DECIZIA DE PUNERE ÎN APLICARE (UE) 2021/858 A COMISIEI

din 27 mai 2021

de modificare a Deciziei de punere în aplicare (UE) 2017/253 în ceea ce privește alertele declanșate de amenințări transfrontaliere grave pentru sănătate și în vederea depistării contacților pasagerilor identificați prin formulare de localizare a pasagerilor

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Decizia nr. 1082/2013/UE a Parlamentului European și a Consiliului din 22 octombrie 2013 privind amenințările transfrontaliere grave pentru sănătate și de abrogare a Deciziei nr. 2119/98/CE (1), în special articolul 8 alineatul (2),

întrucât:

(1)

Identificarea unui caz pozitiv de COVID-19 în urma unui anumit traseu transfrontalier îndeplinește criteriile stabilite la articolul 9 alineatul (1) din Decizia nr. 1082/2013/UE, deoarece poate provoca în continuare o rată semnificativă a mortalității la oameni, poate crește rapid în amploare, afectează mai multe state membre și poate necesita un răspuns coordonat la nivelul Uniunii. În conformitate cu punctul 23 din Recomandarea (UE) 2020/1475 din 13 octombrie 2020 privind o abordare coordonată a restricționării liberei circulații ca răspuns la pandemia de COVID-19 (2), informațiile privind cazurile de COVID-19 detectate la sosirea unei persoane pe teritoriul unui stat membru ar trebui să fie comunicate fără întârziere autorităților din domeniul sănătății publice din țările în care persoana în cauză s-a aflat în cursul celor 14 zile anterioare, în vederea depistării contacților, utilizându-se sistemul de alertă precoce și răspuns rapid (SAPR) instituit prin articolul 8 din Decizia nr. 1082/2013/UE și operat de Centrul European de Prevenire și Control al Bolilor („ECDC”).

(2)	În temeiul Recomandării (UE) 2020/1475, statele membre pot solicita persoanelor care intră pe teritoriul lor să completeze formulare de localizare a pasagerilor („PLF-uri”), în conformitate cu cerințele de protecție a datelor.

(3)

Prin impunerea completării unor PLF-uri naționale în diferite formate, statele membre colectează date PLF de la pasagerii transfrontalieri care intră pe teritoriul lor. Datele colectate astfel sunt utilizate, printre altele, atunci când persoana care a completat un PLF este identificată drept un caz de COVID-19, pentru a se stabili traseul persoanei respective și pentru a se transmite informații relevante statelor membre care trebuie să efectueze proceduri de depistare a contacților în legătură cu persoanele care ar fi putut fi expuse la pasagerul infectat.

(4)

Autoritățile din domeniul sănătății publice din unele state membre au făcut deja schimb de date cu caracter personal colectate prin intermediul PLF-urilor naționale în scopul depistării contacților în contextul pandemiei de COVID-19. Acest schimb s-a realizat în special prin infrastructura tehnică actuală furnizată în cadrul SAPR.

(5)

Infrastructura tehnică furnizată în prezent în cadrul SAPR nu este menită încă să gestioneze volumul de date PLF care este generat de utilizarea sistematică și pe scară largă a PLF-urilor. De exemplu, aceasta nu translatează diferitele formate naționale și presupune introducerea manuală, ceea ce are efecte negative asupra promptitudinii și a eficacității de depistare a contacților. Acest lucru este valabil în special atunci când este necesar să se efectueze depistarea contacților în ceea ce privește pasagerii transfrontalieri care au călătorit cu mijloace de transport în comun cu locuri prealocate, cum ar fi aeronave, anumite trenuri, feriboturi și nave de croazieră, în cazul cărora numărul de pasageri expuși și durata expunerii la un pasager infectat ar putea fi semnificative.

(6)

Prin urmare, ar trebui creată o infrastructură tehnică, denumită „platforma de schimb de date PLF”, care să facă posibil un schimb securizat, prompt și eficace de date între autoritățile competente pentru SAPR din statele membre, permițându-le acestora să transmită informații din sistemele lor naționale existente de PLF-uri digitale către alte autorități competente pentru SAPR într-o manieră interoperabilă și automată. Infrastructura ar trebui să pornească de la platforma de schimb deja dezvoltată de Agenția Uniunii Europene pentru Siguranța Aviației (AESA), chiar dacă AESA nu are niciun rol în contextul prelucrării datelor personale prin platforma de schimb de date PLF, astfel cum se stabilește în prezenta decizie de punere în aplicare. Platforma de schimb de date PLF ar trebui, de asemenea, să facă posibil schimbul de date epidemiologice limitate, necesare pentru depistarea contacților, în conformitate cu articolul 9 alineatul (3) din Decizia nr. 1082/2013/UE. Pentru a evita suprapunerea activităților sau acțiunile contradictorii cu structurile și mecanismele existente de monitorizare a amenințărilor transfrontaliere grave pentru sănătate, de alertă precoce în cazul acestora și de combatere a lor, platforma de schimb de date PLF ar trebui să fie dezvoltată în cadrul SAPR, în completarea funcționalității de mesagerie selectivă existente în sistemul respectiv.

(7)	Platforma de schimb de date PLF ar trebui să fie gestionată de ECDC în conformitate cu articolul 8 din Regulamentul (CE) nr. 851/2004 al Parlamentului European și al Consiliului (3).

(8)	Platforma de schimb de date PLF nu ar trebui să stocheze datele PLF și datele epidemiologice care urmează să facă obiectul schimbului.

