EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020D1023

Εκτελεστική απόφαση (ΕΕ) 2020/1023 της Επιτροπής της 15ης Ιουλίου 2020 για την τροποποίηση της εκτελεστικής απόφασης (ΕΕ) 2019/1765 όσον αφορά τη διασυνοριακή ανταλλαγή δεδομένων μεταξύ των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές με σκοπό την καταπολέμηση της πανδημίας COVID-19 (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

C/2020/4934

OJ L 227I , 16.7.2020, p. 1–9 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2020/1023/oj

16.7.2020   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

LI 227/1


ΕΚΤΕΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ (ΕΕ) 2020/1023 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 15ης Ιουλίου 2020

για την τροποποίηση της εκτελεστικής απόφασης (ΕΕ) 2019/1765 όσον αφορά τη διασυνοριακή ανταλλαγή δεδομένων μεταξύ των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές με σκοπό την καταπολέμηση της πανδημίας COVID-19

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη την οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης (1), και ιδίως το άρθρο 14 παράγραφος 3,

Εκτιμώντας τα ακόλουθα:

(1)

Το άρθρο 14 της οδηγίας 2011/24/ΕΕ ανέθεσε στην Ένωση το καθήκον να υποστηρίζει και να διευκολύνει τη συνεργασία και την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών στο πλαίσιο εθελοντικού δικτύου που συνδέει τις αρμόδιες για την ηλεκτρονική υγεία εθνικές αρχές τις οποίες ορίζουν τα κράτη μέλη (στο εξής: δίκτυο eHealth).

(2)

Η εκτελεστική απόφαση (ΕΕ) 2019/1765 της Επιτροπής (2) ορίζει τους κανόνες για τη θέσπιση, τη διαχείριση και τη λειτουργία του δικτύου των εθνικών αρχών που είναι αρμόδιες για την ηλεκτρονική υγεία (eHealth). Με το άρθρο 4 της εν λόγω απόφασης ανατίθεται στο δίκτυο eHealth το καθήκον να διευκολύνει την αύξηση της διαλειτουργικότητας των εθνικών συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών και τη δυνατότητα διασυνοριακής μεταφοράς ηλεκτρονικών δεδομένων υγείας στο πλαίσιο διασυνοριακής υγειονομικής περίθαλψης.

(3)

Ενόψει της κρίσης στον τομέα της δημόσιας υγείας που έχει προκληθεί από την πανδημία COVID-19, διάφορα κράτη μέλη έχουν αναπτύξει εφαρμογές για κινητές συσκευές που υποστηρίζουν την ιχνηλάτηση επαφών και δίνουν στους χρήστες τους τη δυνατότητα να λαμβάνουν ειδοποιήσεις ώστε να προβαίνουν στις κατάλληλες ενέργειες, όπως να υποβάλλονται σε εξετάσεις ή σε αυτοαπομόνωση, σε περίπτωση πιθανής έκθεσής τους στον ιό λόγω εγγύτητας σε άλλον χρήστη αυτών των εφαρμογών, ο οποίος έχει αναφέρει θετική διάγνωση. Οι εφαρμογές αυτές βασίζονται στην τεχνολογία Bluetooth για την ανίχνευση της εγγύτητας μεταξύ των συσκευών. Δεδομένου ότι οι ταξιδιωτικοί περιορισμοί μεταξύ των κρατών μελών έχουν αρθεί από τον Ιούνιο του 2020, θα πρέπει να επιτευχθεί, μεταξύ των κρατών μελών που συμμετέχουν στο δίκτυο eHealth, μεγαλύτερη διαλειτουργικότητα των εθνικών συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών, μέσω της υλοποίησης ψηφιακής υποδομής που θα επιτρέπει τη διαλειτουργικότητα των εθνικών εφαρμογών για κινητές συσκευές, οι οποίες υποστηρίζουν την ιχνηλάτηση επαφών και την αποστολή ειδοποιήσεων.

(4)

Η Επιτροπή στηρίζει τα κράτη μέλη όσον αφορά τις προαναφερθείσες εφαρμογές για κινητές συσκευές. Στις 8 Απριλίου 2020 η Επιτροπή εξέδωσε σύσταση σχετικά με μια κοινή εργαλειοθήκη της Ένωσης για τη χρήση της τεχνολογίας και των δεδομένων με σκοπό την καταπολέμηση της κρίσης COVID-19 και την έξοδο από αυτή, ιδίως όσον αφορά εφαρμογές για φορητές συσκευές και τη χρήση ανωνυμοποιημένων δεδομένων κινητικότητας (στο εξής: σύσταση της Επιτροπής) (3). Τα κράτη μέλη που συμμετέχουν στο δίκτυο eHealth ενέκριναν, με τη στήριξη της Επιτροπής, μια κοινή εργαλειοθήκη της ΕΕ για τα κράτη μέλη σχετικά με τις εφαρμογές για κινητές συσκευές με σκοπό την υποστήριξη της ιχνηλάτησης επαφών (4), καθώς και κατευθυντήριες γραμμές διαλειτουργικότητας για εγκεκριμένες εφαρμογές ιχνηλάτησης επαφών για κινητές συσκευές στην ΕΕ (5). Στην εργαλειοθήκη αναλύονται οι εθνικές απαιτήσεις για τις εθνικές εφαρμογές ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, ιδίως ότι οι εφαρμογές αυτές θα πρέπει να είναι οικειοθελείς, να έχουν εγκριθεί από την αντίστοιχη εθνική αρχή υγείας, να προστατεύουν την ιδιωτικότητα και να απενεργοποιούνται μόλις πάψουν να είναι αναγκαίες. Σε συνέχεια των πιο πρόσφατων εξελίξεων ως προς την κρίση λόγω COVID-19, τόσο η Επιτροπή (6) όσο και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (7) εξέδωσαν κατευθύνσεις σχετικά με τις εφαρμογές για κινητές συσκευές και τα εργαλεία ιχνηλάτησης επαφών όσον αφορά την προστασία των δεδομένων. Ο σχεδιασμός των εφαρμογών για κινητές συσκευές των κρατών μελών και της ψηφιακής υποδομής που επιτρέπει τη διαλειτουργικότητα των εφαρμογών αυτών βασίζεται στην κοινή εργαλειοθήκη της ΕΕ, τις προαναφερθείσες κατευθύνσεις και τις τεχνικές προδιαγραφές που έχουν συμφωνηθεί στο πλαίσιο του δικτύου eHealth.

