(1)

Cilj te uredbe je vzpostaviti evropski zdravstveni podatkovni prostor, da se izboljšata dostop fizičnih oseb do lastnih osebnih elektronskih zdravstvenih podatkov in nadzor nad njimi v okviru zdravstvenega varstva in za boljše doseganje drugih namenov, vključno z uporabo elektronskih zdravstvenih podatkov, v sektorjih zdravstvenega varstva in oskrbe, ki bi koristili družbi, kot so raziskave, inovacije, oblikovanje politik, pripravljenost in odzivanje na tveganja za zdravje, vključno s preprečevanjem in obravnavanjem prihodnjih pandemij, varnost pacientov, personalizirana medicina, uradni statistični podatki ali regulativne dejavnosti. Cilj te uredbe je tudi izboljšati delovanje notranjega trga z določitvijo enotnega pravnega in tehničnega okvira, zlasti za razvoj, trženje in uporabo sistemov za vodenje elektronskih zdravstvenih zapisov v skladu z vrednotami Unije. Evropski zdravstveni podatkovni prostor bo ključni element oblikovanja močne in odporne evropske zdravstvene unije.

(2)

Pandemija COVID-19 je poudarila, kako nujen je pravočasen dostop do kakovostnih elektronskih zdravstvenih podatkov za pripravljenost na tveganja za zdravje in odzivanje nanje ter za preprečevanje, diagnosticiranje in zdravljenje ter za sekundarno uporabo takih elektronskih zdravstvenih podatkov. Tak pravočasni dostop bi lahko z učinkovitim nadzorom in spremljanjem javnega zdravja potencialno prispeval k učinkovitejšemu obvladovanju prihodnjih pandemij, znižanju stroškov in izboljšanju odzivanja na tveganja za zdravje ter lahko celo pomagal rešiti več življenj. Komisija je leta 2020 nemudoma prilagodila svoj sistem za upravljanje kliničnih podatkov pacientov, vzpostavljen z Izvedbenim sklepom Komisije (EU) 2019/1269 (4), da bi državam članicam omogočila izmenjavo elektronskih zdravstvenih podatkov bolnikov s COVID-19, ki so med vrhuncem pandemije prehajali med izvajalci zdravstvenega varstva in med državami članicami. Vendar je bila ta prilagoditev le nujna rešitev, ki je pokazala, da je potreben strukturni in dosledni pristop na ravni držav članic in Unije, in sicer za izboljšanje razpoložljivosti elektronskih zdravstvenih podatkov za zdravstveno varstvo ter za olajšanje dostopa do elektronskih zdravstvenih podatkov za usmerjanje učinkovitih odzivnih politik in prispevanje k visokim standardom zdravja ljudi.

(3)

Kriza zaradi COVID-19 je močno utrdila delo mreže e-zdravje, prostovoljne mreže organov, odgovornih za digitalno zdravje, ki je glavni steber za razvoj aplikacij za sledenje stikom in opozarjanje o stikih za mobilne naprave ter tehničnih vidikov digitalnih COVID potrdil EU. Pokazala je tudi potrebo po souporabi elektronskih zdravstvenih podatkov, ki so najdljivi, dostopni, interoperabilni in ponovno uporabljivi (v nadaljnjem besedilu: načela FAIR), ter zagotavljanju, da je dostop do elektronskih zdravstvenih podatkov kolikor je mogoče odprt, pri čemer pa je treba spoštovati načelo najmanjšega obsega podatkov, kot je določeno v Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta (5). Zagotoviti bi bilo treba sinergije med evropskim zdravstvenim podatkovnim prostorom, evropskim oblakom za odprto znanost in evropsko raziskovalno infrastrukturo ter upoštevati izkušnje, pridobljene pri rešitvah za souporabo podatkov, razvitih v okviru evropske podatkovne platforme za COVID-19.

(4)

Ker so osebni elektronski zdravstveni podatki izjemno občutljivi, je namen te uredbe zagotoviti zadostne zaščitne ukrepe na ravni Unije in na nacionalni ravni, da se zagotovita visoka raven varstva, varnosti in zaupnosti podatkov ter njihova etična uporaba. Taki zaščitni ukrepi so potrebni za spodbujanje zaupanja v varno ravnanje z elektronskimi zdravstvenimi podatki fizičnih oseb za primarno uporabo in sekundarno uporabo, kakor sta opredeljeni v tej uredbi.

