CELEX:32025R0327: Regulamentul (UE) 2025/327 al Parlamentului European și al Consiliului din 11 februarie 2025 referitor la spațiul european al datelor privind sănătatea și de modificare a Directivei 2011/24/UE și a Regulamentului (UE) 2024/2847 (Text cu relevanță pentru SEE)

Vă rugăm să vă conectați la marcaj

Informatii

Data documentului: 11/02/2025; data semnării
Data intrării în vigoare: 26/03/2035; Punere în aplicare Punere în aplicare parțială a se vedea articolul 105
Data încetării: No end date
Emitent: Parlamentul European, Consiliul Uniunii Europene
Formă: Repertoriu EUR-Lex

Jurnalul Ofícial
al Uniunii Europene

Seria L

2025/327

5.3.2025

REGULAMENTUL (UE) 2025/327 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

din 11 februarie 2025

referitor la spațiul european al datelor privind sănătatea și de modificare a Directivei 2011/24/UE și a Regulamentului (UE) 2024/2847

(Text cu relevanță pentru SEE)

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolele 16 și 114,

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Comitetului Economic și Social European (1),

având în vedere avizul Comitetului Regiunilor (2),

hotărând în conformitate cu procedura legislativă ordinară (3),

întrucât:

(1)

Scopul prezentului regulament este de a institui spațiul european al datelor privind sănătatea (SEDS) pentru a îmbunătăți accesul persoanelor fizice la datele lor electronice cu caracter personal privind sănătatea și controlul acestora asupra datelor respective în contextul asistenței medicale, precum și pentru a atinge mai bine alte scopuri ce implică utilizarea datelor electronice privind sănătatea în sectorul sănătății și al îngrijirii care ar aduce beneficii societății, cum ar fi cercetarea, inovarea, elaborarea de politici, pregătirea și răspunsul la amenințările la adresa sănătății, inclusiv prevenirea și combaterea viitoarelor pandemii, siguranța pacienților, medicina personalizată, statisticile oficiale sau activitățile de reglementare. În plus, scopul prezentului regulament este de a îmbunătăți funcționarea pieței interne prin stabilirea unui cadru juridic și tehnic uniform, în special pentru dezvoltarea, comercializarea și utilizarea sistemelor de dosare electronice de sănătate (denumite în continuare „sisteme DES”), în conformitate cu valorile Uniunii. SEDS va fi o componentă-cheie în crearea unei uniuni europene a sănătății puternice și reziliente.

(2)

Pandemia de COVID-19 a evidențiat necesitatea absolută de a asigura accesul în timp util la date electronice de calitate privind sănătatea pentru pregătirea și răspunsul la amenințările la adresa sănătății, precum și pentru prevenire, diagnosticare și tratament și pentru utilizarea secundară a acestor date electronice privind sănătatea. Un astfel de acces în timp util ar putea contribui, în mod potențial, prin supravegherea și monitorizarea eficientă a sănătății publice, la gestionarea mai eficace a viitoarelor pandemii, la o reducere a costurilor și la îmbunătățirea răspunsului la amenințările la adresa sănătății și, în cele din urmă, ar putea ajuta la salvarea mai multor vieți omenești. În 2020, Comisia și-a adaptat urgent sistemul clinic de gestionare a pacienților, instituit prin Decizia de punere în aplicare (UE) 2019/1269 a Comisiei (4), pentru a permite statelor membre să facă schimb de date electronice privind sănătatea pacienților infectați cu COVID-19 care au fost transferați de la un furnizor de servicii medicale la altul și dintr-un stat membru în altul în perioada de vârf a pandemiei respective. Cu toate acestea, adaptarea respectivă a fost doar o soluție de urgență, care demonstrează necesitatea unei abordări structurale și coerente la nivelul statelor membre și al Uniunii, atât pentru îmbunătățirea disponibilității datelor electronice din domeniul sănătății pentru asistența medicală, cât și pentru facilitarea accesului la datele electronice din domeniul sănătății în vederea orientării unor răspunsuri politice eficiente și a contribuirii la standarde ridicate de sănătate umană.

(3)

Criza provocată de pandemia de COVID-19 a consolidat activitatea rețelei de e-sănătate, o rețea voluntară de autorități responsabile cu sănătatea digitală, ca pilon principal pentru dezvoltarea aplicațiilor pentru dispozitivele mobile de depistare a contacților și de avertizare a riscului de contact și pentru aspectele tehnice ale certificatelor digitale ale UE privind COVID. Aceasta a evidențiat, de asemenea, necesitatea de a face schimb de date electronice privind sănătatea care să fie ușor de găsit, accesibile, interoperabile și reutilizabile (denumite în continuare „principiile FAIR”) și de a asigura faptul că datele electronice privind sănătatea sunt cât mai deschise cu putință, respectând, în același timp, principiul reducerii la minimum a datelor, astfel cum este prevăzut în Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (5). Ar trebui să fie asigurate sinergii între SEDS, Cloudul european pentru știința deschisă și infrastructurile europene de cercetare și ar trebui să fie desprinse învățăminte din soluțiile de partajare a datelor elaborate în cadrul Platformei europene de date privind COVID-19.

(4)

Având în vedere caracterul sensibil al datelor electronice cu caracter personal privind sănătatea, prezentul regulament urmărește să ofere garanții suficiente, atât la nivelul Uniunii, cât și la nivel național, pentru a asigura un nivel ridicat de protecție, de securitate, de confidențialitate și de utilizare etică a datelor. Astfel de garanții sunt necesare pentru a promova încrederea în manipularea sigură a datelor electronice privind sănătatea ale persoanelor fizice pentru utilizarea primară și utilizarea secundară astfel cum sunt definite în prezentul regulament.

(5)

Prelucrarea datelor electronice cu caracter personal privind sănătatea face obiectul dispozițiilor Regulamentului (UE) 2016/679 și, pentru instituțiile, organele, oficiile și agențiile Uniunii, ale Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului (6). Trimiterile la dispozițiile Regulamentului (UE) 2016/679 ar trebui înțelese, de asemenea, ca trimiteri la dispozițiile corespunzătoare din Regulamentul (UE) 2018/1725 pentru instituțiile, organele, oficiile și agențiile Uniunii, după caz.

(6)

Din ce în ce mai multe persoane care trăiesc pe teritoriul Uniunii traversează frontierele naționale pentru a lucra, a studia, a vizita rude sau din alte motive. Pentru a facilita schimbul de date privind sănătatea și în conformitate cu nevoia de capacitare a cetățenilor, acestea ar trebui să aibă posibilitatea de a-și accesa datele privind sănătatea într-un format electronic care să poată fi recunoscut și acceptat în întreaga Uniune. Astfel de date electronice cu caracter personal privind sănătatea ar putea include date cu caracter personal referitoare la sănătatea fizică sau mintală a unei persoane fizice, inclusiv referitoare la furnizarea de servicii de asistență medicală, și care dezvăluie informații cu privire la starea de sănătate a persoanei fizice respective, date cu caracter personal referitoare la caracteristicile genetice moștenite sau dobândite ale unei persoane fizice, care oferă informații unice cu privire la fiziologia sau la starea de sănătate a persoanei fizice respective și care rezultă, în special, dintr-o analiză a unei probe biologice provenite de la persoana fizică în cauză, precum și factorii determinanți ai sănătății, cum ar fi comportamentul, influențe ale mediului și influențe fizice, asistența medicală și factorii sociali sau educativi. Datele electronice privind sănătatea includ și datele care au fost colectate inițial în scopuri legate de cercetare, de statistică, de evaluarea amenințărilor legate de sănătate, de elaborarea de politici sau de reglementare și ar trebui să fie posibilă punerea la dispoziție a datelor respective în conformitate cu normele prevăzute în prezentul regulament. Datele electronice privind sănătatea înseamnă toate categoriile de date respective, indiferent dacă aceste date sunt furnizate de persoana vizată sau de alte persoane fizice sau juridice, cum ar fi profesioniștii din domeniul sănătății, sau sunt prelucrate în legătură cu sănătatea sau bunăstarea unei persoane fizice și ar trebui să includă, de asemenea, date deduse și derivate, cum ar fi diagnostice, teste și examinări medicale, precum și date observate și înregistrate prin mijloace automatizate.

(7)

În sistemele de sănătate, datele electronice cu caracter personal privind sănătatea sunt colectate de obicei în dosare electronice de sănătate, care conțin de regulă istoricul medical, diagnosticele și tratamentele, medicamentele, alergiile și imunizările unei persoane fizice, precum și imagini radiologice, rezultate de laborator și alte date medicale, distribuite între diferiți actori din sistemul de sănătate, precum medicii generaliști, spitalele, farmaciile sau serviciile de îngrijire. Pentru a permite ca datele electronice privind sănătatea să fie accesate, partajate și modificate de către persoanele fizice sau de către profesioniști din domeniul sănătății, unele state membre au luat măsurile juridice și tehnice necesare și au instituit infrastructuri centralizate care conectează sistemele DES utilizate de furnizorii de servicii medicale și de persoanele fizice. În plus, unele state membre oferă sprijin furnizorilor de servicii medicale publici și privați să creeze spații de date electronice cu caracter personal privind sănătatea pentru a permite interoperabilitatea între diferiți furnizori de servicii medicale. Mai multe state membre sprijină sau furnizează, de asemenea, servicii de acces la datele electronice privind sănătatea pentru pacienți și profesioniști din domeniul sănătății, de exemplu, prin intermediul portalurilor destinate pacienților sau profesioniștilor din domeniul sănătății. Statele membre respective au luat măsuri pentru a se asigura că sistemele DES sau aplicațiile de wellness sunt în măsură să transmită date electronice privind sănătatea către sistemul DES central, de exemplu prin asigurarea unui sistem de certificare. Totuși, nu toate statele membre au instituit astfel de sisteme, iar acele state membre care le-au pus în aplicare au făcut acest lucru într-un mod fragmentat. Pentru a înlesni libera circulație a datelor electronice cu caracter personal privind sănătatea în întreaga Uniune și a evita consecințe negative pentru pacienți atunci când beneficiază de asistență medicală în context transfrontalier, este necesar să se ia măsuri la nivelul Uniunii pentru a îmbunătăți accesul persoanelor fizice la propriile date electronice cu caracter personal privind sănătatea și capacitatea lor de a partaja datele respective. În acest sens, la nivelul Uniunii și la nivel național ar trebui să fie întreprinse acțiuni adecvate ca un mijloc de reducere a fragmentării, a eterogenității și a divizării și pentru a crea un sistem ușor de utilizat și intuitiv în toate statele membre. Orice transformare digitală în sectorul asistenței medicale ar trebui să urmărească să fie favorabilă incluziunii și să aducă beneficii și persoanelor fizice cu capacitate limitată de a accesa și a utiliza serviciile digitale, inclusiv persoanelor cu dizabilități.

(8)

Regulamentul (UE) 2016/679 stabilește dispoziții specifice privind drepturile persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. SEDS se bazează pe drepturile respective și le completează pe unele dintre ele, astfel cum sunt aplicate datelor electronice cu caracter personal privind sănătatea. Drepturile respective se aplică indiferent de statul membru în care sunt prelucrate datele electronice cu caracter personal privind sănătatea, de tipul furnizorului de servicii medicale, de sursele datelor respective sau de statul membru de afiliere al persoanei fizice. Drepturile și normele referitoare la utilizarea primară a datelor electronice cu caracter personal privind sănătatea în temeiul prezentului regulament vizează toate categoriile de date respective, indiferent de modul în care au fost colectate sau de persoana care le-a furnizat, temeiul juridic al prelucrării în baza Regulamentului (UE) 2016/679 sau statutul operatorului ca organizație publică sau privată. Drepturile suplimentare de acces și portabilitate a datelor electronice cu caracter personal privind sănătatea prevăzute în prezentul regulament nu ar trebui să aducă atingere drepturilor de acces și de portabilitate, astfel cum sunt instituite în temeiul Regulamentului (UE) 2016/679. Persoanele fizice continuă să beneficieze de drepturile respective în condițiile prevăzute de regulamentul menționat.

(9)

Deși drepturile conferite prin Regulamentul (UE) 2016/679 ar trebui să se aplice în continuare, dreptul de acces la date al unei persoane fizice, instituit prin Regulamentul (UE) 2016/679, ar trebui să fie completat în continuare în sectorul asistenței medicale. În temeiul regulamentului menționat, operatorii nu au obligația să ofere acces imediat. Dreptul de acces la datele privind sănătatea este încă pus în aplicare în multe locuri prin furnizarea datelor privind sănătatea solicitate pe suport de hârtie sau sub formă de documente scanate, ceea ce necesită mult timp pentru operator, cum ar fi un spital sau un alt furnizor de asistență medicală care oferă acces. Acest lucru frânează accesul în timp util al persoanelor fizice la datele privind sănătatea și poate avea un impact negativ asupra persoanelor fizice dacă acestea au nevoie de un astfel de acces imediat din cauza unor circumstanțe urgente legate de starea lor de sănătate. Prin urmare, este necesar să se ofere persoanelor fizice o modalitate mai eficientă de a-și accesa propriile date electronice cu caracter personal privind sănătatea. Acestea ar trebui să aibă dreptul de a avea acces gratuit și imediat, cu respectarea necesităților de practicabilitate tehnologică, la categoriile prioritare specifice de date electronice cu caracter personal privind sănătatea, cum ar fi fișa pacientului, prin intermediul unui serviciu de acces electronic la datele privind sănătatea. Dreptul respectiv ar trebui să se aplice indiferent de statul membru în care sunt prelucrate datele electronice cu caracter personal privind sănătatea, de tipul furnizorului de servicii medicale, de sursele datelor respective sau de statul membru de afiliere al persoanei fizice. Domeniul de aplicare al respectivului drept complementar instituit în temeiul prezentului regulament și condițiile de exercitare a acestuia diferă în anumite moduri de dreptul de acces la datele cu caracter personal prevăzut în Regulamentul (UE) 2016/679, care cuprinde toate datele cu caracter personal deținute de un operator și este exercitat împotriva unui operator individual, care are apoi la dispoziție maximum o lună pentru a răspunde unei cereri. Dreptul de acces la datele electronice cu caracter personal privind sănătatea în temeiul prezentului regulament ar trebui să se limiteze la categoriile de date care intră în domeniul său de aplicare, să fie exercitat prin intermediul unui serviciu electronic de acces la datele privind sănătatea și să genereze un răspuns imediat. Drepturile în temeiul Regulamentului (UE) 2016/679 ar trebui să se aplice în continuare, permițând persoanelor fizice să beneficieze de drepturile ce le revin în temeiul ambelor cadre juridice, în special dreptul de a obține o copie pe suport de hârtie a datelor electronice privind sănătatea.

(10)

Ar trebui să se considere că accesul imediat al persoanelor fizice la anumite categorii de date electronice cu caracter personal privind sănătatea ale acestora ar putea fi dăunător pentru siguranța respectivelor persoane fizice sau lipsit de etică. De exemplu, ar putea fi lipsit de etică să fie informat un pacient prin intermediul unui canal electronic cu privire la un diagnostic de boală incurabilă care este probabil să fie terminală, în loc ca mai întâi să se furnizeze aceste informații în cadrul unei consultații cu pacientul. Prin urmare, ar trebui să fie posibilă amânarea acordării accesului la date electronice cu caracter personal privind sănătatea în astfel de situații, pentru o perioadă limitată de timp, de exemplu până în momentul în care profesionistul din domeniul sănătății îi poate explica pacientului situația. Statele membre ar trebui să fie în măsură să instituie o astfel de excepție atunci când aceasta constituie o măsură necesară și proporțională într-o societate democratică, în conformitate cu restricțiile prevăzute la articolul 23 din Regulamentul (UE) 2016/679.

(11)

Prezentul regulament nu aduce atingere competențelor statelor membre în ceea ce privește înregistrarea inițială a datelor electronice cu caracter personal privind sănătatea, cum ar fi condiționarea înregistrării datelor genetice de consimțământul persoanei fizice sau de alte garanții. Statele membre pot solicita ca datele să fie puse la dispoziție în format electronic înainte de aplicarea prezentului regulament. Acest lucru nu ar trebui să aducă atingere obligației de a pune la dispoziție, în format electronic, datele electronice cu caracter personal privind sănătatea înregistrate după data aplicării prezentului regulament.

(12)

Pentru a completa informațiile care le sunt disponibile, persoanele fizice ar trebui să fie în măsură să adauge date electronice privind sănătatea în propriile sisteme DES sau să stocheze informații suplimentare în dosarele lor personale de sănătate separate care ar putea fi accesate de profesioniștii din domeniul sănătății. Cu toate acestea, este posibil ca informațiile inserate de persoane fizice să nu fie la fel de fiabile ca datele electronice de sănătate introduse și verificate de profesioniștii din domeniul sănătății și să nu aibă aceeași valoare clinică sau juridică ca informațiile furnizate de profesioniștii din domeniul sănătății. Prin urmare, datele adăugate de persoanele fizice în propriile sisteme DES ar trebui să se poată distinge în mod clar de datele furnizate de profesioniștii din domeniul sănătății. Această posibilitate ca persoanele fizice să adauge și să completeze date electronice cu caracter personal privind sănătatea nu ar trebui să le permită să schimbe datele electronice cu caracter personal privind sănătatea care au fost furnizate de profesioniștii din domeniul sănătății.

(13)

Posibilitatea ca persoanele fizice să aibă acces mai ușor și mai rapid la datele lor electronice privind sănătatea le va permite să observe posibile erori, cum ar fi informațiile incorecte sau dosarele de sănătate ale pacienților atribuite incorect. În astfel de cazuri, persoanele fizice ar trebui să aibă posibilitatea de a solicita online rectificarea datelor electronice cu caracter personal privind sănătatea incorecte, imediat și gratuit, prin intermediul unui serviciu de acces la datele electronice de sănătate. Astfel de cereri de rectificare ar trebui apoi să fie tratate de către operatorii relevanți în conformitate cu Regulamentul (UE) 2016/679, dacă este necesar, implicând profesioniști din domeniul sănătății cu o specializare relevantă și care sunt responsabili de tratarea persoanelor fizice.

(14)

În temeiul Regulamentului (UE) 2016/679, dreptul la portabilitatea datelor este limitat la datele prelucrate pe baza consimțământului sau a unui contract și furnizate de persoana vizată unui operator. În plus, în temeiul regulamentului menționat, persoanele fizice au dreptul ca datele cu caracter personal să fie transmise direct de la un operator la altul, numai atunci când este fezabil din punct de vedere tehnic. Cu toate acestea, Regulamentul (UE) 2016/679 nu impune obligația de a face posibilă din punct de vedere tehnic transmisia directă respectivă. Dreptul la portabilitatea datelor ar trebui să fie completat în temeiul prezentului regulament, capacitând astfel persoanele fizice să ofere acces profesioniștilor din domeniul sănătății pe care îi aleg cel puțin la categoriile prioritare de date electronice cu caracter personal privind sănătatea care le aparțin, să facă schimb de astfel de date privind sănătatea cu astfel de profesioniști din domeniul sănătății și să descarce astfel de date privind sănătatea. În plus, persoanele fizice ar trebui să aibă dreptul de a solicita unui furnizor de asistență medicală să transmită o parte din datele lor electronice privind sănătatea unui destinatar identificat în mod clar din sectorul serviciilor de securitate socială sau de rambursare. Un astfel de transfer ar trebui să fie unidirecțional.

(15)

Cadrul stabilit prin prezentul regulament ar trebui să se bazeze pe dreptul la portabilitatea datelor prevăzut în Regulamentul (UE) 2016/679, asigurând faptul că persoanele fizice, în calitate de persoane vizate, își pot transmite datele electronice cu caracter personal privind sănătatea, inclusiv datele deduse, în formatul european pentru schimbul de dosare electronice de sănătate, indiferent de temeiul juridic al prelucrării datelor electronice privind sănătatea. Profesioniștii din domeniul sănătății nu ar trebui să împiedice aplicarea drepturilor persoanelor fizice, de exemplu prin refuzul de a lua în considerare datele electronice cu caracter personal privind sănătatea care provin dintr-un alt stat membru și care sunt furnizate prin intermediul formatului european interoperabil și fiabil pentru schimbul de dosare electronice de sănătate.

(16)

Accesul furnizorilor de servicii medicale sau al altor persoane la dosarele medicale electronice ar trebui să fie transparent pentru persoanele fizice în cauză. Serviciile de acces la datele electronice privind sănătatea ar trebui să furnizeze informații detaliate privind accesul la date, cum ar fi când și ce entitate sau persoană fizică a accesat datele și ce date au fost accesate. Persoanele fizice ar trebui, de asemenea, să poată activa sau dezactiva notificările automate privind accesul la datele electronice cu caracter personal privind sănătatea care îi privesc, prin intermediul serviciilor de acces ale profesioniștilor din domeniul sănătății.

(17)

Persoanele fizice ar putea să nu dorească să permită accesul la anumite părți ale datelor lor electronice cu caracter personal privind sănătatea, permițând în același timp accesul la alte părți. Acest lucru ar putea fi relevant îndeosebi în cazul unor probleme de sănătate sensibile, cum ar fi cele legate de sănătatea mintală sau sexuală, procedurile sensibile, cum ar fi avorturile, sau datele privind anumite medicamente care ar putea dezvălui alte aspecte sensibile. Prin urmare, o astfel de partajare selectivă a datelor electronice cu caracter personal privind sănătatea ar trebui să fie sprijinită și pusă în aplicare prin restricții stabilite de persoana fizică în cauză în același mod pe teritoriul unui anumit stat membru și pentru schimbul transfrontalier de date. Restricțiile respective ar trebui să permită o granularitate suficientă pentru a restricționa părți ale seturilor de date, cum ar fi elemente din fișele pacienților. Înainte de a stabili restricțiile, persoanele fizice ar trebui să fie informate cu privire la riscurile pentru siguranța pacienților asociate cu restricționarea accesului la datele privind sănătatea. Ținând cont că indisponibilitatea datelor electronice cu caracter personal privind sănătatea restricționate poate afecta furnizarea sau calitatea serviciilor de sănătate oferite persoanei fizice, persoanele fizice care se prevalează de astfel de restricționări ale accesului ar trebui să își asume responsabilitatea pentru faptul că furnizorul de servicii medicale nu poate lua în considerare datele atunci când furnizează servicii de sănătate. Restricțiile asupra accesului la datele electronice cu caracter personal privind sănătatea ar putea avea consecințe ce pot pune viața în pericol și, prin urmare, accesul la datele respective ar trebui să fie totuși posibil, atunci când este necesar, pentru a proteja interesele vitale în situații de urgență. Dispoziții juridice mai specifice privind mecanismele de restricționare impuse de către persoanele fizice asupra unor părți din datele lor electronice cu caracter personal privind sănătatea ar putea să fie prevăzute de statele membre în dreptul lor intern, în special în ceea ce privește răspunderea medicală în cazurile în care persoana fizică în cauză a impus restricții.

(18)

În plus, având în vedere sensibilitățile diferite din statele membre cu privire la gradul de control al pacienților asupra datelor lor privind sănătatea, statele membre ar trebui să poată prevedea un drept absolut al pacienților de a refuza accesul la datele lor electronice cu caracter personal privind sănătatea din partea oricărei persoane, cu excepția operatorului de date inițial, fără a exista nicio posibilitate de a acționa contrar acestui refuz în situații de urgență. Într-un astfel de caz, statele membre ar trebui să stabilească normele și garanțiile specifice cu privire la astfel de mecanisme de refuz. Normele și garanțiile specifice respective s-ar putea referi, de asemenea, la categorii specifice de date electronice cu caracter personal privind sănătatea, de exemplu date genetice. Dreptul de refuz înseamnă că datele electronice cu caracter personal privind sănătatea referitoare la persoanele fizice care exercită acest drept nu ar fi puse la dispoziție, prin intermediul serviciilor instituite în temeiul SEDS, altor entități în afara furnizorului de asistență medicală care a acordat tratamentul. Statele membre ar trebui să aibă posibilitatea de a solicita înregistrarea și stocarea datelor electronice cu caracter personal privind sănătatea într-un sistem DES utilizat de furnizorul de asistență medicală care a furnizat serviciile de sănătate și accesibil numai respectivului furnizor de asistență medicală. În cazul în care o persoană fizică și-a exercitat dreptul de refuz, furnizorii de servicii medicale vor continua să documenteze tratamentul acordat în conformitate cu normele aplicabile și vor putea accesa datele înregistrate de ei. Persoanele fizice care își exercită dreptul de refuz ar trebui să aibă posibilitatea de a reveni asupra deciziei lor. În astfel de cazuri, este posibil ca datele electronice cu caracter personal privind sănătatea generate în perioada de refuz să nu fie disponibile prin intermediul serviciilor de acces și al MyHealth@EU.

(19)

Accesul deplin și la timp al profesioniștilor din domeniul sănătății la dosarele de sănătate ale pacienților este fundamental pentru asigurarea continuității îngrijirii, pentru evitarea duplicărilor și a erorilor și pentru reducerea costurilor. Totuși, din cauza lipsei interoperabilității, în multe cazuri, profesioniștii din domeniul sănătății nu pot avea acces la dosarele de sănătate complete ale pacienților lor și nu pot lua decizii medicale optime pentru diagnosticarea și tratamentul acestora, ceea ce generează costuri considerabile atât pentru sistemele de sănătate, cât și pentru persoanele fizice și poate conduce la rezultate privind sănătatea mai nefavorabile pentru persoanele fizice. Datele electronice privind sănătatea puse la dispoziție într-un format interoperabil, care pot fi transmise între furnizorii de servicii medicale pot reduce, de asemenea, sarcina administrativă pentru profesioniștii din domeniul sănătății legată de introducerea sau copierea manuală a datelor privind sănătatea între sistemele electronice. Prin urmare, profesioniștilor din domeniul sănătății ar trebui să li se pună la dispoziție mijloace electronice adecvate, cum ar fi dispozitive electronice și portaluri destinate profesioniștilor din domeniul sănătății sau alte servicii de acces pentru profesioniștii din domeniul sănătății, pentru a utiliza datele electronice cu caracter personal privind sănătatea pentru exercitarea atribuțiilor lor. Întrucât este dificil să se determine în mod exhaustiv, în prealabil, care dintre datele existente în categoriile prioritare sunt relevante din punct de vedere medical într-un anumit episod de asistență medicală, profesioniștii din domeniul sănătății ar trebui să aibă un acces larg la date. Atunci când accesează datele referitoare la pacienții lor, profesioniștii din domeniul sănătății ar trebui să respecte dreptul aplicabil, codurile de conduită, orientările deontologice sau alte dispoziții care reglementează conduita etică în ceea ce privește schimbul sau accesarea informațiilor, în special în situații care pun viața în pericol sau în situații extreme. În conformitate cu Regulamentul (UE) 2016/679, pentru a limita accesul lor la ceea ce este relevant într-un anumit episod de asistență medicală, furnizorii de servicii medicale ar trebui să respecte principiul reducerii la minimum a datelor atunci când accesează date electronice cu caracter personal privind sănătatea, limitând datele accesate la datele care sunt strict necesare și justificate pentru un anumit serviciu. Furnizarea de servicii de acces profesioniștilor din domeniul sănătății este o sarcină atribuită în interes public prin prezentul regulament, iar îndeplinirea unei astfel de sarcini necesită prelucrarea datelor cu caracter personal astfel cum se menționează la articolul 6 alineatul (1) litera (e) din Regulamentul (UE) 2016/679. Prezentul regulament prevede condiții și garanții pentru prelucrarea datelor electronice privind sănătatea de către serviciul de acces al profesioniștilor din domeniul sănătății în conformitate cu articolul 9 alineatul (2) litera (h) din Regulamentul (UE) 2016/679, de exemplu dispoziții detaliate privind evidența accesului la date electronice cu caracter personal privind sănătatea și care urmăresc să asigure transparența față de persoanele vizate. Cu toate acestea, prezentul regulament nu ar trebui să aducă atingere dreptului intern referitor la prelucrarea datelor referitoare la sănătate pentru furnizarea de asistență medicală, inclusiv dreptului intern care stabilește categoriile de profesioniști din domeniul sănătăți care pot prelucra diferite categorii de date electronice referitoare la sănătate.

(20)

Pentru a facilita exercitarea drepturilor complementare de acces și portabilitate instituite în temeiul prezentului regulament, statele membre ar trebui să instituie unul sau mai multe servicii de acces la datele electronice privind sănătatea. Serviciile respective ar putea fi furnizate la nivel național, regional sau local ori de către furnizorii de servicii medicale, sub forma unui portal online pentru pacienți, a unei aplicații pentru dispozitivele mobile sau prin alte mijloace. Acestea ar trebui să fie concepute într-un mod accesibil, în special pentru persoanele cu dizabilități. Furnizarea unui astfel de serviciu pentru a permite persoanelor fizice să dispună de acces facil la datele lor electronice cu caracter personal privind sănătatea reprezintă un interes public major. Prelucrarea datelor electronice cu caracter personal privind sănătatea prin intermediul serviciilor respective este necesară pentru îndeplinirea sarcinii atribuite prin prezentul regulament în sensul articolului 6 alineatul (1) litera (e) și al articolului 9 alineatul (2) litera (g) din Regulamentul (UE) 2016/679. Prezentul regulament stabilește condițiile și garanțiile necesare pentru prelucrarea datelor electronice privind sănătatea în cadrul serviciilor de acces la datele electronice privind sănătatea, cum ar fi identificarea electronică a persoanelor fizice care accesează astfel de servicii.

(21)

Persoanele fizice ar trebui să fie în măsură să acorde o autorizație altor persoane fizice la alegerea lor, cum ar fi rudele lor sau alte persoane fizice apropiate, care să le permită acestor persoane alese să acceseze sau să controleze accesul la datele electronice cu caracter personal privind sănătatea ale persoanelor fizice care acordă autorizația sau să utilizeze serviciile digitale de sănătate în numele lor. Astfel de autorizații ar putea fi utile și pentru alte utilizări de către persoanele fizice care au primit astfel de autorizații. Statele membre ar trebui să înființeze servicii de împuternicire pentru a permite și a pune în aplicare astfel de autorizații, iar serviciile de împuternicire ar trebui să fie legate de serviciile de acces la datele electronice cu caracter personal privind sănătatea, cum ar fi portalurile pacienților sau aplicațiile pentru dispozitivele mobile orientate către pacienți. Respectivele servicii de împuternicire ar trebui, de asemenea, să permită tutorilor să acționeze în numele persoanelor aflate în întreținerea lor, inclusiv al minorilor; în astfel de situații, autorizațiile ar putea fi automate. În plus față de respectivele servicii de împuternicire, statele membre ar trebui, de asemenea, să instituie servicii de sprijin ușor accesibile care să fie asigurate de personal instruit care să acorde sprijin persoanelor fizice atunci își exercită drepturile. Pentru a ține seama de cazurile în care afișarea anumitor date electronice cu caracter personal privind sănătatea ale persoanelor aflate în întreținere către tutorii acestora ar putea fi contrară intereselor sau voinței persoanelor aflate în întreținere, inclusiv ale minorilor, statele membre ar trebui să fie în măsură să prevadă în dreptul intern astfel de limitări și garanții, precum și mecanisme pentru punerea în aplicare a acestora din punct de vedere tehnic. Serviciile de acces la datele electronice cu caracter personal privind sănătatea, cum ar fi portalurile destinate pacienților sau aplicațiile pentru dispozitivele mobile orientate către pacienți, ar trebui să utilizeze astfel de autorizații și, astfel, să permită persoanelor fizice autorizate să acceseze date electronice cu caracter personal privind sănătatea care intră în domeniul de aplicare al autorizației. Pentru a asigura o soluție orizontală cu o mai mare ușurință în utilizare, soluțiile de împuternicire digitală ar trebui să fie aliniate la Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului (7) și la specificațiile tehnice ale portofelului european pentru identitatea digitală. Alinierea respectivă ar contribui la reducerea sarcinilor administrative și financiare pentru statele membre prin reducerea riscului de dezvoltare a unor sisteme paralele care nu sunt interoperabile în întreaga Uniune.

(22)

În unele state membre, asistența medicală este furnizată de echipe de gestionare a asistenței medicale primare, care sunt grupuri de profesioniști din domeniul sănătății axați pe asistența medicală primară, cum ar fi medici generaliști, care își desfășoară activitățile de asistență medicală primară pe baza unui plan de asistență medicală pe care îl elaborează acestea. În mai multe state membre mai există și alte tipuri de echipe de asistență medicală în alte scopuri de îngrijire. În contextul utilizării primare în SEDS, ar trebui să se acorde acces profesioniștilor din domeniul sănătății care fac parte din astfel de echipe.

(23)

Autoritățile de supraveghere instituite în temeiul Regulamentului (UE) 2016/679 sunt competente pentru monitorizarea și asigurarea aplicării regulamentului menționat, îndeosebi în ceea ce privește monitorizarea prelucrării datelor electronice cu caracter personal privind sănătatea și tratarea eventualelor plângeri depuse de persoanele fizice în cauză. Prezentul regulament stabilește drepturi suplimentare pentru persoanele fizice în ceea ce privește utilizarea primară, care merg dincolo de drepturile de acces și portabilitate consacrate în Regulamentul (UE) 2016/679 și completează aceste drepturi. Întrucât respectivele drepturi suplimentare ar trebui, de asemenea, să fie puse în aplicare de către autoritățile de supraveghere create în temeiul Regulamentului (UE) 2016/679, statele membre ar trebui să se asigure că autoritățile de supraveghere respective dispun de resursele financiare și umane, precum și de spațiile și infrastructura necesare pentru îndeplinirea eficientă a sarcinilor suplimentare respective. Autoritatea sau autoritățile de supraveghere responsabile cu monitorizarea și asigurarea respectării prelucrării datelor electronice cu caracter personal privind sănătatea în vederea utilizării primare în conformitate cu prezentul regulament ar trebui să aibă competența de a impune amenzi administrative. Sistemul juridic al Danemarcei nu permite amenzi administrative astfel cum sunt prevăzute în prezentul regulament. Normele privind amenzile administrative pot fi aplicate astfel încât, în Danemarca, amenzile să fie impuse de instanțele naționale competente ca sancțiune penală, cu condiția ca o astfel de aplicare a normelor să aibă un efect echivalent cu cel al amenzilor administrative impuse de autoritățile de supraveghere. În orice caz, amenzile impuse ar trebui să fie efective, proporționale și cu efect de descurajare.

(24)

Statele membre ar trebui să depună eforturi pentru a adera la principiile etice, cum ar fi principiile etice europene pentru sănătatea digitală adoptate de rețeaua de e-sănătate la 26 ianuarie 2022 și principiul confidențialității profesionist din domeniul sănătății-pacient, în aplicarea prezentului regulament. Recunoscând importanța principiilor etice, principiile etice europene pentru sănătatea digitală oferă orientări practicienilor, cercetătorilor, inovatorilor, factorilor de decizie și autorităților de reglementare.

(25)

Relevanța diferitelor categorii de date electronice privind sănătatea pentru diferite scenarii de asistență medicală variază. Diferite categorii au atins, de asemenea, niveluri diferite de maturitate în materie de standardizare și, prin urmare, punerea în aplicare a mecanismelor pentru schimbul lor poate fi mai mult sau mai puțin complexă, în funcție de categorie. Prin urmare, îmbunătățirea interoperabilității și a schimbului datelor ar trebui să fie treptată și este necesar să se acorde prioritate anumitor categorii de date electronice privind sănătatea. Categoriile de date electronice privind sănătatea cum ar fi fișele pacienților, rețetele electronice și eliberările electronice de medicamente, studiile de imagistică medicală și rapoartele conexe de imagistică, rezultatele testelor medicale, precum rezultatele de laborator și alte rapoarte conexe, precum și rapoartele de externare, au fost selectate de rețeaua de e-sănătate ca fiind cele mai relevante pentru majoritatea situațiilor de asistență medicală și ar trebui considerate categorii prioritare pentru ca statele membre să pună în aplicare accesul la acestea și transmiterea lor. În cazul în care astfel de categorii de date prioritare reprezintă grupuri de date electronice privind sănătatea, prezentul regulament ar trebui să se aplice atât grupurilor în ansamblu, cât și intrărilor de date individuale incluse în grupurile respective. De exemplu, dat fiind că situația vaccinării face parte din fișa pacientului, drepturile și cerințele legate de fișa pacientului ar trebui să se aplice, de asemenea, unui astfel de statut de vaccinare, chiar dacă este prelucrat separat de fișa pacientului în ansamblu. Atunci când sunt identificate alte nevoi de schimb de categorii suplimentare de date electronice privind sănătatea în scopuri de asistență medicală, ar trebui să fie posibile accesul la categoriile suplimentare respective și schimbul lor în temeiul prezentului regulament. Categoriile suplimentare ar trebui să fie puse în aplicare mai întâi la nivelul statelor membre, iar prezentul regulament ar trebui să prevadă schimbul în mod voluntar al acestor categorii de date în situații transfrontaliere între statele membre cooperante. O atenție deosebită ar trebui să fie acordată schimbului de date în regiunile de frontieră ale statelor membre învecinate în care furnizarea de servicii de sănătate transfrontaliere este mai frecventă și necesită proceduri și mai rapide decât în întreaga Uniune în general.

(26)

Nivelul de disponibilitate a datelor cu caracter personal privind sănătatea și a datelor genetice în format electronic variază de la un stat membru la altul. SEDS ar trebui să înlesnească accesul persoanelor fizice la aceste date în format electronic și să le ofere acestora un control mai bun asupra accesului la datele lor electronice cu caracter personal privind sănătatea și asupra partajării de astfel de date. Acest lucru ar contribui, de asemenea, la atingerea obiectivului ca toți cetățenii Uniunii să aibă acces la dosarele lor electronice de sănătate până în 2030, astfel cum se menționează în Decizia (UE) 2022/2481 a Parlamentului European și a Consiliului (8). Pentru ca datele electronice privind sănătatea să fie accesibile și transmisibile, aceste date ar trebui să fie accesate și transmise într-un format european pentru schimbul de dosare electronice de sănătate, comun și interoperabil, cel puțin pentru anumite categorii de date electronice privind sănătatea, cum ar fi fișele pacienților, prescripțiile electronice și eliberările electronice de medicamente, studiile de imagistică medicală și rapoartele conexe de imagistică, rezultatele testelor medicale și rapoartele de externare, sub rezerva perioadelor de tranziție. În cazul în care datele electronice cu caracter personal privind sănătatea sunt puse la dispoziția unui furnizor de servicii medicale sau a unei farmacii de către o persoană fizică sau sunt transmise de un alt operator în formatul european pentru schimbul de dosare electronice de sănătate, formatul respectiv ar trebui să fie acceptat, iar destinatarul ar trebui să fie în măsură să citească și să utilizeze datele pentru furnizarea de asistență medicală sau pentru eliberarea unui medicament, sprijinind astfel furnizarea serviciilor de asistență medicală sau eliberarea de rețete electronice. Formatul european pentru schimbul de dosare electronice de sănătate ar trebui să fie conceput astfel încât să faciliteze traducerea datelor electronice privind sănătatea comunicate prin utilizarea formatului respectiv în limbile oficiale ale Uniunii, în măsura posibilului. Recomandarea (UE) 2019/243 a Comisiei (9) pune bazele unui astfel de format european comun pentru schimbul de dosare electronice de sănătate. Interoperabilitatea SEDS ar trebui să contribuie la asigurarea unei calități ridicate a seturilor de date privind sănătatea la nivel european. Utilizarea unui format european pentru schimbul de dosare electronice de sănătate ar trebui să devină mai larg răspândită la nivelul Uniunii și la nivel național.. Formatul european pentru schimbul de dosare electronice de sănătate ar putea permite profiluri diferite pentru utilizarea sa la nivelul sistemelor DES și la nivelul punctelor naționale de contact pentru sănătatea digitală din MyHealth@EU pentru schimbul transfrontalier de date.

(27)

Deși sistemele DES sunt larg răspândite, nivelul de digitalizare a datelor privind sănătatea variază de la un stat membru la altul, în funcție de categoriile de date și de acoperirea furnizorilor de servicii medicale care înregistrează datele privind sănătatea în format electronic. Pentru a sprijini aplicarea drepturilor persoanelor vizate în ceea ce privește accesul la datele electronice privind sănătatea și schimbul acestor date, este necesară o acțiune la nivelul Uniunii pentru a se evita o fragmentare și mai mare. Pentru a asigura un nivel înalt de calitate și de continuitate a asistenței medicale, anumite categorii de date privind sănătatea ar trebui să fie înregistrate în format electronic în mod sistematic și în conformitate cu cerințele specifice privind calitatea datelor. Formatul european pentru schimbul de dosare electronice de sănătate ar trebui să constituie baza pentru specificațiile referitoare la înregistrarea și schimbul de date electronice privind sănătatea.

(28)

Telemedicina devine un instrument din ce în ce mai important, care poate oferi pacienților acces la îngrijire și poate corecta inegalitățile. Aceasta are potențialul de a reduce inegalitățile în materie de sănătate și de a consolida libera circulație transfrontalieră a cetățenilor Uniunii. Instrumentele digitale și alte instrumente tehnologice pot facilita prestarea de servicii de îngrijire în regiunile îndepărtate. Atunci când serviciile digitale însoțesc furnizarea fizică a unui serviciu de asistență medicală, serviciul digital ar trebui să fie inclus în furnizarea generală de îngrijiri. În temeiul articolului 168 din Tratatul privind funcționarea Uniunii Europene (TFUE), statele membre sunt responsabile de politica lor de sănătate, în special de organizarea și prestarea de servicii de sănătate și de îngrijire medicală, inclusiv de reglementarea unor activități precum farmaciile online, telemedicina și alte servicii pe care le furnizează și pentru care asigură rambursări, în conformitate cu legislația lor națională. Cu toate acestea, diferitele politici de asistență medicală nu ar trebui să constituie obstacole în calea liberei circulații a datelor electronice privind sănătatea în contextul asistenței medicale transfrontaliere, de exemplu telemedicina și serviciile farmaceutice online.

(29)

Regulamentul (UE) nr. 910/2014 stabilește condițiile în temeiul cărora statele membre efectuează identificarea persoanelor fizice în situații transfrontaliere utilizând mijloace de identificare emise de un alt stat membru, stabilind norme pentru recunoașterea reciprocă a unor astfel de mijloace de identificare electronică. SEDS necesită un acces securizat la datele electronice privind sănătatea, inclusiv în situații transfrontaliere. Serviciile de acces la datele electronice privind sănătatea și serviciile de telemedicină ar trebui să permită persoanelor fizice să își exercite drepturile indiferent de statul lor membru de afiliere și, prin urmare, ar trebui să sprijine identificarea persoanelor fizice utilizând orice mijloc de identificare electronică recunoscut în temeiul Regulamentului (UE) nr. 910/2014. Având în vedere posibilitatea unor provocări legate de corelarea identității în situații transfrontaliere, este posibil ca statele membre să trebuiască să furnizeze mecanisme de acces complementare, precum tokenuri sau coduri, persoanelor fizice care sosesc din alte state membre și beneficiază de asistență medicală. Comisia ar trebui să fie împuternicită să adopte acte de punere în aplicare pentru a determina cerințele pentru identificarea și autentificarea interoperabilă și transfrontalieră a persoanelor fizice și a profesioniștilor din domeniul sănătății, inclusiv orice mecanism complementar necesar pentru a asigura posibilitatea persoanelor fizice de a-și exercita drepturile legate de datele electronice cu caracter personal privind sănătatea în situații transfrontaliere.

(30)

Statele membre ar trebui să desemneze autorități relevante privind sănătatea digitală pentru planificarea și punerea în aplicare a standardelor privind accesul la datele electronice privind sănătatea și transmiterea acestora și pentru asigurarea respectării drepturilor persoanelor fizice și ale profesioniștilor din domeniul sănătății, ca organizații separate sau ca parte a autorităților deja existente. Personalul autorității de sănătate digitală nu ar trebui să aibă niciun interes financiar sau de altă natură în sectoare sau activități economice care le-ar putea afecta imparțialitatea. În majoritatea statelor membre există deja autorități privind sănătatea digitală, acestea fiind responsabile de DES, interoperabilitate, securitate sau standardizare. În exercitarea sarcinilor care le revin, autoritățile din domeniul sănătății digitale ar trebui să coopereze în special cu autoritățile de supraveghere instituite în temeiul Regulamentului (UE) 2016/679 și cu organismele de supraveghere instituite în temeiul Regulamentului (UE) nr. 910/2014. Autoritățile din domeniul sănătății digitale pot coopera, de asemenea, cu Consiliul european pentru inteligența artificială instituit în temeiul Regulamentului (UE) 2024/1689 al Parlamentului European și al Consiliului (10), cu Grupul de coordonare privind dispozitivele medicale instituit în temeiul Regulamentului (UE) 2017/745 al Parlamentului European și al Consiliului (11), cu Comitetul european pentru inovare în domeniul datelor instituit în temeiul Regulamentului (UE) 2022/868 al Parlamentului European și al Consiliului (12) și cu autoritățile competente în temeiul Regulamentului (UE) 2023/2854 al Parlamentului European și al Consiliului (13). Statele membre ar trebui să înlesnească participarea actorilor naționali la cooperarea la nivelul Uniunii, transmiterea cunoștințelor de specialitate și oferirea de consiliere cu privire la conceperea soluțiilor necesare pentru atingerea obiectivelor SEDS.

(31)

Fără a aduce atingere niciunei alte căi de atac administrative sau extrajudiciare, orice persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficace împotriva unei decizii obligatorii din punct de vedere juridic care o vizează, adoptată de o autoritate privind sănătatea digitală sau în cazul în care autoritatea privind sănătatea digitală nu tratează o plângere sau nu informează persoana fizică sau juridică în termen de trei luni despre evoluția sau soluționarea plângerii. Acțiunile împotriva unei autorități privind sănătatea digitală ar trebui să se introducă în fața instanțelor din statele membre în care își are sediul autoritatea privind sănătatea digitală.

(32)

Autoritățile privind sănătatea digitală ar trebui să dispună de suficiente competențe tehnice, reunind eventual experți din diferite organizații. Activitățile autorităților digitale din domeniul sănătății ar trebui să fie bine planificate și monitorizate pentru a asigura eficiența acestora. Autoritățile privind sănătatea digitală ar trebui să ia măsurile necesare pentru a proteja drepturile persoanelor fizice prin instituirea unor soluții tehnice la nivel național, regional și local, cum ar fi soluțiile naționale de intermediere a DES și portaluri destinate pacienților. Atunci când iau astfel de măsuri de protecție necesare, autoritățile privind sănătatea digitală ar trebui să aplice standarde și specificații comune în astfel de soluții, să promoveze aplicarea standardelor și specificațiilor în cadrul procedurilor de achiziții publice și să utilizeze alte mijloace inovatoare, inclusiv rambursarea în cazul soluțiilor care respectă cerințele de interoperabilitate și de securitate ale SEDS. Statele membre ar trebui să se asigure că sunt adoptate inițiative de instruire corespunzătoare. În special, profesioniștii din domeniul sănătății ar trebui să fie informați și instruiți cu privire la drepturile și obligațiile care le revin în temeiul prezentului regulament. Pentru a-și îndeplini sarcinile, autoritățile privind sănătatea digitală ar trebui să coopereze la nivelul Uniunii și nivel național cu alte entități, inclusiv cu organisme de asigurări, furnizori de servicii medicale, profesioniști din domeniul sănătății, producători de sisteme DES și de aplicații de wellness, precum și cu alte părți interesate din sectorul sănătății sau al tehnologiei informației, cu entități care gestionează sisteme de rambursare, cu organisme de evaluare a tehnologiilor medicale, cu autorități și agenții de reglementare a medicamentelor, cu autorități de reglementare a dispozitivelor medicale, cu achizitori și cu autorități din domeniul securității cibernetice sau al identificării electronice.

(33)

Accesul la datele electronice privind sănătatea și transmiterea acestora sunt relevante în situațiile de asistență medicală transfrontalieră, întrucât acestea pot sprijini continuitatea asistenței medicale atunci când persoanele fizice călătoresc în alte state membre sau își schimbă reședința. Continuitatea îngrijirii și accesul rapid la datele electronice cu caracter personal privind sănătatea sunt și mai importante pentru rezidenții din regiunile frontaliere care traversează frecvent frontiera pentru a beneficia de asistență medicală. În multe regiuni frontaliere, este posibil ca unele servicii de asistență medicală specializate să fie disponibile peste frontieră, dar mai aproape decât în același stat membru. Este necesară o infrastructură pentru transmiterea transfrontalieră a datelor electronice cu caracter personal privind sănătatea, în situațiile în care o persoană fizică utilizează serviciile unui furnizor de servicii medicale stabilit într-un alt stat membru. Ar trebui avută în vedere extinderea treptată a unei astfel de infrastructuri și finanțarea acesteia. O infrastructură voluntară în acest scop, MyHealth@EU, a fost creată în cadrul acțiunilor de îndeplinire a obiectivelor instituite prin Directiva 2011/24/UE a Parlamentului European și a Consiliului (14). Prin intermediul MyHealth@EU, statele membre au început să ofere persoanelor fizice posibilitatea de a-și partaja datele electronice cu caracter personal privind sănătatea cu furnizorii de servicii medicale atunci când călătoresc în străinătate. Pe baza acestei experiențe, participarea statelor membre la MyHealth@EU, astfel cum este stabilită prin prezentul regulament, ar trebui să fie obligatorie. Specificațiile tehnice pentru infrastructura MyHealth@EU ar trebui să permită schimbul de categorii prioritare de date electronice privind sănătatea, precum și de categorii suplimentare sprijinite de formatul european pentru schimbul de dosare electronice de sănătate. Specificațiile respective ar trebui să fie definite prin intermediul unor acte de punere în aplicare și ar trebui să se bazeze pe specificațiile transfrontaliere ale formatului european pentru schimbul de dosare electronice de sănătate, completate de specificații suplimentare privind securitatea cibernetică, interoperabilitatea tehnică și semantică, gestionarea operațiunilor și a serviciilor. Statelor membre ar trebui să le revină obligația de a adera la MyHealth@EU, de a respecta specificațiile sale tehnice și de a conecta furnizorii de servicii medicale, inclusiv farmaciile, la acesta, întrucât acest demers este necesar pentru a permite persoanelor fizice să își exercite drepturile în temeiul prezentului regulament de a accesa și a utiliza datele lor electronice cu caracter personal privind sănătatea, indiferent de statul membru în care se află persoanele fizice.

(34)

MyHealth@EU oferă o infrastructură comună pentru ca statele membre să asigure conectivitatea și interoperabilitatea într-un mod eficient și sigur pentru a sprijini asistența medicală transfrontalieră, fără a afecta responsabilitățile statelor membre înainte și după transmiterea datelor electronice cu caracter personal privind sănătatea prin intermediul său. Statele membre sunt responsabile de organizarea punctelor lor naționale de contact pentru sănătatea digitală și de prelucrare a datelor cu caracter personal în scopul furnizării de asistență medicală, înainte și după transmiterea datelor respective prin intermediul MyHealth@EU. Comisia ar trebui să monitorizeze, prin verificări ale conformității, respectarea de către punctele naționale de contact pentru sănătatea digitală a cerințelor necesare în ceea ce privește dezvoltarea tehnică a MyHealth@EU, precum și normele detaliate privind securitatea, confidențialitatea și protecția datelor electronice cu caracter personal privind sănătatea. În eventualitatea unei nerespectări grave din partea unui punct național de contact pentru sănătatea digitală, Comisia ar trebui să aibă posibilitatea de a suspenda serviciile afectate de nerespectare și furnizate de respectivul punct național de contact pentru sănătatea digitală. Comisia ar trebui să acționeze în calitate de persoană împuternicită de operator în numele statelor membre în cadrul MyHealth@EU și ar trebui să furnizeze servicii centrale pentru aceasta. Pentru a asigura respectarea normelor de protecție a datelor și pentru a oferi un cadru de gestionare a riscurilor pentru transmiterea datelor electronice cu caracter personal privind sănătatea, responsabilitățile specifice ale statelor membre, în calitate de operatori asociați, și obligațiile Comisiei în calitate de persoană împuternicită de operator în numele acestora ar trebui să fie precizate prin intermediul unor acte de punere în aplicare. Fiecare stat membru este singurul responsabil pentru date și servicii în statul membru respectiv. Prezentul regulament oferă temeiul juridic pentru prelucrarea datelor electronice cu caracter personal privind sănătatea în MyHealth@EU ca sarcină efectuată în interesul public atribuită de dreptul Uniunii, astfel cum se menționează la articolul 6 alineatul (1) litera (e) din Regulamentul (UE) 2016/679. Prelucrarea respectivă este necesară pentru furnizarea de asistență medicală în situații transfrontaliere, astfel cum se menționează la articolul 9 alineatul (2) litera (h) din regulamentul respectiv.

