EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32021R2078

Izvedbena uredba Komisije (EU) 2021/2078 z dne 26. novembra 2021 o določitvi pravil za uporabo Uredbe (EU) 2017/745 Evropskega parlamenta in Sveta glede Evropske podatkovne zbirke za medicinske pripomočke (Eudamed)

C/2021/8447

OJ L 426, 29.11.2021, p. 9–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/reg_impl/2021/2078/oj

29.11.2021   

SL

Uradni list Evropske unije

L 426/9


IZVEDBENA UREDBA KOMISIJE (EU) 2021/2078

z dne 26. novembra 2021

o določitvi pravil za uporabo Uredbe (EU) 2017/745 Evropskega parlamenta in Sveta glede Evropske podatkovne zbirke za medicinske pripomočke (Eudamed)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2017/745 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o medicinskih pripomočkih, spremembi Direktive 2001/83/ES, Uredbe (ES) št. 178/2002 in Uredbe (ES) št. 1223/2009 ter razveljavitvi direktiv Sveta 90/385/EGS in 93/42/EGS (1) ter zlasti člena 33(8) Uredbe,

ob upoštevanju naslednjega:

(1)

Komisija mora v skladu z Uredbo (EU) 2017/745 določiti podrobne ureditve, potrebne za vzpostavitev in vzdrževanje Evropske podatkovne zbirke za medicinske pripomočke (Eudamed).

(2)

Komisija mora v skladu z Uredbo (EU) 2017/746 Evropskega parlamenta in Sveta (2) vzpostaviti, vzdrževati in upravljati Eudamed v skladu s pogoji in podrobnimi ureditvami, določenimi z Uredbo (EU) 2017/745.

(3)

Kot je določeno v uredbah (EU) 2017/745 in (EU) 2017/746, bi morali imeti Komisija, pristojni organi, organi, pristojni za priglašene organe, priglašeni organi, proizvajalci, pooblaščeni predstavniki, uvozniki, fizične ali pravne osebe iz člena 22(1) Uredbe (EU) 2017/745 (proizvajalci sistemov ali paketov) ter sponzorji kliničnih raziskav in študij učinkovitosti dostop do Eudameda in ga uporabljati za izpolnjevanje svojih obveznosti in izvajanje nalog v skladu s tema uredbama. Zato je treba zagotoviti dostopnost Eudameda prek spletnega mesta z omejenim dostopom. Poleg tega bi moral Eudamed javnosti zagotoviti ustrezne informacije o pripomočkih, danih na trg, ustreznih certifikatih, ki jih izdajo priglašeni organi, zadevnih gospodarskih subjektih in kliničnih raziskavah. Zato je treba zagotoviti dostopnost Eudameda prek javnega spletnega mesta. Da se omogoči izmenjava podatkov med Eudamedom in nacionalnimi podatkovnimi zbirkami, je treba omogočiti dostop do Eudameda prek storitev izmenjave podatkov stroj–stroj.

(4)

Kar zadeva fizične in pravne osebe, ki potrebujejo dostop do Eudameda prek spletnega mesta z omejenim dostopom, je treba določiti pogoje in postopek za odobritev takega dostopa.

(5)

Komisija je vzpostavila evropsko nomenklaturo o medicinskih pripomočkih, kot je določeno v uredbah (EU) 2017/745 in (EU) 2017/746. Zato bi bilo treba v Eudamedu omogočiti brezplačen dostop do evropske nomenklature o medicinskih pripomočkih in jo tam uporabljati za zagotavljanje informacij o medicinskih pripomočkih.

(6)

Da bi uporabnikom Eudameda zagotovili potrebno podporo pri uporabi podatkovne zbirke, bi jim morala Komisija zagotoviti pravočasno tehnično in upravno pomoč pri uporabi Eudameda.

(7)

V primeru tehnične nerazpoložljivosti ali okvare Eudameda bi morali pooblaščeni uporabniki še vedno imeti možnost, da izpolnjujejo svoje obveznosti. Zato je treba določiti alternativne mehanizme za izmenjavo podatkov v takih primerih in določiti pravila za nepredvidene dogodke za take mehanizme.

