DEĊIŻJONI TA’ IMPLIMENTAZZJONI TAL-KUMMISSJONI (UE) 2020/1023

tal-15 ta’ Lulju 2020

li temenda d-Deċiżjoni ta’ Implimentazzjoni (UE) 2019/1765 fir-rigward tal-iskambju transfruntier ta’ data bejn l-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija fir-rigward tal-ġlieda kontra l-pandemija tal-COVID-19

(Test b’rilevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat id-Direttiva 2011/24/UE tal-Parlament Ewropew u tal-Kunsill tad-9 ta’ Marzu 2011 dwar l-applikazzjoni tad-drittijiet tal-pazjenti fil-qasam tal-kura tas-saħħa transkonfinali (1), u b’mod partikolari l-Artikolu 14(3) tagħha,

Billi:

(1)

L-Artikolu 14 tad-Direttiva 2011/24/UE inkariga lill-Unjoni biex tappoġġa u tiffaċilita l-kooperazzjoni u l-iskambju tal-informazzjoni bejn l-Istati Membri li jaħdmu fi ħdan network volontarju li jorbot flimkien lill-awtoritajiet nazzjonali responsabbli għas-servizzi tas-saħħa elettronika (minn hawn ’il quddiem in-“Network tas-Saħħa elettronika”) nominati mill-Istati Membri.

(2)

Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2019/1765 (2) li tipprovdi r-regoli għall-istabbiliment, għall-ġestjoni u għall-funzjonament tan-network ta’ awtoritajiet nazzjonali responsabbli għas-Saħħa elettronika. Skont l-Artikolu 4 ta’ dik id-Deċiżjoni, in-Network tas-Saħħa elettronika jrid jiffaċilita interoperabbiltà akbar tas-sistemi tat-teknoloġija tal-informazzjoni u tal-komunikazzjoni nazzjonali u t-trasferibbiltà transfruntiera ta’ data elettronika dwar is-saħħa fil-kura tas-saħħa transfruntiera.

(3)

Fid-dawl tal-kriżi tas-saħħa pubblika kkawżata mill-pandemija tal-COVID-19, bosta Stati Membri żviluppaw applikazzjonijiet għall-apparati mobbli li jappoġġaw it-traċċar tal-kuntatti u li jippermettu lill-utenti ta’ tali applikazzjonijiet li jiġu avżati jieħdu azzjoni xierqa, bħall-ittestjar jew l-awtoiżolament, jekk kienu potenzjalment esposti għall-virus minħabba li kienu viċin utent ieħor ta’ tali applikazzjonijiet, li rrapporta dijanjożi pożittiva. Dawn l-applikazzjonijiet jiddependu fuq it-teknoloġija Bluetooth biex jidentifikaw il-viċinanza bejn l-apparati. Peress li r-restrizzjonijiet fuq l-ivvjaġġar bejn l-Istati Membri tneħħew minn Ġunju 2020 ’l hawn, jenħtieġ li tinkiseb interoperabbiltà akbar tas-sistemi nazzjonali tat-teknoloġiji tal-informazzjoni u l-komunikazzjoni bejn l-Istati Membri fin-Network tas-Saħħa elettronika, billi tiġi implimentata infrastruttura diġitali li tippermetti l-interoperabbiltà bejn l-applikazzjonijiet nazzjonali għall-apparati mobbli li jappoġġaw it-traċċar tal-kuntatti u t-twissija.

(4)

Il-Kummissjoni ilha tappoġġa lill-Istati Membri fir-rigward tal-applikazzjonijiet għall-apparati mobbli msemmija hawn fuq. Fit-8 ta’ April 2020, il-Kummissjoni adottat Rakkomandazzjoni dwar sett ta’ għodod komuni tal-Unjoni għall-użu tat-teknoloġija u tad-data biex niġġieldu u noħorġu mill-kriżi tal-COVID-19, b’mod partikolari dwar l-applikazzjonijiet mobbli u l-użu ta’ data anonimizzata dwar il-mobbiltà (ir-“Rakkomandazzjoni tal-Kummissjoni”) (3). Bl-appoġġ tal-Kummissjoni, l-Istati Membri fin-Network tas-Saħħa elettronika adottaw sett ta’ għodod Komuni tal-UE għall-Istati Membri dwar applikazzjonijiet għall-apparati mobbli li jappoġġaw it-traċċar tal-kuntatti (4) kif ukoll linji gwida għall-interoperabbiltà għal applikazzjonijiet approvati fl-UE għall-apparati mobbli għat-traċċar tal-kuntatti (5). Is-sett ta’ għodod jispjega r-rekwiżiti nazzjonali għall-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija, u b’mod partikolari li dawn jenħtieġ li jkunu volontarji, approvati mill-awtorità tas-saħħa nazzjonali rispettiva, iħarsu l-privatezza u jiġu żarmati malli ma jibqgħux meħtieġa. Wara l-aktar żviluppi reċenti tal-kriżi tal-COVID-19, kemm il-Kummissjoni (6) kif ukoll il-Bord Ewropew għall-Protezzjoni tad-Data (7) ħarġu gwida dwar l-applikazzjonijiet għall-apparati mobbli u l-għodod ta’ traċċar tal-kuntatti fir-rigward tal-protezzjoni tad-data. Id-disinn tal-applikazzjonijiet għall-apparati mobbli tal-Istati Membri u tal-infrastruttura diġitali li tippermetti l-interoperabbiltà tagħhom jibni fuq is-sett ta’ għodod Komuni tal-UE, fuq il-linji gwida msemmija hawn fuq, u fuq l-ispeċifikazzjonijiet tekniċi li ġew deċiżi fin-Network tas-saħħa elettronika.

