02019D1765 — SL — 17.07.2020 — 001.001
To besedilo je zgolj informativne narave in nima pravnega učinka. Institucije Unije za njegovo vsebino ne prevzemajo nobene odgovornosti. Verodostojne različice zadevnih aktov, vključno z uvodnimi izjavami, so objavljene v Uradnem listu Evropske unije. Na voljo so na portalu EUR-Lex. Uradna besedila so neposredno dostopna prek povezav v tem dokumentu
|
IZVEDBENI SKLEP KOMISIJE (EU) 2019/1765 z dne 22. oktobra 2019 o pravilih za vzpostavitev, upravljanje in delovanje mreže nacionalnih organov, pristojnih za e-zdravje, ter razveljavitvi Izvedbenega sklepa 2011/890/EU (notificirano pod dokumentarno številko C(2019) 7460) (UL L 270 24.10.2019, str. 83) |
spremenjen z:
|
|
|
Uradni list |
||
|
št. |
stran |
datum |
||
|
IZVEDBENI SKLEP KOMISIJE (EU) 2020/1023 Besedilo velja za EGP z dne 15. julija 2020 |
L 227I |
1 |
16.7.2020 |
|
IZVEDBENI SKLEP KOMISIJE (EU) 2019/1765
z dne 22. oktobra 2019
o pravilih za vzpostavitev, upravljanje in delovanje mreže nacionalnih organov, pristojnih za e-zdravje, ter razveljavitvi Izvedbenega sklepa 2011/890/EU
(notificirano pod dokumentarno številko C(2019) 7460)
(Besedilo velja za EGP)
Člen 1
Predmet urejanja
Ta sklep določa potrebna pravila za vzpostavitev, upravljanje in delovanje mreže e-zdravje, ki jo sestavljajo nacionalni organi, pristojni za e-zdravje, v skladu s členom 14 Direktive 2011/24/EU.
Člen 2
Opredelitev pojmov
1. V tem sklepu:
„mreža e-zdravje“ pomeni prostovoljno mrežo, ki povezuje nacionalne organe, pristojne za e-zdravje, ki jih imenujejo države članice, in je usmerjena v cilje iz člena 14 Direktive 2011/24/EU;
„nacionalne kontaktne točke za e-zdravje“ pomeni organizacijske in tehnične točke za zagotavljanje čezmejnih storitev informacij o e-zdravju, za katere so pristojne države članice;
„čezmejne storitve informacij o e-zdravju“ pomeni obstoječe storitve, ki se obdelujejo prek nacionalnih kontaktnih točk za e-zdravje in jedrne storitvene platforme, ki jo je Komisija razvila za potrebe čezmejnega zdravstvenega varstva;
„infrastruktura za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju“ pomeni infrastrukturo, ki omogoča zagotavljanje čezmejnih storitev informacij o e-zdravju prek nacionalnih kontaktnih točk za e-zdravje in evropske jedrne storitvene platforme. Ta infrastruktura vključuje splošne storitve, kot so opredeljene v členu 2(2)(e) Uredbe (EU) št. 283/2014, ki jih razvijajo države članice, in jedrno storitveno platformo, kot je opredeljena v členu 2(2)(d) navedene uredbe, ki jo razvija Komisija;
„druge skupne evropske storitve e-zdravja“ pomeni digitalne storitve, ki se lahko razvijejo v okviru mreže e-zdravje in delijo med državami članicami;
„model upravljanja“ pomeni sklop pravil v zvezi z imenovanjem organov, ki sodelujejo pri postopkih odločanja v zvezi z infrastrukturo za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju ali drugimi skupnimi evropskimi storitvami e-zdravja, razvitimi v okviru mreže e-zdravje, ter opis teh postopkov;
„uporabnik aplikacije“ pomeni osebo, ki ima pametno napravo, na katero je prenesla in na kateri uporablja odobreno mobilno aplikacijo za sledenje stikom in opozarjanje;
„sledenje stikom“ pomeni ukrepe, izvedene zaradi sledenja osebam, ki so bile izpostavljene viru resne čezmejne nevarnosti za zdravje v smislu člena 3(c) Sklepa št. 1082/2013/EU Evropskega parlamenta in Sveta ( 1 );
„nacionalna mobilna aplikacija za sledenje stikom in opozarjanje“ pomeni aplikacijo programske opreme, odobreno na nacionalni ravni, ki deluje na pametnih napravah, zlasti pametnih telefonih, in je običajno zasnovana za široko in ciljno interakcijo s spletnimi viri, ki obdelujejo podatke o bližini in druge kontekstualne informacije, zbrane s številnimi senzorji, ki jih imajo pametne naprave, za namene sledenja stikom z osebami, okuženimi s SARS-CoV-2, in opozarjanja oseb, ki so bile morebiti izpostavljene SARS-CoV-2. Te mobilne aplikacije lahko z uporabo tehnologije Bluetooth zaznajo prisotnost drugih naprav in prek interneta izmenjujejo informacije z zalednimi strežniki;
„združevalni prehod“ pomeni mrežni prehod, s katerim Komisija upravlja prek varnega orodja informacijske tehnologije, ki prejema, hrani in daje na voljo minimalni nabor osebnih podatkov med zalednimi strežniki držav članic za namene zagotavljanja interoperabilnosti nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje;
„ključ“ pomeni edinstven kratkotrajen identifikator uporabnika aplikacije, ki prijavi, da je bil okužen s SARS-CoV-2, ali ki je bil morebiti izpostavljen SARS-CoV-2;
„preverjanje okužbe“ pomeni metodo, ki se uporablja za potrditev okužbe s SARS-CoV-2, in sicer samoprijava uporabnika aplikacije ali potrditev s strani nacionalnega zdravstvenega organa ali z laboratorijskim testom;
„zadevne države“ pomeni državo članico ali države članice, v katerih je bil uporabnik aplikacije v štirinajstih dnevih pred nalaganjem ključev in kjer je prenesel odobreno nacionalno mobilno aplikacijo za sledenje stikom in opozarjanje in/ali koder je potoval;
„država izvora ključev“ pomeni državo članico, v kateri se nahaja zaledni strežnik, ki je ključ naložil na združevalni prehod;
„podatki iz evidence“ pomeni samodejni zapis dejavnosti v zvezi z izmenjavo in dostopom do podatkov, obdelanih prek združevalnega prehoda, ki zajema predvsem vrsto, datum in čas dejavnosti obdelave ter identifikator osebe, ki obdeluje podatke.
