EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 5cd081b0-cd14-11ea-adf7-01aa75ed71a1
Commission Implementing Decision 2019/1765 of 22 October 2019 providing the rules for the establishment, the management and the functioning of the network of national authorities responsible for eHealth, and repealing Implementing Decision 2011/890/EU (notified under document C(2019) 7460) (Text with EEA relevance)Text with EEA relevance
Consolidated text: Provedbena odluka Komisije (EU) 2019/1765 оd 22. listopada 2019. o utvrđivanju pravila za uspostavu, upravljanje i funkcioniranje mreže nacionalnih tijela odgovornih za e-zdravstvo i o stavljanju izvan snage Provedbene odluke 2011/890/EU (priopćeno pod brojem dokumenta C(2019) 7460) (Tekst značajan za EGP)Tekst značajan za EGP
Provedbena odluka Komisije (EU) 2019/1765 оd 22. listopada 2019. o utvrđivanju pravila za uspostavu, upravljanje i funkcioniranje mreže nacionalnih tijela odgovornih za e-zdravstvo i o stavljanju izvan snage Provedbene odluke 2011/890/EU (priopćeno pod brojem dokumenta C(2019) 7460) (Tekst značajan za EGP)Tekst značajan za EGP
02019D1765 — HR — 17.07.2020 — 001.001
Ovaj je tekst namijenjen isključivo dokumentiranju i nema pravni učinak. Institucije Unije nisu odgovorne za njegov sadržaj. Vjerodostojne inačice relevantnih akata, uključujući njihove preambule, one su koje su objavljene u Službenom listu Europske unije i dostupne u EUR-Lexu. Tim službenim tekstovima može se izravno pristupiti putem poveznica sadržanih u ovom dokumentu.
|
PROVEDBENA ODLUKA KOMISIJE (EU) 2019/1765 оd 22. listopada 2019. o utvrđivanju pravila za uspostavu, upravljanje i funkcioniranje mreže nacionalnih tijela odgovornih za e-zdravstvo i o stavljanju izvan snage Provedbene odluke 2011/890/EU (priopćeno pod brojem dokumenta C(2019) 7460) ( L 270 24.10.2019, 83) |
Koju je izmijenila:
|
|
|
|||
|
br. |
stranica |
datum |
||
|
PROVEDBENA ODLUKA KOMISIJE (EU) 2020/1023 Tekst značajan za EGP оd 15. srpnja 2020. |
L 227I |
1 |
16.7.2020 |
|
PROVEDBENA ODLUKA KOMISIJE (EU) 2019/1765
оd 22. listopada 2019.
o utvrđivanju pravila za uspostavu, upravljanje i funkcioniranje mreže nacionalnih tijela odgovornih za e-zdravstvo i o stavljanju izvan snage Provedbene odluke 2011/890/EU
(priopćeno pod brojem dokumenta C(2019) 7460)
(Tekst značajan za EGP)
Članak 1.
Predmet
Ovom se Odlukom utvrđuju pravila potrebna za uspostavu, upravljanje i funkcioniranje mreže e-zdravstva nacionalnih tijela odgovornih za e-zdravstvo, kako je predviđeno člankom 14. Direktive 2011/24/EU.
Članak 2.
Definicije
1. Za potrebe ove Odluke:
„mreža e-zdravstva” znači dobrovoljna mreža kojom se povezuju nacionalna tijela odgovorna za e-zdravstvo koja su imenovale države članice i kojom se nastoje ostvariti ciljevi utvrđeni u članku 14. Direktive 2011/24/EU;
„nacionalne kontaktne točke za e-zdravstvo” znači organizacijske i tehničke točke za pružanje prekograničnih usluga informiranja u području e-zdravstva u nadležnosti država članica;
„prekogranične usluge informiranja u području e-zdravstva” znači postojeće usluge koje se obrađuju u nacionalnim kontaktnim točkama za e-zdravstvo i na platformi osnovnih usluga koju je Komisija razvila za potrebe prekogranične zdravstvene skrbi;
„infrastruktura digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva” znači infrastruktura koja omogućuje pružanje prekograničnih usluga informiranja u području e-zdravstva putem nacionalnih kontaktnih točaka za e-zdravstvo i europske platforme osnovnih usluga. Ta infrastruktura uključuje generičke usluge, kako su definirane u članku 2. stavku 2. točki (e) Uredbe (EU) br. 283/2014, koje razvijaju države članice i platformu osnovnih usluga, kako je definirana u članku 2. stavku 2. točki (d) te uredbe, koju je razvila Komisija;
„druge zajedničke europske usluge e-zdravstva” znači digitalne usluge koje se mogu razviti u okviru mreže e-zdravstva i koje države članice mogu dijeliti;
„model upravljanja” znači skup pravila o imenovanju tijela koja sudjeluju u postupku donošenja odluka o infrastrukturi digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva ili druge zajedničke europske usluge e-zdravstva razvijene u okviru mreže e-zdravstva te opis tih postupaka;
„korisnik aplikacije” znači osoba koja posjeduje pametni uređaj i koja je preuzela i koristi odobrenu mobilnu aplikaciju za praćenje kontakata i upozoravanje;
„praćenje kontakata” znači mjere koje se provode radi pronalaženja osoba koje su bile izložene izvoru ozbiljne prekogranične prijetnje zdravlju u smislu članka 3. točke (c) Odluke br. 1082/2013/EU Europskog parlamenta i Vijeća ( 1 );