(5)

Sabiex tiġi ffaċilitata l-interoperabbiltà tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija, bl-appoġġ tal-Kummissjoni, l-Istati Membri parteċipanti fin-Network tas-Saħħa elettronika ddeċidew li javvanzaw il-kooperazzjoni tagħhom f’dan il-qasam fuq bażi volontarja u għaldaqstant żviluppaw infrastruttura diġitali bħala għodda tal-IT għall-iskambju tad-data. Din l-infrastruttura diġitali tissejjaħ “federation gateway”.

(6)	Din id-Deċiżjoni tistabbilixxi dispożizzjonijiet dwar ir-rwol tal-Istati Membri parteċipanti u tal-Kummissjoni għall-funzjonament tal-federation gateway għall-interoperabbiltà transfruntiera tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija.

(7)

L-ipproċessar tad-data personali tal-utenti tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija, li jitwettaq taħt ir-responsabbiltà tal-Istati Membri jew ta’ organizzazzjonijiet pubbliċi jew korpi uffiċjali fl-Istati Membri, jenħtieġ li jitwettaq f’konformità mar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (8) (“ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data”) u d-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill (9). Jenħtieġ li l-ipproċessar tad-data personali, li jaqa’ taħt ir-responsabbiltà tal-Kummissjoni, għall-ġestjoni u l-iżgurar tas-sigurtà tal-federation gateway jikkonforma mar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (10).

(8)

Jenħtieġ li l-federation gateway tikkonsisti minn infrastruttura sigura tal-IT li tipprovdi interfaċċa komuni, fejn l-awtoritajiet nazzjonali jew il-korpi uffiċjali nominati jistgħu jiskambjaw sett minimu ta’ data fir-rigward tal-kuntatti ma’ persuni infettati mis-SARS-CoV-2, sabiex jinfurmaw lil persuni oħra dwar l-esponiment potenzjali tagħhom għal dik l-infezzjoni u jippromwovu kooperazzjoni effettiva b’rabta mal-kura tas-saħħa bejn l-Istati Membri billi jiffaċilitaw l-iskambju ta’ informazzjoni rilevanti.

(9)	Għaldaqstant, jenħtieġ li din id-Deċiżjoni tistabbilixxi l-modalitajiet għall-iskambju transfruntier ta’ data bejn l-awtoritajiet nazzjonali jew il-korpi uffiċjali nominati permezz tal-federation gateway fi ħdan l-UE.

(10)

L-Istati Membri parteċipanti, irrappreżentati mill-awtoritajiet nazzjonali jew mill-korpi uffiċjali nominati jiddeterminaw flimkien l-iskop u l-mezzi tal-ipproċessar tad-data personali permezz tal-federation gateway u għalhekk huma kontrolluri konġunti. L-Artikolu 26 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data jimponi obbligu fuq il-kontrolluri konġunti ta’ operazzjonijiet tal-ipproċessar tad-data personali biex ir-responsabbiltajiet rispettivi tagħhom għall-konformità mal-obbligi skont dak ir-Regolament jiġu ddeterminati b’mod trasparenti. Jipprevedi wkoll il-possibbiltà li dawk ir-responsabbiltajiet jiġu ddeterminati mid-dritt tal-Unjoni jew tal-Istat Membru li għalih ikunu soġġetti l-kontrolluri. Kull wieħed mill-kontrolluri jenħtieġ li jiżgura li jkollu bażi ġuridika fuq livell nazzjonali biex jipproċessa fil-federation gateway.

(11)

Bħala fornitur ta’ soluzzjonijiet tekniċi u organizzattivi għall-federation gateway, il-Kummissjoni tipproċessa d-data personali psewdonimizzata f’isem l-Istati Membri parteċipanti fil-federation gateway bħala kontrolluri konġunti, u għalhekk hija proċessur. Skont l-Artikolu 28 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data u l-Artikolu 29 tar-Regolament (UE) 2018/1725, l-ipproċessar minn proċessur għandu jkun regolat minn kuntratt jew minn att legali skont id-dritt tal-Unjoni jew ta’ Stat Membru, li jorbot lill-proċessur fir-rigward tal-kontrollur, u li jispeċifika l-ipproċessar. Din id-Deċiżjoni tistabbilixxi regoli dwar l-ipproċessar mill-Kummissjoni bħala proċessur.

(12)	Meta tipproċessa data personali fil-qafas tal-federation gateway, il-Kummissjoni hija marbuta bid-Deċiżjoni tal-Kummissjoni (UE, Euratom) 2017/46 (11).

(13)

B’kont meħud li l-iskopijiet li għalihom il-kontrolluri jipproċessaw data personali fl-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija mhux bilfors jirrikjedu l-identifikazzjoni tas-suġġett tad-data, il-kontrolluri mhux dejjem jistgħu jkunu f’pożizzjoni li jiżguraw l-applikazzjoni tad-drittijiet tas-suġġetti tad-data. Għaldaqstant, id-drittijiet imsemmija fl-Artikoli 15 sa 20 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data jistgħu ma japplikawx meta jiġu ssodisfati l-kundizzjonijiet skont l-Artikolu 11 ta’ dak ir-Regolament.

(14)	L-Anness eżistenti tad-Deċiżjoni ta’ Implimentazzjoni (UE) 2019/1765 jeħtieġ li jiġi nnumerat mill-ġdid minħabba ż-żieda ta’ żewġ annessi ġodda.

