ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2025/1467
z dnia 18 lipca 2025 r.
ustanawiające zasady stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1938 w odniesieniu do specyfikacji technicznych unijnej platformy ds. SoHO służącej do wymiany informacji dotyczących substancji pochodzenia ludzkiego przeznaczonych do zastosowania u ludzi
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1938 z dnia 13 czerwca 2024 r. w sprawie standardów jakości i bezpieczeństwa substancji pochodzenia ludzkiego przeznaczonych do zastosowania u ludzi oraz uchylające dyrektywy 2002/98/WE i 2004/23/WE (1), w szczególności jego art. 74 ust. 4 akapit pierwszy,
a także mając na uwadze, co następuje:
| (1) | W rozporządzeniu (UE) 2024/1938 nałożono na Komisję obowiązek ustanowienia platformy cyfrowej, zarządzania nią i jej utrzymywania w celu ułatwienia sprawnej i skutecznej wymiany informacji dotyczących działań związanych z substancjami pochodzenia ludzkiego (SoHO) w Unii („unijna platforma ds. SoHO”). |
| (2) | Rozporządzenie (UE) 2024/1938 przewiduje przetwarzanie danych osobowych, w tym danych dotyczących zdrowia, wymienianych za pośrednictwem unijnej platformy ds. SoHO, w razie potrzeby, w interesie zdrowia publicznego oraz w celu pomocy w identyfikacji, ewaluacji i zarządzaniu ryzykiem związanym z konkretną donacją SoHO lub dawcą SoHO, w tym pseudonimizowanej identyfikacji dawców w przypadku szybkich ostrzeżeń, a także przetwarzanie odpowiednich informacji dotyczących monitorowania wyników klinicznych, w tym pseudonimizowanych danych klinicznych dostarczonych na poparcie autoryzacji preparatu SoHO. |
| (3) | Ponieważ wrażliwe dane osobowe, w tym dane dotyczące zdrowia, mogą być wymieniane za pośrednictwem unijnej platformy ds. SoHO, platforma powinna zapewnić bezpieczny kanał ograniczonej wymiany informacji i danych. |
| (4) | Dane osobowe na unijnej platformie ds. SoHO powinny być przechowywane przez ograniczony okres. Ponieważ czas inkubacji niektórych chorób może być długi, a objawy mogą pojawić się po 25-30 latach (np. choroba Creutzfeldta-Jakoba), po donacji lub zastosowaniu u ludzi konieczny jest 30-letni okres zatrzymywania danych osobowych związanych z bezpieczeństwem, jakością i skutecznością SoHO. |
| (5) | Aby zapewnić dobrą administrację i wystarczającą przejrzystość działań nadzorczych SoHO i działań związanych z SoHO, dane osobowe upoważnionych osób rejestrujących powinny być przechowywane przez okres do 5 lat od dnia, w którym przestaną one działać jako upoważnione osoby rejestrujące. |
| (6) | Aby umożliwić zdolność do weryfikacji czy Rada Koordynacyjna ds. SoHO działała w sposób niezależny i bezstronny, również w przypadku skarg lub sporów sądowych, dane osobowe członków Rady Koordynacyjnej ds. SoHO i ich zastępców powinny być przechowywane przez okres do 15 lat od dnia, w którym członek lub zastępca nie uczestniczą już w Radzie Koordynacyjnej ds. SoHO. |
| (7) | Aby zapewnić bezpieczeństwo i ochronę danych osobowych przetwarzanych za pośrednictwem unijnej platformy ds. SoHO, Komisja powinna wprowadzić i aktualizować najnowocześniejsze środki techniczne i organizacyjne, w tym kontrolę dostępu do danych. |
| (8) | Aby ułatwić sprawną i skuteczną wymianę informacji dotyczących działań związanych z SoHO w Unii za pośrednictwem unijnej platformy ds. SoHO, interfejs użytkownika powinien być udostępniony w języku angielskim jako powszechnie rozumianym języku w obszarze SoHO. Podmioty SoHO, organy właściwe ds. SoHO, państwa członkowskie, Rada Koordynacyjna ds. SoHO i Komisja powinny wymieniać informacje będące przedmiotem transgranicznego zainteresowania za pośrednictwem unijnej platformy ds. SoHO w tym powszechnie rozumianym języku w obszarze SoHO. |
