This document is an excerpt from the EUR-Lex website
Document 02019D1765-20200717
Commission Implementing Decision 2019/1765 of 22 October 2019 providing the rules for the establishment, the management and the functioning of the network of national authorities responsible for eHealth, and repealing Implementing Decision 2011/890/EU (notified under document C(2019) 7460) (Text with EEA relevance)Text with EEA relevance
Consolidated text: Komisijas Īstenošanas lēmums (ES) 2019/1765 (2019. gada 22. oktobris), ar ko paredz par e-veselību atbildīgo valsts iestāžu tīkla izveidošanas, pārvaldības un darbības noteikumus un atceļ Īstenošanas lēmumu 2011/890/ES (izziņots ar dokumenta numuru C(2019) 7460) (Dokuments attiecas uz EEZ)Dokuments attiecas uz EEZ
Komisijas Īstenošanas lēmums (ES) 2019/1765 (2019. gada 22. oktobris), ar ko paredz par e-veselību atbildīgo valsts iestāžu tīkla izveidošanas, pārvaldības un darbības noteikumus un atceļ Īstenošanas lēmumu 2011/890/ES (izziņots ar dokumenta numuru C(2019) 7460) (Dokuments attiecas uz EEZ)Dokuments attiecas uz EEZ
ELI: http://data.europa.eu/eli/dec_impl/2019/1765/2020-07-17
02019D1765 — LV — 17.07.2020 — 001.001
Šis dokuments ir tikai informatīvs, un tam nav juridiska spēka. Eiropas Savienības iestādes neatbild par tā saturu. Attiecīgo tiesību aktu un to preambulu autentiskās versijas ir publicētas Eiropas Savienības “Oficiālajā Vēstnesī” un ir pieejamas datubāzē “Eur-Lex”. Šie oficiāli spēkā esošie dokumenti ir tieši pieejami, noklikšķinot uz šajā dokumentā iegultajām saitēm
|
KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2019/1765 (2019. gada 22. oktobris), ar ko paredz par e-veselību atbildīgo valsts iestāžu tīkla izveidošanas, pārvaldības un darbības noteikumus un atceļ Īstenošanas lēmumu 2011/890/ES (izziņots ar dokumenta numuru C(2019) 7460) (OV L 270, 24.10.2019., 83. lpp) |
Grozīts ar:
|
|
|
Oficiālais Vēstnesis |
||
|
Nr. |
Lappuse |
Datums |
||
|
KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2020/1023 Dokuments attiecas uz EEZ (2020. gada 15. jūlijs), |
L 227I |
1 |
16.7.2020 |
|
KOMISIJAS ĪSTENOŠANAS LĒMUMS (ES) 2019/1765
(2019. gada 22. oktobris),
ar ko paredz par e-veselību atbildīgo valsts iestāžu tīkla izveidošanas, pārvaldības un darbības noteikumus un atceļ Īstenošanas lēmumu 2011/890/ES
(izziņots ar dokumenta numuru C(2019) 7460)
(Dokuments attiecas uz EEZ)
1. pants
Priekšmets
Šis lēmums nodrošina nepieciešamos par e-veselību atbildīgo valsts iestāžu tīkla izveidošanas, pārvaldības un darbības noteikumus, kas paredzēti Direktīvas 2011/24/ES 14. pantā.
2. pants
Definīcijas
1. Šajā lēmumā:
“e-veselības tīkls” ir brīvprātīgs tīkls, kurā apvienotas dalībvalstu nozīmētās valsts iestādes, kas ir atbildīgas par e-veselību un īsteno Direktīvas 2011/24/ES 14. pantā noteiktos mērķus;
“nacionālie e-veselības kontaktpunkti” ir organizatoriskas un tehniskas vārtejas pārrobežu e-veselības informācijas pakalpojumu sniegšanai dalībvalstu pārraudzībā;
“pārrobežu e-veselības informācijas pakalpojumi” ir pašreizējie pakalpojumi, kas tiek apstrādāti, izmantojot nacionālos e-veselības kontaktpunktus un pamatpakalpojumu platformu, kuru Komisija izstrādājusi pārrobežu veselības aprūpes vajadzībām;
“pārrobežu e-veselības informācijas pakalpojumiem paredzētā e-veselības digitālo pakalpojumu infrastruktūra” ir infrastruktūra, kas pārrobežu e-veselības informācijas pakalpojumus ļauj sniegt caur nacionālajiem e-veselības kontaktpunktiem un Eiropas pamatpakalpojumu platformu. Šī infrastruktūra ietver gan dalībvalstu izstrādātus vispārējus pakalpojumus, kas definēti Regulas (ES) Nr. 283/2014 2. panta 2. punkta e) apakšpunktā, gan Komisijas izstrādātu pamatpakalpojumu platformu, kas definēta minētās regulas 2. panta 2. punkta d) apakšpunktā;
“citi kopīgi Eiropas e-veselības pakalpojumi” ir digitāli pakalpojumi, kurus var izstrādāt e-veselības tīkla ietvaros un izplatīt dalībvalstīs;
“pārvaldības modelis” ir noteikumu kopums attiecībā uz to struktūru nozīmēšanu, kas piedalās lēmumu pieņemšanas procesos, kuri attiecas uz pārrobežu e-veselības informācijas pakalpojumiem paredzēto e-veselības digitālo pakalpojumu infrastruktūru vai citiem kopīgiem Eiropas e-veselības pakalpojumiem, kas izstrādāti e-veselības tīkla ietvaros, kā arī šo procesu apraksts;
“lietotnes lietotājs” ir persona, kuras īpašumā ir viedierīce un kura ir lejupielādējusi un izmanto apstiprinātu mobilo lietotni kontaktu izsekošanai un brīdināšanai;
“kontaktu izsekošana” ir pasākumi, kurus īsteno nolūkā atrast personas, kuras ir bijušas pakļautas nopietna pārrobežu veselības apdraudējuma izraisītāja iedarbībai, Eiropas Parlamenta un Padomes Lēmuma Nr. 1082/2013/ES ( 1 ) 3. panta c) punkta nozīmē;