(9)

Dacă nu dispun de un sistem de PLF-uri digitale dezvoltat la nivel național, statele membre ar putea utiliza sistemul comun al UE de formular digital de localizare a pasagerilor („EUdPLF”), dezvoltat de către Acțiunea comună „EU Healthy Gateways” la solicitarea Comisiei (grantul nr. 801493) (4). Scopul EUdPLF este de a crea un punct unic de intrare și o bază de date unică pentru colectarea PLF-urilor. În viitor, EUdPLF ar trebui să fie conectat la platforma de schimb de date PLF cu unicul scop de a permite schimbul de date între statele membre care utilizează propriile sisteme naționale de PLF-uri digitale, pe de o parte, și statele membre care utilizează EUdPLF, pe de altă parte. Prezenta decizie nu reglementează instituirea EUdPLF și nici prelucrarea datelor cu caracter personal în legătură cu acesta.

(10)

Prezenta decizie nu reglementează instituirea PLF-urilor naționale, aceasta fiind o chestiune care trebuie decisă de statele membre. Statele membre au libertatea să aleagă dacă să colecteze PLF-uri de la toți pasagerii care sosesc pe teritoriul lor sau numai de la pasagerii care au ca destinație finală statul membru respectiv. Pentru o depistare transfrontalieră eficace a contacților pe baza datelor PLF, statele membre trebuie să colecteze un set minim comun de date PLF prin intermediul PLF-urilor lor naționale. Prin urmare, ar trebui stabilite aceste date PLF minime. În plus, din motive de eficiență din punctul de vedere al costurilor, de durabilitate și de securitate sporită a soluției, statele membre ar trebui să aibă în vedere adoptarea unei abordări comune în ceea ce privește solicitarea de PLF-uri de la toți pasagerii, inclusiv de la cei aflați în tranzit, sau numai de la pasagerii care au ca destinație finală statul membru respectiv.

(11)	Utilizarea platformei de schimb de date PLF trebuie să fie voluntară, iar statele membre ar trebui să aibă libertatea de a notifica alertele în cadrul infrastructurii tehnice a SAPR existente în prezent, temporar și cu condiția să nu compromită scopul depistării contacților.

(12)

Autoritățile competente pentru SAPR ar trebui să facă schimb doar de seturi de date bine definite colectate prin intermediul PLF-urilor lor și de alte date epidemiologice limitate necesare pentru depistarea contacților, în conformitate cu principiul de minimizare a prelucrării datelor cu caracter personal. În cazul în care statul membru care notifică alerta cu privire la un pasager infectat poate identifica toate statele membre vizate, pe baza datelor PLF de care dispune, acesta ar trebui să transmită datele numai autorităților competente pentru SAPR din statele membre respective. Acesta este cazul, de exemplu, când statul membru care identifică pasagerul infectat colectează PLF-uri de la toți pasagerii, inclusiv de la pasagerii în tranzit, care sosesc pe teritoriul său cu o legătură directă de la locul inițial de plecare.

(13)

În cazul în care un pasager este depistat ca fiind infectat cu SARS-CoV-2 într-un stat membru, autoritățile competente pentru SAPR din statul membru respectiv ar trebui să poată transmite autorităților competente pentru SAPR din statul membru de plecare un set limitat de date extrase din PLF-uri, care ar trebui să fie strict definit în ceea ce privește ceea ce este necesar pentru efectuarea depistării contacților persoanelor expuse în statul membru de plecare și de reședință, în cazul în care acesta este diferit de statul membru de plecare – și anume identitatea și informațiile de contact ale pasagerului infectat.

(14)

În plus, în cazul în care un pasager este depistat ca fiind infectat cu SARS-CoV-2 într-un stat membru, autoritățile competente pentru SAPR din statul membru respectiv ar trebui, de asemenea, să poată partaja un set limitat de date cu autoritățile competente pentru SAPR din toate statele membre sau din statele membre vizate, în cazul în care aceste autorități dispun de informații care le permit să identifice respectivele state membre. Datele ar trebui să se limiteze la locul de plecare, locul de sosire, data plecării, tipul de mijloc de transport utilizat (de exemplu, avion, tren, autocar, feribot, navă), numărul de identificare al serviciului de transport – și anume numărul zborului, numărul trenului, numărul de înmatriculare a autocarului, numele feribotului sau al navei, numărul locului sau al cabinei pasagerului infectat și ora plecării în cazul în care datele de mai sus nu sunt suficiente pentru identificarea mijlocului de transport. Acest lucru ar trebui să le permită autorităților competente pentru SAPR din țara de destinație să stabilească dacă pe teritoriul lor au sosit pasageri expuși și, în caz afirmativ, să depisteze contacții acestora.

(15)

La partajarea de date cu alte autorități competente pentru SAPR prin intermediul platformei de schimb de date PLF, autoritatea competentă pentru SAPR relevantă ar trebui să fie în măsură să adauge informații epidemiologice, limitate la ceea ce este necesar pentru a efectua depistarea contacților, și anume tipul testului de depistare a COVID-19 efectuat, varianta virusului SARS-CoV-2, data prelevării și data declanșării simptomelor.

(16)

Prelucrarea datelor cu caracter personal ale pasagerilor infectați, care fac obiectul unui schimb prin intermediul platformei de schimb de date PLF, trebuie efectuată de către autoritățile competente pentru SAPR în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (5). Prelucrarea datelor cu caracter personal pe care o efectuează ECDC în calitate de operator al platformei de schimb de date PLF în scopul depistării contacților și Comisia în calitate de subcontractant trebuie să respecte Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (6).