(35)

În plus față de serviciile din MyHealth@EU pentru schimbul de date electronice cu caracter personal privind sănătatea pe baza formatului european pentru schimbul de dosare electronice de sănătate, ar putea fi necesare alte servicii sau infrastructuri suplimentare, de exemplu în situații de urgență de sănătate publică sau în cazul în care arhitectura MyHealth@EU nu este adecvată pentru punerea în aplicare a unora dintre cazurile de utilizare. Printre exemplele de astfel de cazuri de utilizare se numără sprijinul pentru funcționalitățile cardului de vaccinare, inclusiv schimbul de informații privind planurile de vaccinare sau verificarea certificatelor de vaccinare sau a altor certificate legate de sănătate. Astfel de cazuri de utilizare suplimentare ar fi, de asemenea, importante pentru introducerea unor funcționalități suplimentare de gestionare a crizelor din domeniul sănătății publice, cum ar fi sprijinul pentru depistarea contacților în scopul limitării bolilor infecțioase. MyHealth@EU ar trebui să sprijine schimburile de date electronice cu caracter personal privind sănătatea cu punctele naționale de contact pentru sănătatea digitală din țările terțe și sistemele relevante instituite la nivel internațional de organizații internaționale pentru a contribui la continuitatea asistenței medicale. Acest lucru este deosebit de relevant pentru persoanele care se deplasează în țările terțe învecinate și din astfel de țări, pentru țările candidate și pentru țările și teritoriile de peste mări asociate. Conectarea unor astfel de puncte naționale de contact pentru sănătatea digitală ale țărilor terțe la MyHealth@EU și interoperabilitatea cu sistemele digitale instituite la nivel internațional de organizații internaționale ar trebui să facă obiectul unei verificări care să asigure conformitatea respectivelor puncte de contact și sisteme digitale cu specificațiile tehnice, normele de protecție a datelor și alte cerințe ale MyHealth@EU. În plus, având în vedere că conectarea la MyHealth@EU va implica transferuri de date electronice cu caracter personal privind sănătatea către țări terțe, cum ar fi partajarea unei fișe a pacientului atunci când pacientul solicită asistență medicală în țara terță respectivă, ar trebui să existe instrumente de transfer relevante în temeiul capitolului V din Regulamentul (UE) 2016/679. Comisia ar trebui să fie împuternicită să adopte acte de punere în aplicare pentru a facilita conectarea unor astfel de puncte naționale de contact pentru sănătatea digitală din țările terțe și sistemele instituite la nivel internațional de organizații internaționale la MyHealth@EU. Atunci când elaborează respectivele acte de punere în aplicare, Comisia ar trebui se țină seama de interesele naționale în materie de securitate ale statelor membre.

(36)

Pentru a permite schimbul neîntrerupt de date electronice privind sănătatea și a asigura respectarea drepturilor persoanelor fizice și ale profesioniștilor din domeniul sănătății, sistemele DES comercializate pe piața internă ar trebui să poată stoca și transmite, în mod securizat, date electronice de înaltă calitate privind sănătatea. Acesta este un obiectiv-cheie al SEDS pentru a asigura circulația securizată și liberă a datelor electronice privind sănătatea în întreaga Uniune. În acest scop, ar trebui să fie instituit un sistem obligatoriu de autoevaluare a conformității pentru sistemele DES care prelucrează una sau mai multe categorii prioritare de date electronice privind sănătatea, pentru a depăși fragmentarea pieței, asigurând în același timp o abordare proporțională. Prin autoevaluare, sistemele DES vor dovedi conformitatea cu cerințele privind interoperabilitatea, securitatea și evidența comunicațiilor de date electronice cu caracter personal privind sănătatea stabilite de cele două componente software DES obligatorii armonizate prin prezentul regulament, și anume componenta software europeană de interoperabilitate pentru sistemele DES și componenta software europeană de evidență pentru sistemele DES (denumite în continuare „componentele software armonizate ale sistemelor DES”). Componentele software armonizate ale sistemelor DES privesc în principal transformarea datelor, deși pot implica nevoia de cerințe indirecte pentru înregistrarea datelor și prezentarea datelor în sistemele DES. Specificațiile tehnice pentru componentele software armonizate ale sistemelor DES ar trebui să fie definite prin intermediul unor acte de punere în aplicare și ar trebui să se bazeze pe utilizarea formatului european pentru schimbul de dosare electronice de sănătate. Componentele software armonizate ale sistemelor DES ar trebui să fie proiectate astfel încât să fie reutilizabile și să se integreze fără probleme cu alte componente într-un sistem software mai mare. Cerințele de securitate ale componentelor software armonizate ale sistemelor DES ar trebui să cuprindă elemente specifice sistemelor DES, întrucât proprietățile de securitate mai generale ar trebui să fie sprijinite de alte mecanisme, cum ar fi cele instituite în temeiul Regulamentului (UE) 2024/2847 al Parlamentului European și al Consiliului (15). Pentru a sprijini acest proces, ar trebui create medii europene de testare digitală, care să ofere mijloace automatizate pentru a testa dacă funcționarea componentelor software armonizate ale unui sistem DES este în conformitate cu cerințele prevăzute în prezentul regulament. În acest scop, Comisiei ar trebui să i se confere competențe de executare pentru a stabili specificațiile comune pentru mediile respective. Comisia ar trebui să dezvolte software-ul necesar pentru mediile de testare și să îl pună la dispoziție ca sursă deschisă. Statele membre ar trebui să fie responsabile pentru operarea mediilor de testare digitale, deoarece sunt mai aproape de producători și mai bine plasate pentru a-i sprijini. Producătorii ar trebui să utilizeze mediile de testare digitale respective pentru a-și testa produsele înainte de a le introduce pe piață, continuând, în același timp, să își asume întreaga responsabilitate pentru conformitatea produselor lor. Rezultatele testului ar trebui să devină parte din documentația tehnică a produsului. În cazul în care sistemul DES sau orice parte a acestuia respectă standardele europene sau specificațiile comune, lista standardelor europene și a specificațiilor comune relevante ar trebui, de asemenea, să fie indicată în documentația tehnică. Pentru a sprijini comparabilitatea sistemelor DES, Comisia ar trebui să elaboreze un model uniform pentru documentația tehnică ce însoțește astfel de sisteme.

(37)

Sistemele DES ar trebui să fie însoțite de o fișă de informații care să includă informații pentru utilizatorii lor profesioniști și de instrucțiuni clare și complete de utilizare în formate accesibile pentru persoanele cu dizabilități. În cazul în care un sistem DES nu este însoțit de astfel de informații, producătorul sistemului DES în cauză, reprezentantul său autorizat și toți ceilalți operatori economici relevanți ar trebui să aibă obligația de a adăuga la sistemul DES fișa de informații și instrucțiunile de utilizare respective.

(38)

Deși sistemele DES destinate în mod specific de către producător pentru a fi utilizate pentru prelucrarea uneia sau mai multor categorii specifice de date electronice privind sănătatea ar trebui să facă obiectul autocertificării obligatorii, software-ul utilizat în scopuri generale nu ar trebui să fie considerat drept un sistem DES, chiar și atunci când este utilizat în cadrul asistenței medicale, și, prin urmare, nu ar trebui să fie supus obligației de a respecta prezentul regulament. Aceasta cuprinde cazuri precum software-ul de prelucrare a textului utilizat pentru redactarea de rapoarte care ar deveni ulterior parte a dosarelor electronice de sănătate scrise, a programelor de tip middleware de uz general sau a software-ului de gestionare a bazelor de date care este utilizat ca parte a soluțiilor de stocare a datelor.

(39)

Prezentul regulament impune un sistem obligatoriu de autoevaluare a conformității pentru componentele software armonizate ale sistemelor DES, pentru a se asigura că sistemele DES introduse pe piața Uniunii pot face schimb de date în formatul european pentru schimbul de dosare electronice de sănătate și că dispun de capacitățile necesare de ținere a evidenței. Respectiva autoevaluare obligatorie a conformității, care ar lua forma unei declarații de conformitate UE emise de producător, ar trebui să asigure faptul că cerințele respective sunt îndeplinite și că, în același timp, este evitată o sarcină excesivă asupra statelor membre și producătorilor.

(40)

Producătorii ar trebui să aplice pe documentele de însoțire a sistemului DES și, după caz, pe ambalaj, un marcaj de conformitate CE care să indice că sistemul DES este în conformitate cu prezentul regulament și, în ceea ce privește aspecte nereglementate de prezentul regulament, cu alte acte din dreptul aplicabil al Uniunii care impun, de asemenea, aplicarea marcajului de conformitate CE. Statele membre ar trebui să se bazeze pe mecanismele existente pentru a asigura aplicarea corectă a prevederilor privind marcajul de conformitate CE în temeiul dreptului relevant al Uniunii și ar trebui să ia măsurile corespunzătoare în cazul utilizării inadecvate a respectivului marcaj.

(41)

Statele membre ar trebui să rămână competente pentru a defini cerințele referitoare la orice alte componente software ale sistemelor DES și condițiile de conectare a furnizorilor de asistență medicală la infrastructurile lor naționale, care ar putea face obiectul unei evaluări de către o terță parte la nivel național. Pentru a facilita buna funcționare a pieței interne a sistemelor DES, a produselor de sănătate digitală și a serviciilor conexe, este necesar să se asigure, pe cât posibil, transparența în ceea ce privește dreptul intern care stabilește cerințe pentru sistemele DES și dispoziții privind evaluarea conformității acestora în ceea ce privește alte aspecte decât componentele software armonizate ale sistemelor DES. Prin urmare, statele membre ar trebui să informeze Comisia cu privire la cerințele respective din dreptul intern, astfel încât aceasta să dispună de informațiile necesare pentru a se asigura că acestea nu afectează în mod negativ componentele software armonizate ale sistemelor DES.

(42)

Anumite componente software ale sistemelor DES ar putea fi considerate drept dispozitive medicale în temeiul Regulamentului (UE) 2017/745 sau dispozitive medicale pentru diagnostic in vitro în temeiul Regulamentului (UE) 2017/746 al Parlamentului European și al Consiliului (16). Software-ul sau modulele de software care se încadrează în definiția unui dispozitiv medical, a unor dispozitive medicale de diagnostic in vitro sau a unui sistem de inteligență artificială (IA) considerat a avea un grad ridicat de risc (denumit în continuare „sistem de IA cu grad ridicat de risc”) ar trebui să fie certificate în conformitate cu Regulamentele (UE) 2017/745, (UE) 2017/746 și (UE) 2024/1689, după caz. Deși astfel de produse trebuie să îndeplinească cerințele prevăzute de regulamentul aplicabil fiecăruia dintre produsele respective, statele membre ar trebui să ia măsurile corespunzătoare pentru a se asigura că respectiva evaluare a conformității este efectuată ca o procedură comună sau coordonată pentru a limita sarcina administrativă pentru producători și alți operatori economici. Cerințele esențiale privind interoperabilitatea din prezentul regulament ar trebui să se aplice numai în măsura în care producătorul unui dispozitiv medical, al unui dispozitiv medical de diagnostic in vitro sau al unui sistem de IA cu grad ridicat de risc, care furnizează date electronice privind sănătatea ce urmează să fie prelucrate în cadrul sistemului DES, declară interoperabilitatea cu acest sistem DES. În acest caz, dispozițiile privind specificațiile comune pentru sistemele DES ar trebui să se aplice respectivelor dispozitive medicale, dispozitive medicale de diagnostic in vitro și sisteme de IA cu grad ridicat de risc.

(43)

Pentru a sprijini în continuare interoperabilitatea și securitatea, statele membre ar trebui să aibă posibilitatea de a menține sau defini norme specifice pentru achiziționarea, rambursarea sau finanțarea sistemelor DES la nivel național în contextul organizării, furnizării sau finanțării serviciilor de sănătate. Astfel de norme specifice nu ar trebui să împiedice libera circulație a sistemelor DES în Uniune. Unele state membre au introdus certificarea obligatorie a sistemelor DES sau testarea obligatorie a interoperabilității pentru conectarea acestora la serviciile naționale de sănătate digitală. Astfel de cerințe se reflectă în mod obișnuit în procedurile de achiziții organizate de furnizorii de servicii medicale și de autoritățile naționale sau regionale. Certificarea obligatorie a sistemelor DES la nivelul Uniunii ar trebui să stabilească un scenariu de referință care să poată fi utilizat în cadrul procedurilor de achiziții publice la nivel național.

(44)

Pentru a garanta exercitarea efectivă de către pacienți a drepturilor lor în temeiul prezentului regulament, furnizorii de servicii medicale care dezvoltă și utilizează un sistem DES „intern” pentru a desfășura activități interne fără a-l introduce pe piață în schimbul unei plăți sau al unei remunerații ar trebui să respecte, de asemenea, prezentul regulament. În acest context, acești furnizori de servicii medicale ar trebui să respecte toate cerințele aplicabile producătorilor cu privire la astfel de sisteme DES care sunt dezvoltate „intern” și pe care acești furnizori de servicii medicale le-au pus în funcțiune. Cu toate acestea, dat fiind că este posibil ca furnizorii de servicii medicale să aibă nevoie de timp suplimentar pentru a se pregăti pentru respectarea prezentului regulament, cerințele respective ar trebui să se aplice unor astfel de sisteme numai după o perioadă de tranziție prelungită.

(45)

Este necesar să se prevadă o repartizare clară și proporțională a obligațiilor aferente rolului fiecărui operator economic în procesul de furnizare și de distribuție a sistemelor DES. Operatorii economici ar trebui să fie responsabili de conformitate în ceea ce privește rolurile lor corespunzătoare în cadrul unui astfel de proces și ar trebui să se asigure că pun la dispoziție pe piață numai sisteme DES care respectă cerințele relevante.

(46)

Respectarea cerințelor esențiale privind interoperabilitatea și securitatea ar trebui să fie demonstrată de către producătorii de sisteme DES prin punerea în aplicare a unor specificații comune. În acest scop, ar trebui să fie conferite competențe de executare Comisiei pentru a stabili astfel de specificații comune privind seturile de date, sistemele de codificare, specificațiile tehnice, standardele, specificațiile și profilurile pentru schimbul de date, precum și cerințele și principiile legate de siguranța pacienților și de securitatea, confidențialitatea, integritatea și protecția datelor cu caracter personal, și specificațiile și cerințele legate de gestionarea identificării și utilizarea identificării electronice. Autoritățile privind sănătatea digitală ar trebui să contribuie la elaborarea unor astfel de specificații comune. După caz, specificațiile comune respective ar trebui să se bazeze pe standardele armonizate existente pentru componentele software armonizate ale sistemelor DES și să fie compatibile cu dreptul sectorial. În cazul în care specificațiile comune au o importanță deosebită în ce privește cerințele de protecție a datelor cu caracter personal în legătură cu sistemele DES, acestea ar trebui să facă obiectul consultării cu Comitetul european pentru protecția datelor (CEPD) și Autoritatea Europeană pentru Protecția Datelor (AEPD) înainte de adoptarea lor, în temeiul articolului 42 alineatul (2) din Regulamentul (UE) 2018/1725.

(47)

Pentru a asigura o aplicare adecvată și eficace a cerințelor și a obligațiilor prevăzute în prezentul regulament, ar trebui să se aplice sistemul de supraveghere a pieței și de conformitate a produselor instituit prin Regulamentul (UE) 2019/1020 al Parlamentului European și al Consiliului (17). În funcție de organizația definită la nivel național, astfel de activități de supraveghere a pieței ar putea fi desfășurate de autoritățile privind sănătatea digitală care asigură punerea în aplicare corespunzătoare a capitolului II din prezentul regulament sau de o autoritate separată de supraveghere a pieței responsabilă de sistemele DES. Deși desemnarea autorităților privind sănătatea digitală drept autorități de supraveghere a pieței ar putea avea avantaje practice importante pentru punerea în aplicare a serviciilor de sănătate și de îngrijire, orice conflict de interese ar trebui să fie evitat, de exemplu prin separarea diferitelor sarcini.

(48)

Personalul autorităților de supraveghere a pieței nu ar trebui să aibă niciun conflict de interese economic, financiar sau personal, direct sau indirect, despre care s-ar putea considera că îi prejudiciază independența și mai ales nu ar trebui să se afle într-o situație care i-ar putea afecta, direct sau indirect, imparțialitatea conduitei profesionale. Statele membre ar trebui să stabilească și să publice procedura de selecție a autorităților de supraveghere a pieței. Acestea ar trebui să asigure că procedura este transparentă și nu permite conflictele de interese.

(49)

Utilizatorii de aplicații de wellness, inclusiv aplicațiile pentru dispozitivele mobile, ar trebui să fie informați cu privire la capacitatea unor astfel de aplicații de a fi conectate și de a furniza date sistemelor DES sau soluțiilor electronice naționale de sănătate, în cazurile în care datele produse de aplicațiile de wellness sunt utile în scopuri de asistență medicală. Capacitatea acestor aplicații de a exporta date într-un format interoperabil este, de asemenea, relevantă pentru portabilitatea datelor. Dacă este cazul, utilizatorii ar trebui, de asemenea, să fie informați cu privire la conformitatea acestor aplicații de wellness cu cerințele de interoperabilitate și de securitate. Totuși, având în vedere numărul mare de aplicații de wellness și relevanța limitată în scopuri de asistență medicală a datelor produse de multe dintre acestea, un sistem de certificare pentru aceste aplicații nu ar fi proporțional. Prin urmare, ar trebui să fie instituit un sistem obligatoriu de etichetare pentru aplicațiile de wellness pentru care este declarată interoperabilitatea cu sistemele DES ca mecanism adecvat de asigurare a transparenței pentru utilizatorii aplicațiilor de wellness în ceea ce privește respectarea cerințelor prevăzute de prezentul regulament, sprijinind astfel utilizatorii în alegerea aplicațiilor de wellness adecvate cu standarde ridicate de interoperabilitate și securitate. Comisia ar trebui să stabilească, prin intermediul unor acte de punere în aplicare, detaliile privind formatul și conținutul unei astfel de etichete.

(50)	Statele membre ar trebui să dispună în continuare de libertatea de a reglementa alte aspecte ale utilizării aplicațiilor de wellness, cu condiția ca normele echivalente să fie în conformitate cu dreptul Uniunii.

(51)

Distribuirea informațiilor referitoare la sistemele DES certificate și la aplicațiile de wellness cărora li s-a acordat o etichetă este necesară pentru a permite achizitorilor și utilizatorilor acestor produse să găsească soluții interoperabile pentru nevoile lor specifice. Prin urmare, ar trebui să fie instituită la nivelul Uniunii o bază de date cu sistemele DES și aplicațiile de wellness interoperabile, care nu intră în domeniul de aplicare al Regulamentelor (UE) 2017/745 și (UE) 2024/1689, similară cu Banca europeană de date referitoare la dispozitivele medicale (Eudamed) instituită prin Regulamentul (UE) 2017/745. Obiectivele bazei de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness ar trebui să fie sporirea transparenței generale, evitarea cerințelor multiple de raportare, precum și raționalizarea și facilitarea fluxului de informații. În ceea ce privește dispozitivele medicale și sistemele de IA, înregistrarea ar trebui să fie menținută în bazele de date existente instituite în temeiul Regulamentelor (UE) 2017/745 și, respectiv, (UE) 2024/1689, dar conformitatea cu cerințele de interoperabilitate ar trebui să fie indicată de producători atunci când aceștia declară această conformitate, pentru a furniza informații achizitorilor.

(52)

Fără a împiedica sau înlocui dispozițiile contractuale sau mecanismele de altă natură în vigoare, prezentul regulament vizează instituirea unui mecanism comun de accesare a datelor electronice privind sănătatea pentru utilizarea secundară în întreaga Uniune. În cadrul acestui mecanism, deținătorii de date privind sănătatea ar trebui să pună la dispoziție datele pe care le dețin pe baza unei autorizații privind datele sau a unei cereri de date privind sănătatea. În scopul prelucrării datelor electronice privind sănătatea pentru utilizare secundară, este necesar unul dintre temeiurile juridice menționate la articolul 6 alineatul (1) litera (a), (c), (e) sau (f) din Regulamentul (UE) 2016/679, coroborat cu articolul 9 alineatul (2) din regulamentul respectiv. În consecință, prezentul regulament prevede un temei juridic pentru utilizarea secundară a datelor electronice cu caracter personal privind sănătatea, inclusiv garanțiile impuse în temeiul articolului 9 alineatul (2) literele (g)-(j) din Regulamentul (UE) 2016/679 care să permită prelucrarea unor categorii speciale de date, în ceea ce privește scopurile legale, guvernarea de încredere pentru furnizarea accesului la datele privind sănătatea, prin implicarea organismelor de acces la datele privind sănătatea și prelucrarea într-un mediu de prelucrare securizat, precum și modalitățile de prelucrare a datelor, stabilite în autorizația privind datele. În consecință, statele membre nu ar trebui să mai aibă posibilitatea de a menține sau introduce, în temeiul articolului 9 alineatul (4) din Regulamentul (UE) 2016/679, condiții suplimentare, inclusiv limitări și dispoziții specifice care solicită consimțământul persoanelor fizice, în ceea ce privește prelucrarea în vederea utilizării secundare a datelor electronice cu caracter personal privind sănătatea în temeiul prezentului regulament, cu excepția introducerii de măsuri mai stricte și garanții suplimentare la nivel național pentru a proteja sensibilitatea și valoarea anumitor date conform dispozițiilor prezentului regulament. Solicitanții de date privind sănătatea ar trebui, de asemenea, să demonstreze existența unui temei juridic menționat la articolul 6 din Regulamentul (UE) 2016/679, care să le permită să solicite accesul la datele electronice privind sănătatea în temeiul prezentului regulament și ar trebui să îndeplinească condițiile prevăzute în capitolul IV din prezentul regulament. În plus, organismul de acces la datele privind sănătatea ar trebui să evalueze informațiile furnizate de solicitantul de date privind sănătatea, pe baza cărora ar trebui să fie în măsură să elibereze o autorizație de prelucrare a datelor pentru prelucrarea datelor medicale electronice cu caracter personal în conformitate cu prezentul regulament, care ar trebui să îndeplinească cerințele și condițiile stabilite în capitolul IV din prezentul regulament. Pentru prelucrarea datelor electronice privind sănătatea deținute de deținătorii de date privind sănătatea, prezentul regulament creează obligația legală, în înțelesul articolului 6 alineatul (1) litera (c) din Regulamentul (UE) 2016/679, în concordanță cu articolul 9 alineatul (2) literele (i) și (j) din regulamentul respectiv, pentru ca deținătorul de date privind sănătatea să pună la dispoziția organismelor de acces la datele privind sănătatea datele electronice cu caracter personal privind sănătatea, în timp ce temeiul juridic pentru scopul prelucrării inițiale, de exemplu furnizarea de asistență medicală, nu este afectat. Prezentul regulament atribuie, de asemenea, sarcini de interes public în înțelesul articolului 6 alineatul (1) litera (e) din Regulamentul (UE) 2016/679 organismelor de acces la datele privind sănătatea și îndeplinește cerințele de la articolul 9 alineatul (2) literele (g)-(j), după caz, din regulamentul menționat. Dacă utilizatorul de date privind sănătatea se bazează pe un temei juridic prevăzut la articolul 6 alineatul (1) litera (e) sau (f) din Regulamentul (UE) 2016/679, prezentul regulament ar trebui să prezinte garanțiile necesare în temeiul articolului 9 alineatul (2) din Regulamentul (UE) 2016/679.

(53)

Datele electronice privind sănătatea folosite pentru utilizare secundară electronice privind sănătatea poate aduce beneficii societale. Ar trebui să fie încurajată folosirea datelor reale și a dovezilor concrete, inclusiv a rezultatelor comunicate de pacienți, în scopuri de reglementare și de politică bazate pe dovezi, precum și pentru cercetare, evaluarea tehnologiei medicale și obiective clinice. Datele din lumea reală și dovezile din lumea reală pot completa datele privind sănătatea puse la dispoziție în prezent. Pentru a atinge obiectivul respectiv, este important ca seturile de date puse la dispoziție pentru utilizare secundară în conformitate cu prezentul regulament să fie cât mai complete posibil. Prezentul regulament oferă garanțiile necesare pentru a atenua anumite riscuri atrase de realizarea acestor beneficii. Utilizarea secundară a datelor electronice privind sănătatea se bazează pe date pseudonimizate sau anonimizate, pentru a împiedica identificarea persoanelor vizate.

(54)

Pentru a găsi un echilibru între necesitatea ca utilizatorii de date privind sănătatea să dispună de seturi de date exhaustive și reprezentative și nevoia de autonomie a persoanelor fizice în ceea ce privește datele lor electronice cu caracter personal privind sănătatea care sunt considerate deosebit de sensibile, persoanele fizice ar trebui să posibilitatea de a decide dacă datele lor electronice cu caracter personal privind sănătatea pot fi prelucrate pentru utilizare secundară în temeiul prezentului regulament, sub forma unui drept de a refuza punerea la dispoziție a respectivelor date electronice cu caracter personal privind sănătatea pentru utilizare secundară. Ar trebui să se prevadă un mecanism de exercitare a dreptului de refuz ușor de înțeles, accesibil și ușor de utilizat. În plus, este absolut necesar să se ofere persoanelor fizice informații suficiente și complete despre dreptul lor de refuz, inclusiv despre beneficiile și dezavantajele pe care le implică exercitarea acestui drept. Persoanele fizice nu ar trebui să fie obligate să își motiveze refuzul și ar trebui să poată reveni în orice moment asupra opțiunii lor. Cu toate acestea, în anumite scopuri strâns legate de interesul public, cum ar fi activitățile de protecție împotriva amenințărilor transfrontaliere grave privind sănătatea sau cercetarea științifică în scopuri importante de interes public, este oportun ca statelor membre să li se ofere posibilitatea de a stabili, ținând seama de contextele lor naționale, mecanisme de acordare a accesului la datele electronice cu caracter personal privind sănătatea ale persoanelor fizice care și-au exercitat dreptul de refuz, pentru a se asigura că în situațiile respective pot fi puse la dispoziție seturi de date complete. Astfel de mecanisme ar trebui să respecte cerințele stabilite pentru utilizarea secundară în temeiul prezentului regulament. Cercetarea științifică în scopuri importante de interes public ar putea include, de exemplu, cercetarea care încearcă să răspundă nevoilor medicale nesatisfăcute, inclusiv în cazul bolilor rare sau al amenințărilor emergente la adresa sănătății. Normele referitoare la astfel de acțiuni contra dreptului de refuz ar trebui să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și proporțională într-o societate democratică pentru a realiza interesul public legat de obiective științifice și societale legitime. Astfel de acțiuni contra dreptului de refuz ar trebui să fie disponibile numai utilizatorilor de date privind sănătatea care sunt organisme din sectorul public, sau instituții, organe, oficii sau agenții ale Uniunii relevante cărora li s-a încredințat îndeplinirea unor sarcini în domeniul sănătății publice, sau unei alte entități căreia i s-a încredințat îndeplinirea unor sarcini publice în domeniul sănătății publice sau care acționează în numele unei autorități publice sau este mandatată de o astfel de autoritate, și numai în cazul în care datele nu pot fi obținute în timp util și în mod eficient prin mijloace alternative. Respectivii utilizatori de date privind sănătatea ar trebui să justifice faptul că utilizarea acțiunii contra dreptului de refuz este necesară pentru o cerere individuală de acces la datele privind sănătatea sau pentru o cerere individuală de date privind sănătatea. Atunci când se recurge la o astfel de acțiune contra dreptului de refuz, garanțiile prevăzute în capitolul IV ar trebui să fie aplicate în continuare de utilizatorii de date privind sănătatea, în special interzicerea reidentificării sau a tentativelor de reidentificare a persoanelor fizice în cauză.

(55)

În contextul SEDS, datele electronice privind sănătatea există deja și sunt colectate, între alții, de furnizorii de servicii medicale, de asociațiile profesionale, de instituțiile publice, de autoritățile de reglementare, de cercetători și de asigurători, în cadrul activităților lor. Datele respective ar trebui, de asemenea, să fie puse la dispoziție pentru utilizare secundară, adică pentru prelucrarea datelor în alte scopuri decât cele pentru care au fost colectate sau produse. Totuși, o mare parte din datele de acest tip nu sunt puse la dispoziție în vederea prelucrării pentru astfel de scopuri. Acest fapt limitează capacitatea cercetătorilor, a inovatorilor, a responsabililor de elaborarea politicilor, a autorităților de reglementare și a medicilor de a utiliza datele respective în diferite scopuri, inclusiv în scopuri de cercetare, de inovare, de elaborare a politicilor, de reglementare, de siguranță a pacienților sau de medicină personalizată. Pentru a valorifica pe deplin beneficiile utilizării secundare, toți deținătorii de date privind sănătatea ar trebui să contribuie la acest efort prin punerea la dispoziție pentru utilizare secundară a diferitelor categorii de date electronice privind sănătatea pe care le dețin, cu condiția ca acest efort să se facă întotdeauna prin intermediul unor procese eficace și sigure, cu respectarea obligațiilor profesionale, cum ar fi obligațiile de confidențialitate.

(56)

Categoriile de date electronice privind sănătatea care pot fi prelucrate pentru utilizare secundară ar trebui să fie suficient de ample și de flexibile pentru a răspunde nevoilor în continuă evoluție ale utilizatorilor de date privind sănătatea, rămânând totodată limitate la datele legate de sănătate sau despre care se știe că influențează sănătatea. Acestea pot include și date relevante din sistemul de sănătate, de exemplu dosare electronice de sănătate, date referitoare la cererile de rambursare, date privind eliberările de medicamente, date din registre privind bolile sau date genomice, precum și date cu impact asupra sănătății, de exemplu date privind consumul de diferite substanțe, statutul socioeconomic sau comportamentul, și date privind factorii de mediu precum poluarea, radiațiile sau utilizarea anumitor substanțe chimice. Categoriile de date electronice privind sănătatea pentru utilizare secundară includ unele categorii de date care au fost colectate inițial în alte scopuri, cum ar fi cercetarea, statisticile, siguranța pacienților, activitățile de reglementare sau activitățile de elaborare a politicilor, de exemplu registrele de elaborare a politicilor sau registrele privind efectele secundare ale medicamentelor sau ale dispozitivelor medicale. În anumite domenii sunt disponibile baze de date europene care facilitează utilizarea sau reutilizarea datelor, cum ar fi în ceea ce privește cancerul (Sistemul european de informații cu privire la cancer) sau bolile rare (de exemplu, Platforma europeană privind înregistrarea bolilor rare și registrele rețelelor europene de referință). Categoriile de date electronice privind sănătatea care pot fi prelucrate pentru utilizare secundară ar trebui să includă și date generate automat de dispozitive medicale și date generate de persoane, cum ar fi datele provenite din aplicațiile de wellness. Și datele privind studiile clinice intervenționale și investigațiile clinice ar trebui să fie incluse în categoriile de date electronice privind sănătatea pentru utilizare secundară, atunci când studiul clinic intervențional sau investigația clinică s-a încheiat, fără a afecta orice partajare voluntară de date efectuată de sponsorii studiilor și ai investigațiilor în curs. Datele electronice privind sănătatea pentru utilizare secundară ar trebui să fie puse la dispoziție, de preferință, într-un format electronic structurat care să le înlesnească prelucrarea de către sistemele informatice. Printre exemplele de formate electronice structurate se numără înregistrările într-o bază de date relațională, documentele XML sau fișierele CSV, precum și textul liber, materialele audio, video și imaginile sub formă de fișiere care pot fi citite electronic.

(57)

Utilizatorii de date privind sănătatea care beneficiază de acces la seturile de date prevăzute în prezentul regulament ar putea îmbogăți datele din respectivele seturi de date cu diverse corecturi, adnotări și alte îmbunătățiri, de exemplu prin completarea datelor lipsă sau incomplete, îmbunătățind astfel corectitudinea, caracterul complet sau calitatea datelor din seturile de date. Utilizatorii de date privind sănătatea ar trebui să fie încurajați să comunice organismelor de acces la datele privind sănătatea erorile critice din seturile de date. Pentru a sprijini îmbunătățirea bazei de date inițiale și utilizarea suplimentară a setului de date îmbogățit, statele membre ar trebui să poată stabili reguli pentru prelucrarea și utilizarea datelor electronice privind sănătatea care conțin îmbunătățiri legate de prelucrarea datelor respective. Setul de date îmbunătățit ar trebui să fie pus gratuit la dispoziția deținătorului de date inițial, împreună cu o descriere a îmbunătățirilor. Deținătorul de date privind sănătatea ar trebui să pună la dispoziție noul set de date, cu excepția cazului în care furnizează organismului de acces la datele privind sănătatea o notificare justificată a motivului pentru care acționează în mod contrar, de exemplu în cazurile în care îmbogățirea datelor de către utilizatorul de date privind sănătatea este de calitate scăzută. Ar trebui să se asigure faptul că datele electronice privind sănătatea fără caracter personal sunt disponibile pentru utilizarea secundară. În special, datele genomice ale agenților patogeni au o valoare semnificativă pentru sănătatea umană, după cum s-a constatat în timpul pandemiei de COVID-19, când accesul la timp la astfel de date și partajarea lor s-au dovedit a fi esențiale pentru dezvoltarea rapidă a instrumentelor de depistare, a mijloacelor medicale de contracarare și a răspunsurilor la amenințările la adresa sănătății publice. Cel mai mare beneficiu al eforturilor legate de datele genomice ale agenților patogeni va fi obținut atunci când procesele de sănătate publică și de cercetare vor face schimb de seturi de date și vor coopera pentru a se informa și a se îmbunătăți reciproc.

(58)

Pentru a face mai eficace utilizarea secundară a datelor electronice cu caracter personal privind sănătatea și pentru a profita pe deplin de posibilitățile oferite de prezentul regulament, disponibilitatea în SEDS a datelor electronice privind sănătatea descrise în capitolul IV ar trebui să fie de asemenea natură încât datele să fie cât mai accesibile, pregătite și adecvate și de cât mai bună calitate pentru a crea o valoare și o calitate științifică, inovatoare și societală. Activitățile de punere în aplicare a SEDS și de îmbunătățire suplimentară a seturilor de date ar trebui să fie efectuate într-un mod care acordă prioritate seturilor de date care sunt cele mai adecvate pentru a crea o astfel de valoare și calitate.

(59)

Entitățile publice sau private primesc adesea finanțare publică din fonduri naționale sau ale Uniunii pentru a colecta și a prelucra date electronice privind sănătatea în scopuri de cercetare, de statistici oficiale sau neoficiale sau în alte scopuri similare, inclusiv în domenii în care colectarea acestor date este fragmentată sau dificilă, cum ar fi în legătură cu bolile rare sau cu cancerul. Astfel de date, colectate și prelucrate de deținătorii de date privind sănătatea cu sprijinul finanțării publice din partea Uniunii sau a celei naționale, ar trebui să fie puse la dispoziția organismelor de acces la datele privind sănătatea, pentru a maximiza impactul investițiilor publice și a sprijini cercetarea, inovarea, siguranța pacienților sau elaborarea de politici în beneficiul societății. În unele state membre, entitățile private, inclusiv furnizorii privați de servicii medicale și asociațiile profesionale, joacă un rol esențial în sectorul sănătății. Datele privind sănătatea deținute de acești furnizori ar trebui, de asemenea, să fie puse la dispoziție pentru utilizarea secundară. Deținătorii de date privind sănătatea în contextul utilizării secundare ar trebui deci să fie entități care sunt furnizori de servicii medicale sau furnizori de îngrijire sau care desfășoară activități de cercetare în sectorul serviciilor medicale sau al îngrijirii ori care creează produse sau servicii destinate sectoarelor serviciilor medicale sau îngrijirii. Aceste entități pot fi publice, non-profit sau private. Potrivit acestei definiții, centrele de îngrijire și asistență, centrele de zi, entitățile care prestează servicii pentru persoanele cu dizabilități, entități care desfășoară activități comerciale și tehnologice ce țin de îngrijire, cum ar fi serviciile de ortopedie și societățile care furnizează servicii de îngrijire, ar trebui să fie considerate deținători de date privind sănătatea. Și persoanele juridice care dezvoltă aplicații de wellness ar trebui să fie considerate deținători de date privind sănătatea. Instituțiile, organele, oficiile sau agențiile Uniunii care prelucrează respectivele categorii de date privind sănătatea și asistența medicală, precum și registrele mortalității ar trebui, de asemenea, să fie considerate deținători de date privind sănătatea. Pentru a evita o sarcină disproporționată pentru persoane fizice și microîntreprinderi, acestea ar trebui, ca regulă generală, să fie scutite de obligațiile care le revin deținătorilor de date privind sănătatea. Cu toate acestea, statele membre ar trebui să poată extinde, în dreptul lor intern, obligațiile deținătorilor de date privind sănătatea la persoanele fizice și la microîntreprinderi. Pentru a reduce sarcina administrativă și prin prisma principiilor eficacității și eficienței, statele membre ar trebui să poată impune în dreptul lor intern ca entitățile de intermediere de date privind sănătatea să îndeplinească obligațiile care le revin anumitor categorii de deținători de date privind sănătatea. Astfel de entități de intermediere de date privind sănătatea ar trebui să fie persoane juridice capabile să prelucreze, să pună la dispoziție, să înregistreze, să furnizeze și să facă schimb de date electronice privind sănătatea pentru utilizare secundară, furnizate de deținătorii de date privind sănătatea, și să restricționeze accesul la astfel de date. Astfel de entități de intermediere de date privind sănătatea îndeplinesc sarcini care diferă de cele ale serviciilor de intermediere de date prestate în temeiul Regulamentul (UE) 2022/868.

(60)

Datele electronice privind sănătatea protejate prin drepturi de proprietate intelectuală sau secrete comerciale, inclusiv datele privind studiile clinice intervenționale, investigațiile clinice și studiile clinice, pot fi foarte utile pentru utilizarea secundară și pot stimula inovarea în Uniune, în beneficiul pacienților din Uniune. Pentru a stimula menținerea poziției de lider a Uniunii, este important să se încurajeze partajarea datelor privind studiile clinice intervenționale și investigațiile clinice prin intermediul SEDS în vederea utilizării secundare. Datele privind studiile clinice intervenționale și investigațiile clinice ar trebui să fie puse la dispoziție în măsura posibilului, luând în același timp toate măsurile necesare pentru a proteja drepturile de proprietate intelectuală și secretele comerciale. Prezentul regulament nu ar trebui să fie utilizat pentru a reduce sau a eluda această protecție și ar trebui să fie coerent cu dispozițiile relevante privind transparența prevăzute în dreptul Uniunii, inclusiv pentru datele privind studiile clinice intervenționale și investigațiile clinice. Organismele de acces la datele privind sănătatea ar trebui să evalueze modul în care se poate menține această protecție, permițând totodată accesul utilizatorilor de date privind sănătatea la astfel de date, în măsura posibilului. În cazul în care un organism de acces la datele privind sănătatea nu poate oferi acces la astfel de date, acesta ar trebui să informeze utilizatorul de date privind sănătatea și să explice de ce nu este posibil să ofere un astfel de acces. Printre măsurile juridice, organizatorice și tehnice de protejare a drepturilor de proprietate intelectuală sau a secretelor comerciale s-ar putea număra acorduri contractuale comune privind accesul la datele electronice privind sănătatea, obligații specifice în cadrul autorizației privind datele aferente acestor drepturi, prelucrarea prealabilă a datelor pentru a genera date deduse care protejează un secret comercial, dar care prezintă totuși o utilitate pentru utilizatorul de date privind sănătatea, sau configurarea mediului de prelucrare securizată astfel încât aceste date să nu fie accesibile utilizatorului de date privind sănătatea.

(61)

Utilizarea secundară a datelor privind sănătatea în cadrul SEDS ar trebui să permită entităților publice, private și non-profit, precum și cercetătorilor individuali să aibă acces la datele privind sănătatea pentru cercetare, inovare, elaborarea politicilor, activități educaționale, siguranța pacienților, activități de reglementare sau medicina personalizată, în conformitate cu scopurile stabilite în prezentul regulament. Accesul la date pentru utilizare secundară ar trebui să contribuie la interesul general al societății. În special, utilizarea secundară a datelor privind sănătatea în scopuri de cercetare și dezvoltare ar trebui să contribuie la beneficii pentru societate sub forma unor noi medicamente, dispozitive medicale și produse și servicii de îngrijire a sănătății la prețuri accesibile și echitabile pentru cetățenii Uniunii, precum și la îmbunătățirea accesului la astfel de produse și servicii și a disponibilității acestora în toate statele membre. Activitățile pentru care este legal accesul în contextul prezentului regulament ar putea include utilizarea datelor electronice privind sănătatea pentru sarcini îndeplinite de organismele din sectorul public, cum ar fi exercitarea îndatoririlor publice, inclusiv supravegherea sănătății publice, sarcinile de planificare și raportare, elaborarea politicilor în domeniul sănătății, precum și asigurarea siguranței pacienților, a calității îngrijirii și a durabilității sistemelor de asistență medicală. Pentru organismele din sectorul public și instituțiile, organele, oficiile și agențiile Uniunii ar putea fi necesar accesul regulat la datele electronice privind sănătatea pentru o perioadă mai lungă, inclusiv pentru a-și îndeplini mandatul prevăzut de prezentul regulament. Organismele din sectorul public ar putea desfășura astfel de activități de cercetare utilizând părți terțe, inclusiv subcontractanți, atât timp cât organismul din sectorul public rămâne permanent supraveghetorul activităților respective. Furnizarea datelor ar trebui, de asemenea, să sprijine activitățile legate de cercetarea științifică. Conceptul de scopuri de cercetare științifică ar trebui să fie interpretat în sens larg, incluzând dezvoltarea tehnologică și demonstrația tehnologică, cercetarea fundamentală, cercetarea aplicată și cercetarea finanțată din fonduri private. Printre activitățile legate de cercetarea științifică se numără activitățile de inovare precum antrenarea algoritmilor de IA care ar putea fi folosiți în asistența medicală sau în îngrijirea persoanelor fizice, precum și evaluarea și dezvoltarea în continuare a algoritmilor și a produselor existente în astfel de scopuri. Este necesar ca SEDS să contribuie, de asemenea, la cercetarea fundamentală și, deși beneficiile cercetării fundamentale pentru utilizatorii finali și pacienți ar putea fi mai puțin directe, aceasta este esențială pentru beneficiile societale pe termen lung. În unele cazuri, informațiile unor persoane fizice, cum ar fi informațiile genomice ale persoanelor fizice cu o anumită boală, ar putea contribui la diagnosticarea sau tratamentul altor persoane fizice. Este necesar ca organismele din sectorul public să depășească domeniul de aplicare de necesitate excepțională al capitolului V din Regulamentul (UE) 2023/2854. Totuși, organismele de acces la datele privind sănătatea ar trebui să poată sprijini organismele din sectorul public atunci când prelucrează sau corelează date. Prezentul regulament prevede un canal pentru organismele din sectorul public prin care acestea pot obține acces la informațiile de care au nevoie pentru îndeplinirea sarcinilor care le sunt atribuite prin lege, dar nu extinde mandatul unor astfel de organisme din sectorul public.

(62)

Ar trebui să fie interzisă orice încercare de a utiliza datele electronice privind sănătatea pentru măsuri în detrimentul persoanelor fizice, cum ar fi majorarea primelor de asigurare, implicarea în activități ce pot fi în detrimentul persoanelor fizice ce țin de locul de muncă, pensii sau servicii bancare, inclusiv ipotecarea bunurilor imobiliare, publicitatea la produse sau tratamente, automatizarea procesului de luare a deciziilor individuale, reidentificarea persoanelor fizice sau crearea unor produse dăunătoare. Această interdicție ar trebui să se aplice, de asemenea, activităților care sunt în contradicție cu dispozițiile de etică în temeiul dreptului intern, cu excepția dispozițiilor de etică referitoare la consimțământul cu privire la prelucrarea datelor cu caracter personal și a dispozițiilor de etică referitoare la dreptul de refuz, întrucât prezentul regulament prevalează asupra dreptului intern, în conformitate cu principiul general al supremației dreptului Uniunii. De asemenea, ar trebui să se interzică acordarea accesului la datele electronice privind sănătatea sau punerea acestora în alt mod la dispoziția unor părți terțe care nu sunt menționate în autorizația privind datele. Pe autorizația privind datele ar trebui să se specifice identitatea persoanelor autorizate, în special identitatea investigatorului principal, care vor avea dreptul, în temeiul prezentului regulament, de a accesa datele electronice privind sănătatea în mediul de prelucrare securizat. Investigatorii principali sunt principalele persoane responsabile de solicitarea accesului la datele electronice privind sănătatea și de prelucrarea datelor solicitate în mediul de prelucrare securizat în numele utilizatorului de date privind sănătatea.

(63)

Prezentul regulament nu instituie o permisiune pentru utilizarea secundară a datelor privind sănătatea în scopul aplicării legii. Prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau executarea sancțiunilor penale de către autoritățile competente nu ar trebui să se numere printre scopurile de utilizare secundară reglementate de prezentul regulament. Prin urmare, instanțele și alte entități ale sistemului de justiție nu ar trebui să fie considerate utilizatori de date privind sănătatea pentru utilizarea secundară a datelor privind sănătatea în temeiul prezentului regulament. În plus, instanțele și alte entități ale sistemului de justiție nu ar trebui să fie incluse în definiția deținătorilor de date privind sănătatea și, prin urmare, acestora nu ar trebui să le revină obligațiile care le revin deținătorilor de date privind sănătatea în temeiul prezentului regulament. De asemenea, nu sunt afectate de prezentul regulament prerogativele autorităților competente pentru prevenirea, investigarea, depistarea și urmărirea penală a infracțiunilor în conformitate cu legea de a obține date electronice privind sănătatea. Totodată, datele electronice privind sănătatea deținute de instanțe în scopul procedurilor judiciare nu intră sub incidența prezentului regulament.

(64)

Instituirea unuia sau a mai multor organisme de acces la datele privind sănătatea, care să sprijine accesul la datele electronice privind sănătatea în statele membre, este esențială pentru promovarea utilizării secundare a datelor legate de sănătate. Prin urmare, statele membre ar trebui să înființeze unul sau mai multe organisme de acces la datele privind sănătatea, pentru a reflecta, printre altele, structura lor constituțională, organizațională și administrativă. Cu toate acestea, unul dintre aceste organisme de acces la datele privind sănătatea ar trebui să fie desemnat în calitate de coordonator în eventualitatea în care există mai mult de un organism de acces la datele privind sănătatea. În cazul în care un stat membru instituie mai multe organisme de acces la datele privind sănătatea, acesta ar trebui să stabilească norme la nivel național pentru a asigura participarea coordonată a organismelor respective la Consiliul pentru spațiul european al datelor privind sănătatea (denumit în continuare „Consiliul SEDS”). Statul membru respectiv ar trebui, în special, să desemneze un singur organism de acces la datele privind sănătatea care să funcționeze ca punct unic de contact pentru participarea efectivă a acestor organisme și să asigure o cooperare rapidă și fără probleme cu alte organisme de acces la datele privind sănătatea, cu Consiliul SEDS și cu Comisia. Organismele de acces la datele privind sănătatea ar putea varia în ceea ce privește organizarea și mărimea, de la o organizație specifică independentă la o unitate sau un departament în cadrul unei organizații existente. Organismele de acces la datele privind sănătatea nu ar trebui să fie influențate în deciziile lor legate de accesul la datele electronice pentru utilizarea secundară și ar trebui să evite orice conflict de interese. Prin urmare, membrii organelor de conducere și de decizie ale organismului de acces la datele privind sănătatea și personalul acestuia ar trebui să se abțină de la orice acțiune incompatibilă cu atribuțiile lor și ar trebui să nu desfășoare nicio activitate incompatibilă. Cu toate acestea, independența organismelor de acces la datele privind sănătatea nu ar trebui să însemne că acestea nu pot fi supuse unor mecanisme de control sau de monitorizare în ceea ce privește cheltuielile lor financiare sau controlului judiciar. Fiecare organism de acces la datele privind sănătatea ar trebui să beneficieze de resurse financiare, tehnice și umane, precum și de spațiile de lucru și de infrastructura necesare pentru îndeplinirea cu eficacitate a sarcinilor sale, inclusiv a celor legate de cooperarea cu alte organisme de acces la datele privind sănătatea din întreaga Uniune. Membrii organelor de conducere și de decizie ale organismelor de acces la datele privind sănătatea și personalul acestora ar trebui să aibă calificările, experiența și competențele necesare. Fiecare organism de acces la datele privind sănătatea ar trebui să aibă un buget public anual separat, care ar putea face parte din bugetul general de stat sau național. Pentru a permite un acces mai bun la datele privind sănătatea și pentru a completa articolul 7 alineatul (2) din Regulamentul (UE) 2022/868, statele membre ar trebui să încredințeze organismelor de acces la datele privind sănătatea competența de a lua decizii privind accesul la datele privind sănătatea și utilizarea secundară a acestora. Acest demers ar putea consta în alocarea de noi sarcini organismelor competente desemnate de statele membre în temeiul articolului 7 alineatul (1) din Regulamentul (UE) 2022/868 sau în desemnarea organismelor sectoriale existente sau noi responsabile de astfel de sarcini în ceea ce privește accesul la datele privind sănătatea.

(65)

Organismele de acces la datele privind sănătatea ar trebui să monitorizeze aplicarea capitolului IV din prezentul regulament și să contribuie la aplicarea coerentă a acestuia în întreaga Uniune. În acest scop, organismele de acces la datele privind sănătatea ar trebui să coopereze între ele și cu Comisia. Organismele de acces la datele privind sănătatea ar trebui să coopereze și cu părțile interesate, inclusiv cu organizațiile pacienților. Organismele de acces la datele privind sănătatea ar trebui să sprijine deținătorii de date privind sănătatea care sunt întreprinderi mici în conformitate cu Recomandarea 2003/361/CE a Comisiei (18), în special medicii și farmaciile. Întrucât utilizarea secundară a datelor privind sănătatea implică prelucrarea datelor cu caracter personal referitoare la sănătate, se aplică dispozițiile relevante din Regulamentele (UE) 2016/679 și (UE) 2018/1725, iar autoritățile de supraveghere în temeiul regulamentelor menționate ar trebui să rămână singurele autorități competente să asigure respectarea dispozițiilor respective. Organismele de acces la datele privind sănătatea ar trebui să informeze autoritățile pentru protecția datelor cu privire la orice sancțiuni impuse și la orice eventuale probleme legate de prelucrarea datelor pentru utilizare secundară și să facă schimb de orice informații relevante de care dispun pentru a asigura aplicarea normelor relevante. Pe lângă sarcinile necesare pentru a asigura utilizarea secundară eficace a datelor privind sănătatea, organismul de acces la datele privind sănătatea ar trebui să depună eforturi pentru a extinde disponibilitatea unor seturi suplimentare de date privind sănătatea și să promoveze elaborarea unor standarde comune. Acestea ar trebui să aplice tehnici testate de ultimă generație care să asigure faptul că datele electronice privind sănătatea sunt prelucrate într-un mod care păstrează confidențialitatea informațiilor conținute în datele a căror utilizare secundară este autorizată, inclusiv tehnici de pseudonimizare, anonimizare, generalizare, eliminare și randomizare a datelor cu caracter personal. Organismele de acces la datele privind sănătatea pot pregăti seturi de date pentru utilizatorul de date privind sănătatea conform cerințelor din autorizația eliberată privind datele. În această privință, organismele de acces la datele privind sănătatea ar trebui să coopereze la nivel transfrontalier pentru a dezvolta și a face schimb de bune practici și tehnici. Aceasta include norme privind pseudonimizarea și anonimizarea seturilor de microdate. Atunci când este cazul, Comisia ar trebui să stabilească procedurile și cerințele și să furnizeze instrumente tehnice pentru o procedură unificată de pseudonimizare și anonimizare a datelor electronice privind sănătatea.

(66)

Organismele de acces la datele privind sănătatea ar trebui să asigure transparența utilizării secundare furnizând informații publice cu privire la autorizațiile privind datele acordate și la justificările acestora, la măsurile luate pentru a proteja drepturile persoanelor fizice, la mijloacele prin care persoanele fizice își pot exercita drepturile în legătură cu utilizarea secundară și la rezultatele utilizării secundare, inclusiv prin linkuri către publicații științifice. După caz, informațiile respective privind rezultatele utilizării secundare ar trebui să includă și un rezumat general care să fie transmis de utilizatorul de date privind sănătatea. Aceste obligații de transparență completează obligațiile prevăzute la articolul 14 din Regulamentul (UE) 2016/679. Este posibil să se aplice excepțiile prevăzute la articolul 14 alineatul (5) din regulamentul menționat. În cazul în care se aplică astfel de excepții, aceste obligații în materie de transparență stabilite în prezentul regulament ar trebui să contribuie la asigurarea prelucrării echitabile și transparente, astfel cum se menționează la articolul 14 alineatul (2) din Regulamentul (UE) 2016/679, de exemplu prin furnizarea de informații privind scopul prelucrării și categoriile de date prelucrate, permițând astfel persoanelor fizice să înțeleagă dacă datele lor sunt puse la dispoziție pentru utilizare secundară în temeiul autorizațiilor privind datele.

(67)

Persoanele fizice ar trebui să fie informate de către deținătorii de date privind sănătatea cu privire la constatările importante privind starea lor de sănătate făcute de utilizatorii de date privind sănătatea. Persoanele fizice ar trebui să aibă dreptul să solicite să nu fie informate cu privire la astfel de constatări. Statele membre ar putea stabili condiții privind modalitățile pentru furnizarea de către deținătorii de date privind sănătatea a unor astfel de informații persoanelor fizice în cauză și privind exercitarea dreptului de a nu fi informate. în acest sens. În conformitate cu articolul 23 alineatul (1) litera (i) din Regulamentul (UE) 2016/679, statele membre ar trebui să aibă posibilitatea să restrângă sfera de aplicare a obligației de a informa persoanele fizice ori de câte ori este necesar pentru protecția lor, pe baza siguranței pacienților și a eticii, prin amânarea transmiterii informațiilor lor până când un profesionist din domeniul sănătății poate comunica și explica persoanelor fizice în cauză informații care pot avea un impact asupra sănătății lor.

(68)

Pentru a promova transparența, organismele de acces la datele privind sănătatea ar trebui să publice și rapoarte de activitate, din doi în doi ani, care să ofere o imagine de ansamblu a activităților lor. În cazul în care un stat membru a desemnat mai multe organisme de acces la datele privind sănătatea, organismul de coordonare ar trebui să pregătească și să publice un raport comun din doi în doi ani. Rapoartele de activitate ar trebui să urmeze o structură convenită de Consiliul SEDS și să ofere o imagine de ansamblu a activităților, inclusiv informații referitoare la deciziile privind cererile, auditurile și colaborarea cu părțile interesate relevante. Printre aceste părți interesate se pot număra reprezentanți ai persoanelor fizice, ai organizațiilor pacienților, ai profesioniștilor din domeniul sănătății, ai cercetătorilor și ai comitetelor de etică.

