ISSN 1977-0812

Euroopan unionin

virallinen lehti

L 227I
European flag  

Suomenkielinen laitos

Lainsäädäntö

63. vuosikerta
16. heinäkuu 2020

Sisältö

 

II   Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset

Sivu

 

 

PÄÄTÖKSET

 

*

Komission täytäntöönpanopäätös (EU) 2020/1023, annettu 15 päivänä heinäkuuta 2020, täytäntöönpanopäätöksen (EU) 2019/1765 muuttamisesta siltä osin kuin on kyse rajat ylittävästä tietojenvaihdosta kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä COVID-19-pandemian torjumiseksi ( 1 )

1

 

 

(1)   ETA:n kannalta merkityksellinen teksti.

FI

Säädökset, joiden otsikot on painettu laihalla kirjasintyypillä, ovat maatalouspolitiikan alaan kuuluvia juoksevien asioiden hoitoon liityviä säädöksiä, joiden voimassaoloaika on yleensä rajoitettu.

Kaikkien muiden säädösten otsikot on painettu lihavalla kirjasintyypillä ja merkitty tähdellä.

II Muut kuin lainsäätämisjärjestyksessä hyväksyttävät säädökset

PÄÄTÖKSET

16.7.2020   

FI

Euroopan unionin virallinen lehti

LI 227/1

KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2020/1023,

annettu 15 päivänä heinäkuuta 2020,

täytäntöönpanopäätöksen (EU) 2019/1765 muuttamisesta siltä osin kuin on kyse rajat ylittävästä tietojenvaihdosta kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä COVID-19-pandemian torjumiseksi

(ETA: n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa 9 päivänä maaliskuuta 2011 annetun Euroopan parlamentin ja neuvoston direktiivin 2011/24/EU (1) ja erityisesti sen 14 artiklan 3 kohdan,

sekä katsoo seuraavaa:

(1)

Direktiivin 2011/24/EU 14 artiklan mukaan unioni tukee ja helpottaa yhteistyön tekemistä ja tietojen vaihtamista jäsenvaltioiden välillä vapaaehtoisessa verkostossa, joka yhdistää jäsenvaltioiden nimeämät sähköisistä terveyspalveluista vastaavat kansalliset viranomaiset, jäljempänä ’sähköisten terveyspalvelujen verkosto’.

(2)

Komission täytäntöönpanopäätöksessä (EU) 2019/1765 (2) vahvistetaan sähköisistä terveyspalveluista vastaavien kansallisten viranomaisten verkoston perustamista, hallinnointia ja toimintaa koskevat säännöt. Päätöksen 4 artiklassa annetaan sähköisten terveyspalvelujen verkoston tehtäväksi edistää kansallisten tieto- ja viestintäteknisten järjestelmien yhteentoimivuutta ja sähköisten terveystietojen siirrettävyyttä rajojen yli rajat ylittävässä terveydenhuollossa.

(3)

Covid-19-pandemian aiheuttaman kansanterveyskriisin vuoksi useat jäsenvaltiot ovat kehittäneet mobiilisovelluksia, joiden avulla voidaan helpottaa kontaktien jäljitystä sekä varoittaa tällaisten sovellusten käyttäjiä ja kehottaa heitä ryhtymään asianmukaisiin toimiin, kuten testaus tai omaehtoinen eristäytyminen, jos he ovat mahdollisesti altistuneet virukselle lähellä toista tällaisen sovelluksen käyttäjää, joka on ilmoittanut positiivisesta diagnoosista. Näissä sovelluksissa käytetään Bluetooth-tekniikkaa laitteiden välisen läheisyyden havaitsemiseen. Koska jäsenvaltioiden välistä matkustamista koskevia rajoituksia on poistettu kesäkuusta 2020 alkaen, jäsenvaltioiden välillä olisi parannettava kansallisten tieto- ja viestintäteknisten järjestelmien yhteentoimivuutta sähköisten terveyspalvelujen verkostossa ottamalla käyttöön digitaalinen infrastruktuuri, joka mahdollistaa yhteentoimivuuden kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä.

(4)

Komissio on tukenut jäsenvaltioita edellä mainittujen mobiilisovellusten osalta. Komissio antoi 8 päivänä huhtikuuta 2020 suosituksen unionin yhteisestä välineistöstä teknologian ja datan käyttöä varten covid-19-kriisin torjumiseksi ja siitä ulospääsemiseksi erityisesti mobiilisovellusten ja anonymisoidun liikkuvuusdatan käytön osalta, jäljempänä ’komission suositus’ (3). Sähköisten terveyspalvelujen verkostoon kuuluvat jäsenvaltiot hyväksyivät komission tuella mobiilisovelluksia koskevan EU:n yhteisen välineistön, jolla tuetaan kontaktien jäljittämistä (4), sekä ohjeet kontaktien jäljittämisessä käytettävien hyväksyttyjen mobiilisovellusten yhteentoimivuudesta EU:ssa (5). Välineistössä selvennetään kansallisia vaatimuksia, jotka koskevat kansallisia mobiililaitteissa käytettäviä kontaktien jäljitys- ja varoitussovelluksia, ja erityisesti sitä, että sovellusten olisi oltava vapaaehtoisia, kansallisen terveysviranomaisen hyväksymiä sekä henkilötietoja suojaavia ja sovellukset olisi poistettava käytöstä heti, kun niitä ei enää tarvita. Covid-19-kriisin viimeaikaisen kehityksen johdosta komissio (6) ja Euroopan tietosuojaneuvosto (7) ovat kumpikin antaneet ohjeita mobiilisovelluksista ja kontaktien jäljitysvälineistä tietosuojan kannalta. Jäsenvaltioiden mobiilisovellusten ja niiden yhteentoimivuuden mahdollistavan digitaalisen infrastruktuurin rakenne perustuu EU:n yhteiseen välineistöön, edellä mainittuihin ohjeisiin ja sähköisten terveyspalvelujen verkostossa sovittuihin teknisiin eritelmiin.

