32021D0858

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Genomförandebeslut - 2021/858 - EN - EUR-Lex

Document 32021D0858

Help

Kommissionens genomförandebeslut (EU) 2021/858 av den 27 maj 2021 om ändring av genomförandebeslut (EU) 2017/253 vad gäller varningar som utlösts av allvarliga gränsöverskridande hot mot människors hälsa och för kontaktspårning av passagerare som identifierats med hjälp av formulär för passagerarlokalisering (Text av betydelse för EES)

C/2021/3921

EUT L 188, 28.5.2021, p. 106–118 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2021/858/oj

HTML

PDF

Official Journal

28.5.2021

Europeiska unionens officiella tidning

L 188/106

KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2021/858

av den 27 maj 2021

om ändring av genomförandebeslut (EU) 2017/253 vad gäller varningar som utlösts av allvarliga gränsöverskridande hot mot människors hälsa och för kontaktspårning av passagerare som identifierats med hjälp av formulär för passagerarlokalisering

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets beslut nr 1082/2013/EU av den 22 oktober 2013 om allvarliga gränsöverskridande hot mot människors hälsa och om upphävande av beslut nr 2119/98/EG (1), särskilt artikel 8.2, och

av följande skäl:

(1)

Vid identifieringen av ett positivt fall av covid-19 efter en viss gränsöverskridande resa uppfylls kriterierna i artikel 9.1 i beslut 1082/2013/EU, eftersom det fortfarande kan komma att orsaka betydande dödlighet bland människor och dess omfattning kan komma att växa snabbt, eftersom det påverkar fler än en medlemsstat och kan komma att kräva samordnade insatser på unionsnivå. I enlighet med punkt 23 i rekommendation (EU) 2020/1475 av den 13 oktober 2020 om en samordnad strategi för inskränkningar i den fria rörligheten med anledning av covid-19-pandemin (2) bör information om fall av covid-19 som upptäcks vid en persons ankomst till en medlemsstats territorium omedelbart vidarebefordras till folkhälsomyndigheterna i de länder där den berörda personen har vistats under de närmast föregående 14 dagarna för kontaktspårningsändamål, via det system för tidig varning och reaktion (nedan kallat EWRS) som inrättats genom artikel 8 i beslut 1082/2013/EU och administreras av Europeiska centrumet för förebyggande och kontroll av sjukdomar (ECDC).

(2)	I enlighet med rekommendation (EU) 2020/1475 kan medlemsstaterna kräva att personer som reser in på deras territorium lämnar in formulär för passagerarlokalisering (nedan kallat PLF) under iakttagande av dataskyddskraven.

(3)

Genom att kräva att nationella PLF i olika format fylls i samlar medlemsstaterna in PLF-uppgifter från gränsöverskridande passagerare som reser in på deras territorium. Ett användningsändamål för dessa uppgifter är att om en person som har fyllt i ett PLF identifieras som ett fall av covid-19, används de uppgifter som samlats in via detta formulär för att fastställa personens resa och överföra relevant information till de medlemsstater som behöver kontaktspåra personer som kan ha exponerats för den smittade passageraren.

(4)

Folkhälsomyndigheterna i vissa medlemsstater har redan utbytt personuppgifter som samlats in genom nationella PLF sinsemellan för kontaktspårning i samband med covid-19-pandemin. Detta utbyte har framför allt skett genom den nuvarande tekniska infrastruktur som tillhandahålls inom ramen för systemet för tidig varning och reaktion (EWRS).

(5)

Den tekniska infrastruktur som för närvarande tillhandahålls genom systemet för tidig varning och reaktion är ännu inte utformad för att hantera mängden PLF-uppgifter som genereras genom systematisk och storskalig användning av PLF. Den översätter till exempel inte mellan olika nationella format och kräver manuell inmatning, vilket inverkar negativt på kontaktspårningens aktualitet och effektivitet. Detta är särskilt fallet när kontaktspårning måste utföras i samband med gränsöverskridande passagerare som har rest med kollektivtransportmedel försedda med på förhand tilldelade platser, såsom flygplan, vissa tåg, färjor och kryssningsfartyg, där antalet exponerade passagerare och exponeringstiden för en smittad passagerare kan vara betydande.

(6)

En teknisk infrastruktur – som kallas PLF-utbytesplattformen – bör därför inrättas för att möjliggöra ett säkert, snabbt och effektivt utbyte av uppgifter mellan de behöriga myndigheterna inom systemet för tidig varning och reaktion (nedan kallade behöriga EWRS-myndigheter) i medlemsstaterna, genom att göra det möjligt att överföra information från deras befintliga nationella digitala PLF-system till andra behöriga EWRS-myndigheter på ett interoperabelt och automatiskt sätt. Den bör bygga på den plattform för utbyte som redan utvecklats av Europeiska unionens byrå för luftfartssäkerhet (Easa), men Easa kommer inte att ha någon roll i samband med behandlingen av personuppgifter via PLF-utbytesplattformen i enlighet med detta genomförandebeslut. PLF-utbytesplattformen bör också möjliggöra utbyte av begränsade epidemiologiska uppgifter som är nödvändiga för kontaktspårning, i enlighet med artikel 9.3 i beslut 1082/2013/EU. För att undvika överlappningar av verksamheter eller åtgärder som strider mot befintliga strukturer och mekanismer för övervakning, tidig varning och bekämpning av allvarliga gränsöverskridande hot mot människors hälsa, bör PLF-utbytesplattformen utvecklas inom ramen för systemet för tidig varning och reaktion som ett komplement till den funktion för selektiva meddelanden som finns inom det systemet.