(15)	Għalhekk, jenħtieġ li d-Deċiżjoni ta’ Implimentazzjoni (UE) 2019/1765/UE tiġi emendata skont dan.

(16)	Meta titqies l-urġenza tal-qagħda li nħolqot mill-pandemija tal-COVID-19, jenħtieġ li din id-Deċiżjoni tapplika mill-jum ta’ wara dak tal-pubblikazzjoni tagħha f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

(17)	Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 u ta opinjoni fid-9 ta’ Lulju 2020.

(18)	Il-miżuri previsti f’din id-Deċiżjoni huma f’konformità mal-opinjoni tal-Kumitat imwaqqaf skont l-Artikolu 16 tad-Direttiva 2011/24/UE,

ADOTTAT DIN ID-DEĊIŻJONI:

Artikolu 1

Id-Deċiżjoni ta’ Implimentazzjoni (UE) 2019/1765 hija emendata kif ġej:

(1)

fl-Artikolu 2(1) jiddaħħlu l-punti (g), (h), (i), (j), (k), (l), (m), (n) u (o) li ġejjin:

“(g)	“utent tal-applikazzjoni” tfisser persuna fil-pussess ta’ apparat intelliġenti li niżżlet u tuża applikazzjoni għall-apparat mobbli għat-traċċar tal-kuntatti u għat-twissija;

(h)	“traċċar ta’ kuntatti” tfisser miżuri implimentati sabiex jiġu ttraċċati persuni li ġew esposti għal xi sors ta’ theddid transfruntier serju għas-saħħa skont it-tifsira tal-Artikolu 3(c) tad-Deċiżjoni 1082/2013/UE tal-Parlament Ewropew u tal-Kunsill (*1);

(i)

“applikazzjoni nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija” tfisser applikazzjoni ta’ softwer approvata fil-livell nazzjonali li taħdem fuq apparat intelliġenti, b’mod partikolari smartphones, normalment imfassla għal interazzjoni wiesgħa u mmirata, b’riżorsi web, li tipproċessa data ta’ prossimità u informazzjoni kuntestwali oħra miġbura minn bosta sensuri li jinsabu fl-apparat intelliġenti bl-iskop ta’ traċċar tal-kuntatti ma’ persuni infettati bis-SARS-CoV-2 u ta’ twissija għall-persuni li setgħu ġew esposti għas-SARS-CoV-2. Dawn l-applikazzjonijiet għall-apparati mobbli kapaċi jsibu l-preżenza ta’ apparati oħra li jużaw il-Bluetooth u jiskambjaw informazzjoni mas-servers backend bl-użu tal-Internet;

(j)

“federation gateway” tfisser gateway ta’ network operat mill-Kummissjoni permezz ta’ għodda tal-IT sigura li tirċievi, taħżen u tagħmel disponibbli sett minimu ta’ data personali bejn is-servers backend tal-Istati Membri bl-iskop li tiġi żgurata l-interoperabbiltà tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija;

(k)	“kjavi” tfisser identifikatur effimeru uniku relatat ma’ utent tal-applikazzjoni li jirrapporta li ġie infettat bis-SARS-CoV-2, jew li seta’ ġie espost għas-SARS-CoV-2;

(l)	“verifika tal-infezzjoni” tfisser il-metodu applikat għall-konferma ta’ infezzjoni bis-SARS-CoV-2, b’mod partikolari jekk dan ikun ġie rrapportat mill-utent tal-applikazzjoni nnifsu jew ikun irriżulta minn konferma ta’ awtorità tas-saħħa nazzjonali jew minn test tal-laboratorju;

(m)	“pajjiżi ta’ interess” tfisser l-Istat Membru, jew l-Istati Membri, fejn kien jinsab l-utent tal-applikazzjoni fl-14 il-jum qabel id-data ta’ meta ttellgħu l-kjavi u fejn hu niżżel l-applikazzjoni nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija u/jew fejn ivvjaġġa;

(n)	“pajjiż tal-oriġini tal-kjavi” tfisser l-Istat Membru fejn jinsab is-server backend li tella’ l-kjavi fil-federation gateway;

(o)

“reġistru tad-data” tfisser rekord awtomatiku ta’ attività b’rabta mal-iskambju ta’, u aċċess għal, data pproċessata permezz tal-federation gateway, li b’mod partikolari turi t-tip ta’ attività tal-ipproċessar, id-data u l-ħin tal-attività tal-ipproċessar, u l-identifikatur tal-persuna li tipproċessa d-data.

(*1) Id-Deċiżjoni 1082/2013/UE tal-Parlament Ewropew u tal-Kunsill tat-22 ta’ Ottubru 2013 dwar theddid transkonfinali serju għas-saħħa u li tħassar id-Deċiżjoni Nru 2119/98/KE (ĠU L 293, 5.11.2013, p. 1)."

(2)

fl-Artikolu 4(1), jiddaħħal il-punt (h) li ġej:

“(h)	jipprovdi gwida għall-Istati Membri fl-iskambju transfruntier ta’ data personali permezz tal-federation gateway bejn l-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija.”