(5)

Προκειμένου να διευκολυνθεί η διαλειτουργικότητα των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, αναπτύχθηκε μια ψηφιακή υποδομή με τη στήριξη της Επιτροπής από τα κράτη μέλη που συμμετέχουν στο δίκτυο eHealth, που αποφάσισαν να προωθήσουν τη συνεργασία τους σ’ αυτόν τον τομέα σε οικειοθελή βάση, με τη μορφή ενός εργαλείου ΤΠ για την ανταλλαγή δεδομένων. Αυτή η ψηφιακή υποδομή αναφέρεται ως «πύλη ομοσπονδιοποίησης».

(6)

Η παρούσα απόφαση θεσπίζει διατάξεις σχετικά με τον ρόλο των συμμετεχόντων κρατών μελών και της Επιτροπής όσον αφορά τη λειτουργία της πύλης ομοσπονδιοποίησης για τη διασυνοριακή διαλειτουργικότητα των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές.

(7)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν τους χρήστες εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, η οποία πραγματοποιείται υπό την ευθύνη των κρατών μελών ή άλλων δημόσιων οργανισμών ή επίσημων φορέων τους, θα πρέπει να διενεργείται σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8) («Γενικός Κανονισμός για την Προστασία Δεδομένων») και την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9). Η επεξεργασία δεδομένων προσωπικού χαρακτήρα υπό την ευθύνη της Επιτροπής με σκοπό τη διαχείριση και την εγγύηση της ασφάλειας της πύλης ομοσπονδιοποίησης θα πρέπει να είναι σύμφωνη με τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10).

(8)

Η πύλη ομοσπονδιοποίησης θα πρέπει να συνίσταται από ασφαλή υποδομή ΤΠ που θα παρέχει μια κοινή διεπαφή, στο πλαίσιο της οποίας οι ορισθείσες εθνικές αρχές ή οι ορισθέντες επίσημοι φορείς θα μπορούν να ανταλλάσσουν ένα ελάχιστο σύνολο δεδομένων αναφορικά με επαφές με πρόσωπα που έχουν προσβληθεί από SARS-CoV-2, προκειμένου να ενημερώνονται οι άλλοι σχετικά με την πιθανή έκθεσή τους σε λοίμωξη από τον ιό και που θα προωθεί την αποτελεσματική συνεργασία στον τομέα της υγειονομικής περίθαλψης μεταξύ των κρατών μελών, διευκολύνοντας την ανταλλαγή σχετικών πληροφοριών.

(9)

Ως εκ τούτου, η παρούσα απόφαση θα πρέπει να καθορίσει τις λεπτομέρειες για τη διασυνοριακή ανταλλαγή δεδομένων εντός της ΕΕ μεταξύ των ορισθεισών εθνικών αρχών ή των ορισθέντων επίσημων φορέων μέσω της πύλης ομοσπονδιοποίησης.

(10)

Τα συμμετέχοντα κράτη μέλη, τα οποία θα εκπροσωπούνται από τις ορισθείσες εθνικές αρχές ή τους ορισθέντες επίσημους φορείς, θα καθορίζουν από κοινού τον σκοπό και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα μέσω της πύλης ομοσπονδιοποίησης και, συνεπώς, θα είναι από κοινού υπεύθυνοι επεξεργασίας. Το άρθρο 26 του γενικού κανονισμού για την προστασία δεδομένων επιβάλλει στους από κοινού υπευθύνους επεξεργασίας για πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα την υποχρέωση να καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον εν λόγω κανονισμό. Προβλέπει επίσης τη δυνατότητα οι ευθύνες αυτές να καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Κάθε ένας από τους υπευθύνους επεξεργασίας θα πρέπει να διασφαλίζει ότι η εκ μέρους του επεξεργασία στο πλαίσιο της πύλης ομοσπονδιοποίησης έχει νομική βάση σε εθνικό επίπεδο.

(11)

Η Επιτροπή, ως πάροχος τεχνικών και οργανωτικών λύσεων για την πύλη ομοσπονδιοποίησης, επεξεργάζεται ψευδωνυμοποιημένα δεδομένα προσωπικού χαρακτήρα για λογαριασμό των κρατών μελών που συμμετέχουν στην πύλη ομοσπονδιοποίησης ως από κοινού υπεύθυνοι επεξεργασίας και, συνεπώς, είναι εκτελών την επεξεργασία. Σύμφωνα με το άρθρο 28 του γενικού κανονισμού για την προστασία δεδομένων και το άρθρο 29 του κανονισμού (ΕΕ) 2018/1725, η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει την επεξεργασία. Η παρούσα απόφαση καθορίζει τους κανόνες που διέπουν την επεξεργασία από την Επιτροπή ως εκτελούντα την επεξεργασία.

(12)

Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της πύλης ομοσπονδιοποίησης, η Επιτροπή δεσμεύεται από την απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής (11).

(13)

Λαμβάνοντας υπόψη το ότι οι σκοποί για τους οποίους οι υπεύθυνοι επεξεργασίας επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές δεν απαιτούν απαραίτητα την ταυτοποίηση του υποκειμένου των δεδομένων, οι υπεύθυνοι επεξεργασίας ενδέχεται να μην είναι πάντοτε σε θέση να διασφαλίζουν την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων. Επομένως, τα δικαιώματα που αναφέρονται στα άρθρα 15 έως 20 του γενικού κανονισμού για την προστασία δεδομένων ενδέχεται να μην εφαρμόζονται όταν πληρούνται οι προϋποθέσεις του άρθρου 11 του εν λόγω κανονισμού.

(14)

Το υφιστάμενο παράρτημα της εκτελεστικής απόφασης 2019/1765 πρέπει να λάβει νέα αρίθμηση λόγω της προσθήκης δύο νέων παραρτημάτων.

(15)

Επομένως, η εκτελεστική απόφαση 2019/1765 θα πρέπει να τροποποιηθεί αναλόγως.

