Akt prawny
obowiązujący
Wersja aktualna od 2021-05-31
Wersja aktualna od 2021-05-31
obowiązujący
Alerty
DECYZJA WYKONAWCZA KOMISJI (UE) 2021/858
z dnia 27 maja 2021 r.
zmieniająca decyzję wykonawczą (UE) 2017/253 w odniesieniu do ostrzeżeń uruchamianych w związku z poważnymi transgranicznymi zagrożeniami zdrowia oraz na potrzeby ustalania kontaktów zakaźnych pasażerów zidentyfikowanych na podstawie kart lokalizacji pasażera
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając decyzję Parlamentu Europejskiego i Rady nr 1082/2013/UE z dnia 22 października 2013 r. w sprawie poważnych transgranicznych zagrożeń zdrowia oraz uchylającą decyzję nr 2119/98/WE (1), w szczególności jej art. 8 ust. 2,
a także mając na uwadze, co następuje:
(1) | Stwierdzenie zakażenia COVID-19 po odbyciu podróży transgranicznej spełnia kryteria określone w art. 9 ust. 1 decyzji 1082/2013/UE, ponieważ zakażenie to może nadal powodować znaczną umieralność u ludzi, może rozwijać się szybko, oddziałuje na więcej niż jedno państwo członkowskie i może wymagać skoordynowanych działań na szczeblu Unii. Zgodnie z pkt 23 zalecenia (UE) 2020/1475 z dnia 13 października 2020 r. w sprawie skoordynowanego podejścia do ograniczenia swobodnego przepływu w odpowiedzi na pandemię COVID-19 (2) informacje o przypadkach zakażenia COVID-19 wykrytych w momencie przybycia danej osoby na terytorium państwa członkowskiego należy niezwłocznie przekazywać organom ds. zdrowia publicznego państw, w których dana osoba przebywała w ciągu ostatnich 14 dni, na potrzeby ustalania kontaktów zakaźnych, przy użyciu systemu wczesnego ostrzegania i reagowania ("EWRS") ustanowionego na mocy art. 8 decyzji 1082/2013/UE i obsługiwanego przez Europejskie Centrum ds. Zapobiegania i Kontroli Chorób ("ECDC"). |
(2) | Zgodnie z zaleceniem (UE) 2020/1475 państwa członkowskie mogą wymagać od osób przybywających na ich terytorium przedłożenia kart lokalizacji pasażera ("PLF") zgodnie z wymogami ochrony danych osobowych. |
(3) | Nakładając obowiązek wypełniania krajowych PLF w różnych formatach, państwa członkowskie zbierają dane PLF od pasażerów transgranicznych przybywających na ich terytorium. Dane te są wykorzystywane między innymi w przypadku gdy u osoby, która wypełniła PLF, wykryto zakażenie COVID-19; dane zebrane w PLF są wówczas wykorzystywane do ustalenia trasy podróży tej osoby i przekazania odpowiednich informacji państwom członkowskim, które muszą przeprowadzić procedury ustalania kontaktów zakaźnych w odniesieniu do osób, które mogły być narażone na kontakt z zakażonym pasażerem. |
(4) | Organy ds. zdrowia publicznego w niektórych państwach członkowskich prowadziły już wymianę danych osobowych zebranych za pośrednictwem krajowych PLF do celów ustalania kontaktów zakaźnych w kontekście pandemii COVID-19. Wymiana ta odbywała się w szczególności za pośrednictwem obecnej infrastruktury technicznej dostępnej w ramach EWRS. |
(5) | Infrastruktura techniczna dostępna obecnie w ramach EWRS nie jest jeszcze przygotowana do obsługi wolumenu danych PLF generowanych w wyniku systematycznego stosowania PLF na szeroką skalę. Na przykład nie umożliwia ona przenoszenia danych między różnymi formatami krajowymi i wymaga ich ręcznego wprowadzania, co niekorzystnie wpływa na terminowość i skuteczność ustalania kontaktów zakaźnych. Dotyczy to w szczególności sytuacji, w której ustalanie kontaktów zakaźnych należy przeprowadzić w odniesieniu do pasażerów transgranicznych, którzy podróżowali środkami transportu zbiorowego z przydzielonymi miejscami siedzącymi (samoloty, niektóre pociągi, promy i rejsy wycieczkowe), gdzie liczba narażonych pasażerów i czas narażenia na kontakt z zakażonym pasażerem mogą być znaczne. |
(6) | Aby umożliwić bezpieczną, terminową i skuteczną wymianę danych między właściwymi organami EWRS w państwach członkowskich, należy zatem stworzyć infrastrukturę techniczną, zwaną "platformą wymiany PLF", która pozwoli na przekazywanie informacji z istniejących krajowych systemów cyfrowych PLF pozostałym właściwym organom EWRS w sposób interoperacyjny i automatyczny. Infrastruktura ta powinna bazować na platformie wymiany stworzonej przez Agencję Unii Europejskiej ds. Bezpieczeństwa Lotniczego ("EASA"), przy czym EASA nie powinna odgrywać żadnej roli w kontekście przetwarzania danych osobowych za pośrednictwem platformy wymiany PLF, jak określono w niniejszej decyzji wykonawczej. Platforma wymiany PLF powinna również umożliwiać wymianę ograniczonych danych epidemiologicznych niezbędnych do ustalania kontaktów zakaźnych zgodnie z art. 9 ust. 3 decyzji 1082/2013/UE. Aby uniknąć podejmowania sprzecznych działań lub ich powielania w ramach istniejących struktur i mechanizmów monitorowania poważnych transgranicznych zagrożeń zdrowia, wczesnego ostrzegania o nich i ich zwalczania, platforma wymiany PLF powinna zostać opracowana w ramach EWRS jako uzupełnienie modułu selektywnego przekazywania wiadomości istniejącego w ramach tego systemu. |
