02019D1765 — HU — 17.07.2020 — 001.001
Ez a dokumentum kizárólag tájékoztató jellegű és nem vált ki joghatást. Az EU intézményei semmiféle felelősséget nem vállalnak a tartalmáért. A jogi aktusoknak – ideértve azok bevezető hivatkozásait és preambulumbekezdéseit is – az Európai Unió Hivatalos Lapjában közzétett és az EUR-Lex portálon megtalálható változatai tekintendők hitelesnek. Az említett hivatalos szövegváltozatok közvetlenül elérhetők az ebben a dokumentumban elhelyezett linkeken keresztül
|
A BIZOTTSÁG (EU) 2019/1765 VÉGREHAJTÁSI HATÁROZATA (2019. október 22.) az e-egészségügyért felelős nemzeti hatóságok hálózatának létrehozására, igazgatására és működésére vonatkozó szabályok meghatározásáról és a 2011/890/EU végrehajtási határozat hatályon kívül helyezéséről (az értesítés a C(2019) 7460. számú dokumentummal történt) (HL L 270, 2019.10.24., 83. o) |
Módosította:
|
|
|
Hivatalos Lap |
||
|
Szám |
Oldal |
Dátum |
||
|
A BIZOTTSÁG (EU) 2020/1023 VÉGREHAJTÁSI HATÁROZATA EGT-vonatkozású szöveg (2020. július 15.) |
L 227I |
1 |
16.7.2020 |
|
A BIZOTTSÁG (EU) 2019/1765 VÉGREHAJTÁSI HATÁROZATA
(2019. október 22.)
az e-egészségügyért felelős nemzeti hatóságok hálózatának létrehozására, igazgatására és működésére vonatkozó szabályok meghatározásáról és a 2011/890/EU végrehajtási határozat hatályon kívül helyezéséről
(az értesítés a C(2019) 7460. számú dokumentummal történt)
(EGT-vonatkozású szöveg)
1. cikk
Tárgy
Ez a határozat – a 2011/24/EU irányelv 14. cikkének megfelelően – megállapítja az e-egészségügyért felelős nemzeti hatóságok e-egészségügyi hálózatának létrehozásához, igazgatásához és működéséhez szükséges szabályokat.
2. cikk
Fogalommeghatározások
1. E határozat alkalmazásában:
„e-egészségügyi hálózat”: a tagállamok által kijelölt, az e-egészségügyért felelős nemzeti hatóságokat összekötő önkéntes hálózat, amely a 2011/24/EU irányelv 14. cikkében meghatározott célkitűzéseket követi;
„e-egészségügyi nemzeti kapcsolattartó pontok”: a határokon átnyúló e-egészségügyi információs szolgáltatások nyújtásának szervezési és technikai portálja, amely a tagállamok hatáskörébe tartozik;
„határokon átnyúló e-egészségügyi információs szolgáltatások”: az e-egészségügyi nemzeti kapcsolattartó pontokon keresztül és a Bizottság által a határokon átnyúló egészségügyi ellátás céljából kialakított alapvető szolgáltatási platformon keresztül kezelt meglévő szolgáltatások;
„határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrája”: olyan infrastruktúra, amely lehetővé teszi a határokon átnyúló e-egészségügyi információs szolgáltatások e-egészségügyi nemzeti kapcsolattartó pontokon keresztül történő biztosítását az e-egészségügy és az alapvető európai szolgáltatási platform számára. Ez az infrastruktúra magában foglalja mind a tagállamok által kidolgozott, a 283/2014/EU rendelet 2. cikke (2) bekezdésének e) pontjában meghatározott általános szolgáltatásokat, mind pedig a Bizottság által kidolgozott, a 2. cikk (2) bekezdésének d) pontjában meghatározott alapvető szolgáltatási platformot;
„más közös európai e-egészségügyi szolgáltatások”: olyan digitális szolgáltatások, amelyek az e-egészségügyi hálózat keretében fejleszthetők és a tagállamok között megoszthatók;
„irányítási modell”: a határokon átnyúló e-egészségügyi információs szolgáltatások vagy a más közös európai e-egészségügyi szolgáltatások digitális szolgáltatási infrastruktúrájával kapcsolatos döntéshozatali folyamatokban részt vevő szervezetek kijelölésére vonatkozó szabályok összessége, amelyeket az e-egészségügyi hálózat keretében dolgoztak ki, valamint e folyamatok leírása;
„alkalmazás felhasználója”: intelligens eszközzel rendelkező személy, aki jóváhagyott kontaktkövető és figyelmeztető mobilalkalmazást töltött le és futtat;
„kontaktkövetés”: a határokon átterjedő súlyos egészségügyi veszélynek kitett személyek nyomon követése céljából végrehajtott intézkedések az 1082/2013/EU európai parlamenti és tanácsi határozat ( 1 ) 3. cikkének c) pontja értelmében;
„nemzeti kontaktkövető és figyelmeztető mobilalkalmazás”: olyan, nemzeti szinten jóváhagyott, intelligens eszközökön, különösen okostelefonokon futó szoftveralkalmazás, amelyet általában webes forrásokkal való széles körű és célzott interakcióra terveztek, és amely az intelligens eszközökben megtalálható különféle érzékelők által gyűjtött, közelségre vonatkozó adatokat és egyéb háttér-információkat dolgoz fel a SARS-CoV-2 által fertőzött személyekkel való érintkezés nyomon követése és a SARS-CoV-2 vírusnak esetlegesen kitett személyek figyelmeztetése céljából. Ezek a mobilalkalmazások képesek kimutatni a Bluetooth-technológiát használó más eszközök jelenlétét, és az internet segítségével képesek információt cserélni backend szerverekkel;
„egyesítőportál”: a Bizottság által egy biztonságos informatikai eszközön keresztül működtetett hálózati felület, amely a nemzeti kontaktkövető és figyelmeztető mobilalkalmazások interoperabilitásának biztosítása céljából a személyes adatok minimális körét fogadja, tárolja és teszi elérhetővé a tagállamok backend szerverei között;
„kulcs”: az alkalmazás egy olyan felhasználójához kapcsolódó egyedi ideiglenes azonosító, aki jelenti, hogy megfertőződött a SARS-CoV-2 vírussal, illetve hogy SARS-CoV-2 vírussal fertőzött személlyel érintkezhetett;
„fertőzöttség ellenőrzése”: a SARS-CoV-2-fertőzés megerősítésére alkalmazott módszer annak megállapítására, hogy a fertőzöttséget az alkalmazás felhasználója saját maga jelentette-e be, vagy a fertőzöttség megállapítása nemzeti egészségügyi hatóság megerősítésének vagy laboratóriumi vizsgálatnak az eredménye-e;
„érintett országok”: az az egy vagy több tagállam, amelyben az alkalmazás felhasználója a kulcsok feltöltését megelőző 14 napos időszakban tartózkodott és letöltötte a jóváhagyott nemzeti kontaktkövető és figyelmeztető alkalmazást, és/vagy ahová az említett időszakban utazott;
„a kulcsok származási országa”: azon tagállam, amelyben a kulcsokat a közös portálra feltöltő backend szerver található;
„naplóadat”: az egyesítőportálon keresztül feldolgozott adatok cseréjével és az azokhoz való hozzáféréssel kapcsolatos tevékenység automatikus nyilvántartása, amely feltünteti különösen az adatkezelési tevékenység típusát, az adatkezelési tevékenység napját és időpontját, valamint az adatkezelést végző személy azonosítóját.