„nacionalna mobilna aplikacija za praćenje kontakata i upozoravanje” znači softverska aplikacija odobrena na nacionalnoj razini koja radi na pametnim uređajima, posebno pametnim telefonima, obično namijenjena za široku i ciljanu interakciju s mrežnim resursima, koja obrađuje proksimitetne podatke i druge kontekstualne informacije koje prikupljaju brojni senzori koji se nalaze u pametnim uređajima u svrhu praćenja kontakata s osobama zaraženima virusom SARS-CoV-2 i upozoravanja osoba koje su možda bile izložene virusu SARS-CoV-2. Te mobilne aplikacije mogu otkriti prisutnost drugih uređaja koji koriste Bluetooth i razmjenjivati informacije s backend poslužiteljima putem interneta;
„federacijski pristupnik” znači mrežni pristupnik kojim upravlja Komisija putem sigurnog informatičkog alata koji prima, pohranjuje i stavlja na raspolaganje minimalni skup osobnih podataka među backend poslužiteljima država članica u svrhu osiguravanja interoperabilnosti nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje;
„ključ” znači jedinstveni kratkotrajni identifikator povezan s korisnikom aplikacije koji je prijavio da je zaražen virusom SARS-CoV-2 ili da je možda bio izložen virusu SARS-CoV-2;
„potvrda zaraze” znači metoda potvrđivanja zaraze virusom SARS-CoV-2, odnosno je li zarazu prijavio sam korisnik aplikacije ili ju je potvrdilo nacionalno zdravstveno tijelo ili laboratorijski test;
„zemlje interesa” znači država članica ili države članice u kojima je korisnik aplikacije boravio tijekom 14 dana prije datuma učitavanja ključeva i u kojima je preuzeo odobrenu nacionalnu mobilnu aplikaciju za praćenje kontakata i upozoravanje i/ili kroz koje je putovao;
„zemlja podrijetla ključeva” znači država članica u kojoj se nalazi backend poslužitelj koji je učitao ključeve u federacijski pristupnik;
„podaci iz zapisnika” znači automatski zapis aktivnosti u vezi s razmjenom i pristupom podacima obrađenima putem federacijskog pristupnika koji konkretno pokazuje vrstu aktivnosti obrade, datum i vrijeme aktivnosti obrade te identifikator osobe koja obrađuje podatke.
2. Definicije iz članka 4. točaka 1., 2., 7. i 8. Uredbe (EU) 2016/679 primjenjuju se na odgovarajući način.
Članak 3.
Članstvo u mreži e-zdravstva
1. Članovi mreže e-zdravstva tijela su država članica odgovorna za e-zdravstvo koja imenuju države članice koje sudjeluju u mreži e-zdravstva.
2. Države članice koje žele sudjelovati u mreži e-zdravstva obavješćuju Komisiju u pisanom obliku o sljedećem:
odluci o sudjelovanju u mreži e-zdravstva;
nacionalnom tijelu odgovornom za e-zdravstvo koje će se učlaniti u mrežu e-zdravstva te imenu predstavnika i njegova zamjenika.
3. Članovi obavješćuju Komisiju u pisanom obliku o sljedećem:
odluci o povlačenju iz mreže e-zdravstva;
svakoj promjeni informacija iz stavka 2. točke (b).
4. Komisija objavljuje popis članova koji sudjeluju u mreži e-zdravstva.
Članak 4.
Aktivnosti mreže e-zdravstva
1. U ostvarivanju cilja iz članka 14. stavka 2. točke (a) Direktive 2011/24/EU mreža e-zdravstva može posebno:
omogućiti veću interoperabilnost nacionalnih sustava informacijskih i komunikacijskih tehnologija te prekograničnu prenosivost elektroničkih zdravstvenih podataka u prekograničnoj zdravstvenoj skrbi;
u suradnji s drugim nadležnim nadzornim tijelima državama članicama osigurati smjernice za razmjenu zdravstvenih podataka među državama članicama i omogućavanje građanima da pristupe svojim zdravstvenim podacima te da ih dijele;
državama članicama osigurati smjernice i olakšati razmjenu dobrih praksi u vezi s razvojem različitih digitalnih zdravstvenih usluga, kao što je telemedicina, m-zdravstvo ili nove tehnologije u području velikih podataka i umjetne inteligencije, uzimajući u obzir postojeće mjere na razini EU-a;
državama članicama osigurati smjernice za lakše promicanje zdravlja, sprečavanje bolesti i poboljšano pružanje zdravstvene skrbi boljom uporabom zdravstvenih podataka i poboljšanjem digitalnih vještina pacijenata i zdravstvenih djelatnika;
državama članicama osigurati smjernice i olakšati dobrovoljnu razmjenu najboljih praksi u području ulaganja u digitalnu infrastrukturu;
u suradnji s drugim relevantnim tijelima i dionicima državama članicama osigurati smjernice za primjere uporabe potrebne za kliničku interoperabilnost i sredstva za njezino postizanje;
u bliskoj suradnji sa skupinom za suradnju u području mrežne i informacijske sigurnosti, s Agencijom Europske unije za mrežnu i informacijsku sigurnost i, prema potrebi, s nacionalnim tijelima, državama članicama osigurati smjernice za sigurnost infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva ili drugih zajedničkih europskih usluga e-zdravstva razvijenih u okviru mreže e-zdravstva, uzimajući u obzir zakonodavstvo i dokumente izrađene na razini Unije, posebno u području sigurnosti, te preporuke u području kibersigurnosti;
pružati smjernice državama članicama o prekograničnoj razmjeni osobnih podataka putem federacijskog pristupnika među nacionalnim mobilnim aplikacijama za praćenje kontakata i upozoravanje.