“nacionālā kontaktu izsekošanas un brīdināšanas mobilā lietotne” ir valsts līmenī apstiprināta programmatūra, kas darbojas viedierīcēs, jo īpaši viedtālruņos, parasti ir paredzēta plašai un specifiskai mijiedarbībai ar tīmekļa resursiem, un, lai izsekotu kontaktēšanos ar cilvēkiem, kas inficēti ar SARS-CoV-2, un brīdinātu cilvēkus, kas varētu būt bijuši pakļauti saskarei ar SARS-CoV-2 vīrusu, apstrādā tuvuma datus un citu kontekstuālu informāciju, kas savākta ar daudziem viedierīcēs esošajiem sensoriem. Šīs mobilās lietotnes spēj konstatēt citu ierīču klātbūtni, izmantojot Bluetooth tehnoloģiju, un, izmantojot internetu, apmainīties ar informāciju ar aizmugursistēmas serveriem;
“federatīvā vārteja” ir Komisijas ekspluatēta tīkla vārteja, kas, lai nodrošinātu nacionālo kontaktu izsekošanas un brīdināšanas mobilo lietotņu sadarbspēju, ar drošu IT rīku saņem, uzglabā un dara pieejamu minimālu persondatu kopumu dalībvalstu aizmugursistēmas serveriem;
“atslēga” ir īslaicīgs unikāls identifikators, kas saistīts ar lietotnes lietotāju, kurš ziņo, ka ir inficēts ar SARS-CoV-2, vai kurš varētu būt bijis pakļauts saskarei ar SARS-CoV-2 vīrusu;
“inficēšanās verifikācija” ir metode, ar kuru apstiprina inficēšanos ar SARS-CoV-2, proti, pārbauda, vai lietotnes lietotājs par inficēšanos paziņojis pats vai inficēšanos ir apstiprinājusi valsts veselības iestāde, vai inficēšanās konstatēta laboratorijas testā;
“interesējošās valstis” ir dalībvalsts vai dalībvalstis, kur lietotnes lietotājs ir bijis 14 dienas pirms atslēgu augšupielādēšanas datuma un ir lejupielādējis apstiprināto valsts kontaktu izsekošanas un brīdināšanas mobilo lietotni un/vai ceļojis;
“atslēgu izcelsmes valsts” ir dalībvalsts, kurā atrodas aizmugursistēmas serveris, kas atslēgas augšupielādējis federatīvajā vārtejā;
“žurnāla dati” ir automātiski reģistrēts ieraksts par darbību, kas saistīta ar federatīvajā vārtejā apstrādāto datu apmaiņu un piekļuvi tiem, un tie galvenokārt norāda apstrādes darbības veidu, datumu un laiku un tās personas identifikatoru, kas šos datus ir apstrādājusi.
2. Attiecīgā gadījumā piemēro Regulas (ES) 2016/679 4. panta 1., 2., 7. un 8. punktā minētās definīcijas.
3. pants
Dalība e-veselības tīklā
1. E-veselības tīkla dalībnieces ir par e-veselību atbildīgās dalībvalstu iestādes, ko nozīmējušas e-veselības tīklā iesaistījušās dalībvalstis.
2. Dalībvalstis, kas vēlas iesaistīties e-veselības tīklā, rakstveidā paziņo Komisijai:
lēmumu iesaistīties e-veselības tīklā;
par e-veselību atbildīgo valsts iestādi, kas kļūs par e-veselības tīkla dalībnieci, kā arī pārstāvja un viņa/viņas aizstājēja vārdu.
3. Dalībnieki rakstveidā paziņo Komisijai par:
lēmumu izstāties no e-veselības tīkla;
visām izmaiņām informācijā, kas minēta 2. punkta b) apakšpunktā.
4. Komisija sabiedrībai dara pieejamu e-veselības tīkla dalībnieku sarakstu.
4. pants
E-veselības tīkla darbības
1. Tiecoties sasniegt Direktīvas 2011/24/ES 14. panta 2. punkta a) apakšpunktā minēto mērķi, e-veselības tīkls var, jo īpaši:
veicināt lielāku nacionālo informācijas un komunikācijas tehnoloģijas sistēmu sadarbspēju un elektronisko veselības datu pārrobežu nododamību pārrobežu veselības aprūpē;
sadarbībā ar citām kompetentajām uzraudzības iestādēm sniegt norādījumus dalībvalstīm saistībā ar tādu dalīšanos ar veselības datiem, kas notiek starp dalībvalstīm, un dot iedzīvotājiem iespēju piekļūt saviem veselības datiem un ar tiem dalīties;
ņemot vērā ES līmenī notiekošos pasākumus, sniegt norādījumus dalībvalstīm un veicināt labas prakses apmaiņu saistībā ar dažādu digitālo veselības pakalpojumu, piemēram, telemedicīnas, m-veselības vai jauno tehnoloģiju, attīstību lielo datu un mākslīgā intelekta jomā;
sniegt dalībvalstīm norādījumus attiecībā uz to, kā veselības veicināšanu, slimību profilaksi un uzlabotu veselības aprūpes nodrošināšanu atbalstīt, labāk izmantojot veselības datus un uzlabojot pacientu un veselības aprūpes speciālistu digitālās prasmes;
sniegt norādījumus dalībvalstīm un veicināt brīvprātīgu apmaiņu ar paraugpraksi attiecībā uz ieguldījumiem digitālajā infrastruktūrā;
sadarbībā ar citām attiecīgajām struktūrām un ieinteresētajām personām sniegt norādījumus dalībvalstīm par nepieciešamajiem lietošanas piemēriem, kuri attiecas uz klīnisko sadarbspēju un instrumentiem tās sasniegšanai;
sniegt norādījumus dalībvalstīm par drošību attiecībā uz pārrobežu e-veselības informācijas pakalpojumiem paredzēto e-veselības digitālo pakalpojumu infrastruktūru vai citiem kopīgiem Eiropas e-veselības pakalpojumiem, kas izstrādāti e-veselības tīkla ietvaros, ņemot vērā Savienības līmenī izstrādātos tiesību aktus un dokumentus, jo īpaši, drošības jomā, kā arī ieteikumus kiberdrošības jomā, un cieši sadarbojoties ar Tīkla un informācijas drošības sadarbības grupu un Eiropas Savienības Tīklu un informācijas drošības aģentūru, kā arī attiecīgā gadījumā ar valsts iestādēm;
norādījumu sniegšana dalībvalstīm par persondatu pārrobežu apmaiņu federatīvajā vārtejā starp nacionālajām kontaktu izsekošanas un brīdināšanas mobilajām lietotnēm.