(69)

Pentru a sprijini utilizarea secundară, deținătorii de date privind sănătatea ar trebui să nu refuze divulgarea datelor, să nu solicite taxe nejustificate care nu sunt transparente și nici proporționale cu costurile de punere la dispoziție a datelor sau, după caz, cu costurile marginale pentru colectarea datelor, să nu solicite utilizatorilor de date privind sănătatea să publice cercetări în colaborare și să nu se angajeze în alte practici care ar putea descuraja utilizatorii de date privind sănătatea să solicite datele. În cazul în care un deținător de date privind sănătatea este un organism din sectorul public, partea din taxe ce ține de costurile sale nu ar trebui să acopere costurile colectării inițiale a datelor. În cazul în care aprobarea etică este necesară pentru furnizarea unei autorizații privind datele, evaluarea referitoare la aprobarea etică ar trebui să se bazeze pe elemente intrinsece.

(70)

Organismele de acces la datele privind sănătatea ar trebui să aibă posibilitatea de a percepe taxe, luând în considerare normele orizontale prevăzute de Regulamentul (UE) 2022/868, în legătură cu sarcinile lor. Astfel de taxe ar putea lua în considerare situația și interesul întreprinderilor mici și mijlocii (IMM-uri), ale cercetătorilor individuali sau ale organismelor din sectorul public. În special, statele membre ar trebui să poată stabili măsuri pentru organismele de acces la datele privind sănătatea din jurisdicția lor care să facă posibilă perceperea unor taxe reduse anumitor categorii de utilizatori de date privind sănătatea. Organismele de acces la datele privind sănătatea ar trebui să poată acoperi costurile funcționării lor cu ajutorul unor taxe stabilite proporțional, justificat și transparent. Acest lucru ar putea duce la taxe mai mari pentru unii utilizatori de date privind sănătatea, în cazul în care gestionarea cererilor lor de acces la datele privind sănătatea și a cererilor lor de date privind sănătatea necesită mai multe eforturi. Deținătorilor de date privind sănătatea ar trebui să li se permită, de asemenea, să perceapă taxe pentru punerea la dispoziție a datelor care să le reflecte costurile. Organismele de acces la datele privind sănătatea ar trebui să decidă cuantumurile acestor taxe, printre care s-ar număra și taxele solicitate de deținătorii de date privind sănătatea. Aceste taxe ar trebui să fie percepute de organismul de acces la datele privind sănătatea utilizatorului de date privind sănătatea printr-o factură unică. Organismul de acces la datele privind sănătatea ar trebui apoi să transfere deținătorului de date privind sănătatea partea relevantă din taxele achitate. Pentru a asigura o abordare armonizată în ceea ce privește politicile și structura taxelor, Comisiei ar trebui să i se confere competențe de executare. În privința taxelor percepute în temeiul prezentului regulament ar trebui să se aplice dispozițiile articolului 10 din Regulamentul (UE) 2023/2854.

(71)

Pentru a consolida asigurarea respectării normelor privind utilizarea secundară, ar trebui avute în vedere măsuri adecvate care să conducă la amenzi administrative sau la măsuri de executare de către organismele de acces la datele privind sănătatea sau la excluderi temporare sau definitive din cadrul SEDS aplicate utilizatorilor de date privind sănătatea sau deținătorilor de date privind sănătatea care nu își respectă obligațiile. Organismele de acces la datele privind sănătatea ar trebui să fie împuternicite să verifice conformitatea utilizatorilor de date privind sănătatea și deținătorilor de date privind sănătatea și să le ofere posibilitatea de a răspunde oricărei constatări și de a remedia orice încălcare. Atunci când decid cu privire la cuantumul amenzii administrative sau al unei măsuri de executare pentru fiecare caz în parte, organismele de acces la datele privind sănătatea ar trebui să țină seama de marjele pentru costuri și de criteriile stabilite în prezentul regulament, asigurându-se că amenzile sau măsurile respective sunt proporționale.

(72)

Având în vedere sensibilitatea datelor electronice privind sănătatea, este necesar să se reducă riscurile la adresa vieții private a persoanelor fizice, prin aplicarea principiului reducerii la minimum a datelor. Prin urmare, datele electronice fără caracter personal privind sănătatea ar trebui să fie puse la dispoziție în toate cazurile în care furnizarea acestor date este suficientă. În cazul în care utilizatorul de date privind sănătatea trebuie să utilizeze date electronice cu caracter personal privind sănătatea, acesta ar trebui să indice în mod clar în cererea sa justificarea utilizării respectivului tip de date, iar organismul de acces la datele privind sănătatea ar trebui să evalueze dacă justificarea respectivă este validă. Datele electronice cu caracter personal privind sănătatea ar trebui să fie puse la dispoziție doar într-un format pseudonimizat. Luând în considerare scopurile exprese ale prelucrării, datele electronice cu caracter personal privind sănătatea ar trebui să fie pseudonimizate sau anonimizate cât mai curând posibil în procesul de punere la dispoziție a datelor pentru utilizare secundară. Pseudonimizarea și anonimizarea ar trebui să poată fi efectuate de organismele de acces la datele privind sănătatea sau de deținătorii de date privind sănătatea. În calitate de operatori, organismelor de acces la datele privind sănătatea și deținătorilor de date privind sănătatea ar trebui să li se permită să delege aceste sarcini persoanelor împuternicite de operatori. Atunci când oferă acces la un set de date pseudonimizate sau anonimizate, un organism de acces la datele privind sănătatea ar trebui să utilizeze tehnologii și standarde de pseudonimizare sau anonimizare de ultimă generație, asigurând în cea mai mare măsură posibilă faptul că persoanele fizice nu pot fi reidentificate de utilizatorii de date privind sănătatea. Ar trebui dezvoltate în continuare astfel de tehnologii și standarde de pseudonimizare sau anonimizare a datelor. Utilizatorii de date privind sănătatea nu ar trebui să încerce să reidentifice persoanele fizice din setul de date furnizat în temeiul prezentului regulament, iar în cazul în care le reidentifică ar trebui să li se aplice amenzi administrative și a măsuri de executare prevăzute în prezentul regulament sau posibile sancțiuni penale, în cazul în care dreptul intern prevede astfel. În plus, un solicitant de date privind sănătatea ar trebui să poată solicita un răspuns la o cerere de date privind sănătatea într-un format statistic anonimizat. În astfel de cazuri, utilizatorul de date privind sănătatea prelucrează numai date fără caracter personal, iar organismul de acces la datele privind sănătatea rămâne singurul operator pentru orice date cu caracter personal necesare pentru a răspunde cererii de date privind sănătatea.

(73)

Pentru a asigura faptul că toate organismele de acces la datele privind sănătatea eliberează autorizații privind datele în mod similar, este necesar să se stabilească un proces comun standard pentru eliberarea autorizațiilor privind datele, cu cereri similare în diferite state membre. Solicitantul de date privind sănătatea ar trebui să furnizeze organismelor de acces la datele privind sănătatea mai multe elemente de informare care ar ajuta organismul să evalueze cererea de acces la datele privind sănătatea și să decidă dacă solicitantul de date privind sănătatea poate primi o autorizație privind datele, și ar trebui să se asigure coerența între diferitele organisme de acces la datele privind sănătatea. Informațiile furnizate în cadrul cererii de acces la datele privind sănătatea ar trebui să îndeplinească cerințele stabilite în temeiul prezentului regulament pentru a permite ca cererea să fie evaluată amănunțit, deoarece o autorizație privind datele ar trebui să fie eliberată numai dacă sunt îndeplinite toate condițiile necesare prevăzute în prezentul regulament. În plus, dacă este cazul, informațiile respective ar trebui să conțină o declarație a solicitantului de date privind sănătatea care să confirme că utilizarea preconizată a datelor solicitate privind sănătatea nu prezintă riscul de stigmatizare sau de afectare a demnității persoanelor fizice sau a grupurilor la care se referă setul de date solicitat. O evaluare etică se poate impune în temeiul dreptului intern. În acest caz, ar trebui să fie posibil ca organismele de etică existente să efectueze astfel de evaluări pentru organismul de acces la datele privind sănătatea. În acest scop, organismele de etică existente ale statelor membre ar trebui să își pună cunoștințele de specialitate la dispoziția organismului de acces la datele privind sănătatea. Ca alternativă, statele membre ar trebui să poată prevedea ca organismele de etică să facă parte din organismul de acces la datele privind sănătatea. Organismul de acces la datele privind sănătatea și, dacă este cazul, deținătorii de date privind sănătatea ar trebui să sprijine utilizatorii de date privind sănătatea în selectarea seturilor de date sau a surselor de date adecvate pentru scopul propus al utilizării secundare. În cazul în care solicitantul de date privind sănătatea are nevoie de date într-un format statistic anonimizat, acesta ar trebui să depună o cerere de date privind sănătatea, solicitând organismului de acces la datele privind sănătatea să furnizeze rezultatul în mod direct. Refuzul organismului de acces la datele privind sănătatea de a acorda o autorizație privind datele nu ar trebui să împiedice solicitantul de date privind sănătatea să depună o nouă cerere de acces la datele privind sănătatea. Pentru a asigura o abordare armonizată între organismele de acces la datele privind sănătatea și pentru a limita sarcina administrativă pentru solicitanții de date privind sănătatea, Comisia ar trebui să sprijine armonizarea cererilor de acces la datele privind sănătatea, precum și a cererilor de date privind sănătatea, inclusiv prin stabilirea modelelor relevante. În cazuri justificate, cum ar fi în cazul unei cereri complexe și dificile, organismul de acces la datele privind sănătatea ar trebui să aibă posibilitatea de a prelungi perioada în care deținătorii de date privind sănătatea trebuie să îi pună la dispoziție datele electronice privind sănătatea solicitate.

(74)

Întrucât resursele lor sunt limitate, organismele de acces la datele privind sănătatea ar trebui să aibă posibilitatea de a aplica norme de stabilire a priorităților, de exemplu, acordând prioritate instituțiilor publice în fața entităților private, dar, în cadrul aceleiași categorii de priorități, nu ar trebui să diferențieze între organizațiile naționale și organizațiile din alte state membre. Un utilizator de date privind sănătatea ar trebui să poată prelungi durata autorizației privind datele, de exemplu, pentru a permite accesul la seturile de date pentru examinatorii publicațiilor științifice sau pentru a permite o analiză suplimentară a setului de date pe baza constatărilor inițiale. Acest demers ar trebui să necesite o modificare a autorizației privind datele și ar putea face obiectul unei taxe suplimentare. Totuși, în toate cazurile, autorizația privind datele ar trebui să reflecte astfel de utilizări suplimentare ale setului de date. De preferință, utilizatorul de date privind sănătatea ar trebui să menționeze respectivele utilizări în cererea sa inițială de acces la datele privind sănătatea. Pentru a asigura o abordare armonizată între organismele de acces la datele privind sănătatea, Comisia ar trebui să sprijine armonizarea autorizațiilor privind datele.

(75)

După cum a arătat criza provocată de pandemia de COVID-19, instituțiile, organele, oficiile și agențiile Uniunii cărora legea le acordă competențe în domeniul sănătății publice, în special Comisia, au nevoie de acces la datele privind sănătatea pentru o perioadă mai lungă și în mod recurent. Acest lucru s-ar putea întâmpla nu numai în cazul unor circumstanțe specifice prevăzute în dreptul Uniunii sau dreptul intern în perioade de criză, ci și pentru a furniza periodic dovezi științifice și sprijin tehnic pentru politicile Uniunii. Accesul la aceste date ar putea fi solicitat în anumite state membre sau pe întreg teritoriul Uniunii. Astfel de instituții, organe, oficii și agenții ale Uniunii ar trebui să poată beneficia de o procedură accelerată pentru ca datele să le fie puse la dispoziție, de regulă, în mai puțin de două luni, cu posibilitatea de a prelungi acest termen cu o lună în cazurile mai complexe.

(76)

Statele membre ar trebui să aibă posibilitatea de a desemna deținători de date privind sănătatea de încredere, pentru care procedura de acordare a autorizației privind datele să poată fi efectuată într-un mod simplificat, pentru a ușura sarcina administrativă pentru organismele de acces la datele medicale privind sănătatea aferentă gestionării cererilor de date prelucrate de acestea. Deținătorii de încredere de date privind sănătatea ar trebui să aibă posibilitatea de a evalua cererile de acces la datele privind sănătatea depuse prin această procedură simplificată, pe baza cunoștințelor lor de specialitate în gestionarea tipului de date privind sănătatea pe care le prelucrează, și să emită o recomandare cu privire la o autorizație privind datele. Organismul de acces la datele privind sănătatea ar trebui să rămână responsabil de eliberarea autorizației finale privind datele și nu ar trebui să fie obligat să respecte recomandarea transmisă de deținătorul de încredere de date privind sănătatea. Entitățile de intermediere de date privind sănătatea nu ar trebui să fie desemnate drept deținători de date de încredere privind sănătatea.

(77)

Având în vedere sensibilitatea datelor electronice privind sănătatea, utilizatorii de date privind sănătatea nu ar trebui să aibă acces nerestricționat la aceste date. Orice acces la datele electronice privind sănătatea solicitate în scopul unei utilizări secundare ar trebui să se realizeze prin intermediul unui mediu de prelucrare securizat. Pentru a asigura că sunt implementate garanții tehnice și de securitate solide pentru datele electronice privind sănătatea, organismul de acces la datele privind sănătatea sau, după caz, deținătorul de încredere de date privind sănătatea ar trebui să ofere acces la astfel de date într-un mediu de prelucrare securizat, respectând standardele tehnice și de securitate ridicate stabilite în temeiul prezentului regulament. Prelucrarea datelor cu caracter personal într-un astfel de mediu de prelucrare securizat ar trebui să respecte Regulamentul (UE) 2016/679, inclusiv, în cazul în care mediul de prelucrare securizat este gestionat de o parte terță, cerințele de la articolul 28 din regulamentul menționat și, după caz, de la capitolul V din acesta. Un astfel de mediu de prelucrare securizat ar trebui să reducă riscurile la adresa vieții private legate de astfel de activități de prelucrare și să împiedice transmiterea directă a datelor electronice privind sănătatea către utilizatorii de date. Organismul de acces la datele privind sănătatea sau deținătorul de date care furnizează serviciul respectiv ar trebui să dețină permanent controlul accesului la datele electronice privind sănătatea, iar accesul acordat utilizatorilor de date privind sănătatea ar trebui să fie stabilit conform condițiilor din autorizația eliberată privind datele. Dintr-un astfel de mediu de prelucrare securizat, utilizatorii de date privind sănătatea ar trebui să descarce numai date electronice fără caracter personal privind sănătatea care nu conțin date electronice cu caracter personal privind sănătatea. Prin urmare, un astfel de mediu de prelucrare securizat reprezintă o garanție esențială pentru protejarea drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea datelor lor electronice privind sănătatea în vederea unei utilizări secundare. Comisia ar trebui să sprijine statele membre în elaborarea unor standarde de securitate comune pentru a promova securitatea și interoperabilitatea diferitelor medii securizate de prelucrare.

(78)

Regulamentul (UE) 2022/868 stabilește normele generale pentru gestionarea altruismului în materie de date. Dat fiind că sectorul sănătății gestionează date sensibile, ar trebui să fie stabilite criterii suplimentare prin intermediul cadrului de reglementare menționat în regulamentul respectiv. În cazul în care astfel de norme prevăd utilizarea unui mediu de prelucrare securizat pentru sectorul respectiv, un astfel de mediu de prelucrare securizat ar trebui să respecte criteriile stabilite în prezentul regulament. Organismele de acces la datele privind sănătatea ar trebui să coopereze cu autoritățile competente desemnate în temeiul Regulamentului (UE) 2022/868 pentru a supraveghea activitatea organizațiilor de promovare a altruismului în materie de date din sectorul sănătății sau al îngrijirii.

(79)

Pentru prelucrarea datelor electronice privind sănătatea care fac obiectul unei autorizații privind datele sau al unei cereri de date privind sănătatea, deținătorii de date privind sănătatea, inclusiv deținătorii de date privind sănătatea de încredere, organismele de acces la datele privind sănătatea și utilizatorii de date privind sănătatea ar trebui, fiecare în parte, la rândul lor, să fie considerați operatori pentru o anumită parte a procesului și în funcție de rolurile care le revin în cadrul acestuia. Deținătorii de date privind sănătatea ar trebui să fie considerați operatori pentru divulgarea datelor electronice cu caracter personal privind sănătatea solicitate către organismele de acces la datele privind sănătatea, în timp ce organismele de acces la datele privind sănătatea ar trebui, la rândul lor, să fie considerați operatori pentru prelucrarea datelor electronice cu caracter personal privind sănătatea atunci când pregătesc datele și le pun la dispoziția utilizatorilor de date privind sănătatea. Utilizatorii de date privind sănătatea ar trebui să fie considerați operatori pentru prelucrarea datelor electronice cu caracter personal privind sănătatea în formă pseudonimizată în mediul de prelucrare securizat în temeiul autorizațiilor lor privind datele. Organismele de acces la datele privind sănătatea ar trebui să fie considerate persoane împuternicite de operator, reprezentându-l pe utilizatorul de date privind sănătatea pentru prelucrarea efectuată de către utilizatorul de date privind sănătatea în temeiul unei autorizații privind datele în mediul de prelucrare securizat, precum și pentru prelucrarea în scopul generării unui răspuns la o cerere de date privind sănătatea. În mod similar, deținătorii de date privind sănătatea de încredere ar trebui să fie considerați operatori pentru prelucrarea pe care o realizează a datelor electronice cu caracter personal privind sănătatea aferente furnizării de date electronice privind sănătatea către utilizatorul de date privind sănătatea în baza unei autorizații privind datele sau a unei cereri de date privind sănătatea. Deținătorii de date privind sănătatea de încredere ar trebui să fie considerați persoane împuternicite de operator pentru utilizatorii de date privind sănătatea atunci când furnizează date printr-un mediu de prelucrare securizat.

(80)

Pentru a realiza un cadru durabil și favorabil incluziunii pentru utilizarea secundară multinațională, ar trebui să fie instituită o infrastructură transfrontalieră (denumită în continuare „HealthData@EU”). HealthData@EU ar trebui să accelereze utilizarea secundară, sporind în același timp securitatea juridică, respectând viața privată a persoanelor fizice și fiind interoperabilă. Având în vedere caracterul sensibil al datelor privind sănătatea, ar trebui respectate, ori de câte ori este posibil, principii cum ar fi „protejarea vieții private începând cu momentul conceperii” și „protejarea vieții private în mod implicit” și conceptul de „interogare a datelor în locul transferului datelor respective”. Statele membre ar trebui să desemneze puncte naționale de contact pentru utilizarea secundară ca puncte de acces organizatorice și tehnice pentru organismele de acces la datele privind sănătatea și să conecteze respectivele puncte de contact la HealthData@EU. Serviciul de acces la datele privind sănătatea al Uniunii ar trebui, de asemenea, să fie conectat la HealthData@EU. În plus, participanții autorizați la HealthData@EU ar putea fi infrastructurile de cercetare înființate sub forma unui consorțiu pentru o infrastructură europeană de cercetare (ERIC) în temeiul Regulamentului (CE) nr. 723/2009 al Consiliului (19), a unui consorțiu pentru o infrastructură digitală europeană (EDIC) în temeiul Deciziei (UE) 2022/2481 sau a unor infrastructuri similare instituite în temeiul altor acte juridice ale Uniunii, precum și alte tipuri de entități, inclusiv infrastructuri din cadrul Forumului strategic european privind infrastructurile de cercetare (ESFRI) sau infrastructuri federate în cadrul Cloudului european pentru știința deschisă (EOSC). Țările terțe și organizațiile internaționale ar putea deveni, de asemenea, participanți autorizați la HealthData@EU, cu condiția să respecte cerințele prezentului regulament. Comunicarea Comisiei din 19 februarie 2020 intitulată „O strategie europeană privind datele” a promovat conectarea diferitelor spații europene comune ale datelor. Prin urmare, HealthData@EU ar trebui să permită utilizarea secundară a diferitelor categorii de date electronice privind sănătatea, inclusiv corelarea datelor privind sănătatea cu date din alte spații de date, cum ar fi cele privind mediul, agricultura și sectorul social. Această interoperabilitate între sectorul sănătății și alte sectoare precum sectorul mediului, sectorul agriculturii sau sectorul social ar putea fi de interes pentru a obține mai multe informații cu privire la factorii determinanți ai sănătății. Comisia ar putea furniza o serie de servicii în cadrul HealthData@EU, inclusiv sprijinirea schimbului de informații între organismele de acces la datele privind sănătatea și participanții autorizați în cadrul HealthData@EU pentru gestionarea cererilor de acces transfrontalier, punerea la dispoziție a cataloagelor de date electronice privind sănătatea prin intermediul infrastructurii, posibilitatea de a descoperi rețele și interogările de metadate, precum și serviciile de conectivitate și de conformitate. Comisia ar putea, de asemenea, să creeze un mediu de prelucrare securizat, care să permită transmiterea și analizarea datelor provenite de la diferite infrastructuri naționale, la cererea operatorilor. Din motive de eficiență informatică, de raționalizare și de interoperabilitate a schimburilor de date, sistemele existente pentru schimbul de date ar trebui să fie reutilizate cât mai mult posibil, cum ar fi cele construite pentru schimbul de dovezi în cadrul sistemului tehnic bazat pe principiul „doar o singură dată” prevăzut în Regulamentul (UE) 2018/1724 al Parlamentului European și al Consiliului (20).

(81)

În plus, având în vedere că conectarea la HealthData@EU ar putea implica transferuri de date cu caracter personal referitoare la solicitant sau de date privind sănătatea către țări terțe, pentru astfel de transferuri este necesar să existe instrumente de transfer relevante în temeiul capitolului V din Regulamentul (UE) 2016/679.

(82)

În cazul registrelor sau bazelor de date transfrontaliere, cum ar fi registrele rețelelor europene de referință pentru bolile rare, care primesc date de la diferiți furnizori de servicii medicale din mai multe state membre, organismul de acces la datele privind sănătatea din statul membru unde se află coordonatorul registrului ar trebui să fie responsabil de furnizarea accesului la date.

(83)

Procesul de autorizare pentru a obține acces la date electronice cu caracter personal privind sănătatea în diferite state membre poate fi repetitiv și laborios pentru utilizatorii de date privind sănătatea. Ori de câte ori este posibil, ar trebui create sinergii pentru a reduce sarcina pentru utilizatorii de date privind sănătatea și obstacolele din calea acestora. O modalitate de a atinge acest obiectiv este de a adera la principiul „cererii unice”, conform căruia, cu o singură cerere, utilizatorul de date privind sănătatea poate obține autorizația de la mai multe organisme de acces la datele privind sănătatea din diferite state membre sau de la mai mulți participanți autorizați în cadrul HealthData@EU.

(84)

Organismele de acces la datele privind sănătatea ar trebui să furnizeze informații cu privire la seturile de date disponibile și la caracteristicile acestora, astfel încât utilizatorii de date privind sănătatea să poată fi informați cu privire la faptele elementare referitoare la setul de date și să poată evalua posibila relevanță a faptelor respective pentru utilizatorii respectivi. Din acest motiv, fiecare set de date ar trebui să includă, cel puțin, informații privind sursa și natura datelor și condițiile de punere la dispoziție a datelor. Deținătorul de date privind sănătatea ar trebui să verifice cel puțin anual dacă descrierea setului său de date din catalogul seturilor naționale de date este exactă și actualizată. Prin urmare, ar trebui creat un catalog al UE de seturi de date pentru: a facilita posibilitatea de a descoperi seturile de date disponibile în SEDS; a-i ajuta pe deținătorii de date privind sănătatea să își publice seturile de date; a furniza tuturor părților interesate, inclusiv publicului larg, ținând seama de nevoile specifice ale persoanele cu dizabilități, informații cu privire la seturile de date introduse în SEDS, cum ar fi etichetele de calitate și de utilitate și fișele de informații privind seturile de date; și a furniza utilizatorilor de date privind sănătatea informații actualizate privind calitatea datelor și utilitatea seturilor de date.

(85)

Informațiile privind calitatea și utilitatea seturilor de date sporesc în mod semnificativ valoarea rezultatelor cercetării și inovării bazate pe utilizarea intensivă a datelor, promovând totodată procesul decizional în materie de reglementare și de politică bazat pe date concrete. Îmbunătățirea calității și utilității seturilor de date prin alegerea în cunoștință de cauză din partea clienților și armonizarea cerințelor conexe la nivelul Uniunii, ținând seama de standardele, orientările și recomandările existente la nivelul Uniunii și la nivel internațional privind colectarea de date și schimbul de date, cum ar fi principiile FAIR, aduce beneficii și deținătorilor de date privind sănătatea, profesioniștilor din domeniul sănătății, persoanelor fizice și economiei Uniunii în general. O etichetă de calitate și de utilitate a datelor pentru seturile de date ar informa utilizatorii de date privind sănătatea cu privire la caracteristicile de calitate și de utilitate ale unui set de date și le-ar permite să aleagă seturile de date care corespund cel mai bine nevoilor lor. Eticheta de calitate și de utilitate a datelor nu ar trebui să împiedice punerea la dispoziție a seturilor de date prin intermediul SEDS, ci să ofere un mecanism de transparență între deținătorii de date privind sănătatea și utilizatorii de date privind sănătatea. De exemplu, un set de date care nu îndeplinește nicio cerință privind calitatea și utilitatea datelor ar trebui să fie etichetat cu clasa care reprezintă cea mai slabă calitate și utilitate, dar ar trebui să fie în continuare disponibil. Așteptările stabilite în cadrele instituite în temeiul articolului 10 din Regulamentul (UE) 2024/1689 și documentația tehnică relevantă aferentă specificată în anexa IV la regulamentul menționat ar trebui luate în considerare la elaborarea cadrului privind calitatea și utilitatea datelor. Statele membre ar trebui să informeze publicul cu privire la eticheta de calitate și de utilitate a datelor prin activități de comunicare. Comisia ar putea sprijini activitățile respective. Utilizatorii ar putea acorda prioritate utilizării seturilor de date în funcție de utilitatea și calitatea lor.

(86)

Catalogul UE de seturi de date ar trebui să reducă la minimum sarcina administrativă pentru deținătorii de date privind sănătatea și pentru alți utilizatori ai bazelor de date, ar trebui să fie ușor de utilizat, accesibil și eficient din punctul de vedere al costurilor, să conecteze cataloagele naționale de seturi de date și să evite înregistrarea redundantă a seturilor de date. Fără a aduce atingere cerințelor prevăzute în Regulamentul (UE) 2022/868, catalogul UE de seturi de date ar putea fi aliniat la inițiativa data.europa.eu. Ar trebui să fie asigurată interoperabilitatea între catalogul UE de seturi de date, cataloagele naționale de seturi de date și cataloagele de seturi de date provenite de la infrastructurile europene de cercetare și de la alte infrastructuri relevante de partajare de date.

(87)

În prezent, diferite organizații profesionale, Comisia și alte instituții cooperează pentru a crea câmpuri de date minime și alte caracteristici ale diferitelor seturi de date, de exemplu registre. Activitatea respectivă este mai avansată în domenii precum cancerul, bolile rare, bolile cardiovasculare și metabolice, evaluarea factorilor de risc și statisticile și ar trebui luată în considerare în momentul definirii de noi standarde și modele armonizate specifice fiecărei boli pentru elemente de date structurate. Totuși, multe seturi de date nu sunt armonizate, ceea ce ridică probleme de comparabilitate și îngreunează cercetarea transfrontalieră. Prin urmare, ar trebui stabilite norme mai detaliate în actele de punere în aplicare pentru a asigura armonizarea codificării și înregistrării datelor electronice privind sănătatea, astfel încât să se asigure transmiterea coerentă a unor astfel de date în vederea utilizării secundare. Aceste seturi de date ar putea include date din registrele pentru boli rare, din baze de date privind medicamentele orfane, registre privind cancerul și registre privind bolile infecțioase extrem de importante. Statele membre ar trebui să colaboreze pentru asigurarea faptului că sistemele și serviciile europene de date privind sănătatea și aplicațiile interoperabile generează beneficii economice și sociale durabile, în vederea atingerii unui nivel ridicat de încredere și securitate, a consolidării continuității asistenței medicale și a asigurării accesului la asistență medicală sigură și de înaltă calitate. Infrastructurile și registrele de date privind sănătatea existente pot oferi modele utile pentru conceperea și punerea în aplicare a standardelor în materie de date și interoperabilitate și ar trebui să fie folosite pentru a permite continuitatea și a valorifica cunoștințele de specialitate existente.

(88)

Comisia ar trebui să sprijine statele membre în consolidarea capacităților și în sporirea eficacității în domeniul sistemelor de sănătate digitală pentru utilizarea primară și cea secundară. Statele membre ar trebui să fie sprijinite pentru a-și consolida capacitatea. Activitățile la nivelul Uniunii, cum ar fi analiza comparativă și schimbul de bune practici, sunt măsuri relevante în acest sens. Aceste activități ar trebui să țină seama de circumstanțele specifice ale diferitelor categorii de părți interesate, cum ar fi reprezentanții societății civile, cercetătorii, societățile medicale și IMM-urile.

(89)

Îmbunătățirea alfabetizării digitale în materie de sănătate atât pentru persoanele fizice, cât și pentru profesioniștii din domeniul sănătății este esențială pentru a asigura încrederea, siguranța și utilizarea adecvată a datelor privind sănătatea și, prin urmare, este esențială pentru a asigura punerea în aplicare cu succes a prezentului regulament. Profesioniștii din domeniul sănătății se confruntă cu schimbări profunde în contextul digitalizării și, în cadrul punerii în aplicare a SEDS, le vor fi oferite mai multe instrumente digitale. Prin urmare, profesioniștii din domeniul sănătății trebuie să-și îmbunătățească nivelul de alfabetizare și de competențe digitale în domeniul sănătății, iar statele membre ar trebui să le ofere acces profesioniștilor din domeniul sănătății la cursuri de alfabetizare digitală pentru ca aceștia să se poată pregăti să lucreze cu sistemele DES. Astfel de cursuri ar trebui să le permită profesioniștilor din domeniul sănătății și operatorilor informatici să beneficieze de o instruire suficientă pentru lucrul cu noile infrastructuri digitale, pentru a asigura securitatea cibernetică și gestionarea etică a datelor privind sănătatea. Cursurile de formare ar trebui să fie elaborate, revizuite și actualizate periodic, în consultare și cooperare cu experții relevanți. Îmbunătățirea alfabetizării digitale în domeniul sănătății este fundamentală pentru a permite persoanelor fizice să aibă un control real asupra datelor lor privind sănătatea și să își gestioneze activ sănătatea și asistența medicală, precum și să înțeleagă implicațiile gestionării acestor date atât pentru utilizarea primară, cât și pentru cea secundară. Diferitele grupuri demografice au grade diferite de alfabetizare digitală, ceea ce poate afecta capacitatea persoanelor fizice de a-și exercita dreptul de control asupra datelor electronice proprii privind sănătatea. Statele membre, inclusiv autoritățile regionale și locale, ar trebui, prin urmare, să susțină alfabetizarea digitală în domeniul sănătății și informarea publicului, asigurând totodată faptul că punerea în aplicare a prezentului regulament contribuie la reducerea inegalităților și nu discriminează persoanele care nu au competențe digitale. Ar trebui să se acorde o atenție deosebită persoanelor cu dizabilități și grupurilor vulnerabile, inclusiv migranților și vârstnicilor. Statele membre ar trebui să creeze programe naționale de alfabetizare digitală orientate, inclusiv programe pentru a maximiza incluziunea socială și care să asigure faptul că toate persoanele fizice își pot exercita efectiv drepturile în temeiul prezentului regulament. Statele membre ar trebui, de asemenea, să ofere persoanelor fizice îndrumări axate pe pacient referitoare la utilizarea dosarelor electronice de sănătate și utilizarea primară a datelor lor electronice cu caracter personal privind sănătatea. Îndrumările ar trebui să fie adaptate la nivelul de alfabetizare digitală în materie de sănătate al pacientului, acordându-se o atenție deosebită nevoilor grupurilor vulnerabile.

(90)

Utilizarea fondurilor ar trebui, de asemenea, să contribuie la realizarea obiectivelor SEDS. Atunci când definesc condițiile pentru achizițiile publice, cererile de propuneri și alocarea fondurilor Uniunii, inclusiv a fondurilor structurale și de coeziune, achizitorii publici, autoritățile naționale competente din statele membre, inclusiv autoritățile privind sănătatea digitală și organismele de acces la datele privind sănătatea, și Comisia ar trebui să facă trimiteri la specificațiile tehnice, standardele și profilurile aplicabile privind interoperabilitatea, securitatea și calitatea datelor, precum și la alte cerințe elaborate în temeiul prezentului regulament. Este necesar ca fondurile Uniunii să fie repartizate transparent între statele membre, ținând seama de diferitele niveluri de digitalizare a sistemelor de sănătate. Punerea la dispoziție a datelor pentru utilizare secundară necesită resurse suplimentare pentru sistemele de sănătate, în special pentru sistemele publice de sănătate. Această sarcină suplimentară ar trebui să fie abordată și redusă la minimum în etapa de punere în aplicare a SEDS.

(91)

Punerea în aplicare a SEDS necesită investiții adecvate în crearea capacităților și în formare, precum și un angajament bine finanțat față de consultarea și implicarea populației, atât la nivelul Uniunii, cât și la nivel național. Costurile economice aferente punerii în aplicare a prezentului regulament va trebui să fie suportate atât la nivelul Uniunii, cât și la nivel național și va trebui să se găsească o repartizare echitabilă a acestei sarcini între fondurile Uniunii și cele naționale.

(92)

Anumite categorii de date electronice privind sănătatea pot rămâne deosebit de sensibile chiar și atunci când sunt în format anonimizat și, prin urmare, fără caracter personal, astfel cum se prevede deja în mod expres în Regulamentul (UE) 2022/868. Chiar și în situațiile în care se utilizează tehnici de anonimizare de ultimă generație, rămâne riscul rezidual să fie sau să devină disponibilă capacitatea de reidentificare, utilizând mijloace care le depășesc pe cele care pot fi utilizate în mod rezonabil. Un astfel de risc rezidual este prezent în ceea ce privește bolile rare, și anume în cazul unei afecțiuni care pune în pericol viața sau este cronic invalidantă și care nu afectează mai mult de 5 din 10 000 de persoane din Uniune, unde numărul limitat de cazuri reduce posibilitatea agregării complete a datelor publicate pentru a proteja viața privată a persoanelor fizice, menținând totodată un nivel adecvat de granularitate pentru a rămâne semnificativ. Un astfel de risc rezidual poate afecta diferite categorii de date privind sănătatea și poate conduce la reidentificarea persoanelor vizate utilizând mijloace care depășesc mijloacele ce pot fi utilizate în mod rezonabil. Un astfel de risc variază în funcție de nivelul de granularitate, de descrierea caracteristicilor persoanelor vizate, de numărul de persoane afectate, de exemplu în cazul datelor incluse în dosarele electronice de sănătate, în registrele bolilor, în băncile biologice și în datele generate de persoane, în cazul în care gama de caracteristici de identificare este mai amplă, și în funcție de combinația posibilă cu alte informații, de exemplu în zone geografice foarte mici, sau prin evoluția tehnologică a metodelor care nu au fost disponibile în momentul anonimizării. O astfel de reidentificare a persoanelor fizice ar reprezenta o preocupare majoră și ar putea pune în pericol acceptarea normelor privind utilizarea secundară prevăzute în prezentul regulament. În plus, tehnicile de agregare sunt mai puțin testate pentru datele fără caracter personal care conțin, de exemplu, secrete comerciale, astfel cum se întâmplă în raportarea privind studiile clinice intervenționale și investigațiile clinice, iar asigurarea respectării normelor în cazul încălcărilor secretelor comerciale în afara Uniunii este mai dificilă în absența unui standard internațional de protecție suficient. Prin urmare, pentru categoriile respective de date privind sănătatea, există în continuare un risc de reidentificare după anonimizare sau agregare, care nu poate fi atenuat inițial în mod rezonabil. Aceasta se încadrează în criteriile indicate la articolul 5 alineatul (13) din Regulamentul (UE) 2022/868. Aceste tipuri de date privind sănătatea ar intra astfel sub incidența competenței prevăzute la articolul 5 alineatul (13) din regulamentul menționat pentru transferul către țări terțe. Condițiile speciale stabilite în temeiul competenței prevăzute la articolul 5 alineatul (13) din Regulamentul (UE) 2022/868 vor fi detaliate în contextul actului delegat adoptat în temeiul competenței respective și trebuie să fie proporționale cu riscul de reidentificare și să țină seama de particularitățile diferitelor categorii de date sau ale diferitelor tehnici de anonimizare sau de agregare.

(93)

Prelucrarea unor volume mari de date electronice cu caracter personal privind sănătatea în scopurile SEDS în cadrul activităților de prelucrare a datelor în contextul gestionării cererilor de acces la datele privind sănătatea, a autorizațiilor privind datele și a cererilor de date privind sănătatea presupune riscuri mai mari de acces neautorizat la astfel de date cu caracter personal, precum și posibilitatea apariției unor incidente de securitate cibernetică. Datele electronice cu caracter personal privind sănătatea sunt deosebit de sensibile, deoarece conțin adesea informații care fac obiectul secretului medical și a căror divulgare către terți neautorizați poate crea dificultăți importante. Ținând seama pe deplin de principiile evidențiate în jurisprudența Curții de Justiție a Uniunii Europene, prezentul regulament asigură respectarea deplină a drepturilor fundamentale, a dreptului la viață privată și a principiului proporționalității. Pentru a asigura integritatea și confidențialitatea deplină a datelor electronice cu caracter personal privind sănătatea în temeiul prezentului regulament, pentru a garanta o protecție și o securitate deosebit de bune și pentru a reduce riscul de acces ilegal la respectivele date electronice cu caracter personal privind sănătatea, prezentul regulament permite statelor membre să impună stocarea și prelucrarea datelor electronice cu caracter personal privind sănătatea exclusiv în Uniune, în scopul îndeplinirii sarcinilor prevăzute în prezentul regulament, cu excepția cazului în care se aplică o decizie privind caracterul adecvat al nivelului de protecție adoptată în temeiul articolului 45 din Regulamentul (UE) 2016/679.

(94)

Accesul la datele electronice privind sănătatea pentru utilizatorii de date privind sănătatea stabiliți în țări terțe sau pentru organizațiile internaționale ar trebui să aibă loc numai pe baza principiului reciprocității. Ar trebui să se permită ca punerea la dispoziția unei țări terțe a datelor electronice privind sănătatea să se poată face numai în cazul în care Comisia a stabilit, prin intermediul unui act de punere în aplicare, că țara terță în cauză permite accesul la date electronice privind sănătatea provenind din respectiva țară terță de către entitățile Uniunii în aceleași condiții și cu aceleași garanții ca în cazul în care ar fi accesat date electronice privind sănătatea în Uniune. Comisia ar trebui să monitorizeze și să efectueze o revizuire periodică a situației din respectivele țări terțe și organizații internaționale și să întocmească o listă a respectivelor acte de punere în aplicare. În cazul în care Comisia constată că o țară terță nu mai asigură accesul în aceleași condiții, ar trebui să revoce actul de punere în aplicare respectiv.

(95)

Pentru a promova aplicarea coerentă a prezentului regulament, inclusiv în ceea ce privește interoperabilitatea transfrontalieră a datelor electronice privind sănătatea, ar trebui să fie instituit un Consiliu pentru spațiul european al datelor privind sănătatea. Comisia ar trebui să participe la activitățile sale și să îl coprezideze. Consiliul SEDS ar trebui să poată aduce contribuții în scris referitoare la aplicarea coerentă a prezentului regulament în întreaga Uniune, inclusiv prin sprijinirea statelor membre în coordonarea utilizării datelor electronice privind sănătatea pentru asistență medicală și certificare, dar și în ceea ce privește utilizarea secundară a și finanțarea activităților respective. Aceasta ar putea include și schimburi de informații privind riscurile și incidentele din mediile de prelucrare securizate. Schimbul de informații de acest tip nu afectează obligațiile care decurg din alte acte juridice, cum ar fi notificările de încălcare a securității datelor în temeiul Regulamentului (UE) 2016/679. În general, activitățile Consiliului SEDS nu aduc atingere competențelor autorităților de supraveghere în temeiul Regulamentului (UE) 2016/679. Având în vedere că, la nivel național, autoritățile privind sănătatea digitală care se ocupă de utilizarea primară pot fi diferite de organismele de acces la datele privind sănătatea care se ocupă de utilizarea secundară, funcțiile lor fiind diferite, și că este necesară o cooperare distinctă în fiecare dintre domeniile respective, Consiliul SEDS ar trebui să poată înființa subgrupuri care să se ocupe de cele două funcții, precum și alte subgrupuri, după caz. Pentru a dispune de o metodă de lucru eficientă, autoritățile privind sănătatea digitală și organismele de acces la datele privind sănătatea ar trebui să creeze rețele și legături la nivel național cu alte organisme și autorități, dar și la nivelul Uniunii. Astfel de organisme ar putea cuprinde autorități de protecție a datelor, organisme de securitate cibernetică, de identificare electronică și de standardizare, precum și organisme și grupuri de experți în temeiul Regulamentelor (UE) 2022/868, (UE) 2023/2854 și (UE) 2024/1689 și a Regulamentului (UE) 2019/881 al Parlamentului European și al Consiliului (21). Consiliul SEDS ar trebui să funcționeze independent, în interes public și în conformitate cu codul său de conduită.

(96)

În cazul în care sunt discutate chestiuni pe care Consiliul SEDS le consideră a prezinta relevanță specifică, acesta ar trebui să poată invita observatori, cum ar fi, de exemplu, Autoritatea Europeană pentru Protecția Datelor, reprezentanți ai instituțiilor Uniunii, inclusiv ai Parlamentului European și ai altor părți interesate.

(97)

Ar trebui să se înființeze un forum al părților interesate pentru a consilia Consiliul SEDS în îndeplinirea sarcinilor sale, prezentând informații din partea părților interesate în chestiuni legate de prezentul regulament. Forumul părților interesate ar trebui să fie alcătuit, printre alții, din reprezentanți ai organizațiilor pacienților și consumatorilor, ai profesioniștilor din domeniul sănătății, ai industriei, ai cercetătorilor științifici și ai mediului universitar. Acesta ar trebui să aibă o componență echilibrată și să reprezinte punctele de vedere ale diferitelor părți interesate relevante. Ar trebui să fie reprezentate atât interesele comerciale, cât și cele necomerciale.

(98)

Pentru a asigura gestionarea zilnică adecvată a infrastructurilor transfrontaliere pentru utilizarea primară și cea secundară, este necesar să se creeze grupuri de coordonare formate din reprezentanți ai statelor membre. Grupurile de coordonare respective ar trebui să ia decizii operaționale privind gestionarea tehnică zilnică a infrastructurilor transfrontaliere și dezvoltarea tehnică a acestora, inclusiv privind modificările tehnice ale infrastructurilor, îmbunătățirea funcționalităților sau a serviciilor sau asigurarea interoperabilității cu alte infrastructuri, sisteme digitale sau spații de date. Activitățile lor nu are trebui să includă și aducerea de contribuții la elaborarea actelor de punere în aplicare care afectează infrastructurile respective. Grupurile de coordonare ar trebui, de asemenea, să poată invita și reprezentanți ai altor participanți autorizați în cadrul HealthData@EU ca observatori la reuniunile lor și ar trebui să consulte experți relevanți atunci când își îndeplinesc sarcinile.

(99)

Fără a aduce atingere niciunei alte căi de atac administrative, judiciare sau extrajudiciare, orice persoană fizică sau juridică ar trebui să aibă dreptul de a depune o plângere la o autoritate privind sănătatea digitală sau la un organism de acces la datele privind sănătatea dacă consideră că i-au fost afectate drepturile și interesele prevăzute de prezentul regulament. Ancheta în urma unei plângeri ar trebui să se desfășoare, cu aplicarea controlului judiciar, în măsura în care acest lucru este adecvat în cazul respectiv. Autoritatea privind sănătatea digitală sau organismul de acces la datele privind sănătatea ar trebui să informeze persoana fizică sau juridică despre progresele înregistrate și rezultatul plângerii într-un termen rezonabil. În cazul în care cazul necesită investigații suplimentare sau coordonarea cu o altă autoritate privind sănătatea digitală sau cu un alt organism de acces la datele privind sănătatea, persoanei fizice sau juridice ar trebui să i se furnizeze informații privind progresele înregistrate în tratarea plângerii. Pentru a simplifica depunerea plângerilor, fiecare autoritate privind sănătatea digitală și fiecare organism de acces la datele privind sănătatea ar trebui să ia măsuri, cum ar fi furnizarea unui formular de depunere a plângerii care să poată fi completat și în format electronic, fără a exclude posibilitatea de a utiliza alte mijloace de comunicare. În cazul în care plângerea se referă la drepturile persoanelor fizice de a le fi protejate datele cu caracter personal, autoritatea privind sănătatea digitală sau organismul de acces la datele privind sănătatea ar trebui să transmită plângerea autorităților de supraveghere în temeiul Regulamentului (UE) 2016/679. Autoritățile privind sănătatea digitală și organismele de acces la datele privind sănătatea ar trebui să coopereze pentru tratarea și soluționarea plângerilor, inclusiv prin transmiterea reciprocă a tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate.

(100)

În cazul în care o persoană fizică consideră că drepturile de care beneficiază în temeiul prezentului regulament i-au fost încălcate, ar trebui să aibă dreptul de a mandata un organism, o organizație sau o asociație non-profit înființată în conformitate cu dreptul intern, care are obiective statutare de interes public și care activează în domeniul asigurării protecției datelor cu caracter personal, să depună o plângere în numele său.

(101)

Autoritatea privind sănătatea digitală, organismul de acces la datele privind sănătatea, deținătorul de date privind sănătatea sau utilizatorul de date privind sănătatea ar trebui să plătească despăgubiri pentru orice prejudiciu suferit de o persoană fizică sau juridică ca urmare a unei încălcări a prezentului regulament. Conceptul de prejudiciu ar trebui să fie interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție a Uniunii Europene, într-un mod care să reflecte pe deplin obiectivele prezentului regulament. Aceasta nu aduce atingere niciunei cereri de despăgubire care decurge din încălcarea altor prevederi ale dreptului Uniunii sau ale dreptului intern. Persoanele fizice ar trebui să primească despăgubiri integrale și efective pentru prejudiciul pe care l-au suferit.

(102)

Pentru o mai bună asigurare a respectării normelor prevăzute în prezentul regulament, ar trebui să fie impuse sancțiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament, pe lângă sau în locul măsurilor adecvate impuse de organismele de acces la datele privind sănătatea în temeiul prezentului regulament. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu Carta drepturilor fundamentale a Uniunii Europene, inclusiv al protecției jurisdicționale efective și al unui proces echitabil.

(103)

Este oportun să se stabilească dispoziții care să permită organismelor de acces la datele privind sănătatea să aplice amenzi administrative pentru anumite încălcări ale prezentului regulament care ar trebui să fie considerate în temeiul prezentului regulament drept încălcări grave, cum ar fi reidentificarea persoanelor fizice, descărcarea datelor electronice cu caracter personal privind sănătatea în afara mediului de prelucrare securizat sau prelucrarea datelor pentru utilizări interzise sau utilizări care nu fac obiectul unei autorizații privind datele. Prezentul regulament ar trebui să precizeze încălcările respective, precum și limita maximă și criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui să fie stabilite de organismul de acces la datele privind sănătatea competent în fiecare caz în parte, ținând seama de toate circumstanțele de interes ale situației respective, luând în considerare în mod corespunzător mai ales natura, gravitatea și durata încălcării, precum și consecințele acesteia și măsurile luate pentru a se asigura respectarea obligațiilor în temeiul prezentului regulament și pentru a se preveni sau atenua consecințele încălcării. În scopul impunerii de amenzi administrative în temeiul prezentului regulament, conceptul de întreprindere ar trebui înțeles în conformitate cu articolele 101 și 102 din TFUE. Competența de a stabili dacă și în ce măsură autoritățile publice ar trebui să facă obiectul unor amenzi administrative ar trebui să revină statelor membre. Impunerea unei amenzi administrative sau transmiterea unui avertisment nu afectează exercitarea altor competențe ale organismelor de acces la datele privind sănătatea sau aplicarea altor sancțiuni în temeiul prezentului regulament.

(104)

Pentru a se asigura că SEDS își îndeplinește obiectivele, competența de a adopta acte în conformitate cu articolul 290 din TFUE ar trebui delegată Comisiei în ceea ce privește modificarea, adăugarea sau eliminarea în anexa I a principalelor caracteristici ale categoriilor prioritare de date electronice cu caracter personal privind sănătatea, lista datelor care trebuie să fie introduse de producătorii de sisteme DES și de aplicații de wellness în baza de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness, precum și modificarea, adăugarea sau eliminarea elementelor pe care trebuie să le cuprindă eticheta de calitate și de utilitate a datelor. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional privind o mai bună legiferare din 13 aprilie 2016 (22). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(105)

În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, ar trebui să fie conferite competențe de executare Comisiei în ceea ce privește:

—	specificațiile tehnice pentru a asigura interoperabilitatea serviciilor de împuternicire ale statelor membre;

—	cerințele de calitate a datelor pentru înregistrarea datelor electronice cu caracter personal privind sănătatea într-un sistem DES;

—	specificațiile transfrontaliere pentru categoriile prioritare de date electronice cu caracter personal privind sănătatea;

—	specificațiile tehnice pentru categoriile de date electronice cu caracter personal privind sănătatea care prevăd formatul european pentru schimbul de dosare electronice de sănătate;

—	actualizările formatului european pentru schimbul de dosare electronice de sănătate pentru a integra revizuirile relevante ale sistemelor de codificare a asistenței medicale și ale nomenclaturilor;

—	specificațiile tehnice pentru extinderea formatului european pentru schimbul de dosare electronice de sănătate la categoriile suplimentare de date electronice cu caracter personal privind sănătatea;

—	cerințele pentru mecanismul interoperabil și transfrontalier de identificare și autentificare a persoanelor fizice și a profesioniștilor din domeniul sănătății, în conformitate cu Regulamentul (UE) nr. 910/2014;

—	cerințele pentru punerea în aplicare tehnică a drepturilor persoanelor fizice în legătură cu utilizarea primară a datelor lor electronice cu caracter personal privind sănătatea;

—

măsurile necesare pentru dezvoltarea tehnică a MyHealth@EU, normele detaliate privind securitatea, confidențialitatea și protecția datelor electronice cu caracter personal privind sănătatea, precum și condițiile pentru verificările de conformitate necesare pentru a adera și a rămâne conectat la MyHealth@EU;

—	normele privind cerințele de securitate cibernetică, interoperabilitate tehnică, interoperabilitate semantică, operațiuni și gestionarea serviciilor în ceea ce privește prelucrarea de către Comisie și responsabilitățile sale față de operatori;

—	aspectele tehnice ale serviciilor suplimentare furnizate prin MyHealth@EU;

—	aspectele tehnice ale schimburilor de date electronice cu caracter personal privind sănătatea între MyHealth@EU și alte servicii sau infrastructuri;

—	conectarea și deconectarea altor infrastructuri, a punctelor naționale de contact pentru sănătatea digitală ale țărilor terțe sau a sistemelor instituite la nivel internațional de organizații internaționale la sau de la platforma centrală de interoperabilitate din cadrul MyHealth@EU;

—	specificațiile comune cu privire la cerințele esențiale prevăzute în anexa II;

—	specificațiile comune pentru mediul european de testare digitală;

—	justificările măsurilor naționale luate de autoritățile de supraveghere a pieței în cazul neconformității sistemelor DES;

—	formatul și conținutul etichetei aplicațiilor de wellness;

—

principiile pentru politicile privind taxele și structurile taxelor în ceea ce privește taxele pe care organismele de acces la datele privind sănătatea și deținătorii de date privind sănătatea de încredere le pot percepe pentru punerea la dispoziție a datelor electronice privind sănătatea pentru utilizare secundară;

—	arhitectura unui instrument informatic menit să sprijine și să facă transparente pentru alte organisme de acces la datele privind sănătatea măsurile de executare;

—	logoul pentru recunoașterea contribuției SEDS;

—	modelele pentru cererea de acces la datele privind sănătatea, pentru autorizația privind datele și pentru cererea de date privind sănătatea;

—	cerințele tehnice, organizatorice, de securitate a informațiilor, de confidențialitate, de protecție a datelor și de interoperabilitate pentru mediile de prelucrare securizate;

—	modelele pentru acordurile dintre operatori și persoanele împuternicite de operatori;

—

deciziile referitoare la faptul că un punct național de contact al unei țări terțe sau un sistem instituit la nivel internațional de organizații internaționale respectă cerințele HealthData@EU în scopul utilizării secundare a datelor privind sănătatea, referitoare la faptul că respectă capitolul IV și referitoare la oferirea, de către respectivul punct național de contact pentru utilizarea secundară al unei țări terțe sau respectivul sistem, în condiții echivalente, a accesului utilizatorilor de date privind sănătatea situați în Uniune la datele electronice privind sănătatea la care are acces;

—

cerințele, specificațiile tehnice și arhitectura informatică a HealthData@EU; condițiile și verificările de conformitate pentru a adera și a rămâne conectat la HealthData@EU; criteriile minime care trebuie să fie îndeplinite de punctele naționale de contact pentru utilizarea secundară și de participanții autorizați în cadrul HealthData@EU; responsabilitățile operatorilor și ale persoanelor împuternicite de operator care participă la HealthData@EU; responsabilitățile operatorilor și ale persoanelor împuternicite de operator pentru mediul securizat de prelucrare gestionat de Comisie; și specificațiile comune privind arhitectura HealthData@EU și interoperabilitatea acesteia cu alte spații europene comune ale datelor;

—	deciziile de conectare a participanților autorizați individuali la HealthData@EU;

—	elementele minime pe care deținătorii de date privind sănătatea trebuie să le furnizeze pentru seturile de date și caracteristicile elementelor respective;

—	caracteristicile vizuale și specificațiile tehnice ale etichetei de calitate și de utilitate a datelor;

—	specificațiile minime pentru seturile de date cu impact ridicat pentru utilizarea secundară;

—	deciziile referitoare la faptul că o țară terță permite solicitanților de date privind sănătatea din Uniune să aibă acces la datele electronice privind sănătatea din țara terță respectivă în condiții care nu sunt mai restrictive decât cele prevăzute în prezentul regulament;

—	măsurile necesare pentru instituirea și funcționarea Consiliului SEDS.