2. Opredelitve pojmov iz točk 1, 2, 7 in 8 člena 4 Uredbe (EU) 2016/679 se ustrezno uporabljajo.
Člen 3
Članstvo v mreži e-zdravje
1. Člani mreže e-zdravje so organi držav članic, ki so pristojni za e-zdravje in jih imenujejo države članice, ki sodelujejo v mreži e-zdravje.
2. Države članice, ki želijo sodelovati v mreži e-zdravje, Komisijo pisno obvestijo o:
odločitvi o sodelovanju v mreži e-zdravje;
nacionalnem organu, pristojnem za e-zdravje, ki bo postal član mreže e-zdravje, ter imenu predstavnika in njegovega namestnika.
3. Člani Komisijo pisno obvestijo o:
svoji odločitvi o izstopu iz mreže e-zdravje;
vsaki spremembi informacij iz točke (b) odstavka 2.
4. Komisija javno objavi seznam članov, ki sodelujejo v mreži e-zdravje.
Člen 4
Dejavnosti mreže e-zdravje
1. Mreža e-zdravje lahko pri prizadevanjih za uresničevanje ciljev iz člena 14(2)(a) Direktive 2011/24/EU zlasti:
omogoča večjo interoperabilnost nacionalnih sistemov informacijske in komunikacijske tehnologije ter čezmejno prenosljivost elektronskih zdravstvenih podatkov v čezmejnem zdravstvenem varstvu;
v sodelovanju z drugimi pristojnimi nadzornimi organi zagotavlja smernice državam članicam v zvezi z izmenjavo zdravstvenih podatkov med državami članicami in omogočanjem državljanom, da dostopajo do svojih zdravstvenih podatkov in jih delijo;
zagotavlja smernice državam članicam in lajša izmenjavo dobrih praks v zvezi z razvojem različnih digitalnih zdravstvenih storitev, kot sta telemedicina in m-zdravje, ali novih tehnologij na področju velepodatkov in umetne inteligence, pri čemer upošteva ukrepe, ki se izvajajo na ravni EU;
zagotavlja smernice državam članicam v zvezi s podpiranjem spodbujanja zdravja, preprečevanja bolezni in izboljšanega izvajanja zdravstvenega varstva z boljšo uporabo zdravstvenih podatkov ter izboljšanjem digitalnih spretnosti in znanj pacientov in zdravstvenih delavcev;
zagotavlja smernice državam članicam in lajša prostovoljno izmenjavo dobrih praks v zvezi z naložbami v digitalno infrastrukturo;
v sodelovanju z drugimi ustreznimi organi in zainteresiranimi stranmi zagotavlja smernice državam članicam v zvezi s potrebnimi primeri uporabe za klinično interoperabilnost in orodji za njeno zagotovitev;
zagotavlja smernice članom v zvezi z varnostjo infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju ali drugih skupnih evropskih storitev e-zdravja, razvitih v okviru mreže e-zdravje, ob upoštevanju zakonodaje in dokumentov, pripravljenih na ravni Unije, zlasti na področju varnosti, ter priporočil na področju kibernetske varnosti, pri čemer po potrebi tesno sodeluje s skupino za sodelovanje na področju varnosti omrežij in informacij, Agencijo Evropske unije za varnost omrežij in informacij ter nacionalnimi organi;
državam članicam zagotavlja smernice za čezmejno izmenjavo osebnih podatkov prek združevalnega prehoda med nacionalnimi mobilnimi aplikacijami za sledenje stikom in opozarjanje.
2. Mreža e-zdravje pri pripravi smernic za učinkovite metode, s katerimi se omogoči uporaba zdravstvenih informacij za javno zdravje in raziskave, iz člena 14(2)(b)(ii) Direktive 2011/24/EU upošteva smernice, ki jih je sprejel Evropski odbor za varstvo podatkov, ter se po potrebi posvetuje z navedenim odborom. V teh smernicah se lahko obravnavajo tudi informacije, ki se izmenjujejo prek infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju ali drugih skupnih evropskih storitev e-zdravja.
