Art. 73. - Art. 73: Mediul de prelucrare securizat - Regulamentul 327/11-feb-2025 referitor la spaţiul european al datelor privind sănătatea şi de modificare a Directivei 2011/24/UE şi a Regulamentului (UE) 2024/2847
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 5 Martie 2025
Art. 73: Mediul de prelucrare securizat
(1)Organismele de acces la datele privind sănătatea oferă acces la datele electronice privind sănătatea în baza unei autorizaţii privind datele numai printr-un mediu de prelucrare securizat, care face obiectul unor măsuri tehnice şi organizatorice şi a unor cerinţe de securitate şi interoperabilitate. În special, mediul de prelucrare securizat respectă următoarele măsuri de securitate:
a)restricţionarea accesului la mediul de prelucrare securizat la persoanele fizice autorizate enumerate în autorizaţia respectivă privind datele eliberată în temeiul articolului 68;
b)reducerea la minimum a riscului de citire, copiere, modificare sau extragere neautorizată a datelor electronice privind sănătatea găzduite în mediul de prelucrare securizat prin mijloace tehnice şi organizatorice de ultimă generaţie;
c)limitarea introducerii de date electronice privind sănătatea şi inspecţia, modificarea sau ştergerea datelor electronice privind sănătatea găzduite în mediul de prelucrare securizat la un număr limitat de persoane identificabile autorizate;
d)asigurarea faptului că utilizatorii de date privind sănătatea au acces numai la datele electronice privind sănătatea care fac obiectul autorizaţiei lor privind datele, numai prin intermediul unor identităţi de utilizator individuale şi unice şi al unor moduri de acces confidenţiale;
e)păstrarea de evidenţe identificabile ale accesului şi ale activităţilor din mediul de prelucrare securizat pe perioada necesară pentru verificarea şi auditarea tuturor operaţiunilor de prelucrare din mediul respectiv; evidenţele de acces se păstrează timp de cel puţin un an;
f)asigurarea conformităţii şi monitorizarea măsurilor de securitate menţionate la prezentul alineat pentru a atenua potenţialele ameninţări la adresa securităţii.
(2)Organismele de acces la datele privind sănătatea se asigură că datele electronice privind sănătatea provenite de la deţinători de date privind sănătatea în formatul stabilit prin autorizaţia privind datele pot fi încărcate de respectivii deţinătorii de date privind sănătatea şi pot fi accesate de utilizatorul de date privind sănătatea într-un mediu de prelucrare securizat.
Organismele de acces la datele privind sănătatea revizuiesc datele electronice privind sănătatea incluse într-o cerere de descărcare pentru a se asigura că utilizatorii de date privind sănătatea pot descărca din mediul de prelucrare securizat numai date electronice fără caracter personal privind sănătatea, inclusiv date electronice privind sănătatea într-un format statistic anonimizat.
(3)Organismele de acces la datele privind sănătatea asigură faptul că în mod regulat sunt efectuate audituri ale mediilor de prelucrare securizate, inclusiv de către părţi terţe, şi iau măsuri corective cu privire la orice deficienţe, riscuri sau vulnerabilităţi identificate prin respectivele audituri în mediile de prelucrare securizate.
(4)În cazul în care organizaţiile recunoscute de promovare a altruismului în materie de date în temeiul capitolului IV din Regulamentul (UE) 2022/868 prelucrează date electronice cu caracter personal privind sănătatea utilizând un mediu de prelucrare securizat, mediile menţionate respectă totodată măsurile de securitate prevăzute la alineatul (1) literele (a)-(f) de la prezentul articol.
(5)Până la 26 martie 2027, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, cerinţele tehnice, organizatorice, de securitate a informaţiilor, de confidenţialitate, de protecţie a datelor şi de interoperabilitate pentru mediile de prelucrare securizate, inclusiv cu privire la caracteristicile tehnice şi instrumentele de care dispune utilizatorul de date privind sănătatea în mediile de prelucrare securizate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).