| (9) | Ponieważ rozporządzenie (UE) 2024/1938 stosuje się od dnia 7 sierpnia 2027 r., stosowanie niniejszego aktu powinno rozpocząć się tego samego dnia. |
| (10) | Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (2) skonsultowano się z Europejskim Inspektorem Ochrony Danych, który w dniu 3 czerwca 2025 r. wydał swoją opinię. |
| (11) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią komitetu ustanowionego w art. 79 ust. 1 rozporządzenia (UE) 2024/1938, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
Definicje
Do celów niniejszego rozporządzenia stosuje się następujące definicje:
| 1) | „osoba rejestrująca” oznacza osobę fizyczną, która po uwierzytelnieniu rejestruje podmiot SoHO na unijnej platformie ds. SoHO; |
| 2) | „upoważniona osoba rejestrująca” oznacza osobę fizyczną, która po uwierzytelnieniu uzyskała dostęp do unijnej platformy ds. SoHO w celu wykonywania czynności zgodnie z prawami dostępu przyznanymi profilowi danej osoby i która działa w imieniu państwa członkowskiego, organu krajowego ds. SoHO, organu właściwego ds. SoHO, Rady Koordynacyjnej ds. SoHO, podmiotu SoHO, Komisji, Europejskiego Centrum ds. Zapobiegania i Kontroli Chorób (ECDC) lub Europejskiej Dyrekcji ds. Jakości Leków i Opieki Zdrowotnej (EDQM); |
| 3) | „lokalny administrator” oznacza upoważnioną osobę rejestrującą, która ma prawo udzielić dostępu do unijnej platformy ds. SoHO innym osobom rejestrującym lub upoważnionym osobom rejestrującym w tym samym państwie członkowskim, organie krajowym ds. SoHO, organie właściwym ds. SoHO lub podmiocie SoHO. |
Artykuł 2
Utrzymanie unijnej platformy ds. SoHO i korzystanie z niej
1. Komisja utrzymuje i optymalizuje unijną platformę ds. SoHO w celu wykonywania zadań, o których mowa w art. 73 rozporządzenia (UE) 2024/1938.
2. Osoby rejestrujące i upoważnione osoby rejestrujące korzystają z platformy w celu spełnienia wymogów określonych w art. 4 ust. 2, art. 5 ust. 5, art. 9 ust. 4, art. 16, art. 17 ust. 2, 5-7, art. 19 ust. 1, 3 i 10, art. 21 ust. 4 i 5, art. 25 ust. 1, 2 i 6, art. 27 ust. 7, art. 31-35, art. 37 ust. 2, art. 41 ust. 2 i 4, art. 54 ust. 3, art. 56 ust. 4, art. 63 ust. 3 lit. e), art. 64 ust. 3, art. 65 ust. 3, art. 68 ust. 3 i 4, art. 69 ust. 1, art. 71-74, 76, 81, 82 i 86 rozporządzenia (UE) 2024/1938.
Artykuł 3
Dostępność, moduły i funkcjonalności unijnej platformy ds. SoHO
1. Unijna platforma ds. SoHO jest dostępna za pośrednictwem specjalnej strony internetowej.
2. Unijna platforma ds. SoHO zapewnia co najmniej moduły i funkcjonalności wymienione w załączniku I.
Artykuł 4
Dostęp osób rejestrujących, upoważnionych osób rejestrujących i lokalnych administratorów
1. Dostęp osób rejestrujących do unijnej platformy ds. SoHO kontrolowany jest za pomocą narzędzia uwierzytelniania.
Dostęp upoważnionych osób rejestrujących do unijnej platformy ds. SoHO kontrolowany jest za pomocą narzędzia uwierzytelniania i narzędzia autoryzacji.
Narzędzie uwierzytelniania i narzędzie autoryzacji zapewniają osobom rejestrującym i upoważnionym osobom rejestrującym odpowiednie prawa dostępu do unijnej platformy ds. SoHO oraz właściwe zezwolenia na wykonywanie czynności na unijnej platformie ds. SoHO.
Po uwierzytelnieniu osoby rejestrujące mają dostęp do modułu rejestracji unijnej platformy ds. SoHO, dzięki czemu mogą dokonać rejestracji podmiotu SoHO.
2. Komisja jest odpowiedzialna za przyznawanie, zawieszanie lub cofanie praw dostępu do unijnej platformy ds. SoHO dla lokalnych administratorów.
3. Lokalni administratorzy zarządzają prawami dostępu do unijnej platformy ds. SoHO dla osób rejestrujących i upoważnionych osób rejestrujących poprzez przyznawanie, zawieszanie lub cofanie tych praw dostępu.
4. Państwa członkowskie określają odpowiedni poziom dostępu do unijnej platformy ds. SoHO dla upoważnionych osób rejestrujących działających w ich imieniu zgodnie z prawem krajowym.
