IZVEDBENI SKLEP KOMISIJE (EU) 2020/1023

z dne 15. julija 2020

o spremembi Izvedbenega sklepa (EU) 2019/1765 glede čezmejne izmenjave podatkov med nacionalnimi aplikacijami za sledenje stikom in opozarjanje v zvezi z bojem proti pandemiji COVID-19

(Besedilo velja za EGP)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Direktive 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (1) ter zlasti člena 14(3) Direktive,

ob upoštevanju naslednjega:

(1)	V skladu s členom 14 Direktive 2011/24/EU Unija podpira in olajšuje sodelovanje in izmenjavo informacij med državami članicami v okviru prostovoljne mreže, ki povezuje nacionalne organe, pristojne za e-zdravje, ki jih imenujejo države članice (v nadaljnjem besedilu: mreža e-zdravje).

(2)

Izvedbeni sklep Komisije (EU) 2019/1765 (2) določa pravila za vzpostavitev, upravljanje in delovanje mreže nacionalnih organov, pristojnih za e-zdravje. V členu 4 navedenega sklepa se mreži e-zdravje zaupa naloga omogočanja večje interoperabilnosti nacionalnih sistemov informacijske in komunikacijske tehnologije ter čezmejne prenosljivosti elektronskih zdravstvenih podatkov v čezmejnem zdravstvenem varstvu.

(3)

Glede na javnozdravstveno krizo, ki jo je povzročila pandemija COVID-19, je več držav članic razvilo mobilne aplikacije, ki podpirajo sledenje stikom in uporabnikom omogočajo, da so opozorjeni na ustrezne ukrepe, kot je testiranje ali samoizolacija, če so bili morda izpostavljeni virusu, ker so se znašli v bližini drugega uporabnika takih aplikacij, ki je poročal o pozitivni diagnozi. Te aplikacije bližino med napravami zaznavajo s tehnologijo Bluetooth. Ker se od junija 2020 odpravljajo omejitve potovanj med državami članicami, bi bilo treba doseči večjo interoperabilnost med nacionalnimi sistemi informacijske in komunikacijske tehnologije držav članic, ki sodelujejo v mreži e-zdravje, in sicer z uvedbo digitalne infrastrukture, ki bi omogočala interoperabilnost med nacionalnimi mobilni aplikacijami za sledenje stikom in opozarjanje.

(4)

Komisija podpira države članice v zvezi z navedenimi mobilnimi aplikacijami. Komisija je 8. aprila 2020 sprejela priporočilo o skupnem naboru orodij Unije za uporabo tehnologije in podatkov za boj proti krizi zaradi COVID-19 in izhod iz nje, zlasti v zvezi z mobilnimi aplikacijami in uporabo anonimiziranih podatkov o mobilnosti (v nadaljnjem besedilu: priporočilo Komisije) (3). Države članice, ki sodelujejo v mreži e-zdravje, so s podporo Komisije sprejele skupen nabor orodij EU za države članice v zvezi z mobilnimi aplikacijami za sledenje stikom (4), pa tudi smernice za interoperabilnost odobrenih mobilnih aplikacij za sledenje stikom v EU (5). V naboru orodij so pojasnjene nacionalne zahteve za nacionalne mobilne aplikacije za sledenje stikom in opozarjanje, zlasti da bi morale biti prostovoljne, da bi jih moral odobriti ustrezni nacionalni zdravstveni organ, da bi morale varovati zasebnost in da bi morale biti ukinjene takoj, ko niso več potrebne. Glede na nedavni potek krize zaradi COVID-19 sta Komisija (6) in Evropski odbor za varstvo podatkov (7) vsak posebej objavila smernice o mobilnih aplikacijah in orodjih za sledenje stikom, kar zadeva varstvo podatkov. Zasnova mobilnih aplikacij držav članic in digitalne infrastrukture, ki omogoča njihovo interoperabilnost, temelji na skupnem naboru orodij EU, navedenih smernicah in tehničnih specifikacijah, dogovorjenih v okviru mreže e-zdravje.

(5)

Da bi olajšale interoperabilnost nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje, so države članice, ki sodelujejo v mreži e-zdravje in so se odločile prostovoljno okrepiti medsebojno sodelovanje na tem področju, s podporo Komisije razvile digitalno infrastrukturo v obliki orodja informacijske tehnologije za izmenjavo podatkov. Ta digitalna infrastruktura se imenuje „združevalni prehod“.