(5)

Kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuuden helpottamiseksi sähköisen terveydenhuollon verkostoon osallistuvat jäsenvaltiot kehittivät komission tuella tiedonvaihdon tietotekniseksi välineeksi digitaalisen infrastruktuurin, ja verkosto päätti edistää yhteistyötä tällä alalla vapaaehtoiselta pohjalta. Tästä digitaalisesta infrastruktuurista käytetään nimitystä ”yhdyskäytäväpalvelu”.

(6)

Tässä päätöksessä vahvistetaan säännökset osallistuvien jäsenvaltioiden ja komission rooleista yhdyskäytäväpalvelun toiminnassa, jossa varmistetaan kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuus rajojen yli.

(7)

Mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten käyttäjien henkilötietojen käsittely, josta jäsenvaltiot tai muut julkiset organisaatiot tai elimet jäsenvaltiossa vastaavat, olisi tehtävä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (8), jäljempänä ’yleinen tietosuoja-asetus’, ja Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (9) mukaisesti. Komission vastuulla tapahtuvassa henkilötietojen käsittelyssä yhdyskäytäväpalvelun hallinnoimiseksi ja sen turvallisuuden varmistamiseksi olisi noudatettava Euroopan parlamentin ja neuvoston asetusta (EU) 2018/1725 (10).

(8)

Yhdyskäytäväpalvelun olisi koostuttava suojatusta tietoteknisestä infrastruktuurista, joka tarjoaa yhteisen rajapinnan, jonka kautta nimetyt kansalliset viranomaiset tai viralliset elimet voivat vaihtaa vähimmäistietoja SARS-CoV-2-tartunnan saaneiden henkilöiden lähikontakteista ja siten tiedottaa heidän mahdollisesta altistumisestaan tartunnalle ja edistää terveydenhuoltoa koskevaa tehokasta yhteistyötä jäsenvaltioiden välillä helpottamalla asiaankuuluvien tietojen vaihtoa.

(9)

Sen vuoksi tässä päätöksessä olisi vahvistettava yksityiskohtaiset säännöt nimettyjen kansallisten viranomaisten tai virallisten elinten väliselle rajat ylittävälle tietojenvaihdolle EU:ssa toimivan yhdyskäytäväpalvelun kautta.

(10)

Osallistuvat jäsenvaltiot, joita edustavat nimetyt kansalliset viranomaiset tai viralliset elimet, määrittelevät yhdessä yhdyskäytäväpalvelun kautta tapahtuvan henkilötietojen käsittelyn tarkoituksen ja keinot, joten ne ovat yhteisrekisterinpitäjiä. Yleisen tietosuoja-asetuksen 26 artiklassa asetetaan henkilötietojen käsittelytoimien yhteisrekisterinpitäjille velvoite määrittää läpinäkyvällä tavalla kunkin vastuualue kyseisessä asetuksessa vahvistettujen velvoitteiden noudattamiseksi. Nämä vastuualueet voidaan määritellä myös rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä. Kunkin rekisterinpitäjän olisi varmistettava, että sillä on kansallisen tason oikeusperusta yhdyskäytäväpalvelussa tapahtuvalle käsittelylle.

(11)

Komissio, joka tarjoaa yhdyskäytäväpalvelun tekniset ja organisatoriset ratkaisut, käsittelee pseudonymisoituja henkilötietoja yhdyskäytäväpalvelussa osallistuvien jäsenvaltioiden, jotka ovat yhteisrekisterinpitäjiä, puolesta ja on näin ollen henkilötietojen käsittelijä. Yleisen tietosuoja-asetuksen 28 artiklan ja asetuksen (EU) 2018/1725 29 artiklan mukaan henkilötietojen käsittelijän suorittamaa käsittelyä on säänneltävä sopimuksella tai muulla unionin oikeuden tai jäsenvaltion lainsäädännön mukaisella oikeudellisella asiakirjalla, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa määritellään käsittely. Tässä päätöksessä vahvistetaan säännöt, jotka sääntelevät komission henkilötietojen käsittelijänä suorittamaa tietojen käsittelyä.

(12)

Kun komissio käsittelee henkilötietoja yhdyskäytäväpalvelun puitteissa, sitä sitoo komission päätös (EU, Euratom) 2017/46 (11).

