(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a határokon átterjedő súlyos egészségügyi veszélyekről és a 2119/98/EK határozat hatályon kívül helyezéséről szóló, 2013. október 22-i 1082/2013/EU európai parlamenti és tanácsi határozatra * és különösen annak 8. cikke (2) bekezdésére,
mivel:
(1) Egy Covid19-pozitív eset adott határon átnyúló utazást követő azonosítása megfelel az 1082/2013/EU határozat 9. cikkének (1) bekezdésében meghatározott kritériumoknak, mivel jelentős arányban okozhat emberi elhalálozást, gyorsan terjedhet, több tagállamot érinthet, és koordinált uniós szintű reagálást tehet szükségessé. A szabad mozgásnak a Covid19-világjárvány miatti korlátozására vonatkozó koordinált megközelítésről szóló, 2020. október 13-i (EU) 2020/1475 ajánlás * 23. pontjával összhangban egy személynek valamely tagállam területére történő érkezésekor észlelt Covid19-esetekre vonatkozó információkat kontaktkövetési célból haladéktalanul meg kell osztani az 1082/2013/EU határozat 8. cikke által létrehozott és a Betegségmegelőzési és Járványvédelmi Központ (a továbbiakban: ECDC) által működtetett korai figyelmeztető és gyorsreagáló rendszeren (a továbbiakban: EWRS) keresztül azon országok népegészségügyi hatóságaival, amelyekben az érintett személy az előző 14 napban tartózkodott.
(2) Az (EU) 2020/1475 ajánlás értelmében a tagállamok előírhatják, hogy a területükre belépő személyek az adatvédelmi követelményeknek megfelelően utaslokalizáló űrlapokat (a továbbiakban: PLF) nyújtsanak be.
(3) A különböző formátumú nemzeti PLF-ek kitöltésének előírásával a tagállamok gyűjtik a területükre belépő, határokon át utazó személyek PLF-adatait. Ezek az adatok többek között arra szolgálnak, hogy ha egy olyan személyt, aki PLF-et töltött ki, Covid19-esetként azonosítanak, a PLF-fel gyűjtött adatok alapján meghatározható legyen az adott személy utazása, és a releváns információkat továbbítsák azon tagállamoknak, amelyeknek a fertőzött utassal esetlegesen kapcsolatba került személyek vonatkozásában kontaktkövető eljárásokat kell lefolytatniuk.
(4) Egyes tagállamok népegészségügyi hatóságai már kicserélték egymás között a nemzeti PLF-eken keresztül gyűjtött személyes adatokat a fertőzöttekkel érintkezett személyek felkutatása céljából a Covid19-világjárvánnyal összefüggésben. Erre az információcserére jelenleg elősorban az EWRS keretében biztosított műszaki infrastruktúrán keresztül került sor.
(5) Az EWRS keretében jelenleg rendelkezésre álló műszaki infrastruktúra kialakítása még nem teszi lehetővé a PLF-ek szisztematikus és nagyléptékű alkalmazásából előállított nagy mennyiségű adat kezelését. Például nem fordít a különböző nemzeti formátumok között, és manuális bevitelt igényel, ami hátrányosan befolyásolja a kontaktkövetés időszerűségét és hatékonyságát. Ez különösen akkor fordul elő, amikor a kontaktkövetést olyan határokon át utazó személyek esetében kell elvégezni, akik előre kijelölt ülőhelyeken - például repülőgépen, bizonyos vonatokon, kompokon és üdülőhajókon - csoportosan utaztak, ahol mind a fertőzésnek kitett utasok száma, mind a fertőzött utasoknak való kitettség időtartama jelentős lehet.
(6) Ezért létre kell hozni egy „PLF megosztási platform” elnevezésű műszaki infrastruktúrát, amely által megvalósulhat az EWRS terén illetékes tagállami hatóságok közötti biztonságos, időben történő és hatékony adatcsere azáltal, hogy lehetővé válik a meglévő nemzeti digitális PLF-rendszerekből származó információknak a többi EWRS terén illetékes tagállami hatóság számára interoperábilis és automatikus módon történő továbbítása. Ennek az Európai Unió Repülésbiztonsági Ügynöksége (EASA) által már kifejlesztett csereplatformra kell épülnie, amelynek keretében az EASA nem játszik szerepet a személyes adatok PLF megosztási platformon keresztül történő feldolgozásában az e végrehajtási határozatban foglaltak szerint. A PLF megosztási platformnak az 1082/2013/EU határozat 9. cikkének (3) bekezdése értelmében lehetővé kell tennie a kontaktkövetéshez szükséges korlátozott epidemiológiai adatok cseréjét is. A határokon át terjedő súlyos egészségügyi veszélyek nyomon követésére, korai előrejelzésére és az ellenük való küzdelemre szolgáló meglévő struktúrákkal és mechanizmusokkal való átfedések vagy ellentmondások elkerülése érdekében a PLF megosztási platformot az EWRS keretében a rendszeren belül meglévő szelektív üzenetküldő funkció kiegészítéseként kell kialakítani.
(7) A PLF megosztási platformot az ECDC-nek kell működtetnie a 851/2004/EK európai parlamenti és tanácsi rendelet * 8. cikkével összhangban.
(8) A PLF megosztási platform nem tárolhatja a PLF-adatokat és a kicserélendő járványügyi adatokat.
(9) Ha egy tagállam nem rendelkezik nemzeti szinten kifejlesztett digitális PLF-rendszerrel, használhatja a közös európai uniós digitális utaslokalizáló űrlaprendszert (a továbbiakban: EUdPLF), amelynek kidolgozására a Bizottság az EU Healthy Gateways elnevezésű együttes fellépését bízta meg (801493. sz. támogatás) * . Az EUdPLF célja, hogy egyedüli kapcsolattartó pontot és adatbázist hozzon létre a PLF-ek gyűjtésére. A jövőben az EUdPLF-et kizárólag abból a célból kell összekapcsolni a PLF megosztási platformmal, hogy lehetővé tegye egyrészt a tagállamok között a saját nemzeti digitális PLF-rendszereikkel történő adatcserét, másrészt pedig az EUdPLF-et használó tagállamok közötti adatcserét. Ez a határozat nem terjed ki az EUdPLF létrehozására, és nem szabályozza a személyes adatok vele kapcsolatos kezelését sem.