Respectivele competențe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (23).

(106)

Statele membre ar trebui să ia toate măsurile necesare pentru a se asigura că dispozițiile prezentului regulament sunt puse în aplicare, inclusiv prin stabilirea unor sancțiuni efective, proporționale și cu efect de descurajare în cazul încălcării acestora. Atunci când decid cu privire la cuantumul sancțiunii pentru fiecare caz în parte, statele membre ar trebui să țină seama de limitele și de criteriile stabilite în prezentul regulament. Reidentificarea persoanelor fizice ar trebui considerată o încălcare gravă a prezentului regulament.

(107)

Punerea în aplicare a SEDS va necesita desfășurarea unor ample activități de dezvoltare la nivelul statelor membre și al serviciilor centrale. Pentru a urmări progresele înregistrate în acest sens, până la aplicarea integrală a prezentului regulament, Comisia ar trebui să comunice anual cu privire la progresele respective, ținând seama de informațiile puse la dispoziție de statele membre. Rapoartele respective ar putea include recomandări de măsuri de remediere, precum și o evaluare a progreselor înregistrate.

(108)

Pentru a evalua dacă prezentul regulament își atinge obiectivele în mod eficace și eficient, dacă este coerent și încă relevant și dacă oferă valoare adăugată la nivelul Uniunii, Comisia ar trebui să efectueze o evaluare a prezentului regulament. Comisia ar trebui să efectueze o evaluare a anumitor aspecte ale prezentului regulament în termen de opt ani de la intrarea sa în vigoare și o evaluare generală în termen de 10 ani de la intrarea sa în vigoare. Comisia ar trebui să prezinte Parlamentului European și Consiliului, Comitetului Economic și Social European și Comitetului Regiunilor rapoarte privind principalele sale constatări în urma fiecărei evaluări.

(109)

Pentru o punere în aplicare cu succes la nivel transfrontalier a SEDS, Cadrul european de interoperabilitate, al cărui domeniu de aplicare a fost actualizat și extins prin Comunicarea Comisiei din 23 martie 2017 intitulată „Cadrul european de interoperabilitate – Strategie de implementare” pentru a ține cont de cerințe de interoperabilitate noi sau revizuite, ar trebui să fie considerat drept referință comună pentru asigurarea interoperabilității juridice, organizaționale, semantice și tehnice.

(110)

Întrucât obiectivele prezentului regulament, și anume să capaciteze persoanele fizice acordându-le un control mai mare asupra datelor lor electronice cu caracter personal privind sănătatea și sprijinind libertatea lor circulație prin asigurarea faptului că datele lor privind sănătatea le urmează, să încurajeze o veritabilă piață internă pentru serviciile și produsele de sănătate digitală și să asigure un cadru coerent și eficient pentru reutilizarea datelor privind sănătatea ale persoanelor fizice în scopuri de cercetare, inovare, elaborare a politicilor și pentru activități de reglementare, nu pot fi realizate în mod satisfăcător de către statele membre numai prin măsuri de coordonare, astfel cum se arată în evaluarea aspectelor digitale ale Directivei 2011/24/UE, dar acestea pot fi realizate mai bine la nivelul Uniunii, grație armonizării măsurilor privind drepturile persoanelor fizice în ceea ce privește datele lor electronice privind sănătatea, interoperabilitatea datelor electronice privind sănătatea și un cadru și garanții comune pentru utilizarea primară și utilizarea secundară, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivelor respective.

(111)

Evaluarea aspectelor digitale ale Directivei 2011/24/UE arată că eficacitatea rețelei de e-sănătate este limitată, dar indică totodată un potențial puternic pentru activități la nivelul Uniunii în domeniul sănătății digitale, după cum demonstrează activitatea desfășurată în timpul pandemiei de COVID-19. Prin urmare, Directiva 2011/24/UE ar trebui să fie modificată în consecință.

(112)

Prezentul regulament completează cerințele esențiale de securitate cibernetică stabilite în Regulamentul (UE) 2024/2847. Prin urmare, sistemele DES care sunt produse cu elemente digitale în sensul Regulamentului (UE) 2024/2847 ar trebui, de asemenea, să respecte cerințele esențiale de securitate cibernetică stabilite în regulamentul menționat. Producătorii respectivelor sisteme DES ar trebui să demonstreze conformitatea, astfel cum se solicită în prezentul regulament. Pentru a facilita această conformitate, producătorilor ar trebui să li se permită să întocmească un singur set de documente tehnice care să conțină elementele prevăzute de ambele acte juridice. Ar trebui să se poată demonstra conformitatea sistemelor DES cu cerințele esențiale de securitate cibernetică prevăzute în Regulamentul (UE) 2024/2847 prin intermediul cadrului de evaluare prevăzut de prezentul regulament. Cu toate acestea, părțile din procedura de evaluare a conformității în temeiul prezentului regulament care se referă la utilizarea mediilor de testare nu ar trebui să se aplice, întrucât mediile de testare respective nu permit evaluarea conformității cu cerințele esențiale de securitate cibernetică. Întrucât Regulamentul (UE) 2024/2847 nu acoperă software-ul ca serviciu (SaaS) în mod direct, sistemele DES oferite prin intermediul modelului de acordare de licențe și de livrare SaaS nu intră în domeniul de aplicare al regulamentului menționat. În mod similar, sistemele DES care sunt dezvoltate și utilizate intern nu intră în domeniul de aplicare al regulamentului menționat, deoarece nu sunt introduse pe piață.

(113)

AEDP și CEPD au fost consultate în conformitate cu articolul 42 alineatele (1) și (2) din Regulamentul (UE) 2018/1725 și au emis avizul lor comun la 12 iulie 2022.

(114)

Prezentul regulament nu ar trebui să aducă atingere aplicării normelor în materie de concurență, în special a articolelor 101 și 102 din TFUE. Măsurile prevăzute în prezentul regulament nu ar trebui să fie utilizate pentru a restrânge concurența într-un mod care să contravină TFUE.

(115)

Având în vedere necesitatea pregătirii tehnice, prezentul regulament ar trebui să se aplice de la 26 martie 2027. Pentru a sprijini punerea în aplicare cu succes a SEDS și crearea unor condiții eficace pentru cooperarea europeană în materie de date privind sănătatea, punerea în aplicare ar trebui să se desfășoare etapizat,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Obiect și domeniu de aplicare

(1) Prezentul regulament instituie spațiul european al datelor privind sănătatea (SEDS), prin stabilirea de norme, standarde și infrastructuri comune și a unui cadru de guvernanță în vederea facilitării accesului la datele electronice privind sănătatea pentru scopuri de utilizare primară a datelor electronice privind sănătatea și utilizare secundară a datelor respective.

(2) Prezentul regulament:

(a)	precizează și completează drepturile prevăzute în Regulamentul (UE) 2016/679 ale persoanelor fizice în ceea ce privește utilizarea primară și cea secundară a datelor lor electronice cu caracter personal privind sănătatea;

(b)

stabilește norme comune pentru sistemele de dosare electronice de sănătate (denumite în continuare „sisteme DES”) în ceea ce privește două componente software armonizate obligatorii, și anume componenta software europeană de interoperabilitate pentru sistemele DES și componenta software europeană de evidență pentru sistemele DES, în sensul definiției de la articolul 2 alineatul (2) literele (n) și, respectiv, (o), precum și pentru aplicațiile de wellness despre care se declară că sunt interoperabile cu sistemele DES în legătură cu aceste două componente software armonizate, în ceea ce privește utilizarea primară a datelor electronice privind sănătatea;

(c)	stabilește norme și mecanisme comune de utilizare primară a datelor electronice privind sănătatea și de utilizare secundară a datelor electronice privind sănătatea;

(d)	instituie o infrastructură transfrontalieră care să permită utilizarea primară a datelor electronice cu caracter personal privind sănătatea în întreaga Uniune;

(e)	instituie o infrastructură transfrontalieră pentru utilizarea secundară a datelor electronice privind sănătatea;

(f)	stabilește un cadru de guvernanță și mecanisme de coordonare la nivelul Uniunii și la nivel național, atât pentru utilizarea primară a datelor electronice privind sănătatea, cât și pentru utilizarea secundară a datelor electronice privind sănătatea.

(3) Prezentul regulament nu aduce atingere altor acte juridice ale Uniunii privind accesul la datele electronice privind sănătatea, partajarea sau utilizarea secundară a acestora sau cerințelor Uniunii legate de prelucrarea datelor în legătură cu datele electronice privind sănătatea, în special Regulamentelor (CE) nr. 223/2009 (24), (UE) nr. 536/2014 (25), (UE) 2016/679, (UE) 2018/1725, (UE) 2022/868 și (UE) 2023/2854 ale Parlamentului European și ale Consiliului și Directivelor 2002/58/CE (26) și (UE) 2016/943 (27) ale Parlamentului European și ale Consiliului.

(4) Trimiterile din prezentul regulament la dispozițiile Regulamentului (UE) 2016/679 trebuie înțelese, de asemenea, ca trimiteri la dispozițiile corespunzătoare din Regulamentul (UE) 2018/1725, după caz, în ceea ce privește instituțiile, organele, oficiile și agențiile Uniunii.

(5) Prezentul regulament nu aduce atingere Regulamentelor (UE) 2017/745, (UE) 2017/746 și (UE) 2024/1689 în ceea ce privește securitatea dispozitivelor medicale, a dispozitivelor medicale pentru diagnostic in vitro și a sistemelor de inteligență artificială (IA) care interacționează cu sistemele DES.

(6) Prezentul regulament nu aduce atingere dreptului Uniunii sau dreptului intern privind prelucrarea datelor electronice privind sănătatea în scopul raportării, respectării cererilor de acces la informații sau al demonstrării sau verificării respectării obligațiilor legale sau dreptului Uniunii sau dreptului intern în ceea ce privește acordarea accesului la documentele oficiale și divulgarea acestora.

(7) Prezentul regulament nu aduce atingere dispozițiilor specifice din dreptul Uniunii sau din dreptul intern care prevăd accesul la datele electronice privind sănătatea în vederea prelucrării ulterioare de către organismele din sectorul public ale statelor membre, de către instituțiile, organele, oficiile și agențiile Uniunii sau de către entitățile private cărora li s-a încredințat o sarcină de interes public, în temeiul dreptului Uniunii sau al dreptului intern, în scopul îndeplinirii unei astfel de sarcini.

(8) Prezentul regulament nu aduce atingere accesului la datele electronice privind sănătatea pentru utilizare secundară convenit în cadrul acordurilor contractuale sau administrative între entități publice sau private.

(9) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal în următoarele cazuri:

(a)	atunci când prelucrarea este efectuată în cadrul unei activități care nu intră în sfera dreptului Uniunii;

(b)	atunci când prelucrarea este efectuată de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

Articolul 2

Definiții

(1) În sensul prezentului regulament, se aplică următoarele definiții:

(a)

definițiile termenilor „date cu caracter personal”, „prelucrare”, „pseudonimizare”, „operator”, „persoană împuternicită de operator”, „parte terță”, „consimțământ”, „date genetice”, „date privind sănătatea” și „organizație internațională” prevăzute la articolul 4 punctele 1, 2, 5, 7, 8, 10, 11, 13, 15 și, respectiv, 26 din Regulamentul (UE) 2016/679;

(b)

definițiile termenilor „asistență medicală”, „stat membru de afiliere”, „stat membru în care se efectuează tratamentul”, „profesionist din domeniul sănătății”, „furnizor de servicii medicale”, „medicament” și „prescripție” prevăzute la articolul 3 literele (a), (c), (d), (f), (g), (i) și, respectiv, (k) din Directiva 2011/24/UE;

(c)	definițiile termenilor „date”, „acces”, „altruism în materie de date”, „organism din sectorul public” și „mediu de prelucrare securizat” prevăzute la articolul 2 punctele 1, 13, 16, 17 și, respectiv, 20 din Regulamentul (UE) 2022/868;

(d)

definițiile termenilor „punere la dispoziție pe piață”, „introducere pe piață”, „supraveghere a pieței”, „autoritate de supraveghere a pieței”, „neconformitate”, „producător”, „importator”, „distribuitor”, „operator economic”, „măsură corectivă”, „rechemare” și „retragere” prevăzute la articolul 3 punctele 1, 2, 3, 4, 7, 8, 9, 10, 13, 16, 22 și, respectiv, 23 din Regulamentul (UE) 2019/1020;

(e)	definițiile termenilor „dispozitiv medical”, „scop propus”, „instrucțiuni de utilizare”, „performanță”, „instituție sanitară” și „specificații comune” prevăzute la articolul 2 punctele 1, 12, 14, 22, 36 și, respectiv, 71 din Regulamentul (UE) 2017/745;

(f)	definițiile termenilor „identificare electronică” și „mijloace de identificare electronică” prevăzute la articolul 3 punctele 1 și, respectiv, 2 din Regulamentul (UE) nr. 910/2014;

(g)	definiția „autorităților contractante” prevăzută la articolul 2 alineatul (1) punctul 1 din Directiva 2014/24/UE a Parlamentului European și a Consiliului (28);

(h)	definiția „sănătății publice” prevăzută la articolul 3 litera (c) din Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului (29).

(2) În plus, în sensul prezentului regulament, se aplică următoarele definiții:

(a)	„date electronice cu caracter personal privind sănătatea” înseamnă date privind sănătatea și date genetice, prelucrate în format electronic;

(b)

„date electronice fără caracter personal privind sănătatea” înseamnă date electronice privind sănătatea, altele decât datele electronice cu caracter personal privind sănătatea, care includ atât date care au fost anonimizate astfel încât să nu se mai refere la o persoană fizică identificată sau identificabilă (denumită în continuare „persoana vizată”), cât și date care nu au avut niciodată legătură cu o persoană vizată;

(c)	„date electronice privind sănătatea” înseamnă date electronice cu sau fără caracter personal privind sănătatea;

(d)

„utilizare primară” înseamnă prelucrarea de date electronice privind sănătatea pentru furnizarea de asistență medicală în scopul evaluării, menținerii sau restabilirii stării de sănătate a persoanei fizice la care se referă datele respective, inclusiv prescrierea, eliberarea și furnizarea de medicamente și de dispozitive medicale, precum și pentru serviciile sociale, administrative sau de rambursare relevante;

(e)	„utilizare secundară” înseamnă prelucrarea datelor electronice privind sănătatea în scopurile prevăzute în capitolul IV din prezentul regulament, altele decât scopurile inițiale pentru care au fost colectate sau produse;

(f)

„interoperabilitate” înseamnă capacitatea organizațiilor, precum și a aplicațiilor software sau a dispozitivelor provenind de la același producător sau de la producători diferiți, de a interacționa prin intermediul proceselor pe care acestea le sprijină, care implică schimbul de informații și cunoștințe între respectivele organizații, aplicații software sau dispozitive, fără a modifica conținutul datelor;

(g)

„înregistrarea datelor electronice privind sănătatea” înseamnă înregistrarea datelor privind sănătatea într-un format electronic, prin introducerea manuală a unor astfel de date, prin colectarea de astfel de date cu ajutorul unui dispozitiv sau prin conversia datelor neelectronice privind sănătatea într-un format electronic, pentru a fi prelucrate într-un sistem DES sau într-o aplicație de wellness;

(h)

„serviciu de acces la datele electronice privind sănătatea” înseamnă un serviciu online, cum ar fi un portal sau o aplicație pentru dispozitive mobile, care permite persoanelor fizice care nu acționează într-o calitate profesională să aibă acces la propriile date electronice privind sănătatea sau la datele electronice privind sănătatea ale acelor persoane fizice ale căror date electronice privind sănătatea sunt autorizate legal să le acceseze;

(i)	„serviciu de acces pentru profesioniști din domeniul sănătății” înseamnă un serviciu, sprijinit de un sistem DES, care permite profesioniștilor din domeniul sănătății să aibă acces la datele persoanelor fizice pe care le tratează;

(j)	„dosar electronic de sănătate” sau „DES” înseamnă o colecție de date electronice privind sănătatea referitoare la o persoană fizică și colectate în sistemul de sănătate, prelucrate în scopul furnizării de asistență medicală;

(k)

„sistem de dosare electronice de sănătate” sau „sistem DES” înseamnă orice sistem prin care software-ul, sau o cominație de hardware și software în sistemul respectiv, permite ca datele electronice cu caracter personal privind sănătatea care aparțin categoriilor prioritare de date electronice cu caracter personal privind sănătatea prevăzute în prezentul regulament să fie stocate, intermediate, exportate, importate, convertite, editate sau vizualizate și care este destinat de către producător să fie utilizat de furnizorii de servicii medicale atunci când asigură îngrijirea pacientului sau de pacienți atunci când își accesează datele electronice privind sănătatea;

(l)	„punere în funcțiune” înseamnă prima utilizare în Uniune, în scopul propus, a unui sistem DES reglementat de prezentul regulament;

(m)	„componentă software” înseamnă o parte distinctă a unui software care oferă o funcționalitate specifică sau îndeplinește funcții sau proceduri specifice și care poate funcționa independent sau împreună cu alte componente;

(n)

„componentă software europeană de interoperabilitate pentru sistemele DES” înseamnă o componentă software a sistemului DES care furnizează și primește date electronice cu caracter personal privind sănătatea în cadrul unei categorii prioritare pentru utilizarea primară prevăzută în prezentul regulament în formatul european pentru schimbul de dosare electronice de sănătate prevăzut în prezentul regulament și care este independentă de componenta software europeană de evidență pentru sistemele DES;

(o)

„componentă software europeană de evidență pentru sistemele DES” înseamnă o componentă software a sistemului DES care furnizează informații pentru evidența referitoare la accesul profesioniștilor din domeniul sănătății sau al altor persoane la categoriile prioritare de date electronice cu caracter personal privind sănătatea prevăzute în prezentul regulament, în formatul definit la punctul 3.2 din anexa II la acesta, și care este independentă de componenta software europeană de interoperabilitate pentru sistemele DES;

(p)

„marcaj de conformitate CE” înseamnă un marcaj prin care un producător indică faptul că un sistem DES este în conformitate cu cerințele aplicabile stabilite în prezentul regulament și cu alte dispoziții aplicabile din dreptul Uniunii care prevăd aplicarea sa, în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului (30);

(q)	„risc” înseamnă combinația dintre probabilitatea apariției unui pericol care cauzează prejudicii sănătății, siguranței sau securității informațiilor și gradul de gravitate al unor astfel de prejudicii;

(r)

„incident grav” înseamnă orice funcționare defectuoasă sau deteriorare a caracteristicilor sau a performanței unui sistem DES pus la dispoziție pe piață, care conduce, ar fi putut conduce sau ar putea conduce, în mod direct sau indirect, la oricare dintre următoarele:

(i)	decesul unei persoane fizice sau prejudicierea gravă a sănătății unei persoane fizice;

(ii)	un prejudiciu grav adus drepturilor unei persoane fizice;

(iii)

perturbarea gravă a gestionării și funcționării infrastructurii critice din sectorul sănătății;

(s)

„îngrijire” înseamnă un serviciu profesional al cărui scop este de a răspunde nevoilor specifice ale unei persoane fizice care, din cauza unei deficiențe sau a altor afecțiuni fizice sau mintale, necesită asistență, inclusiv măsuri preventive și de sprijin, pentru a desfășura activități esențiale ale vieții de zi cu zi, în vederea sprijinirii autonomiei personale a acesteia;

(t)

„deținător de date privind sănătatea” înseamnă orice persoană fizică sau juridică, autoritate publică, agenție sau alt organism din sectoarele asistenței medicale sau ale îngrijirii, inclusiv serviciile de rambursare, atunci când este necesar, precum și orice persoană fizică sau juridică care dezvoltă produse sau servicii destinate sectoarelor sănătății, asistenței medicale sau îngrijirii, care dezvoltă sau produce aplicații de wellness, desfășoară activități de cercetare legată de sectoarele asistenței medicale sau îngrijirii sau acționează ca registru al mortalității, precum și orice instituție, organ, oficiu sau agenție a Uniunii care are fie:

(i)

dreptul sau obligația, în conformitate cu dreptul aplicabil al Uniunii sau cu dreptul intern aplicabil, în calitatea sa de operator sau operator asociat, de a prelucra date electronice cu caracter personal privind sănătatea în scopul furnizării de asistență medicală sau de îngrijire sau în scopuri de sănătate publică, rambursare, cercetare, inovare, elaborare de politici, statistici oficiale sau siguranța pacienților sau în scopuri de reglementare; fie

(ii)	capacitatea de a pune la dispoziție date electronice fără caracter personal privind sănătatea prin controlul proiectării tehnice a unui produs și a serviciilor conexe, inclusiv prin înregistrarea, furnizarea, restricționarea accesului sau schimbul de astfel de date;

(u)

„utilizator de date privind sănătatea” înseamnă o persoană fizică sau juridică, inclusiv instituțiile, organele, oficiile sau agențiile Uniunii, care a primit acces legal la datele electronice privind sănătatea pentru utilizare secundară în temeiul unei autorizații privind datele, al aprobării unei cereri de date privind sănătatea sau al unei aprobări de acces din partea unui participant autorizat în cadrul HealthData@EU;

(v)

„autorizație privind datele” înseamnă o decizie administrativă eliberată unui utilizator de date privind sănătatea de către un organism de acces la datele privind sănătatea pentru prelucrarea anumitor date electronice privind sănătatea specificate în autorizația privind datele în scopuri specifice de utilizare secundară, pe baza condițiilor prevăzute în capitolul IV din prezentul regulament;

(w)	„set de date” înseamnă o colecție structurată de date electronice privind sănătatea;

(x)	„set de date cu impact ridicat pentru utilizarea secundară” înseamnă un set de date a cărui reutilizare este asociată cu beneficii semnificative ca urmare a relevanței sale pentru cercetarea în domeniul sănătății;

(y)

„catalog de seturi de date” înseamnă o colecție de descrieri ale seturilor de date, care este organizată în mod sistematic și include o parte publică orientată către utilizator, în care informațiile referitoare la parametrii seturilor individuale de date sunt accesibile prin mijloace electronice prin intermediul unui portal online;

(z)	„calitatea datelor” înseamnă măsura în care elementele datelor electronice privind sănătatea sunt adecvate pentru utilizarea lor primară și cea secundară preconizată;

(aa)	„eticheta de calitate și de utilitate a datelor” înseamnă o diagramă grafică, inclusiv o scară, care descrie calitatea datelor și condițiile de utilizare a unui set de date;

(ab)

„aplicație de wellness” înseamnă orice software, sau orice combinație de hardware și software, proiectat de producător să fie utilizat de o persoană fizică în vederea prelucrării datelor electronice privind sănătatea, în mod specific pentru a furniza informații privind sănătatea persoanelor fizice sau pentru furnizarea de îngrijire în alte scopuri decât asistența medicală.

CAPITOLUL II

UTILIZAREA PRIMARĂ

SECȚIUNEA 1

Drepturile persoanelor fizice în ceea ce privește utilizarea primară a datelor lor electronice cu caracter personal privind sănătatea și dispoziții conexe

Articolul 3

Dreptul persoanelor fizice de acces la datele lor electronice cu caracter personal privind sănătatea

(1) Persoanele fizice au dreptul de a accesa cel puțin datele electronice cu caracter personal privind sănătatea care le privesc și care aparțin categoriilor prioritare menționate la articolul 14, care sunt prelucrate pentru furnizarea de asistență medicală prin intermediul serviciilor de acces la datele electronice privind sănătatea menționate la articolul 4. Accesul se acordă imediat după înregistrarea datelor electronice cu caracter personal privind sănătatea într-un sistem DES, cu respectarea necesităților de practicabilitate tehnologică, și se furnizează în mod gratuit și într-un format ușor de citit, consolidat și accesibil.

(2) Persoanele fizice sau reprezentanții lor menționați la articolul 4 alineatul (2) au dreptul de a descărca gratuit o copie electronică cel puțin a datelor electronice cu caracter personal privind sănătatea din categoriile prioritare menționate la articolul 14 referitoare la persoanele fizice respective, prin serviciile de acces la datele electronice privind sănătatea menționate la articolul 4, în formatul european pentru schimbul de dosare electronice de sănătate menționat la articolul 15.

(3) În conformitate cu articolul 23 din Regulamentul (UE) 2016/679, statele membre pot restrânge domeniul de aplicare al drepturilor prevăzute la alineatele (1) și (2) din prezentul articol, în special ori de câte ori restricțiile respective sunt necesare pentru protecția persoanelor fizice, din considerente de siguranță a pacienților și din considerente etice, prin amânarea accesului la datele lor electronice cu caracter personal privind sănătatea pentru o perioadă limitată, până când un profesionist din domeniul sănătății are posibilitatea de a comunica și explica în mod corespunzător persoanelor fizice în cauză informații care pot avea un impact semnificativ asupra sănătății lor.

Articolul 4

Servicii de acces la datele electronice privind sănătatea pentru persoanele fizice și reprezentanții acestora

(1) Statele membre se asigură că se instituie unul sau mai multe servicii de acces la datele electronice privind sănătatea la nivel național, regional sau local, permițând astfel persoanelor fizice să aibă acces la datele lor electronice cu caracter personal privind sănătatea și să își exercite drepturile prevăzute la articolul 3 și la articolele 5-10. Astfel de servicii de acces la datele electronice privind sănătatea sunt gratuite pentru persoanele fizice și reprezentanții acestora menționați la alineatul (2) de la prezentul articol.

(2) Statele membre se asigură că unul sau mai multe servicii de împuternicire sunt instituite ca funcționalitate a serviciilor de acces la datele electronice privind sănătatea care permite:

(a)

persoanelor fizice să autorizeze alte persoane fizice, la alegerea lor, să acceseze datele lor electronice cu caracter personal privind sănătatea sau o parte a acestora, în numele lor, pentru o perioadă limitată sau nelimitată și, dacă este necesar, numai într-un scop specific, și să gestioneze autorizațiile respective; și

(b)	reprezentanților legali ai persoanelor fizice să acceseze datele electronice cu caracter personal privind sănătatea ale acelor persoane fizice ale căror activități le administrează, în conformitate cu dreptul intern.

Statele membre stabilesc norme privind autorizațiile menționate la litera (a) de la primul paragraf și acțiuni ale tutorilor și ale altor reprezentanți legali.

(3) Serviciile de împuternicire menționate la alineatul (2) furnizează autorizații în mod transparent și ușor de înțeles, gratuit și în format electronic sau pe suport de hârtie. Persoanele fizice și reprezentanții acestora sunt informați cu privire la drepturile de autorizare pe care le au, inclusiv la modul de exercitare a acestor drepturi, și cu privire la procesul de autorizare.

Serviciile de împuternicire asigură un mecanism facil de depunere a plângerilor pentru persoanele fizice.

(4) Serviciile de împuternicire menționate la alineatul (2) de la prezentul articol trebuie să fie interoperabile între statele membre. Comisia stabilește, prin intermediul unor acte de punere în aplicare, specificațiile tehnice pentru interoperabilitatea serviciilor de împuternicire ale statelor membre. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(5) Serviciile de acces la datele electronice privind sănătatea și serviciile de împuternicire trebuie să fie ușor accesibile persoanelor cu dizabilități, grupurilor vulnerabile și persoanelor slab alfabetizate digital.

Articolul 5

Dreptul persoanelor fizice de a introduce informații în propriile DES

Persoanele fizice, sau reprezentanții acestora menționați la articolul 4 alineatul (2), au dreptul de a introduce informații în DES ale persoanelor fizice respective prin intermediul serviciilor de acces la datele electronice privind sănătatea sau al aplicațiilor legate de serviciile respective, astfel cum se menționează la articolul respectiv. Informațiile respective trebuie să fie clar diferențiate ca fiind introduse de persoana fizică sau de reprezentantul acesteia. Persoanele fizice, sau reprezentanții acestora menționați la articolul 4 alineatul (2), nu pot modifica direct datele electronice privind sănătatea și informațiile conexe introduse de profesioniștii din domeniul sănătății.

Articolul 6

Dreptul persoanelor fizice la rectificare

Serviciile de acces la datele electronice privind sănătatea menționate la articolul 4 permit persoanelor fizice să solicite online cu ușurință rectificarea datelor lor electronice cu caracter personal privind sănătatea, în conformitate cu articolul 16 din Regulamentul (UE) 2016/679. După caz, operatorul verifică împreună cu un profesionist din domeniul sănătății relevant exactitatea informațiilor furnizate în cerere.

Statele membre pot permite, de asemenea, persoanelor fizice să exercite online alte drepturi, în temeiul capitolului III din Regulamentul (UE) 2016/679, prin intermediul serviciilor de acces la datele electronice privind sănătatea.

Articolul 7

Dreptul la portabilitatea datelor pentru persoanele fizice

(1) Persoanele fizice au dreptul de a acorda acces sau de a solicita unui furnizor de servicii medicale să transmită toate datele lor electronice cu caracter personal privind sănătatea sau o parte dintre acestea unui alt furnizor de servicii medicale ales de ele, imediat, gratuit și fără impedimente din partea furnizorului de servicii medicale sau a producătorilor sistemelor utilizate de furnizorul respectiv de servicii medicale.

(2) Persoanele fizice au dreptul, în cazul în care furnizorii de servicii medicale se află în state membre diferite, să solicite transmiterea datelor lor electronice cu caracter personal privind sănătatea în formatul european pentru schimbul de dosare electronice de sănătate menționat la articolul 15 prin intermediul infrastructurii transfrontaliere menționate la articolul 23. Furnizorul de servicii medicale destinatar acceptă aceste date și trebuie să fie în măsură să le citească.

(3) Persoanele fizice au dreptul de a solicita unui furnizor de servicii medicale să transmită o parte a datelor lor electronice cu caracter personal privind sănătatea unui destinatar clar identificat din sectorul securității sociale sau al serviciilor de rambursare. Transmiterea menționată se efectuează imediat, gratuit și fără impedimente din partea furnizorului de servicii medicale sau a producătorilor sistemelor utilizate de furnizorul respectiv de servicii medicale și este doar unidirecțională.

(4) În cazul în care persoanele fizice au descărcat o copie electronică a categoriilor lor prioritare de date electronice cu caracter personal privind sănătatea în conformitate cu articolul 3 alineatul (2), acestea au posibilitatea de a transmite datele respective furnizorilor de servicii medicale la alegerea lor în formatul european pentru schimbul de dosare electronice de sănătate menționat la articolul 15. Furnizorul de servicii medicale destinatar acceptă aceste date și trebuie să fie în măsură să le citească, după caz.

Articolul 8

Dreptul de a restricționa accesul

Persoanele fizice au dreptul de a restricționa accesul profesioniștilor din domeniul sănătății sau al furnizorilor de servicii medicale la toate datele lor cu caracter personal privind sănătatea menționate la articolul 3 sau la o parte din acestea.

Atunci când își exercită dreptul menționat la primul paragraf, persoanelor fizice li se aduce la cunoștință faptul că restricționarea accesului ar putea afecta furnizarea asistenței medicale care le este acordată.

Informația că o persoană fizică a restricționat accesul în temeiul primului paragraf nu este vizibilă pentru furnizorii de servicii medicale.

Statele membre stabilesc normele și garanțiile specifice cu privire la astfel de mecanisme de restricționare.

Articolul 9

Dreptul de a obține informații privind accesarea datelor

(1) Persoanele fizice au dreptul de a obține informații, inclusiv prin notificări automate, cu privire la orice acces la datele lor electronice cu caracter personal privind sănătatea prin intermediul serviciului de acces al profesioniștilor din domeniul sănătății obținut în contextul asistenței medicale, inclusiv accesul acordat în conformitate cu articolul 11 alineatul (5).

(2) Informațiile menționate la alineatul (1) sunt furnizate, în mod gratuit și fără întârziere, prin intermediul serviciilor de acces la datele electronice privind sănătatea și sunt disponibile timp de cel puțin trei ani de la fiecare dată de acces la date. Informațiile respective includ cel puțin următoarele:

(a)	informații privind furnizorul de asistență medicală sau alte persoane care au accesat datele electronice cu caracter personal privind sănătatea;

(b)	data și ora accesului;

(c)	ce date electronice cu caracter personal privind sănătatea au fost accesate.

(3) Statele membre pot prevedea restricționarea dreptului menționat la alineatul (1) în circumstanțe excepționale, în care există indicii concrete că divulgarea ar pune în pericol interesele vitale sau drepturile profesionistului din domeniul sănătății sau îngrijirea acordată persoanei fizice.

Articolul 10

Dreptul persoanelor fizice de refuz în utilizarea primară

(1) Legislațiile statelor membre pot prevedea că persoanele fizice au dreptul de a refuza accesul la datele lor electronice cu caracter personal privind sănătatea înregistrate într-un sistem DES prin intermediul serviciilor de acces la datele electronice privind sănătatea menționate la articolele 4 și 12. În astfel de cazuri, statele membre se asigură că exercitarea dreptului respectiv este reversibilă.

(2) Dacă un stat membru recunoaște dreptul menționat la alineatul (1) de la prezentul articol, el stabilește normele și garanțiile specifice cu privire la mecanismul de refuz. În special, statele membre pot dispune ca un furnizor de servicii medicale sau un profesionist din domeniul sănătății să poată avea acces la datele electronice cu caracter personal privind sănătatea în cazurile în care prelucrarea este necesară pentru a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice, astfel cum se menționează la articolul 9 alineatul (2) litera (c) din Regulamentul (UE) 2016/679, chiar dacă pacientul și-a exercitat dreptul de refuz în utilizarea primară.

Articolul 11

Accesul profesioniștilor din domeniul sănătății la datele electronice cu caracter personal privind sănătatea

(1) În cazul în care profesioniștii din domeniul sănătății prelucrează date în format electronic, aceștia au acces la datele electronice cu caracter personal relevante și necesare privind sănătatea ale persoanelor fizice pe care le tratează, prin intermediul serviciilor de acces al profesioniștilor din domeniul sănătății menționate la articolul 12, indiferent de statul membru de afiliere și de statul membru în care se efectuează tratamentul.

(2) În cazul în care statul membru de afiliere al persoanei fizice aflate în tratament și statul membru în care se efectuează tratamentul diferă, accesul transfrontalier la datele electronice cu caracter personal privind sănătatea ale persoanei fizice aflate în tratament se asigură prin intermediul infrastructurii transfrontaliere menționate la articolul 23.

(3) Accesul menționat la alineatele (1) și (2) de la prezentul articol vizează cel puțin categoriile prioritare de date electronice cu caracter personal privind sănătatea menționate la articolul 14.

În conformitate cu principiile prevăzute la articolul 5 din Regulamentul (UE) 2016/679, statele membre stabilesc norme care să prevadă categoriile de date electronice cu caracter personal privind sănătatea care pot fi accesate de diferite categorii de profesioniști din domeniul sănătății sau pentru diferite sarcini aferente serviciilor medicale. Normele respective țin seama de posibilitatea impunerii de restricții în temeiul articolului 8 din prezentul regulament.

(4) În cazul tratamentului într-un alt stat membru decât statul membru de afiliere, normele menționate la alineatul (3) sunt cele ale statului membru în care se efectuează tratamentul.

(5) În cazul în care accesul la datele electronice cu caracter personal privind sănătatea a fost restricționat de către o persoană fizică în conformitate cu articolul 8, furnizorul de servicii medicale sau profesionistul din domeniul sănătății nu este informat cu privire la conținutul restricționat al datelor respective.

Prin derogare de la articolul 8 primul paragraf, atunci când este necesar pentru a proteja interesele vitale ale persoanei vizate, furnizorului de servicii medicale sau profesionistului din domeniul sănătății i se poate acorda accesul la datele electronice restricționate privind sănătatea. Evidența unor astfel de cazuri se ține într-un format clar și ușor de înțeles, iar astfel de cazuri sunt ușor accesibile persoanei vizate.

Statele membre pot prevedea garanții suplimentare.

Articolul 12

Serviciile de acces pentru profesioniștii din domeniul sănătății

În scopul furnizării de servicii medicale, statele membre se asigură că este posibil accesul gratuit al profesioniștilor din domeniul sănătății la categoriile prioritare de date electronice cu caracter personal privind sănătatea menționate la articolul 14, inclusiv pentru îngrijirile transfrontaliere, prin intermediul serviciilor de acces pentru profesioniștii din domeniul sănătății.

Serviciile menționate la primul paragraf de la prezentul articol sunt accesibile numai profesioniștilor din domeniul sănătății care dețin mijloace de identificare electronică care sunt recunoscute în temeiul articolului 6 din Regulamentul (UE) nr. 910/2014 sau alte mijloace de identificare electronică conforme cu specificațiile comune menționate la articolul 36 din prezentul regulament.

Datele electronice cu caracter personal privind sănătatea sunt prezentate într-un mod accesibil în dosarele electronice de sănătate pentru a permite profesioniștilor din domeniul sănătății să le utilizeze cu ușurință.

Articolul 13

Înregistrarea datelor electronice cu caracter personal privind sănătatea

(1) Statele membre se asigură că, în cazul în care datele electronice privind sănătatea sunt prelucrate pentru furnizarea asistenței medicale, furnizorii de servicii medicale înregistrează, în format electronic, într-un sistem DES, datele electronice cu caracter personal privind sănătatea relevante care se încadrează integral sau parțial cel puțin în categoriile prioritare de date electronice cu caracter personal privind sănătatea menționate la articolul 14.

(2) Atunci când prelucrează date în format electronic, furnizorii de servicii medicale se asigură că datele electronice cu caracter personal privind sănătatea ale persoanelor fizice pe care le tratează sunt actualizate cu informații referitoare la asistența medicală.

(3) În cazul în care datele electronice cu caracter personal privind sănătatea sunt înregistrate într-un stat membru de tratament care este diferit de statul membru de afiliere al persoanei fizice în cauză, statul membru în care se efectuează tratamentul se asigură că înregistrarea se efectuează pe baza datelor de identificare ale persoanei fizice în statul membru de afiliere.

(4) Până la 26 martie 2027, Comisia stabilește, prin intermediul unor acte de punere în aplicare, cerințele de calitate a datelor, inclusiv în legătură cu semantica, uniformitatea, coerența, acuratețea și exhaustivitatea, pentru înregistrarea datelor electronice cu caracter personal privind sănătatea într-un sistem DES, după caz. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Atunci când datele electronice cu caracter personal privind sănătatea sunt înregistrate sau actualizate, dosarele electronice de sănătate identifică profesionistul din domeniul sănătății și furnizorul de servicii medicale care a făcut înregistrarea sau actualizarea respectivă, precum și ora la care a fost făcută înregistrarea sau actualizarea respectivă. Statele membre pot impune să se consemneze și alte aspecte ale înregistrării datelor.

Articolul 14

Categorii prioritare de date electronice cu caracter personal privind sănătatea pentru utilizare primară

(1) În sensul prezentului capitol, în cazul în care datele sunt prelucrate în format electronic, categoriile prioritare de date electronice cu caracter personal privind sănătatea sunt următoarele:

(a)	fișele pacienților;

(b)	prescripții electronice;

(c)	informații electronice privind eliberarea de medicamente;

(d)	studii de imagistică medicală și rapoarte conexe de imagistică;

(e)	rezultatele testelor medicale, inclusiv rezultate de laborator și alte rezultate ale diagnosticării și rapoartele conexe;

(f)	rapoarte de externare.

Principalele caracteristici ale categoriilor prioritare de date electronice cu caracter personal privind sănătatea pentru utilizare primară sunt stabilite în anexa I.

Statele membre pot prevedea în dreptul intern categorii suplimentare de date electronice cu caracter personal privind sănătatea care să fie accesate și schimbate pentru utilizare primară în temeiul prezentului capitol.

Comisia poate stabili, prin intermediul unor acte de punere în aplicare, specificații transfrontaliere pentru categoriile de date electronice cu caracter personal privind sănătatea menționate la al treilea paragraf de la prezentul alineat, în temeiul articolului 15 alineatul (3) și al articolului 23 alineatul (8). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(2) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica prezentul regulament prin modificarea anexei I prin adăugarea, modificarea sau eliminarea principalelor caracteristici ale categoriilor prioritare de date electronice cu caracter personal privind sănătatea, astfel cum sunt menționate la alineatul (1), cu condiția ca modificările să vizeze adaptarea categoriilor prioritare de date electronice cu caracter personal privind sănătatea la evoluțiile tehnice și la standardele internaționale. În plus, adăugările și modificările caracteristicilor respective trebuie să îndeplinească simultan următoarele criterii:

(a)	caracteristica este relevantă pentru asistența medicală furnizată persoanelor fizice;

(b)	caracteristica este utilizată în majoritatea statelor membre, conform celor mai recente informații.

Articolul 15

Formatul european pentru schimbul de dosare electronice de sănătate

(1) Până la 26 martie 2027, Comisia stabilește, prin intermediul unor acte de punere în aplicare, specificațiile tehnice pentru categoriile prioritare de date electronice cu caracter personal privind sănătatea menționate la articolul 14 alineatul (1), care prevăd formatul european pentru schimbul de dosare electronice de sănătate. Formatul respectiv trebuie să fie utilizat în mod curent, să poată fi citit automat și să permită transmiterea de date electronice cu caracter personal privind sănătatea între diferite aplicații software, dispozitive și furnizori de servicii medicale. Formatul respectiv sprijină transmiterea de date structurate și nestructurate privind sănătatea și include următoarele elemente:

(a)	seturile de date armonizate care conțin date electronice privind sănătatea și care definesc structurile, cum ar fi câmpurile de date și grupurile de date pentru reprezentarea conținutului clinic și alte părți ale datelor electronice privind sănătatea;

(b)	sistemele de codificare și valorile care trebuie să fie utilizate în seturile de date care conțin date electronice privind sănătatea;

(c)	specificațiile tehnice de interoperabilitate pentru schimbul de date electronice privind sănătatea, inclusiv reprezentarea conținutului, standarde și profiluri.

Actele de punere în aplicare menționate la primul paragraf de la prezentul alineat se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(2) Comisia asigură, prin intermediul unor acte de punere în aplicare, actualizări periodice ale formatului european pentru schimbul de dosare electronice de sănătate pentru a integra revizuirile relevante ale sistemelor de codificare a asistenței medicale și ale nomenclaturilor. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(3) Comisia poate stabili, prin intermediul unor acte de punere în aplicare, specificații tehnice pentru extinderea formatului european pentru schimbul de dosare electronice de sănătate la categoriile suplimentare de date electronice cu caracter personal privind sănătatea menționate la articolul 14 alineatul (1) al treilea paragraf. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(4) Statele membre se asigură că categoriile prioritare de date electronice cu caracter personal privind sănătatea menționate la articolul 14 sunt emise în formatul european pentru schimbul de dosare electronice de sănătate menționat la alineatul (1) de la prezentul articol. În cazul în care astfel de date sunt transmise prin mijloace automatizate pentru utilizare primară, furnizorul destinatar acceptă formatul datelor și trebuie să fie în măsură să le citească.

Articolul 16

Gestionarea identificării

(1) În cazul în care persoanele fizice utilizează serviciile de acces la date electronice privind sănătatea menționate la articolul 4, persoanele fizice respective au dreptul de a se identifica electronic utilizând orice mijloc de identificare electronică care este recunoscut în temeiul articolului 6 din Regulamentul (UE) nr. 910/2014. Statele membre pot oferi mecanisme complementare pentru a asigura corelarea adecvată a identității în situații transfrontaliere.

(2) Comisia stabilește, prin intermediul unor acte de punere în aplicare, cerințele pentru mecanismul interoperabil și transfrontalier de identificare și autentificare a persoanelor fizice și a profesioniștilor din domeniul sănătății, în conformitate cu Regulamentul (UE) nr. 910/2014. Mecanismul respectiv facilitează transferabilitatea datelor electronice cu caracter personal privind sănătatea în context transfrontalier. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(3) Comisia, în cooperare cu statele membre, implementează la nivelul Uniunii serviciile necesare pentru mecanismul interoperabil și transfrontalier de identificare și autentificare menționat la alineatul (2) de la prezentul articol, în cadrul infrastructurii menționate la articolul 23.

(4) Autoritățile competente ale statelor membre și Comisia pun în aplicare mecanismul interoperabil și transfrontalier de identificare și autentificare la nivelul statelor membre și, respectiv, al Uniunii.

Articolul 17

Cerințe pentru punerea în aplicare tehnică

Comisia stabilește, prin intermediul unor acte de punere în aplicare, cerințele pentru punerea în aplicare tehnică a drepturilor prevăzute la prezenta secțiune.

Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 18

Compensație pentru punerea la dispoziție a datelor electronice cu caracter personal privind sănătatea

Furnizorii care primesc date în temeiul prezentului capitol nu sunt obligați să compenseze furnizorul de servicii medicale pentru punerea la dispoziție a datelor electronice cu caracter personal privind sănătatea. Un furnizor de servicii medicale sau o parte terță nu poate percepe direct sau indirect persoanelor vizate o taxă sau costuri și nu poate solicita o compensație pentru partajarea sau accesarea de date.

SECȚIUNEA 2

Guvernanța pentru utilizarea primară

Articolul 19

Autorități privind sănătatea digitală

(1) Fiecare stat membru desemnează una sau mai multe autorități privind sănătatea digitală responsabile de punerea în aplicare și asigurarea respectării prezentului capitol la nivel național. Statul membru comunică Comisiei identitatea autorităților privind sănătatea digitală până la 26 martie 2027. În cazul în care un stat membru desemnează mai multe autorități privind sănătatea digitală sau în cazul în care autoritatea privind sănătatea digitală constă în mai multe organizații, statul membru în cauză comunică Comisiei o descriere a distribuției sarcinilor între respectivele autorități sau organizații diferite. În cazul în care un stat membru desemnează mai multe autorități privind sănătatea digitală, acesta desemnează o autoritate privind sănătatea digitală care să acționeze în calitate de coordonator. Comisia pune informațiile respective la dispoziția publicului.

(2) Fiecărei autorități privind sănătatea digitală i se încredințează următoarele sarcini și competențe:

(a)	să asigure punerea în aplicare a drepturilor și obligațiilor prevăzute în prezentul capitol și în capitolul III prin adoptarea soluțiilor tehnice necesare la nivel național, regional sau local și prin stabilirea unor norme și mecanisme relevante;

(b)

să se asigure că informațiile complete și actualizate cu privire la punerea în aplicare a drepturilor și obligațiilor prevăzute în prezentul capitol și în capitolul III sunt puse cu promptitudine la dispoziția persoanelor fizice, a profesioniștilor din domeniul sănătății și a furnizorilor de servicii medicale;

(c)	la punerea în aplicare a soluțiilor tehnice menționate la litera (a) de la prezentul alineat, să asigure conformitatea unor astfel de soluții tehnice cu prezentul capitol, cu capitolul III și cu anexa II;

(d)	să contribuie, la nivelul Uniunii, la dezvoltarea de soluții tehnice care să permită persoanelor fizice și profesioniștilor din domeniul sănătății să își exercite drepturile și să respecte obligațiile prevăzute în prezentul capitol;

(e)	să faciliteze exercitarea de către persoanele cu dizabilități a drepturilor prevăzute în prezentul capitol, în conformitate cu Directiva (UE) 2019/882 a Parlamentului European și a Consiliului (31);

(f)	să supravegheze punctele naționale de contact pentru sănătatea digitală și să coopereze cu alte autorități privind sănătatea digitală și cu Comisia în ceea ce privește continuarea dezvoltării MyHealth@EU;

(g)	să asigure punerea în aplicare la nivel național a formatului european pentru schimbul de dosare electronice de sănătate, în cooperare cu autoritățile naționale și cu părțile interesate;

(h)

să contribuie, la nivelul Uniunii, la dezvoltarea formatului european pentru schimbul de dosare electronice de sănătate, la elaborarea unor specificații comune, în conformitate cu articolul 36, care abordează preocupările legate de calitate, interoperabilitate, securitate, siguranță, ușurința utilizării, accesibilitate, nediscriminare sau drepturi fundamentale, și la elaborarea specificațiilor bazei de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness menționată la articolul 49;

(i)	după caz, să desfășoare activități de supraveghere a pieței în conformitate cu articolul 43, asigurându-se totodată că se evită orice conflict de interese;

(j)	să consolideze capacitatea națională de implementare a cerințelor legate de interoperabilitatea și securitatea datelor electronice privind sănătatea pentru utilizare primară și participă la schimburile de informații și la activitățile de consolidare a capacităților la nivelul Uniunii;

(k)	să coopereze cu autoritățile de supraveghere a pieței, să participe la activitățile legate de gestionarea riscurilor prezentate de sistemele DES și a incidentelor grave și să supravegheze punerea în aplicare a măsurilor corective în conformitate cu articolul 44;

(l)	să coopereze cu alte entități și organisme relevante la nivel local, regional sau național sau la nivelul Uniunii, pentru a asigura interoperabilitatea, portabilitatea și securitatea datelor electronice privind sănătatea;

(m)

să coopereze cu autoritățile de supraveghere în conformitate cu Regulamentele (UE) nr. 910/2014 și (UE) 2016/679 și cu Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului (32) și cu alte autorități relevante, inclusiv cu cele competente în materie de securitate cibernetică și identificare electronică.

(3) Fiecare stat membru se asigură că fiecare autoritate privind sănătatea digitală dispune de resursele umane, tehnice și financiare, de spațiile de lucru și de infrastructura necesare pentru îndeplinirea eficientă a sarcinilor sale și pentru exercitarea competențelor sale.

(4) În îndeplinirea sarcinilor sale, fiecare autoritate privind sănătatea digitală evită orice conflict de interese. Fiecare membru al personalului autorității privind sănătatea digitală acționează în interes public și în mod independent.

(5) În îndeplinirea sarcinilor lor, autoritățile relevante privind sănătatea digitală cooperează activ și se consultă cu reprezentanții părților interesate în cauză, inclusiv cu reprezentanții pacienților, cu furnizorii de servicii medicale și cu reprezentanții profesioniștilor din domeniul sănătății, printre care și cu asociațiile profesioniștilor din domeniul sănătății, precum și cu organizațiile consumatorilor și asociațiile din industrie.

Articolul 20

Rapoartele autorităților privind sănătatea digitală

Autoritățile privind sănătatea digitală desemnate în temeiul articolului 19 publică un raport de activitate din doi în doi ani, care conține o prezentare cuprinzătoare a activităților lor. În cazul în care un stat membru desemnează mai multe autorități privind sănătatea digitală, una dintre acestea este responsabilă de întocmirea raportului și, în acest sens, solicită informațiile necesare de la celelalte autorități privind sănătatea digitală. Respectivul raport de activitate respectă o structură convenită la nivelul Uniunii în cadrul Consiliului pentru spațiul european al datelor privind sănătatea (denumit în continuare „Consiliul SEDS”) menționat la articolul 92. Raportul de activitate respectiv conține cel puțin informații privind:

(a)	măsurile luate pentru punerea în aplicare a prezentului regulament;

(b)	procentul de persoane fizice care au acces la diferite categorii de date din dosarele lor electronice de sănătate;

(c)	tratarea cererilor din partea persoanelor fizice referitoare la exercitarea drepturilor lor în temeiul prezentului regulament;

(d)

numărul de furnizori de servicii medicale de diferite tipuri, inclusiv farmacii, spitale și alte locuri de acordare a asistenței medicale, conectați la MyHealth@EU, calculat:

(i)	în termeni absoluți;

(ii)	ca procent din numărul total de furnizori de servicii medicale de același tip; și

(iii)

ca procent de persoane fizice care pot utiliza serviciile;

(e)	volumele de date electronice privind sănătatea din diferite categorii partajate la nivel transfrontalier prin intermediul MyHealth@EU;

(f)	numărul de cazuri de neconformitate cu cerințe obligatorii.

Articolul 21

Dreptul de a depune o plângere la o autoritate privind sănătatea digitală

(1) Fără a se aduce atingere altor eventuale căi de atac administrative sau judiciare, persoanele fizice și juridice au dreptul de a depune plângere în legătură cu dispozițiile prezentului capitol, în mod individual sau, după caz, colectiv la autoritatea competentă privind sănătatea digitală, cu condiția ca drepturile și interesele lor să fie prejudiciate.

(2) În cazul în care plângerea se referă la drepturile persoanelor fizice prevăzute la articolul 3 și articolele 5-10 și din prezentul regulament, autoritatea privind sănătatea digitală transmite plângerea autorităților de supraveghere competente în temeiul Regulamentului (UE) 2016/679. Autoritatea privind sănătatea digitală furnizează informațiile necesare de care dispune autorității de supraveghere competente în temeiul Regulamentului (UE) 2016/679 pentru a facilita evaluarea și investigarea plângerii.

(3) Autoritatea competentă privind sănătatea digitală la care s-a depus plângerea informează reclamantul, în conformitate cu dreptul intern, despre progresul înregistrat în tratarea plângerii, despre decizia luată cu privire la plângere, despre orice transmitere a plângerii către autoritatea de supraveghere competentă în temeiul Regulamentului (UE) 2016/679 și, în astfel de cazuri de transmitere, că autoritatea de supraveghere respectivă este, începând cu acel moment, singurul punct de contact al reclamantului în chestiunea respectivă.