(7)	PLF-utbytesplattformen ska administreras av Europeiska centrumet för förebyggande och kontroll av sjukdomar i enlighet med artikel 8 i Europaparlamentets och rådets förordning (EG) nr 851/2004 (3).

(8)	PLF-utbytesplattformen bör inte lagra de PLF-uppgifter och epidemiologiska data som ska utbytas.

(9)

Om en medlemsstat inte har ett nationellt utvecklat digitalt PLF-system skulle denna medlemsstat kunna använda det gemensamma EU-systemet för digitalt lokaliseringsformulär för passagerare (nedan kallat EUdPLF), som EU:s gemensamma åtgärd Healthy Gateways fick i uppdrag av kommissionen att utveckla (bidrag nr 801493) (4). Syftet med EUdPLF är att skapa en gemensam kontaktpunkt och databas för insamling av PLF. I framtiden bör EUdPLF kopplas samman med PLF-utbytesplattformen endast i syfte att möjliggöra utbyte av uppgifter mellan medlemsstater som har egna nationella digitala PLF-system å ena sidan och medlemsstater som använder EUdPLF å andra sidan. Detta beslut omfattar inte inrättandet av EUdPLF och reglerar inte heller behandlingen av personuppgifter i samband med detta.

(10)

Detta beslut reglerar inte inrättandet av nationella PLF, vilket ankommer på medlemsstaterna att besluta om. Det står medlemsstaterna fritt att välja om de samlar in PLF från alla passagerare som anländer till deras territorium, eller endast från passagerare som har den medlemsstaten som slutdestination. Effektiv gränsöverskridande kontaktspårning baserad på PLF-uppgifter kräver att medlemsstaterna samlar in en gemensam minimiuppsättning PLF-uppgifter genom sina nationella PLF-system. Denna minimiuppsättning av PLF-uppgifter bör därför fastställas. Med tanke på lösningens kostnadseffektivitet och hållbarhet och för att öka säkerheten bör medlemsstaterna överväga att anta en gemensam strategi när det gäller att kräva PLF från alla passagerare, inklusive transitpassagerare, eller endast från de passagerare som har den berörda medlemsstaten som slutdestination.

(11)	Användningen av PLF-utbytesplattformen bör vara frivillig och medlemsstaterna bör ha rätt att anmäla varningar inom ramen för den nuvarande tekniska infrastrukturen i systemet för tidig varning och reaktion, under förutsättning att de inte äventyrar syftet med kontaktspårningen.

(12)

De behöriga EWRS-myndigheterna bör endast utbyta väldefinierade uppgifter som samlats in genom deras PLF och andra begränsade epidemiologiska uppgifter som är nödvändiga för kontaktspårning, i enlighet med principen om minimering av behandling av personuppgifter. Om den medlemsstat som utfärdar varningen om en smittad passagerare kan identifiera alla berörda medlemsstater, på grundval av de PLF-uppgifter som den har tillgång till, bör den endast överföra uppgifter till de behöriga EWRS-myndigheterna i dessa medlemsstater. Detta är till exempel fallet när den medlemsstat som identifierar den smittade passageraren samlar in PLF för alla passagerare, inklusive transitpassagerare, som anländer till dess territorium med en direkt förbindelse från den ursprungliga avgångsorten.

(13)

Om en passagerare upptäcks vara smittad med SARS-CoV-2 i en medlemsstat bör de behöriga EWRS-myndigheterna i den medlemsstaten kunna dela med sig av en begränsad uppsättning uppgifter som hämtats från PLF till de behöriga EWRS-myndigheterna i avresemedlemsstaten; urvalet bör definieras strikt i fråga om vad som är nödvändigt för att utföra kontaktspårning av exponerade personer i avgångs- och bosättningsmedlemsstaten, om denna är en annan än avgångsmedlemsstaten – nämligen den smittade passagerarens identitet och kontaktuppgifter.

(14)

Om en passagerare upptäcks vara smittad med SARS-CoV-2 i en medlemsstat bör de behöriga EWRS-myndigheterna i den medlemsstaten också kunna dela med sig av en begränsad uppsättning uppgifter till de behöriga EWRS-myndigheterna i alla medlemsstater eller i de berörda medlemsstaterna, om dessa myndigheter har den information som gör det möjligt för dem att identifiera sådana medlemsstater. Uppgifterna bör begränsas till avreseort, ankomstplats, avresedatum, transportmedel (t.ex. flyg, tåg, buss, färja eller fartyg), transporttjänstens identifieringsnummer – dvs. flightnummer, tågnummer, bussregistreringsnummer, färjans eller fartygets namn – den smittade passagerarens plats- eller hyttnummer och avgångstid om ovanstående uppgifter inte är tillräckliga för att identifiera transporten. Detta bör göra det möjligt för de mottagande behöriga EWRS-myndigheterna att avgöra om exponerade passagerare anlänt till deras territorium och, i så fall, att utföra kontaktspårning.

(15)

Vid utbyte av uppgifter med andra behöriga EWRS-myndigheter via PLF-utbytesplattformen bör den berörda behöriga EWRS-myndigheten kunna lägga till epidemiologisk information, begränsad till vad som är nödvändigt för att utföra kontaktspårningen, dvs. vilken typ av covid-19-test som utförts, varianten av SARS-CoV-2-viruset, provtagningsdatum och datum för när symtomen uppträdde.

(16)

Behandling av sådana personuppgifter om smittade passagerare som utbytts via PLF-utbytesplattformen, ska utföras av de behöriga EWRS-myndigheterna i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (5). Eftersom det europeiska centrumet för förebyggande och kontroll av sjukdomar och kommissionen som dess underentreprenör har ansvaret för att administrera PLF-utbytesplattformen för kontaktspårning måste behandlingen av personuppgifter uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2018/1725 (6).