2. Gatavojot pamatnostādnes par iedarbīgām metodēm, kas dod iespēju medicīnisku informāciju izmantot sabiedrības veselības interesēs un pētniecībā un kas pieminētas Direktīvas 2011/24/ES 14. panta 2. punkta b) apakšpunkta ii) punktā, e-veselības tīkls ņem vērā Eiropas Datu aizsardzības kolēģijas pieņemtās pamatnostādnes un attiecīgā gadījumā konsultējas ar to. Šajās pamatnostādnēs uzmanība var tikt veltīta arī informācijai, ar kuru apmainās pārrobežu e-veselības informācijas pakalpojumiem paredzētās e-veselības digitālo pakalpojumu infrastruktūras vai citu kopīgu Eiropas e-veselības pakalpojumu ietvaros.
5. pants
E-veselības tīkla darbība
1. E-veselības tīkls izveido pats savu reglamentu, un tas notiek ar tīkla dalībnieku vienkāršu balsu vairākumu.
2. E-veselības tīkls pieņem daudzgadu darba programmu un instrumentu, ar ko novērtē šādas programmas īstenošanu.
3. Lai šos uzdevumus paveiktu, e-veselības tīkls var izveidot pastāvīgas apakšgrupas, kas nodarbojas ar konkrētiem uzdevumiem, jo īpaši, saistībā ar pārrobežu e-veselības informācijas pakalpojumiem paredzēto e-veselības digitālo pakalpojumu infrastruktūru vai citiem kopīgiem Eiropas e-veselības pakalpojumiem, kas izstrādāti e-veselības tīkla ietvaros.
4. E-veselības tīkls var izveidot arī pagaidu apakšgrupas, tostarp ar ekspertiem, kuras uz paša e-veselības tīkla noteikta darba uzdevuma pamata izskata īpašus jautājumus. Šādas apakšgrupas tiek izformētas, tiklīdz to uzdevums ir paveikts.
5. Ja e-veselības tīkla dalībnieki nolemj padziļināt sadarbību kādā no e-veselības tīkla uzdevumu jomām, tiem būtu jāvienojas par padziļinātās sadarbības noteikumiem un jāapņemas tos pildīt.
6. E-veselības tīkls savus mērķus cenšas sasniegt ciešā sadarbībā ar kopīgas rīcības programmām, kas atbalsta e-veselības tīkla darbības – ja vien šādas kopīgas rīcības programmas pastāv –, kā arī ar ieinteresētajām personām vai citām attiecīgajām struktūrām vai atbalsta mehānismiem un ņem vērā minētajās darbībās sasniegtos rezultātus.
7. E-veselības tīkls kopīgi ar Komisiju izstrādā pārrobežu e-veselības informācijas pakalpojumiem paredzētās e-veselības digitālo pakalpojumu infrastruktūras pārvaldības modeļus un minētajā pārvaldībā piedalās:
vienojoties par e-veselības digitālo pakalpojumu infrastruktūras prioritātēm un pārraugot to izpildi;
izstrādājot pamatnostādnes un prasības attiecībā uz darbību, tostarp standartu atlasi pārrobežu e-veselības informācijas pakalpojumiem paredzētās e-veselības digitālo pakalpojumu infrastruktūras vajadzībām;
vienojoties par to, vai e-veselības tīkla dalībniekiem būtu jāļauj sākt un turpināt dalībnieku nacionālo e-veselības kontaktpunktu ietvaros caur pārrobežu e-veselības informācijas pakalpojumiem paredzēto e-veselības digitālo pakalpojumu infrastruktūru apmainīties ar elektroniskiem veselības datiem, un vienošanās pamatā ir tiem izvirzīto e-veselības tīkla prasību izpilde, kas novērtēta Komisijas nodrošinātos testos un Komisijas veiktās revīzijās;
apstiprinot pārrobežu e-veselības informācijas pakalpojumiem paredzētās e-veselības digitālo pakalpojumu infrastruktūras gada darba plānu.
8. E-veselības tīkls kopā ar Komisiju var izstrādāt citu e-veselības tīkla ietvaros izveidotu kopīgu Eiropas e-veselības pakalpojumu pārvaldības modeļus un piedalīties minētajā pārvaldībā. Tīkls kopā ar Komisiju var arī noteikt prioritātes un izstrādāt pamatnostādnes attiecībā uz šiem kopīgajiem Eiropas e-veselības pakalpojumiem.
9. Reglamentā var paredzēt, ka valstis, kas piemēro Direktīvu 2011/24/ES, bet nav dalībvalstis, e-veselības tīkla sanāksmēs var piedalīties kā novērotājas.
10. E-veselības tīkla dalībnieki un to pārstāvji, kā arī pieaicinātie eksperti un novērotāji pilda Līguma 339. pantā noteikto pienākumu glabāt dienesta noslēpumus, kā arī Komisijas drošības noteikumus attiecībā uz ES klasificētas informācijas aizsardzību, kas noteikti Komisijas Lēmumā (ES, Euratom) 2015/444 ( 2 ). Ja viņi šos pienākumus nepilda, e-veselības tīkla priekšsēdētājs var veikt visus attiecīgos reglamentā paredzētos pasākumus.