(7) | Platforma wymiany PLF powinna być obsługiwana przez ECDC zgodnie z art. 8 rozporządzenia (WE) nr 851/2004 Parlamentu Europejskiego i Rady (3). |
(8) | Na platformie wymiany PLF nie należy przechowywać danych PLF ani danych epidemiologicznych podlegających wymianie. |
(9) | Jeżeli państwo członkowskie nie posiada opracowanego na szczeblu krajowym systemu cyfrowych PLF, może ono korzystać ze wspólnego unijnego systemu cyfrowych kart lokalizacji pasażera ("system EUdPLF"), którego opracowanie zleciła Komisja w ramach wspólnego działania "EU Healthy Gateways" (grant nr 801493) (4). Celem systemu EUdPLF jest utworzenie pojedynczego punktu wejścia i bazy danych na potrzeby zbierania danych PLF. W przyszłości system EUdPLF powinien zostać połączony z platformą wymiany PLF wyłącznie w celu umożliwiania wymiany danych między państwami członkowskimi posiadającymi własne krajowe systemy cyfrowych PLF a państwami członkowskimi korzystającymi z systemu EUdPLF. Niniejsza decyzja nie obejmuje utworzenia systemu EUdPLF ani nie reguluje związanej z tym kwestii przetwarzania danych osobowych. |
(10) | Niniejsza decyzja nie reguluje kwestii tworzenia krajowych PLF - decyzję w tym zakresie podejmują państwa członkowskie. Państwa członkowskie mogą swobodnie zdecydować, czy PLF są zbierane od wszystkich pasażerów przybywających na ich terytorium, czy tylko od pasażerów, w przypadku których to państwo członkowskie jest miejscem zakończenia podróży. Aby transgraniczne ustalanie kontaktów zakaźnych w oparciu o dane PLF było skuteczne, państwa członkowskie powinny gromadzić przy pomocy krajowych PLF wspólny minimalny zbiór danych PLF. Należy zatem określić ten minimalny zbiór danych PLF. Ponadto ze względu na oszczędność kosztową, trwałość i większe bezpieczeństwo rozwiązania państwa członkowskie powinny rozważyć przyjęcie wspólnego podejścia w odniesieniu do żądania wypełnienia PLF przez wszystkich pasażerów, w tym pasażerów tranzytowych, lub jedynie przez tych pasażerów, w przypadku których dane państwo członkowskie jest miejscem zakończenia podróży. |
(11) | Korzystanie z platformy wymiany PLF powinno być dobrowolne, a państwa członkowskie powinny mieć możliwość podjęcia decyzji o zgłaszaniu ostrzeżeń w ramach obecnej infrastruktury technicznej EWRS, tymczasowo i pod warunkiem, że nie zagraża to celowi ustalania kontaktów zakaźnych. |
(12) | Zgodnie z zasadą minimalizacji danych w ramach przetwarzania danych osobowych właściwe organy EWRS powinny wymieniać się jedynie ściśle określonymi zbiorami danych zbieranych przy pomocy PLF i innymi ograniczonymi zbiorami danych epidemiologicznych niezbędnych do ustalania kontaktów zakaźnych. W przypadku gdy państwo członkowskie zgłaszające ostrzeżenie w związku z zakażonym pasażerem jest w stanie - na podstawie dostępnych mu danych PLF - określić wszystkie zainteresowane państwa członkowskie, powinno ono przekazać dane wyłącznie właściwym organom EWRS w tych państwach członkowskich. Ma to np. miejsce, gdy państwo członkowskie, które zidentyfikowało zakażonego pasażera, zbiera PLF od wszystkich pasażerów, w tym pasażerów tranzytowych, przybywających na jego terytorium bezpośrednim połączeniem z pierwotnego miejsca rozpoczęcia podróży. |
(13) | W przypadku stwierdzenia zakażenia SARS-CoV-2 u pasażera w danym państwie członkowskim właściwe organy EWRS w tym państwie członkowskim powinny mieć możliwość przekazania właściwym organom EWRS w państwie członkowskim, w którym pasażer rozpoczął podróż, ograniczonego zbioru danych wyekstrahowanych z PLF, które powinny być ściśle określone w odniesieniu do tego, co jest konieczne do ustalania kontaktów zakaźnych osób narażonych w państwie członkowskim, w którym pasażer rozpoczął podróż, i w państwie, w którym znajduje się jego miejsce zamieszkania - jeżeli państwo to różni się od państwa członkowskiego, w którym rozpoczął podróż - a mianowicie tożsamości i danych kontaktowych zakażonego pasażera. |