(6)	Ta sklep vsebuje določbe o vlogi sodelujočih držav članic in Komisije pri delovanju združevalnega prehoda za čezmejno interoperabilnost nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje.

(7)

Obdelava osebnih podatkov uporabnikov mobilnih aplikacij za sledenje stikom in opozarjanje, za katero so odgovorne države članice ali druge javne organizacije ali organi v državah članicah, bi se morala izvajati v skladu z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta (8) (v nadaljnjem besedilu: Splošna uredba o varstvu podatkov) ter Direktivo 2002/58/ES Evropskega parlamenta in Sveta (9). Obdelava osebnih podatkov za namene upravljanja in zagotavljanja varnosti združevalnega prehoda, za katero je odgovorna Komisija, bi morala biti skladna z Uredbo (EU) 2018/1725 Evropskega parlamenta in Sveta (10).

(8)

Združevalni prehod bi morala sestavljati varna infrastruktura informacijske tehnologije, ki zagotavlja skupni vmesnik, kjer bi lahko imenovani nacionalni organi ali uradni organi izmenjevali minimalni nabor podatkov glede stikov z osebami, okuženimi s SARS-CoV-2, da bi bili drugi obveščeni o svoji morebitni izpostavljenosti navedeni okužbi in da bi se spodbujalo učinkovito sodelovanje na področju zdravstvenega varstva med državami članicami z olajšanjem izmenjave ustreznih informacij.

(9)	Ta sklep bi moral zato določati načine čezmejne izmenjave podatkov med imenovanimi nacionalnimi organi ali uradnimi organi prek združevalnega prehoda v EU.

(10)

Sodelujoče države članice, ki jih zastopajo imenovani nacionalni organi ali uradni organi, skupaj določijo namen in načine obdelave osebnih podatkov prek združevalnega prehoda ter so posledično skupni upravljavci. V členu 26 Splošne uredbe o varstvu podatkov je določena obveznost skupnih upravljavcev dejanj obdelave osebnih podatkov, da na pregleden način določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu z navedeno uredbo. Poleg tega je določena tudi možnost, da se navedene dolžnosti določijo s pravom Unije ali pravom države članice, ki velja za upravljavce. Vsak posamezni upravljavec bi moral zagotoviti, da ima na nacionalni ravni pravno podlago za obdelavo na združevalnem prehodu.

(11)

Komisija kot ponudnik tehničnih in organizacijskih rešitev združevalnega prehoda obdeluje psevdonimizirane osebne podatke v imenu sodelujočih držav članic na združevalnem prehodu kot skupnih upravljavcev in je zato obdelovalec. V skladu s členom 28 Splošne uredbe o varstvu podatkov in členom 29 Uredbe (EU) 2018/1725 obdelavo s strani obdelovalca ureja pogodba ali pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem je določena obdelava. V tem sklepu so določena pravila o obdelavi, ki jo izvaja Komisija kot obdelovalec.

(12)	Pri obdelavi osebnih podatkov v okviru združevalnega prehoda Komisijo zavezuje Sklep Komisije (EU, Euratom) 2017/46 (11).

(13)

Za namene obdelave osebnih podatkov v nacionalnih aplikacijah za sledenje stikom in opozarjanje s strani upravljavcev ni vedno potrebna identifikacija posameznika, na katerega se nanašajo osebni podatki, zato upravljavci morda ne bodo mogli vedno zagotoviti uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki. Pravice iz členov 15 do 20 Splošne uredbe o varstvu podatkov se zato morebiti ne uporabljajo, kadar so izpolnjeni pogoji na podlagi člena 11 navedene uredbe.

(14)	Obstoječo prilogo k Izvedbenemu sklepu (EU) 2019/1765 je treba preštevilčiti zaradi dodanih dveh novih prilog.

(15)	Izvedbeni sklep (EU) 2019/1765 bi bilo zato treba ustrezno spremeniti.

(16)	Glede na nujnost razmer, ki so nastale zaradi pandemije COVID-19, bi se moral ta sklep začeti uporabljati dan po objavi v Uradnem listu Evropske unije.

(17)	V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 9. julija 2020.

