This document is an excerpt from the EUR-Lex website
Document 02019D1765-20200717
Commission Implementing Decision 2019/1765 of 22 October 2019 providing the rules for the establishment, the management and the functioning of the network of national authorities responsible for eHealth, and repealing Implementing Decision 2011/890/EU (notified under document C(2019) 7460) (Text with EEA relevance)Text with EEA relevance
Consolidated text: Prováděcí rozhodnutí Komise (EU) 2019/1765 ze dne 22. října 2019, kterým se stanoví pravidla pro zřízení, řízení a fungování sítě vnitrostátních orgánů odpovědných za elektronické zdravotnictví a zrušuje prováděcí rozhodnutí 2011/890/EU (oznámeno pod číslem C(2019) 7460) (Text s významem pro EHP)Text s významem pro EHP
Prováděcí rozhodnutí Komise (EU) 2019/1765 ze dne 22. října 2019, kterým se stanoví pravidla pro zřízení, řízení a fungování sítě vnitrostátních orgánů odpovědných za elektronické zdravotnictví a zrušuje prováděcí rozhodnutí 2011/890/EU (oznámeno pod číslem C(2019) 7460) (Text s významem pro EHP)Text s významem pro EHP
ELI: http://data.europa.eu/eli/dec_impl/2019/1765/2020-07-17
02019D1765 — CS — 17.07.2020 — 001.001
Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu
|
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2019/1765 ze dne 22. října 2019, kterým se stanoví pravidla pro zřízení, řízení a fungování sítě vnitrostátních orgánů odpovědných za elektronické zdravotnictví a zrušuje prováděcí rozhodnutí 2011/890/EU (oznámeno pod číslem C(2019) 7460) (Úř. věst. L 270 24.10.2019, s. 83) |
Ve znění:
|
|
|
Úřední věstník |
||
|
Č. |
Strana |
Datum |
||
|
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2020/1023 Text s významem pro EHP ze dne 15. července 2020, |
L 227I |
1 |
16.7.2020 |
|
PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2019/1765
ze dne 22. října 2019,
kterým se stanoví pravidla pro zřízení, řízení a fungování sítě vnitrostátních orgánů odpovědných za elektronické zdravotnictví a zrušuje prováděcí rozhodnutí 2011/890/EU
(oznámeno pod číslem C(2019) 7460)
(Text s významem pro EHP)
Článek 1
Předmět
Toto rozhodnutí stanoví pravidla nezbytná pro zřízení, řízení a fungování sítě pro elektronické zdravotnictví, jež spojuje vnitrostátní orgány odpovědné za elektronické zdravotnictví, jak je uvedeno v článku 14 směrnice 2011/24/EU.
Článek 2
Definice
1. Pro účely tohoto rozhodnutí se rozumí:
„sítí pro elektronické zdravotnictví“ dobrovolná síť spojující vnitrostátní orgány odpovědné za elektronické zdravotnictví, jež určily členské státy, která plní cíle stanovené v článku 14 směrnice 2011/24/EU;
„vnitrostátními kontaktními místy pro elektronické zdravotnictví“ organizační a technické brány pro poskytování přeshraničních informačních služeb elektronického zdravotnictví, za něž odpovídají členské státy;
„přeshraničními informačními službami elektronického zdravotnictví“ stávající služby zpracovávané prostřednictvím vnitrostátních kontaktních míst pro elektronické zdravotnictví a prostřednictvím platformy hlavních služeb vyvinuté Komisí pro účely přeshraniční zdravotní péče;
„infrastrukturou digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví“ infrastruktura, jež umožňuje poskytování přeshraničních informačních služeb elektronického zdravotnictví prostřednictvím vnitrostátních kontaktních míst pro elektronické zdravotnictví a evropské platformy hlavních služeb. Tato infrastruktura zahrnuje jak obecné služby definované v čl. 2 odst. 2 písm. e) nařízení (EU) č. 283/2014, jež vyvinuly členské státy, tak i platformu hlavních služeb definovanou v čl. 2 odst. 2 písm. d) uvedeného nařízení, kterou vyvinula Komise.