(13)

Kun otetaan huomioon, että tarkoitukset, joita varten rekisterinpitäjät käsittelevät henkilötietoja mobiililaitteissa käytettävissä kansallisissa kontaktien jäljitys- ja varoitussovelluksissa, eivät välttämättä edellytä rekisteröidyn tunnistamista, rekisterinpitäjillä ei välttämättä aina ole mahdollisuutta varmistaa rekisteröityjen oikeuksien toteutumista. Yleisen tietosuoja-asetuksen 15–20 artiklassa tarkoitettuja oikeuksia ei mahdollisesti näin ollen sovelleta, jos kyseisen asetuksen 11 artiklan mukaiset edellytykset täyttyvät.

(14)

Täytäntöönpanopäätöksen (EU) 2019/1765 nykyinen liite on numeroitava uudelleen, koska päätökseen lisätään kaksi uutta liitettä.

(15)

Sen vuoksi täytäntöönpanopäätöstä (EU) 2019/1765 olisi muutettava.

(16)

Koska on tarpeen reagoida covid-19-pandemiaan kiireellisesti, tätä päätöstä olisi sovellettava sitä päivää seuraavasta päivästä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.

(17)

Euroopan tietosuojavaltuutettua on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausunnon 9 päivänä heinäkuuta 2020.

(18)

Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 2011/24/EU 16 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Muutetaan täytäntöönpanopäätös (EU) 2019/1765 seuraavasti:

1)

Lisätään 2 artiklan 1 kohtaan g, h, i, j, k, l, m, n ja o alakohta seuraavasti:

”g)

’sovelluksen käyttäjällä’ henkilöä, jonka hallussa on älylaite ja joka on ladannut hyväksytyn kontaktien jäljitykseen ja varoittamiseen käytettävän mobiilisovelluksen ja käyttää sitä;

h)

’kontaktien jäljityksellä’ toimenpiteitä sellaisten henkilöiden jäljittämiseksi, jotka ovat altistuneet Euroopan parlamentin ja neuvoston päätöksen 1082/2013/EU 3 artiklan c alakohdassa tarkoitetulle rajat ylittävän vakavan terveysuhkan lähteelle (*1);

i)

’kansallisella mobiililaitteissa käytettävällä kontaktien jäljitys- ja varoitussovelluksella’ kansallisella tasolla hyväksyttyä ohjelmistosovellusta, joka toimii älylaitteissa, erityisesti älypuhelimissa, ja joka on yleensä suunniteltu laaja-alaiseen ja kohdennettuun vuorovaikutukseen verkkoresurssien kanssa ja jossa käsitellään monilla älylaitteista löytyvillä antureilla kerättyä läheisyysdataa ja muita kontekstuaalisia tietoja SARS-CoV-2-tartunnan saaneiden henkilöiden kontaktien jäljittämiseksi ja SARS-CoV-2-tartunnalle mahdollisesti altistuneiden henkilöiden varoittamiseksi. Nämä mobiilisovellukset pystyvät havaitsemaan muut Bluetooth-tekniikkaa käyttävät laitteet ja vaihtamaan tietoja taustapalvelinten kanssa internetiä käyttäen;

j)

’yhdyskäytäväpalvelulla’ verkon yhdysväylää, jota komissio ylläpitää suojatun tietoteknisen järjestelmän avulla, joka vastaanottaa, tallentaa ja asettaa saataville vähimmäismäärän henkilötietoja jäsenvaltioiden taustapalvelimien välillä, jotta voidaan varmistaa kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuus;

k)

’avaimella’ ainutkertaista lyhytaikaista tunnistetta, joka liittyy sovelluksen käyttäjään, joka ilmoittaa saaneensa SARS-CoV-2-tartunnan tai joka on saattanut altistua SARS-CoV-2-tartunnalle;

l)

’infektion todentamisella’ SARS-CoV-2-tartunnan vahvistamiseen käytettyä menetelmää eli sitä, onko sovelluksen käyttäjä itse ilmoittanut infektion vai onko tieto saatu kansallisen terveysviranomaisen vahvistuksesta tai laboratoriotestistä;

m)

’asiaan liittyvillä mailla’ jäsenvaltioita, joissa sovelluksen käyttäjä on ollut avainten lataamista edeltäneiden 14 päivän aikana ja joissa hän on ladannut hyväksytyn kansallisen mobiililaitteissa käytettävän kontaktien jäljitys- ja varoitussovelluksen ja/tai matkustanut;

n)

’avainten alkuperämaalla’ jäsenvaltiota, jossa avaimet yhdyskäytäväpalveluun ladannut taustapalvelin sijaitsee;

o)

’lokitiedoilla’ automaattista tietuetta, joka koskee yhdyskäytäväpalvelun kautta käsiteltävien tietojen vaihtoa ja niihin pääsyyn liittyvää toimintaa ja josta käy ilmi erityisesti käsittelytoimien tyyppi, käsittelytoimien päivämäärä ja kellonaika sekä tietoja käsittelevän henkilön tunniste.