(16)

Λαμβανομένου υπόψη του επείγοντος χαρακτήρα της κατάστασης που συνδέεται με την πανδημία COVID-19, η παρούσα απόφαση θα πρέπει να τεθεί σε ισχύ την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

(17)

Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, ο οποίος και γνωμοδότησε στις 9 Ιουλίου 2020.

(18)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί δυνάμει του άρθρου 16 της οδηγίας 2011/24/ΕΕ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Η εκτελεστική απόφαση 2019/1765 τροποποιείται ως εξής:

1)

Στο άρθρο 2 παράγραφος 1 προστίθενται τα ακόλουθα στοιχεία ζ), η), θ), ι), ια), ιβ), ιγ), ιδ) και ιε):

«ζ)

“χρήστης της εφαρμογής”: πρόσωπο που κατέχει έξυπνη συσκευή και που έχει καταφορτώσει και θέσει σε λειτουργία εφαρμογή ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές·

η)

“ιχνηλάτηση επαφών”: μέτρα που εφαρμόζονται με σκοπό τον εντοπισμό προσώπων που έχουν εκτεθεί σε πηγή σοβαρής διασυνοριακής απειλής κατά της υγείας, κατά την έννοια του άρθρου 3 στοιχείο γ) της απόφασης αριθ. 1082/2013/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (*1)·

θ)

“εθνική εφαρμογή ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές”: εφαρμογή λογισμικού που έχει εγκριθεί σε εθνικό επίπεδο και λειτουργεί σε έξυπνες συσκευές, ιδίως έξυπνα τηλέφωνα, η οποία συνήθως έχει σχεδιαστεί για ευρεία και στοχευμένη αλληλεπίδραση με διαδικτυακούς πόρους και επεξεργάζεται δεδομένα εγγύτητας και άλλες συναφείς πληροφορίες που συλλέγονται από πολλούς αισθητήρες τους οποίους διαθέτουν οι έξυπνες συσκευές, με σκοπό την ιχνηλάτηση επαφών με πρόσωπα που έχουν προσβληθεί από τον ιό SARS-CoV-2 και την αποστολή ειδοποιήσεων σε πρόσωπα που ενδέχεται να έχουν εκτεθεί στον ιό SARS-CoV-2. Οι εν λόγω εφαρμογές για κινητές συσκευές μπορούν να ανιχνεύουν την παρουσία άλλων συσκευών που χρησιμοποιούν Bluetooth και να ανταλλάσσουν πληροφορίες με διακομιστές παρασκηνίου (backend) μέσω του διαδικτύου·

ι)

“πύλη ομοσπονδιοποίησης”: πύλη δικτύου την οποία διαχειρίζεται η Επιτροπή μέσω ασφαλούς εργαλείου ΤΠ η οποία παραλαμβάνει, αποθηκεύει και καθιστά διαθέσιμο ένα ελάχιστο σύνολο δεδομένων προσωπικού χαρακτήρα μεταξύ των διακομιστών παρασκηνίου των κρατών μελών με σκοπό τη διασφάλιση της διαλειτουργικότητας των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές·

ια)

“κλειδί”: μοναδικό προσωρινό αναγνωριστικό που σχετίζεται με χρήστη της εφαρμογής ο οποίος αναφέρει ότι έχει προσβληθεί από SARS-CoV-2 ή ο οποίος ενδέχεται να έχει εκτεθεί στον SARS-CoV-2·

ιβ)

“επαλήθευση της λοίμωξης”: η μέθοδος που εφαρμόζεται για την επιβεβαίωση της λοίμωξης με SARS-CoV-2, δηλαδή το κατά πόσον αυτή αναφέρθηκε από τον ίδιο τον χρήστη της εφαρμογής ή επιβεβαιώθηκε από εθνική αρχή υγείας ή κατόπιν εργαστηριακών εξετάσεων·

ιγ)

“χώρες ενδιαφέροντος”: το κράτος μέλος ή τα κράτη μέλη όπου βρισκόταν ο χρήστης της εφαρμογής κατά τις 14 ημέρες πριν από την ημερομηνία αναφόρτωσης των κλειδιών και όπου καταφόρτωσε την εγκεκριμένη εθνική εφαρμογή ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές και/ή στο οποίο ή στα οποία έχει ταξιδέψει ο χρήστης της εφαρμογής·

ιδ)

“χώρα προέλευσης των κλειδιών”: το κράτος μέλος όπου βρίσκεται ο διακομιστής παρασκηνίου ο οποίος αναφόρτωσε τα κλειδιά στην πύλη ομοσπονδιοποίησης·

ιε)

“δεδομένα αρχείου καταγραφής”: αυτόματη καταχώριση δραστηριότητας σχετικά με την ανταλλαγή δεδομένων που υποβάλλονται σε επεξεργασία μέσω της πύλης ομοσπονδιοποίησης και με την πρόσβαση στα δεδομένα αυτά, η οποία δείχνει, ιδίως, το είδος της δραστηριότητας επεξεργασίας, την ημερομηνία και την ώρα της δραστηριότητας επεξεργασίας και το αναγνωριστικό του προσώπου που επεξεργάζεται τα δεδομένα.

(*1)  Απόφαση αριθ. 1082/2013/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 22ας Οκτωβρίου 2013, σχετικά με σοβαρές διασυνοριακές απειλές κατά της υγείας και για την κατάργηση της απόφασης αριθ. 2119/98/ΕΚ (ΕΕ L 293 της 5.11.2013, σ. 1).»"

2)

Στο άρθρο 4 παράγραφος 1 προστίθεται το ακόλουθο στοιχείο η):

«η)

να παρέχει καθοδήγηση στα κράτη μέλη σχετικά με τη διασυνοριακή ανταλλαγή δεδομένων προσωπικού χαρακτήρα μέσω της πύλης ομοσπονδιοποίησης μεταξύ των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές.»

3)

Στο άρθρο 6 παράγραφος 1 προστίθενται τα ακόλουθα στοιχεία στ) και ζ):

«στ)

αναπτύσσει, εφαρμόζει και επικαιροποιεί κατάλληλα τεχνικά και οργανωτικά μέτρα σχετικά με την ασφάλεια της διαβίβασης και τη φιλοξενία δεδομένων προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης με σκοπό τη διασφάλιση της διαλειτουργικότητας των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές·

ζ)

στηρίζει το δίκτυο eHealth κατά τη διαπίστωση της τεχνικής και οργανωτικής συμμόρφωσης των εθνικών αρχών με τις απαιτήσεις για τη διασυνοριακή ανταλλαγή δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της πύλης ομοσπονδιοποίησης, προβλέποντας και διενεργώντας τις απαραίτητες δοκιμές και ελέγχους. Εμπειρογνώμονες των κρατών μελών μπορούν να επικουρούν τους ελεγκτές της Επιτροπής.»

