02019D1765 — ET — 17.07.2020 — 001.001
Käesolev tekst on üksnes dokumenteerimisvahend ning sel ei ole mingit õiguslikku mõju. Liidu institutsioonid ei vastuta selle teksti sisu eest. Asjakohaste õigusaktide autentsed versioonid, sealhulgas nende preambulid, on avaldatud Euroopa Liidu Teatajas ning on kättesaadavad EUR-Lexi veebisaidil. Need ametlikud tekstid on vahetult kättesaadavad käesolevasse dokumenti lisatud linkide kaudu
|
KOMISJONI RAKENDUSOTSUS (EL) 2019/1765, 22. oktoober 2019, milles sätestatakse e-tervise eest vastutavate riiklike asutuste võrgustiku loomise, haldamise ja toimimise eeskirjad ning millega tunnistatakse kehtetuks rakendusotsus 2011/890/EL (teatavaks tehtud numbri C(2019) 7460 all) (ELT L 270 24.10.2019, lk 83) |
Muudetud:
|
|
|
Euroopa Liidu Teataja |
||
|
nr |
lehekülg |
kuupäev |
||
|
KOMISJONI RAKENDUSOTSUS (EL) 2020/1023, EMPs kohaldatav tekst 15. juuli 2020, |
L 227I |
1 |
16.7.2020 |
|
KOMISJONI RAKENDUSOTSUS (EL) 2019/1765,
22. oktoober 2019,
milles sätestatakse e-tervise eest vastutavate riiklike asutuste võrgustiku loomise, haldamise ja toimimise eeskirjad ning millega tunnistatakse kehtetuks rakendusotsus 2011/890/EL
(teatavaks tehtud numbri C(2019) 7460 all)
(EMPs kohaldatav tekst)
Artikkel 1
Reguleerimisese
Käesoleva otsusega sätestatakse e-tervise eest vastutavate riiklike asutuste e-tervise võrgustiku loomiseks, haldamiseks ja toimimiseks vajalikud eeskirjad vastavalt direktiivi 2011/24/EL artiklile 14.
Artikkel 2
Mõisted
1. Käesolevas otsuses kasutatakse järgmisi mõisteid:
„e-tervise võrgustik“ – vabatahtlik võrgustik, mis ühendab e-tervise eest vastutavaid liikmesriikide määratud riiklikke asutusi ning mis täidab direktiivi 2011/24/EL artiklis 14 sätestatud eesmärke;
„e-tervise riiklikud kontaktpunktid“ – organisatoorsed ja tehnilised platvormid piiriüleste e-tervise teabeteenuste osutamiseks liikmesriikide vastutusel;
„piiriülesed e-tervise teabeteenused“ – olemasolevad teenused, mida töödeldakse e-tervise riiklike kontaktpunktide kaudu ning põhiteenusplatvormi kaudu, mille komisjon on loonud piiriüleste tervishoiuteenuste jaoks;
„e-tervise digiteenuste taristu piiriüleste e-tervise teabeteenuste jaoks“ – taristu, mis võimaldab osutada piiriüleseid e-tervise teabeteenuseid e-tervise riiklike kontaktpunktide ja Euroopa põhiteenusplatvormi kaudu. Kõnealune taristu hõlmab nii liikmesriikide väljatöötatud üldteenuseid, nagu need on määratletud määruse (EL) nr 283/2014 artikli 2 lõike 2 punktis e, kui ka komisjoni väljatöötatud põhiteenusplatvormi, nagu see on määratletud sama määruse artikli 2 lõike 2 punktis d;
„muud ühised Euroopa e-tervise teenused“ – e-tervise võrgustiku raames välja töötatavad ja liikmesriikide vahel jagatavad digiteenused;
„juhtimismudel“ – eeskirjad, milles käsitletakse selliste asutuste määramist, kes osalevad otsustusprotsessides, mis on seotud e-tervise digiteenuste taristuga piiriüleste e-tervise teabeteenuste jaoks või muude e-tervise võrgustiku raames väljatöötatud ühiste Euroopa e-tervise teenustega, ning nende protsesside kirjeldust;
„rakenduse kasutaja“ – isik, kelle valduses on nutiseade ja kes on alla laadinud kontakti tuvastamiseks ja sellest teavitamiseks kasutatava heakskiidetud mobiilirakenduse ning kasutab seda;
„kontakti tuvastamine“ – meetmed, mida rakendatakse eesmärgiga selgitada välja isikud, kes on kokku puutunud tõsise piiriülese terviseohu allikaga Euroopa Parlamendi ja nõukogu otsuse nr 1082/2013/EL ( 1 ) artikli 3 punkti c tähenduses;
„riiklik kontakti tuvastamise ja sellest teavitamise mobiilirakendus“ – nutiseadmetes, eelkõige nutitelefonides, käitatav riiklikul tasandil heaks kiidetud tarkvaraline rakendus, mis on tavaliselt projekteeritud ulatuslikult ja sihipäraselt veebiressursse kasutama, mis suudab töödelda lähedusandmeid ja iga nutiseadme paljude andurite kogutavat muud kontekstiteavet, selleks et tuvastada SARS-CoV-2ga nakatunutega toimunud kontaktid ja hoiatada isikuid, kes võivad olla SARS-CoV-2ga kokku puutunud. Nende mobiilirakenduste abil on võimalik tuvastada teiste Bluetoothi tehnoloogiat kasutavate seadmete olemasolu ja vahetada internetti kasutades teavet põhiserveritega;
„födereeritud värav“ – võrguvärav, mida haldab komisjon turvalise IT-vahendi kaudu ning mis võtab vastu, säilitab ja teeb liikmesriikide põhiserverite vahel kättesaadavaks minimaalse isikuandmete kogumi, et tagada riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste koostalitlusvõime;
„võti“ – kordumatu ajutine identifikaator, mis on seotud rakenduse kasutajaga, kes on teatanud SARS-CoV-2ga nakatumisest või kes võib olla SARS-CoV-2ga kokku puutunud;
„nakatumise kinnitus“ – meetod, mida kasutati SARS-CoV-2 nakkuse kinnitamiseks, see tähendab, et kas rakenduse kasutaja teatas sellest ise või tulenes see riikliku tervishoiuasutuse kinnitusest või laboratoorsest uuringust;
„huvialused riigid“ – liikmesriik või liikmesriigid, kus rakenduse kasutaja on 14 päeva jooksul enne võtmete üleslaadimise kuupäeva viibinud ja kus ta on riikliku kontakti tuvastamise ja sellest teavitamise heakskiidetud mobiilirakenduse alla laadinud ja/või kus ta on reisinud;
„võtmete päritoluriik“ – liikmesriik, kus asub võtmed födereeritud väravasse üles laadinud põhiserver;
„logiandmed“ – födereeritud värava kaudu töödeldavate andmete vahetamise ja neile juurdepääsuga seotud tegevuse automaatne salvestus, mis näitab eelkõige töötlemistoimingu liiki, töötlemistoimingu kuupäeva ja kellaaega ning andmeid töötleva isiku tunnust.