2. Pri sastavljanju smjernica o učinkovitim metodama za omogućavanje uporabe medicinskih podataka za javno zdravstvo i istraživanje iz članka 14. stavka 2. točke (b) podtočke ii. Direktive 2011/24/EU mreža e-zdravstva uzima u obzir smjernice koje je donio Europski odbor za zaštitu podataka te se prema potrebi s njim savjetuje. Te se smjernice mogu odnositi i na informacije koje se razmjenjuju putem infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva ili drugih zajedničkih europskih usluga e-zdravstva.
Članak 5.
Funkcioniranje mreže e-zdravstva
1. Mreža e-zdravstva utvrđuje poslovnik običnom većinom glasova svojih članova.
2. Mreža e-zdravstva donosi višegodišnji program rada i instrument evaluacije provedbe tog programa.
3. Radi obavljanja svojih zadaća mreža e-zdravstva može osnovati trajne podskupine za specifične zadaće, posebno u vezi s infrastrukturom digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva ili drugim zajedničkim europskim uslugama e-zdravstva razvijenima u okviru mreže e-zdravstva.
4. Mreža e-zdravstva može osnovati i privremene podskupine, među ostalim sa stručnjacima za preispitivanje konkretnih pitanja na temelju opisa posla koji sama definira. Takve se skupine raspuštaju čim ispune svoj mandat.
5. Ako članovi mreže e-zdravstva odluče unaprijediti suradnju u nekim područjima obuhvaćenima zadaćama mreže e-zdravstva, trebali bi usuglasiti pravila o naprednoj suradnji i na njih se obvezati.
6. U ostvarivanju svojih ciljeva mreža e-zdravstva blisko surađuje u okviru zajedničkih djelovanja kojima se podupiru aktivnosti mreže e-zdravstva ako takva djelovanja postoje i s dionicima ili drugim povezanim tijelima ili potpornim mehanizmima te uzima u obzir rezultate ostvarene u okviru tih aktivnosti.
7. Mreža e-zdravstva zajedno s Komisijom izrađuje modele upravljanja infrastrukturom digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva i u tom upravljanju sudjeluje tako što:
dogovara prioritete infrastrukture digitalnih usluga e-zdravstva i nadgleda njihovu provedbu;
sastavlja smjernice i zahtjeve za djelovanje, uključujući odabir standarda koji se upotrebljavaju za infrastrukturu digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva;
dogovara hoće li se članovima mreže e-zdravstva dopustiti početak i nastavak razmjene elektroničkih zdravstvenih podataka s pomoću infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva putem njihovih nacionalnih kontaktnih točaka za e-zdravstvo na temelju njihove usklađenosti sa zahtjevima koje je utvrdila mreža e-zdravstva, ocijenjene u ispitivanjima i revizijama koje je provela Komisija;
odobrava godišnji plan rada infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva.
8. Mreža e-zdravstva može zajedno s Komisijom izraditi modele upravljanja za druge zajedničke europske usluge e-zdravstva razvijene u okviru mreže e-zdravstva i sudjelovati u njihovu upravljanju. Mreža, zajedno s Komisijom, može odrediti prioritete i sastaviti smjernice za funkcioniranje tih zajedničkih europskih usluga e-zdravstva.
9. Poslovnikom se može predvidjeti da zemlje koje nisu države članice a primjenjuju Direktivu 2011/24/EU sudjeluju na sastancima mreže e-zdravstva kao promatrači.
10. Članovi mreže e-zdravstva i njihovi predstavnici te pozvani stručnjaci i promatrači poštuju obvezu čuvanja poslovne tajne koja je propisana člankom 339. Ugovora i pravila Komisije o sigurnosti u pogledu zaštite povjerljivih podataka EU-a propisana Odlukom Komisije (EU, Euratom) 2015/444 ( 2 ). Ako tu obvezu ne poštuju, predsjednik mreže e-zdravstva može poduzeti sve odgovarajuće mjere predviđene poslovnikom.
Članak 6.
Odnos mreže e-zdravstva i Komisije
1. Komisija:
prisustvuje i supredsjeda sastancima mreže e-zdravstva zajedno s predstavnikom članova;
surađuje s mrežom e-zdravstva i pruža joj potporu u vezi s njezinim aktivnostima;
osigurava tajničke usluge za mrežu e-zdravstva;
razvija, provodi i ažurira odgovarajuće tehničke i organizacijske mjere povezane s osnovnim uslugama infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva;
podupire mrežu e-zdravstva u usuglašavanju tehničke i organizacijske usklađenosti nacionalnih kontaktnih točaka za e-zdravstvo sa zahtjevima za prekograničnu razmjenu zdravstvenih podataka tako što osigurava i provodi potrebna ispitivanja i revizije. Stručnjaci iz država članica mogu pomagati revizorima Komisije;
razvija, provodi i održava odgovarajuće tehničke i organizacijske mjere povezane sa sigurnošću prijenosa i pohranom osobnih podataka u federacijskom pristupniku kako bi se osigurala interoperabilnost nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje;
podupire mrežu e-zdravstva u usuglašavanju tehničke i organizacijske usklađenosti nacionalnih tijela sa zahtjevima za prekograničnu razmjenu osobnih podataka u federacijskom pristupniku tako što osigurava i provodi potrebna ispitivanja i revizije. Stručnjaci iz država članica mogu pružati pomoć revizorima Komisije.