(*1)  Euroopan parlamentin ja neuvoston päätös N:o 1082/2013/EU, annettu 22 päivänä lokakuuta 2013, valtioiden rajat ylittävistä vakavista terveysuhkista ja päätöksen N:o 2119/98/EY kumoamisesta (EUVL L 293, 5.11.2013, s. 1).”"

(2)

Lisätään 4 artiklan 1 kohtaan h alakohta seuraavasti:

”h)

antaa jäsenvaltioille ohjeita henkilötietojen vaihdosta rajojen yli yhdyskäytäväpalvelun kautta kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä.”

3)

Lisätään 6 artiklan 1 kohtaan f ja g alakohta seuraavasti:

”f)

kehittää, toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia järjestelyjä, jotka liittyvät henkilötietojen siirron ja säilytyksen turvallisuuteen yhdyskäytäväpalvelussa, jotta voidaan varmistaa kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuus;

g)

tukee sähköisten terveyspalvelujen verkostoa päätettäessä siitä, noudattavatko kansalliset viranomaiset teknisesti ja organisatorisesti terveystietojen vaihtoon rajojen yli sovellettavia vaatimuksia yhdyskäytäväpalvelussa, järjestämällä ja tekemällä tarvittavat testit ja tarkastukset. Jäsenvaltioiden asiantuntijat voivat avustaa komission tarkastajia”.

(4)

Muutetaan 7 artikla seuraavasti:

a)

korvataan otsikko seuraavasti: ”Sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin kautta käsiteltävien henkilötietojen suoja”;

b)

korvataan 2 kohdan ilmaus ”liitteessä” ilmauksella ”liitteessä I”.

(5)

Lisätään 7 a artikla seuraavasti:

7 a artikla

Rajat ylittävä tietojen vaihto yhdyskäytäväpalvelun kautta kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä

1.   Kun henkilötietoja vaihdetaan yhdyskäytäväpalvelun kautta, käsittely on rajoitettava helpottamaan kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuutta yhdyskäytäväpalvelussa ja kontaktien jäljittämisen jatkuvuutta rajat ylittävissä yhteyksissä.

2.   Edellä 3 kohdassa tarkoitetut henkilötiedot on toimitettava yhdyskäytäväpalveluun pseudonymisoidussa muodossa.

3.   Yhdyskäytäväpalvelun kautta vaihdettavat ja siinä käsiteltävät pseudonymisoidut henkilötiedot voivat sisältää ainoastaan seuraavia tietoja:

a)

kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välittämät avaimet enintään 14 päivän ajalta ennen avaimien lataamista;

b)

avaimiin liittyvät lokitiedot avainten alkuperämaassa käytettyjen teknisten eritelmien protokollan mukaisesti;

c)

infektion todentaminen;

d)

asiaan liittyvät maat ja avainten alkuperämaa.

4.   Nimetyt kansalliset viranomaiset ja viralliset elimet, jotka käsittelevät henkilötietoja yhdyskäytäväpalvelussa, ovat yhdyskäytäväpalvelussa käsiteltävien tietojen yhteisrekisterinpitäjiä. Yhteisrekisterinpitäjien vastuualueet jaetaan liitteen II mukaisesti. Kunkin jäsenvaltion, joka haluaa osallistua rajat ylittävään tietojen vaihtoon kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä, on ilmoitettava komissiolle aikomuksestaan ennen liittymistä ja ilmoitettava asiasta vastaavaksi rekisterinpitäjäksi nimetty kansallinen viranomainen tai virallinen elin.

5.   Komissio toimii yhdyskäytäväpalvelussa käsiteltävien henkilötietojen käsittelijänä. Komissio varmistaa henkilötietojen käsittelijän ominaisuudessa yhdyskäytäväpalvelussa tapahtuvan henkilötietojen käsittelyn, myös siirron ja säilytyksen, turvallisuuden ja noudattaa liitteessä III vahvistettuja henkilötietojen käsittelijän velvoitteita.

6.   Komissio ja kansalliset viranomaiset, joilla on lupa päästä yhdyskäytäväpalveluun, testaavat ja arvioivat säännöllisesti niiden teknisten ja organisatoristen toimenpiteiden tehokkuutta, joilla varmistetaan yhdyskäytäväpalvelussa tapahtuvan henkilötietojen käsittelyn turvallisuus.

7.   Rajoittamatta yhteisrekisterinpitäjien päätöstä lopettaa käsittely yhdyskäytäväpalvelussa, yhdyskäytäväpalvelun toiminta on lopetettava viimeistään 14 päivän kuluttua siitä, kun kaikki verkkoon liitetyt kansalliset mobiililaitteissa käytettävät kontaktien jäljitys- ja varoitussovellukset ovat lopettaneet avainten siirron yhdyskäytäväpalvelun kautta.”

(6)

Liitteestä tulee liite I.

(7)

Lisätään liitteet II ja III, joiden teksti on tämän päätöksen liitteessä.

2 artikla

Tämä päätös tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.

Tehty Brysselissä 15 päivänä heinäkuuta 2020.

Komission puolesta

Ursula VON DER LEYEN

Puheenjohtaja

(1)  EUVL L 88, 4.4.2011, s. 45.

