Zpráva 001
Zpráva od Komise - TRIS/(2025) 3364
Směrnice (EU) 2015/1535
Oznámení: 2025/0708/FR
Oznámení návrhu znění od členského státu
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20253364.CS
1. MSG 001 IND 2025 0708 FR CS 25-11-2025 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2025/0708/FR - SERV - Služby informační společnosti
5. Vyhláška, kterou se mění některá ustanovení týkající se hostování osobních zdravotních údajů
6. Hostování osobních zdravotních údajů
7.
8. 8. Tato vyhláška, přijatá v souladu s článkem 31 zákona SREN, má za cíl:
(1) Upřesnit povinnosti suverenity stanovené v článku L.1111-8 odst. IV zákoník veřejného zdraví, a to převzetím požadavků č. 28 až 31 referenčního systému HDS oznámeného pod číslem oznámení 2023/0682/FR:
— Vyžaduje, aby zdravotní údaje byly hostovány výhradně na území členského státu Evropské unie nebo smluvní strany Evropského hospodářského prostoru. V případě vzdáleného přístupu ze třetí země musí být tento přístup založen na rozhodnutí Evropské komise o přiměřenosti nebo, v případě jeho absence, na vhodných zárukách podrobně uvedených v smlouvě o hostování.
— Zavádí nové smluvní povinnosti pro poskytovatele hostingu, kteří musí informovat své zákazníky o mimoevropských předpisech, které mohou vést k neoprávněnému předávání údajů nebo přístupu k údajům, o opatřeních zavedených k omezení jejich účinků a o přetrvávajících zbytkových rizicích.
— Zavádí se povinnost transparentnosti, která ukládá poskytovatelům hostingu povinnost zveřejňovat a aktualizovat mapu předávání údajů do zemí mimo EHP a popis rizik neoprávněného přístupu.
(2) Uvést některé ustanovení článku R.1111-11 do souladu s ustanoveními nařízení GDPR:
— pokud jde o obsah smluvní doložky týkající se způsobů výkonu práv subjektů údajů s právy skutečně stanovenými v nařízení GDPR.
— pokud jde o požadavek č. 19, který je v souladu s obecným nařízením GDPR a zaměřuje se na práva fyzických osob, jak je stanoveno v obecném nařízení GDPR, při jeho aktualizaci v roce 2024.
9. Článek 32 zákona SREN mění článek IV článku L.1111-8 zákoníku veřejného zdraví (CSP) tím, že přidává nové povinnosti v oblasti suverenity údajů, které musí dodržovat provozovatelé hostingu osobních zdravotních údajů, a to jednak tím, že stanoví povinnost ukládat údaje v EU a na druhé straně stanoví nové podmínky, které musí být obsaženy ve smlouvě uzavřené mezi poskytovatelem hostingu a jeho zákazníkem s ohledem na rizika přenosu osobních údajů nebo neoprávněného přístupu k nim ze strany mimoevropských právních předpisů.
Obsah těchto smluvních závazků a ustanovení musí být nyní upřesněn vyhláškou Státní rady.
Článek 32 zákona SREN rovněž stanoví, že hostování zdravotních údajů v rámci služby elektronického archivování podléhá nyní povinnosti certifikace „hostitel zdravotních údajů“ (HZÚ), kromě toho, že musí být schváleno ministrem kultury. Tato změna zákona neznamená žádnou změnu na úrovni předpisů, s výjimkou upřesnění, že činnost hostingu odpovídající „zálohování zdravotních údajů“ zahrnuje činnost „elektronické archivace“.
Oznámený návrh je v souladu s evropskými předpisy v oblasti osobních údajů, zejména s nařízením (EU) 2025/327 o evropském prostoru pro zdravotní údaje (European Health Data Space – EHDS). Zejména povinnost poskytovatelů hostingu zdravotních údajů umístit fyzické údaje na území EU nebo EHP je v souladu s článkem 86 nařízení EEDS, který členským státům výslovně přiznává možnost omezit uchovávání zdravotních údajů na území EU. Kromě toho podléhá vzdálený přístup k údajům ze třetí země ze strany provozovatele datového úložiště nebo jednoho z jeho subdodavatelů rozhodnutí Komise o přiměřenosti podle článku 46 nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) je v souladu s článkem 90 nařízení EEDS, který členským státům přiznává možnost zachovat nebo zavést další podmínky týkající se mezinárodního přístupu k údajům o zdravotním stavu. A konečně, povinnost uvést v případě, že Komise nepřijala rozhodnutí o přiměřenosti, uvést ve smlouvě o poskytování hostingu opatření přijatá proti rizikům neoprávněného přenosu nebo přístupu k těmto údajům ze strany třetích států do EU nebo EHP, je rovněž v souladu s článkem 90 nařízení EEDS, který členským státům umožňuje podrobit přenos osobních údajů dodatečným podmínkám ochrany.
10. Odkazy na základní texty: 2023/0682/FR, 2017/0343/F
Základní texty byly předány v rámci předchozího oznámení:
2023/0682/FR
2017/0343/F
11. Ne
12.
13. Ne
14. Ne
15. Ne
16.
Hledisko TBT: Ne
Hledisko SPS: Ne
**********
Evropská komise
Kontaktní bod směrnice (EU) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