(17)

Den rättsliga grunden för utbyte av personuppgifter om smittade passagerare, inbegripet hälsouppgifter, mellan de behöriga EWRS-myndigheterna för kontaktspårning fastställs i artikel 9.1 och 9.3 i i beslut 1082/2013/EU, i enlighet med artikel 6.1 c och artikel 9.2 i i förordning (EU) 2016/679. I detta beslut bör det fastställas lämpliga och specifika åtgärder för att skydda den registrerades fri- och rättigheter. Dessa bör omfatta åtgärder som rör definitionen av de nödvändiga datauppsättningar som ska utbytas, de behöriga EWRS-myndigheter med vilka uppgifterna bör utbytas i de olika fallen, lämpliga säkerhetsåtgärder, inbegripet kryptering, och formerna för behandling av uppgifter mellan de nationella behöriga EWRS-myndigheterna via PLF-utbytesplattformen inom Europeiska unionen.

(18)

De behöriga EWRS-myndigheter som deltar i PLF-utbytesplattformen fastställer tillsammans syftet med och metoderna för behandling av personuppgifter i PLF-utbytesplattformen, och är därför gemensamt personuppgiftsansvariga. Enligt artikel 26 i förordning (EU) 2016/679 är gemensamma personuppgiftsansvariga skyldiga att på ett öppet sätt fastställa hur deras respektive skyldigheter enligt den förordningen fullgörs. Genom artikeln ges också möjlighet att få detta ansvar fastställt genom unionsrätten eller i medlemsstaternas nationella rätt som de personuppgiftsansvariga omfattas av. Detta beslut bör därför fastställa de gemensamma personuppgiftsansvarigas respektive roller och ansvarsområden.

(19)

Europeiska centrumet för förebyggande och kontroll av sjukdomar, som tillhandahåller tekniska och organisatoriska lösningar för PLF-utbytesplattformen, behandlar PLF och epidemiologiska uppgifter på uppdrag av de medlemsstater som deltar i PLF-utbytesplattformen som gemensamt personuppgiftsansvariga och är därför ett personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725. I artikel 28 i förordning (EU) 2016/679 och i artikel 29 i förordning (EU) 2018/1725 fastställs att när uppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal eller en rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och som specificerar behandlingen. Det är därför nödvändigt att fastställa regler för hur Europeiska centrumet för förebyggande och kontroll av sjukdomar behandlar uppgifter i egenskap av personuppgiftsbiträde.

(20)

Enligt artikel 3.3 i förordning (EG) nr 851/2004 ska Europeiska centrumet för förebyggande och kontroll av sjukdomar, kommissionen och medlemsstaterna samarbeta för att främja en effektiv samstämmighet mellan deras respektive verksamheter. I enlighet med detta bör servicenivåavtal ingås mellan kommissionen och Europeiska centrumet för förebyggande och kontroll av sjukdomar för att samarbeta i samband med den tekniska utvecklingen och driften av PLF-utbytesplattformen. De ska ange ansvarsfördelningen (organisatoriskt, finansiellt och tekniskt) mellan parterna för att underlätta genomförandet av PLF-utbytesplattformen och de tekniska bestämmelserna avseende plattformens drift, underhåll och vidareutveckling.

(21)	Genomförandebeslut (EU) 2017/253 bör därför ändras i enlighet med detta.

(22)

PLF-utbytesplattformen ska under 2021 finansieras av instrumentet för krisstöd, som har inrättats för att hjälpa medlemsstaterna under coronapandemin genom att tillgodose de behov som bäst hanteras på ett strategiskt och samordnat sätt på EU-nivå, och genom ”Stödverksamhet till EU:s transportpolitik, transportskydd och passagerarnas rättigheter, inklusive kommunikationsarbete”. Under 2022 ska den finansieras genom programmet för ett digitalt Europa.

(23)

Med tanke på det datum då PLF-utbytesplattformen planeras vara i bruk, bör detta beslut tillämpas från och med den 1 juni 2021. Utbytet av uppgifter bör upphöra efter 12 månader eller när WHO:s generaldirektör, i enlighet med det internationella hälsoreglementet, har tillkännagett att det internationella hot mot människors hälsa som orsakas av SARS-CoV-2 har upphört, om det tillkännagivandet görs tidigare.

(24)

Driften av PLF-utbytesplattformen bör begränsas till kontroll av covid-19-pandemin. Den skulle dock i framtiden kunna utvidgas genom ett genomförandebeslut till sådana epidemier som kan kräva att medlemsstaterna utbyter PLF-uppgifter för kontaktspårningsändamål, i enlighet med kriterierna i artikel 9.1 och villkoren i artikel 9.3 i beslut 1082/2013/EU.

(25)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 6 maj 2021.