2. Az (EU) 2016/679 rendelet 4. cikkének (1), (2), (7) és (8) pontjában szereplő fogalommeghatározások megfelelően alkalmazandók.
3. cikk
Az e-egészségügyi hálózatban való tagság
(1) Az e-egészségügyi hálózat tagjai az e-egészségügyért felelős tagállami hatóságok, amelyeket az e-egészségügyi hálózatban részt vevő tagállamok jelölnek ki.
(2) Az e-egészségügyi hálózatban részt venni kívánó tagállamok a következőkről értesítik írásban a Bizottságot:
az e-egészségügyi hálózatban való részvételre vonatkozó döntés;
az e-egészségügyi hálózat tagjává váló, e-egészségügyért felelős nemzeti hatóság, valamint a hatóság képviselőjének és a képviselő helyettesének neve.
(3) A tagok értesítik a Bizottságot a következőkről:
az e-egészségügyi hálózatból való kilépésre vonatkozó döntés;
a (2) bekezdés b) pontjában említett bármely információ megváltozása.
(4) A Bizottság nyilvánosan hozzáférhetővé teszi az e-egészségügyi hálózatban részt vevő tagok jegyzékét.
4. cikk
Az e-egészségügyi hálózat tevékenysége
(1) a 2011/24/EU irányelv 14. cikke (2) bekezdésének a) pontjában említett célkitűzés megvalósítása érdekében az e-egészségügyi hálózat feladatai közé tartozhatnak különösen a következők:
elősegíti a nemzeti információs és kommunikációs technológiai rendszerek nagyobb fokú átjárhatóságát, valamint az elektronikus egészségügyi adatoknak a határon átnyúló egészségügyi ellátás keretében való átadhatóságát;
a többi illetékes felügyeleti hatósággal együttműködve iránymutatást ad a tagállamoknak az egészségügyi adatok tagállamok közötti megosztása és a polgárok saját egészségügyi adataikhoz való hozzáférése és azok megosztása tekintetében;
iránymutatást ad a tagállamok számára és elősegíti a különböző digitális egészségügyi szolgáltatások – például a telemedicina, az m-egészségügy vagy az új technológiák – fejlesztésére vonatkozó bevált gyakorlatok cseréjét a nagy adathalmazok és a mesterséges intelligencia területén, figyelembe véve az uniós szinten folyamatban lévő fellépéseket;
iránymutatás nyújt a tagállamoknak az egészségfejlesztés, a betegségmegelőzés, valamint az egészségügyi ellátás nyújtásának javítása tekintetében az egészségügyi adatok jobb felhasználása, valamint a betegek és az egészségügyi szakemberek digitális készségeinek fejlesztése révén;
iránymutatást nyújt a tagállamoknak és elősegíti a digitális infrastruktúrára irányuló beruházásokkal kapcsolatos bevált gyakorlatok önkéntes cseréjét;
az egyéb érintett szervekkel és érdekelt felekkel együttműködve iránymutatást nyújt a tagállamok számára a klinikai interoperabilitás szükséges felhasználási lehetőségeiről és az annak megvalósítását szolgáló eszközökről;
iránymutatást nyújt a tagok számára az e-egészségügyi hálózat keretében kifejlesztett, határokon átnyúló e-egészségügyi információs szolgáltatások vagy más közös európai e-egészségügyi szolgáltatások digitális szolgáltatási infrastruktúrájának biztonságáról, figyelembe véve különösen a biztonság területén uniós szinten kidolgozott jogszabályokat és dokumentumokat, valamint a kiberbiztonsággal kapcsolatos ajánlásokat, szoros együttműködésben a hálózat- és információbiztonsági együttműködési csoporttal, valamint – adott esetben – az Európai Uniós Hálózat- és Információbiztonsági Ügynökséggel és a nemzeti hatóságokkal;
iránymutatást nyújt a tagállamoknak a személyes adatok nemzeti kontaktkövető és figyelmeztető mobilalkalmazások közötti, egyesítőportálon keresztül történő, határokon átnyúló cseréjéről.
(2) A 2011/24/EU irányelv 14. cikke (2) bekezdése b) pontjának ii. alpontjában említett, az orvosi adatok népegészségügyi, illetve kutatási célra történő felhasználását lehetővé tevő hatékony módszerekre vonatkozó iránymutatások kidolgozása során az e-egészségügyi hálózat figyelembe veszi az Európai Adatvédelmi Testület által elfogadott iránymutatásokat és – adott esetben – konzultációt folytat vele. Ezek az iránymutatások a határokon átnyúló e-egészségügyi információs szolgáltatások vagy más közös európai e-egészségügyi szolgáltatások digitális szolgáltatási infrastruktúráján keresztül kicserélt információkra is irányulhatnak.
5. cikk
Az e-egészségügyi hálózat működése
(1) Az e-egészségügyi hálózat tagjai egyszerű többségével fogadja el eljárási szabályzatát.
