Regulamentul 327/11-feb-2025 referitor la spaţiul european al datelor privind sănătatea şi de modificare a Directivei 2011/24/UE şi a Regulamentului (UE) 2024/2847

Acte UE

Jurnalul Oficial seria L

Neintrat în vigoare

Versiune de la: 5 Martie 2025

Dată act: 11-feb-2025

Emitent: Consiliul Uniunii Europene;Parlamentul European

(1)Scopul prezentului regulament este de a institui spaţiul european al datelor privind sănătatea (SEDS) pentru a îmbunătăţi accesul persoanelor fizice la datele lor electronice cu caracter personal privind sănătatea şi controlul acestora asupra datelor respective în contextul asistenţei medicale, precum şi pentru a atinge mai bine alte scopuri ce implică utilizarea datelor electronice privind sănătatea în sectorul sănătăţii şi al îngrijirii care ar aduce beneficii societăţii, cum ar fi cercetarea, inovarea, elaborarea de politici, pregătirea şi răspunsul la ameninţările la adresa sănătăţii, inclusiv prevenirea şi combaterea viitoarelor pandemii, siguranţa pacienţilor, medicina personalizată, statisticile oficiale sau activităţile de reglementare. În plus, scopul prezentului regulament este de a îmbunătăţi funcţionarea pieţei interne prin stabilirea unui cadru juridic şi tehnic uniform, în special pentru dezvoltarea, comercializarea şi utilizarea sistemelor de dosare electronice de sănătate (denumite în continuare "sisteme DES"), în conformitate cu valorile Uniunii. SEDS va fi o componentă-cheie în crearea unei uniuni europene a sănătăţii puternice şi reziliente.

(2)Pandemia de COVID-19 a evidenţiat necesitatea absolută de a asigura accesul în timp util la date electronice de calitate privind sănătatea pentru pregătirea şi răspunsul la ameninţările la adresa sănătăţii, precum şi pentru prevenire, diagnosticare şi tratament şi pentru utilizarea secundară a acestor date electronice privind sănătatea. Un astfel de acces în timp util ar putea contribui, în mod potenţial, prin supravegherea şi monitorizarea eficientă a sănătăţii publice, la gestionarea mai eficace a viitoarelor pandemii, la o reducere a costurilor şi la îmbunătăţirea răspunsului la ameninţările la adresa sănătăţii şi, în cele din urmă, ar putea ajuta la salvarea mai multor vieţi omeneşti. În 2020, Comisia şi-a adaptat urgent sistemul clinic de gestionare a pacienţilor, instituit prin Decizia de punere în aplicare (UE) 2019/1269 a Comisiei (⁴), pentru a permite statelor membre să facă schimb de date electronice privind sănătatea pacienţilor infectaţi cu COVID-19 care au fost transferaţi de la un furnizor de servicii medicale la altul şi dintr-un stat membru în altul în perioada de vârf a pandemiei respective. Cu toate acestea, adaptarea respectivă a fost doar o soluţie de urgenţă, care demonstrează necesitatea unei abordări structurale şi coerente la nivelul statelor membre şi al Uniunii, atât pentru îmbunătăţirea disponibilităţii datelor electronice din domeniul sănătăţii pentru asistenţa medicală, cât şi pentru facilitarea accesului la datele electronice din domeniul sănătăţii în vederea orientării unor răspunsuri politice eficiente şi a contribuirii la standarde ridicate de sănătate umană.

(3)Criza provocată de pandemia de COVID-19 a consolidat activitatea reţelei de e-sănătate, o reţea voluntară de autorităţi responsabile cu sănătatea digitală, ca pilon principal pentru dezvoltarea aplicaţiilor pentru dispozitivele mobile de depistare a contacţilor şi de avertizare a riscului de contact şi pentru aspectele tehnice ale certificatelor digitale ale UE privind COVID. Aceasta a evidenţiat, de asemenea, necesitatea de a face schimb de date electronice privind sănătatea care să fie uşor de găsit, accesibile, interoperabile şi reutilizabile (denumite în continuare "principiile FAIR") şi de a asigura faptul că datele electronice privind sănătatea sunt cât mai deschise cu putinţă, respectând, în acelaşi timp, principiul reducerii la minimum a datelor, astfel cum este prevăzut în Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului (⁵). Ar trebui să fie asigurate sinergii între SEDS, Cloudul european pentru ştiinţa deschisă şi infrastructurile europene de cercetare şi ar trebui să fie desprinse învăţăminte din soluţiile de partajare a datelor elaborate în cadrul Platformei europene de date privind COVID-19.

(4)Având în vedere caracterul sensibil al datelor electronice cu caracter personal privind sănătatea, prezentul regulament urmăreşte să ofere garanţii suficiente, atât la nivelul Uniunii, cât şi la nivel naţional, pentru a asigura un nivel ridicat de protecţie, de securitate, de confidenţialitate şi de utilizare etică a datelor. Astfel de garanţii sunt necesare pentru a promova încrederea în manipularea sigură a datelor electronice privind sănătatea ale persoanelor fizice pentru utilizarea primară şi utilizarea secundară astfel cum sunt definite în prezentul regulament.

(5)Prelucrarea datelor electronice cu caracter personal privind sănătatea face obiectul dispoziţiilor Regulamentului (UE) 2016/679 şi, pentru instituţiile, organele, oficiile şi agenţiile Uniunii, ale Regulamentului (UE) 2018/1725 al Parlamentului European şi al Consiliului (⁶). Trimiterile la dispoziţiile Regulamentului (UE) 2016/679 ar trebui înţelese, de asemenea, ca trimiteri la dispoziţiile corespunzătoare din Regulamentul (UE) 2018/1725 pentru instituţiile, organele, oficiile şi agenţiile Uniunii, după caz.

(6)Din ce în ce mai multe persoane care trăiesc pe teritoriul Uniunii traversează frontierele naţionale pentru a lucra, a studia, a vizita rude sau din alte motive. Pentru a facilita schimbul de date privind sănătatea şi în conformitate cu nevoia de capacitare a cetăţenilor, acestea ar trebui să aibă posibilitatea de a-şi accesa datele privind sănătatea într-un format electronic care să poată fi recunoscut şi acceptat în întreaga Uniune. Astfel de date electronice cu caracter personal privind sănătatea ar putea include date cu caracter personal referitoare la sănătatea fizică sau mintală a unei persoane fizice, inclusiv referitoare la furnizarea de servicii de asistenţă medicală, şi care dezvăluie informaţii cu privire la starea de sănătate a persoanei fizice respective, date cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice cu privire la fiziologia sau la starea de sănătate a persoanei fizice respective şi care rezultă, în special, dintr-o analiză a unei probe biologice provenite de la persoana fizică în cauză, precum şi factorii determinanţi ai sănătăţii, cum ar fi comportamentul, influenţe ale mediului şi influenţe fizice, asistenţa medicală şi factorii sociali sau educativi. Datele electronice privind sănătatea includ şi datele care au fost colectate iniţial în scopuri legate de cercetare, de statistică, de evaluarea ameninţărilor legate de sănătate, de elaborarea de politici sau de reglementare şi ar trebui să fie posibilă punerea la dispoziţie a datelor respective în conformitate cu normele prevăzute în prezentul regulament. Datele electronice privind sănătatea înseamnă toate categoriile de date respective, indiferent dacă aceste date sunt furnizate de persoana vizată sau de alte persoane fizice sau juridice, cum ar fi profesioniştii din domeniul sănătăţii, sau sunt prelucrate în legătură cu sănătatea sau bunăstarea unei persoane fizice şi ar trebui să includă, de asemenea, date deduse şi derivate, cum ar fi diagnostice, teste şi examinări medicale, precum şi date observate şi înregistrate prin mijloace automatizate.

(7)În sistemele de sănătate, datele electronice cu caracter personal privind sănătatea sunt colectate de obicei în dosare electronice de sănătate, care conţin de regulă istoricul medical, diagnosticele şi tratamentele, medicamentele, alergiile şi imunizările unei persoane fizice, precum şi imagini radiologice, rezultate de laborator şi alte date medicale, distribuite între diferiţi actori din sistemul de sănătate, precum medicii generalişti, spitalele, farmaciile sau serviciile de îngrijire. Pentru a permite ca datele electronice privind sănătatea să fie accesate, partajate şi modificate de către persoanele fizice sau de către profesionişti din domeniul sănătăţii, unele state membre au luat măsurile juridice şi tehnice necesare şi au instituit infrastructuri centralizate care conectează sistemele DES utilizate de furnizorii de servicii medicale şi de persoanele fizice. În plus, unele state membre oferă sprijin furnizorilor de servicii medicale publici şi privaţi să creeze spaţii de date electronice cu caracter personal privind sănătatea pentru a permite interoperabilitatea între diferiţi furnizori de servicii medicale. Mai multe state membre sprijină sau furnizează, de asemenea, servicii de acces la datele electronice privind sănătatea pentru pacienţi şi profesionişti din domeniul sănătăţii, de exemplu, prin intermediul portalurilor destinate pacienţilor sau profesioniştilor din domeniul sănătăţii. Statele membre respective au luat măsuri pentru a se asigura că sistemele DES sau aplicaţiile de wellness sunt în măsură să transmită date electronice privind sănătatea către sistemul DES central, de exemplu prin asigurarea unui sistem de certificare. Totuşi, nu toate statele membre au instituit astfel de sisteme, iar acele state membre care le-au pus în aplicare au făcut acest lucru într-un mod fragmentat. Pentru a înlesni libera circulaţie a datelor electronice cu caracter personal privind sănătatea în întreaga Uniune şi a evita consecinţe negative pentru pacienţi atunci când beneficiază de asistenţă medicală în context transfrontalier, este necesar să se ia măsuri la nivelul Uniunii pentru a îmbunătăţi accesul persoanelor fizice la propriile date electronice cu caracter personal privind sănătatea şi capacitatea lor de a partaja datele respective. În acest sens, la nivelul Uniunii şi la nivel naţional ar trebui să fie întreprinse acţiuni adecvate ca un mijloc de reducere a fragmentării, a eterogenităţii şi a divizării şi pentru a crea un sistem uşor de utilizat şi intuitiv în toate statele membre. Orice transformare digitală în sectorul asistenţei medicale ar trebui să urmărească să fie favorabilă incluziunii şi să aducă beneficii şi persoanelor fizice cu capacitate limitată de a accesa şi a utiliza serviciile digitale, inclusiv persoanelor cu dizabilităţi.

(8)Regulamentul (UE) 2016/679 stabileşte dispoziţii specifice privind drepturile persoanelor fizice în ceea ce priveşte prelucrarea datelor lor cu caracter personal. SEDS se bazează pe drepturile respective şi le completează pe unele dintre ele, astfel cum sunt aplicate datelor electronice cu caracter personal privind sănătatea. Drepturile respective se aplică indiferent de statul membru în care sunt prelucrate datele electronice cu caracter personal privind sănătatea, de tipul furnizorului de servicii medicale, de sursele datelor respective sau de statul membru de afiliere al persoanei fizice. Drepturile şi normele referitoare la utilizarea primară a datelor electronice cu caracter personal privind sănătatea în temeiul prezentului regulament vizează toate categoriile de date respective, indiferent de modul în care au fost colectate sau de persoana care le-a furnizat, temeiul juridic al prelucrării în baza Regulamentului (UE) 2016/679 sau statutul operatorului ca organizaţie publică sau privată. Drepturile suplimentare de acces şi portabilitate a datelor electronice cu caracter personal privind sănătatea prevăzute în prezentul regulament nu ar trebui să aducă atingere drepturilor de acces şi de portabilitate, astfel cum sunt instituite în temeiul Regulamentului (UE) 2016/679. Persoanele fizice continuă să beneficieze de drepturile respective în condiţiile prevăzute de regulamentul menţionat.

(9)Deşi drepturile conferite prin Regulamentul (UE) 2016/679 ar trebui să se aplice în continuare, dreptul de acces la date al unei persoane fizice, instituit prin Regulamentul (UE) 2016/679, ar trebui să fie completat în continuare în sectorul asistenţei medicale. În temeiul regulamentului menţionat, operatorii nu au obligaţia să ofere acces imediat. Dreptul de acces la datele privind sănătatea este încă pus în aplicare în multe locuri prin furnizarea datelor privind sănătatea solicitate pe suport de hârtie sau sub formă de documente scanate, ceea ce necesită mult timp pentru operator, cum ar fi un spital sau un alt furnizor de asistenţă medicală care oferă acces. Acest lucru frânează accesul în timp util al persoanelor fizice la datele privind sănătatea şi poate avea un impact negativ asupra persoanelor fizice dacă acestea au nevoie de un astfel de acces imediat din cauza unor circumstanţe urgente legate de starea lor de sănătate. Prin urmare, este necesar să se ofere persoanelor fizice o modalitate mai eficientă de a-şi accesa propriile date electronice cu caracter personal privind sănătatea. Acestea ar trebui să aibă dreptul de a avea acces gratuit şi imediat, cu respectarea necesităţilor de practicabilitate tehnologică, la categoriile prioritare specifice de date electronice cu caracter personal privind sănătatea, cum ar fi fişa pacientului, prin intermediul unui serviciu de acces electronic la datele privind sănătatea. Dreptul respectiv ar trebui să se aplice indiferent de statul membru în care sunt prelucrate datele electronice cu caracter personal privind sănătatea, de tipul furnizorului de servicii medicale, de sursele datelor respective sau de statul membru de afiliere al persoanei fizice. Domeniul de aplicare al respectivului drept complementar instituit în temeiul prezentului regulament şi condiţiile de exercitare a acestuia diferă în anumite moduri de dreptul de acces la datele cu caracter personal prevăzut în Regulamentul (UE) 2016/679, care cuprinde toate datele cu caracter personal deţinute de un operator şi este exercitat împotriva unui operator individual, care are apoi la dispoziţie maximum o lună pentru a răspunde unei cereri. Dreptul de acces la datele electronice cu caracter personal privind sănătatea în temeiul prezentului regulament ar trebui să se limiteze la categoriile de date care intră în domeniul său de aplicare, să fie exercitat prin intermediul unui serviciu electronic de acces la datele privind sănătatea şi să genereze un răspuns imediat. Drepturile în temeiul Regulamentului (UE) 2016/679 ar trebui să se aplice în continuare, permiţând persoanelor fizice să beneficieze de drepturile ce le revin în temeiul ambelor cadre juridice, în special dreptul de a obţine o copie pe suport de hârtie a datelor electronice privind sănătatea.

(10)Ar trebui să se considere că accesul imediat al persoanelor fizice la anumite categorii de date electronice cu caracter personal privind sănătatea ale acestora ar putea fi dăunător pentru siguranţa respectivelor persoane fizice sau lipsit de etică. De exemplu, ar putea fi lipsit de etică să fie informat un pacient prin intermediul unui canal electronic cu privire la un diagnostic de boală incurabilă care este probabil să fie terminală, în loc ca mai întâi să se furnizeze aceste informaţii în cadrul unei consultaţii cu pacientul. Prin urmare, ar trebui să fie posibilă amânarea acordării accesului la date electronice cu caracter personal privind sănătatea în astfel de situaţii, pentru o perioadă limitată de timp, de exemplu până în momentul în care profesionistul din domeniul sănătăţii îi poate explica pacientului situaţia. Statele membre ar trebui să fie în măsură să instituie o astfel de excepţie atunci când aceasta constituie o măsură necesară şi proporţională într-o societate democratică, în conformitate cu restricţiile prevăzute la articolul 23 din Regulamentul (UE) 2016/679.

(11)Prezentul regulament nu aduce atingere competenţelor statelor membre în ceea ce priveşte înregistrarea iniţială a datelor electronice cu caracter personal privind sănătatea, cum ar fi condiţionarea înregistrării datelor genetice de consimţământul persoanei fizice sau de alte garanţii. Statele membre pot solicita ca datele să fie puse la dispoziţie în format electronic înainte de aplicarea prezentului regulament. Acest lucru nu ar trebui să aducă atingere obligaţiei de a pune la dispoziţie, în format electronic, datele electronice cu caracter personal privind sănătatea înregistrate după data aplicării prezentului regulament.

(12)Pentru a completa informaţiile care le sunt disponibile, persoanele fizice ar trebui să fie în măsură să adauge date electronice privind sănătatea în propriile sisteme DES sau să stocheze informaţii suplimentare în dosarele lor personale de sănătate separate care ar putea fi accesate de profesioniştii din domeniul sănătăţii. Cu toate acestea, este posibil ca informaţiile inserate de persoane fizice să nu fie la fel de fiabile ca datele electronice de sănătate introduse şi verificate de profesioniştii din domeniul sănătăţii şi să nu aibă aceeaşi valoare clinică sau juridică ca informaţiile furnizate de profesioniştii din domeniul sănătăţii. Prin urmare, datele adăugate de persoanele fizice în propriile sisteme DES ar trebui să se poată distinge în mod clar de datele furnizate de profesioniştii din domeniul sănătăţii. Această posibilitate ca persoanele fizice să adauge şi să completeze date electronice cu caracter personal privind sănătatea nu ar trebui să le permită să schimbe datele electronice cu caracter personal privind sănătatea care au fost furnizate de profesioniştii din domeniul sănătăţii.

(13)Posibilitatea ca persoanele fizice să aibă acces mai uşor şi mai rapid la datele lor electronice privind sănătatea le va permite să observe posibile erori, cum ar fi informaţiile incorecte sau dosarele de sănătate ale pacienţilor atribuite incorect. În astfel de cazuri, persoanele fizice ar trebui să aibă posibilitatea de a solicita online rectificarea datelor electronice cu caracter personal privind sănătatea incorecte, imediat şi gratuit, prin intermediul unui serviciu de acces la datele electronice de sănătate. Astfel de cereri de rectificare ar trebui apoi să fie tratate de către operatorii relevanţi în conformitate cu Regulamentul (UE) 2016/679, dacă este necesar, implicând profesionişti din domeniul sănătăţii cu o specializare relevantă şi care sunt responsabili de tratarea persoanelor fizice.

(14)În temeiul Regulamentului (UE) 2016/679, dreptul la portabilitatea datelor este limitat la datele prelucrate pe baza consimţământului sau a unui contract şi furnizate de persoana vizată unui operator. În plus, în temeiul regulamentului menţionat, persoanele fizice au dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, numai atunci când este fezabil din punct de vedere tehnic. Cu toate acestea, Regulamentul (UE) 2016/679 nu impune obligaţia de a face posibilă din punct de vedere tehnic transmisia directă respectivă. Dreptul la portabilitatea datelor ar trebui să fie completat în temeiul prezentului regulament, capacitând astfel persoanele fizice să ofere acces profesioniştilor din domeniul sănătăţii pe care îi aleg cel puţin la categoriile prioritare de date electronice cu caracter personal privind sănătatea care le aparţin, să facă schimb de astfel de date privind sănătatea cu astfel de profesionişti din domeniul sănătăţii şi să descarce astfel de date privind sănătatea. În plus, persoanele fizice ar trebui să aibă dreptul de a solicita unui furnizor de asistenţă medicală să transmită o parte din datele lor electronice privind sănătatea unui destinatar identificat în mod clar din sectorul serviciilor de securitate socială sau de rambursare. Un astfel de transfer ar trebui să fie unidirecţional.

(15)Cadrul stabilit prin prezentul regulament ar trebui să se bazeze pe dreptul la portabilitatea datelor prevăzut în Regulamentul (UE) 2016/679, asigurând faptul că persoanele fizice, în calitate de persoane vizate, îşi pot transmite datele electronice cu caracter personal privind sănătatea, inclusiv datele deduse, în formatul european pentru schimbul de dosare electronice de sănătate, indiferent de temeiul juridic al prelucrării datelor electronice privind sănătatea. Profesioniştii din domeniul sănătăţii nu ar trebui să împiedice aplicarea drepturilor persoanelor fizice, de exemplu prin refuzul de a lua în considerare datele electronice cu caracter personal privind sănătatea care provin dintr-un alt stat membru şi care sunt furnizate prin intermediul formatului european interoperabil şi fiabil pentru schimbul de dosare electronice de sănătate.

(16)Accesul furnizorilor de servicii medicale sau al altor persoane la dosarele medicale electronice ar trebui să fie transparent pentru persoanele fizice în cauză. Serviciile de acces la datele electronice privind sănătatea ar trebui să furnizeze informaţii detaliate privind accesul la date, cum ar fi când şi ce entitate sau persoană fizică a accesat datele şi ce date au fost accesate. Persoanele fizice ar trebui, de asemenea, să poată activa sau dezactiva notificările automate privind accesul la datele electronice cu caracter personal privind sănătatea care îi privesc, prin intermediul serviciilor de acces ale profesioniştilor din domeniul sănătăţii.

(17)Persoanele fizice ar putea să nu dorească să permită accesul la anumite părţi ale datelor lor electronice cu caracter personal privind sănătatea, permiţând în acelaşi timp accesul la alte părţi. Acest lucru ar putea fi relevant îndeosebi în cazul unor probleme de sănătate sensibile, cum ar fi cele legate de sănătatea mintală sau sexuală, procedurile sensibile, cum ar fi avorturile, sau datele privind anumite medicamente care ar putea dezvălui alte aspecte sensibile. Prin urmare, o astfel de partajare selectivă a datelor electronice cu caracter personal privind sănătatea ar trebui să fie sprijinită şi pusă în aplicare prin restricţii stabilite de persoana fizică în cauză în acelaşi mod pe teritoriul unui anumit stat membru şi pentru schimbul transfrontalier de date. Restricţiile respective ar trebui să permită o granularitate suficientă pentru a restricţiona părţi ale seturilor de date, cum ar fi elemente din fişele pacienţilor. Înainte de a stabili restricţiile, persoanele fizice ar trebui să fie informate cu privire la riscurile pentru siguranţa pacienţilor asociate cu restricţionarea accesului la datele privind sănătatea. Ţinând cont că indisponibilitatea datelor electronice cu caracter personal privind sănătatea restricţionate poate afecta furnizarea sau calitatea serviciilor de sănătate oferite persoanei fizice, persoanele fizice care se prevalează de astfel de restricţionări ale accesului ar trebui să îşi asume responsabilitatea pentru faptul că furnizorul de servicii medicale nu poate lua în considerare datele atunci când furnizează servicii de sănătate. Restricţiile asupra accesului la datele electronice cu caracter personal privind sănătatea ar putea avea consecinţe ce pot pune viaţa în pericol şi, prin urmare, accesul la datele respective ar trebui să fie totuşi posibil, atunci când este necesar, pentru a proteja interesele vitale în situaţii de urgenţă. Dispoziţii juridice mai specifice privind mecanismele de restricţionare impuse de către persoanele fizice asupra unor părţi din datele lor electronice cu caracter personal privind sănătatea ar putea să fie prevăzute de statele membre în dreptul lor intern, în special în ceea ce priveşte răspunderea medicală în cazurile în care persoana fizică în cauză a impus restricţii.

(18)În plus, având în vedere sensibilităţile diferite din statele membre cu privire la gradul de control al pacienţilor asupra datelor lor privind sănătatea, statele membre ar trebui să poată prevedea un drept absolut al pacienţilor de a refuza accesul la datele lor electronice cu caracter personal privind sănătatea din partea oricărei persoane, cu excepţia operatorului de date iniţial, fără a exista nicio posibilitate de a acţiona contrar acestui refuz în situaţii de urgenţă. Într-un astfel de caz, statele membre ar trebui să stabilească normele şi garanţiile specifice cu privire la astfel de mecanisme de refuz. Normele şi garanţiile specifice respective s-ar putea referi, de asemenea, la categorii specifice de date electronice cu caracter personal privind sănătatea, de exemplu date genetice. Dreptul de refuz înseamnă că datele electronice cu caracter personal privind sănătatea referitoare la persoanele fizice care exercită acest drept nu ar fi puse la dispoziţie, prin intermediul serviciilor instituite în temeiul SEDS, altor entităţi în afara furnizorului de asistenţă medicală care a acordat tratamentul. Statele membre ar trebui să aibă posibilitatea de a solicita înregistrarea şi stocarea datelor electronice cu caracter personal privind sănătatea într-un sistem DES utilizat de furnizorul de asistenţă medicală care a furnizat serviciile de sănătate şi accesibil numai respectivului furnizor de asistenţă medicală. În cazul în care o persoană fizică şi-a exercitat dreptul de refuz, furnizorii de servicii medicale vor continua să documenteze tratamentul acordat în conformitate cu normele aplicabile şi vor putea accesa datele înregistrate de ei. Persoanele fizice care îşi exercită dreptul de refuz ar trebui să aibă posibilitatea de a reveni asupra deciziei lor. În astfel de cazuri, este posibil ca datele electronice cu caracter personal privind sănătatea generate în perioada de refuz să nu fie disponibile prin intermediul serviciilor de acces şi al MyHealth@EU.

(19)Accesul deplin şi la timp al profesioniştilor din domeniul sănătăţii la dosarele de sănătate ale pacienţilor este fundamental pentru asigurarea continuităţii îngrijirii, pentru evitarea duplicărilor şi a erorilor şi pentru reducerea costurilor. Totuşi, din cauza lipsei interoperabilităţii, în multe cazuri, profesioniştii din domeniul sănătăţii nu pot avea acces la dosarele de sănătate complete ale pacienţilor lor şi nu pot lua decizii medicale optime pentru diagnosticarea şi tratamentul acestora, ceea ce generează costuri considerabile atât pentru sistemele de sănătate, cât şi pentru persoanele fizice şi poate conduce la rezultate privind sănătatea mai nefavorabile pentru persoanele fizice. Datele electronice privind sănătatea puse la dispoziţie într-un format interoperabil, care pot fi transmise între furnizorii de servicii medicale pot reduce, de asemenea, sarcina administrativă pentru profesioniştii din domeniul sănătăţii legată de introducerea sau copierea manuală a datelor privind sănătatea între sistemele electronice. Prin urmare, profesioniştilor din domeniul sănătăţii ar trebui să li se pună la dispoziţie mijloace electronice adecvate, cum ar fi dispozitive electronice şi portaluri destinate profesioniştilor din domeniul sănătăţii sau alte servicii de acces pentru profesioniştii din domeniul sănătăţii, pentru a utiliza datele electronice cu caracter personal privind sănătatea pentru exercitarea atribuţiilor lor. Întrucât este dificil să se determine în mod exhaustiv, în prealabil, care dintre datele existente în categoriile prioritare sunt relevante din punct de vedere medical într-un anumit episod de asistenţă medicală, profesioniştii din domeniul sănătăţii ar trebui să aibă un acces larg la date. Atunci când accesează datele referitoare la pacienţii lor, profesioniştii din domeniul sănătăţii ar trebui să respecte dreptul aplicabil, codurile de conduită, orientările deontologice sau alte dispoziţii care reglementează conduita etică în ceea ce priveşte schimbul sau accesarea informaţiilor, în special în situaţii care pun viaţa în pericol sau în situaţii extreme. În conformitate cu Regulamentul (UE) 2016/679, pentru a limita accesul lor la ceea ce este relevant într-un anumit episod de asistenţă medicală, furnizorii de servicii medicale ar trebui să respecte principiul reducerii la minimum a datelor atunci când accesează date electronice cu caracter personal privind sănătatea, limitând datele accesate la datele care sunt strict necesare şi justificate pentru un anumit serviciu. Furnizarea de servicii de acces profesioniştilor din domeniul sănătăţii este o sarcină atribuită în interes public prin prezentul regulament, iar îndeplinirea unei astfel de sarcini necesită prelucrarea datelor cu caracter personal astfel cum se menţionează la articolul 6 alineatul (1) litera (e) din Regulamentul (UE) 2016/679. Prezentul regulament prevede condiţii şi garanţii pentru prelucrarea datelor electronice privind sănătatea de către serviciul de acces al profesioniştilor din domeniul sănătăţii în conformitate cu articolul 9 alineatul (2) litera (h) din Regulamentul (UE) 2016/679, de exemplu dispoziţii detaliate privind evidenţa accesului la date electronice cu caracter personal privind sănătatea şi care urmăresc să asigure transparenţa faţă de persoanele vizate. Cu toate acestea, prezentul regulament nu ar trebui să aducă atingere dreptului intern referitor la prelucrarea datelor referitoare la sănătate pentru furnizarea de asistenţă medicală, inclusiv dreptului intern care stabileşte categoriile de profesionişti din domeniul sănătăţi care pot prelucra diferite categorii de date electronice referitoare la sănătate.

(20)Pentru a facilita exercitarea drepturilor complementare de acces şi portabilitate instituite în temeiul prezentului regulament, statele membre ar trebui să instituie unul sau mai multe servicii de acces la datele electronice privind sănătatea. Serviciile respective ar putea fi furnizate la nivel naţional, regional sau local ori de către furnizorii de servicii medicale, sub forma unui portal online pentru pacienţi, a unei aplicaţii pentru dispozitivele mobile sau prin alte mijloace. Acestea ar trebui să fie concepute într-un mod accesibil, în special pentru persoanele cu dizabilităţi. Furnizarea unui astfel de serviciu pentru a permite persoanelor fizice să dispună de acces facil la datele lor electronice cu caracter personal privind sănătatea reprezintă un interes public major. Prelucrarea datelor electronice cu caracter personal privind sănătatea prin intermediul serviciilor respective este necesară pentru îndeplinirea sarcinii atribuite prin prezentul regulament în sensul articolului 6 alineatul (1) litera (e) şi al articolului 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679. Prezentul regulament stabileşte condiţiile şi garanţiile necesare pentru prelucrarea datelor electronice privind sănătatea în cadrul serviciilor de acces la datele electronice privind sănătatea, cum ar fi identificarea electronică a persoanelor fizice care accesează astfel de servicii.

(21)Persoanele fizice ar trebui să fie în măsură să acorde o autorizaţie altor persoane fizice la alegerea lor, cum ar fi rudele lor sau alte persoane fizice apropiate, care să le permită acestor persoane alese să acceseze sau să controleze accesul la datele electronice cu caracter personal privind sănătatea ale persoanelor fizice care acordă autorizaţia sau să utilizeze serviciile digitale de sănătate în numele lor. Astfel de autorizaţii ar putea fi utile şi pentru alte utilizări de către persoanele fizice care au primit astfel de autorizaţii. Statele membre ar trebui să înfiinţeze servicii de împuternicire pentru a permite şi a pune în aplicare astfel de autorizaţii, iar serviciile de împuternicire ar trebui să fie legate de serviciile de acces la datele electronice cu caracter personal privind sănătatea, cum ar fi portalurile pacienţilor sau aplicaţiile pentru dispozitivele mobile orientate către pacienţi. Respectivele servicii de împuternicire ar trebui, de asemenea, să permită tutorilor să acţioneze în numele persoanelor aflate în întreţinerea lor, inclusiv al minorilor; în astfel de situaţii, autorizaţiile ar putea fi automate. În plus faţă de respectivele servicii de împuternicire, statele membre ar trebui, de asemenea, să instituie servicii de sprijin uşor accesibile care să fie asigurate de personal instruit care să acorde sprijin persoanelor fizice atunci îşi exercită drepturile. Pentru a ţine seama de cazurile în care afişarea anumitor date electronice cu caracter personal privind sănătatea ale persoanelor aflate în întreţinere către tutorii acestora ar putea fi contrară intereselor sau voinţei persoanelor aflate în întreţinere, inclusiv ale minorilor, statele membre ar trebui să fie în măsură să prevadă în dreptul intern astfel de limitări şi garanţii, precum şi mecanisme pentru punerea în aplicare a acestora din punct de vedere tehnic. Serviciile de acces la datele electronice cu caracter personal privind sănătatea, cum ar fi portalurile destinate pacienţilor sau aplicaţiile pentru dispozitivele mobile orientate către pacienţi, ar trebui să utilizeze astfel de autorizaţii şi, astfel, să permită persoanelor fizice autorizate să acceseze date electronice cu caracter personal privind sănătatea care intră în domeniul de aplicare al autorizaţiei. Pentru a asigura o soluţie orizontală cu o mai mare uşurinţă în utilizare, soluţiile de împuternicire digitală ar trebui să fie aliniate la Regulamentul (UE) nr. 910/2014 al Parlamentului European şi al Consiliului (⁷) şi la specificaţiile tehnice ale portofelului european pentru identitatea digitală. Alinierea respectivă ar contribui la reducerea sarcinilor administrative şi financiare pentru statele membre prin reducerea riscului de dezvoltare a unor sisteme paralele care nu sunt interoperabile în întreaga Uniune.

(22)În unele state membre, asistenţa medicală este furnizată de echipe de gestionare a asistenţei medicale primare, care sunt grupuri de profesionişti din domeniul sănătăţii axaţi pe asistenţa medicală primară, cum ar fi medici generalişti, care îşi desfăşoară activităţile de asistenţă medicală primară pe baza unui plan de asistenţă medicală pe care îl elaborează acestea. În mai multe state membre mai există şi alte tipuri de echipe de asistenţă medicală în alte scopuri de îngrijire. În contextul utilizării primare în SEDS, ar trebui să se acorde acces profesioniştilor din domeniul sănătăţii care fac parte din astfel de echipe.

(23)Autorităţile de supraveghere instituite în temeiul Regulamentului (UE) 2016/679 sunt competente pentru monitorizarea şi asigurarea aplicării regulamentului menţionat, îndeosebi în ceea ce priveşte monitorizarea prelucrării datelor electronice cu caracter personal privind sănătatea şi tratarea eventualelor plângeri depuse de persoanele fizice în cauză. Prezentul regulament stabileşte drepturi suplimentare pentru persoanele fizice în ceea ce priveşte utilizarea primară, care merg dincolo de drepturile de acces şi portabilitate consacrate în Regulamentul (UE) 2016/679 şi completează aceste drepturi. Întrucât respectivele drepturi suplimentare ar trebui, de asemenea, să fie puse în aplicare de către autorităţile de supraveghere create în temeiul Regulamentului (UE) 2016/679, statele membre ar trebui să se asigure că autorităţile de supraveghere respective dispun de resursele financiare şi umane, precum şi de spaţiile şi infrastructura necesare pentru îndeplinirea eficientă a sarcinilor suplimentare respective. Autoritatea sau autorităţile de supraveghere responsabile cu monitorizarea şi asigurarea respectării prelucrării datelor electronice cu caracter personal privind sănătatea în vederea utilizării primare în conformitate cu prezentul regulament ar trebui să aibă competenţa de a impune amenzi administrative. Sistemul juridic al Danemarcei nu permite amenzi administrative astfel cum sunt prevăzute în prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel încât, în Danemarca, amenzile să fie impuse de instanţele naţionale competente ca sancţiune penală, cu condiţia ca o astfel de aplicare a normelor să aibă un efect echivalent cu cel al amenzilor administrative impuse de autorităţile de supraveghere. În orice caz, amenzile impuse ar trebui să fie efective, proporţionale şi cu efect de descurajare.

(24)Statele membre ar trebui să depună eforturi pentru a adera la principiile etice, cum ar fi principiile etice europene pentru sănătatea digitală adoptate de reţeaua de e-sănătate la 26 ianuarie 2022 şi principiul confidenţialităţii profesionist din domeniul sănătăţii-pacient, în aplicarea prezentului regulament. Recunoscând importanţa principiilor etice, principiile etice europene pentru sănătatea digitală oferă orientări practicienilor, cercetătorilor, inovatorilor, factorilor de decizie şi autorităţilor de reglementare.