(26)	De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté för allvarliga gränsöverskridande hot mot människors hälsa som inrättats genom artikel 18 i beslut nr 1082/2013/EU.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Genomförandebeslut (EU) 2017/253 ska ändras på följande sätt:

Följande artikel ska införas som artikel 1a:

”Artikel 1a

Definitioner

I detta beslut avses med

formulär för lokalisering av passagerare (PLF): ett formulär som fylls i på begäran av folkhälsomyndigheter och som samlar in åtminstone de passageraruppgifter som anges i bilaga I och som hjälper dessa myndigheter att hantera ett hot mot människors hälsa genom att göra det möjligt för dem att spåra passagerare som reser över gränserna och som kan ha exponerats för en person smittad med SARS-CoV-2.

b)	passagerarlokaliseringsuppgifter (PLF-uppgifter): personuppgifter som samlas in genom ett PLF.

c)	digital ingång: en gemensam digital plats till vilken de behöriga myndigheterna för systemet för tidig varning och reaktion på ett säkert sätt kan ansluta sina nationella digitala PLF-system till PLF-utbytesplattformen.

d)	resa: en persons gränsöverskridande resa, med kollektiva transportmedel och på förhand tilldelade platser, med beaktande av den plats som personen ursprungligen reser ifrån och slutdestinationen, inklusive en eller flera etapper.

e)	etapp: en passagerares gränsöverskridande enkelresa utan ytterligare anslutande förbindelser eller byte av flyg, tåg, fartyg eller fordon.

f)	smittad passagerare: passagerare som uppfyller de kliniska kriterierna för SARS-CoV-2-infektion.

g)	exponerad person: passagerare eller annan person som har varit i nära kontakt med en smittad passagerare.

h)	varning: ett meddelande med hjälp av systemet för tidig varning och reaktion (EWRS) i enlighet med artikel 9 i beslut 1082/2013/EU.”

Följande artiklar ska införas som artiklarna 2a, 2b och 2c:

”Artikel 2a

PLF-utbytesplattform

1. En plattform för säkert utbyte av PLF-uppgifter om smittade passagerare som endast används för SARS-CoV-2-kontaktspårning av exponerade personer av de behöriga EWRS-myndigheterna (nedan kallad PLF-utbytesplattformen) inrättas härmed inom ramen för systemet för tidig varning och reaktion som ett komplement till den funktion för selektiv meddelandehantering som finns i systemet.

PLF-utbytesplattformen ska fungera som en digital ingång för de behöriga EWRS-myndigheterna för att på ett säkert sätt ansluta sina nationella digitala PLF-system eller ansluta sig via det gemensamma EU-systemet för digitalt lokaliseringsformulär för passagerare (EUdPLF), för att möjliggöra utbyte av uppgifter som samlats in genom PLF.

De behöriga EWRS-myndigheterna ska kunna använda PLF-utbytesplattformen för utbyte av ytterligare uppgifter, dvs. epidemiologiska uppgifter uteslutande för kontaktspårning av personer som exponerats för SARS-CoV-2, i enlighet med artikel 2b.5.

2. PLF-utbytesplattformen ska administreras av Europeiska centrumet för förebyggande och kontroll av sjukdomar.

3. För att fullgöra sina skyldigheter enligt artikel 2 att anmäla allvarliga gränsöverskridande hot mot människors hälsa som identifierats i samband med insamlingen av PLF-uppgifter ska de behöriga EWRS-myndigheterna i de medlemsstater som kräver ifyllande av PLF utbyta en uppsättning PLF-uppgifter, i enlighet med artikel 2b, via PLF-utbytesplattformen.

4. De behöriga EWRS-myndigheterna får fortsätta att fullgöra sina skyldigheter enligt artikel 9.1 och 9.3 i beslut 1082/2013/EU att anmäla allvarliga gränsöverskridande hot mot människors hälsa som identifierats i samband med insamlingen av PLF-uppgifter genom de andra befintliga kommunikationskanaler som avses i artikel 1.2 i det här beslutet, på tillfällig basis och förutsatt att detta val inte äventyrar syftet med kontaktspårning.

5. PLF-utbytesplattformen ska inte lagra PLF eller ytterligare epidemiologiska uppgifter. Den ska endast göra det möjligt för de behöriga EWRS-myndigheterna att ta emot uppgifter som skickats till dem av andra behöriga EWRS-myndigheter i det enda syftet med kontaktspårning av SARS-CoV-2. Europeiska centrumet för förebyggande och kontroll av sjukdomar ska endast ha tillgång till uppgifterna för att säkerställa att PLF-utbytesplattformen fungerar väl.

6. De behöriga EWRS-myndigheterna får inte lagra PLF-uppgifter och epidemiologiska uppgifter som mottagits via PLF-utbytesplattformen under längre tid än den lagringsperiod som är tillämplig inom ramen för deras nationella kontaktspårningsverksamhet i fråga om SARS-CoV-2.

7. Kommissionen ska samarbeta med Europeiska centrumet för förebyggande och kontroll av sjukdomar vid fullgörandet av de uppgifter som den anförtros enligt detta beslut, särskilt när det gäller tekniska och organisatoriska åtgärder i samband med införande, genomförande, drift, underhåll och vidareutveckling av PLF-utbytesplattformen.

8. Behandling av personuppgifter via PLF-utbytesplattformen enbart för SARS-CoV-2-kontaktspårning ska utföras fram till den 31 maj 2022 eller den tidpunkt när WHO:s generaldirektör, i enlighet med det internationella hälsoreglementet, har förklarat att det internationella hot mot människors hälsa som orsakas av SARS-CoV-2 har upphört, beroende på vilket som infaller först.

Artikel 2b

Uppgifter som ska utbytas

1. När de behöriga EWRS-myndigheterna i den medlemsstat där den smittade passageraren identifieras utfärdar en varning via PLF-utbytesplattformen ska de översända följande PLF-uppgifter till de behöriga EWRS-myndigheterna i den medlemsstat från vilken den smittade passageraren ursprungligen avreser eller är bosatt, om bosättningsorten är en annan än den ursprungliga avreseorten:

Förnamn.

b)	Efternamn.

c)	Födelsedatum.

d)	Telefonnummer (fast och/eller mobil).

e)	E-postadress.

f)	Hemadress.