4)

Το άρθρο 7 τροποποιείται ως εξής:

α)

Ο τίτλος αντικαθίσταται από την πρόταση «Προστασία των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας»·

β)

στην παράγραφο 2, η λέξη «παράρτημα» αντικαθίσταται από τις λέξεις «παράρτημα I».

5)

Παρεμβάλλεται το ακόλουθο άρθρο 7α:

«Άρθρο 7α

Διασυνοριακή ανταλλαγή δεδομένων μεταξύ των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές μέσω της πύλης ομοσπονδιοποίησης

1.   Όταν ανταλλάσσονται δεδομένα προσωπικού χαρακτήρα μέσω της πύλης ομοσπονδιοποίησης, η επεξεργασία περιορίζεται στους σκοπούς της διευκόλυνσης της διαλειτουργικότητας των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές στο πλαίσιο της πύλης ομοσπονδιοποίησης και της συνέχειας της ιχνηλάτησης επαφών σε διασυνοριακό επίπεδο.

2.   Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 3 διαβιβάζονται στην πύλη ομοσπονδιοποίησης σε ψευδωνυμοποιημένο μορφότυπο.

3.   Τα ψευδωνυμοποιημένα δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται και υποβάλλονται σε επεξεργασία στην πύλη ομοσπονδιοποίησης περιλαμβάνουν μόνο τις ακόλουθες πληροφορίες:

α)

τα κλειδιά που διαβιβάζονται από τις εθνικές εφαρμογές ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές έως και 14 ημέρες πριν από την ημερομηνία αναφόρτωσης των κλειδιών·

β)

δεδομένα αρχείου καταγραφής που συνδέονται με τα κλειδιά σύμφωνα με το πρωτόκολλο τεχνικών προδιαγραφών που χρησιμοποιείται στη χώρα προέλευσης των κλειδιών·

γ)

την επαλήθευση της λοίμωξης·

δ)

τις χώρες ενδιαφέροντος και τη χώρα προέλευσης των κλειδιών.

4.   Οι ορισθείσες εθνικές αρχές ή οι ορισθέντες επίσημοι φορείς που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης είναι από κοινού υπεύθυνοι επεξεργασίας των δεδομένων που υποβάλλονται σε επεξεργασία στην πύλη ομοσπονδιοποίησης. Οι αντίστοιχες αρμοδιότητες των από κοινού υπευθύνων επεξεργασίας κατανέμονται σύμφωνα με το παράρτημα II. Κάθε κράτος μέλος που επιθυμεί να συμμετάσχει στη διασυνοριακή ανταλλαγή δεδομένων μεταξύ των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, προτού συμμετάσχει, γνωστοποιεί στην Επιτροπή την πρόθεσή του και υποδεικνύει την εθνική αρχή ή τον επίσημο φορέα που έχει οριστεί ως αρμόδιος υπεύθυνος επεξεργασίας.

5.   Η Επιτροπή είναι ο εκτελών την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία εντός της πύλης ομοσπονδιοποίησης. Με την ιδιότητά της ως εκτελούντος την επεξεργασία, η Επιτροπή εγγυάται την ασφάλεια της επεξεργασίας, συμπεριλαμβανομένων της διαβίβασης και της φιλοξενίας, των δεδομένων προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης και συμμορφώνεται με τις υποχρεώσεις του εκτελούντος την επεξεργασία οι οποίες ορίζονται στο παράρτημα III.

6.   Η αποτελεσματικότητα των τεχνικών και οργανωτικών μέτρων για την εγγύηση της ασφάλειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης ελέγχεται, εξετάζεται και αξιολογείται σε τακτική βάση από την Επιτροπή και από τις εθνικές αρχές που είναι εξουσιοδοτημένες να προσπελαύνουν την πύλη ομοσπονδιοποίησης.

7.   Με την επιφύλαξη της απόφασης των από κοινού υπευθύνων επεξεργασίας να τερματίσουν την επεξεργασία στο πλαίσιο της πύλης ομοσπονδιοποίησης, η λειτουργία της πύλης ομοσπονδιοποίησης απενεργοποιείται το αργότερο 14 ημέρες αφού όλες οι συνδεδεμένες εθνικές εφαρμογές ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές πάψουν να διαβιβάζουν κλειδιά μέσω της πύλης ομοσπονδιοποίησης.»

6)

Το παράρτημα καθίσταται παράρτημα I.

7)

Προστίθενται τα παραρτήματα II και ΙΙΙ, το κείμενο των οποίων περιέχεται στο παράρτημα της παρούσας απόφασης.

Άρθρο 2

Η παρούσα απόφαση αρχίζει να ισχύει την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Βρυξέλλες, 15 Ιουλίου 2020.

Για την Επιτροπή

Η Πρόεδρος

Ursula VON DER LEYEN


(1)  ΕΕ L 88 της 4.4.2011, σ. 45.

(2)  Εκτελεστική απόφαση (ΕΕ) 2019/1765 της Επιτροπής, της 22ας Οκτωβρίου 2019, για την πρόβλεψη των κανόνων θέσπισης, διαχείρισης και λειτουργίας του δικτύου των αρμόδιων για την ηλεκτρονική υγεία εθνικών αρχών και για την κατάργηση της εκτελεστικής απόφασης 2011/890/ΕΕ (ΕΕ L 270 της 24.10.2019, σ. 83).

(3)  Σύσταση (ΕΕ) 2020/518 της Επιτροπής, της 8ης Απριλίου 2020, σχετικά με μια κοινή εργαλειοθήκη της Ένωσης για τη χρήση της τεχνολογίας και των δεδομένων με σκοπό την καταπολέμηση της κρίσης COVID-19 και την έξοδο από αυτή, ιδίως όσον αφορά εφαρμογές για φορητές συσκευές και τη χρήση ανωνυμοποιημένων δεδομένων κινητικότητας (ΕΕ L 114 της 14.4.2020, σ. 7).