(10) Ez a határozat nem szabályozza a nemzeti PLF-ek létrehozását, amelyekről a tagállamoknak kell dönteniük. A tagállamok szabadon dönthetnek arról, hogy a területükre érkező összes utastól vagy csak olyan utasoktól kérnek-e PLF-eket, akiknek végső célállomásuk az adott tagállam. A PLF-adatokon alapuló hatékony, határokon átnyúló kontaktkövetés megköveteli, hogy a tagállamok nemzeti PLF-eiken keresztül összegyűjtsék a PLF-adatok közös minimumkészletét. Ezért meg kell határozni ezeket a PLF-minimumadatokat. Ezenkívül a megoldás költséghatékonysága, fenntarthatósága és fokozott biztonsága érdekében a tagállamoknak fontolóra kell venniük egy közös megközelítés elfogadását a tekintetben, hogy minden utastól gyűjtsenek-e PLF-eket, beleértve a tranzitutasokat is, vagy csak azon utasoktól, akiknek végső célállomása a tagállam.
(11) A PLF megosztási platform használatának önkéntesnek kell lennie, és a tagállamok számára lehetővé kell tenni, hogy ideiglenesen az EWRS-ben jelenleg meglévő műszaki infrastruktúra keretében küldjenek riasztásokat, feltéve, hogy az nem veszélyezteti a kontaktkövetés célját.
(12) Az EWRS terén illetékes tagállami hatóságok - a személyesadat-feldolgozás minimalizálásának elvével összhangban - csak a PLF-eken keresztül gyűjtött, jól meghatározott adatkészleteket és a kontaktkövetéshez szükséges egyéb korlátozott epidemiológiai adatokat cserélhetik. Amennyiben a fertőzött utasra vonatkozó riasztást kiadó tagállam a rendelkezésére álló PLF-adatok alapján azonosítani tudja az összes érintett tagállamot, az adatokat csak e tagállamok EWRS terén illetékes tagállami hatóságainak továbbíthatja. Ez az eset áll fenn például akkor, ha a fertőzött utast azonosító tagállam a területére az indulási helyről közvetlen összeköttetéssel érkező valamennyi utas, köztük a tranzitutasok tekintetében gyűjt PLF-eket.
(13) Amennyiben egy utasnál egy tagállamban SARS-CoV-2-vírusfertőzést észlelnek, az adott tagállam EWRS terén illetékes tagállami hatóságai számára lehetővé kell tenni, hogy az indulás helye szerinti tagállam EWRS terén illetékes tagállami hatóságaival megosszák a PLF-ekből származó korlátozott adatkészletet - amelyet szigorúan a fertőzésnek kitett személyeknek az indulás helye szerinti tagállamban, és amennyiben az eltér az indulás helye szerinti tagállamtól, a lakóhely szerinti tagállamban történő kontaktkövetéséhez szükséges információkra kell korlátozni -, nevezetesen a fertőzött utas személyazonosító és kapcsolattartási adatait.
(14) Ezen túlmenően, amennyiben egy utast egy tagállamban SARS-CoV-2 vírussal fertőzöttként azonosítanak, az adott tagállam EWRS terén illetékes tagállami hatóságai számára lehetővé kell tenni, hogy korlátozott adatokat megosszanak valamennyi tagállam illetékes hatóságaival, vagy az érintett tagállamok illetékes hatóságaival, amennyiben rendelkeznek olyan információkkal, amelyek lehetővé teszik számukra az ilyen tagállamok azonosítását. Az adatoknak az indulási helyre, az érkezési helyre, az indulás időpontjára, a közlekedés típusára (pl. repülőgép, vonat, autóbusz, komp, hajó), a szállítási szolgáltatás azonosító számára - azaz a járatszámra, a vonatszámra, a távolsági autóbusz rendszámára, a komp vagy hajó nevére, a fertőzött utas ülés- vagy kabinszámára - és az indulás időpontjára kell korlátozódniuk abban az esetben, ha a fenti adatok nem elegendőek a közlekedés azonosításához. Ez lehetővé teszi a fogadó EWRS terén illetékes tagállami hatóságok számára annak megállapítását, hogy a fertőzésnek kitett utasok megérkeztek-e a területükre, és ha igen, elvégezzék a kontaktkövetésüket.
(15) Az EWRS terén illetékes más tagállami hatóságokkal a PLF megosztási platformon keresztül történő adatcsere során az érintett EWRS terén illetékes tagállami hatóság számára lehetővé kell tenni, hogy a kontaktkövetéshez szükséges mértékű - azaz az elvégzett Covid19-teszt típusára, a SARS-CoV-2-vírusvariánsra, a mintavétel dátumára és a tünetek megjelenésének dátumára korlátozódó - járványügyi információkat szolgáltasson.
(16) A fertőzött utasok PLF megosztási platformon keresztül kicserélt személyes adatait az EWRS terén illetékes tagállami hatóságoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelettel * összhangban kell feldolgozniuk. A személyes adatok kontaktkövetés céljából - a PLF-megosztási platform üzemeltetőjeként az ECDC, és további adatfeldolgozóként a Bizottság felelőssége mellett - történő kezelésének meg kell felelnie az (EU) 2018/1725 európai parlamenti és tanácsi rendeletnek * .