2. De behöriga EWRS-myndigheterna i den medlemsstat från vilken den smittade passageraren ursprungligen avreser får överföra mottagna PLF-uppgifter till en annan avgångsmedlemsstat än den som deklarerats i PLF som första avgångsmedlemsstat, om de har ytterligare information som pekar på vilken medlemsstat som bör utföra kontaktspårningen.

3. När de behöriga EWRS-myndigheterna i den medlemsstat där den smittade passageraren identifieras utfärdar en varning via PLF-utbytesplattformen ska de översända följande PLF-uppgifter för varje etapp av resan till de behöriga EWRS-myndigheterna i alla medlemsstater:

a)	Avreseort för varje berörd transport.

b)	Ankomstort för varje berörd transport.

c)	Avresedatum för varje berörd transport.

d)	Varje berörd transporttyp (t.ex. flyg, tåg, buss, färja, fartyg).

e)	Identifieringsnummer för varje berörd transport (t.ex. flightnummer, tågnummer, bussregistreringsnummer, färje- eller fartygsnamn).

f)	Plats-/hyttnummer för varje berörd transport.

g)	Vid behov avgångstid för varje berörd transport.

4. Om de behöriga EWRS-myndigheterna i den medlemsstat som utfärdar varningen kan identifiera de berörda medlemsstaterna på grundval av den information de har tillgång till, ska de endast överföra de uppgifter som anges i punkt 3 till de behöriga EWRS-myndigheterna i dessa medlemsstater.

5. De behöriga EWRS-myndigheterna ska kunna tillhandahålla följande epidemiologiska uppgifter, om detta är nödvändigt för en effektiv kontaktspårning:

a)	Vilken typ av test som utförts.

b)	Variant av SARS-CoV-2-viruset.

c)	Provtagningsdatum.

d)	Datum för när symtomen uppträdde.

Artikel 2c

Ansvarsområden för de behöriga myndigheterna för systemet för tidig varning och reaktion och Europeiska centrumet för förebyggande och kontroll av sjukdomar när det gäller behandling av PLF-uppgifter

1. De behöriga EWRS-myndigheterna som utbyter PLF-uppgifter och uppgifterna i artikel 2b.5 ska vara gemensamt personuppgiftsansvariga för registrering och överföring, fram till mottagandet, av dessa uppgifter via PLF-utbytesplattformen. De gemensamt personuppgiftsansvarigas respektive ansvarsområden ska fördelas i enlighet med bilaga II. Varje medlemsstat som önskar delta i det gränsöverskridande utbytet av PLF-uppgifter via PLF-utbytesplattsformen ska före anslutning anmäla denna avsikt till Europeiska centrumet för förebyggande och kontroll av sjukdomar och ange vilken behörig EWRS-myndighet som utsetts till personuppgiftsansvarig.

2. Europeiska centrumet för förebyggande och kontroll av sjukdomar ska vara personuppgiftsbiträde för uppgifter som utbyts via PLF-utbytesplattformen. Det ska tillhandahålla PLF-utbytesplattformen och säkerställa säkerheten vid behandling och överföring av uppgifter som utbyts via PLF-utbytesplattformen, och ska uppfylla personuppgiftsbiträdets skyldigheter enligt bilaga III.

3. De tekniska och organisatoriska åtgärdernas ändamålsenlighet vad gäller att trygga säkerheten i behandlingen av PLF-uppgifter via PLF-utbytesplattformen ska regelbundet testas, bedömas och utvärderas av Europeiska centrumet för förebyggande och kontroll av sjukdomar och de behöriga EWRS-myndigheter som har behörighet att ansluta till PLF-utbytesplattformen.

4. Det europeiska centrumet för förebyggande och kontroll av sjukdomar ska anlita kommissionen som underentreprenör till personuppgiftsbiträdet och se till att samma skyldigheter vad gäller uppgiftsskydd som fastställs i detta beslut gäller för kommissionen.”

3.	I artikel 3.3 ska orden ”bilagan” ersättas med ”bilaga IV”.

4.	I bilagan skall rubriken ”BILAGA” ersättas med rubriken ”BILAGA IV”.

5.	Bilagorna I, II och III, enligt bilagan till det här beslutet, ska införas.

Artikel 2

Detta beslut träder i kraft den tredje dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Det ska tillämpas från och med den 1 juni 2021.

Utfärdat i Bryssel den 27 maj 2021.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 293, 5.11.2013, s. 1.

(2) EUT L 337, 14.10.2020, s. 3.

(3) Europaparlamentets och rådets förordning (EG) nr 851/2004 av den 21 april 2004 om inrättande av ett europeiskt centrum för förebyggande och kontroll av sjukdomar (EUT L 142, 30.4.2004, s. 1).

(4) Inom ramen för den gemensamma åtgärden beredskap och åtgärder vid införselorter (hamnar, flygplatser och gränsövergångar på land) Healthy Gateways verkar 28 europeiska länder med finansiering genom det tredje hälsoprogrammet (2014–2020).

(5) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 4.5.2016, s. 1).

(6) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

BILAGA

”BILAGA I

MINIMIUPPSÄTTNING PLF-UPPGIFTER SOM SKA SAMLAS IN VIA DET NATIONELLA FORMULÄRET FÖR LOKALISERING AV PASSAGERARE (PLF)

PLF ska innehålla minst följande PLF-uppgifter:

Förnamn.