(2)  Komission täytäntöönpanopäätös (EU) 2019/1765, annettu 22 päivänä lokakuuta 2019, sähköisistä terveyspalveluista vastaavien kansallisten viranomaisten verkoston perustamista, hallinnointia ja toimintaa koskevista säännöistä ja täytäntöönpanopäätöksen 2011/890/EU kumoamisesta (EUVL L 270, 24.10.2019, s. 83).

(3)  Komission suositus (EU) 2020/518, annettu 8 päivänä huhtikuuta 2020, unionin yhteisestä välineistöstä teknologian ja datan käyttöä varten covid-19-kriisin torjumiseksi ja siitä ulospääsemiseksi erityisesti mobiilisovellusten ja anonymisoidun liikkuvuusdatan käytön osalta (EUVL L 114, 14.4.2020, s. 7).

(4)  https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf

(5)  https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_guidelines_en.pdf

(6)  Komission tiedonanto – Covid-19-pandemian torjuntaa tukevien sovellusten tietosuojaa koskevat ohjeet (EUVL C 124 I, 17.4.2020, s. 1).

(7)  ”Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” ja ”EDPB statement of 16 June 2020 on the data protection impact of the interoperability of contact tracing apps”. Molemmat asiakirjat ovat saatavilla osoitteessa: https://edpb.europa.eu

(8)  Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(9)  Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(10)  Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).

(11)  Komission päätös (EU, Euratom) 2017/46, annettu 10 päivänä tammikuuta 2017, viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa (EUVL L 6, 11.1.2017, s. 40). Komissio julkaisee lisätietoa Euroopan komission kaikkiin tietojärjestelmiin sovellettavista turvallisuusstandardeista osoitteessahttps://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.

LIITE

Lisätään täytäntöönpanopäätökseen (EU) 2019/1765 liitteet II ja III seuraavasti:

”LIITE II

YHDYSKÄYTÄVÄPALVELUUN OSALLISTUVIEN JÄSENVALTIOIDEN VASTUUALUEET YHTEISREKISTERINPITÄJINÄ RAJAT YLITTÄVÄÄ KÄSITTELYÄ VARTEN KANSALLISTEN MOBIILILAITTEISSA KÄYTETTÄVIEN KONTAKTIEN JÄLJITYS- JA VAROITUSSOVELLUSTEN VÄLILLÄ

I JAKSO

1 alajakso

Vastuunjako

(1)

 Yhteisrekisterinpitäjien on käsiteltävä henkilötietoja yhdyskäytäväpalvelun kautta sähköisten terveyspalvelujen verkoston vahvistamien teknisten eritelmien mukaisesti (1).

(2)

 Kukin rekisterinpitäjä vastaa henkilötietojen käsittelystä yhdyskäytäväpalvelussa yleisen tietosuoja-asetuksen ja direktiivin 2002/58/EY mukaisesti.

(3)

 Kunkin rekisterinpitäjän on perustettava yhteyspiste ja asiointipostilaatikko, jota käytetään yhteisrekisterinpitäjien välisessä sekä yhteisrekisterinpitäjien ja henkilötietojen käsittelijän välisessä viestinnässä.

(4)

 Sähköisten terveyspalvelujen verkoston 5 artiklan 4 kohdan mukaisesti perustaman tilapäisen alaryhmän tehtävänä on tarkastella kaikkia kysymyksiä, jotka liittyvät kansallisten mobiililaitteissa käytettävien jäljitys- ja varoitussovellusten yhteentoimivuuteen ja tähän liittyvään henkilötietojen käsittelyn yhteisrekisterinpitoon, sekä auttaa komissiolle henkilötietojen käsittelijänä annettavien koordinoitujen ohjeiden laadinnassa. Rekisterinpitäjät voivat tilapäisessä alaryhmässä työskennellä muun muassa löytääkseen yhteisen lähestymistavan tietojen säilyttämiseen niiden kansallisilla taustapalvelimilla, ottaen huomioon yhdyskäytäväpalvelussa asetetun säilyttämisajan.

(5)

 Minkä tahansa yhteisrekisterinpitäjän yhteyspiste voi lähettää ohjeita henkilötietojen käsittelijälle muiden edellä mainittuun alaryhmäään kuuluvien yhteisrekisterinpitäjien suostumuksella.

(6)

 Ainoastaan nimettyjen kansallisten viranomaisten tai virallisten elinten valtuuttamat henkilöt voivat päästä yhdyskäytäväpalvelussa vaihdettuihin käyttäjien henkilötietoihin.

(7)

 Kukin nimetty kansallinen viranomainen tai virallinen elin lakkaa olemasta yhteisrekisterinpitäjä siitä päivästä alkaen, jona sen osallistuminen yhdyskäytäväpalveluun lopetetaan. Se on kuitenkin edelleen vastuussa tietojen käsittelystä, joka on tapahtunut yhdyskäytäväpalvelussa ennen sen osallistumisen lopettamista.

