(EU) 2021/858Prováděcí rozhodnutí Komise (EU) 2021/858 ze dne 27. května 2021, kterým se mění prováděcí rozhodnutí (EU) 2017/253, pokud jde o varovná hlášení v souvislosti s vážnými přeshraničními zdravotními hrozbami a trasování kontaktů cestujících zjištěných prostřednictvím formuláře pro trasování cestujících (Text s významem pro EHP)

Publikováno:	Úř. věst. L 188, 28.5.2021, s. 106-118	Druh předpisu:	Prováděcí rozhodnutí
Přijato:	1. června 2021	Autor předpisu:	Evropská komise
Platnost od:	31. května 2021	Nabývá účinnosti:	1. června 2021
Platnost předpisu:	Ano	Pozbývá platnosti:

Původní znění předpisu

Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.

28.5.2021

Úřední věstník Evropské unie

L 188/106

PROVÁDĚCÍ ROZHODNUTÍ KOMISE (EU) 2021/858

ze dne 27. května 2021,

kterým se mění prováděcí rozhodnutí (EU) 2017/253, pokud jde o varovná hlášení v souvislosti s vážnými přeshraničními zdravotními hrozbami a trasování kontaktů cestujících zjištěných prostřednictvím formuláře pro trasování cestujících

(Text s významem pro EHP)

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na rozhodnutí Evropského parlamentu a Rady č. 1082/2013/EU ze dne 22. října 2013 o vážných přeshraničních zdravotních hrozbách a o zrušení rozhodnutí č. 2119/98/ES (1), a zejména na čl. 8 odst. 2 uvedeného rozhodnutí,

vzhledem k těmto důvodům:

(1)

Zjištění pozitivního případu COVID-19 po určité přeshraniční cestě splňuje podmínky stanovené v čl. 9 odst. 1 rozhodnutí č. 1082/2013/EU, neboť se jedná o hrozbu, která může nadále působit významnou úmrtnost lidí, může rychle narůstat z hlediska rozsahu, má dopad na více členských států a může vyžadovat koordinovanou reakci na úrovni Unie. V souladu s bodem 23 doporučení Rady (EU) 2020/1475 ze dne 13. října 2020 o koordinovaném přístupu k omezení volného pohybu v reakci na pandemii COVID-19 (2) by pro účely trasování kontaktů měly být informace o případech COVID-19 odhalených při příjezdu osoby na území členského státu neprodleně sdíleny s orgány veřejného zdraví zemí, v nichž dotčená osoba během předchozích čtrnácti dnů pobývala, a to prostřednictvím systému včasného varování a reakce (dále jen „EWRS“), zřízeného článkem 8 rozhodnutí č. 1082/2013/EU a provozovaného Evropským střediskem pro prevenci a kontrolu nemocí (dále jen „ECDC“).

(2)	Podle doporučení (EU) 2020/1475 by členské státy mohly od osob, které vstupují na jejich území, požadovat předložení formuláře pro trasování cestujících (dále též „PLF“), a to v souladu s požadavky na ochranu údajů.

(3)

Uložení povinnosti vyplnit vnitrostátní PLF v různých formátech umožňuje členským státům shromažďovat údaje uvedené v PLF vyplněných přeshraničními cestujícími, kteří vstupují na jejich území. Tyto údaje se použijí zvláště v případě, že je osoba, která vyplnila formulář pro trasování cestujících, identifikována jako případ COVID-19; pak se údaje shromážděné prostřednictvím PLF použijí k určení etap cesty této osoby a k předání relevantních informací členským státům, které potřebují provést postupy trasování kontaktů ohledně osob, které mohly být v kontaktu s nakaženým cestujícím.

(4)

Orgány veřejného zdraví některých členských států si již pro účely trasování kontaktů v souvislosti s pandemií COVID-19 osobní údaje shromážděné prostřednictvím formulářů pro trasování cestujících navzájem vyměňovaly. Tato výměna se uskutečnila zejména prostřednictvím stávající technické infrastruktury, kterou poskytuje EWRS.

(5)

Technická infrastruktura, kterou EWRS v současnosti poskytuje, není ještě projektována tak, aby zvládala objem údajů uvedených v PLF, který vzniká díky systematickému a rozsáhlému používání formulářů pro trasování cestujících. Tato infrastruktura například nekonvertuje různé vnitrostátní formáty a vyžaduje ruční zadávání, a tak je nepříznivě ovlivněna včasnost a efektivnost trasování kontaktů. Tak je tomu zejména v případě trasování kontaktů, které je třeba provést v souvislosti s přeshraničními cestujícími, kteří použili prostředky hromadné dopravy s předem přidělenými sedadly, například letadlo, některé vlaky, trajekty a plavidla pro výletní plavby, kde počet cestujících vystavených nákaze a délka kontaktu s nakaženým cestujícím by mohly být důležité.

(6)

Aby si příslušné orgány členských států pro EWRS mohly bezpečně, včas a efektivně vyměňovat údaje, měla by být zavedena technická infrastruktura, nazývaná „platforma pro výměnu PLF“, která umožní interoperabilní a automatické předávání informací ze stávajících vnitrostátních digitálních systémů PLF členských států dalším příslušným orgánům pro EWRS. Tato platforma by měla vycházet ze stávající platformy pro výměnu informací, kterou vyvinula Agentura Evropské unie pro bezpečnost letectví (EASA), přičemž tato agentura nesehrává žádnou úlohu v souvislosti se zpracováním osobních údajů prostřednictvím platformy pro výměnu PLF stanoveným v tomto prováděcím rozhodnutí. V souladu s čl. 9 odst. 3 rozhodnutí č. 1082/2013/EU by platforma pro výměnu PLF měla rovněž umožnit výměnu omezených epidemiologických údajů, které jsou nezbytné pro trasování kontaktů. Aby nedošlo k překrývání činností existujících struktur a mechanismů sledování, včasného varování a boje proti vážným přeshraničním zdravotním hrozbám nebo k protichůdným opatřením, měla by být platforma pro výměnu PLF vytvořena v rámci EWRS jako doplnění funkce selektivního rozesílání zpráv.

