Capitolul i - DISPOZIŢII GENERALE - Regulamentul 327/11-feb-2025 referitor la spaţiul european al datelor privind sănătatea şi de modificare a Directivei 2011/24/UE şi a Regulamentului (UE) 2024/2847
Acte UE
Jurnalul Oficial seria L
Neintrat în vigoare Versiune de la: 5 Martie 2025
CAPITOLUL I:DISPOZIŢII GENERALE
Art. 1: Obiect şi domeniu de aplicare
(1)Prezentul regulament instituie spaţiul european al datelor privind sănătatea (SEDS), prin stabilirea de norme, standarde şi infrastructuri comune şi a unui cadru de guvernanţă în vederea facilitării accesului la datele electronice privind sănătatea pentru scopuri de utilizare primară a datelor electronice privind sănătatea şi utilizare secundară a datelor respective.
(2)Prezentul regulament:
a)precizează şi completează drepturile prevăzute în Regulamentul (UE) 2016/679 ale persoanelor fizice în ceea ce priveşte utilizarea primară şi cea secundară a datelor lor electronice cu caracter personal privind sănătatea;
b)stabileşte norme comune pentru sistemele de dosare electronice de sănătate (denumite în continuare "sisteme DES") în ceea ce priveşte două componente software armonizate obligatorii, şi anume componenta software europeană de interoperabilitate pentru sistemele DES şi componenta software europeană de evidenţă pentru sistemele DES, în sensul definiţiei de la articolul 2 alineatul (2) literele (n) şi, respectiv, (o), precum şi pentru aplicaţiile de wellness despre care se declară că sunt interoperabile cu sistemele DES în legătură cu aceste două componente software armonizate, în ceea ce priveşte utilizarea primară a datelor electronice privind sănătatea;
c)stabileşte norme şi mecanisme comune de utilizare primară a datelor electronice privind sănătatea şi de utilizare secundară a datelor electronice privind sănătatea;
d)instituie o infrastructură transfrontalieră care să permită utilizarea primară a datelor electronice cu caracter personal privind sănătatea în întreaga Uniune;
e)instituie o infrastructură transfrontalieră pentru utilizarea secundară a datelor electronice privind sănătatea;
f)stabileşte un cadru de guvernanţă şi mecanisme de coordonare la nivelul Uniunii şi la nivel naţional, atât pentru utilizarea primară a datelor electronice privind sănătatea, cât şi pentru utilizarea secundară a datelor electronice privind sănătatea.
(3)Prezentul regulament nu aduce atingere altor acte juridice ale Uniunii privind accesul la datele electronice privind sănătatea, partajarea sau utilizarea secundară a acestora sau cerinţelor Uniunii legate de prelucrarea datelor în legătură cu datele electronice privind sănătatea, în special Regulamentelor (CE) nr. 223/2009 (24), (UE) nr. 536/2014 (25), (UE) 2016/679, (UE) 2018/1725, (UE) 2022/868 şi (UE) 2023/2854 ale Parlamentului European şi ale Consiliului şi Directivelor 2002/58/CE (26) şi (UE) 2016/943 (27) ale Parlamentului European şi ale Consiliului.
(24)Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului din 11 martie 2009 privind statisticile europene şi de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European şi al Consiliului privind transmiterea de date statistice confidenţiale Biroului Statistic al Comunităţilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare şi a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităţilor Europene (JO L 87, 31.3.2009, p. 164).
(25)Regulamentul (UE) nr. 536/2014 al Parlamentului European şi al Consiliului din 16 aprilie 2014 privind studiile clinice intervenţionale cu medicamente de uz uman şi de abrogare a Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1).
(26)Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) (JO L 201, 31.7.2002, p. 37).
(27)Directiva (UE) 2016/943 a Parlamentului European şi a Consiliului din 8 iunie 2016 privind protecţia know-how-ului şi a informaţiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării şi divulgării ilegale (JO L 157, 15.6.2016, p. 1).
