Μήνυμα 001
Ανακοίνωση της Επιτροπής - TRIS/(2025) 3364
Οδηγία (ΕE) 2015/1535
Γνωστοποίηση: 2025/0708/FR
Κοινοποίηση σχεδίου κειμένου από κράτος μέλος
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20253364.EL
1. MSG 001 IND 2025 0708 FR EL 25-11-2025 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2025/0708/FR - SERV - Υπηρεσίες της κοινωνίας της πληροφορίας
5. Διάταγμα για την τροποποίηση ορισμένων διατάξεων σχετικά με τη φιλοξενία προσωπικών δεδομένων υγείας
6. Φιλοξενία προσωπικών δεδομένων υγείας
7.
8. 8. Το παρόν διάταγμα, το οποίο εκδίδεται σύμφωνα με το άρθρο 31 του νόμου SREN, αποσκοπεί στα εξής:
1) να προσδιορίσει τις υποχρεώσεις κυριαρχίας που καθορίζονται στο άρθρο L.1111-8 παράγραφος IV του κώδικα δημόσιας υγείας, ενσωματώνοντας τις απαιτήσεις 28 έως 31 του προτύπου HDS που κοινοποιήθηκε με αριθμό κοινοποίησης 2023/0682/FR:
— Απαιτεί τα δεδομένα υγείας να φιλοξενούνται αποκλειστικά στο έδαφος κράτους μέλους της Ευρωπαϊκής Ένωσης ή κράτους μέλους του Ευρωπαϊκού Οικονομικού Χώρου. Σε περίπτωση απομακρυσμένης πρόσβασης από τρίτη χώρα, η πρόσβαση αυτή πρέπει να βασίζεται σε απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής ή, ελλείψει αυτής, σε κατάλληλες διασφαλίσεις που περιγράφονται λεπτομερώς στη σύμβαση φιλοξενίας.
— Εισάγει νέες συμβατικές υποχρεώσεις για τους παρόχους φιλοξενίας, οι οποίοι πρέπει να ενημερώνουν τους πελάτες τους σχετικά με εξωευρωπαϊκούς κανονισμούς που ενδέχεται να οδηγήσουν σε μη εξουσιοδοτημένη διαβίβαση δεδομένων ή πρόσβαση σε δεδομένα, σχετικά με τα μέτρα που έχουν ληφθεί για τον περιορισμό των επιπτώσεών τους, καθώς και σχετικά με τυχόν εναπομένοντες υπολειπόμενους κινδύνους.
— Θεσπίζεται υποχρέωση διαφάνειας, η οποία απαιτεί από τους παρόχους φιλοξενίας να δημοσιεύουν και να επικαιροποιούν χάρτη διαβιβάσεων δεδομένων προς χώρες εκτός του ΕΟΧ και περιγραφή των κινδύνων μη εξουσιοδοτημένης πρόσβασης.
2) να ευθυγραμμίσει ορισμένες διατάξεις του άρθρου R.1111-11 με τις διατάξεις του ΓΚΠΔ:
— Σχετικά με το περιεχόμενο της συμβατικής ρήτρας που αφορά τους τρόπους άσκησης των δικαιωμάτων των υποκειμένων των δεδομένων με τα δικαιώματα που πράγματι προβλέπονται στον ΓΚΠΔ.
— Σχετικά με την απαίτηση 19, η οποία ευθυγραμμίζεται με τον ΓΚΠΔ ώστε να αφορά τα δικαιώματα των φυσικών προσώπων, όπως προβλέπονται στον ΓΚΠΔ, με την επικαιροποίησή του το 2024.
9. Το άρθρο 32 του νόμου SREN τροποποιεί το άρθρο L.1111-8 παράγραφος IV του κώδικα δημόσιας υγείας (CSP) προσθέτοντας νέες υποχρεώσεις σχετικά με την κυριαρχία των δεδομένων που πρέπει να τηρούν οι πάροχοι φιλοξενίας προσωπικών δεδομένων υγείας, προβλέποντας, αφενός, την υποχρέωση αποθήκευσης των δεδομένων στην ΕΕ και, αφετέρου, νέες ρήτρες που πρέπει να περιλαμβάνονται στη σύμβαση μεταξύ του παρόχου φιλοξενίας δεδομένων και του πελάτη του, ενόψει των κινδύνων διαβίβασης δεδομένων προσωπικού χαρακτήρα ή πρόσβασης σε δεδομένα προσωπικού χαρακτήρα χωρίς εξουσιοδότηση από μη ευρωπαϊκή νομοθεσία.