(7)	V souladu s článkem 8 nařízení Evropského parlamentu a Rady (ES) č. 851/2004 (3) by platforma pro výměnu PLF měla být provozována ECDC.

(8)	Údaje uvedené v PLF a epidemiologické údaje určené k výměně by platforma pro výměnu PLF neměla uchovávat.

(9)

Pokud členský stát nedisponuje systémem digitálních PLF vyvinutým na vnitrostátní úrovni, může využívat společný systém unijních digitálních formulářů pro trasování cestujících (dále též „unijní dPLF“), jehož vytvořením Komise pověřila odborníky společné akce EU Healthy Gateways (grant č. 801493) (4). Účelem uvedených unijních dPLF je vytvořit jednotné vstupní místo a databázi pro shromažďování formulářů pro trasování cestujících. V budoucnu by měly být unijní dPLF propojeny s platformou pro výměnu PLF, a to za výhradním účelem umožnit výměnu údajů mezi členskými státy, které používají své vlastní systémy vnitrostátních digitálních PLF, a členskými státy, které používají unijní dPLF pro trasování cestujících. Toto rozhodnutí se netýká zřízení unijního digitálního formuláře pro trasování cestujících a rovněž neupravuje zpracování osobních údajů, které s ním souvisí.

(10)

Tímto rozhodnutím se neupravuje zavádění vnitrostátních formulářů pro trasování cestujících, neboť to je záležitost, která závisí na rozhodnutí členských států. Členské státy si mohou svobodně zvolit, zda vyplnění formuláře pro trasování cestujících žádat od všech cestujících, kteří vstupují na jejich území, nebo pouze od cestujících, pro něž je daný členský stát cílovou destinací. Efektivní přeshraniční trasování kontaktů vycházející z údajů uvedených v PLF vyžaduje, aby členské státy prostřednictvím svých vnitrostátních formulářů pro trasování cestujících shromáždily společný minimální soubor údajů z PLF. Proto by měl být stanoven minimální soubor údajů uvedených v PLF. Vedle toho by z důvodu nákladové efektivnosti, udržitelnosti a zvýšení bezpečnosti řešení měly členské státy zvážit přijetí společného přístupu, pokud jde o požadavek vyplnění formulářů pro trasování cestujících všemi cestujícími, včetně tranzitních cestujících, nebo pouze cestujícími, pro něž je daný členský stát cílovou destinací.

(11)	Používání platformy pro výměnu PLF by mělo být dobrovolné a členské státy by měly mít dočasně možnost vydávat varovná hlášení v rámci v současnosti existující technické infrastruktury EWRS, za podmínky, že nedojde k ohrožení účelu, kterým je trasování kontaktů.

(12)

Příslušné orgány pro EWRS by měly přistupovat k výměně pouze přesně definovaných souborů údajů shromážděných prostřednictvím svých PLF a dalších omezených epidemiologických údajů, které jsou nezbytné pro trasování kontaktů, a to v souladu se zásadou minimalizace zpracování osobních údajů. Pokud členský stát vydávající varovné hlášení týkající se nakaženého cestujícího může na základě údajů uvedených v PLF, které má k dispozici, určit všechny dotčené členské státy, měl by údaje předat pouze příslušným orgánům pro EWRS těchto států. To je například případ, kdy členský stát, který zjistil u cestujícího nákazu, získá vyplněné PLF od všech cestujících, včetně tranzitních cestujících vstupujících na jeho území přímým spojem z místa, z něhož původně odcestovali.

(13)

Pokud byla v členském státě u cestujícího zjištěna infekce virem SARS-CoV-2, příslušné orgány pro EWRS tohoto členského státu by měly být schopny sdílet s příslušnými orgány pro EWRS členského státu odcestování omezený soubor údajů získaný z formulářů pro trasování cestujících, přičemž takový soubor by měl být přesně definován ohledně toho, co je nezbytné pro trasování kontaktů v souvislosti s osobami vystavenými nákaze v členském státě odcestování a pobytu, pokud je členský stát odcestování odlišný od členského státu pobytu, jmenovitě totožnost a kontaktní informace nakaženého cestujícího.

(14)

Vedle toho, pokud byla v členském státě u cestujícího zjištěna infekce virem SARS-CoV-2, příslušné orgány pro EWRS tohoto členského státu by měly být také schopny sdílet omezený soubor údajů s příslušnými orgány pro EWRS všech členských států nebo dotčených členských států, pokud uvedené orgány mají k dispozici informace umožňující takové členské státy určit. Údaje by se měly týkat pouze místa odcestování, místa přicestování, data odcestování, použitého dopravního prostředku (např. letadlo, vlak, autokar, trajekt, plavidlo), identifikačního čísla dopravní služby – tedy číslo letu, číslo vlaku, poznávací značka autokaru, název trajektu nebo plavidla – čísla sedadla/kabiny nakaženého cestujícího a času odjezdu v případě, že výše uvedené údaje nepostačují k určení způsobu přepravy. To by mělo přijímajícím příslušným orgánům pro EWRS umožnit, aby určily, zda cestující vystavení nákaze přibyli na jejich území, a pokud ano, aby provedly trasování kontaktů.