Člen 5
Delovanje mreže e-zdravje
1. Mreža e-zdravje določi svoj poslovnik z navadno večino svojih članov.
2. Mreža e-zdravje sprejme večletni delovni program in instrument za oceno njegovega izvajanja.
3. Da bi mreža e-zdravje izpolnila svoje naloge, lahko ustanovi stalne podskupine za posebne naloge, zlasti v zvezi z infrastrukturo za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju ali drugimi skupnimi evropskimi storitvami e-zdravja, razvitimi v okviru mreže e-zdravje.
4. Mreža e-zdravje lahko ustanovi tudi začasne podskupine, vključno s podskupinami s strokovnjaki, za preučitev posebnih vprašanj na podlagi pristojnosti, ki jih določi sama. Take podskupine se razpustijo takoj, ko izpolnijo svoj mandat.
5. Ko se člani mreže e-zdravje odločijo, da bodo nadalje razvili medsebojno sodelovanje na nekaterih področjih, zajetih z nalogami mreže e-zdravje, bi se morali dogovoriti o pravilih okrepljenega sodelovanja in se jim zavezati.
6. Pri izpolnjevanju svojih ciljev mreža e-zdravje tesno sodeluje v okviru skupnih ukrepov v podporo dejavnostim mreže e-zdravje, če taki skupni ukrepi obstajajo, in z zainteresiranimi stranmi ali drugimi zadevnimi organi ali podpornimi mehanizmi ter upošteva rezultate, dosežene pri navedenih dejavnostih.
7. Mreža e-zdravje skupaj s Komisijo določi modele upravljanja infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju ter sodeluje pri upravljanju, tako da:
dosega dogovore o prednostnih nalogah infrastrukture za digitalne storitve e-zdravja ter nadzoruje njihovo izvajanje;
pripravlja smernice in zahteve za delovanje, vključno z izbiro standardov, ki se uporabljajo za infrastrukturo za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju;
dosega dogovore o tem, ali se članom mreže e-zdravje dovoli začetek in nadaljevanje izmenjave elektronskih zdravstvenih podatkov v okviru infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju prek njihovih nacionalnih kontaktnih točk za e-zdravje, in sicer na podlagi njihove skladnosti z zahtevami, ki jih določi mreža e-zdravje, ocenjene s preskusi, ki jih zagotovi Komisija, in revizijami, ki jih opravi Komisija;
potrjuje letni delovni načrt za infrastrukturo za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju.
8. Mreža e-zdravje lahko skupaj s Komisijo oblikuje modele upravljanja drugih skupnih evropskih storitev e-zdravja, razvitih v okviru mreže e-zdravje, ter sodeluje pri njihovem upravljanju. Mreža lahko skupaj s Komisijo tudi določi prednostne naloge in pripravi smernice za delovanje takih skupnih evropskih storitev e-zdravja.
9. V poslovniku se lahko določi, da lahko države, ki niso države članice in uporabljajo Direktivo 2011/24/EU, sodelujejo na sestankih mreže e-zdravje kot opazovalci.
10. Člani mreže e-zdravje in njihovi predstavniki ter povabljeni strokovnjaki in opazovalci spoštujejo obveznosti varovanja poslovne skrivnosti, določene v členu 339 Pogodbe, ter varnostne predpise Komisije v zvezi z varovanjem tajnih podatkov EU iz Sklepa Komisije (EU, Euratom) 2015/444 ( 2 ). Če teh obveznosti ne spoštujejo, lahko predsednik mreže e-zdravje sprejme vse potrebne ukrepe, kot so določeni v poslovniku.
Člen 6
Odnos med mrežo e-zdravje in Komisijo
1. Komisija:
se udeležuje sestankov mreže e-zdravje in jim sopredseduje skupaj s predstavnikom članov;
sodeluje z mrežo e-zdravje v zvezi z njenimi dejavnostmi in jo pri njih podpira;
opravlja tajniške storitve za mrežo e-zdravje;
oblikuje, izvaja in vzdržuje ustrezne tehnične in organizacijske ukrepe v zvezi z jedrnimi storitvami infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju;
podpira mrežo e-zdravje pri doseganju dogovorov o tehnični in organizacijski skladnosti nacionalnih kontaktnih točk za e-zdravje z zahtevami za čezmejno izmenjavo zdravstvenih podatkov z zagotavljanjem in izvajanjem potrebnih preskusov in revizij. Revizorjem Komisije lahko pomagajo strokovnjaki iz držav članic;
razvija, izvaja in ohranja ustrezne tehnične in organizacijske ukrepe v zvezi z varnostjo prenosa in gostovanja osebnih podatkov na združevalnem prehodu za namene zagotavljanja interoperabilnosti nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje;
podpira mrežo e-zdravje pri doseganju dogovorov o tehnični in organizacijski skladnosti nacionalnih organov z zahtevami za čezmejno izmenjavo osebnih podatkov na združevalnem prehodu z zagotavljanjem in izvajanjem potrebnih preskusov in revizij. Revizorjem Komisije lahko pomagajo strokovnjaki iz držav članic.
2. Komisija se lahko udeleži sestankov podskupin mreže e-zdravje.
3. Komisija se lahko posvetuje z mrežo e-zdravje o zadevah, povezanih z e-zdravjem na ravni Unije in izmenjavo dobrih praks na področju e-zdravja.