(5)

Za obdelavo osebnih elektronskih zdravstvenih podatkov veljajo določbe Uredbe (EU) 2016/679, za institucije, organe, urade in agencije Unije pa Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta (6). Sklicevanja na določbe Uredbe (EU) 2016/679 bi bilo treba po potrebi razumeti tudi kot sklicevanja na ustrezne določbe Uredbe (EU) 2018/1725 za institucije, organe, urade in agencije Unije.

(6)

Vse več posameznikov, ki živijo v Uniji, prečka nacionalne meje zaradi dela, študija, obiska sorodnikov ali drugih razlogov. Za lažjo izmenjavo zdravstvenih podatkov in v skladu s potrebo po krepitvi vloge državljanov bi jim bilo treba omogočiti dostop do njihovih zdravstvenih podatkov v elektronski obliki, ki jo je mogoče priznati in sprejeti po vsej Uniji. Taki osebni elektronski zdravstveni podatki bi lahko vključevali osebne podatke, ki so povezani s telesnim ali duševnim zdravjem fizične osebe, vključno z zagotavljanjem zdravstvenih storitev, in ki razkrivajo informacije o zdravstvenem stanju te fizične osebe, osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi fizične osebe, ki dajejo edinstvene informacije o fiziologiji ali zdravju te fizične osebe in so zlasti rezultat analize biološkega vzorca zadevne fizične osebe, ter podatke o determinantah zdravja, kot so vedenje, okoljski in fizični vplivi, zdravstvena oskrba ter socialni ali izobraževalni dejavniki. Elektronski zdravstveni podatki vključujejo tudi podatke, ki so bili prvotno zbrani za namene raziskav, statistične namene, ocene tveganj za zdravje, oblikovanja politik ali regulativne namene in moralo bi biti mogoče, da se dajo na voljo v skladu s pravili iz te uredbe. Elektronski zdravstveni podatki vsebujejo vse kategorije teh podatkov, ne glede na to, ali take podatke zagotovi posameznik, na katerega se nanašajo osebni podatki, ali druge fizične ali pravne osebe, kot so zdravstveni delavci, ali da se obdelujejo v zvezi z zdravjem ali dobrim počutjem fizične osebe, ter bi morali vključevati tudi izpeljane in izvedene podatke, kot so podatki, pridobljeni z diagnostiko, testi in zdravniškimi pregledi, ter podatke, ki se zaznajo in evidentirajo z avtomatskimi sredstvi.

(7)

V zdravstvenih sistemih se osebni elektronski zdravstveni podatki običajno zbirajo v elektronskih zdravstvenih zapisih, ki praviloma vsebujejo zdravstveno anamnezo fizične osebe, podatke o diagnozah in zdravljenju, zdravilih, alergijah in cepljenjih, pa tudi radiološke slike, laboratorijske izvide ter druge zdravstvene podatke, in to od različnih akterjev iz zdravstvenega sistema, kot so splošni zdravniki, bolnišnice, lekarne ali službe za oskrbo. Da bi lahko fizične osebe ali zdravstveni delavci dostopali do teh elektronskih zdravstvenih podatkov, jih souporabljali in spreminjali, so nekatere države članice sprejele potrebne pravne in tehnične ukrepe ter vzpostavile centralizirane infrastrukture, ki povezujejo sisteme za vodenje elektronskih zdravstvenih zapisov, ki jih uporabljajo izvajalci zdravstvenega varstva in fizične osebe. Poleg tega nekatere države članice podpirajo javne in zasebne izvajalce zdravstvenega varstva, da vzpostavijo prostore za osebne elektronske zdravstvene podatke in tako omogočijo interoperabilnost med različnimi izvajalci zdravstvenega varstva. Številne države članice podpirajo ali zagotavljajo tudi storitve dostopa do elektronskih zdravstvenih podatkov za paciente in zdravstvene delavce, na primer prek portalov za paciente ali zdravstvene delavce. Te države članice so sprejele tudi ukrepe za zagotovitev, da lahko sistemi za vodenje elektronskih zdravstvenih zapisov ali velnes aplikacije prenašajo elektronske zdravstvene podatke v glavni sistem za vodenje elektronskih zdravstvenih zapisov, na primer z zagotovitvijo sistema certificiranja. Vendar takih sistemov niso vzpostavile vse države članice, tiste države članice, ki so jih uvedle, pa so to storile razdrobljeno. Da bi olajšali prosti pretok osebnih elektronskih zdravstvenih podatkov po Uniji in preprečili negativne posledice za paciente v sklopu zdravstvenega varstva v čezmejnem okviru, je potrebno ukrepanje Unije, da se izboljša dostop fizičnih oseb do njihovih osebnih elektronskih zdravstvenih podatkov in da so pooblaščene za izmenjavo teh podatkov. V zvezi s tem bi bilo treba ukrepati na ravni Unije in na nacionalni ravni, da bi zmanjšali razdrobljenost, raznovrstnost in razdeljenost ter v vseh državah članicah razvili sistem, ki je uporabniku prijazen in intuitiven. Vsaka digitalna preobrazba v zdravstvenem sektorju bi morala imeti za cilj, da je vključujoča in koristi tudi fizičnim osebam, ki imajo omejeno zmožnost dostopa do digitalnih storitev in njihove uporabe, vključno z invalidi.