„ostatními sdílenými evropskými službami elektronického zdravotnictví“ digitální služby, jež mohou být vyvinuty v rámci sítě pro elektronické zdravotnictví a členské státy je mohou sdílet;
„modelem řízení“ soubor pravidel pro určení orgánů podílejících se na rozhodovacích postupech týkajících se infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví nebo jiné sdílené evropské služby elektronického zdravotnictví vyvinuté v rámci sítě pro elektronické zdravotnictví a také popis těchto postupů;
„uživatelem aplikace“ osoba vlastnící inteligentní zařízení, která si stáhla a má spuštěnou schválenou mobilní aplikaci pro vysledování kontaktů a varování;
„vysledováním kontaktů“ opatření provedená pro vysledování osob, které byly vystaveny zdroji vážné přeshraniční zdravotní hrozby ve smyslu čl. 3 písm. c) rozhodnutí Evropského parlamentu a Rady č. 1082/2013/EU ( 1 );
„vnitrostátní mobilní aplikací pro vysledování kontaktů a varování“ softwarová aplikace schválená na vnitrostátní úrovni, která běží na inteligentních zařízeních, zejména chytrých telefonech, které jsou obvykle navrženy k rozsáhlé a cílené interakci s webovými zdroji, která zpracovává data o vzájemném přiblížení a další kontextuální informace shromážděné pomocí mnoha senzorů nalézajících se v inteligentních zařízeních za účelem vysledování kontaktů s osobami nakaženými virem SARS-CoV-2 a varování osob, které mohly být viru SARS-CoV-2 vystaveny. Tyto mobilní aplikace jsou schopny zjistit přítomnost jiných zařízení používajících Bluetooth a vyměňovat si informace s backendovými servery s využitím internetu;
„federační branou“ síťová brána provozovaná Komisí prostřednictvím zabezpečeného IT nástroje, která přijímá, ukládá a zpřístupňuje minimální soubory osobních údajů mezi backendovými servery členských států za účelem zajištění interoperability vnitrostátních mobilních aplikací pro vysledování kontaktů a varování;
„klíčem“ jedinečný dočasný identifikátor uživatelů aplikace, kteří hlásí, že byli nakaženi virem SARS-CoV-2 nebo mohli být viru SARS-CoV-2 vystaveni;
„ověřením nákazy“ metoda použitá pro potvrzení nákazy virem SARS-CoV-2, zejména zda šlo o vlastní hlášení uživatele aplikace nebo zda byla nákaza potvrzena vnitrostátním zdravotnickým orgánem nebo laboratorním testem;
„zeměmi zájmu“ členský stát nebo členské státy, v nichž uživatel aplikace pobýval v průběhu 14 dní před datem odeslání klíčů a v nichž si stáhl schválenou vnitrostátní mobilní aplikaci pro vysledování kontaktů a varování, anebo do nichž cestoval;
„zemí původu klíčů“ členský stát, kde se nachází backendový server, který odeslal klíče do federační brány;
„údaji z protokolů“ automatické záznamy aktivity v souvislosti s výměnou údajů a přístupem k údajům zpracovaným prostřednictvím federační brány, které uváděj zejména druh činnosti zpracování, datum a čas činnosti zpracování a identifikátor osoby zpracovávající údaje.
2. Odpovídajícím způsobem se použijí definice v čl. 4 odst. 1, 2, 7 a 8 nařízení (EU) 2016/679.
Článek 3
Členství v síti pro elektronické zdravotnictví
1. Členy sítě pro elektronické zdravotnictví jsou orgány členských států odpovědné za elektronické zdravotnictví, jmenované členskými státy zapojenými do sítě pro elektronické zdravotnictví.
2. Členské státy, jež se chtějí do sítě pro elektronické zdravotnictví zapojit, oznámí Komisi písemně:
rozhodnutí zapojit se do sítě pro elektronické zdravotnictví;
vnitrostátní orgán odpovědný za elektronické zdravotnictví, jenž se stane členem sítě pro elektronické zdravotnictví, a jméno zástupce a jeho náhradníka.
3. Členové oznámí Komisi písemně:
rozhodnutí přestat se podílet na síti pro elektronické zdravotnictví;
jakékoli změny informací uvedených v odst. 2 písm. b).
4. Komise zpřístupní veřejnosti seznam členů sítě pro elektronické zdravotnictví.
Článek 4
Činnosti sítě pro elektronické zdravotnictví
1. Při plnění cíle uvedeného v čl. 14 odst. 2 písm. a) směrnice 2011/24/EU může síť pro elektronické zdravotnictví zejména:
usnadňovat větší interoperabilitu vnitrostátních systémů informačních a komunikačních technologií a přeshraniční přenositelnost elektronických zdravotních údajů v oblasti přeshraniční zdravotní péče;
poskytovat členským státům ve spolupráci s dalšími příslušnými orgány dohledu pokyny týkající se sdílení zdravotních údajů mezi členskými státy a posilovat přístup občanů k vlastním zdravotním údajům a jejich sdílení;
poskytovat členským státům pokyny a usnadňovat výměnu osvědčených postupů týkajících se rozvoje různých digitálních zdravotnických služeb, jako je telemedicína, mobilní zdravotnictví, nebo nových technologií v oblasti dat velkého objemu a umělé inteligence, s přihlédnutím k probíhajícím opatřením na úrovni EU;
poskytovat členským státům pokyny, pokud jde o podporu propagace zdraví, prevence nemocí a lepšího poskytování zdravotní péče prostřednictvím lepšího využívání zdravotních údajů a zlepšováním digitálních dovedností pacientů a zdravotnických pracovníků;
poskytovat členským státům pokyny a usnadňovat dobrovolnou výměnu osvědčených postupů týkajících se investic do digitální infrastruktury;
poskytovat členským státům ve spolupráci s dalšími příslušnými subjekty a zúčastněnými stranami pokyny ohledně nezbytných případů použití klinické interoperability a nástrojů k jejímu dosažení;
poskytovat členským státům pokyny ohledně bezpečnosti infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví nebo jiných sdílených evropských služeb elektronického zdravotnictví vyvinutých v rámci sítě pro elektronické zdravotnictví, s přihlédnutím k právním předpisům a dokumentům vypracovaným na úrovni Unie, zejména v oblasti bezpečnosti, a také doporučení v oblasti kybernetické bezpečnosti v úzké spolupráci se skupinou pro spolupráci v oblasti bezpečnosti sítí a informačních systémů a s Agenturou Evropské unie pro bezpečnost sítí a informací a případně s vnitrostátními orgány;
poskytovat členským státům pokyny ohledně přeshraniční výměny osobních údajů přes federační bránu mezi vnitrostátními mobilními aplikacemi pro vysledování kontaktů a varování.