(14) | Ponadto w przypadku stwierdzenia zakażenia SARS-CoV-2 u pasażera w danym państwie członkowskim właściwe organy EWRS w tym państwie członkowskim powinny mieć również możliwość wymiany ograniczonego zbioru danych z właściwymi organami EWRS we wszystkich państwach członkowskich lub w zainteresowanych państwach członkowskich, jeżeli organy te posiadają informacje umożliwiające im określenie takich państw członkowskich. Dane te powinny ograniczać się do: miejsca rozpoczęcia podróży, miejsca zakończenia podróży, daty rozpoczęcia podróży, rodzaju wykorzystanego środka transportu (np. samolot, pociąg, autokar, prom, statek), numeru identyfikacyjnego usługi transportowej - tj. numeru lotu, numeru pociągu, tablicy rejestracyjnej autokaru, nazwy promu lub statku, numeru miejsca zakażonego pasażera lub numeru kabiny przez niego zajmowanej oraz godziny rozpoczęcia podróży w przypadku, gdy powyższe dane nie są wystarczające do identyfikacji środka transportu. Powinno to umożliwić właściwym organom EWRS, które otrzymują dane, ustalenie, czy na ich terytorium przybyli narażeni pasażerowie, i jeżeli tak jest - ustalenie ich kontaktów zakaźnych. |
(15) | Udostępniając dane innym właściwym organom EWRS za pośrednictwem platformy wymiany PLF, odpowiedni właściwy organ EWRS powinien mieć możliwość dodania informacji epidemiologicznych, ograniczających się do informacji, które są konieczne do ustalania kontaktów zakaźnych, tj. informacji o rodzaju przeprowadzonego testu na COVID-19, wariancie wirusa wywołującego SARS-CoV-2 oraz dacie pobrania próbki i dacie pojawienia się objawów. |
(16) | Przetwarzanie danych osobowych zakażonych pasażerów, wymienianych za pośrednictwem platformy wymiany PLF, powinno być prowadzone przez właściwe organy EWRS zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (5). Przetwarzanie danych osobowych, za które odpowiadają: ECDC jako operator platformy wymiany PLF do celów ustalania kontaktów zakaźnych oraz Komisja jako jego podwykonawca, musi odbywać się zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 (6). |
(17) | Podstawę prawną wymiany danych osobowych zakażonych pasażerów, w tym danych dotyczących zdrowia, między właściwymi organami EWRS do celów ustalania kontaktów zakaźnych określono w art. 9 ust. 1 i art. 9 ust. 3 lit. i) decyzji 1082/2013/UE zgodnie z art. 6 ust. 1 lit. c) i art. 9 ust. 2 lit. i) rozporządzenia (UE) 2016/679. Niniejsza decyzja powinna określać odpowiednie i konkretne środki ochrony praw i wolności osoby, której dane dotyczą. Powinny one obejmować środki dotyczące określania niezbędnych zbiorów danych podlegających wymianie, właściwych organów EWRS uczestniczących w wymianie danych w różnych przypadkach, odpowiednich środków bezpieczeństwa, w tym szyfrowania, oraz sposobów przetwarzania danych, w którym uczestniczą właściwe organy krajowe w ramach platformy wymiany PLF w Unii Europejskiej. |
(18) | Właściwe organy EWRS uczestniczące w platformie wymiany PLF wspólnie określają cel i sposoby przetwarzania danych osobowych w ramach platformy wymiany PLF, a zatem są współadministratorami danych. Art. 26 rozporządzenia (UE) 2016/679 nakłada na współadministratorów obowiązek określenia w przejrzysty sposób odpowiednich zakresów swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z tego rozporządzenia. W artykule tym przewidziano również, że spoczywające na współadministratorach obowiązki i ich zakres mogą być określone przez prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. Niniejsza decyzja powinna zatem określać odpowiednie role i zakresy odpowiedzialności współadministratorów. |
(19) | ECDC, jako dostawca rozwiązań technicznych i organizacyjnych na potrzeby platformy wymiany PLF, przetwarza dane PLF i dane epidemiologiczne w imieniu państw członkowskich uczestniczących w platformie wymiany PLF jako współadministratorzy, a zatem jest podmiotem przetwarzającym w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725. Zgodnie z art. 28 rozporządzenia (UE) 2016/679 i art. 29 rozporządzenia (UE) 2018/1725 przetwarzanie przez podmiot przetwarzający powinno odbywać się na podstawie umowy lub instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora oraz określają przetwarzanie danych. Konieczne jest zatem określenie zasad dotyczących przetwarzania przez ECDC jako podmiot przetwarzający. |
(20) | Art. 3 ust. 3 rozporządzenia (WE) nr 851/2004 stanowi, że ECDC, Komisja i państwa członkowskie współpracują w celu promowania skutecznej spójności ich odpowiednich działań. W związku z tym Komisja i ECDC powinny zawierać umowy o gwarantowanym poziomie usług, aby współpracować w trakcie rozwoju technicznego i eksploatacji platformy wymiany PLF. Umowy te muszą określać podział obowiązków (organizacyjnych, finansowych i natury technologicznej) między stronami, aby ułatwiać wdrażanie platformy wymiany PLF oraz środków technicznych związanych z jej eksploatacją, utrzymaniem i dalszym rozwojem. |
