(EU) 2021/2078Prováděcí nařízení Komise (EU) 2021/2078 ze dne 26. listopadu 2021, kterým se stanoví pravidla pro uplatňování nařízení Evropského parlamentu a Rady (EU) 2017/745, pokud jde o Evropskou databázi zdravotnických prostředků (Eudamed)

1.   Databáze Eudamed je přístupná oprávněným uživatelům prostřednictvím internetových stránek s omezeným přístupem (dále jen „internetové stránky s omezeným přístupem“) a neregistrovaným uživatelům prostřednictvím veřejných internetových stránek (dále jen „veřejné internetové stránky“).

2.   Databáze Eudamed je přístupná prostřednictvím služeb umožňujících výměnu údajů mezi stroji příslušným orgánům uvedeným v článku 101 nařízení (EU) 2017/745 a článku 96 nařízení (EU) 2017/746 (dále jen „příslušné orgány“) a oznámeným subjektům registrovaným v databázi Eudamed v souladu s článkem 3 tohoto nařízení. Komise poskytne každému členskému státu a oznámenému subjektu přístupová místa pro výměnu údajů, která jim umožní využívat tyto služby výměny údajů na základě žádosti.

Jiným aktérům, než jsou příslušné orgány a oznámené subjekty, je databáze Eudamed přístupná prostřednictvím služeb umožňujících výměnu údajů mezi stroji za předpokladu, že místní správce aktéra dotčeného aktéra o takový přístup podá žádost v souladu s čl. 3 odst. 8 prvním pododstavcem. Komise uvedenou žádost schválí, pokud je splněna podmínka stanovená v čl. 3 odst. 8 druhém pododstavci.

1.   Za účelem získání přístupu do databáze Eudamed prostřednictvím internetových stránek s omezeným přístupem si fyzická osoba zřídí účet na internetových stránkách ověřovací služby Komise.

2.   Komise zaregistruje příslušné orgány a orgány odpovědné za oznámené subjekty a udělí přístup k internetovým stránkám s omezeným přístupem první fyzické osobě, aby mohla jednat jejich jménem. Za tímto účelem poskytnou členské státy Komisi informace o svých příslušných orgánech, orgánech odpovědných za oznámené subjekty a fyzických osobách, které se mají stát prvními oprávněnými uživateli těchto orgánů.

3.   Komise zaregistruje oznámené subjekty v databázi Eudamed na základě informací v databázi oznámených subjektů, kterou vytvořila a spravuje Komise (NANDO).

Za účelem získání přístupu do databáze Eudamed prostřednictvím internetových stránek s omezeným přístupem musí první fyzická osoba jednající jménem aktéra, který je oznámeným subjektem, podat žádost o přístup prostřednictvím internetových stránek s omezeným přístupem. Žádost schválí orgán odpovědný za oznámený subjekt.

4.   Při registraci jiných subjektů, než které jsou uvedeny v odstavcích 2 a 3, v databázi Eudamed podá fyzická osoba jednající jménem potenciálního aktéra žádost o registraci aktéra prostřednictvím internetových stránek s omezeným přístupem. Žádost o registraci aktéra obsahuje podepsané prohlášení o odpovědnosti za bezpečnost informací podle čl. 10 odst. 1. Příslušný vnitrostátní orgán žádost o registraci aktéra schválí s výjimkou případů, kdy se žádost týká zadavatele klinické zkoušky nebo studie funkční způsobilosti.

Po schválení žádosti o registraci aktéra, nebo v případě zadavatele po podání žádosti o registraci aktéra získává fyzická osoba, která podala žádost podle prvního pododstavce, automaticky přístup k internetovým stránkám s omezeným přístupem, a jsou-li splněny podmínky uvedené v odstavci 6, stává se prvním oprávněným uživatelem.

Pro účely tohoto odstavce je příslušným vnitrostátním orgánem orgán místa usazení potenciálního aktéra. V případě výrobců usazených mimo Unii je příslušným vnitrostátním orgánem orgán odpovědný za zplnomocněného zástupce uvedeného v žádosti o registraci aktéra. V případě výrobců systémů nebo souprav prostředků usazených mimo Unii je příslušným vnitrostátním orgánem orgán členského státu, ve kterém má být uveden na trh první systém nebo souprava prostředků daného výrobce.

5.   Aby získala přístup k internetovým stránkám s omezeným přístupem a mohla jednat jménem aktéra, musí fyzická osoba podat žádost o přístup prostřednictvím internetových stránek s omezeným přístupem. Žádost o přístup schvaluje místní správce aktéra nebo místní správce uživatelů uvedeného aktéra.