(25)Relevanţa diferitelor categorii de date electronice privind sănătatea pentru diferite scenarii de asistenţă medicală variază. Diferite categorii au atins, de asemenea, niveluri diferite de maturitate în materie de standardizare şi, prin urmare, punerea în aplicare a mecanismelor pentru schimbul lor poate fi mai mult sau mai puţin complexă, în funcţie de categorie. Prin urmare, îmbunătăţirea interoperabilităţii şi a schimbului datelor ar trebui să fie treptată şi este necesar să se acorde prioritate anumitor categorii de date electronice privind sănătatea. Categoriile de date electronice privind sănătatea cum ar fi fişele pacienţilor, reţetele electronice şi eliberările electronice de medicamente, studiile de imagistică medicală şi rapoartele conexe de imagistică, rezultatele testelor medicale, precum rezultatele de laborator şi alte rapoarte conexe, precum şi rapoartele de externare, au fost selectate de reţeaua de e-sănătate ca fiind cele mai relevante pentru majoritatea situaţiilor de asistenţă medicală şi ar trebui considerate categorii prioritare pentru ca statele membre să pună în aplicare accesul la acestea şi transmiterea lor. În cazul în care astfel de categorii de date prioritare reprezintă grupuri de date electronice privind sănătatea, prezentul regulament ar trebui să se aplice atât grupurilor în ansamblu, cât şi intrărilor de date individuale incluse în grupurile respective. De exemplu, dat fiind că situaţia vaccinării face parte din fişa pacientului, drepturile şi cerinţele legate de fişa pacientului ar trebui să se aplice, de asemenea, unui astfel de statut de vaccinare, chiar dacă este prelucrat separat de fişa pacientului în ansamblu. Atunci când sunt identificate alte nevoi de schimb de categorii suplimentare de date electronice privind sănătatea în scopuri de asistenţă medicală, ar trebui să fie posibile accesul la categoriile suplimentare respective şi schimbul lor în temeiul prezentului regulament. Categoriile suplimentare ar trebui să fie puse în aplicare mai întâi la nivelul statelor membre, iar prezentul regulament ar trebui să prevadă schimbul în mod voluntar al acestor categorii de date în situaţii transfrontaliere între statele membre cooperante. O atenţie deosebită ar trebui să fie acordată schimbului de date în regiunile de frontieră ale statelor membre învecinate în care furnizarea de servicii de sănătate transfrontaliere este mai frecventă şi necesită proceduri şi mai rapide decât în întreaga Uniune în general.

(26)Nivelul de disponibilitate a datelor cu caracter personal privind sănătatea şi a datelor genetice în format electronic variază de la un stat membru la altul. SEDS ar trebui să înlesnească accesul persoanelor fizice la aceste date în format electronic şi să le ofere acestora un control mai bun asupra accesului la datele lor electronice cu caracter personal privind sănătatea şi asupra partajării de astfel de date. Acest lucru ar contribui, de asemenea, la atingerea obiectivului ca toţi cetăţenii Uniunii să aibă acces la dosarele lor electronice de sănătate până în 2030, astfel cum se menţionează în Decizia (UE) 2022/2481 a Parlamentului European şi a Consiliului (⁸). Pentru ca datele electronice privind sănătatea să fie accesibile şi transmisibile, aceste date ar trebui să fie accesate şi transmise într-un format european pentru schimbul de dosare electronice de sănătate, comun şi interoperabil, cel puţin pentru anumite categorii de date electronice privind sănătatea, cum ar fi fişele pacienţilor, prescripţiile electronice şi eliberările electronice de medicamente, studiile de imagistică medicală şi rapoartele conexe de imagistică, rezultatele testelor medicale şi rapoartele de externare, sub rezerva perioadelor de tranziţie. În cazul în care datele electronice cu caracter personal privind sănătatea sunt puse la dispoziţia unui furnizor de servicii medicale sau a unei farmacii de către o persoană fizică sau sunt transmise de un alt operator în formatul european pentru schimbul de dosare electronice de sănătate, formatul respectiv ar trebui să fie acceptat, iar destinatarul ar trebui să fie în măsură să citească şi să utilizeze datele pentru furnizarea de asistenţă medicală sau pentru eliberarea unui medicament, sprijinind astfel furnizarea serviciilor de asistenţă medicală sau eliberarea de reţete electronice. Formatul european pentru schimbul de dosare electronice de sănătate ar trebui să fie conceput astfel încât să faciliteze traducerea datelor electronice privind sănătatea comunicate prin utilizarea formatului respectiv în limbile oficiale ale Uniunii, în măsura posibilului. Recomandarea (UE) 2019/243 a Comisiei (⁹) pune bazele unui astfel de format european comun pentru schimbul de dosare electronice de sănătate. Interoperabilitatea SEDS ar trebui să contribuie la asigurarea unei calităţi ridicate a seturilor de date privind sănătatea la nivel european. Utilizarea unui format european pentru schimbul de dosare electronice de sănătate ar trebui să devină mai larg răspândită la nivelul Uniunii şi la nivel naţional..Formatul european pentru schimbul de dosare electronice de sănătate ar putea permite profiluri diferite pentru utilizarea sa la nivelul sistemelor DES şi la nivelul punctelor naţionale de contact pentru sănătatea digitală din MyHealth@EU pentru schimbul transfrontalier de date.

(27)Deşi sistemele DES sunt larg răspândite, nivelul de digitalizare a datelor privind sănătatea variază de la un stat membru la altul, în funcţie de categoriile de date şi de acoperirea furnizorilor de servicii medicale care înregistrează datele privind sănătatea în format electronic. Pentru a sprijini aplicarea drepturilor persoanelor vizate în ceea ce priveşte accesul la datele electronice privind sănătatea şi schimbul acestor date, este necesară o acţiune la nivelul Uniunii pentru a se evita o fragmentare şi mai mare. Pentru a asigura un nivel înalt de calitate şi de continuitate a asistenţei medicale, anumite categorii de date privind sănătatea ar trebui să fie înregistrate în format electronic în mod sistematic şi în conformitate cu cerinţele specifice privind calitatea datelor. Formatul european pentru schimbul de dosare electronice de sănătate ar trebui să constituie baza pentru specificaţiile referitoare la înregistrarea şi schimbul de date electronice privind sănătatea.

(28)Telemedicina devine un instrument din ce în ce mai important, care poate oferi pacienţilor acces la îngrijire şi poate corecta inegalităţile. Aceasta are potenţialul de a reduce inegalităţile în materie de sănătate şi de a consolida libera circulaţie transfrontalieră a cetăţenilor Uniunii. Instrumentele digitale şi alte instrumente tehnologice pot facilita prestarea de servicii de îngrijire în regiunile îndepărtate. Atunci când serviciile digitale însoţesc furnizarea fizică a unui serviciu de asistenţă medicală, serviciul digital ar trebui să fie inclus în furnizarea generală de îngrijiri. În temeiul articolului 168 din Tratatul privind funcţionarea Uniunii Europene (TFUE), statele membre sunt responsabile de politica lor de sănătate, în special de organizarea şi prestarea de servicii de sănătate şi de îngrijire medicală, inclusiv de reglementarea unor activităţi precum farmaciile online, telemedicina şi alte servicii pe care le furnizează şi pentru care asigură rambursări, în conformitate cu legislaţia lor naţională. Cu toate acestea, diferitele politici de asistenţă medicală nu ar trebui să constituie obstacole în calea liberei circulaţii a datelor electronice privind sănătatea în contextul asistenţei medicale transfrontaliere, de exemplu telemedicina şi serviciile farmaceutice online.

(29)Regulamentul (UE) nr. 910/2014 stabileşte condiţiile în temeiul cărora statele membre efectuează identificarea persoanelor fizice în situaţii transfrontaliere utilizând mijloace de identificare emise de un alt stat membru, stabilind norme pentru recunoaşterea reciprocă a unor astfel de mijloace de identificare electronică. SEDS necesită un acces securizat la datele electronice privind sănătatea, inclusiv în situaţii transfrontaliere. Serviciile de acces la datele electronice privind sănătatea şi serviciile de telemedicină ar trebui să permită persoanelor fizice să îşi exercite drepturile indiferent de statul lor membru de afiliere şi, prin urmare, ar trebui să sprijine identificarea persoanelor fizice utilizând orice mijloc de identificare electronică recunoscut în temeiul Regulamentului (UE) nr. 910/2014. Având în vedere posibilitatea unor provocări legate de corelarea identităţii în situaţii transfrontaliere, este posibil ca statele membre să trebuiască să furnizeze mecanisme de acces complementare, precum tokenuri sau coduri, persoanelor fizice care sosesc din alte state membre şi beneficiază de asistenţă medicală. Comisia ar trebui să fie împuternicită să adopte acte de punere în aplicare pentru a determina cerinţele pentru identificarea şi autentificarea interoperabilă şi transfrontalieră a persoanelor fizice şi a profesioniştilor din domeniul sănătăţii, inclusiv orice mecanism complementar necesar pentru a asigura posibilitatea persoanelor fizice de a-şi exercita drepturile legate de datele electronice cu caracter personal privind sănătatea în situaţii transfrontaliere.

(30)Statele membre ar trebui să desemneze autorităţi relevante privind sănătatea digitală pentru planificarea şi punerea în aplicare a standardelor privind accesul la datele electronice privind sănătatea şi transmiterea acestora şi pentru asigurarea respectării drepturilor persoanelor fizice şi ale profesioniştilor din domeniul sănătăţii, ca organizaţii separate sau ca parte a autorităţilor deja existente. Personalul autorităţii de sănătate digitală nu ar trebui să aibă niciun interes financiar sau de altă natură în sectoare sau activităţi economice care le-ar putea afecta imparţialitatea. În majoritatea statelor membre există deja autorităţi privind sănătatea digitală, acestea fiind responsabile de DES, interoperabilitate, securitate sau standardizare. În exercitarea sarcinilor care le revin, autorităţile din domeniul sănătăţii digitale ar trebui să coopereze în special cu autorităţile de supraveghere instituite în temeiul Regulamentului (UE) 2016/679 şi cu organismele de supraveghere instituite în temeiul Regulamentului (UE) nr. 910/2014. Autorităţile din domeniul sănătăţii digitale pot coopera, de asemenea, cu Consiliul european pentru inteligenţa artificială instituit în temeiul Regulamentului (UE) 2024/1689 al Parlamentului European şi al Consiliului (¹⁰), cu Grupul de coordonare privind dispozitivele medicale instituit în temeiul Regulamentului (UE) 2017/745 al Parlamentului European şi al Consiliului (¹¹), cu Comitetul european pentru inovare în domeniul datelor instituit în temeiul Regulamentului (UE) 2022/868 al Parlamentului European şi al Consiliului (¹²) şi cu autorităţile competente în temeiul Regulamentului (UE) 2023/2854 al Parlamentului European şi al Consiliului (¹³). Statele membre ar trebui să înlesnească participarea actorilor naţionali la cooperarea la nivelul Uniunii, transmiterea cunoştinţelor de specialitate şi oferirea de consiliere cu privire la conceperea soluţiilor necesare pentru atingerea obiectivelor SEDS.

(31)Fără a aduce atingere niciunei alte căi de atac administrative sau extrajudiciare, orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficace împotriva unei decizii obligatorii din punct de vedere juridic care o vizează, adoptată de o autoritate privind sănătatea digitală sau în cazul în care autoritatea privind sănătatea digitală nu tratează o plângere sau nu informează persoana fizică sau juridică în termen de trei luni despre evoluţia sau soluţionarea plângerii. Acţiunile împotriva unei autorităţi privind sănătatea digitală ar trebui să se introducă în faţa instanţelor din statele membre în care îşi are sediul autoritatea privind sănătatea digitală.

(32)Autorităţile privind sănătatea digitală ar trebui să dispună de suficiente competenţe tehnice, reunind eventual experţi din diferite organizaţii. Activităţile autorităţilor digitale din domeniul sănătăţii ar trebui să fie bine planificate şi monitorizate pentru a asigura eficienţa acestora. Autorităţile privind sănătatea digitală ar trebui să ia măsurile necesare pentru a proteja drepturile persoanelor fizice prin instituirea unor soluţii tehnice la nivel naţional, regional şi local, cum ar fi soluţiile naţionale de intermediere a DES şi portaluri destinate pacienţilor. Atunci când iau astfel de măsuri de protecţie necesare, autorităţile privind sănătatea digitală ar trebui să aplice standarde şi specificaţii comune în astfel de soluţii, să promoveze aplicarea standardelor şi specificaţiilor în cadrul procedurilor de achiziţii publice şi să utilizeze alte mijloace inovatoare, inclusiv rambursarea în cazul soluţiilor care respectă cerinţele de interoperabilitate şi de securitate ale SEDS. Statele membre ar trebui să se asigure că sunt adoptate iniţiative de instruire corespunzătoare. În special, profesioniştii din domeniul sănătăţii ar trebui să fie informaţi şi instruiţi cu privire la drepturile şi obligaţiile care le revin în temeiul prezentului regulament. Pentru a-şi îndeplini sarcinile, autorităţile privind sănătatea digitală ar trebui să coopereze la nivelul Uniunii şi nivel naţional cu alte entităţi, inclusiv cu organisme de asigurări, furnizori de servicii medicale, profesionişti din domeniul sănătăţii, producători de sisteme DES şi de aplicaţii de wellness, precum şi cu alte părţi interesate din sectorul sănătăţii sau al tehnologiei informaţiei, cu entităţi care gestionează sisteme de rambursare, cu organisme de evaluare a tehnologiilor medicale, cu autorităţi şi agenţii de reglementare a medicamentelor, cu autorităţi de reglementare a dispozitivelor medicale, cu achizitori şi cu autorităţi din domeniul securităţii cibernetice sau al identificării electronice.

(33)Accesul la datele electronice privind sănătatea şi transmiterea acestora sunt relevante în situaţiile de asistenţă medicală transfrontalieră, întrucât acestea pot sprijini continuitatea asistenţei medicale atunci când persoanele fizice călătoresc în alte state membre sau îşi schimbă reşedinţa. Continuitatea îngrijirii şi accesul rapid la datele electronice cu caracter personal privind sănătatea sunt şi mai importante pentru rezidenţii din regiunile frontaliere care traversează frecvent frontiera pentru a beneficia de asistenţă medicală. În multe regiuni frontaliere, este posibil ca unele servicii de asistenţă medicală specializate să fie disponibile peste frontieră, dar mai aproape decât în acelaşi stat membru. Este necesară o infrastructură pentru transmiterea transfrontalieră a datelor electronice cu caracter personal privind sănătatea, în situaţiile în care o persoană fizică utilizează serviciile unui furnizor de servicii medicale stabilit într-un alt stat membru. Ar trebui avută în vedere extinderea treptată a unei astfel de infrastructuri şi finanţarea acesteia. O infrastructură voluntară în acest scop, MyHealth@EU, a fost creată în cadrul acţiunilor de îndeplinire a obiectivelor instituite prin Directiva 2011/24/UE a Parlamentului European şi a Consiliului (¹⁴). Prin intermediul MyHealth@EU, statele membre au început să ofere persoanelor fizice posibilitatea de a-şi partaja datele electronice cu caracter personal privind sănătatea cu furnizorii de servicii medicale atunci când călătoresc în străinătate. Pe baza acestei experienţe, participarea statelor membre la MyHealth@EU, astfel cum este stabilită prin prezentul regulament, ar trebui să fie obligatorie. Specificaţiile tehnice pentru infrastructura MyHealth@EU ar trebui să permită schimbul de categorii prioritare de date electronice privind sănătatea, precum şi de categorii suplimentare sprijinite de formatul european pentru schimbul de dosare electronice de sănătate. Specificaţiile respective ar trebui să fie definite prin intermediul unor acte de punere în aplicare şi ar trebui să se bazeze pe specificaţiile transfrontaliere ale formatului european pentru schimbul de dosare electronice de sănătate, completate de specificaţii suplimentare privind securitatea cibernetică, interoperabilitatea tehnică şi semantică, gestionarea operaţiunilor şi a serviciilor. Statelor membre ar trebui să le revină obligaţia de a adera la MyHealth@EU, de a respecta specificaţiile sale tehnice şi de a conecta furnizorii de servicii medicale, inclusiv farmaciile, la acesta, întrucât acest demers este necesar pentru a permite persoanelor fizice să îşi exercite drepturile în temeiul prezentului regulament de a accesa şi a utiliza datele lor electronice cu caracter personal privind sănătatea, indiferent de statul membru în care se află persoanele fizice.

(34)MyHealth@EU oferă o infrastructură comună pentru ca statele membre să asigure conectivitatea şi interoperabilitatea într-un mod eficient şi sigur pentru a sprijini asistenţa medicală transfrontalieră, fără a afecta responsabilităţile statelor membre înainte şi după transmiterea datelor electronice cu caracter personal privind sănătatea prin intermediul său. Statele membre sunt responsabile de organizarea punctelor lor naţionale de contact pentru sănătatea digitală şi de prelucrare a datelor cu caracter personal în scopul furnizării de asistenţă medicală, înainte şi după transmiterea datelor respective prin intermediul MyHealth@EU. Comisia ar trebui să monitorizeze, prin verificări ale conformităţii, respectarea de către punctele naţionale de contact pentru sănătatea digitală a cerinţelor necesare în ceea ce priveşte dezvoltarea tehnică a MyHealth@EU, precum şi normele detaliate privind securitatea, confidenţialitatea şi protecţia datelor electronice cu caracter personal privind sănătatea. În eventualitatea unei nerespectări grave din partea unui punct naţional de contact pentru sănătatea digitală, Comisia ar trebui să aibă posibilitatea de a suspenda serviciile afectate de nerespectare şi furnizate de respectivul punct naţional de contact pentru sănătatea digitală. Comisia ar trebui să acţioneze în calitate de persoană împuternicită de operator în numele statelor membre în cadrul MyHealth@EU şi ar trebui să furnizeze servicii centrale pentru aceasta. Pentru a asigura respectarea normelor de protecţie a datelor şi pentru a oferi un cadru de gestionare a riscurilor pentru transmiterea datelor electronice cu caracter personal privind sănătatea, responsabilităţile specifice ale statelor membre, în calitate de operatori asociaţi, şi obligaţiile Comisiei în calitate de persoană împuternicită de operator în numele acestora ar trebui să fie precizate prin intermediul unor acte de punere în aplicare. Fiecare stat membru este singurul responsabil pentru date şi servicii în statul membru respectiv. Prezentul regulament oferă temeiul juridic pentru prelucrarea datelor electronice cu caracter personal privind sănătatea în MyHealth@EU ca sarcină efectuată în interesul public atribuită de dreptul Uniunii, astfel cum se menţionează la articolul 6 alineatul (1) litera (e) din Regulamentul (UE) 2016/679. Prelucrarea respectivă este necesară pentru furnizarea de asistenţă medicală în situaţii transfrontaliere, astfel cum se menţionează la articolul 9 alineatul (2) litera (h) din regulamentul respectiv.

(35)În plus faţă de serviciile din MyHealth@EU pentru schimbul de date electronice cu caracter personal privind sănătatea pe baza formatului european pentru schimbul de dosare electronice de sănătate, ar putea fi necesare alte servicii sau infrastructuri suplimentare, de exemplu în situaţii de urgenţă de sănătate publică sau în cazul în care arhitectura MyHealth@EU nu este adecvată pentru punerea în aplicare a unora dintre cazurile de utilizare. Printre exemplele de astfel de cazuri de utilizare se numără sprijinul pentru funcţionalităţile cardului de vaccinare, inclusiv schimbul de informaţii privind planurile de vaccinare sau verificarea certificatelor de vaccinare sau a altor certificate legate de sănătate. Astfel de cazuri de utilizare suplimentare ar fi, de asemenea, importante pentru introducerea unor funcţionalităţi suplimentare de gestionare a crizelor din domeniul sănătăţii publice, cum ar fi sprijinul pentru depistarea contacţilor în scopul limitării bolilor infecţioase. MyHealth@EU ar trebui să sprijine schimburile de date electronice cu caracter personal privind sănătatea cu punctele naţionale de contact pentru sănătatea digitală din ţările terţe şi sistemele relevante instituite la nivel internaţional de organizaţii internaţionale pentru a contribui la continuitatea asistenţei medicale. Acest lucru este deosebit de relevant pentru persoanele care se deplasează în ţările terţe învecinate şi din astfel de ţări, pentru ţările candidate şi pentru ţările şi teritoriile de peste mări asociate. Conectarea unor astfel de puncte naţionale de contact pentru sănătatea digitală ale ţărilor terţe la MyHealth@EU şi interoperabilitatea cu sistemele digitale instituite la nivel internaţional de organizaţii internaţionale ar trebui să facă obiectul unei verificări care să asigure conformitatea respectivelor puncte de contact şi sisteme digitale cu specificaţiile tehnice, normele de protecţie a datelor şi alte cerinţe ale MyHealth@EU. În plus, având în vedere că conectarea la MyHealth@EU va implica transferuri de date electronice cu caracter personal privind sănătatea către ţări terţe, cum ar fi partajarea unei fişe a pacientului atunci când pacientul solicită asistenţă medicală în ţara terţă respectivă, ar trebui să existe instrumente de transfer relevante în temeiul capitolului V din Regulamentul (UE) 2016/679. Comisia ar trebui să fie împuternicită să adopte acte de punere în aplicare pentru a facilita conectarea unor astfel de puncte naţionale de contact pentru sănătatea digitală din ţările terţe şi sistemele instituite la nivel internaţional de organizaţii internaţionale la MyHealth@EU. Atunci când elaborează respectivele acte de punere în aplicare, Comisia ar trebui se ţină seama de interesele naţionale în materie de securitate ale statelor membre.

(36)Pentru a permite schimbul neîntrerupt de date electronice privind sănătatea şi a asigura respectarea drepturilor persoanelor fizice şi ale profesioniştilor din domeniul sănătăţii, sistemele DES comercializate pe piaţa internă ar trebui să poată stoca şi transmite, în mod securizat, date electronice de înaltă calitate privind sănătatea. Acesta este un obiectiv-cheie al SEDS pentru a asigura circulaţia securizată şi liberă a datelor electronice privind sănătatea în întreaga Uniune. În acest scop, ar trebui să fie instituit un sistem obligatoriu de autoevaluare a conformităţii pentru sistemele DES care prelucrează una sau mai multe categorii prioritare de date electronice privind sănătatea, pentru a depăşi fragmentarea pieţei, asigurând în acelaşi timp o abordare proporţională. Prin autoevaluare, sistemele DES vor dovedi conformitatea cu cerinţele privind interoperabilitatea, securitatea şi evidenţa comunicaţiilor de date electronice cu caracter personal privind sănătatea stabilite de cele două componente software DES obligatorii armonizate prin prezentul regulament, şi anume componenta software europeană de interoperabilitate pentru sistemele DES şi componenta software europeană de evidenţă pentru sistemele DES (denumite în continuare "componentele software armonizate ale sistemelor DES"). Componentele software armonizate ale sistemelor DES privesc în principal transformarea datelor, deşi pot implica nevoia de cerinţe indirecte pentru înregistrarea datelor şi prezentarea datelor în sistemele DES. Specificaţiile tehnice pentru componentele software armonizate ale sistemelor DES ar trebui să fie definite prin intermediul unor acte de punere în aplicare şi ar trebui să se bazeze pe utilizarea formatului european pentru schimbul de dosare electronice de sănătate. Componentele software armonizate ale sistemelor DES ar trebui să fie proiectate astfel încât să fie reutilizabile şi să se integreze fără probleme cu alte componente într-un sistem software mai mare. Cerinţele de securitate ale componentelor software armonizate ale sistemelor DES ar trebui să cuprindă elemente specifice sistemelor DES, întrucât proprietăţile de securitate mai generale ar trebui să fie sprijinite de alte mecanisme, cum ar fi cele instituite în temeiul Regulamentului (UE) 2024/2847 al Parlamentului European şi al Consiliului (¹⁵). Pentru a sprijini acest proces, ar trebui create medii europene de testare digitală, care să ofere mijloace automatizate pentru a testa dacă funcţionarea componentelor software armonizate ale unui sistem DES este în conformitate cu cerinţele prevăzute în prezentul regulament. În acest scop, Comisiei ar trebui să i se confere competenţe de executare pentru a stabili specificaţiile comune pentru mediile respective. Comisia ar trebui să dezvolte software-ul necesar pentru mediile de testare şi să îl pună la dispoziţie ca sursă deschisă. Statele membre ar trebui să fie responsabile pentru operarea mediilor de testare digitale, deoarece sunt mai aproape de producători şi mai bine plasate pentru a-i sprijini. Producătorii ar trebui să utilizeze mediile de testare digitale respective pentru a-şi testa produsele înainte de a le introduce pe piaţă, continuând, în acelaşi timp, să îşi asume întreaga responsabilitate pentru conformitatea produselor lor. Rezultatele testului ar trebui să devină parte din documentaţia tehnică a produsului. În cazul în care sistemul DES sau orice parte a acestuia respectă standardele europene sau specificaţiile comune, lista standardelor europene şi a specificaţiilor comune relevante ar trebui, de asemenea, să fie indicată în documentaţia tehnică. Pentru a sprijini comparabilitatea sistemelor DES, Comisia ar trebui să elaboreze un model uniform pentru documentaţia tehnică ce însoţeşte astfel de sisteme.

(37)Sistemele DES ar trebui să fie însoţite de o fişă de informaţii care să includă informaţii pentru utilizatorii lor profesionişti şi de instrucţiuni clare şi complete de utilizare în formate accesibile pentru persoanele cu dizabilităţi. În cazul în care un sistem DES nu este însoţit de astfel de informaţii, producătorul sistemului DES în cauză, reprezentantul său autorizat şi toţi ceilalţi operatori economici relevanţi ar trebui să aibă obligaţia de a adăuga la sistemul DES fişa de informaţii şi instrucţiunile de utilizare respective.

(38)Deşi sistemele DES destinate în mod specific de către producător pentru a fi utilizate pentru prelucrarea uneia sau mai multor categorii specifice de date electronice privind sănătatea ar trebui să facă obiectul autocertificării obligatorii, software-ul utilizat în scopuri generale nu ar trebui să fie considerat drept un sistem DES, chiar şi atunci când este utilizat în cadrul asistenţei medicale, şi, prin urmare, nu ar trebui să fie supus obligaţiei de a respecta prezentul regulament. Aceasta cuprinde cazuri precum software-ul de prelucrare a textului utilizat pentru redactarea de rapoarte care ar deveni ulterior parte a dosarelor electronice de sănătate scrise, a programelor de tip middleware de uz general sau a software-ului de gestionare a bazelor de date care este utilizat ca parte a soluţiilor de stocare a datelor.

(39)Prezentul regulament impune un sistem obligatoriu de autoevaluare a conformităţii pentru componentele software armonizate ale sistemelor DES, pentru a se asigura că sistemele DES introduse pe piaţa Uniunii pot face schimb de date în formatul european pentru schimbul de dosare electronice de sănătate şi că dispun de capacităţile necesare de ţinere a evidenţei. Respectiva autoevaluare obligatorie a conformităţii, care ar lua forma unei declaraţii de conformitate UE emise de producător, ar trebui să asigure faptul că cerinţele respective sunt îndeplinite şi că, în acelaşi timp, este evitată o sarcină excesivă asupra statelor membre şi producătorilor.

(40)Producătorii ar trebui să aplice pe documentele de însoţire a sistemului DES şi, după caz, pe ambalaj, un marcaj de conformitate CE care să indice că sistemul DES este în conformitate cu prezentul regulament şi, în ceea ce priveşte aspecte nereglementate de prezentul regulament, cu alte acte din dreptul aplicabil al Uniunii care impun, de asemenea, aplicarea marcajului de conformitate CE. Statele membre ar trebui să se bazeze pe mecanismele existente pentru a asigura aplicarea corectă a prevederilor privind marcajul de conformitate CE în temeiul dreptului relevant al Uniunii şi ar trebui să ia măsurile corespunzătoare în cazul utilizării inadecvate a respectivului marcaj.

(41)Statele membre ar trebui să rămână competente pentru a defini cerinţele referitoare la orice alte componente software ale sistemelor DES şi condiţiile de conectare a furnizorilor de asistenţă medicală la infrastructurile lor naţionale, care ar putea face obiectul unei evaluări de către o terţă parte la nivel naţional. Pentru a facilita buna funcţionare a pieţei interne a sistemelor DES, a produselor de sănătate digitală şi a serviciilor conexe, este necesar să se asigure, pe cât posibil, transparenţa în ceea ce priveşte dreptul intern care stabileşte cerinţe pentru sistemele DES şi dispoziţii privind evaluarea conformităţii acestora în ceea ce priveşte alte aspecte decât componentele software armonizate ale sistemelor DES. Prin urmare, statele membre ar trebui să informeze Comisia cu privire la cerinţele respective din dreptul intern, astfel încât aceasta să dispună de informaţiile necesare pentru a se asigura că acestea nu afectează în mod negativ componentele software armonizate ale sistemelor DES.

(42)Anumite componente software ale sistemelor DES ar putea fi considerate drept dispozitive medicale în temeiul Regulamentului (UE) 2017/745 sau dispozitive medicale pentru diagnostic in vitro în temeiul Regulamentului (UE) 2017/746 al Parlamentului European şi al Consiliului (¹⁶). Software-ul sau modulele de software care se încadrează în definiţia unui dispozitiv medical, a unor dispozitive medicale de diagnostic in vitro sau a unui sistem de inteligenţă artificială (IA) considerat a avea un grad ridicat de risc (denumit în continuare "sistem de IA cu grad ridicat de risc") ar trebui să fie certificate în conformitate cu Regulamentele (UE) 2017/745, (UE) 2017/746 şi (UE) 2024/1689, după caz. Deşi astfel de produse trebuie să îndeplinească cerinţele prevăzute de regulamentul aplicabil fiecăruia dintre produsele respective, statele membre ar trebui să ia măsurile corespunzătoare pentru a se asigura că respectiva evaluare a conformităţii este efectuată ca o procedură comună sau coordonată pentru a limita sarcina administrativă pentru producători şi alţi operatori economici. Cerinţele esenţiale privind interoperabilitatea din prezentul regulament ar trebui să se aplice numai în măsura în care producătorul unui dispozitiv medical, al unui dispozitiv medical de diagnostic in vitro sau al unui sistem de IA cu grad ridicat de risc, care furnizează date electronice privind sănătatea ce urmează să fie prelucrate în cadrul sistemului DES, declară interoperabilitatea cu acest sistem DES. În acest caz, dispoziţiile privind specificaţiile comune pentru sistemele DES ar trebui să se aplice respectivelor dispozitive medicale, dispozitive medicale de diagnostic in vitro şi sisteme de IA cu grad ridicat de risc.

(43)Pentru a sprijini în continuare interoperabilitatea şi securitatea, statele membre ar trebui să aibă posibilitatea de a menţine sau defini norme specifice pentru achiziţionarea, rambursarea sau finanţarea sistemelor DES la nivel naţional în contextul organizării, furnizării sau finanţării serviciilor de sănătate. Astfel de norme specifice nu ar trebui să împiedice libera circulaţie a sistemelor DES în Uniune. Unele state membre au introdus certificarea obligatorie a sistemelor DES sau testarea obligatorie a interoperabilităţii pentru conectarea acestora la serviciile naţionale de sănătate digitală. Astfel de cerinţe se reflectă în mod obişnuit în procedurile de achiziţii organizate de furnizorii de servicii medicale şi de autorităţile naţionale sau regionale. Certificarea obligatorie a sistemelor DES la nivelul Uniunii ar trebui să stabilească un scenariu de referinţă care să poată fi utilizat în cadrul procedurilor de achiziţii publice la nivel naţional.

(44)Pentru a garanta exercitarea efectivă de către pacienţi a drepturilor lor în temeiul prezentului regulament, furnizorii de servicii medicale care dezvoltă şi utilizează un sistem DES "intern" pentru a desfăşura activităţi interne fără a-l introduce pe piaţă în schimbul unei plăţi sau al unei remuneraţii ar trebui să respecte, de asemenea, prezentul regulament. În acest context, aceşti furnizori de servicii medicale ar trebui să respecte toate cerinţele aplicabile producătorilor cu privire la astfel de sisteme DES care sunt dezvoltate "intern" şi pe care aceşti furnizori de servicii medicale le-au pus în funcţiune. Cu toate acestea, dat fiind că este posibil ca furnizorii de servicii medicale să aibă nevoie de timp suplimentar pentru a se pregăti pentru respectarea prezentului regulament, cerinţele respective ar trebui să se aplice unor astfel de sisteme numai după o perioadă de tranziţie prelungită.

(46)Respectarea cerinţelor esenţiale privind interoperabilitatea şi securitatea ar trebui să fie demonstrată de către producătorii de sisteme DES prin punerea în aplicare a unor specificaţii comune. În acest scop, ar trebui să fie conferite competenţe de executare Comisiei pentru a stabili astfel de specificaţii comune privind seturile de date, sistemele de codificare, specificaţiile tehnice, standardele, specificaţiile şi profilurile pentru schimbul de date, precum şi cerinţele şi principiile legate de siguranţa pacienţilor şi de securitatea, confidenţialitatea, integritatea şi protecţia datelor cu caracter personal, şi specificaţiile şi cerinţele legate de gestionarea identificării şi utilizarea identificării electronice. Autorităţile privind sănătatea digitală ar trebui să contribuie la elaborarea unor astfel de specificaţii comune. După caz, specificaţiile comune respective ar trebui să se bazeze pe standardele armonizate existente pentru componentele software armonizate ale sistemelor DES şi să fie compatibile cu dreptul sectorial. În cazul în care specificaţiile comune au o importanţă deosebită în ce priveşte cerinţele de protecţie a datelor cu caracter personal în legătură cu sistemele DES, acestea ar trebui să facă obiectul consultării cu Comitetul european pentru protecţia datelor (CEPD) şi Autoritatea Europeană pentru Protecţia Datelor (AEPD) înainte de adoptarea lor, în temeiul articolului 42 alineatul (2) din Regulamentul (UE) 2018/1725.

(47)Pentru a asigura o aplicare adecvată şi eficace a cerinţelor şi a obligaţiilor prevăzute în prezentul regulament, ar trebui să se aplice sistemul de supraveghere a pieţei şi de conformitate a produselor instituit prin Regulamentul (UE) 2019/1020 al Parlamentului European şi al Consiliului (¹⁷). În funcţie de organizaţia definită la nivel naţional, astfel de activităţi de supraveghere a pieţei ar putea fi desfăşurate de autorităţile privind sănătatea digitală care asigură punerea în aplicare corespunzătoare a capitolului II din prezentul regulament sau de o autoritate separată de supraveghere a pieţei responsabilă de sistemele DES. Deşi desemnarea autorităţilor privind sănătatea digitală drept autorităţi de supraveghere a pieţei ar putea avea avantaje practice importante pentru punerea în aplicare a serviciilor de sănătate şi de îngrijire, orice conflict de interese ar trebui să fie evitat, de exemplu prin separarea diferitelor sarcini.

(48)Personalul autorităţilor de supraveghere a pieţei nu ar trebui să aibă niciun conflict de interese economic, financiar sau personal, direct sau indirect, despre care s-ar putea considera că îi prejudiciază independenţa şi mai ales nu ar trebui să se afle într-o situaţie care i-ar putea afecta, direct sau indirect, imparţialitatea conduitei profesionale. Statele membre ar trebui să stabilească şi să publice procedura de selecţie a autorităţilor de supraveghere a pieţei. Acestea ar trebui să asigure că procedura este transparentă şi nu permite conflictele de interese.

(49)Utilizatorii de aplicaţii de wellness, inclusiv aplicaţiile pentru dispozitivele mobile, ar trebui să fie informaţi cu privire la capacitatea unor astfel de aplicaţii de a fi conectate şi de a furniza date sistemelor DES sau soluţiilor electronice naţionale de sănătate, în cazurile în care datele produse de aplicaţiile de wellness sunt utile în scopuri de asistenţă medicală. Capacitatea acestor aplicaţii de a exporta date într-un format interoperabil este, de asemenea, relevantă pentru portabilitatea datelor. Dacă este cazul, utilizatorii ar trebui, de asemenea, să fie informaţi cu privire la conformitatea acestor aplicaţii de wellness cu cerinţele de interoperabilitate şi de securitate. Totuşi, având în vedere numărul mare de aplicaţii de wellness şi relevanţa limitată în scopuri de asistenţă medicală a datelor produse de multe dintre acestea, un sistem de certificare pentru aceste aplicaţii nu ar fi proporţional. Prin urmare, ar trebui să fie instituit un sistem obligatoriu de etichetare pentru aplicaţiile de wellness pentru care este declarată interoperabilitatea cu sistemele DES ca mecanism adecvat de asigurare a transparenţei pentru utilizatorii aplicaţiilor de wellness în ceea ce priveşte respectarea cerinţelor prevăzute de prezentul regulament, sprijinind astfel utilizatorii în alegerea aplicaţiilor de wellness adecvate cu standarde ridicate de interoperabilitate şi securitate. Comisia ar trebui să stabilească, prin intermediul unor acte de punere în aplicare, detaliile privind formatul şi conţinutul unei astfel de etichete.