(3)

fl-Artikolu 6(1) jiddaħħlu l-punti (f) u (g) li ġejjin:

“(f)

tiżviluppa, timplimenta u żżomm miżuri tekniċi u organizzattivi xierqa relatati mas-sigurtà tat-trażmissjoni u l-ospitar ta’ data personali fil-federation gateway bl-iskop li tiġi żgurata l-interoperabbiltà tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija;

(g)

tappoġġa lin-Network tas-Saħħa elettronika biex jasal għal qbil dwar il-konformità teknika u organizzattiva tal-awtoritajiet nazzjonali mar-rekwiżiti għall-iskambju transfruntier ta’ data personali fil-federation gateway billi tipprovdi u twettaq it-testijiet u l-awditi meħtieġa. L-esperti mill-Istati Membri jistgħu jgħinu lill-awdituri tal-Kummissjoni.”

(4)

L-Artikolu 7 huwa emendat kif ġej:

(a)	it-titlu huwa sostitwit bi “Protezzjoni tad-data personali pproċessata permezz tal-Infrastruttura Ewropea ta’ Servizzi Diġitali tas-Saħħa Elettronika”;

(b)	fil-paragrafu 2 “Anness” huwa sostitwit b’ “Anness I”.

(5)

Għandu jiddaħħal l-Artikolu 7a li ġej:

“Artikolu 7a

Skambju transfruntier ta’ data bejn l-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija permezz tal-federation gateway

1. Meta d-data personali tiġi skambjata permezz tal-federation gateway, l-ipproċessar għandu jkun limitat għall-iskopijiet ta’ faċilitazzjoni tal-interoperabbiltà tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija fi ħdan il-federation gateway u l-kontinwità tat-traċċar tal-kuntatti f’kuntest transfruntier.

2. Id-data personali msemmija fil-paragrafu 3 għandha tiġi trażmessa lill-federation gateway f’format psewdonimizzat.

3. Id-data personali psewdonimizzata skambjata permezz tal-federation gateway u pproċċessata ġo fiha għandu jkollha biss l-informazzjoni li ġejja:

(a)	il-kjavi trażmessi bl-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija sa 14-il jum qabel id-data ta’ meta jittellgħu l-kjavi;

(b)	reġistru tad-data assoċjata mal-kjavi skont il-protokoll tal-ispeċifikazzjonijiet tekniċi użat fil-pajjiż tal-oriġini tal-kjavi;

(c)	il-verifika tal-infezzjoni;

(d)	il-pajjiżi ta’ interess u l-pajjiż tal-oriġini tal-kjavi.

4. L-awtoritajiet nazzjonali jew il-korpi uffiċjali nominati li jipproċessaw id-data fil-federation gateway għandhom ikunu l-kontrolluri konġunti tad-data pproċessata fil-federation gateway. Ir-responsabbiltajiet rispettivi tal-kontrolluri konġunti għandhom jiġu allokati f’konformità mal-Anness II. Kull Stat Membru li jixtieq jipparteċipa fl-iskambju transfruntier tad-data bejn l-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija għandu jgħarraf lill-Kummissjoni, qabel ma jissieħeb, bl-intenzjoni tiegħu u jindika l-awtorità nazzjonali jew il-korp uffiċjali li ġie nominat bħala kontrollur responsabbli.

5. Il-Kummissjoni għandha tkun il-proċessur ta’ data personali pproċessata fi ħdan il-federation gateway. Fil-kapaċità tagħha ta’ proċessur, il-Kummissjoni għandha tiżgura s-sigurtà tal-ipproċessar, inkluż it-trażmissjoni u l-ospitar ta’ data personali fi ħdan il-federation gateway u għandha tikkonforma mal-obbligi ta’ proċessur stabbiliti fl-Anness III.

6. L-effettività tal-miżuri tekniċi u organizzattivi għall-iżgurar tas-sigurtà tal-ipproċessar ta’ data personali għandha tiġi ttestjata, ivvalutata u evalwata regolarment mill-Kummissjoni u mill-awtoritajiet nazzjonali awtorizzati jaċċessaw il-federation gateway.

7. Mingħajr preġudizzju għad-deċiżjoni tal-kontrolluri konġunti li jwaqqfu l-ipproċessar fil-federation gateway, l-operazzjoni tal-federation gateway għandha tiġi deattivata mill-aktar tard 14-il jum wara li l-applikazzjonijiet nazzjonali konnessi għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija kollha jieqfu jittrażmettu l-kjavi permezz tal-federation gateway.”

(6)	L-Anness isir l-Anness I.

(7)	It-test, tal-Annessi II u III li se jiżdiedu, huwa stabbilit fl-Anness ta’ din id-Deċiżjoni.

Artikolu 2

Din id-Deċiżjoni għandha tidħol fis-seħħ fil-jum ta’ wara dak tal-pubblikazzjoni tagħha f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Magħmul fi Brussell, il-15 ta’ Lulju 2020.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1) ĠU L 88, 4.4.2011, p. 45.

(2) Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2019/1765 tat-22 ta’ Ottubru 2019 li tipprovdi r-regoli għall-istabbiliment, għall-ġestjoni u għall-funzjonament tan-network ta’ awtoritajiet nazzjonali responsabbli għas-Saħħa elettronika, u li tħassar id-Deċiżjoni ta’ Implimentazzjoni 2011/890/UE (ĠU L 270, 24.10.2019, p. 83).

(3) Ir-Rakkomandazzjoni tal-Kummissjoni (UE) 2020/518 tat-8 ta’ April 2020 dwar sett tal-għodod komuni tal-Unjoni għall-użu tat-teknoloġija u tad-data biex niġġieldu u noħorġu mill-kriżi tal-COVID-19, b’mod partikolari dwar l-applikazzjonijiet mobbli u l-użu ta’ data anonimizzata dwar il-mobbiltà (ĠU L 114, 14.4.2020, p. 7).