(8)

Pravila glede varnosti IT, ki jih določa Sklep Komisije (EU, Euratom) 2017/46 (3), veljajo za Eudamed. Da bi Eudamed deloval varno ter bil zaščiten pred grožnjami za razpoložljivost, celovitost in zaupnost svojih funkcij in podatkov, bi bilo treba določiti dodatna varnostna pravila.

(9)

Da bi se zmanjšala tveganja in preprečila morebitna zloraba Eudameda, bi bilo treba določiti posebne določbe o goljufivem dejanju uporabnika v Eudamedu.

(10)

V skladu s členom 42(1) Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (4) je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je svoje mnenje podal 9. julija 2021.

(11)

Ukrepi iz te uredbe so v skladu z mnenjem Odbora za medicinske pripomočke –

SPREJELA NASLEDNJO UREDBO:

Člen 1

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(1)

„subjekt“ pomeni Komisijo, pristojni organ, organ, pristojen za priglašene organe, priglašeni organ, proizvajalca, pooblaščenega predstavnika, uvoznika, proizvajalca sistema ali paketa ali sponzorja, ki je bil registriran v Eudamedu v skladu s členom 3 te uredbe za izpolnitev obveznosti iz uredb (EU) 2017/745 in (EU) 2017/746;

(2)

„pooblaščeni uporabnik“ pomeni fizično osebo, ki ji je odobren dostop do Eudameda prek spletnega mesta z omejenim dostopom, da deluje v imenu subjekta;

(3)

„lokalni skrbnik subjekta“ pomeni pooblaščenega uporabnika, ki ima pravico upravljati nekatere informacije v zvezi s podatki subjekta in drugim fizičnim osebam odobriti dostop do Eudameda prek spletnega mesta z omejenim dostopom, da delujejo v imenu tega subjekta;

(4)

„lokalni skrbnik uporabnikov“ pomeni pooblaščenega uporabnika, ki ima pravico drugim fizičnim osebam odobriti dostop do Eudameda prek spletnega mesta z omejenim dostopom, da delujejo v imenu subjekta;

(5)

„okvara“ pomeni znatno napako v delovanju Eudameda, vključno z napako, ki jo povzročijo nepredvidljive okoliščine ali višja sila, ki bi lahko negativno vplivala na varnost IT ali ovirala razpoložljivost katere koli funkcionalnosti elektronskih sistemov Eudameda iz člena 33(2) Uredbe (EU) 2017/745.

Člen 2

Načini dostopa

1.   Eudamed je dostopen pooblaščenim uporabnikom prek spletnega mesta z omejenim dostopom (v nadaljnjem besedilu: spletno mesto z omejenim dostopom) in neidentificiranim uporabnikom prek javnega spletnega mesta (v nadaljnjem besedilu: javno spletno mesto).

2.   Eudamed je prek storitev izmenjave podatkov stroj–stroj dostopen pristojnim organom iz člena 101 Uredbe (EU) 2017/745 in člena 96 Uredbe (EU) 2017/746 (v nadaljnjem besedilu: pristojni organi) ter priglašenim organom, registriranim v Eudamedu v skladu s členom 3 te uredbe. Komisija vsaki državi članici in priglašenemu organu zagotovi dostopne točke za izmenjavo podatkov, ki jim na njihovo zahtevo omogočajo uporabo takih storitev izmenjave podatkov.

Eudamed je prek storitev izmenjave podatkov stroj–stroj dostopen subjektom, ki niso pristojni organi in priglašeni organi, če lokalni skrbnik zadevnega subjekta predloži zahtevo za tak dostop, kot je navedeno v členu 3(8), prvi pododstavek. Komisija to zahtevo odobri v skladu s pogojem iz člena 3(8), drugi pododstavek.