2. Kohaldatakse määruse (EL) 2016/679 artikli 4 punktides 1, 2, 7 ja 8 esitatud määratlusi.
Artikkel 3
E-tervise võrgustiku liikmesus
1. E-tervise võrgustiku liikmed on e-tervise eest vastutavad liikmesriikide asutused, kelle on määranud e-tervise võrgustikus osalevad liikmesriigid.
2. E-tervise võrgustikus osaleda soovivad liikmesriigid teatavad komisjonile kirjalikult
otsusest osaleda e-tervise võrgustikus;
e-tervise eest vastutava riikliku asutuse, kellest saab e-tervise võrgustiku liige, samuti selle asutuse esindaja ja tema asendaja nime.
3. Liikmesriigid teatavad komisjonile kirjalikult
oma otsusest e-tervise võrgustikust välja astuda;
lõike 2 punktis b osutatud teabe muutumisest.
4. Komisjon teeb e-tervise võrgustiku liikmete nimekirja üldsusele kättesaadavaks.
Artikkel 4
E-tervise võrgustiku tegevus
1. Direktiivi 2011/24/EL artikli 14 lõike 2 punktis a osutatud eesmärgi saavutamiseks võib e-tervise võrgustik eelkõige
edendada riiklike info- ja kommunikatsioonitehnoloogia süsteemide suuremat koostalitlusvõimet ning elektrooniliste terviseandmete piiriülest ülekantavust piiriüleste tervishoiuteenuste puhul;
anda koostöös teiste pädevate järelevalveasutustega liikmesriikidele suuniseid, mis on seotud terviseandmete jagamisega liikmesriikide vahel ning sellega, kuidas anda kodanikele võimalus pääseda ligi oma terviseandmetele ja neid jagada;
anda liikmesriikidele suuniseid ja hõlbustada heade tavade vahetamist seoses mitmesuguste digitaalsete terviseteenuste arendamisega, nagu telemeditsiin, m-tervis või uued tehnoloogiad suurandmete ja tehisintellekti valdkonnas, võttes arvesse ELi tasandil käimasolevaid meetmeid;
anda liikmesriikidele suuniseid, et toetada tervise edendamist, haiguste ennetamist ja tervishoiuteenuste paremat osutamist terviseandmete tõhusama kasutamise ning patsientide ja tervishoiutöötajate digioskuste parandamise kaudu;
anda liikmesriikidele suuniseid ja hõlbustada parimate tavade vabatahtlikku vahetamist seoses digitaristusse tehtavate investeeringutega;
anda liikmesriikidele koostöös teiste asjaomaste asutuste ja sidusrühmadega suuniseid kliinilise koostalitlusvõime vajalike kasutusvõimaluste kohta ja koostalitlusvõime saavutamise vahendite kohta;
anda liikmetele suuniseid piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu turvalisuse kohta või muude e-tervise võrgustiku raames loodud ühiste Euroopa e-tervise teenuste turvalisuse kohta, võttes arvesse liidu tasandil eelkõige turvalisuse valdkonnas välja töötatud õigusakte ja dokumente, samuti küberturvalisuse valdkonna soovitusi, tehes tihedat koostööd võrgu- ja infoturbe koostöörühmaga ja Euroopa Liidu Võrgu- ja Infoturbeametiga ning vajaduse korral riiklike ametiasutustega;
anda liikmesriikidele suuniseid riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste vahel födereeritud värava kaudu toimuva isikuandmete piiriülese vahetamise kohta.
2. E-tervise võrgustik võtab direktiivi 2011/24/EL artikli 14 lõike 2 punkti b alapunktis ii osutatud rahvatervise ja teadusuuringute eesmärgil meditsiiniteabe kasutamise tõhusaid meetodeid käsitlevate suuniste koostamisel arvesse Euroopa Andmekaitsenõukogu vastuvõetud suuniseid ja konsulteerib vajaduse korral selle nõukoguga. Nimetatud suunistes võib käsitleda ka teavet, mida vahetatakse piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu kaudu või muude Euroopa ühiste e-tervise teenuste kaudu.