(17) Az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének c) pontjával és 9. cikke (2) bekezdésének i) pontjával összhangban az 1082/2013/EU határozat 9. cikkének (1) bekezdése és (3) bekezdésének i) pontja határozza meg a fertőzött utasok személyes adatai - többek között egészségügyi adatai - EWRS terén illetékes tagállami hatóságok közötti, kontaktkövetés céljából történő cseréjének jogalapját. E határozatnak megfelelő és konkrét intézkedéseket kell megállapítania az érintettek jogainak és szabadságainak védelme érdekében. Ezeknek magukban kell foglalniuk a kicserélendő szükséges adatkészletek meghatározására és az azon EWRS terén illetékes tagállami hatóságokra vonatkozó intézkedéseket, amelyekkel az adatokat a különböző esetekben meg kell osztani, a megfelelő biztonsági intézkedéseket, beleértve a titkosítást is, valamint az adatoknak az illetékes nemzeti hatóságok között az Európai Unión belüli PLF megosztási platformon keresztül történő feldolgozására vonatkozó szabályokat.
(18) A PLF megosztási platformban részt vevő EWRS terén illetékes tagállami hatóságok közösen határozzák meg a személyes adatok PLF megosztási platformon történő feldolgozásának célját és eszközeit, és ezért közös adatkezelők. Az (EU) 2016/679 rendelet 26. cikke arra kötelezi a közös adatkezelőket, hogy átlátható módon határozzák meg az említett rendelet szerinti kötelezettségek teljesítésével kapcsolatos felelősségüket. Rendelkezik továbbá arról a lehetőségről is, hogy e felelősségi köröket az adatkezelőkre alkalmazandó uniós vagy tagállami jog határozza meg. E határozatnak ezért meg kell határoznia a közös adatkezelők szerepét és felelősségi körét.
(19) Az ECDC a PLF megosztási platform technikai és szervezési megoldásainak szolgáltatójaként a PLF megosztási platformban közös adatkezelőként részt vevő tagállamok nevében kezeli a PLF-adatokat és a járványügyi adatokat, ezért az (EU) 2018/1725 rendelet 3. cikkének 12. pontja értelmében vett adatfeldolgozónak minősül. Az (EU) 2016/679 rendelet 28. cikke és az (EU) 2018/1725 rendelet 29. cikke értelmében az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben, és amely meghatározza az adatkezelést. Ezért szabályokat kell megállapítani az ECDC mint adatfeldolgozó által végzett adatkezelésre vonatkozóan.
(20) A 851/2004/EK rendelet 3. cikkének (3) bekezdése előírja, hogy az ECDC, a Bizottság és a tagállamok együttműködnek annak érdekében, hogy tevékenységeik között tényleges összhang valósuljon meg. Ennek megfelelően szolgáltatási szintre vonatkozó megállapodásokat kell kötni a Bizottság és az ECDC között a PLF megosztási platform technikai fejlesztése és működtetése során való együttműködés érdekében. Meg kell határozni a felek közötti (szervezeti, pénzügyi és technológiai) felelősségmegosztást a PLF megosztási platform megvalósításának elősegítése érdekében, valamint az annak üzemeltetésével, karbantartásával és továbbfejlesztésével kapcsolatos technikai intézkedéseket.
(21) Az (EU) 2017/253 végrehajtási határozatot ezért ennek megfelelően módosítani kell.
(22) A PLF megosztási platformot 2021-ben a Szükséghelyzeti Támogatási Eszköz finanszírozza, amelyet azért hoztak létre, hogy a szükségletek európai szintű stratégiai és összehangolt kezelése, valamint az európai közlekedéspolitikát, közlekedésbiztonságot és az utasjogokat támogató tevékenységek, ideértve a kommunikációs tevékenységek révén segítse a tagállamokat a koronavírus-világjárványra való reagálásban. A platformot 2022-ben a Digitális Európa program fogja finanszírozni.
(23) Figyelembe véve a PLF megosztási platform működése megkezdésének tervezett időpontját, ezt a határozatot 2021. június 1-jétől kell alkalmazni. Az adatcserét meg kell szüntetni 12 hónap elteltével, vagy azt követően, hogy az Egészségügyi Világszervezet főigazgatója a Nemzetközi Egészségügyi Rendszabályokkal összhangban bejelenti, hogy a SARS-CoV-2 által okozott nemzetközi horderejű közegészségügyi-járványügyi szükséghelyzet megszűnt, amennyiben e bejelentést korábban teszi meg.
(24) E PLF megosztási platform működésének a Covid19-világjárvány megfékezésére kell korlátozódnia. Azonban a jövőben módosító végrehajtási határozat révén ki lehetne terjeszteni olyan járványokra, amelyek az 1082/2013/EU határozat 9. cikkének (1) bekezdésében meghatározott kritériumokkal és 9. cikkének (3) bekezdésében meghatározott feltételekkel összhangban a PLF-adatoknak a tagállamok általi, kontaktkövetés céljából történő cseréjét tehetik szükségessé.
(25) Az európai adatvédelmi biztossal az (EU) 2018/1725 rendelet 42. cikkének (1) bekezdésével összhangban konzultációt folytattak; a biztos 2021. május 6-án nyilvánított véleményt.