2 alajakso

Rekisteröityjen esittämien pyyntöjen käsittelyyn ja heille tiedottamiseen liittyvät vastuut ja tehtävät

(1)

 Kunkin rekisterinpitäjän on yleisen tietosuoja-asetuksen 13 ja 14 artiklan mukaisesti annettava kansallisten mobiililaitteissa käytettävien jäljitys- ja varoitussovellusten käyttäjille, jäljempänä ’rekisteröidyt’, tiedot heidän henkilötietojensa käsittelystä, joka tapahtuu yhdyskäytäväpalvelussa kansallisten mobiililaitteissa käytettävien jäljitys- ja varoitussovellusten yhteentoimivuutta varten.

(2)

 Kunkin rekisterinpitäjän on toimittava yhteyspisteenä sen kansallisen mobiililaitteissa käytettävän jäljitys- ja varoitussovelluksen käyttäjille ja käsiteltävä rekisteröityjen tai heidän edustajiensa esittämät pyynnöt, jotka liittyvät rekisteröityjen oikeuksien käyttämiseen yleisen tietosuoja-asetuksen mukaisesti. Kunkin rekisterinpitäjän on nimettävä erityinen yhteyspiste rekisteröidyiltä saatuja pyyntöjä varten. Jos yhteisrekisterinpitäjä saa rekisteröidyltä pyynnön, joka ei kuulu sen vastuualueeseen, sen on toimitettava pyyntö viipymättä asiasta vastaavalle yhteisrekisterinpitäjälle. Yhteisrekisterinpitäjien on pyynnöstä avustettava toisiaan rekisteröityjen pyyntöjen käsittelyssä ja vastattava toisilleen ilman aiheetonta viivytystä ja viimeistään 15 päivän kuluessa avunpyynnön vastaanottamisesta.

(3)

 Kunkin rekisterinpitäjän on annettava rekisteröityjen saataville tämän liitteen sisältö, mukaan lukien 1 ja 2 kohdassa säädetyt järjestelyt.

2 JAKSO

Tietoturvapoikkeamien hallinta, mukaan lukien henkilötietojen tietoturvaloukkaukset

(1)

 Yhteisrekisterinpitäjien on avustettava toisiaan sellaisten tietoturvapoikkeamien, myös henkilötietojen tietoturvaloukkausten, tunnistamisessa ja käsittelyssä, jotka liittyvät tietojen käsittelyyn yhdyskäytäväpalvelussa.

(2)

 Yhteisrekisterinpitäjien on ilmoitettava toisilleen erityisesti seuraavista:

a)

yhdyskäytäväpalvelussa käsiteltävien henkilötietojen saatavuuteen, luottamuksellisuuteen ja/tai koskemattomuuteen mahdollisesti tai tosiasiallisesti kohdistuvat riskit

b)

kaikki tietoturvapoikkeamat, jotka liittyvät käsittelytoimiin yhdyskäytäväpalvelussa

c)

kaikki henkilötietojen tietoturvaloukkaukset, henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset ja luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin arviointi sekä kaikki toimenpiteet, joilla puututaan henkilötietojen tietoturvaloukkaukseen ja lievennetään luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä

d)

käsittelytoimien teknisten ja/tai organisatoristen suojajärjestelyjen rikkominen yhdyskäytäväpalvelussa.

(3)

 Yhteisrekisterinpitäjien on ilmoitettava kaikista yhdyskäytävässä tapahtuviin käsittelytoimiin liittyvistä henkilötietojen tietoturvaloukkauksista komissiolle, toimivaltaisille valvontaviranomaisille ja tarvittaessa rekisteröidyille asetuksen (EU) 2016/679 33 ja 34 artiklan mukaisesti tai komission ilmoitettua asiasta.

3 JAKSO

Tietosuojaa koskeva vaikutustenarviointi

Jos rekisterinpitäjä tarvitsee tietoja toiselta rekisterinpitäjältä täyttääkseen yleisen tietosuoja-asetuksen 35 ja 36 artiklassa säädetyt velvollisuutensa, sen on lähetettävä erityinen pyyntö 1 jakson 1 alajakson 3 kohdassa tarkoitettuun asiointipostilaatikkoon. Viimeksi mainitun on tehtävä parhaansa tällaisten tietojen toimittamiseksi.

LIITE III

KOMISSION VASTUUALUEET HENKILÖTIETOJEN KÄSITTELIJÄNÄ RAJAT YLITTÄVÄÄ KÄSITTELYÄ VARTEN KANSALLISTEN MOBIILILAITTEISSA KÄYTETTÄVIEN KONTAKTIEN JÄLJITYS- JA VAROITUSSOVELLUSTEN VÄLILLÄ

Komissio:

(1)

perustaa ja varmistaa sellaisen turvallisen ja luotettavan viestintäinfrastruktuurin, joka yhdistää yhdyskäytäväpalveluun osallistuvien jäsenvaltioiden kansalliset mobiililaitteissa käytettävät kontaktien jäljitys- ja varoitussovellukset. Täyttääkseen velvoitteensa yhdyskäytäväpalvelun tietojen käsittelijänä komissio voi käyttää kolmansia osapuolia alikäsittelijöinä. Komissio tiedottaa yhteisrekisterinpitäjille kaikista suunnitelluista muutoksista, jotka koskevat tietojen alikäsittelijöiden lisäämistä tai vaihtamista, ja antaa siten rekisterinpitäjille mahdollisuuden vastustaa yhdessä tällaisia muutoksia liitteessä II olevan 1 jakson 1 alajakson 4 kohdan mukaisesti. Komissio varmistaa, että näihin alikäsittelijöihin sovelletaan samoja tietosuojavelvoitteita kuin ne, jotka vahvistetaan tässä päätöksessä.