2. Komisija može prisustvovati sastancima podskupina mreže e-zdravstva.
3. Komisija se može savjetovati s mrežom e-zdravstva o pitanjima koja se odnose na e-zdravstvo na razini Unije i razmjenu najboljih praksi u području e-zdravstva.
4. Komisija objavljuje informacije o aktivnostima mreže e-zdravstva.
Članak 7.
Zaštita osobnih podataka obrađenih putem infrastrukture digitalnih usluga e-zdravstva
1. Države članice, koje predstavljaju relevantna nacionalna tijela ili druga imenovana tijela, smatraju se voditeljima obrade osobnih podataka koje obrađuju putem infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva te na jasan i transparentan način dodjeljuju odgovornosti voditeljima obrade.
2. Komisija se smatra izvršiteljem obrade osobnih podataka pacijenata koji se obrađuju putem infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva. Komisija kao izvršitelj obrade upravlja osnovnim uslugama infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva te poštuje obveze izvršitelja obrade utvrđene u ►M1 Prilog I. ◄ ovoj Odluci. Komisija nema pristup osobnim podacima pacijenata koji se obrađuju putem infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva.
3. Komisija se smatra voditeljem obrade osobnih podataka potrebnih za dodjelu prava pristupa osnovnim uslugama infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva i upravljanje tim pravima. Riječ je o kontaktnim podacima korisnika, uključujući ime, prezime, adresu e-pošte i njihovu funkciju.
Članak 7.a
Prekogranična razmjena podataka među nacionalnim mobilnim aplikacijama zapraćenje kontakata i upozoravanje putem federacijskog pristupnika
1. Ako se osobni podaci razmjenjuju putem federacijskog pristupnika, obrada je ograničena na potrebe olakšavanja interoperabilnosti nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje u federacijskom pristupniku te kontinuiteta praćenja kontakata u prekograničnom kontekstu.
2. Osobni podaci iz stavka 3. prenose se u federacijski pristupnik u pseudonimiziranom obliku.
3. Pseudonimizirani osobni podaci koji se razmjenjuju putem federacijskog pristupnika i obrađuju u njemu sadržavaju samo sljedeće informacije:
ključevi poslani putem nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje do 14 dana prije datuma učitavanja ključeva;
podaci iz zapisnika povezani s ključevima u skladu s protokolom tehničkih specifikacija koji se upotrebljava u zemlji podrijetla ključeva;
potvrda zaraze;
zemlje interesa i zemlje podrijetla ključeva.
4. Imenovana nacionalna tijela ili službena tijela koja obrađuju osobne podatke u federacijskom pristupniku zajednički su voditelji obrade podataka koji se obrađuju u federacijskom pristupniku. Odgovornosti zajedničkih voditelja dodjeljuju se u skladu s Prilogom II. Svaka država članica koja želi sudjelovati u prekograničnoj razmjeni podataka među nacionalnim mobilnim aplikacijama za praćenje kontakata i upozoravanje prije pridruživanja o svojoj namjeri obavještava Komisiju te navodi nacionalno tijelo ili službeno tijelo koje je imenovano nadležnim voditeljem obrade.
5. Komisija je izvršitelj obrade osobnih podataka koji se obrađuju u federacijskom pristupniku. Komisija kao izvršitelj obrade osigurava sigurnost obrade, uključujući prijenos i pohranu, osobnih podataka u federacijskom pristupniku te poštuje obveze izvršitelja obrade utvrđene u Prilogu III.
6. Učinkovitost tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade osobnih podataka u federacijskom pristupniku redovito ispituju, ocjenjuju i evaluiraju Komisija i nacionalna tijela ovlaštena za pristup federacijskom pristupniku.
7. Ne dovodeći u pitanje odluku zajedničkih voditelja obrade o prekidu obrade u federacijskom pristupniku, rad federacijskog pristupnika deaktivira se najkasnije 14 dana nakon što sve povezane nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje prestanu prenositi ključeve putem federacijskog pristupnika.
Članak 8.
Troškovi
1. Sudionici u aktivnostima mreže e-zdravstva od Komisije ne primaju naknadu za svoje usluge.
2. Putne troškove i troškove boravka sudionika u aktivnostima mreže e-zdravstva Komisija nadoknađuje u skladu s odredbama na snazi u okviru Komisije o naknadi troškova osobama izvan Komisije koje su pozvane na sudjelovanje u sastancima u svojstvu stručnjaka. Naknade tih troškova isplaćuju se u granicama raspoloživih odobrenih sredstava raspoređenih u okviru godišnjeg postupka raspodjele sredstava.
Članak 9.
Stavljanje izvan snage
Provedbena odluka 2011/890/EU stavlja se izvan snage. Upućivanja na Odluku stavljenu izvan snage tumače se kao upućivanja na ovu Odluku.
Članak 10.
Adresati
Ova je Odluka upućena državama članicama.