(15)

Při sdílení údajů s dalšími příslušnými orgány pro EWRS prostřednictvím platformy pro výměnu PLF by daný příslušný orgán pro EWRS měl být schopen doplnit epidemiologické informace omezující se na to, co je nezbytné pro trasování kontaktů, tj. na typ provedeného testu na COVID-19, variantu viru SARS-CoV-2, datum odběru a datum nástupu příznaků.

(16)

Zpracování osobních údajů nakažených cestujících vyměněných prostřednictvím platformy pro výměnu PLF provedou příslušné orgány pro EWRS v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (5). Zpracování osobních údajů pro účely trasování kontaktů, za které odpovídá ECDC jako provozovatel platformy pro výměnu PLF a Komise jako náhradní zpracovatel, musí být v souladu s nařízením Evropského parlamentu a Rady (EU) 2018/1725 (6).

(17)

Právní základ pro výměnu osobních údajů nakažených cestujících, včetně údajů o jejich zdravotním stavu, mezi příslušnými orgány pro EWRS pro účely trasování kontaktů je stanoven v čl. 9 odst. 1 a čl. 9 odst. 3 písm. i) rozhodnutí č. 1082/2013/EU, v souladu s čl. 6 odst. 1 písm. c) a čl. 9 odst. 2 písm. i) nařízení (EU) 2016/679. Aby byla chráněna práva a svobody subjektu údajů, mělo by toto rozhodnutí stanovit vhodná a konkrétní opatření. Mělo by se jednat o opatření týkající se definice nezbytných souborů údajů, které se mají vyměnit, příslušných orgánů pro EWRS, které by se měly účastnit výměny údajů v různých případech, o vhodná bezpečnostní opatření, včetně šifrování, a o postupy zpracování údajů mezi vnitrostátními příslušnými orgány prostřednictvím platformy pro výměnu PLF v rámci Evropské unie.

(18)

Příslušné orgány pro EWRS, které používají platformu pro výměnu PLF, společně stanoví účel a prostředky zpracování osobních údajů, které jsou prostřednictvím platformy pro výměnu PLF vyměňovány, a jsou proto společnými správci. Článek 26 nařízení (EU) 2016/679 ukládá společným správcům povinnost transparentním ujednáním mezi sebou vymezit své podíly na odpovědnosti za plnění povinností podle uvedeného nařízení. Rovněž stanoví možnost, aby jejich podíly na odpovědnosti vymezilo právo Unie nebo členského státu, které se na správce vztahuje. Toto rozhodnutí by proto mělo stanovit úlohu a odpovědnost společných správců.

(19)

ECDC jako poskytovatel technických a organizačních řešení pro platformu pro výměnu PLF provádí zpracování údajů uvedených v PLF a epidemiologických údajů jménem členských států, které se podílejí na uvedené platformě jako společní správci, a je proto zpracovatelem ve smyslu čl. 3 bodu 12 nařízení (EU) 2018/1725. Podle článku 28 nařízení (EU) 2016/679 a článku 29 nařízení (EU) 2018/1725 se má zpracování zpracovatelem řídit smlouvou nebo právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a které zpracování vymezují. Proto je nezbytné pro zpracování, které provádí ECDC jako zpracovatel, stanovit pravidla.

(20)

V čl. 3 odst. 3 nařízení (ES) č. 851/2004 se stanoví, že ECDC, Komise a členské státy spolupracují, aby podpořily účinnou soudržnost mezi svými činnostmi. Proto by mezi Komisí a ECDC měly být uzavřeny dohody o úrovni služeb, týkající se spolupráce během technického vývoje a provozu platformy pro výměnu PLF. Uvedené dohody musí stanovit rozdělení odpovědnosti (organizační, finanční a technologické) mezi stranami, aby se usnadnilo provádění platformy pro výměnu PLF a technických opatření vztahujících se k jejímu provozu, údržbě a dalšímu rozvíjení.

(21)	Prováděcí rozhodnutí (EU) 2017/253 by proto mělo být odpovídajícím způsobem změněno.

(22)

Provoz platformy pro výměnu PLF má v roce 2021 financovat nástroj pro mimořádnou podporu, který byl zřízen za účelem pomoci členským státům při jejich reakci na koronavirovou pandemii, a to tak, že potřeby řeší strategicky a koordinovaně na evropské úrovni a poskytuje prostředky pro „činnosti na podporu evropské dopravní politiky, zabezpečení dopravy a práv cestujících, včetně komunikačních činností“. V roce 2022 má být platforma pro výměnu PLF financována z programu Digitální Evropa.

(23)

Vzhledem k předpokládanému datu zprovoznění platformy pro výměnu PLF by se toto rozhodnutí mělo použít od 1. června 2021. Výměna údajů by měla být ukončena po dvanácti měsících nebo jakmile generální ředitel Světové zdravotnické organizace v souladu s Mezinárodními zdravotnickými předpisy prohlásí, že ohrožení veřejného zdraví mezinárodního významu způsobené virem SARS-CoV-2 pominulo.

(24)

Provoz platformy pro výměnu PLF by se měl omezit na zvládnutí pandemie COVID-19. V budoucnu by však její fungování mohlo být rozšířeno prostřednictvím pozměňujícího prováděcího rozhodnutí na takové epidemie, které by si mohly vyžádat výměnu údajů uvedených v PLF mezi členskými státy pro účely trasování cestujících v souladu s podmínkami stanovenými v čl. 9 odst. 1 a 3 rozhodnutí č. 1082/2013/EU.