Artykuł 5
Dostęp dla ogółu społeczeństwa
1. Ogół społeczeństwa musi mieć możliwość przeglądania na unijnej platformie ds. SoHO publicznie dostępnych informacji, o których mowa w art. 71 ust. 5 lit. d), art. 74 ust. 3, oraz, bez uszczerbku dla przepisów krajowych i jeżeli państwo członkowskie podejmie taką decyzję, przeglądania informacji, o których mowa w art. 75 ust. 5 rozporządzenia (UE) 2024/1938.
2. Rejestracja, uwierzytelnienie lub autoryzacja nie są wymagane w celu uzyskania dostępu do publicznie dostępnych informacji, o których mowa w ust. 1.
3. Ogół społeczeństwa musi mieć możliwość wyszukiwania publicznie dostępnych informacji, o których mowa w ust. 1.
Artykuł 6
Obowiązki w zakresie rejestrowania i weryfikacji dokładności informacji wymienianych za pośrednictwem unijnej platformy ds. SoHO
1. Osoby rejestrujące i upoważnione osoby rejestrujące zapewniają, aby wprowadzane przez nie do unijnej platformy ds. SoHO informacje były kompletne, dokładne oraz zgodne z formatem i specyfikacjami określonymi przez Radę Koordynacyjną ds. SoHO.
2. Organy właściwe ds. SoHO są odpowiedzialne za rejestrowanie i weryfikowanie dokładności informacji na temat autoryzowanych zakładów i preparatów SoHO. Organy właściwe ds. SoHO są również odpowiedzialne za aktualizowanie tych informacji oraz ich spójność z krajowym rejestrem podmiotów SoHO, jeżeli taki rejestr został utworzony poza unijną platformą ds. SoHO.
3. Komisja zapewnia bezpieczeństwo i ochronę wszystkich danych przechowywanych na unijnej platformie ds. SoHO, wykorzystując protokoły zabezpieczeń i zasady łączności pochodzące z niezastrzeżonych otwartych standardów ustanowionych przez międzynarodowe podmioty lub organizacje normalizacyjne.
Artykuł 7
Przekazywanie danych
Dane na unijnej platformie ds. SoHO uznaje się za przekazane w dniu, w którym zostały one na niej pomyślnie zarejestrowane.
Artykuł 8
Ochrona danych osobowych
1. Dane osobowe, w tym dane dotyczące zdrowia, w razie konieczności pseudonimizowane, przetwarzane są za pośrednictwem unijnej platformy ds. SoHO w celu wypełnienia obowiązków określonych w art. 76 ust. 1-5 rozporządzenia (UE) 2024/1938.
2. Kategorie danych osobowych, które mają być przetwarzane, oraz okresy ich zatrzymywania wymieniono w załączniku II. Komisja jest odpowiedzialna za usuwanie wszystkich danych osobowych zgromadzonych na unijnej platformie ds. SoHO po upływie okresu zatrzymywania.
3. Lokalny administrator jest odpowiedzialny za zarządzanie danymi osobowymi upoważnionych osób rejestrujących, za które jest odpowiedzialny. Lokalny administrator w dowolnym momencie po wprowadzeniu do unijnej platformy ds. SoHO danych osobowych upoważnionych osób rejestrujących koryguje lub kasuje dane osobowe, które są nieprawidłowe lub nieaktualne.
Artykuł 9
Bezpieczeństwo przetwarzania danych osobowych
Komisja wprowadza środki w celu zapewnienia bezpieczeństwa i ochrony danych osobowych, w tym danych dotyczących zdrowia, przetwarzanych za pośrednictwem unijnej platformy ds. SoHO. Środki te obejmują zapobieganie nieuprawnionemu dostępowi do danych osobowych, ich odczytywaniu, kopiowaniu, modyfikowaniu lub usuwaniu oraz zapewniają, aby upoważnione osoby rejestrujące miały dostęp wyłącznie do danych objętych ich autoryzacją do dostępu oraz, aby możliwe było sprawdzenie i ustalenie, które dane zostały utworzone, zmodyfikowane lub usunięte, która upoważniona osoba rejestrująca tego dokonała i w jakim czasie.
Artykuł 10
Wsparcie techniczne i administracyjne
1. Komisja powołuje zespół wsparcia, z którym można się skontaktować za pośrednictwem specjalnej funkcyjnej skrzynki pocztowej i którego celem jest zapewnienie terminowej pomocy osobom rejestrującym i upoważnionym osobom rejestrującym unijnej platformy ds. SoHO.