(17)

Temeiul juridic pentru schimbul de date cu caracter personal ale pasagerilor infectați, inclusiv privind sănătatea, care are loc între autoritățile competente pentru SAPR în scopul depistării contacților este prevăzut la articolul 9 alineatul (1) și alineatul (3) punctul (i) din Decizia nr. 1082/2013/UE, în conformitate cu articolul 6 alineatul (1) litera (c) și cu articolul 9 alineatul (2) litera (i) din Regulamentul (UE) 2016/679. Prezenta decizie ar trebui să stabilească măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate. Acestea ar trebui să includă măsuri referitoare la definirea seturilor de date necesare care urmează să facă obiectul unui schimb, autoritățile competente pentru SAPR cu care ar trebui să se facă schimb de date în diverse cazuri, măsurile de securitate corespunzătoare, inclusiv criptarea, și modalitățile de prelucrare a datelor între autoritățile competente naționale prin intermediul platformei de schimb de date PLF în cadrul Uniunii Europene.

(18)

Autoritățile competente pentru SAPR care participă la platforma de schimb de date PLF stabilesc împreună scopul și mijloacele de prelucrare a datelor cu caracter personal în cadrul platformei de schimb de date PLF și, prin urmare, sunt operatori asociați. Articolul 26 din Regulamentul (UE) 2016/679 prevede obligația operatorilor asociați de a stabili într-un mod transparent responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul regulamentului respectiv. Articolul menționat prevede, de asemenea, posibilitatea ca aceste responsabilități să fie stabilite în dreptul Uniunii sau al statului membru care li se aplică operatorilor. Prin urmare, prezenta decizie ar trebui să stabilească rolurile și responsabilitățile respective ale operatorilor asociați.

(19)

ECDC, în calitate de furnizor de soluții tehnice și organizatorice pentru platforma de schimb de date PLF, prelucrează date PLF și date epidemiologice în numele statelor membre care participă la platforma de schimb de date PLF în calitate de operatori asociați și, prin urmare, este o persoană împuternicită de operatori în înțelesul articolului 3 alineatul (12) din Regulamentul (UE) 2018/1725. În conformitate cu articolul 28 din Regulamentul (UE) 2016/679 și cu articolul 29 din Regulamentul (UE) 2018/1725, prelucrarea de către o persoană împuternicită de operator trebuie reglementată printr-un contract sau un act juridic în temeiul dreptului Uniunii sau al dreptului statului membru, care are caracter obligatoriu pentru persoana împuternicită de operator în raport cu operatorul și care precizează aspecte referitoare la prelucrare. Prin urmare, este necesar să se stabilească norme privind prelucrarea de către ECDC în calitate de persoană împuternicită de operatori.

(20)

Articolul 3 alineatul (3) din Regulamentul (CE) nr. 851/2004 prevede că ECDC, Comisia și statele membre cooperează în vederea promovării coerenței efective între activitățile lor respective. În consecință, ar trebui încheiate acorduri privind nivelul serviciilor între Comisie și ECDC, pentru ca acestea să coopereze în cursul dezvoltării tehnice și al funcționării platformei de schimb de date PLF. Acordurile respective specifică repartizarea responsabilităților (organizatorice, financiare și tehnologice) între părți pentru a facilita implementarea platformei de schimb de date PLF și măsurile tehnice referitoare la funcționarea, întreținerea și dezvoltarea ulterioară a acesteia.

(21)	Prin urmare, este necesar ca Decizia de punere în aplicare (UE) 2017/253 să fie modificată în consecință.

(22)

Platforma de schimb de date PLF urmează să fie finanțată în anul 2021 prin Instrumentul pentru sprijin de urgență, care a fost instituit pentru a ajuta statele membre să răspundă pandemiei de coronavirus prin abordarea necesităților într-un mod strategic și coordonat la nivel european, precum și prin „Activități de sprijin pentru politica europeană în domeniul transporturilor și al drepturilor pasagerilor, inclusiv activități de comunicare”. În anul 2022, ea va fi finanțată de programul Europa Digitală.

(23)

Având în vedere data preconizată pentru intrarea în funcțiune a platformei de schimb de date PLF, prezenta decizie trebuie să se aplice de la 1 iunie 2021. Schimbul de date încetează după 12 luni sau din momentul în care directorul general al Organizației Mondiale a Sănătății declară, în conformitate cu Regulamentul sanitar internațional, că urgența de sănătate publică de importanță internațională cauzată de SARS-CoV-2 a luat sfârșit, dacă această declarație a fost efectuată înainte.

(24)

Exploatarea platformei de schimb de date PLF trebuie să se limiteze la controlul pandemiei de COVID-19. Cu toate acestea, exploatarea platformei de schimb de date PLF ar putea fi extinsă în viitor, printr-o decizie de modificare a deciziei de punere în aplicare, în cazul epidemiilor care ar putea impune statelor membre să facă schimb de date PLF în scopul depistării contacților, conform criteriilor stabilite la articolul 9 alineatul (1) și condițiilor prevăzute la articolul 9 alineatul (3) din Decizia nr. 1082/2013/UE.

(25)	Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 și a emis un aviz la 6 mai 2021.