Člen 3

Registracija v Eudamedu in dostop do Eudameda prek spletnega mesta z omejenim dostopom

1.   Da lahko fizična oseba dostopa do Eudameda prek spletnega mesta z omejenim dostopom, si na spletnem mestu avtentikacijske storitve Komisije ustvari račun.

2.   Komisija registrira pristojne organe in organe, pristojne za priglašene organe, in prvi fizični osebi odobri dostop do spletnega mesta z omejenim dostopom, da lahko ta deluje v njihovem imenu. Države članice v ta namen Komisiji predložijo informacije o svojih pristojnih organih, organih, pristojnih za priglašene organe, in fizičnih osebah, ki postanejo prvi pooblaščeni uporabniki pri teh organih.

3.   Komisija priglašene organe registrira v Eudamedu na podlagi informacij v podatkovni zbirki priglašenih organov, ki jo je razvila in jo upravlja Komisija (NANDO).

Prva fizična oseba, ki deluje v imenu subjekta, ki je priglašeni organ, za dostop do Eudameda prek spletnega mesta z omejenim dostopom vloži zahtevo za dostop prek navedenega spletnega mesta. Organ, pristojen za priglašeni organ, odobri zahtevo.

4.   Fizična oseba, ki deluje v imenu potencialnega subjekta, vloži za registracijo drugih subjektov v Eudamedu, razen tistih iz odstavkov 2 in 3, zahtevo za registracijo subjekta prek spletnega mesta z omejenim dostopom. Zahteva za registracijo subjekta vključuje podpisano izjavo o odgovornosti za informacijsko varnost iz člena 10(1). Pristojni nacionalni organ odobri zahtevo za registracijo subjekta, razen če se zahteva nanaša na sponzorja klinične raziskave ali študije učinkovitosti.

Po odobritvi zahteve za registracijo subjekta ali, v primeru sponzorja, ko je bila vložena zahteva za registracijo subjekta, se fizični osebi, ki je vložila to zahtevo iz prvega pododstavka, samodejno odobri dostop do spletnega mesta z omejenim dostopom in postane prvi pooblaščeni uporabnik, če so izpolnjeni pogoji iz odstavka 6.

Za namene tega odstavka je pristojni nacionalni organ organ v kraju sedeža potencialnega subjekta. Kar zadeva proizvajalce s sedežem zunaj Unije, je pristojni nacionalni organ organ, pristojen za pooblaščenega predstavnika, navedenega v zahtevi za registracijo subjekta. Kar zadeva proizvajalce sistemov ali paketov s sedežem zunaj Unije, je pristojni nacionalni organ organ države članice, v kateri se prvi sistem ali paket navedenega proizvajalca da na trg.

5.   Da se fizični osebi, ki bo delovala v imenu subjekta, odobri dostop do spletnega mesta z omejenim dostopom, ta oseba prek navedenega spletnega mesta vloži zahtevo za dostop. Lokalni skrbnik subjekta ali lokalni skrbnik uporabnikov odobri zahtevo za dostop.

6.   Da fizične osebe postanejo pooblaščeni uporabniki, sprejmejo pravice in obveznosti uporabnikov, kot so določene v dokumentu iz člena 10(1), točka (a), in preberejo izjavo o zasebnosti iz točke (c) navedenega člena.

7.   Prvi pooblaščeni uporabnik pri subjektu samodejno postane prvi lokalni skrbnik tega subjekta.

8.   Lokalni skrbnik subjekta lahko prek spletnega mesta z omejenim dostopom Komisiji predloži zahtevo za povezavo stroj–stroj za izmenjavo podatkov med podatkovno zbirko subjekta in Eudamedom.

Komisija lahko odobri zahtevo iz prvega pododstavka, če je lokalni skrbnik subjekta potrdil, da subjekt izpolnjuje zahteve glede informacijske varnosti za izmenjavo podatkov iz člena 10(1).

Člen 4

Nomenklatura

Pooblaščeni uporabniki pri zagotavljanju informacij o medicinskih pripomočkih v Eudamedu uporabljajo odprtodostopne kode evropske nomenklature o medicinskih pripomočkih.

