Secţiunea 2 - Guvernanţa şi mecanismele pentru utilizarea secundară - Regulamentul 327/11-feb-2025 referitor la spaţiul european al datelor privind sănătatea şi de modificare a Directivei 2011/24/UE şi a Regulamentului (UE) 2024/2847
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 5 Martie 2025
SECŢIUNEA 2:Guvernanţa şi mecanismele pentru utilizarea secundară
Art. 55: Organismele de acces la datele privind sănătatea
(1)Statele membre desemnează unul sau mai multe organisme de acces la datele privind sănătatea responsabile de îndeplinirea sarcinilor şi obligaţiilor prevăzute la articolele 57, 58 şi 59. Statele membre pot fie să instituie unul sau mai multe organisme noi din sectorul public, fie să se bazeze pe organismele existente din sectorul public ori pe serviciile interne ale organismelor din sectorul public care îndeplinesc condiţiile prevăzute la prezentul articol. Sarcinile stabilite la articolul 57 pot fi distribuite între diferite organisme de acces la datele privind sănătatea. În cazul în care un stat membru desemnează mai multe organisme de acces la datele privind sănătatea, acesta desemnează un organism de acces la datele privind sănătatea care să acţioneze în calitate de coordonator, având responsabilitatea de coordonare a cererilor cu celelalte organisme de acces la datele privind sănătatea atât pe teritoriul statului membru respectiv, cât şi în alte state membre.
Fiecare organism responsabil pentru accesul la datele privind sănătatea contribuie la aplicarea consecventă a prezentului regulament în întreaga Uniune. În acest scop, organismele de acces la datele privind sănătatea cooperează între ele, cu Comisia şi, în cazul unor preocupări legate de protecţia datelor, cu autorităţile de supraveghere relevante.
(2)Pentru a sprijini îndeplinirea cu eficacitate a sarcinilor organismelor de acces la datele privind sănătatea şi exercitarea atribuţiilor acestora, statele membre se asigură că fiecare organism de acces la datele privind sănătatea dispune de următoarele elemente:
a)resursele umane, financiare şi tehnice necesare;
b)cunoştinţele de specialitate necesare; şi
c)spaţiile de lucru şi infrastructura necesare.
Dacă este necesară o evaluare de către organismele de etică în temeiul dreptului intern, organismele respective îşi pun cunoştinţele de specialitate la dispoziţia organismului de acces la datele privind sănătatea. Ca alternativă, statele membre pot să prevadă ca organismele de etică să facă parte din structura organismului de acces la datele privind sănătatea.
(3)Statele membre se asigură că se evită orice conflict de interese între părţile organizaţionale ale organismelor de acces la datele privind sănătatea care îndeplinesc diferitele sarcini ale unor astfel de organisme, de exemplu prin stipularea de garanţii organizatorice, cum ar fi separarea între diferitele funcţii ale organismelor de acces la datele privind sănătatea, inclusiv evaluarea cererilor, primirea şi pregătirea seturilor de date, de exemplu pseudonimizarea şi anonimizarea seturilor de date, precum şi furnizarea datelor în medii de prelucrare securizate.
(4)În îndeplinirea sarcinilor ce le revin, organismele de acces la datele privind sănătatea cooperează în mod activ cu reprezentanţii părţilor interesate relevante, în special cu reprezentanţii pacienţilor, ai deţinătorilor de date privind sănătatea şi ai utilizatorilor de date privind sănătatea, şi evită orice conflict de interese.
(5)În îndeplinirea sarcinilor şi în exercitarea competenţelor lor, organismele de acces la datele privind sănătatea evită orice conflict de interese. Personalul organismelor de acces la datele privind sănătatea acţionează în interes public şi în mod independent.
(6)Statele membre informează Comisia cu privire la identitatea organismelor de acces la datele privind sănătatea desemnate în temeiul alineatului (1) până la 26 martie 2027. De asemenea, acestea informează Comisia cu privire la orice modificare ulterioară a identităţii organismelor respective. Comisia şi statele membre pun informaţiile respective la dispoziţia publicului.
Art. 56: Serviciul Uniunii de acces la datele privind sănătatea
(1)Comisia îndeplineşte sarcinile prevăzute la articolele 57 şi 59 în situaţiile în care deţinătorii de date privind sănătatea sunt instituţii, organe, oficii sau agenţii ale Uniunii.
(2)Comisia se asigură că resursele umane, tehnice şi financiare, spaţiile şi infrastructura necesare sunt alocate pentru îndeplinirea eficientă a sarcinilor prevăzute la articolele 57 şi 59 şi pentru exercitarea atribuţiilor sale.
(3)Cu excepţia cazului în care este prevăzută o excludere explicită, se consideră că trimiterile la organismele de acces la datele privind sănătatea din prezentul regulament referitoare la îndeplinirea sarcinilor şi la exercitarea atribuţiilor se aplică şi Comisiei, în cazul în care deţinătorii de date privind sănătatea sunt instituţii, organe, oficii sau agenţii ale Uniunii.
