PROVEDBENA ODLUKA KOMISIJE (EU) 2020/1023

оd 15. srpnja 2020.

o izmjeni Provedbene odluke (EU) 2019/1765 u pogledu prekogranične razmjene podataka među nacionalnim mobilnim aplikacijama za praćenje kontakata i upozoravanje u kontekstu borbe protiv pandemije bolesti COVID-19

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Direktivu 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (1), a posebno njezin članak 14. stavak 3.,

budući da:

(1)	Člankom 14. Direktive 2011/24/EU Uniji je dodijeljen zadatak podupiranja i olakšavanja suradnje i razmjene informacija među državama članicama koje djeluju u sklopu dobrovoljne mreže koja povezuje državna tijela odgovorna za e-zdravstvo („mreža e-zdravstva”), a koja su imenovale države članice.

(2)

Provedbenom odlukom Komisije (EU) 2019/1765 (2) utvrđena su pravila za uspostavljanje, upravljanje i funkcioniranje mreže nacionalnih tijela odgovornih za e-zdravstvo. Člankom 4. te odluke mreži e-zdravstva povjerava se zadaća da omogući veću interoperabilnost nacionalnih sustava informacijskih i komunikacijskih tehnologija te prekograničnu prenosivost elektroničkih zdravstvenih podataka u prekograničnoj zdravstvenoj skrbi.

(3)

S obzirom na krizu javnog zdravlja prouzročenu pandemijom bolesti COVID-19, nekoliko država članica razvilo je mobilne aplikacije koje podržavaju praćenje kontakata i omogućuju korisnicima takvih aplikacija da ih se upozori da poduzmu odgovarajuće mjere, kao što su testiranje ili samoizolacija, ako su potencijalno bili izloženi virusu zbog kontakta s drugim korisnikom takvih aplikacija koji je prijavio zarazu koronavirusom. Te aplikacije funkcioniraju na temelju Bluetooth tehnologije za otkrivanje blizine između uređaja. Budući da su ograničenja putovanja između država članica ukinuta od lipnja 2020., trebala bi se postići veća interoperabilnost nacionalnih sustava informacijskih i komunikacijskih tehnologija među državama članicama u mreži e-zdravstva uvođenjem digitalne infrastrukture koja omogućuje interoperabilnost nacionalnih mobilnih aplikacija koje podržavaju praćenje kontakata i upozoravanje.

(4)

Komisija podupire države članice u pogledu prethodno navedenih mobilnih aplikacija. Komisija je 8. travnja 2020. donijela Preporuku o zajedničkom Unijinom paketu mjera za primjenu tehnologije i podataka radi suzbijanja i prevladavanja krize prouzročene bolešću COVID-19, posebno u vezi s mobilnim aplikacijama i upotrebom anonimiziranih podataka o mobilnosti (dalje u tekstu „Preporuka Komisije”) (3). Države članice u mreži e-zdravstva donijele su, uz potporu Komisije, zajednički paket mjera EU-a za države članice o mobilnim aplikacijama za potporu praćenju kontakata (4), kao i smjernice o interoperabilnosti za odobrene mobilne aplikacije za praćenje kontakata u EU-u (5). U tom se paketu mjera objašnjavaju nacionalni zahtjevi za nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje, posebno činjenice da bi njihova upotreba trebala biti dobrovoljna, da ih treba odobriti odgovarajuće nacionalno zdravstveno tijelo, da moraju štititi privatnost te da se moraju deaktivirati čim više nisu potrebne. Nakon najnovijeg razvoja događaja u krizi uzrokovanoj bolešću COVID-19, i Komisija (6) i Europski odbor za zaštitu podataka (7) izdali su smjernice o mobilnim aplikacijama i mjerama za praćenje kontakata u vezi sa zaštitom podataka. Razvoj mobilnih aplikacija država članica i digitalne infrastrukture kojom se omogućuje njihova interoperabilnost temelji se na zajedničkom paketu mjera EU-a, prethodno navedenim smjernicama i tehničkim specifikacijama dogovorenima u okviru mreže e-zdravstva.