(21) | Należy zatem odpowiednio zmienić decyzję wykonawczą (UE) 2017/253. |
(22) | Platforma wymiany PLF ma być finansowana w 2021 r. z instrumentu wsparcia w sytuacjach nadzwyczajnych, który wprowadzono, aby pomóc państwom członkowskim w reagowaniu na pandemię koronawirusa poprzez strategiczne i skoordynowane zaspokajanie potrzeb na szczeblu europejskim, a także poprzez "Działania wspierające wspólną politykę transportową, bezpieczeństwo transportu i ochronę praw pasażerów, w tym działania komunikacyjne". W 2022 r. wspomniana platforma ma być finansowana w ramach programu "Cyfrowa Europa". |
(23) | Biorąc pod uwagę przewidywaną datę rozpoczęcia eksploatacji platformy wymiany PLF, niniejsza decyzja powinna mieć zastosowanie od dnia 1 czerwca 2021 r. Wymiany danych należy zaprzestać po upływie 12 miesięcy lub po ogłoszeniu przez Dyrektora Generalnego Światowej Organizacji Zdrowia, zgodnie z Międzynarodowymi przepisami zdrowotnymi, końca stanu zagrożenia zdrowia publicznego o zasięgu międzynarodowym spowodowanego przez SARS-CoV-2, jeżeli takiego ogłoszenia dokonano wcześniej. |
(24) | Eksploatacja platformy wymiany PLF powinna ograniczać się do celu, jakim jest kontrola pandemii COVID-19. Zakres działania platformy mógłby jednak w przyszłości zostać rozszerzony w drodze zmieniającej decyzji wykonawczej i objąć takie epidemie, które mogą wymagać od państw członkowskich wymiany danych PLF do celów ustalania kontaktów zakaźnych, zgodnie z kryteriami określonymi w art. 9 ust. 1 i warunkami określonymi w art. 9 ust. 3 decyzji 1082/2013/UE. |
(25) | Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 6 maja 2021 r. |
(26) | Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ds. Poważnych Transgranicznych Zagrożeń Zdrowia ustanowionego na mocy art. 18 decyzji nr 1082/2013/UE, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
W decyzji wykonawczej (UE) 2017/253 wprowadza się następujące zmiany:
1) | dodaje się art. 1a w brzmieniu: "Artykuł 1a Definicje Do celów niniejszej decyzji stosuje się następujące definicje:
|
2) | dodaje się art. 2a, 2b i 2c w brzmieniu: "Artykuł 2a Platforma wymiany danych PLF 1. W ramach EWRS ustanawia się platformę na potrzeby bezpiecznej wymiany danych PLF zakażonych pasażerów wyłącznie do celów ustalania przez właściwe organy EWRS kontaktów zakaźnych związanych z SARS-CoV-2 i dotyczących osób narażonych (»platforma wymiany PLF«) jako uzupełnienie modułu selektywnego przekazywania wiadomości istniejącego w ramach tego systemu. Platforma wymiany PLF zapewnia cyfrowy punkt wejścia dla właściwych organów EWRS, aby umożliwić bezpieczne połączenie ich krajowych systemów cyfrowych PLF lub połączenie za pośrednictwem wspólnego unijnego cyfrowego systemu kart lokalizacji pasażera (»system EUdPLF«), w celu umożliwienia wymiany danych zbieranych za pomocą PLF. Zgodnie z art. 2b ust. 5 właściwe organy EWRS mają możliwość korzystania z platformy wymiany PLF w celu wymiany dodatkowych danych, tj. danych epidemiologicznych wyłącznie do celów ustalania kontaktów zakaźnych związanych z SARS-CoV-2 i dotyczących osób narażonych. 2. Platforma wymiany PLF jest obsługiwana przez ECDC. 3. Aby wywiązać się z wynikających z art. 2 obowiązków w zakresie powiadamiania o poważnych transgranicznych zagrożeniach zdrowia zidentyfikowanych w kontekście zbierania danych PLF, właściwe organy EWRS w państwach członkowskich, które wymagają wypełnienia PLF, dokonują wymiany zbioru danych PLF za pośrednictwem platformy wymiany PLF, jak określono w art. 2b. 4. Właściwe organy EWRS mogą nadal tymczasowo wypełniać swoje obowiązki wynikające z art. 9 ust. 1 i 3 decyzji 1082/2013/UE w zakresie powiadamiania o poważnych transgranicznych zagrożeniach zdrowia zidentyfikowanych w kontekście zbierania danych PLF za pośrednictwem innych istniejących kanałów łączności, o których mowa w art. 1 ust. 2 niniejszej decyzji, pod warunkiem że wybór ten nie zagraża celowi ustalania kontaktów zakaźnych. 5. W platformie wymiany PLF nie przechowuje się danych PLF ani dodatkowych danych epidemiologicznych. Umożliwia ona jedynie otrzymywanie przez właściwe organy EWRS danych, które zostały im przesłane przez inne właściwe organy EWRS wyłącznie do celów ustalania kontaktów zakaźnych związanych z SARS-CoV-2. ECDC posiada dostęp do danych wyłącznie w celu zapewnienia prawidłowego funkcjonowania platformy wymiany PLF. 6. Właściwe organy EWRS nie przechowują danych PLF ani danych epidemiologicznych otrzymanych za pośrednictwem platformy wymiany PLF przez okres dłuższy niż okres przechowywania mający zastosowanie w kontekście ich krajowych działań w zakresie ustalania kontaktów zakaźnych związanych z SARS-CoV-2. 