2. Komisja udostępnia na unijnej platformie ds. SoHO specjalne podręczniki dla osób rejestrujących i upoważnionych osób rejestrujących.
Artykuł 11
Rozwiązania interwencyjne na wypadek przedłużającej się awarii lub niedostępności unijnej platformy ds. SoHO
1. Komisja, we współpracy z organami krajowymi ds. SoHO, opracowuje szczegółowe rozwiązania interwencyjne do zastosowania w przypadkach przedłużającej się awarii lub niedostępności unijnej platformy ds. SoHO bądź któregokolwiek z jej modułów lub funkcjonalności z przyczyn niezależnych od Komisji.
2. W szczegółowych rozwiązaniach interwencyjnych opisuje się procedury do przestrzegania w celu zapewnienia ciągłości procesu regulacyjnego wspieranego przez unijną platformę ds. SoHO za pomocą odpowiednich alternatywnych środków elektronicznych.
Artykuł 12
Bezpieczeństwo technologii informacyjnej
1. W przypadku gdy Komisja podejrzewa, że doszło do incydentu związanego z bezpieczeństwem technologii informacyjnej (IT), wystąpiło ryzyko związane z bezpieczeństwem IT lub zagrożenie bezpieczeństwa IT, które uważa za potencjalnie szkodliwe dla unijnej platformy ds. SoHO, jej danych lub poufności jej danych, Komisja może zawiesić wszelki dostęp do unijnej platformy ds. SoHO i poinformować o tym organy krajowe ds. SoHO.
2. Osoba rejestrująca lub upoważniona osoba rejestrująca, która podejrzewa lub dowiaduje się o możliwym incydencie związanym z bezpieczeństwem IT, ryzyku związanym z bezpieczeństwem IT lub zagrożeniu bezpieczeństwa IT, niezwłocznie informuje o tym Komisję i organ krajowy ds. SoHO.
Artykuł 13
Wymagania dotyczące języka
1. Interfejs użytkownika unijnej platformy ds. SoHO zostaje udostępniony w języku angielskim.
2. Państwa członkowskie, organy właściwe ds. SoHO, Rada Koordynacyjna ds. SoHO, Komisja i podmioty SoHO stosują język angielski jako powszechnie rozumiany język w obszarze SoHO we wszystkich informacjach, danych i dokumentach wymienianych za pośrednictwem unijnej platformy ds. SoHO, w stosownych przypadkach.
Artykuł 14
Wejście w życie i stosowanie
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie stosuje się od dnia 7 sierpnia 2027 r.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 18 lipca 2025 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L, 2024/1938, 17.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1938/oj.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ZAŁĄCZNIK I
MODUŁY I FUNKCJE
Unijna platforma ds. SoHO zapewnia co najmniej następujące moduły i funkcje:
| 1) | moduł dotyczący rejestracji podmiotów SoHO i wydawania autoryzacji zakładom SoHO, który umożliwia:
|
| 2) | moduł dotyczący kompendium autoryzowanych preparatów SoHO oraz kompendium zatwierdzonych studiów klinicznych nad preparatami SoHO, który umożliwia:
|
| 3) | moduł dotyczący członkostwa w Radzie Koordynacyjnej ds. SoHO oraz kompendium porad, który:
|
| 4) | moduł dotyczący raportowania w odniesieniu do czujności i szybkich ostrzeżeń, który umożliwia:
|
| 5) | moduł danych dotyczących działalności, który umożliwia:
|
| 6) | moduł dotyczący wytycznych dotyczących wdrażania standardów, który umożliwia:
|
| 7) | moduł współpracy, który:
|
| 8) | moduł publikacji, który składa się z:
|
ZAŁĄCZNIK II
KATEGORIE PRZETWARZANYCH DANYCH OSOBOWYCH I OKRESY ICH ZATRZYMYWANIA
Za pośrednictwem unijnej platformy ds. SoHO przetwarzane są następujące kategorie danych osobowych:
| 1) | dane osobowe identyfikujące upoważnione osoby rejestrujące i osoby odpowiedzialne za podmioty SoHO:
|
| 2) | dane osobowe, w tym dane dotyczące zdrowia, wymieniane za pośrednictwem unijnej platformy ds. SoHO i niezbędne do stosowania art. 73 i 74 rozporządzenia (UE) 2024/1938, przy uwzględnieniu art. 76:
|
| 3) | dane osobowe identyfikujące członków Rady Koordynacyjnej ds. SoHO i ich zastępców:
|
POTRZEBUJESZ POMOCY?Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00