(5)

Kako bi se olakšala interoperabilnost nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje, uz podršku Komisije države članice koje sudjeluju u mreži e-zdravstva, a koje su dobrovoljno odlučile unaprijediti suradnju u tom području, razvile su digitalnu infrastrukturu kao informatički alat za razmjenu podataka. Ta digitalna infrastruktura naziva se „federacijski pristupnik” (engl. the federation gateway).

(6)	Ovom se Odlukom utvrđuju odredbe o ulozi država članica sudionica i Komisije u funkcioniranju federacijskog pristupnika za prekograničnu interoperabilnost nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje.

(7)

Obrada osobnih podataka korisnika mobilnih aplikacija za praćenje kontakata i upozoravanje, koja se obavlja u nadležnosti država članica ili drugih javnih organizacija ili službenih tijela u državama članicama, trebala bi se provoditi u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (8) („Opća uredba o zaštiti podataka”) i Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (9). Obrada osobnih podataka za koju je nadležna Komisija za svrhu upravljanja i osiguravanja sigurnosti federacijskog pristupnika trebala bi biti u skladu s Uredbom (EU) 2018/1725 Europskog parlamenta i Vijeća (10).

(8)

Federacijski pristupnik trebao bi se sastojati od sigurne informatičke infrastrukture kojom se pruža zajedničko sučelje, preko kojega bi imenovana nacionalna tijela ili službena tijela mogla razmjenjivati minimalni skup podataka koji se odnosi na kontakte s osobama zaraženima virusom SARS-CoV-2 kako bi se ostale obavijestilo o potencijalnoj izloženosti toj zarazi i promicala učinkovita suradnja u području zdravstvene skrbi među državama članicama olakšavanjem razmjene relevantnih informacija.

(9)	Ovom bi se Odlukom stoga trebali utvrditi načini prekogranične razmjene podataka među imenovanim nacionalnim tijelima ili službenim tijelima putem federacijskog pristupnika unutar EU-a.

(10)

Države članice sudionice, koje predstavljaju imenovana nacionalna tijela ili službena tijela, zajedno utvrđuju svrhu i načine obrade osobnih podataka putem federacijskog pristupnika te su stoga zajednički voditelji obrade. Člankom 26. Opće uredbe o zaštiti podataka zajedničke voditelje obrade osobnih podataka obvezuje se da na transparentan način odrede svoje odgovornosti za poštovanje obveza iz te uredbe. Njime se također predviđa mogućnost da se te odgovornosti utvrde pravom Unije ili pravom države članice kojem voditelji obrade podliježu. Svaki voditelj obrade trebao bi osigurati da na nacionalnoj razini postoji pravna osnova za obradu u federacijskom pristupniku.

(11)

Komisija, kao pružatelj tehničkih i organizacijskih rješenja za federacijski pristupnik, obrađuje pseudonimizirane osobne podatke u ime država članica sudionica u federacijskom pristupniku kao zajedničkih voditelja obrade te je stoga izvršitelj obrade. U skladu s člankom 28. Opće uredbe o zaštiti podataka i člankom 29. Uredbe (EU) 2018/1725 obrada koju provodi izvršitelj obrade uređuje se ugovorom ili pravnim aktom u skladu s pravom Unije ili države članice koji izvršitelja obrade obvezuje prema voditelju obrade i kojim se utvrđuje postupak obrade. Ovom se Odlukom utvrđuju pravila obrade koju provodi Komisija kao izvršitelj obrade.

(12)	Pri obradi osobnih podataka u federacijskom pristupniku Komisiju obvezuje Odluka Komisije (EU, Euratom) 2017/46 (11).

(13)

Uzimajući u obzir da svrhe u koje voditelji obrade obrađuju osobne podatke u nacionalnim mobilnim aplikacijama za praćenje kontakata i upozoravanje ne zahtijevaju nužno identifikaciju ispitanika, voditelji obrade možda nisu uvijek u mogućnosti osigurati primjenu prava ispitanika. Prava iz članaka od 15. do 20. Opće uredbe o zaštiti podataka stoga se možda neće primjenjivati ako su ispunjeni uvjeti u skladu s člankom 11. te uredbe.

(14)	Postojeći Prilog Provedbenoj odluci (EU) 2019/1765 potrebno je renumerirati zbog dodavanja dvaju novih priloga.