2.	Efternamn.

3.	Födelsedatum.

4.	Telefonnummer (fast och/eller mobiltelefon).

5.	E-postadress.

6.	Bostadsadress.

7.	Den slutliga eller sista bestämmelseorten i EU för hela resan.

Följande information för varje etapp av resan fram till den medlemsstat som kräver PLF:

a)	Avgångsplats.

b)	Ankomstplats.

c)	Datum för avresa.

d)	Typ av transport (t.ex. flyg, tåg, buss, färja, fartyg).

e)	Tidpunkt för avresa.

f)	Transportens identifieringsnummer (t.ex. flightnummer, tågnummer, bussregistreringsnummer, färje- eller fartygsnamn).

g)	Plats-/hyttnummer.

BILAGA II

DE DELTAGANDE MEDLEMSSTATERNAS ANSVAR SOM GEMENSAMT PERSONUPPGIFTSANSVARIGA FÖR PLF-UTBYTESPLATTFORMEN

AVSNITT 1

Ansvarsfördelning

Varje behörig EWRS-myndighet ska se till att behandlingen av PLF-uppgifter och de ytterligare epidemiologiska uppgifter som utbyts via PLF-utbytesplattformen utförs i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 (*). Den ska särskilt se till att de uppgifter som den matar in och överför via PLF-utbytesplattformen är korrekta och begränsade till de uppgifter som anges i artikel 2b i detta beslut.

Varje behörig EWRS-myndighet förblir den enda personuppgiftsansvariga för insamling, användning, utlämnande och annan behandling av PLF-uppgifter och ytterligare epidemiologiska uppgifter som utförs utanför PLF-utbytesplattformen. Varje behörig EWRS-myndighet ska se till att överföringen av uppgifterna sker i enlighet med de tekniska specifikationer som fastställts för PLF-utbytesplattformen.

Instruktioner till personuppgiftsbiträdet ska skickas genom någon av de gemensamt personuppgiftsansvarigas kontaktpunkt, i samförstånd med övriga gemensamt personuppgiftsansvariga.

Endast personer som godkänts av de behöriga EWRS-myndigheterna får ha tillgång till PLF-uppgifter och ytterligare epidemiologiska uppgifter som utbyts via PLF-utbytesplattformen.

Varje behörig EWRS-myndighet ska inrätta en kontaktpunkt med en funktionsbrevlåda för kommunikationen mellan de gemensamt personuppgiftsansvariga och mellan de gemensamt personuppgiftsansvariga och personuppgiftsbiträdet. De gemensamt personuppgiftsansvarigas beslutsprocess styrs av EWRS hälsosäkerhetskommittés arbetsgrupp.

Varje behörig EWRS-myndighet ska upphöra att vara gemensam personuppgiftsansvarig från och med den dag då den inte längre deltar i PLF-utbytesplattformen. Den ska dock förbli ansvarig för all insamling och överföring av PLF-uppgifter och ytterligare epidemiologiska uppgifter via PLF-utbytesplattformen som ägde rum innan den avslutade sitt deltagande.

Varje behörig EWRS-myndighet ska föra ett register över all behandling som utförts under dess ansvar. Gemensamt personuppgiftsansvar får anges i registret.

AVSNITT 2

Ansvarsområden och roller vid hantering av förfrågningar från och information till registrerade

Varje behörig EWRS-myndighet som kräver ett PLF ska förse de gränsöverskridande passagerarna (nedan kallade de registrerade) med information om omständigheterna kring utbytet av deras PLF och epidemiologiska uppgifter via PLF-utbytesplattformen för kontaktspårning, i enlighet med artiklarna 13 och 14 i förordning (EU) 2016/679.

Varje behörig EWRS-myndighet ska fungera som kontaktpunkt för de registrerade och ska behandla förfrågningar som rör utövandet av deras rättigheter i enlighet med förordning (EU) 2016/679 och som lämnas in av dem eller deras företrädare. Varje behörig EWRS-myndighet ska utse en särskild kontaktpunkt för förfrågningar från registrerade. Om en behörig EWRS-myndighet får en förfrågan från en registrerad som inte omfattas av dess ansvar, ska den omedelbart vidarebefordra denna förfrågan till den berörda behöriga EWRS-myndigheten och informera Europeiska centrumet för förebyggande och kontroll av sjukdomar. De behöriga EWRS-myndigheterna ska på begäran bistå varandra i hanteringen av registrerades förfrågningar om det gemensamma personuppgiftsansvaret och ska svara varandra utan onödigt dröjsmål, senast inom 15 dagar från mottagandet av en begäran om bistånd.

Varje behörig EWRS-myndighet ska ge de registrerade tillgång till innehållet i denna bilaga, inbegripet de arrangemang som fastställs i punkterna 1 och 2.

AVSNITT 3

Hantering av säkerhetsincidenter, inbegripet personuppgiftsincidenter

De behöriga EWRS-myndigheterna ska, i egenskap av gemensamt personuppgiftsansvariga, bistå varandra vid identifiering och hantering av säkerhetsincidenter, inbegripet personuppgiftsincidenter, i samband med behandlingen av PLF och epidemiologiska uppgifter som utbyts via PLF-utbytesplattformen.

De ska särskilt underrätta varandra och Europeiska centrumet för förebyggande och kontroll av sjukdomar om följande:

a)	Varje potentiell eller faktisk risk för tillgängligheten till samt sekretessen och/eller integriteten hos de PLF-uppgifter och epidemiologiska uppgifter som behandlas via PLF-utbytesplattformen.

b)	Varje personuppgiftsincident, de sannolika konsekvenserna av personuppgiftsincidenten och bedömningen av risken för fysiska personers fri- och rättigheter samt alla åtgärder som vidtagits för att åtgärda personuppgiftsincidenten och minska risken för fysiska personers rättigheter och friheter.

c)	Varje överträdelse av tekniska och/eller organisatoriska skyddsåtgärder avseende behandlingen via PLF-utbytesplattformen.

