ISSN 1977-0669 |
||
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
L 227I |
|
Έκδοση στην ελληνική γλώσσα |
Νομοθεσία |
63ό έτος |
|
|
|
(1) Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ |
EL |
Οι πράξεις των οποίων οι τίτλοι έχουν τυπωθεί με λευκά στοιχεία αποτελούν πράξεις τρεχούσης διαχειρίσεως που έχουν θεσπισθεί στο πλαίσιο της γεωργικής πολιτικής και είναι γενικά περιορισμένης χρονικής ισχύος. Οι τίτλοι όλων των υπολοίπων πράξεων έχουν τυπωθεί με μαύρα στοιχεία και επισημαίνονται με αστερίσκο. |
II Μη νομοθετικές πράξεις
ΑΠΟΦΑΣΕΙΣ
16.7.2020 |
EL |
Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης |
LI 227/1 |
ΕΚΤΕΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ (ΕΕ) 2020/1023 ΤΗΣ ΕΠΙΤΡΟΠΗΣ
της 15ης Ιουλίου 2020
για την τροποποίηση της εκτελεστικής απόφασης (ΕΕ) 2019/1765 όσον αφορά τη διασυνοριακή ανταλλαγή δεδομένων μεταξύ των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές με σκοπό την καταπολέμηση της πανδημίας COVID-19
(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)
Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,
Έχοντας υπόψη την οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης (1), και ιδίως το άρθρο 14 παράγραφος 3,
Εκτιμώντας τα ακόλουθα:
(1) |
Το άρθρο 14 της οδηγίας 2011/24/ΕΕ ανέθεσε στην Ένωση το καθήκον να υποστηρίζει και να διευκολύνει τη συνεργασία και την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών στο πλαίσιο εθελοντικού δικτύου που συνδέει τις αρμόδιες για την ηλεκτρονική υγεία εθνικές αρχές τις οποίες ορίζουν τα κράτη μέλη (στο εξής: δίκτυο eHealth). |
(2) |
Η εκτελεστική απόφαση (ΕΕ) 2019/1765 της Επιτροπής (2) ορίζει τους κανόνες για τη θέσπιση, τη διαχείριση και τη λειτουργία του δικτύου των εθνικών αρχών που είναι αρμόδιες για την ηλεκτρονική υγεία (eHealth). Με το άρθρο 4 της εν λόγω απόφασης ανατίθεται στο δίκτυο eHealth το καθήκον να διευκολύνει την αύξηση της διαλειτουργικότητας των εθνικών συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών και τη δυνατότητα διασυνοριακής μεταφοράς ηλεκτρονικών δεδομένων υγείας στο πλαίσιο διασυνοριακής υγειονομικής περίθαλψης. |
(3) |
Ενόψει της κρίσης στον τομέα της δημόσιας υγείας που έχει προκληθεί από την πανδημία COVID-19, διάφορα κράτη μέλη έχουν αναπτύξει εφαρμογές για κινητές συσκευές που υποστηρίζουν την ιχνηλάτηση επαφών και δίνουν στους χρήστες τους τη δυνατότητα να λαμβάνουν ειδοποιήσεις ώστε να προβαίνουν στις κατάλληλες ενέργειες, όπως να υποβάλλονται σε εξετάσεις ή σε αυτοαπομόνωση, σε περίπτωση πιθανής έκθεσής τους στον ιό λόγω εγγύτητας σε άλλον χρήστη αυτών των εφαρμογών, ο οποίος έχει αναφέρει θετική διάγνωση. Οι εφαρμογές αυτές βασίζονται στην τεχνολογία Bluetooth για την ανίχνευση της εγγύτητας μεταξύ των συσκευών. Δεδομένου ότι οι ταξιδιωτικοί περιορισμοί μεταξύ των κρατών μελών έχουν αρθεί από τον Ιούνιο του 2020, θα πρέπει να επιτευχθεί, μεταξύ των κρατών μελών που συμμετέχουν στο δίκτυο eHealth, μεγαλύτερη διαλειτουργικότητα των εθνικών συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών, μέσω της υλοποίησης ψηφιακής υποδομής που θα επιτρέπει τη διαλειτουργικότητα των εθνικών εφαρμογών για κινητές συσκευές, οι οποίες υποστηρίζουν την ιχνηλάτηση επαφών και την αποστολή ειδοποιήσεων. |
(4) |