(15)	Provedbenu odluku (EU) 2019/1765 trebalo bi stoga na odgovarajući način izmijeniti.

(16)	Uzimajući u obzir hitnost situacije izazvane pandemijom bolesti COVID-19, ova bi se Odluka trebala primjenjivati od sljedećeg dana od dana objave u Službenom listu Europske unije.

(17)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 te je on dao mišljenje 9. srpnja 2020.

(18)	Mjere predviđene ovom Odlukom u skladu su s mišljenjem odbora osnovanog na temelju članka 16. Direktive 2011/24/EU.

DONIJELA JE OVU ODLUKU:

Članak 1.

Provedbena odluka (EU) 2019/1765 mijenja se kako slijedi:

(1)

U članku 2. stavku 1. umeću se sljedeće točke (g), (h), (i), (j), (k), (l), (m), (n) i (o):

„(g)	„korisnik aplikacije” znači osoba koja posjeduje pametni uređaj i koja je preuzela i koristi odobrenu mobilnu aplikaciju za praćenje kontakata i upozoravanje;

(h)	„praćenje kontakata” znači mjere koje se provode radi pronalaženja osoba koje su bile izložene izvoru ozbiljne prekogranične prijetnje zdravlju u smislu članka 3. točke (c) Odluke br. 1082/2013/EU Europskog parlamenta i Vijeća (*1);

(i)

„nacionalna mobilna aplikacija za praćenje kontakata i upozoravanje” znači softverska aplikacija odobrena na nacionalnoj razini koja radi na pametnim uređajima, posebno pametnim telefonima, obično namijenjena za široku i ciljanu interakciju s mrežnim resursima, koja obrađuje proksimitetne podatke i druge kontekstualne informacije koje prikupljaju brojni senzori koji se nalaze u pametnim uređajima u svrhu praćenja kontakata s osobama zaraženima virusom SARS-CoV-2 i upozoravanja osoba koje su možda bile izložene virusu SARS-CoV-2. Te mobilne aplikacije mogu otkriti prisutnost drugih uređaja koji koriste Bluetooth i razmjenjivati informacije s backend poslužiteljima putem interneta;

(j)

„federacijski pristupnik” znači mrežni pristupnik kojim upravlja Komisija putem sigurnog informatičkog alata koji prima, pohranjuje i stavlja na raspolaganje minimalni skup osobnih podataka među backend poslužiteljima država članica u svrhu osiguravanja interoperabilnosti nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje;

(k)	„ključ” znači jedinstveni kratkotrajni identifikator povezan s korisnikom aplikacije koji je prijavio da je zaražen virusom SARS-CoV-2 ili da je možda bio izložen virusu SARS-CoV-2;

(l)	„potvrda zaraze” znači metoda potvrđivanja zaraze virusom SARS-CoV-2, odnosno je li zarazu prijavio sam korisnik aplikacije ili ju je potvrdilo nacionalno zdravstveno tijelo ili laboratorijski test;

(m)	„zemlje interesa” znači država članica ili države članice u kojima je korisnik aplikacije boravio tijekom 14 dana prije datuma učitavanja ključeva i u kojima je preuzeo odobrenu nacionalnu mobilnu aplikaciju za praćenje kontakata i upozoravanje i/ili kroz koje je putovao;

(n)	„zemlja podrijetla ključeva” znači država članica u kojoj se nalazi backend poslužitelj koji je učitao ključeve u federacijski pristupnik;

(o)	„podaci iz zapisnika” znači automatski zapis aktivnosti u vezi s razmjenom i pristupom podacima obrađenima putem federacijskog pristupnika koji konkretno pokazuje vrstu aktivnosti obrade, datum i vrijeme aktivnosti obrade te identifikator osobe koja obrađuje podatke.

(*1) Odluka br. 1082/2013/EU Europskog parlamenta i Vijeća od 22. listopada 2013. o ozbiljnim prekograničnim prijetnjama zdravlju i o stavljanju izvan snage Odluke br. 2119/98/EZ (SL L 293, 5.11.2013., str. 1.).”"

(2)

u članku 4. stavku 1. umeće se sljedeća točka (h):

„(h)	pružati smjernice državama članicama o prekograničnoj razmjeni osobnih podataka putem federacijskog pristupnika među nacionalnim mobilnim aplikacijama za praćenje kontakata i upozoravanje.”