De behöriga EWRS-myndigheterna ska anmäla alla personuppgiftsincidenter vad gäller behandlingen via PLF-utbytesplattformen till Europeiska centrumet för förebyggande och kontroll av sjukdomar, till behöriga tillsynsmyndigheter och, där så krävs, till de registrerade, i enlighet med artiklarna 33 och 34 i förordning (EU) 2016/679 eller efter anmälan av Europeiska centrumet för förebyggande och kontroll av sjukdomar.

Varje behörig EWRS-myndighet ska genomföra lämpliga tekniska och organisatoriska åtgärder för att

a)	säkerställa och skydda säkerheten, integriteten och sekretessen hos de personuppgifter som behandlas gemensamt,

b)	skydda mot obehörig eller olaglig behandling, förlust, användning, röjande eller förvärv av eller tillgång till personuppgifter som den innehar,

c)	säkerställa att tillgången till personuppgifterna inte röjs eller tillåts för någon annan än mottagaren eller personuppgiftsbiträdet.

AVSNITT 4

Konsekvensbedömning avseende dataskydd

Om en personuppgiftsansvarig behöver information från en annan personuppgiftsansvarig, för att kunna uppfylla sina skyldigheter enligt artiklarna 35 och 36 i förordning (EU) 2016/679, ska en särskild begäran skickas till den funktionsbrevlåda som avses i avsnitt 1 underavsnitt 1.5. Den andra personuppgiftsansvariga ska göra sitt yttersta för att tillhandahålla sådan information.

BILAGA III

ANSVAR SOM ÅLIGGER EUROPEISKA CENTRUMET FÖR FÖREBYGGANDE OCH KONTROLL AV SJUKDOMAR SOM PERSONUPPGIFTSBITRÄDE FÖR PLF-UTBYTESPLATTFORMEN

Europeiska centrumet för förebyggande och kontroll av sjukdomar ska inrätta och säkerställa en säker och tillförlitlig kommunikationsinfrastruktur som kopplar samman de behöriga EWRS-myndigheterna i de medlemsstater som deltar i PLF-utbytesplattformen.

Att Europeiska centrumet för förebyggande och kontroll av sjukdomar svarar för PLF-utbytesplattformen innebär följande:

a)	Fastställande av en minimiuppsättning tekniska krav för att möjliggöra en smidig och säker till- och frånkoppling av nationella PLF-databaser.

b)	Säkerställande av interoperabilitet mellan nationella PLF-databaser på ett säkert och automatiserat sätt.

För att uppfylla sina skyldigheter som personuppgiftsbiträde för PLF-utbytesplattformen ska Europeiska centrumet för förebyggande och kontroll av sjukdomar anlita kommissionen som delegerat personuppgiftsbiträde och se till att samma dataskyddsskyldigheter som anges i detta beslut gäller för kommissionen.

Europeiska centrumet för förebyggande och kontroll av sjukdomar får bemyndiga kommissionen att anlita tredje parter som delegerade personuppgiftsbiträden.

Om kommissionen delegerar behandlingen ska Europeiska centrumet för förebyggande och kontroll av sjukdomar

a)	säkerställa att dataskyddsskyldigheterna i detta beslut även tillämpas på dessa delegerade personuppgiftsbiträden,

b)	informera de personuppgiftsansvariga om alla planerade ändringar som rör tillägg eller ersättning av andra delegerade personuppgiftsbiträden, och därigenom ge de personuppgiftsansvariga möjlighet att med enkel majoritet invända mot sådana ändringar.

Europeiska centrumet för förebyggande och kontroll av sjukdomar har i uppgift att

a)	inrätta och säkerställa en säker och tillförlitlig kommunikationsinfrastruktur som kopplar samman de behöriga EWRS-myndigheterna i de medlemsstater som deltar i PLF-utbytesplattformen,

behandla PLF och ytterligare epidemiologiska uppgifter endast på grundval av dokumenterade instruktioner från de personuppgiftsansvariga, såvida detta inte krävs enligt unionsrätten; i sådant fall ska Europeiska centrumet för förebyggande och kontroll av sjukdomar informera de personuppgiftsansvariga om det rättsliga kravet innan uppgifterna behandlas, såvida det inte är förbjudet att lämna sådana uppgifter med hänvisning till ett viktigt allmänintresse enligt denna rätt,

c)	införa en säkerhetsplan, en driftskontinuitetsplan och en katastrofplan,

d)	vidta nödvändiga åtgärder för att bevara integriteten hos de PLF-uppgifter och ytterligare epidemiologiska uppgifter som behandlas,

vidta alla organisatoriska, fysiska och logiska säkerhetsåtgärder enligt teknikens nuvarande ståndpunkt som krävs för att upprätthålla PLF-utbytesplattformen. Europeiska centrumet för förebyggande och kontroll av sjukdomar ska i detta syfte göra följande:

i)	Utse en enhet som ansvarar för PLF-utbytesplattformens säkerhetsförvaltning, meddela de personuppgiftsansvariga enhetens kontaktuppgifter och säkerställa att den kan hantera säkerhetshot.

ii)	Ta på sig ansvaret för säkerheten inom PLF-utbytesplattformen.

iii)	Säkerställa att alla personer som beviljas tillgång till PLF-utbytesplattformen omfattas av avtalsenlig, yrkesmässig eller lagstadgad tystnadsplikt.