(4) Autoritățile privind sănătatea digitală din statele membre în cauză cooperează pentru a trata și a soluționa plângerile legate de schimbul transfrontalier și de accesul la date electronice cu caracter personal privind sănătatea, inclusiv prin schimbul tuturor informațiilor relevante prin mijloace electronice, fără întârzieri nejustificate.

(5) Autoritățile privind sănătatea digitală facilitează depunerea plângerilor și asigură instrumente ușor accesibile pentru depunerea plângerilor.

Articolul 22

Relația cu autoritățile de supraveghere în temeiul Regulamentului (UE) 2016/679

Autoritatea de supraveghere sau autoritățile de supraveghere responsabile cu monitorizarea și asigurarea aplicării Regulamentului (UE) 2016/679 au, de asemenea, competența de a monitoriza și a asigura aplicarea articolului 3 și a articolelor 5-10 din prezentul regulament. Se aplică, mutatis mutandis, dispozițiile relevante din Regulamentul (UE) 2016/679. Autoritățile de supraveghere au competența de a impune amenzi administrative până la concurența sumei menționate la articolul 83 alineatul (5) din Regulamentul (UE) 2016/679.

Autoritățile de supraveghere menționate la primul paragraf de la prezentul articol și autoritățile privind sănătatea digitală menționate la articolul 19 cooperează, după caz, pentru asigurarea respectării prezentului regulament, în limitele competențelor care le revin.

SECȚIUNEA 3

Infrastructura transfrontalieră pentru utilizarea primară a datelor electronice cu caracter personal privind sănătatea

Articolul 23

MyHealth@EU

(1) Comisia instituie o platformă centrală de interoperabilitate pentru sănătatea digitală (denumită în continuare „MyHealth@EU”) pentru a furniza servicii de sprijinire și facilitare a schimbului de date electronice privind sănătatea între punctele naționale de contact pentru sănătatea digitală din statele membre.

(2) Fiecare stat membru desemnează un punct național de contact pentru sănătatea digitală, ca portal organizațional și tehnic pentru furnizarea de servicii legate de schimbul transfrontalier de date electronice cu caracter personal privind sănătatea în contextul utilizării primare. Fiecare punct național de contact pentru sănătatea digitală este conectat la toate celelalte puncte naționale de contact pentru sănătatea digitală din celelalte state membre și la platforma centrală de interoperabilitate pentru sănătatea digitală în infrastructura transfrontalieră MyHealth@EU. În cazul în care un punct național de contact pentru sănătatea digitală este o entitate formată din mai multe organizații responsabile de implementarea diferitelor servicii, statul membru în cauză comunică Comisiei o descriere a distribuției sarcinilor între organizații. Fiecare stat membru informează Comisia cu privire la identitatea punctului său național de contact pentru sănătatea digitală până la 26 martie 2027. Punctul național de contact pentru sănătatea digitală poate fi desemnat în cadrul autorității privind sănătatea digitală menționate la articolul 19. Statele membre informează Comisia cu privire la orice modificare ulterioară a identității acestor puncte de contact pentru sănătatea digitală. Comisia și statele membre pun informațiile respective la dispoziția publicului.

(3) Fiecare punct național de contact pentru sănătatea digitală permite schimbul de date electronice cu caracter personal privind sănătatea menționate la articolul 14 alineatul (1) cu punctele naționale de contact pentru sănătatea digitală din alte state membre prin MyHealth@EU. Schimbul respectiv se bazează pe formatul european pentru schimbul de dosare electronice de sănătate.

În cazul în care statele membre prevăd categorii suplimentare de date electronice cu caracter personal privind sănătatea în temeiul articolului 14 alineatul (1) al treilea paragraf, punctul național de contact pentru sănătatea digitală permite schimbul de categorii suplimentare de date electronice cu caracter personal privind sănătatea menționate la articolul 14 alineatul (1) al treilea paragraf, în măsura în care statul membru în cauză a prevăzut ca respectivele categorii suplimentare de date electronice cu caracter personal privind sănătatea să fie accesate și partajate în conformitate cu articolul 14 alineatul (1) al treilea paragraf.

(4) Până la 26 martie 2027, Comisia adoptă, prin intermediul unor acte de punere în aplicare, măsurile necesare pentru dezvoltarea tehnică a MyHealth@EU, norme detaliate privind securitatea, confidențialitatea și protecția datelor electronice cu caracter personal privind sănătatea, precum și condițiile pentru verificările de conformitate necesare pentru a adera și a rămâne conectat la MyHealth@EU. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(5) Statele membre asigură conectarea tuturor furnizorilor de servicii medicale la punctele lor naționale de contact pentru sănătatea digitală. Statele membre se asigură că furnizorii conectați de servicii medicale au posibilitatea de a efectua schimburi bidirecționale de date electronice privind sănătatea cu punctul național de contact pentru sănătatea digitală.

(6) Statele membre se asigură că farmaciile care își desfășoară activitatea pe teritoriul lor, inclusiv farmaciile online, au posibilitatea de a elibera prescripții electronice emise în alte state membre, în condițiile prevăzute la articolul 11 din Directiva 2011/24/UE.

Farmaciile accesează și acceptă prescripțiile electronice care le sunt transmise din alte state membre prin intermediul MyHealth@EU, în măsura în care sunt îndeplinite condițiile prevăzute la articolul 11 din Directiva 2011/24/UE.

După eliberarea medicamentelor pe bază de prescripție electronică din alt stat membru, farmacia în cauză raportează prin intermediul MyHealth@EU eliberarea medicamentului către punctul național de contact pentru sănătatea digitală al statului membru în care s-a eliberat prescripția.

(7) Punctele naționale de contact pentru sănătatea digitală acționează în calitate de operatori asociați ai datelor electronice cu caracter personal privind sănătatea comunicate prin intermediul MyHealth@EU pentru operațiunile de prelucrare în care sunt implicate. Comisia acționează în calitate de persoană împuternicită de operator.

(8) Comisia stabilește, prin intermediul unor acte de punere în aplicare, normele privind cerințele de securitate cibernetică, interoperabilitate tehnică, interoperabilitate semantică, operațiuni și gestionarea serviciilor în ceea ce privește prelucrarea de către persoana împuternicită de operator menționată la alineatul (7) de la prezentul articol și responsabilitățile sale față de operatori, în conformitate cu capitolul IV din Regulamentul (UE) 2016/679. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(9) Punctele naționale de contact pentru sănătatea digitală îndeplinesc condițiile pentru a adera și a rămâne conectate la MyHealth@EU, astfel cum sunt prevăzute în actele de punere în aplicare menționate la alineatul (4). Conformitatea punctelor naționale de contact pentru sănătatea digitală cu condițiile respective se controlează de către Comisie prin verificări ale conformității.

Articolul 24

Servicii și infrastructuri de sănătate digitală transfrontaliere suplimentare

(1) Statele membre pot furniza, prin intermediul MyHealth@EU, servicii suplimentare care facilitează telemedicina, asistența medicală prin tehnologie mobilă, accesul persoanelor fizice la traduceri existente ale datelor lor privind sănătatea, schimbul sau verificarea certificatelor legate de sănătate, inclusiv servicii privind cardurile de vaccinare care sprijină sistemele de sănătate publică și sistemele de monitorizare a sănătății publice sau sistemele de sănătate digitală, serviciile și aplicațiile interoperabile de sănătate digitală, în vederea atingerii unui nivel ridicat de încredere și securitate, a consolidării continuității îngrijirii și a asigurării accesului la asistență medicală sigură și de înaltă calitate. Comisia, prin intermediul unor acte de punere în aplicare, stabilește aspectele tehnice ale unor astfel de servicii suplimentare. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(2) Comisia și statele membre pot facilita schimbul de date electronice cu caracter personal privind sănătatea cu alte infrastructuri, cum ar fi sistemul clinic de gestionare a pacienților sau alte servicii sau infrastructuri din domeniul sănătății, al îngrijirii sau al securității sociale, care pot deveni participanți autorizați în cadrul MyHealth@EU. Comisia, prin intermediul unor acte de punere în aplicare, stabilește aspectele tehnice ale unor astfel de schimburi. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Conectarea și deconectarea unei alte infrastructuri la sau de la platforma centrală pentru sănătatea digitală fac obiectul unei decizii a Comisiei adoptate prin intermediul unui act de punere în aplicare, pe baza rezultatului verificărilor de conformitate a aspectelor tehnice ale schimburilor, astfel cum se menționează la primul paragraf de la prezentul alineat. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(3) Un punct național de contact pentru sănătatea digitală al unei țări terțe sau un sistem instituit la nivel internațional de o organizație internațională poate deveni participant autorizat la MyHealth@EU, cu condiția ca acestea să îndeplinească cerințele MyHealth@EU în scopurile schimbului de date electronice cu caracter personal privind sănătatea, astfel cum se menționează la articolul 23, ca transferul care decurge din conexiunea la MyHealth@EU să respecte normele prevăzute în capitolul V din Regulamentul (UE) 2016/679 și ca cerințele privind măsurile juridice, organizatorice, operaționale, semantice, tehnice și de securitate cibernetică să fie echivalente cu cele aplicabile statelor membre în operarea serviciilor MyHealth@EU. Cerințele respective se controlează de către Comisie prin verificări ale conformității.

Pe baza rezultatului verificărilor conformității menționate la primul paragraf de la prezentul alineat, Comisia poate, prin intermediul unor acte de punere în aplicare, să decidă conectarea sau deconectarea punctului național de contact pentru sănătatea digitală al țării terțe sau al sistemului instituit la nivel internațional de o organizație internațională, după caz, la sau de la MyHealth@EU. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Comisia stabilește și menține o listă a punctelor naționale de contact pentru sănătatea digitală ale țărilor terțe sau a sistemelor instituite la nivel internațional de organizații internaționale care sunt conectate la MyHealth@EU în temeiul prezentului alineat și pune lista respectivă la dispoziția publicului.

CAPITOLUL III

SISTEMELE DES ȘI APLICAȚIILE DE WELLNESS

SECȚIUNEA 1

Sfera de aplicare și dispoziții generale privind sistemele DES

Articolul 25

Componente software armonizate ale sistemelor DES

(1) Sistemele DES includ o componentă software europeană de interoperabilitate pentru sistemele DES și o componentă software europeană de evidență pentru sistemele DES (denumite în continuare „componentele software armonizate ale sistemelor DES”), în conformitate cu dispozițiile prevăzute în prezentul capitol.

(2) Prezentul capitol nu se aplică software-ului de uz general utilizat într-un mediu de asistență medicală.

Articolul 26

Introducerea pe piață și punerea în funcțiune

(1) Sistemele DES sunt introduse pe piață sau puse în funcțiune numai dacă respectă dispozițiile prevăzute în prezentul capitol.

(2) Sistemele DES fabricate și utilizate în cadrul unităților medicale stabilite în Uniune, precum și sistemele DES oferite ca serviciu în sensul definiției de la articolul 1 alineatul (1) litera (b) din Directiva (UE) 2015/1535 a Parlamentului European și a Consiliului (33) unei persoane fizice sau juridice stabilite în Uniune sunt considerate ca fiind puse în funcțiune.

(3) Statele membre nu interzic și nu restricționează introducerea pe piață a sistemelor DES care sunt conforme cu prezentul regulament, din considerente legate de aspecte referitoare la componentele software armonizate ale sistemelor DES reglementate prin prezentul regulament.

Articolul 27

Legătura cu dreptul Uniunii care reglementează dispozitivele medicale, dispozitivele medicale pentru diagnostic in vitro și sistemele de IA

(1) Producătorii de dispozitive medicale sau de dispozitive medicale pentru diagnostic in vitro, în sensul definiției de la articolul 2 punctul 1 din Regulamentul (UE) 2017/745 și, respectiv, la articolul 2 punctul 2 din Regulamentul (UE) 2017/746, care declară interoperabilitatea dispozitivelor medicale sau a dispozitivelor medicale pentru diagnostic in vitro respective cu componentele software armonizate ale sistemelor DES, demonstrează conformitatea cu cerințele esențiale privind componenta software europeană de interoperabilitate pentru sistemele DES și componenta software europeană de evidență pentru sistemele DES, prevăzute în secțiunea 2 din anexa II la prezentul regulament. Articolul 36 din prezentul regulament se aplică dispozitivelor medicale și dispozitivelor medicale pentru diagnostic in vitro respective.

(2) Furnizorii de sisteme de IA considerate cu grad ridicat de risc în conformitate cu articolul 6 din Regulamentul (UE) 2024/1689 (denumite în continuare „sisteme de IA cu grad ridicat de risc”) și care nu intră în domeniul de aplicare al Regulamentului (UE) 2017/745 sau (UE) 2017/746, care declară că respectivele sisteme de IA cu grad ridicat de risc sunt interoperabile cu componentele software armonizate ale sistemelor DES, demonstrează conformitatea cu cerințele esențiale privind componenta software europeană de interoperabilitate pentru sistemele DES și componenta software europeană de evidență pentru sistemele DES, astfel cum sunt prevăzute în secțiunea 2 din anexa II la prezentul regulament. Articolul 36 din prezentul regulament se aplică respectivelor sisteme de IA cu grad ridicat de risc.

Articolul 28

Mențiuni

În fișa de informații, în instrucțiunile de utilizare sau în alte informații de însoțire a sistemelor DES și în publicitatea sistemelor DES, se interzice utilizarea de text, nume, mărci comerciale, imagini și semne figurative sau alte semne care ar putea induce în eroare utilizatorul profesionist, în sensul definiției de la articolul 3 punctul 8 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului (34), în ceea ce privește scopul propus, interoperabilitatea și securitatea prin:

(a)	atribuirea unor funcții și proprietăți sistemului DES pe care acesta nu le prezintă;

(b)	neinformarea utilizatorului profesionist cu privire la posibilele limitări legate de caracteristicile de interoperabilitate sau de securitate ale sistemului DES în legătură cu scopul propus al acestuia;

(c)	recomandarea altor utilizări ale sistemului DES decât cele menționate ca făcând parte din scopul propus în documentația tehnică.

Articolul 29

Achiziționarea, rambursarea și finanțarea

Statele membre pot menține sau defini norme specifice pentru achiziționarea, finanțarea sau rambursarea sistemelor DES în contextul organizării, furnizării sau finanțării serviciilor de asistență medicală, cu condiția ca astfel de norme să respecte dreptul Uniunii și să nu afecteze funcționarea sau conformitatea componentelor software armonizate ale sistemelor DES.

SECȚIUNEA 2

Obligațiile operatorilor economici cu privire la sistemele DES

Articolul 30

Obligațiile producătorilor de sisteme DES

(1) Producătorii de sisteme DES:

(a)	se asigură că componentele software armonizate ale sistemelor lor DES și sistemele DES propriu-zise, în măsura în care prezentul capitol stabilește cerințe pentru acestea, sunt în conformitate cu cerințele esențiale prevăzute în anexa II și cu specificațiile comune în conformitate cu articolul 36;

(b)	se asigură că componentele software armonizate ale sistemelor lor DES nu sunt afectate negativ de alte componente software ale aceluiași sistem DES;

(c)	întocmesc documentația tehnică a sistemelor lor DES în conformitate cu articolul 37 înainte de a introduce respectivele sisteme DES pe piață și, ulterior, o actualizează;

(d)	se asigură că sistemele lor DES sunt însoțite, în mod gratuit pentru utilizator, de fișa de informații prevăzută la articolul 38 și de instrucțiuni de utilizare clare și complete;

(e)	întocmesc declarația de conformitate UE în conformitate cu articolul 39;

(f)	aplică marcajul de conformitate CE în conformitate cu articolul 41;

(g)

indică numele, denumirea comercială înregistrată sau marca înregistrată, adresa poștală și pagina de internet, adresa de e-mail sau alte date de contact digital la care pot fi contactați, în sistemul DES; indică în datele de contact un punct unic la care poate fi contactat producătorul; datele de contact se prezintă într-o limbă ușor de înțeles de către utilizatori și de către autoritățile de supraveghere a pieței;

(h)	respectă obligațiile de înregistrare menționate la articolul 49;

(i)

iau, fără întârzieri nejustificate, orice măsură corectivă necesară în ceea ce privește sistemele lor DES, atunci când producătorii consideră sau au motive să creadă că astfel de sisteme nu sunt sau nu mai sunt în conformitate cu cerințele esențiale prevăzute în anexa II sau recheamă sau retrag astfel de sisteme; ulterior, producătorii de sisteme DES informează autoritățile naționale ale statelor membre în care au pus la dispoziție pe piață sistemele lor DES sau le-au pus în funcțiune cu privire la neconformitate, cu privire la orice măsură corectivă întreprinsă, inclusiv cu privire la calendarul de punere în aplicare, și cu privire la data la care componentele software armonizate ale sistemelor lor DES au fost aduse în conformitate sau au fost rechemate sau retrase;

(j)	informează distribuitorii cu privire la sistemele lor DES și, după caz, reprezentantul autorizat, importatorii și utilizatorii cu privire la neconformitate și la orice măsură corectivă, de rechemare sau retragere a sistemelor DES respective;

(k)	informează distribuitorii sistemelor lor DES și, după caz, reprezentanții autorizați, importatorii și utilizatorii cu privire la orice acțiune obligatorie de mentenanță preventivă a sistemelor lor DES și la frecvența acesteia;

(l)

la cerere, furnizează autorităților de supraveghere a pieței din statul membru în cauză, într-o limbă oficială a statului membru respectiv, toate informațiile și documentația necesară pentru a demonstra conformitatea sistemelor DES pe care le-au introdus pe piață sau le-au pus în funcțiune cu cerințele esențiale prevăzute în anexa II;

(m)

cooperează cu autoritățile de supraveghere a pieței, la cererea acestora, cu privire la orice acțiune întreprinsă pentru a aduce sistemele DES pe care le-au introdus pe piață sau le-au pus în funcțiune în conformitate cu cerințele esențiale prevăzute în anexa II și cu eventualele cerințe adoptate în temeiul articolului 42, într-o limbă oficială a statului membru în cauză;

(n)	înființează canale pentru depunerea de plângeri și informează distribuitorii în această privință;

(o)	țin un registru al plângerilor și un registru al sistemelor DES neconforme și informează distribuitorii în această privință.

(2) Producătorii de sisteme DES se asigură că sunt instituite proceduri pentru a se asigura că proiectarea, dezvoltarea și implementarea componentelor software armonizate ale unui sistem DES continuă să respecte cerințele esențiale prevăzute în anexa II și specificațiile comune menționate la articolul 36. Modificările aduse proiectării sau caracteristicilor sistemului DES referitor la componentele software armonizate ale unui sistem DES sunt luate în considerare în mod corespunzător și sunt reflectate în documentația tehnică.

(3) Producătorii de sisteme DES păstrează documentația tehnică menționată la articolul 37 și declarația de conformitate UE menționată la articolul 39 timp de 10 ani de la introducerea pe piață a sistemului DES vizat de declarația de conformitate UE.

Producătorii de sisteme DES pun la dispoziția autorităților competente codul sursă sau logica de programare inclusă în documentația tehnică, în urma unei cereri motivate, dacă codul sursă sau logica de programare respectivă este necesară pentru ca autoritățile menționate să poată verifica conformitatea cu cerințele esențiale prevăzute în anexa II.

(4) Producătorul de sisteme DES stabilit în afara Uniunii se asigură că reprezentantul său autorizat dispune în permanență de documentația necesară pentru a îndeplini sarcinile menționate la articolul 31 alineatul (2).

(5) În urma unei cereri motivate din partea unei autorități de supraveghere a pieței, producătorii de sisteme DES îi furnizează acesteia, pe suport de hârtie sau în format electronic, toate informațiile și documentația necesară pentru a demonstra conformitatea sistemului DES cu cerințele esențiale prevăzute în anexa II și cu specificațiile comune menționate la articolul 36, într-o limbă ușor de înțeles de către autoritatea de supraveghere a pieței în cauză. Producătorii de sisteme DES cooperează cu autoritatea de supraveghere a pieței, la cererea acesteia, cu privire la orice măsură luată pentru eliminarea riscurilor prezentate de un sistem DES pe care l-au introdus pe piață sau l-au pus în funcțiune.

Articolul 31

Reprezentanți autorizați

(1) Înainte de a pune la dispoziție un sistem DES pe piața Uniunii, producătorul unui sistem DES stabilit în afara Uniunii desemnează, printr-un mandat scris, un reprezentant autorizat care este stabilit în Uniune.

(2) Reprezentantul autorizat îndeplinește sarcinile prevăzute în mandatul convenit cu producătorul. Mandatul permite reprezentantului autorizat să îndeplinească cel puțin următoarele:

(a)	menține declarația de conformitate UE și documentația tehnică menționată la articolul 37 la dispoziția autorităților de supraveghere a pieței pe durata menționată la articolul 30 alineatul (3);

(b)

în urma unei cereri motivate din partea unei autorități de supraveghere a pieței, furnizează autorităților din statul membru în cauză o copie a mandatului și toate informațiile și documentația necesară pentru a demonstra conformitatea unui sistem DES cu cerințele esențiale prevăzute în anexa II, precum și cu cerințele specifice menționate la articolul 36;

(c)	informează fără întârzieri nejustificate producătorul dacă reprezentantul autorizat are motive să creadă că un sistem DES nu mai este conform cu cerințele esențiale prevăzute în anexa II;

(d)	informează fără întârzieri nejustificate producătorul cu privire la orice plângere primită de la consumatori sau utilizatorii profesioniști;

(e)	cooperează cu autoritățile de supraveghere a pieței, la cererea acestora, cu privire la orice măsură corectivă întreprinsă în legătură cu sistemele DES care fac obiectul mandatului lor;

(f)	revocă mandatul dacă producătorul nu îndeplinește obligațiile care îi revin în temeiul prezentului regulament;

(g)	se asigură că documentația tehnică menționată la articolul 37 poate fi pusă la dispoziția autorităților relevante, la cerere.

(3) În cazul schimbării reprezentantului autorizat, modalitățile detaliate privind o astfel de schimbare vizează cel puțin următoarele aspecte:

(a)	data încetării mandatului reprezentantului autorizat căruia i-a fost revocat mandatul și data începerii mandatului noului reprezentant autorizat;

(b)	transferul de documente, inclusiv aspectele legate de confidențialitate și de drepturile de proprietate.

(4) În cazul în care producătorul este stabilit în afara Uniunii și nu a respectat obligațiile prevăzute la articolul 30, reprezentantul autorizat este răspunzător în solidar pentru nerespectarea prezentului regulament în egală măsură cu producătorul.

Articolul 32

Obligațiile importatorilor

(1) Importatorii introduc pe piața Uniunii numai sisteme DES care sunt în conformitate cu cerințele esențiale prevăzute în anexa II, precum și cu cerințele menționate la articolul 36.

(2) Înainte de punerea la dispoziție pe piață a unui sistem DES, importatorii se asigură că:

(a)	producătorul a întocmit documentația tehnică menționată la articolul 37 și declarația de conformitate UE;

(b)	producătorul este identificat și a fost desemnat un reprezentant autorizat în conformitate cu articolul 31;

(c)	sistemul DES poartă marcajul de conformitate CE menționat la articolul 41, după finalizarea procedurii de evaluare a conformității;

(d)	sistemul DES este însoțit de fișa de informații menționată la articolul 38, cu instrucțiuni clare și complete de utilizare, inclusiv pentru mentenanța acestuia, în formate accesibile.

(3) Importatorii își indică numele, denumirea comercială înregistrată sau marca înregistrată, adresa poștală, pagina de internet, adresa de e-mail sau alte date de contact digital la care pot fi contactați, într-un document de însoțire a sistemului DES. Datele de contact indică un punct unic la care poate fi contactat producătorul și se prezintă într-o limbă care este ușor de înțeles de către utilizatori și de către autoritățile de supraveghere a pieței. Importatorii se asigură că orice etichetă suplimentară aplicată nu ascunde și nu acoperă nicio informație dintre cele furnizate de producător care apar pe oricare dintre etichetele inițiale furnizate de sistemul DES.

(4) Importatorii se asigură că, atât timp cât un sistem DES se află în responsabilitatea lor, sistemul DES nu este modificat într-un mod care pune în pericol conformitatea sa cu cerințele esențiale prevăzute în anexa II și cu eventualele cerințe adoptate în temeiul articolului 42.

(5) În cazul în care importatorul consideră sau are motive să creadă că un sistem DES nu este sau nu mai este conform cu cerințele esențiale prevăzute în anexa II și cu eventualele cerințe adoptate în temeiul articolului 42, acesta nu pune la dispoziție pe piață sistemul DES respectiv sau, dacă sistemul DES respectiv deja a fost introdus pe piață, îl recheamă sau îl retrage, până când sistemul DES respectiv este adus în conformitate. În cazul unei astfel de rechemări sau retrageri, importatorul informează imediat, fără întârzieri nejustificate, producătorul respectivului sistem DES, utilizatorii și autoritățile de supraveghere a pieței din statul membru în care a pus la dispoziție pe piață sistemul DES, cu privire la o astfel de rechemare sau retragere, precizând detalii, în special, cu privire la neconformitate și la orice măsuri corective luate.

Dacă un importator consideră sau are motive să creadă că un sistem DES prezintă un risc pentru sănătatea sau siguranța persoanelor fizice, acesta informează, fără întârzieri nejustificate, autoritățile de supraveghere a pieței din statul membru în care este stabilit, precum și producătorul și, după caz, reprezentantul autorizat.

(6) Importatorii păstrează o copie a declarației de conformitate UE la dispoziția autorităților de supraveghere a pieței pentru perioada menționată la articolul 30 alineatul (3) și se asigură că documentația tehnică menționată la articolul 37 poate fi pusă la dispoziția acestor autorități, la cerere.

(7) Importatorii, în urma unei cereri motivate din partea autorităților de supraveghere a pieței ale statelor membre în cauză, furnizează acestora toate informațiile și documentația necesară pentru a demonstra conformitatea unui sistem DES. Importatorii cooperează cu autoritățile respective, la cererea acestora, cu producătorul și, după caz, cu reprezentantul autorizat într-o limbă oficială a statului membru în care se află autoritatea de supraveghere a pieței. Importatorii cooperează cu autoritățile respective, la cererea acestora, cu privire la orice acțiune întreprinsă pentru a-și aduce sistemele DES în conformitate cu cerințele esențiale care vizează componentele software armonizate prevăzute în anexa II sau pentru a asigura că sistemele DES care nu sunt în conformitate cu cerințele esențiale menționate sunt rechemate sau retrase.

(8) Importatorii stabilesc canale de raportare și se asigură că acestea sunt accesibile pentru a permite utilizatorilor să depună plângeri, și țin un registru al plângerilor, al sistemelor DES neconforme și al rechemărilor și retragerilor de sisteme DES. Importatorii verifică dacă canalele de depunere a plângerilor stabilite în temeiul articolului 30 alineatul (1) litera (n) sunt disponibile public, permițând utilizatorilor să prezinte reclamații și să primească orice comunicare privind orice risc legat de sănătate și siguranță sau de alte aspecte care țin de protecția interesului public și permițând utilizatorilor să fie informați cu privire la orice incident grav care implică un sistem DES. În cazul în care astfel de canale de depunere a plângerilor nu au fost stabilite, importatorii le creează și țin seama de nevoile de accesibilitate ale grupurilor vulnerabile și ale persoanelor cu dizabilități.

(9) Importatorii investighează plângerile și continuă analiza informațiilor primite privind incidentele legate de sistemele DES pe care le-au pus la dispoziție pe piață. Importatorii înregistrează reclamațiile respective, orice rechemare sau retragere de sisteme și orice măsuri corective luate pentru a aduce în conformitate sistemul DES, în registrul menționat la articolul 30 alineatul (1) litera (o) sau în propriul lor registru intern. Importatorii informează în timp util producătorul, distribuitorii și, dacă este cazul, reprezentanții autorizați cu privire la investigația și analiza ulterioară efectuată și cu privire la rezultatele investigației și analizei ulterioare.

Articolul 33

Obligațiile distribuitorilor

(1) Înainte de a pune la dispoziție pe piață un sistem DES, distribuitorii verifică dacă:

(a)	producătorul a întocmit declarația de conformitate UE;

(b)	sistemul DES poartă marcajul de conformitate CE;

(c)	sistemul DES este însoțit de fișa de informații menționată la articolul 38 și de instrucțiuni clare și complete de utilizare în formate accesibile;

(d)	după caz, dacă importatorul a îndeplinit cerințele prevăzute la articolul 32 alineatul (3).

(2) Distribuitorii se asigură că, atât timp cât un sistem DES se află în responsabilitatea lor, sistemul DES nu este modificat într-un mod care pune în pericol conformitatea sa cu cerințele esențiale prevăzute în anexa II și cu eventualele cerințe adoptate în temeiul articolului 42.

(3) În cazul în care un distribuitor consideră sau are motive să creadă că un sistem DES nu este conform cu cerințele esențiale din anexa II și cu eventualele cerințe adoptate în temeiul articolului 42, acesta nu pune la dispoziție pe piață sistemul DES respectiv până când acesta nu a fost adus în conformitate. Distribuitorul informează în acest sens, fără întârzieri nejustificate, producătorul sau importatorul, precum și autoritățile de supraveghere a pieței din statele membre în care sistemul DES a fost pus sau urmează să fie pus la dispoziție pe piață. Dacă un distribuitor consideră sau are motive să creadă că un sistem DES prezintă un risc pentru sănătatea sau siguranța persoanelor fizice, acesta informează autoritățile de supraveghere a pieței din statul membru în care distribuitorul este stabilit, precum și producătorul și importatorul.

(4) Distribuitorii, în urma unei cereri motivate din partea unei autorități de supraveghere a pieței, furnizează acesteia toate informațiile și documentația necesară pentru a demonstra conformitatea sistemului DES. Distribuitorii cooperează cu autoritatea respectivă, la cererea acesteia, cu producătorul, cu importatorul și, după caz, cu reprezentantul autorizat al producătorului cu privire la orice acțiune întreprinsă pentru a aduce un sistem DES în conformitate cu cerințele esențiale prevăzute în anexa II și cu eventualele cerințe adoptate în temeiul articolului 42 sau pentru a-l rechema ori retrage.

Articolul 34

Cazurile în care obligațiile producătorilor unui sistem DES se aplică altor entități sau persoane

În sensul prezentului regulament, un importator, un distribuitor sau un utilizator este considerat producător și este supus obligațiilor prevăzute la articolul 30 în cazul în care:

(a)	pune la dispoziție pe piață un sistem DES sub numele sau marca sa;

(b)	modifică un sistem DES deja introdus pe piață în așa fel încât conformitatea cu cerințele aplicabile ar putea fi afectată; sau

(c)	modifică un sistem DES într-un mod care conduce la modificări ale scopului propus declarat de producător.

Articolul 35

Identificarea operatorilor economici

Operatorii economici informează, la cerere, autoritățile de supraveghere a pieței, pe o perioadă de 10 ani de la data introducerii pe piață a ultimului sistem DES vizat de declarația de conformitate UE, cu privire la:

(a)	orice operator economic care le-a furnizat un sistem DES; și

(b)	orice operator economic căruia i-au furnizat un sistem DES.

SECȚIUNEA 3

Conformitatea componentelor software armonizate ale sistemelor DES

Articolul 36

Specificațiile comune

(1) Până la 26 martie 2027, Comisia adoptă, prin intermediul unor acte de punere în aplicare, specificații comune cu privire la cerințele esențiale prevăzute în anexa II, inclusiv un model comun și un termen pentru punerea în aplicare a specificațiilor comune respective. După caz, specificațiile comune respective țin seama de particularitățile dispozitivelor medicale și ale sistemelor de IA cu grad ridicat de risc menționate la articolul 27 alineatele (1) și, respectiv, (2), inclusiv cu standardele de ultimă oră pentru informatica medicală și cu formatul european pentru schimbul de dosare electronice de sănătate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(2) Specificațiile comune menționate la alineatul (1) includ următoarele informații și elemente:

(a)	domeniul lor de aplicare;

(b)	aplicabilitatea lor la diferite categorii de sisteme DES sau funcții incluse în acestea;

(c)	versiunea lor;

(d)	perioada lor de valabilitate;

(e)	o parte normativă;

(f)	o parte explicativă, inclusiv orice orientări relevante privind punerea în aplicare.

(3) Specificațiile comune menționate la alineatul (1) pot include elemente legate de următoarele:

(a)	seturile de date care conțin date electronice privind sănătatea și care definesc structurile, cum ar fi câmpurile de date și grupurile de date pentru reprezentarea conținutului clinic și alte părți ale datelor electronice privind sănătatea;

(b)

sistemele de codificare și valorile care trebuie să fie utilizate în seturile de date care conțin date electronice privind sănătatea, ținând seama în mod corespunzător atât de eventuala armonizare a terminologiilor în viitor, cât și de compatibilitatea acestora cu terminologiile naționale existente;

(c)	alte cerințe legate de calitatea datelor, cum ar fi caracterul complet și acuratețea datelor electronice privind sănătatea;

(d)	specificațiile tehnice, standardele și profilurile pentru schimbul de date electronice privind sănătatea;

(e)	cerințele și principiile legate de siguranța pacienților și de securitate, confidențialitate, integritate și protecția datelor electronice privind sănătatea;

(f)	specificațiile și cerințele legate de gestionarea identificării și utilizarea identificării electronice.

(4) Sistemele DES, dispozitivele medicale, dispozitivele medicale de diagnosticare in vitro și sistemele de IA cu risc ridicat menționate la articolele 25 și 27 care sunt în conformitate cu specificațiile comune menționate la alineatul (1) de la prezentul articol sunt considerate a fi în conformitate cu cerințele esențiale acoperite de specificațiile comune respective sau de părți ale acestora, prevăzute în anexa II, și sunt considerate a fi acoperite de specificațiile comune respective sau de părțile relevante ale acestora.

(5) În cazul în care specificațiile comune care acoperă cerințele de interoperabilitate și securitate ale sistemelor DES afectează dispozitivele medicale, dispozitivele medicale de diagnostic in vitro sau sistemele de IA cu grad ridicat de risc care intră sub incidența altor acte juridice, cum ar fi Regulamentul (UE) 2017/745, (UE) 2017/746 sau (UE) 2024/1689, adoptarea specificațiilor comune respective poate fi precedată de o consultare cu Grupul de coordonare privind dispozitivele medicale (MDCG) înființat prin articolul 103 din Regulamentul (UE) 2017/745 sau cu Consiliul european pentru inteligența artificială instituit prin articolul 65 din Regulamentul (UE) 2024/1689 și cu Comitetul european pentru protecția datelor (CEPD), după caz.

(6) În cazul în care specificațiile comune care acoperă cerințele de interoperabilitate și securitate ale dispozitivelor medicale, ale dispozitivelor medicale de diagnostic in vitro sau ale sistemelor de IA cu grad ridicat de risc care intră sub incidența altor acte juridice, cum ar fi Regulamentul (UE) 2017/745, (UE) 2017/746 sau (UE) 2024/1689, afectează sistemele DES, Comisia se asigură că adoptarea specificațiilor comune respective este precedată de o consultare cu Consiliul SEDS și cu CEPD, după caz.

Articolul 37

Documentația tehnică

(1) Producătorii întocmesc documentația tehnică înainte ca sistemul DES să fie introdus pe piață sau pus în funcțiune și mențin această documentație la zi.

(2) Documentația tehnică menționată la alineatul (1) de la prezentul articol demonstrează că sistemul DES respectă cerințele esențiale prevăzute în anexa II și furnizează autorităților de supraveghere a pieței toate informațiile necesare pentru a evalua conformitatea sistemului DES cu cerințele respective. Documentația tehnică respectivă conține cel puțin elementele prevăzute în anexa III și o trimitere la rezultatele obținute dintr-un mediu european de testare digitală menționat la articolul 40.

(3) Documentația tehnică menționată la alineatul (1) se întocmește într-o limbă oficială a statului membru în cauză sau într-o limbă care este ușor de înțeles în statul membru respectiv. La cererea motivată a autorității de supraveghere a pieței dintr-un stat membru, producătorul oferă o traducere a părților relevante din documentația tehnică într-o limbă oficială a respectivului stat membru.

(4) Atunci când o autoritate de supraveghere a pieței solicită o documentație tehnică sau o traducere a unor părți ale acesteia din partea unui producător, producătorul furnizează o astfel de documentație sau traducere în termen de 30 de zile de la data solicitării, cu excepția cazului în care un termen mai scurt este justificat de un risc grav și imediat. În cazul în care producătorul nu respectă cerințele de la alineatele (1), (2) și (3) de la prezentul articol, autoritatea de supraveghere a pieței îi poate solicita acestuia să dispună efectuarea unui test de către un organism independent, pe cheltuiala sa, într-un anumit interval de timp, pentru a verifica conformitatea cu cerințele esențiale prevăzute în anexa II și cu specificațiile comune menționate la articolul 36.

Articolul 38

Fișa de informații de însoțire a sistemului DES

(1) Sistemele DES sunt însoțite de o fișă de informații care include informații concise, complete, corecte și clare, care sunt relevante, accesibile și inteligibile pentru utilizatorii profesioniști.

(2) Fișa de informații menționată la alineatul (1) precizează:

(a)	identitatea, denumirea comercială înregistrată sau marca înregistrată și datele de contact ale producătorului și, după caz, ale reprezentantului său autorizat;

(b)	denumirea și versiunea sistemului DES și data lansării acestuia;

(c)	scopul său propus al sistemului DES;

(d)	categoriile de date electronice privind sănătatea pe care sistemul DES a fost conceput să le prelucreze;

(e)	standardele, formatele și specificațiile suportate de sistemul DES, precum și versiunile standardelor, formatelor și specificațiilor respective.

(3) Ca alternativă la furnizarea fișei de informații menționate la alineatul (1) de la prezentul articol către sistemul DES, producătorii pot introduce informațiile menționate la alineatul (2) de la prezentul articol în baza de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness menționată la articolul 49.

Articolul 39

Declarația de conformitate UE

(1) Declarația de conformitate UE menționată la articolul 30 alineatul (1) litera (e) stipulează faptul că producătorul unui sistem DES a demonstrat că au fost îndeplinite cerințele esențiale prevăzute în anexa II.

(2) În cazul în care un sistem DES face obiectul altor acte juridice ale Uniunii în ceea ce privește aspecte care nu sunt reglementate de prezentul regulament, care impun, de asemenea, o declarație de conformitate UE din partea producătorului în care se stipulează că s-a demonstrat îndeplinirea cerințelor prevăzute în actele juridice respective, se întocmește o singură declarație de conformitate UE pentru toate actele juridice ale Uniunii aplicabile sistemului DES. Respectiva declarație de conformitate UE conține toate informațiile necesare pentru identificarea actelor juridice ale Uniunii la care face referire aceasta.

(3) Declarația de conformitate UE conține informațiile prevăzute în anexa IV și se traduce în una sau mai multe limbi oficiale ale Uniunii stabilite de statele membre în care se pune la dispoziție sistemul DES.

(4) În cazul în care o declarație de conformitate UE este redactată în format digital, aceasta este accesibilă online pe durata de viață preconizată a sistemului DES și, în orice caz, timp de cel puțin 10 ani de la introducerea pe piață sau punerea în funcțiune a sistemului DES.

(5) Prin redactarea declarației de conformitate UE, producătorul își asumă responsabilitatea pentru conformitatea componentelor software armonizate ale sistemului DES cu cerințele prevăzute în prezentul regulament atunci când acesta este introdus pe piață sau pus în funcțiune.

(6) Comisia publică un model standard uniform pentru declarația de conformitate UE și îl pune la dispoziție în format digital în toate limbile oficiale ale Uniunii.

Articolul 40

Mediul european de testare digitală

(1) Comisia dezvoltă un mediu european de testare digitală pentru evaluarea componentelor software armonizate ale sistemelor DES. Comisia pune la dispoziție software-ul care sprijină mediul european de testare digitală ca sursă deschisă.

(2) Statele membre exploatează medii de testare digitală pentru evaluarea componentelor software armonizate ale sistemelor DES. Aceste medii de testare digitală respectă specificațiile comune pentru mediul european de testare digitală stabilit în temeiul alineatului (4). Statele membre informează Comisia cu privire la mediile de testare digitală.

(3) Înainte de introducerea pe piață a sistemelor DES, producătorii utilizează mediile de testare digitale menționate la alineatele (1) și (2) de la prezentul articol pentru evaluarea componentelor software armonizate ale sistemelor DES. Rezultatele evaluării respective sunt incluse în documentația tehnică menționată la articolul 37. Elementele în a căror privință rezultatele evaluării sunt pozitive sunt prezumate a fi în conformitate cu prezentul regulament.

(4) Comisia stabilește, prin intermediul unor acte de punere în aplicare, specificații comune pentru mediul european de testare digitală. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 41

Marcajul de conformitate CE

(1) Marcajul de conformitate CE se aplică în mod vizibil, lizibil și indelebil pe documentele de însoțire a sistemului DES și, după caz, pe ambalajul sistemului DES.

(2) Marcajul de conformitate CE se aplică înainte ca sistemul DES să fie introdus pe piață.

(3) Marcajul de conformitate CE este guvernat de principiile generale prevăzute la articolul 30 din Regulamentul (CE) nr. 765/2008.

Articolul 42

Cerințe naționale și raportarea către Comisie

(1) Statele membre pot adopta cerințe naționale pentru sistemele DES și dispoziții privind evaluarea conformității acestora în ceea ce privește alte aspecte decât componentele software armonizate ale sistemelor DES.

(2) Cerințele sau dispozițiile naționale menționate la alineatul (1) nu afectează în mod negativ cu componentele software armonizate ale sistemelor DES.

(3) Atunci când statele membre adoptă cerințe sau dispoziții în conformitate cu alineatul (1), acestea informează Comisia în acest sens.

SECȚIUNEA 4

Supravegherea pieței sistemelor DES

Articolul 43

Autoritățile de supraveghere a pieței

(1) Regulamentul (UE) 2019/1020 se aplică sistemelor DES în ceea ce privește cerințele aplicabile sistemelor DES și riscurile prezentate de sistemele DES care intră sub incidența prezentului capitol.

(2) Statele membre desemnează autoritatea sau autoritățile de supraveghere a pieței responsabile de punerea în aplicare a prezentului capitol. Statele membre se asigură că autoritățile de supraveghere a pieței dispun de competențele necesare și le pun la dispoziție resursele umane, financiare și tehnice, echipamentele și cunoștințele necesare pentru buna desfășurare a sarcinilor care le revin în temeiul prezentului regulament. Autoritățile de supraveghere a pieței sunt împuternicite să ia măsurile de supraveghere a pieței menționate la articolul 16 din Regulamentul (UE) 2019/1020 pentru a asigura respectarea obligațiilor prevăzute în prezentul capitol. Statele membre comunică Comisiei identitatea autorităților de supraveghere a pieței pe care le desemnează. Comisia și statele membre pun informațiile respective la dispoziția publicului.

(3) Autoritățile de supraveghere a pieței desemnate în temeiul alineatului (2) de la prezentul articol pot fi aceleași autorități ca cele privind sănătatea digitală desemnate în temeiul articolului 19. În cazul în care o autoritate privind sănătatea digitală îndeplinește sarcini ale unei autorități de supraveghere a pieței, statele membre se asigură că se evită orice conflict de interese.

(4) Autoritățile de supraveghere a pieței raportează anual Comisiei rezultatele activităților relevante de supraveghere a pieței.

(5) Dacă un producător sau un alt operator economic nu cooperează cu o autoritate de supraveghere a pieței sau în cazul în care informațiile și documentația pe care aceștia le-au furnizat sunt incomplete sau incorecte, autoritatea de supraveghere a pieței poate lua toate măsurile corespunzătoare pentru a interzice sau a restricționa punerea la dispoziție pe piață a sistemului DES în cauză până când producătorul sau operatorul economic în cauză cooperează sau furnizează informații complete și corecte ori pentru a rechema sau a retrage de pe piață respectivul sistem DES.

(6) Autoritățile de supraveghere a pieței din statele membre cooperează între ele și cu Comisia. Comisia facilitează organizarea schimburilor de informații necesare pentru o astfel de cooperare.

(7) În ceea ce privește dispozitivele medicale, dispozitivele medicale de diagnostic in vitro sau sistemele de IA cu grad ridicat de risc menționate la articolul 27 alineatele (1) și (2), autoritățile responsabile de supravegherea pieței sunt cele menționate la articolul 93 din Regulamentul (UE) 2017/745, la articolul 88 din Regulamentul (UE) 2017/746 sau la articolul 70 din Regulamentul (UE) 2024/1689, după caz.

Articolul 44

Gestionarea riscurilor prezentate de sistemele DES și a incidentelor grave

(1) În cazul în care o autoritate de supraveghere a pieței dintr-un stat membru are motive să creadă că un sistem DES prezintă un risc pentru sănătatea, siguranța sau drepturile persoanelor fizice sau pentru protecția datelor cu caracter personal, respectiva autoritate de supraveghere a pieței efectuează o evaluare cu privire la sistemul DES în cauză, acoperind toate cerințele relevante prevăzute în prezentul regulament. Producătorul, reprezentantul autorizat al producătorului și toți ceilalți operatori economici relevanți cooperează, după caz, cu autoritatea de supraveghere a pieței în acest scop și iau toate măsurile corespunzătoare pentru a se asigura că sistemul DES în cauză nu mai prezintă riscul respectiv atunci când este introdus pe piață ori pentru a rechema sau pentru a retrage sistemul DES de pe piață într-un termen rezonabil.

(2) Dacă autoritățile de supraveghere a pieței dintr-un stat membru consideră că neconformitatea sistemului DES nu se limitează la teritoriul lor național, acestea informează Comisia și autoritățile de supraveghere a pieței din celelalte state membre cu privire la rezultatele evaluării menționate la alineatul (1) de la prezentul articol și la măsurile corective pe care le-au solicitat din partea operatorului economic în temeiul articolului 16 alineatul (2) din Regulamentul (UE) 2019/1020.

(3) Dacă o autoritate de supraveghere a pieței constată că un sistem DES a cauzat prejudicii sănătății sau siguranței persoanelor fizice sau anumitor aspecte legate de protecția interesului public, producătorul furnizează imediat informații și documentație, după caz, persoanei fizice sau utilizatorului afectat și, după caz, altor părți terțe afectate de respectivul prejudiciu, fără a aduce atingere normelor privind protecția datelor.

(4) Operatorul economic în cauză menționat la alineatul (1) se asigură că sunt întreprinse măsurile corective în ceea ce privește toate sistemele DES vizate pe care le-a introdus pe piață în întreaga Uniune.

(5) Autoritatea de supraveghere a pieței informează, fără întârzieri nejustificate, Comisia și autoritățile de supraveghere a pieței sau, dacă este cazul, autoritățile de supraveghere în temeiul Regulamentului (UE) 2016/679 din alte state membre cu privire la măsurile corective menționate la alineatul (2). Informațiile includ toate detaliile disponibile, în special datele necesare pentru identificarea sistemului DES în cauză, originea și lanțul de aprovizionare aferent sistemului DES, natura riscului implicat, precum și natura și durata măsurilor naționale luate.

(6) Dacă o constatare a unei autorități de supraveghere a pieței sau un incident grav de care aceasta este informată privește protecția datelor cu caracter personal, respectiva autoritate de supraveghere a pieței informează, fără întârzieri nejustificate, autoritățile de supraveghere relevante în temeiul Regulamentului (UE) 2016/679 și cooperează cu acestea.

(7) Producătorii sistemelor DES introduse pe piață sau puse în funcțiune raportează orice incident grav care implică un sistem DES autorităților de supraveghere a pieței din statele membre în care a avut loc un astfel de incident grav și din statele membre în care sunt introduse pe piață sau puse în funcțiune astfel de sisteme DES. Raportarea respectivă conține, de asemenea, o descriere a măsurilor corective întreprinse sau avute în vedere de producător. Statele membre pot prevedea ca utilizatorii sistemelor DES introduse pe piață sau puse în funcțiune să aibă posibilitatea de a raporta astfel de incidente.

Raportarea impusă în temeiul primului paragraf de la prezentul alineat se efectuează, fără a aduce atingere cerințelor de notificare a incidentelor în temeiul Directivei (UE) 2022/2555, imediat după ce producătorul a stabilit o legătură de cauzalitate între sistemul DES și incidentul grav sau probabilitatea rezonabilă a unei astfel de legături și, în orice caz, în termen de cel mult trei zile de la data la care producătorul a luat cunoștință de incidentul grav care implică sistemul DES.

(8) Autoritățile de supraveghere a pieței menționate la alineatul (7) informează fără întârziere celelalte autorități de supraveghere a pieței cu privire la incidentul grav și la măsurile corective luate sau avute în vedere de producător sau solicitate acestuia pentru a reduce la minimum riscul de recurență a incidentului grav.

(9) În cazul în care sarcinile autorității de supraveghere a pieței nu sunt îndeplinite de autoritatea privind sănătatea digitală, autoritatea de supraveghere a pieței cooperează cu autoritatea privind sănătatea digitală. Autoritatea de supraveghere a pieței informează autoritatea privind sănătatea digitală cu privire la orice incidente grave, cu privire la sisteme DES care prezintă un risc, inclusiv riscuri legate de interoperabilitate, securitate și siguranța pacienților, cu privire la orice măsură corectivă, precum și cu privire la orice rechemare sau retragere a unor astfel de sisteme DES.

(10) În cazul incidentelor care pun în pericol siguranța pacienților sau securitatea informațiilor, autoritățile de supraveghere a pieței pot lua măsuri imediate și pot solicita producătorului sistemului DES în cauză, reprezentantului său autorizat și altor operatori economici, dacă e cazul, să ia măsuri corective imediate.

Articolul 45

Gestionarea neconformității

(1) În cazul în care o autoritate de supraveghere a pieței constată un caz de neconformitate, aceasta solicită producătorului sistemului DES în cauză, reprezentantului său autorizat și tuturor celorlalți operatori economici relevanți să ia, într-un anumit termen, măsurile corective necesare pentru a aduce sistemul DES în conformitate. Astfel de constatări de neconformitate includ următoarele, fără a se limita la acestea:

(a)	sistemul DES nu este în conformitate cu cerințele esențiale prevăzute în anexa II sau cu specificațiile comune menționate la articolul 36;

(b)	documentația tehnică nu este disponibilă, este incompletă ori nu este conformă cu articolul 37;

(c)	declarația de conformitate UE nu a fost redactată sau nu a fost redactată corect, conform articolului 39;

(d)	marcajul de conformitate CE a fost aplicat prin încălcarea articolului 41 sau nu a fost aplicat;

(e)	obligațiile de înregistrare prevăzute la articolul 49 nu au fost îndeplinite.

(2) Dacă producătorul sistemului DES în cauză, reprezentantul său autorizat sau orice alt operator economic relevant nu ia măsuri corective adecvate într-un termen rezonabil, autoritățile de supraveghere a pieței iau toate măsurile provizorii corespunzătoare pentru a interzice sau a limita punerea la dispoziție a sistemului DES pe piața din statele membre respective, sau pentru a rechema sau a retrage sistemul DES de pe piața respectivă.

Autoritățile de supraveghere a pieței informează Comisia și autoritățile de supraveghere a pieței din celelalte state membre, fără întârziere, cu privire la respectivele măsuri provizorii. Informațiile respective includ toate detaliile disponibile, în special cu privire la datele necesare pentru a identifica sistemul DES neconform, originea sistemului DES respectiv, natura neconformității invocate și riscul implicat, natura și durata măsurilor luate de autoritățile de supraveghere a pieței, precum și argumentele prezentate de operatorul economic relevant. Autoritățile de supraveghere a pieței indică, în special, dacă neconformitatea este cauzată de una dintre următoarele situații:

(a)	sistemul DES nu respectă cerințele esențiale prevăzute în anexa II;

(b)	se constată deficiențe în legătură cu specificațiile comune menționate la articolul 36.

(3) Autoritățile de supraveghere a pieței, altele decât autoritățile de supraveghere a pieței care au inițiat procedura în temeiul prezentului articol, informează fără întârziere Comisia și autoritățile de supraveghere a pieței din celelalte state membre cu privire la măsurile adoptate, la informațiile suplimentare aflate la dispoziția lor referitoare la neconformitatea sistemului DES în cauză și, în caz de dezacord cu măsura națională adoptată, cu privire la obiecțiile lor.

(4) Dacă, în termen de trei luni de la primirea informațiilor menționate la aliniatul (2) al doilea paragraf, nicio autoritate de supraveghere a pieței dintr-un alt stat membru și nici Comisia nu ridică nicio obiecție cu privire la o măsură provizorie luată de o autoritate de supraveghere a pieței, măsura respectivă este considerată justificată.

(5) În cazul în care neconformitatea menționată la alineatul (1) persistă, autoritatea de supraveghere a pieței în cauză ia toate măsurile corespunzătoare pentru a interzice sau a restricționa punerea la dispoziție pe piață a sistemului DES sau se asigură că acesta este rechemat sau retras de pe piață.

Articolul 46

Procedura de salvgardare a Uniunii

(1) În cazul în care, în temeiul articolului 44 alineatul (2) și al articolului 45 alineatul (3), se aduc obiecții cu privire la o măsură națională luată de o autoritate de supraveghere a pieței sau în cazul în care Comisia consideră că o măsură națională contravine dreptului Uniunii, Comisia inițiază fără întârziere consultări cu respectiva autoritate de supraveghere a pieței și cu operatorii economici relevanți și evaluează măsura națională în cauză. Pe baza rezultatelor evaluării respective, Comisia adoptă o decizie de punere în aplicare prin care stabilește dacă măsura națională este justificată. Respectiva decizie de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2). Comisia își adresează decizia de punere în aplicare tuturor statelor membre și o comunică de îndată acestora și operatorilor economici relevanți.