(4)Trimiterile din prezentul regulament la dispoziţiile Regulamentului (UE) 2016/679 trebuie înţelese, de asemenea, ca trimiteri la dispoziţiile corespunzătoare din Regulamentul (UE) 2018/1725, după caz, în ceea ce priveşte instituţiile, organele, oficiile şi agenţiile Uniunii.
(5)Prezentul regulament nu aduce atingere Regulamentelor (UE) 2017/745, (UE) 2017/746 şi (UE) 2024/1689 în ceea ce priveşte securitatea dispozitivelor medicale, a dispozitivelor medicale pentru diagnostic in vitro şi a sistemelor de inteligenţă artificială (IA) care interacţionează cu sistemele DES.
(6)Prezentul regulament nu aduce atingere dreptului Uniunii sau dreptului intern privind prelucrarea datelor electronice privind sănătatea în scopul raportării, respectării cererilor de acces la informaţii sau al demonstrării sau verificării respectării obligaţiilor legale sau dreptului Uniunii sau dreptului intern în ceea ce priveşte acordarea accesului la documentele oficiale şi divulgarea acestora.
(7)Prezentul regulament nu aduce atingere dispoziţiilor specifice din dreptul Uniunii sau din dreptul intern care prevăd accesul la datele electronice privind sănătatea în vederea prelucrării ulterioare de către organismele din sectorul public ale statelor membre, de către instituţiile, organele, oficiile şi agenţiile Uniunii sau de către entităţile private cărora li s-a încredinţat o sarcină de interes public, în temeiul dreptului Uniunii sau al dreptului intern, în scopul îndeplinirii unei astfel de sarcini.
(8)Prezentul regulament nu aduce atingere accesului la datele electronice privind sănătatea pentru utilizare secundară convenit în cadrul acordurilor contractuale sau administrative între entităţi publice sau private.
(9)Prezentul regulament nu se aplică prelucrării datelor cu caracter personal în următoarele cazuri:
a)atunci când prelucrarea este efectuată în cadrul unei activităţi care nu intră în sfera dreptului Uniunii;
b)atunci când prelucrarea este efectuată de către autorităţile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracţiunilor sau al executării sancţiunilor penale, inclusiv al protejării împotriva ameninţărilor la adresa siguranţei publice şi al prevenirii acestora.
Art. 2: Definiţii
(1)În sensul prezentului regulament, se aplică următoarele definiţii:
a)definiţiile termenilor "date cu caracter personal", "prelucrare", "pseudonimizare", "operator", "persoană împuternicită de operator", "parte terţă", "consimţământ", "date genetice", "date privind sănătatea" şi "organizaţie internaţională" prevăzute la articolul 4 punctele 1, 2, 5, 7, 8, 10, 11, 13, 15 şi, respectiv, 26 din Regulamentul (UE) 2016/679;
b)definiţiile termenilor "asistenţă medicală", "stat membru de afiliere", "stat membru în care se efectuează tratamentul", "profesionist din domeniul sănătăţii", "furnizor de servicii medicale", "medicament" şi "prescripţie" prevăzute la articolul 3 literele (a), (c), (d), (f), (g), (i) şi, respectiv, (k) din Directiva 2011/24/UE;
c)definiţiile termenilor "date", "acces", "altruism în materie de date", "organism din sectorul public" şi "mediu de prelucrare securizat" prevăzute la articolul 2 punctele 1, 13, 16, 17 şi, respectiv, 20 din Regulamentul (UE) 2022/868;
d)definiţiile termenilor "punere la dispoziţie pe piaţă", "introducere pe piaţă", "supraveghere a pieţei", "autoritate de supraveghere a pieţei", "neconformitate", "producător", "importator", "distribuitor", "operator economic", "măsură corectivă", "rechemare" şi "retragere" prevăzute la articolul 3 punctele 1, 2, 3, 4, 7, 8, 9, 10, 13, 16, 22 şi, respectiv, 23 din Regulamentul (UE) 2019/1020;
e)definiţiile termenilor "dispozitiv medical", "scop propus", "instrucţiuni de utilizare", "performanţă", "instituţie sanitară" şi "specificaţii comune" prevăzute la articolul 2 punctele 1, 12, 14, 22, 36 şi, respectiv, 71 din Regulamentul (UE) 2017/745;
f)definiţiile termenilor "identificare electronică" şi "mijloace de identificare electronică" prevăzute la articolul 3 punctele 1 şi, respectiv, 2 din Regulamentul (UE) nr. 910/2014;
g)definiţia "autorităţilor contractante" prevăzută la articolul 2 alineatul (1) punctul 1 din Directiva 2014/24/UE a Parlamentului European şi a Consiliului (28);
(28)Directiva 2014/24/UE a Parlamentului European şi a Consiliului din 26 februarie 2014 privind achiziţiile publice şi de abrogare a Directivei 2004/18/CE (JO L 94, 28.3.2014, p. 65).