(3)

u članku 6. stavku 1. umeću se sljedeće točke (f) i (g):

„(f)	razvija, provodi i održava odgovarajuće tehničke i organizacijske mjere povezane sa sigurnošću prijenosa i pohranom osobnih podataka u federacijskom pristupniku kako bi se osigurala interoperabilnost nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje;

(g)

podupire mrežu e-zdravstva u usuglašavanju tehničke i organizacijske usklađenosti nacionalnih tijela sa zahtjevima za prekograničnu razmjenu osobnih podataka u federacijskom pristupniku tako što osigurava i provodi potrebna ispitivanja i revizije. Stručnjaci iz država članica mogu pružati pomoć revizorima Komisije.”

(4)

Članak 7. mijenja se kako slijedi:

(a)	naslov se zamjenjuje naslovom „Zaštita osobnih podataka obrađenih putem infrastrukture digitalnih usluga e-zdravstva”;

(b)	u stavku 2. „Prilog I.” zamjenjuje „Prilog.”.

(5)

Umeće se sljedeći članak 7. a:

„Članak 7.a

Prekogranična razmjena podataka među nacionalnim mobilnim aplikacijama zapraćenje kontakata i upozoravanje putem federacijskog pristupnika

1. Ako se osobni podaci razmjenjuju putem federacijskog pristupnika, obrada je ograničena na potrebe olakšavanja interoperabilnosti nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje u federacijskom pristupniku te kontinuiteta praćenja kontakata u prekograničnom kontekstu.

2. Osobni podaci iz stavka 3. prenose se u federacijski pristupnik u pseudonimiziranom obliku.

3. Pseudonimizirani osobni podaci koji se razmjenjuju putem federacijskog pristupnika i obrađuju u njemu sadržavaju samo sljedeće informacije:

(a)	ključevi poslani putem nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje do 14 dana prije datuma učitavanja ključeva;

(b)	podaci iz zapisnika povezani s ključevima u skladu s protokolom tehničkih specifikacija koji se upotrebljava u zemlji podrijetla ključeva;

(c)	potvrda zaraze;

(d)	zemlje interesa i zemlje podrijetla ključeva.

4. Imenovana nacionalna tijela ili službena tijela koja obrađuju osobne podatke u federacijskom pristupniku zajednički su voditelji obrade podataka koji se obrađuju u federacijskom pristupniku. Odgovornosti zajedničkih voditelja dodjeljuju se u skladu s Prilogom II. Svaka država članica koja želi sudjelovati u prekograničnoj razmjeni podataka među nacionalnim mobilnim aplikacijama za praćenje kontakata i upozoravanje prije pridruživanja o svojoj namjeri obavještava Komisiju te navodi nacionalno tijelo ili službeno tijelo koje je imenovano nadležnim voditeljem obrade.

5. Komisija je izvršitelj obrade osobnih podataka koji se obrađuju u federacijskom pristupniku. Komisija kao izvršitelj obrade osigurava sigurnost obrade, uključujući prijenos i pohranu, osobnih podataka u federacijskom pristupniku te poštuje obveze izvršitelja obrade utvrđene u Prilogu III.

6. Učinkovitost tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade osobnih podataka u federacijskom pristupniku redovito ispituju, ocjenjuju i evaluiraju Komisija i nacionalna tijela ovlaštena za pristup federacijskom pristupniku.

7. Ne dovodeći u pitanje odluku zajedničkih voditelja obrade o prekidu obrade u federacijskom pristupniku, rad federacijskog pristupnika deaktivira se najkasnije 14 dana nakon što sve povezane nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje prestanu prenositi ključeve putem federacijskog pristupnika.”

(6)	Prilog postaje Prilog I.

(7)	Dodaju se prilozi II. i III., čiji je tekst naveden u Prilogu ovoj Odluci.

Članak 2.

Ova Odluka stupa na snagu sljedećeg dana od dana objave u Službenom listu Europske unije.

Sastavljeno u Bruxellesu 15. srpnja 2020.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1) SL L 88, 4.4.2011., str. 45.

