Art. 68. - Art. 68: Autorizaţia privind datele - Regulamentul 327/11-feb-2025 referitor la spaţiul european al datelor privind sănătatea şi de modificare a Directivei 2011/24/UE şi a Regulamentului (UE) 2024/2847
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 5 Martie 2025
Art. 68: Autorizaţia privind datele
(1)În scopul acordării accesului la datele electronice privind sănătatea, organismele de acces la datele privind sănătatea evaluează dacă sunt îndeplinite toate criteriile următoare:
a)scopurile descrise în cererea de acces la datele privind sănătatea corespund unuia sau mai multora dintre scopurile enumerate la articolul 53 alineatul (1);
b)datele solicitate sunt necesare, adecvate şi proporţionale cu scopul sau scopurile descrise în cererea de acces la datele privind sănătatea, ţinând seama de cerinţele privind reducerea la minimum a datelor şi limitarea scopului prevăzute la articolul 66;
c)prelucrarea respectă articolul 6 alineatul (1) din Regulamentul (UE) 2016/679 şi, în cazul datelor pseudonimizate, există o justificare suficientă că scopul nu poate fi atins cu date anonimizate;
d)solicitantul de date privind sănătatea este calificat în ceea ce priveşte scopurile propuse ale utilizării datelor şi deţin cunoştinţele de specialitate corespunzătoare, inclusiv calificări profesionale în domeniul asistenţei medicale, îngrijirii, sănătăţii publice sau cercetării, în conformitate cu practica etică şi cu legile şi reglementările aplicabile;
e)solicitantul de date privind sănătatea demonstrează că a luat suficiente măsuri de natură tehnică şi organizatorică pentru a preveni utilizarea abuzivă a datelor electronice privind sănătatea şi pentru a proteja drepturile şi interesele deţinătorilor de date privind sănătatea şi ale persoanelor fizice în cauză;
f)informaţiile privind evaluarea aspectelor etice ale prelucrării, menţionată la articolul 67 alineatul (2) litera (j), după caz, respectă dreptul intern;
g)în cazul în care solicitantul de date privind sănătatea intenţionează să facă uz de o excepţie în temeiul articolului 71 alineatul (4), a fost furnizată justificarea necesară conform dreptului intern adoptat în temeiul articolului respectiv;
h)solicitantul de date privind sănătatea îndeplineşte toate celelalte cerinţe din prezentul capitol.
(2)Organismul de acces la datele privind sănătatea ţine seama totodată de următoarele riscuri:
a)riscurile pentru apărarea naţională, securitate, siguranţa publică şi ordinea publică;
b)riscul de subminare a confidenţialităţii datelor din bazele de date guvernamentale ale autorităţilor de reglementare.
(3)În cazul în care organismul de acces la datele privind sănătatea ajunge la concluzia că cerinţele de la alineatul (1) sunt îndeplinite şi că riscurile menţionate la alineatul (2) sunt atenuate suficient, organismul de acces la datele privind sănătatea acordă accesul la datele electronice privind sănătatea prin eliberarea unei autorizaţii privind datele. Organismele de acces la datele privind sănătatea refuză toate cererile de acces la datele privind sănătatea atunci când nu sunt îndeplinite cerinţele din prezentul capitol.
Dacă cerinţele pentru eliberarea unei autorizaţii privind datele nu sunt îndeplinite, dar sunt îndeplinite cerinţele pentru furnizarea unui răspuns într-un format statistic anonimizat în temeiul articolului 69, organismul de acces la datele privind sănătatea poate decide să furnizeze un astfel de răspuns, cu condiţia ca furnizarea răspunsului respectiv să atenueze riscurile şi, dacă scopul cererii de acces la datele privind sănătatea poate fi îndeplinit în acest mod, cu condiţia ca solicitantul datelor privind sănătatea să fie de acord să primească un răspuns într-un format statistic anonimizat în temeiul articolului 69.
