Správa 001
Oznámenie (správa) komisie- TRIS/(2023) 3385
smernica (EÚ) 2015/1535
Oznámenie: 2023/0682/FR
Oznámenie návrhu znenia od členského štátu
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.SK
1. MSG 001 IND 2023 0682 FR SK 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Zdravotníctvo, zdravotnícke vybavenie
5. Nariadenie, ktorým sa mení nariadenie z 11. júna 2018, ktorým sa schvaľuje akreditačný rámec certifikačných orgánov a certifikačný rámec pre hostingové služby pre osobné zdravotné údaje
6. Činnosti hostingu pre osobné zdravotné údaje na digitálnych médiách
7.
8. Týmto návrhom nariadenia sa mení akreditačný rámec pre certifikačné orgány a certifikačný rámec pre hostingové služby pre osobné zdravotné údaje.
V súlade s ustanoveniami článkov L.1111-8 a R.1111-10 zákonníka o verejnom zdraví musia mať všetci poskytovatelia hostingových služieb pre osobné zdravotné údaje osvedčenie o zhode vydané certifikačným orgánom na základe certifikačného rámca schváleného nariadením ministra zdravotníctva.
Hlavné zmeny certifikačného rámca pre hostingové služby pre zdravotné údaje majú za cieľ:
- objasniť činnosti, na ktoré poskytovatelia hostingových služieb získali certifikáciu, najmä spresnením vymedzenia činnosti správy a prevádzkovania systémov zdravotnej starostlivosti;
- zlepšiť čitateľnosť záruk, ktoré poskytujú poskytovatelia hostingových služieb každému subjektu, ktorý využíva jeho služby;
- objasniť zmluvné záväzky poskytovateľa hostingových služieb;
- začleniť zmeny normy ISO 27001 do certifikačného rámca pre hostingové služby pre zdravotné údaje.
V revidovanom rámci pre hostingové služby pre zdravotné údaje sa takisto navrhuje doplnenie štyroch nových požiadaviek na dátovú suverenitu, konkrétne:
- obmedzenie uchovávania zdravotných údajov na územie štátu, ktorý je súčasťou Európskeho hospodárskeho priestoru;
dve požiadavky týkajúce sa transparentnosti poskytovateľa hostingových služieb voči jeho zákazníkom:
- informovať ich o akomkoľvek prenose alebo vzdialenom prístupe k údajom zákazníka z územia mimo Európskeho hospodárskeho priestoru (EHP), ktorý nezaručuje primeranú úroveň ochrany údajov v zmysle článku 45 všeobecného nariadenia o ochrane údajov, a o organizačných a technických opatreniach prijatých na reguláciu takéhoto prenosu;
- informovať ich o akomkoľvek podliehaní predpisom mimo Spoločenstva, ktoré by mohlo predstavovať riziko prístupu k údajom zo strany orgánu so sídlom v krajine, ktorá nezabezpečuje primeranú úroveň ochrany údajov v zmysle článku 45 všeobecného nariadenia o ochrane údajov, a o opatreniach prijatých na zmiernenie tohto rizika;
požiadavka transparentnosti voči potenciálnym zákazníkom: poskytovateľ hostingových služieb musí zverejniť a aktualizovať podrobné informácie o všetkých prenosoch údajov, pre ktoré poskytuje hostingové služby, do krajiny mimo EHP, a o opatreniach prijatých na zabezpečenie súladu so všeobecným nariadením o ochrane údajov.
9. Povinný certifikačný postup pre hostingové služby pre osobné zdravotné údaje, vytvorený zákonom, má zaručiť používateľom a zdravotníckym pracovníkom, že tieto citlivé údaje v zmysle všeobecného nariadenia o ochrane údajov, ktoré sú zverené v rámci zberu údajov v lekárskej starostlivosti, sú bezpečné.
Tento návrh nariadenia sa prijíma v súlade s článkami L.1111-8 a R.1111-10 zákonníka o verejnom zdraví s cieľom schváliť revidovanú verziu: na jednej strane certifikačný rámec pre hostingové služby pre zdravotné údaje a na druhej strane akreditačný rámec pre certifikačné orgány, ktoré boli pôvodne schválené nariadením z 11. júna 2018. Vyhláška č. 2018-137, ktorou sa vytvorili ustanovenia článkov R. 1111-8-8 a nasl. zákonníka o verejnom zdraví, ako aj nariadenie z 11. júna 2018, boli oznámené Európskej komisii v roku 2017.
Celkový systém certifikácie zavedený v roku 2018 sa nemení, pričom sa aktualizujú len niektoré body.
Jediné požiadavky pridané do certifikačného rámca sa týkajú suverenity zdravotných údajov a ich cieľom je zabezpečiť súlad so všeobecným nariadením o ochrane údajov (predchádzajúci rámec bol schválený pred nadobudnutím účinnosti všeobecného nariadenia o ochrane údajov).
Systém certifikácie pre hostingové služby pre zdravotné údaje musí poskytovať záruky zainteresovaným stranám v zdravotníctve a zdravotnícko-sociálnom sektore, pokiaľ ide o ochranu údajov vo vzťahu k právnym predpisom mimo EÚ, ktoré by mohli predstavovať riziko zverejnenia údajov, a nemal by poskytovať záruky jednotlivcom, pokiaľ ide o účinnosť ich práv podľa všeobecného nariadenia o ochrane údajov.
Rámec bol predmetom stanoviska francúzskeho orgánu pre ochranu údajov (CNIL) z 13. júla 2023.
Až do ukončenia diskusií na európskej úrovni o budúcich európskych rámcoch (EUCS – Európsky systém certifikácie kybernetickej bezpečnosti pre cloudové služby) sa rozhodlo, že sa doteraz nezhoduje s požiadavkami na extrateritoriálnu imunitu stanovenými vo francúzskom rámci nazvanom „SecNumCloud verzia 3.2“, ktorý prijala ANSSI (Francúzska agentúra pre bezpečnosť informačných systémov).
10. Odkazy na základné texty: 2017/0343/F, 2017/0379/F
Referenčné texty sa musia zaslať ako súčasť predchádzajúceho oznámenia:
2017/0343/F
2017/0379/F
11. Nie
12.
13. Nie
14. Nie
15. Nie
16.
Aspekt technických prekážok obchodu: Nie
Aspekt sanitárnych a
rastlinolekárych opatrení: Nie
**********
Európska komisia
Kontaktný bod smernice (EÚ) 2015/1535
e-mail: grow-dir2015-1535-central@ec.europa.eu