Η Επιτροπή στηρίζει τα κράτη μέλη όσον αφορά τις προαναφερθείσες εφαρμογές για κινητές συσκευές. Στις 8 Απριλίου 2020 η Επιτροπή εξέδωσε σύσταση σχετικά με μια κοινή εργαλειοθήκη της Ένωσης για τη χρήση της τεχνολογίας και των δεδομένων με σκοπό την καταπολέμηση της κρίσης COVID-19 και την έξοδο από αυτή, ιδίως όσον αφορά εφαρμογές για φορητές συσκευές και τη χρήση ανωνυμοποιημένων δεδομένων κινητικότητας (στο εξής: σύσταση της Επιτροπής) (3). Τα κράτη μέλη που συμμετέχουν στο δίκτυο eHealth ενέκριναν, με τη στήριξη της Επιτροπής, μια κοινή εργαλειοθήκη της ΕΕ για τα κράτη μέλη σχετικά με τις εφαρμογές για κινητές συσκευές με σκοπό την υποστήριξη της ιχνηλάτησης επαφών (4), καθώς και κατευθυντήριες γραμμές διαλειτουργικότητας για εγκεκριμένες εφαρμογές ιχνηλάτησης επαφών για κινητές συσκευές στην ΕΕ (5). Στην εργαλειοθήκη αναλύονται οι εθνικές απαιτήσεις για τις εθνικές εφαρμογές ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, ιδίως ότι οι εφαρμογές αυτές θα πρέπει να είναι οικειοθελείς, να έχουν εγκριθεί από την αντίστοιχη εθνική αρχή υγείας, να προστατεύουν την ιδιωτικότητα και να απενεργοποιούνται μόλις πάψουν να είναι αναγκαίες. Σε συνέχεια των πιο πρόσφατων εξελίξεων ως προς την κρίση λόγω COVID-19, τόσο η Επιτροπή (6) όσο και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (7) εξέδωσαν κατευθύνσεις σχετικά με τις εφαρμογές για κινητές συσκευές και τα εργαλεία ιχνηλάτησης επαφών όσον αφορά την προστασία των δεδομένων. Ο σχεδιασμός των εφαρμογών για κινητές συσκευές των κρατών μελών και της ψηφιακής υποδομής που επιτρέπει τη διαλειτουργικότητα των εφαρμογών αυτών βασίζεται στην κοινή εργαλειοθήκη της ΕΕ, τις προαναφερθείσες κατευθύνσεις και τις τεχνικές προδιαγραφές που έχουν συμφωνηθεί στο πλαίσιο του δικτύου eHealth. |
(5) |
Προκειμένου να διευκολυνθεί η διαλειτουργικότητα των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, αναπτύχθηκε μια ψηφιακή υποδομή με τη στήριξη της Επιτροπής από τα κράτη μέλη που συμμετέχουν στο δίκτυο eHealth, που αποφάσισαν να προωθήσουν τη συνεργασία τους σ’ αυτόν τον τομέα σε οικειοθελή βάση, με τη μορφή ενός εργαλείου ΤΠ για την ανταλλαγή δεδομένων. Αυτή η ψηφιακή υποδομή αναφέρεται ως «πύλη ομοσπονδιοποίησης». |
(6) |
Η παρούσα απόφαση θεσπίζει διατάξεις σχετικά με τον ρόλο των συμμετεχόντων κρατών μελών και της Επιτροπής όσον αφορά τη λειτουργία της πύλης ομοσπονδιοποίησης για τη διασυνοριακή διαλειτουργικότητα των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές. |
(7) |
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν τους χρήστες εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, η οποία πραγματοποιείται υπό την ευθύνη των κρατών μελών ή άλλων δημόσιων οργανισμών ή επίσημων φορέων τους, θα πρέπει να διενεργείται σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8) («Γενικός Κανονισμός για την Προστασία Δεδομένων») και την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9). Η επεξεργασία δεδομένων προσωπικού χαρακτήρα υπό την ευθύνη της Επιτροπής με σκοπό τη διαχείριση και την εγγύηση της ασφάλειας της πύλης ομοσπονδιοποίησης θα πρέπει να είναι σύμφωνη με τον κανονισμό (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10). |
(8) |
Η πύλη ομοσπονδιοποίησης θα πρέπει να συνίσταται από ασφαλή υποδομή ΤΠ που θα παρέχει μια κοινή διεπαφή, στο πλαίσιο της οποίας οι ορισθείσες εθνικές αρχές ή οι ορισθέντες επίσημοι φορείς θα μπορούν να ανταλλάσσουν ένα ελάχιστο σύνολο δεδομένων αναφορικά με επαφές με πρόσωπα που έχουν προσβληθεί από SARS-CoV-2, προκειμένου να ενημερώνονται οι άλλοι σχετικά με την πιθανή έκθεσή τους σε λοίμωξη από τον ιό και που θα προωθεί την αποτελεσματική συνεργασία στον τομέα της υγειονομικής περίθαλψης μεταξύ των κρατών μελών, διευκολύνοντας την ανταλλαγή σχετικών πληροφοριών. |
(9) |
Ως εκ τούτου, η παρούσα απόφαση θα πρέπει να καθορίσει τις λεπτομέρειες για τη διασυνοριακή ανταλλαγή δεδομένων εντός της ΕΕ μεταξύ των ορισθεισών εθνικών αρχών ή των ορισθέντων επίσημων φορέων μέσω της πύλης ομοσπονδιοποίησης. |
(10) |