(4) https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf

(5) https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_guidelines_en.pdf

(6) Il-Komunikazzjoni tal-Kummissjoni għal Gwida dwar l-Apps li jgħinu fil-ġlieda kontra l-pandemija tal-COVID-19 fir-rigward tal-protezzjoni tad-data (ĠU C 124I, 17.4.2020, p. 1).

(7) Il-linji gwida 04/2020 dwar l-użu ta’ data ta’ lokalizzazzjoni u għodod għat-traċċar ta’ kuntatti fil-kuntest tat-tifqigħa tal-COVID-19 u d-dikjarazzjoni tal-EDPB tas-16 ta’ Ġunju 2020 dwar l-impatt fuq il-protezzjoni tad-data fir-rigward tal-interoperabbiltà tal-apps għat-traċċar ta’ kuntatti, it-tnejn disponibbli fuq: https://edpb.europa.eu

(8) Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1).

(9) Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika) (ĠU L 201, 31.7.2002, p. 37).

(10) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39).

(11) Id-Deċiżjoni tal-Kummissjoni (UE, Euratom) 2017/46 tal-10 ta’ Jannar 2017 dwar is-sigurtà tas-sistemi ta’ komunikazzjoni u informazzjoni fil-Kummissjoni Ewropea (ĠU L 6, 11.1.2017, p. 40). Il-Kummissjoni tippubblika aktar informazzjoni dwar l-istandards ta’ Sigurtà li japplikaw għas-sistemi ta’ informazzjoni kollha tal-Kummissjoni Ewropea fuq https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_en.

ANNESS

L-Annessi II u III li ġejjin jiżdiedu fid-Deċiżjoni ta’ Implimentazzjoni 2019/1765:

“ANNESS II

RESPONSABBILTAJIET TAL-ISTATI MEMBRI PARTEĊIPANTI BĦALA KONTROLLURI KONĠUNTI GĦALL-FEDERATION GATEWAY GĦALL-IPPROĊESSAR TRANSFRUNTIER BEJN L-APPLIKAZZJONIJIET NAZZJONALI GĦALL-APPARATI MOBBLI GĦAT-TRAĊĊAR TAL-KUNTATTI U GĦAT-TWISSIJA

TAQSIMA 1

Subtaqsima 1

Qsim tar-responsabbiltajiet

(1)

Il-kontrolluri konġunti għandhom jipproċessaw id-data personali permezz tal-federation gateway f’konformità mal-ispeċifikazzjonijiet tekniċi stipulati min-Network tas-Saħħa elettronika (1).

(2)

Kull kontrollur għandu jkun responsabbli għall-ipproċessar tad-data personali fil-federation gateway f’konformità mar-Regolament Ġenerali dwar il-Protezzjoni tad-Data u mad-Direttiva 2002/58/KE.

(3)

Kull kontrollur għandu jistabbilixxi punt ta’ kuntatt b’kaxxa postali funzjonali li sservi għall-komunikazzjoni bejn il-kontrolluri konġunti u bejn il-kontrolluri konġunti u l-proċessur.

(4)

Sottogrupp temporanju mwaqqaf min-Network tas-Saħħa elettronika f’konformità mal-Artikolu 5(4) għandu jiġi inkarigat jeżamina kwalunkwe kwistjoni li tinħoloq mill-interoperabbiltà tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija u mill-kontroll konġunt tal-ipproċessar relatat ta’ data personali. Is-sottogrupp għandu jiġi inkarigat ukoll jissimplifika l-instruzzjonijiet koordinati lill-Kummissjoni bħala proċessur. Fost kwistjonijiet oħrajn, il-kontrolluri jistgħu, fil-qafas tas-sottogrupp temporanju, jaħdmu lejn approċċ komuni għaż-żamma tad-data fis-servers backend nazzjonali tagħhom, filwaqt li jitqies il-perijodu ta’ żamma tad-data kif stabbilit fil-federation gateway.

(5)

L-istruzzjonijiet għandhom jintbagħtu lill-proċessur minn kwalunkwe punt ta’ kuntatt tal-kontrolluri konġunti, bi qbil mal-kontrolluri konġunti l-oħra fis-sottogrupp imsemmi hawn fuq.

(6)

Huma biss il-persuni awtorizzati mill-awtoritajiet nazzjonali u mill-korpi uffiċjali nominati li jistgħu jkollhom aċċess għad-data personali tal-utenti skambjata fil-federation gateway.

(7)

Kull awtorità nazzjonali jew korp uffiċjali nominat għandu jieqaf ikun kontrollur konġunt mid-data ta’ rtirar tal-parteċipazzjoni tiegħu fil-federation gateway. Madankollu, għandu jibqa’ responsabbli mill-ipproċessar fil-federation gateway li jkun sar qabel l-irtirar tiegħu.

Subtaqsima 2

Responsabbiltajiet u rwoli għall-ipproċessar tat-talb tas-suġġetti tad-data u għall-infurmar tas-suġġetti

(1)

Kull kontrollur għandu jipprovdi lill-utenti tal-applikazzjoni nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija tiegħu (“is-suġġetti tad-data”) bl-informazzjoni dwar l-ipproċessar tad-data personali tagħhom fil-federation gateway għall-iskopijiet ta’ interoperabbiltà transfruntiera tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija, f’konformità mal-Artikoli 13 u 14 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data.