h)definiţia "sănătăţii publice" prevăzută la articolul 3 litera (c) din Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului (29).
(29)Regulamentul (CE) nr. 1338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă (JO L 354, 31.12.2008, p. 70).
(2)În plus, în sensul prezentului regulament, se aplică următoarele definiţii:
a)"date electronice cu caracter personal privind sănătatea" înseamnă date privind sănătatea şi date genetice, prelucrate în format electronic;
b)"date electronice fără caracter personal privind sănătatea" înseamnă date electronice privind sănătatea, altele decât datele electronice cu caracter personal privind sănătatea, care includ atât date care au fost anonimizate astfel încât să nu se mai refere la o persoană fizică identificată sau identificabilă (denumită în continuare "persoana vizată"), cât şi date care nu au avut niciodată legătură cu o persoană vizată;
c)"date electronice privind sănătatea" înseamnă date electronice cu sau fără caracter personal privind sănătatea;
d)"utilizare primară" înseamnă prelucrarea de date electronice privind sănătatea pentru furnizarea de asistenţă medicală în scopul evaluării, menţinerii sau restabilirii stării de sănătate a persoanei fizice la care se referă datele respective, inclusiv prescrierea, eliberarea şi furnizarea de medicamente şi de dispozitive medicale, precum şi pentru serviciile sociale, administrative sau de rambursare relevante;
e)"utilizare secundară" înseamnă prelucrarea datelor electronice privind sănătatea în scopurile prevăzute în capitolul IV din prezentul regulament, altele decât scopurile iniţiale pentru care au fost colectate sau produse;
f)"interoperabilitate" înseamnă capacitatea organizaţiilor, precum şi a aplicaţiilor software sau a dispozitivelor provenind de la acelaşi producător sau de la producători diferiţi, de a interacţiona prin intermediul proceselor pe care acestea le sprijină, care implică schimbul de informaţii şi cunoştinţe între respectivele organizaţii, aplicaţii software sau dispozitive, fără a modifica conţinutul datelor;
g)"înregistrarea datelor electronice privind sănătatea" înseamnă înregistrarea datelor privind sănătatea într-un format electronic, prin introducerea manuală a unor astfel de date, prin colectarea de astfel de date cu ajutorul unui dispozitiv sau prin conversia datelor neelectronice privind sănătatea într-un format electronic, pentru a fi prelucrate într-un sistem DES sau într-o aplicaţie de wellness;
h)"serviciu de acces la datele electronice privind sănătatea" înseamnă un serviciu online, cum ar fi un portal sau o aplicaţie pentru dispozitive mobile, care permite persoanelor fizice care nu acţionează într-o calitate profesională să aibă acces la propriile date electronice privind sănătatea sau la datele electronice privind sănătatea ale acelor persoane fizice ale căror date electronice privind sănătatea sunt autorizate legal să le acceseze;