(26) Az e határozatban előírt intézkedések összhangban vannak az 1082/2013/EU határozat 18. cikke szerint létrehozott, a határokon átterjedő súlyos egészségügyi veszélyekkel foglalkozó bizottság véleményével,
ELFOGADTA EZT A HATÁROZATOT:
Az (EU) 2017/253 végrehajtási határozat a következőképpen módosul:
1. A szöveg a következő 1a. cikkel egészül ki:
„1a. cikk
Fogalommeghatározások
E határozat alkalmazásában:
a) »utaslokalizáló űrlap« (»PLF«): a népegészségügyi hatóságok kérésére kitöltött formanyomtatvány, amely összegyűjti legalább az I. mellékletben meghatározott utasadatokat, és amely segítséget nyújt e hatóságoknak a népegészségügyi események kezelésében azáltal, hogy lehetővé teszi számukra a határokat átlépő, esetlegesen SARS-CoV-2 vírussal fertőzött személlyel érintkezett utasok nyomon követését;
b) »utaslokalizáló űrlap adatai« (»PLF-adatok«) a PLF-en keresztül gyűjtött személyes adatok;
c) »digitális belépési pont«: olyan egységes digitális helyszín, amelyben a korai figyelmeztető és gyorsreagáló rendszer (EWRS) terén illetékes hatóságok biztonságosan összekapcsolhatják nemzeti digitális PLF-rendszereiket a PLF megosztási platformmal;
d) »utazás«: egy személy határon át történő utazása közforgalmú közlekedésben, előre kijelölt ülésekkel, tekintettel a személy kezdeti indulási és végső érkezési helyére, egy vagy több szakaszban.
e) »szakasz«: egy utas határon át történő egyszeri utazása, csatlakozó járatra, vonatra, hajóra vagy járműre való átszállás nélkül;
f) »fertőzött utas«: olyan utas, aki esetében teljesül a SARS-CoV-2-fertőzés laboratóriumi kritériuma;
g) »fertőzésnek kitett személy«: olyan utas vagy más személy, aki szoros érintkezésbe került a fertőzött utassal;
h) »riasztás«: az 1082/2013/EU határozat 9. cikke szerint a korai figyelmeztető és gyorsreagáló rendszeren (EWRS) keresztül tett bejelentés.”
2. A rendelet szövege a következő 2a., 2b. és 2c. cikkel egészül ki:
„2a. cikk
A PLF-adatok megosztására szolgáló platform
(1) A fertőzött utasok PLF-adatainak az EWRS terén illetékes tagállami hatóságok általi, kizárólag a SARS-CoV-2-fertőzésnek kitett személyek kontaktkövetése céljából történő biztonságos cseréjére szolgáló platformot (a továbbiakban: PLF megosztási platform) hoznak létre az EWRS keretében, az adott rendszeren belül meglévő szelektív üzenetküldő funkció kiegészítéseként.
A PLF megosztási platform digitális belépési pontot biztosít az EWRS terén illetékes tagállami hatóságok számára a nemzeti digitális PLF-rendszereik biztonságos összekapcsolásához vagy a közös európai uniós digitális utaslokalizáló űrlap rendszerén (EUdPLF) keresztül történő kapcsolódáshoz annak érdekében, hogy lehetővé váljon a PLF-eken keresztül gyűjtött adatok cseréje.
Az EWRS terén illetékes tagállami hatóságok számára lehetővé kell tenni, hogy a 2b. cikk (5) bekezdésével összhangban a PLF megosztási platformot kiegészítő adatok, azaz epidemiológiai adatok cseréjére használják, kizárólag a SARS-CoV-2-fertőzésnek kitett személyek kontaktkövetése céljából.
(2) A PLF megosztási platformot az ECDC működteti.
(3) A PLF-adatok gyűjtésével összefüggésben azonosított, határokon át terjedő súlyos egészségügyi veszélyek bejelentésére vonatkozó, a 2. cikk szerinti kötelezettségeik teljesítése érdekében azon tagállamok EWRS terén illetékes tagállami hatóságai, amelyek előírják a PLF kitöltését, a PLF megosztási platformon keresztül kicserélik a 2b. cikkben részletezett PLF-adatokat.
(4) Az EWRS terén illetékes tagállami hatóságok a PLF-adatok gyűjtésével összefüggésben azonosított, határokon át terjedő súlyos egészségügyi veszélyek bejelentésére vonatkozó, az 1082/2013/EU határozat 9. cikkének (1) és (3) bekezdése szerinti kötelezettségeiket ideiglenesen továbbra is teljesíthetik az e határozat 1. cikkének (2) bekezdésében említett egyéb meglévő kommunikációs csatornákon keresztül, feltéve, hogy ez a választás nem veszélyezteti a kontaktkövetés célját.
(5) A PLF megosztási platform nem tárolhatja a PLF-adatokat és a kiegészítő járványügyi adatokat. Az EWRS terén illetékes tagállami hatóságok kizárólag a SARS-CoV-2-kontaktkövetés céljából kaphatják meg a más illetékes EWRS terén illetékes tagállami hatóságok által számukra továbbított adatokat. Az ECDC csak a PLF megosztási platform megfelelő működésének biztosítása céljából férhet hozzá az adatokhoz.
(6) Az EWRS terén illetékes tagállami hatóságok a PLF megosztási platformon keresztül kapott PLF-adatokat és járványügyi adatokat a nemzeti SARS-CoV-2-kontaktkövetési tevékenységeik keretében alkalmazandó megőrzési időszaknál hosszabb ideig nem őrizhetik meg.
(7) A Bizottság együttműködik az ECDC-vel az e határozat alapján ráruházott feladatok teljesítésében, különösen a PLF megosztási platform telepítésével, végrehajtásával, működtetésével, karbantartásával és továbbfejlesztésével kapcsolatos technikai és szervezési intézkedések tekintetében.
(8) A személyes adatoknak a PLF megosztási platformon kizárólag a SARS-CoV-2-kontaktkövetés céljából történő kezelését 2022. május 31-ig, vagy addig kell végezni, amíg az Egészségügyi Világszervezet főigazgatója a Nemzetközi Egészségügyi Rendszabályokkal összhangban be nem jelenteti, hogy a SARS-CoV-2 által okozott nemzetközi horderejű közegészségügyi-járványügyi szükséghelyzet megszűnt, attól függően, hogy melyik következik be hamarabb.
