити. Експерти от държавите членки може да подпомагат одиторите на Комисията;
разработва, прилага и поддържа необходимите технически и организационни мерки във връзка със сигурността на предаването и хостването на лични данни във федерирания портал с цел да се гарантира оперативната съвместимост на националните мобилни приложения за проследяване на контактите и предупреждаване;
подпомага мрежата за електронно здравеопазване при одобряване на техническото и организационното спазване от националните органи на изискванията за трансграничния обмен на лични данни в рамките на федерирания портал, като организира и провежда необходимите тестове и одити. Експерти от държавите членки може да подпомагат одиторите на Комисията.
2. Комисията може да участва в заседанията на подгрупите на мрежата за електронно здравеопазване.
3. Комисията може да предоставя консултации на мрежата за електронно здравеопазване по въпроси във връзка с електронното здравеопазване на равнището на Съюза и обмена на най-добри практики в областта на електронното здравеопазване.
4. Комисията предоставя на разположение на обществеността информация за дейностите, извършвани от мрежата за електронно здравеопазване.
Член 7
Защита на личните данни, обработвани посредством инфраструктурата за цифрови услуги в областта на електронното здравеопазване
1. Държавите членки, представлявани от съответните национални органи или от други определени служби, се считат за администратори на личните данни, които те обработват, посредством инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване и разпределят по ясен и прозрачен начин отговорностите между администраторите.
2. Комисията се счита за обработващ личните данни на пациенти, обработвани в инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване. В качеството си на обработващ данните Комисията управлява основните услуги на инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване и спазва задълженията на обработващ лични данни, изложени в ►M1 приложение I ◄ към настоящото решение. Комисията няма достъп до личните данни на пациенти, обработвани в инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване.
3. Комисията се счита за администратор на обработването на личните данни, необходими за предоставяне и управление на права за достъп до основните услуги на инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване. Такива данни са данните за контакт с ползвателите, включително име, фамилия, електронен адрес и професионалните им отношения.
Член 7а
Трансграничен обмен на данни между националните мобилни приложения за проследяване на контактите и предупреждаване посредством федерирания портал
1. Когато се обменят лични данни посредством федерирания портал, обработването се ограничава до целите за улесняване на оперативната съвместимост на националните мобилни приложения за проследяване на контактите и предупреждаване в рамките на федерирания портал и за непрекъснатост на проследяването на контактите в трансграничен контекст.
2. Посочените в параграф 3 лични данни постъпват във федерирания портал в псевдонимизиран формат.
3. Псевдонимизираните лични данни, обменяни посредством федерирания портал и обработвани в него, включват единствено следната информация:
ключовете, предадени от националните мобилни приложения за проследяване на контактите и предупреждаване до 14 дни преди датата на качване на ключовете;
свързаните с ключовете журнални данни в съответствие с протокола за техническите спецификации, използван в държавата на произход на ключовете;
верифицирането на инфекцията;
държавите, представляващи интерес, и държавата на произход на ключовете.
4. Определените национални или официални органи, които обработват лични данни в рамките на федерирания портал, са съвместни администратори на данните, обработвани в този портал. Съответните отговорности на съвместните администратори се разпределят в съответствие с приложение II. Всяка държава членка, която желае да участва в трансграничния обмен на данни между националните мобилни приложения за проследяване на контактите и предупреждаване, преди да се присъедини уведомява Комисията за намерението си и посочва националния или официалния орган, който е бил определен за отговорен администратор.
5. Комисията изпълнява функциите на обработващ личните данни, обработвани в рамките на федерирания портал. В качеството си на обработващ лични данни Комисията гарантира сигурността на обработването, включително предаването и хостването, на лични данни в рамките на федерирания портал и изпълнява установените в приложение III задължения на обработващия лични данни.
6. Ефикасността на техническите и организационните мерки за гарантиране на сигурността на обработването на лични данни в рамките на федерирания портал редовно се подлага на тестване, анализ и оценка от страна на Комисията и на националните органи, оправомощени да имат достъп до федерирания портал.
7. Без да се засяга решението на съвместните администратори за прекратяване на обработването в рамките на федерирания портал, федерираният портал се деактивира не по-късно от 14 дни след като всички свързани национални мобилни приложения за проследяване на контактите и предупреждаване престанат да изпращат ключове посредством федерирания портал.