(2) Provedbena odluka Komisije (EU) 2019/1765 оd 22. listopada 2019. o utvrđivanju pravila za uspostavu, upravljanje i funkcioniranje mreže nacionalnih tijela odgovornih za e-zdravstvo i o stavljanju izvan snage Provedbene odluke 2011/890/EU (SL L 270, 24.10.2019., str. 83.).

(3) Preporuka Komisije (EU) 2020/518 оd 8. travnja 2020. o zajedničkom Unijinom paketu mjera za primjenu tehnologije i podataka radi suzbijanja i prevladavanja krize prouzročene bolešću COVID-19, posebno u vezi s mobilnim aplikacijama i upotrebom anonimiziranih podataka o mobilnosti (SL L 114, 14.4.2020., str. 7.).

(4) https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf

(5) https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_guidelines_en.pdf

(6) Komunikacija Komisije, Smjernice za zaštitu podataka u aplikacijama kojima se podupire suzbijanje pandemije bolesti COVID-19 (SL C 124I, 17.4.2020., str. 1.).

(7) Smjernice 04/2020 o upotrebi podataka o lokaciji i alatima za praćenje kontakata u kontekstu pandemije bolesti COVID-19 i izjava Europskog odbora za zaštitu podataka od 16. lipnja 2020. o učinku interoperabilnosti aplikacija za praćenje kontakata na zaštitu podataka, oboje dostupno na: https://edpb.europa.eu.

(8) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka), (SL L 119, 4.5.2016., str. 1.).

(9) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(10) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).

(11) Odluka Komisije (EU, Euratom) 2017/46 оd 10. siječnja 2017. o sigurnosti komunikacijskih i informacijskih sustava u Europskoj komisiji (SL L 6, 11.1.2017., str. 40). Komisija objavljuje dodatne informacije o sigurnosnim standardima koji se primjenjuju na sve informacijske sustave Europske komisije na poveznici https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.

PRILOG

Provedbenoj odluci (EU) 2019/1765 dodaju se sljedeći prilozi II. i III.:

„PRILOG II.

ODGOVORNOSTI DRŽAVA ČLANICA SUDIONICA KAO ZAJEDNIČKIH VODITELJA OBRADE ZA FEDERACIJSKI PRISTUPNIK ZA PREKOGRANIČNU OBRADU MEĐU NACIONALNIM MOBILNIM APLIKACIJAMA ZA PRAĆENJE KONTAKATA I UPOZORAVANJE

ODJELJAK 1.

Pododjeljak 1.

Podjela odgovornosti

(1)

Zajednički voditelji obrade obrađuju osobne podatke putem federacijskog pristupnika u skladu s tehničkim specifikacijama koje je propisala mreža e-zdravstva (1).

(2)

Svaki voditelj obrade odgovoran je za obradu osobnih podataka u federacijskom pristupniku u skladu s Općom uredbom o zaštiti podataka i Direktivom 2002/58/EZ.

(3)

Svaki voditelj obrade uspostavlja kontaktnu točku sa zajedničkom e-adresom za komunikaciju među zajedničkim voditeljima obrade te između zajedničkih voditelja obrade i izvršitelja obrade.

(4)

Privremena podskupina koju je mreža e-zdravstva uspostavila u skladu s člankom 5. stavkom 4. zadužena je za razmatranje svih pitanja koja proizlaze iz interoperabilnosti nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje i iz zajedničkog vođenja povezane obrade osobnih podataka te za pružanje koordiniranih uputa Komisiji kao izvršitelju obrade. Među ostalim, voditelji obrade mogu u okviru privremene podskupine raditi na zajedničkom pristupu zadržavanja podataka u svojim nacionalnim backend poslužiteljima, uzimajući u obzir razdoblje čuvanja utvrđeno u federacijskom pristupniku.

(5)

Izvršitelju obrade upute šalje bilo koja kontaktna točka zajedničkih voditelja obrade u dogovoru s drugim zajedničkim voditeljima obrade u prethodno navedenoj podskupini.

(6)

Samo osobe koje su ovlastila imenovana nacionalna tijela ili službena tijela smiju pristupiti osobnim podacima korisnika koji se razmjenjuju u federacijskom pristupniku.