Τα συμμετέχοντα κράτη μέλη, τα οποία θα εκπροσωπούνται από τις ορισθείσες εθνικές αρχές ή τους ορισθέντες επίσημους φορείς, θα καθορίζουν από κοινού τον σκοπό και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα μέσω της πύλης ομοσπονδιοποίησης και, συνεπώς, θα είναι από κοινού υπεύθυνοι επεξεργασίας. Το άρθρο 26 του γενικού κανονισμού για την προστασία δεδομένων επιβάλλει στους από κοινού υπευθύνους επεξεργασίας για πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα την υποχρέωση να καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον εν λόγω κανονισμό. Προβλέπει επίσης τη δυνατότητα οι ευθύνες αυτές να καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Κάθε ένας από τους υπευθύνους επεξεργασίας θα πρέπει να διασφαλίζει ότι η εκ μέρους του επεξεργασία στο πλαίσιο της πύλης ομοσπονδιοποίησης έχει νομική βάση σε εθνικό επίπεδο. |
(11) |
Η Επιτροπή, ως πάροχος τεχνικών και οργανωτικών λύσεων για την πύλη ομοσπονδιοποίησης, επεξεργάζεται ψευδωνυμοποιημένα δεδομένα προσωπικού χαρακτήρα για λογαριασμό των κρατών μελών που συμμετέχουν στην πύλη ομοσπονδιοποίησης ως από κοινού υπεύθυνοι επεξεργασίας και, συνεπώς, είναι εκτελών την επεξεργασία. Σύμφωνα με το άρθρο 28 του γενικού κανονισμού για την προστασία δεδομένων και το άρθρο 29 του κανονισμού (ΕΕ) 2018/1725, η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή νομική πράξη υπαγόμενη στο δίκαιο της Ένωσης ή κράτους μέλους, που δεσμεύει τον εκτελούντα την επεξεργασία σε σχέση με τον υπεύθυνο επεξεργασίας και καθορίζει την επεξεργασία. Η παρούσα απόφαση καθορίζει τους κανόνες που διέπουν την επεξεργασία από την Επιτροπή ως εκτελούντα την επεξεργασία. |
(12) |
Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της πύλης ομοσπονδιοποίησης, η Επιτροπή δεσμεύεται από την απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής (11). |
(13) |
Λαμβάνοντας υπόψη το ότι οι σκοποί για τους οποίους οι υπεύθυνοι επεξεργασίας επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στο πλαίσιο των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές δεν απαιτούν απαραίτητα την ταυτοποίηση του υποκειμένου των δεδομένων, οι υπεύθυνοι επεξεργασίας ενδέχεται να μην είναι πάντοτε σε θέση να διασφαλίζουν την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων. Επομένως, τα δικαιώματα που αναφέρονται στα άρθρα 15 έως 20 του γενικού κανονισμού για την προστασία δεδομένων ενδέχεται να μην εφαρμόζονται όταν πληρούνται οι προϋποθέσεις του άρθρου 11 του εν λόγω κανονισμού. |
(14) |
Το υφιστάμενο παράρτημα της εκτελεστικής απόφασης 2019/1765 πρέπει να λάβει νέα αρίθμηση λόγω της προσθήκης δύο νέων παραρτημάτων. |
(15) |
Επομένως, η εκτελεστική απόφαση 2019/1765 θα πρέπει να τροποποιηθεί αναλόγως. |
(16) |
Λαμβανομένου υπόψη του επείγοντος χαρακτήρα της κατάστασης που συνδέεται με την πανδημία COVID-19, η παρούσα απόφαση θα πρέπει να τεθεί σε ισχύ την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης. |
(17) |
Ζητήθηκε η γνώμη του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, σύμφωνα με το άρθρο 42 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, ο οποίος και γνωμοδότησε στις 9 Ιουλίου 2020. |
(18) |
Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί δυνάμει του άρθρου 16 της οδηγίας 2011/24/ΕΕ, |
ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:
Άρθρο 1
Η εκτελεστική απόφαση 2019/1765 τροποποιείται ως εξής:
1) |
Στο άρθρο 2 παράγραφος 1 προστίθενται τα ακόλουθα στοιχεία ζ), η), θ), ι), ια), ιβ), ιγ), ιδ) και ιε):
(*1) Απόφαση αριθ. 1082/2013/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 22ας Οκτωβρίου 2013, σχετικά με σοβαρές διασυνοριακές απειλές κατά της υγείας και για την κατάργηση της απόφασης αριθ. 2119/98/ΕΚ (ΕΕ L 293 της 5.11.2013, σ. 1).»" |