7. Komisja współpracuje z ECDC przy realizacji zadań powierzonych mu na mocy niniejszej decyzji, w szczególności w odniesieniu do środków technicznych i organizacyjnych związanych z wprowadzaniem, wdrażaniem, eksploatacją, utrzymywaniem i dalszym rozwojem platformy wymiany PLF. 8. Przetwarzanie danych osobowych na platformie wymiany PLF wyłącznie do celów ustalania kontaktów zakaźnych związanych z SARS-CoV-2 odbywa się do dnia 31 maja 2022 r. lub do momentu ogłoszenia przez Dyrektora Generalnego Światowej Organizacji Zdrowia, zgodnie z Międzynarodowymi przepisami zdrowotnymi, końca stanu zagrożenia zdrowia publicznego o zasięgu międzynarodowym spowodowanego przez SARS-CoV-2, w zależności do tego, co nastąpi wcześniej. Artykuł 2b Dane podlegające wymianie 1. Zgłaszając ostrzeżenie za pośrednictwem platformy wymiany PLF, właściwe organy EWRS w państwie członkowskim, w którym zidentyfikowano zakażonego pasażera, przekazują właściwym organom EWRS w państwie członkowskim będącym pierwotnym miejscem rozpoczęcia podróży przez zakażonego pasażera lub w państwie, w którym znajduje się jego miejsce zamieszkania - w przypadku gdy miejsce zamieszkania jest inne niż pierwotne miejsce rozpoczęcia podróży - następujące dane PLF:
2. Właściwe organy EWRS w państwie członkowskim będącym pierwotnym miejscem rozpoczęcia podróży przez zakażonego pasażera mogą przekazać otrzymane dane PLF państwu członkowskiemu, w którym pasażer rozpoczął podróż i które jest inne niż państwo zadeklarowane w PLF jako państwo członkowskie będące pierwotnym miejscem rozpoczęcia podróży, jeżeli posiadają dodatkowe informacje wskazujące państwo członkowskie, które powinno ustalić kontakty zakaźne. 3. Zgłaszając ostrzeżenie za pośrednictwem platformy wymiany PLF, właściwe organy EWRS w państwie członkowskim, w którym zidentyfikowano zakażonego pasażera, przekazują właściwym organom EWRS we wszystkich państwach członkowskich następujące dane PLF w odniesieniu do każdego odcinka podróży tego pasażera:
4. W przypadku gdy właściwe organy EWRS w państwie członkowskim zgłaszającym ostrzeżenie są w stanie - na podstawie dostępnych im informacji - określić zainteresowane państwa członkowskie, przekazują one dane wymienione w ust. 3 wyłącznie właściwym organom EWRS w tych państwach członkowskich. 5. Właściwe organy EWRS muszą być w stanie dostarczyć następujące dane epidemiologiczne, jeżeli jest to konieczne w celu skutecznego ustalania kontaktów zakaźnych:
Artykuł 2c Obowiązki właściwych organów EWRS oraz obowiązki ECDC w zakresie przetwarzania danych PLF 1. Właściwe organy EWRS, które dokonują wymiany danych PLF i danych określonych w art. 2b ust. 5, są współadministratorami do celów wprowadzania i przekazywania tych danych za pośrednictwem platformy wymiany PLF, do czasu ich otrzymania. Podział odpowiednich obowiązków między współadministratorami przebiega zgodnie z załącznikiem II. Każde państwo członkowskie, które chce uczestniczyć w transgranicznej wymianie danych PLF za pośrednictwem platformy wymiany PLF, przed przystąpieniem powiadamia o swoim zamiarze ECDC oraz wskazuje podlegający mu właściwy organ EWRS, który został wyznaczony jako odpowiedzialny administrator. 2. ECDC jest podmiotem przetwarzającym dane wymieniane za pośrednictwem platformy wymiany PLF. Zapewnia ono platformę wymiany PLF i gwarantuje bezpieczeństwo przetwarzania, w tym przekazywania, danych wymienianych za pośrednictwem platformy wymiany PLF oraz wywiązuje się ze zobowiązań podmiotu przetwarzającego, określonych w załączniku III. 3. Skuteczność środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzania danych PLF wymienianych za pośrednictwem platformy wymiany PLF jest regularnie sprawdzana i oceniana przez ECDC oraz właściwe organy EWRS uprawnione do dostępu do platformy wymiany PLF. 4. ECDC angażuje Komisję jako podwykonawcę podmiotu przetwarzającego i zapewnia, aby te same obowiązki w zakresie ochrony danych określone w niniejszej decyzji miały zastosowanie do Komisji."; |
3) | w art. 3 ust. 3 słowo "załączniku" zastępuje się słowem "załączniku IV"; |
4) | w załączniku tytuł "ZAŁĄCZNIK" zastępuje się tytułem "ZAŁĄCZNIK IV"; |
5) | dodaje się załączniki I, II i III zgodnie z załącznikiem do niniejszej decyzji. |
Artykuł 2
Niniejsza decyzja wchodzi w życie trzeciego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejszą decyzję stosuje się od dnia 1 czerwca 2021 r.