4. Komisija javno objavi informacije o dejavnostih, ki jih izvaja mreža e-zdravje.
Člen 7
Varstvo osebnih podatkov, ki se obdelujejo prek infrastrukture za digitalne storitve e-zdravja
1. Države članice, ki jih zastopajo ustrezni nacionalni organi ali drugi imenovani organi, se štejejo za upravljavce osebnih podatkov, ki jih obdelujejo v okviru infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju, ter jasno in pregledno razdelijo pristojnosti med upravljavci.
2. Komisija se šteje za obdelovalca podatkov za osebne podatke pacientov, ki se obdelujejo v okviru infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju. V vlogi obdelovalca upravlja jedrne storitve infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju ter izpolnjuje obveznosti obdelovalca, določene ►M1 v Prilogi I ◄ k temu sklepu. Komisija nima dostopa do osebnih podatkov pacientov, ki se obdelujejo v okviru infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju.
3. Komisija se šteje za upravljavca obdelave osebnih podatkov, potrebnih za podelitev in upravljanje pravic dostopa do jedrnih storitev infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju. Taki podatki so kontaktni podatki uporabnikov, vključno z imenom, priimkom in e-naslovom ter njihovo institucijo.
Člen 7a
Čezmejna izmenjava podatkov med nacionalnimi mobilnimi aplikacijami za sledenje stikom in opozarjanje prek združevalnega prehoda
1. Pri izmenjavi osebnih podatkov prek združevalnega prehoda se obdelava omeji na namene olajšanja interoperabilnosti nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje na združevalnem prehodu ter neprekinjenega sledenja stikom v čezmejnem kontekstu.
2. Osebni podatki iz odstavka 3 se na združevalni prehod prenesejo v psevdonimizirani obliki.
3. Psevdonimizirani osebni podatki, ki se izmenjujejo in obdelujejo na združevalnem prehodu, zajemajo samo naslednje informacije:
ključe, ki jih prenesejo nacionalne mobilne aplikacije za sledenje stikom in opozarjanje v največ štirinajstih dnevih pred nalaganjem ključev;
podatke iz evidence, povezane s ključi, v skladu s protokolom tehničnih specifikacij, ki se uporabljajo v državi izvora ključev;
preverjanje okužbe;
zadevne države in država izvora ključev.
4. Imenovani nacionalni organi ali uradni organi, ki obdelujejo osebne podatke na združevalnem prehodu, so skupni upravljavci podatkov, ki se obdelujejo na združevalnem prehodu. Dolžnosti posameznih skupnih upravljavcev se določijo v skladu s Prilogo II. Vsaka država članica, ki želi sodelovati v čezmejni izmenjavi podatkov med nacionalnimi mobilnimi aplikacijami za sledenje stikom in opozarjanje, o svoji nameri pred pridružitvijo obvesti Komisijo in navede nacionalni organ ali uradni organ, imenovan za pristojnega upravljavca.
5. Komisija je obdelovalec osebnih podatkov, ki se obdelujejo na združevalnem prehodu. V vlogi obdelovalca zagotavlja varnost obdelave, vključno s prenosom in gostovanjem, osebnih podatkov na združevalnem prehodu in izpolnjuje obveznosti obdelovalca iz Priloge III.
6. Komisija in nacionalni organi, pooblaščeni za dostop do združevalnega prehoda, redno preskušajo, ocenjujejo in vrednotijo učinkovitost tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov na združevalnem prehodu.
7. Brez poseganja v odločitev skupnih upravljavcev, da prekinejo obdelavo na združevalnem prehodu, združevalni prehod preneha delovati najpozneje štirinajst dni po tem, ko vse povezane nacionalne mobilne aplikacije za sledenje stikom in opozarjanje prenehajo prenašati ključe prek združevalnega prehoda.
Člen 8
Stroški
1. Komisija sodelujočim v dejavnostih mreže e-zdravje ne plača za njihove storitve.
2. Komisija sodelujočim povrne potne stroške in stroške bivanja, ki nastanejo v zvezi z dejavnostmi mreže e-zdravje, v skladu z veljavnimi predpisi Komisije o povračilu stroškov za zunanje strokovnjake, ki jih Komisija povabi k sodelovanju. Navedeni stroški se povrnejo v mejah razpoložljivih odobrenih sredstev, dodeljenih v okviru letnega postopka dodelitve sredstev.
Člen 9
Razveljavitev
Izvedbeni sklep 2011/890/EU se razveljavi. Sklici na razveljavljeni sklep se razumejo kot sklici na ta sklep.
Člen 10
Naslovniki
Ta sklep je naslovljen na države članice.
PRILOGA I
Pristojnosti, ki jih ima komisija kot obdelovalec podatkov za infrastrukturo za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju
Komisija:
Vzpostavi in zagotovi varno in zanesljivo komunikacijsko infrastrukturo, ki povezuje omrežja članov mreže e-zdravje, vključenih v infrastrukturo za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju (v nadaljnjem besedilu: centralna varna komunikacijska infrastruktura). Za izpolnitev svojih obveznosti Komisija lahko sodeluje s tretjimi osebami. Komisija zagotovi, da se za te tretje osebe uporabljajo enake obveznosti glede varstva podatkov, kot so določene v tem sklepu.
Konfigurira del centralne varne komunikacijske infrastrukture, da si lahko nacionalne kontaktne točke za e-zdravje varno, zanesljivo in učinkovito izmenjujejo informacije.
Komisija osebne podatke obdeluje po dokumentiranih navodilih upravljavcev.