2. Při vypracovávání pokynů týkajících se účinných metod umožňujících využívání lékařských informací pro veřejné zdraví a výzkum podle čl. 14 odst. 2 písm. b) bodu ii) směrnice 2011/24/EU přihlíží síť pro elektronické zdravotnictví k pokynům přijatým Evropskou radou pro ochranu údajů a případně s ní vede konzultace. Tyto pokyny se mohou rovněž týkat informací vyměňovaných prostřednictvím infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví nebo jiné společné evropské služby elektronického zdravotnictví.
Článek 5
Fungování sítě pro elektronické zdravotnictví
1. Síť pro elektronické zdravotnictví přijme prostou většinou svých členů svůj jednací řád.
2. Síť pro elektronické zdravotnictví sítě přijme víceletý pracovní program a hodnotící nástroj pro provádění tohoto programu.
3. Pro splnění svých úkolů může síť pro elektronické zdravotnictví zřizovat stálé podskupiny v souvislosti se zvláštními úkoly, zejména v souvislosti s infrastrukturou digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví nebo s jinými společnými evropskými službami elektronického zdravotnictví vyvinutými v rámci sítě pro elektronické zdravotnictví.
4. Síť pro elektronické zdravotnictví může rovněž zřídit dočasné podskupiny, včetně odborníků na přezkoumání konkrétních otázek na základě mandátu definovaného samotnou sítí pro elektronické zdravotnictví. Tyto podskupiny budou rozpuštěny, jakmile svůj mandát splní.
5. Pokud se členové sítě pro elektronické zdravotnictví rozhodnou zintenzivnit spolupráci v některých oblastech, na které se vztahují úkoly sítě pro elektronické zdravotnictví, měly by se dohodnout na pravidlech takové spolupráce a zavázat se k jejich dodržování.
6. Síť pro elektronické zdravotnictví při plnění svých cílů úzce spolupracuje se společnými akcemi na podporu činností sítě pro elektronické zdravotnictví, pokud takové společné akce existují, se zúčastněnými stranami nebo jinými dotčenými orgány či podpůrnými mechanismy a zohlední výsledky dosažené v rámci těchto činností.
7. Síť pro elektronické zdravotnictví vypracuje společně s Komisí modely řízení infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví a zapojí se do této správy tím, že:
se dohodne na prioritách infrastruktury digitálních zdravotnických služeb a bude dohlížet na jejich fungování;
vypracuje pokyny a požadavky pro provoz, včetně výběru norem používaných pro infrastrukturu digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví;
se dohodne na tom, zda by členové sítě pro elektronické zdravotnictví měli mít možnost zahájit výměnu elektronických zdravotních údajů prostřednictvím infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví za pomoci svých národních kontaktních míst pro elektronické zdravotnictví a pokračovat v ní, a to na základě splnění požadavků stanovených sítí pro elektronické zdravotnictví, jak bylo zhodnoceno během testů a auditů provedených Komisí;
schvaluje roční pracovní plán pro infrastrukturu digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví.
8. Síť pro elektronické zdravotnictví může společně s Komisí vypracovat modely řízení dalších společných evropských služeb elektronického zdravotnictví vypracovaných v rámci sítě pro elektronické zdravotnictví a podílet se na jejich řízení. Síť může spolu s Komisí rovněž stanovit priority a vypracovat pokyny pro fungování těchto společných evropských služeb elektronického zdravotnictví.
9. V jednacím řádu může být stanoveno, že se zasedání sítě pro elektronické zdravotnictví mohou jako pozorovatelé účastnit jiné země než členské státy uplatňující směrnici 2011/24/EU.
10. Členové sítě pro elektronické zdravotnictví a jejich zástupci, jakož i přizvaní odborníci a pozorovatelé musí dodržovat povinnosti profesního tajemství stanovené v článku 339 Smlouvy i bezpečnostní předpisy Komise o ochraně utajovaných skutečností EU stanovené v rozhodnutí Komise (EU, Euratom) 2015/444 ( 2 ). Pokud tyto povinnosti nedodrží, může předseda sítě pro elektronické zdravotnictví přijmout veškerá vhodná opatření stanovená v jednacím řádu.
Článek 6
Vztah mezi sítí pro elektronické zdravotnictví a Komisí
1. Komise:
se účastní a spolupředsedá zasedání sítě pro elektronické zdravotnictví spolu se zástupcem členů;
spolupracuje se sítí pro elektronické zdravotnictví a poskytuje jí podporu v souvislosti s jejími činnostmi;
poskytuje síti pro elektronické zdravotnictví služby sekretariátu;
rozvíjí, provádí a spravuje příslušná technická a organizační opatření týkající se hlavních služeb infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví;
podporuje síť pro elektronické zdravotnictví při schvalování technického a organizačního souladu vnitrostátních kontaktních míst pro elektronické zdravotnictví s požadavky na přeshraniční výměnu zdravotních údajů tím, že poskytuje a provádí nezbytné testy a audity. Auditorům Komise mohou být nápomocni odborníci z členských států;
vyvíjí, zavádí a zachovává vhodná technická a organizační opatření související s bezpečností přenosu a hostováním osobních údajů ve federační bráně za účelem zajištění interoperability vnitrostátních mobilních aplikací pro vysledování kontaktů a varování;
podporuje síť pro elektronické zdravotnictví při schvalování technického a organizačního souladu vnitrostátních orgánů s požadavky na přeshraniční výměnu osobních údajů ve federační bráně tím, že poskytuje a provádí nezbytné testy a audity. Auditorům Komise mohou být nápomocni odborníci z členských států.