(4)  https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf

(5)  https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_guidelines_en.pdf

(6)  Ανακοίνωση της Επιτροπής – Έγγραφο καθοδήγησης σχετικά με την προστασία δεδομένων στις εφαρμογές που στηρίζουν την καταπολέμηση της πανδημίας COVID-19 (ΕΕ C 124I της 17.4.2020, σ. 1).

(7)  Κατευθυντήριες γραμμές 04/2020 για τη χρήση δεδομένων θέσης και εργαλείων ιχνηλάτησης επαφών στο πλαίσιο της έξαρσης της νόσου COVID-19 και δήλωση του ΕΣΠΔ, της 16ης Ιουνίου 2020, σχετικά με τον αντίκτυπο της διαλειτουργικότητας των εφαρμογών ιχνηλάτησης επαφών στο πεδίο της προστασίας των δεδομένων· αμφότερα τα έγγραφα είναι διαθέσιμα στη διεύθυνση: https://edpb.europa.eu

(8)  Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).

(9)  Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).

(10)  Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39).

(11)  Απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής, της 10ης Ιανουαρίου 2017, σχετικά με την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών στην Ευρωπαϊκή Επιτροπή (ΕΕ L 6 της 11.1.2017, σ. 40). Η Επιτροπή δημοσιεύει περαιτέρω πληροφορίες σχετικά με τα πρότυπα ασφάλειας που εφαρμόζονται σε όλα τα συστήματα πληροφοριών της Ευρωπαϊκής Επιτροπής στην ακόλουθη διεύθυνση: https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.


ΠΑΡΑΡΤΗΜΑ

Τα ακόλουθα παραρτήματα II και III προστίθενται στην εκτελεστική απόφαση (ΕΕ) 2019/1765:

«ΠΑΡΑΡΤΗΜΑ II

ΑΡΜΟΔΙΟΤΗΤΕΣ ΤΩΝ ΣΥΜΜΕΤΕΧΟΝΤΩΝ ΚΡΑΤΩΝ ΜΕΛΩΝ ΩΣ ΑΠΟ ΚΟΙΝΟΥ ΥΠΕΥΘΥΝΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ ΓΙΑ ΤΗΝ ΠΥΛΗ ΟΜΟΣΠΟΝΔΙΟΠΟΙΗΣΗΣ ΓΙΑ ΤΗ ΔΙΑΣΥΝΟΡΙΑΚΗ ΕΠΕΞΕΡΓΑΣΙΑ ΜΕΤΑΞΥ ΤΩΝ ΕΘΝΙΚΩΝ ΕΦΑΡΜΟΓΩΝ ΙΧΝΗΛΑΤΗΣΗΣ ΕΠΑΦΩΝ ΚΑΙ ΑΠΟΣΤΟΛΗΣ ΕΙΔΟΠΟΙΗΣΕΩΝ ΓΙΑ ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ

ΤΜΗΜΑ 1

Υποτμήμα 1

Καταμερισμός αρμοδιοτήτων

1)

Οι από κοινού υπεύθυνοι επεξεργασίας επεξεργάζονται δεδομένα προσωπικού χαρακτήρα μέσω της πύλης ομοσπονδιοποίησης σύμφωνα με τις τεχνικές προδιαγραφές που ορίζει το δίκτυο eHealth (1).

2)

Κάθε υπεύθυνος επεξεργασίας είναι αρμόδιος για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων και με την οδηγία 2002/58/ΕΚ.

3)

Κάθε υπεύθυνος επεξεργασίας συγκροτεί ένα σημείο επαφής με υπηρεσιακή ηλεκτρονική θυρίδα που θα χρησιμεύει για την επικοινωνία μεταξύ των από κοινού υπευθύνων επεξεργασίας και μεταξύ των από κοινού υπευθύνων επεξεργασίας και του εκτελούντος την επεξεργασία.

4)

Η προσωρινή υποομάδα που συγκροτείται από το δίκτυο eHealth σύμφωνα με το άρθρο 5 παράγραφος 4 αναλαμβάνει να εξετάσει κάθε ζήτημα που προκύπτει από τη διαλειτουργικότητα των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές και από την κοινή ευθύνη επεξεργασίας για τη σχετική επεξεργασία προσωπικών δεδομένων και να διευκολύνει τη συντονισμένη παροχή οδηγιών στην Επιτροπή ως εκτελούντα την επεξεργασία. Μεταξύ άλλων, οι υπεύθυνοι επεξεργασίας μπορούν, στο πλαίσιο της προσωρινής υποομάδας, να συνεργάζονται με σκοπό τη διαμόρφωση κοινής προσέγγισης για τη διατήρηση δεδομένων στους εθνικούς τους διακομιστές παρασκηνίου, λαμβάνοντας υπόψη την περίοδο διατήρησης που ορίζεται στην πύλη ομοσπονδιοποίησης.

5)

Οι οδηγίες προς τον εκτελούντα την επεξεργασία αποστέλλονται από οποιοδήποτε σημείο επαφής των από κοινού υπευθύνων επεξεργασίας, σε συμφωνία με τους υπόλοιπους από κοινού υπευθύνους επεξεργασίας της προαναφερθείσας υποομάδας.

6)

Μόνο τα πρόσωπα που έχουν εξουσιοδοτηθεί από τις ορισθείσες εθνικές αρχές ή τους ορισθέντες επίσημους φορείς μπορούν να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των χρηστών που ανταλλάσσονται στην πύλη ομοσπονδιοποίησης.

7)

Κάθε ορισθείσα εθνική αρχή ή ορισθείς επίσημος φορέας παύει να είναι από κοινού υπεύθυνος επεξεργασίας από την ημερομηνία ανάκλησης της συμμετοχής της/του στην πύλη ομοσπονδιοποίησης. Ωστόσο, παραμένει αρμόδια/-ος για την επεξεργασία, στην πύλη ομοσπονδιοποίησης, η οποία έλαβε χώρα πριν από την αποχώρησή της/του.