PRILOG I
Odgovornosti komisije kao izvršitelja obrade podataka za infrastrukturu digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva
Komisija:
Uspostavlja i osigurava sigurnu i pouzdanu komunikacijsku infrastrukturu kojom se povezuju mreže članova mreže e-zdravstva uključenih u infrastrukturu digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva („središnja sigurna komunikacijska infrastruktura”). Kako bi ispunila svoje obveze, Komisija može angažirati treće strane. Komisija osigurava da se na te treće strane primjenjuju obveze zaštite podataka koje su utvrđene u ovoj Odluci.
Konfigurira dio središnje sigurne komunikacijske infrastrukture kako bi nacionalne kontaktne točke za e-zdravstvo mogle sigurno, pouzdano i učinkovito razmjenjivati informacije.
Komisija obrađuje osobne podatke prema zabilježenim uputama voditelja obrade.
Poduzima sve organizacijske, fizičke i logične sigurnosne mjere za održavanje središnje sigurne komunikacijske infrastrukture. U tu svrhu Komisija:
imenuje subjekt odgovoran za upravljanje sigurnošću na razini središnje sigurne komunikacijske infrastrukture, voditeljima obrade podataka dostavlja njegove podatke za kontakt i osigurava njegovu spremnost za reagiranje na sigurnosne prijetnje;
preuzima odgovornost za sigurnost središnje sigurne komunikacijske infrastrukture;
osigurava da sve osobe kojima je odobren pristup središnjoj sigurnoj komunikacijskoj infrastrukturi budu obuhvaćene ugovornom, profesionalnom ili zakonskom obvezom povjerljivosti;
osigurava da osoblje koje ima pristup povjerljivim podacima ispunjava odgovarajuće kriterije sigurnosne provjere i povjerljivosti.
Poduzima sve potrebne sigurnosne mjere kako bi se izbjeglo ugrožavanje neometanog funkcioniranja domene drugih. U tu svrhu Komisija uvodi posebne postupke povezivanja sa središnjom sigurnom komunikacijskom infrastrukturom. Te informacije uključuju:
postupak procjene rizika za utvrđivanje i procjenu mogućih prijetnji sustavu;
postupak revizije i preispitivanja radi:
provjere usklađenosti provedenih sigurnosnih mjera i sigurnosne politike koja se provodi;
redovite kontrole cjelovitosti datoteka sustava, sigurnosnih parametara i dodijeljenih odobrenja;
otkrivanja povreda sigurnosti i neovlaštenog pristupa;
provedbe promjena kako bi se izbjegle postojeće sigurnosne slabosti i
utvrđivanja uvjeta za odobravanje, među ostalim na zahtjev voditelja obrade, provođenja neovisnih revizija, uključujući inspekcije, i preispitivanja sigurnosnih mjera te za doprinos njima.
postupak nadzora promjena radi dokumentiranja i mjerenja učinka promjene prije njezine provedbe i kako bi se nacionalne kontaktne točke za e-zdravstvo obavijestile o svim promjenama koje mogu utjecati na komunikaciju s drugim nacionalnim infrastrukturama i/ili njihovu sigurnost;
postupak održavanja i popravka radi utvrđivanja pravila i uvjeta koje treba slijediti pri održavanju i/ili popravku opreme;
postupak u slučaju sigurnosnog incidenta radi utvrđivanja programa izvješćivanja i širenja djelovanja, obavješćivanja bez odgode odgovorne nacionalne uprave i Europskog nadzornika za zaštitu podataka o svakoj povredi sigurnosti te određivanja disciplinskog postupka u svrhu rješavanja takvih povreda.
Poduzima fizičke i/ili logičke sigurnosne mjere za objekte u kojima je smještena oprema za središnju sigurnu komunikacijsku infrastrukturu i za kontrolu logičkih podataka i sigurnosnog pristupa. U tu svrhu Komisija:
osigurava fizičku sigurnost kako bi se uspostavila specifična sigurnosna područja i omogućilo otkrivanje kršenja;
nadzire pristup objektima i vodi registar posjetitelja u svrhu praćenja;
osigurava da propisno ovlašteno osoblje dotične organizacije prati vanjske osobe kojima je omogućen pristup;
osigurava da se oprema ne može dopuniti, zamijeniti ili ukloniti bez prethodnog odobrenja imenovanih odgovornih tijela;
nadzire pristup iz druge mreže ili drugih mreža povezanih sa središnjom sigurnom komunikacijskom infrastrukturom;
osigurava da se osobe koje pristupaju središnjoj sigurnoj komunikacijskoj infrastrukturi identificiraju i provjere;
preispituje prava na odobrenje povezana s pristupom središnjoj sigurnoj komunikacijskoj infrastrukturi u slučaju povrede sigurnosti koja utječe na tu infrastrukturu;
održava cjelovitost prenesenih informacija putem središnje sigurne komunikacijske infrastrukture;
provodi tehničke i organizacijske sigurnosne mjere kako bi se spriječio neovlašten pristup osobnim podacima;
provodi, kad god je potrebno, mjere za sprečavanje neovlaštenog pristupa središnjoj sigurnoj komunikacijskoj infrastrukturi iz domene nacionalnih kontaktnih točaka za e-zdravstvo (tj. blokira lokaciju/IP adresu).
Poduzima mjere za zaštitu svoje domene, uključujući prekidanje veza, u slučaju znatnog odstupanja od načela i koncepata kvalitete ili sigurnosti.
Vodi plan upravljanja rizicima povezan s njezinim područjem odgovornosti.