Sporządzono w Brukseli dnia 27 maja 2021 r.
W imieniu Komisji
Ursula VON DER LEYEN
Przewodnicząca
(1) Dz.U. L 293 z 5.11.2013, s. 1.
(2) Dz.U. L 337 z 14.10.2020, s. 3.
(3) Rozporządzenie (WE) nr 851/2004 Parlamentu Europejskiego i Rady z dnia 21 kwietnia 2004 r. ustanawiające Europejskie Centrum ds. Zapobiegania i Kontroli Chorób (Dz.U. L 142 z 30.4.2004, s. 1).
(4) Wspólne działanie UE w zakresie gotowości i działań w punktach wjazdu (portach, lotniskach i naziemnych przejściach granicznych) pod nazwą "HEALTHY GATEWAYS" skupia 28 państw europejskich i jest finansowane w ramach trzeciego programu działań Unii w dziedzinie zdrowia (2014-2020).
(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. L 119 z 4.5.2016, s. 1).
(6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
ZAŁĄCZNIK
"ZAŁĄCZNIK I
MINIMALNY ZBIÓR DANYCH PLF, KTÓRE NALEŻY ZBIERAĆ ZA POMOCĄ KRAJOWYCH PLF
PLF zawiera co najmniej następujące dane PLF:
1) | imię; |
2) | nazwisko; |
3) | datę urodzenia; |
4) | numer telefonu (stacjonarnego lub komórkowego); |
5) | adres e-mail; |
6) | adres zamieszkania; |
7) | miejsce zakończenia całej podróży lub jej ostatniego odcinka w UE; |
8) | następujące informacje dotyczące każdego odcinka podróży do państwa członkowskiego wymagającego PLF:
|
ZAŁĄCZNIK II
OBOWIĄZKI UCZESTNICZĄCYCH PAŃSTW CZŁONKOWSKICH JAKO WSPÓŁADMINISTRATORÓW NA POTRZEBY PLATFORMY WYMIANY PLF
SEKCJA 1
Podział obowiązków
1) | Każdy właściwy organ EWRS zapewnia, by dane PLF i dodatkowe dane epidemiologiczne wymieniane za pośrednictwem platformy wymiany PLF były przetwarzane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (*). Organ ten zapewnia w szczególności, aby dane wprowadzane i przesyłane przez niego za pośrednictwem platformy wymiany PLF były dokładne i aby ograniczały się do danych określonych w art. 2b niniejszej decyzji. |
2) | Każdy właściwy organ EWRS pozostaje jedynym administratorem do celów zbierania, wykorzystywania, ujawniania i wszelkiego innego przetwarzania danych PLF i dodatkowych danych epidemiologicznych, prowadzonego poza platformą wymiany PLF. Każdy właściwy organ EWRS zapewnia, aby dane były przekazywane zgodnie ze specyfikacjami technicznymi przewidzianymi w odniesieniu do platformy wymiany PLF. |
3) | Instrukcje dla podmiotu przetwarzającego są wysyłane przez punkt kontaktowy któregokolwiek z współadministratorów w porozumieniu z pozostałymi współadministratorami. |
4) | Dostęp do danych PLF i dodatkowych danych epidemiologicznych wymienianych za pośrednictwem platformy wymiany PLF mogą uzyskać jedynie osoby upoważnione przez właściwe organy EWRS. |
5) | Każdy właściwy organ EWRS ustanawia punkt kontaktowy posiadający funkcyjną skrzynkę pocztową, która służy do komunikacji między współadministratorami oraz między współadministratorami a podmiotem przetwarzającym. Procesem podejmowania decyzji przez współadministratorów zarządza grupa robocza Komitetu ds. Bezpieczeństwa Zdrowia EWRS. |
6) | Każdy właściwy organ EWRS przestaje być współadministratorem od dnia wycofania swojego uczestnictwa w platformie wymiany PLF. Pozostaje on jednak odpowiedzialny za zbieranie i przekazywanie danych PLF oraz dodatkowych danych epidemiologicznych za pośrednictwem platformy wymiany PLF, które miało miejsce przed wycofaniem uczestnictwa. |
7) | Każdy właściwy organ EWRS prowadzi rejestr działań związanych z przetwarzaniem, za które odpowiada. W rejestrze tym można wskazać współadministrację. |
SEKCJA 2
Obowiązki i role w zakresie rozpatrywania wniosków osób, których dane dotyczą, oraz w zakresie informowania takich osób