(7)

Svako imenovano nacionalno tijelo ili službeno tijelo prestaje biti zajednički voditelj obrade od datuma povlačenja svojeg sudjelovanja u federacijskom pristupniku. Ono je, međutim, i dalje odgovorno za obradu u federacijskom pristupniku koja je izvršena prije nego što se povuklo.

Pododjeljak 2.

Odgovornosti i uloge za obradu zahtjeva ispitanika i njihovo obavješćivanje

(1)

Svaki voditelj obrade korisnicima svoje nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje („ispitanici”) pruža informacije o obradi njihovih osobnih podataka u federacijskom pristupniku za potrebe prekogranične interoperabilnosti nacionalnih mobilnih aplikacija za praćenje kontakata i upozoravanje, u skladu s člancima 13. i 14. Opće uredbe o zaštiti podataka.

(2)

Svaki voditelj obrade djeluje kao kontaktna točka za korisnike svoje nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje te obrađuje zahtjeve koji se odnose na ostvarivanje prava ispitanika u skladu s Općom uredbom o zaštiti podataka, koje su podnijeli ti korisnici ili njihovi predstavnici. Svaki voditelj obrade određuje posebnu kontaktnu točku namijenjenu zahtjevima ispitanika. Ako zajednički voditelj obrade od ispitanika primi zahtjev koji nije u njegovoj odgovornosti, odmah ga prosljeđuje odgovornom zajedničkom voditelju obrade. Zajednički voditelji obrade na zahtjev si međusobno pomažu u obradi zahtjeva ispitanika i jedni drugima odgovaraju bez nepotrebne odgode, a najkasnije u roku od 15 dana od primitka zahtjeva za pomoć.

(3)

Svaki voditelj obrade ispitanicima stavlja na raspolaganje sadržaj ovog Priloga, uključujući dogovore utvrđene u točkama 1. i 2.

ODJELJAK 2.

Upravljanje sigurnosnim incidentima, uključujući povrede osobnih podataka

(1)

Zajednički voditelji obrade međusobno si pomažu u utvrđivanju i rješavanju sigurnosnih incidenata, uključujući povrede osobnih podataka, povezanih s obradom u federacijskom pristupniku.

(2)

Konkretno, zajednički voditelji obrade međusobno se obavješćuju o sljedećem:

a)	svim potencijalnim ili stvarnim rizicima za dostupnost, povjerljivost i/ili cjelovitost osobnih podataka koji se obrađuju u federacijskom pristupniku;

b)	svim sigurnosnim incidentima koji su povezani s postupkom obrade u federacijskom pristupniku;

c)	svakoj povredi osobnih podataka, vjerojatnim posljedicama povrede osobnih podataka i procjeni rizika za prava i slobode pojedinaca te o svim mjerama poduzetima za rješavanje povrede osobnih podataka i ublažavanje rizika za prava i slobode pojedinaca;

d)	svakom kršenju tehničkih i/ili organizacijskih zaštitnih mjera postupka obrade u federacijskom pristupniku.

(3)

Zajednički voditelji obrade o svim povredama osobnih podataka u vezi s postupkom obrade u federacijskom pristupniku obavješćuju Komisiju, nadležna nadzorna tijela i, prema potrebi, ispitanike, u skladu s člancima 33. i 34. Uredbe (EU) 2016/679 ili nakon obavijesti Komisije.

ODJELJAK 3.

Procjena učinka na zaštitu podataka

Ako voditelj obrade, kako bi ispunio svoje obveze iz članaka 35. i 36. Opće uredbe o zaštiti podataka, treba informacije od drugog voditelja obrade, on šalje poseban zahtjev na zajedničku e-adresu iz odjeljka 1. pododjeljka 1. točke 3. Potonji poduzima sve što može kako bi pružio takve informacije.

PRILOG III.