(51)Distribuirea informaţiilor referitoare la sistemele DES certificate şi la aplicaţiile de wellness cărora li s-a acordat o etichetă este necesară pentru a permite achizitorilor şi utilizatorilor acestor produse să găsească soluţii interoperabile pentru nevoile lor specifice. Prin urmare, ar trebui să fie instituită la nivelul Uniunii o bază de date cu sistemele DES şi aplicaţiile de wellness interoperabile, care nu intră în domeniul de aplicare al Regulamentelor (UE) 2017/745 şi (UE) 2024/1689, similară cu Banca europeană de date referitoare la dispozitivele medicale (Eudamed) instituită prin Regulamentul (UE) 2017/745. Obiectivele bazei de date a UE pentru înregistrarea sistemelor DES şi a aplicaţiilor de wellness ar trebui să fie sporirea transparenţei generale, evitarea cerinţelor multiple de raportare, precum şi raţionalizarea şi facilitarea fluxului de informaţii. În ceea ce priveşte dispozitivele medicale şi sistemele de IA, înregistrarea ar trebui să fie menţinută în bazele de date existente instituite în temeiul Regulamentelor (UE) 2017/745 şi, respectiv, (UE) 2024/1689, dar conformitatea cu cerinţele de interoperabilitate ar trebui să fie indicată de producători atunci când aceştia declară această conformitate, pentru a furniza informaţii achizitorilor.

(52)Fără a împiedica sau înlocui dispoziţiile contractuale sau mecanismele de altă natură în vigoare, prezentul regulament vizează instituirea unui mecanism comun de accesare a datelor electronice privind sănătatea pentru utilizarea secundară în întreaga Uniune. În cadrul acestui mecanism, deţinătorii de date privind sănătatea ar trebui să pună la dispoziţie datele pe care le deţin pe baza unei autorizaţii privind datele sau a unei cereri de date privind sănătatea. În scopul prelucrării datelor electronice privind sănătatea pentru utilizare secundară, este necesar unul dintre temeiurile juridice menţionate la articolul 6 alineatul (1) litera (a), (c), (e) sau (f) din Regulamentul (UE) 2016/679, coroborat cu articolul 9 alineatul (2) din regulamentul respectiv. În consecinţă, prezentul regulament prevede un temei juridic pentru utilizarea secundară a datelor electronice cu caracter personal privind sănătatea, inclusiv garanţiile impuse în temeiul articolului 9 alineatul (2) literele (g)-(j) din Regulamentul (UE) 2016/679 care să permită prelucrarea unor categorii speciale de date, în ceea ce priveşte scopurile legale, guvernarea de încredere pentru furnizarea accesului la datele privind sănătatea, prin implicarea organismelor de acces la datele privind sănătatea şi prelucrarea într-un mediu de prelucrare securizat, precum şi modalităţile de prelucrare a datelor, stabilite în autorizaţia privind datele. În consecinţă, statele membre nu ar trebui să mai aibă posibilitatea de a menţine sau introduce, în temeiul articolului 9 alineatul (4) din Regulamentul (UE) 2016/679, condiţii suplimentare, inclusiv limitări şi dispoziţii specifice care solicită consimţământul persoanelor fizice, în ceea ce priveşte prelucrarea în vederea utilizării secundare a datelor electronice cu caracter personal privind sănătatea în temeiul prezentului regulament, cu excepţia introducerii de măsuri mai stricte şi garanţii suplimentare la nivel naţional pentru a proteja sensibilitatea şi valoarea anumitor date conform dispoziţiilor prezentului regulament. Solicitanţii de date privind sănătatea ar trebui, de asemenea, să demonstreze existenţa unui temei juridic menţionat la articolul 6 din Regulamentul (UE) 2016/679, care să le permită să solicite accesul la datele electronice privind sănătatea în temeiul prezentului regulament şi ar trebui să îndeplinească condiţiile prevăzute în capitolul IV din prezentul regulament. În plus, organismul de acces la datele privind sănătatea ar trebui să evalueze informaţiile furnizate de solicitantul de date privind sănătatea, pe baza cărora ar trebui să fie în măsură să elibereze o autorizaţie de prelucrare a datelor pentru prelucrarea datelor medicale electronice cu caracter personal în conformitate cu prezentul regulament, care ar trebui să îndeplinească cerinţele şi condiţiile stabilite în capitolul IV din prezentul regulament. Pentru prelucrarea datelor electronice privind sănătatea deţinute de deţinătorii de date privind sănătatea, prezentul regulament creează obligaţia legală, în înţelesul articolului 6 alineatul (1) litera (c) din Regulamentul (UE) 2016/679, în concordanţă cu articolul 9 alineatul (2) literele (i) şi (j) din regulamentul respectiv, pentru ca deţinătorul de date privind sănătatea să pună la dispoziţia organismelor de acces la datele privind sănătatea datele electronice cu caracter personal privind sănătatea, în timp ce temeiul juridic pentru scopul prelucrării iniţiale, de exemplu furnizarea de asistenţă medicală, nu este afectat. Prezentul regulament atribuie, de asemenea, sarcini de interes public în înţelesul articolului 6 alineatul (1) litera (e) din Regulamentul (UE) 2016/679 organismelor de acces la datele privind sănătatea şi îndeplineşte cerinţele de la articolul 9 alineatul (2) literele (g)-(j), după caz, din regulamentul menţionat. Dacă utilizatorul de date privind sănătatea se bazează pe un temei juridic prevăzut la articolul 6 alineatul (1) litera (e) sau (f) din Regulamentul (UE) 2016/679, prezentul regulament ar trebui să prezinte garanţiile necesare în temeiul articolului 9 alineatul (2) din Regulamentul (UE) 2016/679.

(53)Datele electronice privind sănătatea folosite pentru utilizare secundară electronice privind sănătatea poate aduce beneficii societale. Ar trebui să fie încurajată folosirea datelor reale şi a dovezilor concrete, inclusiv a rezultatelor comunicate de pacienţi, în scopuri de reglementare şi de politică bazate pe dovezi, precum şi pentru cercetare, evaluarea tehnologiei medicale şi obiective clinice. Datele din lumea reală şi dovezile din lumea reală pot completa datele privind sănătatea puse la dispoziţie în prezent. Pentru a atinge obiectivul respectiv, este important ca seturile de date puse la dispoziţie pentru utilizare secundară în conformitate cu prezentul regulament să fie cât mai complete posibil. Prezentul regulament oferă garanţiile necesare pentru a atenua anumite riscuri atrase de realizarea acestor beneficii. Utilizarea secundară a datelor electronice privind sănătatea se bazează pe date pseudonimizate sau anonimizate, pentru a împiedica identificarea persoanelor vizate.

(54)Pentru a găsi un echilibru între necesitatea ca utilizatorii de date privind sănătatea să dispună de seturi de date exhaustive şi reprezentative şi nevoia de autonomie a persoanelor fizice în ceea ce priveşte datele lor electronice cu caracter personal privind sănătatea care sunt considerate deosebit de sensibile, persoanele fizice ar trebui să posibilitatea de a decide dacă datele lor electronice cu caracter personal privind sănătatea pot fi prelucrate pentru utilizare secundară în temeiul prezentului regulament, sub forma unui drept de a refuza punerea la dispoziţie a respectivelor date electronice cu caracter personal privind sănătatea pentru utilizare secundară. Ar trebui să se prevadă un mecanism de exercitare a dreptului de refuz uşor de înţeles, accesibil şi uşor de utilizat. În plus, este absolut necesar să se ofere persoanelor fizice informaţii suficiente şi complete despre dreptul lor de refuz, inclusiv despre beneficiile şi dezavantajele pe care le implică exercitarea acestui drept. Persoanele fizice nu ar trebui să fie obligate să îşi motiveze refuzul şi ar trebui să poată reveni în orice moment asupra opţiunii lor. Cu toate acestea, în anumite scopuri strâns legate de interesul public, cum ar fi activităţile de protecţie împotriva ameninţărilor transfrontaliere grave privind sănătatea sau cercetarea ştiinţifică în scopuri importante de interes public, este oportun ca statelor membre să li se ofere posibilitatea de a stabili, ţinând seama de contextele lor naţionale, mecanisme de acordare a accesului la datele electronice cu caracter personal privind sănătatea ale persoanelor fizice care şi-au exercitat dreptul de refuz, pentru a se asigura că în situaţiile respective pot fi puse la dispoziţie seturi de date complete. Astfel de mecanisme ar trebui să respecte cerinţele stabilite pentru utilizarea secundară în temeiul prezentului regulament. Cercetarea ştiinţifică în scopuri importante de interes public ar putea include, de exemplu, cercetarea care încearcă să răspundă nevoilor medicale nesatisfăcute, inclusiv în cazul bolilor rare sau al ameninţărilor emergente la adresa sănătăţii. Normele referitoare la astfel de acţiuni contra dreptului de refuz ar trebui să respecte esenţa drepturilor şi libertăţilor fundamentale şi să constituie o măsură necesară şi proporţională într-o societate democratică pentru a realiza interesul public legat de obiective ştiinţifice şi societale legitime. Astfel de acţiuni contra dreptului de refuz ar trebui să fie disponibile numai utilizatorilor de date privind sănătatea care sunt organisme din sectorul public, sau instituţii, organe, oficii sau agenţii ale Uniunii relevante cărora li s-a încredinţat îndeplinirea unor sarcini în domeniul sănătăţii publice, sau unei alte entităţi căreia i s-a încredinţat îndeplinirea unor sarcini publice în domeniul sănătăţii publice sau care acţionează în numele unei autorităţi publice sau este mandatată de o astfel de autoritate, şi numai în cazul în care datele nu pot fi obţinute în timp util şi în mod eficient prin mijloace alternative. Respectivii utilizatori de date privind sănătatea ar trebui să justifice faptul că utilizarea acţiunii contra dreptului de refuz este necesară pentru o cerere individuală de acces la datele privind sănătatea sau pentru o cerere individuală de date privind sănătatea. Atunci când se recurge la o astfel de acţiune contra dreptului de refuz, garanţiile prevăzute în capitolul IV ar trebui să fie aplicate în continuare de utilizatorii de date privind sănătatea, în special interzicerea reidentificării sau a tentativelor de reidentificare a persoanelor fizice în cauză.

(55)În contextul SEDS, datele electronice privind sănătatea există deja şi sunt colectate, între alţii, de furnizorii de servicii medicale, de asociaţiile profesionale, de instituţiile publice, de autorităţile de reglementare, de cercetători şi de asigurători, în cadrul activităţilor lor. Datele respective ar trebui, de asemenea, să fie puse la dispoziţie pentru utilizare secundară, adică pentru prelucrarea datelor în alte scopuri decât cele pentru care au fost colectate sau produse. Totuşi, o mare parte din datele de acest tip nu sunt puse la dispoziţie în vederea prelucrării pentru astfel de scopuri. Acest fapt limitează capacitatea cercetătorilor, a inovatorilor, a responsabililor de elaborarea politicilor, a autorităţilor de reglementare şi a medicilor de a utiliza datele respective în diferite scopuri, inclusiv în scopuri de cercetare, de inovare, de elaborare a politicilor, de reglementare, de siguranţă a pacienţilor sau de medicină personalizată. Pentru a valorifica pe deplin beneficiile utilizării secundare, toţi deţinătorii de date privind sănătatea ar trebui să contribuie la acest efort prin punerea la dispoziţie pentru utilizare secundară a diferitelor categorii de date electronice privind sănătatea pe care le deţin, cu condiţia ca acest efort să se facă întotdeauna prin intermediul unor procese eficace şi sigure, cu respectarea obligaţiilor profesionale, cum ar fi obligaţiile de confidenţialitate.

(56)Categoriile de date electronice privind sănătatea care pot fi prelucrate pentru utilizare secundară ar trebui să fie suficient de ample şi de flexibile pentru a răspunde nevoilor în continuă evoluţie ale utilizatorilor de date privind sănătatea, rămânând totodată limitate la datele legate de sănătate sau despre care se ştie că influenţează sănătatea. Acestea pot include şi date relevante din sistemul de sănătate, de exemplu dosare electronice de sănătate, date referitoare la cererile de rambursare, date privind eliberările de medicamente, date din registre privind bolile sau date genomice, precum şi date cu impact asupra sănătăţii, de exemplu date privind consumul de diferite substanţe, statutul socioeconomic sau comportamentul, şi date privind factorii de mediu precum poluarea, radiaţiile sau utilizarea anumitor substanţe chimice. Categoriile de date electronice privind sănătatea pentru utilizare secundară includ unele categorii de date care au fost colectate iniţial în alte scopuri, cum ar fi cercetarea, statisticile, siguranţa pacienţilor, activităţile de reglementare sau activităţile de elaborare a politicilor, de exemplu registrele de elaborare a politicilor sau registrele privind efectele secundare ale medicamentelor sau ale dispozitivelor medicale. În anumite domenii sunt disponibile baze de date europene care facilitează utilizarea sau reutilizarea datelor, cum ar fi în ceea ce priveşte cancerul (Sistemul european de informaţii cu privire la cancer) sau bolile rare (de exemplu, Platforma europeană privind înregistrarea bolilor rare şi registrele reţelelor europene de referinţă). Categoriile de date electronice privind sănătatea care pot fi prelucrate pentru utilizare secundară ar trebui să includă şi date generate automat de dispozitive medicale şi date generate de persoane, cum ar fi datele provenite din aplicaţiile de wellness. Şi datele privind studiile clinice intervenţionale şi investigaţiile clinice ar trebui să fie incluse în categoriile de date electronice privind sănătatea pentru utilizare secundară, atunci când studiul clinic intervenţional sau investigaţia clinică s-a încheiat, fără a afecta orice partajare voluntară de date efectuată de sponsorii studiilor şi ai investigaţiilor în curs. Datele electronice privind sănătatea pentru utilizare secundară ar trebui să fie puse la dispoziţie, de preferinţă, într-un format electronic structurat care să le înlesnească prelucrarea de către sistemele informatice. Printre exemplele de formate electronice structurate se numără înregistrările într-o bază de date relaţională, documentele XML sau fişierele CSV, precum şi textul liber, materialele audio, video şi imaginile sub formă de fişiere care pot fi citite electronic.

(57)Utilizatorii de date privind sănătatea care beneficiază de acces la seturile de date prevăzute în prezentul regulament ar putea îmbogăţi datele din respectivele seturi de date cu diverse corecturi, adnotări şi alte îmbunătăţiri, de exemplu prin completarea datelor lipsă sau incomplete, îmbunătăţind astfel corectitudinea, caracterul complet sau calitatea datelor din seturile de date. Utilizatorii de date privind sănătatea ar trebui să fie încurajaţi să comunice organismelor de acces la datele privind sănătatea erorile critice din seturile de date. Pentru a sprijini îmbunătăţirea bazei de date iniţiale şi utilizarea suplimentară a setului de date îmbogăţit, statele membre ar trebui să poată stabili reguli pentru prelucrarea şi utilizarea datelor electronice privind sănătatea care conţin îmbunătăţiri legate de prelucrarea datelor respective. Setul de date îmbunătăţit ar trebui să fie pus gratuit la dispoziţia deţinătorului de date iniţial, împreună cu o descriere a îmbunătăţirilor. Deţinătorul de date privind sănătatea ar trebui să pună la dispoziţie noul set de date, cu excepţia cazului în care furnizează organismului de acces la datele privind sănătatea o notificare justificată a motivului pentru care acţionează în mod contrar, de exemplu în cazurile în care îmbogăţirea datelor de către utilizatorul de date privind sănătatea este de calitate scăzută. Ar trebui să se asigure faptul că datele electronice privind sănătatea fără caracter personal sunt disponibile pentru utilizarea secundară. În special, datele genomice ale agenţilor patogeni au o valoare semnificativă pentru sănătatea umană, după cum s-a constatat în timpul pandemiei de COVID-19, când accesul la timp la astfel de date şi partajarea lor s-au dovedit a fi esenţiale pentru dezvoltarea rapidă a instrumentelor de depistare, a mijloacelor medicale de contracarare şi a răspunsurilor la ameninţările la adresa sănătăţii publice. Cel mai mare beneficiu al eforturilor legate de datele genomice ale agenţilor patogeni va fi obţinut atunci când procesele de sănătate publică şi de cercetare vor face schimb de seturi de date şi vor coopera pentru a se informa şi a se îmbunătăţi reciproc.

(58)Pentru a face mai eficace utilizarea secundară a datelor electronice cu caracter personal privind sănătatea şi pentru a profita pe deplin de posibilităţile oferite de prezentul regulament, disponibilitatea în SEDS a datelor electronice privind sănătatea descrise în capitolul IV ar trebui să fie de asemenea natură încât datele să fie cât mai accesibile, pregătite şi adecvate şi de cât mai bună calitate pentru a crea o valoare şi o calitate ştiinţifică, inovatoare şi societală. Activităţile de punere în aplicare a SEDS şi de îmbunătăţire suplimentară a seturilor de date ar trebui să fie efectuate într-un mod care acordă prioritate seturilor de date care sunt cele mai adecvate pentru a crea o astfel de valoare şi calitate.

(59)Entităţile publice sau private primesc adesea finanţare publică din fonduri naţionale sau ale Uniunii pentru a colecta şi a prelucra date electronice privind sănătatea în scopuri de cercetare, de statistici oficiale sau neoficiale sau în alte scopuri similare, inclusiv în domenii în care colectarea acestor date este fragmentată sau dificilă, cum ar fi în legătură cu bolile rare sau cu cancerul. Astfel de date, colectate şi prelucrate de deţinătorii de date privind sănătatea cu sprijinul finanţării publice din partea Uniunii sau a celei naţionale, ar trebui să fie puse la dispoziţia organismelor de acces la datele privind sănătatea, pentru a maximiza impactul investiţiilor publice şi a sprijini cercetarea, inovarea, siguranţa pacienţilor sau elaborarea de politici în beneficiul societăţii. În unele state membre, entităţile private, inclusiv furnizorii privaţi de servicii medicale şi asociaţiile profesionale, joacă un rol esenţial în sectorul sănătăţii. Datele privind sănătatea deţinute de aceşti furnizori ar trebui, de asemenea, să fie puse la dispoziţie pentru utilizarea secundară. Deţinătorii de date privind sănătatea în contextul utilizării secundare ar trebui deci să fie entităţi care sunt furnizori de servicii medicale sau furnizori de îngrijire sau care desfăşoară activităţi de cercetare în sectorul serviciilor medicale sau al îngrijirii ori care creează produse sau servicii destinate sectoarelor serviciilor medicale sau îngrijirii. Aceste entităţi pot fi publice, non-profit sau private. Potrivit acestei definiţii, centrele de îngrijire şi asistenţă, centrele de zi, entităţile care prestează servicii pentru persoanele cu dizabilităţi, entităţi care desfăşoară activităţi comerciale şi tehnologice ce ţin de îngrijire, cum ar fi serviciile de ortopedie şi societăţile care furnizează servicii de îngrijire, ar trebui să fie considerate deţinători de date privind sănătatea. Şi persoanele juridice care dezvoltă aplicaţii de wellness ar trebui să fie considerate deţinători de date privind sănătatea. Instituţiile, organele, oficiile sau agenţiile Uniunii care prelucrează respectivele categorii de date privind sănătatea şi asistenţa medicală, precum şi registrele mortalităţii ar trebui, de asemenea, să fie considerate deţinători de date privind sănătatea. Pentru a evita o sarcină disproporţionată pentru persoane fizice şi microîntreprinderi, acestea ar trebui, ca regulă generală, să fie scutite de obligaţiile care le revin deţinătorilor de date privind sănătatea. Cu toate acestea, statele membre ar trebui să poată extinde, în dreptul lor intern, obligaţiile deţinătorilor de date privind sănătatea la persoanele fizice şi la microîntreprinderi. Pentru a reduce sarcina administrativă şi prin prisma principiilor eficacităţii şi eficienţei, statele membre ar trebui să poată impune în dreptul lor intern ca entităţile de intermediere de date privind sănătatea să îndeplinească obligaţiile care le revin anumitor categorii de deţinători de date privind sănătatea. Astfel de entităţi de intermediere de date privind sănătatea ar trebui să fie persoane juridice capabile să prelucreze, să pună la dispoziţie, să înregistreze, să furnizeze şi să facă schimb de date electronice privind sănătatea pentru utilizare secundară, furnizate de deţinătorii de date privind sănătatea, şi să restricţioneze accesul la astfel de date. Astfel de entităţi de intermediere de date privind sănătatea îndeplinesc sarcini care diferă de cele ale serviciilor de intermediere de date prestate în temeiul Regulamentul (UE) 2022/868.

(60)Datele electronice privind sănătatea protejate prin drepturi de proprietate intelectuală sau secrete comerciale, inclusiv datele privind studiile clinice intervenţionale, investigaţiile clinice şi studiile clinice, pot fi foarte utile pentru utilizarea secundară şi pot stimula inovarea în Uniune, în beneficiul pacienţilor din Uniune. Pentru a stimula menţinerea poziţiei de lider a Uniunii, este important să se încurajeze partajarea datelor privind studiile clinice intervenţionale şi investigaţiile clinice prin intermediul SEDS în vederea utilizării secundare. Datele privind studiile clinice intervenţionale şi investigaţiile clinice ar trebui să fie puse la dispoziţie în măsura posibilului, luând în acelaşi timp toate măsurile necesare pentru a proteja drepturile de proprietate intelectuală şi secretele comerciale. Prezentul regulament nu ar trebui să fie utilizat pentru a reduce sau a eluda această protecţie şi ar trebui să fie coerent cu dispoziţiile relevante privind transparenţa prevăzute în dreptul Uniunii, inclusiv pentru datele privind studiile clinice intervenţionale şi investigaţiile clinice. Organismele de acces la datele privind sănătatea ar trebui să evalueze modul în care se poate menţine această protecţie, permiţând totodată accesul utilizatorilor de date privind sănătatea la astfel de date, în măsura posibilului. În cazul în care un organism de acces la datele privind sănătatea nu poate oferi acces la astfel de date, acesta ar trebui să informeze utilizatorul de date privind sănătatea şi să explice de ce nu este posibil să ofere un astfel de acces. Printre măsurile juridice, organizatorice şi tehnice de protejare a drepturilor de proprietate intelectuală sau a secretelor comerciale s-ar putea număra acorduri contractuale comune privind accesul la datele electronice privind sănătatea, obligaţii specifice în cadrul autorizaţiei privind datele aferente acestor drepturi, prelucrarea prealabilă a datelor pentru a genera date deduse care protejează un secret comercial, dar care prezintă totuşi o utilitate pentru utilizatorul de date privind sănătatea, sau configurarea mediului de prelucrare securizată astfel încât aceste date să nu fie accesibile utilizatorului de date privind sănătatea.

(61)Utilizarea secundară a datelor privind sănătatea în cadrul SEDS ar trebui să permită entităţilor publice, private şi non-profit, precum şi cercetătorilor individuali să aibă acces la datele privind sănătatea pentru cercetare, inovare, elaborarea politicilor, activităţi educaţionale, siguranţa pacienţilor, activităţi de reglementare sau medicina personalizată, în conformitate cu scopurile stabilite în prezentul regulament. Accesul la date pentru utilizare secundară ar trebui să contribuie la interesul general al societăţii. În special, utilizarea secundară a datelor privind sănătatea în scopuri de cercetare şi dezvoltare ar trebui să contribuie la beneficii pentru societate sub forma unor noi medicamente, dispozitive medicale şi produse şi servicii de îngrijire a sănătăţii la preţuri accesibile şi echitabile pentru cetăţenii Uniunii, precum şi la îmbunătăţirea accesului la astfel de produse şi servicii şi a disponibilităţii acestora în toate statele membre. Activităţile pentru care este legal accesul în contextul prezentului regulament ar putea include utilizarea datelor electronice privind sănătatea pentru sarcini îndeplinite de organismele din sectorul public, cum ar fi exercitarea îndatoririlor publice, inclusiv supravegherea sănătăţii publice, sarcinile de planificare şi raportare, elaborarea politicilor în domeniul sănătăţii, precum şi asigurarea siguranţei pacienţilor, a calităţii îngrijirii şi a durabilităţii sistemelor de asistenţă medicală. Pentru organismele din sectorul public şi instituţiile, organele, oficiile şi agenţiile Uniunii ar putea fi necesar accesul regulat la datele electronice privind sănătatea pentru o perioadă mai lungă, inclusiv pentru a-şi îndeplini mandatul prevăzut de prezentul regulament. Organismele din sectorul public ar putea desfăşura astfel de activităţi de cercetare utilizând părţi terţe, inclusiv subcontractanţi, atât timp cât organismul din sectorul public rămâne permanent supraveghetorul activităţilor respective. Furnizarea datelor ar trebui, de asemenea, să sprijine activităţile legate de cercetarea ştiinţifică. Conceptul de scopuri de cercetare ştiinţifică ar trebui să fie interpretat în sens larg, incluzând dezvoltarea tehnologică şi demonstraţia tehnologică, cercetarea fundamentală, cercetarea aplicată şi cercetarea finanţată din fonduri private. Printre activităţile legate de cercetarea ştiinţifică se numără activităţile de inovare precum antrenarea algoritmilor de IA care ar putea fi folosiţi în asistenţa medicală sau în îngrijirea persoanelor fizice, precum şi evaluarea şi dezvoltarea în continuare a algoritmilor şi a produselor existente în astfel de scopuri. Este necesar ca SEDS să contribuie, de asemenea, la cercetarea fundamentală şi, deşi beneficiile cercetării fundamentale pentru utilizatorii finali şi pacienţi ar putea fi mai puţin directe, aceasta este esenţială pentru beneficiile societale pe termen lung. În unele cazuri, informaţiile unor persoane fizice, cum ar fi informaţiile genomice ale persoanelor fizice cu o anumită boală, ar putea contribui la diagnosticarea sau tratamentul altor persoane fizice. Este necesar ca organismele din sectorul public să depăşească domeniul de aplicare de necesitate excepţională al capitolului V din Regulamentul (UE) 2023/2854. Totuşi, organismele de acces la datele privind sănătatea ar trebui să poată sprijini organismele din sectorul public atunci când prelucrează sau corelează date. Prezentul regulament prevede un canal pentru organismele din sectorul public prin care acestea pot obţine acces la informaţiile de care au nevoie pentru îndeplinirea sarcinilor care le sunt atribuite prin lege, dar nu extinde mandatul unor astfel de organisme din sectorul public.

(62)Ar trebui să fie interzisă orice încercare de a utiliza datele electronice privind sănătatea pentru măsuri în detrimentul persoanelor fizice, cum ar fi majorarea primelor de asigurare, implicarea în activităţi ce pot fi în detrimentul persoanelor fizice ce ţin de locul de muncă, pensii sau servicii bancare, inclusiv ipotecarea bunurilor imobiliare, publicitatea la produse sau tratamente, automatizarea procesului de luare a deciziilor individuale, reidentificarea persoanelor fizice sau crearea unor produse dăunătoare. Această interdicţie ar trebui să se aplice, de asemenea, activităţilor care sunt în contradicţie cu dispoziţiile de etică în temeiul dreptului intern, cu excepţia dispoziţiilor de etică referitoare la consimţământul cu privire la prelucrarea datelor cu caracter personal şi a dispoziţiilor de etică referitoare la dreptul de refuz, întrucât prezentul regulament prevalează asupra dreptului intern, în conformitate cu principiul general al supremaţiei dreptului Uniunii. De asemenea, ar trebui să se interzică acordarea accesului la datele electronice privind sănătatea sau punerea acestora în alt mod la dispoziţia unor părţi terţe care nu sunt menţionate în autorizaţia privind datele. Pe autorizaţia privind datele ar trebui să se specifice identitatea persoanelor autorizate, în special identitatea investigatorului principal, care vor avea dreptul, în temeiul prezentului regulament, de a accesa datele electronice privind sănătatea în mediul de prelucrare securizat. Investigatorii principali sunt principalele persoane responsabile de solicitarea accesului la datele electronice privind sănătatea şi de prelucrarea datelor solicitate în mediul de prelucrare securizat în numele utilizatorului de date privind sănătatea.

(63)Prezentul regulament nu instituie o permisiune pentru utilizarea secundară a datelor privind sănătatea în scopul aplicării legii. Prevenirea, investigarea, depistarea sau urmărirea penală a infracţiunilor sau executarea sancţiunilor penale de către autorităţile competente nu ar trebui să se numere printre scopurile de utilizare secundară reglementate de prezentul regulament. Prin urmare, instanţele şi alte entităţi ale sistemului de justiţie nu ar trebui să fie considerate utilizatori de date privind sănătatea pentru utilizarea secundară a datelor privind sănătatea în temeiul prezentului regulament. În plus, instanţele şi alte entităţi ale sistemului de justiţie nu ar trebui să fie incluse în definiţia deţinătorilor de date privind sănătatea şi, prin urmare, acestora nu ar trebui să le revină obligaţiile care le revin deţinătorilor de date privind sănătatea în temeiul prezentului regulament. De asemenea, nu sunt afectate de prezentul regulament prerogativele autorităţilor competente pentru prevenirea, investigarea, depistarea şi urmărirea penală a infracţiunilor în conformitate cu legea de a obţine date electronice privind sănătatea. Totodată, datele electronice privind sănătatea deţinute de instanţe în scopul procedurilor judiciare nu intră sub incidenţa prezentului regulament.

(64)Instituirea unuia sau a mai multor organisme de acces la datele privind sănătatea, care să sprijine accesul la datele electronice privind sănătatea în statele membre, este esenţială pentru promovarea utilizării secundare a datelor legate de sănătate. Prin urmare, statele membre ar trebui să înfiinţeze unul sau mai multe organisme de acces la datele privind sănătatea, pentru a reflecta, printre altele, structura lor constituţională, organizaţională şi administrativă. Cu toate acestea, unul dintre aceste organisme de acces la datele privind sănătatea ar trebui să fie desemnat în calitate de coordonator în eventualitatea în care există mai mult de un organism de acces la datele privind sănătatea. În cazul în care un stat membru instituie mai multe organisme de acces la datele privind sănătatea, acesta ar trebui să stabilească norme la nivel naţional pentru a asigura participarea coordonată a organismelor respective la Consiliul pentru spaţiul european al datelor privind sănătatea (denumit în continuare "Consiliul SEDS"). Statul membru respectiv ar trebui, în special, să desemneze un singur organism de acces la datele privind sănătatea care să funcţioneze ca punct unic de contact pentru participarea efectivă a acestor organisme şi să asigure o cooperare rapidă şi fără probleme cu alte organisme de acces la datele privind sănătatea, cu Consiliul SEDS şi cu Comisia. Organismele de acces la datele privind sănătatea ar putea varia în ceea ce priveşte organizarea şi mărimea, de la o organizaţie specifică independentă la o unitate sau un departament în cadrul unei organizaţii existente. Organismele de acces la datele privind sănătatea nu ar trebui să fie influenţate în deciziile lor legate de accesul la datele electronice pentru utilizarea secundară şi ar trebui să evite orice conflict de interese. Prin urmare, membrii organelor de conducere şi de decizie ale organismului de acces la datele privind sănătatea şi personalul acestuia ar trebui să se abţină de la orice acţiune incompatibilă cu atribuţiile lor şi ar trebui să nu desfăşoare nicio activitate incompatibilă. Cu toate acestea, independenţa organismelor de acces la datele privind sănătatea nu ar trebui să însemne că acestea nu pot fi supuse unor mecanisme de control sau de monitorizare în ceea ce priveşte cheltuielile lor financiare sau controlului judiciar. Fiecare organism de acces la datele privind sănătatea ar trebui să beneficieze de resurse financiare, tehnice şi umane, precum şi de spaţiile de lucru şi de infrastructura necesare pentru îndeplinirea cu eficacitate a sarcinilor sale, inclusiv a celor legate de cooperarea cu alte organisme de acces la datele privind sănătatea din întreaga Uniune. Membrii organelor de conducere şi de decizie ale organismelor de acces la datele privind sănătatea şi personalul acestora ar trebui să aibă calificările, experienţa şi competenţele necesare. Fiecare organism de acces la datele privind sănătatea ar trebui să aibă un buget public anual separat, care ar putea face parte din bugetul general de stat sau naţional. Pentru a permite un acces mai bun la datele privind sănătatea şi pentru a completa articolul 7 alineatul (2) din Regulamentul (UE) 2022/868, statele membre ar trebui să încredinţeze organismelor de acces la datele privind sănătatea competenţa de a lua decizii privind accesul la datele privind sănătatea şi utilizarea secundară a acestora. Acest demers ar putea consta în alocarea de noi sarcini organismelor competente desemnate de statele membre în temeiul articolului 7 alineatul (1) din Regulamentul (UE) 2022/868 sau în desemnarea organismelor sectoriale existente sau noi responsabile de astfel de sarcini în ceea ce priveşte accesul la datele privind sănătatea.

(65)Organismele de acces la datele privind sănătatea ar trebui să monitorizeze aplicarea capitolului IV din prezentul regulament şi să contribuie la aplicarea coerentă a acestuia în întreaga Uniune. În acest scop, organismele de acces la datele privind sănătatea ar trebui să coopereze între ele şi cu Comisia. Organismele de acces la datele privind sănătatea ar trebui să coopereze şi cu părţile interesate, inclusiv cu organizaţiile pacienţilor. Organismele de acces la datele privind sănătatea ar trebui să sprijine deţinătorii de date privind sănătatea care sunt întreprinderi mici în conformitate cu Recomandarea 2003/361/CE a Comisiei (¹⁸), în special medicii şi farmaciile. Întrucât utilizarea secundară a datelor privind sănătatea implică prelucrarea datelor cu caracter personal referitoare la sănătate, se aplică dispoziţiile relevante din Regulamentele (UE) 2016/679 şi (UE) 2018/1725, iar autorităţile de supraveghere în temeiul regulamentelor menţionate ar trebui să rămână singurele autorităţi competente să asigure respectarea dispoziţiilor respective. Organismele de acces la datele privind sănătatea ar trebui să informeze autorităţile pentru protecţia datelor cu privire la orice sancţiuni impuse şi la orice eventuale probleme legate de prelucrarea datelor pentru utilizare secundară şi să facă schimb de orice informaţii relevante de care dispun pentru a asigura aplicarea normelor relevante. Pe lângă sarcinile necesare pentru a asigura utilizarea secundară eficace a datelor privind sănătatea, organismul de acces la datele privind sănătatea ar trebui să depună eforturi pentru a extinde disponibilitatea unor seturi suplimentare de date privind sănătatea şi să promoveze elaborarea unor standarde comune. Acestea ar trebui să aplice tehnici testate de ultimă generaţie care să asigure faptul că datele electronice privind sănătatea sunt prelucrate într-un mod care păstrează confidenţialitatea informaţiilor conţinute în datele a căror utilizare secundară este autorizată, inclusiv tehnici de pseudonimizare, anonimizare, generalizare, eliminare şi randomizare a datelor cu caracter personal. Organismele de acces la datele privind sănătatea pot pregăti seturi de date pentru utilizatorul de date privind sănătatea conform cerinţelor din autorizaţia eliberată privind datele. În această privinţă, organismele de acces la datele privind sănătatea ar trebui să coopereze la nivel transfrontalier pentru a dezvolta şi a face schimb de bune practici şi tehnici. Aceasta include norme privind pseudonimizarea şi anonimizarea seturilor de microdate. Atunci când este cazul, Comisia ar trebui să stabilească procedurile şi cerinţele şi să furnizeze instrumente tehnice pentru o procedură unificată de pseudonimizare şi anonimizare a datelor electronice privind sănătatea.

(66)Organismele de acces la datele privind sănătatea ar trebui să asigure transparenţa utilizării secundare furnizând informaţii publice cu privire la autorizaţiile privind datele acordate şi la justificările acestora, la măsurile luate pentru a proteja drepturile persoanelor fizice, la mijloacele prin care persoanele fizice îşi pot exercita drepturile în legătură cu utilizarea secundară şi la rezultatele utilizării secundare, inclusiv prin linkuri către publicaţii ştiinţifice. După caz, informaţiile respective privind rezultatele utilizării secundare ar trebui să includă şi un rezumat general care să fie transmis de utilizatorul de date privind sănătatea. Aceste obligaţii de transparenţă completează obligaţiile prevăzute la articolul 14 din Regulamentul (UE) 2016/679. Este posibil să se aplice excepţiile prevăzute la articolul 14 alineatul (5) din regulamentul menţionat. În cazul în care se aplică astfel de excepţii, aceste obligaţii în materie de transparenţă stabilite în prezentul regulament ar trebui să contribuie la asigurarea prelucrării echitabile şi transparente, astfel cum se menţionează la articolul 14 alineatul (2) din Regulamentul (UE) 2016/679, de exemplu prin furnizarea de informaţii privind scopul prelucrării şi categoriile de date prelucrate, permiţând astfel persoanelor fizice să înţeleagă dacă datele lor sunt puse la dispoziţie pentru utilizare secundară în temeiul autorizaţiilor privind datele.