2. Komise se může účastnit zasedání podskupin sítě pro elektronické zdravotnictví.
3. Komise může síť pro elektronické zdravotnictví konzultovat v záležitostech týkajících se elektronického zdravotnictví na úrovni Unie a výměny osvědčených postupů v oblasti elektronického zdravotnictví.
4. Komise zpřístupní veřejnosti informace o činnostech, jimž se síť pro elektronické zdravotnictví věnuje.
Článek 7
Ochrana osobních údajů zpracovávaných prostřednictvím infrastruktury digitálních služeb pro elektronické zdravotnictví
1. Členské státy zastoupené příslušnými vnitrostátními orgány nebo jinými určenými subjekty se považují za správce osobních údajů, které zpracovávají prostřednictvím infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví, a jasně a transparentně určují povinnosti jednotlivých správců.
2. Komise se považuje za zpracovatele údajů, pokud jde o osobní údaje pacientů zpracovávané prostřednictvím infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví. Jakožto zpracovatel řídí Komise základní služby infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví a plní povinnosti zpracovatele stanovené v ►M1 příloha I ◄ tohoto rozhodnutí. Komise nemá přístup k osobním údajům pacientů zpracovávaným prostřednictvím infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví.
3. Komise je považována za správce zpracovávání osobních údajů nezbytného pro udělování a správu přístupových práv k hlavním službám infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví. Jedná se o kontaktní údaje uživatelů, včetně jejich jména, příjmení a e-mailové adresy a organizace, k níž přísluší.
Článek 7a
Přeshraniční výměna údajů mezi vnitrostátními mobilními aplikacemi pro vysledování a varování přes federační bránu
1. Pokud se osobní údaje vyměňují přes federační bránu, zpracování se omezí na účely usnadnění interoperability vnitrostátních mobilních aplikací pro vysledování kontaktů a varování v rámci federační brány a kontinuitu vysledování kontaktů v přeshraničním kontextu.
2. Osobní údaje uvedené v odstavci 3 se přenášejí do federační brány v pseudonymizovaném formátu.
3. Pseudonymizované osobní údaje vyměňované přes federační bránu a zpracovávané ve federační bráně zahrnují pouze tyto informace:
klíče přenášené vnitrostátními mobilními aplikacemi pro vysledování kontaktů a varování do 14 dnů před datem odeslání klíčů;
údaje z protokolů související s klíči v souladu s protokolem technických specifikací používaným v zemi původu klíčů;
ověření nákazy;
země zájmu a zemi původu klíčů.
4. Určené vnitrostátní orgány nebo úřady zpracovávající osobní údaje ve federační bráně jsou společnými správci údajů zpracovávaných ve federační bráně. Příslušné odpovědnosti společných správců jsou rozděleny v souladu s přílohou II. Každý členský stát, který má zájem o účast v přeshraniční výměně údajů mezi vnitrostátními mobilními aplikacemi pro vysledování kontaktů a varování, uvědomí předem Komisi o svém záměru a uvede vnitrostátní orgán nebo úřad, který určil jako odpovědného správce.
5. Komise je zpracovatelem osobních údajů zpracovávaných v rámci federační brány. Jako zpracovatel zajistí Komise bezpečnost zpracování, včetně přenosu a hostování osobních údajů, ve federační bráně a plní povinnosti zpracovatele stanovené v příloze III.
6. Komise a vnitrostátní orgány s oprávněním k přístupu do federační brány pravidelně testují, posuzují a hodnotí účinnost technických a organizačních opatření pro zajištění bezpečnosti zpracování osobních údajů ve federační bráně.
7. Aniž je dotčeno rozhodnutí společných správců ukončit zpracování ve federační bráně, provoz federační brány se deaktivuje nejpozději 14 dnů poté, co všechny připojené vnitrostátní mobilní aplikace pro vysledování kontaktů a varování přestanou zasílat klíče přes federační bránu.
Článek 8
Výdaje
1. Osoby podílející se na činnostech sítě pro elektronické zdravotnictví nejsou Komisí za výkon své funkce odměňováni.
2. Cestovné a náklady na pobyt vzniklé účastníkům v souvislosti s činnostmi sítě pro elektronické zdravotnictví jsou hrazeny Komisí v souladu s předpisy platnými v rámci Komise o úhradě výdajů externích odborníků pozvaných na zasedání Komise. Tyto výdaje se hradí v mezích disponibilních prostředků, které jsou přiděleny v rámci ročního postupu pro přidělování finančních prostředků.
Článek 9
Zrušení
Prováděcí rozhodnutí 2011/890/EU se zrušuje. Odkazy na zrušené rozhodnutí se považují za odkazy na toto rozhodnutí.
Článek 10
Určení
Toto rozhodnutí je určeno členským státům.