(4)Prin derogare de la Regulamentul (UE) 2022/868, organismul de acces la datele privind sănătatea eliberează sau refuză o autorizaţie privind datele în termen de trei luni de la primirea unei cereri complete de acces la datele privind sănătatea. Dacă organismul de acces la datele privind sănătatea constată că cererea de acces la datele privind sănătatea este incompletă, acesta notifică solicitantul de date privind sănătatea, căruia i se oferă posibilitatea de a completa cererea respectivă. Autorizaţia nu se eliberează dacă solicitantul de date privind sănătatea nu completează cererea de acces la datele privind sănătatea în termen de patru săptămâni.
Organismul de acces la datele privind sănătatea poate prelungi perioada de răspuns la o cerere de acces la datele privind sănătatea cu o perioadă suplimentară de trei luni, dacă este necesar, ţinând seama de urgenţa şi complexitatea cererii de acces la datele privind sănătatea şi de volumul de cereri de acces la datele privind sănătatea depuse în vederea luării unei decizii. În aceste cazuri, organismul de acces la datele privind sănătatea informează solicitantul de date privind sănătatea cât mai curând posibil cu privire la faptul că este nevoie de mai mult timp pentru examinarea cererii de acces la datele privind sănătatea, împreună cu motivele întârzierii.
(5)Atunci când prelucrează o cerere de acces la datele privind sănătatea pentru accesul transfrontalier la date electronice privind sănătatea conform articolului 67 alineatul (3), organismele de acces la datele privind sănătatea şi participanţii autorizaţi relevanţi la platforma HealthData@EU menţionată la articolul 75 rămân responsabili de adoptarea deciziilor de acordare sau refuzare a accesului la datele electronice privind sănătatea care intră în sfera lor de competenţă, în conformitate cu cerinţele din prezentul capitol.
Organismele de acces la datele privind sănătatea în cauză şi participanţii autorizaţi la HealthData@EU în cauză se informează reciproc cu privire la deciziile lor. Aceştia pot lua în considerare informaţiile respective atunci când decid cu privire la acordarea sau refuzarea accesului la datele electronice privind sănătatea.
O autorizaţie privind datele eliberată de un organism de acces la datele privind sănătatea poate beneficia de recunoaştere reciprocă din partea celorlalte organisme de acces la datele privind sănătatea.
(6)Statele membre prevăd o procedură accelerată de depunere a cererilor de acces la datele privind sănătatea pentru organismele din sectorul public şi instituţiile, organele, oficiile şi agenţiile Uniunii cărora legea le acordă competenţe în domeniul sănătăţii publice, în cazul în care prelucrarea datelor electronice privind sănătatea urmează să fie efectuată în scopurile prevăzute la articolul 53 alineatul (1) literele (a), (b) şi (c).
În cazul în care se aplică o astfel de procedură accelerată, organismul de acces la datele privind sănătatea eliberează sau refuză o autorizaţie privind datele în termen de două luni de la primirea unei cereri complete de acces la datele privind sănătatea. Organismul de acces la datele privind sănătatea poate prelungi perioada de răspuns la o cerere de acces la datele privind sănătatea cu încă o lună, dacă este necesar.
(7)După eliberarea autorizaţiei privind datele, organismul de acces la datele privind sănătatea solicită imediat datele electronice privind sănătatea de la deţinătorul datelor privind sănătatea. Organismul de acces la datele privind sănătatea pune datele electronice privind sănătatea la dispoziţia utilizatorului de date privind sănătatea în termen de două luni de la primirea acestora de la deţinătorii de date privind sănătatea, cu excepţia cazului în care organismul de acces la datele privind sănătatea specifică faptul că datele trebuie să fie furnizate într-un interval de timp specificat mai lung.