(26)	Măsurile prevăzute în prezenta decizie sunt conforme cu avizul Comitetului privind amenințările transfrontaliere grave pentru sănătate instituit prin articolul 18 din Decizia nr. 1082/2013/UE,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Decizia de punere în aplicare (UE) 2017/253 se modifică după cum urmează:

Se inserează următorul articol 1a:

„Articolul 1a

Definiții

În sensul prezentei decizii, se aplică următoarele definiții:

(a)

«formular de localizare a pasagerilor» («PLF») înseamnă un formular completat la cererea autorităților din domeniul sănătății publice prin care se colectează cel puțin datele pasagerilor specificate în anexa I și care sprijină autoritățile respective în gestionarea unui eveniment de sănătate publică, permițându-le să depisteze pasagerii transfrontalieri care este posibil să fi fost expuși la o persoană infectată cu SARS-CoV-2;

(b)	«date din formularul de localizare a pasagerilor» («date PLF») înseamnă date cu caracter personal colectate prin intermediul unui PLF;

(c)	«punct de intrare digital» înseamnă un loc digital unic la care autoritățile competente pentru SAPR își pot conecta în mod securizat sistemele de PLF-uri digitale la platforma de schimb de date PLF;

(d)	«traseu» înseamnă călătoria transfrontalieră efectuată de o persoană cu un mijloc de transport în comun cu locuri prealocate, având în vedere locul de plecare inițial și destinația finală a persoanei respective, și alcătuită din unul sau mai multe segmente;

(e)	«segment» înseamnă o călătorie transfrontalieră unică a unui pasager, fără legături sau schimbări de zbor, tren, navă sau autovehicul;

(f)	«pasager infectat» înseamnă un pasager care îndeplinește criteriul de laborator pentru infecția cu SARS-CoV-2;

(g)	«persoană expusă» înseamnă un pasager sau o altă persoană care a fost în contact apropiat cu un pasager infectat;

(h)	«alertă» înseamnă o notificare utilizându-se sistemul de alertă precoce și răspuns rapid (SAPR) în temeiul articolului 9 din Decizia nr. 1082/2013/CE.”

Se inserează următoarele articole 2a, 2b și 2c:

„Articolul 2a

Platforma pentru schimbul de date PLF

(1) În cadrul SAPR este creată o platformă pentru schimbul securizat de date PLF ale pasagerilor infectați în scopul unic al depistării contacților în legătură cu persoanele expuse la SARS-CoV-2 de către autoritățile competente pentru SAPR („platforma de schimb de date PLF”), în completarea funcționalității de mesagerie selectivă existente în sistemul respectiv.

Platforma de schimb de date PLF oferă un punct de intrare digital pentru ca autoritățile competente pentru SAPR să își conecteze în mod securizat sistemele naționale de PLF-uri digitale sau să se conecteze prin intermediul sistemului comun al Uniunii Europene de formular digital de localizare a pasagerilor („EUdPLF”), pentru a permite schimbul de date colectate prin intermediul PLF-urilor.

Autoritățile competente pentru SAPR pot să utilizeze platforma de schimb de date PLF pentru schimbul de date suplimentare, și anume date epidemiologice numai în scopul depistării contacților în legătură cu persoanele expuse la SARS-CoV-2, în conformitate cu articolul 2b alineatul (5).

(2) Platforma de schimb de date PLF este operată de ECDC.

(3) Pentru a-și îndeplini obligațiile care le revin în temeiul articolului 2 de a notifica amenințările transfrontaliere grave pentru sănătate care sunt identificate în contextul colectării datelor PLF, autoritățile competente pentru SAPR din statele membre care solicită completarea unui PLF fac schimb de un set de date PLF, astfel cum se detaliază la articolul 2b, prin intermediul platformei de schimb de date PLF.

(4) Autoritățile competente pentru SAPR pot continua să își îndeplinească obligațiile care le revin în temeiul articolului 9 alineatele (1) și (3) din Decizia nr. 1082/2013/UE pentru notificarea amenințărilor transfrontaliere grave pentru sănătate care sunt identificate în contextul colectării datelor PLF prin intermediul celorlalte canale de comunicare existente menționate la articolul 1 alineatul (2) din prezenta decizie, temporar și cu condiția ca această alegere să nu compromită scopul depistării contacților.

(5) Platforma de schimb de date PLF nu stochează datele PLF și datele epidemiologice suplimentare. Ea doar le permite autorităților competente pentru SAPR să primească date care le-au fost transmise de alte autorități competente pentru SAPR în scopul unic al depistării contacților SARS-CoV-2. ECDC accesează datele numai pentru a asigura buna funcționare a platformei de schimb de date PLF.

(6) Autoritățile competente pentru SAPR nu păstrează datele PLF și datele epidemiologice primite prin intermediul platformei de schimb de date PLF pentru o perioadă mai lungă decât perioada de păstrare aplicabilă în contextul activităților lor naționale de depistare a contacților SARS-CoV-2.

(7) Comisia cooperează cu ECDC pentru îndeplinirea sarcinilor care i-au fost încredințate în temeiul prezentei decizii, în special în ceea ce privește măsurile tehnice și organizatorice legate de instalarea, implementarea, operarea, întreținerea și dezvoltarea platformei de schimb de date PLF.

(8) Prelucrarea datelor cu caracter personal în cadrul platformei de schimb de date PLF în scopul unic al depistării contacților SARS-CoV-2 se efectuează până la 31 mai 2022 sau până în momentul în care directorul general al Organizației Mondiale a Sănătății declară, în conformitate cu Regulamentul sanitar internațional, că urgența de sănătate publică de importanță internațională cauzată de SARS-CoV-2 a luat sfârșit.

Articolul 2b

Datele care fac obiectul schimbului de informații

(1) Atunci când notifică o alertă în cadrul platformei de schimb de date PLF, autoritățile competente pentru SAPR din statul membru în care este identificat pasagerul infectat transmit următoarele date PLF autorităților competente pentru SAPR din statul membru din care pasagerul infectat a plecat inițial sau în care își are reședința, în cazul în care locul de reședință este diferit de locul de plecare inițială:

(a)	prenumele;

(b)

numele;

(c)	data nașterii;

(d)	numărul de telefon (fix și/sau mobil);

(e)	adresa de e-mail;

(f)	adresa de reședință.