6.   Aby se staly oprávněnými uživateli, musí fyzické osoby potvrdit souhlas s právy a povinnostmi uživatelů uvedenými v dokumentu podle čl. 10 odst. 1 písm. a) a seznámit se s prohlášením o ochraně osobních údajů uvedeným v písmenu c) daného článku.

7.   Prvním oprávněným uživatelem aktéra je automaticky první místní správce aktéra uvedeného aktéra.

8.   Místní správce aktéra může prostřednictvím internetových stránek s omezeným přístupem požádat Komisi o spojení mezi stroji za účelem uskutečnění výměny údajů mezi databází aktéra a databází Eudamed.

Komise může žádost uvedenou v prvním pododstavci schválit, pokud místní správce aktéra potvrdí, že aktér splňuje požadavky na bezpečnost informací pro výměnu údajů podle čl. 10 odst. 1.

1.   Komise zřídí podpůrný tým, který uživatelům databáze Eudamed poskytuje včasnou pomoc dostupnou prostřednictvím vyhrazené funkční e-mailové schránky.

2.   Komise zpřístupní uživatelům databáze Eudamed příslušnou technickou dokumentaci týkající se databáze Eudamed, často kladené otázky týkající se databáze Eudamed a dokumentaci na podporu služeb umožňujících výměny údajů mezi stroji.

1.   Komise je vlastníkem databáze Eudamed a má plná administrátorská práva.

2.   Osobní údaje se zpracovávají v databázi Eudamed za účelem splnění povinností stanovených v nařízeních (EU) 2017/745 a (EU) 2017/746.

3.   Zpracovávají se tyto kategorie osobních údajů:

1.   Předložení údajů v databázi Eudamed se považuje za provedené v den a hodinu, kdy jsou údaje úspěšně zaregistrovány v databázi Eudamed. Datum a čas předložení se určí na základě středoevropského času (SEČ) nebo případně středoevropského letního času (SELČ).

2.   Databáze Eudamed je vždy přístupná, s výjimkou nezbytných a předem oznámených období odstávek z důvodu údržby, včetně zavádění nových verzí. Oznámení v tomto ohledu zveřejní Komise předem na internetových stránkách s omezeným přístupem nebo případně na veřejných internetových stránkách.

1.   Komise přijme veškerá nezbytná opatření, aby zabránila jakémukoli selhání, a pokud k němu dojde, aby je bez zbytečného odkladu identifikovala.

2.   Má-li aktér nebo oprávněný uživatel podezření na selhání, neprodleně o tom uvědomí Komisi.

3.   Pokud Komise zjistí selhání, přijme tato opatření:

Pokud Komise pozastaví lhůty pro předkládání údajů v databázi Eudamed, jak je stanoveno v prvním pododstavci písm. b), v oznámení o selhání se upřesní čas zveřejnění tohoto oznámení a pravděpodobná doba trvání pozastavení.

4.   Kromě pozastavení lhůt, které je uvedeno v odst. 3 prvním pododstavci písm. b) tohoto článku, se v případě, že selhání brání ve splnění některé z povinností uvedených v článku 80, čl. 87 odst. 1, čl. 89 odst. 5, 7, 8 a 9, čl. 95 odst. 2, 4 a 6 nebo čl. 98 odst. 2 nařízení (EU) 2017/745, nebo v článku 76, čl. 82 odst. 1, čl. 84 odst. 5, 7, 8 a 9, čl. 90 odst. 2, 4 a 6 nebo čl. 93 odst. 2 nařízení (EU) 2017/746, použije jeden z těchto postupů:

5.   Kromě pozastavení lhůt podle odst. 3 prvního pododstavce písm. b) tohoto článku se v případě selhání, které brání ve splnění některé z povinností stanovených v nařízení (EU) 2017/745 nebo nařízení (EU) 2017/746, jiných než povinností uvedených v odstavci 4 tohoto článku, použije tento postup:

6.   Pokud Komise zjistí, že selhání skončilo, sdělí tuto informaci příslušným orgánům. Kromě toho Komise zveřejní oznámení v tomto ohledu na internetových stránkách s omezeným přístupem a/nebo případně na veřejných internetových stránkách. Sdělení i oznámení musí obsahovat dobu trvání selhání a pozastavení lhůt podle odst. 3 písm. b).