(2)

Kull kontrollur għandu jaġixxi ta’ punt ta’ kuntatt għall-utenti tal-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija u għandu jieħu ħsieb it-talb relatat mal-eżerċitar tad-drittijiet tas-suġġetti tad-data f’konformità mar-Regolament Ġenerali dwar il-Protezzjoni tad-Data, imressaq minn dawk l-utenti jew mir-rappreżentanti tagħhom. Kull kontrollur għandu jinnomina punt ta’ kuntatt speċifiku ddedikat għat-talb li jasal mis-suġġetti tad-data. Jekk kontrollur konġunt jirċievi talba mingħand suġġett tad-data li ma taqax taħt ir-responsabbiltà tiegħu, għandu minnufih jibgħatha lill-kontrollur konġunt responsabbli. Jekk jiġi mitlub minnhom, il-kontrolluri konġunti għandhom jgħinu lil xulxin fil-ġestjoni tat-talb tas-suġġett tad-data u għandhom iwieġbu lil xulxin mingħajr dewmien u mill-aktar tard fi żmien 15-il ġurnata minn meta jirċievu talba għal għajnuna.

(3)

Kull kontrollur għandu jqiegħed il-kontenut ta’ dan l-Anness, inkluż l-arranġamenti stipulati fil-punti 1 u 2, għad-dispożizzjoni tas-suġġetti tad-data.

TAQSIMA 2

Ġestjoni tal-inċidenti ta’ sigurtà, inkluż il-ksur ta’ data personali

(1)

Il-kontrolluri konġunti għandhom jgħinu lil xulxin biex jidentifikaw u jieħdu ħsieb kwalunkwe inċident ta’ sigurtà, inkluż il-ksur ta’ data personali, marbuta mal-ipproċessar fil-federation gateway.

(2)

B’mod partikolari, il-kontrolluri konġunti għandhom jgħarrfu lil xulxin dwar dan li ġej:

(a)	kwalunkwe riskju potenzjali jew proprju għad-disponibbiltà, il-kunfidenzjalità u/jew l-integrità tad-data personali li tkun qed tiġi pproċessata fil-federation gateway;

(b)	kwalunkwe inċidenti ta’ sigurtà marbuta mal-operazzjoni tal-ipproċessar fil-federation gateway;

(c)

kwalunkwe ksur ta’ data personali, il-konsegwenzi probabbli tal-ksur ta’ data personali u l-valutazzjoni tar-riskju għad-drittijiet u għal-libertajiet ta’ persuni fiżiċi, u kwalunkwe miżuri meħuda biex jiġi indirizzat il-ksur ta’ data personali u biex jittaffa r-riskju għad-drittijiet u għal-libertajiet ta’ persuni fiżiċi;

(d)	kwalunkwe ksur tas-salvagwardji tekniċi u/jew organizzattivi tal-operazzjoni ta’ proċessar fil-federation gateway.

(3)

Il-kontrolluri konġunti għandhom jgħarrfu lill-Kummissjoni, lill-awtorità ta’ superviżjoni kompetenti u, fejn meħtieġ, lis-suġġetti tad-data bi kwalunkwe ksur ta’ data personali fir-rigward tal-operazzjoni tal-ipproċessar fil-federation gateway, f’konformità mal-Artikoli 33 u 34 tar-Regolament (UE) 2016/679 jew wara li tinħareġ notifika mill-Kummissjoni.

TAQSIMA 3

Valutazzjoni tal-impatt fuq il-protezzjoni tad-data

Jekk kontrollur jeħtieġ informazzjoni minn kontrollur ieħor, għandu jibgħat talba speċifika lill-kaxxa postali funzjonali msemmija fis-Subtaqsima 1(3) tat-Taqsima 1 biex jikkonforma mal-obbligi tiegħu speċifikati fl-Artikoli 35 u 36 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data. Il-kontrollur li tasallu t-talba għandu jagħmel l-aħjar li jista’ sabiex jipprovdi tali informazzjoni.

ANNESS III

IR-RESPONSABBILTAJIET TAL-KUMMISSJONI BĦALA PROĊESSUR TAD-DATA GĦALL-FEDERATION GATEWAY GĦALL-IPPROĊESSAR TRANSFRUNTIER BEJN L-APPLIKAZZJONIJIET NAZZJONALI GĦALL-APPARATI MOBBLI GĦAT-TRAĊĊAR TAL-KUNTATTI U GĦAT-TWISSIJA

Il-Kummissjoni għandha:

(1)

Tistabbilixxi u tiżgura infrastruttura ta’ komunikazzjoni sigura u affidabbli li tgħaqqad flimkien l-applikazzjonijiet nazzjonali għall-apparati mobbli għat-traċċar tal-kuntatti u għat-twissija tal-Istati Membri parteċipanti fil-federation gateway. Sabiex tissodisfa l-obbligi tagħha bħala proċessur tad-data tal-federation gateway, il-Kummissjoni tista’ tqabbad lil pajjiżi terzi bħala sottoproċessuri; il-Kummissjoni għandha tgħarraf lill-kontrolluri konġunti bi kwalunkwe intenzjoni ta’ tibdil rigward iż-żieda jew is-sostituzzjoni ta’ sottoproċessuri oħra biex b’hekk tagħti l-opportunità lill-kontrolluri sabiex joġġezzjonaw b’mod konġunt għal tali bidliet kif stabbilit fl-Anness II, is-Subtaqsima 1(4) tat-Taqsima 1. Il-Kummissjoni għandha tiżgura li l-istess obbligi tal-protezzjoni tad-data kif stabbiliti f’din id-Deċiżjoni japplikaw għal dawn is-sottoproċessuri.

