Meddelelse 001
Kommissionens meddelelse - TRIS/(2025) 3364
Direktiv (EU) 2015/1535
Notifikation: 2025/0708/FR
Notifikation af et udkast fra en medlemsstat
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20253364.DA
1. MSG 001 IND 2025 0708 FR DA 25-11-2025 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2025/0708/FR - SERV - Informationssamfundstjenester
5. Dekret om ændring af visse bestemmelser vedrørende hosting af personlige sundhedsoplysninger
6. Hosting af personlige sundhedsoplysninger
7.
8. 8. Dette dekret, der er udstedt i henhold til artikel 31 i SREN-loven, har til formål at:
1) præcisere de suverænitetsforpligtelser, der er fastsat i artikel L.1111-8, IV, i lov om offentlig sundhed, ved at indarbejde krav 28-31 i HDS-standarden, der er meddelt under notifikationsnummer 2023/0682/FR:
– Det kræver, at sundhedsdata udelukkende hostes på et område tilhørende en EU-medlemsstat eller en part i Det Europæiske Økonomiske Samarbejdsområde. I tilfælde af fjernadgang fra et tredjeland skal en sådan adgang være baseret på en afgørelse om tilstrækkeligt beskyttelsesniveau truffet af Europa-Kommissionen eller, hvis dette ikke er muligt, på passende garantier, der er beskrevet i hostingaftalen.
– Det indfører nye kontraktmæssige forpligtelser for udbydere af hostingtjenester, som skal informere deres kunder om reglerne uden for EU, der kan føre til uautoriseret overførsel af eller adgang til data, de foranstaltninger, der er truffet for at begrænse virkningerne heraf, samt eventuelle resterende risici.
– Der indføres en gennemsigtighedsforpligtelse, som kræver, at udbydere af hostingtjenester offentliggør og ajourfører et kort over dataoverførsler til lande uden for EØS og en beskrivelse af risiciene ved uautoriseret adgang.
2) bringe visse bestemmelser i artikel R.1111-11 i overensstemmelse med bestemmelserne i GDPR:
– om indholdet af kontraktbestemmelsen vedrørende de nærmere vilkår for udøvelsen af de registreredes rettigheder og med de rettigheder, der faktisk er fastsat i GDPR
– om krav 19, der er tilpasset GDPR, med henblik på at målrette enkeltpersoners rettigheder som fastsat i GDPR, da den blev opdateret i 2024.
9. SREN-lovens artikel 32 ændrer artikel L.1111-8 IV i lov om offentlig sundhed (CSP) ved at tilføje nye datasuverænitetsforpligtelser, som værter for personlige sundhedsoplysninger skal opfylde, ved på den ene side at fastsætte en forpligtelse til at lagre data i EU og på den anden side ved at fastsætte nye bestemmelser, der skal indgå i kontrakten mellem værten og dennes klient i betragtning af risikoen for, at personoplysninger overføres eller tilgås uden tilladelse på baggrund af ikke-EU-lovgivning.
Indholdet af disse kontraktlige forpligtelser og bestemmelser skal nu specificeres ved dekret fra statsrådet.
Artikel 32 i SREN-loven bestemmer også, at hosting af sundhedsdata som en del af en elektronisk arkiveringstjeneste nu er underlagt certificeringskravet "vært for sundhedsdata" (HDS), ud over godkendelse af kulturministeren. Denne lovændring indebærer ikke nogen lovgivningsmæssige ændringer, bortset fra præciseringen af, at den hostingaktivitet, der svarer til "beskyttelse af sundhedsdata", omfatter aktiviteten "elektronisk arkivering".
Det meddelte projekt er i overensstemmelse med de europæiske forordninger om personoplysninger, navnlig forordning (EU) 2025/327 om det europæiske sundhedsdataområde. Navnlig er forpligtelsen om, at værter for sundhedsdata skal lokalisere fysiske data inden for EU eller EØS, i overensstemmelse med artikel 86 i forordningen om det europæiske sundhedsdataområde, som udtrykkeligt giver medlemsstaterne mulighed for at begrænse lagringen af sundhedsdata til EU's område. Desuden er det, at værtens eller en af databehandlernes fjernadgang til data fra et tredjeland er underlagt en afgørelse om tilstrækkeligt beskyttelsesniveau truffet af Kommissionen i henhold til artikel 46 i forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (GDPR), i overensstemmelse med artikel 90 i forordningen om det europæiske sundhedsdataområde, som giver medlemsstaterne mulighed for at opretholde eller indføre yderligere betingelser vedrørende international adgang til sundhedsdata. Endelig er forpligtelsen til, i mangel af en afgørelse om tilstrækkeligt beskyttelsesniveau fra Kommissionen, at medtage de foranstaltninger, der er truffet for at imødegå risikoen for uautoriseret overførsel af eller adgang til sådanne data fra tredjelande uden for EU eller EØS, også i overensstemmelse med artikel 90 i forordningen om det europæiske sundhedsdataområde, som giver medlemsstaterne mulighed for at underkaste overførslen af personoplysninger yderligere beskyttelsesbetingelser.
10. Henvisninger til grundtekster: 2023/0682/FR, 2017/0343/F
Grundteksterne er fremsendt i forbindelse med en tidligere notifikation:
2023/0682/FR
2017/0343/F.
11. Nej
12.
13. Nej
14. Nej
15. Nej
16.
TBT-aspekt: Nej
SPS-aspekt: Nej
**********
Europa-Kommissionen
Kontaktadresse Direktiv (EU) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