Art. 57: Sarcinile organismelor de acces la datele privind sănătatea
(1)Organismele de acces la datele privind sănătatea îndeplinesc următoarele sarcini:
a)decid cu privire la cererile de acces la datele privind sănătatea în temeiul articolului 67 din prezentul regulament, autorizează şi eliberează autorizaţii privind datele în temeiul articolului 68 din prezentul regulament pentru accesarea datelor electronice privind sănătatea care ţin de competenţa lor în vederea utilizării secundare şi decid cu privire la cererile de date privind sănătatea formulate în temeiul articolului 69 din prezentul regulament în conformitate cu prezentul capitol şi cu capitolul II din Regulamentul (UE) 2022/868, inclusiv în ceea ce priveşte:
(i)asigurarea accesului la datele electronice privind sănătatea utilizatorilor de date privind sănătatea în baza unei autorizaţii privind datele într-un mediu de prelucrare securizat, în conformitate cu articolul 73;
(ii)monitorizarea şi supravegherea respectării de către utilizatorii de date privind sănătatea şi de către deţinătorii de date privind sănătatea a cerinţelor prevăzute în prezentul regulament;
(iii)solicitarea datelor electronice privind sănătatea menţionate la articolul 51 de la deţinătorii relevanţi de date privind sănătatea în baza unei autorizaţii eliberate privind datele sau a unei cereri de date privind sănătatea aprobate;
b)prelucrarea datelor electronice privind sănătatea menţionate la articolul 51, de exemplu prin primirea, combinarea, pregătirea şi compilarea datelor respective la cererea deţinătorilor de date privind sănătatea, precum şi prin pseudonimizarea sau anonimizarea datelor menţionate;
c)luarea tuturor măsurilor necesare pentru a păstra confidenţialitatea drepturilor de proprietate intelectuală. pentru protecţia normativă a datelor şi pentru păstrarea confidenţialităţii secretelor comerciale, astfel cum se prevede la articolul 52, ţinând seama de drepturile aplicabile atât ale deţinătorului de date privind sănătatea, cât şi ale utilizatorului de date privind sănătatea;
d)cooperarea cu deţinătorii de date privind sănătatea şi supravegherea acestora pentru a asigura punerea în aplicare coerentă şi exactă a dispoziţiilor privind eticheta de calitate şi de utilitate a datelor de la articolul 78;
e)menţinerea unui sistem de gestionare pentru înregistrarea şi prelucrarea cererilor de acces la datele privind sănătatea, a cererilor de date privind sănătatea, a deciziilor privind respectivele cereri şi a autorizaţiilor privind datele care au fost eliberate şi a cererilor de date privind sănătatea care au fost prelucrate, furnizând cel puţin informaţii privind numele solicitantului de date privind sănătatea, scopul accesului, data eliberării, durata autorizaţiei privind datele şi o descriere a cererii de acces la datele privind sănătatea sau a cererii de date privind sănătatea;
f)menţinerea unui sistem de informare publică pentru a respecta obligaţiile prevăzute la articolul 58;
g)cooperarea la nivelul Uniunii şi la nivel naţional pentru a stabili standarde, cerinţe tehnice şi măsuri comune adecvate pentru accesarea datelor electronice privind sănătatea într-un mediu de prelucrare securizat;
h)cooperarea la nivelul Uniunii şi la nivel naţional şi oferirea de consultanţă Comisiei cu privire la tehnicile şi cele mai bune practici pentru utilizarea secundară şi gestionarea datelor electronice privind sănătatea;
i)facilitarea accesului transfrontalier la datele electronice privind sănătatea pentru utilizare secundară care sunt găzduite în alte state membre, prin intermediul platformei HealthData@EU menţionate la articolul 75, şi cooperarea strânsă între ele şi Comisie;
j)publicarea, prin mijloace electronice:
(i)unui catalog naţional de seturi de date care include detalii privind sursa şi natura datelor electronice privind sănătatea, în conformitate cu articolele 77, 78 şi 80, precum şi a condiţiilor de punere la dispoziţie a datelor electronice privind sănătatea;
(ii)oricărei cereri de acces la datele privind sănătatea şi oricărei cereri de date privind sănătatea, fără întârzieri nejustificate după primirea lor iniţială;
(iii)tuturor autorizaţiilor de date privind sănătatea eliberate sau cererilor de date privind sănătatea aprobate, precum şi tuturor deciziilor de refuz, inclusiv justificarea acestora, în termen de 30 de zile lucrătoare de la eliberare, aprobare sau refuz;
(iv)măsurilor legate de neconformitate, în temeiul articolului 63;
(v)rezultatelor comunicate de utilizatorii de date privind sănătatea în temeiul articolului 61 alineatul (4);
(vi)unui sistem de informare pentru a respecta obligaţiile prevăzute la articolul 58;
(vii)informaţiilor, cel puţin pe o pagină de internet sau pe un portal web uşor de accesat, privind conectarea la platforma HealthData@EU a punctelor naţionale de contact pentru utilizarea secundară dintr-o ţară terţă, sau a unui sistem instituit la nivel internaţional de o organizaţie internaţională, de îndată ce ţara terţă sau organizaţia internaţională devine participant autorizat în cadrul HealthData@EU;
k)îndeplinirea obligaţiilor faţă de persoanele fizice în temeiul articolului 58;
l)îndeplinirea oricărei alte sarcini legate de asigurarea posibilităţii utilizării secundare a datelor electronice privind sănătatea în contextul prezentului regulament.