(2) Autoritățile competente pentru SAPR din statul membru de plecare inițială a pasagerului infectat pot transmite datele PLF primite unui stat membru de plecare, altul decât cel declarat în PLF ca stat membru de plecare inițială, în cazul în care dispun de informații suplimentare din care reiese statul membru care ar trebui să efectueze depistarea contacților.

(3) Atunci când notifică o alertă pe platforma de schimb de date PLF, autoritățile competente pentru SAPR din statul membru în care este identificat pasagerul infectat transmit următoarele date PLF, pentru fiecare segment din traseul pasagerului respectiv, autorităților competente pentru SAPR din toate statele membre:

(a)	locul de plecare al fiecărui mijloc de transport vizat;

(b)	locul de sosire al fiecărui mijloc de transport vizat;

(c)	data de plecare a fiecărui mijloc de transport vizat;

(d)	tipul fiecărui mijloc de transport vizat (de exemplu, avion, tren, autocar, feribot, navă);

(e)	numărul de identificare al fiecărui mijloc de transport vizat (de exemplu, numărul zborului, numărul trenului, numărul de înmatriculare a autocarului, numele feribotului sau al navei);

(f)	numărul locului/cabinei din fiecare mijloc de transport vizat;

(g)	dacă este necesar, ora de plecare a fiecărui mijloc de transport vizat.

(4) În cazul în care pot identifica statele membre vizate pe baza informațiilor de care dispun, autoritățile competente pentru SAPR din statul membru care notifică alerta transmit datele enumerate la alineatul (3) numai autorităților competente pentru SAPR din statele membre respective.

(5) Autoritățile competente pentru SAPR pot să furnizeze următoarele date epidemiologice, în cazul în care acest lucru este necesar pentru efectuarea unei depistări eficace a contacților:

(a)	tipul de test efectuat;

(b)	varianta de virus SARS-CoV-2;

(c)	data prelevării probei;

(d)	data declanșării simptomelor.

Articolul 2c

Responsabilitățile autorităților competente pentru SAPR și ale ECDC în ceea ce privește prelucrarea datelor PLF

(1) Autoritățile competente pentru SAPR care fac schimb de date PLF și de date prevăzute la articolul 2b alineatul (5) sunt operatori asociați pentru introducerea și transmiterea, până la primire, a datelor respective prin intermediul platformei de schimb de date PLF. Responsabilitățile respective ale operatorilor asociați se atribuie în conformitate cu anexa II. Fiecare stat membru care dorește să participe la schimbul transfrontalier de date PLF prin intermediul platformei de schimb de date PLF notifică ECDC, înainte de a se alătura acestui schimb de date, intenția sa și autoritatea competentă pentru SAPR care a fost desemnată ca operator responsabil.

(2) ECDC este persoana împuternicită de către operatori în legătură cu datele care fac obiectul unui schimb prin intermediul platformei de schimb de date PLF. ECDC furnizează platforma de schimb de date PLF și asigură securitatea prelucrării, inclusiv a transmiterii datelor care fac obiectul unui schimb prin intermediul platformei de schimb de date PLF, și respectă obligațiile unei persoane împuternicite de operator, astfel cum sunt prevăzute în anexa III.

(3) Eficacitatea măsurilor tehnice și organizatorice de asigurare a securității prelucrării datelor PLF care fac obiectul unui schimb prin intermediul platformei de schimb de date PLF este testată, analizată și evaluată periodic de ECDC și de autoritățile competente pentru SAPR autorizate să acceseze platforma de schimb de date PLF.

(4) ECDC angajează Comisia în calitate de subcontractant și se asigură că și Comisiei i se aplică aceleași obligații în materie de protecție a datelor prevăzute în prezenta decizie.”

3.	La articolul 3 alineatul (3), cuvântul „anexa” se înlocuiește cu „anexa IV”.

4.	În anexă, titlul „ANEXĂ” se înlocuiește cu „ANEXA IV”.

5.	Se introduc anexele I, II și III, astfel cum figurează în anexa la prezenta decizie.

Articolul 2

Prezenta decizie intră în vigoare în a treia zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezenta decizie se aplică de la 1 iunie 2021.

Adoptată la Bruxelles, 27 mai 2021.

Pentru Comisie

Președintele

Ursula VON DER LEYEN

(1) JO L 293, 5.11.2013, p. 1.

(2) JO L 337, 14.10.2020, p. 3.

(3) Regulamentul (CE) nr. 851/2004 al Parlamentului European și al Consiliului din 21 aprilie 2004 de creare a unui Centru European de Prevenire și Control al Bolilor (JO L 142, 30.4.2004, p. 1).

(4) Acțiunea comună Pregătire și acțiune la punctele de intrare (porturi, aeroporturi și puncte de trecere a frontierelor terestre), HEALTHY GATEWAYS, reunește 28 de țări europene și este finanțată prin al treilea program de acțiune a Uniunii în domeniul sănătăți (2014-2020).

(5) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (JO L 119, 4.5.2016, p. 1).

