Wiadomość 001
Informacja od Komisji - TRIS/(2023) 3385
dyrektywa (UE) 2015/1535
Powiadomienie: 2023/0682/FR
Powiadomienie o projekcie tekstu przez państwo członkowskie
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.PL
1. MSG 001 IND 2023 0682 FR PL 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Zdrowie, sprzęt medyczny
5. Rozporządzenie zmieniające rozporządzenie z dnia 11 czerwca 2018 r. w sprawie zatwierdzenia ram akredytacji jednostek certyfikujących oraz ram certyfikacji hostingu danych osobowych dotyczących zdrowia
6. Działalność polegająca na hostingu danych osobowych dotyczących zdrowia na nośnikach cyfrowych
7.
8. Projekt rozporządzenia zmienia ramy akredytacji jednostek certyfikujących oraz ramy certyfikacji hostingu danych osobowych dotyczących zdrowia.
Zgodnie z przepisami art. L.1111-8 i R.1111-10 kodeksu zdrowia publicznego wszyscy dostawcy usług hostingowych przechowujący dane osobowe dotyczące zdrowia muszą posiadać świadectwo zgodności wydane przez jednostkę certyfikującą na podstawie ram certyfikacji zatwierdzonych rozporządzeniem Ministra Zdrowia.
Główne zmiany ram certyfikacji hostingu danych dotyczących zdrowia mają na celu:
- sprecyzowanie, dla których działań dostawcy usług hostingowych uzyskali certyfikację, w szczególności przez określenie definicji działalności polegającej na administrowaniu i obsłudze systemów opieki zdrowotnej;
- poprawę czytelności gwarancji udzielanych przez dostawcę usług hostingowych każdemu usługodawcy korzystającemu z jego usług;
- wyjaśnienie zobowiązań umownych dostawcy usług hostingowych;
- włączenie zmian w normie ISO 27001 do ram certyfikacji hostingu danych dotyczących zdrowia.
W zmienionych ramach hostingu danych dotyczących zdrowia proponuje się również dodanie czterech nowych wymogów dotyczących suwerenności danych, w szczególności:
- ograniczenie zakresu przechowywania danych dotyczących zdrowia do terytorium państwa należącego do Europejskiego Obszaru Gospodarczego;
Dwa wymogi dotyczące przejrzystości dostawcy usług hostingowych wobec jego klientów:
- informowanie ich o każdym przekazaniu lub zdalnym dostępie do danych klienta z terytorium spoza Europejskiego Obszaru Gospodarczego (EOG), które nie zapewnia odpowiedniego poziomu ochrony danych w rozumieniu art. 45 RODO, oraz o środkach organizacyjnych i technicznych wdrożonych w celu uregulowania takiego przekazywania;
- informowanie ich o każdym podporządkowaniu się przepisom pozawspólnotowym, które mogłoby pociągać za sobą ryzyko dostępu do danych przez podmiot mający siedzibę w kraju, który nie zapewnia odpowiedniego poziomu ochrony danych w rozumieniu art. 45 RODO, oraz o środkach podjętych w celu ograniczenia tego ryzyka;
Wymóg przejrzystości wobec potencjalnych klientów: dostawca usług hostingowych musi podawać do wiadomości publicznej i aktualizować szczegółowe informacje na temat wszelkiego przekazania danych, które przechowuje, do kraju spoza EOG, a także na temat środków podjętych w celu zapewnienia zgodności z RODO.
9. Obowiązkowa procedura certyfikacji hostingu danych osobowych dotyczących zdrowia, stworzona przez prawo, ma na celu zagwarantowanie użytkownikom i pracownikom służby zdrowia, że dane wrażliwe w rozumieniu RODO, powierzone w ramach opieki medycznej, są bezpieczne.
Przedmiotowy projekt rozporządzenia zostaje przyjęty zgodnie z art. L.1111-8 i R.1111-10 kodeksu zdrowia publicznego w celu zatwierdzenia zmienionej wersji: z jednej strony ram certyfikacji przechowywania danych dotyczących zdrowia, a z drugiej – ram akredytacji jednostek certyfikujących, które to ramy zostały pierwotnie zatwierdzone rozporządzeniem z dnia 11 czerwca 2018 r. Zarówno dekret nr 2018-137, w którym ustanowiono przepisy art. R. 1111-8-8 i nast. kodeksu zdrowia publicznego, jak i rozporządzenie z dnia 11 czerwca 2018 r., zostały zgłoszone Komisji Europejskiej w 2017 r.
Ogólny system certyfikacji wdrożony w 2018 r. nie został zmieniony, a jedynie niektóre punkty zostały zaktualizowane.
Jedyne wymogi dodane do ram certyfikacji dotyczą suwerenności danych dotyczących zdrowia i mają na celu zapewnienie zgodności z RODO (wcześniejsze ramy zostały zatwierdzone przed wejściem w życie RODO).
System certyfikacji hostingu danych dotyczących zdrowia musi zapewniać zainteresowanym stronom w sektorze zdrowia i sektorze medyczno-socjalnym gwarancje dotyczące ochrony danych wobec przepisów pozaunijnych, które mogłyby stwarzać ryzyko ujawnienia danych i nie gwarantowałyby osobom fizycznym skuteczności ich praw wynikających z ogólnego rozporządzenia o ochronie danych (RODO).
Ramy te były przedmiotem opinii wydanej przez francuski organ ochrony danych (CNIL) z dnia 13 lipca 2023 r.
W oczekiwaniu na wyniki dyskusji na szczeblu europejskim na temat przyszłych ram europejskich (EUCS – europejski program certyfikacji cyberbezpieczeństwa dla usług w chmurze) postanowiono nie dostosowywać się obecnie do wymogów dotyczących immunitetu eksterytorialnego określonych we francuskich ramach o nazwie „SecNumCloud wersja 3.2”, przyjętych przez ANSSI (francuską agencję ds. bezpieczeństwa systemów informacyjnych).
10. Odniesienia do tekstów podstawowych: 2017/0343/F, 2017/0379/F
Teksty referencyjne zostały przesłane w ramach wcześniejszego powiadomienia:
2017/0343/F
2017/0379/F
11. Nie
12.
13. Nie
14. Nie
15. Nie
16.
Aspekty TBT: Nie
Aspekty SPS: Nie
**********
Komisja Europejska
Punkt kontaktowy Dyrektywa (UE) 2015/1535
e-mail: grow-dir2015-1535-central@ec.europa.eu