Komisija zagotovi brezplačno razpoložljivost evropske nomenklature o medicinskih pripomočkih v Eudamedu.

Člen 5

Tehnična in upravna podpora

1.   Komisija ustanovi skupino za aplikacijsko podporo za pravočasno pomoč uporabnikom Eudameda, ki je dosegljiva prek namenskega poštnega predala.

2.   Komisija uporabnikom Eudameda zagotovi ustrezno tehnično dokumentacijo o Eudamedu, odgovore na pogosta vprašanja v zvezi z Eudamedom in dokumentacijo v podporo storitvam izmenjave podatkov stroj–stroj.

Člen 6

Lastništvo in obdelava osebnih podatkov

1.   Komisija je lastnica Eudameda in ima vse pravice do upravljanja.

2.   Osebni podatki se v Eudamedu obdelujejo za izpolnjevanje obveznosti iz uredb (EU) 2017/745 in (EU) 2017/746.

3.   Obdelujejo se naslednje vrste osebnih podatkov:

(a)

imena subjektov in pooblaščenih uporabnikov;

(b)

kontaktni podatki subjektov in pooblaščenih uporabnikov;

(c)

identifikacija in kontaktni podatki ter podatki o poklicnih kvalifikacijah drugih fizičnih ali pravnih oseb, ki se sporočijo v Eudamed za namene izpolnjevanja obveznosti iz uredb (EU) 2017/745 in (EU) 2017/746.

Člen 7

Pravila o delovanju

1.   Predložitev podatkov v Eudamedu se šteje za izvedeno na datum in čas, ko so podatki uspešno registrirani v Eudamedu. Datum in čas predložitve se določita po srednjeevropskem času ali srednjeevropskem poletnem času, kot je ustrezno.

2.   Eudamed je vedno dostopen, razen med nujnimi in predhodno napovedanimi obdobji nedelovanja zaradi dejavnosti vzdrževanja, vključno z novimi izdajami. Komisija v zvezi s tem vnaprej objavi obvestilo na spletnem mestu z omejenim dostopom ali javnem spletnem mestu, kot je ustrezno.

Člen 8

Okvara

1.   Komisija sprejme vse potrebne ukrepe, da prepreči kakršno koli okvaro in jo brez odlašanja odkrije, kadar se pojavi.

2.   Če subjekt ali pooblaščeni uporabnik sumi, da gre za okvaro, o tem takoj obvesti Komisijo.

3.   Če Komisija ugotovi okvaro, sprejme naslednje ukrepe:

(a)

nemudoma objavi obvestilo v zvezi s tem (v nadaljnjem besedilu: obvestilo o okvari) na spletnem mestu z omejenim dostopom ali javnem spletnem mestu, kot je ustrezno, razen če gre za okvaro, ki Komisiji to onemogoča, pri čemer Komisija v tem primeru obvestilo objavi na posebnem spletnem mestu Komisije za medicinske pripomočke, če je to mogoče;

(b)

začasno prekine rok za predložitev podatkov v Eudamedu, določen v uredbah (EU) 2017/745 in (EU) 2017/746, kadar okvara ovira vnos ustreznih podatkov.

Kadar Komisija začasno prekine rok za predložitev podatkov v Eudamedu, kot je določeno v prvem pododstavku, točka (b), v obvestilu o okvari navede čas objave tega obvestila in verjetno trajanje prekinitve.

4.   Kadar okvara ovira izpolnjevanje katere koli obveznosti iz člena 80, člena 87(1), člena 89(5), (7), (8) in (9), člena 95(2), (4) in (6) ali člena 98(2) Uredbe (EU) 2017/745 ali člena 76, člena 82(1), člena 84(5), (7), (8) in (9), člena 90(2), (4) in (6) ali člena 93(2) Uredbe (EU) 2017/746, se poleg prekinitve rokov iz odstavka 3, prvi pododstavek, točka (b), tega člena uporablja kateri koli od naslednjih postopkov:

(a)

kadar okvara traja več kot 12 ur od objave obvestila o okvari, subjekt Komisiji, zadevnim pristojnim nacionalnim organom in priglašenemu organu, ki je izdal certifikat o skladnosti iz člena 56 Uredbe (EU) 2017/745 ali člena 51 Uredbe (EU) 2017/746, kot je ustrezno, brez odlašanja predloži splošne informacije o ustreznih podatkih in navedbo, da zaradi okvare ne more predložiti podatkov;

(b)

kadar okvara traja več kot 24 ur od objave obvestila o okvari ali kadar okvara traja manj kot 24 ur in zadevni pristojni nacionalni organi to zahtevajo po prejemu informacij iz točke (a) tega odstavka, subjekt tem organom brez odlašanja predloži ustrezne podatke na način, ki ga ti predpišejo.

5.   V primeru okvare, ki ovira izpolnjevanje ene od obveznosti iz Uredbe (EU) 2017/745 ali Uredbe (EU) 2017/746, razen obveznosti iz odstavka 4 tega člena, se poleg prekinitve rokov iz odstavka 3, prvi pododstavek, točka (b), tega člena uporablja naslednji postopek:

(a)

kadar okvara traja več kot 36 ur od objave obvestila o okvari, subjekt Komisiji, zadevnim pristojnim nacionalnim organom in priglašenemu organu, ki je izdal certifikat o skladnosti iz člena 56 Uredbe (EU) 2017/745 ali člena 51 Uredbe (EU) 2017/746, kot je ustrezno, brez odlašanja predloži splošne informacije o ustreznih podatkih in navedbo, da zaradi okvare ne more predložiti podatkov;

(b)

kadar okvara traja več kot pet dni od objave obvestila o okvari, subjekt o tem obvesti zadevne pristojne nacionalne organe in jim na njihovo zahtevo predloži ustrezne podatke na način, ki ga ti predpišejo.

6.   Ko Komisija ugotovi, da je okvara odpravljena, to sporoči pristojnim organom. Komisija poleg tega v zvezi s tem objavi obvestilo na spletnem mestu z omejenim dostopom in/ali javnem spletnem mestu, kot je ustrezno. V sporočilu in obvestilu se navede trajanje okvare in prekinitev rokov iz odstavka 3, točka (b).

7.   Ko Komisija objavi obvestilo iz odstavka 6, subjekti v Eudamed brez odlašanja vnesejo podatke, ki jih prej niso mogli vnesti zaradi okvare.

Člen 9

Spletna mesta za testiranje in usposabljanje

1.   Komisija subjektom zagotovi spletna mesta za testiranje in usposabljanje v zvezi z uporabo Eudameda (v nadaljnjem besedilu: spletna mesta za testiranje in usposabljanje).

Podatki, vneseni na spletnih mestih za testiranje in usposabljanje, se štejejo za fiktivne in niso na voljo javnosti.

2.   Subjekt pred prvo uporabo storitev izmenjave podatkov stroj–stroj vsaj enkrat uspešno predloži podatke prek izmenjave stroj–stroj na spletnem mestu za testiranje in usposabljanje.

3.   Komisija vse načrtovane spremembe v zvezi s storitvami Eudameda za izmenjavo podatkov stroj–stroj najprej uvede na spletnih mestih za testiranje in usposabljanje in so na teh spletnih mestih na voljo za obdobje, ki ga Komisija določi vnaprej v sodelovanju s Koordinacijsko skupino za medicinske pripomočke, ustanovljeno v skladu s členom 103 Uredbe (EU) 2017/745.

Komisija prek Eudameda vnaprej obvesti zadevne subjekte o predvidenih spremembah in obdobju njihove razpoložljivosti na spletnih mestih za testiranje in usposabljanje.

Člen 10

Varnost IT

1.   Komisija na spletnem mestu z omejenem dostopom da na voljo naslednje dokumente:

(a)

dokument o pravicah in obveznostih uporabnikov;

(b)

izjavo o odgovornosti za informacijsko varnost;

(c)

izjavo o varstvu osebnih podatkov;

(d)

zahteve glede informacijske varnosti za izmenjavo podatkov.