i)"serviciu de acces pentru profesionişti din domeniul sănătăţii" înseamnă un serviciu, sprijinit de un sistem DES, care permite profesioniştilor din domeniul sănătăţii să aibă acces la datele persoanelor fizice pe care le tratează;
j)"dosar electronic de sănătate" sau "DES" înseamnă o colecţie de date electronice privind sănătatea referitoare la o persoană fizică şi colectate în sistemul de sănătate, prelucrate în scopul furnizării de asistenţă medicală;
k)"sistem de dosare electronice de sănătate" sau "sistem DES" înseamnă orice sistem prin care software-ul, sau o cominaţie de hardware şi software în sistemul respectiv, permite ca datele electronice cu caracter personal privind sănătatea care aparţin categoriilor prioritare de date electronice cu caracter personal privind sănătatea prevăzute în prezentul regulament să fie stocate, intermediate, exportate, importate, convertite, editate sau vizualizate şi care este destinat de către producător să fie utilizat de furnizorii de servicii medicale atunci când asigură îngrijirea pacientului sau de pacienţi atunci când îşi accesează datele electronice privind sănătatea;
l)"punere în funcţiune" înseamnă prima utilizare în Uniune, în scopul propus, a unui sistem DES reglementat de prezentul regulament;
m)"componentă software" înseamnă o parte distinctă a unui software care oferă o funcţionalitate specifică sau îndeplineşte funcţii sau proceduri specifice şi care poate funcţiona independent sau împreună cu alte componente;
n)"componentă software europeană de interoperabilitate pentru sistemele DES" înseamnă o componentă software a sistemului DES care furnizează şi primeşte date electronice cu caracter personal privind sănătatea în cadrul unei categorii prioritare pentru utilizarea primară prevăzută în prezentul regulament în formatul european pentru schimbul de dosare electronice de sănătate prevăzut în prezentul regulament şi care este independentă de componenta software europeană de evidenţă pentru sistemele DES;
o)"componentă software europeană de evidenţă pentru sistemele DES" înseamnă o componentă software a sistemului DES care furnizează informaţii pentru evidenţa referitoare la accesul profesioniştilor din domeniul sănătăţii sau al altor persoane la categoriile prioritare de date electronice cu caracter personal privind sănătatea prevăzute în prezentul regulament, în formatul definit la punctul 3.2 din anexa II la acesta, şi care este independentă de componenta software europeană de interoperabilitate pentru sistemele DES;
p)"marcaj de conformitate CE" înseamnă un marcaj prin care un producător indică faptul că un sistem DES este în conformitate cu cerinţele aplicabile stabilite în prezentul regulament şi cu alte dispoziţii aplicabile din dreptul Uniunii care prevăd aplicarea sa, în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (30);
(30)Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).