PŘÍLOHA I
Povinnosti komise jakožto zpracovatele údajů pro infrastrukturu digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví
Komise:
Vytváří a zajišťuje bezpečnou a spolehlivou komunikační infrastrukturu, která propojuje sítě členů sítě pro elektronické zdravotnictví zapojené do infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví (dále jen „ústřední zabezpečená komunikační infrastruktura“). Za účelem plnění svých povinností může Komise využívat služeb třetích stran. Komise zajistí, aby se na tyto třetí strany vztahovaly stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny v tomto rozhodnutí.
Konfiguruje část ústřední zabezpečené komunikační infrastruktury tak, aby si národní kontaktní místa pro elektronické zdravotnictví mohla vyměňovat informace bezpečně, spolehlivě a účinně.
Komise zpracovává osobní údaje na základě doložených pokynů správců.
Přijme veškerá organizační, fyzická a logická bezpečnostní opatření pro údržbu ústřední zabezpečené komunikační infrastruktury. Za tímto účelem Komise:
určí odpovědný subjekt pro řízení bezpečnosti na úrovni ústřední zabezpečené komunikační infrastruktury, sdělí správcům údajů jeho kontaktní údaje a zajistí jeho dostupnost pro reakci na bezpečnostní hrozby;
nese odpovědnost za bezpečnost ústřední zabezpečené komunikační infrastruktury;
zajistí, aby se na všechny osoby, kterým je udělen přístup do ústřední zabezpečené komunikační infrastruktury, vztahovala smluvní, profesionální nebo zákonná povinnost zachování důvěrnosti;
zajistí, aby personál, který má přístup k utajovaným informacím, splňoval příslušná kritéria na prověrku a zachování důvěrnosti.
Přijme veškerá nezbytná bezpečnostní opatření, aby nedošlo k ohrožení řádného fungování domén druhé strany. Za tímto účelem zavede Komise zvláštní postupy týkající se připojení k ústřední zabezpečené komunikační infrastruktuře. Tyto informace zahrnují:
postup posuzování rizik za účelem určení a odhadu možných hrozeb pro systém;
audit a přezkum s cílem:
zkontrolovat soulad mezi zaváděnými bezpečnostními opatřeními a bezpečnostní politikou v aplikaci;
pravidelně kontrolovat integritu souborů systémů, bezpečnostní parametry a udělená oprávnění;
monitorovat případy narušení bezpečnosti a neoprávněného vniknutí;
provést změny, aby se odstranily stávající nedostatky v zabezpečení, a
vymezit podmínky, za nichž lze povolit provádění nezávislých auditů, a to i na žádost správců, a přispět k němu, včetně inspekcí, a přezkumů bezpečnostních opatření;
změnu kontrolního postupu, pokud jde o dokumentaci a měření dopadu změny před jejím provedením, a informování národních kontaktních míst pro elektronické zdravotnictví o jakýchkoli změnách, které mohou ovlivnit komunikaci s ostatními vnitrostátními infrastrukturami a/nebo bezpečnost těchto infrastruktur;
postup údržby a opravy za účelem stanovení pravidel a podmínek, jež je třeba dodržet, pokud by se měla provést údržba a/nebo oprava zařízení;
postup pro bezpečnostní incidenty s cílem definovat postupy hlášení a eskalace, neprodleně informovat odpovědné vnitrostátní správní orgány, jakož i evropského inspektora ochrany údajů o jakémkoli narušení bezpečnosti, a stanovit disciplinární postup pro řešení narušení bezpečnosti.
Přijme fyzická a/nebo logická bezpečnostní opatření pro zařízení, v nichž se nachází vybavení ústřední zabezpečené komunikační infrastruktury, a pro kontroly přístupu k logickým údajům a zabezpečení. Za tímto účelem Komise:
prosazuje fyzickou bezpečnost s cílem vytvořit rozlišená bezpečnostní pásma a umožnit odhalování případů porušení předpisů;
kontroluje přístup do zařízení a vede registr návštěvníků pro účely monitorování;
zajistí, aby externí osoby, jimž byl udělen přístup do prostor, byly doprovázeny řádně pověřenými pracovníky své příslušné organizace;
zajistí, aby zařízení nebylo možné přidat, nahradit nebo odstranit bez předchozího povolení určených odpovědných orgánů;
kontroluje přístup z a do jiných sítí propojených s ústřední zabezpečenou komunikační infrastrukturou;
zajistí, aby jednotlivci, kteří mají přístup k ústřední zabezpečené komunikační infrastruktuře, byli identifikováni a ověřeni;
přezkoumá přístupová práva související s přístupem do ústřední zabezpečené komunikační infrastruktury v případě narušení bezpečnosti, které má dopad na tuto infrastrukturu;
zachovává integritu předávaných informací prostřednictvím ústřední zabezpečené komunikační infrastruktury;
zavede technická a organizační bezpečnostní opatření, která zabrání neoprávněnému přístupu k osobním údajům;
v případě potřeby provede opatření s cílem zabránit neoprávněnému přístupu do ústřední zabezpečené komunikační infrastruktury z domény národních kontaktních míst pro elektronické zdravotnictví (tj. zablokuje umístění/IP adresu).