Sprejme vse organizacijske, fizične in logične varnostne ukrepe za vzdrževanje centralne varne komunikacijske infrastrukture. V ta namen Komisija:
imenuje subjekt, pristojen za upravljanje varnosti na ravni centralne varne komunikacijske infrastrukture, sporoči njegove kontaktne podatke upravljavcem podatkov in zagotovi njegovo razpoložljivost za odzivanje na varnostne grožnje;
odgovarja za varnost centralne varne komunikacijske infrastrukture;
zagotovi, da za vse posameznike, ki se jim odobri dostop do centralne varne komunikacijske infrastrukture, velja pogodbena, poklicna ali zakonska obveznosti zaupnosti;
zagotovi, da osebje, ki ima dostop do tajnih podatkov, izpolnjuje ustrezna merila glede preverjanj in zaupnosti.
Sprejme vse potrebne varnostne ukrepe, da prepreči ogrožanje nemotenega operativnega delovanja domene drugih. V ta namen Komisija vzpostavi specifične postopke v zvezi s povezovanjem s centralno varno komunikacijsko infrastrukturo. Te informacije vključujejo:
postopek za oceno tveganja za opredelitev in oceno morebitnih groženj sistemu;
postopek revizije in pregleda za:
preverjanje, ali izvedeni varnosti ukrepi ustrezajo veljavni varnostni politiki;
redno preverjanje celovitosti sistemskih datotek, varnostnih parametrov in izdanih dovoljenj;
spremljanje za odkrivanje kršitev varnosti in vdorov;
uvedbo sprememb za preprečitev obstoječih varnostnih pomanjkljivosti ter
opredelitev pogojev, pod katerimi se, tudi na zahtevo upravljavcev, dovoli izvedba neodvisnih revizij, vključno z inšpekcijskimi pregledi, in pregledov varnostnih ukrepov ter prispeva k njej;
postopek nadziranja sprememb za dokumentiranje in merjenje vpliva spremembe pred njeno izvedbo ter obveščanje nacionalnih kontaktnih točk za e-zdravje o vseh spremembah, ki lahko vplivajo na komunikacijo z drugimi nacionalnimi infrastrukturami in/ali njihovo varnost;
postopek vzdrževanja in popravil za opredelitev pravil in pogojev, ki jih je treba upoštevati, ko je potrebno vzdrževanje in/ali popravilo opreme;
postopek pri varnostnih incidentih za opredelitev sistema poročanja in stopnjevanja, takojšnje obveščanje pristojne nacionalne uprave in Evropskega nadzornika za varstvo podatkov o vseh kršitvah varnosti ter opredelitev disciplinskega postopka za obravnavo kršitev varnosti.
Sprejme fizične in/ali logične varnostne ukrepe za objekte z opremo centralne varne komunikacijske strukture ter kontrole dostopa do logičnih podatkov in varnosti. V ta namen Komisija:
izvaja fizično varovanje za vzpostavitev posebnih varnostnih območij in omogočanje odkrivanja kršitev;
nadzoruje dostop do objektov in vodi register obiskovalcev za namene sledenja;
zagotovi, da zunanje osebe, ki jim je odobren dostop do prostorov, spremlja ustrezno pooblaščeno osebje zadevne organizacije;
zagotovi, da opreme ni mogoče dodati, zamenjati ali odstraniti brez predhodnega dovoljenja imenovanih pristojnih organov;
nadzoruje dostop iz drugih omrežij, povezanih s centralno varno komunikacijsko infrastrukturo, in do njih;
zagotovi, da se posamezniki, ki dostopajo do centralne varne komunikacijske infrastrukture, identificirajo in avtenticirajo;
pregleda pravice za izdajo dovoljenj v zvezi z dostopom do centralne varne komunikacijske infrastrukture v primeru kršitve varnosti, ki vpliva na to infrastrukturo;
ohranja celovitost informacij, prenesenih prek centralne varne komunikacijske infrastrukture;
izvaja tehnične in organizacijske varnostne ukrepe za preprečitev nepooblaščenega dostopa do osebnih podatkov;
po potrebi izvaja ukrepe za blokiranje nepooblaščenega dostopa do centralne varne komunikacijske infrastrukture z domene nacionalnih kontaktnih točk za e-zdravje (tj. blokiranje lokacije/naslova IP).
Sprejme ukrepe za zaščito svoje domene, vključno s prekinitvijo povezav, v primeru pomembnega odstopanja od načel in konceptov kakovosti ali varnosti.
Pripravi načrt za obvladovanje tveganj v zvezi s svojim področjem pristojnosti.
Spremlja delovanje vseh storitvenih komponent svoje centralne varne komunikacijske infrastrukture v realnem času, redno pripravlja statistične podatke in vodi evidence.
Zagotavlja podporo za vse storitve centralne varne komunikacijske infrastrukture v angleščini 24 ur na dan, sedem dni v tednu po telefonu, e-pošti ali prek spletnega portala ter sprejema klice pooblaščenih klicateljev: koordinatorjev centralne varne komunikacijske infrastrukture in njihovih zadevnih služb za pomoč uporabnikom, projektnih referentov in imenovanih oseb Komisije.
Podpira upravljavce z zagotavljanjem informacij v zvezi s centralno varno komunikacijsko infrastrukturo infrastrukture za digitalne storitve e-zdravja za čezmejne storitve informacij o e-zdravju, da se izvedejo obveznosti iz členov 35 in 36 Uredbe (EU) 2016/679.