(2) În cazul în care măsura națională menționată la alineatul (1) este considerată justificată de către Comisie, toate statele membre vizate iau măsurile care se impun pentru a se asigura că sistemul DES neconform este retras de pe piața lor națională și informează Comisia în consecință.

În cazul în care măsura națională menționată la alineatul (1) este considerată nejustificată de către Comisie, statul membru în cauză revocă măsura respectivă.

SECȚIUNEA 5

Alte dispoziții privind interoperabilitatea

Articolul 47

Etichetarea aplicațiilor de wellness

(1) În cazul în care un producător al unei aplicații de wellness declară interoperabilitatea cu un sistem DES referitor la componentele software armonizate ale sistemelor DES și, prin urmare, conformitatea cu specificațiile comune menționate la articolul 36 și cu cerințele esențiale prevăzute în anexa II, aplicația de wellness respectivă este însoțită de o etichetă care indică în mod clar conformitatea sa cu specificațiile și cu cerințele respective. Eticheta respectivă este emisă de producătorul aplicației de wellness.

(2) Eticheta menționată la alineatul (1) include următoarele informații:

(a)	categoriile de date electronice privind sănătatea pentru care s-a confirmat conformitatea cu cerințele esențiale prevăzute în anexa II;

(b)	o trimitere la specificațiile comune pentru a demonstra conformitatea;

(c)	perioada de valabilitate a etichetei.

(3) Comisia stabilește, prin intermediul unor acte de punere în aplicare, formatul și conținutul etichetei menționate la alineatul (1). Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(4) Eticheta este redactată în una sau mai multe limbi oficiale ale Uniunii sau într-o limbă ușor de înțeles aleasă de statul membru în care este introdusă pe piață sau pusă în funcțiune aplicația de wellness.

(5) Valabilitatea etichetei nu depășește trei ani.

(6) În cazul în care aplicația de wellness este parte integrantă a unui dispozitiv sau este încorporată într-un dispozitiv după ce a fost pusă în funcțiune, eticheta de însoțire se indică în aplicația propriu-zisă sau se aplică pe dispozitivul respectiv. În cazul în care aplicația de wellness constă exclusiv într-un software, eticheta are un format digital și este afișată în aplicație. Pentru afișarea etichetei, pot fi utilizate și coduri de bare bidimensionale (2D).

(7) Autoritățile de supraveghere a pieței verifică conformitatea aplicațiilor de wellness cu cerințele esențiale prevăzute în anexa II.

(8) Fiecare furnizor al unei aplicații de wellness căreia i s-a acordat o etichetă se asigură că aplicația de wellness care este introdusă pe piață sau pusă în funcțiune este însoțită de etichetă pentru fiecare unitate în parte, în mod gratuit.

(9) Fiecare distribuitor al unei aplicații de wellness căreia i s-a acordat o etichetă pune eticheta la dispoziția clienților la punctul de vânzare în format electronic.

Articolul 48

Interoperabilitatea aplicațiilor de wellness cu sistemele DES

(1) Producătorii de aplicații de wellness pot declara interoperabilitatea cu un sistem DES, cu condiția ca specificațiile comune și cerințele esențiale menționate în articolul 36 și, respectiv, în anexa II să fie îndeplinite. În cazul unei astfel de declarații, producătorii respectivi informează în mod adecvat utilizatorii în legătură cu interoperabilitatea acestor aplicații de wellness și cu efectele interoperabilității.

(2) Interoperabilitatea aplicațiilor de wellness cu sistemele DES nu implică partajarea sau transmiterea automată a tuturor datelor privind sănătatea sau a unei părți a lor din aplicația de wellness către sistemul DES. Partajarea sau transmiterea de astfel de date este posibilă doar dacă este în conformitate cu articolul 5 și după ce persoana fizică în cauză își dă consimțământul, iar interoperabilitatea este limitată exclusiv la scopurile respective. Producătorii de aplicații de wellness care declară interoperabilitatea cu un sistem DES se asigură că persoana fizică în cauză poate alege ce categorii de date privind sănătatea din aplicația de wellness urmează să fie introduse în sistemul DES și circumstanțele partajării sau transmisiei categoriilor de date respective.

SECȚIUNEA 6

Înregistrarea sistemelor DES și a aplicațiilor de wellness

Articolul 49

Baza de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness

(1) Comisia creează și menține o bază de date a UE accesibilă publicului cu date privind sistemele DES pentru care a fost emisă o declarație de conformitate UE în temeiul articolului 39 și privind aplicațiile de wellness cărora li s-a acordat o etichetă în temeiul articolului 47 (denumită în continuare „baza de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness”).

(2) Înainte de introducerea pe piață sau de punerea în funcțiune a unui sistem DES menționat la articolul 26 sau a unei aplicații de wellness menționate la articolul 47, producătorul sistemului DES sau al aplicației de wellness sau, după caz, reprezentantul său autorizat introduce datele necesare, astfel cum se menționează la alineatul (4) de la prezentul articol, în baza de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness, inclusiv, în cazul sistemelor DES, a rezultatelor evaluării menționate la articolul 40.

(3) Dispozitivele medicale, dispozitivele medicale de diagnostic in vitro sau sistemele de IA cu grad ridicat de risc menționate la articolul 27 alineatele (1) și (2) din prezentul regulament se înregistrează și în bazele de date create în temeiul Regulamentului (UE) 2017/745, (UE) 2017/746 sau (UE) 2024/1689, după caz. În astfel de cazuri, datele care urmează să fie introduse se transmit și către baza de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness.

(4) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a completa prezentul regulament prin stabilirea unei liste a datelor necesare care trebuie să fie introduse în baza de date a UE pentru înregistrarea sistemelor DES și a aplicațiilor de wellness de producătorii de sisteme DES și de aplicații de wellness în temeiul alineatului (2) de la prezentul articol.

CAPITOLUL IV

UTILIZAREA SECUNDARĂ

SECȚIUNEA 1

Condiții generale privind utilizarea secundară

Articolul 50

Aplicabilitatea față de deținătorii de date privind sănătatea

(1) Următoarele categorii de deținători de date privind sănătatea sunt exceptate de la obligațiile deținătorilor de date privind sănătatea prevăzute în prezentul capitol:

(a)	persoane fizice, inclusiv cercetători individuali;

(b)	persoane juridice care se califică drept microîntreprinderi în sensul definiției de la articolul 2 alineatul (3) din anexa la Recomandarea 2003/361/CE a Comisiei.

(2) Statele membre pot să prevadă în dreptul intern că obligațiile deținătorilor de date privind sănătatea prevăzute în prezentul capitol se aplică deținătorilor de date privind sănătatea menționați la alineatul (1) care intră în sfera lor de competență.

(3) Statele membre pot prevedea în dreptul intern că sarcinile anumitor categorii de deținători de date privind sănătatea trebuie să fie îndeplinite de entitățile de intermediere de date privind sănătatea. În acest caz, se consideră totuși că datele sunt puse la dispoziție de mai mulți deținători de date privind sănătatea.

(4) Statele membre comunică Comisiei dreptul intern menționat la alineatele (2) și (3) până la 26 martie 2029. Orice dispoziție ulterioară sau orice modificare ulterioară adusă unei astfel de dispoziții se transmite Comisiei fără întârziere.

Articolul 51

Categoriile minime de date electronice privind sănătatea pentru utilizare secundară

(1) Deținătorii de date privind sănătatea pun la dispoziție următoarele categorii de date electronice privind sănătatea pentru utilizare secundară, în conformitate cu prezentul capitol:

(a)	date electronice privind sănătatea din DES;

(b)	date asupra factorilor care au un impact asupra sănătății, inclusiv factorii socio-economici, de mediu și comportamentali determinanți ai sănătății;

(c)	date agregate privind nevoile în materie de asistență medicală, resursele alocate asistenței medicale, furnizarea și accesul la asistență medicală, cheltuielile cu asistența medicală și finanțarea;

(d)	date privind agenții patogeni care au impact asupra sănătății umane;

(e)	date administrative legate de asistența medicală, inclusiv privind eliberarea medicamentelor, cererile de rambursare și rambursări;

(f)	date genetice, epigenomice și genomice umane;

(g)	alte date moleculare umane, cum ar fi datele proteomice, transcriptomice, metabolomice, lipidomice și alte date omice;

(h)	date electronice privind sănătatea cu caracter personal generate automat prin intermediul dispozitivelor medicale;

(i)	date din aplicațiile de wellness;

(j)	date privind statutul profesional și privind specializarea și instituția profesioniștilor din domeniul sănătății implicați în tratamentul unei persoane fizice;

(k)	date din registrele de date privind sănătatea la nivelul populației, cum ar fi registre de sănătate publică);

(l)	date provenite din registrele medicale și din registrele mortalității;

(m)

date din studii clinice intervenționale, studii clinice, investigații clinice și studii referitoare la performanță care fac obiectul Regulamentului (UE) nr. 536/2014, al Regulamentului (UE) 2024/1938 al Parlamentului European și al Consiliului (35), al Regulamentului (UE) 2017/745 și al Regulamentului (UE) 2017/746;

(n)	alte date privind sănătatea provenite de la dispozitive medicale;

(o)	date provenite din registrele de medicamente și de la dispozitive medicale;

(p)	date provenite din cohorte de cercetare, chestionare și sondaje legate de sănătate, după publicarea inițială a rezultatelor în cauză;

(q)	date privind sănătatea provenite de la bănci biologice și baze de date asociate.

(2) Statele membre pot prevedea în dreptul intern obligația de a pune la dispoziție pentru utilizare secundară în temeiul prezentului regulament categorii suplimentare de date electronice privind sănătatea.

(3) Statele membre pot stabili norme pentru prelucrarea și utilizarea datelor electronice privind sănătatea care conțin îmbunătățiri legate de prelucrarea respectivelor date, cum ar fi corectarea, adnotarea sau îmbogățirea, pe baza unei autorizații privind datele în temeiul articolului 68.

(4) Statele membre pot introduce măsuri mai stricte și garanții suplimentare la nivel național pentru a proteja sensibilitatea și valoarea datelor care intră sub incidența alineatului (1) literele (f), (g), (i) și (q). Statele membre notifică Comisiei măsurile și garanțiile respective, precum și, fără întârziere, orice modificare ulterioară a acestora.

Articolul 52

Drepturile de proprietate intelectuală și secretele comerciale

(1) Datele electronice privind sănătatea protejate prin drepturi de proprietate intelectuală, secrete comerciale sau care intră sub incidența dreptului la protecția normativă a datelor prevăzut la articolul 10 alineatul (1) din Directiva 2001/83/CE a Parlamentului European și a Consiliului (36) sau la articolul 14 alineatul (11) din Regulamentul (CE) nr. 726/2004 al Parlamentului European și a Consiliului (37) sunt puse la dispoziție pentru utilizare secundară în conformitate cu normele prevăzute în prezentul regulament.

(2) Deținătorii de date privind sănătatea informează organismul de acces la datele privind sănătatea și identifică orice date electronice privind sănătatea care conțin conținut sau informații protejate prin drepturi de proprietate intelectuală sau secrete comerciale sau care intră sub incidența dreptului la protecția normativă a datelor prevăzut la articolul 10 alineatul (1) din Directiva 2001/83/CE sau la articolul 14 alineatul (11) din Regulamentul (CE) nr. 726/2004. Deținătorii de date privind sănătatea identifică părțile vizate din seturile de date și justifică necesitatea protecției specifice a datelor. Deținătorii de date privind sănătatea furnizează informațiile respective atunci când comunică organismului de acces la datele privind sănătatea descrierile seturilor de date pe care le dețin în temeiul articolului 60 alineatul (3) din prezentul regulament sau, cel târziu, în urma unei cereri primite din partea organismului de acces la datele privind sănătatea.

(3) Organismele de acces la datele privind sănătatea iau toate măsurile specifice adecvate și proporționale, inclusiv de natură juridică, organizatorică și tehnică, pe care le consideră necesare pentru a proteja drepturile de proprietate intelectuală, secretele comerciale sau dreptul la protecția normativă a datelor prevăzut la articolul 10 alineatul (1) din Directiva 2001/83/CE sau la articolul 14 alineatul (11) din Regulamentul (CE) nr. 726/2004. Organismelor de acces la datele privind sănătatea le revine responsabilitatea de a determina necesitatea și caracterul oportun al acestor măsuri.

(4) Atunci când eliberează autorizații privind datele în conformitate cu articolul 68, organismele de acces la datele privind sănătatea pot condiționa accesul la anumite date electronice privind sănătatea de anumite măsuri juridice, organizatorice și tehnice, care pot include acorduri contractuale între deținătorii de date privind sănătatea și utilizatorii de date privind sănătatea pentru partajarea de date care conțin informații sau conținut protejat prin drepturi de proprietate intelectuală sau secrete comerciale. Comisia elaborează și recomandă modele de clauze contractuale fără caracter obligatoriu pentru astfel de acorduri.

(5) Dacă acordarea accesului la datele electronice privind sănătatea pentru uz secundar implică un risc grav de încălcare a unor drepturi de proprietate intelectuală, a unor secrete comerciale sau a dreptului la protecția normativă a datelor prevăzut la articolul 10 alineatul (1) din Directiva 2001/83/CE sau la articolul 14 alineatul (11) din Regulamentul (CE) nr. 726/2004, risc care nu poate fi gestionat în mod satisfăcător, organismul de acces la datele privind sănătatea refuză accesul solicitantului de date privind sănătatea la datele respective. Organismul de acces la datele privind sănătatea informează solicitantul de date privind sănătatea cu privire la refuzul respectiv și oferă solicitantului de date privind sănătatea o justificare pentru refuz. Deținătorii de date privind sănătatea și solicitanții de date privind sănătatea au dreptul de a depune o plângere în conformitate cu articolul 81 din prezentul regulament.

Articolul 53

Scopurile în care pot fi prelucrate datele electronice privind sănătatea pentru utilizare secundară

(1) Organismele de acces la datele privind sănătatea oferă acces la datele electronice privind sănătatea menționate la articolul 51 pentru uz secundar unui utilizator de date privind sănătatea doar în cazul în care prelucrarea datelor de către respectivul utilizator de date privind sănătatea este necesară în unul din următoarele scopuri:

(a)

interesul public în domeniul sănătății publice sau al sănătății în muncă, cum ar fi activități pentru protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății, supravegherea sănătății publice sau activități de asigurare a unor niveluri ridicate de calitate și siguranță a asistenței medicale, inclusiv în ce privește siguranța pacientului, și a medicamentelor sau a dispozitivelor medicale;

(b)

activități de elaborare de politici și de reglementare pentru a sprijini organismele din sectorul public sau instituțiile, organele, oficiile sau agențiile Uniunii, inclusiv autoritățile de reglementare, din sectorul sănătății sau al serviciilor de îngrijire să își îndeplinească sarcinile definite în mandatele lor;

(c)	statistici în sensul definiției de la articolul 3 punctul 1 din Regulamentul (CE) nr. 223/2009, cum ar fi statisticile oficiale naționale, multinaționale și la nivelul Uniunii referitoare la sectorul sănătății sau al serviciilor de îngrijire;

(d)	activități de educație sau de predare în sectorul sănătății sau al serviciilor de îngrijire la nivelul învățământului profesional sau superior;

(e)

cercetarea științifică legată de sectorul sănătății sau al serviciilor de îngrijire, care contribuie la sănătatea publică sau la evaluări ale tehnologiilor medicale sau care asigură niveluri ridicate de calitate și siguranță a asistenței medicale, a medicamentelor sau a dispozitivelor medicale, în beneficiul utilizatorilor finali ai activităților desfășurate, cum ar fi pacienții, profesioniștii din domeniul sănătății și administratorii din domeniul sănătăți, inclusiv:

(i)	activități de dezvoltare și inovare pentru produse sau servicii;

(ii)	antrenarea, testarea și evaluarea algoritmilor, inclusiv în dispozitivele medicale, în dispozitivele medicale pentru diagnostic in vitro, în sistemele de IA și în aplicațiile de sănătate digitală;

(f)	îmbunătățirea furnizării de îngrijiri, a optimizării tratamentului și a furnizării de asistență medicală, pe baza datelor electronice privind sănătatea ale altor persoane fizice.

(2) Accesul la datele electronice privind sănătatea în scopurile menționate la alineatul (1) literele (a), (b) și (c), este rezervat numai organismelor din sectorul public și instituțiilor, organelor, oficiilor și agențiilor Uniunii care exercită sarcinile care le sunt conferite prin dreptul Uniunii sau prin dreptul intern, inclusiv în cazul în care prelucrarea datelor în scopul îndeplinirii sarcinilor respective este efectuată de o parte terță în numele respectivelor organisme din sectorul public sau al instituțiilor, organelor, oficiilor și agențiilor Uniunii.

Articolul 54

Utilizare secundară interzisă

Utilizatorii de date privind sănătatea prelucrează datele electronice privind sănătatea pentru utilizare secundară numai pe baza și în conformitate cu scopurile cuprinse într-o autorizație privind datele eliberată în temeiul articolului 68, cu cererile de date privind sănătatea aprobate în temeiul articolului 69 sau, în situațiile menționate la articolul 67 alineatul (3), cu o aprobare a accesului din partea participantului autorizat relevant în cadrul platformei HealthData@EU menționate la articolul 75.

În special, se interzice să se solicite accesul la datele electronice privind sănătatea obținute prin intermediul unei autorizații privind datele eliberate în temeiul articolului 68 sau a unei cereri de date privind sănătatea aprobate conform articolului 69 și să se prelucreze astfel de date în următoarele scopuri:

(a)

luarea unor decizii în detrimentul unei persoane fizice sau al unui grup de persoane fizice pe baza datelor electronice privind sănătatea ale acestora; pentru a se califica drept „decizii” în sensul prezentei litere, acestea trebuie să producă efecte juridice, economice sau sociale sau să afecteze similar în mod semnificativ persoanele fizice respective;

(b)

luarea unor decizii cu privire la o persoană fizică sau la un grup de persoane fizice în legătură cu ofertele de muncă, oferirea de condiții mai puțin favorabile în furnizarea de bunuri sau servicii, inclusiv excluderea respectivelor persoane sau grupuri de la beneficiul unui contract de asigurare sau de credit, modificarea contribuțiilor și primelor de asigurare sau a condițiilor de împrumut, ori luarea altor decizii în legătură cu o persoană fizică sau cu un grup de persoane fizice care are ca rezultat discriminarea acestora pe baza datelor privind sănătatea obținute;

(c)	activități de publicitate sau de marketing;

(d)

dezvoltarea de produse sau servicii care pot dăuna persoanelor, sănătății publice ori societății în general, precum drogurile ilicite, băuturile alcoolice, produsele din tutun și nicotină, armele ori produsele sau serviciile care sunt concepute sau modificate astfel încât să creeze dependență, să contravină ordinii sau care prezintă un risc pentru sănătatea umană;

(e)	activități care intră în conflict cu dispozițiile etice prevăzute în dreptul intern.

SECȚIUNEA 2

Guvernanța și mecanismele pentru utilizarea secundară

Articolul 55

Organismele de acces la datele privind sănătatea

(1) Statele membre desemnează unul sau mai multe organisme de acces la datele privind sănătatea responsabile de îndeplinirea sarcinilor și obligațiilor prevăzute la articolele 57, 58 și 59. Statele membre pot fie să instituie unul sau mai multe organisme noi din sectorul public, fie să se bazeze pe organismele existente din sectorul public ori pe serviciile interne ale organismelor din sectorul public care îndeplinesc condițiile prevăzute la prezentul articol. Sarcinile stabilite la articolul 57 pot fi distribuite între diferite organisme de acces la datele privind sănătatea. În cazul în care un stat membru desemnează mai multe organisme de acces la datele privind sănătatea, acesta desemnează un organism de acces la datele privind sănătatea care să acționeze în calitate de coordonator, având responsabilitatea de coordonare a cererilor cu celelalte organisme de acces la datele privind sănătatea atât pe teritoriul statului membru respectiv, cât și în alte state membre.

Fiecare organism responsabil pentru accesul la datele privind sănătatea contribuie la aplicarea consecventă a prezentului regulament în întreaga Uniune. În acest scop, organismele de acces la datele privind sănătatea cooperează între ele, cu Comisia și, în cazul unor preocupări legate de protecția datelor, cu autoritățile de supraveghere relevante.

(2) Pentru a sprijini îndeplinirea cu eficacitate a sarcinilor organismelor de acces la datele privind sănătatea și exercitarea atribuțiilor acestora, statele membre se asigură că fiecare organism de acces la datele privind sănătatea dispune de următoarele elemente:

(a)	resursele umane, financiare și tehnice necesare;

(b)	cunoștințele de specialitate necesare; și

(c)	spațiile de lucru și infrastructura necesare.

Dacă este necesară o evaluare de către organismele de etică în temeiul dreptului intern, organismele respective își pun cunoștințele de specialitate la dispoziția organismului de acces la datele privind sănătatea. Ca alternativă, statele membre pot să prevadă ca organismele de etică să facă parte din structura organismului de acces la datele privind sănătatea.

(3) Statele membre se asigură că se evită orice conflict de interese între părțile organizaționale ale organismelor de acces la datele privind sănătatea care îndeplinesc diferitele sarcini ale unor astfel de organisme, de exemplu prin stipularea de garanții organizatorice, cum ar fi separarea între diferitele funcții ale organismelor de acces la datele privind sănătatea, inclusiv evaluarea cererilor, primirea și pregătirea seturilor de date, de exemplu pseudonimizarea și anonimizarea seturilor de date, precum și furnizarea datelor în medii de prelucrare securizate.

(4) În îndeplinirea sarcinilor ce le revin, organismele de acces la datele privind sănătatea cooperează în mod activ cu reprezentanții părților interesate relevante, în special cu reprezentanții pacienților, ai deținătorilor de date privind sănătatea și ai utilizatorilor de date privind sănătatea, și evită orice conflict de interese.

(5) În îndeplinirea sarcinilor și în exercitarea competențelor lor, organismele de acces la datele privind sănătatea evită orice conflict de interese. Personalul organismelor de acces la datele privind sănătatea acționează în interes public și în mod independent.

(6) Statele membre informează Comisia cu privire la identitatea organismelor de acces la datele privind sănătatea desemnate în temeiul alineatului (1) până la 26 martie 2027. De asemenea, acestea informează Comisia cu privire la orice modificare ulterioară a identității organismelor respective. Comisia și statele membre pun informațiile respective la dispoziția publicului.

Articolul 56

Serviciul Uniunii de acces la datele privind sănătatea

(1) Comisia îndeplinește sarcinile prevăzute la articolele 57 și 59 în situațiile în care deținătorii de date privind sănătatea sunt instituții, organe, oficii sau agenții ale Uniunii.

(2) Comisia se asigură că resursele umane, tehnice și financiare, spațiile și infrastructura necesare sunt alocate pentru îndeplinirea eficientă a sarcinilor prevăzute la articolele 57 și 59 și pentru exercitarea atribuțiilor sale.

(3) Cu excepția cazului în care este prevăzută o excludere explicită, se consideră că trimiterile la organismele de acces la datele privind sănătatea din prezentul regulament referitoare la îndeplinirea sarcinilor și la exercitarea atribuțiilor se aplică și Comisiei, în cazul în care deținătorii de date privind sănătatea sunt instituții, organe, oficii sau agenții ale Uniunii.

Articolul 57

Sarcinile organismelor de acces la datele privind sănătatea

(1) Organismele de acces la datele privind sănătatea îndeplinesc următoarele sarcini:

(a)

decid cu privire la cererile de acces la datele privind sănătatea în temeiul articolului 67 din prezentul regulament, autorizează și eliberează autorizații privind datele în temeiul articolului 68 din prezentul regulament pentru accesarea datelor electronice privind sănătatea care țin de competența lor în vederea utilizării secundare și decid cu privire la cererile de date privind sănătatea formulate în temeiul articolului 69 din prezentul regulament în conformitate cu prezentul capitol și cu capitolul II din Regulamentul (UE) 2022/868, inclusiv în ceea ce privește:

(i)	asigurarea accesului la datele electronice privind sănătatea utilizatorilor de date privind sănătatea în baza unei autorizații privind datele într-un mediu de prelucrare securizat, în conformitate cu articolul 73;

(ii)	monitorizarea și supravegherea respectării de către utilizatorii de date privind sănătatea și de către deținătorii de date privind sănătatea a cerințelor prevăzute în prezentul regulament;

(iii)

solicitarea datelor electronice privind sănătatea menționate la articolul 51 de la deținătorii relevanți de date privind sănătatea în baza unei autorizații eliberate privind datele sau a unei cereri de date privind sănătatea aprobate;

(b)	prelucrarea datelor electronice privind sănătatea menționate la articolul 51, de exemplu prin primirea, combinarea, pregătirea și compilarea datelor respective la cererea deținătorilor de date privind sănătatea, precum și prin pseudonimizarea sau anonimizarea datelor menționate;

(c)

luarea tuturor măsurilor necesare pentru a păstra confidențialitatea drepturilor de proprietate intelectuală. pentru protecția normativă a datelor și pentru păstrarea confidențialității secretelor comerciale, astfel cum se prevede la articolul 52, ținând seama de drepturile aplicabile atât ale deținătorului de date privind sănătatea, cât și ale utilizatorului de date privind sănătatea;

(d)	cooperarea cu deținătorii de date privind sănătatea și supravegherea acestora pentru a asigura punerea în aplicare coerentă și exactă a dispozițiilor privind eticheta de calitate și de utilitate a datelor de la articolul 78;

(e)

menținerea unui sistem de gestionare pentru înregistrarea și prelucrarea cererilor de acces la datele privind sănătatea, a cererilor de date privind sănătatea, a deciziilor privind respectivele cereri și a autorizațiilor privind datele care au fost eliberate și a cererilor de date privind sănătatea care au fost prelucrate, furnizând cel puțin informații privind numele solicitantului de date privind sănătatea, scopul accesului, data eliberării, durata autorizației privind datele și o descriere a cererii de acces la datele privind sănătatea sau a cererii de date privind sănătatea;

(f)	menținerea unui sistem de informare publică pentru a respecta obligațiile prevăzute la articolul 58;

(g)	cooperarea la nivelul Uniunii și la nivel național pentru a stabili standarde, cerințe tehnice și măsuri comune adecvate pentru accesarea datelor electronice privind sănătatea într-un mediu de prelucrare securizat;

(h)	cooperarea la nivelul Uniunii și la nivel național și oferirea de consultanță Comisiei cu privire la tehnicile și cele mai bune practici pentru utilizarea secundară și gestionarea datelor electronice privind sănătatea;

(i)	facilitarea accesului transfrontalier la datele electronice privind sănătatea pentru utilizare secundară care sunt găzduite în alte state membre, prin intermediul platformei HealthData@EU menționate la articolul 75, și cooperarea strânsă între ele și Comisie;

(j)

publicarea, prin mijloace electronice:

(i)	unui catalog național de seturi de date care include detalii privind sursa și natura datelor electronice privind sănătatea, în conformitate cu articolele 77, 78 și 80, precum și a condițiilor de punere la dispoziție a datelor electronice privind sănătatea;

(ii)	oricărei cereri de acces la datele privind sănătatea și oricărei cereri de date privind sănătatea, fără întârzieri nejustificate după primirea lor inițială;

(iii)

tuturor autorizațiilor de date privind sănătatea eliberate sau cererilor de date privind sănătatea aprobate, precum și tuturor deciziilor de refuz, inclusiv justificarea acestora, în termen de 30 de zile lucrătoare de la eliberare, aprobare sau refuz;

(iv)	măsurilor legate de neconformitate, în temeiul articolului 63;

(v)	rezultatelor comunicate de utilizatorii de date privind sănătatea în temeiul articolului 61 alineatul (4);

(vi)	unui sistem de informare pentru a respecta obligațiile prevăzute la articolul 58;

(vii)

informațiilor, cel puțin pe o pagină de internet sau pe un portal web ușor de accesat, privind conectarea la platforma HealthData@EU a punctelor naționale de contact pentru utilizarea secundară dintr-o țară terță, sau a unui sistem instituit la nivel internațional de o organizație internațională, de îndată ce țara terță sau organizația internațională devine participant autorizat în cadrul HealthData@EU;

(k)	îndeplinirea obligațiilor față de persoanele fizice în temeiul articolului 58;

(l)	îndeplinirea oricărei alte sarcini legate de asigurarea posibilității utilizării secundare a datelor electronice privind sănătatea în contextul prezentului regulament.

Catalogul național de seturi de date menționat la litera (j) punctul (i) de la prezentul alineat este, de asemenea, pus la dispoziția punctelor unice de informare în temeiul articolului 8 din Regulamentul (UE) 2022/868.

(2) În exercitarea sarcinilor ce le revin, organismele de acces la datele privind sănătatea:

(a)	cooperează cu autoritățile de supraveghere în temeiul Regulamentului (UE) 2016/679 în ceea ce privește datele electronice cu caracter personal privind sănătatea și cu Consiliul SEDS;

(b)	cooperează cu toate părțile interesate relevante, inclusiv cu organizațiile pacienților, cu reprezentanți ai persoanelor fizice, ai profesioniștilor din domeniul sănătății, ai cercetătorilor și ai comitetelor de etică, după caz, în conformitate cu dreptul Uniunii sau cu dreptul intern;

(c)

cooperează cu alte organisme naționale competente, inclusiv cu autoritățile naționale competente care supraveghează organizațiile de promovare a altruismului în materie de date în temeiul Regulamentului (UE) 2022/868, cu autoritățile competente în temeiul Regulamentului (UE) 2023/2854 și cu autoritățile naționale competente în temeiul Regulamentelor (UE) 2017/745, (UE) 2017/746 și (UE) 2024/1689, după caz.

(3) Organismele de acces la datele privind sănătatea pot oferi asistență organismelor din sectorul public în cazul în care respectivele organisme din sectorul public accesează date electronice privind sănătatea în conformitate cu articolul 14 din Regulamentul (UE) 2023/2854.

(4) Organismele de acces la datele privind sănătatea pot oferi sprijin unui organism din sectorul public în cazul în care acestea obțin date în împrejurările menționate la articolul 15 litera (a) sau (b) din Regulamentul (UE) 2023/2854, în conformitate cu normele prevăzute în regulamentul respectiv, prin furnizarea de asistență tehnică pentru prelucrarea datelor respective sau prin combinarea acestora cu alte date pentru analize comune.

Articolul 58

Obligațiile organismelor de acces la datele privind sănătatea față de persoanele fizice

(1) Organismele de acces la datele privind sănătatea pun la dispoziția publicului informații privind condițiile în care datele electronice privind sănătatea sunt puse la dispoziție pentru utilizare secundară, într-un format care să faciliteze căutarea prin mijloace electronice și care să fie accesibil pentru persoanele fizice. Informațiile respective acoperă următoarele aspecte:

(a)	temeiul juridic pe baza căruia se acordă accesul utilizatorului de date privind sănătatea la datele electronice privind sănătatea;

(b)	măsurile tehnice și organizatorice adoptate pentru protejarea drepturilor persoanelor fizice;

(c)	drepturile aplicabile ale persoanelor fizice în ceea ce privește utilizarea secundară;

(d)	modalitățile prin care persoanele fizice își pot exercita drepturile în conformitate cu capitolul III din Regulamentul (UE) 2016/679;

(e)	identitatea și datele de contact ale organismului de acces la datele privind sănătatea;

(f)	persoanele care au primit acces la seturi de date electronice privind sănătatea și seturile de date la care li s-a acordat accesul, precum și detalii privind autorizația privind datele referitoare la scopurile prelucrării acestor date, astfel cum se menționează la articolul 53 alineatul (1);

(g)	rezultatele sau efectele proiectelor pentru care au fost utilizate datele electronice privind sănătatea.

(2) În cazul în care un stat membru a prevăzut exercitarea dreptului de refuz în temeiul articolului 71 prin intermediul organismelor de acces la datele privind sănătatea, organismele relevante de acces la datele privind sănătatea furnizează publicului informații cu privire la procedura de refuz și facilitează exercitarea dreptului respectiv.

(3) În cazul în care un organism de acces la datele privind sănătatea este informat de către un utilizator de date privind sănătatea cu privire la o constatare importantă legată de sănătatea unei persoane fizice, astfel cum se menționează la articolul 61 alineatul (5), organismul de acces la datele privind sănătatea informează deținătorul de date privind sănătatea cu privire la respectiva constatare. Deținătorul de date privind sănătatea informează, în condițiile prevăzute de dreptul intern, persoana fizică sau profesionistul din domeniul sănătății care tratează persona fizică în cauză. Persoanele fizice au dreptul să solicite să nu fie informate cu privire la astfel de constatări.

(4) Statele membre informează publicul larg cu privire la rolul și beneficiile organismelor de acces la datele privind sănătatea.

Articolul 59

Raportarea de către organismele de acces la datele privind sănătatea

(1) Fiecare organism de acces la datele privind sănătatea publică un raport de activitate din doi în doi ani pe care îl pune la dispoziția publicului pe site-ul său de internet. În cazul în care un stat membru desemnează mai multe organisme de acces la datele privind sănătatea, organismul de coordonare menționat la articolul 55 alineatul (1) este responsabil de raportul de activitate și solicită informațiile necesare de la celelalte organisme de acces la datele privind sănătatea. Raportul de activitate respectiv urmează o structură convenită de Consiliul SEDS în temeiul articolului 94 alineatul (2) litera (d) și conține cel puțin următoarele categorii de informații:

(a)

informații referitoare la cererile de acces la datele privind sănătatea și la cererile de date privind sănătatea depuse, cum ar fi tipurile de solicitanți de date privind sănătatea, numărul de autorizații privind datele eliberate sau refuzate, categoriile de scopuri ale accesului și categoriile de date electronice privind sănătatea accesate, precum și un rezumat al rezultatelor utilizărilor datelor electronice privind sănătatea, după caz;

(b)	informații referitoare la îndeplinirea angajamentelor contractuale și de reglementare de către utilizatorii de date privind sănătatea și deținătorii de date privind sănătatea, precum și la numărul și cuantumul sancțiunilor administrative impuse de organismele de acces la datele privind sănătatea;

(c)	informații referitoare la auditurile efectuate asupra utilizatorilor de date privind sănătatea pentru a asigura conformitatea prelucrării pe care aceștia o efectuează în mediul de prelucrare securizat menționat la articolul 73 alineatul (1) litera (e);

(d)	informații referitoare la auditurile interne și realizate de terți privind conformitatea mediilor de prelucrare securizate cu standardele, specificațiile și cerințele definite, astfel cum se prevede la articolul 73 alineatul (3);

(e)	informații referitoare la tratarea cererilor din partea persoanelor fizice privind exercitarea drepturilor lor în materie de protecție a datelor;

(f)	o descriere a activităților organismului de acces la datele privind sănătatea desfășurate în legătură cu implicarea și consultarea părților interesate relevante;

(g)	veniturile din autorizațiile privind datele și cererile de date privind sănătatea;

(h)	numărul mediu de zile între depunerea cererilor de acces la datele privind sănătatea sau a cererilor de date privind sănătatea și accesul la date;

(i)	numărul de etichete de calitate a datelor emise de deținătorii de date privind sănătatea, defalcate pe categorii de calitate;

(j)	numărul de publicații de cercetare evaluate inter pares, de documente de politică și de proceduri de reglementare care utilizează date accesate prin intermediul SEDS;

(k)	numărul de produse și servicii de sănătate digitală, inclusiv aplicații de IA, dezvoltate utilizând date accesate prin intermediul SEDS.

(2) Raportul de activitate menționat la alineatul (1) se transmite Comisiei și Consiliului SEDS în termen de șase luni de la sfârșitul celui de-al doilea an al perioadei de raportare relevante. Raportul de activitate este accesibil pe site-ul de internet al Comisiei.

Articolul 60

Obligațiile deținătorilor de date privind sănătatea

(1) Deținătorii de date privind sănătatea pun la dispoziție datele electronice privind sănătatea relevante menționate la articolului 51, la cererea organismului de acces la datele privind sănătatea, în conformitate cu o autorizație privind datele eliberată în temeiul articolului 68 sau cu o cerere de date aprobată în temeiul articolului 69.

(2) Deținătorii de date privind sănătatea pun datele electronice privind sănătatea solicitate menționate la alineatul (1) la dispoziția organismului de acces la datele privind sănătatea într-un termen rezonabil și nu mai târziu de trei luni de la primirea cererii de către organismul de acces la datele privind sănătatea. În cazuri justificate, organismul de acces la datele privind sănătatea poate prelungi această perioadă cu cel mult trei luni.

(3) Deținătorul de date privind sănătatea comunică organismului de acces la datele privind sănătatea o descriere a setului de date pe care îl deține în conformitate cu articolul 77. Deținătorul de date privind sănătatea verifică, cel puțin anual, dacă descrierea setului său de date din catalogul seturilor naționale de date este exactă și actualizată.

(4) În cazul în care setul de date este însoțit de o etichetă de calitate și de utilitate a datelor în temeiul articolului 78, deținătorul de date privind sănătatea pune la dispoziția organismului de acces la datele privind sănătatea o documentație suficientă pentru ca organismul respectiv să verifice exactitatea etichetei.

(5) Deținătorii de date electronice fără caracter personal privind sănătatea asigură accesul la date prin intermediul unor baze de date deschise de încredere pentru a asigura accesul nerestricționat pentru toți utilizatorii, precum și stocarea și conservarea datelor. Bazele de date publice deschise de încredere dispun de o guvernanță solidă, transparentă și durabilă și de un model transparent de acces al utilizatorilor.

Articolul 61

Obligațiile utilizatorilor de date privind sănătatea

(1) Utilizatorii de date privind sănătatea pot accesa și prelucra datele electronice privind sănătatea menționate la articolul 51 pentru utilizare secundară numai în conformitate cu o autorizație privind datele eliberată în temeiul articolului 68, cu o cerere de date privind sănătatea aprobată în temeiul articolului 69 sau, în situațiile menționate la articolul 67 alineatul (3), cu o aprobare a accesului din partea participantului autorizat relevant în cadrul HealthData@EU menționate la articolul 75.

(2) Atunci când prelucrează date electronice privind sănătatea în mediile de prelucrare securizate menționate la articolul 73, utilizatorii de date privind sănătatea nu oferă acces la datele electronice privind sănătatea și nu pun astfel de date la dispoziția părților terțe care nu sunt menționate în autorizația privind datele.

(3) Utilizatorii de date privind sănătatea nu reidentifică și nu încearcă să reidentifice persoanele fizice la care se referă datele electronice privind sănătatea obținute de către utilizatorii de date privind sănătatea pe baza unei autorizații privind datele, a unei cereri de date privind sănătatea sau a unei aprobări a accesului de către un participant autorizat la HealthData@EU.

(4) Utilizatorii de date privind sănătatea publică rezultatele sau ceea ce s-a obținut în urma utilizării secundare, inclusiv informațiile relevante pentru furnizarea de asistență medicală, în termen de 18 luni de la finalizarea prelucrării datelor electronice privind sănătatea în mediul de prelucrare securizat sau de la primirea răspunsului la cererea de date privind sănătatea menționată la articolul 69.

În cazuri justificate legate de scopurile permise ale prelucrării datelor electronice privind sănătatea, perioada menționată la primul paragraf poate fi prelungită de organismul de acces la datele privind sănătatea, în special în cazurile în care rezultatul este publicat într-un jurnal științific sau într-o altă publicație științifică.

Respectivele rezultate sau produse obținute din utilizarea secundară conțin numai date anonimizate.

Utilizatorii de date privind sănătatea informează organismele de acces la datele privind sănătatea de la care a fost obținută autorizația privind datele în legătură cu rezultatele sau produsele obținute din utilizarea secundară și le sprijină să publice informațiile respective pe site-urile de internet ale organismelor de acces la datele privind sănătatea. O astfel de publicare nu aduce atingere drepturilor de publicare în jurnale științifice sau în alte publicații științifice.

Atunci când utilizatorii de date privind sănătatea utilizează date electronice privind sănătatea în conformitate cu prezentul capitol, aceștia menționează sursele datelor electronice privind sănătatea și faptul că datele electronice privind sănătatea au fost obținute în cadrul SEDS.

(5) Fără a aduce atingere alineatului (2), utilizatorii de date privind sănătatea informează organismul de acces la datele privind sănătatea cu privire la orice constatări importante legate de sănătatea persoanei fizice ale cărei date sunt incluse în setul de date.

(6) Utilizatorii de date privind sănătatea cooperează cu organismele de acces la datele privind sănătatea în îndeplinirea sarcinilor acestor organisme.

Articolul 62

Taxe

(1) Organismele de acces la datele privind sănătatea, inclusiv serviciile de acces la datele privind sănătatea ale Uniunii sau deținătorii de date privind sănătatea de încredere menționați la articolul 72 pot percepe taxe pentru punerea la dispoziție a datelor electronice în vederea utilizării secundare.

Taxele trebuie să fie proporționale cu costul punerii la dispoziție a datelor și nu restrâng concurența.

Taxele acoperă integral sau parțial costurile legate de procedura pentru evaluarea unei cereri de acces la datele privind sănătatea sau a unei cereri de date privind sănătatea, pentru eliberarea, refuzarea sau modificarea unei autorizații privind datele în temeiul articolelor 67 și 68 sau pentru furnizarea unui răspuns la o cerere de date privind sănătatea depusă în temeiul articolului 69, inclusiv costurile legate de consolidarea, pregătirea, pseudonimizarea, anonimizarea și furnizarea datelor electronice privind sănătatea.

Statele membre pot stabili taxe reduse pentru anumite tipuri de utilizatori de date privind sănătatea situați în Uniune, cum ar fi organismele din sectorul public sau instituțiile, organele, oficiile și agențiile Uniunii cărora legea le acordă competențe în domeniul sănătății publice, cercetătorii universitari sau microîntreprinderile.

(2) Taxele menționate la alineatul (1) de la prezentul articol pot include compensarea costurilor suportate de deținătorul de date privind sănătatea pentru compilarea și pregătirea datelor electronice privind sănătatea, care urmează să fie puse la dispoziție pentru utilizare secundară. În astfel de cazuri, deținătorul de date privind sănătatea furnizează organismului de acces la datele privind sănătatea o estimare a acestor costuri. În cazul în care deținătorul de date privind sănătatea este un organism din sectorul public, nu se aplică articolul 6 din Regulamentul (UE) 2022/868. Partea din taxe legată de costurile deținătorului de date privind sănătatea se plătește deținătorului de date privind sănătatea.

(3) Orice taxe percepute din partea utilizatorilor de date privind sănătatea în temeiul prezentului articol trebuie să fie transparente și nediscriminatorii.

(4) În cazul în care deținătorii de date privind sănătatea și utilizatorii de date privind sănătatea nu sunt de acord cu privire la nivelul taxelor în termen de o lună de la eliberarea autorizației privind datele, organismul de acces la datele privind sănătatea poate stabili taxele proporțional cu costul punerii la dispoziție a datelor electronice privind sănătatea pentru utilizare secundară. În cazul în care deținătorii de date privind sănătatea sau utilizatorii de date privind sănătatea nu sunt de acord cu taxa stabilită de organismul de acces la datele privind sănătatea, aceștia au acces la organismele de soluționare a litigiilor în conformitate cu articolul 10 din Regulamentul (UE) 2023/2854.

(5) Înainte de a elibera o autorizație privind datele în temeiul articolului 68 sau de a oferi un răspuns la o cerere de date privind sănătatea depusă în temeiul articolului 69, organismul de acces la datele privind sănătatea informează solicitantul de date privind sănătatea cu privire la taxele estimate. Solicitantul de date privind sănătatea este informat cu privire la opțiunea de retragere a cererii de acces la datele privind sănătatea sau la cererea de date privind sănătatea. Dacă solicitantul de date privind sănătatea își retrage cererea, solicitantului de date privind sănătatea i se impută doar costurile care au fost deja suportate.

(6) Comisia stabilește, prin intermediul unor acte de punere în aplicare, principii pentru politicile privind taxele și structurile taxelor, inclusiv deducerile pentru entitățile menționate la alineatul (1) al patrulea paragraf de la prezentul articol, pentru a sprijini coerența și transparența între statele membre în ceea ce privește politicile și structurile taxelor respective. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 63

Aplicarea normelor de către organismele de acces la datele privind sănătatea

(1) Atunci când își îndeplinesc sarcinile de monitorizare și de supraveghere, astfel cum sunt menționate la articolul 57 alineatul (1) litera (a) punctul (ii), organismele de acces la datele privind sănătatea au dreptul de a solicita și de a primi toate informațiile necesare de la utilizatorii de date privind sănătatea și de la deținătorii de date privind sănătatea, cu scopul de a verifica respectarea prezentului capitol.

(2) În cazul în care organismele de acces la datele privind sănătatea constată că un utilizator de date privind sănătatea sau un deținător de date privind sănătatea nu respectă cerințele prezentului capitol, acestea informează imediat utilizatorul de date privind sănătatea sau deținătorul de date privind sănătatea cu privire la respectivele constatări și iau măsurile adecvate. Organismul de acces la datele privind sănătatea în cauză oferă utilizatorului de date privind sănătatea sau deținătorului de date privind sănătatea în cauză posibilitatea de a-și exprima opiniile într-un termen rezonabil care nu depășește patru săptămâni.

Dacă constatarea neconformității se referă la o posibilă încălcare a Regulamentului (UE) 2016/679, organismul de acces la datele privind sănătatea în cauză informează imediat autoritățile de supraveghere în temeiul regulamentului menționat și le furnizează toate informațiile relevante cu privire la constatarea respectivă.

(3) În caz de neconformitate din partea utilizatorilor de date privind sănătatea, organismele de acces la datele privind sănătatea au competența de a revoca autorizația privind datele eliberată în temeiul articolului 68 și de a opri, fără întârzieri nejustificate, operațiunea afectată de prelucrare a datelor electronice privind sănătatea care este efectuată de utilizatorul de date privind sănătatea și adoptă măsuri adecvate și proporționale menite să asigure prelucrarea conformă de către utilizatorii de date privind sănătatea.

Ca parte a acestor măsuri de executare, organismele de acces la datele privind sănătatea au, de asemenea, dreptul să excludă sau să inițieze proceduri pentru a exclude, după caz, în conformitate cu dreptul intern, utilizatorul de date privind sănătatea de la orice acces la date electronice privind sănătatea în cadrul SEDS în contextul utilizării secundare pentru o perioadă de până la cinci ani.

(4) În caz de neconformitate din partea deținătorilor de date privind sănătatea, în cazul în care un deținător de date privind sănătatea nu comunică datele electronice privind sănătatea organismelor de acces la datele privind sănătatea, cu intenția evidentă de a obstrucționa utilizarea datelor electronice privind sănătatea, sau nu respectă termenele stabilite la articolul 60 alineatul (2), organismul de acces la datele privind sănătatea are competența de a amenda deținătorul de date privind sănătatea, pentru fiecare zi de întârziere, cu o penalitate cu titlu cominatoriu care trebuie să fie transparentă și proporțională. Cuantumul amenzilor se stabilește de către organismul de acces la datele privind sănătatea în conformitate cu dreptul intern. În cazul unor încălcări repetate de către deținătorul de date privind sănătatea ale obligației de cooperare cu organismul de acces la datele privind sănătatea, organismul respectiv poate exclude sau iniția proceduri în conformitate cu dreptul intern pentru a exclude deținătorul de date privind sănătatea de la depunerea cererilor de acces la datele privind sănătatea în temeiul prezentului capitolul pentru o perioadă de până la cinci ani. În cursul acestei perioade de excludere, utilizatorului de date privind sănătatea îi revine în continuare obligația de a face datele accesibile în temeiul prezentului capitol, după caz.

(5) Organismul de acces la datele privind sănătatea comunică fără întârziere utilizatorului de date privind sănătatea sau deținătorului de date privind sănătatea în cauză măsurile de executare luate în temeiul alineatelor (3) și (4) și motivele care stau la baza acestora și stabilește un termen rezonabil pentru ca utilizatorul de date privind sănătatea sau deținătorul de date privind sănătatea să se conformeze măsurilor respective.

(6) Orice măsuri de executare luate de organismul de acces la datele privind sănătatea în temeiul alineatului (3) sunt notificate altor organisme de acces la datele privind sănătatea, prin intermediul instrumentului informatic menționat la alineatul (7). Organismele de acces la datele privind sănătatea pot pune aceste informații la dispoziția publicului pe site-urile lor de internet.

(7) Comisia stabilește, prin intermediul unor acte de punere în aplicare, arhitectura unui instrument informatic, ca parte a infrastructurii platformei HealthData@EU menționate la articolul 75, menit să sprijine și să facă transparente pentru alte organisme de acces la datele privind sănătatea măsurile de executare menționate la prezentul articol, în special penalitățile cu titlu cominatoriu, revocarea autorizațiilor privind datele și cazurile de excludere. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(8) Până la 26 martie 2032, în strânsă cooperare cu Consiliul SEDS, Comisia emite orientări privind măsurile de executare, inclusiv penalitățile cu titlu cominatoriu și alte măsuri care urmează să fie luate de organismele de acces la datele privind sănătatea.

Articolul 64

Condiții generale pentru impunerea de amenzi administrative de către organismele de acces la datele privind sănătatea

(1) Fiecare organism de acces la datele privind sănătatea asigură faptul că impunerea de amenzi administrative în conformitate cu prezentul articol pentru încălcările menționate la alineatele (4) și (5) este eficace, proporțională și disuasivă în fiecare caz în parte.

(2) În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor de executare menționate la articolul 63 alineatele (3) și (4). Organismele de acces la datele privind sănătatea decid dacă să se impună o amendă administrativă și cuantumul amenzii administrative în fiecare caz în parte, acordând atenția cuvenită următoarelor aspecte:

(a)	natura, gravitatea și durata încălcării;

(b)	dacă au fost deja impuse sancțiuni sau amenzi administrative de către alte autorități competente pentru aceeași încălcare;

(c)	dacă încălcarea a fost comisă cu intenție sau din culpă;

(d)	orice acțiune întreprinsă de deținătorul de date privind sănătatea sau de utilizatorul de date privind sănătatea pentru a atenua daunele cauzate;

(e)	gradul de responsabilitate a utilizatorului de date privind sănătatea, ținând seama de măsurile tehnice și organizatorice puse în aplicare de respectivul utilizator de date privind sănătatea în temeiul articolului 67 alineatul (2) litera (g) și al articolului 67 alineatul (4);

(f)	orice încălcări anterioare relevante comise de deținătorul de date privind sănătatea sau de utilizatorul de date privind sănătatea;

(g)	gradul de cooperare al utilizatorului de date privind sănătatea sau al deținătorului de date privind sănătatea cu organismul de acces la datele privind sănătatea, în ceea ce privește remedierea încălcării și atenuarea posibilelor efecte negative ale acesteia;

(h)	modul în care organismul de acces la datele privind sănătatea a luat cunoștință de încălcare, în special dacă utilizatorul de date privind sănătatea a notificat încălcarea și în ce măsură a notificat-o;

(i)	respectarea oricăror măsuri de executare menționate la articolul 63 alineatele (3) și (4) care au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator cu privire la același obiect;

(j)	orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.

(3) Dacă un deținător de date privind sănătatea sau un utilizator de date privind sănătatea încalcă cu intenție sau din culpă mai multe dispoziții din prezentul regulament pentru aceeași autorizație privind datele sau solicitare de date privind sănătatea ori pentru autorizații sau solicitări conexe, cuantumul total al amenzii administrative nu depășește suma prevăzută pentru cea mai gravă încălcare.

(4) În conformitate cu alineatul (2) de la prezentul articol, încălcările obligațiilor deținătorului de date privind sănătatea sau ale utilizatorului de date privind sănătatea în temeiul articolului 60 și al articolului 61 alineatele (1), (5) și (6) fac obiectul unor amenzi administrative de cel mult 10 000 000 EUR sau, în cazul unei întreprinderi, de cel mult 2 % din cifra sa de afaceri anuală totală, la nivel mondial, din exercițiul financiar precedent, luându-se în considerare valoarea cea mai mare.

(5) În conformitate cu alineatul (2), pentru următoarele încălcări se aplică amenzi administrative de cel mult 20 000 000 EUR sau, în cazul unei întreprinderi, de cel mult 4 % din cifra sa de afaceri anuală totală, la nivel mondial, corespunzătoare exercițiului financiar anterior, luându-se în considerare valoarea cea mai mare:

(a)	utilizatorii de date privind sănătatea care prelucrează datele electronice privind sănătatea obținute cu o autorizație privind datele eliberată în temeiul articolului 68 pentru utilizările menționate la articolul 54;

(b)	utilizatorii de date privind sănătatea care extrag date electronice cu caracter personal privind sănătatea din medii de prelucrare securizate;

(c)	reidentificarea sau tentativa de reidentificare a persoanelor fizice la care se referă datele electronice privind sănătatea obținute de utilizatorii de date privind sănătatea în baza unei autorizații privind datele sau a unei cereri de date privind sănătatea în temeiul articolului 61 alineatul (3);

(d)	nerespectarea măsurilor de executare dispuse de organismul de acces la datele privind sănătatea în temeiul articolului 63 alineatele (3) și (4).

(6) Fără a aduce atingere competențelor organismelor de acces la datele privind sănătatea în temeiul articolului 63, fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv.

(7) Exercitarea de către un organism de acces la datele privind sănătatea a competențelor sale în temeiul prezentului articol se face cu condiția existenței unor garanții procedurale adecvate în conformitate cu dreptul Uniunii și cu dreptul intern, inclusiv a unor căi de atac judiciare eficace și a dreptului la un proces echitabil.

