Viesti 001
Komission tiedonanto - TRIS/(2025) 3364
Direktiivi (EU) 2015/1535
Ilmoitus: 2025/0708/FR
Jäsenvaltion ilmoitus luonnostekstistä
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20253364.FI
1. MSG 001 IND 2025 0708 FR FI 25-11-2025 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2025/0708/FR - SERV - Tietoyhteiskunnan palvelut
5. Asetus henkilökohtaisten terveystietojen säilyttämistä koskevien tiettyjen säännösten muuttamisesta
6. Henkilökohtaisten terveystietojen verkkoisännöinti
7.
8. 8. Tämän digitaalisen tilan turvaamisesta ja sääntelystä annetun lain (SREN) 31 §:n nojalla annettavan asetuksen tavoitteet ovat seuraavat:
(1) Täsmennetään kansanterveyslain L.1111-8 §:n IV momentissa säädetyt suvereniteettivelvoitteet sisällyttämällä ilmoitusnumerolla 2023/0682/FR ilmoitettujen terveystietojen säilyttämistä koskevien sertifiointipuitteiden vaatimukset 28–31:
- Säännöksillä edellytetään, että terveystiedot on säilytettävä yksinomaan Euroopan unionin jäsenvaltion tai Euroopan talousalueen osapuolen alueella. Siltä osin kuin kyseessä on tietojen etäkäyttö kolmannesta maasta, käytön on perustuttava Euroopan komission tietosuojan riittävyyttä koskevaan päätökseen tai, jos sellaista ei ole, verkkoisännöintiä koskevassa sopimuksessa yksilöityihin asianmukaisiin suojatoimenpiteisiin.
- Säännöksillä säädetään uusista sopimusvelvoitteista verkkoisännöintipalvelujen tarjoajille, joiden on ilmoitettava asiakkailleen Euroopan unionin ulkopuolisista säännöksistä, joiden seurauksena tietoja saatetaan siirtää tai niihin saatetaan antaa pääsy valtuudetta, sekä toimenpiteistä, joita on toteutettu tästä aiheutuvien vaikutusten rajoittamiseksi, ja mahdollisista jäljellä olevista riskeistä.
- Säännöksillä säädetään läpinäkyvyysvelvoitteesta, jonka nojalla verkkoisännöintipalvelujen tarjoajien on julkaistava ja päivitettävä kartta Euroopan talousalueen ulkopuolisiin maihin suuntautuvista tiedonsiirroista sekä kuvaus valtuudettoman pääsyn riskeistä.
(2) Yhdenmukaistetaan R.1111–11 §:n tiettyjä säännöksiä yleisen tietosuoja-asetuksen säännösten kanssa:
- Muutetaan sen sopimuslausekkeen sisältöä, joka koskee rekisteröityjen oikeuksien käyttämistä koskevia yksityiskohtaisia sääntöjä, niin että oikeudet vastaavat yleisessä tietosuoja-asetuksessa tosiasiallisesti säädettyjä oikeuksia.
- Muutetaan vaatimusta 19 yleisen tietosuoja-asetuksen mukaiseksi niin, että se koskee luonnollisten henkilöiden oikeuksia, kuten yleisessä tietosuoja-asetuksessa säädettiin, kun asetusta saatettiin ajan tasalle vuonna 2024.
9. SREN-lain 32 §:llä muutetaan kansanterveyslain L.1111-8 §:n IV momenttia lisäämällä siihen uusia tietojen suvereniteettia koskevia velvoitteita, joita henkilökohtaisten terveystietojen verkkoisännöintipalvelujen tarjoajien on noudatettava. Pykälällä säädetään yhtäältä velvollisuudesta säilyttää tietoja EU:n alueella ja toisaalta uusista säännöksistä, jotka on sisällytettävä verkkoisännöintipalvelujen tarjoajan ja sen asiakkaan väliseen sopimukseen, kun huomioon otetaan riskit siitä, että henkilötietoja siirretään tai niitä käytetään valtuudetta EU:n ulkopuolisen lainsäädännön nojalla.
Näiden sopimusvelvoitteiden ja sopimusehtojen sisältö on nyt määritettävä korkeimman hallinto-oikeuden asetuksella.
SREN-lain 32 §:ssä säädetään myös, että terveystietojen verkkoisännöinti osana sähköistä arkistointipalvelua edellyttää kulttuuriministerin hyväksynnän lisäksi nyt myös terveystietojen verkkoisännöintipalvelujen tarjoajan (HDS) sertifiointia. Tästä lain muutoksesta ei aiheudu muutoksia sääntelyyn. Sillä ainoastaan selvennetään, että terveystietojen turvallista säilyttämistä koskeva verkkoisännöintitoiminta käsittää myös sähköisen arkistoinnin.
Ilmoitettu luonnos on henkilötietoja koskevien EU:n asetusten ja erityisesti eurooppalaisesta terveystietoalueesta annetun asetuksen (EU) 2025/327 mukainen. Erityisesti velvollisuus, jonka mukaan terveystietojen verkkoisännöintipalvelujen tarjoajien on säilytettävä tietoja fyysisesti EU:n tai ETA:n alueella, on yhdenmukainen eurooppalaisesta terveystietoalueesta annetun asetuksen 86 artiklan kanssa. Siinä jäsenvaltioille nimenomaisesti annetaan mahdollisuus vaatia, että terveystietoja säilytetään yksinomaan EU:n alueella. Lisäksi verkkoisännöintipalvelujen tarjoaja tai jokin sen henkilötietojen käsittelijöistä voi päättää, että tietojen etäkäyttöön kolmannessa maassa sovelletaan tietosuojan riittävyyttä koskevaa komission päätöstä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta annetun asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 46 artiklan mukaisesti. Tämä on eurooppalaisesta terveystietoalueesta annetun asetuksen 90 artiklan mukaista, sillä siinä annetaan jäsenvaltioille mahdollisuus pitää voimassa tai ottaa käyttöön lisäehtoja, jotka liittyvät terveystietojen kansainväliseen käyttöön. Lisäksi säädetään, että jos komissio ei ole tehnyt tietosuojan riittävyyttä koskevaa päätöstä, on toteutettava toimenpiteitä, joilla torjutaan riski siihen, että EU:n tai ETA:n ulkopuoliset kolmannet maat siirtävät tai käyttävät tällaisia tietoja valtuudetta. Myös tämä on eurooppalaisesta terveystietoalueesta annetun asetuksen 90 artiklan mukaista, sillä siinä jäsenvaltioille annetaan mahdollisuus asettaa henkilötietojen siirtämiselle suojaamista koskevia lisäehtoja.
10. Viittaukset perusteksteihin: 2023/0682/FR, 2017/0343/F
Perustekstit on toimitettu seuraavien aiempien ilmoitusten yhteydessä:
2023/0682/FR
2017/0343/F
11. Ei
12.
13. Ei
14. Ei
15. Ei
16.
TBT-näkökohta: Ei
SPS-näkökohta: Ei
**********
Euroopan komissio
Yhteysviranomainen direktiivin (EU) 2015/1535
Sähköposti: grow-dir2015-1535-central@ec.europa.eu