(2)

käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa komissio tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi.

(3)

Komission suorittama tietojen käsittely kattaa seuraavat:

a)

kansallisten taustapalvelimien todentaminen kansallisten taustapalvelinvarmenteiden perusteella

b)

täytäntöönpanopäätöksen 7 a artiklan 3 kohdassa tarkoitettujen, kansallisilta taustapalvelimilta ladattavien tietojen vastaanottaminen tarjoamalla sovellusrajapinta, jonka avulla kansalliset taustapalvelimet voivat ladata asiaankuuluvat tiedot

c)

tietojen säilyttäminen yhdyskäytäväpalvelussa sen jälkeen, kun ne on vastaanotettu kansallisilta taustapalvelimilta

d)

tietojen asettaminen saataville kansallisten taustapalvelimien tallennettaviksi

e)

tietojen poistaminen, kun kaikki osallistuvat taustapalvelimet ovat tallentaneet ne tai kun niiden vastaanottamisesta on kulunut 14 päivää sen mukaan, kumpi ajankohta on aikaisempi.

f)

kaikkien jäljellä olevien tietojen poistaminen palvelun tarjoamisen päätyttyä, paitsi jos unionin tai jäsenvaltion lainsäädännössä edellytetään henkilötietojen säilyttämistä.

Henkilötietojen käsittelijän on toteutettava tarvittavat toimenpiteet käsiteltävien tietojen koskemattomuuden turvaamiseksi.

(4)

toteuttaa kaikki ajanmukaiset yhdyskäytäväpalvelun ylläpitoon tarvittavat organisatoriset, fyysiset ja loogiset turvajärjestelyt. Tätä varten komissio:

a)

nimeää tahon, joka vastaa turvallisuudenhallinnasta yhdyskäytäväpalvelun tasolla, ilmoittaa rekisterinpitäjille sen yhteystiedot ja huolehtii siitä, että se on käytettävissä turvallisuusuhkiin reagoimiseksi

b)

ottaa vastuun yhdyskäytäväpalvelun turvallisuudesta

c)

varmistaa, että kaikkiin henkilöihin, joille myönnetään yhdyskäytäväpalvelun käyttöoikeus, sovelletaan sopimukseen perustuvaa, ammatillista tai lakisääteistä salassapitovelvollisuutta.

(5)

toteuttaa kaikki tarvittavat turvatoimet, jotta vältetään kansallisten taustapalvelimien sujuvan toiminnan vaarantuminen. Tätä varten komissio ottaa käyttöön erityiset menettelyt, jotka koskevat yhteyttä taustapalvelimilta yhdyskäytäväpalveluun. Tämä kattaa seuraavat:

a)

riskinarviointimenettely, jolla tunnistetaan ja arvioidaan mahdolliset järjestelmään kohdistuvat uhat

b)

tarkastus- ja valvontamenettely, jolla

i.

tarkastetaan, että toteutetut turvatoimet ja sovellettava turvasäännöstö vastaavat toisiaan

ii.

tarkastetaan säännöllisesti järjestelmätiedostojen eheys, turvaparametrit ja myönnetyt käyttöluvat

iii.

suoritetaan valvontaa tietoturvapoikkeamien ja järjestelmään tunkeutumisen havaitsemiseksi

iv.

tehdään muutokset tunnettujen turvallisuuspuutteiden lieventämiseksi ja

v.

annetaan, myös rekisterinpitäjien pyynnöstä, mahdollisuus suorittaa riippumattomia tarkastuksia, myös tarkastuskäyntejä, ja valvontatoimia, jotka liittyvät turvatoimenpiteisiin, ja myötävaikutetaan niihin, noudattaen ehtoja, joissa kunnioitetaan Euroopan unionin toiminnasta tehtyyn sopimukseen liitettyä pöytäkirjaa (N:o 7) Euroopan unionin erioikeuksista ja vapauksista (2).

c)

muutoksenvalvontamenettely, jolla dokumentoidaan ja mitataan muutoksen vaikutus ennen sen toteuttamista ja pidetään rekisterinpitäjät ajan tasalla muutoksista, jotka voivat vaikuttaa viestintään niiden infrastruktuurien kanssa ja/tai näiden turvallisuuteen

d)

sellaisen huolto- ja korjausmenettelyn luominen, jossa määritellään säännöt ja ehdot, joita on noudatettava, kun laitteisto kaipaa huoltoa ja/tai korjausta

e)

sellaisen tietoturvapoikkeamamenettelyn luominen, jossa määritellään raportointi- ja eskalointimenettely ja jolla mahdollisesta tietoturvaloukkauksesta ilmoitetaan viipymättä rekisterinpitäjille ja Euroopan tietosuojavaltuutetulle ja jossa määritellään tietoturvaloukkauksissa sovellettava kurinpitomenettely.