6. pants
E-veselības tīkla un Komisijas attiecības
1. Komisija:
piedalās e-veselības tīkla sanāksmēs un vada tās kopīgi ar dalībnieku pārstāvi;
sadarbojas ar e-veselības tīklu un atbalsta to saistībā ar tā darbībām;
nodrošina e-veselības tīkla sekretariāta pakalpojumus;
izstrādā, īsteno un uztur attiecīgus tehniskos un organizatoriskos pasākumus, kas saistīti ar pārrobežu e-veselības informācijas pakalpojumiem paredzētās e-veselības digitālo pakalpojumu infrastruktūras pamatpakalpojumiem;
nodrošina un veic nepieciešamos testus un revīzijas, tādā veidā e-veselības tīklu atbalstot tā centienos vienoties par nacionālo e-veselības kontaktpunktu tehnisko un organizatorisko atbilstību prasībām, kas izvirzītas veselības datu pārrobežu apmaiņai. Dalībvalstu eksperti var palīdzēt Komisijas revidentiem;
lai nodrošinātu nacionālo kontaktu izsekošanas un brīdināšanas mobilo lietotņu sadarbspēju, izstrādāt, ieviest un saglabāt piemērotus tehniskos un organizatoriskos pasākumus, kas saistīti ar persondatu nosūtīšanas un izmitināšanas drošību federatīvajā vārtejā;
nodrošināt un veikt nepieciešamos testus un revīzijas, tādā veidā palīdzot e-veselības tīklam noteikt, vai valstu iestādes nodrošina tehnisku un organizatorisku atbilstību prasībām, kas izvirzītas persondatu pārrobežu apmaiņai federatīvajā vārtejā. Komisijas revidentiem var palīdzēt dalībvalstu eksperti.
2. Komisija var piedalīties e-veselības tīkla apakšgrupu sanāksmēs.
3. Komisija var konsultēt e-veselības tīklu jautājumos, kas saistīti ar e-veselību Savienības līmenī un paraugprakses apmaiņu e-veselības jomā.
4. Komisija sabiedrībai dara pieejamu informāciju par e-veselības tīkla veiktajām darbībām.
7. pants
E-veselības digitālo pakalpojumu infrastruktūrā apstrādāto persondatu aizsardzība
1. Dalībvalstis, ko pārstāv attiecīgās valsts iestādes vai citas nozīmētas struktūras, tiek uzskatītas par pārzinēm attiecībā uz personas datiem, kurus tās apstrādā pārrobežu e-veselības informācijas pakalpojumiem paredzētajā e-veselības digitālo pakalpojumu infrastruktūrā, un pienākumus dalībvalstis skaidri un pārredzami sadala starp pārzinēm.
2. Komisiju uzskata par pārrobežu e-veselības informācijas pakalpojumiem paredzētajā e-veselības digitālo pakalpojumu infrastruktūrā apstrādāto pacientu personas datu apstrādātāju. Komisija kā apstrādātāja pārvalda pārrobežu e-veselības informācijas pakalpojumiem paredzētās e-veselības digitālo pakalpojumu infrastruktūras pamatpakalpojumus un pilda pienākumus, kas apstrādātājam noteikti šā lēmuma ►M1 I pielikums ◄ . Komisijai nav piekļuves pacientu personas datiem, kas apstrādāti pārrobežu e-veselības informācijas pakalpojumiem paredzētajā e-veselības digitālo pakalpojumu infrastruktūrā.
3. Komisiju uzskata par to personas datu apstrādes pārzini, kuri nepieciešami, lai piešķirtu un pārvaldītu tiesības piekļūt pārrobežu e-veselības informācijas pakalpojumiem paredzētās e-veselības digitālo pakalpojumu infrastruktūras pamatpakalpojumiem. Šādi dati ir lietotāju kontaktinformācija, tostarp vārds, uzvārds, e-pasta adrese un piederība.
7.a pants
Datu pārrobežu apmaiņa federatīvajā vārtejā starp nacionālajām kontaktu izsekošanas un brīdināšanas mobilajām lietotnēm
1. Ja federatīvajā vārtejā apmainās ar persondatiem, apstrāde notiek tikai ar nolūku sekmēt nacionālo kontaktu izsekošanas un brīdināšanas mobilo lietotņu sadarbspēju federatīvajā vārtejā un kontaktu izsekošanas nepārtrauktību pārrobežu kontekstā.
2. Persondatus, kas minēti 3. punktā, federatīvajā vārtejā ievada pseidonimizētā veidā.
3. Federatīvajā vārtejā apmainītie un apstrādātie pseidonimizētie persondati ietver tikai šādu informāciju:
nacionālo kontaktu izsekošanas un brīdināšanas mobilo lietotņu atslēgas, kas nosūtītas līdz 14 dienām pirms šo atslēgu augšupielādēšanas datuma;
ar atslēgām saistītie žurnāla dati atbilstoši tehnisko specifikāciju protokolam, kuru izmanto atslēgu izcelsmes valstī;
inficēšanās verifikācija;
interesējošās valstis un atslēgu izcelsmes valsts.
4. Nozīmētās valstu iestādes vai oficiālās struktūras, kas persondatus apstrādā federatīvajā vārtejā, ir federatīvajā vārtejā apstrādāto datu kopīgi pārziņi. Kopīgie pārziņi savus pienākumus savstarpēji sadala atbilstoši II pielikumam. Katra dalībvalsts, kas vēlas piedalīties datu pārrobežu apmaiņā starp nacionālajām kontaktu izsekošanas un brīdināšanas mobilajām lietotnēm, pirms pievienošanās par savu nodomu paziņo Komisijai un nosauc par atbildīgo pārzini nozīmēto valsts iestādi vai oficiālo struktūru.
5. Federālajā vārtejā persondatu apstrādātājs ir Komisija. Apstrādātāja kapacitātē Komisija nodrošina persondatu apstrādes, arī nosūtīšanas un izmitināšanas, drošību federatīvajā vārtejā un pilda apstrādātāja pienākumus, kas noteikti III pielikumā.
6. Komisija un valstu iestādes, kam atļauts piekļūt federatīvajai vārtejai, regulāri testē, novērtē un izvērtē, vai tehniskie un organizatoriskie pasākumi, ar kuriem panāk persondatu apstrādes drošību federatīvajā vārtejā, ir efektīvi.
7. Neskarot kopīgo pārziņu lēmumu datu apstrādi federatīvajā vārtejā pārtraukt, federatīvā vārteja izbeidz darbību, kad ir pagājušas vismaz 14 dienas pēc tam, kad visas pieslēgtās nacionālās kontaktu izsekošanas un brīdināšanas mobilās lietotnes ir pārstājušas federatīvajā vārtejā pārsūtīt atslēgas.
8. pants
Izdevumi
1. Komisija nemaksā atlīdzību par pakalpojumiem, ko snieguši e-veselības tīkla darbību dalībnieki.
2. E-veselības tīkla darbību dalībniekiem radušos ceļa un uzturēšanās izdevumus Komisija atlīdzina atbilstīgi Komisijas spēkā esošajiem noteikumiem par to izdevumu atlīdzināšanu, kas rodas Komisijā nenodarbinātām personām, kuras kā eksperti ir uzaicinātas piedalīties sanāksmēs. Šos izdevumus atlīdzina to pieejamo apropriāciju robežās, kuras piešķirtas ikgadējā resursu piešķiršanas procedūrā.