(6) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

ANEXĂ

„ANEXA I

SET MINIM DE DATE PLF CARE TREBUIE COLECTATE PRIN INTERMEDIUL PLF-ULUI NAȚIONAL

PLF-ul conține cel puțin următoarele date PLF:

1.	prenumele;

numele;

3.	data nașterii;

4.	numărul de telefon (fix și/sau mobil);

5.	adresa de e-mail;

6.	adresa de reședință;

7.	destinația finală sau ultima destinație din UE a întregului traseu;

următoarele informații pentru fiecare segment al traseului până la statul membru care solicită completarea unui PLF:

(a)	locul de plecare;

(b)	locul de sosire;

(c)	data de plecare;

(d)	tipul de mijloc de transport (de exemplu, avion, tren, autocar, feribot, navă);

(e)	ora de plecare;

(f)	numărul de identificare al fiecărui mijloc de transport (de exemplu, numărul zborului, numărul trenului, numărul de înmatriculare a autocarului, numele feribotului sau al navei);

(g)	numărul locului/cabinei.

ANEXA II

RESPONSABILITĂȚILE STATELOR MEMBRE PARTICIPANTE ÎN CALITATE DE OPERATORI ASOCIAȚI PENTRU PLATFORMA DE SCHIMB DE DATE PLF

SECȚIUNEA 1

Repartizarea responsabilităților

Fiecare autoritate competentă pentru SAPR se asigură că prelucrarea datelor PLF și a datelor epidemiologice suplimentare care fac obiectul unui schimb prin intermediul platformei de schimb de date PLF se efectuează în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (*). Fiecare astfel de autoritate se asigură cu precădere că datele pe care le introduce și le transmite prin intermediul platformei de schimb de date PLF sunt exacte și limitate la datele prevăzute la articolul 2b din prezenta decizie.

Fiecare autoritate competentă pentru SAPR rămâne operator unic pentru colectarea, utilizarea, divulgarea și orice altă formă de prelucrare a datelor PLF și a datelor epidemiologice suplimentare, care se efectuează în afara platformei de schimb de date PLF. Fiecare autoritate competentă pentru SAPR se asigură că transmiterea datelor se efectuează în conformitate cu specificațiile tehnice prevăzute pentru platforma de schimb de date PLF.

Instrucțiunile către persoana împuternicită de operatori sunt transmise de oricare dintre punctele de contact ale operatorilor asociați, în acord cu ceilalți operatori asociați.

Numai persoanele autorizate de autoritățile competente pentru SAPR pot accesa datele PLF și datele epidemiologice suplimentare care fac obiectul unui schimb prin intermediul platformei de schimb de date PLF.

Fiecare autoritate competentă pentru SAPR stabilește un punct de contact cu o adresă de e-mail funcțională care va servi la comunicarea dintre operatorii asociați și dintre asociați și persoana împuternicită de operatori. Procesul decizional al operatorilor asociați este reglementat de Grupul de lucru al Comitetului pentru securitate sanitară privind SAPR.

Fiecare autoritate competentă pentru SAPR încetează să mai fie operator asociat începând de la data retragerii participării sale la platforma de schimb de date PLF. Cu toate acestea, ea rămâne responsabilă pentru acțiunile de colectare și transmitere a datelor PLF și a datelor epidemiologice suplimentare prin platforma de schimb de date PLF care au avut loc înainte de retragerea sa.

Fiecare autoritate competentă pentru SAPR păstrează o evidență a activităților de prelucrare aflate în responsabilitatea sa. Operarea asociată poate fi indicată în evidență.

SECȚIUNEA 2

Responsabilitățile și rolurile în ceea ce privește tratarea cererilor persoanelor vizate și informarea acestora

Fiecare autoritate competentă pentru SAPR care solicită un PLF furnizează pasagerilor transfrontalieri („persoanelor vizate”) informații cu privire la circumstanțele schimbului de date PLF și de date epidemiologice prin intermediul platformei de schimb de date PLF în scopul depistării contacților, în conformitate cu articolele 13 și 14 din Regulamentul (UE) 2016/679.

Fiecare autoritate competentă pentru SAPR acționează ca punct de contact pentru persoanele vizate și tratează cererile, depuse de acestea sau de reprezentanții acestora, referitoare la exercitarea drepturilor lor în conformitate cu Regulamentul (UE) 2016/679. Fiecare autoritate competentă pentru SAPR desemnează un punct de contact specific pentru cererile primite de la persoanele vizate. Dacă o autoritate competentă pentru SAPR primește o cerere din partea unei persoane vizate care nu intră în responsabilitatea sa, autoritatea respectivă transmite imediat cererea în chestiune autorității competente pentru SAPR și informează ECDC. Dacă li se solicită, autoritățile competente pentru SAPR își acordă asistență reciprocă pentru tratarea cererilor persoanelor vizate în legătură cu operarea asociată și își răspund reciproc fără întârzieri nejustificate și cel târziu în termen de 15 zile de la primirea unei cereri de asistență.

Fiecare autoritate competentă pentru SAPR pune la dispoziția persoanelor vizate conținutul prezentei anexe, inclusiv măsurile prevăzute la punctele 1 și 2.

SECȚIUNEA 3

Gestionarea incidentelor de securitate, inclusiv a încălcării securității datelor cu caracter personal

Autoritățile competente pentru SAPR, în calitate de operatori asociați, își acordă asistență reciprocă pentru identificarea și tratarea oricăror incidente de securitate, inclusiv a încălcării securității datelor cu caracter personal, legate de prelucrarea datelor PLF și a datelor epidemiologice care fac obiectul unui schimb prin intermediul platformei de schimb de date PLF.