(2)

Tipproċessa d-data personali, biss skont l-istruzzjonijiet dokumentati mill-kontrolluri, ħlief jekk tkun meħtieġa tagħmel dan skont id-dritt tal-Unjoni jew ta’ Stat Membru; f’tali każ, il-Kummissjoni għandha tgħarraf lill-kontrolluri dwar dak ir-rekwiżit legali qabel twettaq l-ipproċessar, dment li dik il-liġi ma tipprojbixxix it-tressiq ta’ tali informazzjoni minħabba raġunijiet importanti ta’ interess pubbliku.

(3)

L-ipproċessar mill-Kummissjoni jinvolvi dan li ġej:

(a)	L-awtentikazzjoni tas-servers backend nazzjonali, abbażi taċ-ċertifikati tas-servers backend nazzjonali;

(b)	Ir-riċeviment tad-data msemmija fl-Artikolu 7a, il-paragrafu 3 tad-Deċiżjoni ta’ Implimentazzjoni, imtella’ mis-servers backend nazzjonali billi tiġi pprovduta interfaċċa għall-ipprogrammar tal-applikazzjonijiet li tippermetti lis-servers backend nazzjonali jtellgħu d-data rilevanti;

(c)	Il-ħżin tad-data fil-federation gateway, malli tasal mis-servers backend nazzjonali;

(d)	L-organizzar tad-data b’mod li tkun disponibbli biex titniżżel mis-servers backend nazzjonali;

(e)	It-tħassir tad-data meta s-servers backend nazzjonali parteċipanti kollha jkunu niżżluha jew 14 il-jum wara r-riċeviment tagħha, skont liema jseħħ l-ewwel.

(f)	Wara li jintemm il-forniment tas-servizzi, kwalunkwe data li jkun fadal trid titħassar sakemm id-dritt tal-Unjoni jew ta’ Stat Membru ma jirrikjedix li d-data personali tinħażen.

Il-proċessur għandu jieħu l-miżuri meħtieġa biex jippreserva l-integrità tad-data proċessata.

(4)

Jieħu l-miżuri ta’ sigurtà organizzattivi, fiżiċi u loġiċi kollha tal-ogħla livell ta’żvilupp tekniku sabiex imantni l-federation gateway. Għal dan il-għan, il-Kummissjoni għandha:

(a)	tinnomina entità responsabbli għall-ġestjoni tas-sigurtà fil-livell tal-federation gateway, tgħarraf l-informazzjoni ta’ kuntatt tagħha lill-kontrolluri u tiżgura d-disponibbiltà tagħha biex tirreaġixxi għal theddid ta’ sigurtà;

(b)	tieħu r-responsabbiltà tas-sigurtà tal-federation gateway;

(c)	tiżgura li l-individwi kollha li jingħataw aċċess għall-federation gateway ikunu soġġetti għall-obbligu ta’ kunfidenzjalità kuntrattwali, professjonali jew statutorju;

(5)

Tieħu l-miżuri ta’ sigurtà kollha meħtieġa biex tevita li tikkomprometti l-funzjonament operazzjonali bla xkiel tas-servers backend nazzjonali. Għal dan il-għan, il-Kummissjoni għandha tistabbilixxi proċeduri speċifiċi rigward il-konnessjoni bejn is-servers backend nazzjonali u l-federation gateway. Dan jinkludi:

(a)	il-proċedura ta’ valutazzjoni tar-riskju, sabiex jiġi identifikat u stmat it-theddid potenzjali għas-sistema;

(b)

proċedura ta’ awditu u ta’ rieżami sabiex:

i.	tiġi verifikata l-korrispondenza bejn il-miżuri ta’ sigurtà implimentati u l-politika ta’ sigurtà applikabbli;

ii.	l-integrità tal-fajls tas-sistema, tal-parametri tas-sigurtà u tal-awtorizzazzjonijiet mogħtija tiġi kkontrollata fuq bażi regolari;

iii.	jitwettaq monitoraġġ biex jiġu identifikati każijiet ta’ ksur ta’ sigurtà u intrużjonijiet;

iv.	jiġu implimentati bidliet biex jitnaqqsu d-dgħufijiet tas-sigurtà eżistenti u

ikunu jistgħu jitwettqu, inkluż fuq talba tal-kontrolluri, u tkun tista’ ssir kontribuzzjoni lejn, awditi indipendenti, inkluż spezzjonijiet, u rieżamijiet tal-miżuri ta’ sigurtà, soġġett għall-kundizzjonijiet li jħarsu l-Protokoll (Nru 7) tat-TFUE dwar il-Privileġġi u l-Immunitajiet tal-Unjoni Ewropea (2);

(c)	tinbidel il-proċedura ta’ kontroll sabiex jiġi ddokumentat u jitkejjel l-impatt ta’ bidla qabel l-implimentazzjoni tagħha u sabiex il-kontrolluri jinżammu mgħarrfa dwar kwalunkwe bidla li tista’ taffettwa l-komunikazzjoni mal-infrastrutturi tagħhom u/jew is-sigurtà ta’ dawn l-infrastrutturi;

(d)	tiġi stabbilita proċedura ta’ manutenzjoni u ta’ tiswija biex jiġu speċifikati r-regoli u l-kundizzjonijiet li jridu jiġu segwiti meta jkun hemm il-ħtieġa ta’ manutenzjoni u/jew tiswija tat-tagħmir;

(e)

tiġi stabbilita proċedura ta’ inċidenti tas-sigurtà biex tiġi ddefinita l-iskema ta’ rappurtar u ta’ eskalazzjoni, u sabiex il-kontrolluri u l-Kontrollur Ewropew għall-Protezzjoni tad-Data jiġu mgħarrfa mingħajr dewmien bi kwalunkwe ksur tad-data personali u jiġi ddefinit proċess dixxiplinari għat-trattament ta’ każijiet ta’ ksur ta’ sigurtà.