9. pants
Atcelšana
Īstenošanas lēmumu 2011/890/ES atceļ. Atsauces uz atcelto lēmumu uzskata par atsaucēm uz šo lēmumu.
10. pants
Adresāti
Šis lēmums ir adresēts dalībvalstīm.
I PIELIKUMS
KOMISIJAS KĀ PĀRROBEŽU e-VESELĪBAS PAKALPOJUMIEM PAREDZĒTĀS e-VESELĪBAS DIGITĀLO PAKALPOJUMU INFRASTRUKTŪRAS DATU APSTRĀDĀTĀJAS PIENĀKUMI
Komisija:
ievieš un nodrošina drošu un uzticamu komunikācijas infrastruktūru, kas savieno pārrobežu e-veselības informācijas pakalpojumiem paredzētajā e-veselības digitālo pakalpojumu infrastruktūrā iesaistīto e-veselības tīkla dalībnieku tīklus (“centrāla droša komunikācijas infrastruktūra”). Lai izpildītu savus pienākumus, Komisija var piesaistīt trešās personas. Komisija nodrošina, ka šajā lēmumā izklāstītie datu aizsardzības pienākumi tiek piemēroti arī minētajām trešām personām;
daļu centrālās drošās komunikācijas infrastruktūras konfigurē tā, ka nacionālie e-veselības kontaktpunkti var droši, uzticami un efektīvi apmainīties ar informāciju;
Komisija personas datus apstrādā, pamatojoties uz dokumentētiem pārziņu norādījumiem;
veic visus organizatoriskos, fiziskos un loģiskos drošības pasākumus, kas uztur centrālo drošo komunikācijas infrastruktūru. Šajā saistībā Komisija:
nozīmē struktūru, kas ir atbildīga par drošības pārvaldību centrālas drošas komunikācijas infrastruktūras līmenī, paziņo datu pārziņiem tās kontaktinformāciju un nodrošina tās pieejamību, lai tā varētu reaģēt uz drošības apdraudējumiem;
uzņemas atbildību par centrālās drošās komunikācijas infrastruktūras drošību;
nodrošina, ka visas personas, kam piešķirta piekļuve centrālajai drošajai komunikācijas infrastruktūrai, ir uzņēmušās līgumiskas, profesionālas vai likumā paredzētas saistības attiecībā uz konfidencialitāti;
nodrošina, ka personāls, kam ir piekļuve klasificētai informācijai, izpilda attiecīgos pielaides un konfidencialitātes kritērijus;
veic visus nepieciešamos drošības pasākumus, kas nepieļauj, ka tiek apdraudēta cita domēna netraucēta darbība. Šajā saistībā Komisija ievieš īpašas procedūras saistībā ar pieslēgumu centrālajai drošajai komunikācijas infrastruktūrai. Šīs procedūras ietver:
riska novērtēšanas procedūru, lai noteiktu un aplēstu iespējamos sistēmas apdraudējumus;
revīzijas un pārskatīšanas procedūru, ar kuru:
pārbauda ieviesto drošības pasākumu atbilstību spēkā esošajai drošības politikai;
regulāri kontrolē sistēmas datņu integritāti, drošības parametrus un piešķirtās atļaujas;
pārrauga konstatētos drošības pārkāpumus un ielaušanās gadījumus;
ievieš izmaiņas, kas novērš pastāvošas drošības nepilnības; un
paredz nosacījumus, ar kuriem atļaut, tostarp pēc pārziņu pieprasījuma, veikt neatkarīgas drošības pasākumu revīzijas, tostarp pārbaudes, un pārskatīšanu un sniegt ieguldījumu tajā;
izmaiņu kontroles procedūru, kas izmaiņu ietekmi dokumentē un mērī pirms to ieviešanas, kā arī informē nacionālos e-veselības kontaktus par visām izmaiņām, kas var ietekmēt komunikāciju ar citām valsts infrastruktūrām un/vai citu valsts infrastruktūru drošību;
tehniskās apkopes un remonta procedūru, kurā specificēti noteikumi un nosacījumi, kas jāpilda, ja ir jāveic aprīkojuma tehniskā apkope un/vai remonts;
drošības incidentu procedūru, kurā nosaka ziņošanas un eskalācijas shēmu, nekavējoties informē atbildīgo valsts pārvaldes iestādi, kā arī Eiropas Datu aizsardzības uzraudzītāju par visiem drošības pārkāpumiem un nosaka disciplināro procesu saistībā ar drošības pārkāpumiem;
veic fiziskus un/vai loģiskus drošības pasākumus attiecībā uz objektiem, kuros izvietots centrālās drošās komunikācijas infrastruktūras aprīkojums, un attiecībā uz loģisko datu un piekļuves drošības kontroles pasākumiem. Šajā saistībā Komisija:
pastiprina fizisko drošību, lai noteiktu skaidrus drošības perimetrus un ļautu konstatēt pārkāpumus;
kontrolē piekļuvi telpām un uztur apmeklētāju reģistru izsekošanas vajadzībām;
nodrošina, ka ārējas personas, kam atļauts iekļūt telpās, pavada pienācīgi pilnvaroti attiecīgās organizācijas darbinieki;
nodrošina, ka aprīkojumu nevar pievienot, aizstāt vai izņemt bez nozīmētu atbildīgo struktūru iepriekšējas atļaujas;
kontrolē piekļuvi no citiem tīkliem, kas savienoti ar centrālo drošo komunikācijas infrastruktūru, un piekļuvi šiem tīkliem;
nodrošina, ka privātpersonas, kas piekļūst drošai centrālajai komunikācijas infrastruktūrai, tiek identificētas un autentificētas;
pārskata ar piekļuvi centrālajai drošajai komunikācijas infrastruktūrai saistītās atļaujas, ja noticis šo infrastruktūru ietekmējošs drošības pārkāpums;
saglabā ar centrālo drošo komunikācijas infrastruktūru nosūtītās informācijas integritāti;
veic tehniskus un organizatoriskus drošības pasākumus, kas nepieļauj neatļautu piekļuvi personas datiem;
ja vajadzīgs, veic pasākumus, kas bloķē neatļautu piekļuvi centrālajai drošajai komunikācijas infrastruktūrai no nacionālo e-veselības kontaktpunktu domēna (t. i., bloķēt atrašanās vietas/IP adresi);
rīkojas tā, lai aizsargātu savu domēnu, tostarp, pārtrauc savienojumus, ja konstatētas būtiskas novirzes no kvalitātes vai drošības principiem un koncepcijām;
uztur riska pārvaldības plānu savā atbildības jomā;
uzrauga – reāllaikā – visu savu centrālās drošās komunikācijas infrastruktūras komponentu darbību, regulāri sagatavo statistiku un veic uzskaiti;
sniedz atbalstu visiem centrālās drošās komunikācijas infrastruktūras dienestiem angļu valodā 24 stundas diennaktī septiņas dienas nedēļā pa tālruni, pastu vai tīmekļa portālā un pieņem zvanus no pilnvarotiem zvanītājiem: centrālās drošās komunikācijas infrastruktūras koordinatoriem un to attiecīgajiem palīdzības dienestiem, projektu vadītājiem un nozīmētām Komisijas amatpersonām;
atbalsta pārziņus, sniedzot informāciju par pārrobežu e-veselības informācijas pakalpojumiem paredzētās e-veselības digitālo pakalpojumu infrastruktūras centrālo drošo komunikācijas infrastruktūru, lai izpildītu Regulas (ES) 2016/679 35. un 36. pantā noteiktos pienākumus.