Zagotovi, da so podatki, ki se prenašajo v okviru centralne varne komunikacijske infrastrukture, šifrirani.
Sprejme vse ustrezne ukrepe za preprečitev nepooblaščenega dostopa operaterjev centralne varne komunikacijske infrastrukture do podatkov, ki se prenašajo.
Sprejme ukrepe za olajšanje interoperabilnosti in komunikacije med imenovanimi nacionalnimi pristojnimi upravami centralne varne komunikacijske infrastrukture.
PRILOGA II
ODGOVORNOSTI SODELUJOČIH DRŽAV ČLANIC KOT SKUPNIH UPRAVLJAVCEV ZDRUŽEVALNEGA PREHODA ZA ČEZMEJNO OBDELAVO MED NACIONALNIMI MOBILNIMI APLIKACIJAMI ZA SLEDENJE STIKOM IN OPOZARJANJE
ODDELEK 1
Pododdelek 1
Delitev odgovornosti
(1) Skupni upravljavci obdelujejo osebne podatke prek združevalnega prehoda v skladu s tehničnimi specifikacijami, ki jih določi mreža e-zdravje ( 3 ).
(2) Vsak upravljavec je odgovoren za obdelavo osebnih podatkov na združevalnem prehodu v skladu s Splošno uredbo o varstvu podatkov in Direktivo 2002/58/ES.
(3) Vsak upravljavec vzpostavi kontaktno točko z namenskim poštnim predalom, ki služi za komunikacijo med skupnimi upravljavci ter med skupnimi upravljavci in obdelovalcem.
(4) Začasna podskupina, ki jo mreža e-zdravje ustanovi v skladu s členom 5(4), je zadolžena za preučitev vseh vprašanj v zvezi z interoperabilnostjo nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje ter skupnim upravljanjem povezane obdelave osebnih podatkov ter za lažje dajanje usklajenih navodil Komisiji kot obdelovalcu. Poleg drugih vprašanj si lahko upravljavci v okviru začasne podskupine prizadevajo za skupni pristop glede hrambe podatkov na svojih nacionalnih zalednih strežnikih, upoštevajoč obdobje hrambe, določeno na združevalnem prehodu.
(5) Navodila obdelovalcu pošlje katera koli od kontaktnih točk skupnih upravljavcev v zgoraj navedeni podskupini v dogovoru z drugimi skupnimi upravljavci.
(6) Do osebnih podatkov uporabnikov, ki se izmenjujejo na združevalnem prehodu, imajo dostop le osebe, ki so jih za to pooblastili imenovani nacionalni organi ali uradni organi.
(7) Vsak imenovani nacionalni organ ali uradni organ preneha biti skupni upravljavec od datuma umika svojega sodelovanja pri združevalnem prehodu. Vendar je še naprej odgovoren za obdelavo na združevalnem prehodu, ki je bila izvedena pred njegovim umikom.
Pododdelek 2
Odgovornosti in vloge pri obravnavanju zahtevkov in obveščanju posameznikov, na katere se nanašajo osebni podatki
(1) Vsak upravljavec v skladu s členoma 13 in 14 Splošne uredbe o varstvu podatkov zagotovi uporabnikom svoje nacionalne mobilne aplikacije za sledenje stikom in opozarjanje (v nadaljnjem besedilu: posamezniki, na katere se nanašajo osebni podatki) informacije o obdelavi njihovih osebnih podatkov na združevalnem prehodu za namene čezmejne interoperabilnosti nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje.
(2) Vsak upravljavec deluje kot kontaktna točka za uporabnike svoje nacionalne mobilne aplikacije za sledenje stikom in opozarjanje ter obravnava zahtevke v zvezi z uveljavljanjem pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s Splošno uredbo o varstvu podatkov, ki jih vložijo navedeni uporabniki ali njihovi predstavniki. Vsak upravljavec imenuje posebno kontaktno točko, namenjeno zahtevkom, ki jih prejmejo od posameznikov, na katere se nanašajo osebni podatki. Če skupni upravljavec prejme zahtevek posameznika, na katerega se nanašajo osebni podatki in za katerega ni pristojen, ta zahtevek nemudoma posreduje pristojnemu skupnemu upravljavcu. Skupni upravljavci si na prošnjo medsebojno pomagajo pri obravnavanju zahtevkov posameznikov, na katere se nanašajo osebni podatki, ter si odgovorijo brez nepotrebnega odlašanja in najpozneje v petnajstih dneh od prejema prošnje za pomoč.
(3) Vsak upravljavec da posamezniku, na katerega se nanašajo osebni podatki, na voljo vsebino te priloge, vključno z ureditvijo iz točk 1 in 2.
ODDELEK 2
Obvladovanje varnostnih incidentov, vključno s kršitvami varstva osebnih podatkov
(1) Skupni upravljavci si medsebojno pomagajo pri odkrivanju in obravnavi morebitnih varnostnih incidentov, vključno s kršitvami varstva osebnih podatkov, povezanih z obdelavo na združevalnem prehodu.