Catalogul naţional de seturi de date menţionat la litera (j) punctul (i) de la prezentul alineat este, de asemenea, pus la dispoziţia punctelor unice de informare în temeiul articolului 8 din Regulamentul (UE) 2022/868.
(2)În exercitarea sarcinilor ce le revin, organismele de acces la datele privind sănătatea:
a)cooperează cu autorităţile de supraveghere în temeiul Regulamentului (UE) 2016/679 în ceea ce priveşte datele electronice cu caracter personal privind sănătatea şi cu Consiliul SEDS;
b)cooperează cu toate părţile interesate relevante, inclusiv cu organizaţiile pacienţilor, cu reprezentanţi ai persoanelor fizice, ai profesioniştilor din domeniul sănătăţii, ai cercetătorilor şi ai comitetelor de etică, după caz, în conformitate cu dreptul Uniunii sau cu dreptul intern;
c)cooperează cu alte organisme naţionale competente, inclusiv cu autorităţile naţionale competente care supraveghează organizaţiile de promovare a altruismului în materie de date în temeiul Regulamentului (UE) 2022/868, cu autorităţile competente în temeiul Regulamentului (UE) 2023/2854 şi cu autorităţile naţionale competente în temeiul Regulamentelor (UE) 2017/745, (UE) 2017/746 şi (UE) 2024/1689, după caz.
(3)Organismele de acces la datele privind sănătatea pot oferi asistenţă organismelor din sectorul public în cazul în care respectivele organisme din sectorul public accesează date electronice privind sănătatea în conformitate cu articolul 14 din Regulamentul (UE) 2023/2854.
(4)Organismele de acces la datele privind sănătatea pot oferi sprijin unui organism din sectorul public în cazul în care acestea obţin date în împrejurările menţionate la articolul 15 litera (a) sau (b) din Regulamentul (UE) 2023/2854, în conformitate cu normele prevăzute în regulamentul respectiv, prin furnizarea de asistenţă tehnică pentru prelucrarea datelor respective sau prin combinarea acestora cu alte date pentru analize comune.
Art. 58: Obligaţiile organismelor de acces la datele privind sănătatea faţă de persoanele fizice
(1)Organismele de acces la datele privind sănătatea pun la dispoziţia publicului informaţii privind condiţiile în care datele electronice privind sănătatea sunt puse la dispoziţie pentru utilizare secundară, într-un format care să faciliteze căutarea prin mijloace electronice şi care să fie accesibil pentru persoanele fizice. Informaţiile respective acoperă următoarele aspecte:
a)temeiul juridic pe baza căruia se acordă accesul utilizatorului de date privind sănătatea la datele electronice privind sănătatea;
b)măsurile tehnice şi organizatorice adoptate pentru protejarea drepturilor persoanelor fizice;
c)drepturile aplicabile ale persoanelor fizice în ceea ce priveşte utilizarea secundară;
d)modalităţile prin care persoanele fizice îşi pot exercita drepturile în conformitate cu capitolul III din Regulamentul (UE) 2016/679;
e)identitatea şi datele de contact ale organismului de acces la datele privind sănătatea;
f)persoanele care au primit acces la seturi de date electronice privind sănătatea şi seturile de date la care li s-a acordat accesul, precum şi detalii privind autorizaţia privind datele referitoare la scopurile prelucrării acestor date, astfel cum se menţionează la articolul 53 alineatul (1);
g)rezultatele sau efectele proiectelor pentru care au fost utilizate datele electronice privind sănătatea.
(2)În cazul în care un stat membru a prevăzut exercitarea dreptului de refuz în temeiul articolului 71 prin intermediul organismelor de acces la datele privind sănătatea, organismele relevante de acces la datele privind sănătatea furnizează publicului informaţii cu privire la procedura de refuz şi facilitează exercitarea dreptului respectiv.
(3)În cazul în care un organism de acces la datele privind sănătatea este informat de către un utilizator de date privind sănătatea cu privire la o constatare importantă legată de sănătatea unei persoane fizice, astfel cum se menţionează la articolul 61 alineatul (5), organismul de acces la datele privind sănătatea informează deţinătorul de date privind sănătatea cu privire la respectiva constatare. Deţinătorul de date privind sănătatea informează, în condiţiile prevăzute de dreptul intern, persoana fizică sau profesionistul din domeniul sănătăţii care tratează persona fizică în cauză. Persoanele fizice au dreptul să solicite să nu fie informate cu privire la astfel de constatări.