(67)Persoanele fizice ar trebui să fie informate de către deţinătorii de date privind sănătatea cu privire la constatările importante privind starea lor de sănătate făcute de utilizatorii de date privind sănătatea. Persoanele fizice ar trebui să aibă dreptul să solicite să nu fie informate cu privire la astfel de constatări. Statele membre ar putea stabili condiţii privind modalităţile pentru furnizarea de către deţinătorii de date privind sănătatea a unor astfel de informaţii persoanelor fizice în cauză şi privind exercitarea dreptului de a nu fi informate. în acest sens. În conformitate cu articolul 23 alineatul (1) litera (i) din Regulamentul (UE) 2016/679, statele membre ar trebui să aibă posibilitatea să restrângă sfera de aplicare a obligaţiei de a informa persoanele fizice ori de câte ori este necesar pentru protecţia lor, pe baza siguranţei pacienţilor şi a eticii, prin amânarea transmiterii informaţiilor lor până când un profesionist din domeniul sănătăţii poate comunica şi explica persoanelor fizice în cauză informaţii care pot avea un impact asupra sănătăţii lor.

(68)Pentru a promova transparenţa, organismele de acces la datele privind sănătatea ar trebui să publice şi rapoarte de activitate, din doi în doi ani, care să ofere o imagine de ansamblu a activităţilor lor. În cazul în care un stat membru a desemnat mai multe organisme de acces la datele privind sănătatea, organismul de coordonare ar trebui să pregătească şi să publice un raport comun din doi în doi ani. Rapoartele de activitate ar trebui să urmeze o structură convenită de Consiliul SEDS şi să ofere o imagine de ansamblu a activităţilor, inclusiv informaţii referitoare la deciziile privind cererile, auditurile şi colaborarea cu părţile interesate relevante. Printre aceste părţi interesate se pot număra reprezentanţi ai persoanelor fizice, ai organizaţiilor pacienţilor, ai profesioniştilor din domeniul sănătăţii, ai cercetătorilor şi ai comitetelor de etică.

(69)Pentru a sprijini utilizarea secundară, deţinătorii de date privind sănătatea ar trebui să nu refuze divulgarea datelor, să nu solicite taxe nejustificate care nu sunt transparente şi nici proporţionale cu costurile de punere la dispoziţie a datelor sau, după caz, cu costurile marginale pentru colectarea datelor, să nu solicite utilizatorilor de date privind sănătatea să publice cercetări în colaborare şi să nu se angajeze în alte practici care ar putea descuraja utilizatorii de date privind sănătatea să solicite datele. În cazul în care un deţinător de date privind sănătatea este un organism din sectorul public, partea din taxe ce ţine de costurile sale nu ar trebui să acopere costurile colectării iniţiale a datelor. În cazul în care aprobarea etică este necesară pentru furnizarea unei autorizaţii privind datele, evaluarea referitoare la aprobarea etică ar trebui să se bazeze pe elemente intrinsece.

(70)Organismele de acces la datele privind sănătatea ar trebui să aibă posibilitatea de a percepe taxe, luând în considerare normele orizontale prevăzute de Regulamentul (UE) 2022/868, în legătură cu sarcinile lor. Astfel de taxe ar putea lua în considerare situaţia şi interesul întreprinderilor mici şi mijlocii (IMM-uri), ale cercetătorilor individuali sau ale organismelor din sectorul public. În special, statele membre ar trebui să poată stabili măsuri pentru organismele de acces la datele privind sănătatea din jurisdicţia lor care să facă posibilă perceperea unor taxe reduse anumitor categorii de utilizatori de date privind sănătatea. Organismele de acces la datele privind sănătatea ar trebui să poată acoperi costurile funcţionării lor cu ajutorul unor taxe stabilite proporţional, justificat şi transparent. Acest lucru ar putea duce la taxe mai mari pentru unii utilizatori de date privind sănătatea, în cazul în care gestionarea cererilor lor de acces la datele privind sănătatea şi a cererilor lor de date privind sănătatea necesită mai multe eforturi. Deţinătorilor de date privind sănătatea ar trebui să li se permită, de asemenea, să perceapă taxe pentru punerea la dispoziţie a datelor care să le reflecte costurile. Organismele de acces la datele privind sănătatea ar trebui să decidă cuantumurile acestor taxe, printre care s-ar număra şi taxele solicitate de deţinătorii de date privind sănătatea. Aceste taxe ar trebui să fie percepute de organismul de acces la datele privind sănătatea utilizatorului de date privind sănătatea printr-o factură unică. Organismul de acces la datele privind sănătatea ar trebui apoi să transfere deţinătorului de date privind sănătatea partea relevantă din taxele achitate. Pentru a asigura o abordare armonizată în ceea ce priveşte politicile şi structura taxelor, Comisiei ar trebui să i se confere competenţe de executare. În privinţa taxelor percepute în temeiul prezentului regulament ar trebui să se aplice dispoziţiile articolului 10 din Regulamentul (UE) 2023/2854.

(71)Pentru a consolida asigurarea respectării normelor privind utilizarea secundară, ar trebui avute în vedere măsuri adecvate care să conducă la amenzi administrative sau la măsuri de executare de către organismele de acces la datele privind sănătatea sau la excluderi temporare sau definitive din cadrul SEDS aplicate utilizatorilor de date privind sănătatea sau deţinătorilor de date privind sănătatea care nu îşi respectă obligaţiile. Organismele de acces la datele privind sănătatea ar trebui să fie împuternicite să verifice conformitatea utilizatorilor de date privind sănătatea şi deţinătorilor de date privind sănătatea şi să le ofere posibilitatea de a răspunde oricărei constatări şi de a remedia orice încălcare. Atunci când decid cu privire la cuantumul amenzii administrative sau al unei măsuri de executare pentru fiecare caz în parte, organismele de acces la datele privind sănătatea ar trebui să ţină seama de marjele pentru costuri şi de criteriile stabilite în prezentul regulament, asigurându-se că amenzile sau măsurile respective sunt proporţionale.

(72)Având în vedere sensibilitatea datelor electronice privind sănătatea, este necesar să se reducă riscurile la adresa vieţii private a persoanelor fizice, prin aplicarea principiului reducerii la minimum a datelor. Prin urmare, datele electronice fără caracter personal privind sănătatea ar trebui să fie puse la dispoziţie în toate cazurile în care furnizarea acestor date este suficientă. În cazul în care utilizatorul de date privind sănătatea trebuie să utilizeze date electronice cu caracter personal privind sănătatea, acesta ar trebui să indice în mod clar în cererea sa justificarea utilizării respectivului tip de date, iar organismul de acces la datele privind sănătatea ar trebui să evalueze dacă justificarea respectivă este validă. Datele electronice cu caracter personal privind sănătatea ar trebui să fie puse la dispoziţie doar într-un format pseudonimizat. Luând în considerare scopurile exprese ale prelucrării, datele electronice cu caracter personal privind sănătatea ar trebui să fie pseudonimizate sau anonimizate cât mai curând posibil în procesul de punere la dispoziţie a datelor pentru utilizare secundară. Pseudonimizarea şi anonimizarea ar trebui să poată fi efectuate de organismele de acces la datele privind sănătatea sau de deţinătorii de date privind sănătatea. În calitate de operatori, organismelor de acces la datele privind sănătatea şi deţinătorilor de date privind sănătatea ar trebui să li se permită să delege aceste sarcini persoanelor împuternicite de operatori. Atunci când oferă acces la un set de date pseudonimizate sau anonimizate, un organism de acces la datele privind sănătatea ar trebui să utilizeze tehnologii şi standarde de pseudonimizare sau anonimizare de ultimă generaţie, asigurând în cea mai mare măsură posibilă faptul că persoanele fizice nu pot fi reidentificate de utilizatorii de date privind sănătatea. Ar trebui dezvoltate în continuare astfel de tehnologii şi standarde de pseudonimizare sau anonimizare a datelor. Utilizatorii de date privind sănătatea nu ar trebui să încerce să reidentifice persoanele fizice din setul de date furnizat în temeiul prezentului regulament, iar în cazul în care le reidentifică ar trebui să li se aplice amenzi administrative şi a măsuri de executare prevăzute în prezentul regulament sau posibile sancţiuni penale, în cazul în care dreptul intern prevede astfel. În plus, un solicitant de date privind sănătatea ar trebui să poată solicita un răspuns la o cerere de date privind sănătatea într-un format statistic anonimizat. În astfel de cazuri, utilizatorul de date privind sănătatea prelucrează numai date fără caracter personal, iar organismul de acces la datele privind sănătatea rămâne singurul operator pentru orice date cu caracter personal necesare pentru a răspunde cererii de date privind sănătatea.

(73)Pentru a asigura faptul că toate organismele de acces la datele privind sănătatea eliberează autorizaţii privind datele în mod similar, este necesar să se stabilească un proces comun standard pentru eliberarea autorizaţiilor privind datele, cu cereri similare în diferite state membre. Solicitantul de date privind sănătatea ar trebui să furnizeze organismelor de acces la datele privind sănătatea mai multe elemente de informare care ar ajuta organismul să evalueze cererea de acces la datele privind sănătatea şi să decidă dacă solicitantul de date privind sănătatea poate primi o autorizaţie privind datele, şi ar trebui să se asigure coerenţa între diferitele organisme de acces la datele privind sănătatea. Informaţiile furnizate în cadrul cererii de acces la datele privind sănătatea ar trebui să îndeplinească cerinţele stabilite în temeiul prezentului regulament pentru a permite ca cererea să fie evaluată amănunţit, deoarece o autorizaţie privind datele ar trebui să fie eliberată numai dacă sunt îndeplinite toate condiţiile necesare prevăzute în prezentul regulament. În plus, dacă este cazul, informaţiile respective ar trebui să conţină o declaraţie a solicitantului de date privind sănătatea care să confirme că utilizarea preconizată a datelor solicitate privind sănătatea nu prezintă riscul de stigmatizare sau de afectare a demnităţii persoanelor fizice sau a grupurilor la care se referă setul de date solicitat. O evaluare etică se poate impune în temeiul dreptului intern. În acest caz, ar trebui să fie posibil ca organismele de etică existente să efectueze astfel de evaluări pentru organismul de acces la datele privind sănătatea. În acest scop, organismele de etică existente ale statelor membre ar trebui să îşi pună cunoştinţele de specialitate la dispoziţia organismului de acces la datele privind sănătatea. Ca alternativă, statele membre ar trebui să poată prevedea ca organismele de etică să facă parte din organismul de acces la datele privind sănătatea. Organismul de acces la datele privind sănătatea şi, dacă este cazul, deţinătorii de date privind sănătatea ar trebui să sprijine utilizatorii de date privind sănătatea în selectarea seturilor de date sau a surselor de date adecvate pentru scopul propus al utilizării secundare. În cazul în care solicitantul de date privind sănătatea are nevoie de date într-un format statistic anonimizat, acesta ar trebui să depună o cerere de date privind sănătatea, solicitând organismului de acces la datele privind sănătatea să furnizeze rezultatul în mod direct. Refuzul organismului de acces la datele privind sănătatea de a acorda o autorizaţie privind datele nu ar trebui să împiedice solicitantul de date privind sănătatea să depună o nouă cerere de acces la datele privind sănătatea. Pentru a asigura o abordare armonizată între organismele de acces la datele privind sănătatea şi pentru a limita sarcina administrativă pentru solicitanţii de date privind sănătatea, Comisia ar trebui să sprijine armonizarea cererilor de acces la datele privind sănătatea, precum şi a cererilor de date privind sănătatea, inclusiv prin stabilirea modelelor relevante. În cazuri justificate, cum ar fi în cazul unei cereri complexe şi dificile, organismul de acces la datele privind sănătatea ar trebui să aibă posibilitatea de a prelungi perioada în care deţinătorii de date privind sănătatea trebuie să îi pună la dispoziţie datele electronice privind sănătatea solicitate.

(74)Întrucât resursele lor sunt limitate, organismele de acces la datele privind sănătatea ar trebui să aibă posibilitatea de a aplica norme de stabilire a priorităţilor, de exemplu, acordând prioritate instituţiilor publice în faţa entităţilor private, dar, în cadrul aceleiaşi categorii de priorităţi, nu ar trebui să diferenţieze între organizaţiile naţionale şi organizaţiile din alte state membre. Un utilizator de date privind sănătatea ar trebui să poată prelungi durata autorizaţiei privind datele, de exemplu, pentru a permite accesul la seturile de date pentru examinatorii publicaţiilor ştiinţifice sau pentru a permite o analiză suplimentară a setului de date pe baza constatărilor iniţiale. Acest demers ar trebui să necesite o modificare a autorizaţiei privind datele şi ar putea face obiectul unei taxe suplimentare. Totuşi, în toate cazurile, autorizaţia privind datele ar trebui să reflecte astfel de utilizări suplimentare ale setului de date. De preferinţă, utilizatorul de date privind sănătatea ar trebui să menţioneze respectivele utilizări în cererea sa iniţială de acces la datele privind sănătatea. Pentru a asigura o abordare armonizată între organismele de acces la datele privind sănătatea, Comisia ar trebui să sprijine armonizarea autorizaţiilor privind datele.

(75)După cum a arătat criza provocată de pandemia de COVID-19, instituţiile, organele, oficiile şi agenţiile Uniunii cărora legea le acordă competenţe în domeniul sănătăţii publice, în special Comisia, au nevoie de acces la datele privind sănătatea pentru o perioadă mai lungă şi în mod recurent. Acest lucru s-ar putea întâmpla nu numai în cazul unor circumstanţe specifice prevăzute în dreptul Uniunii sau dreptul intern în perioade de criză, ci şi pentru a furniza periodic dovezi ştiinţifice şi sprijin tehnic pentru politicile Uniunii. Accesul la aceste date ar putea fi solicitat în anumite state membre sau pe întreg teritoriul Uniunii. Astfel de instituţii, organe, oficii şi agenţii ale Uniunii ar trebui să poată beneficia de o procedură accelerată pentru ca datele să le fie puse la dispoziţie, de regulă, în mai puţin de două luni, cu posibilitatea de a prelungi acest termen cu o lună în cazurile mai complexe.

(76)Statele membre ar trebui să aibă posibilitatea de a desemna deţinători de date privind sănătatea de încredere, pentru care procedura de acordare a autorizaţiei privind datele să poată fi efectuată într-un mod simplificat, pentru a uşura sarcina administrativă pentru organismele de acces la datele medicale privind sănătatea aferentă gestionării cererilor de date prelucrate de acestea. Deţinătorii de încredere de date privind sănătatea ar trebui să aibă posibilitatea de a evalua cererile de acces la datele privind sănătatea depuse prin această procedură simplificată, pe baza cunoştinţelor lor de specialitate în gestionarea tipului de date privind sănătatea pe care le prelucrează, şi să emită o recomandare cu privire la o autorizaţie privind datele. Organismul de acces la datele privind sănătatea ar trebui să rămână responsabil de eliberarea autorizaţiei finale privind datele şi nu ar trebui să fie obligat să respecte recomandarea transmisă de deţinătorul de încredere de date privind sănătatea. Entităţile de intermediere de date privind sănătatea nu ar trebui să fie desemnate drept deţinători de date de încredere privind sănătatea.

(77)Având în vedere sensibilitatea datelor electronice privind sănătatea, utilizatorii de date privind sănătatea nu ar trebui să aibă acces nerestricţionat la aceste date. Orice acces la datele electronice privind sănătatea solicitate în scopul unei utilizări secundare ar trebui să se realizeze prin intermediul unui mediu de prelucrare securizat. Pentru a asigura că sunt implementate garanţii tehnice şi de securitate solide pentru datele electronice privind sănătatea, organismul de acces la datele privind sănătatea sau, după caz, deţinătorul de încredere de date privind sănătatea ar trebui să ofere acces la astfel de date într-un mediu de prelucrare securizat, respectând standardele tehnice şi de securitate ridicate stabilite în temeiul prezentului regulament. Prelucrarea datelor cu caracter personal într-un astfel de mediu de prelucrare securizat ar trebui să respecte Regulamentul (UE) 2016/679, inclusiv, în cazul în care mediul de prelucrare securizat este gestionat de o parte terţă, cerinţele de la articolul 28 din regulamentul menţionat şi, după caz, de la capitolul V din acesta. Un astfel de mediu de prelucrare securizat ar trebui să reducă riscurile la adresa vieţii private legate de astfel de activităţi de prelucrare şi să împiedice transmiterea directă a datelor electronice privind sănătatea către utilizatorii de date. Organismul de acces la datele privind sănătatea sau deţinătorul de date care furnizează serviciul respectiv ar trebui să deţină permanent controlul accesului la datele electronice privind sănătatea, iar accesul acordat utilizatorilor de date privind sănătatea ar trebui să fie stabilit conform condiţiilor din autorizaţia eliberată privind datele. Dintr-un astfel de mediu de prelucrare securizat, utilizatorii de date privind sănătatea ar trebui să descarce numai date electronice fără caracter personal privind sănătatea care nu conţin date electronice cu caracter personal privind sănătatea. Prin urmare, un astfel de mediu de prelucrare securizat reprezintă o garanţie esenţială pentru protejarea drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor lor electronice privind sănătatea în vederea unei utilizări secundare. Comisia ar trebui să sprijine statele membre în elaborarea unor standarde de securitate comune pentru a promova securitatea şi interoperabilitatea diferitelor medii securizate de prelucrare.

(78)Regulamentul (UE) 2022/868 stabileşte normele generale pentru gestionarea altruismului în materie de date. Dat fiind că sectorul sănătăţii gestionează date sensibile, ar trebui să fie stabilite criterii suplimentare prin intermediul cadrului de reglementare menţionat în regulamentul respectiv. În cazul în care astfel de norme prevăd utilizarea unui mediu de prelucrare securizat pentru sectorul respectiv, un astfel de mediu de prelucrare securizat ar trebui să respecte criteriile stabilite în prezentul regulament. Organismele de acces la datele privind sănătatea ar trebui să coopereze cu autorităţile competente desemnate în temeiul Regulamentului (UE) 2022/868 pentru a supraveghea activitatea organizaţiilor de promovare a altruismului în materie de date din sectorul sănătăţii sau al îngrijirii.

(79)Pentru prelucrarea datelor electronice privind sănătatea care fac obiectul unei autorizaţii privind datele sau al unei cereri de date privind sănătatea, deţinătorii de date privind sănătatea, inclusiv deţinătorii de date privind sănătatea de încredere, organismele de acces la datele privind sănătatea şi utilizatorii de date privind sănătatea ar trebui, fiecare în parte, la rândul lor, să fie consideraţi operatori pentru o anumită parte a procesului şi în funcţie de rolurile care le revin în cadrul acestuia. Deţinătorii de date privind sănătatea ar trebui să fie consideraţi operatori pentru divulgarea datelor electronice cu caracter personal privind sănătatea solicitate către organismele de acces la datele privind sănătatea, în timp ce organismele de acces la datele privind sănătatea ar trebui, la rândul lor, să fie consideraţi operatori pentru prelucrarea datelor electronice cu caracter personal privind sănătatea atunci când pregătesc datele şi le pun la dispoziţia utilizatorilor de date privind sănătatea. Utilizatorii de date privind sănătatea ar trebui să fie consideraţi operatori pentru prelucrarea datelor electronice cu caracter personal privind sănătatea în formă pseudonimizată în mediul de prelucrare securizat în temeiul autorizaţiilor lor privind datele. Organismele de acces la datele privind sănătatea ar trebui să fie considerate persoane împuternicite de operator, reprezentându-l pe utilizatorul de date privind sănătatea pentru prelucrarea efectuată de către utilizatorul de date privind sănătatea în temeiul unei autorizaţii privind datele în mediul de prelucrare securizat, precum şi pentru prelucrarea în scopul generării unui răspuns la o cerere de date privind sănătatea. În mod similar, deţinătorii de date privind sănătatea de încredere ar trebui să fie consideraţi operatori pentru prelucrarea pe care o realizează a datelor electronice cu caracter personal privind sănătatea aferente furnizării de date electronice privind sănătatea către utilizatorul de date privind sănătatea în baza unei autorizaţii privind datele sau a unei cereri de date privind sănătatea. Deţinătorii de date privind sănătatea de încredere ar trebui să fie consideraţi persoane împuternicite de operator pentru utilizatorii de date privind sănătatea atunci când furnizează date printr-un mediu de prelucrare securizat.

(80)Pentru a realiza un cadru durabil şi favorabil incluziunii pentru utilizarea secundară multinaţională, ar trebui să fie instituită o infrastructură transfrontalieră (denumită în continuare "HealthData@EU"). HealthData@EU ar trebui să accelereze utilizarea secundară, sporind în acelaşi timp securitatea juridică, respectând viaţa privată a persoanelor fizice şi fiind interoperabilă. Având în vedere caracterul sensibil al datelor privind sănătatea, ar trebui respectate, ori de câte ori este posibil, principii cum ar fi "protejarea vieţii private începând cu momentul conceperii" şi "protejarea vieţii private în mod implicit" şi conceptul de "interogare a datelor în locul transferului datelor respective". Statele membre ar trebui să desemneze puncte naţionale de contact pentru utilizarea secundară ca puncte de acces organizatorice şi tehnice pentru organismele de acces la datele privind sănătatea şi să conecteze respectivele puncte de contact la HealthData@EU. Serviciul de acces la datele privind sănătatea al Uniunii ar trebui, de asemenea, să fie conectat la HealthData@EU. În plus, participanţii autorizaţi la HealthData@EU ar putea fi infrastructurile de cercetare înfiinţate sub forma unui consorţiu pentru o infrastructură europeană de cercetare (ERIC) în temeiul Regulamentului (CE) nr. 723/2009 al Consiliului (¹⁹), a unui consorţiu pentru o infrastructură digitală europeană (EDIC) în temeiul Deciziei (UE) 2022/2481 sau a unor infrastructuri similare instituite în temeiul altor acte juridice ale Uniunii, precum şi alte tipuri de entităţi, inclusiv infrastructuri din cadrul Forumului strategic european privind infrastructurile de cercetare (ESFRI) sau infrastructuri federate în cadrul Cloudului european pentru ştiinţa deschisă (EOSC). Ţările terţe şi organizaţiile internaţionale ar putea deveni, de asemenea, participanţi autorizaţi la HealthData@EU, cu condiţia să respecte cerinţele prezentului regulament. Comunicarea Comisiei din 19 februarie 2020 intitulată "O strategie europeană privind datele" a promovat conectarea diferitelor spaţii europene comune ale datelor. Prin urmare, HealthData@EU ar trebui să permită utilizarea secundară a diferitelor categorii de date electronice privind sănătatea, inclusiv corelarea datelor privind sănătatea cu date din alte spaţii de date, cum ar fi cele privind mediul, agricultura şi sectorul social. Această interoperabilitate între sectorul sănătăţii şi alte sectoare precum sectorul mediului, sectorul agriculturii sau sectorul social ar putea fi de interes pentru a obţine mai multe informaţii cu privire la factorii determinanţi ai sănătăţii. Comisia ar putea furniza o serie de servicii în cadrul HealthData@EU, inclusiv sprijinirea schimbului de informaţii între organismele de acces la datele privind sănătatea şi participanţii autorizaţi în cadrul HealthData@EU pentru gestionarea cererilor de acces transfrontalier, punerea la dispoziţie a cataloagelor de date electronice privind sănătatea prin intermediul infrastructurii, posibilitatea de a descoperi reţele şi interogările de metadate, precum şi serviciile de conectivitate şi de conformitate. Comisia ar putea, de asemenea, să creeze un mediu de prelucrare securizat, care să permită transmiterea şi analizarea datelor provenite de la diferite infrastructuri naţionale, la cererea operatorilor. Din motive de eficienţă informatică, de raţionalizare şi de interoperabilitate a schimburilor de date, sistemele existente pentru schimbul de date ar trebui să fie reutilizate cât mai mult posibil, cum ar fi cele construite pentru schimbul de dovezi în cadrul sistemului tehnic bazat pe principiul "doar o singură dată" prevăzut în Regulamentul (UE) 2018/1724 al Parlamentului European şi al Consiliului (²⁰).

(83)Procesul de autorizare pentru a obţine acces la date electronice cu caracter personal privind sănătatea în diferite state membre poate fi repetitiv şi laborios pentru utilizatorii de date privind sănătatea. Ori de câte ori este posibil, ar trebui create sinergii pentru a reduce sarcina pentru utilizatorii de date privind sănătatea şi obstacolele din calea acestora. O modalitate de a atinge acest obiectiv este de a adera la principiul "cererii unice", conform căruia, cu o singură cerere, utilizatorul de date privind sănătatea poate obţine autorizaţia de la mai multe organisme de acces la datele privind sănătatea din diferite state membre sau de la mai mulţi participanţi autorizaţi în cadrul HealthData@EU.

(84)Organismele de acces la datele privind sănătatea ar trebui să furnizeze informaţii cu privire la seturile de date disponibile şi la caracteristicile acestora, astfel încât utilizatorii de date privind sănătatea să poată fi informaţi cu privire la faptele elementare referitoare la setul de date şi să poată evalua posibila relevanţă a faptelor respective pentru utilizatorii respectivi. Din acest motiv, fiecare set de date ar trebui să includă, cel puţin, informaţii privind sursa şi natura datelor şi condiţiile de punere la dispoziţie a datelor. Deţinătorul de date privind sănătatea ar trebui să verifice cel puţin anual dacă descrierea setului său de date din catalogul seturilor naţionale de date este exactă şi actualizată. Prin urmare, ar trebui creat un catalog al UE de seturi de date pentru: a facilita posibilitatea de a descoperi seturile de date disponibile în SEDS; a-i ajuta pe deţinătorii de date privind sănătatea să îşi publice seturile de date; a furniza tuturor părţilor interesate, inclusiv publicului larg, ţinând seama de nevoile specifice ale persoanele cu dizabilităţi, informaţii cu privire la seturile de date introduse în SEDS, cum ar fi etichetele de calitate şi de utilitate şi fişele de informaţii privind seturile de date; şi a furniza utilizatorilor de date privind sănătatea informaţii actualizate privind calitatea datelor şi utilitatea seturilor de date.

(85)Informaţiile privind calitatea şi utilitatea seturilor de date sporesc în mod semnificativ valoarea rezultatelor cercetării şi inovării bazate pe utilizarea intensivă a datelor, promovând totodată procesul decizional în materie de reglementare şi de politică bazat pe date concrete. Îmbunătăţirea calităţii şi utilităţii seturilor de date prin alegerea în cunoştinţă de cauză din partea clienţilor şi armonizarea cerinţelor conexe la nivelul Uniunii, ţinând seama de standardele, orientările şi recomandările existente la nivelul Uniunii şi la nivel internaţional privind colectarea de date şi schimbul de date, cum ar fi principiile FAIR, aduce beneficii şi deţinătorilor de date privind sănătatea, profesioniştilor din domeniul sănătăţii, persoanelor fizice şi economiei Uniunii în general. O etichetă de calitate şi de utilitate a datelor pentru seturile de date ar informa utilizatorii de date privind sănătatea cu privire la caracteristicile de calitate şi de utilitate ale unui set de date şi le-ar permite să aleagă seturile de date care corespund cel mai bine nevoilor lor. Eticheta de calitate şi de utilitate a datelor nu ar trebui să împiedice punerea la dispoziţie a seturilor de date prin intermediul SEDS, ci să ofere un mecanism de transparenţă între deţinătorii de date privind sănătatea şi utilizatorii de date privind sănătatea. De exemplu, un set de date care nu îndeplineşte nicio cerinţă privind calitatea şi utilitatea datelor ar trebui să fie etichetat cu clasa care reprezintă cea mai slabă calitate şi utilitate, dar ar trebui să fie în continuare disponibil. Aşteptările stabilite în cadrele instituite în temeiul articolului 10 din Regulamentul (UE) 2024/1689 şi documentaţia tehnică relevantă aferentă specificată în anexa IV la regulamentul menţionat ar trebui luate în considerare la elaborarea cadrului privind calitatea şi utilitatea datelor. Statele membre ar trebui să informeze publicul cu privire la eticheta de calitate şi de utilitate a datelor prin activităţi de comunicare. Comisia ar putea sprijini activităţile respective. Utilizatorii ar putea acorda prioritate utilizării seturilor de date în funcţie de utilitatea şi calitatea lor.

(86)Catalogul UE de seturi de date ar trebui să reducă la minimum sarcina administrativă pentru deţinătorii de date privind sănătatea şi pentru alţi utilizatori ai bazelor de date, ar trebui să fie uşor de utilizat, accesibil şi eficient din punctul de vedere al costurilor, să conecteze cataloagele naţionale de seturi de date şi să evite înregistrarea redundantă a seturilor de date. Fără a aduce atingere cerinţelor prevăzute în Regulamentul (UE) 2022/868, catalogul UE de seturi de date ar putea fi aliniat la iniţiativa data.europa.eu. Ar trebui să fie asigurată interoperabilitatea între catalogul UE de seturi de date, cataloagele naţionale de seturi de date şi cataloagele de seturi de date provenite de la infrastructurile europene de cercetare şi de la alte infrastructuri relevante de partajare de date.

(87)În prezent, diferite organizaţii profesionale, Comisia şi alte instituţii cooperează pentru a crea câmpuri de date minime şi alte caracteristici ale diferitelor seturi de date, de exemplu registre. Activitatea respectivă este mai avansată în domenii precum cancerul, bolile rare, bolile cardiovasculare şi metabolice, evaluarea factorilor de risc şi statisticile şi ar trebui luată în considerare în momentul definirii de noi standarde şi modele armonizate specifice fiecărei boli pentru elemente de date structurate. Totuşi, multe seturi de date nu sunt armonizate, ceea ce ridică probleme de comparabilitate şi îngreunează cercetarea transfrontalieră. Prin urmare, ar trebui stabilite norme mai detaliate în actele de punere în aplicare pentru a asigura armonizarea codificării şi înregistrării datelor electronice privind sănătatea, astfel încât să se asigure transmiterea coerentă a unor astfel de date în vederea utilizării secundare. Aceste seturi de date ar putea include date din registrele pentru boli rare, din baze de date privind medicamentele orfane, registre privind cancerul şi registre privind bolile infecţioase extrem de importante. Statele membre ar trebui să colaboreze pentru asigurarea faptului că sistemele şi serviciile europene de date privind sănătatea şi aplicaţiile interoperabile generează beneficii economice şi sociale durabile, în vederea atingerii unui nivel ridicat de încredere şi securitate, a consolidării continuităţii asistenţei medicale şi a asigurării accesului la asistenţă medicală sigură şi de înaltă calitate. Infrastructurile şi registrele de date privind sănătatea existente pot oferi modele utile pentru conceperea şi punerea în aplicare a standardelor în materie de date şi interoperabilitate şi ar trebui să fie folosite pentru a permite continuitatea şi a valorifica cunoştinţele de specialitate existente.

(88)Comisia ar trebui să sprijine statele membre în consolidarea capacităţilor şi în sporirea eficacităţii în domeniul sistemelor de sănătate digitală pentru utilizarea primară şi cea secundară. Statele membre ar trebui să fie sprijinite pentru a-şi consolida capacitatea. Activităţile la nivelul Uniunii, cum ar fi analiza comparativă şi schimbul de bune practici, sunt măsuri relevante în acest sens. Aceste activităţi ar trebui să ţină seama de circumstanţele specifice ale diferitelor categorii de părţi interesate, cum ar fi reprezentanţii societăţii civile, cercetătorii, societăţile medicale şi IMM-urile.

(89)Îmbunătăţirea alfabetizării digitale în materie de sănătate atât pentru persoanele fizice, cât şi pentru profesioniştii din domeniul sănătăţii este esenţială pentru a asigura încrederea, siguranţa şi utilizarea adecvată a datelor privind sănătatea şi, prin urmare, este esenţială pentru a asigura punerea în aplicare cu succes a prezentului regulament. Profesioniştii din domeniul sănătăţii se confruntă cu schimbări profunde în contextul digitalizării şi, în cadrul punerii în aplicare a SEDS, le vor fi oferite mai multe instrumente digitale. Prin urmare, profesioniştii din domeniul sănătăţii trebuie să-şi îmbunătăţească nivelul de alfabetizare şi de competenţe digitale în domeniul sănătăţii, iar statele membre ar trebui să le ofere acces profesioniştilor din domeniul sănătăţii la cursuri de alfabetizare digitală pentru ca aceştia să se poată pregăti să lucreze cu sistemele DES. Astfel de cursuri ar trebui să le permită profesioniştilor din domeniul sănătăţii şi operatorilor informatici să beneficieze de o instruire suficientă pentru lucrul cu noile infrastructuri digitale, pentru a asigura securitatea cibernetică şi gestionarea etică a datelor privind sănătatea. Cursurile de formare ar trebui să fie elaborate, revizuite şi actualizate periodic, în consultare şi cooperare cu experţii relevanţi. Îmbunătăţirea alfabetizării digitale în domeniul sănătăţii este fundamentală pentru a permite persoanelor fizice să aibă un control real asupra datelor lor privind sănătatea şi să îşi gestioneze activ sănătatea şi asistenţa medicală, precum şi să înţeleagă implicaţiile gestionării acestor date atât pentru utilizarea primară, cât şi pentru cea secundară. Diferitele grupuri demografice au grade diferite de alfabetizare digitală, ceea ce poate afecta capacitatea persoanelor fizice de a-şi exercita dreptul de control asupra datelor electronice proprii privind sănătatea. Statele membre, inclusiv autorităţile regionale şi locale, ar trebui, prin urmare, să susţină alfabetizarea digitală în domeniul sănătăţii şi informarea publicului, asigurând totodată faptul că punerea în aplicare a prezentului regulament contribuie la reducerea inegalităţilor şi nu discriminează persoanele care nu au competenţe digitale. Ar trebui să se acorde o atenţie deosebită persoanelor cu dizabilităţi şi grupurilor vulnerabile, inclusiv migranţilor şi vârstnicilor. Statele membre ar trebui să creeze programe naţionale de alfabetizare digitală orientate, inclusiv programe pentru a maximiza incluziunea socială şi care să asigure faptul că toate persoanele fizice îşi pot exercita efectiv drepturile în temeiul prezentului regulament. Statele membre ar trebui, de asemenea, să ofere persoanelor fizice îndrumări axate pe pacient referitoare la utilizarea dosarelor electronice de sănătate şi utilizarea primară a datelor lor electronice cu caracter personal privind sănătatea. Îndrumările ar trebui să fie adaptate la nivelul de alfabetizare digitală în materie de sănătate al pacientului, acordându-se o atenţie deosebită nevoilor grupurilor vulnerabile.

(90)Utilizarea fondurilor ar trebui, de asemenea, să contribuie la realizarea obiectivelor SEDS. Atunci când definesc condiţiile pentru achiziţiile publice, cererile de propuneri şi alocarea fondurilor Uniunii, inclusiv a fondurilor structurale şi de coeziune, achizitorii publici, autorităţile naţionale competente din statele membre, inclusiv autorităţile privind sănătatea digitală şi organismele de acces la datele privind sănătatea, şi Comisia ar trebui să facă trimiteri la specificaţiile tehnice, standardele şi profilurile aplicabile privind interoperabilitatea, securitatea şi calitatea datelor, precum şi la alte cerinţe elaborate în temeiul prezentului regulament. Este necesar ca fondurile Uniunii să fie repartizate transparent între statele membre, ţinând seama de diferitele niveluri de digitalizare a sistemelor de sănătate. Punerea la dispoziţie a datelor pentru utilizare secundară necesită resurse suplimentare pentru sistemele de sănătate, în special pentru sistemele publice de sănătate. Această sarcină suplimentară ar trebui să fie abordată şi redusă la minimum în etapa de punere în aplicare a SEDS.

(91)Punerea în aplicare a SEDS necesită investiţii adecvate în crearea capacităţilor şi în formare, precum şi un angajament bine finanţat faţă de consultarea şi implicarea populaţiei, atât la nivelul Uniunii, cât şi la nivel naţional. Costurile economice aferente punerii în aplicare a prezentului regulament va trebui să fie suportate atât la nivelul Uniunii, cât şi la nivel naţional şi va trebui să se găsească o repartizare echitabilă a acestei sarcini între fondurile Uniunii şi cele naţionale.