2b. cikk
Megosztandó adatok
(1) Riasztásnak a PLF megosztási platformon történő kiadásakor azon tagállam EWRS terén illetékes tagállami hatósága, amelyben a fertőzött utast azonosították, a következő PLF-adatokat továbbítja a fertőzött utas kezdeti indulási helye szerinti tagállam, és amennyiben a tartózkodási hely eltér a kezdeti indulási helytől, a tartózkodási helye szerinti tagállam EWRS terén illetékes tagállami hatóságainak:
a) keresztnév;
b) családi név;
c) születési idő;
d) telefonszám (vezetékes és/vagy mobiltelefon);
e) e-mail-cím;
f) lakóhely címe.
(2) A fertőzött utas kezdeti indulási helye szerinti tagállam EWRS terén illetékes tagállami hatóságai továbbíthatják a kapott PLF-adatokat a PLF-ben kezdeti indulási tagállamként bejelentett tagállamtól eltérő indulási tagállamnak, amennyiben olyan kiegészítő információval rendelkeznek, amely arra mutat, hogy annak a tagállamnak kellene kontaktkövetést végeznie.
(3) Ha a PLF megosztási platformon riasztást adnak ki, azon tagállam EWRS terén illetékes tagállami hatóságai, amelyben a fertőzött utast azonosították, továbbítják a következő, az érintett utas utazásának egyes szakaszaira vonatkozó PLF-adatokat az összes tagállam EWRS terén illetékes tagállami hatóságainak:
a) minden érintett közlekedés indulási helye;
b) minden érintett közlekedés érkezési helye;
c) minden érintett közlekedés indulási dátuma;
d) az érintett közlekedés típusa (pl. repülőgép, vonat, autóbusz, komp vagy hajó);
e) minden érintett közlekedési eszköz azonosító száma (pl. járatszám, vonatszám, távolsági autóbusz rendszáma, komp vagy hajó neve);
f) ülés/kabin száma minden érintett közlekedési eszközön;
g) szükség esetén az érintett közlekedés indulási időpontja.
(4) Amennyiben a riasztást kiadó tagállam EWRS terén illetékes tagállami hatóságai a rendelkezésükre álló információk alapján azonosítani tudják az érintett tagállamokat, a (3) bekezdésben felsorolt adatokat csak e tagállamok EWRS terén illetékes tagállami hatóságainak továbbítják.
(5) Az EWRS terén illetékes tagállami hatóságoknak képesnek kell lenniük a következő járványügyi adatok szolgáltatására, amennyiben ez szükséges a hatékony kontaktkövetéshez:
a) az elvégzett teszt típusa;
b) a SARS-CoV-2-vírusvariáns;
c) a mintavétel dátuma;
d) a tünetek megjelenésének dátuma.
2c. cikk
Az EWRS terén illetékes tagállami hatóságok és az ECDC feladatai a PLF-adatok feldolgozásával kapcsolatban
(1) A PLF-adatokat és a 2b. cikk (5) bekezdésében említett adatokat megosztó EWRS terén illetékes tagállami hatóságok az adatok címzett általi átvételéig közös adatkezelők ezen adatoknak a PLF megosztási platformon keresztül történő bevitele és továbbítása tekintetében. A közös adatkezelők felelősségi köreit a II. mellékletnek megfelelően kell kiosztani. Csatlakozása előtt minden, a PLF-adatok PLF megosztási platformon keresztül történő, határon átnyúló cseréjében részt venni kívánó tagállam értesíti az ECDC-t e szándékáról, és az adatkezelésért felelős kijelölt EWRS terén illetékes tagállami hatóságáról.
(2) Az ECDC a PLF megosztási platformon keresztül kicserélt adatok feldolgozója. Biztosítja a PLF megosztási platformot, biztosítja a PLF megosztási platformon keresztül kicserélt adatok feldolgozásának, beleértve a továbbításnak a biztonságát, és eleget tesz az adatfeldolgozó III. mellékletben meghatározott kötelezettségeinek.
(3) Az ECDC és a PLF megosztási platformhoz való hozzáférésre jogosult EWRS terén illetékes tagállami hatóságok rendszeresen tesztelik, elemzik és értékelik a PLF megosztási platformon keresztül megosztott személyes adatok kezelésének biztonságát garantáló technikai és szervezési intézkedések hatékonyságát.
(4) Az ECDC további adatfeldolgozóként bevonja a Bizottságot, és biztosítja, hogy az e határozatban meghatározott adatvédelmi kötelezettségek a Bizottságra is alkalmazandók legyenek.”
3. A 3. cikk (3) bekezdésében a „mellékletben” szövegrész helyébe a „IV. mellékletben” szöveg lép.
4. A mellékletben a „MELLÉKLET” cím helyébe a „IV. MELLÉKLET” cím lép.
5. Beillesztésre kerül az e határozat mellékletében foglalt I., II és III. melléklet.
Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő harmadik napon lép hatályba.
Ez a határozat 2021. június 1-jétől alkalmazandó.
Kelt Brüsszelben, 2021. május 27-én.
a Bizottság részéről
az elnök
Ursula VON DER LEYEN
„I. MELLÉKLET
A NEMZETI PLF-EN KERESZTÜL GYŰJTENDŐ PLF-ADATOK MINIMÁLIS KÉSZLETE
A PLF-nek legalább a következő PLF-adatokat kell tartalmaznia:
1. keresztnév;
2. családi név;
3. születési idő;
4. telefonszám (vezetékes és/vagy mobiltelefon);
5. e-mail-cím;
6. lakóhely;
7. a teljes utazás végső vagy utolsó célállomása az EU-ban;
8. az utazás minden egyes szakaszára vonatkozóan a PLF-et kérő tagállamig az alábbi információkat:
a) indulási hely;
b) érkezési hely;
c) indulási dátum;
d) közlekedési eszköz(ök) típusa (pl. repülőgép, vonat, autóbusz, komp, hajó);
e) indulási időpont:
f) a közlekedési eszköz azonosító száma (pl. járatszám, vonatszám, távolsági autóbusz rendszáma, komp vagy hajó neve);
g) ülés- / kabinszám.