1) | Zgodnie z art. 13 i 14 rozporządzenia (UE) 2016/679 każdy właściwy organ EWRS, który wymaga wypełnienia PLF, przekazuje pasażerom transgranicznym ("osoby, których dane dotyczą") informacje o okolicznościach wymiany ich danych PLF i danych epidemiologicznych za pośrednictwem platformy wymiany PLF do celów ustalania kontaktów zakaźnych. |
2) | Każdy właściwy organ EWRS działa jako punkt kontaktowy dla osób, których dane dotyczą, i rozpatruje wnioski dotyczące wykonywania praw tych osób - składane przez osoby, których dane dotyczą, lub przez ich przedstawicieli - zgodnie z rozporządzeniem (UE) 2016/679. Każdy właściwy organ EWRS wyznacza specjalny punkt kontaktowy zajmujący się rozpatrywaniem wniosków otrzymanych od osób, których dane dotyczą. Jeżeli właściwy organ EWRS otrzyma od osoby, której dane dotyczą, wniosek, który nie wchodzi w zakres jego odpowiedzialności, niezwłocznie przekazuje go odpowiedzialnemu właściwemu organowi EWRS i informuje o tym ECDC. Jeżeli zostaną o to poproszone, właściwe organy EWRS pomagają sobie nawzajem w rozpatrywaniu wniosków osób, których dane dotyczą, odnoszących się do współadministracji i udzielają sobie nawzajem odpowiedzi bez zbędnej zwłoki, przy czym nie później niż w terminie 15 dni od otrzymania prośby o udzielenie pomocy. |
3) | Każdy właściwy organ EWRS udostępnia osobom, których dane dotyczą, treść niniejszego załącznika, w tym ustalenia określone w pkt 1 i 2. |
SEKCJA 3
Zarządzanie cyberincydentami, w tym naruszeniami ochrony danych osobowych
1) | Właściwe organy EWRS jako współadministratorzy pomagają sobie nawzajem w identyfikowaniu i rozpatrywaniu wszelkich cyberincydentów, w tym naruszeń ochrony danych osobowych, związanych z przetwarzaniem danych PLF i danych epidemiologicznych wymienianych za pośrednictwem platformy wymiany PLF. |
2) | W szczególności powiadamiają się wzajemnie oraz ECDC o:
|
3) | Właściwe organy EWRS powiadamiają ECDC, właściwe organy nadzorcze i, jeśli jest to wymagane, osoby, których dane dotyczą, o wszelkich naruszeniach ochrony danych osobowych odnoszących się do operacji przetwarzania za pośrednictwem platformy wymiany PLF, zgodnie z art. 33 i 34 rozporządzenia (UE) 2016/679 lub po otrzymaniu powiadomienia ze strony ECDC. |
4) | Każdy właściwy organ EWRS wdraża odpowiednie środki techniczne i organizacyjne, mające na celu:
|
SEKCJA 4
Ocena skutków dla ochrony danych
Jeżeli w celu wypełnienia obowiązków określonych w art. 35 i 36 rozporządzenia (UE) 2016/679 administrator potrzebuje informacji od innego administratora, wysyła specjalny wniosek na adres funkcjonalnej skrzynki pocztowej, o której mowa w sekcji 1 podsekcja 1 pkt 5. Administrator, który otrzymał taki wniosek, dokłada wszelkich starań, aby takie informacje przekazać.
ZAŁĄCZNIK III
OBOWIĄZKI ECDC JAKO PODMIOTU PRZETWARZAJĄCEGO DANE NA POTRZEBY PLATFORMY WYMIANY PLF
1)
ECDC tworzy i zapewnia bezpieczną i niezawodną infrastrukturę łączności, która łączy właściwe organy EWRS w państwach członkowskich uczestniczących w platformie wymiany PLF.Obsługa platformy wymiany PLF przez ECDC obejmuje:
a) | określenie minimalnego zestawu wymogów technicznych, aby umożliwić niezakłócony i bezpieczny on-boarding i off-boarding krajowych baz danych PLF; |
b) | zapewnienie interoperacyjności krajowych baz danych PLF w sposób bezpieczny i zautomatyzowany. |
2)
Aby wywiązać się ze swoich obowiązków jako podmiotu przetwarzającego dane w ramach platformy wymiany PLF, ECDC angażuje Komisję jako podwykonawcę podmiotu przetwarzającego i zapewnia, aby miały do niej zastosowanie takie same obowiązki w zakresie ochrony danych jak te określone w niniejszej decyzji.ECDC może upoważnić Komisję do angażowania stron trzecich w charakterze dalszych podwykonawców podmiotu przetwarzającego.