Член 8
Разходи
1. Лицата, които участват в дейностите на мрежата за електронно здравеопазване, не получават възнаграждение от Комисията за своите услуги.
2. Пътните и дневните разходи, направени от участниците в дейностите на мрежата за електронно здравеопазване, се възстановяват от Комисията в съответствие с действащите разпоредби в рамките на Комисията за възстановяване на разходи, понесени от лица извън Комисията, които са поканени да участват в заседания в качеството си на експерти. Тези разходи се възстановяват в рамките на наличните бюджетни кредити, отпуснати по годишната процедура за разпределение на ресурсите.
Член 9
Отмяна
Решение за изпълнение 2011/890/ЕС се отменя. Позовавания на отмененото решение се тълкуват като позовавания на настоящото решение.
Член 10
Адресати
Адресати на настоящото решение са държавите членки.
ПРИЛОЖЕНИЕ I
Отговорности на Комисията като обработващ данните за инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване
Комисията:
Създава и обезпечава сигурна и надеждна комуникационна инфраструктура за взаимосвързаност между мрежите на членовете на мрежата за електронно здравеопазване, участващи в инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване („Централна сигурна комуникационна инфраструктура“). За изпълнението на своите задължения Комисията може да включи трети страни. Комисията гарантира, че за тези трети страни са в сила същите задължения за защита на личните данни, каквито са посочени в настоящото решение.
Конфигурира част от Централната сигурна комуникационна инфраструктура по такъв начин, че националните точки за контакт за електронно здравеопазване да могат да обменят информация сигурно, надеждно и ефикасно.
Комисията обработва личните данни по документирани инструкции от администраторите.
Предприема всички мерки за организационната, физическата и логическата сигурност за поддържане на Централната сигурна комуникационна инфраструктура. За тази цел Комисията:
определя отговорен субект за управлението на сигурността на равнището на Централната сигурна комуникационна инфраструктура, предава на администраторите на данни информацията за връзка с него и осигурява готовността му да реагира на заплахи за сигурността;
поема отговорността за сигурността на Централната сигурна комуникационна инфраструктура;
гарантира, че всички физически лица, на които е предоставен достъп до Централната сигурна комуникационна инфраструктура, са обвързани с договорно, професионално или законоустановено задължение за поверителност;
гарантира, че персоналът, който има достъп до класифицирана информация, отговаря на съответните критерии за такова разрешение и за поверителност.
Предприема всички необходими мерки за сигурност, така че да не се допусне компрометиране на безпрепятственото функциониране на другите домейни. За тази цел Комисията въвежда специалните процедури за установяване на връзка с Централната сигурна комуникационна инфраструктура. Тази информация включва:
процедура за оценка на риска, чрез която да се набележат и преценят потенциалните заплахи за системата;
процедура за одит и преглед с цел:
проверка на съответствието между приложените мерки за сигурност и действащата политика за сигурност;
редовен контрол на ненарушимостта на системните файлове, параметрите за сигурност и дадените разрешения;
мониторинг за откриване на нарушения на сигурността и нежелани влизания;
въвеждане на промени за избягване на съществуващи слабости на сигурността; и
определяне на условията за даване на разрешение, включително по искане на администраторите на данни, и принос за извършването на независими одити, включително проверки, и прегледи на мерките за сигурност.
промяна на процедурата за контрол с цел документиране и измерване на въздействието на промяната преди нейното въвеждане и редовно информиране на националните точки за контакт за електронно здравеопазване за всякакви промени, които могат да засегнат комуникацията със и/или сигурността на другите национални инфраструктури;
процедура за поддържане и поправка за уточняване на правилата и условията, които да се спазват при необходимост от извършване на поддържане и/или поправка на оборудване;
процедура за инцидент, свързан със сигурността, за определяне на схема за докладване и ескалация, незабавно уведомяване на отговорната национална администрация, както и на Европейския надзорен орган по защита на данните, за всяко нарушение на сигурността и определяне на дисциплинарен процес за разглеждане на нарушения на сигурността.