(4)Statele membre informează publicul larg cu privire la rolul şi beneficiile organismelor de acces la datele privind sănătatea.
Art. 59: Raportarea de către organismele de acces la datele privind sănătatea
(1)Fiecare organism de acces la datele privind sănătatea publică un raport de activitate din doi în doi ani pe care îl pune la dispoziţia publicului pe site-ul său de internet. În cazul în care un stat membru desemnează mai multe organisme de acces la datele privind sănătatea, organismul de coordonare menţionat la articolul 55 alineatul (1) este responsabil de raportul de activitate şi solicită informaţiile necesare de la celelalte organisme de acces la datele privind sănătatea. Raportul de activitate respectiv urmează o structură convenită de Consiliul SEDS în temeiul articolului 94 alineatul (2) litera (d) şi conţine cel puţin următoarele categorii de informaţii:
a)informaţii referitoare la cererile de acces la datele privind sănătatea şi la cererile de date privind sănătatea depuse, cum ar fi tipurile de solicitanţi de date privind sănătatea, numărul de autorizaţii privind datele eliberate sau refuzate, categoriile de scopuri ale accesului şi categoriile de date electronice privind sănătatea accesate, precum şi un rezumat al rezultatelor utilizărilor datelor electronice privind sănătatea, după caz;
b)informaţii referitoare la îndeplinirea angajamentelor contractuale şi de reglementare de către utilizatorii de date privind sănătatea şi deţinătorii de date privind sănătatea, precum şi la numărul şi cuantumul sancţiunilor administrative impuse de organismele de acces la datele privind sănătatea;
c)informaţii referitoare la auditurile efectuate asupra utilizatorilor de date privind sănătatea pentru a asigura conformitatea prelucrării pe care aceştia o efectuează în mediul de prelucrare securizat menţionat la articolul 73 alineatul (1) litera (e);
d)informaţii referitoare la auditurile interne şi realizate de terţi privind conformitatea mediilor de prelucrare securizate cu standardele, specificaţiile şi cerinţele definite, astfel cum se prevede la articolul 73 alineatul (3);
e)informaţii referitoare la tratarea cererilor din partea persoanelor fizice privind exercitarea drepturilor lor în materie de protecţie a datelor;
f)o descriere a activităţilor organismului de acces la datele privind sănătatea desfăşurate în legătură cu implicarea şi consultarea părţilor interesate relevante;
g)veniturile din autorizaţiile privind datele şi cererile de date privind sănătatea;
h)numărul mediu de zile între depunerea cererilor de acces la datele privind sănătatea sau a cererilor de date privind sănătatea şi accesul la date;
i)numărul de etichete de calitate a datelor emise de deţinătorii de date privind sănătatea, defalcate pe categorii de calitate;
j)numărul de publicaţii de cercetare evaluate inter pares, de documente de politică şi de proceduri de reglementare care utilizează date accesate prin intermediul SEDS;
k)numărul de produse şi servicii de sănătate digitală, inclusiv aplicaţii de IA, dezvoltate utilizând date accesate prin intermediul SEDS.
(2)Raportul de activitate menţionat la alineatul (1) se transmite Comisiei şi Consiliului SEDS în termen de şase luni de la sfârşitul celui de-al doilea an al perioadei de raportare relevante. Raportul de activitate este accesibil pe site-ul de internet al Comisiei.
Art. 60: Obligaţiile deţinătorilor de date privind sănătatea
(1)Deţinătorii de date privind sănătatea pun la dispoziţie datele electronice privind sănătatea relevante menţionate la articolului 51, la cererea organismului de acces la datele privind sănătatea, în conformitate cu o autorizaţie privind datele eliberată în temeiul articolului 68 sau cu o cerere de date aprobată în temeiul articolului 69.
(2)Deţinătorii de date privind sănătatea pun datele electronice privind sănătatea solicitate menţionate la alineatul (1) la dispoziţia organismului de acces la datele privind sănătatea într-un termen rezonabil şi nu mai târziu de trei luni de la primirea cererii de către organismul de acces la datele privind sănătatea. În cazuri justificate, organismul de acces la datele privind sănătatea poate prelungi această perioadă cu cel mult trei luni.
(3)Deţinătorul de date privind sănătatea comunică organismului de acces la datele privind sănătatea o descriere a setului de date pe care îl deţine în conformitate cu articolul 77. Deţinătorul de date privind sănătatea verifică, cel puţin anual, dacă descrierea setului său de date din catalogul seturilor naţionale de date este exactă şi actualizată.
(4)În cazul în care setul de date este însoţit de o etichetă de calitate şi de utilitate a datelor în temeiul articolului 78, deţinătorul de date privind sănătatea pune la dispoziţia organismului de acces la datele privind sănătatea o documentaţie suficientă pentru ca organismul respectiv să verifice exactitatea etichetei.