q)"risc" înseamnă combinaţia dintre probabilitatea apariţiei unui pericol care cauzează prejudicii sănătăţii, siguranţei sau securităţii informaţiilor şi gradul de gravitate al unor astfel de prejudicii;
r)"incident grav" înseamnă orice funcţionare defectuoasă sau deteriorare a caracteristicilor sau a performanţei unui sistem DES pus la dispoziţie pe piaţă, care conduce, ar fi putut conduce sau ar putea conduce, în mod direct sau indirect, la oricare dintre următoarele:
(i)decesul unei persoane fizice sau prejudicierea gravă a sănătăţii unei persoane fizice;
(ii)un prejudiciu grav adus drepturilor unei persoane fizice;
(iii)perturbarea gravă a gestionării şi funcţionării infrastructurii critice din sectorul sănătăţii;
s)"îngrijire" înseamnă un serviciu profesional al cărui scop este de a răspunde nevoilor specifice ale unei persoane fizice care, din cauza unei deficienţe sau a altor afecţiuni fizice sau mintale, necesită asistenţă, inclusiv măsuri preventive şi de sprijin, pentru a desfăşura activităţi esenţiale ale vieţii de zi cu zi, în vederea sprijinirii autonomiei personale a acesteia;
t)"deţinător de date privind sănătatea" înseamnă orice persoană fizică sau juridică, autoritate publică, agenţie sau alt organism din sectoarele asistenţei medicale sau ale îngrijirii, inclusiv serviciile de rambursare, atunci când este necesar, precum şi orice persoană fizică sau juridică care dezvoltă produse sau servicii destinate sectoarelor sănătăţii, asistenţei medicale sau îngrijirii, care dezvoltă sau produce aplicaţii de wellness, desfăşoară activităţi de cercetare legată de sectoarele asistenţei medicale sau îngrijirii sau acţionează ca registru al mortalităţii, precum şi orice instituţie, organ, oficiu sau agenţie a Uniunii care are fie:
(i)dreptul sau obligaţia, în conformitate cu dreptul aplicabil al Uniunii sau cu dreptul intern aplicabil, în calitatea sa de operator sau operator asociat, de a prelucra date electronice cu caracter personal privind sănătatea în scopul furnizării de asistenţă medicală sau de îngrijire sau în scopuri de sănătate publică, rambursare, cercetare, inovare, elaborare de politici, statistici oficiale sau siguranţa pacienţilor sau în scopuri de reglementare; fie
(ii)capacitatea de a pune la dispoziţie date electronice fără caracter personal privind sănătatea prin controlul proiectării tehnice a unui produs şi a serviciilor conexe, inclusiv prin înregistrarea, furnizarea, restricţionarea accesului sau schimbul de astfel de date;
u)"utilizator de date privind sănătatea" înseamnă o persoană fizică sau juridică, inclusiv instituţiile, organele, oficiile sau agenţiile Uniunii, care a primit acces legal la datele electronice privind sănătatea pentru utilizare secundară în temeiul unei autorizaţii privind datele, al aprobării unei cereri de date privind sănătatea sau al unei aprobări de acces din partea unui participant autorizat în cadrul HealthData@EU;
v)"autorizaţie privind datele" înseamnă o decizie administrativă eliberată unui utilizator de date privind sănătatea de către un organism de acces la datele privind sănătatea pentru prelucrarea anumitor date electronice privind sănătatea specificate în autorizaţia privind datele în scopuri specifice de utilizare secundară, pe baza condiţiilor prevăzute în capitolul IV din prezentul regulament;
w)"set de date" înseamnă o colecţie structurată de date electronice privind sănătatea;
x)"set de date cu impact ridicat pentru utilizarea secundară" înseamnă un set de date a cărui reutilizare este asociată cu beneficii semnificative ca urmare a relevanţei sale pentru cercetarea în domeniul sănătăţii;
y)"catalog de seturi de date" înseamnă o colecţie de descrieri ale seturilor de date, care este organizată în mod sistematic şi include o parte publică orientată către utilizator, în care informaţiile referitoare la parametrii seturilor individuale de date sunt accesibile prin mijloace electronice prin intermediul unui portal online;
z)"calitatea datelor" înseamnă măsura în care elementele datelor electronice privind sănătatea sunt adecvate pentru utilizarea lor primară şi cea secundară preconizată;
aa) "eticheta de calitate şi de utilitate a datelor" înseamnă o diagramă grafică, inclusiv o scară, care descrie calitatea datelor şi condiţiile de utilizare a unui set de date;
ab) "aplicaţie de wellness" înseamnă orice software, sau orice combinaţie de hardware şi software, proiectat de producător să fie utilizat de o persoană fizică în vederea prelucrării datelor electronice privind sănătatea, în mod specific pentru a furniza informaţii privind sănătatea persoanelor fizice sau pentru furnizarea de îngrijire în alte scopuri decât asistenţa medicală.