(25)	V souladu s čl. 42 odst. 1 nařízení (EU) 2018/1725 byl konzultován evropský inspektor ochrany údajů, který vydal své stanovisko dne 6. května 2021.

(26)	Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem Výboru pro vážné přeshraniční zdravotní hrozby zřízeného článkem 18 rozhodnutí č. 1082/2013/EU,

PŘIJALA TOTO ROZHODNUTÍ:

Článek 1

Prováděcí rozhodnutí (EU) 2017/253 se mění takto:

vkládá se nový článek 1a, který zní:

„Článek 1a

Definice

Pro účely tohoto rozhodnutí se rozumí:

„formulářem pro trasování cestujících“ (dále jen „PLF“) formulář, jehož vyplnění vyžadují orgány veřejného zdraví a ve kterém se shromažďují přinejmenším údaje o cestujících uvedené v příloze I, jež jsou zmíněným orgánům nápomocny při zvládání událostí souvisejících s veřejným zdravím, a to tak, že jim umožní trasovat cestující překračující hranice, kteří mohli být vystaveni viru SARS-CoV-2 / nakažené osobě;

b)	„údaji uvedenými ve formuláři pro trasování cestujících“ (dále jen „údaje uvedené v PLF“) osobní údaje shromážděné díky vyplněnému PLF;

c)	„digitálním vstupním místem“ jednotné digitální místo, prostřednictvím kterého mohou příslušné orgány pro EWRS bezpečně připojit své vnitrostátní systémy digitálních PLF k platformě pro výměnu PLF;

d)	„cestou“ přeshraniční cesta vykonaná určitou osobou, sestávající z jedné nebo více etap, prostřednictvím hromadné dopravy s předem přidělenými sedadly, s ohledem na místo původního odcestování a cílovou destinaci této osoby;

e)	„etapou“ jedna přeshraniční cesta vykonaná cestujícím letadlem, vlakem, plavidlem nebo vozidlem bez dalších spojů nebo přesedání/mezipřistání;

f)	„nakaženým cestujícím“ cestující, který splňuje laboratorní kritérium pro infekci virem SARS-CoV-2;

g)	„osobou vystavenou nákaze“ cestující nebo jiná osoba, která byla v úzkém kontaktu s nakaženým cestujícím;

h)	„varovným hlášením“ hlášení prostřednictvím systému včasného varování a reakce (EWRS) podle článku 9 rozhodnutí č. 1082/2013/ES.“;

vkládají se nové články 2a, 2b a 2c, které znějí:

„Článek 2a

Platforma pro výměnu údajů uvedených v PLF

1. Platforma pro bezpečnou výměnu údajů uvedených v PLF nakažených cestujících, jejímž výhradním účelem je trasování kontaktů osob vystavených viru SARS-CoV-2 prostřednictvím příslušných orgánů pro EWRS (dále jen „platforma pro výměnu PLF“), se zřizuje v rámci EWRS jako doplnění funkce selektivního rozesílání zpráv, která již v rámci uvedeného systému existuje.

Platforma pro výměnu PLF poskytne digitální vstupní místo, aby za účelem výměny údajů shromážděných díky PLF mohly příslušné orgány pro EWRS bezpečně připojit své vnitrostátní systémy digitálních PLF nebo se bezpečně připojit ke společnému systému unijních digitálních formulářů pro trasování cestujících (dále jen „unijní dPLF“).

Příslušné orgány pro EWRS musí být schopny používat platformu pro výměnu dalších údajů, to znamená epidemiologických údajů pro výhradní účel trasování kontaktů osob vystavených viru SARS-CoV-2, v souladu s čl. 2b odst. 5.

2. Platformu pro výměnu PLF provozuje ECDC.

3. Aby splnily povinnost podle článku 2 informovat o vážných přeshraničních zdravotních hrozbách identifikovaných v souvislosti se shromažďováním údajů uvedených v PLF, musí příslušné orgány pro EWRS členských států, jež vyžadují vyplnění PLF, přistoupit k výměně souboru údajů uvedených v PLF podle článku 2b prostřednictvím platformy pro výměnu PLF.

4. Příslušné orgány pro EWRS mohou pokračovat v plnění povinnosti podle čl. 9 odst. 1 a 3 rozhodnutí č. 1082/2013/EU informovat o vážných přeshraničních zdravotních hrozbách identifikovaných v souvislosti se shromažďováním údajů uvedených v PLF prostřednictvím dalších existujících komunikačních kanálů uvedených v čl. 1 odst. 2 tohoto rozhodnutí, a to dočasně a za předpokladu, že taková volba neohrozí účel trasování kontaktů.

5. Platforma pro výměnu PLF nesmí uchovávat údaje uvedené v PLF a další epidemiologické údaje. Příslušným orgánům pro EWRS pouze umožňuje přijímat údaje, které jim zaslaly jiné příslušné orgány pro EWRS, za výhradním účelem trasování kontaktů vystavených viru SARS-CoV-2. ECDC má k uvedeným údajům přístup pouze za účelem zajištění řádného fungování platformy pro výměnu PLF.

6. Příslušné orgány pro EWRS nesmí prostřednictvím platformy pro výměnu PLF uchovávat údaje uvedené v PLF a epidemiologické údaje po dobu delší, než je doba uchovávání, která se vztahuje se na vykonávání jejich vnitrostátních činností týkajících se trasování kontaktů vystavených viru SARS-CoV-2.

7. Se střediskem ECDC při plnění úkolů, které jsou mu svěřeny podle tohoto rozhodnutí, zejména pokud jde o technická a organizační opatření související s přípravou, zavedením, prováděním, provozem, údržbou a dalším rozvojem platformy pro výměnu PLF, spolupracuje Komise.