(8) În cazul în care sistemul juridic al unui stat membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel încât, în conformitate cu cadrul său juridic intern, să asigure faptul că respectivele căi de atac sunt eficace și au un efect echivalent cu cel al amenzilor administrative impuse de organismele de acces la datele privind sănătatea. În orice caz, amenzile aplicate trebuie să fie eficace, proporționale și disuasive. Statul membru respectiv notifică Comisiei dispozițiile legislației pe care o adoptă în temeiul prezentului alineat până la 26 martie 2029 și, fără întârziere, ale oricărui act legislativ ulterior de modificare a dispozițiilor respective sau ale modificărilor ulterioare ale dispozițiilor respective.

Articolul 65

Relația cu autoritățile de supraveghere în temeiul Regulamentului (UE) 2016/679

Autoritatea sau autoritățile de supraveghere responsabile cu monitorizarea și asigurarea aplicării Regulamentului (UE) 2016/679 au, de asemenea, competența de a monitoriza și a asigura aplicarea dreptului de a refuza prelucrarea datelor electronice cu caracter personal privind sănătatea pentru utilizare secundară în temeiul articolului 71. Respectivele autorități de supraveghere au competența de a impune amenzi administrative până la concurența cuantumului menționat la articolul 83 din Regulamentul (UE) 2016/679.

Autoritățile de supraveghere menționate la primul paragraf de la prezentul articol și organismele de acces la datele privind sănătatea menționate la articolul 55 din prezentul regulament cooperează, după caz, în vederea asigurării respectării prezentului regulament, în limitele competențelor care le revin. Se aplică, mutatis mutandis, dispozițiile relevante din Regulamentul (UE) 2016/679.

SECȚIUNEA 3

Accesul la datele electronice privind sănătatea pentru utilizarea secundară

Articolul 66

Reducerea la minimum a datelor și limitarea scopului

(1) În cazul în care organismele de acces la datele privind sănătatea primesc o cerere de acces la datele privind sănătatea, acestea se asigură că accesul este acordat numai pentru datele electronice privind sănătatea care sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopul prelucrării indicate în cererea de acces la datele privind sănătatea de către utilizatorul de date privind sănătatea și în conformitate cu autorizația privind datele eliberată în temeiul articolului 68.

(2) Organismele de acces la datele privind sănătatea furnizează datele electronice privind sănătatea într-un format anonimizat, în cazul în care scopul prelucrării de către utilizatorul de date privind sănătatea poate fi atins cu astfel de date, ținând seama de informațiile furnizate de utilizatorul de date privind sănătatea.

(3) În cazul în care utilizatorul de date privind sănătatea a demonstrat în mod suficient că scopul prelucrării nu poate fi atins cu date anonimizate, în conformitate cu articolul 68 alineatul (1) litera (c), organismele de acces la datele electronice privind sănătatea oferă acces la date electronice privind sănătatea în format pseudonimizat. Informațiile necesare pentru a reveni asupra pseudonimizării sunt disponibile numai organismului de acces la datele privind sănătatea sau unei entități care acționează în calitate de parte terță de încredere în conformitate cu dreptul intern.

Articolul 67

Cererile de acces la datele privind sănătatea

(1) O persoană fizică sau juridică poate depune la un organism de acces la datele privind sănătatea o cerere de acces la datele privind sănătatea în scopurile menționate la articolul 53 alineatul (1).

(2) Cererea de acces la datele privind sănătatea include:

(a)

identitatea solicitantului de date privind sănătatea, o descriere a funcțiilor și activităților profesionale ale solicitantului de date privind sănătatea respectiv, inclusiv identitatea persoanelor fizice care ar avea acces la datele electronice privind sănătatea în cazul în care s-ar elibera o autorizație privind datele; solicitantul de date privind sănătatea informează organismul de acces la datele privind sănătatea privind orice actualizare a listei persoanelor fizice;

(b)	scopurile menționate la articolul 53 alineatul (1) pentru care se solicită accesul la date;

(c)	o explicație detaliată a utilizării preconizate a datelor electronice privind sănătatea și a beneficiului preconizat legat de utilizarea respectivă, precum și a modului în care acest beneficiu ar contribui la scopurile menționate la articolul 53 alineatul (1);

(d)

o descriere a datelor electronice privind sănătatea solicitate, inclusiv domeniul. intervalul de timp, formatul, sursele și, dacă este posibil, acoperirea geografică în cazul în care se solicită astfel de date de la deținătorii de date privind sănătatea din mai multe state membre sau de la participanții autorizați în cadrul HealthData@EU menționați la articolul 75;

(e)	o descriere din care să reiasă dacă datele electronice privind sănătatea trebuie puse la dispoziție într-un format pseudonimizat sau anonimizat și, în cazul unui format pseudonimizat, o justificare a motivului pentru care prelucrarea nu poate fi efectuată utilizând date anonimizate;

(f)	în cazul în care solicitantul de date privind sănătatea intenționează să introducă seturi de date pe care solicitantul de date privind sănătatea respectiv le deține deja în mediul de prelucrare securizat, o descriere a seturilor de date respective;

(g)

o descriere a garanțiilor, care trebuie să fie proporționale cu riscurile, instituite pentru a preveni orice utilizare abuzivă a datelor electronice privind sănătatea, precum și pentru a proteja drepturile și interesele deținătorului de date privind sănătatea și ale persoanelor fizice în cauză, inclusiv pentru a preveni orice reidentificare a persoanelor fizice în setul de date;

(h)	o indicare motivată a perioadei în care datele electronice privind sănătatea sunt necesare pentru prelucrare într-un mediu de prelucrare securizat;

(i)	o descriere a instrumentelor și a resurselor informatice necesare pentru un mediu de prelucrare securizat;

(j)	după caz, informații privind orice evaluare a aspectelor etice ale prelucrării, obligatorie în temeiul dreptului intern, care ar putea înlocui propria evaluare de etică a solicitantului de date privind sănătatea;

(k)	în cazul în care solicitantul de date privind sănătatea intenționează să facă uz de o excepție în temeiul articolului 71 alineatul (4), justificarea necesară conform dreptului intern în temeiul articolului respectiv.

(3) Atunci când solicită acces la date electronice privind sănătatea deținute de deținători de date privind sănătatea stabiliți în mai multe state membre sau de la participanții autorizați relevanți în cadrul HealthData@EU menționați la articolul 75, solicitantul de date privind sănătatea depune o singură cerere de acces la datele privind sănătatea prin intermediul organismului de acces la datele privind sănătatea din statul membru în care se află sediul principal al solicitantului de date privind sănătatea, prin intermediul organismului de acces la datele privind sănătatea din statul membru în care este stabilit unul dintre respectivii deținători de date privind sănătatea sau prin intermediul serviciilor furnizate de Comisie în cadrul platformei HealthData@EU menționate la articolul 75. Cererea de acces la datele privind sănătatea se transmite automat participanților autorizați relevanți în cadrul HealthData@EU și organismelor de acces la datele privind sănătatea din statele membre în care sunt stabiliți deținătorii de date privind sănătatea identificați în cererea de acces la datele privind sănătatea.

(4) Atunci când dorește să acceseze datele electronice cu caracter personal privind sănătatea într-un format pseudonimizat, solicitantul de date privind sănătatea furnizează, împreună cu cererea de acces la datele privind sănătatea, o descriere a modului în care prelucrarea ar respecta dreptul Uniunii și dreptul intern aplicabile privind protecția datelor și a vieții private, în special Regulamentul (UE) 2016/679 și, în special, articolul 6 alineatul (1) din regulamentul respectiv.

(5) Organismele din sectorul public și instituțiile, organele, oficiile și agențiile Uniunii furnizează aceleași informații ca cele cerute în temeiul alineatelor (2) și (4), cu excepția alineatului (2) litera (h), caz în care transmit, în locul acelor informații, informații privind perioada pentru care datele electronice privind sănătatea pot fi accesate, frecvența accesului respectiv sau frecvența actualizărilor datelor.

Articolul 68

Autorizația privind datele

(1) În scopul acordării accesului la datele electronice privind sănătatea, organismele de acces la datele privind sănătatea evaluează dacă sunt îndeplinite toate criteriile următoare:

(a)	scopurile descrise în cererea de acces la datele privind sănătatea corespund unuia sau mai multora dintre scopurile enumerate la articolul 53 alineatul (1);

(b)	datele solicitate sunt necesare, adecvate și proporționale cu scopul sau scopurile descrise în cererea de acces la datele privind sănătatea, ținând seama de cerințele privind reducerea la minimum a datelor și limitarea scopului prevăzute la articolul 66;

(c)	prelucrarea respectă articolul 6 alineatul (1) din Regulamentul (UE) 2016/679 și, în cazul datelor pseudonimizate, există o justificare suficientă că scopul nu poate fi atins cu date anonimizate;

(d)

solicitantul de date privind sănătatea este calificat în ceea ce privește scopurile propuse ale utilizării datelor și dețin cunoștințele de specialitate corespunzătoare, inclusiv calificări profesionale în domeniul asistenței medicale, îngrijirii, sănătății publice sau cercetării, în conformitate cu practica etică și cu legile și reglementările aplicabile;

(e)

solicitantul de date privind sănătatea demonstrează că a luat suficiente măsuri de natură tehnică și organizatorică pentru a preveni utilizarea abuzivă a datelor electronice privind sănătatea și pentru a proteja drepturile și interesele deținătorilor de date privind sănătatea și ale persoanelor fizice în cauză;

(f)	informațiile privind evaluarea aspectelor etice ale prelucrării, menționată la articolul 67 alineatul (2) litera (j), după caz, respectă dreptul intern;

(g)	în cazul în care solicitantul de date privind sănătatea intenționează să facă uz de o excepție în temeiul articolului 71 alineatul (4), a fost furnizată justificarea necesară conform dreptului intern adoptat în temeiul articolului respectiv;

(h)	solicitantul de date privind sănătatea îndeplinește toate celelalte cerințe din prezentul capitol.

(2) Organismul de acces la datele privind sănătatea ține seama totodată de următoarele riscuri:

(a)	riscurile pentru apărarea națională, securitate, siguranța publică și ordinea publică;

(b)	riscul de subminare a confidențialității datelor din bazele de date guvernamentale ale autorităților de reglementare.

(3) În cazul în care organismul de acces la datele privind sănătatea ajunge la concluzia că cerințele de la alineatul (1) sunt îndeplinite și că riscurile menționate la alineatul (2) sunt atenuate suficient, organismul de acces la datele privind sănătatea acordă accesul la datele electronice privind sănătatea prin eliberarea unei autorizații privind datele. Organismele de acces la datele privind sănătatea refuză toate cererile de acces la datele privind sănătatea atunci când nu sunt îndeplinite cerințele din prezentul capitol.

Dacă cerințele pentru eliberarea unei autorizații privind datele nu sunt îndeplinite, dar sunt îndeplinite cerințele pentru furnizarea unui răspuns într-un format statistic anonimizat în temeiul articolului 69, organismul de acces la datele privind sănătatea poate decide să furnizeze un astfel de răspuns, cu condiția ca furnizarea răspunsului respectiv să atenueze riscurile și, dacă scopul cererii de acces la datele privind sănătatea poate fi îndeplinit în acest mod, cu condiția ca solicitantul datelor privind sănătatea să fie de acord să primească un răspuns într-un format statistic anonimizat în temeiul articolului 69.

(4) Prin derogare de la Regulamentul (UE) 2022/868, organismul de acces la datele privind sănătatea eliberează sau refuză o autorizație privind datele în termen de trei luni de la primirea unei cereri complete de acces la datele privind sănătatea. Dacă organismul de acces la datele privind sănătatea constată că cererea de acces la datele privind sănătatea este incompletă, acesta notifică solicitantul de date privind sănătatea, căruia i se oferă posibilitatea de a completa cererea respectivă. Autorizația nu se eliberează dacă solicitantul de date privind sănătatea nu completează cererea de acces la datele privind sănătatea în termen de patru săptămâni.

Organismul de acces la datele privind sănătatea poate prelungi perioada de răspuns la o cerere de acces la datele privind sănătatea cu o perioadă suplimentară de trei luni, dacă este necesar, ținând seama de urgența și complexitatea cererii de acces la datele privind sănătatea și de volumul de cereri de acces la datele privind sănătatea depuse în vederea luării unei decizii. În aceste cazuri, organismul de acces la datele privind sănătatea informează solicitantul de date privind sănătatea cât mai curând posibil cu privire la faptul că este nevoie de mai mult timp pentru examinarea cererii de acces la datele privind sănătatea, împreună cu motivele întârzierii.

(5) Atunci când prelucrează o cerere de acces la datele privind sănătatea pentru accesul transfrontalier la date electronice privind sănătatea conform articolului 67 alineatul (3), organismele de acces la datele privind sănătatea și participanții autorizați relevanți la platforma HealthData@EU menționată la articolul 75 rămân responsabili de adoptarea deciziilor de acordare sau refuzare a accesului la datele electronice privind sănătatea care intră în sfera lor de competență, în conformitate cu cerințele din prezentul capitol.

Organismele de acces la datele privind sănătatea în cauză și participanții autorizați la HealthData@EU în cauză se informează reciproc cu privire la deciziile lor. Aceștia pot lua în considerare informațiile respective atunci când decid cu privire la acordarea sau refuzarea accesului la datele electronice privind sănătatea.

O autorizație privind datele eliberată de un organism de acces la datele privind sănătatea poate beneficia de recunoaștere reciprocă din partea celorlalte organisme de acces la datele privind sănătatea.

(6) Statele membre prevăd o procedură accelerată de depunere a cererilor de acces la datele privind sănătatea pentru organismele din sectorul public și instituțiile, organele, oficiile și agențiile Uniunii cărora legea le acordă competențe în domeniul sănătății publice, în cazul în care prelucrarea datelor electronice privind sănătatea urmează să fie efectuată în scopurile prevăzute la articolul 53 alineatul (1) literele (a), (b) și (c).

În cazul în care se aplică o astfel de procedură accelerată, organismul de acces la datele privind sănătatea eliberează sau refuză o autorizație privind datele în termen de două luni de la primirea unei cereri complete de acces la datele privind sănătatea. Organismul de acces la datele privind sănătatea poate prelungi perioada de răspuns la o cerere de acces la datele privind sănătatea cu încă o lună, dacă este necesar.

(7) După eliberarea autorizației privind datele, organismul de acces la datele privind sănătatea solicită imediat datele electronice privind sănătatea de la deținătorul datelor privind sănătatea. Organismul de acces la datele privind sănătatea pune datele electronice privind sănătatea la dispoziția utilizatorului de date privind sănătatea în termen de două luni de la primirea acestora de la deținătorii de date privind sănătatea, cu excepția cazului în care organismul de acces la datele privind sănătatea specifică faptul că datele trebuie să fie furnizate într-un interval de timp specificat mai lung.

(8) În cazurile menționate la alineatul (5) primul paragraf de la prezentul articol, organismele de acces la datele privind sănătatea și participanții autorizați la HealthData@EU care au eliberat o autorizație privind datele sau, respectiv, o aprobare de acces pot decide să ofere acces la datele electronice privind sănătatea în mediul de prelucrare securizat furnizat de Comisie, astfel cum se menționează la articolul 75 alineatul (9).

(9) În cazul în care organismul de acces la datele privind sănătatea refuză să elibereze o autorizație privind datele, acesta furnizează solicitantului de date privind sănătatea o justificare a refuzului respectiv.

(10) Atunci când eliberează o autorizație privind datele, organismul de acces la datele privind sănătatea stabilește în respectiva autorizație privind datele condițiile generale aplicabile utilizatorului de date privind sănătatea. Autorizația privind datele conține următoarele:

(a)

categoriile, specificațiile și formatul datelor electronice privind sănătatea care urmează să fie accesate, care fac obiectul autorizației privind datele, inclusiv sursele acestora și indicarea faptului că datele electronice privind sănătatea urmează sau nu să fie accesate într-un format pseudonimizat în mediul de prelucrare securizat;

(b)	o descriere detaliată a scopului pentru care sunt puse la dispoziție datele electronice privind sănătatea;

(c)	în cazul în care un mecanism pentru a pune în aplicare o excepție este prevăzut și aplicabil în temeiul articolului 71 alineatul (4), informații din care să reiasă dacă acesta a fost aplicat și motivul deciziei aferente;

(d)	identitatea persoanelor autorizate, în special identitatea investigatorului principal, cu drept de acces la datele electronice privind sănătatea în mediul de prelucrare securizat;

(e)	durata autorizației privind datele;

(f)	informațiile referitoare la caracteristicile tehnice și instrumentele aflate la dispoziția utilizatorului de date privind sănătatea în mediul de prelucrare securizat;

(g)	taxele care trebuie plătite de utilizatorul de date privind sănătatea;

(h)	orice condiții specifice suplimentare din autorizația privind datele acordată.

(11) Utilizatorii de date privind sănătatea au dreptul de a accesa și a prelucra datele electronice privind sănătatea într-un mediu sigur de prelucrare a datelor, în conformitate cu autorizația privind datele care le-a fost eliberată în temeiul prezentului regulament.

(12) Autorizația privind datele se eliberează pentru durata necesară îndeplinirii scopurilor solicitate, care nu poate depăși 10 ani. Respectiva durată poate fi prelungită o singură dată, pentru o perioadă care nu poate depăși 10 ani, la cererea utilizatorului de date privind sănătatea, pe baza argumentelor și a documentelor care justifică o astfel de prelungire și care se furnizează cu o lună înainte de expirarea autorizației privind datele. Organismul de acces la datele privind sănătatea poate percepe taxe majorate pentru a reflecta costurile și riscurile stocării datelor electronice privind sănătatea pentru un interval mai lung de timp ce depășește perioada inițială. Pentru a reduce aceste costuri și taxe, organismul de acces la datele privind sănătatea poate propune, de asemenea, utilizatorului de date privind sănătatea să stocheze setul de date într-un sistem de stocare cu capacități reduse. Aceste capacități reduse trebuie să nu afecteze securitatea setului de date prelucrate. Datele electronice privind sănătatea din mediul de prelucrare securizat se șterg în termen de șase luni de la expirarea autorizației privind datele. La cererea utilizatorului de date privind sănătatea, formula de creare a setului de date solicitat poate fi stocată de organismul de acces la datele privind sănătatea.

(13) În cazul în care autorizația privind datele trebuie actualizată, utilizatorul de date privind sănătatea depune o cerere de modificare a respectivei autorizații.

(14) Prin intermediul unui act de punere în aplicare, Comisia poate elabora un logo pentru recunoașterea contribuției SEDS. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 69

Cererea de date privind sănătatea

(1) Solicitantul de date privind sănătatea poate depune o cerere de date privind sănătatea în sensurile menționate la articolul 53 cu scopul de a obține un răspuns numai într-un format statistic anonimizat. Un organism de acces la datele privind sănătatea nu furnizează un răspuns la o cerere de date privind sănătatea în niciun alt format, iar utilizatorul de date privind sănătatea nu are acces la datele electronice privind sănătatea utilizate pentru a furniza răspunsul respectiv.

(2) O cerere de date privind sănătatea menționată la alineatul (1) include următoarele informații:

(a)	identitatea solicitantului de date privind sănătatea și o descriere a funcțiilor și a activităților profesionale ale solicitantului de date privind sănătatea;

(b)	o explicație detaliată a utilizării preconizate a datelor electronice privind sănătatea, inclusiv scopurile menționate la articolul 53 alineatul (1) pentru care se depune cererea de date privind sănătatea;

(c)	o descriere a datelor electronice privind sănătatea solicitate, a formatului acestora și a surselor datelor respective, dacă este posibil;

(d)	o descriere a conținutului statistic;

(e)	o descriere a garanțiilor planificate pentru a preveni orice utilizare necorespunzătoare a datelor electronice privind sănătatea solicitate;

(f)	o descriere a modului în care prelucrarea ar respecta articolul 6 alineatul (1) din Regulamentul (UE) 2016/679 sau articolul 5 alineatul (1) și articolul 10 alineatul (2) din Regulamentul (UE) 2018/1725;

(g)	în cazul în care solicitantul de date privind sănătatea intenționează să facă uz de o excepție în temeiul articolului 71 alineatul (4), justificarea necesară conform dreptului intern în temeiul articolului respectiv.

(3) Organismul de acces la datele privind sănătatea evaluează dacă cererea de date privind sănătatea este completă și ia în considerare riscurile menționate la articolul 68 alineatul (2).

(4) Organismul de acces la datele privind sănătatea evaluează cererea de date privind sănătatea în termen de trei luni de la primirea cererii și, dacă este posibil, furnizează ulterior răspunsul utilizatorului de date privind sănătatea într-un termen suplimentar de trei luni.

Articolul 70

Modele pentru a sprijini accesul la datele electronice privind sănătatea pentru utilizare secundară

Până la 26 martie 2027, Comisia stabilește, prin intermediul unor acte de punere în aplicare, modelele pentru cererea de acces la datele privind sănătatea, pentru autorizația privind datele și pentru cererea de date privind sănătatea menționate la articolele 67, 68 și, respectiv, 69. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 71

Dreptul de a refuza prelucrarea datelor electronice cu caracter personal privind sănătatea pentru utilizare secundară

(1) Persoanele fizice au dreptul de a refuza în orice moment și fără a prezenta nicio justificare prelucrarea datelor electronice cu caracter personal privind sănătatea care le privesc pentru utilizare secundară în temeiul prezentului regulament, fără a trebui să prezinte justificări. Exercitarea acestui drept este reversibilă.

(2) Statele membre prevăd un mecanism de refuz accesibil și ușor de înțeles pentru exercitarea dreptului stabilit la alineatul (1), prin care persoanele fizice au posibilitatea de a declara în mod explicit că nu doresc să le fie prelucrate datele electronice cu caracter personal privind sănătatea pentru utilizare secundară.

(3) După ce persoanele fizice și-au exercitat dreptul de refuz și în cazul în care datele electronice cu caracter personal privind sănătatea care le privesc pot fi identificate într-un set de date, datele electronice cu caracter personal privind sănătatea nu se pun la dispoziție și nu se prelucrează în alt mod în baza autorizațiilor privind datele eliberate în temeiul articolului 68 sau în baza cererilor de date privind sănătatea în temeiul articolului 69 aprobate după ce persoana fizică și-a exercitat dreptul de refuz.

Primul paragraf de la prezentul alineat nu afectează prelucrarea pentru utilizare secundară a datelor electronice cu caracter personal privind sănătatea referitoare la persoanele fizice respective în baza autorizațiilor privind datele sau a cererilor de date privind sănătatea care au fost eliberate sau aprobate înainte ca persoanele fizice să își fi exercitat dreptul de refuz.

(4) Prin derogare de la dreptul de refuz prevăzut la alineatul (1), un stat membru poate prevedea în dreptul său intern un mecanism prin care să pună la dispoziție datele cu privire la care a fost exercitat dreptul de refuz, dacă sunt îndeplinite toate condițiile următoare:

(a)

cererea de acces la datele privind sănătatea sau cererea de date privind sănătatea este depusă de un organism din sectorul public ori de o instituție, un organ, un oficiu sau o agenție a Uniunii care are un mandat de îndeplinire a unor sarcini în domeniul sănătății publice sau de o altă entitate căreia i s-a încredințat îndeplinirea unor sarcini publice în domeniul sănătății publice sau care acționează în numele unei autorități publice sau este mandatată de o astfel de autoritate, iar prelucrarea datelor respective este necesară în oricare dintre următoarele scopuri:

(i)	scopurile menționate la articolul 53 alineatul (1) literele (a), (b) și (c);

(ii)	cercetarea științifică din motive importante de interes public;

(b)	datele respective nu pot fi obținute prin mijloace alternative în timp util și în mod eficace, în condiții echivalente;

(c)	solicitantul de date privind sănătatea a furnizat justificarea menționată la articolul 68 alineatul (1) litera (g) sau la articolul 69 alineatul (2) litera (g).

Dreptul intern care prevede un astfel de mecanism prevede măsuri specifice și adecvate pentru a proteja drepturile fundamentale și datele cu caracter personal ale persoanelor fizice.

În cazul în care un stat membru a prevăzut în dreptul intern posibilitatea de a solicita accesul la date pentru care s-a exercitat dreptul de refuz și condițiile menționate la primul paragraf de la prezentul alineat sunt îndeplinite, datele respective pot fi incluse în îndeplinirea sarcinilor prevăzute la articolul 57 alineatul (1) litera (a) punctele (i) și (iii) și litera (b).

(5) Normele privind orice mecanism de punere în aplicare a excepțiilor prevăzut la alineatul (4) prin derogare de la alineatul (1) trebuie să respecte esența drepturilor și libertăților fundamentale și să constituie o măsură necesară și proporțională într-o societate democratică pentru a realiza scopurile interesului public legat de obiective științifice și societale legitime.

(6) Orice prelucrare efectuată în conformitate cu mecanismul de punere în aplicare a excepțiilor prevăzut la alineatul (4) de la prezentul articol trebuie să respecte cerințele prezentului capitol, în special interdicția privind reidentificarea sau tentativa de reidentificare a persoanelor fizice în conformitate cu articolul 61 alineatul (3). Orice măsură legislativă care prevede un mecanism în dreptul intern, astfel cum este menționat la alineatul (4) de la prezentul articol, include dispoziții specifice privind siguranța persoanelor fizice și protecția drepturilor acestora.

(7) Statul membru notifică fără întârziere Comisiei dispozițiile de drept intern pe care le adoptă în temeiul alineatului (4) din prezentul articol și orice modificare ulterioară a acestora.

(8) Atunci când scopurile prelucrării datelor electronice cu caracter personal privind sănătatea de către un deținător de date privind sănătatea nu necesită sau nu mai necesită identificarea unei persoane vizate de către operator, respectivul deținător de date privind sănătatea nu este obligat să păstreze, să obțină sau să prelucreze informații suplimentare pentru a identifica persoana vizată cu unicul scop de a respecta dreptul de a refuza prelucrarea datelor în temeiul prezentului articol.

Articolul 72

Procedura simplificată de acces la datele electronice privind sănătatea de la un deținător de încredere de date privind sănătatea

(1) În cazul în care un organism de acces la datele privind sănătatea primește o cerere de acces la datele privind sănătatea în temeiul articolului 67 sau o cerere de date privind sănătatea în temeiul articolului 69 care acoperă numai datele electronice privind sănătatea deținute de un deținător de încredere de date privind sănătatea desemnat în conformitate cu alineatul (2) de la prezentul articol, se aplică procedura prevăzută la alineatele (4)-(6) de la prezentul articol.

(2) Statele membre pot stabili o procedură prin care deținătorii de date privind sănătatea pot solicita să fie desemnați ca deținători de încredere de date privind sănătatea, cu condiția ca deținătorii de date privind sănătatea să îndeplinească următoarele condiții:

(a)	sunt în măsură să ofere acces la datele privind sănătatea prin intermediul unui mediu de prelucrare securizat care respectă articolul 73;

(b)	dețin cunoștințele de specialitate necesare pentru a evalua cererile de acces la datele privind sănătatea și cererile de date privind sănătatea;

(c)	oferă garanțiile necesare pentru a asigura respectarea prezentului regulament.

Statele membre desemnează deținătorii de încredere de date privind sănătatea în urma unei evaluări a îndeplinirii condițiilor respective de către organismul relevant de acces la datele privind sănătatea.

Statele membre stabilesc o procedură pentru a verifica periodic dacă deținătorul de încredere de date privind sănătatea continuă să îndeplinească condițiile respective.

Organismele de acces la datele privind sănătatea indică deținătorii de încredere de date privind sănătatea în catalogul de seturi de date menționat la articolul 77.

(3) Cererile de acces la datele privind sănătatea și cererile de date privind sănătatea menționate la alineatul (1) se transmit organismului de acces la datele privind sănătatea, care le poate transmite deținătorului de încredere relevant de date privind sănătatea.

(4) În urma primirii unei cereri de acces la datele privind sănătatea sau a unei cereri de date privind sănătatea în conformitate cu alineatul (3) de la prezentul articol, deținătorul de încredere de date privind sănătatea evaluează cererea de acces la datele privind sănătatea sau cererea de date privind sănătatea pe baza criteriilor enumerate la articolul 68 alineatele (1) și (2) sau la articolul 69 alineatele (2) și (3), după caz.

(5) Deținătorul de încredere de date privind sănătatea transmite evaluarea pe care o efectuează în conformitate cu alineatul (4), însoțită de o propunere de decizie, organismului de acces la datele privind sănătatea în termen de două luni de la primirea cererii de acces la datele privind sănătatea sau a cererii de date privind sănătatea din partea organismului de acces la datele privind sănătatea. În termen de două luni de la primirea evaluării, organismul de acces la datele privind sănătatea emite o decizie referitoare la cererea de acces la datele privind sănătatea sau la cererea de date privind sănătatea. Organismul de acces la datele privind sănătatea nu este ținut să urmeze propunerea prezentată de deținătorul de încredere de date privind sănătatea.

(6) În urma deciziei organismului de acces la datele privind sănătatea de a elibera autorizația privind datele sau de a aproba cererea de date privind sănătatea, deținătorul de încredere de date privind sănătatea îndeplinește sarcinile menționate la articolul 57 alineatul (1) litera (a) punctul (i) și litera (b).

(7) Serviciul Uniunii de acces la datele privind sănătatea menționat la articolul 56 poate desemna deținători de date privind sănătatea care sunt instituții, organe, oficii sau agenții ale Uniunii și care îndeplinesc condițiile prevăzute la alineatul (2) primul paragraf literele (a), (b) și (c) de la prezentul articol drept deținători de încredere de date privind sănătatea. În acest caz, se aplică mutatis mutandis alineatul (2) al treilea și al patrulea paragraf și alineatele (3)-(6) de la prezentul articol.

Articolul 73

Mediul de prelucrare securizat

(1) Organismele de acces la datele privind sănătatea oferă acces la datele electronice privind sănătatea în baza unei autorizații privind datele numai printr-un mediu de prelucrare securizat, care face obiectul unor măsuri tehnice și organizatorice și a unor cerințe de securitate și interoperabilitate. În special, mediul de prelucrare securizat respectă următoarele măsuri de securitate:

(a)	restricționarea accesului la mediul de prelucrare securizat la persoanele fizice autorizate enumerate în autorizația respectivă privind datele eliberată în temeiul articolului 68;

(b)	reducerea la minimum a riscului de citire, copiere, modificare sau extragere neautorizată a datelor electronice privind sănătatea găzduite în mediul de prelucrare securizat prin mijloace tehnice și organizatorice de ultimă generație;

(c)	limitarea introducerii de date electronice privind sănătatea și inspecția, modificarea sau ștergerea datelor electronice privind sănătatea găzduite în mediul de prelucrare securizat la un număr limitat de persoane identificabile autorizate;

(d)	asigurarea faptului că utilizatorii de date privind sănătatea au acces numai la datele electronice privind sănătatea care fac obiectul autorizației lor privind datele, numai prin intermediul unor identități de utilizator individuale și unice și al unor moduri de acces confidențiale;

(e)	păstrarea de evidențe identificabile ale accesului și ale activităților din mediul de prelucrare securizat pe perioada necesară pentru verificarea și auditarea tuturor operațiunilor de prelucrare din mediul respectiv; evidențele de acces se păstrează timp de cel puțin un an;

(f)	asigurarea conformității și monitorizarea măsurilor de securitate menționate la prezentul alineat pentru a atenua potențialele amenințări la adresa securității.

(2) Organismele de acces la datele privind sănătatea se asigură că datele electronice privind sănătatea provenite de la deținători de date privind sănătatea în formatul stabilit prin autorizația privind datele pot fi încărcate de respectivii deținătorii de date privind sănătatea și pot fi accesate de utilizatorul de date privind sănătatea într-un mediu de prelucrare securizat.

Organismele de acces la datele privind sănătatea revizuiesc datele electronice privind sănătatea incluse într-o cerere de descărcare pentru a se asigura că utilizatorii de date privind sănătatea pot descărca din mediul de prelucrare securizat numai date electronice fără caracter personal privind sănătatea, inclusiv date electronice privind sănătatea într-un format statistic anonimizat.

(3) Organismele de acces la datele privind sănătatea asigură faptul că în mod regulat sunt efectuate audituri ale mediilor de prelucrare securizate, inclusiv de către părți terțe, și iau măsuri corective cu privire la orice deficiențe, riscuri sau vulnerabilități identificate prin respectivele audituri în mediile de prelucrare securizate.

(4) În cazul în care organizațiile recunoscute de promovare a altruismului în materie de date în temeiul capitolului IV din Regulamentul (UE) 2022/868 prelucrează date electronice cu caracter personal privind sănătatea utilizând un mediu de prelucrare securizat, mediile menționate respectă totodată măsurile de securitate prevăzute la alineatul (1) literele (a)-(f) de la prezentul articol.

(5) Până la 26 martie 2027, Comisia stabilește, prin intermediul unor acte de punere în aplicare, cerințele tehnice, organizatorice, de securitate a informațiilor, de confidențialitate, de protecție a datelor și de interoperabilitate pentru mediile de prelucrare securizate, inclusiv cu privire la caracteristicile tehnice și instrumentele de care dispune utilizatorul de date privind sănătatea în mediile de prelucrare securizate. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 74

Calitatea de operator

(1) Deținătorul datelor privind sănătatea este considerat operator pentru punerea la dispoziție a datelor electronice cu caracter personal privind sănătatea solicitate în conformitate cu articolul 60 alineatul (1) către organismul de acces la datele privind sănătatea.

Organismul de acces la datele privind sănătatea este considerat operator pentru prelucrarea datelor electronice cu caracter personal privind sănătatea atunci când își îndeplinește sarcinile în temeiul prezentului regulament.

În pofida celui de al doilea paragraf de la prezentul alineat, se consideră că organismul de acces la datele privind sănătatea acționează în calitate de persoană împuternicită de operator în numele utilizatorului de date privind sănătatea, în calitate de operator pentru prelucrarea datelor electronice cu caracter personal privind sănătatea, în conformitate cu o autorizație privind datele eliberată în temeiul articolului 68 în mediul de prelucrare securizat, atunci când furnizează date prin intermediul unui astfel de mediu, sau pentru prelucrarea unor astfel de date în conformitate cu o cerere de date privind sănătatea aprobată în temeiul articolului 69 în scopul generării unui răspuns.

(2) În situațiile menționate la articolul 72 alineatul (6), deținătorul de încredere de date privind sănătatea este considerat operator pentru prelucrarea pe care o realizează a datelor electronice cu caracter personal privind sănătatea legate de furnizarea de date electronice privind sănătatea către utilizatorul de date privind sănătatea în baza unei autorizații privind datele sau a unei cereri de date privind sănătatea. Se consideră că deținătorul de încredere de date privind sănătatea acționează ca persoană împuternicită de operator în numele utilizatorului de date privind sănătatea atunci când furnizează date printr-un mediu de prelucrare securizat.

(3) Comisia poate stabili, prin intermediul unor acte de punere în aplicare, un model pentru acordurile dintre operator și persoana împuternicită de operator în temeiul alineatelor (1) și (2) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

SECȚIUNEA 4

Infrastructura transfrontalieră pentru utilizarea secundară

Articolul 75

HealthData@EU

(1) Fiecare stat membru desemnează un singur punct național de contact pentru utilizarea secundară. Respectivul punct național de contact pentru utilizarea secundară este un portal organizațional și tehnic, care permite și este responsabil de punerea la dispoziție a datelor electronice privind sănătatea pentru utilizare secundară într-un context transfrontalier. Punctul național de contact pentru utilizarea secundară poate fi organismul coordonator de acces la datele privind sănătatea menționat la articolul 55 alineatul (1). Fiecare stat membru comunică Comisiei denumirea și datele de contact ale punctului național de contact pentru utilizarea secundară până la 26 martie 2027. Comisia și statele membre pun informațiile respective la dispoziția publicului.

(2) Serviciul Uniunii de acces la datele privind sănătatea funcționează ca punct de contact al instituțiilor, organelor, oficiilor și agențiilor Uniunii pentru utilizarea secundară și este responsabil de punerea la dispoziție a datelor electronice privind sănătatea pentru utilizare secundară.

(3) Punctele naționale de contact pentru utilizare secundară menționate la alineatul (1) și serviciul Uniunii de acces la datele privind sănătatea menționat la alineatul (2) se conectează la infrastructura transfrontalieră pentru utilizarea secundară, și anume HealthData@EU. Punctele naționale de contact pentru utilizare secundară și serviciul Uniunii de acces la datele privind sănătatea facilitează accesul transfrontalier la datele electronice privind sănătatea pentru utilizare secundară pentru diferiți participanți autorizați la HealthData@EU. Punctele naționale de contact pentru utilizare secundară cooperează strâns între ele și cu Comisia.

(4) Infrastructurile de cercetare în domeniul sănătății sau infrastructurile similare a căror funcționare se bazează pe dreptul Uniunii și care asigură sprijin pentru utilizarea datelor electronice privind sănătatea în scopuri de cercetare, de elaborare a politicilor, de statistică, de siguranță a pacienților sau de reglementare pot deveni participanți autorizați în cadrul HealthData@EU și se pot conecta la aceasta.

(5) Țările terțe sau organizațiile internaționale pot deveni participanți autorizați în cadrul HealthData@EU în cazul în care respectă normele prevăzute în prezentul capitol și oferă acces utilizatorilor de date privind sănătatea situați în Uniune, în condiții echivalente, la datele electronice privind sănătatea aflate la dispoziția organismelor lor de acces la datele privind sănătatea, cu condiția respectării capitolului V din Regulamentul (UE) 2016/679.

Prin intermediul unor acte de punere în aplicare, Comisia poate stabili faptul că un punct național de contact pentru utilizare secundară al unei țări terțe sau un sistem instituit la nivel internațional de organizații internaționale respectă cerințele HealthData@EU în scopul utilizării secundare a datelor privind sănătatea, respectă prezentul capitol și oferă acces utilizatorilor de date privind sănătatea situați în Uniune la datele electronice privind sănătatea la care are acces în condiții echivalente celor din cadrul HealthData@EU. Respectarea respectivelor cerințe juridice, organizatorice, tehnice și de securitate, inclusiv a cerințelor privind mediile de prelucrare securizate prevăzute la articolul 73, se verifică sub controlul Comisiei. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2). Comisia publică lista actelor de punere în aplicare adoptate în temeiul prezentului alineat.

(6) Fiecare punct național de contact pentru utilizare secundară și fiecare participant autorizat în cadrul HealthData@EU dobândește capacitatea tehnică necesară pentru a se conecta la HealthData@EU și pentru a participa la aceasta. Aceștia respectă cerințele și specificațiile tehnice necesare pentru a opera HealthData@EU și pentru a permite acestora să se conecteze în cadrul acesteia.

(7) Statele membre și Comisia instituie HealthData@EU pentru a sprijini și a facilita accesul transfrontalier la datele electronice privind sănătatea pentru utilizarea secundară, conectând punctele naționale de contact pentru utilizarea secundară și participanții autorizați la HealthData@EU și platforma centrală menționată la alineatul (8).

(8) Comisia dezvoltă, implementează și exploatează o platformă centrală pentru HealthData@EU prin furnizarea serviciilor informatice necesare pentru a sprijini și facilita schimbul de informații între organismele de acces la datele privind sănătatea, în cadrul HealthData@EU. Comisia prelucrează datele electronice privind sănătatea numai în numele operatorilor, în calitate de persoană împuternicită de operator.

(9) În cazul în care două sau mai multe puncte naționale de contact pentru utilizarea secundară solicită acest lucru, Comisia poate oferi un mediu de prelucrare securizat care este conform cu cerințele de la articolul 73 pentru datele provenite din mai multe state membre. În cazul în care două sau mai multe puncte naționale de contact pentru utilizarea secundară sau doi sau mai mulți participanți autorizați în cadrul HealthData@EU introduc date electronice privind sănătatea în mediul de prelucrare securizat gestionat de Comisie, aceștia sunt operatori asociați, iar Comisia este persoană împuternicită de operator în scopul prelucrării datelor în mediul respectiv.

(10) Punctele naționale de contact pentru utilizarea secundară acționează în calitate de operatori asociați ai operațiunilor de prelucrare efectuate în HealthData@EU în care sunt implicate, iar Comisia acționează în calitate de persoană împuternicită de operator în numele respectivelor puncte naționale de contact pentru utilizarea secundară, fără a afecta sarcinile organismelor de acces la datele privind sănătatea înainte și după operațiunile de prelucrare respective.

(11) Statele membre și Comisia depun eforturi pentru a asigura faptul că HealthData@EU este interoperabilă cu alte spații europene comune ale datelor relevante menționate în Regulamentele (UE) 2022/868 și (UE) 2023/2854.

(12) Până la 26 martie 2027, Comisia stabilește, prin intermediul unor acte de punere în aplicare:

(a)	cerințe, specificații tehnice și arhitectura informatică a HealthData@EU, care garantează un nivel ridicat de securitate a datelor, confidențialitate și protecție a datelor electronice privind sănătatea în HealthData@EU;

(b)

condiții și verificări de conformitate necesare pentru ca participanții să poată să adere și să rămână conectați la HealthData@EU, precum și condiții de deconectare sau excludere temporară sau definitivă din HealthData@EU, inclusiv dispoziții specifice pentru cazurile de abatere gravă sau încălcare repetată;

(c)	criteriile minime care trebuie să fie îndeplinite de punctele naționale de contact pentru utilizarea secundară și de participanții autorizați la HealthData@EU;

(d)	responsabilitățile operatorilor și ale persoanelor împuternicite de operator care participă la HealthData@EU;

(e)	responsabilitățile operatorilor și ale persoanelor împuternicite de operator pentru mediul securizat de prelucrare gestionat de Comisie;

(f)	specificații comune privind arhitectura HealthData@EU și interoperabilitatea acesteia cu alte spații europene comune ale datelor.

Actele de punere în aplicare menționate la primul paragraf de la prezentul alineat se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

(13) În cazul unui rezultat pozitiv al verificării conformității menționate la alineatul (5) de la prezentul articol, Comisia poate, prin intermediul unor acte de punere în aplicare, să ia decizii de conectare a participanților autorizați individuali în cadrul HealthData@EU. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 76

Accesul la registrele sau bazele de date transfrontaliere de date electronice privind sănătatea pentru utilizarea secundară

(1) În cazul registrelor și al bazelor de date transfrontaliere, organismul de acces la datele privind sănătatea la care este înregistrat deținătorul de date privind sănătatea pentru registrul sau baza de date specifică are competența de a decide cu privire la cererile de acces la datele privind sănătatea pentru acordarea accesului la datele electronice privind sănătatea, în baza unei autorizații privind datele. În cazul în care registrele sau bazele de date respective au operatori asociați, organismul de acces la datele privind sănătatea care decide cu privire la cererile de acces la datele privind sănătatea care trebuie să fie folosite pentru a se furniza accesul la datele electronice privind sănătatea este organismul de acces la datele privind sănătatea al statului membru în care este stabilit unul dintre operatorii asociați.

(2) În cazul în care registrele sau bazele de date din mai multe state membre se organizează într-o singură rețea de registre sau baze de date la nivelul Uniunii, registrele sau bazele de date asociate pot desemna un coordonator pentru a asigura furnizarea de date din rețeaua de registre sau baze de date pentru utilizare secundară. Organismul de acces la datele privind sănătatea din statul membru în care este stabilit coordonatorul rețelei are competența de a decide cu privire la cererile de acces la datele privind sănătatea pentru a oferi acces la datele electronice privind sănătatea pentru rețeaua de registre sau baze de date.

SECȚIUNEA 5

Calitatea și utilitatea datelor privind sănătatea pentru utilizarea secundară

Articolul 77

Descrierea setului de date și catalogul de seturi de date

(1) Organismele de acces la datele privind sănătatea furnizează, prin intermediul unui catalog de seturi de date accesibile publicului și standardizat care poate fi citit automat, o descriere, sub formă de metadate, a seturilor de date disponibile și a caracteristicilor acestora. Descrierea fiecărui set de date include informații privind sursa, domeniul de aplicare, principalele caracteristici și natura datelor electronice privind sănătatea din setul de date, precum și condițiile de punere la dispoziție a datelor respective.

(2) Descrierile seturilor de date din catalogul național al seturilor de date trebuie să fie disponibile în cel puțin o limbă oficială a Uniunii. Catalogul seturilor de date pentru instituțiile, organele, oficiile și agențiile Uniunii furnizat de serviciul Uniunii de acces la datele privind sănătatea trebuie să fie disponibil în toate limbile oficiale ale Uniunii.

(3) Catalogul seturilor de date este pus la dispoziția punctelor unice de informare instituite sau desemnate în temeiul articolului 8 din Regulamentul (UE) 2022/868.

(4) Până la 26 martie 2027, Comisia, prin intermediul unor acte de punere în aplicare, stabilește elementele minime pe care deținătorii de date privind sănătatea trebuie să le furnizeze pentru seturile de date și caracteristicile elementelor respective. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 78

Eticheta de calitate și de utilitate a datelor

(1) Seturile de date puse la dispoziție prin intermediul organismelor de acces la datele privind sănătatea pot avea o etichetă a Uniunii de calitate și de utilitate a datelor, aplicată de deținătorii de date privind sănătatea.

(2) Seturile de date cu date electronice privind sănătatea colectate și prelucrate cu sprijinul finanțării din partea Uniunii sau al finanțării publice naționale au o etichetă de calitate și de utilitate a datelor care cuprinde elementele prevăzute la alineatul (3).

(3) Eticheta de calitate și de utilitate a datelor cuprinde următoarele elemente, după caz:

(a)	pentru documentarea datelor: metadate, documente justificative, dicționar de date, format și standardele utilizate, sursa datelor și, după caz, modelul de date;

(b)	pentru evaluarea calității tehnice: integralitatea, unicitatea, acuratețea, valabilitatea, actualitatea și coerența datelor;

(c)	pentru procesele de management al calității datelor: nivelul de maturitate al proceselor de management al calității datelor, inclusiv procesele de revizuire și de audit și examinări ale distorsiunilor;

(d)	pentru evaluarea acoperirii: perioada, acoperirea demografică și, după caz, reprezentativitatea populației eșantionate, precum și intervalul mediu în care o persoană fizică apare într-un set de date;

(e)

pentru informații privind accesul și furnizarea: intervalul de timp dintre colectarea datelor electronice privind sănătatea și adăugarea acestora la setul de date și timpul necesar pentru furnizarea datelor electronice privind sănătatea în urma eliberării unei autorizații privind datele sau a aprobării unei cereri de date privind sănătatea;

(f)	pentru informații privind modificările datelor: fuzionarea și adăugarea de date la un set de date existent, inclusiv legături cu alte seturi de date.

(4) În cazul în care un organism de acces la datele privind sănătatea are motive să creadă că o etichetă de calitate și utilitate a datelor ar putea fi inexactă, acesta evaluează dacă datele care fac obiectul etichetei îndeplinesc cerințele calitative care fac parte din elementele etichetei de calitate și utilitate a datelor menționate la alineatul (3) și, în eventualitatea în care setul de date nu îndeplinește cerințele calitative, revocă eticheta.

(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 97 pentru a modifica prezentul regulament prin modificarea, adăugarea sau eliminarea de elemente prevăzute la alineatul (3) de la prezentul articol pe care trebuie să le cuprindă eticheta de calitate și de utilitate a datelor.

(6) Până la 26 martie 2027, Comisia stabilește, prin intermediul unor acte de punere în aplicare, caracteristicile vizuale și specificațiile tehnice ale etichetei de calitate și de utilitate a datelor, pe baza elementelor menționate la alineatul (3) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2) din prezentul regulament. Respectivele acte de punere în aplicare țin seama de cerințele prevăzute la articolul 10 din Regulamentul (UE) 2024/1689 și de orice specificații comune sau standarde armonizate adoptate care sprijină cerințele respective, după caz.

Articolul 79

Catalogul UE de seturi de date

(1) Comisia stabilește și pune la dispoziția publicului un catalog al UE de seturi de date care conectează cataloagele naționale de seturi de date stabilite de organismele de acces la datele privind sănătatea din fiecare stat membru, precum și cataloagele de seturi de date ale participanților autorizați la HealthData@EU.

(2) Catalogul UE de seturi de date, cataloagele naționale de seturi de date și cataloagele de seturi de date ale participanților autorizați la HealthData@EU sunt puse la dispoziția publicului.

Articolul 80

Specificații minime privind seturile de date cu impact ridicat

Comisia poate stabili, prin intermediul unor acte de punere în aplicare, specificațiile minime pentru seturile de date cu impact ridicat pentru utilizarea secundară, ținând seama de infrastructurile, standardele, orientările și recomandările existente ale Uniunii. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

SECȚIUNEA 6

Plângeri

Articolul 81

Dreptul de a depune o plângere la organismul de acces la datele privind sănătatea

(1) Fără a aduce atingere niciunei alte căi de atac administrative sau judiciare, persoanele fizice și juridice au dreptul de a depune o plângere în legătură cu dispozițiile din prezentul capitol, în mod individual sau, după caz, colectiv, la un organism de acces la datele privind sănătatea, cu condiția ca drepturile sau interesele lor să fie prejudiciate.

(2) Organismul de acces la datele privind sănătatea la care s-a depus plângerea informează reclamantul cu privire la progresul înregistrat în tratarea plângerii și despre decizia luată cu privire la plângere.

(3) Organismele de acces la datele privind sănătatea pun la dispoziție instrumente ușor accesibile pentru depunerea plângerilor.

(4) În cazul în care plângerea se referă la drepturile persoanelor fizice prevăzute la articolul 71 din prezentul regulament, plângerea se transmite autorității de supraveghere competente în temeiul Regulamentului (UE) 2016/679. Organismul de acces la datele privind sănătatea relevant furnizează autorității de supraveghere respective informațiile necesare de care dispune în temeiul Regulamentului (UE) 2016/679 pentru a facilita evaluarea și investigarea plângerii.

CAPITOLUL V

ACȚIUNI SUPLIMENTARE

Articolul 82

Consolidarea capacităților

Comisia sprijină schimbul de bune practici și de cunoștințe de specialitate pentru consolidarea capacităților în cadrul statelor membre în scopul de a dezvolta sistemele de sănătate digitală pentru utilizarea primară și pentru utilizarea secundară, ținând seama de circumstanțele specifice ale diferitelor categorii de părți interesate implicate. Pentru a sprijini respectiva consolidare a capacităților, Comisia, în strânsă colaborare și prin consultare cu statele membre, stabilește indicatori de autoevaluare pentru utilizarea primară și pentru utilizarea secundară.

Articolul 83

Cursuri de formare și informații pentru profesioniștii din domeniul sănătății

(1) Statele membre elaborează și implementează sau oferă acces la programe de formare pentru profesioniștii din domeniul sănătății și le oferă acces la informații, pentru ca aceștia să înțeleagă și să-și desfășoare în mod eficace rolul în utilizarea primară a datelor electronice privind sănătatea și în accesarea acestor date, inclusiv în ceea ce privește articolele 11, 13 și 16. Comisia sprijină statele membre în legătură cu acest aspect.

(2) Programele de formare și informațiile trebuie să fie accesibile și abordabile ca preț pentru toți profesioniștii din domeniul sănătății, fără a se prejudicia organizarea sistemelor de asistență medicală la nivel național.

Articolul 84

Alfabetizarea digitală în domeniul sănătății și accesul la sănătatea digitală

(1) Statele membre promovează și sprijină alfabetizarea digitală în domeniul sănătății și dezvoltarea de competențe și aptitudini relevante pentru pacienți. Comisia sprijină statele membre în legătură cu acest aspect. Campaniile sau programele de informare vizează, în special, informarea pacienților și a publicului larg despre utilizarea primară și cea secundară în cadrul SEDS, inclusiv despre drepturile care decurg din acesta, precum și despre avantajele, riscurile și beneficiile potențiale pentru știință și societate ale utilizării primare și ale celei secundare.

(2) Campaniile și programele de informare menționate la alineatul (1) sunt adaptate nevoilor unor grupuri specifice și sunt elaborate, revizuite și, dacă este necesar, actualizate.

(3) Statele membre promovează accesul la infrastructura necesară pentru gestionarea eficace a datelor electronice privind sănătatea ale persoanelor fizice, atât pentru utilizarea primară, cât și pentru utilizarea secundară.

Articolul 85

Cerințe suplimentare privind achizițiile publice și finanțarea din partea Uniunii

(1) Autoritățile contractante, inclusiv autoritățile privind sănătatea digitală și organismele de acces la datele privind sănătatea, și instituțiile, organele, oficiile și agențiile Uniunii, fac trimitere la specificațiile tehnice, standardele și profilurile aplicabile, astfel cum sunt menționate la articolele 15, 23, 36, 73, 75 și 78, după caz, pentru procedurile de achiziții publice și atunci când își formulează documentele de licitație sau cererile de propuneri, precum și atunci când definesc condițiile pentru finanțarea din partea Uniunii în ceea ce privește prezentul regulament, inclusiv condițiile favorizante pentru fondurile structurale și de coeziune.

(2) Criteriile pentru obținerea de finanțare din partea Uniunii ține seama de cerințele elaborate în cadrul capitolelor II, III și IV.

Articolul 86

Stocarea datelor electronice cu caracter personal privind sănătatea pentru utilizarea primară

În conformitate cu principiile generale ale dreptului Uniunii, care includ drepturile fundamentale consacrate la articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene, statele membre se asigură că există un nivel deosebit de ridicat de protecție și securitate atunci când prelucrează date electronice cu caracter personal privind sănătatea în scopul utilizării primare, prin măsuri tehnice și organizatorice adecvate. În acest sens, prezentul regulament nu împiedică existența în dreptul intern a unei cerințe, ținând cont de contextul național, pentru ca, în cazul în care datele electronice cu caracter personal privind sănătatea sunt prelucrate de furnizorii de servicii medicale pentru furnizarea de asistență medicală sau de punctele naționale de contact pentru sănătatea digitală conectate la MyHealth@EU, stocarea datelor electronice cu caracter personal privind sănătatea menționate la articolul 14 din prezentul regulament în scopul utilizării primare să se realizeze pe teritoriul Uniunii, în conformitate cu dreptul Uniunii și cu angajamentele internaționale.