Podnikne kroky k ochraně své domény, včetně přerušení připojení, v případě závažného odchýlení od zásad a koncepcí v oblasti kvality nebo bezpečnosti.
Spravuje plán řízení rizik v oblasti své působnosti.
Sleduje – v reálném čase – výkonnost všech složek služby v rámci svých ústředních služeb zabezpečené komunikační infrastruktury, vypracovává pravidelné statistiky a vede záznamy.
Poskytuje podporu všem službám ústřední zabezpečené komunikační infrastruktury v angličtině 24/7 prostřednictvím telefonu, e-mailu nebo webového portálu a přijímá volání od oprávněných volajících, jimiž jsou: koordinátoři ústřední zabezpečené komunikační infrastruktury a jejich příslušné asistenční služby, projektoví referenti a osoby určené Komisí.
Podporuje správce údajů tím, že jim poskytuje informace týkající se ústřední zabezpečené komunikační infrastruktury v rámci infrastruktury digitálních zdravotnických služeb pro přeshraniční informační služby elektronického zdravotnictví, aby byly provedeny povinnosti z článků 35 a 36 nařízení (EU) 2016/679.
Zajistí, aby údaje přenášené v rámci ústřední zabezpečené komunikační infrastruktury byly šifrovány.
Přijme veškerá příslušná opatření, která zabrání tomu, aby provozovatelé ústřední zabezpečené komunikační infrastruktury měli neoprávněný přístup k přenášeným údajům.
Přijme opatření s cílem usnadnit interoperabilitu a komunikaci mezi určenými vnitrostátními příslušnými správními orgány ústřední zabezpečené komunikační infrastruktury.
PŘÍLOHA II
POVINNOSTI ZÚČASTNĚNÝCH ČLENSKÝCH STÁTŮ JAKO SPOLEČNÝCH SPRÁVCŮ FEDERAČNÍ BRÁNY PRO ÚČELY PŘESHRANIČNÍHO ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ MEZI VNITROSTÁTNÍMI MOBILNÍMI APLIKACEMI PRO VYSLEDOVÁNÍ KONTAKTŮ A VAROVÁNÍ
ODDÍL 1
Pododdíl 1
Rozdělení povinností
1) Společní správci zpracovávají osobní údaje přes federační bránu v souladu s technickými specifikacemi stanovenými síti pro elektronické zdravotnictví ( 3 ).
2) Každý správce je odpovědný za zpracování osobních údajů ve federační bráně v souladu s obecným nařízením o ochraně osobních údajů a směrnicí 2002/58/ES.
3) Každý správce zřídí kontaktní místo s funkční e-mailovou schránkou, které bude sloužit pro komunikaci mezi společnými správci a mezi společnými správci a zpracovatelem.
4) Dočasná podskupina zřízená sítí pro elektronické zdravotnictví podle čl. 5 odst. 4 bude mít za úkol zkoumat veškeré záležitosti vyplývající z interoperability vnitrostátních mobilních aplikací pro vysledování kontaktů a varování a ze společného správcovství souvisejícího zpracování osobních údajů a zprostředkovávat zasílání koordinovaných pokynů Komisi jako zpracovateli. Vedle jiných záležitostí mohou správci v rámci dočasné podskupiny pracovat na společném přístupu k uchovávání údajů v jejich vnitrostátních backendových serverech, s přihlédnutím k době uchovávání údajů stanovené pro federační bránu.
5) Pokyny zpracovateli zasílá kterékoli z kontaktních míst společných správců po dohodě s ostatními společnými správci v podskupině uvedené výše.
6) Přístup k osobním údajům uživatelů vyměňovaným ve federační bráně mohou mít pouze osoby pověřené určenými vnitrostátními orgány nebo úřady.
7) Každý určený vnitrostátní orgán nebo úřad přestává být společným správcem od data zrušení své účasti ve federační bráně. Zůstane však odpovědným za zpracování ve federační bráně, k němuž došlo před tímto zrušením.
Pododdíl 2
Povinnosti a role při vyřizování žádostí a informování subjektů údajů
1) Každý správce poskytne uživatelům své vnitrostátní mobilní aplikace pro vysledování kontaktů a varování („subjektům údajů“) informace o zpracování jejich osobních údajů ve federační bráně pro účely přeshraniční interoperability vnitrostátních mobilních aplikací pro vysledování kontaktů a varování v souladu s články 13 a 14 obecného nařízení o ochraně osobních údajů.
2) Každý správce funguje jako kontaktní místo pro uživatele své vnitrostátní mobilní aplikace pro vysledování kontaktů a varování a zpracovává žádosti týkající se výkonu práv subjektů údajů, které tito uživatelé nebo jejich zástupci předložili, v souladu s obecným nařízením o ochraně osobních údajů. Každý správce určí zvláštní kontaktní místo vyhrazené pro žádosti obdržené od subjektů údajů. Jestliže společný správce obdrží žádost od subjektu údajů, která nespadá do jeho odpovědnosti, neprodleně ji předá odpovědnému společnému správci. Společní správci si na požádání poskytují vzájemnou součinnost při vyřizování žádostí subjektů údajů a vzájemně si odpovídají neprodleně, nejpozději však do 15 dní od obdržení žádosti o součinnost.
3) Každý správce poskytne subjektům údajů obsah této přílohy včetně ujednání stanovených v bodech 1 a 2.