(5)Deţinătorii de date electronice fără caracter personal privind sănătatea asigură accesul la date prin intermediul unor baze de date deschise de încredere pentru a asigura accesul nerestricţionat pentru toţi utilizatorii, precum şi stocarea şi conservarea datelor. Bazele de date publice deschise de încredere dispun de o guvernanţă solidă, transparentă şi durabilă şi de un model transparent de acces al utilizatorilor.
Art. 61: Obligaţiile utilizatorilor de date privind sănătatea
(1)Utilizatorii de date privind sănătatea pot accesa şi prelucra datele electronice privind sănătatea menţionate la articolul 51 pentru utilizare secundară numai în conformitate cu o autorizaţie privind datele eliberată în temeiul articolului 68, cu o cerere de date privind sănătatea aprobată în temeiul articolului 69 sau, în situaţiile menţionate la articolul 67 alineatul (3), cu o aprobare a accesului din partea participantului autorizat relevant în cadrul HealthData@EU menţionate la articolul 75.
(2)Atunci când prelucrează date electronice privind sănătatea în mediile de prelucrare securizate menţionate la articolul 73, utilizatorii de date privind sănătatea nu oferă acces la datele electronice privind sănătatea şi nu pun astfel de date la dispoziţia părţilor terţe care nu sunt menţionate în autorizaţia privind datele.
(3)Utilizatorii de date privind sănătatea nu reidentifică şi nu încearcă să reidentifice persoanele fizice la care se referă datele electronice privind sănătatea obţinute de către utilizatorii de date privind sănătatea pe baza unei autorizaţii privind datele, a unei cereri de date privind sănătatea sau a unei aprobări a accesului de către un participant autorizat la HealthData@EU.
(4)Utilizatorii de date privind sănătatea publică rezultatele sau ceea ce s-a obţinut în urma utilizării secundare, inclusiv informaţiile relevante pentru furnizarea de asistenţă medicală, în termen de 18 luni de la finalizarea prelucrării datelor electronice privind sănătatea în mediul de prelucrare securizat sau de la primirea răspunsului la cererea de date privind sănătatea menţionată la articolul 69.
În cazuri justificate legate de scopurile permise ale prelucrării datelor electronice privind sănătatea, perioada menţionată la primul paragraf poate fi prelungită de organismul de acces la datele privind sănătatea, în special în cazurile în care rezultatul este publicat într-un jurnal ştiinţific sau într-o altă publicaţie ştiinţifică.
Respectivele rezultate sau produse obţinute din utilizarea secundară conţin numai date anonimizate.
Utilizatorii de date privind sănătatea informează organismele de acces la datele privind sănătatea de la care a fost obţinută autorizaţia privind datele în legătură cu rezultatele sau produsele obţinute din utilizarea secundară şi le sprijină să publice informaţiile respective pe site-urile de internet ale organismelor de acces la datele privind sănătatea. O astfel de publicare nu aduce atingere drepturilor de publicare în jurnale ştiinţifice sau în alte publicaţii ştiinţifice.
Atunci când utilizatorii de date privind sănătatea utilizează date electronice privind sănătatea în conformitate cu prezentul capitol, aceştia menţionează sursele datelor electronice privind sănătatea şi faptul că datele electronice privind sănătatea au fost obţinute în cadrul SEDS.
(5)Fără a aduce atingere alineatului (2), utilizatorii de date privind sănătatea informează organismul de acces la datele privind sănătatea cu privire la orice constatări importante legate de sănătatea persoanei fizice ale cărei date sunt incluse în setul de date.
(6)Utilizatorii de date privind sănătatea cooperează cu organismele de acces la datele privind sănătatea în îndeplinirea sarcinilor acestor organisme.
Art. 62: Taxe
(1)Organismele de acces la datele privind sănătatea, inclusiv serviciile de acces la datele privind sănătatea ale Uniunii sau deţinătorii de date privind sănătatea de încredere menţionaţi la articolul 72 pot percepe taxe pentru punerea la dispoziţie a datelor electronice în vederea utilizării secundare.
Taxele trebuie să fie proporţionale cu costul punerii la dispoziţie a datelor şi nu restrâng concurenţa.
Taxele acoperă integral sau parţial costurile legate de procedura pentru evaluarea unei cereri de acces la datele privind sănătatea sau a unei cereri de date privind sănătatea, pentru eliberarea, refuzarea sau modificarea unei autorizaţii privind datele în temeiul articolelor 67 şi 68 sau pentru furnizarea unui răspuns la o cerere de date privind sănătatea depusă în temeiul articolului 69, inclusiv costurile legate de consolidarea, pregătirea, pseudonimizarea, anonimizarea şi furnizarea datelor electronice privind sănătatea.