2.   Subjekti spoštujejo pogoje in obveznosti, določene v dokumentih iz odstavka 1, točka (b), in, kjer je ustrezno, iz točke (d) navedenega odstavka.

3.   Kadar Komisija sumi, da je prišlo do varnostnega incidenta IT, tveganja za varnost IT ali grožnje za varnost IT, kot je določeno v členu 2(15), (22) in (25) Sklepa (EU, Euratom) 2017/46, za katere meni, da so potencialno škodljivi za Eudamed, njegove podatke ali zaupnost podatkov (v nadaljnjem besedilu: varnostni incident IT, tveganje za varnost IT ali grožnja za varnost IT), lahko začasno prekine vsak dostop do Eudameda.

4.   Komisija lahko začasno prekine vse ali del funkcionalnosti elektronskih sistemov Eudameda, če ugotovi varnostni incident IT, grožnjo za varnost IT ali tveganje za varnost IT.

Če prekinitev iz prvega pododstavka ovira vnos podatkov v Eudamed, se smiselno uporablja člen 8(3), (4) in (5).

5.   Vsak subjekt ali pooblaščeni uporabnik, ki ugotovi ali sumi, da gre za varnostni incident IT, grožnjo za varnost IT ali tveganje za varnost IT, o tem nemudoma obvesti Komisijo in zadevne države članice.

Člen 11

Goljufivo dejanje uporabnika Eudameda

1.   Kadar pristojni organ, lokalni skrbnik subjekta ali lokalni skrbnik uporabnikov sumi, da je prišlo do zlorabe zahteve za dostop do Eudameda, zahtevo zavrne in o taki zavrnitvi nemudoma obvesti Komisijo prek skupine za aplikacijsko podporo iz člena 5(1), pri čemer navede, da gre za sum zlorabe zahteve za dostop.

2.   Kadar Komisija utemeljeno sumi, da je pooblaščeni uporabnik storil goljufivo dejanje, ki vpliva na varnost IT Eudameda, začasno prekine dostop tega pooblaščenega uporabnika do Eudameda. Komisija v tem primeru o prekinitvi in njeni utemeljitvi nemudoma obvesti vse države članice in zadevne subjekte.

3.   Vsak subjekt ali pooblaščeni uporabnik, ki sumi, da je pooblaščeni uporabnik storil goljufivo dejanje, Komisijo in države članice nemudoma obvesti o domnevnem goljufivem dejanju prek skupine za aplikacijsko podporo iz člena 5(1).

4.   Kadar Komisija v Eudamedu ugotovi goljufivo dejanje, zadevnim pooblaščenim uporabnikom nemudoma onemogoči dostop do Eudameda in sprejme potrebne ukrepe, pri čemer jim med drugim, kadar je ustrezno, prepreči tudi kakršen koli prihodnji dostop do Eudameda iz povezanih računov, ustvarjenih na spletnem mestu avtentikacijske storitve Komisije. Komisija ustrezne pristojne nacionalne organe in zadevne subjekte nemudoma obvesti o vseh ukrepih, sprejetih v skladu s tem odstavkom.

Člen 12

Začetek veljavnosti

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 26. novembra 2021

Za Komisijo

predsednica

Ursula VON DER LEYEN


(1)  UL L 117, 5.5.2017, str. 1.

(2)  Uredba (EU) 2017/746 Evropskega parlamenta in Sveta z dne 5. aprila 2017 o in vitro diagnostičnih medicinskih pripomočkih ter razveljavitvi Direktive 98/79/ES in Sklepa Komisije 2010/227/EU (UL L 117, 5.5.2017, str. 176).

(3)  Sklep Komisije (EU, Euratom) 2017/46 z dne 10. januarja 2017 o varnosti komunikacijskih in informacijskih sistemov v Evropski komisiji (UL L 6, 11.1.2017, str. 40).

(4)  Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).


Top