Υποτμήμα 2

Αρμοδιότητες και ρόλοι ως προς τον χειρισμό των αιτημάτων των υποκειμένων των δεδομένων και την ενημέρωσή τους

1)

Κάθε υπεύθυνος επεξεργασίας παρέχει στους χρήστες της εθνικής του εφαρμογής ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές (στο εξής: υποκείμενα των δεδομένων) πληροφορίες σχετικά με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης με σκοπό τη διασυνοριακή διαλειτουργικότητα των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, σύμφωνα με τα άρθρα 13 και 14 του γενικού κανονισμού για την προστασία δεδομένων.

2)

Κάθε υπεύθυνος επεξεργασίας ενεργεί ως σημείο επαφής για τους χρήστες της εθνικής του εφαρμογής ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές και χειρίζεται τα αιτήματα που αφορούν την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων, τα οποία υποβάλλονται από τους εν λόγω χρήστες ή τους εκπροσώπους τους. Κάθε υπεύθυνος επεξεργασίας καθορίζει ειδικό σημείο επαφής για τις αιτήσεις που λαμβάνονται από τα υποκείμενα των δεδομένων. Εάν ένας από κοινού υπεύθυνος επεξεργασίας λάβει, από υποκείμενο των δεδομένων, αίτημα που δεν εμπίπτει στην αρμοδιότητά του, το διαβιβάζει αμελλητί στον αρμόδιο από κοινού υπεύθυνο επεξεργασίας. Εφόσον τους ζητηθεί, οι από κοινού υπεύθυνοι επεξεργασίας παρέχουν ο ένας στον άλλον αμοιβαία συνδρομή για τη διεκπεραίωση των αιτήσεων των υποκειμένων των δεδομένων και απαντούν ο ένας στον άλλον χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 15 ημερών από την παραλαβή του αιτήματος συνδρομής.

3)

Κάθε υπεύθυνος επεξεργασίας θέτει στη διάθεση των υποκειμένων των δεδομένων το περιεχόμενο του παρόντος παραρτήματος, συμπεριλαμβανομένων των ρυθμίσεων που προβλέπονται στα σημεία 1) και 2).

ΤΜΗΜΑ 2

Διαχείριση περιστατικών ασφάλειας, συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα

(1)

Οι από κοινού υπεύθυνοι επεξεργασίας συνεργάζονται μεταξύ τους για τον εντοπισμό και τον χειρισμό τυχόν περιστατικών ασφάλειας, συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα, που συνδέονται με την επεξεργασία στην πύλη ομοσπονδιοποίησης.

2)

Ιδίως, οι από κοινού υπεύθυνοι επεξεργασίας κοινοποιούν ο ένας στον άλλον τα ακόλουθα:

α)

κάθε δυνητικό ή πραγματικό κίνδυνο για τη διαθεσιμότητα, την εμπιστευτικότητα και/ή την ακεραιότητα των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στην πύλη ομοσπονδιοποίησης·

β)

κάθε περιστατικό ασφάλειας που συνδέεται με την πράξη επεξεργασίας στην πύλη ομοσπονδιοποίησης·

γ)

κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, τις πιθανές συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα και την αξιολόγηση του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, καθώς και κάθε μέτρο που λαμβάνεται για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα και τον μετριασμό του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων·

δ)

κάθε παραβίαση των τεχνικών και/ή οργανωτικών διασφαλίσεων της πράξης επεξεργασίας στην πύλη ομοσπονδιοποίησης.

3)

Οι από κοινού υπεύθυνοι επεξεργασίας ανακοινώνουν στην Επιτροπή, στις αρμόδιες εποπτικές αρχές και, εφόσον απαιτείται, στα υποκείμενα των δεδομένων κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα η οποία συνδέεται με πράξη επεξεργασίας στην πύλη ομοσπονδιοποίησης, σύμφωνα με τα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679 ή κατόπιν γνωστοποίησης από την Επιτροπή.

ΤΜΗΜΑ 3

Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων

Εάν ένας υπεύθυνος επεξεργασίας, προκειμένου να συμμορφωθεί με τις υποχρεώσεις του που ορίζονται στα άρθρα 35 και 36 του γενικού κανονισμού για την προστασία δεδομένων, χρειάζεται πληροφορίες από άλλον υπεύθυνο επεξεργασίας, αποστέλλει ειδικό αίτημα στην υπηρεσιακή ηλεκτρονική θυρίδα που αναφέρεται στο τμήμα 1 υποτμήμα 1 σημείο 3). Ο τελευταίος καταβάλλει κάθε δυνατή προσπάθεια για την παροχή των εν λόγω πληροφοριών.

ΠΑΡΑΡΤΗΜΑ III

ΑΡΜΟΔΙΟΤΗΤΕΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΩΣ ΕΚΤΕΛΟΥΝΤΟΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΓΙΑ ΤΗΝ ΠΥΛΗ ΟΜΟΣΠΟΝΔΙΟΠΟΙΗΣΗΣ ΓΙΑ ΤΗ ΔΙΑΣΥΝΟΡΙΑΚΗ ΕΠΕΞΕΡΓΑΣΙΑ ΜΕΤΑΞΥ ΤΩΝ ΕΘΝΙΚΩΝ ΕΦΑΡΜΟΓΩΝ ΙΧΝΗΛΑΤΗΣΗΣ ΕΠΑΦΩΝ ΚΑΙ ΑΠΟΣΤΟΛΗΣ ΕΙΔΟΠΟΙΗΣΕΩΝ ΓΙΑ ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ

Η Επιτροπή:

1)

Δημιουργεί και εγγυάται ασφαλή και αξιόπιστη επικοινωνιακή υποδομή που διασυνδέει τις εθνικές εφαρμογές ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές των κρατών μελών που συμμετέχουν στην πύλη ομοσπονδιοποίησης. Με σκοπό την εκπλήρωση των υποχρεώσεών της ως εκτελούντος την επεξεργασία της πύλης ομοσπονδιοποίησης, η Επιτροπή μπορεί να προσλαμβάνει τρίτους ως περαιτέρω εκτελούντες την επεξεργασία· η Επιτροπή ενημερώνει τους από κοινού υπευθύνους επεξεργασίας για κάθε σκοπούμενη αλλαγή που αφορά την προσθήκη ή την αντικατάσταση περαιτέρω εκτελούντων την επεξεργασία, παρέχοντας κατ’ αυτόν τον τρόπο στους υπευθύνους επεξεργασίας την ευκαιρία να εκφράσουν από κοινού αντιρρήσεις για τις εν λόγω αλλαγές, όπως αναφέρεται στο παράρτημα II τμήμα 1 υποτμήμα 1 σημείο 4). Η Επιτροπή μεριμνά ώστε να ισχύουν γι’ αυτούς τους περαιτέρω εκτελούντες την επεξεργασία οι ίδιες υποχρεώσεις προστασίας δεδομένων που ορίζονται στην παρούσα απόφαση.