(2) Az e-egészségügyi hálózat többéves munkaprogramot, továbbá a program végrehajtásához értékelési eszközt fogad el.
(3) Feladatainak ellátása érdekében az e-egészségügyi hálózat állandó alcsoportokat hozhat létre a konkrét feladatok ellátására, különösen a határokon átnyúló e-egészségügyi információs szolgáltatások vagy más közös európai e-egészségügyi szolgáltatások digitális szolgáltatási infrastruktúrájával kapcsolatban.
(4) Az e-egészségügyi hálózat ideiglenes alcsoportokat is létrehozhat, többek között szakértők bevonásával annak érdekében, hogy azok az e-egészségügyi hálózat által meghatározott feladatmeghatározások alapján bizonyos kérdéseket megvizsgáljanak. Az alcsoportokat megbízatásuk teljesítését követően fel kell oszlatni.
(5) Ha az e-egészségügyi hálózat tagjai úgy döntenek, hogy az e-egészségügyi hálózat feladatai által lefedett bizonyos területeken előmozdítják együttműködésüket, meg kell állapodniuk a fokozott együttműködés szabályairól, és el kell kötelezniük magukat azok mellett.
(6) A célkitűzések megvalósítása során az e-egészségügyi hálózat szorosan együttműködik az e-egészségügyi hálózat tevékenységét támogató együttes fellépésekkel (amennyiben léteznek ilyenek), az érdekelt felekkel vagy más érintett szervekkel vagy támogató mechanizmusokkal, és figyelembe veszi az e tevékenységek keretében elért eredményeket.
(7) Az e-egészségügyi hálózat a Bizottsággal együttműködésben kidolgozza a határokon átnyúló e-egészségügyi információs szolgáltatásokat támogató digitális szolgáltatási infrastruktúra irányítási modelljeit, és az irányításban részt vesz azáltal, hogy:
elfogadja az e-egészségügyi digitális szolgáltatási infrastruktúra prioritásait és koordinálja azok működését;
iránymutatásokat és a műveletre vonatkozó követelményeket dolgoz ki, beleértve a határokon átnyúló e-egészségügyi információs szolgáltatásokat támogató digitális szolgáltatási infrastruktúrához használt szabványok kiválasztását;
határoz arról, hogy lehetővé kell-e tenni, hogy az e-egészségügyi hálózat tagjai megkezdhessék és folytathassák az elektronikus egészségügyi adatok cseréjét a határokon átnyúló e-egészségügyi információs szolgáltatásokat támogató digitális szolgáltatási infrastruktúrán keresztül, nemzeti e-egészségügyi kapcsolattartó pontjaikon révén, az e-egészségügyi hálózat által megállapított követelményeknek való megfelelésük alapján, a Bizottság által elvégzett vizsgálatoknak és ellenőrzéseknek megfelelően;
jóváhagyja a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrájának éves munkatervét.
(8) Az e-egészségügyi hálózat a Bizottsággal együtt kidolgozhatja az e-egészségügyi hálózat keretében kifejlesztett más közös európai e-egészségügyi szolgáltatások irányítási modelljeit, és azok irányításában is részt vehet. A hálózat a Bizottsággal együtt meghatározhatja a prioritásokat, és iránymutatásokat dolgozhat ki az említett közös európai e-egészségügyi szolgáltatások működtetésére vonatkozóan.
(9) Az eljárási szabályzat előirányozhatja, hogy a 2011/24/EU irányelvet alkalmazó tagállamoktól eltérő országok megfigyelőként részt vehessenek az e-egészségügyi hálózat ülésein.
(10) Az e-egészségügyi hálózat tagjai és azok képviselői, valamint a felkért szakértők és megfigyelők eleget tesznek a Szerződés 339. cikkében előírt szakmai titoktartási kötelezettségnek, valamint az EU-minősített információk védelmére az (EU, Euratom) 2015/444 bizottsági határozatban ( 2 ) meghatározott bizottsági biztonsági szabályoknak. E kötelezettségek elmulasztása esetén az e-egészségügyi hálózat elnöke az eljárási szabályzatban előírtak szerint minden szükséges intézkedést meghozhat.
6. cikk
Az e-egészségügyi hálózat és a Bizottság közötti kapcsolat
(1) A Bizottság:
részt vesz az e-egészségügyi hálózat ülésein és társelnökként vezeti azokat, a tagok képviselőivel együtt;
együttműködik az e-egészségügyi hálózattal és támogatást nyújt számára annak tevékenységeivel kapcsolatban;
titkársági szolgáltatásokat nyújt az e-egészségügyi hálózat számára;
megfelelő technikai és szervezési intézkedéseket dolgoz ki, hajt végre és tart fenn a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrájának alapvető szolgáltatásaival kapcsolatban;
a szükséges vizsgálatok és ellenőrzések biztosítása és végrehajtása révén támogatást nyújt az e-egészségügyi hálózatnak az arról való egyetértés kidolgozásában, hogy az e-egészségügyi nemzeti kapcsolattartó pontok megfelelnek-e az egészségügyi adatok határokon átnyúló cseréjére vonatkozó technikai és szervezési követelményeknek. A Bizottság ellenőreinek munkáját tagállami szakértők segíthetik;
az egyesítőportálon található személyes adatok továbbításának és tárolásának biztonságával kapcsolatban megfelelő technikai és szervezési intézkedéseket dolgoz ki, hajt végre és tart fenn a nemzeti kontaktkövető és figyelmeztető mobilalkalmazások interoperabilitásának biztosítására;
a szükséges vizsgálatok és ellenőrzések biztosítása és végrehajtása révén támogatást nyújt az e-egészségügyi hálózatnak az arról való egyetértés kidolgozásában, hogy a nemzeti hatóságok megfelelnek-e az egyesítőportálon található személyes adatok határokon átnyúló cseréjére vonatkozó technikai és szervezési követelményeknek. A Bizottság szakértőinek munkáját tagállami szakértők segíthetik.
(2) A Bizottság részt vehet az e-egészségügyi hálózat alcsoportjainak ülésein.
(3) A Bizottság konzultálhat az e-egészségügyi hálózattal az uniós szintű e-egészségüggyel és a bevált e-egészségügyi gyakorlatokkal kapcsolatos kérdésekben.