nodrošina, ka centrālajā drošajā komunikācijas infrastruktūrā pārvietotie dati ir šifrēti;
veic visus nepieciešamos pasākumus, kas nepieļauj, ka centrālās drošās komunikācijas infrastruktūras operatoru neatļauti piekļūst pārvietotajiem datiem;
veic pasākumus, kas veicina sadarbspēju un komunikāciju starp centrālās drošās komunikācijas infrastruktūras nozīmētajām kompetentajām valsts pārvaldes iestādēm.
II PIELIKUMS
IESAISTĪTO DALĪBVALSTU KĀ KOPĪGO PĀRZIŅU PIENĀKUMI FEDERATĪVAJĀ VĀRTEJĀ, KURĀ NOTIEK DATU PĀRROBEŽU APSTRĀDE STARP NACIONĀLAJĀM KONTAKTU IZSEKOŠANAS UN BRĪDINĀŠANAS MOBILAJĀM LIETOTNĒM
1. IEDAĻA
1. apakšiedaļa
Pienākumu sadale
1. Kopīgie pārziņi federatīvajā vārtejā apstrādā persondatus atbilstoši tehniskajām specifikācijām, kādas noteicis e-veselības tīkls ( 3 ).
2. Katrs pārzinis ir atbildīgs par persondatu apstrādi federatīvajā vārtejā saskaņā ar Vispārīgo datu aizsardzības regulu un Direktīvu 2002/58/EK.
3. Katrs pārzinis izveido kontaktpunktu ar funkcionālo pastkastīti, kas tiks izmantota saziņai starp kopīgajiem pārziņiem un starp kopīgajiem pārziņiem un apstrādātāju.
4. Pagaidu apakšgrupai, ko saskaņā ar 5. panta 4. punktu izveidojis e-veselības tīkls, uztic izskatīt visas iespējamās problēmas, kas rodas sakarā ar nacionālo kontaktu izsekošanas un brīdināšanas mobilo lietotņu sadarbspēju un izriet no kopīgās atbildības par persondatu attiecīgo apstrādi, un sekmēt Komisijai kā apstrādātājam domātu norādījumu koordinētu sagatavošanu. Cita starpā pārziņi drīkst pagaidu apakšgrupā strādāt pie kopējas pieejas, kā datus saglabāt attiecīgo valstu aizmugursistēmas serveros, ievērojot federatīvajā vārtejā noteikto saglabāšanas periodu.
5. Norādījumus apstrādātājam nosūta jebkurš kopīgo pārziņu kontaktpunkts, vienojoties ar pārējiem kopīgajiem pārziņiem iepriekš minētajā apakšgrupā.
6. Federatīvajā vārtejā apmainītajiem lietotāju persondatiem drīkst piekļūt tikai nozīmēto valsts iestāžu vai oficiālo struktūru pilnvarotas personas.
7. Katra nozīmētā valsts iestāde vai oficiālā struktūra beidz pildīt kopīgā pārziņa pienākumus no datuma, kurā tā atsauc dalību federatīvajā vārtejā. Tā joprojām ir atbildīga par datu apstrādi federatīvajā vārtejā, kas notikusi pirms atsaukuma.
2. apakšiedaļa
Pienākumi un lomas attiecībā uz datu subjektu pieprasījumu izskatīšanu un viņu informēšanu
1. Katrs pārzinis saskaņā ar Vispārīgās datu aizsardzības regulas 13. un 14. pantu savas nacionālās kontaktu izsekošanas un brīdināšanas mobilās lietotnes lietotājiem (“datu subjekti”) sniedz informāciju par viņu persondatu apstrādi federatīvajā vārtejā nacionālo kontaktu izsekošanas un brīdināšanas mobilo lietotņu sadarbspējas vajadzībām.
2. Katrs pārzinis savas nacionālo kontaktu izsekošanas un brīdināšanas mobilo lietotņu lietotājiem ir kontaktpunkts un izskata šo lietotāju vai viņu pārstāvju iesniegtos pieprasījumus par datu subjektu tiesību izmantošanu saskaņā ar Vispārīgo datu aizsardzības regulu. Katrs pārzinis nozīmē īpašu kontaktpunktu, kurš izskata no datu subjektiem saņemtos pieprasījumus. Ja kāds no kopīgajiem pārziņiem saņem pieprasījumu no datu subjekta, kas neietilpst tā atbildības jomā, tas to nekavējoties pārsūta atbildīgajam kopīgajam pārzinim. Pēc pieprasījuma kopīgie pārziņi cits citam palīdz izskatīt datu subjektu pieprasījumus un cits citam atbild bez liekas kavēšanās un vēlākais 15 dienu laikā pēc palīdzības pieprasījuma saņemšanas.