8. Zpracování osobních údajů v platformě pro výměnu PLF za výhradním účelem trasování kontaktů vystavených viru SARS-CoV-2 se provádí do 31. května 2022 nebo do chvíle, kdy generální ředitel Světové zdravotnické organizace v souladu s Mezinárodními zdravotnickými předpisy prohlásí, že ohrožení veřejného zdraví mezinárodního významu způsobené virem SARS-CoV-2 pominulo, podle toho, co nastane dříve.

Článek 2b

Údaje k výměně

1. Příslušné orgány pro EWRS členského státu, v němž je zjištěn nakažený cestující, předají při vydání varovného hlášení prostřednictvím platformy pro výměnu PLF příslušným orgánům pro EWRS členského státu původního odcestování nebo pobytu, pokud se místo pobytu liší od místa původního odcestování nakaženého cestujícího tyto údaje uvedené v PLF:

jméno;

příjmení;

c)	datum narození;

d)	telefonní číslo (pevná linka a/nebo mobilní telefon);

e)	e-mailová adresa;

f)	adresa místa pobytu.

2. Příslušné orgány pro EWRS členského státu, z něhož nakažený cestující původně odcestoval, mohou přijaté údaje uvedené v PLF předat členskému státu odcestování, který není totožný s členským státem uvedeným v PLF jako členský stát původního odcestování, pokud mají doplňující informace o tom, který členský stát by měl provést trasování kontaktů.

3. Příslušné orgány pro EWRS členského státu, v němž je zjištěn nakažený cestující, předají při vydání varovného hlášení prostřednictvím platformy pro výměnu PLF příslušným orgánům pro EWRS všech členských států tyto údaje uvedené v PLF týkající se každé etapy cesty tohoto cestujícího:

a)	místo odjezdu/odletu každého dotčeného dopravního prostředku;

b)	místo příjezdu/příletu každého dotčeného dopravního prostředku;

c)	datum odjezdu/odletu každého dotčeného dopravního prostředku;

d)	každý dotčený dopravní prostředek (např. letadlo, vlak, autokar, trajekt, plavidlo);

e)	identifikační číslo každého dotčeného dopravního prostředku (např. číslo letu, číslo vlaku, poznávací značka autokaru, název trajektu nebo plavidla);

f)	číslo sedadla/kabiny v každém dotčeném dopravním prostředku;

g)	čas odjezdu/odletu každého dotčeného dopravního prostředku, je-li to nutné.

4. Pokud příslušné orgány pro EWRS členského státu, který vydává varovné hlášení, mohou na základě informací, jež mají k dispozici, určit dotčené členské státy, předají údaje uvedené v odstavci 3 pouze příslušným orgánům pro EWRS dotčených členských států.

5. Pokud je to nutné s ohledem na účinné provedení trasování kontaktů, musí být příslušné orgány pro EWRS schopny poskytnout tyto epidemiologické údaje:

a)	typ provedeného testu;

b)	varianta viru SARS-CoV-2;

c)	datum odběru;

d)	datum nástupu příznaků.

Článek 2c

Odpovědnost příslušných orgánů pro EWRS a ECDC při zpracování údajů uvedených v PLF

1. Příslušné orgány pro EWRS, které si vyměňují údaje uvedené v PLF a údaje podle čl. 2b odst. 5, jsou společnými správci pro zadávání a předávání těchto údajů v rámci platformy pro výměnu PLF, a to až do jejich přijetí. Povinnosti společných správců se určí v souladu s přílohou II. Každý členský stát, který si přeje účastnit se přeshraniční výměny údajů uvedených v PLF prostřednictvím platformy pro výměnu PLF, musí před zahájením své účasti o svém záměru uvědomit ECDC a oznámit mu svůj příslušný orgán pro EWRS, který byl jmenován jako odpovědný správce.

2. Zpracovatelem údajů vyměňovaných prostřednictvím platformy pro výměnu PLF je ECDC. Poskytuje platformu pro výměnu PLF a zajišťuje bezpečnost zpracování údajů vyměňovaných prostřednictvím platformy pro výměnu PLF i bezpečnost jejich předávání a musí splňovat povinnosti zpracovatele stanovené v příloze III.

3. ECDC a příslušné orgány pro EWRS s oprávněním k přístupu do platformy pro výměnu PLF pravidelně testují, posuzují a hodnotí účinnost technických a organizačních opatření pro zajištění bezpečnosti zpracování údajů uvedených v PLF vyměňovaných prostřednictvím platformy pro výměnu PLF.

4. ECDC zapojí Komisi jako náhradního zpracovatele a zajistí, aby se na ni vztahovaly povinnosti týkající se ochrany údajů stanovené v tomto rozhodnutí.“;

3)	v čl. 3 odst. 3 se slova „v příloze“ nahrazují slovy „v příloze IV“;

4)	v příloze se záhlaví „PŘÍLOHA“ nahrazuje záhlavím „PŘÍLOHA IV“;

5)	vkládají se přílohy I, II a III ve znění uvedeném v příloze tohoto rozhodnutí.

Článek 2

Toto rozhodnutí vstupuje v platnost třetím dnem po vyhlášení v Úředním věstníku Evropské unie.

Použije se ode dne 1. června 2021.

V Bruselu dne 27. května 2021.

Za Komisi

předsedkyně

Ursula VON DER LEYEN

(1) Úř. věst. L 293, 5.11.2013, s. 1.

(2) Úř. věst. L 337, 14.10.2020, s. 3.