7.   Poté, co Komise zveřejní oznámení uvedené v odstavci 6, aktéři neprodleně zadají údaje, jejichž předkládání bylo během selhání databáze Eudamed narušeno.

1.   Komise zpřístupní aktérům internetové stránky pro účely testování a školení v souvislosti s používáním databáze Eudamed (dále jen „internetové stránky pro testování a školení“).

Údaje zadané na internetových stránkách pro testování a školení se považují za fiktivní a nezpřístupňují se veřejnosti.

2.   Před prvním využitím služeb výměny údajů mezi stroji učiní aktér alespoň jeden úspěšný pokus o předání údajů prostřednictvím komunikace mezi stroji za použití internetových stránek pro testování a školení.

3.   Veškeré změny, které má Komise v úmyslu zavést do služeb výměny údajů mezi stroji v databázi Eudamed, zavede nejprve na internetových stránkách pro testování a školení a na těchto internetových stránkách je ponechá k dispozici po dobu, kterou Komise předem stanoví ve spolupráci s Koordinační skupinou pro zdravotnické prostředky zřízenou podle článku 103 nařízení (EU) 2017/745.

O plánovaných změnách a o době jejich dostupnosti na internetových stránkách pro testování a školení Komise dotčené aktéry předem informuje prostřednictvím databáze Eudamed.

1.   Komise na internetových stránkách s omezeným přístupem zpřístupní tyto dokumenty:

2.   Aktéři dodržují podmínky stanovené v dokumentech uvedených v odst. 1 písm. b) a případně v odst. 1 písm. d).

3.   Pokud má Komise podezření, že nastal nebo že přetrvává incident v oblasti bezpečnosti IT, bezpečnostní riziko IT nebo hrozba pro bezpečnost IT ve smyslu čl. 2 bodů 15, 22 a 25 rozhodnutí (EU, Euratom) 2017/46, které považuje za potenciálně škodlivé pro databázi Eudamed, její údaje nebo jejich důvěrnost (dále jen „incident v oblasti bezpečnosti IT, bezpečnostní riziko IT nebo hrozba pro bezpečnost IT“), může Komise pozastavit veškerý přístup do databáze Eudamed.

4.   Komise může pozastavit všechny funkce elektronických systémů databáze Eudamed nebo jejich část, pokud zjistí incident v oblasti bezpečnosti IT, bezpečnostní riziko IT nebo hrozbu pro bezpečnost IT.

Pokud pozastavení uvedené v prvním pododstavci brání v zadávání údajů do databáze Eudamed, použije se obdobně čl. 8 odst. 3, 4 a 5.

5.   Každý aktér nebo oprávněný uživatel, který se dozví o incidentu v oblasti bezpečnosti IT, bezpečnostním riziku IT nebo hrozbě pro bezpečnost IT nebo na ně má podezření, o tom neprodleně informuje Komisi a dotčené členské státy.

1.   Mají-li příslušný orgán, místní správce aktéra nebo místní správce uživatelů podezření na podvodnou žádost o přístup do databáze Eudamed, žádost zamítnou a neprodleně o tomto zamítnutí uvědomí Komisi prostřednictvím podpůrného týmu uvedeného v čl. 5 odst. 1, přičemž upřesní, že se jedná o podezření na podvodnou žádost o přístup.

2.   Pokud má Komise důvodné podezření, že se oprávněný uživatel dopouští podvodné činnosti, která má vliv na bezpečnost IT v databázi Eudamed, pozastaví tomuto oprávněnému uživateli dočasně přístup do databáze Eudamed. V takovém případě Komise o pozastavení a jeho důvodech neprodleně informuje všechny členské státy a dotčené aktéry.

3.   Každý aktér nebo oprávněný uživatel, který má podezření, že se oprávněný uživatel dopouští podvodné činnosti, neprodleně o podezřelé podvodné činnosti informuje Komisi a členské státy prostřednictvím podpůrného týmu uvedeného v čl. 5 odst. 1.

4.   Zjistí-li Komise v databázi Eudamed podvodnou činnost, okamžitě příslušným oprávněným uživatelům ukončí přístup do databáze Eudamed a přijme nezbytná opatření, včetně případného zabránění jakémukoli budoucímu přístupu do databáze Eudamed ze souvisejících účtů vytvořených na internetových stránkách ověřovací služby Komise. O veškerých opatřeních přijatých podle tohoto odstavce Komise neprodleně informuje příslušné vnitrostátní orgány a dotčené aktéry.