Artikkel 5
E-tervise võrgustiku toimimine
1. E-tervise võrgustik kehtestab oma liikmete lihthäälteenamusega oma kodukorra.
2. E-tervise võrgustik võtab vastu mitmeaastase tööprogrammi ning vahendi selle rakendamise hindamiseks.
3. E-tervise võrgustik võib oma ülesannete täitmiseks luua alalised allrühmad, mis on seotud konkreetsete ülesannetega, eelkõige e-tervise digiteenuste taristuga piiriüleste e-tervise teabeteenuste jaoks või e-tervise võrgustiku raames loodud muude Euroopa ühiste e-tervise teenustega.
4. E-tervise võrgustik võib luua ka ajutisi allrühmi, sealhulgas kaasata eksperte, kes tegelevad eriküsimuste uurimisega e-tervise võrgustiku enda poolt kindlaks määratud pädevuste alusel. Sellised allrühmad saadetakse laiali kohe, kui nende ülesanded on täidetud.
5. Kui e-tervise võrgustiku liikmed otsustavad oma koostööd mõnes e-tervise võrgustiku ülesannetega hõlmatud valdkonnas süvendada, peaksid nad kokku leppima süvendatud koostöö eeskirjad ja neid järgima.
6. Oma eesmärkide täitmisel teeb e-tervise võrgustik tihedat koostööd ühismeetmetega, millega toetatakse e-tervise võrgustiku tegevust, kui sellised ühismeetmed on olemas, samuti sidusrühmade või muude asjaomaste asutuste või toetusmehhanismidega ning võtab arvesse nende tegevuste raames saavutatud tulemusi.
7. E-tervise võrgustik töötab koos komisjoniga välja piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu juhtimismudelid ning osaleb selles juhtimises järgmiselt:
lepib kokku e-tervise digiteenuste taristu prioriteetides ja jälgib nende saavutamist;
koostab tegevussuunised ja -nõuded, sealhulgas valib välja piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu puhul kasutatavad standardid;
lepib kokku, kas e-tervise võrgustiku liikmetele antakse luba alustada ja jätkata elektrooniliste terviseandmete vahetamist piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu kaudu, kasutades e-tervise riiklikke kontaktpunkte, võttes aluseks e-tervise võrgustiku kehtestatud nõuete täitmise, mida on hinnatud komisjoni korraldatud testide ja auditite käigus;
toetab piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu iga-aastase töökava koostamist.
8. E-tervise võrgustik võib koos komisjoniga töötada välja e-tervise võrgustiku raames loodud muude ühiste Euroopa e-tervise teenuste juhtimismudelid ning osaleda nende juhtimises. Võrgustik võib koos komisjoniga määrata kindlaks ka selliste ühiste Euroopa e-tervise teenuste toimimise prioriteedid ja koostada selle kohta suunised.
9. Kodukorras võib ette näha, et direktiivi 2011/24/EL kohaldavad riigid, kes ei ole liikmesriigid, võivad osaleda e-tervise võrgustiku koosolekutel vaatlejatena.
10. E-tervise võrgustiku liikmed ja nende esindajad ning kutsutud eksperdid ja vaatlejad järgivad aluslepingu artiklis 339 sätestatud ametisaladuse hoidmise kohustust, samuti komisjoni otsuses (EL, Euratom) 2015/444 ( 2 ) sätestatud komisjoni julgeolekunorme seoses ELi salastatud teabe kaitsmisega. Kui nad neid kohustusi ei täida, võib e-tervise võrgustiku juhataja võtta kõik kodukorras ette nähtud asjakohased meetmed.
Artikkel 6
E-tervise võrgustiku ja komisjoni seos
1. Komisjon
osaleb e-tervise võrgustiku koosolekutel ja on nende kaaseesistuja koos liikmete esindajaga;
teeb e-tervise võrgustikuga koostööd ja toetab selle tegevust;
osutab e-tervise võrgustikule sekretariaaditeenuseid;
arendab, rakendab ja säilitab asjakohaseid tehnilisi ja korralduslikke meetmeid, mis on seotud piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu põhiteenustega;
toetab e-tervise võrgustikku, et leppida kokku e-tervise riiklike kontaktpunktide tehnilises ja organisatoorses vastavuses terviseandmete piiriülese vahetamise nõuetele, pakkudes ja viies läbi vajalikke teste ja auditeid. Komisjoni audiitoreid võivad abistada liikmesriikide eksperdid;
töötab välja, rakendab ja haldab asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, mis on seotud isikuandmete edastamise ja säilitamise turvalisusega födereeritud väravas, et tagada riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste koostalitlusvõime;
toetab e-tervise võrgustikku, et leppida kokku riiklike asutuste tehnilises ja organisatsioonilises vastavuses födereeritud värava kaudu toimuva isikuandmete piiriülese vahetamise nõuetele, pakkudes ja viies läbi vajalikke teste ja auditeid. Komisjoni audiitoreid võivad abistada liikmesriikide eksperdid.
2. Komisjon võib osaleda e-tervise võrgustiku allrühmade koosolekutel.
3. Komisjon võib konsulteerida e-tervise võrgustikuga e-tervise küsimustes liidu tasandil ja seoses e-tervise parimate tavade vahetamisega.
4. Komisjon teeb üldsusele kättesaadavaks e-tervise võrgustiku elluviidud tegevust käsitleva teabe.
Artikkel 7
E-tervise digiteenuste taristu kaudu töödeldavate isikuandmete kaitse
1. Liikmesriike, keda esindavad asjaomased riiklikud asutused või muud määratud organid, käsitatakse nende isikuandmete vastutavate töötlejatena, mida nad piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu kaudu töötlevad, ning nad peavad ülesanded vastutavate töötlejate vahel selgelt ja läbipaistvalt jagama.