Предприема мерки за физическата и/или логическата сигурност на съоръженията, в които е поместено оборудването на Централната сигурна комуникационна инфраструктура, и за проверките на достъпа до логичните данни сигурността. За тази цел Комисията:
налага физическа сигурност за установяване на отличителни периметри на сигурност и предоставяне на възможност за откриване на нарушения;
контролира достъпа до съоръженията и поддържа регистър на посетители за проследяване;
осигурява придружаване на външни хора, получили достъп до помещенията, от служители, които имат необходимото разрешение от съответната организация;
гарантира, че не може да бъде добавено, заменено или премахнато оборудване без предварително разрешение на определените отговорни органи;
контролира достъпа от и до друга(и) мрежа(и), взаимносвързана(и) с Централната сигурна комуникационна инфраструктура;
осигурява идентифициране и удостоверяване на автентичността на физическите лица, които имат достъп до Централната сигурна комуникационна инфраструктура;
извършва преглед на правата за разрешаване на достъп до Централната сигурна комуникационна инфраструктура при нарушение на сигурността, което засяга тази инфраструктура;
запазва ненарушимостта на информацията, предадена чрез Централната сигурна комуникационна инфраструктура;
въвежда мерки за техническата и организационната сигурност с цел предотвратяване на неразрешен достъп до лични данни;
въвежда, когато е необходимо, мерки за блокиране на неразрешен достъп до Централната сигурна комуникационна инфраструктура от домейна на националните точки за контакт за електронно здравеопазване (т.е.: Block a location/IP address).
Предприема стъпки за защита на своя домейн, включително прекъсване на връзките, при значително отклонение от принципите и концепциите за качество или сигурност.
Поддържа план за управление на риска в своята област на отговорност.
Следи — в реално време — работата на всички компоненти на услугите на своята Централна сигурна комуникационна инфраструктура, изготвя редовно статистическа информация и води отчет.
Предоставя подкрепа за всички услуги на Централната сигурна комуникационна инфраструктура на английски език 24 часа в денонощието, 7 дни седмично, по телефона, електронната поща или чрез уеб портал и приема обаждания от оправомощени субекти: координаторите на Централната сигурна комуникационна инфраструктура и съответните им информационни бюра, администраторите на проекти и определените от Комисията лица.
Подпомага администраторите, като предоставя информация на инфраструктурата за цифрови трансгранични информационни услуги в областта на електронното здравеопазване относно Централната сигурна комуникационна инфраструктура с цел изпълняване на задълженията по членове 35 и 36 от Регламент (ЕС) 2016/679.
Осигурява криптирането на данните, пренасяни в рамките на Централната сигурна комуникационна инфраструктура.
Предприема всички важни мерки за предотвратяване на неразрешен достъп на операторите на Централната сигурна комуникационна инфраструктура до пренасяните данни.
Предприема мерки за по-голяма оперативна съвместимост и по-добра комуникация между определените национални компетентни администрации на Централната сигурна комуникационна инфраструктура.
ПРИЛОЖЕНИЕ II
ОТГОВОРНОСТИ НА УЧАСТВАЩИТЕ ДЪРЖАВИ ЧЛЕНКИ КАТО СЪВМЕСТНИ АДМИНИСТРАТОРИ НА ФЕДЕРИРАНИЯ ПОРТАЛ ЗА ЦЕЛИТЕ НА ТРАНСГРАНИЧНОТО ОБРАБОТВАНЕ НА ДАННИ МЕЖДУ НАЦИОНАЛНИТЕ МОБИЛНИ ПРИЛОЖЕНИЯ ЗА ПРОСЛЕДЯВАНЕ НА КОНТАКТИTE И ПРЕДУПРЕЖДАВАНЕ
РАЗДЕЛ 1
Подраздел 1
Разпределение на отговорностите
1) Съвместните администратори обработват лични данни посредством федерирания портал в съответствие с техническите спецификации, определени от мрежата за електронно здравеопазване ( 3 ).
2) Всеки администратор отговаря за обработването на лични данни в рамките на федерирания портал в съответствие с Общия регламент относно защитата на данните и Директива 2002/58/ЕО.
3) Всеки администратор създава точкa за контакт с функционална пощенска кутия, която ще служи за връзка както между самите съвместни администратори, така и между съвместните администратори и обработващия данните.