(6)

toteuttaa ajanmukaisia fyysisiä ja/tai loogisia turvajärjestelyjä, joita sovelletaan niihin yksiköihin, jotka isännöivät yhdyskäytäväpalveluun kuuluvia laitteita sekä loogisten tietojen ja suojatun pääsyn valvontaan. Tätä varten komissio:

a)

toteuttaa fyysiseen turvallisuuteen liittyviä toimenpiteitä, joiden avulla perustetaan selkeät turva-alueet ja voidaan havaita tietoturvaloukkaukset

b)

valvoo yksiköihin pääsyä ja pitää vierailijarekisteriä jäljittämisen mahdollistamiseksi

c)

varmistaa, että ulkopuolisilla henkilöillä, joille on myönnetty pääsy tiloihin, on asianmukaisesti valtuutettu henkilöstön jäsen saattajana

d)

varmistaa, että laitteita ei voida lisätä, korvata tai poistaa ilman nimettyjen vastuussa olevien elinten ennakolta myöntämää lupaa

e)

valvoo pääsyä kansallisilta taustapalvelimilta yhdyskäytäväpalveluun ja päinvastoin

f)

varmistaa, että yhdyskäytäväpalveluun pääsevät henkilöt tunnistetaan ja heidän henkilöllisyytensä varmistetaan

g)

tarkastelee yhdyskäytäväpalvelun käyttöön oikeuttavia valtuutuksia uudelleen, jos ilmenee infrastruktuuriin vaikuttava tietoturvaloukkaus

h)

säilyttää yhdyskäytäväpalvelun kautta välitettyjen tietojen koskemattomuuden

i)

toteuttaa teknisiä ja organisatorisia turvajärjestelyjä, joilla estetään luvaton pääsy henkilötietoihin

j)

toteuttaa tarvittaessa toimenpiteitä, joilla estetään luvaton pääsy yhdyskäytäväpalveluun kansallisten viranomaisten verkkoalueelta (ts. estetään sijainti tai IP-osoite).

(7)

toteuttaa toimenpiteet verkkoalueensa suojelemiseksi, mukaan luettuna yhteyksien katkaiseminen, jos laatuun ja turvallisuuteen liittyvistä periaatteista ja toimintamalleista poiketaan merkittävästi.

(8)

pitää yllä vastuualueeseensa liittyvää riskinhallintasuunnitelmaa.

(9)

seuraa tosiaikaisesti kaikkien yhdyskäytäväpalvelun palvelukomponenttien toimivuutta, laatii säännöllisesti tilastoja ja huolehtii kirjanpidosta.

(10)

tarjoaa kaikkiin yhdyskäytäväpalvelun palveluihin liittyvää tukea englanniksi vuorokauden ympäri puhelimitse, postitse tai verkkoportaalin kautta ja vastaa valtuutettujen tahojen yhteydenottoihin. Valtuutettuja tahoja ovat yhdyskäytäväpalvelun koordinaattorit ja niiden neuvontapalvelut, hankevastaavat ja komission palveluksessa olevat nimetyt henkilöt.

(11)

avustaa rekisterinpitäjiä mahdollisuuksien mukaan asianmukaisin teknisin ja organisatorisin toimenpitein, jotta rekisterinpitäjät voivat täyttää velvollisuutensa vastata pyyntöihin, jotka koskevat yleisen tietosuoja-asetuksen III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä.

(12)

tukee rekisterinpitäjiä antamalla tietoja yhdyskäytäväpalvelusta, jotta voidaan panna täytäntöön yleisen tietosuoja-asetuksen 32, 35 ja 36 artiklan mukaiset velvoitteet.

(13)

varmistaa, että yhdyskäytäväpalvelussa käsiteltävät tiedot eivät ole sellaisille henkilöille ymmärrettävässä muodossa, joilla ei ole lupaa päästä tietoihin.

(14)

toteuttaa kaikki tarvittavat toimenpiteet sen estämiseksi, että yhdyskäytäväpalvelun operaattoreilla olisi luvaton pääsy siirrettyihin tietoihin.

(15)

toteuttaa toimenpiteitä, joilla helpotetaan yhteentoimivuutta ja viestintää yhdyskäytäväpalvelun nimettyjen rekisterinpitäjien välillä.

(16)

ylläpitää rekisterinpitäjien puolesta selostetta suoritetuista käsittelytoimista asetuksen (EU) 2018/1725 31 artiklan 2 kohdan mukaisesti.

(1)  Erityisesti 16 päivänä kesäkuuta 2020 hyväksytyt rajat ylittävien tartuntaketjujen jäljittämisessä käytettävien sovellusten yhteentoimivuutta koskevat eritelmät osoitteessa: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0.

(2)  Pöytäkirja (N:o 7) Euroopan unionin erioikeuksista ja vapauksista (EUVL C 326, 26.10.2012, s. 266).