2. Komisjoni käsitatakse piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu kaudu töödeldavate patsiendiandmete volitatud töötlejana. Komisjon haldab volitatud töötlejana piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu põhiteenuseid ja täidab volitatud töötleja kohustusi, mis on sätestatud käesoleva otsuse ►M1 I lisas ◄ . Komisjonil ei ole juurdepääsu patsiendiandmetele, mida töödeldakse piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu kaudu.
3. Komisjoni käsitatakse vastutava töötlejana isikuandmete töötlemisel, mida on vaja piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu põhiteenustele juurdepääsuõiguste andmiseks ja nende haldamiseks. Sellised andmed on kasutajate kontaktandmed, sealhulgas nimi, perekonnanimi ja e-posti aadress ning nende kuuluvus.
Artikkel 7a
Riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste vahel födereeritud värava kaudu toimuv piiriülene andmete vahetamine
1. Kui isikuandmeid vahetatakse födereeritud värava kaudu, piirdub töötlemine eesmärgiga hõlbustada riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste koostalitlusvõimet födereeritud väravas ning kontaktide tuvastamise järjepidevusega piiriüleses kontekstis.
2. Lõikes 3 osutatud isikuandmed edastatakse födereeritud väravasse pseudonüümitud kujul.
3. Födereeritud värava kaudu vahetatavad ja seal töödeldavad pseudonüümitud isikuandmed sisaldavad üksnes järgmist teavet:
riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste poolt kuni 14 päeva enne võtmete üleslaadimise kuupäeva edastatud võtmed;
võtmetega seotud logiandmed kooskõlas võtmete päritoluriigis kasutatava tehnilise kirjelduse protokolliga;
nakatumise kinnitus;
huvialused riigid ja võtmete päritoluriik.
4. Födereeritud väravas isikuandmeid töötlevad määratud riiklikud asutused või ametiasutused tegutsevad födereeritud väravas töödeldavate andmete kaasvastutavate töötlejatena. Kaasvastutavate töötlejate vastavad kohustused jaotatakse vastavalt II lisale. Iga liikmesriik, kes soovib osaleda riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste vahelises piiriüleses andmete vahetamises, teatab enne ühinemist komisjonile oma kavatsusest ja märgib riikliku asutuse või ametiasutuse, mis on määratud vastutavaks töötlejaks.
5. Komisjon on födereeritud väravas töödeldavate isikuandmete volitatud töötleja. Volitatud töötlejana tagab komisjon isikuandmete töötlemise, sealhulgas edastamise ja majutamise turvalisuse födereeritud väravas ning täidab volitatud töötleja kohustusi, mis on sätestatud III lisas.
6. Komisjon ja födereeritud väravale juurdepääsu omavad riiklikud asutused kontrollivad ja hindavad födereeritud väravas toimuva isikuandmete töötlemise turvalisuse tagamiseks võetavate tehniliste ja organisatsiooniliste meetmete tulemuslikkust korrapäraselt.
7. Ilma et see piiraks kaasvastutavate töötlejate otsust lõpetada töötlemine födereeritud väravas, lõpetatakse födereeritud värava käitamine hiljemalt 14 päeva pärast seda, kui kõik ühendatud riiklikud kontakti tuvastamise ja sellest teavitamise mobiilirakendused lõpetavad võtmete edastamise födereeritud värava kaudu.
Artikkel 8
Kulud
1. Komisjon ei maksa e-tervise võrgustiku tegevuses osalejatele nende osutatud teenuste eest tasu.
2. Komisjon hüvitab e-tervise võrgustiku tegevuses osalejate reisi- ja elamiskulud vastavalt komisjonis kehtivatele eeskirjadele, milles käsitletakse väljastpoolt komisjoni koosolekutel osalema kutsutud ekspertide kulude hüvitamist. Nimetatud kulud hüvitatakse nende summade piires, mis on iga-aastase vahendite eraldamise korra kohaselt selleks otstarbeks eraldatud.
Artikkel 9
Kehtetuks tunnistamine
Rakendusotsus 2011/890/EL tunnistatakse kehtetuks. Viiteid kehtetuks tunnistatud otsusele käsitatakse viidetena käesolevale otsusele.
Artikkel 10
Adressaadid
Käesolev otsus on adresseeritud liikmesriikidele.
I.LISA
Komisjoni ülesanded isikuandmete volitatud töötlejana piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu puhul
Komisjon teeb järgmist.
Loob ja tagab turvalise ja usaldusväärse sidetaristu, mis ühendab e-tervise võrgustiku liikmete võrgustikke, mis on seotud piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristuga (edaspidi „keskne turvaline sidetaristu“). Oma kohustuste täitmiseks võib komisjon kaasata kolmandaid isikuid. Komisjon tagab, et nende kolmandate isikute suhtes kohaldatakse samu andmekaitsekohustusi, mis on sätestatud käesolevas otsuses.
Konfigureerib keskse turvalise sidetaristu osa selliselt, et e-tervise riiklikud kontaktpunktid saavad vahetada teavet turvaliselt, usaldusväärselt ja tõhusalt.
Töötleb isikuandmeid vastutavate töötlejate dokumenteeritud juhiste alusel.