(18)	Ukrepi iz tega sklepa so v skladu z mnenjem Odbora, ustanovljenega s členom 16 Direktive 2011/24/EU –

SPREJELA NASLEDNJI SKLEP:

Člen 1

Izvedbeni sklep (EU) 2019/1765 se spremeni:

(1)

v členu 2(1) se vstavijo naslednje točke (g), (h), (i), (j), (k), (l), (m), (n) in (o):

„(g)	„uporabnik aplikacije“ pomeni osebo, ki ima pametno napravo, na katero je prenesla in na kateri uporablja odobreno mobilno aplikacijo za sledenje stikom in opozarjanje;

(h)	„sledenje stikom“ pomeni ukrepe, izvedene zaradi sledenja osebam, ki so bile izpostavljene viru resne čezmejne nevarnosti za zdravje v smislu člena 3(c) Sklepa št. 1082/2013/EU Evropskega parlamenta in Sveta (*1);

(i)

„nacionalna mobilna aplikacija za sledenje stikom in opozarjanje“ pomeni aplikacijo programske opreme, odobreno na nacionalni ravni, ki deluje na pametnih napravah, zlasti pametnih telefonih, in je običajno zasnovana za široko in ciljno interakcijo s spletnimi viri, ki obdelujejo podatke o bližini in druge kontekstualne informacije, zbrane s številnimi senzorji, ki jih imajo pametne naprave, za namene sledenja stikom z osebami, okuženimi s SARS-CoV-2, in opozarjanja oseb, ki so bile morebiti izpostavljene SARS-CoV-2. Te mobilne aplikacije lahko z uporabo tehnologije Bluetooth zaznajo prisotnost drugih naprav in prek interneta izmenjujejo informacije z zalednimi strežniki;

(j)

„združevalni prehod“ pomeni mrežni prehod, s katerim Komisija upravlja prek varnega orodja informacijske tehnologije, ki prejema, hrani in daje na voljo minimalni nabor osebnih podatkov med zalednimi strežniki držav članic za namene zagotavljanja interoperabilnosti nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje;

(k)	„ključ“ pomeni edinstven kratkotrajen identifikator uporabnika aplikacije, ki prijavi, da je bil okužen s SARS-CoV-2, ali ki je bil morebiti izpostavljen SARS-CoV-2;

(l)	„preverjanje okužbe“ pomeni metodo, ki se uporablja za potrditev okužbe s SARS-CoV-2, in sicer samoprijava uporabnika aplikacije ali potrditev s strani nacionalnega zdravstvenega organa ali z laboratorijskim testom;

(m)	„zadevne države“ pomeni državo članico ali države članice, v katerih je bil uporabnik aplikacije v štirinajstih dnevih pred nalaganjem ključev in kjer je prenesel odobreno nacionalno mobilno aplikacijo za sledenje stikom in opozarjanje in/ali koder je potoval;

(n)	„država izvora ključev“ pomeni državo članico, v kateri se nahaja zaledni strežnik, ki je ključ naložil na združevalni prehod;

(o)	„podatki iz evidence“ pomeni samodejni zapis dejavnosti v zvezi z izmenjavo in dostopom do podatkov, obdelanih prek združevalnega prehoda, ki zajema predvsem vrsto, datum in čas dejavnosti obdelave ter identifikator osebe, ki obdeluje podatke.

(*1) Sklep št. 1082/2013/EU Evropskega parlamenta in Sveta z dne 22. oktobra 2013 o resnih čezmejnih nevarnostih za zdravje in o razveljavitvi Odločbe št. 2119/98/ES (UL L 293, 5.11.2013, str. 1).“;"

(2 )

v členu 4(1) se vstavi naslednja točka (h):

„(h)	državam članicam zagotavlja smernice za čezmejno izmenjavo osebnih podatkov prek združevalnega prehoda med nacionalnimi mobilnimi aplikacijami za sledenje stikom in opozarjanje.“;

(3)

v členu 6(1) se dodata naslednji točki (f) in (g):

„(f)	razvija, izvaja in ohranja ustrezne tehnične in organizacijske ukrepe v zvezi z varnostjo prenosa in gostovanja osebnih podatkov na združevalnem prehodu za namene zagotavljanja interoperabilnosti nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje;