2) |
Στο άρθρο 4 παράγραφος 1 προστίθεται το ακόλουθο στοιχείο η):
|
3) |
Στο άρθρο 6 παράγραφος 1 προστίθενται τα ακόλουθα στοιχεία στ) και ζ):
|
4) |
Το άρθρο 7 τροποποιείται ως εξής:
|
5) |
Παρεμβάλλεται το ακόλουθο άρθρο 7α: «Άρθρο 7α Διασυνοριακή ανταλλαγή δεδομένων μεταξύ των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές μέσω της πύλης ομοσπονδιοποίησης 1. Όταν ανταλλάσσονται δεδομένα προσωπικού χαρακτήρα μέσω της πύλης ομοσπονδιοποίησης, η επεξεργασία περιορίζεται στους σκοπούς της διευκόλυνσης της διαλειτουργικότητας των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές στο πλαίσιο της πύλης ομοσπονδιοποίησης και της συνέχειας της ιχνηλάτησης επαφών σε διασυνοριακό επίπεδο. 2. Τα δεδομένα προσωπικού χαρακτήρα που αναφέρονται στην παράγραφο 3 διαβιβάζονται στην πύλη ομοσπονδιοποίησης σε ψευδωνυμοποιημένο μορφότυπο. 3. Τα ψευδωνυμοποιημένα δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται και υποβάλλονται σε επεξεργασία στην πύλη ομοσπονδιοποίησης περιλαμβάνουν μόνο τις ακόλουθες πληροφορίες:
4. Οι ορισθείσες εθνικές αρχές ή οι ορισθέντες επίσημοι φορείς που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης είναι από κοινού υπεύθυνοι επεξεργασίας των δεδομένων που υποβάλλονται σε επεξεργασία στην πύλη ομοσπονδιοποίησης. Οι αντίστοιχες αρμοδιότητες των από κοινού υπευθύνων επεξεργασίας κατανέμονται σύμφωνα με το παράρτημα II. Κάθε κράτος μέλος που επιθυμεί να συμμετάσχει στη διασυνοριακή ανταλλαγή δεδομένων μεταξύ των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, προτού συμμετάσχει, γνωστοποιεί στην Επιτροπή την πρόθεσή του και υποδεικνύει την εθνική αρχή ή τον επίσημο φορέα που έχει οριστεί ως αρμόδιος υπεύθυνος επεξεργασίας. 5. Η Επιτροπή είναι ο εκτελών την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία εντός της πύλης ομοσπονδιοποίησης. Με την ιδιότητά της ως εκτελούντος την επεξεργασία, η Επιτροπή εγγυάται την ασφάλεια της επεξεργασίας, συμπεριλαμβανομένων της διαβίβασης και της φιλοξενίας, των δεδομένων προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης και συμμορφώνεται με τις υποχρεώσεις του εκτελούντος την επεξεργασία οι οποίες ορίζονται στο παράρτημα III. 6. Η αποτελεσματικότητα των τεχνικών και οργανωτικών μέτρων για την εγγύηση της ασφάλειας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης ελέγχεται, εξετάζεται και αξιολογείται σε τακτική βάση από την Επιτροπή και από τις εθνικές αρχές που είναι εξουσιοδοτημένες να προσπελαύνουν την πύλη ομοσπονδιοποίησης. 7. Με την επιφύλαξη της απόφασης των από κοινού υπευθύνων επεξεργασίας να τερματίσουν την επεξεργασία στο πλαίσιο της πύλης ομοσπονδιοποίησης, η λειτουργία της πύλης ομοσπονδιοποίησης απενεργοποιείται το αργότερο 14 ημέρες αφού όλες οι συνδεδεμένες εθνικές εφαρμογές ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές πάψουν να διαβιβάζουν κλειδιά μέσω της πύλης ομοσπονδιοποίησης.» |
6) |
Το παράρτημα καθίσταται παράρτημα I. |
7) |
Προστίθενται τα παραρτήματα II και ΙΙΙ, το κείμενο των οποίων περιέχεται στο παράρτημα της παρούσας απόφασης. |
Άρθρο 2
Η παρούσα απόφαση αρχίζει να ισχύει την επομένη της δημοσίευσής της στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
Βρυξέλλες, 15 Ιουλίου 2020.
Για την Επιτροπή
Η Πρόεδρος
Ursula VON DER LEYEN
(1) ΕΕ L 88 της 4.4.2011, σ. 45.
(2) Εκτελεστική απόφαση (ΕΕ) 2019/1765 της Επιτροπής, της 22ας Οκτωβρίου 2019, για την πρόβλεψη των κανόνων θέσπισης, διαχείρισης και λειτουργίας του δικτύου των αρμόδιων για την ηλεκτρονική υγεία εθνικών αρχών και για την κατάργηση της εκτελεστικής απόφασης 2011/890/ΕΕ (ΕΕ L 270 της 24.10.2019, σ. 83).