(92)Anumite categorii de date electronice privind sănătatea pot rămâne deosebit de sensibile chiar şi atunci când sunt în format anonimizat şi, prin urmare, fără caracter personal, astfel cum se prevede deja în mod expres în Regulamentul (UE) 2022/868. Chiar şi în situaţiile în care se utilizează tehnici de anonimizare de ultimă generaţie, rămâne riscul rezidual să fie sau să devină disponibilă capacitatea de reidentificare, utilizând mijloace care le depăşesc pe cele care pot fi utilizate în mod rezonabil. Un astfel de risc rezidual este prezent în ceea ce priveşte bolile rare, şi anume în cazul unei afecţiuni care pune în pericol viaţa sau este cronic invalidantă şi care nu afectează mai mult de 5 din 10 000 de persoane din Uniune, unde numărul limitat de cazuri reduce posibilitatea agregării complete a datelor publicate pentru a proteja viaţa privată a persoanelor fizice, menţinând totodată un nivel adecvat de granularitate pentru a rămâne semnificativ. Un astfel de risc rezidual poate afecta diferite categorii de date privind sănătatea şi poate conduce la reidentificarea persoanelor vizate utilizând mijloace care depăşesc mijloacele ce pot fi utilizate în mod rezonabil. Un astfel de risc variază în funcţie de nivelul de granularitate, de descrierea caracteristicilor persoanelor vizate, de numărul de persoane afectate, de exemplu în cazul datelor incluse în dosarele electronice de sănătate, în registrele bolilor, în băncile biologice şi în datele generate de persoane, în cazul în care gama de caracteristici de identificare este mai amplă, şi în funcţie de combinaţia posibilă cu alte informaţii, de exemplu în zone geografice foarte mici, sau prin evoluţia tehnologică a metodelor care nu au fost disponibile în momentul anonimizării. O astfel de reidentificare a persoanelor fizice ar reprezenta o preocupare majoră şi ar putea pune în pericol acceptarea normelor privind utilizarea secundară prevăzute în prezentul regulament. În plus, tehnicile de agregare sunt mai puţin testate pentru datele fără caracter personal care conţin, de exemplu, secrete comerciale, astfel cum se întâmplă în raportarea privind studiile clinice intervenţionale şi investigaţiile clinice, iar asigurarea respectării normelor în cazul încălcărilor secretelor comerciale în afara Uniunii este mai dificilă în absenţa unui standard internaţional de protecţie suficient. Prin urmare, pentru categoriile respective de date privind sănătatea, există în continuare un risc de reidentificare după anonimizare sau agregare, care nu poate fi atenuat iniţial în mod rezonabil. Aceasta se încadrează în criteriile indicate la articolul 5 alineatul (13) din Regulamentul (UE) 2022/868. Aceste tipuri de date privind sănătatea ar intra astfel sub incidenţa competenţei prevăzute la articolul 5 alineatul (13) din regulamentul menţionat pentru transferul către ţări terţe. Condiţiile speciale stabilite în temeiul competenţei prevăzute la articolul 5 alineatul (13) din Regulamentul (UE) 2022/868 vor fi detaliate în contextul actului delegat adoptat în temeiul competenţei respective şi trebuie să fie proporţionale cu riscul de reidentificare şi să ţină seama de particularităţile diferitelor categorii de date sau ale diferitelor tehnici de anonimizare sau de agregare.

(93)Prelucrarea unor volume mari de date electronice cu caracter personal privind sănătatea în scopurile SEDS în cadrul activităţilor de prelucrare a datelor în contextul gestionării cererilor de acces la datele privind sănătatea, a autorizaţiilor privind datele şi a cererilor de date privind sănătatea presupune riscuri mai mari de acces neautorizat la astfel de date cu caracter personal, precum şi posibilitatea apariţiei unor incidente de securitate cibernetică. Datele electronice cu caracter personal privind sănătatea sunt deosebit de sensibile, deoarece conţin adesea informaţii care fac obiectul secretului medical şi a căror divulgare către terţi neautorizaţi poate crea dificultăţi importante. Ţinând seama pe deplin de principiile evidenţiate în jurisprudenţa Curţii de Justiţie a Uniunii Europene, prezentul regulament asigură respectarea deplină a drepturilor fundamentale, a dreptului la viaţă privată şi a principiului proporţionalităţii. Pentru a asigura integritatea şi confidenţialitatea deplină a datelor electronice cu caracter personal privind sănătatea în temeiul prezentului regulament, pentru a garanta o protecţie şi o securitate deosebit de bune şi pentru a reduce riscul de acces ilegal la respectivele date electronice cu caracter personal privind sănătatea, prezentul regulament permite statelor membre să impună stocarea şi prelucrarea datelor electronice cu caracter personal privind sănătatea exclusiv în Uniune, în scopul îndeplinirii sarcinilor prevăzute în prezentul regulament, cu excepţia cazului în care se aplică o decizie privind caracterul adecvat al nivelului de protecţie adoptată în temeiul articolului 45 din Regulamentul (UE) 2016/679.

(94)Accesul la datele electronice privind sănătatea pentru utilizatorii de date privind sănătatea stabiliţi în ţări terţe sau pentru organizaţiile internaţionale ar trebui să aibă loc numai pe baza principiului reciprocităţii. Ar trebui să se permită ca punerea la dispoziţia unei ţări terţe a datelor electronice privind sănătatea să se poată face numai în cazul în care Comisia a stabilit, prin intermediul unui act de punere în aplicare, că ţara terţă în cauză permite accesul la date electronice privind sănătatea provenind din respectiva ţară terţă de către entităţile Uniunii în aceleaşi condiţii şi cu aceleaşi garanţii ca în cazul în care ar fi accesat date electronice privind sănătatea în Uniune. Comisia ar trebui să monitorizeze şi să efectueze o revizuire periodică a situaţiei din respectivele ţări terţe şi organizaţii internaţionale şi să întocmească o listă a respectivelor acte de punere în aplicare. În cazul în care Comisia constată că o ţară terţă nu mai asigură accesul în aceleaşi condiţii, ar trebui să revoce actul de punere în aplicare respectiv.

(95)Pentru a promova aplicarea coerentă a prezentului regulament, inclusiv în ceea ce priveşte interoperabilitatea transfrontalieră a datelor electronice privind sănătatea, ar trebui să fie instituit un Consiliu pentru spaţiul european al datelor privind sănătatea. Comisia ar trebui să participe la activităţile sale şi să îl coprezideze. Consiliul SEDS ar trebui să poată aduce contribuţii în scris referitoare la aplicarea coerentă a prezentului regulament în întreaga Uniune, inclusiv prin sprijinirea statelor membre în coordonarea utilizării datelor electronice privind sănătatea pentru asistenţă medicală şi certificare, dar şi în ceea ce priveşte utilizarea secundară a şi finanţarea activităţilor respective. Aceasta ar putea include şi schimburi de informaţii privind riscurile şi incidentele din mediile de prelucrare securizate. Schimbul de informaţii de acest tip nu afectează obligaţiile care decurg din alte acte juridice, cum ar fi notificările de încălcare a securităţii datelor în temeiul Regulamentului (UE) 2016/679. În general, activităţile Consiliului SEDS nu aduc atingere competenţelor autorităţilor de supraveghere în temeiul Regulamentului (UE) 2016/679. Având în vedere că, la nivel naţional, autorităţile privind sănătatea digitală care se ocupă de utilizarea primară pot fi diferite de organismele de acces la datele privind sănătatea care se ocupă de utilizarea secundară, funcţiile lor fiind diferite, şi că este necesară o cooperare distinctă în fiecare dintre domeniile respective, Consiliul SEDS ar trebui să poată înfiinţa subgrupuri care să se ocupe de cele două funcţii, precum şi alte subgrupuri, după caz. Pentru a dispune de o metodă de lucru eficientă, autorităţile privind sănătatea digitală şi organismele de acces la datele privind sănătatea ar trebui să creeze reţele şi legături la nivel naţional cu alte organisme şi autorităţi, dar şi la nivelul Uniunii. Astfel de organisme ar putea cuprinde autorităţi de protecţie a datelor, organisme de securitate cibernetică, de identificare electronică şi de standardizare, precum şi organisme şi grupuri de experţi în temeiul Regulamentelor (UE) 2022/868, (UE) 2023/2854 şi (UE) 2024/1689 şi a Regulamentului (UE) 2019/881 al Parlamentului European şi al Consiliului (²¹). Consiliul SEDS ar trebui să funcţioneze independent, în interes public şi în conformitate cu codul său de conduită.

(97)Ar trebui să se înfiinţeze un forum al părţilor interesate pentru a consilia Consiliul SEDS în îndeplinirea sarcinilor sale, prezentând informaţii din partea părţilor interesate în chestiuni legate de prezentul regulament. Forumul părţilor interesate ar trebui să fie alcătuit, printre alţii, din reprezentanţi ai organizaţiilor pacienţilor şi consumatorilor, ai profesioniştilor din domeniul sănătăţii, ai industriei, ai cercetătorilor ştiinţifici şi ai mediului universitar. Acesta ar trebui să aibă o componenţă echilibrată şi să reprezinte punctele de vedere ale diferitelor părţi interesate relevante. Ar trebui să fie reprezentate atât interesele comerciale, cât şi cele necomerciale.

(98)Pentru a asigura gestionarea zilnică adecvată a infrastructurilor transfrontaliere pentru utilizarea primară şi cea secundară, este necesar să se creeze grupuri de coordonare formate din reprezentanţi ai statelor membre. Grupurile de coordonare respective ar trebui să ia decizii operaţionale privind gestionarea tehnică zilnică a infrastructurilor transfrontaliere şi dezvoltarea tehnică a acestora, inclusiv privind modificările tehnice ale infrastructurilor, îmbunătăţirea funcţionalităţilor sau a serviciilor sau asigurarea interoperabilităţii cu alte infrastructuri, sisteme digitale sau spaţii de date. Activităţile lor nu are trebui să includă şi aducerea de contribuţii la elaborarea actelor de punere în aplicare care afectează infrastructurile respective. Grupurile de coordonare ar trebui, de asemenea, să poată invita şi reprezentanţi ai altor participanţi autorizaţi în cadrul HealthData@EU ca observatori la reuniunile lor şi ar trebui să consulte experţi relevanţi atunci când îşi îndeplinesc sarcinile.

(99)Fără a aduce atingere niciunei alte căi de atac administrative, judiciare sau extrajudiciare, orice persoană fizică sau juridică ar trebui să aibă dreptul de a depune o plângere la o autoritate privind sănătatea digitală sau la un organism de acces la datele privind sănătatea dacă consideră că i-au fost afectate drepturile şi interesele prevăzute de prezentul regulament. Ancheta în urma unei plângeri ar trebui să se desfăşoare, cu aplicarea controlului judiciar, în măsura în care acest lucru este adecvat în cazul respectiv. Autoritatea privind sănătatea digitală sau organismul de acces la datele privind sănătatea ar trebui să informeze persoana fizică sau juridică despre progresele înregistrate şi rezultatul plângerii într-un termen rezonabil. În cazul în care cazul necesită investigaţii suplimentare sau coordonarea cu o altă autoritate privind sănătatea digitală sau cu un alt organism de acces la datele privind sănătatea, persoanei fizice sau juridice ar trebui să i se furnizeze informaţii privind progresele înregistrate în tratarea plângerii. Pentru a simplifica depunerea plângerilor, fiecare autoritate privind sănătatea digitală şi fiecare organism de acces la datele privind sănătatea ar trebui să ia măsuri, cum ar fi furnizarea unui formular de depunere a plângerii care să poată fi completat şi în format electronic, fără a exclude posibilitatea de a utiliza alte mijloace de comunicare. În cazul în care plângerea se referă la drepturile persoanelor fizice de a le fi protejate datele cu caracter personal, autoritatea privind sănătatea digitală sau organismul de acces la datele privind sănătatea ar trebui să transmită plângerea autorităţilor de supraveghere în temeiul Regulamentului (UE) 2016/679. Autorităţile privind sănătatea digitală şi organismele de acces la datele privind sănătatea ar trebui să coopereze pentru tratarea şi soluţionarea plângerilor, inclusiv prin transmiterea reciprocă a tuturor informaţiilor relevante prin mijloace electronice, fără întârzieri nejustificate.

(101)Autoritatea privind sănătatea digitală, organismul de acces la datele privind sănătatea, deţinătorul de date privind sănătatea sau utilizatorul de date privind sănătatea ar trebui să plătească despăgubiri pentru orice prejudiciu suferit de o persoană fizică sau juridică ca urmare a unei încălcări a prezentului regulament. Conceptul de prejudiciu ar trebui să fie interpretat în sens larg, din perspectiva jurisprudenţei Curţii de Justiţie a Uniunii Europene, într-un mod care să reflecte pe deplin obiectivele prezentului regulament. Aceasta nu aduce atingere niciunei cereri de despăgubire care decurge din încălcarea altor prevederi ale dreptului Uniunii sau ale dreptului intern. Persoanele fizice ar trebui să primească despăgubiri integrale şi efective pentru prejudiciul pe care l-au suferit.

(102)Pentru o mai bună asigurare a respectării normelor prevăzute în prezentul regulament, ar trebui să fie impuse sancţiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament, pe lângă sau în locul măsurilor adecvate impuse de organismele de acces la datele privind sănătatea în temeiul prezentului regulament. Impunerea de sancţiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanţii procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii şi cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv al protecţiei jurisdicţionale efective şi al unui proces echitabil.

(103)Este oportun să se stabilească dispoziţii care să permită organismelor de acces la datele privind sănătatea să aplice amenzi administrative pentru anumite încălcări ale prezentului regulament care ar trebui să fie considerate în temeiul prezentului regulament drept încălcări grave, cum ar fi reidentificarea persoanelor fizice, descărcarea datelor electronice cu caracter personal privind sănătatea în afara mediului de prelucrare securizat sau prelucrarea datelor pentru utilizări interzise sau utilizări care nu fac obiectul unei autorizaţii privind datele. Prezentul regulament ar trebui să precizeze încălcările respective, precum şi limita maximă şi criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui să fie stabilite de organismul de acces la datele privind sănătatea competent în fiecare caz în parte, ţinând seama de toate circumstanţele de interes ale situaţiei respective, luând în considerare în mod corespunzător mai ales natura, gravitatea şi durata încălcării, precum şi consecinţele acesteia şi măsurile luate pentru a se asigura respectarea obligaţiilor în temeiul prezentului regulament şi pentru a se preveni sau atenua consecinţele încălcării. În scopul impunerii de amenzi administrative în temeiul prezentului regulament, conceptul de întreprindere ar trebui înţeles în conformitate cu articolele 101 şi 102 din TFUE. Competenţa de a stabili dacă şi în ce măsură autorităţile publice ar trebui să facă obiectul unor amenzi administrative ar trebui să revină statelor membre. Impunerea unei amenzi administrative sau transmiterea unui avertisment nu afectează exercitarea altor competenţe ale organismelor de acces la datele privind sănătatea sau aplicarea altor sancţiuni în temeiul prezentului regulament.

(104)Pentru a se asigura că SEDS îşi îndeplineşte obiectivele, competenţa de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce priveşte modificarea, adăugarea sau eliminarea în anexa I a principalelor caracteristici ale categoriilor prioritare de date electronice cu caracter personal privind sănătatea, lista datelor care trebuie să fie introduse de producătorii de sisteme DES şi de aplicaţii de wellness în baza de date a UE pentru înregistrarea sistemelor DES şi a aplicaţiilor de wellness, precum şi modificarea, adăugarea sau eliminarea elementelor pe care trebuie să le cuprindă eticheta de calitate şi de utilitate a datelor. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experţi, şi ca respectivele consultări să se desfăşoare în conformitate cu principiile stabilite în Acordul interinstituţional privind o mai bună legiferare din 13 aprilie 2016 (²²). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European şi Consiliul primesc toate documentele în acelaşi timp cu experţii din statele membre, iar experţii acestor instituţii au acces sistematic la reuniunile grupurilor de experţi ale Comisiei însărcinate cu pregătirea actelor delegate.

(105)În vederea asigurării unor condiţii uniforme pentru punerea în aplicare a prezentului regulament, ar trebui să fie conferite competenţe de executare Comisiei în ceea ce priveşte:

- deciziile referitoare la faptul că un punct naţional de contact al unei ţări terţe sau un sistem instituit la nivel internaţional de organizaţii internaţionale respectă cerinţele HealthData@EU în scopul utilizării secundare a datelor privind sănătatea, referitoare la faptul că respectă capitolul IV şi referitoare la oferirea, de către respectivul punct naţional de contact pentru utilizarea secundară al unei ţări terţe sau respectivul sistem, în condiţii echivalente, a accesului utilizatorilor de date privind sănătatea situaţi în Uniune la datele electronice privind sănătatea la care are acces;

- cerinţele, specificaţiile tehnice şi arhitectura informatică a HealthData@EU; condiţiile şi verificările de conformitate pentru a adera şi a rămâne conectat la HealthData@EU; criteriile minime care trebuie să fie îndeplinite de punctele naţionale de contact pentru utilizarea secundară şi de participanţii autorizaţi în cadrul HealthData@EU; responsabilităţile operatorilor şi ale persoanelor împuternicite de operator care participă la HealthData@EU; responsabilităţile operatorilor şi ale persoanelor împuternicite de operator pentru mediul securizat de prelucrare gestionat de Comisie; şi specificaţiile comune privind arhitectura HealthData@EU şi interoperabilitatea acesteia cu alte spaţii europene comune ale datelor;

(106)Statele membre ar trebui să ia toate măsurile necesare pentru a se asigura că dispoziţiile prezentului regulament sunt puse în aplicare, inclusiv prin stabilirea unor sancţiuni efective, proporţionale şi cu efect de descurajare în cazul încălcării acestora. Atunci când decid cu privire la cuantumul sancţiunii pentru fiecare caz în parte, statele membre ar trebui să ţină seama de limitele şi de criteriile stabilite în prezentul regulament. Reidentificarea persoanelor fizice ar trebui considerată o încălcare gravă a prezentului regulament.

(107)Punerea în aplicare a SEDS va necesita desfăşurarea unor ample activităţi de dezvoltare la nivelul statelor membre şi al serviciilor centrale. Pentru a urmări progresele înregistrate în acest sens, până la aplicarea integrală a prezentului regulament, Comisia ar trebui să comunice anual cu privire la progresele respective, ţinând seama de informaţiile puse la dispoziţie de statele membre. Rapoartele respective ar putea include recomandări de măsuri de remediere, precum şi o evaluare a progreselor înregistrate.

(108)Pentru a evalua dacă prezentul regulament îşi atinge obiectivele în mod eficace şi eficient, dacă este coerent şi încă relevant şi dacă oferă valoare adăugată la nivelul Uniunii, Comisia ar trebui să efectueze o evaluare a prezentului regulament. Comisia ar trebui să efectueze o evaluare a anumitor aspecte ale prezentului regulament în termen de opt ani de la intrarea sa în vigoare şi o evaluare generală în termen de 10 ani de la intrarea sa în vigoare. Comisia ar trebui să prezinte Parlamentului European şi Consiliului, Comitetului Economic şi Social European şi Comitetului Regiunilor rapoarte privind principalele sale constatări în urma fiecărei evaluări.

(109)Pentru o punere în aplicare cu succes la nivel transfrontalier a SEDS, Cadrul european de interoperabilitate, al cărui domeniu de aplicare a fost actualizat şi extins prin Comunicarea Comisiei din 23 martie 2017 intitulată "Cadrul european de interoperabilitate - Strategie de implementare" pentru a ţine cont de cerinţe de interoperabilitate noi sau revizuite, ar trebui să fie considerat drept referinţă comună pentru asigurarea interoperabilităţii juridice, organizaţionale, semantice şi tehnice.

(110)Întrucât obiectivele prezentului regulament, şi anume să capaciteze persoanele fizice acordându-le un control mai mare asupra datelor lor electronice cu caracter personal privind sănătatea şi sprijinind libertatea lor circulaţie prin asigurarea faptului că datele lor privind sănătatea le urmează, să încurajeze o veritabilă piaţă internă pentru serviciile şi produsele de sănătate digitală şi să asigure un cadru coerent şi eficient pentru reutilizarea datelor privind sănătatea ale persoanelor fizice în scopuri de cercetare, inovare, elaborare a politicilor şi pentru activităţi de reglementare, nu pot fi realizate în mod satisfăcător de către statele membre numai prin măsuri de coordonare, astfel cum se arată în evaluarea aspectelor digitale ale Directivei 2011/24/UE, dar acestea pot fi realizate mai bine la nivelul Uniunii, graţie armonizării măsurilor privind drepturile persoanelor fizice în ceea ce priveşte datele lor electronice privind sănătatea, interoperabilitatea datelor electronice privind sănătatea şi un cadru şi garanţii comune pentru utilizarea primară şi utilizarea secundară, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporţionalităţii, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea obiectivelor respective.

(112)Prezentul regulament completează cerinţele esenţiale de securitate cibernetică stabilite în Regulamentul (UE) 2024/2847. Prin urmare, sistemele DES care sunt produse cu elemente digitale în sensul Regulamentului (UE) 2024/2847 ar trebui, de asemenea, să respecte cerinţele esenţiale de securitate cibernetică stabilite în regulamentul menţionat. Producătorii respectivelor sisteme DES ar trebui să demonstreze conformitatea, astfel cum se solicită în prezentul regulament. Pentru a facilita această conformitate, producătorilor ar trebui să li se permită să întocmească un singur set de documente tehnice care să conţină elementele prevăzute de ambele acte juridice. Ar trebui să se poată demonstra conformitatea sistemelor DES cu cerinţele esenţiale de securitate cibernetică prevăzute în Regulamentul (UE) 2024/2847 prin intermediul cadrului de evaluare prevăzut de prezentul regulament. Cu toate acestea, părţile din procedura de evaluare a conformităţii în temeiul prezentului regulament care se referă la utilizarea mediilor de testare nu ar trebui să se aplice, întrucât mediile de testare respective nu permit evaluarea conformităţii cu cerinţele esenţiale de securitate cibernetică. Întrucât Regulamentul (UE) 2024/2847 nu acoperă software-ul ca serviciu (SaaS) în mod direct, sistemele DES oferite prin intermediul modelului de acordare de licenţe şi de livrare SaaS nu intră în domeniul de aplicare al regulamentului menţionat. În mod similar, sistemele DES care sunt dezvoltate şi utilizate intern nu intră în domeniul de aplicare al regulamentului menţionat, deoarece nu sunt introduse pe piaţă.

CAPITOLUL I:DISPOZIŢII GENERALE

Art. 1: Obiect şi domeniu de aplicare

(2)Prezentul regulament:

b)stabileşte norme comune pentru sistemele de dosare electronice de sănătate (denumite în continuare "sisteme DES") în ceea ce priveşte două componente software armonizate obligatorii, şi anume componenta software europeană de interoperabilitate pentru sistemele DES şi componenta software europeană de evidenţă pentru sistemele DES, în sensul definiţiei de la articolul 2 alineatul (2) literele (n) şi, respectiv, (o), precum şi pentru aplicaţiile de wellness despre care se declară că sunt interoperabile cu sistemele DES în legătură cu aceste două componente software armonizate, în ceea ce priveşte utilizarea primară a datelor electronice privind sănătatea;

(3)Prezentul regulament nu aduce atingere altor acte juridice ale Uniunii privind accesul la datele electronice privind sănătatea, partajarea sau utilizarea secundară a acestora sau cerinţelor Uniunii legate de prelucrarea datelor în legătură cu datele electronice privind sănătatea, în special Regulamentelor (CE) nr. 223/2009 (²⁴), (UE) nr. 536/2014 (²⁵), (UE) 2016/679, (UE) 2018/1725, (UE) 2022/868 şi (UE) 2023/2854 ale Parlamentului European şi ale Consiliului şi Directivelor 2002/58/CE (²⁶) şi (UE) 2016/943 (²⁷) ale Parlamentului European şi ale Consiliului.

(²⁴)Regulamentul (CE) nr. 223/2009 al Parlamentului European şi al Consiliului din 11 martie 2009 privind statisticile europene şi de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European şi al Consiliului privind transmiterea de date statistice confidenţiale Biroului Statistic al Comunităţilor Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare şi a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităţilor Europene (JO L 87, 31.3.2009, p. 164).

(7)Prezentul regulament nu aduce atingere dispoziţiilor specifice din dreptul Uniunii sau din dreptul intern care prevăd accesul la datele electronice privind sănătatea în vederea prelucrării ulterioare de către organismele din sectorul public ale statelor membre, de către instituţiile, organele, oficiile şi agenţiile Uniunii sau de către entităţile private cărora li s-a încredinţat o sarcină de interes public, în temeiul dreptului Uniunii sau al dreptului intern, în scopul îndeplinirii unei astfel de sarcini.

(9)Prezentul regulament nu se aplică prelucrării datelor cu caracter personal în următoarele cazuri:

Art. 2: Definiţii

(1)În sensul prezentului regulament, se aplică următoarele definiţii:

(2)În plus, în sensul prezentului regulament, se aplică următoarele definiţii:

k)"sistem de dosare electronice de sănătate" sau "sistem DES" înseamnă orice sistem prin care software-ul, sau o cominaţie de hardware şi software în sistemul respectiv, permite ca datele electronice cu caracter personal privind sănătatea care aparţin categoriilor prioritare de date electronice cu caracter personal privind sănătatea prevăzute în prezentul regulament să fie stocate, intermediate, exportate, importate, convertite, editate sau vizualizate şi care este destinat de către producător să fie utilizat de furnizorii de servicii medicale atunci când asigură îngrijirea pacientului sau de pacienţi atunci când îşi accesează datele electronice privind sănătatea;

n)"componentă software europeană de interoperabilitate pentru sistemele DES" înseamnă o componentă software a sistemului DES care furnizează şi primeşte date electronice cu caracter personal privind sănătatea în cadrul unei categorii prioritare pentru utilizarea primară prevăzută în prezentul regulament în formatul european pentru schimbul de dosare electronice de sănătate prevăzut în prezentul regulament şi care este independentă de componenta software europeană de evidenţă pentru sistemele DES;

o)"componentă software europeană de evidenţă pentru sistemele DES" înseamnă o componentă software a sistemului DES care furnizează informaţii pentru evidenţa referitoare la accesul profesioniştilor din domeniul sănătăţii sau al altor persoane la categoriile prioritare de date electronice cu caracter personal privind sănătatea prevăzute în prezentul regulament, în formatul definit la punctul 3.2 din anexa II la acesta, şi care este independentă de componenta software europeană de interoperabilitate pentru sistemele DES;

p)"marcaj de conformitate CE" înseamnă un marcaj prin care un producător indică faptul că un sistem DES este în conformitate cu cerinţele aplicabile stabilite în prezentul regulament şi cu alte dispoziţii aplicabile din dreptul Uniunii care prevăd aplicarea sa, în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (³⁰);

r)"incident grav" înseamnă orice funcţionare defectuoasă sau deteriorare a caracteristicilor sau a performanţei unui sistem DES pus la dispoziţie pe piaţă, care conduce, ar fi putut conduce sau ar putea conduce, în mod direct sau indirect, la oricare dintre următoarele:

t)"deţinător de date privind sănătatea" înseamnă orice persoană fizică sau juridică, autoritate publică, agenţie sau alt organism din sectoarele asistenţei medicale sau ale îngrijirii, inclusiv serviciile de rambursare, atunci când este necesar, precum şi orice persoană fizică sau juridică care dezvoltă produse sau servicii destinate sectoarelor sănătăţii, asistenţei medicale sau îngrijirii, care dezvoltă sau produce aplicaţii de wellness, desfăşoară activităţi de cercetare legată de sectoarele asistenţei medicale sau îngrijirii sau acţionează ca registru al mortalităţii, precum şi orice instituţie, organ, oficiu sau agenţie a Uniunii care are fie:

z)"calitatea datelor" înseamnă măsura în care elementele datelor electronice privind sănătatea sunt adecvate pentru utilizarea lor primară şi cea secundară preconizată;

CAPITOLUL II:UTILIZAREA PRIMARĂ

SECŢIUNEA 1:Drepturile persoanelor fizice în ceea ce priveşte utilizarea primară a datelor lor electronice cu caracter personal privind sănătatea şi dispoziţii conexe

Art. 3: Dreptul persoanelor fizice de acces la datele lor electronice cu caracter personal privind sănătatea

(1)Persoanele fizice au dreptul de a accesa cel puţin datele electronice cu caracter personal privind sănătatea care le privesc şi care aparţin categoriilor prioritare menţionate la articolul 14, care sunt prelucrate pentru furnizarea de asistenţă medicală prin intermediul serviciilor de acces la datele electronice privind sănătatea menţionate la articolul 4. Accesul se acordă imediat după înregistrarea datelor electronice cu caracter personal privind sănătatea într-un sistem DES, cu respectarea necesităţilor de practicabilitate tehnologică, şi se furnizează în mod gratuit şi într-un format uşor de citit, consolidat şi accesibil.

(2)Persoanele fizice sau reprezentanţii lor menţionaţi la articolul 4 alineatul (2) au dreptul de a descărca gratuit o copie electronică cel puţin a datelor electronice cu caracter personal privind sănătatea din categoriile prioritare menţionate la articolul 14 referitoare la persoanele fizice respective, prin serviciile de acces la datele electronice privind sănătatea menţionate la articolul 4, în formatul european pentru schimbul de dosare electronice de sănătate menţionat la articolul 15.

(3)În conformitate cu articolul 23 din Regulamentul (UE) 2016/679, statele membre pot restrânge domeniul de aplicare al drepturilor prevăzute la alineatele (1) şi (2) din prezentul articol, în special ori de câte ori restricţiile respective sunt necesare pentru protecţia persoanelor fizice, din considerente de siguranţă a pacienţilor şi din considerente etice, prin amânarea accesului la datele lor electronice cu caracter personal privind sănătatea pentru o perioadă limitată, până când un profesionist din domeniul sănătăţii are posibilitatea de a comunica şi explica în mod corespunzător persoanelor fizice în cauză informaţii care pot avea un impact semnificativ asupra sănătăţii lor.

Art. 4: Servicii de acces la datele electronice privind sănătatea pentru persoanele fizice şi reprezentanţii acestora

(1)Statele membre se asigură că se instituie unul sau mai multe servicii de acces la datele electronice privind sănătatea la nivel naţional, regional sau local, permiţând astfel persoanelor fizice să aibă acces la datele lor electronice cu caracter personal privind sănătatea şi să îşi exercite drepturile prevăzute la articolul 3 şi la articolele 5-10. Astfel de servicii de acces la datele electronice privind sănătatea sunt gratuite pentru persoanele fizice şi reprezentanţii acestora menţionaţi la alineatul (2) de la prezentul articol.

(2)Statele membre se asigură că unul sau mai multe servicii de împuternicire sunt instituite ca funcţionalitate a serviciilor de acces la datele electronice privind sănătatea care permite:

(3)Serviciile de împuternicire menţionate la alineatul (2) furnizează autorizaţii în mod transparent şi uşor de înţeles, gratuit şi în format electronic sau pe suport de hârtie. Persoanele fizice şi reprezentanţii acestora sunt informaţi cu privire la drepturile de autorizare pe care le au, inclusiv la modul de exercitare a acestor drepturi, şi cu privire la procesul de autorizare.

Art. 5: Dreptul persoanelor fizice de a introduce informaţii în propriile DES

Persoanele fizice, sau reprezentanţii acestora menţionaţi la articolul 4 alineatul (2), au dreptul de a introduce informaţii în DES ale persoanelor fizice respective prin intermediul serviciilor de acces la datele electronice privind sănătatea sau al aplicaţiilor legate de serviciile respective, astfel cum se menţionează la articolul respectiv. Informaţiile respective trebuie să fie clar diferenţiate ca fiind introduse de persoana fizică sau de reprezentantul acesteia. Persoanele fizice, sau reprezentanţii acestora menţionaţi la articolul 4 alineatul (2), nu pot modifica direct datele electronice privind sănătatea şi informaţiile conexe introduse de profesioniştii din domeniul sănătăţii.

Art. 6: Dreptul persoanelor fizice la rectificare

Art. 7: Dreptul la portabilitatea datelor pentru persoanele fizice

(2)Persoanele fizice au dreptul, în cazul în care furnizorii de servicii medicale se află în state membre diferite, să solicite transmiterea datelor lor electronice cu caracter personal privind sănătatea în formatul european pentru schimbul de dosare electronice de sănătate menţionat la articolul 15 prin intermediul infrastructurii transfrontaliere menţionate la articolul 23. Furnizorul de servicii medicale destinatar acceptă aceste date şi trebuie să fie în măsură să le citească.

(3)Persoanele fizice au dreptul de a solicita unui furnizor de servicii medicale să transmită o parte a datelor lor electronice cu caracter personal privind sănătatea unui destinatar clar identificat din sectorul securităţii sociale sau al serviciilor de rambursare. Transmiterea menţionată se efectuează imediat, gratuit şi fără impedimente din partea furnizorului de servicii medicale sau a producătorilor sistemelor utilizate de furnizorul respectiv de servicii medicale şi este doar unidirecţională.

(4)În cazul în care persoanele fizice au descărcat o copie electronică a categoriilor lor prioritare de date electronice cu caracter personal privind sănătatea în conformitate cu articolul 3 alineatul (2), acestea au posibilitatea de a transmite datele respective furnizorilor de servicii medicale la alegerea lor în formatul european pentru schimbul de dosare electronice de sănătate menţionat la articolul 15. Furnizorul de servicii medicale destinatar acceptă aceste date şi trebuie să fie în măsură să le citească, după caz.

Art. 8: Dreptul de a restricţiona accesul

Art. 9: Dreptul de a obţine informaţii privind accesarea datelor

(2)Informaţiile menţionate la alineatul (1) sunt furnizate, în mod gratuit şi fără întârziere, prin intermediul serviciilor de acces la datele electronice privind sănătatea şi sunt disponibile timp de cel puţin trei ani de la fiecare dată de acces la date. Informaţiile respective includ cel puţin următoarele:

Art. 10: Dreptul persoanelor fizice de refuz în utilizarea primară

(2)Dacă un stat membru recunoaşte dreptul menţionat la alineatul (1) de la prezentul articol, el stabileşte normele şi garanţiile specifice cu privire la mecanismul de refuz. În special, statele membre pot dispune ca un furnizor de servicii medicale sau un profesionist din domeniul sănătăţii să poată avea acces la datele electronice cu caracter personal privind sănătatea în cazurile în care prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice, astfel cum se menţionează la articolul 9 alineatul (2) litera (c) din Regulamentul (UE) 2016/679, chiar dacă pacientul şi-a exercitat dreptul de refuz în utilizarea primară.

Art. 11: Accesul profesioniştilor din domeniul sănătăţii la datele electronice cu caracter personal privind sănătatea

(3)Accesul menţionat la alineatele (1) şi (2) de la prezentul articol vizează cel puţin categoriile prioritare de date electronice cu caracter personal privind sănătatea menţionate la articolul 14.

(5)În cazul în care accesul la datele electronice cu caracter personal privind sănătatea a fost restricţionat de către o persoană fizică în conformitate cu articolul 8, furnizorul de servicii medicale sau profesionistul din domeniul sănătăţii nu este informat cu privire la conţinutul restricţionat al datelor respective.

Art. 12: Serviciile de acces pentru profesioniştii din domeniul sănătăţii

Art. 13: Înregistrarea datelor electronice cu caracter personal privind sănătatea

(4)Până la 26 martie 2027, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, cerinţele de calitate a datelor, inclusiv în legătură cu semantica, uniformitatea, coerenţa, acurateţea şi exhaustivitatea, pentru înregistrarea datelor electronice cu caracter personal privind sănătatea într-un sistem DES, după caz. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

Art. 14: Categorii prioritare de date electronice cu caracter personal privind sănătatea pentru utilizare primară

(1)În sensul prezentului capitol, în cazul în care datele sunt prelucrate în format electronic, categoriile prioritare de date electronice cu caracter personal privind sănătatea sunt următoarele:

f)rapoarte de externare.