II. MELLÉKLET
A RÉSZT VEVŐ TAGÁLLAMOK FELADATAI A PLF MEGOSZTÁSI PLATFORM KÖZÖS ADATKEZELŐIKÉNT
1. SZAKASZ
A felelősségi körök megosztása
1. Valamennyi EWRS terén illetékes tagállami hatóság biztosítja, hogy a PLF-adatok és a PLF megosztási platformon keresztül kicserélt kiegészítő járványügyi adatok feldolgozása az (EU) 2016/679 európai parlamenti és tanácsi rendelettel * összhangban történjen. Különösen azt biztosítja, hogy a PLF megosztási platformon keresztül általa bevitt és továbbított adatok pontosak legyenek és az e határozat 2b. cikkében meghatározott adatokra korlátozódjanak.
2. A PLF-adatok és a kiegészítő járványügyi adatok PLF megosztási platformon kívül történő gyűjtése, felhasználása, közzététele és egyéb feldolgozása tekintetében az EWRS terén illetékes tagállami hatóság marad az egyedüli adatkezelő. Minden EWRS terén illetékes tagállami hatóság biztosítja, hogy az adattovábbítás a PLF megosztási platformra vonatkozóan meghatározott műszaki specifikációknak megfelelően történjen.
3. Az adatfeldolgozónak szóló utasításokat a közös adatkezelők valamely kapcsolattartó pontja küldi meg a többi közös adatkezelő hozzájárulásával.
4. Csak az EWRS terén illetékes tagállami hatóság által felhatalmazott személyek férhetnek hozzá a PLF megosztási platformon keresztül cserélt PLF-adatokhoz és kiegészítő járványügyi adatokhoz.
5. Minden EWRS terén illetékes tagállami hatóság létrehoz egy kapcsolattartó pontot, és azt egy funkcionális postafiókkal látja el a közös adatkezelők közötti, valamint a közös adatkezelők és az adatfeldolgozó közötti kommunikáció biztosítására. A közös adatkezelők döntéshozatali folyamatát az EWRS Egészségügyi Biztonsági Bizottság munkacsoportja irányítja.
6. Az egyes EWRS terén illetékes tagállami hatóságok a PLF megosztási platformban való részvételük visszavonásának időpontjától nem minősülnek közös adatkezelőnek. Továbbra is felelősek maradnak azonban a visszavonást megelőzően gyűjtött és a PLF megosztási platformon keresztül továbbított PLF-adatokért és kiegészítő járványügyi adatokért.
7. Valamennyi EWRS terén illetékes tagállami hatóság nyilvántartást vezet a felelősségi körébe tartozó adatkezelési tevékenységekről. A közös adatkezelés feltüntethető a nyilvántartásban.
2. SZAKASZ
Az érintettek kéréseinek kezelésével és az érintettek tájékoztatásával kapcsolatos felelősségi körök és feladatok
1. Az EWRS PLF-et előíró illetékes hatóságai az (EU) 2016/679 rendelet 13. és 14. cikkével összhangban tájékoztatják a határokon át utazó személyeket (a továbbiakban: érintettek) a PLF- és járványügyi adataik PLF megosztási platformon keresztül, kontaktkövetés céljából történő cseréjének körülményeiről.
2. Minden EWRS terén illetékes tagállami hatóság kapcsolattartó pontként jár el az érintettek felé, és kezeli az (EU) 2016/679 rendelettel összhangban a jogaik gyakorlásával kapcsolatban általuk vagy képviselőik által benyújtott kérelmeket. Minden EWRS terén illetékes tagállami hatóság külön kapcsolattartó pontot jelöl ki az érintettek kérelmeinek feldolgozása céljából. Amennyiben egy EWRS terén illetékes tagállami hatósághoz valamely érintett részéről olyan kérelem érkezik, amely nem tartozik a felelősségi körébe, akkor azt haladéktalanul továbbítja az azért felelős EWRS terén illetékes tagállami hatóságnak, és értesíti az ECDC-t. Az EWRS terén illetékes tagállami hatóságok kérésre segítik egymást az érintettek közös adatkezeléssel kapcsolatos kérelmeinek kezelésében, és indokolatlan késedelem nélkül, de legkésőbb a segítségnyújtás iránti kérelem kézhezvételétől számított 15 napon belül választ adnak egymásnak.
3. Az egyes EWRS terén illetékes tagállami hatóságok az érintettek rendelkezésére bocsátják e melléklet tartalmát, beleértve az 1. és 2. pontban megállapított szabályokat is.
3. SZAKASZ
A biztonsági események - többek között az adatvédelmi incidensek - kezelése
1. Az EWRS terén illetékes tagállami hatóságok közös adatkezelőként segítik egymást a PLF megosztási platformon keresztül cserélt PLF-adatok és járványügyi adatok feldolgozásához kapcsolódó biztonsági események azonosításában és kezelésében, ideértve az adatvédelmi incidenseket is.
2. Különösen a következőkről értesítik egymást és az ECDC-t:
a) a PLF megosztási platformon kezelt PLF-adatok és járványügyi adatok rendelkezésre állását, bizalmas jellegét és/vagy sértetlenségét érintő esetleges vagy tényleges kockázatok;
b) adatvédelmi incidensek, az adatvédelmi incidens valószínűsíthető következményei, a természetes személyek jogait és szabadságait érintő kockázatok értékelése, valamint az adatvédelmi incidens kezelése és a természetes személyek jogait és szabadságait érintő kockázatok csökkentése érdekében hozott intézkedések;
c) a PLF megosztási platformon végzett adatkezelési műveletek technikai és/vagy szervezési biztosítékainak megsértése.