4) В съответствие с член 5, параграф 4 мрежата за електронно здравеопазване създава временна подгрупа, натоварена с разглеждането на всякакви въпроси, имащи отношение към оперативната съвместимост на националните мобилни приложения за проследяване на контактите и предупреждаване и от съвместното администриране на свързаното с нея обработване на лични данни, както и към подпомагането координацията на указанията, предавани на Комисията в качеството ѝ на обработващ данните. Наред с други въпроси, в рамките на временната подгрупа администраторите могат да работят по постигането на общ подход по отношение на съхраняването на данни на техните национални бекенд сървъри, като се отчита предвиденият в рамките на федерирания портал период за съхраняване на данни.
5) Указанията за обработващия данните се изпращат от точката за контакт на който и да е от съвместните администратори, съгласувано с останалите съвместни администратори от гореупоменатата подгрупа.
6) Само лица, оправомощени от определените национални или официални органи, могат да имат достъп до личните данни на потребители, обменяни в рамките на федерирания портал.
7) Всеки определен национален орган или официален орган престава да бъде съвместен администратор от датата на оттегляне на участието си във федерирания портал. Той обаче продължава да носи отговорност за обработването на данни в рамките на федерирания портал, извършено преди оттеглянето му.
Подраздел 2
Отговорности и роли във връзка с информирането на субектите нa данни и разглеждането на подадени от тях искания
1) В съответствие с членове 13 и 14 от Общия регламент относно защитата на данните всеки администратор предоставя на потребителите на неговите национални мобилни приложения за проследяване на контактите и предупреждаване („субектите на данни“) информация относно обработването на техните лични данни в рамките на федерирания портал за целите на трансграничната оперативна съвместимост на националните мобилни приложения за проследяване на контакти и предупреждаване.
2) Всеки администратор действа като точка за контакт за потребителите на неговото национално мобилно приложение за проследяване на контактите и предупреждаване и разглежда отправени от тези потребители или от техни представители искания, свързани с упражняването на правата на субектите на данни съгласно Общия регламент относно защитата на данните. Всеки администратор определя специална точка за контакт, специализирана в разглеждането на искания, отправени от субектите на данни. Ако съвместен администратор получи искане от субект на данни, което не попада в неговата компетентност, той незабавно го препраща на компетентния съвместен администратор. При поискване съвместните администратори взаимно се подпомагат при разглеждането на искания на субекти на данни и отговарят един на друг без ненужно забавяне, но при всички случаи не по-късно от 15 дни от получаването на искане за помощ.
3) Всеки администратор довежда до знанието на субектите на данни съдържанието на настоящото приложение, включително разпоредбите по точки 1 и 2.
РАЗДЕЛ 2
Управление на инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни
1) Съвместните администратори взаимно се подпомагат при идентифицирането и реагирането при всякакви инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни, свързани с обработването на данни в рамките на федерирания портал.
2) По-специално съвместните администратори взаимно се уведомяват за:
всички потенциални или действителни рискове за наличността, поверителността и/или цялостността на личните данни, които се обработват в рамките на федерирания портал;
всякакви инциденти, свързани със сигурността, възникнали във връзка с операцията по обработване в рамките на федерирания портал;
всяко нарушение на сигурността на личните данни, вероятните последици от нарушението на сигурността на личните данни и оценката на риска за правата и свободите на физическите лица, както и за всички мерки, предприети за отстраняване на нарушението на сигурността на личните данни и намаляване на риска за правата и свободите на физическите лица;
всяко нарушение на техническите и/или организационните гаранции на операцията по обработване в рамките на федерирания портал.
3) В съответствие с членове 33 и 34 от Регламент (ЕС) 2016/679 или след уведомление от Комисията съвместните администратори съобщават на Комисията, на компетентните надзорни органи, а при наличие на такова изискване — и на субектите на данни, за всяко нарушение на сигурността на лични данни, свързано с операцията по обработване в рамките на федерирания портал.
РАЗДЕЛ 3
Оценка на въздействието по отношение на защитата на данните
Ако с оглед на изпълнението на задълженията си, определени в членове 35 и 36 от Общия регламент за защитата на данните, даден администратор се нуждае от информация от друг администратор, той изпраща конкретно искане до функционалната пощенска кутия, посочена в раздел 1, подраздел 1, точка 3). Последният полага всички усилия да предостави информацията.