(4) A Bizottság nyilvánossá teszi az e-egészségügyi hálózat által végzett tevékenységgel kapcsolatos információkat.
7. cikk
Az e-egészségügyi digitális szolgáltatási infrastruktúrán keresztül feldolgozott személyes adatok védelme lép;
(1) Az illetékes nemzeti hatóságok vagy más kijelölt szervek által képviselt tagállamok a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúráján keresztül feldolgozott személyes adatok adatkezelőinek tekintendők, és azoknak egyértelműen és átlátható módon ki kell osztaniuk az adatkezelők között a felelősségi köröket.
(2) A Bizottság a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúráján keresztül feldolgozott személyes betegadatok tekintetében adatfeldolgozónak tekintendő. Adatfeldolgozóként a Bizottság irányítja a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrájának alapvető szolgáltatásait, és teljesíti az e határozat ►M1 I. mellékletében ◄ meghatározott adatfeldolgozói kötelezettségeit. A Bizottság nem férhet hozzá a betegeknek a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrája keretében kezelt személyes adataihoz.
(3) A Bizottság a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrájának alapvető szolgáltatásaihoz való hozzáférési jogok megadásához és kezeléséhez szükséges személyes adatok adatkezelőjének tekintendő. Ezek az adatok a felhasználók elérhetőségi adatait tartalmazzák, beleértve a keresztnevüket, a vezetéknevüket és az e-mail-címüket, valamint a szervezeti kötődésüket/munkahelyüket.
7a. cikk
A személyes adatok nemzeti kontaktkövető és figyelmeztető mobilalkalmazások közötti, egyesítőportálon keresztül történő, határokon átnyúló cseréje
(1) Az egyesítőportálon keresztül megosztott személyes adatok esetében az adatkezelés kizárólag a nemzeti kontaktkövető és figyelmeztető mobilalkalmazások interoperabilitásának megkönnyítését és a kontaktkövetés határokon átnyúló összefüggésben biztosítandó folyamatosságát szolgálhatja.
(2) A (3) bekezdésben említett személyes adatok álnevesített formátumban kerülnek továbbításra az egyesítőportálra.
(3) Az egyesítőportálon keresztül megosztott és abban feldolgozott, álnevesített személyes adatok kizárólag a következő információkat tartalmazhatják:
a nemzeti kontaktkövető és figyelmeztető mobilalkalmazások által a kulcsok feltöltése előtt legfeljebb 14 nappal továbbított kulcsok;
a kulcsokhoz kapcsolódó naplóadatok a kulcsok származási országában használt műszaki előírásokban található protokollnak megfelelően;
a fertőzöttség ellenőrzése;
az érintett országok és a kulcsok származási országa.
(4) Az egyesítőportálon található személyes adatokat kezelő kijelölt nemzeti hatóságok vagy hivatalos szervek az egyesítőportálon feldolgozott adatok közös adatkezelői. A közös adatkezelők felelősségi köreit a II. mellékletnek megfelelően kell kiosztani. A személyes adatok nemzeti kontaktkövető és figyelmeztető mobilalkalmazások közötti határokon átnyúló cseréjében részt venni kívánó tagállamok szándékukról a csatlakozásuk előtt értesítik a Bizottságot, feltüntetve a közös adatkezelőként kijelölt nemzeti hatóságot vagy hivatalos szervet.
(5) A Bizottság az egyesítőportálon belül feldolgozott személyes adatok feldolgozója. Adatfeldolgozóként a Bizottság gondoskodik az adatkezelés biztonságáról, többek között az egyesítőportálon található személyes adatok továbbításának és tárolásának biztonságáról, és teljesíti a III. mellékletben meghatározott adatfeldolgozói kötelezettségeit.
(6) A Bizottság és az egyesítőportálhoz való hozzáférésre jogosult nemzeti hatóságok rendszeresen tesztelik, elemzik és értékelik a személyes adatok egyesítőportálon belüli kezelésének biztonságát garantáló technikai és szervezési intézkedések hatékonyságát.
(7) A közös adatkezelőknek az egyesítőportálon való adatkezelés befejezésére vonatkozó határozatának sérelme nélkül az egyesítőportál működését legkésőbb 14 nappal azt követően meg kell szüntetni, hogy az összes kapcsolódó nemzeti kontaktkövető és figyelmeztető mobilalkalmazás beszünteti az egyesítőportálon keresztül történő kulcstovábbítást.
8. cikk
Költségek
(1) Az e-egészségügyi hálózat tevékenységeiben részt vevőket e szolgálatukért a Bizottság nem részesíti javadalmazásban.
(2) Az e-egészségügyi hálózat tevékenységeiben részt vevő személyek utazási és ellátási költségeit a Bizottság a Bizottságon kívüli, szakértőként meghívott személyek költségtérítésére vonatkozó, hatályos bizottsági szabályoknak megfelelően téríti meg. Az említett költségek az éves forrásfelosztási eljárás keretében megállapított, rendelkezésre álló előirányzatok erejéig térítendők meg.
9. cikk
Hatályon kívül helyezés
A 2011/890/EU végrehajtási határozat hatályát veszti. A hatályon kívül helyezett határozatra történő hivatkozásokat erre a határozatra való hivatkozásnak kell tekinteni.
10. cikk
Címzettek
Ennek a határozatnak a tagállamok a címzettjei.
I.MELLÉKLET
A bizottság adatfeldolgozói feladatai a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrájával kapcsolatban
A Bizottság:
Olyan biztonságos és megbízható kommunikációs infrastruktúrát hoz létre és biztosít, amely összekapcsolja az e-egészségügyi hálózat azon tagjainak hálózatait, amelyek az e-egészségügyi digitális szolgáltatási infrastruktúrában érintett tagjainak a hálózatait, amelyek a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrájában („központi biztonsági kommunikációs infrastruktúra”) érintettek. Kötelezettségeinek teljesítése érdekében a Bizottság harmadik feleket is bevonhat. A Bizottság biztosítja, hogy az e határozatban foglalt adatvédelmi kötelezettségek ezekre a harmadik felekre is alkalmazandók legyenek.