3. Az EWRS terén illetékes tagállami hatóságok az (EU) 2016/679 rendelet 33. és 34. cikkével összhangban vagy az ECDC által küldött értesítést követően tájékoztatják az ECDC-t, az illetékes felügyeleti hatóságokat és szükség esetén az érintetteket a PLF megosztási platformon végzett adatkezelési műveletekkel kapcsolatos minden adatvédelmi incidensről.
4. Valamennyi EWRS terén illetékes tagállami hatóság megfelelő műszaki és szervezési intézkedéseket hajt végre, amelyek célja:
a) a közösen feldolgozott személyes adatok biztonságának, integritásának és bizalmas jellegének biztosítása és védelme;
b) a birtokában lévő személyes adatok jogosulatlan vagy jogellenes kezelése, elvesztése, felhasználása, felfedése, megszerzése vagy az azokhoz való hozzáférés elleni védelem;
c) annak biztosítása, hogy a személyes adatokhoz való hozzáférést a címzetteken vagy adatfeldolgozókon kívül más személy számára ne tegyék lehetővé vagy engedélyezzék.
4. SZAKASZ
Adatvédelmi hatásvizsgálat
Ha egy adatkezelőnek az (EU) 2016/679 rendelet 35. és 36. cikkében meghatározott kötelezettségei teljesítése érdekében egy másik adatkezelőtől információra van szüksége, erre irányulóan kérelmet kell küldenie az 1. szakasz 1. alszakaszának 5. pontjában említett funkcionális postafiókba. A másik adatkezelő minden tőle telhetőt megtesz a szóban forgó információk rendelkezésre bocsátása érdekében.
III. MELLÉKLET
AZ ECDC FELADATAI A PLF MEGOSZTÁSI PLATFORM ADATFELDOLGOZÓJAKÉNT
1. Az ECDC biztonságos és megbízható kommunikációs infrastruktúrát hoz létre és biztosít, amely összekapcsolja a PLF megosztási platformban részt vevő tagállamok EWRS terén illetékes tagállami hatóságait.
A PLF megosztási platform ECDC általi feldolgozása a következőket foglalja magában:
a) a nemzeti PLF-adatbázisokba/adatbázisokból történő gördülékeny és biztonságos be- és kilépést lehetővé tevő műszaki minimumkövetelmények meghatározása;
b) a nemzeti PLF-adatbázisok interoperabilitásának biztosítása biztonságos és automatizált módon.
2. A PLF megosztási platform adatfeldolgozói kötelezettségeinek teljesítése érdekében az ECDC további adatfeldolgozóként bevonja a Bizottságot, és biztosítja, hogy az e határozatban meghatározott adatvédelmi kötelezettségek a Bizottságra is alkalmazandók legyenek.
Az ECDC felhatalmazhatja a Bizottságot arra, hogy további adatfeldolgozóként harmadik feleket vegyen igénybe.
Amennyiben a Bizottság további feldolgozókat vesz igénybe, az ECDC:
a) gondoskodik arról, hogy az e határozatban foglalt adatvédelmi kötelezettségek az említett további adatfeldolgozókra is alkalmazandók legyenek;
b) tájékoztatja az adatkezelőket minden olyan tervezett változtatásról, amely más további adatfeldolgozók bevonását vagy helyettesítését érinti, lehetővé téve ezáltal az adatkezelők számára, hogy egyszerű többséggel kifogást emeljenek az ilyen változtatásokkal szemben.
3. Az ECDC:
a) biztonságos és megbízható kommunikációs infrastruktúrát hoz létre és biztosít, amely összekapcsolja a PLF megosztási platformban részt vevő tagállamok EWRS terén illetékes tagállami hatóságait;
b) a PLF-adatokat és a kiegészítő járványügyi adatokat kizárólag az adatkezelők dokumentált utasításai alapján dolgozza fel, kivéve, ha azt az uniós jog előírja; ebben az esetben az ECDC az adatfeldolgozást megelőzően tájékoztatja az adatkezelőket az említett jogi előírásról, kivéve, ha a szóban forgó jogszabály fontos közérdekből tiltja az ilyen tájékoztatást;
c) biztonsági tervet, üzletmenet-folytonossági és katasztrófaelhárítási tervet vezet be.