Võtab keskse turvalise sidetaristu alal hoidmiseks kõik organisatsioonilised, füüsilised ja loogilised turvameetmed. Sel eesmärgil teeb komisjon järgmist:
määrab keskse turvalise sidetaristu tasandil turbehalduse eest vastutava üksuse, edastab vastutavatele töötlejatele selle kontaktandmed ja tagab, et üksus on turvaohtudele reageerimiseks kättesaadav;
vastutab keskse turvalise sidetaristu turvalisuse eest;
tagab, et kõikide isikute suhtes, kellele antakse kesksele turvalisele sidetaristule juurdepääs, kehtib lepinguline, ametialane või seadusjärgne konfidentsiaalsuskohustus;
tagab, et salastatud teabele juurdepääsu omavad töötajad täidavad asjakohaseid kontrolli- ja konfidentsiaalsuskriteeriume.
Võtab kõik vajalikud turvameetmed, et mitte ohustada teiste osaliste domeeni tõrgeteta toimimist. Selleks kehtestab komisjon erimenetlused, mis on seotud kesksesse turvalisse sidetaristusse ühendamisega. Selle teabe hulka kuulub:
riskihindamismenetlus, et teha kindlaks süsteemi võimalikud ohud ja neid hinnata;
auditeerimis- ja läbivaatamismenetlus, et:
kontrollida rakendatud turvameetmete ja kohaldatava turbepoliitika vastavust;
korrapäraselt kontrollida süsteemifailide, turvaparameetrite ja antud lubade terviklust;
teostada jälgimist, et avastada turvarikkumisi ja sissetunge;
teha muudatusi, et vältida olemasolevaid turvapuudusi; ning
määrata kindlaks tingimused, mille alusel anda luba teha, sealhulgas vastutavate töötlejate taotluse korral, sõltumatuid auditeid, sealhulgas kontrolle, ja vaadata läbi julgeolekumeetmed ning neile kaasa aidata;
muudatuste haldamise protsess, et dokumenteerida ja mõõta muudatuse mõju enne selle rakendamist ning teavitada e-tervise riiklikke kontaktpunkte kõigist muudatustest, mis võivad mõjutada teabevahetust teiste riiklike taristutega ja/või nende turvalisust;
hooldus- ja remondimenetlus, millega täpsustatakse seadmete hoolduse ja/või remondi korral kohaldatavaid eeskirju ja tingimusi;
turvaintsidentide korral kasutatav menetlus, mille raames määratakse kindlaks aruandlus- ja eskalatsioonikava, teavitatakse viivitamata riigi vastutavat asutust ja Euroopa Andmekaitseinspektorit igast turvarikkumisest ning määratakse kindlaks distsiplinaarmenetlus turvarikkumistega tegelemiseks.
Rakendab füüsilisi ja/või loogilisi turvameetmeid ruumides, kus asuvad keskse turvalise sidetaristu seadmed, ning loogiliste andmete kontrolli ja juurdepääsukontrolli puhul. Sel eesmärgil teeb komisjon järgmist:
tagab füüsilise julgeoleku, määrates eraldavad turvaperimeetrid ja võimaldades rikkumiste avastamist;
kontrollib juurdepääsu ruumidele ja peab jälgimise eesmärgil külastajate registrit;
tagab, et väliseid isikuid, kellele on antud juurdepääs ruumidele, saadavad nende vastava organisatsiooni nõuetekohaselt volitatud töötajad;
tagab, et seadmeid ei saa lisada, asendada ega eemaldada ilma selleks määratud vastutavate asutuste eelneva loata;
kontrollib juurdepääsu keskse turvalise sidetaristuga ühendatud muudest võrkudest ja nendele võrkudele;
tagab kesksele turvalisele sidetaristule juurdepääsu omavate isikute identimise ja autentimise;
vaatab keskset turvalist sidetaristut mõjutava turvanõuete rikkumise korral uuesti läbi sellele taristule juurdepääsuga seotud loa andmise õigused;
säilitab keskse turvalise sidetaristu kaudu edastatud teabe tervikluse;
rakendab tehnilisi ja organisatsioonilisi turvameetmeid, et hoida ära loata juurdepääs isikuandmetele;
rakendab vajaduse korral meetmeid, et blokeerida loata juurdepääs kesksele turvalisele sidetaristule e-tervise riiklike kontaktpunktide domeenist (st blokeerida asukoht/IP-aadress).
Võtab meetmeid (sealhulgas ühenduste katkestamine), et kaitsta oma domeeni olulise kõrvalekalde korral kvaliteedi- või turvapõhimõtetest ja kontseptsioonidest.
Haldab oma vastutusalaga seotud riskijuhtimiskava.
Jälgib reaalajas keskse turvalise sidetaristu teenuste kõigi teenusekomponentide toimimist, koostab korrapäraselt statistikat ja registreerib toiminguid.
Pakub keskse turvalise sidetaristu kõigi teenuste puhul inglise keeles ööpäeva- ja nädalaringset tuge telefoni, posti või veebiportaali kaudu ning võtab vastu kõnesid selleks loa saanud helistajatelt, kes on keskse turvalise sidetaristu koordinaatorid ja nende vastava kasutajatoe töötajad, projektiametnikud ja komisjonist määratud isikud.
Toetab vastutavaid töötlejaid, esitades teavet, milles käsitletakse piiriüleste e-tervise teabeteenuste jaoks ettenähtud e-tervise digiteenuste taristu keskset turvalist sidetaristut, et täita määruse (EL) 2016/679 artiklites 35 ja 36 sätestatud kohustusi.
Tagab, et keskses turvalises sidetaristus edastatavad andmed on krüpteeritud.