2)

Επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών των υπευθύνων επεξεργασίας, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους· σ’ αυτήν την περίπτωση, η Επιτροπή ενημερώνει τους υπεύθυνους επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος.

3)

Η επεξεργασία από την Επιτροπή συνίσταται στα ακόλουθα:

α)

επαλήθευση της ταυτότητας των εθνικών διακομιστών παρασκηνίου βάσει των πιστοποιητικών των εθνικών διακομιστών παρασκηνίου·

β)

παραλαβή των δεδομένων του άρθρου 7α παράγραφος 3 της εκτελεστικής απόφασης, τα οποία αναφορτώνονται από τους εθνικούς διακομιστές παρασκηνίου με την παροχή διεπαφής προγραμματισμού εφαρμογών που επιτρέπει στους εθνικούς διακομιστές παρασκηνίου την αναφόρτωση των σχετικών δεδομένων·

γ)

αποθήκευση των δεδομένων στην πύλη ομοσπονδιοποίησης κατά την παραλαβή τους από τους εθνικούς διακομιστές παρασκηνίου·

δ)

διάθεση των δεδομένων για καταφόρτωση από τους εθνικούς διακομιστές παρασκηνίου·

ε)

διαγραφή των δεδομένων όταν όλοι οι συμμετέχοντες διακομιστές παρασκηνίου έχουν καταφορτώσει τα εν λόγω δεδομένα ή 14 ημέρες μετά την παραλαβή τους, ανάλογα με το ποια ημερομηνία είναι προγενέστερη·

στ)

μετά το πέρας της παροχής υπηρεσιών, διαγραφή τυχόν υπόλοιπων δεδομένων, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους απαιτεί την αποθήκευση των δεδομένων προσωπικού χαρακτήρα.

Ο εκτελών την επεξεργασία λαμβάνει τα αναγκαία μέτρα για τη διατήρηση της ακεραιότητας των δεδομένων που υποβάλλονται σε επεξεργασία.

4)

Λήψη όλων των οργανωτικών, φυσικών και λογικών μέτρων ασφαλείας τελευταίας τεχνολογίας για τη συντήρηση της πύλης ομοσπονδιοποίησης. Για τον σκοπό αυτό, η Επιτροπή:

α)

ορίζει μια υπεύθυνη οντότητα για τη διαχείριση της ασφάλειας στο επίπεδο της πύλης ομοσπονδιοποίησης, κοινοποιεί στους υπευθύνους επεξεργασίας τα στοιχεία επικοινωνίας μ’ αυτή και εξασφαλίζει ότι η οντότητα αυτή θα είναι διαθέσιμη να αντιδρά σε απειλές κατά της ασφάλειας·

β)

αναλαμβάνει την ευθύνη για την ασφάλεια της πύλης ομοσπονδιοποίησης·

γ)

μεριμνά ώστε όλα τα άτομα στα οποία έχει χορηγηθεί πρόσβαση στην πύλη ομοσπονδιοποίησης να υπόκεινται σε συμβατική, επαγγελματική ή εκ του νόμου προβλεπόμενη υποχρέωση τήρησης εμπιστευτικότητας.

5)

Λαμβάνει όλα τα αναγκαία μέτρα ασφάλειας ώστε να αποφεύγεται η διασάλευση της ομαλής λειτουργίας των εθνικών διακομιστών παρασκηνίου. Για τον σκοπό αυτό, η Επιτροπή θεσπίζει τις ειδικές διαδικασίες που αφορούν τη σύνδεση των διακομιστών παρασκηνίου με την πύλη ομοσπονδιοποίησης. Αυτό περιλαμβάνει:

α)

διαδικασία αξιολόγησης κινδύνων για τον εντοπισμό και την εκτίμηση πιθανών απειλών κατά του συστήματος·

β)

διαδικασία ελέγχου και επιθεώρησης με σκοπό:

i)

να ελέγχεται η αντιστοιχία μεταξύ των εφαρμοζόμενων μέτρων ασφάλειας και της πολιτικής ασφάλειας που ακολουθείται·

ii)

να ελέγχεται, σε τακτική βάση, η ακεραιότητα των αρχείων του συστήματος, των παραμέτρων ασφαλείας και των χορηγούμενων αδειών·

iii)

να υπάρχει παρακολούθηση προκειμένου να εντοπίζονται παραβιάσεις και παρεισφρήσεις στον τομέα της ασφάλειας·

iv)

να γίνονται αλλαγές για τον μετριασμό των υφιστάμενων αδυναμιών στον τομέα της ασφάλειας·

v)

να επιτρέπεται, μεταξύ άλλων κατόπιν αιτήματος των υπευθύνων επεξεργασίας, η διενέργεια ανεξάρτητων ελέγχων, συμπεριλαμβανομένων επιθεωρήσεων, και αξιολογήσεων των μέτρων ασφαλείας, και να διευκολύνεται η διεξαγωγή τους, με την επιφύλαξη προϋποθέσεων που σέβονται το πρωτόκολλο (αριθ. 7) της ΣΛΕΕ περί των προνομίων και ασυλιών της Ευρωπαϊκής Ένωσης (2)·

γ)

αλλαγή της διαδικασίας ελέγχου για την τεκμηρίωση και τη μέτρηση του αντικτύπου μιας αλλαγής πριν από την υλοποίησή της και ενημέρωση των υπευθύνων επεξεργασίας σχετικά με τυχόν αλλαγές που μπορούν να επηρεάσουν την επικοινωνία με τις υποδομές τους και/ή την ασφάλεια των υποδομών αυτών·

δ)

πρόβλεψη διαδικασίας συντήρησης και επισκευής για τον καθορισμό των κανόνων και των όρων που πρέπει να τηρούνται κατά τη συντήρηση και/ή την επισκευή του εξοπλισμού·

ε)

πρόβλεψη διαδικασίας για τα περιστατικά ασφάλειας με σκοπό τον καθορισμό του συστήματος αναφοράς και κλιμάκωσης, τη χωρίς καθυστέρηση ενημέρωση των υπευθύνων επεξεργασίας καθώς και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων για κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα, και τον καθορισμό πειθαρχικής διαδικασίας για την αντιμετώπιση των παραβιάσεων της ασφάλειας.