(8)

V Uredbi (EU) 2016/679 so navedene specifične določbe o pravicah fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov. Evropski zdravstveni podatkovni prostor temelji na teh pravicah in dopolnjuje nekatere od njih, kadar se uporabljajo za osebne elektronske zdravstvene podatke. Te pravice se uporabljajo ne glede na državo članico, v kateri se osebni elektronski zdravstveni podatki obdelujejo, vrsto izvajalca zdravstvenega varstva, vire teh podatkov ali državo članico zdravstvenega zavarovanja fizične osebe. Pravice in pravila v zvezi s primarno uporabo osebnih elektronskih zdravstvenih podatkov na podlagi te uredbe se nanašajo na vse kategorije teh podatkov, ne glede na to, kako so bili zbrani ali kdo jih je zagotovil, in ne glede na pravno podlago za obdelavo na podlagi Uredbe (EU) 2016/679 ali status upravljavca kot javne ali zasebne organizacije. Dodatne pravice dostopa do osebnih elektronskih zdravstvenih podatkov in njihove prenosljivosti iz te uredbe ne bi smele posegati v pravice dostopa in prenosljivosti, kot so določene na podlagi Uredbe (EU) 2016/679. Fizične osebe imajo še naprej te pravice pod pogoji, določenimi v navedeni uredbi.

(9)

Medtem ko bi se morale pravice iz Uredbe (EU) 2016/679 uporabljati še naprej, bi bilo treba v zdravstvenem sektorju še naprej dopolnjevati pravico fizične osebe do dostopa do podatkov, določeno v Uredbi (EU) 2016/679. Na podlagi navedene uredbe ni potrebno, da upravljavci takoj zagotovijo dostop. Pravica do dostopa do zdravstvenih podatkov se marsikje še vedno običajno izvaja tako, da se zahtevani zdravstveni podatki zagotovijo v papirni obliki ali kot skenirani dokumenti, kar je zamudno za upravljavca, kot je bolnišnica ali drug izvajalec zdravstvenega varstva, ki zagotavlja dostop. To upočasnjuje dostop fizičnih oseb do zdravstvenih podatkov in lahko nanje negativno vpliva, če zaradi nujnih okoliščin, povezanih s svojim zdravstvenim stanjem, tak dostop potrebujejo takoj. Zato je treba fizičnim osebam zagotoviti učinkovitejši način dostopa do njihovih osebnih elektronskih zdravstvenih podatkov. Imeti bi morale pravico do brezplačnega in neposrednega dostopa do specifičnih prednostnih kategorij osebnih elektronskih zdravstvenih podatkov, kot je povzetek podatkov o pacientu, prek storitve dostopa do elektronskih zdravstvenih podatkov, ob upoštevanju potrebe po tehnološki izvedljivosti. To pravico bi bilo treba uporabljati ne glede na državo članico, v kateri se osebni elektronski zdravstveni podatki obdelujejo, vrsto izvajalca zdravstvenega varstva, vire teh podatkov ali državo članico zdravstvenega zavarovanja fizične osebe. Področje uporabe te dopolnilne pravice, določene na podlagi te uredbe, in pogoji za njeno uveljavljanje se na določene načine razlikujejo od pravice do dostopa do osebnih podatkov na podlagi Uredbe (EU) 2016/679, ki zajema vse osebne podatke, ki jih hrani upravljavec, in se uveljavlja v odnosu do posameznega upravljavca, ki mora nato v največ enem mesecu odgovoriti na zahtevo. Pravica do dostopa do osebnih elektronskih zdravstvenih podatkov na podlagi te uredbe bi morala biti omejena na kategorije podatkov, ki spadajo na njeno področje uporabe, se izvajati prek storitve dostopa do elektronskih zdravstvenih podatkov in zajemati takojšen odgovor. Pravice na podlagi Uredbe (EU) 2016/679 bi se morale uporabljati še naprej, kar bi fizičnim osebam omogočalo, da uživajo svoje pravice iz obeh pravnih okvirov, zlasti pravico do pridobitve izvoda elektronskih zdravstvenih podatkov v papirni obliki.