ODGOVORNOSTI KOMISIJE KAO IZVRŠITELJA OBRADE PODATAKA ZA FEDERACIJSKI PRISTUPNIK ZA PREKOGRANIČNU OBRADU MEĐU NACIONALNIM MOBILNIM APLIKACIJAMA ZA PRAĆENJE KONTAKATA I UPOZORAVANJE

Komisija:

(1)

Uspostavlja i pruža sigurnu i pouzdanu komunikacijsku infrastrukturu kojom se međusobno povezuju nacionalne mobilne aplikacije za praćenje kontakata i upozoravanje država članica koje sudjeluju u federacijskom pristupniku. Kako bi ispunila svoje obveze kao izvršitelj obrade podataka federacijskog pristupnika, Komisija može angažirati treće strane kao podizvršitelje obrade; Komisija obavješćuje zajedničke voditelje obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih podizvršitelja obrade kako bi time voditeljima obrade omogućila da zajednički ulože prigovor na takve izmjene, kako je utvrđeno u Prilogu II. odjeljku 1. pododjeljku 1. točki 4. Komisija osigurava da se na te podizvršitelje obrade primjenjuju iste obveze zaštite podataka koje su utvrđene u ovoj Odluci.

(2)

Obrađuje osobne podatke samo na temelju zabilježenih uputa voditeljâ obrade, osim ako to nalaže pravo Unije ili pravo države članice; u tom slučaju Komisija obavješćuje voditelje obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa.

(3)

Obrada koju provodi Komisija podrazumijeva sljedeće:

a)	autentifikaciju nacionalnih backend poslužitelja na temelju nacionalnih certifikata backend poslužitelja;

b)	primitak podataka iz članka 7.a stavka 3. Provedbene odluke koje učitavaju nacionalni backend poslužitelji pružanjem aplikacijskog programskog sučelja koje nacionalnim backend poslužiteljima omogućuje učitavanje relevantnih podataka;

c)	pohranu podataka u federacijskom pristupniku nakon primitka od nacionalnih backend poslužitelja;

d)	stavljanje podataka na raspolaganje za preuzimanje putem nacionalnih backend poslužitelja;

e)	brisanje podataka kada su ih svi sudjelujući backend poslužitelji preuzeli ili 14 dana nakon njihova primitka, ovisno o tome što nastupi ranije;

f)	nakon dovršetka pružanja usluge, brisanje svih preostalih podataka osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka.

Izvršitelj obrade poduzima potrebne mjere za očuvanje cjelovitosti obrađenih podataka.

(4)

Poduzima sve najsuvremenije organizacijske, fizičke i logične sigurnosne mjere za održavanje federacijskog pristupnika. U tu svrhu Komisija:

a)	imenuje subjekt odgovoran za upravljanje sigurnošću na razini federacijskog pristupnika, voditeljima obrade dostavlja njegove podatke za kontakt i osigurava njegovu spremnost za reagiranje na sigurnosne prijetnje;

b)	preuzima odgovornost za sigurnost federacijskog pristupnika;

c)	osigurava da sve osobe kojima je odobren pristup federacijskom pristupniku podliježu ugovornoj, profesionalnoj ili zakonskoj obvezi povjerljivosti;

(5)

Poduzima sve potrebne sigurnosne mjere kako bi se izbjeglo ugrožavanje neometanog funkcioniranja nacionalnih backend poslužitelja. U tu svrhu Komisija uvodi posebne postupke povezivanja backend poslužitelja s federacijskim pristupnikom. To uključuje:

a)	postupak procjene rizika za utvrđivanje i procjenu mogućih prijetnji sustavu;

postupak revizije i preispitivanja radi:

i.	provjere usklađenosti provedenih sigurnosnih mjera i primjenjive sigurnosne politike;

ii.	redovite kontrole cjelovitosti datoteka sustava, sigurnosnih parametara i dodijeljenih odobrenja;

iii.	otkrivanja povreda sigurnosti i neovlaštenog pristupa;

iv.	provedbe promjena kako bi se ublažile postojeće sigurnosne slabosti;

v.	omogućivanja, među ostalim i na zahtjev voditeljâ obrade, i doprinosa provođenju neovisnih revizija, uključujući inspekcije i preispitivanja sigurnosnih mjera, podložno uvjetima u skladu s Protokolom (br. 7) UFEU-a o povlasticama i imunitetima Europske unije (2);

c)	promjenu postupka nadzora radi dokumentiranja i mjerenja učinka promjene prije njezine provedbe i kako bi se voditelje obrade obavještavalo o svim promjenama koje mogu utjecati na komunikaciju s njihovim infrastrukturama i/ili njihovu sigurnost;

d)	utvrđivanje postupka održavanja i popravka radi utvrđivanja pravila i uvjeta koje treba slijediti pri održavanju i/ili popravku opreme;

utvrđivanje postupka u slučaju sigurnosnog incidenta radi utvrđivanja programa izvješćivanja i proširenog izvješćivanja, obavješćivanja bez odgode voditeljâ obrade i Europskog nadzornika za zaštitu podataka o svakoj povredi osobnih podataka te određivanja disciplinskog postupka u svrhu rješavanja takvih povreda.