Elvégzi a központi biztonsági kommunikációs infrastruktúra egy részének konfigurálását annak érdekében, hogy az e-egészségügyi nemzeti kapcsolattartó pontok biztonságos, megbízható és hatékony információcserét folytathassanak.
A Bizottság a személyes adatokat kizárólag az adatkezelők írásbeli utasításai alapján kezeli.
A központi biztonsági kommunikációs infrastruktúra fenntartása érdekében meghoz minden szervezeti, fizikai és logikai biztonsági intézkedést. A Bizottság e célból:
a biztonsági irányítás tekintetében a központi biztonsági kommunikációs infrastruktúra szintjén kijelöl egy felelős szervezetet, közli az adatkezelőkkel annak elérhetőségeit, és biztosítja, hogy az képes legyen reagálni a biztonsági fenyegetésekre;
felelősséget vállal a központi biztonsági kommunikációs infrastruktúra biztonságáért;
biztosítja, hogy a központi biztonsági kommunikációs infrastruktúrához hozzáféréssel rendelkező valamennyi személyre szerződéses, szakmai vagy jogszabályban előírt titoktartási kötelezettség vonatkozzon;
biztosítja, hogy a minősített adatokhoz hozzáféréssel rendelkező személyzet megfeleljen a megfelelő biztonsági és titoktartási követelményeknek.
Minden szükséges biztonsági intézkedést megtesz annak érdekében, hogy a többi fél domainjének zavartalan működése ne kerüljön veszélybe. E célból a Bizottság megalkotja a központi biztonsági kommunikációs infrastruktúrához való csatlakozással kapcsolatos konkrét eljárásokat. Ezek az információk a következőket tartalmazzák:
kockázatértékelési eljárás a rendszert fenyegető potenciális veszélyek azonosítása és mértékük megbecslése érdekében;
ellenőrzési és felülvizsgálati eljárás a következők érdekében:
végrehajtott biztonsági intézkedések és az alkalmazásra kerülő biztonsági politika közötti megfelelés ellenőrzése;
a rendszerfájlok, a biztonsági paraméterek és a megadott engedélyek megbízhatóságának rendszeres ellenőrzése;
a biztonság megsértésének és a behatolásoknak az észlelése érdekében történő nyomon követés;
módosítások végrehajtása a meglévő biztonsági hiányosságok elkerülése érdekében; valamint
azon feltételek meghatározása, amelyek mellett – többek között az ellenőrzést végző személyek kérésére – felhatalmazást lehet adni és hozzá lehet járulni a független ellenőrzések elvégzéséhez, beleértve a biztonsági intézkedésekkel kapcsolatos ellenőrzéseket és felülvizsgálatokat is.
változáskezelési eljárás annak érdekében, hogy a módosítás végrehajtása előtt dokumentálja és értékelje a változás hatását, és tájékoztassa az e-egészségügyi nemzeti kapcsolattartó pontokat minden olyan módosulásról, amely hatással lehet a többi nemzeti infrastruktúrával való kommunikációra és/vagy azok biztonságára;
karbantartási és javítási eljárások, amelyek meghatározzák a berendezések karbantartása és/vagy javítása esetén követendő szabályokat és feltételeket;
biztonsági incidensekre vonatkozó eljárás a jelentési és eszkalációs rendszer meghatározására, a felelős nemzeti hatóság és az európai adatvédelmi biztos késedelem nélküli tájékoztatására minden biztonsági adatsértésről, valamint a biztonság megsértése esetén fegyelmi eljárás meghatározása.
Fizikai és/vagy logikai biztonsági intézkedéseket hoz a központi biztonsági kommunikációs infrastruktúra felszereltségének otthont adó létesítmények számára, valamint a logikai adatok és a biztonsági hozzáférés ellenőrzése tekintetében. A Bizottság e célból:
érvényre juttatja a fizikai biztonságot a különleges biztonsági övezetek kialakítása és a jogsértések felderítése érdekében;
ellenőrzi a létesítményekhez való hozzáférést és nyomon követés céljából nyilvántartást vezet a látogatókról;
biztosítja, hogy az épületekbe való belépési engedéllyel rendelkező külső személyeket az adott szervezet megfelelő felhatalmazással rendelkező személyzete kísérje;
biztosítja, hogy a kijelölt felelős szervek előzetes engedélye nélkül ne kerülhessen sor berendezések bevitelére, cseréjére vagy eltávolítására;
ellenőrzi a központi biztonsági kommunikációs infrastruktúrához csatlakoztatott egyéb hálózat(ok)hoz és az abból/azokból való hozzáféréseket;
biztosítja a központi biztonsági kommunikációs infrastruktúrához való hozzáféréssel rendelkező személyek azonosítását;
felülvizsgálja a központi biztonsági kommunikációs infrastruktúrához való hozzáféréssel kapcsolatos engedélyezési jogokat abban az esetben, ha az infrastruktúra biztonsága sérül;
biztosítja a központi biztonsági kommunikációs infrastruktúrán keresztül továbbított adatok integritását;
technikai és szervezési biztonsági intézkedéseket vezet be a személyes adatokhoz való jogosulatlan hozzáférés megakadályozására;
szükség esetén olyan intézkedéseket hajt végre, amelyek lehetővé teszik a központi biztonságos kommunikációs infrastruktúrához való, az e-egészségügyi nemzeti kapcsolattartó pontok domainjéről kiinduló jogosulatlan hozzáférések megakadályozását (pl. helyszín/IP-cím blokkolása).
A minőség és a biztonság alapelveitől és fogalmaitól való lényeges eltérés esetén lépéseket tesz a domain védelme érdekében, ideértve a kapcsolatok megszakítását is.
A felelősségi körével kapcsolatban kockázatkezelési tervet tart fenn.
Figyelemmel kíséri – valós időben – a központi biztonsági kommunikációs infrastruktúra valamennyi szolgáltatási elemének teljesítményét, rendszeres statisztikákat készít és nyilvántartást vezet.
A hét minden napján, a nap 24 órájában elérhető angol nyelvű, telefonos, e-mailes vagy webportálon keresztül történő támogatást nyújt a központi biztonsági kommunikációs infrastruktúrához kapcsolódó valamennyi szolgáltatás tekintetében, továbbá fogadja az engedélyezett telefonálók (a központi biztonsági kommunikációs infrastruktúra koordinátorai és a hozzájuk tartozó ügyfélszolgálatok, projektfelelősök és a Bizottság által kijelölt személyek) részéről érkező hívásokat.