(3) Nařízení Evropského parlamentu a Rady (ES) č. 851/2004 ze dne 21. dubna 2004 o zřízení Evropského střediska pro prevenci a kontrolu nemocí (Úř. věst. L 142, 30.4.2004, s. 1).

(4) Společná akce v oblasti připravenosti a akce v místech vstupu (přístavy, letiště a pozemní přechody) HEALTHY GATEWAYS sdružuje 28 evropských zemí, finanční prostředky poskytuje třetí víceletý program činnosti Unie v oblasti zdraví (2014–2020).

(5) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Úř. věst. L 119, 4.5.2016, s. 1).

(6) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).

PŘÍLOHA

„PŘÍLOHA I

MINIMÁLNÍ SOUBOR ÚDAJŮ UVEDENÝCH V PLF, KTERÉ MAJÍ BÝT SHROMÁŽDĚNY PROSTŘEDNICTVÍM VNITROSTÁTNÍCH PLF

PLF musí obsahovat přinejmenším tyto údaje:

jméno;

příjmení;

3)	datum narození;

4)	telefonní číslo (pevná linka a/nebo mobilní telefon);

5)	e-mailová adresa:

6)	adresa místa pobytu;

7)	cílová nebo poslední destinace celé cesty v EU;

pro každou etapu cesty až do členského státu, který vyžaduje vyplnění PLF, se uvedou tyto informace:

a)	místo odcestování;

b)	místo přicestování;

c)	datum odcestování;

d)	dopravní prostředek (např. letadlo, vlak, autokar, trajekt, plavidlo);

e)	čas odcestování;

f)	identifikační číslo dopravního prostředku (např. číslo letu, číslo vlaku, poznávací značka autokaru, název trajektu nebo plavidla);

g)	číslo sedadla/kabiny.

PŘÍLOHA II

ODPOVĚDNOST ZÚČASTNĚNÝCH ČLENSKÝCH STÁTŮ JAKO SPOLEČNÝCH SPRÁVCŮ PLATFORMY PRO VÝMĚNU PLF

ODDÍL 1

Rozdělení povinností

Každý příslušný orgán pro EWRS zajistí, aby se zpracování osobních údajů uvedených v PLF a dalších epidemiologických údajů vyměňovaných prostřednictvím platformy pro výměnu PLF provádělo v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 (*). Zejména zajistí, aby údaje, které vkládá do platformy pro výměnu PLF a jejím prostřednictvím vyměňuje, byly přesné a omezovaly se na údaje stanovené v článku 2b tohoto rozhodnutí.

Každý příslušný orgán pro EWRS zůstává výhradním správcem shromažďování, využívání, zpřístupňování a jakékoli jiné zpracování údajů uvedených v PLF a dalších epidemiologických údajů prováděné mimo platformu pro výměnu PLF. Každý příslušný orgán pro EWRS zajistí, aby se předávání údajů provádělo v souladu s technickými specifikacemi stanovenými pro platformu pro výměnu PLF.

Pokyny zpracovateli zasílá kterékoli z kontaktních míst společných správců po dohodě s ostatními společnými správci.

K údajům uvedeným v PLF a dalším epidemiologickým údajům vyměňovaným prostřednictvím platformy pro výměnu PLF mohou mít přístup pouze osoby s oprávněním, které udělily příslušné orgány pro EWRS.

Každý příslušný orgán pro EWRS zřídí kontaktní místo s funkční e-mailovou schránkou, které bude sloužit pro komunikaci mezi společnými správci a mezi společnými správci a zpracovatelem. Rozhodovací postup společných správců určuje pracovní skupina Výboru pro zdravotní bezpečnost v rámci EWRS.

Každý příslušný orgán pro EWRS přestane být společným správcem od data zrušení své účasti v platformě pro výměnu PLF. Je však nadále odpovědný za shromáždění a předání údajů uvedených v PLF a dalších epidemiologických údajů prostřednictvím platformy pro výměnu PLF z doby před zrušením své účasti.

Každý příslušný orgán pro EWRS vede záznamy o činnostech zpracování, za které je odpovědný. Ve zmíněných záznamech může být uvedeno společné správcovství.

ODDÍL 2

Odpovědnost a úloha při vyřizování žádostí a informování subjektů údajů

Každý příslušný orgán pro EWRS vyžadující vyplnění PLF poskytne přeshraničním cestujícím (dále jen „subjekty údajů“) v souladu s články 13 a 14 nařízení (EU) 2016/679 informace o okolnostech výměny jejich údajů uvedených v PLF a epidemiologických údajů prostřednictvím platformy pro výměnu údajů pro účely trasování kontaktů.

V souladu s nařízením (EU) 2016/679 funguje každý příslušný orgán pro EWRS jako kontaktní místo pro subjekty údajů a zpracovává žádosti týkající se výkonu jejich práv, které předložily tyto subjekty nebo jejich zástupci. Každý příslušný orgán pro EWRS určí zvláštní kontaktní místo vyhrazené pro žádosti obdržené od subjektů údajů. Jestliže příslušný orgán pro EWRS obdrží žádost subjektu údajů, která nespadá do jeho odpovědnosti, neprodleně ji předá odpovědnému příslušnému orgánu pro EWRS a informuje ECDC. Příslušné orgány pro EWRS si na požádání poskytují navzájem součinnost při vyřizování žádostí subjektů údajů týkajících se společného správcovství a odpovídají bez prodlení, nejpozději však do 15 dní od obdržení žádosti o součinnost.

Každý příslušný orgán pro EWRS poskytne subjektům údajů obsah této přílohy včetně ujednání stanovených v bodech 1 a 2.