(6)

Poduzima najsuvremenije fizičke i/ili logičke sigurnosne mjere za objekte u kojima je smješten federacijski pristupnik i za kontrole logičkih podataka i sigurnosnog pristupa. U tu svrhu Komisija:

a)	osigurava fizičku sigurnost kako bi se uspostavila specifična sigurnosna područja i omogućilo otkrivanje kršenja;

b)	nadzire pristup objektima i vodi registar posjetitelja u svrhu praćenja;

c)	osigurava da propisno ovlašteno osoblje prati vanjske osobe kojima je omogućen pristup objektima;

d)	osigurava da se oprema ne može dopuniti, zamijeniti ili ukloniti bez prethodnog odobrenja imenovanih odgovornih tijela;

e)	kontrolira pristup nacionalnih backend poslužitelja federacijskom pristupniku i obrnuto;

f)	osigurava identifikaciju i autentifikaciju pojedinaca koji pristupaju federacijskom pristupniku;

g)	preispituje prava na odobrenje povezana s pristupom federacijskom pristupniku u slučaju povrede sigurnosti koja utječe na tu infrastrukturu;

h)	održava cjelovitost informacija koje se prenose putem federacijskog pristupnika;

i)	provodi tehničke i organizacijske sigurnosne mjere kako bi se spriječio neovlašten pristup osobnim podacima;

j)	provodi, kad god je to potrebno, mjere za blokiranje neovlaštenog pristupa federacijskom pristupniku iz domene nacionalnih tijela (tj. blokira lokaciju/IP adresu).

(7)	Poduzima mjere za zaštitu svoje domene, uključujući prekidanje veza, u slučaju znatnog odstupanja od načela i koncepata kvalitete ili sigurnosti.

(8)	Vodi plan upravljanja rizicima povezan s njezinim područjem odgovornosti.

(9)	U stvarnom vremenu prati funkcioniranje svih komponenti usluga svojeg federacijskog pristupnika, redovito izrađuje statističke podatke i vodi evidenciju.

(10)

Osigurava danonoćnu potporu svim uslugama federacijskog pristupnika na engleskom jeziku putem telefona, e-pošte ili internetskog portala i odgovara na pozive ovlaštenih pozivatelja: koordinatora federacijskog pristupnika i njihovih službi za podršku, službenika za projekte i imenovanih osoba iz Komisije.

(11)	Pomaže voditeljima obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispune obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III. Opće uredbe o zaštiti podataka.

(12)	Podupire voditelje obrade pružanjem informacija o federacijskom pristupniku kako bi se provele obveze u skladu s člancima 32., 35. i 36. Opće uredbe o zaštiti podataka.

(13)	Osigurava da su podaci koji se obrađuju unutar federacijskog pristupnika nerazumljivi svakoj osobi koja mu nije ovlaštena pristupiti.

(14)	Poduzima sve odgovarajuće mjere kako bi se spriječilo da operatori federacijskog pristupnika neovlašteno pristupe podacima koji se prenose.

(15)	Poduzima mjere za olakšavanje interoperabilnosti i komunikacije među imenovanim voditeljima obrade federacijskog pristupnika.

(16)	Vodi evidenciju o aktivnostima obrade provedenima u ime voditeljâ obrade u skladu s člankom 31. stavkom 2. Uredbe (EU) 2018/1725.

”

(1) Konkretno, specifikacije interoperabilnosti za prekogranične lance prijenosa među odobrenim aplikacijama, od 16. lipnja 2020., dostupne su na: https://ec.europa.eu/health/ehealth/key_documents_hr.

(2) Protokol (br. 7) o povlasticama i imunitetima Europske unije (SL C 326, 26.10.2012., str. 266.)