ПРИЛОЖЕНИЕ III
ОТГОВОРНОСТИ НА КОМИСИЯТА КАТО ОБРАБОТВАЩ ДАННИ В РАМКИТЕ НА ФЕДЕРИРАНИЯ ПОРТАЛ ЗА ЦЕЛИТЕ НА ТРАНСГРАНИЧНОТО ОБРАБОТВАНЕ НА ДАННИ МЕЖДУ НАЦИОНАЛНИТЕ МОБИЛНИ ПРИЛОЖЕНИЯ ЗА ПРОСЛЕДЯВАНЕ НА КОНТАКТИТЕ И ПРЕДУПРЕЖДАВАНЕ
Комисията:
Създава и осигурява сигурна и надеждна комуникационна инфраструктура, която осигурява взаимосвързаността на националните мобилни приложения за проследяване на контактите и предупреждаване на държавите членки, участващи във федерирания портал. За целите на изпълнението на нейните задължения като обработващ данни в рамките на федерирания портал, Комисията може да наема трети страни като подизпълнители; Комисията информира съвместните администратори за всяка планирана промяна, свързана с добавяне или замяна на други подизпълнители, като по този начин предоставя на администраторите възможност съвместно да възразят срещу промените, в съответствие с предвиденото в приложение II, раздел 1, подраздел 1, точка 4). Комисията следи за това за тези подизпълнители да важат същите задължения за защита на личните данни като посочените в настоящото решение.
Обработва личните данни единствено въз основа на документирани инструкции от администраторите, доколкото не се изисква друго съгласно правото на Съюза или на дадена държава членка; в този случай Комисията информира администраторите за това правно изискване преди обработването, освен когато приложимото законодателство забранява предоставянето на такава информация по важни съображения, свързани с обществения интерес.
Обработката от Комисията включва:
установяване на автентичността на националните бекенд сървъри въз основа на национални сертификати за бекенд сървъри;
приемане на данните по член 7а, параграф 3 от Решението за изпълнение, качвани от националните бекенд сървъри, чрез осигуряване на приложно-програмен интерфейс, позволяващ на националните бекенд сървъри да качват съответните данни;
съхраняване на данните във федерирания портал след получаването им от националните бекенд сървъри;
предоставяне на данните за изтегляне от националните бекенд сървъри;
заличаване на данните след изтеглянето им от всички участващи бекенд сървъри или 14 дни след получаването им, в зависимост от това кое от двете се е случило по-рано;
след края на предоставянето на услугата — заличаване на всички останали незаличени данни, освен когато правото на Съюза или на съответната държава членка изисква съхраняването на личните данни.
Обработващият личните данни предприема необходимите мерки за запазване на ненарушимостта на обработваните данни.
Предприема всички най-съвременни мерки за осигуряване на организационната, физическата и логическата сигурност с оглед на поддържането на федерирания портал. За тази цел Комисията:
определя отговорен субект за управлението на сигурността на равнището на федерирания портал, предава на администраторите информацията за връзка с него и осигурява готовността му да реагира на заплахи за сигурността;
носи отговорността за сигурността на федерирания портал;
гарантира, че всички физически лица, на които е предоставен достъп до федерирания портал, са обвързани с договорно, професионално или законоустановено задължение за поверителност.
Предприема всички необходими мерки за сигурност, така че да не може да се осуети безпрепятственото функциониране на националните бекенд сървъри. За тази цел Комисията въвежда специални процедури отнасящи се до свързването на бекенд сървърите с федерирания портал. Това включва:
процедура за оценка на риска, чрез която да се набележат и преценят потенциалните заплахи за системата;
процедура за одит и контрол с цел:
проверка на съответствието между въведените мерки за сигурност и приложимата политика за сигурност;
редовен контрол на цялостността на системните файлове, на параметрите за сигурност и на дадените разрешения;
мониторинг за откриване на нарушения на сигурността и непозволен достъп;
въвеждане на промени за смекчаване на съществуващи слабости на сигурността;
да разрешава, включително по искане на администраторите, и да допринася към извършването на независими одити, включително инспекции, и прегледи на мерките за сигурност, при спазване на условията, свързани с Протокол № 7 към ДФЕС за привилегиите и имунитетите на Европейския съюз ( 4 );
промяна на процедурата за контрол с цел документиране и измерване на въздействието на конкретна промяна преди нейното въвеждане и текущо информиране на администраторите за всякакви промени, които могат да засегнат комуникацията с техните инфраструктури и/или сигурността на тези инфраструктури;
определяне на процедура за техническа поддръжка и ремонт с цел уточняване на правилата и условията, които да се спазват при необходимост от извършване на техническа поддръжка и ремонт на оборудване;
изработване на процедура за инцидентите, свързани със сигурността, с цел определяне на схема за сигнализиране и предаване на сигнала по компетентност, незабавно уведомяване на администраторите и на Европейския надзорен орган по защита на данните за всяко нарушение на сигурността на личните данни и дефиниране на дисциплинарна процедура за разглеждане на нарушения на сигурността.