ODDÍL 3

Řízení bezpečnostních incidentů, včetně porušení ochrany osobních údajů

Příslušné orgány pro EWRS si jakožto společní správci vzájemně poskytují součinnost při identifikaci a řešení všech bezpečnostních incidentů, včetně porušení ochrany osobních údajů, které souvisí se zpracováním údajů uvedených v PLF a epidemiologických údajů vyměňovaných prostřednictvím platformy pro výměnu PLF.

Příslušné orgány pro EWRS se zejména vzájemně informují o:

a)	všech potenciálních nebo skutečných rizicích pro dostupnost, důvěrnost a/nebo integritu údajů uvedených v PLF a epidemiologických údajů zpracovávaných v platformě pro výměnu PLF;

b)	každém porušení ochrany osobních údajů, pravděpodobných důsledcích porušení ochrany údajů a hodnocení rizika pro práva a svobody fyzických osob a o všech opatřeních učiněných k vyřešení porušení ochrany osobních údajů a zmírnění rizika pro práva a svobody fyzických osob;

c)	každém narušení technických a/nebo organizačních ochranných opatření u operace zpracování v platformě pro výměnu PLF.

Příslušné orgány pro EWRS informují o každém porušení ochrany osobních údajů v souvislosti s operací zpracování v platformě pro výměnu PLF středisko ECDC, příslušné dozorové úřady a případně subjekty údajů, pokud je to požadováno, v souladu s článkem 33 a 34 nařízení (EU) 2016/679 nebo po oznámení, které učinilo ECDC.

Každý příslušný orgán pro EWRS provede vhodná technická a organizační opatření, která mají:

a)	zajistit a chránit bezpečnost, integritu a důvěrnost společně zpracovávaných osobních údajů;

b)	chránit proti veškerému neoprávněnému nebo protiprávnímu zpracování, ztrátě, využití, zpřístupnění nebo získání jakýchkoli osobních údajů, které má k dispozici, nebo proti veškerému neoprávněnému nebo protiprávnímu přístupu k nim;

c)	zajistit, aby přístup k osobním údajům nebyl sdělen nebo umožněn nikomu jinému než příjemcům nebo zpracovatelům.

ODDÍL 4

Posouzení vlivu na ochranu osobních údajů

Jestliže správce potřebuje informace od jiného správce, aby splnil své povinnosti uvedené v článcích 35 a 36 nařízení (EU) 2016/679, zašle konkrétní žádost do funkční e-mailové schránky uvedené v oddíle 1 pododdíle 1 bodě 5. Dožádaný správce vynaloží veškeré úsilí, aby tyto informace poskytl.

PŘÍLOHA III

ODPOVĚDNOST ECDC JAKO ZPRACOVATELE V SOUVISLOSTI S PLATFORMOU PRO VÝMĚNU PLF

ECDC zavede a zajistí bezpečnou a spolehlivou komunikační infrastrukturu, která propojí příslušné orgány členských pro EWRS členských států zúčastněných na platformě pro výměnu PLF.

Zpracování, které ECDC provádí v platformě pro výměnu PLF, obnáší tyto úkoly:

a)	vymezit minimální soubor technických požadavků, aby byl umožněn bezproblémový a bezpečný onboarding a offboarding vnitrostátních databází PLF;

b)	zajistit bezpečnou a automatickou interoperabilitu vnitrostátních databází PLF.

Aby ECDC splnilo své povinnosti jako zpracovatel údajů v platformě pro výměnu PLF, zapojí Komisi jako dílčího zpracovatele a zajistí, aby se na ni vztahovaly stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny v tomto rozhodnutí.

ECDC může oprávnit Komisi, aby jako další dílčí zpracovatele zapojila třetí strany.

Pokud Komise dílčí zpracovatele zapojí, ECDC musí:

a)	zajistit, aby se na tyto dílčí zpracovatele vztahovaly stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny v tomto rozhodnutí;

b)	uvědomit správce o veškerých zamýšlených změnách týkajících se zařazení dalšího dílčího zpracovatele nebo jeho nahrazení, což správcům umožňuje proti takovým změnám vznést námitku prostou většinou.

ECDC:

a)	zavede a zajišťuje bezpečnou a spolehlivou komunikační infrastrukturu, která propojí příslušné orgány pro EWRS členských států zúčastněných na platformě pro výměnu PLF;

zpracuje údaje uvedené v PLF a další epidemiologické údaje pouze na základě zadokumentovaných pokynů od správců, ledaže to vyžaduje právo Unie; v takovém případě ECDC před zpracováním o tomto právním požadavku uvědomí správce, ledaže by toto právo předložení takových informací zakazovalo z důležitých důvodů veřejného zájmu;

c)	zavede bezpečnostní plán, plán kontinuity provozu a plán obnovy provozu po havárii.

d)	přijme nezbytná opatření pro zachování integrity zpracovávaných údajů uvedených v PLF a dalších epidemiologických údajů;

přijme veškerá nejmodernější organizační, fyzická a elektronická bezpečnostní opatření pro údržbu platformy pro výměnu PLF; za tímto účelem ECDC:

i)	určí subjekt odpovědný za řízení bezpečnosti na úrovni platformy pro výměnu PLF, sdělí správcům její kontaktní údaje a zajistí její dostupnost pro reakci na bezpečnostní hrozby;

ii)	nese odpovědnost za bezpečnost platformy pro výměnu PLF;

iii)	zajistí, aby se na všechny osoby, kterým je udělen přístup do platformy pro výměnu PLF, vztahovala smluvní, profesionální nebo zákonná povinnost zachování důvěrnosti;

přijme veškerá nezbytná bezpečnostní opatření, aby nedošlo k ohrožení bezproblémového fungování platformy pro výměnu PLF; za tímto účelem zavede ECDC zvláštní postupy týkající se fungování platformy pro výměnu PLF a připojení backendových serverů k platformě pro výměnu PLF; patří sem:

i)	postup posuzování rizik za účelem určení a odhadu možných hrozeb pro systém;

ii)

audit a přezkum s cílem:

1)	zkontrolovat soulad mezi zaváděnými bezpečnostními opatřeními a příslušnou bezpečnostní politikou;

2)	pravidelně kontrolovat integritu souborů systémů, bezpečnostní parametry a udělená oprávnění;

3)	odhalovat a monitorovat případy narušení bezpečnosti a neoprávněného vniknutí;

4)	provést změny, aby se zmírnily stávající nedostatky v zabezpečení;

5)	povolit, a to i na žádost správců, provádění nezávislých auditů včetně inspekcí a přezkumů bezpečnostních opatření a přispět k němu, a to za podmínek, které jsou v souladu s Protokolem (č. 7) o výsadách a imunitách Evropské unie připojeným ke Smlouvě o fungování Evropské unie;

iii)	změna kontrolního postupu, pokud jde o dokumentaci a měření dopadu změny před jejím provedením, a informování správců o všech změnách, které mohou ovlivnit komunikaci s infrastrukturami anebo bezpečnost těchto infrastruktur;

iv)	stanovení postupu údržby a oprav za účelem stanovení pravidel a podmínek, jež je třeba dodržet, pokud by se měla provést údržba a/nebo oprava zařízení;

stanovení postupu pro bezpečnostní incidenty s cílem definovat postupy hlášení a eskalace, neprodleně informovat správce o jakémkoli narušení bezpečnosti osobních údajů, aby oni následně uvědomili vnitrostátní orgány dozoru pro ochranu údajů, a stanovit disciplinární postup pro řešení narušení bezpečnosti;

přijme nejmodernější fyzická a/nebo elektronická bezpečnostní opatření pro zařízení, v nichž se nachází vybavení platformy pro výměnu PLF, a pro kontroly přístupu k údajům a zabezpečení; za tímto účelem ECDC:

i)	prosazuje fyzickou bezpečnost s cílem vytvořit odlišná bezpečnostní pásma a umožnit odhalování případů narušení bezpečnosti;

ii)	kontroluje přístup do zařízení a vede registr návštěvníků pro účely monitorování;

iii)	zajistí, aby externí osoby, jimž byl udělen přístup do prostor, byly doprovázeny řádně pověřenými pracovníky;

iv)	zajistí, aby zařízení nebylo možné přidat, nahradit nebo odstranit bez předchozího povolení určených odpovědných orgánů;

v)	kontroluje přístup z vnitrostátních systémů PLF do platformy pro výměnu PLF a z platformy pro výměnu PLF do těchto systémů;

vi)	zajistí, aby jednotlivci, kteří mají přístup k platformě pro výměnu PLF, byli identifikováni a ověřeni;

vii)	přezkoumá přístupová práva související s přístupem do platformy pro výměnu PLF v případě narušení bezpečnosti, které má dopad na tuto infrastrukturu;

viii)

zavede technická a organizační bezpečnostní opatření, která zabrání neoprávněnému přístupu k údajům uvedeným v PLF a epidemiologickým údajům;

ix)	v případě potřeby provede opatření s cílem zabránit neoprávněnému přístupu do platformy pro výměnu PLF z domény vnitrostátních orgánů (tj. zablokuje zjišťování polohy/IP adresy);

h)	podnikne kroky k ochraně své domény, včetně přerušení připojení, v případě závažného odchýlení od zásad a koncepcí v oblasti kvality nebo bezpečnosti;

i)	spravuje plán řízení rizik v oblasti své působnosti;

j)	sleduje – v reálném čase – výkonnost všech složek služby v rámci svých služeb platformy pro výměnu PLF, vypracovává pravidelné statistiky a vede záznamy;

k)	zajistí nepřetržitou dostupnost služby s přijatelnou odstávkou pro účely údržby;

l)	poskytuje podporu všem službám platformy pro výměnu PLF v angličtině prostřednictvím telefonu, e-mailu nebo webového portálu a přijímá volání od oprávněných volajících, jimiž jsou: koordinátoři platformy pro výměnu PLF a jejich příslušné asistenční služby, projektoví referenti a osoby určené ECDC;

m)	pomáhá správcům prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, při plnění povinnosti správců reagovat na žádosti o výkon práv subjektu údajů, jak jsou stanovena v kapitole III nařízení (EU) 2016/679;

n)	podporuje správce poskytováním informací o platformě pro výměnu PLF za účelem plnění povinností podle článků 32, 35 a 36 nařízení (EU) 2016/679;

o)	zajišťuje, aby údaje uvedené v PLF a epidemiologické údaje předávané prostřednictvím platformy pro výměnu PLF byly nesrozumitelné všem osobám, které nemají oprávnění přístupu k těmto údajům, a to zejména používáním silného šifrování;

p)	přijme veškerá příslušná opatření, která zabrání tomu, aby provozovatelé platformy pro výměnu PLF měli neoprávněný přístup k předávaným údajům uvedeným v PLF a epidemiologickým údajům;

q)	přijme opatření s cílem usnadnit interoperabilitu a komunikaci mezi určenými správci platformy pro výměnu PLF;

r)	vede záznamy o činnostech zpracování prováděných za správce podle čl. 31 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2018/1725.

“

(*) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Úř. věst. L 119, 4.5.2016, s. 1).

Zavřít

Vyhledání konkrétního předpisu

Fulltextové vyhledávání