Statele membre pot stabili taxe reduse pentru anumite tipuri de utilizatori de date privind sănătatea situaţi în Uniune, cum ar fi organismele din sectorul public sau instituţiile, organele, oficiile şi agenţiile Uniunii cărora legea le acordă competenţe în domeniul sănătăţii publice, cercetătorii universitari sau microîntreprinderile.
(2)Taxele menţionate la alineatul (1) de la prezentul articol pot include compensarea costurilor suportate de deţinătorul de date privind sănătatea pentru compilarea şi pregătirea datelor electronice privind sănătatea, care urmează să fie puse la dispoziţie pentru utilizare secundară. În astfel de cazuri, deţinătorul de date privind sănătatea furnizează organismului de acces la datele privind sănătatea o estimare a acestor costuri. În cazul în care deţinătorul de date privind sănătatea este un organism din sectorul public, nu se aplică articolul 6 din Regulamentul (UE) 2022/868. Partea din taxe legată de costurile deţinătorului de date privind sănătatea se plăteşte deţinătorului de date privind sănătatea.
(3)Orice taxe percepute din partea utilizatorilor de date privind sănătatea în temeiul prezentului articol trebuie să fie transparente şi nediscriminatorii.
(4)În cazul în care deţinătorii de date privind sănătatea şi utilizatorii de date privind sănătatea nu sunt de acord cu privire la nivelul taxelor în termen de o lună de la eliberarea autorizaţiei privind datele, organismul de acces la datele privind sănătatea poate stabili taxele proporţional cu costul punerii la dispoziţie a datelor electronice privind sănătatea pentru utilizare secundară. În cazul în care deţinătorii de date privind sănătatea sau utilizatorii de date privind sănătatea nu sunt de acord cu taxa stabilită de organismul de acces la datele privind sănătatea, aceştia au acces la organismele de soluţionare a litigiilor în conformitate cu articolul 10 din Regulamentul (UE) 2023/2854.
(5)Înainte de a elibera o autorizaţie privind datele în temeiul articolului 68 sau de a oferi un răspuns la o cerere de date privind sănătatea depusă în temeiul articolului 69, organismul de acces la datele privind sănătatea informează solicitantul de date privind sănătatea cu privire la taxele estimate. Solicitantul de date privind sănătatea este informat cu privire la opţiunea de retragere a cererii de acces la datele privind sănătatea sau la cererea de date privind sănătatea. Dacă solicitantul de date privind sănătatea îşi retrage cererea, solicitantului de date privind sănătatea i se impută doar costurile care au fost deja suportate.
(6)Comisia stabileşte, prin intermediul unor acte de punere în aplicare, principii pentru politicile privind taxele şi structurile taxelor, inclusiv deducerile pentru entităţile menţionate la alineatul (1) al patrulea paragraf de la prezentul articol, pentru a sprijini coerenţa şi transparenţa între statele membre în ceea ce priveşte politicile şi structurile taxelor respective. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
Art. 63: Aplicarea normelor de către organismele de acces la datele privind sănătatea
(1)Atunci când îşi îndeplinesc sarcinile de monitorizare şi de supraveghere, astfel cum sunt menţionate la articolul 57 alineatul (1) litera (a) punctul (ii), organismele de acces la datele privind sănătatea au dreptul de a solicita şi de a primi toate informaţiile necesare de la utilizatorii de date privind sănătatea şi de la deţinătorii de date privind sănătatea, cu scopul de a verifica respectarea prezentului capitol.
(2)În cazul în care organismele de acces la datele privind sănătatea constată că un utilizator de date privind sănătatea sau un deţinător de date privind sănătatea nu respectă cerinţele prezentului capitol, acestea informează imediat utilizatorul de date privind sănătatea sau deţinătorul de date privind sănătatea cu privire la respectivele constatări şi iau măsurile adecvate. Organismul de acces la datele privind sănătatea în cauză oferă utilizatorului de date privind sănătatea sau deţinătorului de date privind sănătatea în cauză posibilitatea de a-şi exprima opiniile într-un termen rezonabil care nu depăşeşte patru săptămâni.
Dacă constatarea neconformităţii se referă la o posibilă încălcare a Regulamentului (UE) 2016/679, organismul de acces la datele privind sănătatea în cauză informează imediat autorităţile de supraveghere în temeiul regulamentului menţionat şi le furnizează toate informaţiile relevante cu privire la constatarea respectivă.
(3)În caz de neconformitate din partea utilizatorilor de date privind sănătatea, organismele de acces la datele privind sănătatea au competenţa de a revoca autorizaţia privind datele eliberată în temeiul articolului 68 şi de a opri, fără întârzieri nejustificate, operaţiunea afectată de prelucrare a datelor electronice privind sănătatea care este efectuată de utilizatorul de date privind sănătatea şi adoptă măsuri adecvate şi proporţionale menite să asigure prelucrarea conformă de către utilizatorii de date privind sănătatea.