(3) Σύσταση (ΕΕ) 2020/518 της Επιτροπής, της 8ης Απριλίου 2020, σχετικά με μια κοινή εργαλειοθήκη της Ένωσης για τη χρήση της τεχνολογίας και των δεδομένων με σκοπό την καταπολέμηση της κρίσης COVID-19 και την έξοδο από αυτή, ιδίως όσον αφορά εφαρμογές για φορητές συσκευές και τη χρήση ανωνυμοποιημένων δεδομένων κινητικότητας (ΕΕ L 114 της 14.4.2020, σ. 7).
(4) https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf
(5) https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_guidelines_en.pdf
(6) Ανακοίνωση της Επιτροπής – Έγγραφο καθοδήγησης σχετικά με την προστασία δεδομένων στις εφαρμογές που στηρίζουν την καταπολέμηση της πανδημίας COVID-19 (ΕΕ C 124I της 17.4.2020, σ. 1).
(7) Κατευθυντήριες γραμμές 04/2020 για τη χρήση δεδομένων θέσης και εργαλείων ιχνηλάτησης επαφών στο πλαίσιο της έξαρσης της νόσου COVID-19 και δήλωση του ΕΣΠΔ, της 16ης Ιουνίου 2020, σχετικά με τον αντίκτυπο της διαλειτουργικότητας των εφαρμογών ιχνηλάτησης επαφών στο πεδίο της προστασίας των δεδομένων· αμφότερα τα έγγραφα είναι διαθέσιμα στη διεύθυνση: https://edpb.europa.eu
(8) Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(9) Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).
(10) Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39).
(11) Απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής, της 10ης Ιανουαρίου 2017, σχετικά με την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών στην Ευρωπαϊκή Επιτροπή (ΕΕ L 6 της 11.1.2017, σ. 40). Η Επιτροπή δημοσιεύει περαιτέρω πληροφορίες σχετικά με τα πρότυπα ασφάλειας που εφαρμόζονται σε όλα τα συστήματα πληροφοριών της Ευρωπαϊκής Επιτροπής στην ακόλουθη διεύθυνση: https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.
ΠΑΡΑΡΤΗΜΑ
Τα ακόλουθα παραρτήματα II και III προστίθενται στην εκτελεστική απόφαση (ΕΕ) 2019/1765:
«ΠΑΡΑΡΤΗΜΑ II
ΑΡΜΟΔΙΟΤΗΤΕΣ ΤΩΝ ΣΥΜΜΕΤΕΧΟΝΤΩΝ ΚΡΑΤΩΝ ΜΕΛΩΝ ΩΣ ΑΠΟ ΚΟΙΝΟΥ ΥΠΕΥΘΥΝΩΝ ΕΠΕΞΕΡΓΑΣΙΑΣ ΓΙΑ ΤΗΝ ΠΥΛΗ ΟΜΟΣΠΟΝΔΙΟΠΟΙΗΣΗΣ ΓΙΑ ΤΗ ΔΙΑΣΥΝΟΡΙΑΚΗ ΕΠΕΞΕΡΓΑΣΙΑ ΜΕΤΑΞΥ ΤΩΝ ΕΘΝΙΚΩΝ ΕΦΑΡΜΟΓΩΝ ΙΧΝΗΛΑΤΗΣΗΣ ΕΠΑΦΩΝ ΚΑΙ ΑΠΟΣΤΟΛΗΣ ΕΙΔΟΠΟΙΗΣΕΩΝ ΓΙΑ ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ
ΤΜΗΜΑ 1
Υποτμήμα 1
Καταμερισμός αρμοδιοτήτων
1) |
Οι από κοινού υπεύθυνοι επεξεργασίας επεξεργάζονται δεδομένα προσωπικού χαρακτήρα μέσω της πύλης ομοσπονδιοποίησης σύμφωνα με τις τεχνικές προδιαγραφές που ορίζει το δίκτυο eHealth (1). |
2) |
Κάθε υπεύθυνος επεξεργασίας είναι αρμόδιος για την επεξεργασία δεδομένων προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων και με την οδηγία 2002/58/ΕΚ. |
3) |
Κάθε υπεύθυνος επεξεργασίας συγκροτεί ένα σημείο επαφής με υπηρεσιακή ηλεκτρονική θυρίδα που θα χρησιμεύει για την επικοινωνία μεταξύ των από κοινού υπευθύνων επεξεργασίας και μεταξύ των από κοινού υπευθύνων επεξεργασίας και του εκτελούντος την επεξεργασία. |
4) |
Η προσωρινή υποομάδα που συγκροτείται από το δίκτυο eHealth σύμφωνα με το άρθρο 5 παράγραφος 4 αναλαμβάνει να εξετάσει κάθε ζήτημα που προκύπτει από τη διαλειτουργικότητα των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές και από την κοινή ευθύνη επεξεργασίας για τη σχετική επεξεργασία προσωπικών δεδομένων και να διευκολύνει τη συντονισμένη παροχή οδηγιών στην Επιτροπή ως εκτελούντα την επεξεργασία. Μεταξύ άλλων, οι υπεύθυνοι επεξεργασίας μπορούν, στο πλαίσιο της προσωρινής υποομάδας, να συνεργάζονται με σκοπό τη διαμόρφωση κοινής προσέγγισης για τη διατήρηση δεδομένων στους εθνικούς τους διακομιστές παρασκηνίου, λαμβάνοντας υπόψη την περίοδο διατήρησης που ορίζεται στην πύλη ομοσπονδιοποίησης. |
5) |
Οι οδηγίες προς τον εκτελούντα την επεξεργασία αποστέλλονται από οποιοδήποτε σημείο επαφής των από κοινού υπευθύνων επεξεργασίας, σε συμφωνία με τους υπόλοιπους από κοινού υπευθύνους επεξεργασίας της προαναφερθείσας υποομάδας. |