ODDÍL 2
Řízení bezpečnostních incidentů, včetně porušení ochrany osobních údajů
1) Společní správci si vzájemně poskytují součinnost při identifikaci a řešení všech bezpečnostních incidentů, včetně porušení ochrany osobních údajů, které souvisejí se zpracováním ve federační bráně.
2) Společní správci se zejména vzájemně informují o:
všech potenciálních nebo skutečných rizicích pro dostupnost, důvěrnost anebo integritu osobních údajů zpracovávaných ve federační bráně;
všech bezpečnostních incidentech, které souvisejí s operací zpracování ve federační bráně;
každém porušení ochrany osobních údajů, pravděpodobných důsledcích porušení ochrany osobních údajů a hodnocení rizika pro práva a svobody fyzických osob a o všech opatřeních učiněných k vyřešení porušení ochrany osobních údajů a zmírnění rizika pro práva a svobody fyzických osob;
každém narušení technických anebo organizačních ochranných opatření u operace zpracování ve federační bráně.
3) Společní správci informují o každém porušení ochrany osobních údajů v souvislosti s operací zpracování ve federační bráně Komisi, příslušné dozorové úřady a případně subjekty údajů, pokud je to požadováno, v souladu s článkem 33 a 34 nařízení (EU) 2016/679 nebo po oznámení Komise.
ODDÍL 3
Posouzení vlivu na ochranu osobních údajů
Jestliže správce potřebuje informace od jiného správce, aby splnil své povinnosti uvedené v článcích 35 a 36 obecného nařízení o ochraně osobních údajů, zašle konkrétní žádost do funkční e-mailové schránky uvedené v oddíle 1 pododdíle 1 bodě 3. Dožádaný správce vynaloží veškeré úsilí, aby tyto informace poskytl.
PŘÍLOHA III
POVINNOSTI KOMISE JAKO ZPRACOVATELE ÚDAJŮ FEDERAČNÍ BRÁNY PRO ÚČELY PŘESHRANIČNÍHO ZPRACOVÁNÍ MEZI VNITROSTÁTNÍMI MOBILNÍMI APLIKACEMI PRO VYSLEDOVÁNÍ KONTAKTŮ A VAROVÁNÍ
Komise:
Vytváří a zajišťuje bezpečnou a spolehlivou komunikační infrastrukturu, která propojuje vnitrostátní mobilní aplikace pro vysledování a varování členských států účastnících se federační brány. Za účelem splnění svých povinností jako zpracovatele údajů federační brány může Komise využívat služeb třetích stran jako dílčích zpracovatelů; Komise informuje společné správce o všech zamýšlených změnách týkajících se přijetí dalších dílčích zpracovatelů nebo jejich nahrazení, a poskytne tak správcům příležitost vyslovit vůči těmto změnám společně námitky, jak je uvedeno v příloze II oddílu 1 pododdílu 1 bodě 4. Komise zajistí, aby se na tyto dílčí zpracovatele vztahovaly stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny v tomto rozhodnutí.
Zpracovává osobní údaje pouze na základě zadokumentovaných pokynů od správců, ledaže to vyžaduje právo Unie nebo členského státu; v takovém případě Komise správce informuje o tomto právním požadavku před zpracováním, ledaže by toto právo předložení těchto informací zakazovalo z důležitých důvodů veřejného zájmu.
Zpracování Komisí zahrnuje:
ověření vnitrostátních backendových serverů podle certifikátů vnitrostátních backendových serverů;
přijetí údajů uvedených v čl. 7a odst. 3 prováděcího rozhodnutí zaslaných vnitrostátními backendovými servery poskytnutím aplikačního programovacího rozhraní, které vnitrostátním backendovým serverům umožňuje zasílat příslušné údaje;
uložení těchto údajů ve federační bráně po jejich přijetí od vnitrostátních backendových serverů;
zpřístupnění údajů vnitrostátním backendovým serverům ke stažení;
vymazání údajů, jakmile si je stáhly všechny účastnící se backendové servery, nebo 14 dnů po jejich přijetí, podle toho, co nastane dříve;
po ukončení poskytování služby vymazání všech zbývajících údajů, pokud právo Unie nebo členského státu nepožaduje uložení osobních údajů.
Zpracovatel přijme nezbytná opatření k zachování integrity zpracovávaných údajů.
Přijme veškerá nejmodernější organizační, fyzická a logická bezpečnostní opatření pro údržbu federační brány. Za tímto účelem Komise:
určí subjekt odpovědný za řízení bezpečnosti na úrovni federační brány, sdělí správcům údajů jeho kontaktní údaje a zajistí jeho dostupnost pro reakci na bezpečnostní hrozby;
nese odpovědnost za bezpečnost federační brány;
zajistí, aby se na všechny osoby, kterým je udělen přístup do federační brány, vztahovala smluvní, profesionální nebo zákonná povinnost zachování důvěrnosti.
