Zpráva 001
Zpráva od Komise - TRIS/(2023) 3385
Směrnice (EU) 2015/1535
Oznámení: 2023/0682/FR
Oznámení návrhu znění od členského státu
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.CS
1. MSG 001 IND 2023 0682 FR CS 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Zdravotnictví, zdravotnické vybavení
5. Vyhláška, kterou se mění vyhláška ze dne 11. června 2018, kterým se schvaluje referenční rámec pro akreditaci certifikačních orgánů a referenční rámec pro certifikaci pro ukládání osobních zdravotních údajů
6. Ukládání osobních zdravotních údajů na digitálních médiích
7.
8. Tento návrh vyhlášky mění akreditační rámec pro certifikační orgány a certifikační rámec pro ukládání osobních zdravotních údajů (HDS – „hébergement de données de santé“).
V souladu s ustanoveními článků L.1111-8 a R.1111-10 zákoníku veřejného zdraví musí mít všichni poskytovatelé úložiště osobních zdravotních údajů (HDS) osvědčení o shodě vydané certifikačním orgánem na základě certifikačního rámce schváleného vyhláškou ministra zdravotnictví.
Hlavní změny certifikačního rámce pro ukládání zdravotních údajů mají za cíl:
- vyjasnit, pro které činnosti poskytovatelé úložiště získali osvědčení, zejména upřesněním definice činnosti správy a provozování systémů zdravotní péče;
- zlepšit srozumitelnost záruk poskytovatele úložiště každému poskytovateli využívajícím jeho služby;
- vyjasnit smluvní závazky poskytovatele úložiště;
- začlenit změny ISO 27001 do certifikačního rámce pro ukládání zdravotních údajů.
Revidovaný rámec pro ukládání zdravotních údajů rovněž navrhuje doplnit 4 nové požadavky na svrchovanost údajů, konkrétně:
- omezení uchovávání zdravotních údajů na území státu, který je součástí Evropského hospodářského prostoru;
Dva požadavky týkající se transparentnosti poskytovatele úložiště vůči jeho zákazníkům:
- informovat o každém předání údajů nebo dálkovém přístupu k údajům zákazníka z území mimo Evropský hospodářský prostor (EHP), které nezajišťuje odpovídající úroveň ochrany údajů ve smyslu článku 45 GDPR, a o organizačních a technických opatřeních zavedených za účelem kontrole tohoto předání;
- informovat o všech předpisech platných mimo Společenství, které mohou znamenat riziko přístupu k údajům ze strany subjektu nacházejícího se v zemi, která nezajišťuje odpovídající úroveň ochrany údajů ve smyslu článku 45 GDPR, a o opatřeních přijatých ke zmírnění tohoto rizika;
Požadavek na transparentnost vůči potenciálním zákazníkům: poskytovatel úložiště musí zveřejnit a průběžně aktualizovat podrobné informace o každém předání údajů, které spravuje, do země mimo EHP a o opatřeních přijatých k zajištění souladu s GDPR.
9. Povinný certifikační postup pro poskytovatele úložiště osobních zdravotních údajů, vytvořený zákonem, má uživatelům a zdravotnickým pracovníkům zaručit, že tyto citlivé údaje ve smyslu směrnice RGPD, svěřené v rámci lékařské péče, jsou zabezpečené.
Tento návrh vyhlášky se vydává na základě článků L.1111-8 a R.1111-10 zákoníku veřejném zdraví za účelem schválení revidované verze: zaprvé referenčního rámce pro certifikaci pro ukládání zdravotnických údajů (HDS) a zadruhé referenčního rámce pro akreditaci certifikačních orgánů, které byly původně schváleny vyhláškou ze dne 11. června 2018. Vyhláška č. 2018-137, která vytvořila ustanovení článků R. 1111-8-8 a násl. zákoníku veřejného zdraví, jakož i vyhláška ze dne 11. června 2018, byly obě oznámeny Evropské komisi v roce 2017.
Celkový systém certifikace zavedený v roce 2018 se nezměnil, pouze některé body byly aktualizovány.
Jediné požadavky přidané do certifikačního rámce se týkají svrchovanosti údajů o zdravotním stavu a jejich cílem je zajistit soulad s obecným nařízením o ochraně osobních údajů (předchozí rámec byl schválen před vstupem GDPR v platnost).
Certifikační systém HDS musí poskytovat záruky subjektům ve zdravotnictví a zdravotně-sociálním sektoru, pokud jde o ochranu údajů v souvislosti s právními předpisy mimo Evropskou unii, které by mohly představovat riziko zveřejnění údajů, a nesmí poskytovat záruky jednotlivcům, pokud jde o účinnost práv, která jim přiznává obecné nařízení o ochraně osobních údajů (GDPR).
Francouzský úřad pro ochranu údajů (CNIL) vydal stanovisko k pokynům 13. července 2023.
V očekávání výsledků jednání na evropské úrovni o budoucích evropských normách (EUCS – European Cybersecurity Certification Scheme for Cloud services) bylo rozhodnuto nepřizpůsobit se požadavkům na extrateritoriální imunitu stanoveným ve francouzské normě známé jako „SecNumCloud verze 3.2“, kterou přijala ANSSI (francouzská agentura pro bezpečnost informačních systémů).
10. Odkazy na základní texty: 2017/0343/F, 2017/0379/F
Referenční texty musí být zaslány v rámci předchozího oznámení:
2017/0343/F
2017/0379/F
11. Ne
12.
13. Ne
14. Ne
15. Ne
16.
Hledisko TBT: Ne
Hledisko SPS: Ne
**********
Evropská komise
Kontaktní bod směrnice (EU) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