6) |
Μόνο τα πρόσωπα που έχουν εξουσιοδοτηθεί από τις ορισθείσες εθνικές αρχές ή τους ορισθέντες επίσημους φορείς μπορούν να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των χρηστών που ανταλλάσσονται στην πύλη ομοσπονδιοποίησης. |
7) |
Κάθε ορισθείσα εθνική αρχή ή ορισθείς επίσημος φορέας παύει να είναι από κοινού υπεύθυνος επεξεργασίας από την ημερομηνία ανάκλησης της συμμετοχής της/του στην πύλη ομοσπονδιοποίησης. Ωστόσο, παραμένει αρμόδια/-ος για την επεξεργασία, στην πύλη ομοσπονδιοποίησης, η οποία έλαβε χώρα πριν από την αποχώρησή της/του. |
Υποτμήμα 2
Αρμοδιότητες και ρόλοι ως προς τον χειρισμό των αιτημάτων των υποκειμένων των δεδομένων και την ενημέρωσή τους
1) |
Κάθε υπεύθυνος επεξεργασίας παρέχει στους χρήστες της εθνικής του εφαρμογής ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές (στο εξής: υποκείμενα των δεδομένων) πληροφορίες σχετικά με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα στην πύλη ομοσπονδιοποίησης με σκοπό τη διασυνοριακή διαλειτουργικότητα των εθνικών εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές, σύμφωνα με τα άρθρα 13 και 14 του γενικού κανονισμού για την προστασία δεδομένων. |
2) |
Κάθε υπεύθυνος επεξεργασίας ενεργεί ως σημείο επαφής για τους χρήστες της εθνικής του εφαρμογής ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές και χειρίζεται τα αιτήματα που αφορούν την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων, τα οποία υποβάλλονται από τους εν λόγω χρήστες ή τους εκπροσώπους τους. Κάθε υπεύθυνος επεξεργασίας καθορίζει ειδικό σημείο επαφής για τις αιτήσεις που λαμβάνονται από τα υποκείμενα των δεδομένων. Εάν ένας από κοινού υπεύθυνος επεξεργασίας λάβει, από υποκείμενο των δεδομένων, αίτημα που δεν εμπίπτει στην αρμοδιότητά του, το διαβιβάζει αμελλητί στον αρμόδιο από κοινού υπεύθυνο επεξεργασίας. Εφόσον τους ζητηθεί, οι από κοινού υπεύθυνοι επεξεργασίας παρέχουν ο ένας στον άλλον αμοιβαία συνδρομή για τη διεκπεραίωση των αιτήσεων των υποκειμένων των δεδομένων και απαντούν ο ένας στον άλλον χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 15 ημερών από την παραλαβή του αιτήματος συνδρομής. |
3) |
Κάθε υπεύθυνος επεξεργασίας θέτει στη διάθεση των υποκειμένων των δεδομένων το περιεχόμενο του παρόντος παραρτήματος, συμπεριλαμβανομένων των ρυθμίσεων που προβλέπονται στα σημεία 1) και 2). |
ΤΜΗΜΑ 2
Διαχείριση περιστατικών ασφάλειας, συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα
(1) |
Οι από κοινού υπεύθυνοι επεξεργασίας συνεργάζονται μεταξύ τους για τον εντοπισμό και τον χειρισμό τυχόν περιστατικών ασφάλειας, συμπεριλαμβανομένων παραβιάσεων δεδομένων προσωπικού χαρακτήρα, που συνδέονται με την επεξεργασία στην πύλη ομοσπονδιοποίησης. |
2) |
Ιδίως, οι από κοινού υπεύθυνοι επεξεργασίας κοινοποιούν ο ένας στον άλλον τα ακόλουθα:
|
3) |
Οι από κοινού υπεύθυνοι επεξεργασίας ανακοινώνουν στην Επιτροπή, στις αρμόδιες εποπτικές αρχές και, εφόσον απαιτείται, στα υποκείμενα των δεδομένων κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα η οποία συνδέεται με πράξη επεξεργασίας στην πύλη ομοσπονδιοποίησης, σύμφωνα με τα άρθρα 33 και 34 του κανονισμού (ΕΕ) 2016/679 ή κατόπιν γνωστοποίησης από την Επιτροπή. |
ΤΜΗΜΑ 3
Εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων
Εάν ένας υπεύθυνος επεξεργασίας, προκειμένου να συμμορφωθεί με τις υποχρεώσεις του που ορίζονται στα άρθρα 35 και 36 του γενικού κανονισμού για την προστασία δεδομένων, χρειάζεται πληροφορίες από άλλον υπεύθυνο επεξεργασίας, αποστέλλει ειδικό αίτημα στην υπηρεσιακή ηλεκτρονική θυρίδα που αναφέρεται στο τμήμα 1 υποτμήμα 1 σημείο 3). Ο τελευταίος καταβάλλει κάθε δυνατή προσπάθεια για την παροχή των εν λόγω πληροφοριών.