(8)În cazurile menţionate la alineatul (5) primul paragraf de la prezentul articol, organismele de acces la datele privind sănătatea şi participanţii autorizaţi la HealthData@EU care au eliberat o autorizaţie privind datele sau, respectiv, o aprobare de acces pot decide să ofere acces la datele electronice privind sănătatea în mediul de prelucrare securizat furnizat de Comisie, astfel cum se menţionează la articolul 75 alineatul (9).
(9)În cazul în care organismul de acces la datele privind sănătatea refuză să elibereze o autorizaţie privind datele, acesta furnizează solicitantului de date privind sănătatea o justificare a refuzului respectiv.
(10)Atunci când eliberează o autorizaţie privind datele, organismul de acces la datele privind sănătatea stabileşte în respectiva autorizaţie privind datele condiţiile generale aplicabile utilizatorului de date privind sănătatea. Autorizaţia privind datele conţine următoarele:
a)categoriile, specificaţiile şi formatul datelor electronice privind sănătatea care urmează să fie accesate, care fac obiectul autorizaţiei privind datele, inclusiv sursele acestora şi indicarea faptului că datele electronice privind sănătatea urmează sau nu să fie accesate într-un format pseudonimizat în mediul de prelucrare securizat;
b)o descriere detaliată a scopului pentru care sunt puse la dispoziţie datele electronice privind sănătatea;
c)în cazul în care un mecanism pentru a pune în aplicare o excepţie este prevăzut şi aplicabil în temeiul articolului 71 alineatul (4), informaţii din care să reiasă dacă acesta a fost aplicat şi motivul deciziei aferente;
d)identitatea persoanelor autorizate, în special identitatea investigatorului principal, cu drept de acces la datele electronice privind sănătatea în mediul de prelucrare securizat;
e)durata autorizaţiei privind datele;
f)informaţiile referitoare la caracteristicile tehnice şi instrumentele aflate la dispoziţia utilizatorului de date privind sănătatea în mediul de prelucrare securizat;
g)taxele care trebuie plătite de utilizatorul de date privind sănătatea;
h)orice condiţii specifice suplimentare din autorizaţia privind datele acordată.
(11)Utilizatorii de date privind sănătatea au dreptul de a accesa şi a prelucra datele electronice privind sănătatea într-un mediu sigur de prelucrare a datelor, în conformitate cu autorizaţia privind datele care le-a fost eliberată în temeiul prezentului regulament.
(12)Autorizaţia privind datele se eliberează pentru durata necesară îndeplinirii scopurilor solicitate, care nu poate depăşi 10 ani. Respectiva durată poate fi prelungită o singură dată, pentru o perioadă care nu poate depăşi 10 ani, la cererea utilizatorului de date privind sănătatea, pe baza argumentelor şi a documentelor care justifică o astfel de prelungire şi care se furnizează cu o lună înainte de expirarea autorizaţiei privind datele. Organismul de acces la datele privind sănătatea poate percepe taxe majorate pentru a reflecta costurile şi riscurile stocării datelor electronice privind sănătatea pentru un interval mai lung de timp ce depăşeşte perioada iniţială. Pentru a reduce aceste costuri şi taxe, organismul de acces la datele privind sănătatea poate propune, de asemenea, utilizatorului de date privind sănătatea să stocheze setul de date într-un sistem de stocare cu capacităţi reduse. Aceste capacităţi reduse trebuie să nu afecteze securitatea setului de date prelucrate. Datele electronice privind sănătatea din mediul de prelucrare securizat se şterg în termen de şase luni de la expirarea autorizaţiei privind datele. La cererea utilizatorului de date privind sănătatea, formula de creare a setului de date solicitat poate fi stocată de organismul de acces la datele privind sănătatea.
(13)În cazul în care autorizaţia privind datele trebuie actualizată, utilizatorul de date privind sănătatea depune o cerere de modificare a respectivei autorizaţii.
(14)Prin intermediul unui act de punere în aplicare, Comisia poate elabora un logo pentru recunoaşterea contribuţiei SEDS. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).