În special, acestea își notifică reciproc și notifică ECDC următoarele:

(a)	orice risc potențial sau real pentru disponibilitatea, confidențialitatea și/sau integritatea datelor PLF și a datelor epidemiologice care fac obiectul prelucrării în cadrul platformei de schimb de date PLF;

(b)

orice încălcare a securității datelor cu caracter personal, consecințele probabile ale încălcării securității datelor și evaluarea riscurilor la adresa drepturilor și libertăților persoanelor fizice, precum și orice măsură luată pentru a remedia încălcarea securității datelor cu caracter personal și pentru a atenua riscul la adresa drepturilor și libertăților persoanelor fizice;

(c)	orice încălcare a garanțiilor tehnice și/sau organizaționale ale operațiunii de prelucrare în cadrul platformei de schimb de date PLF.

Autoritățile competente pentru SAPR comunică orice încălcare a securității datelor în ceea ce privește operațiunile de prelucrare din cadrul platformei de schimb de date PLF către ECDC, către autoritățile de supraveghere competente și, dacă este cazul, către persoanele vizate, în conformitate cu articolele 33 și 34 din Regulamentul (UE) 2016/679 sau în urma notificării de către ECDC.

Fiecare autoritate competentă pentru SAPR pune în aplicare măsuri tehnice și organizatorice adecvate, menite:

(a)	să asigure și să protejeze securitatea, integritatea și confidențialitatea datelor cu caracter personal prelucrate în comun;

(b)	să ofere protecție împotriva prelucrării, pierderii, utilizării, divulgării, dobândirii sau accesării neautorizate sau ilegale a oricăror date cu caracter personal pe care le deține;

(c)	să asigure că accesul la datele cu caracter personal nu este divulgat sau permis niciunei alte persoane cu excepția destinatarilor sau a persoanelor împuternicite de operatori.

SECȚIUNEA 4

Evaluarea impactului asupra protecției datelor

Dacă, pentru a-și îndeplini obligațiile prevăzute la articolele 35 și 36 din Regulamentul (UE) 2016/679, un operator are nevoie de informații de la un alt operator, cel dintâi transmite o cerere specifică la adresa de e-mail funcțională menționată în secțiunea 1 subsecțiunea 1 punctul 5. Al doilea operator depune toate eforturile pentru a furniza informațiile respective.

ANEXA III

RESPONSABILITĂȚILE ECDC ÎN CALITATE DE PERSOANĂ ÎMPUTERNICITĂ DE OPERATORI PENTRU PLATFORMA DE SCHIMB DE DATE PLF

ECDC instituie și asigură o infrastructură de comunicații securizată și fiabilă care interconectează autoritățile competente pentru SAPR ale statelor membre care participă la platforma de schimb de date PLF.

Prelucrarea de către ECDC a platformei de schimb de date PLF implică următoarele:

(a)	definirea setului minim de cerințe tehnice pentru a permite o încărcare și o descărcare fără dificultăți și securizată a bazelor de date PLF naționale;

(b)	asigurarea interoperabilității bazelor de date PLF naționale într-o manieră securizată și automatizată.

Pentru a-și îndeplini obligațiile care îi revin în calitate de persoană împuternicită de operatori pentru platforma de schimb de date PLF, ECDC angajează Comisia în calitate de subcontractant și se asigură că și Comisiei i se aplică aceleași obligații în materie de protecție a datelor prevăzute în prezenta decizie.

ECDC poate autoriza Comisia să angajeze părți terțe în calitate de subcontractanți suplimentari.

În cazul în care Comisia angajează subcontractanți, ECDC:

(a)	se asigură că acestor subcontractanți li se aplică aceleași obligații în materie de protecție a datelor prevăzute în prezenta decizie;

(b)	informează operatorii cu privire la orice modificare preconizată privind adăugarea sau înlocuirea altor subcontractanți, oferind astfel operatorilor posibilitatea de a formula obiecții față de aceste modificări prin majoritate simplă.

ECDC:

(a)	instituie și asigură o infrastructură de comunicații securizată și fiabilă care interconectează autoritățile competente pentru SAPR ale statelor membre care participă la platforma de schimb de date PLF;

(b)

prelucrează datele PLF și datele epidemiologice suplimentare, numai pe baza unor instrucțiuni documentate din partea operatorilor, cu excepția cazului în care este obligată să facă acest lucru în temeiul dreptului Uniunii; în acest caz, ECDC notifică această obligație juridică operatorilor înainte de prelucrare, cu excepția cazului în care dreptul respectiv interzice o astfel de notificare din motive importante legate de interesul public;

(c)	instituie un plan de securitate, un plan de asigurare a continuității activității și un plan de redresare în caz de dezastru;

(d)	ia măsurile necesare pentru a menține integritatea datelor PLF și a datelor epidemiologice suplimentare prelucrate;

(e)

ia toate măsurile de securitate organizatorice, fizice și electronice de ultimă generație pentru a întreține platforma de schimb de date PLF; în acest scop, ECDC:

(i)	desemnează o entitate responsabilă pentru gestionarea securității la nivelul platformei de schimb de date PLF, comunică operatorilor informațiile sale de contact și asigură disponibilitatea sa de reacție la amenințări la adresa securității;

(ii)	își asumă responsabilitatea pentru securitatea platformei de schimb de date PLF;

(iii)

se asigură că toate persoanele cărora li se acordă acces la platforma de schimb de date PLF fac obiectul obligației contractuale, profesionale sau legale de confidențialitate;

(f)

ia toate măsurile de securitate necesare pentru a evita compromiterea bunei funcționări operaționale a platformei de schimb de date PLF; în acest scop, ECDC instituie proceduri specifice referitoare la funcționarea platformei de schimb de date PLF și la conexiunea de la serverele back-end la platforma de schimb de date PLF; acestea includ:

(i)	procedura de evaluare a riscurilor, pentru a identifica și a estima potențialele amenințări la adresa sistemului;

(ii)

o procedură de audit și de reexaminare, pentru:

1.	a verifica corespondența dintre măsurile de securitate puse în aplicare și politica de securitate aplicabilă;

2.	a controla periodic integritatea fișierelor sistemului, parametrii de securitate și autorizațiile acordate;

3.	a desfășura activități de detectare și monitorizare în vederea depistării încălcărilor securității și a intruziunilor;

4.	a pune în aplicare modificări cu scopul de a atenua deficiențele de securitate existente;

a permite, inclusiv la cererea operatorilor, efectuarea de audituri independente, inclusiv de inspecții, și de analize privind măsurile de securitate și a contribui la acestea, sub rezerva unor condiții care respectă Protocolul (nr. 7) la TFUE privind privilegiile și imunitățile Uniunii Europene (2);

(iii)

modificarea procedurii de control pentru a documenta și a măsura impactul unei modificări înainte de punerea în aplicare a acesteia și pentru a informa operatorii cu privire la orice modificare care poate afecta comunicarea cu infrastructurile lor și/sau securitatea acestora;

(iv)	stabilirea unei proceduri de întreținere și de reparare, pentru a specifica regulile și condițiile care trebuie respectate atunci când trebuie efectuate lucrări de întreținere și/sau de reparare a echipamentelor;

(v)

stabilirea unei proceduri privind incidentele de securitate, pentru a defini sistemul de raportare și de escaladare, pentru a informa fără întârziere operatorii pentru ca aceștia să informeze Autoritatea Europeană pentru Protecția Datelor, cu privire la orice încălcare legată de datele cu caracter personal și pentru a defini un proces disciplinar care să trateze cazurile de încălcare a securității;

(g)

ia măsuri de securitate fizică și/sau electronică de ultimă generație pentru instalațiile care găzduiesc echipamentele platformei de schimb de date PLF și pentru controalele accesului la date și controalele accesului de securitate; în acest scop, ECDC:

(i)	asigură securitatea fizică pentru a stabili perimetre de securitate distincte și pentru a permite depistarea încălcărilor;

(ii)	controlează accesul la instalații și menține un registru al vizitatorilor în scopuri de trasabilitate;

(iii)

se asigură că persoanele din exterior cărora li s-a acordat accesul în incinte sunt escortate de personal autorizat în mod corespunzător;

(iv)	se asigură că nu se pot adăuga, înlocui sau elimina echipamente fără autorizarea prealabilă a organismelor responsabile desemnate;

(v)	controlează accesul de la și către dintre sistemele PLF naționale și platforma de schimb de date PLF;

(vi)	se asigură că persoanele care accesează platforma de schimb de date PLF sunt identificate și autentificate;

(vii)

reexaminează drepturile de autorizare legate de accesul la platforma de schimb de date PLF în cazul unei încălcări a securității care afectează această infrastructură;

(viii)

pune în aplicare măsuri de securitate tehnice și organizatorice pentru a preveni accesul neautorizat la date PLF și la date epidemiologice;

(ix)	pune în aplicare, ori de câte ori este necesar, măsuri pentru blocarea accesului neautorizat la platforma de schimb de date PLF din domeniul autorităților naționale (și anume blocarea unei locații/adrese IP);

(h)	ia măsuri pentru protejarea domeniului său, inclusiv întreruperea conexiunilor, în caz de abateri semnificative de la principiile și conceptele privind calitatea sau securitatea;

(i)	menține un plan de gestionare a riscurilor aferent domeniului său de responsabilitate;

(j)	monitorizează – în timp real – performanța tuturor componentelor de servicii ale platformei de schimb de date PLF, elaborează statistici periodice și păstrează evidențe;

(k)	se asigură că serviciul este disponibil 24/7, cu întreruperile necesare în scopul mentenanței;

(l)

oferă sprijin în limba engleză pentru toate serviciile platformei de schimb de date PLF, prin telefon, e-mail sau portal web, și acceptă apeluri din partea apelanților autorizați: coordonatorii platformei de schimb de date PLF și serviciile lor de asistență respective, responsabilii de proiect și persoanele desemnate din cadrul ECDC;

(m)	oferă asistență operatorilor, prin măsuri tehnice și organizatorice adecvate, în măsura posibilului, pentru îndeplinirea obligației operatorului de a răspunde la cererile de exercitare a drepturilor persoanelor vizate prevăzute în capitolul III din Regulamentul (UE) 2016/679;

(n)	sprijină operatorii prin furnizarea de informații privind platforma de schimb de date PLF, în vederea respectării obligațiilor prevăzute la articolele 32, 35 și 36 din Regulamentul (UE) 2016/679;

(o)	se asigură că datele PLF și datele epidemiologice transmise prin intermediul platformei de schimb de date PLF sunt neinteligibile pentru orice persoană care nu este autorizată să le acceseze, în special prin aplicarea unei criptări puternice;

(p)	ia toate măsurile relevante pentru a preveni accesul neautorizat al operatorilor platformei de schimb de date PLF la datele PLF și la datele epidemiologice transmise;

(q)	ia măsuri pentru a facilita interoperabilitatea și comunicarea dintre operatorii desemnați ai platformei de schimb de date PLF;

(r)	ține evidența activităților de prelucrare efectuate în numele operatorilor în conformitate cu articolul 31 alineatul (2) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului.

”

(*) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (JO L 119, 4.5.2016, p. 1).