Ca parte a acestor măsuri de executare, organismele de acces la datele privind sănătatea au, de asemenea, dreptul să excludă sau să iniţieze proceduri pentru a exclude, după caz, în conformitate cu dreptul intern, utilizatorul de date privind sănătatea de la orice acces la date electronice privind sănătatea în cadrul SEDS în contextul utilizării secundare pentru o perioadă de până la cinci ani.
(4)În caz de neconformitate din partea deţinătorilor de date privind sănătatea, în cazul în care un deţinător de date privind sănătatea nu comunică datele electronice privind sănătatea organismelor de acces la datele privind sănătatea, cu intenţia evidentă de a obstrucţiona utilizarea datelor electronice privind sănătatea, sau nu respectă termenele stabilite la articolul 60 alineatul (2), organismul de acces la datele privind sănătatea are competenţa de a amenda deţinătorul de date privind sănătatea, pentru fiecare zi de întârziere, cu o penalitate cu titlu cominatoriu care trebuie să fie transparentă şi proporţională. Cuantumul amenzilor se stabileşte de către organismul de acces la datele privind sănătatea în conformitate cu dreptul intern. În cazul unor încălcări repetate de către deţinătorul de date privind sănătatea ale obligaţiei de cooperare cu organismul de acces la datele privind sănătatea, organismul respectiv poate exclude sau iniţia proceduri în conformitate cu dreptul intern pentru a exclude deţinătorul de date privind sănătatea de la depunerea cererilor de acces la datele privind sănătatea în temeiul prezentului capitolul pentru o perioadă de până la cinci ani. În cursul acestei perioade de excludere, utilizatorului de date privind sănătatea îi revine în continuare obligaţia de a face datele accesibile în temeiul prezentului capitol, după caz.
(5)Organismul de acces la datele privind sănătatea comunică fără întârziere utilizatorului de date privind sănătatea sau deţinătorului de date privind sănătatea în cauză măsurile de executare luate în temeiul alineatelor (3) şi (4) şi motivele care stau la baza acestora şi stabileşte un termen rezonabil pentru ca utilizatorul de date privind sănătatea sau deţinătorul de date privind sănătatea să se conformeze măsurilor respective.
(6)Orice măsuri de executare luate de organismul de acces la datele privind sănătatea în temeiul alineatului (3) sunt notificate altor organisme de acces la datele privind sănătatea, prin intermediul instrumentului informatic menţionat la alineatul (7). Organismele de acces la datele privind sănătatea pot pune aceste informaţii la dispoziţia publicului pe site-urile lor de internet.
(7)Comisia stabileşte, prin intermediul unor acte de punere în aplicare, arhitectura unui instrument informatic, ca parte a infrastructurii platformei HealthData@EU menţionate la articolul 75, menit să sprijine şi să facă transparente pentru alte organisme de acces la datele privind sănătatea măsurile de executare menţionate la prezentul articol, în special penalităţile cu titlu cominatoriu, revocarea autorizaţiilor privind datele şi cazurile de excludere. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).
(8)Până la 26 martie 2032, în strânsă cooperare cu Consiliul SEDS, Comisia emite orientări privind măsurile de executare, inclusiv penalităţile cu titlu cominatoriu şi alte măsuri care urmează să fie luate de organismele de acces la datele privind sănătatea.
Art. 64: Condiţii generale pentru impunerea de amenzi administrative de către organismele de acces la datele privind sănătatea
(1)Fiecare organism de acces la datele privind sănătatea asigură faptul că impunerea de amenzi administrative în conformitate cu prezentul articol pentru încălcările menţionate la alineatele (4) şi (5) este eficace, proporţională şi disuasivă în fiecare caz în parte.
(2)În funcţie de circumstanţele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor de executare menţionate la articolul 63 alineatele (3) şi (4). Organismele de acces la datele privind sănătatea decid dacă să se impună o amendă administrativă şi cuantumul amenzii administrative în fiecare caz în parte, acordând atenţia cuvenită următoarelor aspecte:
a)natura, gravitatea şi durata încălcării;
b)dacă au fost deja impuse sancţiuni sau amenzi administrative de către alte autorităţi competente pentru aceeaşi încălcare;
c)dacă încălcarea a fost comisă cu intenţie sau din culpă;
d)orice acţiune întreprinsă de deţinătorul de date privind sănătatea sau de utilizatorul de date privind sănătatea pentru a atenua daunele cauzate;
e)gradul de responsabilitate a utilizatorului de date privind sănătatea, ţinând seama de măsurile tehnice şi organizatorice puse în aplicare de respectivul utilizator de date privind sănătatea în temeiul articolului 67 alineatul (2) litera (g) şi al articolului 67 alineatul (4);
f)orice încălcări anterioare relevante comise de deţinătorul de date privind sănătatea sau de utilizatorul de date privind sănătatea;
g)gradul de cooperare al utilizatorului de date privind sănătatea sau al deţinătorului de date privind sănătatea cu organismul de acces la datele privind sănătatea, în ceea ce priveşte remedierea încălcării şi atenuarea posibilelor efecte negative ale acesteia;
h)modul în care organismul de acces la datele privind sănătatea a luat cunoştinţă de încălcare, în special dacă utilizatorul de date privind sănătatea a notificat încălcarea şi în ce măsură a notificat-o;
i)respectarea oricăror măsuri de executare menţionate la articolul 63 alineatele (3) şi (4) care au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator cu privire la acelaşi obiect;
j)orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
(3)Dacă un deţinător de date privind sănătatea sau un utilizator de date privind sănătatea încalcă cu intenţie sau din culpă mai multe dispoziţii din prezentul regulament pentru aceeaşi autorizaţie privind datele sau solicitare de date privind sănătatea ori pentru autorizaţii sau solicitări conexe, cuantumul total al amenzii administrative nu depăşeşte suma prevăzută pentru cea mai gravă încălcare.