d) megteszi a szükséges intézkedéseket a feldolgozott PLF-adatok és kiegészítő járványügyi adatok integritásának a megőrzése érdekében;
e) a PLF megosztási platform karbantartása érdekében meghoz minden korszerű szervezeti, fizikai és elektronikus biztonsági intézkedést; e célból az ECDC:
i. kijelöl egy, a PLF megosztási platform biztonsági irányításáért felelős szervezetet, közli az adatkezelőkkel annak elérhetőségét, és biztosítja, hogy az képes legyen reagálni a biztonsági fenyegetésekre;
ii. felelősséget vállal a PLF megosztási platform biztonságáért;
iii. biztosítja, hogy a PLF megosztási platformhoz hozzáféréssel rendelkező valamennyi személyre szerződéses, szakmai vagy jogszabályban előírt titoktartási kötelezettség vonatkozzon;
f) minden szükséges biztonsági intézkedést megtesz annak érdekében, hogy a PLF megosztási platform zavartalan működése ne kerüljön veszélybe; e célból az ECDC konkrét eljárásokat alkot meg a PLF megosztási platform működésével és a backend szervereknek a PLF megosztási platformra történő csatlakozásával kapcsolatosan; ez a következőket foglalja magában:
i. kockázatértékelési eljárás a rendszert fenyegető potenciális veszélyek azonosítása és mértékük megbecslése érdekében;
ii. ellenőrzési és felülvizsgálati eljárás a következők céljából:
1) a végrehajtott biztonsági intézkedések és az alkalmazandó biztonsági politika közötti megfelelés ellenőrzése;
2) a rendszerfájlok, a biztonsági paraméterek és a megadott engedélyek megbízhatóságának rendszeres ellenőrzése;
3) a biztonság megsértésének és a behatolásoknak az észlelése és nyomon követése;
4) módosítások végrehajtása a meglévő biztonsági hiányosságok csökkentése érdekében; valamint
5) a független ellenőrzések elvégzésének lehetővé tétele, többek között az adatkezelők kérésére, és az azokhoz történő hozzájárulás, ideértve a biztonsági intézkedésekkel kapcsolatos ellenőrzéseket és felülvizsgálatokat is, az EUMSZ-hez csatolt, az Európai Unió kiváltságairól és mentességeiről szóló 7. jegyzőkönyvet tiszteletben tartó feltételek mellett (2);
iii. az ellenőrzési eljárás módosítása annak érdekében, hogy a módosítás végrehajtása előtt dokumentálható és értékelhető legyen a változás hatása, és hogy az adatkezelők tájékoztatást kapjanak minden olyan változásról, amely hatással lehet az infrastruktúráikkal való kommunikációra és/vagy azok biztonságára;
iv. karbantartási és javítási eljárások meghatározása a berendezések karbantartása és/vagy javítása esetén követendő szabályok és feltételek meghatározása céljából;
v. biztonsági incidensekre vonatkozó eljárás meghatározása a jelentési és eszkalációs rendszer meghatározására, az adatkezelők késedelem nélküli tájékoztatása, hogy értesíthessék a nemzeti adatvédelmi felügyeleti hatóságokat minden adatvédelmi incidensről, valamint a biztonság megsértése esetén fegyelmi eljárás meghatározása;
g) a technika állásának megfelelő fizikai és/vagy elektronikus biztonsági intézkedések meghozatala a PLF megosztási platform berendezéseinek otthont adó létesítmények számára, valamint az adatok és a biztonsági hozzáférés ellenőrzése tekintetében; e célból az ECDC:
i. érvényre juttatja a fizikai biztonságot a különleges biztonsági övezetek kialakítása és a jogsértések felderítése érdekében;
ii. ellenőrzi a létesítményekhez való hozzáférést, és nyomon követés céljából nyilvántartást vezet a látogatókról;
iii. biztosítja, hogy az épületekbe való belépési engedéllyel rendelkező külső személyeket megfelelő felhatalmazással rendelkező személyzet kísérje;
iv. biztosítja, hogy a kijelölt felelős szervek előzetes engedélye nélkül ne kerülhessen sor berendezések bevitelére, cseréjére vagy eltávolítására;
v. ellenőrzi a nemzeti PLF rendszerek és a PLF megosztási platform egymáshoz való hozzáférését;
vi. biztosítja a PLF megosztási platformhoz való hozzáféréssel rendelkező személyek azonosítását és hitelesítését;
vii. felülvizsgálja a PLF megosztási platformhoz való hozzáféréssel kapcsolatos engedélyezési jogokat abban az esetben, ha az infrastruktúra biztonsága sérül;
viii. technikai és szervezési biztonsági intézkedéseket vezet be a PLF-adatokhoz és a járványügyi adatokhoz való jogosulatlan hozzáférés megakadályozására;
ix. szükség esetén olyan intézkedéseket hajt végre, amelyek lehetővé teszik a PLF megosztási platformhoz való, a nemzeti hatóságok domainjéről kiinduló jogosulatlan hozzáférések megakadályozását (pl. helyszín/IP-cím blokkolása);
h) a minőség és a biztonság alapelveitől és fogalmaitól való lényeges eltérés esetén lépéseket tesz a domain védelme érdekében, ideértve a kapcsolatok megszakítását is;
i) a felelősségi körével kapcsolatban kockázatkezelési tervet tart fenn;
j) figyelemmel kíséri - valós időben - a PLF megosztási platform valamennyi szolgáltatási elemének teljesítményét, rendszeres statisztikákat készít és nyilvántartást vezet;
k) biztosítja, hogy a szolgáltatás - a karbantartáshoz szükséges elfogadható időt leszámítva - napi 24 órában elérhető legyen;
l) telefonon, e-mailben vagy egy webportálon keresztül angol nyelven támogatást nyújt a PLF megosztási platform valamennyi szolgáltatásához, és fogadja az engedélyezett hívó felek - a PLF megosztási platform koordinátorai és azok ügyfélszolgálatai, a projektfelelősök és az ECDC által kijelölt személyek - hívásait;
m) a lehetőségek függvényében megfelelő technikai és szervezési intézkedésekkel támogatást nyújt az adatkezelőknek azon kötelezettségük teljesítéséhez, hogy válaszoljanak az érintettek jogainak gyakorlásával kapcsolatos kérelmekre, mely jogokat az (EU) 2016/679 rendelet III. fejezete határozza meg;
n) az (EU) 2016/679 rendelet 32., 35. és 36. cikke szerinti kötelezettségek teljesítése érdekében a PLF megosztási platformra vonatkozó információk megadásával támogatja az adatkezelőket;
o) biztosítja, hogy a PLF megosztási platformon keresztül továbbított PLF-adatok és kiegészítő járványügyi adatok értelmezhetetlenek legyenek minden olyan személy számára, aki nem jogosult hozzáférni azokhoz, különösen erős titkosítás alkalmazásával;
p) minden szükséges intézkedést megtesz annak megakadályozása érdekében, hogy a PLF megosztási platform üzemeltetői jogosulatlanul hozzáférjenek a továbbított PLF-adatokhoz és járványügyi adatokhoz;
q) intézkedéseket hoz, hogy elősegítse a PLF megosztási platform kijelölt adatkezelői közötti interoperabilitást és kommunikációt;
r) az (EU) 2018/1725 európai parlamenti és tanácsi rendelet 31. cikke (2) bekezdésének megfelelően nyilvántartást vezet az adatkezelők nevében végzett adatkezelési tevékenységekről.”