(g)

podpira mrežo e-zdravje pri doseganju dogovorov o tehnični in organizacijski skladnosti nacionalnih organov z zahtevami za čezmejno izmenjavo osebnih podatkov na združevalnem prehodu z zagotavljanjem in izvajanjem potrebnih preskusov in revizij. Revizorjem Komisije lahko pomagajo strokovnjaki iz držav članic.“;

(4)

člen 7 se spremeni:

(a)	naslov se nadomesti z besedilom „Varstvo osebnih podatkov, ki se obdelujejo prek infrastrukture za digitalne storitve e-zdravja“;

(b)	v odstavku 2 se besedna zveza „v Prilogi“ nadomesti z besedno zvezo „v Prilogi I“;

(5)

vstavi se naslednji člen 7a:

„Člen 7a

Čezmejna izmenjava podatkov med nacionalnimi mobilnimi aplikacijami za sledenje stikom in opozarjanje prek združevalnega prehoda

1. Pri izmenjavi osebnih podatkov prek združevalnega prehoda se obdelava omeji na namene olajšanja interoperabilnosti nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje na združevalnem prehodu ter neprekinjenega sledenja stikom v čezmejnem kontekstu.

2. Osebni podatki iz odstavka 3 se na združevalni prehod prenesejo v psevdonimizirani obliki.

3. Psevdonimizirani osebni podatki, ki se izmenjujejo in obdelujejo na združevalnem prehodu, zajemajo samo naslednje informacije:

(a)	ključe, ki jih prenesejo nacionalne mobilne aplikacije za sledenje stikom in opozarjanje v največ štirinajstih dnevih pred nalaganjem ključev;

(b)	podatke iz evidence, povezane s ključi, v skladu s protokolom tehničnih specifikacij, ki se uporabljajo v državi izvora ključev;

(c)	preverjanje okužbe;

(d)	zadevne države in država izvora ključev.

4. Imenovani nacionalni organi ali uradni organi, ki obdelujejo osebne podatke na združevalnem prehodu, so skupni upravljavci podatkov, ki se obdelujejo na združevalnem prehodu. Dolžnosti posameznih skupnih upravljavcev se določijo v skladu s Prilogo II. Vsaka država članica, ki želi sodelovati v čezmejni izmenjavi podatkov med nacionalnimi mobilnimi aplikacijami za sledenje stikom in opozarjanje, o svoji nameri pred pridružitvijo obvesti Komisijo in navede nacionalni organ ali uradni organ, imenovan za pristojnega upravljavca.

5. Komisija je obdelovalec osebnih podatkov, ki se obdelujejo na združevalnem prehodu. V vlogi obdelovalca zagotavlja varnost obdelave, vključno s prenosom in gostovanjem, osebnih podatkov na združevalnem prehodu in izpolnjuje obveznosti obdelovalca iz Priloge III.

6. Komisija in nacionalni organi, pooblaščeni za dostop do združevalnega prehoda, redno preskušajo, ocenjujejo in vrednotijo učinkovitost tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov na združevalnem prehodu.

7. Brez poseganja v odločitev skupnih upravljavcev, da prekinejo obdelavo na združevalnem prehodu, združevalni prehod preneha delovati najpozneje štirinajst dni po tem, ko vse povezane nacionalne mobilne aplikacije za sledenje stikom in opozarjanje prenehajo prenašati ključe prek združevalnega prehoda.“;

(6)	Priloga postane Priloga I;

(7)	dodata se prilogi II in III, katerih besedilo je določeno v Prilogi k temu sklepu.

Člen 2

Ta sklep začne veljati dan po objavi v Uradnem listu Evropske unije.

V Bruslju, 15. julija 2020

Za Komisijo

Predsednica

Ursula VON DER LEYEN

(1) UL L 88, 4.4.2011, str. 45.

(2) Izvedbeni sklep Komisije (EU) 2019/1765 z dne 22. oktobra 2019 o pravilih za vzpostavitev, upravljanje in delovanje mreže nacionalnih organov, pristojnih za e-zdravje, ter razveljavitvi Izvedbenega sklepa 2011/890/EU (UL L 270, 24.10.2019, str. 83).

(3) Priporočilo Komisije (EU) 2020/518 z dne 8. aprila 2020 o skupnem naboru orodij za uporabo tehnologije in podatkov za boj proti krizi zaradi COVID-19 in izhod iz nje, zlasti v zvezi z mobilnimi aplikacijami in uporabo anonimiziranih podatkov o mobilnosti (UL L 114, 14.4.2020, str. 7).