Το περιεχόμενο αυτών των συμβατικών υποχρεώσεων και διατάξεων πρέπει πλέον να θεσπιστεί με διάταγμα του Συμβουλίου της Επικρατείας.
Το άρθρο 32 του νόμου SREN προβλέπει επίσης ότι η φιλοξενία δεδομένων υγείας στο πλαίσιο υπηρεσίας ηλεκτρονικής αρχειοθέτησης υπόκειται πλέον στην απαίτηση πιστοποίησης των παρόχων φιλοξενίας δεδομένων υγείας (HDS), πέραν της έγκρισής της από τον Υπουργό Πολιτισμού. Η εν λόγω τροποποίηση του νόμου δεν συνεπάγεται κανονιστικές αλλαγές, εκτός από τη διευκρίνιση ότι η δραστηριότητα φιλοξενίας που αντιστοιχεί στη «διαφύλαξη των δεδομένων υγείας» περιλαμβάνει τη δραστηριότητα της «ηλεκτρονικής αρχειοθέτησης».
Το κοινοποιούμενο σχέδιο συμμορφώνεται με τους ευρωπαϊκούς κανονισμούς για τα δεδομένα προσωπικού χαρακτήρα, ιδίως τον κανονισμό (ΕΕ) 2025/327 για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας (ΕΧΔΥ). Ειδικότερα, η υποχρέωση των παρόχων φιλοξενίας δεδομένων υγείας να αποθηκεύουν τα φυσικά δεδομένα εντός της ΕΕ ή του ΕΟΧ είναι σύμφωνη με το άρθρο 86 του κανονισμού ΕΧΔΥ, το οποίο παρέχει ρητά στα κράτη μέλη τη δυνατότητα να περιορίζουν την αποθήκευση δεδομένων υγείας στο έδαφος της ΕΕ. Επιπλέον, η υπαγωγή της απομακρυσμένης πρόσβασης σε δεδομένα από τρίτη χώρα από τον πάροχο φιλοξενίας ή έναν από τους υπεύθυνους επεξεργασίας του σε απόφαση επάρκειας της Επιτροπής σύμφωνα με το άρθρο 46 του κανονισμού (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΓΚΠΔ) συμμορφώνεται με το άρθρο 90 του κανονισμού ΕΧΔΥ, το οποίο παρέχει στα κράτη μέλη τη δυνατότητα να διατηρήσουν ή να θεσπίσουν περαιτέρω όρους σχετικά με τη διεθνή πρόσβαση σε δεδομένα υγείας. Τέλος, η υποχρέωση συμπερίληψης, απουσία απόφασης επάρκειας από την Επιτροπή, των μέτρων που λαμβάνονται για την αντιμετώπιση των κινδύνων μη εξουσιοδοτημένης διαβίβασης ή πρόσβασης στα εν λόγω δεδομένα από τρίτες χώρες εκτός της ΕΕ ή του ΕΟΧ συνάδει επίσης με το άρθρο 90 του κανονισμού ΕΧΔΥ, το οποίο παρέχει στα κράτη μέλη τη δυνατότητα να προβλέπουν πρόσθετες προϋποθέσεις προστασίας για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα.
10. Παραπομπές σε βασικά κείμενα: 2023/0682/FR, 2017/0343/F
Τα βασικά κείμενα έχουν αποτελέσει αντικείμενο προηγούμενης κοινοποίησης:
2023/0682/FR
2017/0343/F
11. Όχι
12.
13. Όχι
14. Όχι
15. Όχι
16.
Θέματα TBT: Όχι
Θέματα SPS: Όχι
**********
Ευρωπαϊκής Επιτροπής
Σημείο Επαφής οδηγίας (ΕΕ) 2015/1535
Ηλεκτρονικό ταχυδρομείο: grow-dir2015-1535-central@ec.europa.eu