Vidta alla nödvändiga säkerhetsåtgärder så att PLF-utbytesplattformen fungerar smidigt. I detta syfte ska Europeiska centrumet för förebyggande och kontroll av sjukdomar införa särskilda förfaranden för hur PLF-utbytesplattformen och anslutningen från backend-servrarna till PLF-utbytesplattformen ska fungera. Häri ingår:

i)	Ett riskbedömningsförfarande, för att identifiera och utvärdera potentiella hot mot systemet.

ii)

Ett revisions- och granskningsförfarande för att

1)	kontrollera sambandet mellan de genomförda säkerhetsåtgärderna och den tillämpliga säkerhetspolicyn,

2)	regelbundet kontrollera systemfilernas, säkerhetsparametrarnas och de beviljade tillståndens integritet,

3)	upptäcka och övervaka säkerhetsöverträdelser och intrång,

4)	implementera ändringar för att minska befintliga säkerhetsbrister,

5)	möjliggöra, även på begäran av personuppgiftsansvariga, och bidra till oberoende revisioner, inbegripet inspektioner, och översyner av säkerhetsåtgärder, på villkor som följer protokoll nr 7 till EUF-fördraget om Europeiska unionens immunitet och privilegier (2).

iii)	Ändring av kontrollförfarandet för att dokumentera och mäta effekten av en ändring innan den genomförs och hålla de personuppgiftsansvariga informerade om samtliga ändringar som kan påverka kommunikationen med och/eller säkerheten i deras infrastrukturer.

iv)	Inrättande av ett underhålls- och reparationsförfarande för att fastställa de regler och villkor som ska följas vid underhåll och/eller reparation av utrustning.

v)	Inrättande av ett förfarande för it-incidenter för att fastställa ett rapporterings- och eskaleringssystem, omedelbart informera de personuppgiftsansvariga samt Europeiska datatillsynsmannen om personuppgiftsincidenter och fastställa ett disciplinärt förfarande för att åtgärda dessa.

Vidta fysiska och/eller elektroniska säkerhetsåtgärder enligt teknikens nuvarande ståndpunkt för de anläggningar där utrustningen för PLF-utbytesplattformen finns och för kontroller av tillgången till data och säkerhet. I detta syfte ska Europeiska centrumet för förebyggande och kontroll av sjukdomar göra följande:

i)	Införa fysiska säkerhetsåtgärder för att upprätta tydliga säkerhetsperimetrar och möjliggöra att överträdelser upptäcks.

ii)	Kontrollera tillträdet till anläggningar och upprätthålla ett besöksregister för spårning.

iii)	Säkerställa att externa personer som beviljas tillträde till lokaler åtföljs av vederbörligen bemyndigad personal.

iv)	Säkerställa att utrustning inte kan läggas till, ersättas eller avlägsnas utan förhandstillstånd från utsedda ansvariga organ.

v)	Kontrollera tillgången mellan de nationella PLF-systemen och PLF-utbytesplattformen.

vi)	Säkerställa att personer som får tillgång till PLF-utbytesplattformen identifieras och autentiseras.

vii)	Se över de tillståndsrättigheter som gäller tillgång till PLF-utbytesplattformen vid säkerhetsöverträdelser som påverkar denna infrastruktur.

viii)

Vidta tekniska och organisatoriska säkerhetsåtgärder för att förhindra obehörigt tillträde till PLF-uppgifter och epidemiologiska uppgifter.

ix)	Vid behov vidta åtgärder för att blockera obehörig tillgång till PLF-utbytesplattformen från de nationella myndigheternas domän (dvs. blockera en plats/en IP-adress).

h)	Vidta åtgärder för att skydda sin domän, inklusive genom frånkoppling, vid betydande avvikelser från principerna och koncepten för kvalitet eller säkerhet.

i)	Upprätthålla en riskhanteringsplan för sitt ansvarsområde.

j)	Övervaka – i realtid – prestanda för alla tjänstekomponenter i sina tjänster i PLF-utbytesplattformen, ta fram regelbunden statistik och upprätthålla register.

k)	Se till att tjänsten är tillgänglig dygnet runt och året runt, med godtagbara driftstopp i underhållssyfte.

Ge stöd för alla tjänster i PLF-utbytesplattformen på engelska via telefon, e-post eller webbportalen och godta samtal från godkända personer som ringer upp: Samordnare vid PLF-utbytesplattformen och deras respektive hjälptjänster, projektledare och utsedda personer från Europeiska centrumet för förebyggande och kontroll av sjukdomar.

m)	Bistå de personuppgiftsansvariga med lämpliga tekniska och organisatoriska åtgärder, när detta är möjligt, i syfte att fullgöra den personuppgiftsansvarigas skyldigheter att besvara begäran om utövande av den registrerades rättigheter enligt kapitel III i förordning (EU) 2016/679.

n)	Stödja de personuppgiftsansvariga genom att tillhandahålla information om PLF-utbytesplattformen, i syfte att genomföra skyldigheterna enligt artiklarna 32, 35 och 36 i förordning (EU) 2016/679.

o)	Säkerställa att PLF och epidemiologiska uppgifter som överförs via PLF-utbytesplattformen är obegripliga för alla personer som inte är behöriga att få tillgång till dem, särskilt genom användning av stark kryptering.

p)	Vidta alla relevanta åtgärder för att förhindra att de som administrerar PLF-utbytesplattformen har obehörigt tillträde till överförda PLF-uppgifter och epidemiologiska uppgifter.

q)	Vidta åtgärder för att underlätta interoperabiliteten och kommunikationen mellan PLF-utbytesplattformens utsedda personuppgiftsansvariga.

r)	Föra ett register över behandling som utförts för de personuppgiftsansvarigas räkning i enlighet med artikel 31.2 i Europaparlamentets och rådets förordning (EU) 2018/1725.

”

(*) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 4.5.2016, s. 1).

Top