(4) https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf

(5) https://ec.europa.eu/health/sites/health/files/ehealth/docs/contacttracing_mobileapps_guidelines_en.pdf

(6) Sporočilo Komisije „Usmeritve v zvezi z varstvom podatkov za aplikacije, ki podpirajo boj proti pandemiji COVID-19“ (UL C 124I, 17.4.2020, str. 1).

(7) Smernice št. 04/2020 o uporabi podatkov o lokaciji in orodij za sledenje stikom v okviru izbruha COVID-19 ter izjava EOVP z dne 16. junija 2020 o vplivu interoperabilnosti aplikacij za sledenje stikom na varstvo podatkov, vse na voljo na naslovu: https://edpb.europa.eu/edpb_sl.

(8) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(9) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(10) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).

(11) Sklep Komisije (EU, Euratom) 2017/46 z dne 10. januarja 2017 o varnosti komunikacijskih in informacijskih sistemov v Evropski komisiji (UL L 6, 11.1.2017, str. 40). Komisija dodatne informacije o varnostnih standardih, ki se uporabljajo za vse informacijske sisteme Evropske komisije, objavlja na spletišču https://ec.europa.eu/info/publications/security-standards-applying-all-european-commission-information-systems_sl.

PRILOGA

V Izvedbenem sklepu (EU) 2019/1765 se dodata naslednji prilogi II in III:

„PRILOGA II

ODGOVORNOSTI SODELUJOČIH DRŽAV ČLANIC KOT SKUPNIH UPRAVLJAVCEV ZDRUŽEVALNEGA PREHODA ZA ČEZMEJNO OBDELAVO MED NACIONALNIMI MOBILNIMI APLIKACIJAMI ZA SLEDENJE STIKOM IN OPOZARJANJE

ODDELEK 1

Pododdelek 1

Delitev odgovornosti

(1)

Skupni upravljavci obdelujejo osebne podatke prek združevalnega prehoda v skladu s tehničnimi specifikacijami, ki jih določi mreža e-zdravje (1).

(2)

Vsak upravljavec je odgovoren za obdelavo osebnih podatkov na združevalnem prehodu v skladu s Splošno uredbo o varstvu podatkov in Direktivo 2002/58/ES.

(3)

Vsak upravljavec vzpostavi kontaktno točko z namenskim poštnim predalom, ki služi za komunikacijo med skupnimi upravljavci ter med skupnimi upravljavci in obdelovalcem.

(4)

Začasna podskupina, ki jo mreža e-zdravje ustanovi v skladu s členom 5(4), je zadolžena za preučitev vseh vprašanj v zvezi z interoperabilnostjo nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje ter skupnim upravljanjem povezane obdelave osebnih podatkov ter za lažje dajanje usklajenih navodil Komisiji kot obdelovalcu. Poleg drugih vprašanj si lahko upravljavci v okviru začasne podskupine prizadevajo za skupni pristop glede hrambe podatkov na svojih nacionalnih zalednih strežnikih, upoštevajoč obdobje hrambe, določeno na združevalnem prehodu.

(5)

Navodila obdelovalcu pošlje katera koli od kontaktnih točk skupnih upravljavcev v zgoraj navedeni podskupini v dogovoru z drugimi skupnimi upravljavci.

(6)

Do osebnih podatkov uporabnikov, ki se izmenjujejo na združevalnem prehodu, imajo dostop le osebe, ki so jih za to pooblastili imenovani nacionalni organi ali uradni organi.

(7)

Vsak imenovani nacionalni organ ali uradni organ preneha biti skupni upravljavec od datuma umika svojega sodelovanja pri združevalnem prehodu. Vendar je še naprej odgovoren za obdelavo na združevalnem prehodu, ki je bila izvedena pred njegovim umikom.

Pododdelek 2

Odgovornosti in vloge pri obravnavanju zahtevkov in obveščanju posameznikov, na katere se nanašajo osebni podatki

(1)

Vsak upravljavec v skladu s členoma 13 in 14 Splošne uredbe o varstvu podatkov zagotovi uporabnikom svoje nacionalne mobilne aplikacije za sledenje stikom in opozarjanje (v nadaljnjem besedilu: posamezniki, na katere se nanašajo osebni podatki) informacije o obdelavi njihovih osebnih podatkov na združevalnem prehodu za namene čezmejne interoperabilnosti nacionalnih mobilnih aplikacij za sledenje stikom in opozarjanje.