Az (EU) 2016/679 rendelet 35. és 36. cikkében foglalt kötelezettségek teljesítése érdekében támogatást nyújt az adatkezelőknek, tájékoztatást adva a határokon átnyúló e-egészségügyi információs szolgáltatások digitális szolgáltatási infrastruktúrájának központi biztonsági kommunikációs infrastruktúrájáról.
Biztosítja, hogy a központi biztonsági kommunikációs infrastruktúrán belül az adatok továbbítása titkosított módon történjen.
Megtesz minden szükséges intézkedést annak megakadályozására, hogy a központi biztonsági kommunikációs infrastruktúra szereplői jogosulatlanul hozzáférhessenek a továbbított adatokhoz.
Intézkedéseket hoz a központi biztonsági kommunikációs infrastruktúrában érintett, kijelölt illetékes nemzeti hatóságok közötti interoperabilitás és kommunikáció megkönnyítése érdekében.
II. MELLÉKLET
A RÉSZT VEVŐ TAGÁLLAMOKNAK MINT A NEMZETI KONTAKTKÖVETŐ ÉS FIGYELMEZTETŐ MOBILALKALMAZÁSOK KÖZÖTTI, HATÁROKON ÁTNYÚLÓ ADATKEZELÉST SZOLGÁLÓ EGYESÍTŐPORTÁL KÖZÖS ADATKEZELŐINEK A FELELŐSSÉGI KÖRE
1. SZAKASZ
1. alszakasz
A felelősségi körök megosztása
1. A közös adatkezelők az e-egészségügyi hálózat keretében elfogadott műszaki előírásoknak megfelelően ( 3 ) kezelik az egyesítőportálon továbbított személyes adatokat.
2. Minden adatkezelő felelős azért, hogy a személyes adatoknak az egyesítőportálon történő kezelése az általános adatvédelmi rendelettel és a 2002/58/EK irányelvvel összhangban történjen.
3. Minden adatkezelő létrehoz egy kapcsolattartó pontot, és azt egy funkcionális postafiókkal látja el a közös adatkezelők közötti, valamint a közös adatkezelők és az adatfeldolgozó közötti kommunikáció biztosítására.
4. Az e-egészségügyi hálózat által az 5. cikk (4) bekezdésével összhangban létrehozott ideiglenes alcsoport feladata, hogy megvizsgálja a nemzeti kontaktkövető és figyelmeztető mobilalkalmazások interoperabilitásával, valamint a kapcsolódó személyes adatok kezelésére irányuló közös adatkezeléssel kapcsolatos problémákat, és segítse a Bizottságnak mint adatfeldolgozónak szóló összehangolt utasítások kidolgozását. Az adatkezelők az ideiglenes alcsoport keretében többek között közös megközelítést dolgozhatnak ki az adatoknak a nemzeti backend szervereiken való megőrzésére vonatkozóan, figyelembe véve az egyesítőportálon meghatározott megőrzési időszakot.
5. Az adatfeldolgozónak szóló utasításokat a közös adatkezelők valamely kapcsolattartó pontja küldi meg, a fent említett alcsoportban tevékeny többi közös adatkezelő hozzájárulásával.
6. Az egyesítőportálon keresztül megosztott felhasználói személyes adatokhoz kizárólag a kijelölt nemzeti hatóságok vagy hivatalos szervek által felhatalmazott személyek férhetnek hozzá.
7. Az egyes kijelölt nemzeti hatóságok vagy hivatalos szervek közös adatkezelői minősége az egyesítőportálon való részvételük visszavonásának időpontjában megszűnik. Az említett hatóságok vagy szervek azonban továbbra is felelősek az egyesítőportálon a részvételük megszűnését megelőzően folytatott adatkezelésért.
2. alszakasz
Az érintettek kéréseinek kezelésével és az érintettek tájékoztatásával kapcsolatos felelősségi körök és feladatok
1. Az egyes adatkezelők – az általános adatvédelmi rendelet 13. és 14. cikkével összhangban – tájékoztatják nemzeti kontaktkövető és figyelmeztető mobilalkalmazásuk felhasználóit (a továbbiakban: az érintettek) személyes adataiknak az egyesítőportálon a nemzeti kontaktkövető és figyelmeztető mobilalkalmazások interoperabilitásának biztosítása céljából történő kezeléséről.
2. Az egyes adatkezelők kapcsolattartó pontként szolgálnak a nemzeti kontaktkövető és figyelmeztető mobilalkalmazásuk felhasználói számára, és foglalkoznak az érintettek jogainak az általános adatvédelmi rendelettel összhangban történő gyakorlásával kapcsolatos, az említett felhasználók vagy képviselőik által benyújtott kérelmekkel. Minden adatkezelő külön kapcsolattartó pontot jelöl ki az érintettek kérelmeinek feldolgozása céljából. Amennyiben egy közös adatkezelőhöz valamely érintettől olyan kérelem érkezik, amely nem tartozik a felelősségi körébe, akkor azt haladéktalanul továbbítja az azért felelős közös adatkezelőnek. A közös adatkezelők kérésre segítik egymást az érintettek kérelmeinek kezelésében, és indokolatlan késedelem nélkül, de legkésőbb a segítségnyújtás iránti kérelem kézhezvételétől számított 15 napon belül választ adnak egymásnak.
3. Az egyes adatkezelők az érintettek rendelkezésére bocsátják e melléklet tartalmát, beleértve az 1. és 2. pontban megállapított szabályokat is.
2. SZAKASZ
A biztonsági események – többek között az adatvédelmi incidensek – kezelése
1. A közös adatkezelők segítik egymást a biztonsági események azonosításában és kezelésében, ideértve az adatvédelmi incidensek azon eseteit is, amelyek az egyesítőportálon történő adatkezeléshez kapcsolódnak.