(4)În conformitate cu alineatul (2) de la prezentul articol, încălcările obligaţiilor deţinătorului de date privind sănătatea sau ale utilizatorului de date privind sănătatea în temeiul articolului 60 şi al articolului 61 alineatele (1), (5) şi (6) fac obiectul unor amenzi administrative de cel mult 10 000 000 EUR sau, în cazul unei întreprinderi, de cel mult 2 % din cifra sa de afaceri anuală totală, la nivel mondial, din exerciţiul financiar precedent, luându-se în considerare valoarea cea mai mare.
(5)În conformitate cu alineatul (2), pentru următoarele încălcări se aplică amenzi administrative de cel mult 20 000 000 EUR sau, în cazul unei întreprinderi, de cel mult 4 % din cifra sa de afaceri anuală totală, la nivel mondial, corespunzătoare exerciţiului financiar anterior, luându-se în considerare valoarea cea mai mare:
a)utilizatorii de date privind sănătatea care prelucrează datele electronice privind sănătatea obţinute cu o autorizaţie privind datele eliberată în temeiul articolului 68 pentru utilizările menţionate la articolul 54;
b)utilizatorii de date privind sănătatea care extrag date electronice cu caracter personal privind sănătatea din medii de prelucrare securizate;
c)reidentificarea sau tentativa de reidentificare a persoanelor fizice la care se referă datele electronice privind sănătatea obţinute de utilizatorii de date privind sănătatea în baza unei autorizaţii privind datele sau a unei cereri de date privind sănătatea în temeiul articolului 61 alineatul (3);
d)nerespectarea măsurilor de executare dispuse de organismul de acces la datele privind sănătatea în temeiul articolului 63 alineatele (3) şi (4).
(6)Fără a aduce atingere competenţelor organismelor de acces la datele privind sănătatea în temeiul articolului 63, fiecare stat membru poate prevedea norme prin care să se stabilească dacă şi în ce măsură pot fi impuse amenzi administrative autorităţilor publice şi organismelor publice stabilite în statul membru respectiv.
(7)Exercitarea de către un organism de acces la datele privind sănătatea a competenţelor sale în temeiul prezentului articol se face cu condiţia existenţei unor garanţii procedurale adecvate în conformitate cu dreptul Uniunii şi cu dreptul intern, inclusiv a unor căi de atac judiciare eficace şi a dreptului la un proces echitabil.
(8)În cazul în care sistemul juridic al unui stat membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel încât, în conformitate cu cadrul său juridic intern, să asigure faptul că respectivele căi de atac sunt eficace şi au un efect echivalent cu cel al amenzilor administrative impuse de organismele de acces la datele privind sănătatea. În orice caz, amenzile aplicate trebuie să fie eficace, proporţionale şi disuasive. Statul membru respectiv notifică Comisiei dispoziţiile legislaţiei pe care o adoptă în temeiul prezentului alineat până la 26 martie 2029 şi, fără întârziere, ale oricărui act legislativ ulterior de modificare a dispoziţiilor respective sau ale modificărilor ulterioare ale dispoziţiilor respective.
Art. 65: Relaţia cu autorităţile de supraveghere în temeiul Regulamentului (UE) 2016/679
Autoritatea sau autorităţile de supraveghere responsabile cu monitorizarea şi asigurarea aplicării Regulamentului (UE) 2016/679 au, de asemenea, competenţa de a monitoriza şi a asigura aplicarea dreptului de a refuza prelucrarea datelor electronice cu caracter personal privind sănătatea pentru utilizare secundară în temeiul articolului 71. Respectivele autorităţi de supraveghere au competenţa de a impune amenzi administrative până la concurenţa cuantumului menţionat la articolul 83 din Regulamentul (UE) 2016/679.
Autorităţile de supraveghere menţionate la primul paragraf de la prezentul articol şi organismele de acces la datele privind sănătatea menţionate la articolul 55 din prezentul regulament cooperează, după caz, în vederea asigurării respectării prezentului regulament, în limitele competenţelor care le revin. Se aplică, mutatis mutandis, dispoziţiile relevante din Regulamentul (UE) 2016/679.