(2)

Vsak upravljavec deluje kot kontaktna točka za uporabnike svoje nacionalne mobilne aplikacije za sledenje stikom in opozarjanje ter obravnava zahtevke v zvezi z uveljavljanjem pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s Splošno uredbo o varstvu podatkov, ki jih vložijo navedeni uporabniki ali njihovi predstavniki. Vsak upravljavec imenuje posebno kontaktno točko, namenjeno zahtevkom, ki jih prejmejo od posameznikov, na katere se nanašajo osebni podatki. Če skupni upravljavec prejme zahtevek posameznika, na katerega se nanašajo osebni podatki in za katerega ni pristojen, ta zahtevek nemudoma posreduje pristojnemu skupnemu upravljavcu. Skupni upravljavci si na prošnjo medsebojno pomagajo pri obravnavanju zahtevkov posameznikov, na katere se nanašajo osebni podatki, ter si odgovorijo brez nepotrebnega odlašanja in najpozneje v petnajstih dneh od prejema prošnje za pomoč.

(3)

Vsak upravljavec da posamezniku, na katerega se nanašajo osebni podatki, na voljo vsebino te priloge, vključno z ureditvijo iz točk 1 in 2.

ODDELEK 2

Obvladovanje varnostnih incidentov, vključno s kršitvami varstva osebnih podatkov

(1)

Skupni upravljavci si medsebojno pomagajo pri odkrivanju in obravnavi morebitnih varnostnih incidentov, vključno s kršitvami varstva osebnih podatkov, povezanih z obdelavo na združevalnem prehodu.

(2)

Skupni upravljavci se zlasti medsebojno obvestijo o:

(a)	kakršnih koli morebitnih ali dejanskih tveganjih glede razpoložljivosti, zaupnosti in/ali celovitosti osebnih podatkov, ki se obdelujejo na združevalnem prehodu;

(b)	kakršnih koli varnostnih incidentih, povezanih z dejanji obdelave na združevalnem prehodu;

(c)

kakršnih koli kršitvah varstva osebnih podatkov, verjetnih posledicah kršitve varstva osebnih podatkov in oceni tveganja za pravice in svoboščine fizičnih oseb ter kakršnih koli ukrepih, sprejetih za odpravo kršitve varstva osebnih podatkov in zmanjšanje tveganja za pravice in svoboščine fizičnih oseb;

(d)	kakršnih koli kršitvah tehničnih in/ali organizacijskih zaščitnih ukrepov pri dejanjih obdelave na združevalnem prehodu.

(3)

Skupni upravljavci Komisiji, pristojnim nadzornim organom in, kadar se to zahteva, posameznikom, na katere se nanašajo osebni podatki, sporočijo vse kršitve varstva osebnih podatkov v zvezi z dejanji obdelave podatkov na združevalnem prehodu v skladu s členoma 33 in 34 Uredbe (EU) 2016/679 ali na podlagi obvestila Komisije.

ODDELEK 3

Ocena učinka v zvezi z varstvom podatkov

Če upravljavec za izpolnjevanje svojih obveznosti iz členov 35 in 36 Splošne uredbe o varstvu podatkov potrebuje informacije od drugega upravljavca, pošlje specifično zahtevo v namenski poštni predal iz pododdelka 1(3) oddelka 1. Slednji si po najboljših močeh prizadeva zagotoviti takšne informacije.

PRILOGA III

ODGOVORNOSTI KOMISIJE KOT OBDELOVALCA PODATKOV NA ZDRUŽEVALNEM PREHODU ZA ČEZMEJNO OBDELAVO MED NACIONALNIMI MOBILNIMI APLIKACIJAMI ZA SLEDENJE STIKOM IN OPOZARJANJE

Komisija:

(1)

Vzpostavi in zagotovi varno in zanesljivo komunikacijsko infrastrukturo, ki povezuje nacionalne mobilne aplikacije držav članic, ki sodelujejo v združevalnem prehodu, za sledenje stikom in opozarjanje. Komisija lahko za izpolnitev svojih obveznosti, ki jih ima kot obdelovalec podatkov na združevalnem prehodu, kot podobdelovalce vključi tretje osebe; Komisija obvesti skupne upravljavce o vseh nameravanih spremembah glede dodajanja ali zamenjave drugih podobdelovalcev, s čimer upravljavcem omogoči, da skupaj ugovarjajo takšnim spremembam, kot je določeno v pododdelku 1(4) oddelka 1 Priloge II. Komisija zagotovi, da se za te podobdelovalce uporabljajo enake obveznosti glede varstva podatkov, kot so določene v tem sklepu.