3. Katrs pārzinis datu subjektiem dara pieejamu šā pielikuma saturu, arī 1. un 2. punktā noteikto.
2. IEDAĻA
Rīcība drošības incidentu, arī persondatu aizsardzības pārkāpumu, gadījumā
1. Kopīgie pārziņi cits citam palīdz identificēt un risināt drošības incidentus, arī persondatu aizsardzības pārkāpumus, kas saistīti ar datu apstrādi federatīvajā vārtejā.
2. Jo īpaši, kopīgie pārziņi cits citam paziņo:
jebkuru potenciālu vai faktisku risku federatīvajā vārtejā esošo apstrādājamo persondatu pieejamībai, konfidencialitātei un/vai integritātei;
jebkuru drošības incidentu, kas saistīts ar apstrādes darbību federatīvajā vārtejā;
jebkuru persondatu aizsardzības pārkāpumu, persondatu aizsardzības pārkāpuma iespējamās sekas un fizisku personu tiesību un brīvību riska novērtējumu, un jebkurus pasākumus, kas veikti, lai risinātu persondatu aizsardzības pārkāpumu un mazinātu risku fizisku personu tiesībām un brīvībām;
jebkuru apstrādes darbības tehnisko un/vai organizatorisko aizsardzības pasākumu pārkāpumu federatīvajā vārtejā.
3. Jebkurus persondatu aizsardzības pārkāpumus saistībā ar apstrādes darbību federatīvajā vārtejā kopīgie pārziņi saskaņā ar Regulas (ES) 2016/679 33. un 34. pantu vai pēc Komisijas paziņojuma paziņo Komisijai, kompetentajām uzraudzības iestādēm un vajadzības gadījumā datu subjektiem.
3. IEDAĻA
Novērtējums par ietekmi uz datu aizsardzību
Ja pārzinim, lai izpildītu Vispārīgās datu aizsardzības regulas 35. un 36. pantā norādītos pienākumus, vajadzīga informācija no cita pārziņa, tas sūta īpašu pieprasījumu uz 1. iedaļas 1. apakšiedaļas 3. punktā minēto funkcionālo pastkastīti. Minētais cits pārzinis dara visu iespējamo, lai šo informāciju sniegtu.
III PIELIKUMS
KOMISIJAS KĀ DATU APSTRĀDĀTĀJA PIENĀKUMI FEDERATĪVAJĀ VĀRTEJĀ, KURĀ NOTIEK PĀRROBEŽU DATU APSTRĀDE STARP NACIONĀLAJĀM KONTAKTU IZSEKOŠANAS UN BRĪDINĀŠANAS MOBILAJĀM LIETOTNĒM
Komisija:
izveido un nodrošina drošu un uzticamu sakaru infrastruktūru, kas savstarpēji savieno to dalībvalstu kontaktu izsekošanas un brīdināšanas mobilās lietotnes, kuras iesaistītas federatīvajā vārtejā. Lai izpildītu federatīvās vārtejas datu apstrādātāja pienākumus, Komisija drīkst piesaistīt trešās personas kā apakšapstrādātājus; Komisija informē kopīgos pārziņus par plānotajām izmaiņām attiecībā uz citu apakšapstrādāju piesaistīšanu vai aizvietošanu, līdz ar to dodot iespēju pārziņiem kopīgi iebilst pret šādām izmaiņām, kā norādīts II pielikuma 1. iedaļas 1. apakšiedaļas 4. punktā. Komisija nodrošina, lai šādiem apakšapstrādātājiem būtu tādi paši datu aizsardzības pienākumi, kādi izklāstīti šajā lēmumā;
persondatus apstrādā, tikai pamatojoties uz pārziņu dotiem dokumentētiem norādījumiem, ja vien tas nav prasīts Savienības vai dalībvalstu tiesību aktos; šādā gadījumā Komisija pirms datu apstrādes par attiecīgo juridisko prasību informē pārziņus, ja vien šādas informācijas iesniegšana ar attiecīgo tiesību aktu nav aizliegta, ievērojot svarīgas sabiedrības intereses;
apstrādes ietvaros Komisija:
autentificē valstu aizmugursistēmas serverus, pamatojoties uz valstu aizmugursistēmas serveru sertifikātiem;
saņem īstenošanas lēmuma 7.a panta 3. punktā minētos un valstu aizmugursistēmas serveru augšupielādētos datus, nodrošinot lietojumprogrammas saskarni, ar kuras palīdzību valstu aizmugursistēmas serveri attiecīgos datus var augšupielādēt;
datus glabā federatīvajā vārtejā, kad tie saņemti no valstu aizmugursistēmas serveriem;
dod iespēju datus lejupielādēt valstu aizmugursistēmas serveros;
datus dzēš, kad visi iesaistītie aizmugursistēmas serveri tos ir lejupielādējuši, vai 14 dienas pēc to saņemšanas, ja tas ir agrāk;
pēc pakalpojuma sniegšanas beigām dzēš visus atlikušos datus, ja vien Savienības vai dalībvalsts tiesību akti nepieprasa glabāt persondatus.