(2) Skupni upravljavci se zlasti medsebojno obvestijo o:
kakršnih koli morebitnih ali dejanskih tveganjih glede razpoložljivosti, zaupnosti in/ali celovitosti osebnih podatkov, ki se obdelujejo na združevalnem prehodu;
kakršnih koli varnostnih incidentih, povezanih z dejanji obdelave na združevalnem prehodu;
kakršnih koli kršitvah varstva osebnih podatkov, verjetnih posledicah kršitve varstva osebnih podatkov in oceni tveganja za pravice in svoboščine fizičnih oseb ter kakršnih koli ukrepih, sprejetih za odpravo kršitve varstva osebnih podatkov in zmanjšanje tveganja za pravice in svoboščine fizičnih oseb;
kakršnih koli kršitvah tehničnih in/ali organizacijskih zaščitnih ukrepov pri dejanjih obdelave na združevalnem prehodu.
(3) Skupni upravljavci Komisiji, pristojnim nadzornim organom in, kadar se to zahteva, posameznikom, na katere se nanašajo osebni podatki, sporočijo vse kršitve varstva osebnih podatkov v zvezi z dejanji obdelave podatkov na združevalnem prehodu v skladu s členoma 33 in 34 Uredbe (EU) 2016/679 ali na podlagi obvestila Komisije.
ODDELEK 3
Ocena učinka v zvezi z varstvom podatkov
Če upravljavec za izpolnjevanje svojih obveznosti iz členov 35 in 36 Splošne uredbe o varstvu podatkov potrebuje informacije od drugega upravljavca, pošlje specifično zahtevo v namenski poštni predal iz pododdelka 1(3) oddelka 1. Slednji si po najboljših močeh prizadeva zagotoviti takšne informacije.
PRILOGA III
ODGOVORNOSTI KOMISIJE KOT OBDELOVALCA PODATKOV NA ZDRUŽEVALNEM PREHODU ZA ČEZMEJNO OBDELAVO MED NACIONALNIMI MOBILNIMI APLIKACIJAMI ZA SLEDENJE STIKOM IN OPOZARJANJE
Komisija:
Vzpostavi in zagotovi varno in zanesljivo komunikacijsko infrastrukturo, ki povezuje nacionalne mobilne aplikacije držav članic, ki sodelujejo v združevalnem prehodu, za sledenje stikom in opozarjanje. Komisija lahko za izpolnitev svojih obveznosti, ki jih ima kot obdelovalec podatkov na združevalnem prehodu, kot podobdelovalce vključi tretje osebe; Komisija obvesti skupne upravljavce o vseh nameravanih spremembah glede dodajanja ali zamenjave drugih podobdelovalcev, s čimer upravljavcem omogoči, da skupaj ugovarjajo takšnim spremembam, kot je določeno v pododdelku 1(4) oddelka 1 Priloge II. Komisija zagotovi, da se za te podobdelovalce uporabljajo enake obveznosti glede varstva podatkov, kot so določene v tem sklepu.
Obdeluje osebne podatke le na podlagi dokumentiranih navodil upravljavcev, razen če to od nje zahteva pravo Unije ali držav članic; v slednjem primeru Komisija o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavce, razen če zadevno pravo prepoveduje predložitev takšnih informacij na podlagi pomembnih razlogov v javnem interesu.
Obdelava s strani Komisije vključuje:
avtentikacijo nacionalnih zalednih strežnikov na podlagi nacionalnih zalednostrežniških certifikatov;
prejem podatkov iz odstavka 3 člena 7a tega izvedbenega sklepa, ki jih naložijo nacionalni zaledni strežniki, z zagotavljanjem vmesnika za aplikacijsko programiranje, ki nacionalnim zalednim strežnikom omogoča nalaganje ustreznih podatkov;
hrambo podatkov na združevalnem prehodu po njihovem prejemu z nacionalnih zalednih strežnikov;
dajanje zadevnih podatkov na voljo za prenos na nacionalne zaledne strežnike;
izbris podatkov, ko jih prenesejo vsi sodelujoči zaledni strežniki ali 14 dni po njihovem prejemu, kar je prej;
izbris vseh preostalih podatkov po koncu zagotavljanja storitve, razen če pravo Unije ali držav članic zahteva hrambo osebnih podatkov.
Obdelovalec sprejme potrebne ukrepe za ohranitev celovitosti obdelanih podatkov.
Sprejme vse najsodobnejše organizacijske, fizične in logične varnostne ukrepe za vzdrževanje združevalnega prehoda. V ta namen Komisija:
imenuje subjekt, odgovoren za upravljanje varnosti na ravni združevalnega prehoda, sporoči njegove kontaktne podatke upravljavcem in zagotovi njegovo razpoložljivost za odzivanje na varnostne grožnje;
odgovarja za varnost združevalnega prehoda;
zagotovi, da za vse posameznike, ki se jim odobri dostop do združevalnega prehoda, velja pogodbena, poklicna ali zakonska obveznost zaupnosti.