(2)

Obdeluje osebne podatke le na podlagi dokumentiranih navodil upravljavcev, razen če to od nje zahteva pravo Unije ali držav članic; v slednjem primeru Komisija o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavce, razen če zadevno pravo prepoveduje predložitev takšnih informacij na podlagi pomembnih razlogov v javnem interesu.

(3)

Obdelava s strani Komisije vključuje:

(a)	avtentikacijo nacionalnih zalednih strežnikov na podlagi nacionalnih zalednostrežniških certifikatov;

(b)	prejem podatkov iz odstavka 3 člena 7a tega izvedbenega sklepa, ki jih naložijo nacionalni zaledni strežniki, z zagotavljanjem vmesnika za aplikacijsko programiranje, ki nacionalnim zalednim strežnikom omogoča nalaganje ustreznih podatkov;

(c)	hrambo podatkov na združevalnem prehodu po njihovem prejemu z nacionalnih zalednih strežnikov;

(d)	dajanje zadevnih podatkov na voljo za prenos na nacionalne zaledne strežnike;

(e)	izbris podatkov, ko jih prenesejo vsi sodelujoči zaledni strežniki ali 14 dni po njihovem prejemu, kar je prej;

(f)	izbris vseh preostalih podatkov po koncu zagotavljanja storitve, razen če pravo Unije ali držav članic zahteva hrambo osebnih podatkov.

Obdelovalec sprejme potrebne ukrepe za ohranitev celovitosti obdelanih podatkov.

(4)

Sprejme vse najsodobnejše organizacijske, fizične in logične varnostne ukrepe za vzdrževanje združevalnega prehoda. V ta namen Komisija:

(a)	imenuje subjekt, odgovoren za upravljanje varnosti na ravni združevalnega prehoda, sporoči njegove kontaktne podatke upravljavcem in zagotovi njegovo razpoložljivost za odzivanje na varnostne grožnje;

(b)	odgovarja za varnost združevalnega prehoda;

(c)	zagotovi, da za vse posameznike, ki se jim odobri dostop do združevalnega prehoda, velja pogodbena, poklicna ali zakonska obveznost zaupnosti.

(5)

Sprejme vse potrebne varnostne ukrepe, da prepreči ogrožanje nemotenega operativnega delovanja nacionalnih zalednih strežnikov. V ta namen Komisija vzpostavi specifične postopke v zvezi s povezovanjem zalednih strežnikov na združevalni prehod. To vključuje:

(a)	postopek za oceno tveganja za opredelitev in oceno morebitnih groženj sistemu;

(b)

postopek revizije in pregleda za:

(i)	preverjanje, ali izvedeni varnosti ukrepi ustrezajo veljavni varnostni politiki;

(ii)	redno preverjanje celovitosti sistemskih datotek, varnostnih parametrov in pravic za dostop;

(iii)

spremljanje za odkrivanje varnostnih kršitev in vdorov;

(iv)	uvedbo sprememb za zmanjšanje obstoječih varnostnih pomanjkljivosti ter

(v)	omogočanje, tudi na zahtevo upravljavcev, izvedbe neodvisnih revizij, vključno z inšpekcijskimi pregledi, in pregledov varnostnih ukrepov ter prispevanje k njej, pod pogoji, ki upoštevajo Protokol (št. 7) k PDEU o privilegijih in imunitetah Evropske unije (2);

(c)	spremembo postopka nadzora za dokumentiranje in merjenje vpliva spremembe pred njeno izvedbo ter obveščanje upravljavcev o vseh spremembah, ki lahko vplivajo na komunikacijo z njihovimi infrastrukturami in/ali njihovo varnost;

(d)	določitev postopka vzdrževanja in popravil za opredelitev pravil in pogojev, ki jih je treba upoštevati, ko je potrebno vzdrževanje in/ali popravilo opreme;

(e)	določitev postopka pri varnostnih incidentih za opredelitev sistema poročanja in obveščanja, takojšnje obveščanje upravljavcev in Evropskega nadzornika za varstvo podatkov o vseh kršitvah varstva osebnih podatkov ter opredelitev disciplinskega postopka za obravnavo varnostnih kršitev.