Apstrādātājs veic visus vajadzīgos pasākumus, lai saglabātu apstrādāto datu integritāti;
veic visus mūsdienīgos organizatoriskos, fiziskos un loģiskos drošības pasākumus, kādi vajadzīgi, lai uzturētu federatīvo vārteju. Šajā nolūkā Komisija:
nozīmē par federatīvās vārtejas drošību atbildīgo struktūru, paziņo pārziņiem tās kontaktinformāciju un nodrošina, lai tā būtu pieejama un reaģētu uz drošības draudiem;
uzņemas atbildību par federatīvās vārtejas drošību;
gādā, lai visiem cilvēkiem, kam ir dota piekļuve federatīvajai vārtejai, būtu jāievēro līgumisks, profesionāls vai ar likumu noteikts pienākums saglabāt konfidencialitāti;
veic visus vajadzīgos drošības pasākumus, lai nebūtu apdraudēta valstu aizmugursistēmas serveru raita darbība. Šajā nolūkā Komisija ievieš īpašas procedūras, kas saistītas ar aizmugursistēmas serveru pieslēgšanu federatīvajai vārtejai. Proti:
ievieš riska novērtēšanas procedūru, kurā nosaka un novērtē iespējamos sistēmas apdraudējumus;
ievieš revīzijas un pārbaudes procedūru, kurā:
pārbauda īstenoto drošības pasākumu atbilstību piemērojamajai drošības politikai;
regulāri kontrolē sistēmas datņu integritāti, drošības parametrus un piešķirtos pilnvarojumus;
novēro, lai atklātu drošības pārkāpumus un ielaušanos;
ievieš izmaiņas, lai mazinātu pastāvošos drošības trūkumus;
dod iespēju, arī pēc pārziņu pieprasījuma, veikt neatkarīgas revīzijas, arī pārbaudes, un piedalīties tajās, un pārskatīt drošības pasākumus, ievērojot nosacījumus, kuros ir ņemts vērā LESD 7. protokols par privilēģijām un imunitāti Eiropas Savienībā ( 4 );
maina kontroles procedūru, lai dokumentētu un novērtētu izmaiņu ietekmi pirms to ieviešanas un pastāvīgi informētu pārziņus par jebkurām izmaiņām, kas var ietekmēt komunikāciju ar to infrastruktūrām un/vai šo infrastruktūru drošību;
nosaka apkopes un remonta procedūru, lai precizētu noteikumus un nosacījumus, kādi jāievēro, kad jāveic aprīkojuma apkope un/vai remonts;
nosaka drošības incidenta procedūru, lai noteiktu ziņošanas un eskalācijas shēmu, nekavējoties informētu pārziņus un Eiropas Datu aizsardzības uzraudzītāju par jebkuru persondatu aizsardzības pārkāpumu un noteiktu disciplinārlietu, kurā risina drošības pārkāpumus;
veic mūsdienīgus fiziskus un/vai loģiskus drošības pasākumus objektiem, kuros atrodas federatīvās vārtejas aprīkojums, un loģisko datu un drošības piekļuves kontrolei. Šajā nolūkā Komisija:
pastiprina fizisko drošību, lai izveidotu norobežotus drošības perimetrus un varētu atklāt pārkāpumus;
kontrolē piekļuvi objektiem un uztur apmeklētāju reģistru izsekošanas vajadzībām;
nodrošina, lai ārējus cilvēkus, kam dota piekļuve telpām, eskortētu pienācīgi pilnvarots personāls;
gādā, lai aprīkojumu nevarētu pievienot, nomainīt vai izņemt bez iepriekšējas nozīmēto atbildīgo struktūru atļaujas;
kontrolē valstu aizmugursistēmas serveru un federatīvās vārtejas savstarpējo piekļuvi;
nodrošina, lai cilvēki, kas piekļūst federatīvajai vārtejai, tiktu identificēti un autentificēti;
drošības pārkāpuma gadījumā, kas skar šo infrastruktūru, pārbauda tiesības piekļūt federatīvajai vārtejai;
saglabā caur federatīvo vārteju nosūtītās informācijas integritāti;
īsteno tehniskus un organizatoriskus drošības pasākumus, lai nepieļautu neatļautu piekļuvi persondatiem;
vajadzības gadījumā īsteno pasākumus, kas bloķē neatļautu piekļuvi federatīvajai vārtejai no valstu iestāžu domēna (t. i., bloķē vietas/IP adresi);
veic pasākumus, lai aizsargātu savu domēnu, arī sarauj sakarus, ja ir būtiska novirze no kvalitātes vai drošības principiem vai jēdzieniem;
uztur riska pārvaldības plānu, kas attiecas uz tās atbildības jomu;
reāllaikā pārrauga visu savu pakalpojumu komponentu veiktspēju federatīvajā vārtejā, regulāri sagatavo statistiku un kārto uzskaiti;
visu diennakti un cauru gadu pa tālruni, e-pastu vai tīmekļa portālā sniedz atbalstu angļu valodā attiecībā uz visiem federatīvās vārtejas pakalpojumiem un atbild, ja zvana apstiprināti zvanītāji: federatīvās vārtejas koordinatori un viņu attiecīgie palīdzības dienesti, projektu vadītāji un nozīmētas personas no Komisijas;
ar attiecīgiem tehniskiem un organizatoriskiem pasākumiem, cik vien iespējams, palīdz pārziņiem pildīt pārziņu pienākumu atbildēt uz pieprasījumiem, kuros datu subjekti vēlas izmantot tiesības, kas noteiktas Vispārīgās datu aizsardzības regulas III nodaļā;
atbalsta pārziņus, sniedzot informāciju par federatīvo vārteju, lai pildītu Vispārīgās datu aizsardzības regulas 32., 35. un 36. pantā noteiktos pienākumus;
gādā, lai federatīvajā vārtejā apstrādātie dati būtu nesaprotami personām, kam nav atļauts tiem piekļūt;
veic visus nepieciešamos pasākumus, lai nepieļautu, ka federatīvās vārtejas operatoriem būtu neatļauta piekļuve nosūtītajiem datiem;
veic pasākumus, lai atvieglotu sadarbspēju un saziņu starp nozīmētajiem federatīvās vārtejas pārziņiem;
Saskaņā ar Regulas (ES) 2018/1725 31. panta 2. punktu uztur pārziņu vārdā veikto apstrādes darbību reģistru.
( 1 ) Eiropas Parlamenta un Padomes Lēmums Nr. 1082/2013/ES (2013. gada 22. oktobris) par nopietniem pārrobežu veselības apdraudējumiem un ar ko atceļ Lēmumu Nr. 2119/98/EK (OV L 293, 5.11.2013., 1. lpp.).
( 2 ) Komisijas 2015. gada 13. marta Lēmums (ES, Euratom) 2015/444 par drošības noteikumiem ES klasificētas informācijas aizsardzībai (OV L 72, 17.3.2015., 53. lpp.).
( 3 ) Proti, atbilstoši 2020. gada 16. jūnija sadarbspējas specifikācijām par datu pārrobežu nosūtīšanas ķēdēm starp apstiprinātām lietotnēm. Specifikācijas pieejamas šeit: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0
( 4 ) 7. protokols par privilēģijām un imunitāti Eiropas Savienībā (OV C 326, 26.10.2012., 266. lpp.).