Предприема най-съвременни мерки за осигуряване на физическата и/или логическата сигурност на съоръженията, хостващи оборудването на федерирания портал, както и за проверка на достъпа до логичните данни и сигурността на достъпа. За тази цел Комисията:
обезпечава физическата сигурност с цел установяване на отличителни периметри на сигурност и предоставяне на възможност за откриване на нарушения;
контролира достъпа до съоръженията и поддържа регистър на посетителите за целите на проследяването;
осигурява придружаването на външни хора, получили достъп до помещенията, от служители, които имат необходимото разрешение;
гарантира, че не може да бъде добавено, заменено или премахнато оборудване без предварително разрешение на определените отговорни органи;
контролира достъпа от националните бекенд сървъри до федерирания портал и от федерирания портал до същите;
осигурява идентифициране и удостоверяване на автентичността на физическите лица, които имат достъп до федерирания портал;
преразглежда правата за разрешаване на достъп до федерирания портал в случай на нарушение на сигурността, което засяга тази инфраструктура;
пази цялостността на информацията, предадена чрез федерирания портал;
въвежда мерки за техническата и организационната сигурност с цел предотвратяване на непозволен достъп до лични данни;
въвежда, когато е необходимо, мерки за блокиране на непозволен достъп до федерирания портал от домейна на националните органи (напр. блокиране на местоположение/IP адрес).
Предприема стъпки за защита на своя домейн, включително прекъсване на връзките, при значително отклонение от принципите и концепциите за качество или сигурност.
Поддържа план за управление на риска в своята област на отговорност.
Следи — в реално време — работата на всички компоненти на услугите на федерирания портал, изготвя редовно статистическа информация и води регистри.
Предоставя подкрепа за всички услуги на федерирания портал на английски език 24 часа в денонощието, 7 дни седмично, по телефон, по електронна поща или чрез уеб портал и приема обаждания от оправомощени субекти: координаторите на федерирания портал и съответните им бюра за техническо обслужване, администраторите на проекти и определените от Комисията лица.
Чрез подходящи технически и организационни мерки доколкото е възможно помага на администраторите да изпълняват задължението си да отговарят на искания във връзка с упражняване на правата на субектите на данни, предвидени в глава III от Общия регламент относно защитата на данните.
Оказва подкрепа на администраторите като предоставя информация относно федерирания портал с цел изпълнение на задълженията по членове 32, 35 и 36 от Общия регламент относно защитата на данните.
Гарантира, че обработваните в рамките на федерирания портал данни са неразбираеми за лице, което няма разрешение за достъп до тях.
Предприема всички подходящи мерки за предотвратяване на непозволен достъп на операторите на федерирания портал до предаваните данни.
Предприема мерки за по-висока степен на оперативна съвместимост и за по-добра комуникация между определените администратори на федерирания портал.
Поддържа регистър на дейностите по обработване, извършвани от името на администраторите в съответствие с член 31, параграф 2 от Регламент (ЕС) 2018/1725.
( 1 ) Решение № 1082/2013/ЕС на Европейския парламент и на Съвета от 22 октомври 2013 г. за сериозните трансгранични заплахи за здравето и за отмяна на Решение № 2119/98/ЕО (ОВ L 293, 5.11.2013 г., стр. 1).
( 2 ) Решение (ЕС, Евратом) 2015/444 на Комисията от 13 март 2015 г. относно правилата за сигурност за защита на класифицираната информация на ЕС (ОВ L 72, 17.3.2015 г., стр. 53).
( 3 ) Конкретно спецификациите от 16 юни 2020 г. за оперативна съвместимост за трансгранични преносни вериги между одобрени приложения са достъпни на адрес: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0.
( 4 ) Протокол № 7 за привилегиите и имунитетите на Европейския съюз (ОВ C 326, 26.10.2012 г., стр. 266).