(2)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica prezentul regulament prin modificarea anexei I prin adăugarea, modificarea sau eliminarea principalelor caracteristici ale categoriilor prioritare de date electronice cu caracter personal privind sănătatea, astfel cum sunt menţionate la alineatul (1), cu condiţia ca modificările să vizeze adaptarea categoriilor prioritare de date electronice cu caracter personal privind sănătatea la evoluţiile tehnice şi la standardele internaţionale. În plus, adăugările şi modificările caracteristicilor respective trebuie să îndeplinească simultan următoarele criterii:

Art. 15: Formatul european pentru schimbul de dosare electronice de sănătate

(1)Până la 26 martie 2027, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, specificaţiile tehnice pentru categoriile prioritare de date electronice cu caracter personal privind sănătatea menţionate la articolul 14 alineatul (1), care prevăd formatul european pentru schimbul de dosare electronice de sănătate. Formatul respectiv trebuie să fie utilizat în mod curent, să poată fi citit automat şi să permită transmiterea de date electronice cu caracter personal privind sănătatea între diferite aplicaţii software, dispozitive şi furnizori de servicii medicale. Formatul respectiv sprijină transmiterea de date structurate şi nestructurate privind sănătatea şi include următoarele elemente:

Art. 16: Gestionarea identificării

(2)Comisia stabileşte, prin intermediul unor acte de punere în aplicare, cerinţele pentru mecanismul interoperabil şi transfrontalier de identificare şi autentificare a persoanelor fizice şi a profesioniştilor din domeniul sănătăţii, în conformitate cu Regulamentul (UE) nr. 910/2014. Mecanismul respectiv facilitează transferabilitatea datelor electronice cu caracter personal privind sănătatea în context transfrontalier. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

Art. 18: Compensaţie pentru punerea la dispoziţie a datelor electronice cu caracter personal privind sănătatea

SECŢIUNEA 2:Guvernanţa pentru utilizarea primară

Art. 19: Autorităţi privind sănătatea digitală

(1)Fiecare stat membru desemnează una sau mai multe autorităţi privind sănătatea digitală responsabile de punerea în aplicare şi asigurarea respectării prezentului capitol la nivel naţional. Statul membru comunică Comisiei identitatea autorităţilor privind sănătatea digitală până la 26 martie 2027. În cazul în care un stat membru desemnează mai multe autorităţi privind sănătatea digitală sau în cazul în care autoritatea privind sănătatea digitală constă în mai multe organizaţii, statul membru în cauză comunică Comisiei o descriere a distribuţiei sarcinilor între respectivele autorităţi sau organizaţii diferite. În cazul în care un stat membru desemnează mai multe autorităţi privind sănătatea digitală, acesta desemnează o autoritate privind sănătatea digitală care să acţioneze în calitate de coordonator. Comisia pune informaţiile respective la dispoziţia publicului.

(2)Fiecărei autorităţi privind sănătatea digitală i se încredinţează următoarele sarcini şi competenţe:

h)să contribuie, la nivelul Uniunii, la dezvoltarea formatului european pentru schimbul de dosare electronice de sănătate, la elaborarea unor specificaţii comune, în conformitate cu articolul 36, care abordează preocupările legate de calitate, interoperabilitate, securitate, siguranţă, uşurinţa utilizării, accesibilitate, nediscriminare sau drepturi fundamentale, şi la elaborarea specificaţiilor bazei de date a UE pentru înregistrarea sistemelor DES şi a aplicaţiilor de wellness menţionată la articolul 49;

m)să coopereze cu autorităţile de supraveghere în conformitate cu Regulamentele (UE) nr. 910/2014 şi (UE) 2016/679 şi cu Directiva (UE) 2022/2555 a Parlamentului European şi a Consiliului (³²) şi cu alte autorităţi relevante, inclusiv cu cele competente în materie de securitate cibernetică şi identificare electronică.

Art. 20: Rapoartele autorităţilor privind sănătatea digitală

Autorităţile privind sănătatea digitală desemnate în temeiul articolului 19 publică un raport de activitate din doi în doi ani, care conţine o prezentare cuprinzătoare a activităţilor lor. În cazul în care un stat membru desemnează mai multe autorităţi privind sănătatea digitală, una dintre acestea este responsabilă de întocmirea raportului şi, în acest sens, solicită informaţiile necesare de la celelalte autorităţi privind sănătatea digitală. Respectivul raport de activitate respectă o structură convenită la nivelul Uniunii în cadrul Consiliului pentru spaţiul european al datelor privind sănătatea (denumit în continuare "Consiliul SEDS") menţionat la articolul 92. Raportul de activitate respectiv conţine cel puţin informaţii privind:

Art. 21: Dreptul de a depune o plângere la o autoritate privind sănătatea digitală

(2)În cazul în care plângerea se referă la drepturile persoanelor fizice prevăzute la articolul 3 şi articolele 5-10 şi din prezentul regulament, autoritatea privind sănătatea digitală transmite plângerea autorităţilor de supraveghere competente în temeiul Regulamentului (UE) 2016/679. Autoritatea privind sănătatea digitală furnizează informaţiile necesare de care dispune autorităţii de supraveghere competente în temeiul Regulamentului (UE) 2016/679 pentru a facilita evaluarea şi investigarea plângerii.

(3)Autoritatea competentă privind sănătatea digitală la care s-a depus plângerea informează reclamantul, în conformitate cu dreptul intern, despre progresul înregistrat în tratarea plângerii, despre decizia luată cu privire la plângere, despre orice transmitere a plângerii către autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 şi, în astfel de cazuri de transmitere, că autoritatea de supraveghere respectivă este, începând cu acel moment, singurul punct de contact al reclamantului în chestiunea respectivă.

Art. 22: Relaţia cu autorităţile de supraveghere în temeiul Regulamentului (UE) 2016/679

Autoritatea de supraveghere sau autorităţile de supraveghere responsabile cu monitorizarea şi asigurarea aplicării Regulamentului (UE) 2016/679 au, de asemenea, competenţa de a monitoriza şi a asigura aplicarea articolului 3 şi a articolelor 5-10 din prezentul regulament. Se aplică, mutatis mutandis, dispoziţiile relevante din Regulamentul (UE) 2016/679. Autorităţile de supraveghere au competenţa de a impune amenzi administrative până la concurenţa sumei menţionate la articolul 83 alineatul (5) din Regulamentul (UE) 2016/679.

SECŢIUNEA 3:Infrastructura transfrontalieră pentru utilizarea primară a datelor electronice cu caracter personal privind sănătatea

Art. 23: MyHealth@EU

(2)Fiecare stat membru desemnează un punct naţional de contact pentru sănătatea digitală, ca portal organizaţional şi tehnic pentru furnizarea de servicii legate de schimbul transfrontalier de date electronice cu caracter personal privind sănătatea în contextul utilizării primare. Fiecare punct naţional de contact pentru sănătatea digitală este conectat la toate celelalte puncte naţionale de contact pentru sănătatea digitală din celelalte state membre şi la platforma centrală de interoperabilitate pentru sănătatea digitală în infrastructura transfrontalieră MyHealth@EU. În cazul în care un punct naţional de contact pentru sănătatea digitală este o entitate formată din mai multe organizaţii responsabile de implementarea diferitelor servicii, statul membru în cauză comunică Comisiei o descriere a distribuţiei sarcinilor între organizaţii. Fiecare stat membru informează Comisia cu privire la identitatea punctului său naţional de contact pentru sănătatea digitală până la 26 martie 2027. Punctul naţional de contact pentru sănătatea digitală poate fi desemnat în cadrul autorităţii privind sănătatea digitală menţionate la articolul 19. Statele membre informează Comisia cu privire la orice modificare ulterioară a identităţii acestor puncte de contact pentru sănătatea digitală. Comisia şi statele membre pun informaţiile respective la dispoziţia publicului.

(3)Fiecare punct naţional de contact pentru sănătatea digitală permite schimbul de date electronice cu caracter personal privind sănătatea menţionate la articolul 14 alineatul (1) cu punctele naţionale de contact pentru sănătatea digitală din alte state membre prin MyHealth@EU. Schimbul respectiv se bazează pe formatul european pentru schimbul de dosare electronice de sănătate.

În cazul în care statele membre prevăd categorii suplimentare de date electronice cu caracter personal privind sănătatea în temeiul articolului 14 alineatul (1) al treilea paragraf, punctul naţional de contact pentru sănătatea digitală permite schimbul de categorii suplimentare de date electronice cu caracter personal privind sănătatea menţionate la articolul 14 alineatul (1) al treilea paragraf, în măsura în care statul membru în cauză a prevăzut ca respectivele categorii suplimentare de date electronice cu caracter personal privind sănătatea să fie accesate şi partajate în conformitate cu articolul 14 alineatul (1) al treilea paragraf.

(4)Până la 26 martie 2027, Comisia adoptă, prin intermediul unor acte de punere în aplicare, măsurile necesare pentru dezvoltarea tehnică a MyHealth@EU, norme detaliate privind securitatea, confidenţialitatea şi protecţia datelor electronice cu caracter personal privind sănătatea, precum şi condiţiile pentru verificările de conformitate necesare pentru a adera şi a rămâne conectat la MyHealth@EU. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

(6)Statele membre se asigură că farmaciile care îşi desfăşoară activitatea pe teritoriul lor, inclusiv farmaciile online, au posibilitatea de a elibera prescripţii electronice emise în alte state membre, în condiţiile prevăzute la articolul 11 din Directiva 2011/24/UE.

(8)Comisia stabileşte, prin intermediul unor acte de punere în aplicare, normele privind cerinţele de securitate cibernetică, interoperabilitate tehnică, interoperabilitate semantică, operaţiuni şi gestionarea serviciilor în ceea ce priveşte prelucrarea de către persoana împuternicită de operator menţionată la alineatul (7) de la prezentul articol şi responsabilităţile sale faţă de operatori, în conformitate cu capitolul IV din Regulamentul (UE) 2016/679. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

Art. 24: Servicii şi infrastructuri de sănătate digitală transfrontaliere suplimentare

(1)Statele membre pot furniza, prin intermediul MyHealth@EU, servicii suplimentare care facilitează telemedicina, asistenţa medicală prin tehnologie mobilă, accesul persoanelor fizice la traduceri existente ale datelor lor privind sănătatea, schimbul sau verificarea certificatelor legate de sănătate, inclusiv servicii privind cardurile de vaccinare care sprijină sistemele de sănătate publică şi sistemele de monitorizare a sănătăţii publice sau sistemele de sănătate digitală, serviciile şi aplicaţiile interoperabile de sănătate digitală, în vederea atingerii unui nivel ridicat de încredere şi securitate, a consolidării continuităţii îngrijirii şi a asigurării accesului la asistenţă medicală sigură şi de înaltă calitate. Comisia, prin intermediul unor acte de punere în aplicare, stabileşte aspectele tehnice ale unor astfel de servicii suplimentare. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

(2)Comisia şi statele membre pot facilita schimbul de date electronice cu caracter personal privind sănătatea cu alte infrastructuri, cum ar fi sistemul clinic de gestionare a pacienţilor sau alte servicii sau infrastructuri din domeniul sănătăţii, al îngrijirii sau al securităţii sociale, care pot deveni participanţi autorizaţi în cadrul MyHealth@EU. Comisia, prin intermediul unor acte de punere în aplicare, stabileşte aspectele tehnice ale unor astfel de schimburi. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

Conectarea şi deconectarea unei alte infrastructuri la sau de la platforma centrală pentru sănătatea digitală fac obiectul unei decizii a Comisiei adoptate prin intermediul unui act de punere în aplicare, pe baza rezultatului verificărilor de conformitate a aspectelor tehnice ale schimburilor, astfel cum se menţionează la primul paragraf de la prezentul alineat. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

(3)Un punct naţional de contact pentru sănătatea digitală al unei ţări terţe sau un sistem instituit la nivel internaţional de o organizaţie internaţională poate deveni participant autorizat la MyHealth@EU, cu condiţia ca acestea să îndeplinească cerinţele MyHealth@EU în scopurile schimbului de date electronice cu caracter personal privind sănătatea, astfel cum se menţionează la articolul 23, ca transferul care decurge din conexiunea la MyHealth@EU să respecte normele prevăzute în capitolul V din Regulamentul (UE) 2016/679 şi ca cerinţele privind măsurile juridice, organizatorice, operaţionale, semantice, tehnice şi de securitate cibernetică să fie echivalente cu cele aplicabile statelor membre în operarea serviciilor MyHealth@EU. Cerinţele respective se controlează de către Comisie prin verificări ale conformităţii.

Pe baza rezultatului verificărilor conformităţii menţionate la primul paragraf de la prezentul alineat, Comisia poate, prin intermediul unor acte de punere în aplicare, să decidă conectarea sau deconectarea punctului naţional de contact pentru sănătatea digitală al ţării terţe sau al sistemului instituit la nivel internaţional de o organizaţie internaţională, după caz, la sau de la MyHealth@EU. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

CAPITOLUL III:SISTEMELE DES ŞI APLICAŢIILE DE WELLNESS

SECŢIUNEA 1:Sfera de aplicare şi dispoziţii generale privind sistemele DES

Art. 26: Introducerea pe piaţă şi punerea în funcţiune

(2)Sistemele DES fabricate şi utilizate în cadrul unităţilor medicale stabilite în Uniune, precum şi sistemele DES oferite ca serviciu în sensul definiţiei de la articolul 1 alineatul (1) litera (b) din Directiva (UE) 2015/1535 a Parlamentului European şi a Consiliului (³³) unei persoane fizice sau juridice stabilite în Uniune sunt considerate ca fiind puse în funcţiune.

Art. 27: Legătura cu dreptul Uniunii care reglementează dispozitivele medicale, dispozitivele medicale pentru diagnostic in vitro şi sistemele de IA

(1)Producătorii de dispozitive medicale sau de dispozitive medicale pentru diagnostic in vitro, în sensul definiţiei de la articolul 2 punctul 1 din Regulamentul (UE) 2017/745 şi, respectiv, la articolul 2 punctul 2 din Regulamentul (UE) 2017/746, care declară interoperabilitatea dispozitivelor medicale sau a dispozitivelor medicale pentru diagnostic in vitro respective cu componentele software armonizate ale sistemelor DES, demonstrează conformitatea cu cerinţele esenţiale privind componenta software europeană de interoperabilitate pentru sistemele DES şi componenta software europeană de evidenţă pentru sistemele DES, prevăzute în secţiunea 2 din anexa II la prezentul regulament. Articolul 36 din prezentul regulament se aplică dispozitivelor medicale şi dispozitivelor medicale pentru diagnostic in vitro respective.

(2)Furnizorii de sisteme de IA considerate cu grad ridicat de risc în conformitate cu articolul 6 din Regulamentul (UE) 2024/1689 (denumite în continuare "sisteme de IA cu grad ridicat de risc") şi care nu intră în domeniul de aplicare al Regulamentului (UE) 2017/745 sau (UE) 2017/746, care declară că respectivele sisteme de IA cu grad ridicat de risc sunt interoperabile cu componentele software armonizate ale sistemelor DES, demonstrează conformitatea cu cerinţele esenţiale privind componenta software europeană de interoperabilitate pentru sistemele DES şi componenta software europeană de evidenţă pentru sistemele DES, astfel cum sunt prevăzute în secţiunea 2 din anexa II la prezentul regulament. Articolul 36 din prezentul regulament se aplică respectivelor sisteme de IA cu grad ridicat de risc.

Art. 28: Menţiuni

În fişa de informaţii, în instrucţiunile de utilizare sau în alte informaţii de însoţire a sistemelor DES şi în publicitatea sistemelor DES, se interzice utilizarea de text, nume, mărci comerciale, imagini şi semne figurative sau alte semne care ar putea induce în eroare utilizatorul profesionist, în sensul definiţiei de la articolul 3 punctul 8 din Regulamentul (UE) 2018/1807 al Parlamentului European şi al Consiliului (³⁴), în ceea ce priveşte scopul propus, interoperabilitatea şi securitatea prin:

SECŢIUNEA 2:Obligaţiile operatorilor economici cu privire la sistemele DES

Art. 30: Obligaţiile producătorilor de sisteme DES

(1)Producătorii de sisteme DES:

i)iau, fără întârzieri nejustificate, orice măsură corectivă necesară în ceea ce priveşte sistemele lor DES, atunci când producătorii consideră sau au motive să creadă că astfel de sisteme nu sunt sau nu mai sunt în conformitate cu cerinţele esenţiale prevăzute în anexa II sau recheamă sau retrag astfel de sisteme; ulterior, producătorii de sisteme DES informează autorităţile naţionale ale statelor membre în care au pus la dispoziţie pe piaţă sistemele lor DES sau le-au pus în funcţiune cu privire la neconformitate, cu privire la orice măsură corectivă întreprinsă, inclusiv cu privire la calendarul de punere în aplicare, şi cu privire la data la care componentele software armonizate ale sistemelor lor DES au fost aduse în conformitate sau au fost rechemate sau retrase;

(2)Producătorii de sisteme DES se asigură că sunt instituite proceduri pentru a se asigura că proiectarea, dezvoltarea şi implementarea componentelor software armonizate ale unui sistem DES continuă să respecte cerinţele esenţiale prevăzute în anexa II şi specificaţiile comune menţionate la articolul 36. Modificările aduse proiectării sau caracteristicilor sistemului DES referitor la componentele software armonizate ale unui sistem DES sunt luate în considerare în mod corespunzător şi sunt reflectate în documentaţia tehnică.

(3)Producătorii de sisteme DES păstrează documentaţia tehnică menţionată la articolul 37 şi declaraţia de conformitate UE menţionată la articolul 39 timp de 10 ani de la introducerea pe piaţă a sistemului DES vizat de declaraţia de conformitate UE.

(5)În urma unei cereri motivate din partea unei autorităţi de supraveghere a pieţei, producătorii de sisteme DES îi furnizează acesteia, pe suport de hârtie sau în format electronic, toate informaţiile şi documentaţia necesară pentru a demonstra conformitatea sistemului DES cu cerinţele esenţiale prevăzute în anexa II şi cu specificaţiile comune menţionate la articolul 36, într-o limbă uşor de înţeles de către autoritatea de supraveghere a pieţei în cauză. Producătorii de sisteme DES cooperează cu autoritatea de supraveghere a pieţei, la cererea acesteia, cu privire la orice măsură luată pentru eliminarea riscurilor prezentate de un sistem DES pe care l-au introdus pe piaţă sau l-au pus în funcţiune.

Art. 31: Reprezentanţi autorizaţi

(2)Reprezentantul autorizat îndeplineşte sarcinile prevăzute în mandatul convenit cu producătorul. Mandatul permite reprezentantului autorizat să îndeplinească cel puţin următoarele:

Art. 32: Obligaţiile importatorilor

(2)Înainte de punerea la dispoziţie pe piaţă a unui sistem DES, importatorii se asigură că:

(3)Importatorii îşi indică numele, denumirea comercială înregistrată sau marca înregistrată, adresa poştală, pagina de internet, adresa de e-mail sau alte date de contact digital la care pot fi contactaţi, într-un document de însoţire a sistemului DES. Datele de contact indică un punct unic la care poate fi contactat producătorul şi se prezintă într-o limbă care este uşor de înţeles de către utilizatori şi de către autorităţile de supraveghere a pieţei. Importatorii se asigură că orice etichetă suplimentară aplicată nu ascunde şi nu acoperă nicio informaţie dintre cele furnizate de producător care apar pe oricare dintre etichetele iniţiale furnizate de sistemul DES.

(5)În cazul în care importatorul consideră sau are motive să creadă că un sistem DES nu este sau nu mai este conform cu cerinţele esenţiale prevăzute în anexa II şi cu eventualele cerinţe adoptate în temeiul articolului 42, acesta nu pune la dispoziţie pe piaţă sistemul DES respectiv sau, dacă sistemul DES respectiv deja a fost introdus pe piaţă, îl recheamă sau îl retrage, până când sistemul DES respectiv este adus în conformitate. În cazul unei astfel de rechemări sau retrageri, importatorul informează imediat, fără întârzieri nejustificate, producătorul respectivului sistem DES, utilizatorii şi autorităţile de supraveghere a pieţei din statul membru în care a pus la dispoziţie pe piaţă sistemul DES, cu privire la o astfel de rechemare sau retragere, precizând detalii, în special, cu privire la neconformitate şi la orice măsuri corective luate.

(7)Importatorii, în urma unei cereri motivate din partea autorităţilor de supraveghere a pieţei ale statelor membre în cauză, furnizează acestora toate informaţiile şi documentaţia necesară pentru a demonstra conformitatea unui sistem DES. Importatorii cooperează cu autorităţile respective, la cererea acestora, cu producătorul şi, după caz, cu reprezentantul autorizat într-o limbă oficială a statului membru în care se află autoritatea de supraveghere a pieţei. Importatorii cooperează cu autorităţile respective, la cererea acestora, cu privire la orice acţiune întreprinsă pentru a-şi aduce sistemele DES în conformitate cu cerinţele esenţiale care vizează componentele software armonizate prevăzute în anexa II sau pentru a asigura că sistemele DES care nu sunt în conformitate cu cerinţele esenţiale menţionate sunt rechemate sau retrase.

(8)Importatorii stabilesc canale de raportare şi se asigură că acestea sunt accesibile pentru a permite utilizatorilor să depună plângeri, şi ţin un registru al plângerilor, al sistemelor DES neconforme şi al rechemărilor şi retragerilor de sisteme DES. Importatorii verifică dacă canalele de depunere a plângerilor stabilite în temeiul articolului 30 alineatul (1) litera (n) sunt disponibile public, permiţând utilizatorilor să prezinte reclamaţii şi să primească orice comunicare privind orice risc legat de sănătate şi siguranţă sau de alte aspecte care ţin de protecţia interesului public şi permiţând utilizatorilor să fie informaţi cu privire la orice incident grav care implică un sistem DES. În cazul în care astfel de canale de depunere a plângerilor nu au fost stabilite, importatorii le creează şi ţin seama de nevoile de accesibilitate ale grupurilor vulnerabile şi ale persoanelor cu dizabilităţi.

(9)Importatorii investighează plângerile şi continuă analiza informaţiilor primite privind incidentele legate de sistemele DES pe care le-au pus la dispoziţie pe piaţă. Importatorii înregistrează reclamaţiile respective, orice rechemare sau retragere de sisteme şi orice măsuri corective luate pentru a aduce în conformitate sistemul DES, în registrul menţionat la articolul 30 alineatul (1) litera (o) sau în propriul lor registru intern. Importatorii informează în timp util producătorul, distribuitorii şi, dacă este cazul, reprezentanţii autorizaţi cu privire la investigaţia şi analiza ulterioară efectuată şi cu privire la rezultatele investigaţiei şi analizei ulterioare.

Art. 33: Obligaţiile distribuitorilor

(3)În cazul în care un distribuitor consideră sau are motive să creadă că un sistem DES nu este conform cu cerinţele esenţiale din anexa II şi cu eventualele cerinţe adoptate în temeiul articolului 42, acesta nu pune la dispoziţie pe piaţă sistemul DES respectiv până când acesta nu a fost adus în conformitate. Distribuitorul informează în acest sens, fără întârzieri nejustificate, producătorul sau importatorul, precum şi autorităţile de supraveghere a pieţei din statele membre în care sistemul DES a fost pus sau urmează să fie pus la dispoziţie pe piaţă. Dacă un distribuitor consideră sau are motive să creadă că un sistem DES prezintă un risc pentru sănătatea sau siguranţa persoanelor fizice, acesta informează autorităţile de supraveghere a pieţei din statul membru în care distribuitorul este stabilit, precum şi producătorul şi importatorul.

(4)Distribuitorii, în urma unei cereri motivate din partea unei autorităţi de supraveghere a pieţei, furnizează acesteia toate informaţiile şi documentaţia necesară pentru a demonstra conformitatea sistemului DES. Distribuitorii cooperează cu autoritatea respectivă, la cererea acesteia, cu producătorul, cu importatorul şi, după caz, cu reprezentantul autorizat al producătorului cu privire la orice acţiune întreprinsă pentru a aduce un sistem DES în conformitate cu cerinţele esenţiale prevăzute în anexa II şi cu eventualele cerinţe adoptate în temeiul articolului 42 sau pentru a-l rechema ori retrage.

Art. 34: Cazurile în care obligaţiile producătorilor unui sistem DES se aplică altor entităţi sau persoane

SECŢIUNEA 3:Conformitatea componentelor software armonizate ale sistemelor DES

Art. 36: Specificaţiile comune

(1)Până la 26 martie 2027, Comisia adoptă, prin intermediul unor acte de punere în aplicare, specificaţii comune cu privire la cerinţele esenţiale prevăzute în anexa II, inclusiv un model comun şi un termen pentru punerea în aplicare a specificaţiilor comune respective. După caz, specificaţiile comune respective ţin seama de particularităţile dispozitivelor medicale şi ale sistemelor de IA cu grad ridicat de risc menţionate la articolul 27 alineatele (1) şi, respectiv, (2), inclusiv cu standardele de ultimă oră pentru informatica medicală şi cu formatul european pentru schimbul de dosare electronice de sănătate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

(3)Specificaţiile comune menţionate la alineatul (1) pot include elemente legate de următoarele:

(4)Sistemele DES, dispozitivele medicale, dispozitivele medicale de diagnosticare in vitro şi sistemele de IA cu risc ridicat menţionate la articolele 25 şi 27 care sunt în conformitate cu specificaţiile comune menţionate la alineatul (1) de la prezentul articol sunt considerate a fi în conformitate cu cerinţele esenţiale acoperite de specificaţiile comune respective sau de părţi ale acestora, prevăzute în anexa II, şi sunt considerate a fi acoperite de specificaţiile comune respective sau de părţile relevante ale acestora.

(5)În cazul în care specificaţiile comune care acoperă cerinţele de interoperabilitate şi securitate ale sistemelor DES afectează dispozitivele medicale, dispozitivele medicale de diagnostic in vitro sau sistemele de IA cu grad ridicat de risc care intră sub incidenţa altor acte juridice, cum ar fi Regulamentul (UE) 2017/745, (UE) 2017/746 sau (UE) 2024/1689, adoptarea specificaţiilor comune respective poate fi precedată de o consultare cu Grupul de coordonare privind dispozitivele medicale (MDCG) înfiinţat prin articolul 103 din Regulamentul (UE) 2017/745 sau cu Consiliul european pentru inteligenţa artificială instituit prin articolul 65 din Regulamentul (UE) 2024/1689 şi cu Comitetul european pentru protecţia datelor (CEPD), după caz.

(6)În cazul în care specificaţiile comune care acoperă cerinţele de interoperabilitate şi securitate ale dispozitivelor medicale, ale dispozitivelor medicale de diagnostic in vitro sau ale sistemelor de IA cu grad ridicat de risc care intră sub incidenţa altor acte juridice, cum ar fi Regulamentul (UE) 2017/745, (UE) 2017/746 sau (UE) 2024/1689, afectează sistemele DES, Comisia se asigură că adoptarea specificaţiilor comune respective este precedată de o consultare cu Consiliul SEDS şi cu CEPD, după caz.

Art. 37: Documentaţia tehnică

(2)Documentaţia tehnică menţionată la alineatul (1) de la prezentul articol demonstrează că sistemul DES respectă cerinţele esenţiale prevăzute în anexa II şi furnizează autorităţilor de supraveghere a pieţei toate informaţiile necesare pentru a evalua conformitatea sistemului DES cu cerinţele respective. Documentaţia tehnică respectivă conţine cel puţin elementele prevăzute în anexa III şi o trimitere la rezultatele obţinute dintr-un mediu european de testare digitală menţionat la articolul 40.

(4)Atunci când o autoritate de supraveghere a pieţei solicită o documentaţie tehnică sau o traducere a unor părţi ale acesteia din partea unui producător, producătorul furnizează o astfel de documentaţie sau traducere în termen de 30 de zile de la data solicitării, cu excepţia cazului în care un termen mai scurt este justificat de un risc grav şi imediat. În cazul în care producătorul nu respectă cerinţele de la alineatele (1), (2) şi (3) de la prezentul articol, autoritatea de supraveghere a pieţei îi poate solicita acestuia să dispună efectuarea unui test de către un organism independent, pe cheltuiala sa, într-un anumit interval de timp, pentru a verifica conformitatea cu cerinţele esenţiale prevăzute în anexa II şi cu specificaţiile comune menţionate la articolul 36.

Art. 38: Fişa de informaţii de însoţire a sistemului DES

(2)Fişa de informaţii menţionată la alineatul (1) precizează:

Art. 39: Declaraţia de conformitate UE

(2)În cazul în care un sistem DES face obiectul altor acte juridice ale Uniunii în ceea ce priveşte aspecte care nu sunt reglementate de prezentul regulament, care impun, de asemenea, o declaraţie de conformitate UE din partea producătorului în care se stipulează că s-a demonstrat îndeplinirea cerinţelor prevăzute în actele juridice respective, se întocmeşte o singură declaraţie de conformitate UE pentru toate actele juridice ale Uniunii aplicabile sistemului DES. Respectiva declaraţie de conformitate UE conţine toate informaţiile necesare pentru identificarea actelor juridice ale Uniunii la care face referire aceasta.

Art. 40: Mediul european de testare digitală

Art. 42: Cerinţe naţionale şi raportarea către Comisie

SECŢIUNEA 4:Supravegherea pieţei sistemelor DES

Art. 43: Autorităţile de supraveghere a pieţei

(2)Statele membre desemnează autoritatea sau autorităţile de supraveghere a pieţei responsabile de punerea în aplicare a prezentului capitol. Statele membre se asigură că autorităţile de supraveghere a pieţei dispun de competenţele necesare şi le pun la dispoziţie resursele umane, financiare şi tehnice, echipamentele şi cunoştinţele necesare pentru buna desfăşurare a sarcinilor care le revin în temeiul prezentului regulament. Autorităţile de supraveghere a pieţei sunt împuternicite să ia măsurile de supraveghere a pieţei menţionate la articolul 16 din Regulamentul (UE) 2019/1020 pentru a asigura respectarea obligaţiilor prevăzute în prezentul capitol. Statele membre comunică Comisiei identitatea autorităţilor de supraveghere a pieţei pe care le desemnează. Comisia şi statele membre pun informaţiile respective la dispoziţia publicului.

(5)Dacă un producător sau un alt operator economic nu cooperează cu o autoritate de supraveghere a pieţei sau în cazul în care informaţiile şi documentaţia pe care aceştia le-au furnizat sunt incomplete sau incorecte, autoritatea de supraveghere a pieţei poate lua toate măsurile corespunzătoare pentru a interzice sau a restricţiona punerea la dispoziţie pe piaţă a sistemului DES în cauză până când producătorul sau operatorul economic în cauză cooperează sau furnizează informaţii complete şi corecte ori pentru a rechema sau a retrage de pe piaţă respectivul sistem DES.

Art. 44: Gestionarea riscurilor prezentate de sistemele DES şi a incidentelor grave

(1)În cazul în care o autoritate de supraveghere a pieţei dintr-un stat membru are motive să creadă că un sistem DES prezintă un risc pentru sănătatea, siguranţa sau drepturile persoanelor fizice sau pentru protecţia datelor cu caracter personal, respectiva autoritate de supraveghere a pieţei efectuează o evaluare cu privire la sistemul DES în cauză, acoperind toate cerinţele relevante prevăzute în prezentul regulament. Producătorul, reprezentantul autorizat al producătorului şi toţi ceilalţi operatori economici relevanţi cooperează, după caz, cu autoritatea de supraveghere a pieţei în acest scop şi iau toate măsurile corespunzătoare pentru a se asigura că sistemul DES în cauză nu mai prezintă riscul respectiv atunci când este introdus pe piaţă ori pentru a rechema sau pentru a retrage sistemul DES de pe piaţă într-un termen rezonabil.

(2)Dacă autorităţile de supraveghere a pieţei dintr-un stat membru consideră că neconformitatea sistemului DES nu se limitează la teritoriul lor naţional, acestea informează Comisia şi autorităţile de supraveghere a pieţei din celelalte state membre cu privire la rezultatele evaluării menţionate la alineatul (1) de la prezentul articol şi la măsurile corective pe care le-au solicitat din partea operatorului economic în temeiul articolului 16 alineatul (2) din Regulamentul (UE) 2019/1020.

(5)Autoritatea de supraveghere a pieţei informează, fără întârzieri nejustificate, Comisia şi autorităţile de supraveghere a pieţei sau, dacă este cazul, autorităţile de supraveghere în temeiul Regulamentului (UE) 2016/679 din alte state membre cu privire la măsurile corective menţionate la alineatul (2). Informaţiile includ toate detaliile disponibile, în special datele necesare pentru identificarea sistemului DES în cauză, originea şi lanţul de aprovizionare aferent sistemului DES, natura riscului implicat, precum şi natura şi durata măsurilor naţionale luate.

(7)Producătorii sistemelor DES introduse pe piaţă sau puse în funcţiune raportează orice incident grav care implică un sistem DES autorităţilor de supraveghere a pieţei din statele membre în care a avut loc un astfel de incident grav şi din statele membre în care sunt introduse pe piaţă sau puse în funcţiune astfel de sisteme DES. Raportarea respectivă conţine, de asemenea, o descriere a măsurilor corective întreprinse sau avute în vedere de producător. Statele membre pot prevedea ca utilizatorii sistemelor DES introduse pe piaţă sau puse în funcţiune să aibă posibilitatea de a raporta astfel de incidente.

Raportarea impusă în temeiul primului paragraf de la prezentul alineat se efectuează, fără a aduce atingere cerinţelor de notificare a incidentelor în temeiul Directivei (UE) 2022/2555, imediat după ce producătorul a stabilit o legătură de cauzalitate între sistemul DES şi incidentul grav sau probabilitatea rezonabilă a unei astfel de legături şi, în orice caz, în termen de cel mult trei zile de la data la care producătorul a luat cunoştinţă de incidentul grav care implică sistemul DES.

(9)În cazul în care sarcinile autorităţii de supraveghere a pieţei nu sunt îndeplinite de autoritatea privind sănătatea digitală, autoritatea de supraveghere a pieţei cooperează cu autoritatea privind sănătatea digitală. Autoritatea de supraveghere a pieţei informează autoritatea privind sănătatea digitală cu privire la orice incidente grave, cu privire la sisteme DES care prezintă un risc, inclusiv riscuri legate de interoperabilitate, securitate şi siguranţa pacienţilor, cu privire la orice măsură corectivă, precum şi cu privire la orice rechemare sau retragere a unor astfel de sisteme DES.

Art. 45: Gestionarea neconformităţii

(1)În cazul în care o autoritate de supraveghere a pieţei constată un caz de neconformitate, aceasta solicită producătorului sistemului DES în cauză, reprezentantului său autorizat şi tuturor celorlalţi operatori economici relevanţi să ia, într-un anumit termen, măsurile corective necesare pentru a aduce sistemul DES în conformitate. Astfel de constatări de neconformitate includ următoarele, fără a se limita la acestea:

(2)Dacă producătorul sistemului DES în cauză, reprezentantul său autorizat sau orice alt operator economic relevant nu ia măsuri corective adecvate într-un termen rezonabil, autorităţile de supraveghere a pieţei iau toate măsurile provizorii corespunzătoare pentru a interzice sau a limita punerea la dispoziţie a sistemului DES pe piaţa din statele membre respective, sau pentru a rechema sau a retrage sistemul DES de pe piaţa respectivă.

Autorităţile de supraveghere a pieţei informează Comisia şi autorităţile de supraveghere a pieţei din celelalte state membre, fără întârziere, cu privire la respectivele măsuri provizorii. Informaţiile respective includ toate detaliile disponibile, în special cu privire la datele necesare pentru a identifica sistemul DES neconform, originea sistemului DES respectiv, natura neconformităţii invocate şi riscul implicat, natura şi durata măsurilor luate de autorităţile de supraveghere a pieţei, precum şi argumentele prezentate de operatorul economic relevant. Autorităţile de supraveghere a pieţei indică, în special, dacă neconformitatea este cauzată de una dintre următoarele situaţii:

(3)Autorităţile de supraveghere a pieţei, altele decât autorităţile de supraveghere a pieţei care au iniţiat procedura în temeiul prezentului articol, informează fără întârziere Comisia şi autorităţile de supraveghere a pieţei din celelalte state membre cu privire la măsurile adoptate, la informaţiile suplimentare aflate la dispoziţia lor referitoare la neconformitatea sistemului DES în cauză şi, în caz de dezacord cu măsura naţională adoptată, cu privire la obiecţiile lor.