Articolul 87

Stocarea datelor electronice cu caracter personal privind sănătatea de către organismele de acces la datele privind sănătatea și mediile de prelucrare securizate

(1) Organismele de acces la datele privind sănătatea, deținătorii de încredere de date privind sănătatea și serviciul Uniunii de acces la datele privind sănătatea stochează și prelucrează date electronice cu caracter personal privind sănătatea în Uniune atunci când efectuează pseudonimizarea, anonimizarea și orice alte operațiuni de prelucrare a datelor cu caracter personal menționate la articolele 67-72, prin medii de prelucrare securizate în înțelesul articolului 73 și al articolului 75 alineatul (9) sau prin HealthData@EU. Această cerință se aplică oricărei entități care îndeplinește sarcinile respective în numele organismelor, deținătorilor sau serviciului respectiv.

(2) Prin derogare de la alineatul (1) de la prezentul articol, datele menționate la alineatul respectiv pot fi stocate și prelucrate într-o țară terță, într-un teritoriu sau în unul sau mai multe sectoare specificate din țara terță respectivă, dacă țara, teritoriul sau sectorul respectiv face obiectul unei decizii privind caracterul adecvat al nivelului de protecție adoptate în temeiul articolului 45 din Regulamentul (UE) 2016/679.

Articolul 88

Transferul de date electronice fără caracter personal către o țară terță

(1) Datele electronice fără caracter personal privind sănătatea puse la dispoziție de organismele de acces la datele privind sănătatea unui utilizator de date privind sănătatea dintr-o țară terță, în conformitate cu o autorizație privind datele eliberată în temeiul articolului 68 din prezentul regulament sau cu o cerere de date privind sănătatea aprobată în temeiul articolului 69 din prezentul regulament, participanților autorizați dintr-o țară terță sau unei organizații internaționale și care se bazează pe datele electronice privind sănătatea ale unei persoane fizice ce se încadrează în una dintre categoriile menționate la articolul 51 din prezentul regulament sunt considerate extrem de sensibile în înțelesul articolului 5 alineatul (13) din Regulamentul (UE) 2022/868, în cazul în care transferul unor astfel de date electronice fără caracter personal către țări terțe prezintă un risc de reidentificare prin mijloace care le depășesc pe cele care este probabil, în mod rezonabil, să fie utilizate, în special având în vedere numărul limitat de persoane fizice la care se referă datele respective, faptul că acestea sunt dispersate geografic sau evoluțiile tehnologice preconizate în viitorul apropiat.

(2) Măsurile de protecție pentru categoriile de date menționate la alineatul (1) de la prezentul articol se detaliază într-un act delegat adoptat astfel cum se menționează la articolul 5 alineatul (13) din Regulamentul (UE) 2022/868.

Articolul 89

Accesul guvernamental internațional la date electronice fără caracter personal privind sănătatea

(1) Autoritățile privind sănătatea digitală, organismele de acces la datele privind sănătatea, participanții autorizați la infrastructurile transfrontaliere prevăzute la articolele 23 și 75 și utilizatorii de date privind sănătatea iau toate măsurile tehnice, juridice și organizatorice rezonabile, inclusiv acorduri contractuale, pentru a împiedica transferul de date electronice fără caracter personal privind sănătatea deținute în Uniune către o țară terță sau o organizație internațională, inclusiv pentru accesul guvernamental într-o țară terță, în cazul în care un astfel de transfer ar crea un conflict cu dreptul Uniunii sau cu dreptul intern al statului membru relevant.

(2) Orice hotărâre a unei instanțe judecătorești sau a unui tribunal dintr-o țară terță și orice decizie a unei autorități administrative dintr-o țară terță prin care se solicită unei autorități privind sănătatea digitală, unui organism de acces la datele privind sănătatea sau utilizatorilor de date privind sănătatea să transfere sau să acorde acces la datele electronice fără caracter personal privind sănătatea care intră în domeniul de aplicare al prezentului regulament deținute în Uniune poate fi recunoscută sau executată în orice mod doar dacă se bazează pe un acord internațional, cum ar fi un tratat de asistență judiciară reciprocă în vigoare între țara terță solicitantă și Uniune sau pe orice asemenea acord între țara terță solicitantă și un stat membru.

(3) În absența unui acord internațional, astfel cum se menționează la alineatul (2), în cazul în care o autoritate privind sănătatea digitală, un organism de acces la datele privind sănătatea sau un utilizator de date este destinatarul unei decizii sau al unei hotărâri a unei instanțe judecătorești sau a unui tribunal dintr-o țară terță ori al unei decizii a unei autorități administrative dintr-o țară terță care le impune transferul de date fără caracter personal care intră în domeniul de aplicare al prezentului regulament și sunt deținute în Uniune sau acordarea accesului la astfel de date și, prin respectarea unei astfel de decizii sau hotărâri, destinatarul riscă să încalce dreptul Uniunii sau dreptul intern al statului membru în cauză, transferul către instanța judecătorească, tribunalul sau autoritatea administrativă din țara terță respectivă sau accesarea de către acestea a unor astfel de date poate avea loc sau poate fi asigurată numai atunci când:

(a)

sistemul juridic al țării terțe în cauză prevede obligativitatea expunerii motivelor și a proporționalității deciziei sau a hotărârii judecătorești și prevede că decizia sau hotărârea judecătorească trebuie să aibă un caracter specific, de exemplu prin stabilirea unei legături suficiente cu anumite persoane suspectate sau cu încălcări;

(b)	obiecția motivată a destinatarului este supusă controlului unei instanțe judecătorești competente sau unui tribunal competent din țara terță; și

(c)

instanța judecătorească competentă sau tribunalul competent din țara terță care emite decizia sau hotărârea judecătorească ori care revizuiește decizia unei autorități administrative are, în temeiul dreptului intern al țării terțe respective, competența de a ține seama în mod corespunzător de interesele juridice relevante ale furnizorului de date protejate de dreptul Uniunii sau de dreptul intern al statului membru în cauză.

(4) Dacă sunt îndeplinite condițiile prevăzute la alineatul (2) sau (3), autoritatea privind sănătatea digitală, un organism de acces la datele privind sănătatea sau o organizație de promovare a altruismului în materie de date furnizează volumul minim de date permis ca răspuns la o cerere, pe baza unei interpretări rezonabile a acesteia.

(5) Autoritățile privind sănătatea digitală, organismele de acces la datele privind sănătatea și utilizatorii de date privind sănătatea informează deținătorul de date cu privire la existența unei cereri din partea unei autorități administrative dintr-o țară terță de a i se acorda acces la datele utilizatorului, înainte de a da curs cererii respective, cu excepția cazului în care cererea servește scopurilor de asigurare a respectării legii și atât timp cât conformitatea este necesară pentru a menține eficacitatea activității de asigurare a respectării legii.

Articolul 90

Condiții suplimentare pentru transferul de date electronice cu caracter personal privind sănătatea către o țară terță sau o organizație internațională

Transferul de date electronice cu caracter personal privind sănătatea către o țară terță sau o organizație internațională se acordă în conformitate cu capitolul V din Regulamentul (UE) 2016/679. Statele membre pot menține sau introduce condiții suplimentare privind accesul internațional la datele electronice cu caracter personal privind sănătatea și transferul acestora, inclusiv limitări, în conformitate cu articolul 9 alineatul (4) din Regulamentul (UE) 2016/679, pe lângă cerințele prevăzute la articolul 24 alineatul (3) și la articolul 75 alineatul (5) din prezentul regulament și în capitolul V din Regulamentul (UE) 2016/679.

Articolul 91

Cereri de acces la datele privind sănătatea și cereri de date privind sănătatea din țări terțe

(1) Fără a aduce atingere articolelor 67, 68 și 69, cererile de acces la datele privind sănătatea și cererile de date privind sănătatea depuse de un solicitant de date privind sănătatea stabilit într-o țară terță sunt considerate eligibile de către organismele de acces la datele privind sănătatea și de serviciul Uniunii de acces la datele privind sănătatea dacă țara terță în cauză:

(a)	este un participant autorizat pe baza faptului că are un punct național de contact pentru utilizarea secundară care face obiectul unui act de punere în aplicare menționat la articolul 75 alineatul (5); sau

(b)

permite solicitanților de date privind sănătatea din Uniune să aibă acces la datele electronice privind sănătatea din țara terță respectivă în condiții care nu sunt mai restrictive decât cele prevăzute în prezentul regulament și, prin urmare, un astfel de acces face obiectul unui act de punere în aplicare menționat la alineatul (2) de la prezentul articol.

(2) Prin intermediul unor acte de punere în aplicare, Comisia poate stabili că o țară terță îndeplinește cerințele prevăzute la alineatul (1) litera (b) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2). Comisia publică lista actelor de punere în aplicare adoptate în temeiul prezentului alineat.

(3) Comisia monitorizează evoluțiile din țările terțe și organizațiile internaționale care ar putea afecta aplicarea actelor de punere în aplicare adoptate în temeiul alineatului (2) și prevede o revizuire periodică a aplicării prezentului articol.

În cazul în care Comisia consideră că o țară terță nu mai îndeplinește cerința prevăzută la alineatul (1) litera (b) de la prezentul articol, aceasta adoptă un act de punere în aplicare de abrogare a actului de punere în aplicare menționat la alineatul (2) de la prezentul articol referitor la respectiva țară terță care beneficiază de acces. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

CAPITOLUL VI

GUVERNANȚA ȘI COORDONAREA LA NIVEL EUROPEAN

Articolul 92

Consiliul pentru spațiul european al datelor privind sănătatea

(1) Pentru a facilita cooperarea și schimbul de informații între statele membre și Comisie, se instituie Consiliul pentru spațiul european al datelor privind sănătatea (European Health Data Space Board – denumit în continuare „Consiliul SEDS”). Consiliul SEDS este format din doi reprezentanți pentru fiecare stat membru, și anume un reprezentant pentru utilizarea primară și unul pentru utilizarea secundară, desemnați de fiecare stat membru. Fiecare stat membru dispune de un vot. Membrii Consiliului SEDS se angajează să acționeze în interes public și în mod independent.

(2) Un reprezentant al Comisiei și unul din reprezentanții statelor membre menționați la alineatul (1) coprezidează reuniunile Consiliului SEDS.

(3) Autoritățile de supraveghere a pieței menționate la articolul 43, CEPD și Autoritatea Europeană pentru Protecția Datelor, Agenția Europeană pentru Medicamente, Centrul European de Prevenire și Control al Bolilor și Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) sunt invitate să participe la reuniuni, atunci când Consiliul SEDS consideră că este oportun.

(4) Consiliul SEDS poate invita să participe la reuniunile sale autorități naționale, experți și observatori, precum și instituții, organe, oficii și agenții ale Uniunii, pe lângă cele menționate la alineatul (3), precum și infrastructuri de cercetare și alte infrastructuri similare.

(5) Consiliul SEDS poate coopera cu experți externi, după caz.

(6) Potrivit funcțiilor legate de utilizarea datelor electronice privind sănătatea, Consiliul SEDS poate lucra în subgrupuri pentru anumite teme, în cadrul cărora sunt reprezentate autoritățile privind sănătatea digitală sau organismele de acces la datele privind sănătatea. Subgrupurile respective sprijină Consiliul SEDS prin cunoștințe de specialitate specifice și pot organiza reuniuni comune, după caz.

(7) Consiliul SEDS adoptă propriul regulamentul de procedură și un cod de conduită, în urma unei propuneri din partea Comisiei. Regulamentul de procedură respectiv prevede componența, organizarea, funcționarea și cooperarea subgrupurilor menționate la alineatul (6) de la prezentul articol, precum și cooperarea Consiliului SEDS cu forumul părților interesate menționat la articolul 93.

Consiliul SEDS adoptă decizii prin consens pe cât posibil. În cazul în care nu se poate ajunge la un consens, Consiliul SEDS adoptă decizii cu o majoritate de două treimi din statele membre.

(8) Consiliul SEDS cooperează cu alte organisme, entități și experți relevanți, cum ar fi Comitetul european pentru inovare în domeniul datelor instituit prin articolul 29 din Regulamentul (UE) 2022/868, autoritățile competente desemnate în conformitate cu articolul 37 din Regulamentul (UE) 2023/2854, organismele de supraveghere desemnate în conformitate cu articolul 46b din Regulamentul (UE) nr. 910/2014, CEPD instituit prin articolul 68 din Regulamentul (UE) 2016/679, organismele de securitate cibernetică, inclusiv ENISA, și Cloudul european pentru știința deschisă, în scopul de a ajunge la soluții avansate pentru utilizarea datelor ușor de găsit, accesibile, interoperabile și reutilizabile (FAIR) în cercetare și inovare.

(9) Consiliul SEDS este asistat de un secretariat asigurat de către Comisie.

(10) Consiliul SEDS publică datele reuniunilor sale și procesul-verbal al deliberărilor sale, precum și, din doi în doi ani, un raport referitor la activitățile sale.

(11) Comisia adoptă, prin intermediul unor acte de punere în aplicare, măsurile necesare pentru instituirea și funcționarea Consiliului SEDS. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 98 alineatul (2).

Articolul 93

Forumul părților interesate

(1) Se instituie un forum al părților interesate cu scopul de a facilita schimbul de informații și de a promova cooperarea între părțile interesate în ceea ce privește punerea în aplicare a prezentului regulament.

(2) Forumul părților interesate trebuie să aibă o componență echilibrată și este alcătuit din părți interesate relevante, precum reprezentanți ai organizațiilor de pacienți, ai profesioniștilor din domeniul sănătății, ai industriei, ai organizațiilor de consumatori, ai cercetătorilor științifici și ai mediului academic și reprezintă punctele de vedere ale acestora. În cazul în care în forumul părților interesate sunt reprezentate interese comerciale, reprezentarea acestor interese se bazează pe o combinație echilibrată de întreprinderi mari, întreprinderi mici și mijlocii și întreprinderi nou-înființate. Sarcinile forumului părților interesate vizează în egală măsură utilizarea primară și cea secundară.

(3) Membrii forumului părților interesate sunt numiți de Comisie în urma unei cereri publice de exprimare a interesului și a unei proceduri de selecție transparente. Membrii forumului părților interesate depun o declarație anuală de interese care este pusă la dispoziția publicului și care este actualizată ori de câte ori este cazul.

(4) Forumul părților interesate poate institui subgrupuri permanente sau temporare, după caz, în scopul examinării unor chestiuni specifice legate de obiectivele prezentului regulament. Forumul părților interesate își adoptă regulamentul de procedură.

(5) Forumul părților interesate organizează reuniuni periodice, care sunt prezidate de un reprezentant al Comisiei.

(6) Forumul părților interesate întocmește un raport anual al activităților sale. Raportul respectiv este pus la dispoziția publicului.

Articolul 94

Sarcinile Consiliului SEDS

(1) Consiliul SEDS are următoarele sarcini legate de utilizarea primară în conformitate cu capitolele II și III:

(a)	sprijinirea statelor membre în ceea ce privește coordonarea practicilor autorităților privind sănătatea digitală;

(b)

elaborarea de contribuții scrise și schimbul de bune practici cu privire la aspecte legate de coordonarea punerii în aplicare la nivelul statelor membre, luând în considerare nivelul regional și local, a prezentului regulament, a actelor delegate și a actelor de punere în aplicare adoptate în temeiul acestuia, în special în ceea ce privește:

(i)	dispozițiile prevăzute în capitolele II și III;

(ii)	dezvoltarea de servicii online care să faciliteze accesul securizat, inclusiv identificarea electronică securizată, la datele electronice privind sănătatea pentru profesioniștii din domeniul sănătății și pentru persoanele fizice;

(iii)

alte aspecte legate de utilizarea primară;

(c)	facilitarea cooperării între autoritățile privind sănătatea digitală prin consolidarea capacităților, stabilirea cadrului de raportare a activităților menționat la articolul 20 și schimbul de informații;

(d)	partajarea în rândul membrilor săi a informațiilor cu privire la riscurile prezentate de sistemele DES și la incidentele grave, precum și cu privire la gestionarea unor astfel de riscuri și incidente;

(e)	facilitarea schimbului de opinii cu privire la utilizarea primară cu forumul părților interesate menționat la articolul 93, precum și cu autoritățile de reglementare și responsabilii de elaborarea politicilor din sectorul sănătății.

(2) Consiliul SEDS are următoarele sarcini legate de utilizarea secundară în conformitate cu capitolul IV:

(a)	sprijinirea statelor membre în coordonarea practicilor organismelor de acces la datele privind sănătatea în ceea ce privește punerea în aplicare a dispozițiilor prevăzute în capitolul IV, pentru a asigura o aplicare coerentă a prezentului regulament;

(b)

elaborarea de contribuții scrise și partajarea de bune practici cu privire la aspecte legate de coordonarea punerii în aplicare la nivelul statelor membre a prezentului regulament, a actelor delegate și a actelor de punere în aplicare adoptate în temeiul acestuia, în special în ceea ce privește:

(i)	punerea în aplicare a normelor privind accesul la datele electronice privind sănătatea;

(ii)	specificațiile tehnice sau standardele existente referitoare la cerințele prevăzute în capitolul IV;

(iii)

stimularea pentru promovarea calității datelor și îmbunătățirea interoperabilității;

(iv)	politicile privind taxele care trebuie percepute de organismele de acces la datele privind sănătatea și de deținătorii de date privind sănătatea;

(v)	măsuri de protecție a datelor cu caracter personal ale profesioniștilor din domeniul sănătății implicați în tratamentul persoanelor fizice;

(vi)	alte aspecte ale utilizării secundare;

(c)

elaborarea, în consultare și cooperare cu părțile interesate relevante, inclusiv cu reprezentanți ai pacienților, ai profesioniștilor din domeniul sănătății și ai cercetătorilor, de orientări pentru a ajuta utilizatorii de date privind sănătatea să își îndeplinească obligațiile prevăzute la articolul 61 alineatul (5), în special pentru a stabili dacă constatările lor sunt semnificative din punct de vedere clinic;

(d)	facilitarea cooperării între organismele de acces la datele privind sănătatea prin consolidarea capacităților, stabilirea cadrului de raportare a activităților menționat la articolul 59 alineatul (1)și schimbul de informații;

(e)	partajarea de informații privind riscurile și incidentele legate de utilizarea secundară, precum și de gestionarea unor astfel de riscuri și incidente;

(f)

facilitarea schimbului de opinii cu privire la utilizarea secundară cu forumul părților interesate menționat la articolul 93, precum și cu deținătorii de date privind sănătatea, utilizatorii de date privind sănătatea, autoritățile de reglementare și responsabilii de elaborarea politicilor din sectorul sănătății.

Articolul 95

Grupurile de coordonare pentru MyHealth@EU și HealthData@EU

(1) Se înființează grupul de coordonare MyHealth@EU și grupul de coordonare HealthData@EU (denumite în continuare „grupurile de coordonare”) pentru infrastructurile transfrontaliere prevăzute la articolele 23 și 75. Fiecare grup de coordonare este alcătuit din câte un reprezentant pentru fiecare stat membru, desemnat din cadrul punctului național de contact relevant.

(2) Grupurile de coordonare iau decizii operaționale privind dezvoltarea și exploatarea MyHealth@EU și HealthData@EU.

(3) Grupurile de coordonare iau decizii prin consens. În cazul în care nu se poate ajunge la un consens, o decizie se adoptă prin votul favorabil a două treimi din membri. Fiecărui stat membru îi revine un vot.

(4) Grupurile de coordonare adoptă propriile regulamente de procedură, care stabilesc componența, organizarea, funcționarea și cooperarea acestora.

(5) Alți participanți autorizați pot fi invitați să facă schimb de informații și de opinii cu privire la aspecte relevante legate de MyHealth@EU și HealthData@EU. În cazul în care sunt invitați, respectivii participanți autorizați au un rol de observator.

(6) Părțile interesate și părțile terțe relevante, inclusiv reprezentanți ai pacienților, ai profesioniștilor din domeniul sănătății, ai consumatorilor și ai industriei, pot fi invitate să participe la reuniunile grupurilor de coordonare ca observatori.

(7) Grupurile de coordonare aleg președinți pentru reuniunile lor.

(8) Grupurile de coordonare sunt asistate de un secretariat asigurat de către Comisie.

Articolul 96

Rolurile și responsabilitățile Comisiei în ceea ce privește funcționarea SEDS

(1) Pe lângă rolul său în punerea la dispoziție a datelor electronice privind sănătatea deținute de instituțiile, organele, oficiile sau agențiile Uniunii, în conformitate cu articolele 55 și 56 și cu articolul 75 alineatul (2) și cu sarcinile care îi revin în temeiul capitolului III, în special al articolului 40, Comisia asigură pentru toate entitățile conectate relevante dezvoltarea, întreținerea, găzduirea și exploatarea infrastructurilor și a serviciilor centrale necesare pentru a sprijini funcționarea SEDS, prin:

(a)	un mecanism interoperabil și transfrontalier de identificare și autentificare pentru persoanele fizice și profesioniștii din domeniul sănătății, în conformitate cu articolul 16 alineatele (3) și (4);

(b)	servicii și infrastructuri centrale pentru sănătatea digitală ale MyHealth@EU, în conformitate cu articolul 23 alineatul (1);

(c)	verificări ale conformității pentru conectarea participanților autorizați la MyHealth@EU, în conformitate cu articolul 23 alineatul (9);

(d)	servicii și infrastructuri transfrontaliere de sănătate digitală suplimentare menționate la articolul 24 alineatul (1);

(e)

în cadrul HealthData@EU, un serviciu de depunere a cererilor de acces la datele privind sănătatea în scopul obținerii accesului la datele electronice privind sănătatea deținute de deținători de date privind sănătatea din cel puțin două state membre sau de alți participanți autorizați în cadrul HealthData@EU și de transmitere automată a cererilor de acces la datele privind sănătatea către punctele de contact relevante, în conformitate cu articolul 67 alineatul (3);

(f)	serviciile și infrastructurile centrale ale HealthData@EU, în conformitate cu articolul 75 alineatele (7) și (8);

(g)	un mediu de prelucrare securizat, în conformitate cu articolul 75 alineatul (9), în care organismele de acces la datele privind sănătatea pot decide să pună la dispoziție date, în conformitate cu articolul 68 alineatul (8);

(h)	verificări ale conformității pentru conectarea participanților autorizați în cadrul HealthData@EU, în conformitate cu articolul 75 alineatul (5);

(i)	un catalog federat de seturi de date ale UE care conectează cataloagele naționale de seturi de date, în conformitate cu articolul 79;

(j)	un secretariat pentru Consiliul SEDS în conformitate cu articolul 92 alineatul (9);

(k)	un secretariat pentru grupurile de coordonare, în conformitate cu articolul 95 alineatul (8).

(2) Serviciile menționate la alineatul (1) de la prezentul articol respectă standarde de calitate suficiente în ceea ce privește disponibilitatea, securitatea, capacitatea, interoperabilitatea, întreținerea, monitorizarea și dezvoltarea pentru a asigura faptul că SEDS funcționează în mod eficace. Comisia furnizează serviciile respective în conformitate cu deciziile operaționale ale grupurilor de coordonare relevante stabilite la articolul 95.

(3) Comisia pregătește un raport privind infrastructurile și serviciile care sprijină SEDS, pe care îl furnizează în conformitate cu alineatul (1) din doi în doi ani și îl pune la dispoziția publicului.

CAPITOLUL VII

DELEGAREA DE COMPETENȚE ȘI PROCEDURA COMITETULUI

Articolul 97

Exercitarea delegării

(1) Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute la prezentul articol.

(2) Competența de a adopta actele delegate menționate la articolul 14 alineatul (2), articolul 49 alineatul (4) și articolul 78 alineatul (5) se conferă Comisiei pe o perioadă nedeterminată de la 25 martie 2025.

(3) Competența de a adopta acte delegate menționată la articolul 14 alineatul (2), articolul 49 alineatul (4) și articolul 78 alineatul (5) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(4) Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

(5) De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(6) Un act delegat adoptat în temeiul articolului 14 alineatul (2), al articolului 49 alineatul (4) sau al articolului 78 alineatul (5) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de trei luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu trei luni la inițiativa Parlamentului European sau a Consiliului.

Articolul 98

Procedura comitetului

(1) Comisia este asistată de un comitet. Comitetul respectiv reprezintă un comitet în înțelesul Regulamentului (UE) nr. 182/2011.

(2) Atunci când se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011.

CAPITOLUL VIII

DIVERSE

Articolul 99

Sancțiuni

Statele membre adoptă normele privind sancțiunile care se aplică în cazul nerespectării prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolelor 63 și 64, și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile prevăzute trebuie să fie efective, proporționale și cu efect de descurajare. Statele membre notifică normele și măsurile respective Comisiei până la 26 martie 2027 și îi comunică acesteia, fără întârziere, orice modificare ulterioară a acestora.

Statele membre iau în considerare următoarele criterii neexhaustive și orientative pentru impunerea de sancțiuni la încălcarea prezentului regulament, după caz:

(a)	natura, gravitatea, amploarea și durata încălcării;

(b)	orice acțiune întreprinsă de autorul încălcării pentru a atenua sau a remedia prejudiciul cauzat de încălcare;

(c)	orice încălcare anterioară săvârșită de autorul încălcării;

(d)	beneficiile financiare obținute sau pierderile evitate de autorul încălcării ca urmare a încălcării, în măsura în care aceste beneficii sau pierderi pot fi stabilite în mod fiabil;

(e)	oricare alți factori agravanți sau atenuanți aplicabili circumstanțelor cazului;

(f)	cifra de afaceri anuală realizată de autorul încălcării în Uniune, în exercițiul financiar precedent.

Articolul 100

Dreptul de a primi despăgubiri

Orice persoană fizică sau juridică care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri în conformitate cu dreptul Uniunii și cu dreptul intern.

Articolul 101

Reprezentarea persoanelor fizice

În cazul în care o persoană fizică consideră că drepturile de care beneficiază în temeiul prezentului regulament i-au fost încălcate, aceasta are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ înființată în conformitate cu dreptul intern, care are obiective statutare de interes public și care activează în domeniul asigurării protecției datelor cu caracter personal, să depună o plângere în numele său sau să exercite drepturile menționate la articolele 21 și 81.

Articolul 102

Evaluarea, revizuirea și raportul intermediar

(1) Până la 26 martie 2033, Comisia efectuează o evaluare a anumitor aspecte ale prezentului regulament și prezintă Parlamentului European, Consiliului, Comitetului Economic și Social European și Comitetului Regiunilor un raport privind principalele sale constatări, însoțit, după caz, de o propunere de modificare a acestuia. Evaluarea respectivă se referă la următoarele aspecte:

(a)	posibilitățile de a extinde și mai mult interoperabilitatea dintre sistemele DES și serviciile de acces la datele electronice privind sănătatea, altele decât cele instituite de statele membre;

(b)	necesitatea de a actualiza categoriile de date menționate la articolul 51 și scopurile enumerate la articolul 53 alineatul (1);

(c)	implementarea și utilizarea de către persoanele fizice a mecanismelor de refuz față de utilizarea secundară menționate la articolul 71, în special în ceea ce privește impactul mecanismelor respective asupra sănătății publice, a cercetării științifice și a drepturilor fundamentale;

(d)	utilizarea și punerea în aplicare a eventualelor măsuri mai stricte introduse în temeiul articolului 51 alineatul (4);

(e)	exercitarea și punerea în aplicare a dreptului prevăzut la articolul 8;

(f)	o evaluare a cadrului de certificare a sistemelor DES instituit la capitolul III și necesitatea de a introduce instrumente suplimentare privind evaluarea conformității;

(g)	o evaluare a funcționării pieței interne pentru sistemele DES;

(h)	o evaluare a costurilor și beneficiilor punerii în aplicare a dispozițiilor privind utilizarea secundară prevăzute în capitolul IV;

(i)	aplicarea taxelor menționate la articolul 62.

(2) Până la 26 martie 2035, Comisia efectuează o evaluare generală a prezentului regulament și prezintă Parlamentului European, Consiliului, Comitetului Economic și Social European și Comitetului Regiunilor un raport privind principalele sale constatări, însoțit, după caz, de o propunere de modificare a acestuia sau de alte măsuri adecvate. Evaluarea respectivă include o evaluare a eficienței și a funcționării sistemelor care asigură accesul la datele electronice privind sănătatea în vederea prelucrării ulterioare, efectuate în temeiul dreptului Uniunii sau al dreptului intern menționat la articolul 1 alineatul (7), în ceea ce privește impactul acestora asupra punerii în aplicare a prezentului regulament.

(3) Statele membre furnizează Comisiei informațiile necesare pentru întocmirea rapoartelor menționate la alineatele (1) și (2), iar Comisia ține seama în mod corespunzător de aceste informații în rapoartele respective.

(4) În fiecare an după 25 martie 2025 până la sfârșitul anului în care toate dispozițiile prezentului regulament se aplică, astfel cum se prevede la articolul 105, Comisia prezintă Consiliului un raport intermediar privind stadiul pregătirilor pentru punerea în aplicare integrală a prezentului regulament. Raportul intermediar respectiv conține informații despre gradul de progres și pregătire al statelor membre în ceea ce privește punerea în aplicare a prezentului regulament, inclusiv o evaluare a fezabilității respectării termenelor prevăzute la articolul 105, și poate conține, de asemenea, recomandări adresate statelor membre în vederea îmbunătățirii gradului de pregătire pentru aplicarea prezentului regulament.

Articolul 103

Modificarea Directivei 2011/24/UE

Articolul 14 din Directiva 2011/24/UE se elimină de la 26 martie 2031.

Articolul 104

Modificarea Regulamentului (UE) 2024/2847

Regulamentul (UE) 2024/2847 se modifică după cum urmează:

La articolul 13, alineatul (4) se înlocuiește cu următorul text:

„(4) Atunci când introduce pe piață un produs cu elemente digitale, producătorul include o evaluare a riscurilor de securitate cibernetică menționate la alineatul (3) din prezentul articol în documentația tehnică solicitată în temeiul articolului 31 și în anexa VII. În cazul produselor cu elemente digitale astfel cum sunt menționate la articolul 12 și la articolul 32 alineatul (5a) care fac, de asemenea, obiectul altor acte juridice ale Uniunii, evaluarea riscurilor de securitate cibernetică poate face parte din evaluarea riscurilor impusă de respectivele acte juridice ale Uniunii. În cazul în care anumite cerințe esențiale de securitate cibernetică nu sunt aplicabile produsului cu elemente digitale, producătorul include o justificare clară în acest sens în documentația tehnică respectivă.”

La articolul 31, alineatul (3) se înlocuiește cu următorul text:

„(3) Pentru produsele cu elemente digitale menționate la articolul 12 și la articolul 32 alineatul (5a), care fac, de asemenea, obiectul altor acte juridice ale Uniunii care prevăd documentația tehnică, se întocmește un singur set de documentație tehnică care conține informațiile menționate în anexa VII și informațiile prevăzute în respectivele acte juridice ale Uniunii.”

La articolul 32 se introduce următorul alineat:

„(5a) Producătorii de produse cu elemente digitale care se califică drept sisteme DES în temeiul Regulamentului (UE) 2025/327 al Parlamentului European și al Consiliului (*1) trebuie să fie în măsură să demonstreze conformitatea cu cerințele esențiale prevăzute în anexa I la prezentul regulament folosind procedura relevantă de evaluare a conformității prevăzută la capitolul III din Regulamentul (UE) 2025/327.

(*1) Regulamentul (UE) 2025/327 al Parlamentului European și al Consiliului din 11 februarie 2025 referitor la spațiul european al datelor privind sănătatea și de modificare a Directivei 2011/24/UE și a Regulamentului (UE) 2024/2847 (JO L, 2025/327, 5.3.2025, ELI: http://data.europa.eu/eli/reg/2025/327/oj).”
”

CAPITOLUL IX

AMÂNAREA APLICĂRII, DISPOZIȚII TRANZITORII ȘI FINALE

Articolul 105

Intrare în vigoare și aplicare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament se aplică de la 26 martie 2027.

Cu toate acestea, articolele 3-15, articolul 23 alineatele (2)-(6) și articolele 25, 26, 27, 47, 48 și 49 se aplică după cum urmează:

(a)	de la 26 martie 2029 pentru categoriile prioritare de date electronice cu caracter personal privind sănătatea menționate la articolul 14 alineatul (1) literele (a), (b) și (c) și pentru sistemele DES cu care producătorul intenționează să prelucreze aceste categorii de date;

(b)	de la 26 martie 2031 pentru categoriile prioritare de date electronice cu caracter personal privind sănătatea menționate la articolul 14 alineatul (1) literele (d), (e) și (f) și pentru sistemele DES cu care producătorul intenționează să prelucreze aceste categorii de date;

(c)

de la un an de la data stabilită într-un act delegat care va fi adoptat în temeiul articolului 14 alineatul (2) pentru fiecare modificare a principalelor caracteristici ale datelor electronice cu caracter personal privind sănătatea prevăzute în anexa I, cu condiția ca respectiva dată să fie ulterioară datei de aplicare menționate la literele (a) și (b) de la prezentul paragraf pentru categoriile de date electronice cu caracter personal privind sănătatea în cauză.

Capitolul III se aplică sistemelor DES puse în funcțiune în Uniune menționate la articolul 26 alineatul (2) de la 26 martie 2031.

Capitolul IV se aplică de la 26 martie 2029. Cu toate acestea, articolul 55 alineatul (6), articolul 70, articolul 73 alineatul (5), articolul 75 alineatele (1) și (12), articolul 77 alineatul (4) și articolul 78 alineatul (6) se aplică de la 26 martie 2027, articolul 51 alineatul (1) literele (b), (f), (g), (m) și (p) se aplică de la 26 martie 2031, iar articolul 75 alineatul (5) se aplică de la 26 martie 2035.

Actele de punere în aplicare menționate la articolul 13 alineatul (4), la articolul 15 alineatul (1), la articolul 23 alineatul (4) și la articolul 36 alineatul (1) se aplică de la datele menționate la al treilea paragraf de la prezentul articol, în funcție de categoriile de date cu caracter personal privind sănătatea menționate la articolul 14 alineatul (1) literele (a), (b) și (c) sau, respectiv, la articolul 14 alineatul (1) literele (d), (e) și (f).

Actele de punere în aplicare menționate la articolul 70, la articolul 73 alineatul (5), la articolul 75 alineatul (12), la articolul 77 alineatul (4) și la articolul 78 alineatul (6) se aplică de la 26 martie 2029.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Strasbourg, 11 februarie 2025.

Pentru Parlamentul European

Președinta

R. METSOLA

Pentru Consiliu

Președintele

A. SZŁAPKA

(1)
JO C 486, 21.12.2022, p. 123.

(2)
JO C 157, 3.5.2023, p. 64.

(3) Poziția Parlamentului European din 24 aprilie 2024 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 21 ianuarie 2025.

(4) Decizia de punere în aplicare (UE) 2019/1269 a Comisiei din 26 iulie 2019 de modificare a Deciziei de punere în aplicare 2014/287/UE de stabilire a criteriilor pentru înființarea și evaluarea rețelelor europene de referință și a membrilor lor și pentru facilitarea schimbului de informații și de expertiză privind înființarea și evaluarea unor asemenea rețele (JO L 200, 29.7.2019, p. 35).

(5) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(6) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(7) Regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE (JO L 257, 28.8.2014, p. 73).

(8) Decizia (UE) 2022/2481 a Parlamentului European și a Consiliului din 14 decembrie 2022 de instituire a programului de politică pentru 2030 privind deceniul digital (JO L 323, 19.12.2022, p. 4).

(9) Recomandarea (UE) 2019/243 a Comisiei din 6 februarie 2019 privind formatul european pentru schimbul de dosare electronice de sănătate (JO L 39, 11.2.2019, p. 18).

(10) Regulamentul (UE) 2024/1689 al Parlamentului European și al Consiliului din 13 iunie 2024 de stabilire a unor norme armonizate privind inteligența artificială și de modificare a Regulamentelor (CE) nr. 300/2008, (UE) nr. 167/2013, (UE) nr. 168/2013, (UE) 2018/858, (UE) 2018/1139 și (UE) 2019/2144 și a Directivelor 2014/90/UE, (UE) 2016/797 și (UE) 2020/1828 (Regulamentul privind inteligența artificială) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).

(11) Regulamentul (UE) 2017/745 al Parlamentului European și al Consiliului din 5 aprilie 2017 privind dispozitivele medicale, de modificare a Directivei 2001/83/CE, a Regulamentului (CE) nr. 178/2002 și a Regulamentului (CE) nr. 1223/2009 și de abrogare a Directivelor 90/385/CEE și 93/42/CEE ale Consiliului (JO L 117, 5.5.2017, p. 1).

(12) Regulamentul (UE) 2022/868 al Parlamentului European și al Consiliului din 30 mai 2022 privind guvernanța datelor la nivel european și de modificare a Regulamentului (UE) 2018/1724 (Regulamentul privind guvernanța datelor) (JO L 152, 3.6.2022, p. 1).

(13) Regulamentul (UE) 2023/2854 al Parlamentului European și al Consiliului din 13 decembrie 2023 privind norme armonizate pentru un acces echitabil la date și o utilizare corectă a acestora și de modificare a Regulamentului (UE) 2017/2394 și a Directivei (UE) 2020/1828 (Regulamentul privind datele) (JO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(14) Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).

(15) Regulamentul (UE) 2024/2847 al Parlamentului European și al Consiliului din 23 octombrie 2024 privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale și de modificare a Regulamentelor (UE) nr. 168/2013 și (UE) 2019/1020, precum și a Directivei (UE) 2020/1828 (Regulamentul privind reziliența cibernetică) (JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

(16) Regulamentul (UE) 2017/746 al Parlamentului European și al Consiliului din 5 aprilie 2017 privind dispozitivele medicale pentru diagnostic in vitro și de abrogare a Directivei 98/79/CE și a Deciziei 2010/227/UE a Comisiei (JO L 117, 5.5.2017, p. 176).

(17) Regulamentul (UE) 2019/1020 al Parlamentului European și al Consiliului din 20 iunie 2019 privind supravegherea pieței și conformitatea produselor și de modificare a Directivei 2004/42/CE și a Regulamentelor (CE) nr. 765/2008 și (UE) nr. 305/2011 (JO L 169, 25.6.2019, p. 1).

(18) Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii (JO L 124, 20.5.2003, p. 36).

(19) Regulamentul (CE) nr. 723/2009 al Consiliului din 25 iunie 2009 privind cadrul juridic comunitar aplicabil unui consorțiu pentru o infrastructură europeană de cercetare (ERIC) (JO L 206, 8.8.2009, p. 1).

(20) Regulamentul (UE) 2018/1724 al Parlamentului European și al Consiliului din 2 octombrie 2018 privind înființarea unui portal digital unic (gateway) pentru a oferi acces la informații, la proceduri și la servicii de asistență și de soluționare a problemelor și de modificare a Regulamentului (UE) nr. 1024/2012 (JO L 295, 21.11.2018, p. 1).

(21) Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică) (JO L 151, 7.6.2019, p. 15).

(22)
JO L 123, 12.5.2016, p. 1.

(23) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).

(24) Regulamentul (CE) nr. 223/2009 al Parlamentului European și al Consiliului din 11 martie 2009 privind statisticile europene și de abrogare a Regulamentului (CE, Euratom) nr. 1101/2008 al Parlamentului European și al Consiliului privind transmiterea de date statistice confidențiale Biroului Statistic al Comunităților Europene, a Regulamentului (CE) nr. 322/97 al Consiliului privind statisticile comunitare și a Deciziei 89/382/CEE, Euratom a Consiliului de constituire a Comitetului pentru programele statistice ale Comunităților Europene (JO L 87, 31.3.2009, p. 164).

(25) Regulamentul (UE) nr. 536/2014 al Parlamentului European și al Consiliului din 16 aprilie 2014 privind studiile clinice intervenționale cu medicamente de uz uman și de abrogare a Directivei 2001/20/CE (JO L 158, 27.5.2014, p. 1).

(26) Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, 31.7.2002, p. 37).

(27) Directiva (UE) 2016/943 a Parlamentului European și a Consiliului din 8 iunie 2016 privind protecția know-how-ului și a informațiilor de afaceri nedivulgate (secrete comerciale) împotriva dobândirii, utilizării și divulgării ilegale (JO L 157, 15.6.2016, p. 1).

(28) Directiva 2014/24/UE a Parlamentului European și a Consiliului din 26 februarie 2014 privind achizițiile publice și de abrogare a Directivei 2004/18/CE (JO L 94, 28.3.2014, p. 65).

(29) Regulamentul (CE) nr. 1338/2008 al Parlamentului European și al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum și la sănătatea și siguranța la locul de muncă (JO L 354, 31.12.2008, p. 70).

(30) Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 de stabilire a cerințelor de acreditare și de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30).

(31) Directiva (UE) 2019/882 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind cerințele de accesibilitate aplicabile produselor și serviciilor (JO L 151, 7.6.2019, p. 70).

(32) Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS 2) (JO L 333, 27.12.2022, p. 80).

(33) Directiva (UE) 2015/1535 a Parlamentului European și a Consiliului din 9 septembrie 2015 referitoare la procedura de furnizare de informații în domeniul reglementărilor tehnice și al normelor privind serviciile societății informaționale (JO L 241, 17.9.2015, p. 1).

(34) Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (JO L 303, 28.11.2018, p. 59).

(35) Regulamentul (UE) 2024/1938 al Parlamentului European și al Consiliului din 13 iunie 2024 privind standardele de calitate și siguranță pentru substanțele de origine umană destinate utilizării la om și de abrogare a Directivelor 2002/98/CE și 2004/23/CE (JO L, 2024/1938, 17.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1938/oj).

(36) Directiva 2001/83/CE a Parlamentului European și a Consiliului din 6 noiembrie 2001 de instituire a unui cod comunitar cu privire la medicamentele de uz uman (JO L 311, 28.11.2001, p. 67).

(37) Regulamentul (CE) nr. 726/2004 al Parlamentului European și al Consiliului din 31 martie 2004 de stabilire a procedurilor comunitare privind autorizarea și supravegherea medicamentelor de uz uman și veterinar și de instituire a unei Agenții Europene pentru Medicamente (JO L 136, 30.4.2004, p. 1).

ANEXA I

Principalele caracteristici ale categoriilor prioritare de date electronice cu caracter personal privind sănătatea pentru utilizare primară

Categoria de date electronice privind sănătatea

Principalele caracteristici ale datelor electronice privind sănătatea incluse în categorie

1.	Fișele pacienților

Datele electronice privind sănătatea care includ fapte clinice semnificative legate de o persoană fizică identificată și care sunt esențiale pentru furnizarea de asistență medicală sigură și eficientă persoanei respective. Următoarele informații fac parte din fișa pacientului:

1.	Date personale;

2.	Date de contact;

3.	Informații privind asigurarea;

Alergii;

5.	Alerte medicale;

6.	Informații despre vaccinare/profilaxie, eventual sub forma unui card de vaccinare;

7.	Probleme actuale, rezolvate, închise sau inactive, inclusiv într-un sistem internațional de codificare a clasificărilor;

8.	Informații textuale referitoare la istoricul medical;

9.	Dispozitive medicale și implanturi;

10.	Proceduri medicale sau de îngrijire;

11.	Starea funcțională;

12.	Medicamentele actuale și cele anterioare relevante;

13.	Observații ce țin de antecedentele sociale, legate de sănătate;

14.	Istoricul sarcinilor;

15.	Date furnizate de pacient;

16.	Rezultatele observării referitoare la starea de sănătate;

17.	Planul de îngrijire;

18.	Informații privind o boală rară, cum ar fi detalii privind impactul sau caracteristicile bolii.

2.	Prescripții electronice

Datele electronice privind sănătatea care constituie o prescripție pentru un medicament, în sensul definiției de la articolul 3 litera (k) din Directiva 2011/24/UE.

3.	Eliberări electronice de medicamente

Informații privind furnizarea unui medicament unei persoane fizice de către o farmacie pe baza unei prescripții electronice.

4.	Studii de imagistică medicală și rapoarte conexe de imagistică

Datele electronice privind sănătatea referitoare la utilizarea de tehnologii sau produse de tehnologii care sunt utilizate pentru a vizualiza corpul uman în vederea prevenirii, diagnosticării, monitorizării sau tratării bolilor.

5.	Rezultate ale testelor medicale, inclusiv rezultate de laborator și alte rezultate ale diagnosticării și rapoarte conexe

Date electronice privind sănătatea care reprezintă rezultatele studiilor efectuate în special prin metode de diagnosticare in vitro, cum ar fi biochimia clinică, hematologia, medicina transfuziei, microbiologia, imunologia și altele, inclusiv, după caz, rapoarte care sprijină interpretarea rezultatelor.

6.	Rapoarte de externare

Date electronice privind sănătatea referitoare la o sesiune de asistență medicală sau la un episod de îngrijire, inclusiv informații esențiale privind internarea, tratamentul și externarea unei persoane fizice.

ANEXA II

Cerințe esențiale pentru componentele software armonizate ale sistemelor DES și pentru produsele declarate a fi interoperabile cu sistemele DES

Cerințele esențiale prevăzute în prezenta anexă se aplică mutatis mutandis dispozitivelor medicale, dispozitivelor medicale de diagnostic in vitro, sistemelor de inteligență artificială și aplicațiilor de wellness declarate a fi interoperabile cu sistemele DES.

1. Cerințe generale

1.1.

Componentele software armonizate ale unui sistem DES trebuie să atingă performanța intenționată de producător și să fie proiectate și fabricate astfel încât, în condiții normale de utilizare, să fie adecvate scopului propus, iar utilizarea lor să nu pună în pericol siguranța pacienților.

1.2.

Componentele software armonizate ale unui sistem DES sunt proiectate și dezvoltate astfel încât sistemul DES să poată fi furnizat și instalat, ținând seama de instrucțiunile și informațiile furnizate de producător, fără a-i afecta în mod negativ caracteristicile și performanța în timpul utilizării preconizate.

1.3.

Un sistem DES este proiectat și dezvoltat astfel încât elementele sale de interoperabilitate, de siguranță și de securitate să respecte drepturile persoanelor fizice, în conformitate cu scopul propus al sistemului DES, astfel cum se prevede în capitolul II.

1.4.

Componentele software armonizate ale unui sistem DES destinat să funcționeze împreună cu alte produse, inclusiv dispozitive medicale, sunt proiectate și fabricate astfel încât interoperabilitatea și compatibilitatea să fie fiabile și securizate, iar datele electronice cu caracter personal privind sănătatea să poată fi partajate între dispozitiv și sistemul DES în legătură cu aceste componente software armonizate ale unui sistem DES.

2. Cerințe de interoperabilitate

2.1.

Dacă un sistem DES este conceput pentru a stoca sau intermedia date electronice cu caracter personal privind sănătatea, acesta furnizează o interfață care permite accesul la datele electronice cu caracter personal privind sănătatea prelucrate de el în formatul european pentru schimbul de dosare electronice de sănătate, prin intermediul componentei software europene de interoperabilitate pentru sistemele DES.

2.2.

Dacă un sistem DES este conceput pentru a stoca sau intermedia date electronice cu caracter personal privind sănătatea, acesta trebuie să fie în măsură să primească date electronice cu caracter personal privind sănătatea în formatul european pentru schimbul de dosare electronice de sănătate, prin intermediul componentei software europene de interoperabilitate pentru sistemele DES.

2.3.

Dacă un sistem DES este conceput pentru a oferi acces la date electronice cu caracter personal privind sănătatea, acesta trebuie să fie în măsură să primească date electronice cu caracter personal privind sănătatea în formatul european pentru schimbul de dosare electronice de sănătate, prin intermediul componentei software europene de interoperabilitate pentru sistemele DES.

2.4.

Un sistem DES care include o funcționalitate de introducerea de date electronice cu caracter personal structurate privind sănătatea permite introducerea de date cu o granularitate suficientă pentru a permite furnizarea datelor electronice cu caracter personal privind sănătatea introduse în formatul european pentru schimbul de dosare electronice de sănătate.

2.5.

Componentele software armonizate ale unui sistem DES nu includ caracteristici care interzic, restricționează sau impun sarcini nejustificate accesului autorizat, schimbului de date electronice cu caracter personal privind sănătatea sau utilizării datelor electronice cu caracter personal privind sănătatea în scopurile permise.

2.6.

Componentele software armonizate ale unui sistem DES nu includ caracteristici care interzic, restricționează sau impun sarcini nejustificate exportului autorizat de date electronice cu caracter personal privind sănătatea în scopul înlocuirii sistemului DES cu un alt produs.

3. Cerințe privind securitatea și evidența

3.1.

Un sistem DES conceput pentru a fi utilizat de profesioniștii din domeniul sănătății oferă mecanisme fiabile pentru identificarea și autentificarea profesioniștilor din domeniul sănătății.

3.2.

Componenta software europeană de evidență a unui sistem DES conceput pentru a permite accesul furnizorilor de servicii medicale sau al altor persoane la datele electronice cu caracter personal privind sănătatea oferă suficiente mecanisme de ținere a evidenței care înregistrează cel puțin următoarele informații cu privire la fiecare eveniment de acces sau grup de evenimente de acces:

(a)	identificarea furnizorilor de servicii medicale sau a altor persoane care au accesat datele electronice cu caracter personal privind sănătatea;

(b)	identificarea persoanei sau a persoanelor fizice specifice care au accesat date electronice cu caracter personal privind sănătatea;

(c)	categoriile de date accesate;

(d)	ora și data accesului;

(e)	originea sau originile datelor.

3.3.

Componentele software armonizate ale unui sistem DES trebuie să includă instrumente sau mecanisme de revizuire și analiză a datelor care fac obiectul evidenței sau să sprijine conectarea și utilizarea software-ului extern în aceleași scopuri.

3.4.

Componentele software armonizate ale unui sistem DES care stochează date electronice cu caracter personal privind sănătatea trebuie să permită diferite perioade de păstrare și drepturi de acces care iau în considerare originile și categoriile de date electronice privind sănătatea.

ANEXA III

Documentația tehnică

Documentația tehnică menționată la articolul 37 conține cel puțin următoarele informații, aplicabile componentelor software armonizate ale unui sistem DES în sistemul DES relevant:

O descriere detaliată a sistemului DES, inclusiv:

(a)	scopul său propus, data și versiunea sistemului DES;

(b)	categoriile de date electronice cu caracter personal privind sănătatea pe care sistemul DES a fost conceput să le prelucreze;

(c)	modul în care sistemul DES interacționează sau poate fi utilizat pentru a interacționa cu un hardware sau cu un software care nu face parte din sistemul DES în sine;

(d)	versiunile software-ului sau ale firmware-ului relevant și cerințele legate de actualizarea versiunilor;

(e)	descrierea tuturor formelor sub care sistemul DES este introdus pe piață sau este pus în funcțiune;

(f)	descrierea hardware-ului pe care urmează să funcționeze sistemul DES;

(g)

o descriere a arhitecturii sistemului, explicând modul în care componentele software se sprijină unele pe altele sau se alimentează reciproc și se integrează în prelucrarea globală, inclusiv, după caz, reprezentări ilustrate etichetate (de exemplu, diagrame și desene), care indică în mod clar părțile sau componentele software principale și includ explicații suficiente pentru a înțelege desenele și diagramele;

(h)

specificații tehnice, precum caracteristicile, dimensiunile și caracteristicile de performanță ale sistemului DES și ale oricăror variante sau configurații și accesorii care apar de regulă în specificațiile produsului puse la dispoziția utilizatorului, de exemplu în broșuri, cataloage și publicații similare, inclusiv o descriere detaliată a structurilor de date, a stocării și intrării/ieșirii datelor;

(i)	o descriere a oricărei modificări aduse sistemului de-a lungul ciclului său de viață;

(j)	instrucțiuni de utilizare pentru utilizator și, după caz, instrucțiuni de instalare.

2.	O descriere detaliată a sistemului existent pentru evaluarea performanței sistemului DES, după caz.

3.	Trimiteri la orice specificație comună utilizată în conformitate cu articolul 36 și în legătură cu care se declară conformitatea.

4.	Rezultatele și analizele critice ale tuturor verificărilor și încercărilor de validare efectuate pentru a demonstra conformitatea sistemului DES cu cerințele prevăzute în capitolul III, în special cu cerințele esențiale aplicabile.

5.	O copie a fișei de informații menționată la articolul 38.

6.	O copie a declarației de conformitate UE.

ANEXA IV

Declarația de conformitate UE

Declarația de conformitate UE pentru componentele software armonizate ale unui sistem DES conține toate informațiile următoare:

1.	Denumirea sistemului DES, versiunea și orice referință suplimentară lipsită de ambiguitate care permite identificarea sistemului DES.

2.	Numele și adresa furnizorului sau, după caz, ale reprezentantului autorizat al acestuia.

3.	O declarație conform căreia declarația de conformitate UE este emisă pe răspunderea exclusivă a producătorului.

O declarație potrivit căreia sistemul DES în cauză este conform cu dispozițiile prevăzute în capitolul III și, dacă este cazul, cu orice alt act relevant din dreptul Uniunii care prevede emiterea unei declarații de conformitate UE, completată de rezultatul din mediul de testare menționat la articolul 40.

5.	Trimiteri la orice standarde armonizate relevante utilizate în legătură cu care este declarată conformitatea.

6.	Trimiteri la orice specificații comune utilizate în legătură cu care este declarată conformitatea.

7.	Locul și data emiterii declarației, semnătura, precum și numele și funcția persoanei care a semnat declarația și, dacă este cazul, indicarea persoanei în numele căreia a fost semnată.

8.	Informații suplimentare, după caz.

ELI: http://data.europa.eu/eli/reg/2025/327/oj

ISSN 1977-0782 (electronic edition)

Top

	Redacția Lex24 Drept la Sursa!
	Articole Urmărește

	Redacția Lex24
	Publicat in Repertoriu EUR-Lex, 25/03/2025