2. A közös adatkezelők különösen a következőkről értesítik egymást:
az egyesítőportálon kezelt személyes adatok rendelkezésre állását, bizalmas jellegét és/vagy sértetlenségét érintő esetleges vagy tényleges kockázatok;
az egyesítőportálon végzett adatkezelési műveletekhez kapcsolódó biztonsági események;
adatvédelmi incidensek, az adatvédelmi incidens valószínűsíthető következményei, a természetes személyek jogait és szabadságait érintő kockázatok értékelése, valamint az adatvédelmi incidens kezelése és a természetes személyek jogait és szabadságait érintő kockázatok csökkentése érdekében hozott intézkedések;
az egyesítőportálon végzett adatkezelési műveletek technikai és/vagy szervezési biztosítékainak megsértése.
3. A közös adatkezelők az (EU) 2016/679 rendelet 3és 34. cikkével összhangban vagy a Bizottság által küldött értesítést követően tájékoztatják a Bizottságot, az illetékes felügyeleti hatóságokat és szükség esetén az érintetteket az egyesítőportálon végzett adatkezelési műveletekkel kapcsolatos minden adatvédelmi incidensről.
3. SZAKASZ
Adatvédelmi hatásvizsgálat
Ha egy adatkezelőnek az általános adatvédelmi rendelet 35. és 36. cikkében meghatározott kötelezettségei teljesítése érdekében egy másik adatkezelőtől információra van szüksége, erre irányulóan kérelmet kell küldenie az 1. szakasz 1. alszakaszának 3. pontjában említett funkcionális postafiókba. A másik adatkezelő minden tőle telhetőt megtesz a szóban forgó információk rendelkezésre bocsátása érdekében.
III. MELLÉKLET
A BIZOTTSÁGNAK MINT A NEMZETI KONTAKTKÖVETŐ ÉS FIGYELMEZTETŐ MOBILALKALMAZÁSOK KÖZÖTTI, HATÁROKON ÁTNYÚLÓ ADATKEZELÉST SZOLGÁLÓ EGYESÍTŐPORTÁL ADATFELDOLGOZÓJÁNAK A FELELŐSSÉGI KÖRE
A Bizottság feladatai:
A Bizottság egy olyan biztonságos és megbízható kommunikációs infrastruktúrát hoz létre és bocsát rendelkezésre, amely összekapcsolja az egyesítőportálon részt vevő tagállamok nemzeti kontaktkövető és figyelmeztető mobilalkalmazásait. Az egyesítőportál adatfeldolgozójaként rá háruló kötelezettségek teljesítése érdekében a Bizottság harmadik feleket is megbízhat további adatfeldolgozóként; a Bizottság tájékoztatja a közös adatkezelőket az egyéb további adatfeldolgozók megbízásával vagy leváltásával kapcsolatos tervezett változtatásokról, ezáltal lehetővé téve az adatkezelők számára, hogy a II. melléklet 1. szakasza 1. alszakasza 4. pontjának megfelelően közösen kifogást emeljenek az ilyen változtatások ellen. A Bizottság gondoskodik arról, hogy az e határozatban foglalt adatvédelmi kötelezettségek az említett további adatfeldolgozókra is alkalmazandók legyenek.
A Bizottság a személyes adatokat kizárólag az adatkezelők dokumentált utasításai alapján kezeli, kivéve, ha az adatok kezelésére uniós vagy tagállami jogszabály vonatkozik; ebben az esetben a Bizottság az adatfeldolgozást megelőzően tájékoztatja az adatkezelőket az említett jogi előírásról, kivéve, ha a szóban forgó jogszabály fontos közérdekből tiltja az ilyen tájékoztatást.
A Bizottság által végzett adatkezelés a következőket foglalja magában:
a nemzeti backend szerverek nemzeti backendszerver-tanúsítványok alapján történő hitelesítése;
a végrehajtási határozat 7a. cikkének (3) bekezdésében említett, a nemzeti backend szerverek által feltöltött adatok fogadása egy olyan alkalmazásprogramozási felületen, amely lehetővé teszi a nemzeti backend szerverek számára a megfelelő adatok feltöltését;
az adatoknak a nemzeti backend szerverekről való beérkezését követően azok tárolása az egyesítőportálon;
az adatok rendelkezésre bocsátása a nemzeti backend szerverek általi letöltés céljából;
az adatok törlése azoknak az összes részt vevő backend szerver általi letöltése után, illetve a beérkezésüket követő 14 nap elteltével, attól függően, hogy melyik a korábbi időpont;
minden fennmaradó adat törlése a szolgáltatásnyújtás végét követően, kivéve, ha uniós vagy tagállami jogszabály előírja a személyes adatok tárolását.
Az adatfeldolgozó megteszi a szükséges intézkedéseket a kezelt adatok sértetlenségének biztosítására.
Az egyesítőportál karbantartása érdekében a Bizottság meghoz minden korszerű szervezeti, fizikai és logikai jellegű biztonsági intézkedést. A Bizottság e célból:
kijelöl egy, az egyesítőportál biztonsági irányításáért felelős szervezetet, közli az adatkezelőkkel annak elérhetőségét, és biztosítja, hogy az képes legyen reagálni a biztonsági fenyegetésekre;
felelősséget vállal az egyesítőportál biztonságáért;
biztosítja, hogy az egyesítőportálhoz hozzáféréssel rendelkező valamennyi személyre szerződéses, szakmai vagy jogszabályban előírt titoktartási kötelezettség vonatkozzon;
A Bizottság minden szükséges biztonsági intézkedést megtesz annak érdekében, hogy a nemzeti backend szerverek zavartalan működése ne kerüljön veszélybe. E célból a Bizottság megalkotja a backend szervereknek az egyesítőportálra történő csatlakozásával kapcsolatos konkrét eljárásokat. Ezek az alábbiakat foglalják magukban:
kockázatértékelési eljárás a rendszert fenyegető potenciális veszélyek azonosítása és mértékük megbecslése érdekében;
ellenőrzési és felülvizsgálati eljárás a következők céljából:
a végrehajtott biztonsági intézkedések és az alkalmazandó biztonsági politika közötti megfelelés ellenőrzése;
a rendszerfájlok, a biztonsági paraméterek és a megadott engedélyek megbízhatóságának rendszeres ellenőrzése;
a biztonság megsértésének és a behatolásoknak az észlelése érdekében történő nyomon követés;
módosítások végrehajtása a meglévő biztonsági hiányosságok csökkentése érdekében; valamint
a független ellenőrzések elvégzésének lehetővé tétele, többek között az adatkezelők kérésére, és az azokhoz történő hozzájárulás, ideértve a biztonsági intézkedésekkel kapcsolatos ellenőrzéseket és felülvizsgálatokat is, az EUMSZ-hez csatolt, az Európai Unió kiváltságairól és mentességeiről szóló 7. jegyzőkönyvet ( 4 ) tiszteletben tartó feltételek mellett;
az ellenőrzési eljárás módosítása annak érdekében, hogy a módosítás végrehajtása előtt dokumentálható és értékelhető legyen a változás hatása, és hogy az adatkezelők tájékoztatást kapjanak minden olyan változásról, amely hatással lehet az infrastruktúráikkal való kommunikációra és/vagy azok biztonságára;
karbantartási és javítási eljárások meghatározása a berendezések karbantartása és/vagy javítása esetén követendő szabályok és feltételek meghatározása céljából;
biztonsági incidensekre vonatkozó eljárás meghatározása a jelentési és eszkalációs rendszer meghatározására, az adatkezelők és az európai adatvédelmi biztos késedelem nélküli tájékoztatására minden adatvédelmi incidensről, valamint a biztonság megsértése esetén fegyelmi eljárás meghatározása.