ΠΑΡΑΡΤΗΜΑ III
ΑΡΜΟΔΙΟΤΗΤΕΣ ΤΗΣ ΕΠΙΤΡΟΠΗΣ ΩΣ ΕΚΤΕΛΟΥΝΤΟΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΓΙΑ ΤΗΝ ΠΥΛΗ ΟΜΟΣΠΟΝΔΙΟΠΟΙΗΣΗΣ ΓΙΑ ΤΗ ΔΙΑΣΥΝΟΡΙΑΚΗ ΕΠΕΞΕΡΓΑΣΙΑ ΜΕΤΑΞΥ ΤΩΝ ΕΘΝΙΚΩΝ ΕΦΑΡΜΟΓΩΝ ΙΧΝΗΛΑΤΗΣΗΣ ΕΠΑΦΩΝ ΚΑΙ ΑΠΟΣΤΟΛΗΣ ΕΙΔΟΠΟΙΗΣΕΩΝ ΓΙΑ ΚΙΝΗΤΕΣ ΣΥΣΚΕΥΕΣ
Η Επιτροπή:
1) |
Δημιουργεί και εγγυάται ασφαλή και αξιόπιστη επικοινωνιακή υποδομή που διασυνδέει τις εθνικές εφαρμογές ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων για κινητές συσκευές των κρατών μελών που συμμετέχουν στην πύλη ομοσπονδιοποίησης. Με σκοπό την εκπλήρωση των υποχρεώσεών της ως εκτελούντος την επεξεργασία της πύλης ομοσπονδιοποίησης, η Επιτροπή μπορεί να προσλαμβάνει τρίτους ως περαιτέρω εκτελούντες την επεξεργασία· η Επιτροπή ενημερώνει τους από κοινού υπευθύνους επεξεργασίας για κάθε σκοπούμενη αλλαγή που αφορά την προσθήκη ή την αντικατάσταση περαιτέρω εκτελούντων την επεξεργασία, παρέχοντας κατ’ αυτόν τον τρόπο στους υπευθύνους επεξεργασίας την ευκαιρία να εκφράσουν από κοινού αντιρρήσεις για τις εν λόγω αλλαγές, όπως αναφέρεται στο παράρτημα II τμήμα 1 υποτμήμα 1 σημείο 4). Η Επιτροπή μεριμνά ώστε να ισχύουν γι’ αυτούς τους περαιτέρω εκτελούντες την επεξεργασία οι ίδιες υποχρεώσεις προστασίας δεδομένων που ορίζονται στην παρούσα απόφαση. |
2) |
Επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα μόνο βάσει καταγεγραμμένων εντολών των υπευθύνων επεξεργασίας, εκτός εάν υποχρεούται προς τούτο βάσει του δικαίου της Ένωσης ή του δικαίου του κράτους μέλους· σ’ αυτήν την περίπτωση, η Επιτροπή ενημερώνει τους υπεύθυνους επεξεργασίας για την εν λόγω νομική απαίτηση πριν από την επεξεργασία, εκτός εάν το εν λόγω δίκαιο απαγορεύει αυτού του είδους την ενημέρωση για σοβαρούς λόγους δημόσιου συμφέροντος. |
3) |
Η επεξεργασία από την Επιτροπή συνίσταται στα ακόλουθα:
Ο εκτελών την επεξεργασία λαμβάνει τα αναγκαία μέτρα για τη διατήρηση της ακεραιότητας των δεδομένων που υποβάλλονται σε επεξεργασία. |
4) |
Λήψη όλων των οργανωτικών, φυσικών και λογικών μέτρων ασφαλείας τελευταίας τεχνολογίας για τη συντήρηση της πύλης ομοσπονδιοποίησης. Για τον σκοπό αυτό, η Επιτροπή:
|
5) |
Λαμβάνει όλα τα αναγκαία μέτρα ασφάλειας ώστε να αποφεύγεται η διασάλευση της ομαλής λειτουργίας των εθνικών διακομιστών παρασκηνίου. Για τον σκοπό αυτό, η Επιτροπή θεσπίζει τις ειδικές διαδικασίες που αφορούν τη σύνδεση των διακομιστών παρασκηνίου με την πύλη ομοσπονδιοποίησης. Αυτό περιλαμβάνει:
|
6) |
Λαμβάνει μέτρα φυσικής και/ή λογικής ασφάλειας τελευταίας τεχνολογίας για τις εγκαταστάσεις που φιλοξενούν τον εξοπλισμό της πύλης ομοσπονδιοποίησης και για τους ελέγχους των λογικών δεδομένων και της πρόσβασης ασφαλείας. Για τον σκοπό αυτό, η Επιτροπή:
|
7) |
Λαμβάνει μέτρα για την προστασία του τομέα της, συμπεριλαμβανομένης της αποκοπής συνδέσεων, σε περίπτωση σημαντικής απόκλισης από τις αρχές και τις έννοιες της ποιότητας ή της ασφάλειας. |
8) |
Διατηρεί σχέδιο διαχείρισης κινδύνου που αφορά τον τομέα αρμοδιότητάς της. |
9) |
Παρακολουθεί —σε πραγματικό χρόνο— την απόδοση όλων των στοιχείων των υπηρεσιών της πύλης ομοσπονδιοποίησης, παράγει τακτικές στατιστικές και τηρεί αρχεία. |
10) |
Παρέχει υποστήριξη σε όλες τις υπηρεσίες της πύλης ομοσπονδιοποίησης, στα αγγλικά, καθ’ όλο το 24ωρο, 7 ημέρες την εβδομάδα, μέσω τηλεφώνου, ηλεκτρονικού ταχυδρομείου ή διαδικτυακής πύλης και αποδέχεται κλήσεις από εξουσιοδοτημένους επισκέπτες: συντονιστές της πύλης ομοσπονδιοποίησης και τις αντίστοιχες υπηρεσίες υποστήριξης, υπευθύνους έργων και ορισθέντα άτομα από την Επιτροπή. |
11) |
Παρέχει συνδρομή στους υπευθύνους επεξεργασίας με κατάλληλα τεχνικά και οργανωτικά μέτρα, στον βαθμό που είναι εφικτό, για την εκπλήρωση της υποχρέωσης του υπευθύνου επεξεργασίας να απαντά σε αιτήματα που αφορούν την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων που προβλέπονται στο κεφάλαιο III του γενικού κανονισμού για την προστασία δεδομένων. |
12) |
Υποστηρίζει τους υπευθύνους επεξεργασίας παρέχοντας πληροφορίες σχετικά με την πύλη ομοσπονδιοποίησης με σκοπό τη συμμόρφωση με τις υποχρεώσεις των άρθρων 32, 35 και 36 του γενικού κανονισμού για την προστασία δεδομένων. |
13) |
Διασφαλίζει ότι τα δεδομένα που υποβάλλονται σε επεξεργασία στο πλαίσιο της πύλης ομοσπονδιοποίησης είναι ακατάληπτα για τα πρόσωπα που δεν επιτρέπεται να έχουν πρόσβαση σ’ αυτήν. |
14) |
Λαμβάνει όλα τα κατάλληλα μέτρα για να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση φορέων της πύλης ομοσπονδιοποίησης σε διαβιβαζόμενα δεδομένα. |
15) |
Λαμβάνει μέτρα για να διευκολύνει τη διαλειτουργικότητα και την επικοινωνία μεταξύ των ορισθέντων υπευθύνων επεξεργασίας της πύλης ομοσπονδιοποίησης. |
16) |
Τηρεί αρχείο των δραστηριοτήτων επεξεργασίας που διεξάγονται για λογαριασμό των υπευθύνων επεξεργασίας, σύμφωνα με το άρθρο 31 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725. |
(1) Ιδίως τις προδιαγραφές διαλειτουργικότητας για τις διασυνοριακές αλυσίδες διαβίβασης μεταξύ εγκεκριμένων εφαρμογών, της 16ης Ιουνίου 2020, που είναι διαθέσιμες στην ακόλουθη διεύθυνση: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0.
(2) Πρωτόκολλο (αριθ. 7) περί των προνομίων και ασυλιών της Ευρωπαϊκής Ένωσης (ΕΕ C 326 της 26.10.2012, σ. 266).