(6)

Tieħu miżuri ta’ sigurtà fiżiċi u/jew loġiċi tal-ogħla livell ta’ żvilupp tekniku għall-faċilitajiet li jospitaw tagħmir tal-federation gateway u għall-kontrolli tad-data loġika u tal-aċċess tas-sigurtà. Għal dan il-għan, il-Kummissjoni għandha:

(a)	tiżgura sigurtà fiżika biex tistabbilixxi perimetri ta’ sigurtà distintivi u tippermetti l-identifikazzjoni ta’ ksur;

(b)	tikkontrolla l-aċċess għall-faċilitajiet u żżomm reġistru tal-viżitaturi għall-iskopijiet tat-traċċar;

(c)	tiżgura li l-persuni esterni li jingħataw aċċess għall-bini jiġu akkumpanjati minn persunal awtorizzat kif dovut;

(d)	tiżgura li t-tagħmir ma jkunx jista’ jiġi miżjud, sostitwit jew imneħħi mingħajr awtorizzazzjoni minn qabel tal-korpi responsabbli nominati;

(e)	tikkontrolla l-aċċess minn u lejn is-servers backend nazzjonali u lejn il-federation gateway;

(f)	tiżgura li l-individwi li jaċċessaw il-federation gateway huma identifikati u awtentikati;

(g)	twettaq rieżami tad-drittijiet tal-awtorizzazzjoni marbuta mal-aċċess għall-federation gateway f’każ ta’ ksur ta’ sigurtà li jaffettwa din l-infrastruttura;

(h)	iżżomm l-integrità tal-informazzjoni trażmessa permezz tal-federation gateway;

(i)	timplimenta miżuri ta’ sigurtà tekniċi u organizzattivi għall-prevenzjoni ta’ aċċess mhux awtorizzat għal data personali;

(j)	timplimenta, kull fejn meħtieġ, miżuri li jimblukkaw l-aċċess mhux awtorizzat għall-federation gateway mid-dominju tal-awtoritajiet nazzjonali (jiġifieri: imblokkar ta’ post/indirizz IP).

(7)	Tieħu l-passi biex tipproteġi d-dominju tagħha, inkluż billi taqtal-konnessjonijiet, f’każ ta’ devjazzjoni sostanzjali mill-prinċipji u mill-kunċetti ta’ kwalità jew ta’ sigurtà.

(8)	Iżżomm pjan ta’ ġestjoni tar-riskju marbut mal-qasam ta’ responsabbiltà tagħha.

(9)	Timmonitorja, f’ħin reali, il-prestazzjoni tal-komponenti tas-servizz kollha tas-servizzi tal-federation gateway, tipproduċi statistika regolari u żżomm rekords.

(10)

Tipprovdi appoġġ għas-servizzi kollha tal-federation gateway bl-Ingliż kuljum u f’kull ħin permezz tat-telefon, tal-posta jew tal-Portal Web u taċċetta telefonati mill-persuni awtorizzati: il-koordinaturi tal-federation gateway u l-helpdesks rispettivi tagħhom, l-Uffiċjali tal-Proġetti u l-persuni nominati mill-Kummissjoni.

(11)	Tgħin lill-kontrolluri permezz ta’miżuri tekniċi u organizzattivi xierqa, sa fejn dan ikun possibbli, għat-twettiq tal-obbligu tal-kontrollur li jwieġeb għat-talbiet tal-eżerċitar tad-drittijiet tas-suġġett tad-data stipulati fil-Kapitolu III tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data.

(12)	Tappoġġa lill-kontrolluri billi tipprovdi informazzjoni dwar il-federation gateway, sabiex timplimenta l-obbligi tal-Artikoli 32, 35 u 36 tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data.

(13)	Tiżgura li d-data proċessata fi ħdan il-federation gateway ma tinftiehem minn l-ebda persuna li m’għandhiex l-awtorizzazzjoni li taċċessaha.

(14)	Tieħu l-miżuri kollha rilevanti biex tipprevjeni li l-operaturi tal-federation gateway ikollhom aċċess mhux awtorizzat għad-data trażmessa.

(15)	Tieħu l-miżuri sabiex tiffaċilita l-interoperabbiltà u l-komunikazzjoni bejn il-kontrolluri nominati tal-federation gateway.

(16)	Iżżomm rekord tal-attivitajiet tal-ipproċessar imwettqa f’isem il-kontrolluri f’konformità mal-Artikolu 31(2) tar-Regolament (UE) 2018/1725.

”

(1) B’mod partikolari, l-ispeċifikazzjonijiet tal-interoperabbiltà għall-katini ta’ trażmissjoni transfruntiera bejn l-apps approvati, tas-16 ta’ Ġunju 2020, disponibbli fuq: https://ec.europa.eu/health/ehealth/key_documents_mt#anchor0.

(2) Il-Protokoll (Nru 7) dwar il-Privileġġi u l-Immunitajiet tal-Unjoni Ewropea (ĠU C 326, 26.10.2012, p. 266).