U stvarnom vremenu prati funkcioniranje svih komponenti usluga svoje središnje sigurne komunikacijske infrastrukture, redovito izrađuje statističke podatke i vodi evidenciju.
Osigurava danonoćnu potporu svim uslugama središnje sigurne komunikacijske infrastrukture na engleskom jeziku putem telefona, e-pošte ili internetskog portala i odgovara na pozive ovlaštenih pozivatelja: koordinatora središnje sigurne komunikacijske infrastrukture i njihovih službi za podršku, službenika za projekte i imenovanih osoba iz Komisije.
Podupire voditelje obrade pružanjem informacija o središnjoj sigurnoj komunikacijskoj infrastrukturi u okviru infrastrukture digitalnih usluga e-zdravstva za prekogranične usluge informiranja u području e-zdravstva radi provedbe obveza iz članaka 35. i 36. Uredbe (EU) 2016/679.
Osigurava šifriranje podataka koji se prenose u okviru središnje sigurne komunikacijske infrastrukture.
Poduzima sve odgovarajuće mjere kako bi se spriječilo da operatori središnje sigurne komunikacijske infrastrukture neovlašteno pristupe podacima koji se prenose.
Poduzima mjere za olakšavanje interoperabilnosti i komunikacije među imenovanim nacionalnim nadležnim upravama za središnju sigurnu komunikacijsku infrastrukturu.
PRILOG II
ODGOVORNOSTI DRŽAVA ČLANICA SUDIONICA KAO ZAJEDNIČKIH VODITELJA OBRADE ZA FEDERACIJSKI PRISTUPNIK ZA PREKOGRANIČNU OBRADU MEĐU NACIONALNIM MOBILNIM APLIKACIJAMA ZA PRAĆENJE KONTAKATA I UPOZORAVANJE
ODJELJAK 1.
Pododjeljak 1.
Podjela odgovornosti
(1) Zajednički voditelji obrade obrađuju osobne podatke putem federacijskog pristupnika u skladu s tehničkim specifikacijama koje je propisala mreža e-zdravstva ( 3 ).
(2) Svaki voditelj obrade odgovoran je za obradu osobnih podataka u federacijskom pristupniku u skladu s Općom uredbom o zaštiti podataka i Direktivom 2002/58/EZ.
(3) Svaki voditelj obrade uspostavlja kontaktnu točku sa zajedničkom e-adresom za komunikaciju među zajedničkim voditeljima obrade te između zajedničkih voditelja obrade i izvršitelja obrade.
(4) Privremena podskupina koju je mreža e-zdravstva uspostavila u skladu s člankom 5. stavkom 4. zadužena je za razmatranje svih pitanja koja proizlaze iz interoperabilnosti nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje i iz zajedničkog vođenja povezane obrade osobnih podataka te za pružanje koordiniranih uputa Komisiji kao izvršitelju obrade. Među ostalim, voditelji obrade mogu u okviru privremene podskupine raditi na zajedničkom pristupu zadržavanja podataka u svojim nacionalnim backend poslužiteljima, uzimajući u obzir razdoblje čuvanja utvrđeno u federacijskom pristupniku.
(5) Izvršitelju obrade upute šalje bilo koja kontaktna točka zajedničkih voditelja obrade u dogovoru s drugim zajedničkim voditeljima obrade u prethodno navedenoj podskupini.
(6) Samo osobe koje su ovlastila imenovana nacionalna tijela ili službena tijela smiju pristupiti osobnim podacima korisnika koji se razmjenjuju u federacijskom pristupniku.
(7) Svako imenovano nacionalno tijelo ili službeno tijelo prestaje biti zajednički voditelj obrade od datuma povlačenja svojeg sudjelovanja u federacijskom pristupniku. Ono je, međutim, i dalje odgovorno za obradu u federacijskom pristupniku koja je izvršena prije nego što se povuklo.
Pododjeljak 2.
Odgovornosti i uloge za obradu zahtjeva ispitanika i njihovo obavješćivanje
(1) Svaki voditelj obrade korisnicima svoje nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje („ispitanici”) pruža informacije o obradi njihovih osobnih podataka u federacijskom pristupniku za potrebe prekogranične interoperabilnosti nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje, u skladu s člancima 13. i 14. Opće uredbe o zaštiti podataka.
(2) Svaki voditelj obrade djeluje kao kontaktna točka za korisnike svoje nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje te obrađuje zahtjeve koji se odnose na ostvarivanje prava ispitanika u skladu s Općom uredbom o zaštiti podataka, koje su podnijeli ti korisnici ili njihovi predstavnici. Svaki voditelj obrade određuje posebnu kontaktnu točku namijenjenu zahtjevima ispitanika. Ako zajednički voditelj obrade od ispitanika primi zahtjev koji nije u njegovoj odgovornosti, odmah ga prosljeđuje odgovornom zajedničkom voditelju obrade. Zajednički voditelji obrade na zahtjev si međusobno pomažu u obradi zahtjeva ispitanika i jedni drugima odgovaraju bez nepotrebne odgode, a najkasnije u roku od 15 dana od primitka zahtjeva za pomoć.
(3) Svaki voditelj obrade ispitanicima stavlja na raspolaganje sadržaj ovog Priloga, uključujući dogovore utvrđene u točkama 1. i 2.
ODJELJAK 2.