Art. 46: Procedura de salvgardare a Uniunii

(1)În cazul în care, în temeiul articolului 44 alineatul (2) şi al articolului 45 alineatul (3), se aduc obiecţii cu privire la o măsură naţională luată de o autoritate de supraveghere a pieţei sau în cazul în care Comisia consideră că o măsură naţională contravine dreptului Uniunii, Comisia iniţiază fără întârziere consultări cu respectiva autoritate de supraveghere a pieţei şi cu operatorii economici relevanţi şi evaluează măsura naţională în cauză. Pe baza rezultatelor evaluării respective, Comisia adoptă o decizie de punere în aplicare prin care stabileşte dacă măsura naţională este justificată. Respectiva decizie de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2). Comisia îşi adresează decizia de punere în aplicare tuturor statelor membre şi o comunică de îndată acestora şi operatorilor economici relevanţi.

SECŢIUNEA 5:Alte dispoziţii privind interoperabilitatea

Art. 47: Etichetarea aplicaţiilor de wellness

(1)În cazul în care un producător al unei aplicaţii de wellness declară interoperabilitatea cu un sistem DES referitor la componentele software armonizate ale sistemelor DES şi, prin urmare, conformitatea cu specificaţiile comune menţionate la articolul 36 şi cu cerinţele esenţiale prevăzute în anexa II, aplicaţia de wellness respectivă este însoţită de o etichetă care indică în mod clar conformitatea sa cu specificaţiile şi cu cerinţele respective. Eticheta respectivă este emisă de producătorul aplicaţiei de wellness.

(6)În cazul în care aplicaţia de wellness este parte integrantă a unui dispozitiv sau este încorporată într-un dispozitiv după ce a fost pusă în funcţiune, eticheta de însoţire se indică în aplicaţia propriu-zisă sau se aplică pe dispozitivul respectiv. În cazul în care aplicaţia de wellness constă exclusiv într-un software, eticheta are un format digital şi este afişată în aplicaţie. Pentru afişarea etichetei, pot fi utilizate şi coduri de bare bidimensionale (2D).

Art. 48: Interoperabilitatea aplicaţiilor de wellness cu sistemele DES

(2)Interoperabilitatea aplicaţiilor de wellness cu sistemele DES nu implică partajarea sau transmiterea automată a tuturor datelor privind sănătatea sau a unei părţi a lor din aplicaţia de wellness către sistemul DES. Partajarea sau transmiterea de astfel de date este posibilă doar dacă este în conformitate cu articolul 5 şi după ce persoana fizică în cauză îşi dă consimţământul, iar interoperabilitatea este limitată exclusiv la scopurile respective. Producătorii de aplicaţii de wellness care declară interoperabilitatea cu un sistem DES se asigură că persoana fizică în cauză poate alege ce categorii de date privind sănătatea din aplicaţia de wellness urmează să fie introduse în sistemul DES şi circumstanţele partajării sau transmisiei categoriilor de date respective.

SECŢIUNEA 6:Înregistrarea sistemelor DES şi a aplicaţiilor de wellness

Art. 49: Baza de date a UE pentru înregistrarea sistemelor DES şi a aplicaţiilor de wellness

(2)Înainte de introducerea pe piaţă sau de punerea în funcţiune a unui sistem DES menţionat la articolul 26 sau a unei aplicaţii de wellness menţionate la articolul 47, producătorul sistemului DES sau al aplicaţiei de wellness sau, după caz, reprezentantul său autorizat introduce datele necesare, astfel cum se menţionează la alineatul (4) de la prezentul articol, în baza de date a UE pentru înregistrarea sistemelor DES şi a aplicaţiilor de wellness, inclusiv, în cazul sistemelor DES, a rezultatelor evaluării menţionate la articolul 40.

(3)Dispozitivele medicale, dispozitivele medicale de diagnostic in vitro sau sistemele de IA cu grad ridicat de risc menţionate la articolul 27 alineatele (1) şi (2) din prezentul regulament se înregistrează şi în bazele de date create în temeiul Regulamentului (UE) 2017/745, (UE) 2017/746 sau (UE) 2024/1689, după caz. În astfel de cazuri, datele care urmează să fie introduse se transmit şi către baza de date a UE pentru înregistrarea sistemelor DES şi a aplicaţiilor de wellness.

CAPITOLUL IV:UTILIZAREA SECUNDARĂ

SECŢIUNEA 1:Condiţii generale privind utilizarea secundară

Art. 50: Aplicabilitatea faţă de deţinătorii de date privind sănătatea

Art. 51: Categoriile minime de date electronice privind sănătatea pentru utilizare secundară

(1)Deţinătorii de date privind sănătatea pun la dispoziţie următoarele categorii de date electronice privind sănătatea pentru utilizare secundară, în conformitate cu prezentul capitol:

m)date din studii clinice intervenţionale, studii clinice, investigaţii clinice şi studii referitoare la performanţă care fac obiectul Regulamentului (UE) nr. 536/2014, al Regulamentului (UE) 2024/1938 al Parlamentului European şi al Consiliului (³⁵), al Regulamentului (UE) 2017/745 şi al Regulamentului (UE) 2017/746;

Art. 52: Drepturile de proprietate intelectuală şi secretele comerciale

(1)Datele electronice privind sănătatea protejate prin drepturi de proprietate intelectuală, secrete comerciale sau care intră sub incidenţa dreptului la protecţia normativă a datelor prevăzut la articolul 10 alineatul (1) din Directiva 2001/83/CE a Parlamentului European şi a Consiliului (³⁶) sau la articolul 14 alineatul (11) din Regulamentul (CE) nr. 726/2004 al Parlamentului European şi a Consiliului (³⁷) sunt puse la dispoziţie pentru utilizare secundară în conformitate cu normele prevăzute în prezentul regulament.

(2)Deţinătorii de date privind sănătatea informează organismul de acces la datele privind sănătatea şi identifică orice date electronice privind sănătatea care conţin conţinut sau informaţii protejate prin drepturi de proprietate intelectuală sau secrete comerciale sau care intră sub incidenţa dreptului la protecţia normativă a datelor prevăzut la articolul 10 alineatul (1) din Directiva 2001/83/CE sau la articolul 14 alineatul (11) din Regulamentul (CE) nr. 726/2004. Deţinătorii de date privind sănătatea identifică părţile vizate din seturile de date şi justifică necesitatea protecţiei specifice a datelor. Deţinătorii de date privind sănătatea furnizează informaţiile respective atunci când comunică organismului de acces la datele privind sănătatea descrierile seturilor de date pe care le deţin în temeiul articolului 60 alineatul (3) din prezentul regulament sau, cel târziu, în urma unei cereri primite din partea organismului de acces la datele privind sănătatea.

(3)Organismele de acces la datele privind sănătatea iau toate măsurile specifice adecvate şi proporţionale, inclusiv de natură juridică, organizatorică şi tehnică, pe care le consideră necesare pentru a proteja drepturile de proprietate intelectuală, secretele comerciale sau dreptul la protecţia normativă a datelor prevăzut la articolul 10 alineatul (1) din Directiva 2001/83/CE sau la articolul 14 alineatul (11) din Regulamentul (CE) nr. 726/2004. Organismelor de acces la datele privind sănătatea le revine responsabilitatea de a determina necesitatea şi caracterul oportun al acestor măsuri.

(4)Atunci când eliberează autorizaţii privind datele în conformitate cu articolul 68, organismele de acces la datele privind sănătatea pot condiţiona accesul la anumite date electronice privind sănătatea de anumite măsuri juridice, organizatorice şi tehnice, care pot include acorduri contractuale între deţinătorii de date privind sănătatea şi utilizatorii de date privind sănătatea pentru partajarea de date care conţin informaţii sau conţinut protejat prin drepturi de proprietate intelectuală sau secrete comerciale. Comisia elaborează şi recomandă modele de clauze contractuale fără caracter obligatoriu pentru astfel de acorduri.

(5)Dacă acordarea accesului la datele electronice privind sănătatea pentru uz secundar implică un risc grav de încălcare a unor drepturi de proprietate intelectuală, a unor secrete comerciale sau a dreptului la protecţia normativă a datelor prevăzut la articolul 10 alineatul (1) din Directiva 2001/83/CE sau la articolul 14 alineatul (11) din Regulamentul (CE) nr. 726/2004, risc care nu poate fi gestionat în mod satisfăcător, organismul de acces la datele privind sănătatea refuză accesul solicitantului de date privind sănătatea la datele respective. Organismul de acces la datele privind sănătatea informează solicitantul de date privind sănătatea cu privire la refuzul respectiv şi oferă solicitantului de date privind sănătatea o justificare pentru refuz. Deţinătorii de date privind sănătatea şi solicitanţii de date privind sănătatea au dreptul de a depune o plângere în conformitate cu articolul 81 din prezentul regulament.

Art. 53: Scopurile în care pot fi prelucrate datele electronice privind sănătatea pentru utilizare secundară

(1)Organismele de acces la datele privind sănătatea oferă acces la datele electronice privind sănătatea menţionate la articolul 51 pentru uz secundar unui utilizator de date privind sănătatea doar în cazul în care prelucrarea datelor de către respectivul utilizator de date privind sănătatea este necesară în unul din următoarele scopuri:

e)cercetarea ştiinţifică legată de sectorul sănătăţii sau al serviciilor de îngrijire, care contribuie la sănătatea publică sau la evaluări ale tehnologiilor medicale sau care asigură niveluri ridicate de calitate şi siguranţă a asistenţei medicale, a medicamentelor sau a dispozitivelor medicale, în beneficiul utilizatorilor finali ai activităţilor desfăşurate, cum ar fi pacienţii, profesioniştii din domeniul sănătăţii şi administratorii din domeniul sănătăţi, inclusiv:

(2)Accesul la datele electronice privind sănătatea în scopurile menţionate la alineatul (1) literele (a), (b) şi (c), este rezervat numai organismelor din sectorul public şi instituţiilor, organelor, oficiilor şi agenţiilor Uniunii care exercită sarcinile care le sunt conferite prin dreptul Uniunii sau prin dreptul intern, inclusiv în cazul în care prelucrarea datelor în scopul îndeplinirii sarcinilor respective este efectuată de o parte terţă în numele respectivelor organisme din sectorul public sau al instituţiilor, organelor, oficiilor şi agenţiilor Uniunii.

Art. 54: Utilizare secundară interzisă

Utilizatorii de date privind sănătatea prelucrează datele electronice privind sănătatea pentru utilizare secundară numai pe baza şi în conformitate cu scopurile cuprinse într-o autorizaţie privind datele eliberată în temeiul articolului 68, cu cererile de date privind sănătatea aprobate în temeiul articolului 69 sau, în situaţiile menţionate la articolul 67 alineatul (3), cu o aprobare a accesului din partea participantului autorizat relevant în cadrul platformei HealthData@EU menţionate la articolul 75.

(b)luarea unor decizii cu privire la o persoană fizică sau la un grup de persoane fizice în legătură cu ofertele de muncă, oferirea de condiţii mai puţin favorabile în furnizarea de bunuri sau servicii, inclusiv excluderea respectivelor persoane sau grupuri de la beneficiul unui contract de asigurare sau de credit, modificarea contribuţiilor şi primelor de asigurare sau a condiţiilor de împrumut, ori luarea altor decizii în legătură cu o persoană fizică sau cu un grup de persoane fizice care are ca rezultat discriminarea acestora pe baza datelor privind sănătatea obţinute;

SECŢIUNEA 2:Guvernanţa şi mecanismele pentru utilizarea secundară

Art. 55: Organismele de acces la datele privind sănătatea

(1)Statele membre desemnează unul sau mai multe organisme de acces la datele privind sănătatea responsabile de îndeplinirea sarcinilor şi obligaţiilor prevăzute la articolele 57, 58 şi 59. Statele membre pot fie să instituie unul sau mai multe organisme noi din sectorul public, fie să se bazeze pe organismele existente din sectorul public ori pe serviciile interne ale organismelor din sectorul public care îndeplinesc condiţiile prevăzute la prezentul articol. Sarcinile stabilite la articolul 57 pot fi distribuite între diferite organisme de acces la datele privind sănătatea. În cazul în care un stat membru desemnează mai multe organisme de acces la datele privind sănătatea, acesta desemnează un organism de acces la datele privind sănătatea care să acţioneze în calitate de coordonator, având responsabilitatea de coordonare a cererilor cu celelalte organisme de acces la datele privind sănătatea atât pe teritoriul statului membru respectiv, cât şi în alte state membre.

(2)Pentru a sprijini îndeplinirea cu eficacitate a sarcinilor organismelor de acces la datele privind sănătatea şi exercitarea atribuţiilor acestora, statele membre se asigură că fiecare organism de acces la datele privind sănătatea dispune de următoarele elemente:

(3)Statele membre se asigură că se evită orice conflict de interese între părţile organizaţionale ale organismelor de acces la datele privind sănătatea care îndeplinesc diferitele sarcini ale unor astfel de organisme, de exemplu prin stipularea de garanţii organizatorice, cum ar fi separarea între diferitele funcţii ale organismelor de acces la datele privind sănătatea, inclusiv evaluarea cererilor, primirea şi pregătirea seturilor de date, de exemplu pseudonimizarea şi anonimizarea seturilor de date, precum şi furnizarea datelor în medii de prelucrare securizate.

Art. 56: Serviciul Uniunii de acces la datele privind sănătatea

Art. 57: Sarcinile organismelor de acces la datele privind sănătatea

(1)Organismele de acces la datele privind sănătatea îndeplinesc următoarele sarcini:

a)decid cu privire la cererile de acces la datele privind sănătatea în temeiul articolului 67 din prezentul regulament, autorizează şi eliberează autorizaţii privind datele în temeiul articolului 68 din prezentul regulament pentru accesarea datelor electronice privind sănătatea care ţin de competenţa lor în vederea utilizării secundare şi decid cu privire la cererile de date privind sănătatea formulate în temeiul articolului 69 din prezentul regulament în conformitate cu prezentul capitol şi cu capitolul II din Regulamentul (UE) 2022/868, inclusiv în ceea ce priveşte:

e)menţinerea unui sistem de gestionare pentru înregistrarea şi prelucrarea cererilor de acces la datele privind sănătatea, a cererilor de date privind sănătatea, a deciziilor privind respectivele cereri şi a autorizaţiilor privind datele care au fost eliberate şi a cererilor de date privind sănătatea care au fost prelucrate, furnizând cel puţin informaţii privind numele solicitantului de date privind sănătatea, scopul accesului, data eliberării, durata autorizaţiei privind datele şi o descriere a cererii de acces la datele privind sănătatea sau a cererii de date privind sănătatea;

j)publicarea, prin mijloace electronice:

(2)În exercitarea sarcinilor ce le revin, organismele de acces la datele privind sănătatea:

Art. 58: Obligaţiile organismelor de acces la datele privind sănătatea faţă de persoanele fizice

(1)Organismele de acces la datele privind sănătatea pun la dispoziţia publicului informaţii privind condiţiile în care datele electronice privind sănătatea sunt puse la dispoziţie pentru utilizare secundară, într-un format care să faciliteze căutarea prin mijloace electronice şi care să fie accesibil pentru persoanele fizice. Informaţiile respective acoperă următoarele aspecte:

(3)În cazul în care un organism de acces la datele privind sănătatea este informat de către un utilizator de date privind sănătatea cu privire la o constatare importantă legată de sănătatea unei persoane fizice, astfel cum se menţionează la articolul 61 alineatul (5), organismul de acces la datele privind sănătatea informează deţinătorul de date privind sănătatea cu privire la respectiva constatare. Deţinătorul de date privind sănătatea informează, în condiţiile prevăzute de dreptul intern, persoana fizică sau profesionistul din domeniul sănătăţii care tratează persona fizică în cauză. Persoanele fizice au dreptul să solicite să nu fie informate cu privire la astfel de constatări.

Art. 59: Raportarea de către organismele de acces la datele privind sănătatea

(1)Fiecare organism de acces la datele privind sănătatea publică un raport de activitate din doi în doi ani pe care îl pune la dispoziţia publicului pe site-ul său de internet. În cazul în care un stat membru desemnează mai multe organisme de acces la datele privind sănătatea, organismul de coordonare menţionat la articolul 55 alineatul (1) este responsabil de raportul de activitate şi solicită informaţiile necesare de la celelalte organisme de acces la datele privind sănătatea. Raportul de activitate respectiv urmează o structură convenită de Consiliul SEDS în temeiul articolului 94 alineatul (2) litera (d) şi conţine cel puţin următoarele categorii de informaţii:

Art. 60: Obligaţiile deţinătorilor de date privind sănătatea

Art. 61: Obligaţiile utilizatorilor de date privind sănătatea

(1)Utilizatorii de date privind sănătatea pot accesa şi prelucra datele electronice privind sănătatea menţionate la articolul 51 pentru utilizare secundară numai în conformitate cu o autorizaţie privind datele eliberată în temeiul articolului 68, cu o cerere de date privind sănătatea aprobată în temeiul articolului 69 sau, în situaţiile menţionate la articolul 67 alineatul (3), cu o aprobare a accesului din partea participantului autorizat relevant în cadrul HealthData@EU menţionate la articolul 75.

(4)Utilizatorii de date privind sănătatea publică rezultatele sau ceea ce s-a obţinut în urma utilizării secundare, inclusiv informaţiile relevante pentru furnizarea de asistenţă medicală, în termen de 18 luni de la finalizarea prelucrării datelor electronice privind sănătatea în mediul de prelucrare securizat sau de la primirea răspunsului la cererea de date privind sănătatea menţionată la articolul 69.

Utilizatorii de date privind sănătatea informează organismele de acces la datele privind sănătatea de la care a fost obţinută autorizaţia privind datele în legătură cu rezultatele sau produsele obţinute din utilizarea secundară şi le sprijină să publice informaţiile respective pe site-urile de internet ale organismelor de acces la datele privind sănătatea. O astfel de publicare nu aduce atingere drepturilor de publicare în jurnale ştiinţifice sau în alte publicaţii ştiinţifice.

Art. 62: Taxe

(1)Organismele de acces la datele privind sănătatea, inclusiv serviciile de acces la datele privind sănătatea ale Uniunii sau deţinătorii de date privind sănătatea de încredere menţionaţi la articolul 72 pot percepe taxe pentru punerea la dispoziţie a datelor electronice în vederea utilizării secundare.

Taxele acoperă integral sau parţial costurile legate de procedura pentru evaluarea unei cereri de acces la datele privind sănătatea sau a unei cereri de date privind sănătatea, pentru eliberarea, refuzarea sau modificarea unei autorizaţii privind datele în temeiul articolelor 67 şi 68 sau pentru furnizarea unui răspuns la o cerere de date privind sănătatea depusă în temeiul articolului 69, inclusiv costurile legate de consolidarea, pregătirea, pseudonimizarea, anonimizarea şi furnizarea datelor electronice privind sănătatea.

(2)Taxele menţionate la alineatul (1) de la prezentul articol pot include compensarea costurilor suportate de deţinătorul de date privind sănătatea pentru compilarea şi pregătirea datelor electronice privind sănătatea, care urmează să fie puse la dispoziţie pentru utilizare secundară. În astfel de cazuri, deţinătorul de date privind sănătatea furnizează organismului de acces la datele privind sănătatea o estimare a acestor costuri. În cazul în care deţinătorul de date privind sănătatea este un organism din sectorul public, nu se aplică articolul 6 din Regulamentul (UE) 2022/868. Partea din taxe legată de costurile deţinătorului de date privind sănătatea se plăteşte deţinătorului de date privind sănătatea.

(4)În cazul în care deţinătorii de date privind sănătatea şi utilizatorii de date privind sănătatea nu sunt de acord cu privire la nivelul taxelor în termen de o lună de la eliberarea autorizaţiei privind datele, organismul de acces la datele privind sănătatea poate stabili taxele proporţional cu costul punerii la dispoziţie a datelor electronice privind sănătatea pentru utilizare secundară. În cazul în care deţinătorii de date privind sănătatea sau utilizatorii de date privind sănătatea nu sunt de acord cu taxa stabilită de organismul de acces la datele privind sănătatea, aceştia au acces la organismele de soluţionare a litigiilor în conformitate cu articolul 10 din Regulamentul (UE) 2023/2854.

(5)Înainte de a elibera o autorizaţie privind datele în temeiul articolului 68 sau de a oferi un răspuns la o cerere de date privind sănătatea depusă în temeiul articolului 69, organismul de acces la datele privind sănătatea informează solicitantul de date privind sănătatea cu privire la taxele estimate. Solicitantul de date privind sănătatea este informat cu privire la opţiunea de retragere a cererii de acces la datele privind sănătatea sau la cererea de date privind sănătatea. Dacă solicitantul de date privind sănătatea îşi retrage cererea, solicitantului de date privind sănătatea i se impută doar costurile care au fost deja suportate.

(6)Comisia stabileşte, prin intermediul unor acte de punere în aplicare, principii pentru politicile privind taxele şi structurile taxelor, inclusiv deducerile pentru entităţile menţionate la alineatul (1) al patrulea paragraf de la prezentul articol, pentru a sprijini coerenţa şi transparenţa între statele membre în ceea ce priveşte politicile şi structurile taxelor respective. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

Art. 63: Aplicarea normelor de către organismele de acces la datele privind sănătatea

(2)În cazul în care organismele de acces la datele privind sănătatea constată că un utilizator de date privind sănătatea sau un deţinător de date privind sănătatea nu respectă cerinţele prezentului capitol, acestea informează imediat utilizatorul de date privind sănătatea sau deţinătorul de date privind sănătatea cu privire la respectivele constatări şi iau măsurile adecvate. Organismul de acces la datele privind sănătatea în cauză oferă utilizatorului de date privind sănătatea sau deţinătorului de date privind sănătatea în cauză posibilitatea de a-şi exprima opiniile într-un termen rezonabil care nu depăşeşte patru săptămâni.

(3)În caz de neconformitate din partea utilizatorilor de date privind sănătatea, organismele de acces la datele privind sănătatea au competenţa de a revoca autorizaţia privind datele eliberată în temeiul articolului 68 şi de a opri, fără întârzieri nejustificate, operaţiunea afectată de prelucrare a datelor electronice privind sănătatea care este efectuată de utilizatorul de date privind sănătatea şi adoptă măsuri adecvate şi proporţionale menite să asigure prelucrarea conformă de către utilizatorii de date privind sănătatea.

(4)În caz de neconformitate din partea deţinătorilor de date privind sănătatea, în cazul în care un deţinător de date privind sănătatea nu comunică datele electronice privind sănătatea organismelor de acces la datele privind sănătatea, cu intenţia evidentă de a obstrucţiona utilizarea datelor electronice privind sănătatea, sau nu respectă termenele stabilite la articolul 60 alineatul (2), organismul de acces la datele privind sănătatea are competenţa de a amenda deţinătorul de date privind sănătatea, pentru fiecare zi de întârziere, cu o penalitate cu titlu cominatoriu care trebuie să fie transparentă şi proporţională. Cuantumul amenzilor se stabileşte de către organismul de acces la datele privind sănătatea în conformitate cu dreptul intern. În cazul unor încălcări repetate de către deţinătorul de date privind sănătatea ale obligaţiei de cooperare cu organismul de acces la datele privind sănătatea, organismul respectiv poate exclude sau iniţia proceduri în conformitate cu dreptul intern pentru a exclude deţinătorul de date privind sănătatea de la depunerea cererilor de acces la datele privind sănătatea în temeiul prezentului capitolul pentru o perioadă de până la cinci ani. În cursul acestei perioade de excludere, utilizatorului de date privind sănătatea îi revine în continuare obligaţia de a face datele accesibile în temeiul prezentului capitol, după caz.

(7)Comisia stabileşte, prin intermediul unor acte de punere în aplicare, arhitectura unui instrument informatic, ca parte a infrastructurii platformei HealthData@EU menţionate la articolul 75, menit să sprijine şi să facă transparente pentru alte organisme de acces la datele privind sănătatea măsurile de executare menţionate la prezentul articol, în special penalităţile cu titlu cominatoriu, revocarea autorizaţiilor privind datele şi cazurile de excludere. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

Art. 64: Condiţii generale pentru impunerea de amenzi administrative de către organismele de acces la datele privind sănătatea

(2)În funcţie de circumstanţele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor de executare menţionate la articolul 63 alineatele (3) şi (4). Organismele de acces la datele privind sănătatea decid dacă să se impună o amendă administrativă şi cuantumul amenzii administrative în fiecare caz în parte, acordând atenţia cuvenită următoarelor aspecte:

(4)În conformitate cu alineatul (2) de la prezentul articol, încălcările obligaţiilor deţinătorului de date privind sănătatea sau ale utilizatorului de date privind sănătatea în temeiul articolului 60 şi al articolului 61 alineatele (1), (5) şi (6) fac obiectul unor amenzi administrative de cel mult 10 000 000 EUR sau, în cazul unei întreprinderi, de cel mult 2 % din cifra sa de afaceri anuală totală, la nivel mondial, din exerciţiul financiar precedent, luându-se în considerare valoarea cea mai mare.

(5)În conformitate cu alineatul (2), pentru următoarele încălcări se aplică amenzi administrative de cel mult 20 000 000 EUR sau, în cazul unei întreprinderi, de cel mult 4 % din cifra sa de afaceri anuală totală, la nivel mondial, corespunzătoare exerciţiului financiar anterior, luându-se în considerare valoarea cea mai mare:

(8)În cazul în care sistemul juridic al unui stat membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel încât, în conformitate cu cadrul său juridic intern, să asigure faptul că respectivele căi de atac sunt eficace şi au un efect echivalent cu cel al amenzilor administrative impuse de organismele de acces la datele privind sănătatea. În orice caz, amenzile aplicate trebuie să fie eficace, proporţionale şi disuasive. Statul membru respectiv notifică Comisiei dispoziţiile legislaţiei pe care o adoptă în temeiul prezentului alineat până la 26 martie 2029 şi, fără întârziere, ale oricărui act legislativ ulterior de modificare a dispoziţiilor respective sau ale modificărilor ulterioare ale dispoziţiilor respective.

Art. 65: Relaţia cu autorităţile de supraveghere în temeiul Regulamentului (UE) 2016/679

Autoritatea sau autorităţile de supraveghere responsabile cu monitorizarea şi asigurarea aplicării Regulamentului (UE) 2016/679 au, de asemenea, competenţa de a monitoriza şi a asigura aplicarea dreptului de a refuza prelucrarea datelor electronice cu caracter personal privind sănătatea pentru utilizare secundară în temeiul articolului 71. Respectivele autorităţi de supraveghere au competenţa de a impune amenzi administrative până la concurenţa cuantumului menţionat la articolul 83 din Regulamentul (UE) 2016/679.

SECŢIUNEA 3:Accesul la datele electronice privind sănătatea pentru utilizarea secundară

Art. 66: Reducerea la minimum a datelor şi limitarea scopului

(1)În cazul în care organismele de acces la datele privind sănătatea primesc o cerere de acces la datele privind sănătatea, acestea se asigură că accesul este acordat numai pentru datele electronice privind sănătatea care sunt adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopul prelucrării indicate în cererea de acces la datele privind sănătatea de către utilizatorul de date privind sănătatea şi în conformitate cu autorizaţia privind datele eliberată în temeiul articolului 68.

(3)În cazul în care utilizatorul de date privind sănătatea a demonstrat în mod suficient că scopul prelucrării nu poate fi atins cu date anonimizate, în conformitate cu articolul 68 alineatul (1) litera (c), organismele de acces la datele electronice privind sănătatea oferă acces la date electronice privind sănătatea în format pseudonimizat. Informaţiile necesare pentru a reveni asupra pseudonimizării sunt disponibile numai organismului de acces la datele privind sănătatea sau unei entităţi care acţionează în calitate de parte terţă de încredere în conformitate cu dreptul intern.

Art. 67: Cererile de acces la datele privind sănătatea

(2)Cererea de acces la datele privind sănătatea include:

(3)Atunci când solicită acces la date electronice privind sănătatea deţinute de deţinători de date privind sănătatea stabiliţi în mai multe state membre sau de la participanţii autorizaţi relevanţi în cadrul HealthData@EU menţionaţi la articolul 75, solicitantul de date privind sănătatea depune o singură cerere de acces la datele privind sănătatea prin intermediul organismului de acces la datele privind sănătatea din statul membru în care se află sediul principal al solicitantului de date privind sănătatea, prin intermediul organismului de acces la datele privind sănătatea din statul membru în care este stabilit unul dintre respectivii deţinători de date privind sănătatea sau prin intermediul serviciilor furnizate de Comisie în cadrul platformei HealthData@EU menţionate la articolul 75. Cererea de acces la datele privind sănătatea se transmite automat participanţilor autorizaţi relevanţi în cadrul HealthData@EU şi organismelor de acces la datele privind sănătatea din statele membre în care sunt stabiliţi deţinătorii de date privind sănătatea identificaţi în cererea de acces la datele privind sănătatea.

(4)Atunci când doreşte să acceseze datele electronice cu caracter personal privind sănătatea într-un format pseudonimizat, solicitantul de date privind sănătatea furnizează, împreună cu cererea de acces la datele privind sănătatea, o descriere a modului în care prelucrarea ar respecta dreptul Uniunii şi dreptul intern aplicabile privind protecţia datelor şi a vieţii private, în special Regulamentul (UE) 2016/679 şi, în special, articolul 6 alineatul (1) din regulamentul respectiv.

Art. 68: Autorizaţia privind datele

(1)În scopul acordării accesului la datele electronice privind sănătatea, organismele de acces la datele privind sănătatea evaluează dacă sunt îndeplinite toate criteriile următoare:

(3)În cazul în care organismul de acces la datele privind sănătatea ajunge la concluzia că cerinţele de la alineatul (1) sunt îndeplinite şi că riscurile menţionate la alineatul (2) sunt atenuate suficient, organismul de acces la datele privind sănătatea acordă accesul la datele electronice privind sănătatea prin eliberarea unei autorizaţii privind datele. Organismele de acces la datele privind sănătatea refuză toate cererile de acces la datele privind sănătatea atunci când nu sunt îndeplinite cerinţele din prezentul capitol.

Dacă cerinţele pentru eliberarea unei autorizaţii privind datele nu sunt îndeplinite, dar sunt îndeplinite cerinţele pentru furnizarea unui răspuns într-un format statistic anonimizat în temeiul articolului 69, organismul de acces la datele privind sănătatea poate decide să furnizeze un astfel de răspuns, cu condiţia ca furnizarea răspunsului respectiv să atenueze riscurile şi, dacă scopul cererii de acces la datele privind sănătatea poate fi îndeplinit în acest mod, cu condiţia ca solicitantul datelor privind sănătatea să fie de acord să primească un răspuns într-un format statistic anonimizat în temeiul articolului 69.

(4)Prin derogare de la Regulamentul (UE) 2022/868, organismul de acces la datele privind sănătatea eliberează sau refuză o autorizaţie privind datele în termen de trei luni de la primirea unei cereri complete de acces la datele privind sănătatea. Dacă organismul de acces la datele privind sănătatea constată că cererea de acces la datele privind sănătatea este incompletă, acesta notifică solicitantul de date privind sănătatea, căruia i se oferă posibilitatea de a completa cererea respectivă. Autorizaţia nu se eliberează dacă solicitantul de date privind sănătatea nu completează cererea de acces la datele privind sănătatea în termen de patru săptămâni.

Organismul de acces la datele privind sănătatea poate prelungi perioada de răspuns la o cerere de acces la datele privind sănătatea cu o perioadă suplimentară de trei luni, dacă este necesar, ţinând seama de urgenţa şi complexitatea cererii de acces la datele privind sănătatea şi de volumul de cereri de acces la datele privind sănătatea depuse în vederea luării unei decizii. În aceste cazuri, organismul de acces la datele privind sănătatea informează solicitantul de date privind sănătatea cât mai curând posibil cu privire la faptul că este nevoie de mai mult timp pentru examinarea cererii de acces la datele privind sănătatea, împreună cu motivele întârzierii.

(5)Atunci când prelucrează o cerere de acces la datele privind sănătatea pentru accesul transfrontalier la date electronice privind sănătatea conform articolului 67 alineatul (3), organismele de acces la datele privind sănătatea şi participanţii autorizaţi relevanţi la platforma HealthData@EU menţionată la articolul 75 rămân responsabili de adoptarea deciziilor de acordare sau refuzare a accesului la datele electronice privind sănătatea care intră în sfera lor de competenţă, în conformitate cu cerinţele din prezentul capitol.

(6)Statele membre prevăd o procedură accelerată de depunere a cererilor de acces la datele privind sănătatea pentru organismele din sectorul public şi instituţiile, organele, oficiile şi agenţiile Uniunii cărora legea le acordă competenţe în domeniul sănătăţii publice, în cazul în care prelucrarea datelor electronice privind sănătatea urmează să fie efectuată în scopurile prevăzute la articolul 53 alineatul (1) literele (a), (b) şi (c).

(7)După eliberarea autorizaţiei privind datele, organismul de acces la datele privind sănătatea solicită imediat datele electronice privind sănătatea de la deţinătorul datelor privind sănătatea. Organismul de acces la datele privind sănătatea pune datele electronice privind sănătatea la dispoziţia utilizatorului de date privind sănătatea în termen de două luni de la primirea acestora de la deţinătorii de date privind sănătatea, cu excepţia cazului în care organismul de acces la datele privind sănătatea specifică faptul că datele trebuie să fie furnizate într-un interval de timp specificat mai lung.

(10)Atunci când eliberează o autorizaţie privind datele, organismul de acces la datele privind sănătatea stabileşte în respectiva autorizaţie privind datele condiţiile generale aplicabile utilizatorului de date privind sănătatea. Autorizaţia privind datele conţine următoarele:

(12)Autorizaţia privind datele se eliberează pentru durata necesară îndeplinirii scopurilor solicitate, care nu poate depăşi 10 ani. Respectiva durată poate fi prelungită o singură dată, pentru o perioadă care nu poate depăşi 10 ani, la cererea utilizatorului de date privind sănătatea, pe baza argumentelor şi a documentelor care justifică o astfel de prelungire şi care se furnizează cu o lună înainte de expirarea autorizaţiei privind datele. Organismul de acces la datele privind sănătatea poate percepe taxe majorate pentru a reflecta costurile şi riscurile stocării datelor electronice privind sănătatea pentru un interval mai lung de timp ce depăşeşte perioada iniţială. Pentru a reduce aceste costuri şi taxe, organismul de acces la datele privind sănătatea poate propune, de asemenea, utilizatorului de date privind sănătatea să stocheze setul de date într-un sistem de stocare cu capacităţi reduse. Aceste capacităţi reduse trebuie să nu afecteze securitatea setului de date prelucrate. Datele electronice privind sănătatea din mediul de prelucrare securizat se şterg în termen de şase luni de la expirarea autorizaţiei privind datele. La cererea utilizatorului de date privind sănătatea, formula de creare a setului de date solicitat poate fi stocată de organismul de acces la datele privind sănătatea.

Art. 69: Cererea de date privind sănătatea

(1)Solicitantul de date privind sănătatea poate depune o cerere de date privind sănătatea în sensurile menţionate la articolul 53 cu scopul de a obţine un răspuns numai într-un format statistic anonimizat. Un organism de acces la datele privind sănătatea nu furnizează un răspuns la o cerere de date privind sănătatea în niciun alt format, iar utilizatorul de date privind sănătatea nu are acces la datele electronice privind sănătatea utilizate pentru a furniza răspunsul respectiv.

(2)O cerere de date privind sănătatea menţionată la alineatul (1) include următoarele informaţii:

Art. 70: Modele pentru a sprijini accesul la datele electronice privind sănătatea pentru utilizare secundară

Art. 71: Dreptul de a refuza prelucrarea datelor electronice cu caracter personal privind sănătatea pentru utilizare secundară

(3)După ce persoanele fizice şi-au exercitat dreptul de refuz şi în cazul în care datele electronice cu caracter personal privind sănătatea care le privesc pot fi identificate într-un set de date, datele electronice cu caracter personal privind sănătatea nu se pun la dispoziţie şi nu se prelucrează în alt mod în baza autorizaţiilor privind datele eliberate în temeiul articolului 68 sau în baza cererilor de date privind sănătatea în temeiul articolului 69 aprobate după ce persoana fizică şi-a exercitat dreptul de refuz.

(4)Prin derogare de la dreptul de refuz prevăzut la alineatul (1), un stat membru poate prevedea în dreptul său intern un mecanism prin care să pună la dispoziţie datele cu privire la care a fost exercitat dreptul de refuz, dacă sunt îndeplinite toate condiţiile următoare:

a)cererea de acces la datele privind sănătatea sau cererea de date privind sănătatea este depusă de un organism din sectorul public ori de o instituţie, un organ, un oficiu sau o agenţie a Uniunii care are un mandat de îndeplinire a unor sarcini în domeniul sănătăţii publice sau de o altă entitate căreia i s-a încredinţat îndeplinirea unor sarcini publice în domeniul sănătăţii publice sau care acţionează în numele unei autorităţi publice sau este mandatată de o astfel de autoritate, iar prelucrarea datelor respective este necesară în oricare dintre următoarele scopuri:

c)solicitantul de date privind sănătatea a furnizat justificarea menţionată la articolul 68 alineatul (1) litera (g) sau la articolul 69 alineatul (2) litera (g).