Võtab kõik asjakohased meetmed, et hoida ära keskse turvalise sidetaristu operaatorite loata juurdepääs edastatavatele andmetele.
Võtab meetmeid, et hõlbustada keskse turvalise sidetaristu jaoks määratud riiklike pädevate asutuste koostalitlust ja suhtlust.
II LISA
OSALEVATE LIIKMESRIIKIDE ÜLESANDED KAASVASTUTAVATE TÖÖTLEJATENA RIIKLIKE KONTAKTI TUVASTAMISE JA SELLEST TEAVITAMISE MOBIILIRAKENDUSTE VAHELISEKS PIIRIÜLESEKS ANDMETÖÖTLUSEKS ETTE NÄHTUD FÖDEREERITUD VÄRAVA PUHUL
1. JAGU
1. alajagu
Vastutusalade jaotus
1) Kaasvastutavad töötlejad töötlevad isikuandmeid födereeritud värava kaudu vastavalt e-tervise võrgustiku tehnilisele kirjeldusele ( 3 ).
2) Iga vastutav töötleja vastutab isikuandmete töötlemise eest födereeritud väravas kooskõlas isikuandmete kaitse üldmäärusega ja direktiiviga 2002/58/EÜ.
3) Iga vastutav töötleja loob üldpostkastiga varustatud kontaktpunkti, mida kasutatakse teabe vahetamiseks nii kaasvastutavate töötlejate vahel kui ka kaasvastutavate töötlejate ja volitatud töötleja vahel.
4) E-tervise võrgustiku poolt artikli 5 lõike 4 kohaselt loodud ajutisele allrühmale tehakse ülesandeks uurida kõiki probleeme, mis on seotud riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste koostalitlusvõimega ning asjaomaste isikuandmete töötlemisega kaasvastutavate töötlejate poolt, ning hõlbustada kooskõlastatud juhiste andmist komisjonile kui volitatud töötlejale. Muu hulgas võivad vastutavad töötlejad eespool nimetatud ajutise allrühma tegevuse käigus välja töötada ühise lähenemisviisi andmete säilitamiseks oma riiklikes põhiserverites, võttes arvesse födereeritud värava puhul kindlaks määratud säilitamistähtaega.
5) Juhiseid volitatud töötlejale tuleb saata kaasvastutavate töötlejate kontaktpunktide kaudu kokkuleppel teiste kaasvastutavate töötlejatega, kes kuuluvad eespool osutatud allrühma.
6) Juurdepääs kasutajate isikuandmetele, mida vahetatakse födereeritud värava kaudu, on ainult määratud riiklike asutuste või ametiasutuste volitatud isikutel.
7) Iga määratud riigiasutus või ametiasutus lakkab olemast kaasvastutav töötleja alates kuupäevast, mil ta födereeritud väravas osalemisest loobub. Ta jääb siiski vastutavaks selle töötlemise eest, mis toimus födereeritud väravas enne, kui osalemisest loobuti.
2. alajagu
Andmesubjektide taotluste käsitlemise ja teavitamisega seotud ülesanded ja vastutusvaldkonnad
1) Iga vastutav töötleja annab oma riikliku kontakti tuvastamise ja sellest teavitamise mobiilirakenduse kasutajatele (edaspidi „andmesubjektid“) teavet nende isikuandmete töötlemise kohta födereeritud väravas riiklike kontakti tuvastamise ja sellest teavitamise mobiilirakenduste piiriülese koostalitlusvõime eesmärgil kooskõlas isikuandmete kaitse üldmääruse artiklitega 13 ja 14.
2) Iga vastutav töötleja tegutseb riikliku kontakti tuvastamise ja sellest teavitamise mobiilirakenduse kasutajate kontaktpunktina ning käsitleb selliste kasutajate või nende esindajate poolt andmesubjektide õiguste kasutamiseks esitatud taotlusi kooskõlas isikuandmete kaitse üldmäärusega. Iga vastutav töötleja määrab andmesubjektidelt saadud taotlustega tegelemiseks sihtotstarbelise kontaktpunkti. Kui kaasvastutav töötleja saab andmesubjektilt taotluse, mis ei kuulu tema vastutusalasse, edastab ta selle viivitamata vastutavale kaasvastutavale töötlejale. Taotluse korral abistavad kaasvastutavad töötlejad üksteist andmesubjektide taotluste käsitlemisel ning vastavad üksteisele põhjendamatu viivituseta ja hiljemalt 15 päeva jooksul alates abitaotluse saamisest.
3) Vastutav töötleja teeb andmesubjektidele kättesaadavaks käesoleva lisa sisu, sealhulgas punktides 1 ja 2 sätestatud korra.
2. JAGU
Turvaintsidentide, sealhulgas isikuandmetega seotud rikkumiste haldamine
1) Kaasvastutavad töötlejad abistavad üksteist födereeritud väravas töötlemisega seotud turvaintsidentide, sealhulgas isikuandmetega seotud rikkumiste kindlakstegemisel ja käsitlemisel.
2) Kaasvastutavad töötlejad teavitavad üksteist eelkõige järgmisest:
födereeritud väravas töödeldavate isikuandmete kättesaadavuse, konfidentsiaalsuse ja/või terviklusega seotud võimalikud või tegelikud ohud;
födereeritud värava töötlemistoimingutega seotud turvaintsidendid;
kõik isikuandmetega seotud rikkumised, isikuandmetega seotud rikkumise tõenäolised tagajärjed ja füüsiliste isikute õigusi ja vabadusi ähvardava ohu hindamine ning kõik meetmed, mis on võetud isikuandmetega seotud rikkumise käsitlemiseks ning füüsiliste isikute õigusi ja vabadusi ähvardava riski maandamiseks;
födereeritud värava töötlemistoimingutega seotud tehniliste ja/või organisatsiooniliste kaitsemeetmete rikkumine.