Sprejme vse potrebne varnostne ukrepe, da prepreči ogrožanje nemotenega operativnega delovanja nacionalnih zalednih strežnikov. V ta namen Komisija vzpostavi specifične postopke v zvezi s povezovanjem zalednih strežnikov na združevalni prehod. To vključuje:
postopek za oceno tveganja za opredelitev in oceno morebitnih groženj sistemu;
postopek revizije in pregleda za:
preverjanje, ali izvedeni varnosti ukrepi ustrezajo veljavni varnostni politiki;
redno preverjanje celovitosti sistemskih datotek, varnostnih parametrov in pravic za dostop;
spremljanje za odkrivanje varnostnih kršitev in vdorov;
uvedbo sprememb za zmanjšanje obstoječih varnostnih pomanjkljivosti ter
omogočanje, tudi na zahtevo upravljavcev, izvedbe neodvisnih revizij, vključno z inšpekcijskimi pregledi, in pregledov varnostnih ukrepov ter prispevanje k njej, pod pogoji, ki upoštevajo Protokol (št. 7) k PDEU o privilegijih in imunitetah Evropske unije ( 4 );
spremembo postopka nadzora za dokumentiranje in merjenje vpliva spremembe pred njeno izvedbo ter obveščanje upravljavcev o vseh spremembah, ki lahko vplivajo na komunikacijo z njihovimi infrastrukturami in/ali njihovo varnost;
določitev postopka vzdrževanja in popravil za opredelitev pravil in pogojev, ki jih je treba upoštevati, ko je potrebno vzdrževanje in/ali popravilo opreme;
določitev postopka pri varnostnih incidentih za opredelitev sistema poročanja in obveščanja, takojšnje obveščanje upravljavcev in Evropskega nadzornika za varstvo podatkov o vseh kršitvah varstva osebnih podatkov ter opredelitev disciplinskega postopka za obravnavo varnostnih kršitev.
Sprejme najsodobnejše fizične in/ali logične varnostne ukrepe za objekte z opremo združevalnega prehoda ter kontrole dostopa do logičnih podatkov in varnosti. V ta namen Komisija:
izvaja fizično varovanje za vzpostavitev ločenih varnostnih območij in omogočanje odkrivanja kršitev;
nadzoruje dostop do objektov in vodi register obiskovalcev za namene sledenja;
zagotovi, da zunanje osebe, ki jim je odobren dostop do prostorov, spremlja ustrezno pooblaščeno osebje;
zagotovi, da opreme ni mogoče dodati, zamenjati ali odstraniti brez predhodnega dovoljenja imenovanih pristojnih organov;
nadzira dostop nacionalnih zalednih strežnikov na združevalni prehod ter do njih;
zagotovi, da se posamezniki, ki dostopajo do združevalnega prehoda, identificirajo in avtenticirajo;
pregleda pravice za dostop do združevalnega prehoda v primeru varnostne kršitve, ki vpliva na to infrastrukturo;
ohranja celovitost informacij, prenesenih prek združevalnega prehoda;
izvaja tehnične in organizacijske varnostne ukrepe za preprečitev nepooblaščenega dostopa do osebnih podatkov;
po potrebi izvaja ukrepe za preprečitev nepooblaščenega dostopa na združevalni prehod z domen nacionalnih organov (tj. blokiranje lokacije/naslova IP).
Sprejme ukrepe za zaščito svoje domene, vključno s prekinitvijo povezav, v primeru pomembnega odstopanja od načel in konceptov kakovosti ali varnosti.
Pripravi načrt za obvladovanje tveganj v zvezi s svojim področjem pristojnosti.
Spremlja delovanje vseh storitvenih komponent svojih storitev združevalnega prehoda v realnem času, redno pripravlja statistične podatke in vodi evidence.
Zagotavlja podporo za vse storitve združevalnega prehoda v angleščini 24 ur na dan, sedem dni v tednu po telefonu, e-pošti ali prek spletnega portala ter sprejema klice pooblaščenih klicateljev: koordinatorjev združevalnega prehoda in njihovih zadevnih služb za pomoč uporabnikom, projektnih referentov in imenovanih oseb Komisije.
Pomaga upravljavcem z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, za izpolnitev obveznosti upravljavca, da odgovori na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III Splošne uredbe o varstvu podatkov.
Podpira upravljavce z zagotavljanjem informacij o združevalnem prehodu za izpolnitev obveznosti iz členov 32, 35 in 36 Splošne uredbe o varstvu podatkov.
Zagotovi, da so podatki, ki se obdelujejo na združevalnem prehodu, nerazumljivi vsem, ki nimajo dovoljenja za dostop do njih.
Sprejme vse ustrezne ukrepe za preprečitev nepooblaščenega dostopa operaterjev združevalnega prehoda do prenesenih podatkov.
Sprejme ukrepe za olajšanje interoperabilnosti in komunikacije med imenovanimi upravljavci združevalnega prehoda.
Vodi evidenco dejavnosti obdelave, ki se izvajajo v imenu upravljavcev v skladu s členom 31(2) Uredbe (EU) 2018/1725.
( 1 ) Sklep št. 1082/2013/EU Evropskega parlamenta in Sveta z dne 22. oktobra 2013 o resnih čezmejnih nevarnostih za zdravje in o razveljavitvi Odločbe št. 2119/98/ES (UL L 293, 5.11.2013, str. 1).
( 2 ) Sklep Komisije (EU, Euratom) 2015/444 z dne 13. marca 2015 o varnostnih predpisih za varovanje tajnih podatkov EU (UL L 72, 17.3.2015, str. 53).
( 3 ) Zlasti s specifikacijami za interoperabilnost čezmejnih verig prenosa med odobrenimi aplikacijami z dne 16. junija 2020, ki so na voljo na naslednjem naslovu: https://ec.europa.eu/health/ehealth/key_documents_sl#anchor0.
( 4 ) Protokol (št. 7) o privilegijih in imunitetah Evropske unije (UL C 326, 26.10.2012, str. 266).