6)

Λαμβάνει μέτρα φυσικής και/ή λογικής ασφάλειας τελευταίας τεχνολογίας για τις εγκαταστάσεις που φιλοξενούν τον εξοπλισμό της πύλης ομοσπονδιοποίησης και για τους ελέγχους των λογικών δεδομένων και της πρόσβασης ασφαλείας. Για τον σκοπό αυτό, η Επιτροπή:

α)

επιβάλλει φυσική ασφάλεια για να καθιερώσει διακριτικές περιμέτρους ασφαλείας και να καταστήσει εφικτό τον εντοπισμό παραβάσεων·

β)

ελέγχει την πρόσβαση στις εγκαταστάσεις και τηρεί μητρώο επισκεπτών για σκοπούς ιχνηλάτησης·

γ)

διασφαλίζει ότι τα άτομα που δεν είναι μέλη του προσωπικού και στα οποία έχει χορηγηθεί πρόσβαση στις εγκαταστάσεις συνοδεύονται από δεόντως εξουσιοδοτημένο προσωπικό·

δ)

διασφαλίζει ότι δεν μπορεί να προστεθεί, να αντικατασταθεί ή να αφαιρεθεί εξοπλισμός χωρίς προηγούμενη έγκριση των ορισθέντων αρμόδιων φορέων·

ε)

ελέγχει την πρόσβαση προς και από τους εθνικούς διακομιστές παρασκηνίου στην πύλη ομοσπονδιοποίησης·

στ)

διασφαλίζει ότι τα άτομα που προσπελαύνουν την πύλη ομοσπονδιοποίησης ταυτοποιούνται και η ταυτότητά τους επαληθεύεται·

ζ)

επανεξετάζει τα δικαιώματα χορήγησης άδειας όσον αφορά την πρόσβαση στην πύλη ομοσπονδιοποίησης, σε περίπτωση παραβίασης της ασφάλειας που επηρεάζει την εν λόγω υποδομή·

η)

τηρεί την ακεραιότητα των πληροφοριών που διαβιβάζονται μέσω της πύλης ομοσπονδιοποίησης·

θ)

εφαρμόζει τεχνικά και οργανωτικά μέτρα ασφαλείας για την πρόληψη μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα·

ι)

εφαρμόζει, όποτε είναι αναγκαίο, μέτρα για την παρεμπόδιση της μη εξουσιοδοτημένης πρόσβασης στην πύλη ομοσπονδιοποίησης από τον τομέα των εθνικών αρχών (δηλαδή αποκλεισμός τοποθεσίας/διεύθυνσης IP).

7)

Λαμβάνει μέτρα για την προστασία του τομέα της, συμπεριλαμβανομένης της αποκοπής συνδέσεων, σε περίπτωση σημαντικής απόκλισης από τις αρχές και τις έννοιες της ποιότητας ή της ασφάλειας.

8)

Διατηρεί σχέδιο διαχείρισης κινδύνου που αφορά τον τομέα αρμοδιότητάς της.

9)

Παρακολουθεί —σε πραγματικό χρόνο— την απόδοση όλων των στοιχείων των υπηρεσιών της πύλης ομοσπονδιοποίησης, παράγει τακτικές στατιστικές και τηρεί αρχεία.

10)

Παρέχει υποστήριξη σε όλες τις υπηρεσίες της πύλης ομοσπονδιοποίησης, στα αγγλικά, καθ’ όλο το 24ωρο, 7 ημέρες την εβδομάδα, μέσω τηλεφώνου, ηλεκτρονικού ταχυδρομείου ή διαδικτυακής πύλης και αποδέχεται κλήσεις από εξουσιοδοτημένους επισκέπτες: συντονιστές της πύλης ομοσπονδιοποίησης και τις αντίστοιχες υπηρεσίες υποστήριξης, υπευθύνους έργων και ορισθέντα άτομα από την Επιτροπή.

11)

Παρέχει συνδρομή στους υπευθύνους επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που είναι εφικτό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα που αφορούν την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων που προβλέπονται στο κεφάλαιο III του γενικού κανονισμού για την προστασία δεδομένων.

12)

Υποστηρίζει τους υπευθύνους επεξεργασίας παρέχοντας πληροφορίες σχετικά με την πύλη ομοσπονδιοποίησης με σκοπό τη συμμόρφωση με τις υποχρεώσεις των άρθρων 32, 35 και 36 του γενικού κανονισμού για την προστασία δεδομένων.

13)

Διασφαλίζει ότι τα δεδομένα που υποβάλλονται σε επεξεργασία στο πλαίσιο της πύλης ομοσπονδιοποίησης είναι ακατάληπτα για τα πρόσωπα που δεν επιτρέπεται να έχουν πρόσβαση σ’ αυτήν.

14)

Λαμβάνει όλα τα κατάλληλα μέτρα για να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση φορέων της πύλης ομοσπονδιοποίησης σε διαβιβαζόμενα δεδομένα.

15)

Λαμβάνει μέτρα για να διευκολύνει τη διαλειτουργικότητα και την επικοινωνία μεταξύ των ορισθέντων υπευθύνων επεξεργασίας της πύλης ομοσπονδιοποίησης.

16)

Τηρεί αρχείο των δραστηριοτήτων επεξεργασίας που διεξάγονται για λογαριασμό των υπευθύνων επεξεργασίας, σύμφωνα με το άρθρο 31 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725.

»

(1)  Ιδίως τις προδιαγραφές διαλειτουργικότητας για τις διασυνοριακές αλυσίδες διαβίβασης μεταξύ εγκεκριμένων εφαρμογών, της 16ης Ιουνίου 2020, που είναι διαθέσιμες στην ακόλουθη διεύθυνση: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0.

(2)  Πρωτόκολλο (αριθ. 7) περί των προνομίων και ασυλιών της Ευρωπαϊκής Ένωσης (ΕΕ C 326 της 26.10.2012, σ. 266).


Top