3) Kaasvastutavad töötlejad teavitavad komisjoni, pädevaid järelevalveasutusi ja vajaduse korral andmesubjekte kooskõlas määruse (EL) 2016/679 artiklitega 33 ja 34 või pärast komisjonilt teate saamist kõigist isikuandmetega seotud rikkumistest, mis leiavad aset födereeritud värava töötlemistoimingute käigus.
3. JAGU
Andmekaitsealane mõjuhinnang
Kui vastutav töötleja vajab isikuandmete kaitse üldmääruse artiklites 35 ja 36 sätestatud kohustuste täitmiseks teavet teiselt vastutavalt töötlejalt, saadab ta eritaotluse 1. jao 1. alajao punktis 3 osutatud üldpostkasti. Vastutav töötleja, kellele eritaotlus esitatakse, teeb asjaomase teabe andmiseks kõik endast oleneva.
III LISA
KOMISJONI ÜLESANDED ISIKUANDMETE VOLITATUD TÖÖTLEJANA RIIKLIKE KONTAKTI TUVASTAMISE JA SELLEST TEAVITAMISE MOBIILIRAKENDUSTE VAHELISEKS PIIRIÜLESEKS ANDMETÖÖTLUSEKS ETTE NÄHTUD FÖDEREERITUD VÄRAVA PUHUL
Komisjon teeb järgmist.
Loob ja tagab turvalise ja usaldusväärse sidetaristu, mis ühendab födereeritud väravas osalevate liikmesriikide riiklikke kontakti tuvastamise ja sellest teavitamise mobiilirakendusi. Oma kohustuste täitmiseks födereeritud värava volitatud töötlejana võib komisjon kaasata alamtöötlejatena kolmandaid isikuid; komisjon teavitab kaasvastutavaid töötlejaid kõigist alamtöötlejate lisamise või asendamisega seotud kavandatavatest muudatustest, andes seeläbi vastutavatele töötlejatele võimaluse esitada selliste muudatuste suhtes ühine vastuväide vastavalt II lisa 1. jao 1. alajao punktile 4. Komisjon tagab, et nende alamtöötlejate suhtes kohaldatakse samu andmekaitsekohustusi, mis on sätestatud käesolevas otsuses.
Töötleb isikuandmeid üksnes vastutavate töötlejate dokumenteeritud juhiste alusel, välja arvatud juhul, kui nõutakse töötlemist liidu või liikmesriigi õiguse alusel; sel juhul teatab komisjon sellest õiguslikust nõudest enne isikuandmete töötlemist vastutavatele töötlejatele, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud.
Andmete töötlemine komisjoni poolt hõlmab järgmist:
riiklike põhiserverite autentimine riiklike põhiserverite sertifikaatide alusel;
käesoleva rakendusotsuse artikli 7a lõikes 3 osutatud ja riiklike põhiserverite poolt üles laaditud andmete vastuvõtmine, pakkudes rakendusliidest, mis võimaldab riiklikel põhiserveritel asjaomaseid andmeid üles laadida;
riiklikest põhiserveritest saadud andmete säilitamine födereeritud väravas;
andmete allalaadimiseks kättesaadavaks tegemine riiklikele põhiserveritele;
andmete kustutamine, kui kõik osalevad põhiserverid on need alla laadinud või 14 päeva pärast asjaomaste andmete vastuvõtmist, olenevalt sellest, kumb kuupäev on varasem;
pärast teenuse osutamise lõppu kustutatakse kõik allesjäänud andmed, välja arvatud juhul, kui liidu või liikmesriigi õigusega nõutakse isikuandmete säilitamist.
Volitatud töötleja võtab töödeldavate andmete tervikluse säilitamiseks vajalikud meetmed.
Võtab födereeritud värava haldamiseks kõik organisatsioonilised, füüsilised ja loogilised turvameetmed, mida tehnika tase võimaldab. Sel eesmärgil teeb komisjon järgmist:
määrab födereeritud värava tasandil turbehalduse eest vastutava üksuse, edastab vastutavatele töötlejatele selle kontaktandmed ja tagab, et üksus on turvaohtudele reageerimiseks kättesaadav;
vastutab födereeritud värava turvalisuse eest;
tagab, et kõikide isikute suhtes, kellele antakse födereeritud väravale juurdepääs, kehtib lepinguline, ametialane või seadusjärgne konfidentsiaalsuskohustus.