(10)

Treba je upoštevati, da bi bil lahko takojšen dostop fizičnih oseb do nekaterih kategorij njihovih osebnih elektronskih zdravstvenih podatkov škodljiv za varnost teh fizičnih oseb ali neetičen. Na primer, lahko bi bilo neetično, če bi pacienta po elektronski poti obvestili o diagnozi neozdravljive bolezni, ki bi bila verjetno lahko smrtna, namesto da bi se pacient s temi informacijami najprej osebno seznanil ob konzultacijah. Zato bi moralo biti mogoče, da se zagotovitev dostopa do osebnih elektronskih zdravstvenih podatkov v takšnih razmerah odloži za omejeno obdobje, na primer do trenutka, ko lahko zdravstveni delavec pacientu razloži razmere. Države članice bi morale imeti možnost, da določijo takšno izjemo, kadar predstavlja potreben in sorazmeren ukrep v demokratični družbi v skladu z omejitvami iz člena 23 Uredbe (EU) 2016/679.

(11)

Ta uredba ne vpliva na pristojnosti držav članic v zvezi z začetno registracijo osebnih elektronskih zdravstvenih podatkov, kot je pogojevanje registracije genskih podatkov s privolitvijo fizične osebe ali drugimi zaščitnimi ukrepi. Države članice lahko zahtevajo, da se podatki dajo na voljo v elektronski obliki pred začetkom uporabe te uredbe. To ne bi smelo vplivati na obveznost, da se osebni elektronski zdravstveni podatki, registrirani po datumu začetka uporabe te uredbe, dajo na voljo v elektronski obliki.

(12)

Da fizične osebe dopolnijo informacije, ki so jim na voljo, bi morale imeti možnost, da v svoje osebne zdravstvene zapise dodajo elektronske zdravstvene podatke ali da shranijo dodatne informacije v svoj ločeni osebni zdravstveni zapis, do katerega bi lahko dostopali zdravstveni delavci. Vendar informacije, ki jih dodajo fizične osebe, morda niso tako zanesljive kot elektronski zdravstveni podatki, ki jih vnesejo in preverijo zdravstveni delavci, ter nimajo enake klinične ali pravne vrednosti kot informacije, ki jih zagotovijo zdravstveni delavci. Zato bi bilo treba podatke, ki jih fizične osebe dodajo v svoj osebni zdravstveni zapis jasno razlikovati od podatkov, ki jih zagotovijo zdravstveni delavci. Ta možnost, da fizične osebe dodajajo in dopolnjujejo osebne elektronske zdravstvene podatke, jim ne bi smela dati pravice do spremembe osebnih elektronskih zdravstvenih podatkov, ki so jih zagotovili zdravstveni delavci.

(13)

Omogočanje lažjega in hitrejšega dostopa fizičnim osebam do njihovih osebnih elektronskih zdravstvenih podatkov jim bo omogočilo, da opazijo morebitne napake, kot so napačne informacije ali nepravilno pripisana zdravstvena dokumentacija. V takih primerih bi fizične osebe morale imeti možnost, da na spletu nemudoma in brezplačno prek storitve dostopa do osebnih elektronskih zdravstvenih podatkov zahtevajo popravek nepravilnih elektronskih zdravstvenih podatkov. Takšne zahtevke za popravek bi morali nato obravnavati ustrezni upravljavci v skladu z Uredbo (EU) 2016/679, po potrebi v sodelovanju z ustrezno specializiranimi zdravstvenimi delavci, ki so odgovorni za zdravljenje fizične osebe.