A Bizottság a technika állásának megfelelő fizikai és/vagy logikai biztonsági intézkedéseket hoz az egyesítőportál berendezéseinek otthont adó létesítmények számára, valamint a logikai adatok és a biztonsági hozzáférés ellenőrzése tekintetében. A Bizottság e célból:
érvényre juttatja a fizikai biztonságot a különleges biztonsági övezetek kialakítása és a jogsértések felderítése érdekében;
ellenőrzi a létesítményekhez való hozzáférést, és nyomon követés céljából nyilvántartást vezet a látogatókról;
biztosítja, hogy az épületekbe való belépési engedéllyel rendelkező külső személyeket megfelelő felhatalmazással rendelkező személyzet kísérje;
biztosítja, hogy a kijelölt felelős szervek előzetes engedélye nélkül ne kerülhessen sor berendezések bevitelére, cseréjére vagy eltávolítására;
ellenőrzi a nemzeti backend szerverek és az egyesítőportál egymáshoz való hozzáférését;
biztosítja az egyesítőportálhoz való hozzáféréssel rendelkező személyek azonosítását és hitelesítését;
felülvizsgálja az egyesítőportálhoz való hozzáféréssel kapcsolatos engedélyezési jogokat abban az esetben, ha az infrastruktúra biztonsága sérül;
megőrzi az egyesítőportálon keresztül továbbított információk sértetlenségét;
technikai és szervezési biztonsági intézkedéseket vezet be a személyes adatokhoz való jogosulatlan hozzáférés megakadályozására;
szükség esetén olyan intézkedéseket hajt végre, amelyek lehetővé teszik az egyesítőportálhoz való, a nemzeti hatóságok domainjéről kiinduló jogosulatlan hozzáférések megakadályozását (pl. helyszín/IP-cím blokkolása).
A minőség és a biztonság alapelveitől és fogalmaitól való lényeges eltérés esetén a Bizottság lépéseket tesz a domain védelme érdekében, ideértve a kapcsolatok megszakítását is.
A felelősségi körével kapcsolatban kockázatkezelési tervet tart fenn.
Figyelemmel kíséri – valós időben – az egyesítőportál valamennyi szolgáltatási elemének teljesítményét, rendszeres statisztikákat készít és nyilvántartást vezet.
Napi 24 órában telefonon, e-mailben vagy egy webportálon keresztül angol nyelven támogatást nyújt az egyesítőportál valamennyi szolgáltatásához, és fogadja az engedélyezett hívó felek – az egyesítőportál koordinátorai és azok ügyfélszolgálatai, a projektfelelősök és a Bizottság által kijelölt személyek – hívásait.
A Bizottság – a lehetőségek függvényében – megfelelő technikai és szervezési intézkedésekkel támogatást nyújt az adatkezelőknek azon kötelezettségük teljesítéséhez, hogy válaszoljanak az érintettek jogainak gyakorlásával kapcsolatos kérelmekre, mely jogokat az általános adatvédelmi rendelet III. fejezete határozza meg.
Az általános adatvédelmi rendelet 32., 35. és 36. cikke szerinti kötelezettségek teljesítése érdekében a Bizottság az egyesítőportálra vonatkozó információk megadásával támogatja az adatkezelőket.
A Bizottság gondoskodik arról, hogy az egyesítőportálon kezelt adatok minden, hozzáférési jogosultsággal nem rendelkező személy számára értelmezhetetlenek legyenek.
A Bizottság minden szükséges intézkedést megtesz annak megakadályozására, hogy az egyesítőportál működtetői jogosulatlanul hozzáférhessenek a továbbított adatokhoz.
A Bizottság intézkedéseket hoz, hogy elősegítse az egyesítőportál kijelölt adatkezelői közötti interoperabilitást és kommunikációt.
A Bizottság az (EU) 2018/1725 rendelet 31. cikke (2) bekezdésének megfelelően nyilvántartást vezet az adatkezelők nevében végzett adatkezelési tevékenységekről.
( 1 ) (*) Az Európai Parlament és a Tanács 1082/2013/EU határozata (2013. október 22.) a határokon átterjedő súlyos egészségügyi veszélyekről és a 2119/98/EK határozat hatályon kívül helyezéséről (HL L 293., 2013.11.5., 1. o.).
( 2 ) A Bizottság (EU, Euratom) 2015/444 határozata (2015. március 13.) az EU-minősített adatok védelmét szolgáló biztonsági szabályokról (HL L 72., 2015.3.17., 53. o.).
( 3 ) Különösen a jóváhagyott alkalmazásokra vonatkozó, a több tagállamot érintő fertőzési láncok esetében alkalmazandó 2020. június 16-i interoperabilitási előírásoknak megfelelően, amelyek az alábbi címen érhetők el: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0
( 4 ) Az Európai Unió kiváltságairól és mentességeiről szóló 7. jegyzőkönyv (HL C 326., 2012.10.26., 266. o.).