Jeżeli Komisja angażuje podwykonawców podmiotu przetwarzającego, ECDC:
a) | zapewnia, aby do tych podwykonawców podmiotu przetwarzającego zastosowanie miały takie same obowiązki w zakresie ochrony danych osobowych jak te określone w niniejszej decyzji; |
b) | informuje administratorów o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podwykonawców podmiotu przetwarzającego, dając tym samym administratorom możliwość wyrażenia sprzeciwu wobec takich zmian zwykłą większością głosów. |
3)
ECDC: a) | tworzy i zapewnia bezpieczną i niezawodną infrastrukturę łączności, która łączy właściwe organy EWRS w państwach członkowskich uczestniczących w platformie wymiany PLF; |
b) | przetwarza dane PLF i dodatkowe dane epidemiologiczne wyłącznie na udokumentowane polecenie administratorów, chyba że przetwarzania tego wymaga prawo Unii; w takim przypadku przed rozpoczęciem przetwarzania ECDC informuje administratorów o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; |
c) | opracowuje plan bezpieczeństwa, plan ciągłości działania i plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej. |
d) | podejmuje niezbędne środki, aby zachować integralność przetwarzanych danych PLF i dodatkowych danych epidemiologicznych; |
e) | wprowadza wszelkie najnowocześniejsze organizacyjne, fizyczne i elektroniczne środki bezpieczeństwa służące utrzymaniu platformy wymiany PLF; w tym celu ECDC:
|
f) | wprowadza wszystkie niezbędne środki bezpieczeństwa, aby nie dopuścić do zakłócenia sprawnego funkcjonowania platformy wymiany PLF; w tym celu ECDC wprowadza szczególne procedury związane z funkcjonowaniem platformy wymiany PLF oraz z połączeniem serwerów wewnętrznych z platformą wymiany PLF; obejmuje to:
|
g) | wprowadza najnowocześniejsze fizyczne lub elektroniczne środki bezpieczeństwa w odniesieniu do obiektów, w których znajduje się sprzęt platformy wymiany PLF, oraz w odniesieniu do kontroli dostępu do danych i kontroli bezpiecznego dostępu; w tym celu ECDC:
|
h) | podejmuje działania w celu ochrony swojej domeny, obejmujące zerwanie połączeń, w przypadku znacznych odstępstw od zasad i koncepcji jakości lub bezpieczeństwa; |
i) | utrzymuje plan zarządzania ryzykiem związany ze swoim zakresem odpowiedzialności; |
j) | monitoruje - w czasie rzeczywistym - wydajność wszystkich komponentów usług w ramach platformy wymiany PLF, tworzy regularne statystyki i prowadzi rejestry; |
k) | gwarantuje, że usługa jest dostępna całodobowo, przez siedem dni w tygodniu, z akceptowalnymi przerwami na potrzeby konserwacji; |
l) | zapewnia wsparcie w odniesieniu do wszystkich usług w ramach platformy wymiany PLF - w języku angielskim, drogą telefoniczną, mailową lub za pośrednictwem portalu internetowego - oraz odbiera połączenia od upoważnionych osób dzwoniących: koordynatorów platformy wymiany PLF oraz pracowników ich odpowiednich działów pomocy technicznej, specjalistów ds. projektów i wyznaczonych osób z Komisji; |
m) | w miarę możliwości wspiera administratorów za pośrednictwem odpowiednich środków technicznych i organizacyjnych w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia (UE) 2016/679; |
n) | wspiera administratorów poprzez przekazywanie im informacji na temat platformy wymiany PLF w celu realizacji obowiązków przewidzianych w art. 32, 35 i 36 rozporządzenia (UE) 2016/679; |
o) | zapewnia, aby dane PLF i dane epidemiologiczne przekazywane za pośrednictwem platformy wymiany PLF były niemożliwe do odczytania dla każdej osoby, która nie jest uprawniona do uzyskania do nich dostępu, w szczególności poprzez zastosowanie zaawansowanego szyfrowania; |
p) | wprowadza wszelkie odpowiednie środki, by zapobiec sytuacji, w której operatorzy platformy wymiany PLF mogliby uzyskać nieuprawniony dostęp do przekazywanych danych PLF i danych epidemiologicznych; |
q) | wprowadza środki mające na celu ułatwienie interoperacyjności i łączności między wyznaczonymi administratorami platformy wymiany PLF; |
r) | prowadzi rejestr działań związanych z przetwarzaniem prowadzonych w imieniu administratorów zgodnie z art. 31 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725. |
(*) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. L 119 z 4.5.2016, s. 1).