Upravljanje sigurnosnim incidentima, uključujući povrede osobnih podataka
(1) Zajednički voditelji obrade međusobno si pomažu u utvrđivanju i rješavanju sigurnosnih incidenata, uključujući povrede osobnih podataka, povezanih s obradom u federacijskom pristupniku.
(2) Konkretno, zajednički voditelji obrade međusobno se obavješćuju o sljedećem:
svim potencijalnim ili stvarnim rizicima za dostupnost, povjerljivost i/ili cjelovitost osobnih podataka koji se obrađuju u federacijskom pristupniku;
svim sigurnosnim incidentima koji su povezani s postupkom obrade u federacijskom pristupniku;
svakoj povredi osobnih podataka, vjerojatnim posljedicama povrede osobnih podataka i procjeni rizika za prava i slobode pojedinaca te o svim mjerama poduzetima za rješavanje povrede osobnih podataka i ublažavanje rizika za prava i slobode pojedinaca;
svakom kršenju tehničkih i/ili organizacijskih zaštitnih mjera postupka obrade u federacijskom pristupniku.
(3) Zajednički voditelji obrade o svim povredama osobnih podataka u vezi s postupkom obrade u federacijskom pristupniku obavješćuju Komisiju, nadležna nadzorna tijela i, prema potrebi, ispitanike, u skladu s člancima 33. i 34. Uredbe (EU) 2016/679 ili nakon obavijesti Komisije.
ODJELJAK 3.
Procjena učinka na zaštitu podataka
Ako voditelj obrade, kako bi ispunio svoje obveze iz članaka 35. i 36. Opće uredbe o zaštiti podataka, treba informacije od drugog voditelja obrade, on šalje poseban zahtjev na zajedničku e-adresu iz odjeljka 1. pododjeljka 1. točke 3. Potonji poduzima sve što može kako bi pružio takve informacije.
PRILOG III.
ODGOVORNOSTI KOMISIJE KAO IZVRŠITELJA OBRADE PODATAKA ZA FEDERACIJSKI PRISTUPNIK ZA PREKOGRANIČNU OBRADU MEĐU NACIONALNIM MOBILNIM APLIKACIJAMA ZA PRAĆENJE KONTAKATA I UPOZORAVANJE
Komisija:
Uspostavlja i pruža sigurnu i pouzdanu komunikacijsku infrastrukturu kojom se međusobno povezuju nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje država članica koje sudjeluju u federacijskom pristupniku. Kako bi ispunila svoje obveze kao izvršitelj obrade podataka federacijskog pristupnika, Komisija može angažirati treće strane kao podizvršitelje obrade; Komisija obavješćuje zajedničke voditelje obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih podizvršitelja obrade kako bi time voditeljima obrade omogućila da zajednički ulože prigovor na takve izmjene, kako je utvrđeno u Prilogu II. odjeljku 1. pododjeljku 1. točki 4. Komisija osigurava da se na te podizvršitelje obrade primjenjuju iste obveze zaštite podataka koje su utvrđene u ovoj Odluci.
Obrađuje osobne podatke samo na temelju zabilježenih uputa voditeljâ obrade, osim ako to nalaže pravo Unije ili pravo države članice; u tom slučaju Komisija obavješćuje voditelje obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa.
Obrada koju provodi Komisija podrazumijeva sljedeće:
autentifikaciju nacionalnih backend poslužitelja na temelju nacionalnih certifikata backend poslužitelja;
primitak podataka iz članka 7.a stavka 3. Provedbene odluke koje učitavaju nacionalni backend poslužitelji pružanjem aplikacijskog programskog sučelja koje nacionalnim backend poslužiteljima omogućuje učitavanje relevantnih podataka;
pohranu podataka u federacijskom pristupniku nakon primitka od nacionalnih backend poslužitelja;
stavljanje podataka na raspolaganje za preuzimanje putem nacionalnih backend poslužitelja;
brisanje podataka kada su ih svi sudjelujući backend poslužitelji preuzeli ili 14 dana nakon njihova primitka, ovisno o tome što nastupi ranije;
nakon dovršetka pružanja usluge, brisanje svih preostalih podataka osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka.
Izvršitelj obrade poduzima potrebne mjere za očuvanje cjelovitosti obrađenih podataka.