Přijme veškerá nezbytná bezpečnostní opatření, aby nedošlo k ohrožení řádného fungování vnitrostátních backendových serverů. Za tímto účelem zavede Komise zvláštní postupy týkající se připojení backendových serverů k federační bráně. To zahrnuje:
postup posuzování rizik za účelem určení a odhadu možných hrozeb pro systém;
audit a přezkum s cílem:
zkontrolovat soulad mezi zaváděnými bezpečnostními opatřeními a příslušnou bezpečnostní politikou;
pravidelně kontrolovat integritu souborů systémů, bezpečnostní parametry a udělená oprávnění;
monitorovat případy narušení bezpečnosti a neoprávněného vniknutí;
provést změny, aby se zmírnily stávající nedostatky v zabezpečení;
povolit, a to i na žádost správců, provádění nezávislých auditů včetně inspekcí a přezkumů bezpečnostních opatření a přispět k němu, a to za podmínek, které jsou v souladu s Protokolem (č. 7) o výsadách a imunitách Evropské unie připojeným ke Smlouvě o fungování Evropské unie ( 4 );
změnu kontrolního postupu, pokud jde o dokumentaci a měření dopadu změny před jejím provedením, a informování správců o všech změnách, které mohou ovlivnit komunikaci s infrastrukturami anebo bezpečnost těchto infrastruktur;
stanovení postupu údržby a oprav za účelem stanovení pravidel a podmínek, jež je třeba dodržet, pokud by se měla provést údržba anebo oprava zařízení;
stanovení postupu pro bezpečnostní incidenty s cílem definovat postupy hlášení a eskalace, neprodleně informovat správce a evropského inspektora ochrany údajů o jakémkoli narušení bezpečnosti osobních údajů a stanovit disciplinární postup pro řešení narušení bezpečnosti.
Přijme nejmodernější fyzická anebo logická bezpečnostní opatření pro zařízení, v nichž se nachází vybavení federační brány, a pro kontroly přístupu k logickým údajům a zabezpečení. Za tímto účelem Komise:
prosazuje fyzickou bezpečnost s cílem vytvořit rozlišená bezpečnostní pásma a umožnit odhalování případů porušení předpisů;
kontroluje přístup do zařízení a vede registr návštěvníků pro účely monitorování;
zajistí, aby externí osoby, jimž byl udělen přístup do prostor, byly doprovázeny řádně pověřenými pracovníky;
zajistí, aby zařízení nebylo možné přidat, nahradit nebo odstranit bez předchozího povolení určených odpovědných orgánů;
kontroluje přístup z a do vnitrostátních backendových serverů do federační brány;
zajistí, aby jednotlivci, kteří mají přístup k federační bráně, byli identifikováni a ověřeni;
přezkoumá přístupová práva související s přístupem do federační brány v případě narušení bezpečnosti, které má dopad na tuto infrastrukturu;
zachovává integritu informací předávaných přes federační bránu;
zavede technická a organizační bezpečnostní opatření, která zabrání neoprávněnému přístupu k osobním údajům;
v případě potřeby provede opatření s cílem zabránit neoprávněnému přístupu do federační brány z domény vnitrostátních orgánů (tj.: zablokuje určení polohy/IP adresu).
Podnikne kroky k ochraně své domény, včetně přerušení připojení, v případě závažného odchýlení od zásad a koncepcí v oblasti kvality nebo bezpečnosti.
Spravuje plán řízení rizik v oblasti své působnosti.
Sleduje – v reálném čase – výkonnost všech složek služby v rámci svých služeb federační brány, vypracovává pravidelné statistiky a vede záznamy.
Poskytuje nepřetržitou podporu všem službám federační brány v angličtině prostřednictvím telefonu, e-mailu nebo webového portálu a přijímá volání od oprávněných volajících, jimiž jsou: koordinátoři federační brány a jejich příslušné asistenční služby, projektoví referenti a osoby určené Komisí.
Pomáhá správcům prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, při plnění povinnosti správců reagovat na žádosti o výkon práv subjektu údajů, jak jsou stanovena v kapitole III obecného nařízení o ochraně osobních údajů.
Podporuje správce poskytováním informací o federační bráně za účelem plnění povinností podle článků 32, 35 a 36 obecného nařízení o ochraně osobních údajů.
Zajišťuje, aby údaje zpracovávané ve federační bráně byly nesrozumitelné všem osobám, které nemají oprávnění přístupu k těmto údajům.
Přijme veškerá příslušná opatření, která zabrání tomu, aby provozovatelé federační brány měli neoprávněný přístup k předávaným údajům.
Přijme opatření s cílem usnadnit interoperabilitu a komunikaci mezi určenými správci federační brány.
Vede záznamy o činnostech zpracování prováděných za správce podle čl. 31 odst. 2 nařízení (EU) 2018/1725.
( 1 ) Rozhodnutí Evropského parlamentu a Rady č. 1082/2013/EU ze dne 22. října 2013 o vážných přeshraničních zdravotních hrozbách a o zrušení rozhodnutí č. 2119/98/ES (Úř. věst. L 293, 5.11.2013, s. 1).
( 2 ) Rozhodnutí Komise (EU, Euratom) 2015/444 ze dne 13. března 2015 o bezpečnostních pravidlech na ochranu utajovaných informací EU (Úř. věst. L 72, 17.3.2015, s. 53).
( 3 ) Zejména specifikace interoperability pro přeshraniční přenosové řetězce mezi schválenými aplikacemi ze dne 16. června 2020, k dispozici na: https://ec.europa.eu/health/ehealth/key_documents_cs#anchor0
( 4 ) Protokol (č. 7) o výsadách a imunitách Evropské unie (Úř. věst. C 326, 26.10.2012, s. 266).