(6)Orice prelucrare efectuată în conformitate cu mecanismul de punere în aplicare a excepţiilor prevăzut la alineatul (4) de la prezentul articol trebuie să respecte cerinţele prezentului capitol, în special interdicţia privind reidentificarea sau tentativa de reidentificare a persoanelor fizice în conformitate cu articolul 61 alineatul (3). Orice măsură legislativă care prevede un mecanism în dreptul intern, astfel cum este menţionat la alineatul (4) de la prezentul articol, include dispoziţii specifice privind siguranţa persoanelor fizice şi protecţia drepturilor acestora.

(8)Atunci când scopurile prelucrării datelor electronice cu caracter personal privind sănătatea de către un deţinător de date privind sănătatea nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, respectivul deţinător de date privind sănătatea nu este obligat să păstreze, să obţină sau să prelucreze informaţii suplimentare pentru a identifica persoana vizată cu unicul scop de a respecta dreptul de a refuza prelucrarea datelor în temeiul prezentului articol.

Art. 72: Procedura simplificată de acces la datele electronice privind sănătatea de la un deţinător de încredere de date privind sănătatea

(1)În cazul în care un organism de acces la datele privind sănătatea primeşte o cerere de acces la datele privind sănătatea în temeiul articolului 67 sau o cerere de date privind sănătatea în temeiul articolului 69 care acoperă numai datele electronice privind sănătatea deţinute de un deţinător de încredere de date privind sănătatea desemnat în conformitate cu alineatul (2) de la prezentul articol, se aplică procedura prevăzută la alineatele (4)-(6) de la prezentul articol.

(2)Statele membre pot stabili o procedură prin care deţinătorii de date privind sănătatea pot solicita să fie desemnaţi ca deţinători de încredere de date privind sănătatea, cu condiţia ca deţinătorii de date privind sănătatea să îndeplinească următoarele condiţii:

c)oferă garanţiile necesare pentru a asigura respectarea prezentului regulament.

(5)Deţinătorul de încredere de date privind sănătatea transmite evaluarea pe care o efectuează în conformitate cu alineatul (4), însoţită de o propunere de decizie, organismului de acces la datele privind sănătatea în termen de două luni de la primirea cererii de acces la datele privind sănătatea sau a cererii de date privind sănătatea din partea organismului de acces la datele privind sănătatea. În termen de două luni de la primirea evaluării, organismul de acces la datele privind sănătatea emite o decizie referitoare la cererea de acces la datele privind sănătatea sau la cererea de date privind sănătatea. Organismul de acces la datele privind sănătatea nu este ţinut să urmeze propunerea prezentată de deţinătorul de încredere de date privind sănătatea.

(7)Serviciul Uniunii de acces la datele privind sănătatea menţionat la articolul 56 poate desemna deţinători de date privind sănătatea care sunt instituţii, organe, oficii sau agenţii ale Uniunii şi care îndeplinesc condiţiile prevăzute la alineatul (2) primul paragraf literele (a), (b) şi (c) de la prezentul articol drept deţinători de încredere de date privind sănătatea. În acest caz, se aplică mutatis mutandis alineatul (2) al treilea şi al patrulea paragraf şi alineatele (3)-(6) de la prezentul articol.

Art. 73: Mediul de prelucrare securizat

(1)Organismele de acces la datele privind sănătatea oferă acces la datele electronice privind sănătatea în baza unei autorizaţii privind datele numai printr-un mediu de prelucrare securizat, care face obiectul unor măsuri tehnice şi organizatorice şi a unor cerinţe de securitate şi interoperabilitate. În special, mediul de prelucrare securizat respectă următoarele măsuri de securitate:

(2)Organismele de acces la datele privind sănătatea se asigură că datele electronice privind sănătatea provenite de la deţinători de date privind sănătatea în formatul stabilit prin autorizaţia privind datele pot fi încărcate de respectivii deţinătorii de date privind sănătatea şi pot fi accesate de utilizatorul de date privind sănătatea într-un mediu de prelucrare securizat.

(5)Până la 26 martie 2027, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, cerinţele tehnice, organizatorice, de securitate a informaţiilor, de confidenţialitate, de protecţie a datelor şi de interoperabilitate pentru mediile de prelucrare securizate, inclusiv cu privire la caracteristicile tehnice şi instrumentele de care dispune utilizatorul de date privind sănătatea în mediile de prelucrare securizate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

Art. 74: Calitatea de operator

(1)Deţinătorul datelor privind sănătatea este considerat operator pentru punerea la dispoziţie a datelor electronice cu caracter personal privind sănătatea solicitate în conformitate cu articolul 60 alineatul (1) către organismul de acces la datele privind sănătatea.

În pofida celui de al doilea paragraf de la prezentul alineat, se consideră că organismul de acces la datele privind sănătatea acţionează în calitate de persoană împuternicită de operator în numele utilizatorului de date privind sănătatea, în calitate de operator pentru prelucrarea datelor electronice cu caracter personal privind sănătatea, în conformitate cu o autorizaţie privind datele eliberată în temeiul articolului 68 în mediul de prelucrare securizat, atunci când furnizează date prin intermediul unui astfel de mediu, sau pentru prelucrarea unor astfel de date în conformitate cu o cerere de date privind sănătatea aprobată în temeiul articolului 69 în scopul generării unui răspuns.

(2)În situaţiile menţionate la articolul 72 alineatul (6), deţinătorul de încredere de date privind sănătatea este considerat operator pentru prelucrarea pe care o realizează a datelor electronice cu caracter personal privind sănătatea legate de furnizarea de date electronice privind sănătatea către utilizatorul de date privind sănătatea în baza unei autorizaţii privind datele sau a unei cereri de date privind sănătatea. Se consideră că deţinătorul de încredere de date privind sănătatea acţionează ca persoană împuternicită de operator în numele utilizatorului de date privind sănătatea atunci când furnizează date printr-un mediu de prelucrare securizat.

SECŢIUNEA 4:Infrastructura transfrontalieră pentru utilizarea secundară

Art. 75: HealthData@EU

(1)Fiecare stat membru desemnează un singur punct naţional de contact pentru utilizarea secundară. Respectivul punct naţional de contact pentru utilizarea secundară este un portal organizaţional şi tehnic, care permite şi este responsabil de punerea la dispoziţie a datelor electronice privind sănătatea pentru utilizare secundară într-un context transfrontalier. Punctul naţional de contact pentru utilizarea secundară poate fi organismul coordonator de acces la datele privind sănătatea menţionat la articolul 55 alineatul (1). Fiecare stat membru comunică Comisiei denumirea şi datele de contact ale punctului naţional de contact pentru utilizarea secundară până la 26 martie 2027. Comisia şi statele membre pun informaţiile respective la dispoziţia publicului.

(3)Punctele naţionale de contact pentru utilizare secundară menţionate la alineatul (1) şi serviciul Uniunii de acces la datele privind sănătatea menţionat la alineatul (2) se conectează la infrastructura transfrontalieră pentru utilizarea secundară, şi anume HealthData@EU. Punctele naţionale de contact pentru utilizare secundară şi serviciul Uniunii de acces la datele privind sănătatea facilitează accesul transfrontalier la datele electronice privind sănătatea pentru utilizare secundară pentru diferiţi participanţi autorizaţi la HealthData@EU. Punctele naţionale de contact pentru utilizare secundară cooperează strâns între ele şi cu Comisia.

(5)Ţările terţe sau organizaţiile internaţionale pot deveni participanţi autorizaţi în cadrul HealthData@EU în cazul în care respectă normele prevăzute în prezentul capitol şi oferă acces utilizatorilor de date privind sănătatea situaţi în Uniune, în condiţii echivalente, la datele electronice privind sănătatea aflate la dispoziţia organismelor lor de acces la datele privind sănătatea, cu condiţia respectării capitolului V din Regulamentul (UE) 2016/679.

Prin intermediul unor acte de punere în aplicare, Comisia poate stabili faptul că un punct naţional de contact pentru utilizare secundară al unei ţări terţe sau un sistem instituit la nivel internaţional de organizaţii internaţionale respectă cerinţele HealthData@EU în scopul utilizării secundare a datelor privind sănătatea, respectă prezentul capitol şi oferă acces utilizatorilor de date privind sănătatea situaţi în Uniune la datele electronice privind sănătatea la care are acces în condiţii echivalente celor din cadrul HealthData@EU. Respectarea respectivelor cerinţe juridice, organizatorice, tehnice şi de securitate, inclusiv a cerinţelor privind mediile de prelucrare securizate prevăzute la articolul 73, se verifică sub controlul Comisiei. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2). Comisia publică lista actelor de punere în aplicare adoptate în temeiul prezentului alineat.

(9)În cazul în care două sau mai multe puncte naţionale de contact pentru utilizarea secundară solicită acest lucru, Comisia poate oferi un mediu de prelucrare securizat care este conform cu cerinţele de la articolul 73 pentru datele provenite din mai multe state membre. În cazul în care două sau mai multe puncte naţionale de contact pentru utilizarea secundară sau doi sau mai mulţi participanţi autorizaţi în cadrul HealthData@EU introduc date electronice privind sănătatea în mediul de prelucrare securizat gestionat de Comisie, aceştia sunt operatori asociaţi, iar Comisia este persoană împuternicită de operator în scopul prelucrării datelor în mediul respectiv.

(12)Până la 26 martie 2027, Comisia stabileşte, prin intermediul unor acte de punere în aplicare:

Art. 76: Accesul la registrele sau bazele de date transfrontaliere de date electronice privind sănătatea pentru utilizarea secundară

(1)În cazul registrelor şi al bazelor de date transfrontaliere, organismul de acces la datele privind sănătatea la care este înregistrat deţinătorul de date privind sănătatea pentru registrul sau baza de date specifică are competenţa de a decide cu privire la cererile de acces la datele privind sănătatea pentru acordarea accesului la datele electronice privind sănătatea, în baza unei autorizaţii privind datele. În cazul în care registrele sau bazele de date respective au operatori asociaţi, organismul de acces la datele privind sănătatea care decide cu privire la cererile de acces la datele privind sănătatea care trebuie să fie folosite pentru a se furniza accesul la datele electronice privind sănătatea este organismul de acces la datele privind sănătatea al statului membru în care este stabilit unul dintre operatorii asociaţi.

(2)În cazul în care registrele sau bazele de date din mai multe state membre se organizează într-o singură reţea de registre sau baze de date la nivelul Uniunii, registrele sau bazele de date asociate pot desemna un coordonator pentru a asigura furnizarea de date din reţeaua de registre sau baze de date pentru utilizare secundară. Organismul de acces la datele privind sănătatea din statul membru în care este stabilit coordonatorul reţelei are competenţa de a decide cu privire la cererile de acces la datele privind sănătatea pentru a oferi acces la datele electronice privind sănătatea pentru reţeaua de registre sau baze de date.

SECŢIUNEA 5:Calitatea şi utilitatea datelor privind sănătatea pentru utilizarea secundară

Art. 77: Descrierea setului de date şi catalogul de seturi de date

(1)Organismele de acces la datele privind sănătatea furnizează, prin intermediul unui catalog de seturi de date accesibile publicului şi standardizat care poate fi citit automat, o descriere, sub formă de metadate, a seturilor de date disponibile şi a caracteristicilor acestora. Descrierea fiecărui set de date include informaţii privind sursa, domeniul de aplicare, principalele caracteristici şi natura datelor electronice privind sănătatea din setul de date, precum şi condiţiile de punere la dispoziţie a datelor respective.

Art. 78: Eticheta de calitate şi de utilitate a datelor

(3)Eticheta de calitate şi de utilitate a datelor cuprinde următoarele elemente, după caz:

(6)Până la 26 martie 2027, Comisia stabileşte, prin intermediul unor acte de punere în aplicare, caracteristicile vizuale şi specificaţiile tehnice ale etichetei de calitate şi de utilitate a datelor, pe baza elementelor menţionate la alineatul (3) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2) din prezentul regulament. Respectivele acte de punere în aplicare ţin seama de cerinţele prevăzute la articolul 10 din Regulamentul (UE) 2024/1689 şi de orice specificaţii comune sau standarde armonizate adoptate care sprijină cerinţele respective, după caz.

Art. 79: Catalogul UE de seturi de date

SECŢIUNEA 6:Plângeri

Art. 81: Dreptul de a depune o plângere la organismul de acces la datele privind sănătatea

CAPITOLUL V:ACŢIUNI SUPLIMENTARE

Art. 82: Consolidarea capacităţilor

Comisia sprijină schimbul de bune practici şi de cunoştinţe de specialitate pentru consolidarea capacităţilor în cadrul statelor membre în scopul de a dezvolta sistemele de sănătate digitală pentru utilizarea primară şi pentru utilizarea secundară, ţinând seama de circumstanţele specifice ale diferitelor categorii de părţi interesate implicate. Pentru a sprijini respectiva consolidare a capacităţilor, Comisia, în strânsă colaborare şi prin consultare cu statele membre, stabileşte indicatori de autoevaluare pentru utilizarea primară şi pentru utilizarea secundară.

Art. 83: Cursuri de formare şi informaţii pentru profesioniştii din domeniul sănătăţii

Art. 84: Alfabetizarea digitală în domeniul sănătăţii şi accesul la sănătatea digitală

(1)Statele membre promovează şi sprijină alfabetizarea digitală în domeniul sănătăţii şi dezvoltarea de competenţe şi aptitudini relevante pentru pacienţi. Comisia sprijină statele membre în legătură cu acest aspect. Campaniile sau programele de informare vizează, în special, informarea pacienţilor şi a publicului larg despre utilizarea primară şi cea secundară în cadrul SEDS, inclusiv despre drepturile care decurg din acesta, precum şi despre avantajele, riscurile şi beneficiile potenţiale pentru ştiinţă şi societate ale utilizării primare şi ale celei secundare.

Art. 85: Cerinţe suplimentare privind achiziţiile publice şi finanţarea din partea Uniunii

(1)Autorităţile contractante, inclusiv autorităţile privind sănătatea digitală şi organismele de acces la datele privind sănătatea, şi instituţiile, organele, oficiile şi agenţiile Uniunii, fac trimitere la specificaţiile tehnice, standardele şi profilurile aplicabile, astfel cum sunt menţionate la articolele 15, 23, 36, 73, 75 şi 78, după caz, pentru procedurile de achiziţii publice şi atunci când îşi formulează documentele de licitaţie sau cererile de propuneri, precum şi atunci când definesc condiţiile pentru finanţarea din partea Uniunii în ceea ce priveşte prezentul regulament, inclusiv condiţiile favorizante pentru fondurile structurale şi de coeziune.

Art. 86: Stocarea datelor electronice cu caracter personal privind sănătatea pentru utilizarea primară

În conformitate cu principiile generale ale dreptului Uniunii, care includ drepturile fundamentale consacrate la articolele 7 şi 8 din Carta drepturilor fundamentale a Uniunii Europene, statele membre se asigură că există un nivel deosebit de ridicat de protecţie şi securitate atunci când prelucrează date electronice cu caracter personal privind sănătatea în scopul utilizării primare, prin măsuri tehnice şi organizatorice adecvate. În acest sens, prezentul regulament nu împiedică existenţa în dreptul intern a unei cerinţe, ţinând cont de contextul naţional, pentru ca, în cazul în care datele electronice cu caracter personal privind sănătatea sunt prelucrate de furnizorii de servicii medicale pentru furnizarea de asistenţă medicală sau de punctele naţionale de contact pentru sănătatea digitală conectate la MyHealth@EU, stocarea datelor electronice cu caracter personal privind sănătatea menţionate la articolul 14 din prezentul regulament în scopul utilizării primare să se realizeze pe teritoriul Uniunii, în conformitate cu dreptul Uniunii şi cu angajamentele internaţionale.

Art. 87: Stocarea datelor electronice cu caracter personal privind sănătatea de către organismele de acces la datele privind sănătatea şi mediile de prelucrare securizate

(1)Organismele de acces la datele privind sănătatea, deţinătorii de încredere de date privind sănătatea şi serviciul Uniunii de acces la datele privind sănătatea stochează şi prelucrează date electronice cu caracter personal privind sănătatea în Uniune atunci când efectuează pseudonimizarea, anonimizarea şi orice alte operaţiuni de prelucrare a datelor cu caracter personal menţionate la articolele 67-72, prin medii de prelucrare securizate în înţelesul articolului 73 şi al articolului 75 alineatul (9) sau prin HealthData@EU. Această cerinţă se aplică oricărei entităţi care îndeplineşte sarcinile respective în numele organismelor, deţinătorilor sau serviciului respectiv.

Art. 88: Transferul de date electronice fără caracter personal către o ţară terţă

(1)Datele electronice fără caracter personal privind sănătatea puse la dispoziţie de organismele de acces la datele privind sănătatea unui utilizator de date privind sănătatea dintr-o ţară terţă, în conformitate cu o autorizaţie privind datele eliberată în temeiul articolului 68 din prezentul regulament sau cu o cerere de date privind sănătatea aprobată în temeiul articolului 69 din prezentul regulament, participanţilor autorizaţi dintr-o ţară terţă sau unei organizaţii internaţionale şi care se bazează pe datele electronice privind sănătatea ale unei persoane fizice ce se încadrează în una dintre categoriile menţionate la articolul 51 din prezentul regulament sunt considerate extrem de sensibile în înţelesul articolului 5 alineatul (13) din Regulamentul (UE) 2022/868, în cazul în care transferul unor astfel de date electronice fără caracter personal către ţări terţe prezintă un risc de reidentificare prin mijloace care le depăşesc pe cele care este probabil, în mod rezonabil, să fie utilizate, în special având în vedere numărul limitat de persoane fizice la care se referă datele respective, faptul că acestea sunt dispersate geografic sau evoluţiile tehnologice preconizate în viitorul apropiat.

Art. 89: Accesul guvernamental internaţional la date electronice fără caracter personal privind sănătatea

(1)Autorităţile privind sănătatea digitală, organismele de acces la datele privind sănătatea, participanţii autorizaţi la infrastructurile transfrontaliere prevăzute la articolele 23 şi 75 şi utilizatorii de date privind sănătatea iau toate măsurile tehnice, juridice şi organizatorice rezonabile, inclusiv acorduri contractuale, pentru a împiedica transferul de date electronice fără caracter personal privind sănătatea deţinute în Uniune către o ţară terţă sau o organizaţie internaţională, inclusiv pentru accesul guvernamental într-o ţară terţă, în cazul în care un astfel de transfer ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2)Orice hotărâre a unei instanţe judecătoreşti sau a unui tribunal dintr-o ţară terţă şi orice decizie a unei autorităţi administrative dintr-o ţară terţă prin care se solicită unei autorităţi privind sănătatea digitală, unui organism de acces la datele privind sănătatea sau utilizatorilor de date privind sănătatea să transfere sau să acorde acces la datele electronice fără caracter personal privind sănătatea care intră în domeniul de aplicare al prezentului regulament deţinute în Uniune poate fi recunoscută sau executată în orice mod doar dacă se bazează pe un acord internaţional, cum ar fi un tratat de asistenţă judiciară reciprocă în vigoare între ţara terţă solicitantă şi Uniune sau pe orice asemenea acord între ţara terţă solicitantă şi un stat membru.

(3)În absenţa unui acord internaţional, astfel cum se menţionează la alineatul (2), în cazul în care o autoritate privind sănătatea digitală, un organism de acces la datele privind sănătatea sau un utilizator de date este destinatarul unei decizii sau al unei hotărâri a unei instanţe judecătoreşti sau a unui tribunal dintr-o ţară terţă ori al unei decizii a unei autorităţi administrative dintr-o ţară terţă care le impune transferul de date fără caracter personal care intră în domeniul de aplicare al prezentului regulament şi sunt deţinute în Uniune sau acordarea accesului la astfel de date şi, prin respectarea unei astfel de decizii sau hotărâri, destinatarul riscă să încalce dreptul Uniunii sau dreptul intern al statului membru în cauză, transferul către instanţa judecătorească, tribunalul sau autoritatea administrativă din ţara terţă respectivă sau accesarea de către acestea a unor astfel de date poate avea loc sau poate fi asigurată numai atunci când:

(5)Autorităţile privind sănătatea digitală, organismele de acces la datele privind sănătatea şi utilizatorii de date privind sănătatea informează deţinătorul de date cu privire la existenţa unei cereri din partea unei autorităţi administrative dintr-o ţară terţă de a i se acorda acces la datele utilizatorului, înainte de a da curs cererii respective, cu excepţia cazului în care cererea serveşte scopurilor de asigurare a respectării legii şi atât timp cât conformitatea este necesară pentru a menţine eficacitatea activităţii de asigurare a respectării legii.

Art. 90: Condiţii suplimentare pentru transferul de date electronice cu caracter personal privind sănătatea către o ţară terţă sau o organizaţie internaţională

Transferul de date electronice cu caracter personal privind sănătatea către o ţară terţă sau o organizaţie internaţională se acordă în conformitate cu capitolul V din Regulamentul (UE) 2016/679. Statele membre pot menţine sau introduce condiţii suplimentare privind accesul internaţional la datele electronice cu caracter personal privind sănătatea şi transferul acestora, inclusiv limitări, în conformitate cu articolul 9 alineatul (4) din Regulamentul (UE) 2016/679, pe lângă cerinţele prevăzute la articolul 24 alineatul (3) şi la articolul 75 alineatul (5) din prezentul regulament şi în capitolul V din Regulamentul (UE) 2016/679.

Art. 91: Cereri de acces la datele privind sănătatea şi cereri de date privind sănătatea din ţări terţe

(1)Fără a aduce atingere articolelor 67, 68 şi 69, cererile de acces la datele privind sănătatea şi cererile de date privind sănătatea depuse de un solicitant de date privind sănătatea stabilit într-o ţară terţă sunt considerate eligibile de către organismele de acces la datele privind sănătatea şi de serviciul Uniunii de acces la datele privind sănătatea dacă ţara terţă în cauză:

(3)Comisia monitorizează evoluţiile din ţările terţe şi organizaţiile internaţionale care ar putea afecta aplicarea actelor de punere în aplicare adoptate în temeiul alineatului (2) şi prevede o revizuire periodică a aplicării prezentului articol.

În cazul în care Comisia consideră că o ţară terţă nu mai îndeplineşte cerinţa prevăzută la alineatul (1) litera (b) de la prezentul articol, aceasta adoptă un act de punere în aplicare de abrogare a actului de punere în aplicare menţionat la alineatul (2) de la prezentul articol referitor la respectiva ţară terţă care beneficiază de acces. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 98 alineatul (2).

CAPITOLUL VI:GUVERNANŢA ŞI COORDONAREA LA NIVEL EUROPEAN

Art. 92: Consiliul pentru spaţiul european al datelor privind sănătatea

(1)Pentru a facilita cooperarea şi schimbul de informaţii între statele membre şi Comisie, se instituie Consiliul pentru spaţiul european al datelor privind sănătatea (European Health Data Space Board - denumit în continuare "Consiliul SEDS"). Consiliul SEDS este format din doi reprezentanţi pentru fiecare stat membru, şi anume un reprezentant pentru utilizarea primară şi unul pentru utilizarea secundară, desemnaţi de fiecare stat membru. Fiecare stat membru dispune de un vot. Membrii Consiliului SEDS se angajează să acţioneze în interes public şi în mod independent.

(7)Consiliul SEDS adoptă propriul regulamentul de procedură şi un cod de conduită, în urma unei propuneri din partea Comisiei. Regulamentul de procedură respectiv prevede componenţa, organizarea, funcţionarea şi cooperarea subgrupurilor menţionate la alineatul (6) de la prezentul articol, precum şi cooperarea Consiliului SEDS cu forumul părţilor interesate menţionat la articolul 93.

(8)Consiliul SEDS cooperează cu alte organisme, entităţi şi experţi relevanţi, cum ar fi Comitetul european pentru inovare în domeniul datelor instituit prin articolul 29 din Regulamentul (UE) 2022/868, autorităţile competente desemnate în conformitate cu articolul 37 din Regulamentul (UE) 2023/2854, organismele de supraveghere desemnate în conformitate cu articolul 46b din Regulamentul (UE) nr. 910/2014, CEPD instituit prin articolul 68 din Regulamentul (UE) 2016/679, organismele de securitate cibernetică, inclusiv ENISA, şi Cloudul european pentru ştiinţa deschisă, în scopul de a ajunge la soluţii avansate pentru utilizarea datelor uşor de găsit, accesibile, interoperabile şi reutilizabile (FAIR) în cercetare şi inovare.

Art. 93: Forumul părţilor interesate

(2)Forumul părţilor interesate trebuie să aibă o componenţă echilibrată şi este alcătuit din părţi interesate relevante, precum reprezentanţi ai organizaţiilor de pacienţi, ai profesioniştilor din domeniul sănătăţii, ai industriei, ai organizaţiilor de consumatori, ai cercetătorilor ştiinţifici şi ai mediului academic şi reprezintă punctele de vedere ale acestora. În cazul în care în forumul părţilor interesate sunt reprezentate interese comerciale, reprezentarea acestor interese se bazează pe o combinaţie echilibrată de întreprinderi mari, întreprinderi mici şi mijlocii şi întreprinderi nou-înfiinţate. Sarcinile forumului părţilor interesate vizează în egală măsură utilizarea primară şi cea secundară.

Art. 94: Sarcinile Consiliului SEDS

(1)Consiliul SEDS are următoarele sarcini legate de utilizarea primară în conformitate cu capitolele II şi III:

b)elaborarea de contribuţii scrise şi schimbul de bune practici cu privire la aspecte legate de coordonarea punerii în aplicare la nivelul statelor membre, luând în considerare nivelul regional şi local, a prezentului regulament, a actelor delegate şi a actelor de punere în aplicare adoptate în temeiul acestuia, în special în ceea ce priveşte:

(2)Consiliul SEDS are următoarele sarcini legate de utilizarea secundară în conformitate cu capitolul IV:

b)elaborarea de contribuţii scrise şi partajarea de bune practici cu privire la aspecte legate de coordonarea punerii în aplicare la nivelul statelor membre a prezentului regulament, a actelor delegate şi a actelor de punere în aplicare adoptate în temeiul acestuia, în special în ceea ce priveşte:

Art. 95: Grupurile de coordonare pentru MyHealth@EU şi HealthData@EU

Art. 96: Rolurile şi responsabilităţile Comisiei în ceea ce priveşte funcţionarea SEDS

(1)Pe lângă rolul său în punerea la dispoziţie a datelor electronice privind sănătatea deţinute de instituţiile, organele, oficiile sau agenţiile Uniunii, în conformitate cu articolele 55 şi 56 şi cu articolul 75 alineatul (2) şi cu sarcinile care îi revin în temeiul capitolului III, în special al articolului 40, Comisia asigură pentru toate entităţile conectate relevante dezvoltarea, întreţinerea, găzduirea şi exploatarea infrastructurilor şi a serviciilor centrale necesare pentru a sprijini funcţionarea SEDS, prin:

CAPITOLUL VII:DELEGAREA DE COMPETENŢE ŞI PROCEDURA COMITETULUI

Art. 97: Exercitarea delegării

(3)Competenţa de a adopta acte delegate menţionată la articolul 14 alineatul (2), articolul 49 alineatul (4) şi articolul 78 alineatul (5) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competenţe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menţionată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(6)Un act delegat adoptat în temeiul articolului 14 alineatul (2), al articolului 49 alineatul (4) sau al articolului 78 alineatul (5) intră în vigoare numai în cazul în care nici Parlamentul European şi nici Consiliul nu au formulat obiecţii în termen de trei luni de la notificarea acestuia către Parlamentul European şi Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European şi Consiliul au informat Comisia că nu vor formula obiecţii. Respectivul termen se prelungeşte cu trei luni la iniţiativa Parlamentului European sau a Consiliului.

CAPITOLUL VIII:DIVERSE

Art. 99: Sancţiuni

Statele membre adoptă normele privind sancţiunile care se aplică în cazul nerespectării prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolelor 63 şi 64, şi iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancţiunile prevăzute trebuie să fie efective, proporţionale şi cu efect de descurajare. Statele membre notifică normele şi măsurile respective Comisiei până la 26 martie 2027 şi îi comunică acesteia, fără întârziere, orice modificare ulterioară a acestora.

Art. 101: Reprezentarea persoanelor fizice

În cazul în care o persoană fizică consideră că drepturile de care beneficiază în temeiul prezentului regulament i-au fost încălcate, aceasta are dreptul de a mandata un organism, o organizaţie sau o asociaţie fără scop lucrativ înfiinţată în conformitate cu dreptul intern, care are obiective statutare de interes public şi care activează în domeniul asigurării protecţiei datelor cu caracter personal, să depună o plângere în numele său sau să exercite drepturile menţionate la articolele 21 şi 81.

Art. 102: Evaluarea, revizuirea şi raportul intermediar

(1)Până la 26 martie 2033, Comisia efectuează o evaluare a anumitor aspecte ale prezentului regulament şi prezintă Parlamentului European, Consiliului, Comitetului Economic şi Social European şi Comitetului Regiunilor un raport privind principalele sale constatări, însoţit, după caz, de o propunere de modificare a acestuia. Evaluarea respectivă se referă la următoarele aspecte:

(2)Până la 26 martie 2035, Comisia efectuează o evaluare generală a prezentului regulament şi prezintă Parlamentului European, Consiliului, Comitetului Economic şi Social European şi Comitetului Regiunilor un raport privind principalele sale constatări, însoţit, după caz, de o propunere de modificare a acestuia sau de alte măsuri adecvate. Evaluarea respectivă include o evaluare a eficienţei şi a funcţionării sistemelor care asigură accesul la datele electronice privind sănătatea în vederea prelucrării ulterioare, efectuate în temeiul dreptului Uniunii sau al dreptului intern menţionat la articolul 1 alineatul (7), în ceea ce priveşte impactul acestora asupra punerii în aplicare a prezentului regulament.

(4)În fiecare an după 25 martie 2025 până la sfârşitul anului în care toate dispoziţiile prezentului regulament se aplică, astfel cum se prevede la articolul 105, Comisia prezintă Consiliului un raport intermediar privind stadiul pregătirilor pentru punerea în aplicare integrală a prezentului regulament. Raportul intermediar respectiv conţine informaţii despre gradul de progres şi pregătire al statelor membre în ceea ce priveşte punerea în aplicare a prezentului regulament, inclusiv o evaluare a fezabilităţii respectării termenelor prevăzute la articolul 105, şi poate conţine, de asemenea, recomandări adresate statelor membre în vederea îmbunătăţirii gradului de pregătire pentru aplicarea prezentului regulament.

Art. 104: Modificarea Regulamentului (UE) 2024/2847

1.La articolul 13, alineatul (4) se înlocuieşte cu următorul text:

"(4) Atunci când introduce pe piaţă un produs cu elemente digitale, producătorul include o evaluare a riscurilor de securitate cibernetică menţionate la alineatul (3) din prezentul articol în documentaţia tehnică solicitată în temeiul articolului 31 şi în anexa VII. În cazul produselor cu elemente digitale astfel cum sunt menţionate la articolul 12 şi la articolul 32 alineatul (5a) care fac, de asemenea, obiectul altor acte juridice ale Uniunii, evaluarea riscurilor de securitate cibernetică poate face parte din evaluarea riscurilor impusă de respectivele acte juridice ale Uniunii. În cazul în care anumite cerinţe esenţiale de securitate cibernetică nu sunt aplicabile produsului cu elemente digitale, producătorul include o justificare clară în acest sens în documentaţia tehnică respectivă."

3.La articolul 32 se introduce următorul alineat:

CAPITOLUL IX:AMÂNAREA APLICĂRII, DISPOZIŢII TRANZITORII ŞI FINALE

Art. 105: Intrare în vigoare şi aplicare

(c)de la un an de la data stabilită într-un act delegat care va fi adoptat în temeiul articolului 14 alineatul (2) pentru fiecare modificare a principalelor caracteristici ale datelor electronice cu caracter personal privind sănătatea prevăzute în anexa I, cu condiţia ca respectiva dată să fie ulterioară datei de aplicare menţionate la literele (a) şi (b) de la prezentul paragraf pentru categoriile de date electronice cu caracter personal privind sănătatea în cauză.

ANEXA I:Principalele caracteristici ale categoriilor prioritare de date electronice cu caracter personal privind sănătatea pentru utilizare primară

Categoria de date electronice privind sănătatea	Principalele caracteristici ale datelor electronice privind sănătatea incluse în categorie
1. Fişele pacienţilor	Datele electronice privind sănătatea care includ fapte clinice semnificative legate de o persoană fizică identificată şi care sunt esenţiale pentru furnizarea de asistenţă medicală sigură şi eficientă persoanei respective. Următoarele informaţii fac parte din fişa pacientului: 1. Date personale; 2. Date de contact; 3. Informaţii privind asigurarea; 4. Alergii; 5. Alerte medicale; 6. Informaţii despre vaccinare/profilaxie, eventual sub forma unui card de vaccinare; 7. Probleme actuale, rezolvate, închise sau inactive, inclusiv într-un sistem internaţional de codificare a clasificărilor; 8. Informaţii textuale referitoare la istoricul medical; 9. Dispozitive medicale şi implanturi; 10. Proceduri medicale sau de îngrijire; 11. Starea funcţională; 12. Medicamentele actuale şi cele anterioare relevante; 13. Observaţii ce ţin de antecedentele sociale, legate de sănătate; 14. Istoricul sarcinilor; 15. Date furnizate de pacient; 16. Rezultatele observării referitoare la starea de sănătate; 17. Planul de îngrijire; 18. Informaţii privind o boală rară, cum ar fi detalii privind impactul sau caracteristicile bolii.
2. Prescripţii electronice	Datele electronice privind sănătatea care constituie o prescripţie pentru un medicament, în sensul definiţiei de la articolul 3 litera (k) din Directiva 2011/24/UE.
3. Eliberări electronice de medicamente	Informaţii privind furnizarea unui medicament unei persoane fizice de către o farmacie pe baza unei prescripţii electronice.
4. Studii de imagistică medicală şi rapoarte conexe de imagistică	Datele electronice privind sănătatea referitoare la utilizarea de tehnologii sau produse de tehnologii care sunt utilizate pentru a vizualiza corpul uman în vederea prevenirii, diagnosticării, monitorizării sau tratării bolilor.
5. Rezultate ale testelor medicale, inclusiv rezultate de laborator şi alte rezultate ale diagnosticării şi rapoarte conexe	Date electronice privind sănătatea care reprezintă rezultatele studiilor efectuate în special prin metode de diagnosticare in vitro, cum ar fi biochimia clinică, hematologia, medicina transfuziei, microbiologia, imunologia şi altele, inclusiv, după caz, rapoarte care sprijină interpretarea rezultatelor.
6. Rapoarte de externare	Date electronice privind sănătatea referitoare la o sesiune de asistenţă medicală sau la un episod de îngrijire, inclusiv informaţii esenţiale privind internarea, tratamentul şi externarea unei persoane fizice.

ANEXA II:Cerinţe esenţiale pentru componentele software armonizate ale sistemelor DES şi pentru produsele declarate a fi interoperabile cu sistemele DES

1.Cerinţe generale

2.Cerinţe de interoperabilitate

3.Cerinţe privind securitatea şi evidenţa

3.2.

Componenta software europeană de evidenţă a unui sistem DES conceput pentru a permite accesul furnizorilor de servicii medicale sau al altor persoane la datele electronice cu caracter personal privind sănătatea oferă suficiente mecanisme de ţinere a evidenţei care înregistrează cel puţin următoarele informaţii cu privire la fiecare eveniment de acces sau grup de evenimente de acces:

(a) identificarea furnizorilor de servicii medicale sau a altor persoane care au accesat datele electronice cu caracter personal privind sănătatea;

(b) identificarea persoanei sau a persoanelor fizice specifice care au accesat date electronice cu caracter personal privind sănătatea;

(d) ora şi data accesului;

(e) originea sau originile datelor.

ANEXA III:Documentaţia tehnică

1.O descriere detaliată a sistemului DES, inclusiv:

ANEXA IV:Declaraţia de conformitate UE