Poduzima sve najsuvremenije organizacijske, fizičke i logične sigurnosne mjere za održavanje federacijskog pristupnika. U tu svrhu Komisija:
imenuje subjekt odgovoran za upravljanje sigurnošću na razini federacijskog pristupnika, voditeljima obrade dostavlja njegove podatke za kontakt i osigurava njegovu spremnost za reagiranje na sigurnosne prijetnje;
preuzima odgovornost za sigurnost federacijskog pristupnika;
osigurava da sve osobe kojima je odobren pristup federacijskom pristupniku podliježu ugovornoj, profesionalnoj ili zakonskoj obvezi povjerljivosti;
Poduzima sve potrebne sigurnosne mjere kako bi se izbjeglo ugrožavanje neometanog funkcioniranja nacionalnih backend poslužitelja. U tu svrhu Komisija uvodi posebne postupke povezivanja backend poslužitelja s federacijskim pristupnikom. To uključuje:
postupak procjene rizika za utvrđivanje i procjenu mogućih prijetnji sustavu;
postupak revizije i preispitivanja radi:
provjere usklađenosti provedenih sigurnosnih mjera i primjenjive sigurnosne politike;
redovite kontrole cjelovitosti datoteka sustava, sigurnosnih parametara i dodijeljenih odobrenja;
otkrivanja povreda sigurnosti i neovlaštenog pristupa;
provedbe promjena kako bi se ublažile postojeće sigurnosne slabosti;
omogućivanja, među ostalim i na zahtjev voditeljâ obrade, i doprinosa provođenju neovisnih revizija, uključujući inspekcije i preispitivanja sigurnosnih mjera, podložno uvjetima u skladu s Protokolom (br. 7) UFEU-a o povlasticama i imunitetima Europske unije ( 4 );
promjenu postupka nadzora radi dokumentiranja i mjerenja učinka promjene prije njezine provedbe i kako bi se voditelje obrade obavještavalo o svim promjenama koje mogu utjecati na komunikaciju s njihovim infrastrukturama i/ili njihovu sigurnost;
utvrđivanje postupka održavanja i popravka radi utvrđivanja pravila i uvjeta koje treba slijediti pri održavanju i/ili popravku opreme;
utvrđivanje postupka u slučaju sigurnosnog incidenta radi utvrđivanja programa izvješćivanja i proširenog izvješćivanja, obavješćivanja bez odgode voditeljâ obrade i Europskog nadzornika za zaštitu podataka o svakoj povredi osobnih podataka te određivanja disciplinskog postupka u svrhu rješavanja takvih povreda.
Poduzima najsuvremenije fizičke i/ili logičke sigurnosne mjere za objekte u kojima je smješten federacijski pristupnik i za kontrole logičkih podataka i sigurnosnog pristupa. U tu svrhu Komisija:
osigurava fizičku sigurnost kako bi se uspostavila specifična sigurnosna područja i omogućilo otkrivanje kršenja;
nadzire pristup objektima i vodi registar posjetitelja u svrhu praćenja;
osigurava da propisno ovlašteno osoblje prati vanjske osobe kojima je omogućen pristup objektima;
osigurava da se oprema ne može dopuniti, zamijeniti ili ukloniti bez prethodnog odobrenja imenovanih odgovornih tijela;
kontrolira pristup nacionalnih backend poslužitelja federacijskom pristupniku i obrnuto;
osigurava identifikaciju i autentifikaciju pojedinaca koji pristupaju federacijskom pristupniku;
preispituje prava na odobrenje povezana s pristupom federacijskom pristupniku u slučaju povrede sigurnosti koja utječe na tu infrastrukturu;
održava cjelovitost informacija koje se prenose putem federacijskog pristupnika;
provodi tehničke i organizacijske sigurnosne mjere kako bi se spriječio neovlašten pristup osobnim podacima;
provodi, kad god je to potrebno, mjere za blokiranje neovlaštenog pristupa federacijskom pristupniku iz domene nacionalnih tijela (tj. blokira lokaciju/IP adresu).
Poduzima mjere za zaštitu svoje domene, uključujući prekidanje veza, u slučaju znatnog odstupanja od načela i koncepata kvalitete ili sigurnosti.
Vodi plan upravljanja rizicima povezan s njezinim područjem odgovornosti.
U stvarnom vremenu prati funkcioniranje svih komponenti usluga svojeg federacijskog pristupnika, redovito izrađuje statističke podatke i vodi evidenciju.
Osigurava danonoćnu potporu svim uslugama federacijskog pristupnika na engleskom jeziku putem telefona, e-pošte ili internetskog portala i odgovara na pozive ovlaštenih pozivatelja: koordinatora federacijskog pristupnika i njihovih službi za podršku, službenika za projekte i imenovanih osoba iz Komisije.
Pomaže voditeljima obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispune obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III. Opće uredbe o zaštiti podataka.
Podupire voditelje obrade pružanjem informacija o federacijskom pristupniku kako bi se provele obveze u skladu s člancima 32., 35. i 36. Opće uredbe o zaštiti podataka.
Osigurava da su podaci koji se obrađuju unutar federacijskog pristupnika nerazumljivi svakoj osobi koja mu nije ovlaštena pristupiti.
Poduzima sve odgovarajuće mjere kako bi se spriječilo da operatori federacijskog pristupnika neovlašteno pristupe podacima koji se prenose.
Poduzima mjere za olakšavanje interoperabilnosti i komunikacije među imenovanim voditeljima obrade federacijskog pristupnika.
Vodi evidenciju o aktivnostima obrade provedenima u ime voditeljâ obrade u skladu s člankom 31. stavkom 2. Uredbe (EU) 2018/1725.
( 1 ) Odluka br. 1082/2013/EU Europskog parlamenta i Vijeća od 22. listopada 2013. o ozbiljnim prekograničnim prijetnjama zdravlju i o stavljanju izvan snage Odluke br. 2119/98/EZ (SL L 293, 5.11.2013., str. 1.).
( 2 ) Odluka Komisije (EU, Euratom) 2015/444 od 13. ožujka 2015. o sigurnosnim propisima za zaštitu klasificiranih podataka EU-a (SL L 72, 17.3.2015., str. 53.).
( 3 ) Konkretno, specifikacije interoperabilnosti za prekogranične lance prijenosa među odobrenim aplikacijama, od 16. lipnja 2020., dostupne su na: https://ec.europa.eu/health/ehealth/key_documents_hr.
( 4 ) Protokol (br. 7) o povlasticama i imunitetima Europske unije (SL C 326, 26.10.2012., str. 266.)