(6)

Sprejme najsodobnejše fizične in/ali logične varnostne ukrepe za objekte z opremo združevalnega prehoda ter kontrole dostopa do logičnih podatkov in varnosti. V ta namen Komisija:

(a)	izvaja fizično varovanje za vzpostavitev ločenih varnostnih območij in omogočanje odkrivanja kršitev;

(b)	nadzoruje dostop do objektov in vodi register obiskovalcev za namene sledenja;

(c)	zagotovi, da zunanje osebe, ki jim je odobren dostop do prostorov, spremlja ustrezno pooblaščeno osebje;

(d)	zagotovi, da opreme ni mogoče dodati, zamenjati ali odstraniti brez predhodnega dovoljenja imenovanih pristojnih organov;

(e)	nadzira dostop nacionalnih zalednih strežnikov na združevalni prehod ter do njih;

(f)	zagotovi, da se posamezniki, ki dostopajo do združevalnega prehoda, identificirajo in avtenticirajo;

(g)	pregleda pravice za dostop do združevalnega prehoda v primeru varnostne kršitve, ki vpliva na to infrastrukturo;

(h)	ohranja celovitost informacij, prenesenih prek združevalnega prehoda;

(i)	izvaja tehnične in organizacijske varnostne ukrepe za preprečitev nepooblaščenega dostopa do osebnih podatkov;

(j)	po potrebi izvaja ukrepe za preprečitev nepooblaščenega dostopa na združevalni prehod z domen nacionalnih organov (tj. blokiranje lokacije/naslova IP).

(7)	Sprejme ukrepe za zaščito svoje domene, vključno s prekinitvijo povezav, v primeru pomembnega odstopanja od načel in konceptov kakovosti ali varnosti.

(8)	Pripravi načrt za obvladovanje tveganj v zvezi s svojim področjem pristojnosti.

(9)	Spremlja delovanje vseh storitvenih komponent svojih storitev združevalnega prehoda v realnem času, redno pripravlja statistične podatke in vodi evidence.

(10)

Zagotavlja podporo za vse storitve združevalnega prehoda v angleščini 24 ur na dan, sedem dni v tednu po telefonu, e-pošti ali prek spletnega portala ter sprejema klice pooblaščenih klicateljev: koordinatorjev združevalnega prehoda in njihovih zadevnih služb za pomoč uporabnikom, projektnih referentov in imenovanih oseb Komisije.

(11)	Pomaga upravljavcem z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, za izpolnitev obveznosti upravljavca, da odgovori na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III Splošne uredbe o varstvu podatkov.

(12)	Podpira upravljavce z zagotavljanjem informacij o združevalnem prehodu za izpolnitev obveznosti iz členov 32, 35 in 36 Splošne uredbe o varstvu podatkov.

(13)	Zagotovi, da so podatki, ki se obdelujejo na združevalnem prehodu, nerazumljivi vsem, ki nimajo dovoljenja za dostop do njih.

(14)	Sprejme vse ustrezne ukrepe za preprečitev nepooblaščenega dostopa operaterjev združevalnega prehoda do prenesenih podatkov.

(15)	Sprejme ukrepe za olajšanje interoperabilnosti in komunikacije med imenovanimi upravljavci združevalnega prehoda.

(16)	Vodi evidenco dejavnosti obdelave, ki se izvajajo v imenu upravljavcev v skladu s členom 31(2) Uredbe (EU) 2018/1725.

“

(1) Zlasti s specifikacijami za interoperabilnost čezmejnih verig prenosa med odobrenimi aplikacijami z dne 16. junija 2020, ki so na voljo na naslednjem naslovu: https://ec.europa.eu/health/ehealth/key_documents_sl#anchor0.

(2) Protokol (št. 7) o privilegijih in imunitetah Evropske unije (UL C 326, 26.10.2012, str. 266).