Võtab kõik vajalikud turvameetmed, et mitte ohustada riiklike põhiserverite tõrgeteta toimimist. Selleks kehtestab komisjon erimenetlused, mis on seotud ühenduse loomisega riiklike põhiserverite ja födereeritud värava vahel. See hõlmab järgmist:
riskihindamismenetlus, et teha kindlaks süsteemi võimalikud ohud ja neid hinnata;
auditeerimis- ja läbivaatamismenetlus, et:
kontrollida rakendatud turvameetmete ja kohaldatava turbepoliitika vastavust;
korrapäraselt kontrollida süsteemifailide, turvaparameetrite ja antud lubade terviklust;
teostada jälgimist, et avastada turvarikkumisi ja sissetunge;
teha muudatusi, et vältida olemasolevaid turvapuudusi, ning
anda luba, sealhulgas vastutavate töötlejate taotluse korral, korraldada sõltumatuid auditeid, sealhulgas kontrolle, ja vaadata läbi julgeolekumeetmed, tingimusel et järgitakse Euroopa Liidu toimimise lepingu protokolli (nr 7) Euroopa Liidu privileegide ja immuniteetide kohta; ( 4 )
muudatuse haldamise menetlus, et dokumenteerida ja mõõta muudatuse mõju enne selle rakendamist ning teavitada vastutavaid töötlejaid kõigist muudatustest, mis võivad mõjutada teabevahetust teiste riiklike taristutega ja/või nende turvalisust;
hooldus- ja remondimenetluse kehtestamine, et täpsustada seadmete hoolduse ja/või remondi korral kohaldatavaid eeskirju ja tingimusi;
turvaintsidentide korral kasutatava menetluse kehtestamine, et määrata kindlaks aruandlus- ja eskalatsioonikava, teavitada viivitamata vastutavaid töötlejaid ja Euroopa Andmekaitseinspektorit igast isikuandmetega seotud rikkumisest ning määrata kindlaks distsiplinaarmenetlus turvarikkumistega tegelemiseks.
Rakendab tipptasemel füüsilisi ja/või loogilisi turvameetmeid ruumides, kus asuvad födereeritud värava seadmed, ning loogiliste andmete kontrolli ja juurdepääsukontrolli puhul. Sel eesmärgil teeb komisjon järgmist:
tagab füüsilise julgeoleku, määrates eraldavad turvaperimeetrid ja võimaldades rikkumiste avastamist;
kontrollib juurdepääsu ruumidele ja peab jälgimise eesmärgil külastajate registrit;
tagab, et väliseid isikuid, kellele on antud juurdepääs ruumidele, saadavad nõuetekohaselt volitatud töötajad;
tagab, et seadmeid ei saa lisada, asendada ega eemaldada ilma selleks määratud vastutavate asutuste eelneva loata;
kontrollib riiklike põhiserverite juurdepääsu födereeritud väravale ja födereeritud värava juurdepääsu riiklikele põhiserveritele;
tagab kesksele födereeritud väravale juurdepääsu omavate isikute identimise ja autentimise;
vaatab födereeritud väravat mõjutava turvanõuete rikkumise korral uuesti läbi sellele taristule juurdepääsuga seotud loa andmise õigused;
säilitab födereeritud värava kaudu edastatud teabe tervikluse;
rakendab tehnilisi ja organisatsioonilisi turvameetmeid, et hoida ära loata juurdepääs isikuandmetele;
rakendab vajaduse korral meetmeid, et blokeerida loata juurdepääs födereeritud väravale riiklike kontaktpunktide domeenist (st blokeerida asukoht/IP-aadress).
Võtab meetmeid (sealhulgas ühenduste katkestamine), et kaitsta oma domeeni olulise kõrvalekalde korral kvaliteedi- või turvapõhimõtetest ja -kontseptsioonidest.
Haldab oma vastutusalaga seotud riskijuhtimiskava.
Jälgib födereeritud värava teenuste kõigi teenusekomponentide toimimist reaalajas, koostab korrapäraselt statistikat ja registreerib toiminguid.
Pakub födereeritud värava kõigi teenuste puhul inglise keeles ööpäeva- ja nädalaringset tuge telefoni, posti või veebiportaali kaudu ning võtab vastu kõnesid selleks loa saanud helistajatelt, kes on födereeritud värava koordinaatorid ja nende vastava kasutajatoe töötajad, projektiametnikud ja komisjonist määratud isikud.
Abistab vastutavaid töötlejaid asjakohaste tehniliste ja organisatsiooniliste meetmetega, niivõrd kui see on võimalik, et nad saaksid täita vastutava töötleja kohustust vastata isikuandmete kaitse üldmääruse III peatükis sätestatud taotlustele andmesubjekti õiguste kasutamiseks.
Toetab vastutavaid töötlejaid, esitades födereeritud väravaga seotud teavet, et nad saaksid täita isikuandmete kaitse üldmääruse artiklites 32, 35 ja 36 sätestatud kohustusi.
Tagab, et födereeritud väravas töödeldavad andmed on loetamatud kõigile isikutele, kellel ei ole juurdepääsuõigust.
Võtab kõik asjakohased meetmed, et hoida ära födereeritud värava operaatorite loata juurdepääs edastatavatele andmetele.
Võtab meetmeid, et hõlbustada födereeritud värava jaoks määratud vastutavate töötlejate koostalitlust ja suhtlust.
Peab registrit vastutavate töötlejate nimel tehtud töötlemistoimingute kohta vastavalt määruse (EL) 2018/1725 artikli 31 lõikele 2.
( 1 ) Euroopa Parlamendi ja nõukogu 22. oktoobri 2013. aasta otsus nr 1082/2013/EL tõsiste piiriüleste terviseohtude kohta ja millega tunnistatakse kehtetuks otsus nr 2119/98/EÜ (ELT L 293, 5.11.2013, lk 1).
( 2 ) Komisjoni 13. märtsi 2015. aasta otsus (EL, Euratom) 2015/444 ELi salastatud teabe kaitseks vajalike julgeolekunormide kohta (ELT L 72, 17.3.2015, lk 53).
( 3 ) Eelkõige 16. juuni 2020. aasta koostalitlusvõime spetsifikatsioonid heakskiidetud rakenduste vaheliste piiriüleste ülekandeahelate kohta, mis on kättesaadavad aadressil: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0.
( 4 ) Protokoll (nr 7) Euroopa Liidu privileegide ja immuniteetide kohta (ELT C 326, 26.10.2012, lk 266).