(14)

Na podlagi Uredbe (EU) 2016/679 je pravica do prenosljivosti podatkov omejena na podatke, ki se obdelujejo na podlagi privolitve ali pogodbe in jih posameznik, na katerega se nanašajo osebni podatki, posreduje upravljavcu. Poleg tega imajo na podlagi navedene uredbe fizične osebe pravico, da se njihovi osebni podatki neposredno prenesejo od enega upravljavca k drugemu le, kadar je to tehnično izvedljivo. Vendar Uredba (EU) 2016/679 ne nalaga obveznosti, da mora biti ta neposredni prenos tehnično izvedljiv. Pravico do prenosa podatkov bi bilo treba dopolniti na podlagi te uredbe, da se fizičnim osebam omogoči, da zagotovijo dostop zdravstvenim delavcem po lastni izbiri do vsaj prednostnih kategorij svojih osebnih elektronskih zdravstvenih podatkov, izmenjavo takih podatkov s temi zdravstvenimi delavci ter prenos takih zdravstvenih podatkov. Poleg tega bi morale imeti fizične osebe pravico, da od izvajalca zdravstvenega varstva zahtevajo, da del njihovih elektronskih zdravstvenih podatkov posreduje jasno opredeljenemu prejemniku v sektorju storitev socialne varnosti ali storitev povračil stroškov. Takšen prenos bi moral biti le enosmeren.

(15)

Okvir, določen s to uredbo, bi moral temeljiti na pravici do prenosljivosti podatkov iz Uredbe (EU) 2016/679, pri čemer zagotavlja, da lahko fizične osebe kot posamezniki, na katere se nanašajo osebni podatki, prenesejo svoje osebne elektronske zdravstvene podatke, vključno z izpeljanimi podatki v evropski obliki izmenjave elektronskih zdravstvenih zapisov, ne glede na pravno podlago za obdelavo elektronskih zdravstvenih podatkov. Zdravstveni delavci ne bi smeli ovirati uporabo pravic fizičnih oseb, na primer z zavrnitvijo upoštevanja osebnih elektronskih zdravstvenih podatkov, ki izvirajo iz druge države članice ter ki so zagotovljeni v interoperabilni in zanesljivi evropski obliki izmenjave elektronskih zdravstvenih zapisov.

(16)

Dostop izvajalcev zdravstvenega varstva ali drugih posameznikov do elektronske zdravstvene dokumentacije bi moral biti pregleden za zadevne fizične osebe. Storitve dostopa do elektronskih zdravstvenih podatkov bi morale zagotavljati podrobne informacije o dostopu do podatkov, denimo kdaj in kateri subjekt ali fizična oseba je dostopala do podatkov in do katerih podatkov je dostopala. Fizične osebe bi morale imeti tudi možnost, da omogočijo ali onemogočijo avtomatska obvestila o dostopu do osebnih elektronskih zdravstvenih podatkov, ki se nanašajo na njih, prek storitev dostopa za zdravstvene delavce.

(17)

Fizične osebe morda ne bodo želele dovoliti dostopa do nekaterih delov svojih osebnih elektronskih zdravstvenih podatkov, obenem pa bodo omogočile dostop do drugih delov. To bi bilo lahko zlasti pomembno v primerih občutljivih zdravstvenih težav, kot so težave, povezane z duševnim ali spolnim zdravjem, občutljivi postopki, kot so splavi, ali pri podatkih o posebnih zdravilih, ki bi lahko razkrila druga občutljiva vprašanja. Zato bi bilo treba tako selektivno souporabo osebnih elektronskih zdravstvenih podatkov podpreti in izvajati z omejitvami, ki jih zadevna fizična oseba določi na enak način znotraj ozemlja določene države članice in za čezmejno souporabo podatkov. Te omejitve bi morale omogočati zadostno razčlenjenost, da se omejijo deli podatkovnih naborov, kot so elementi povzetkov podatkov o pacientih. Preden se določijo omejitve, bi bilo treba fizične osebe obvestiti o tveganjih za varnost pacientov, povezanih z omejevanjem dostopa do zdravstvenih podatkov. Ker lahko nerazpoložljivost omejenih osebnih elektronskih zdravstvenih podatkov vpliva na zagotavljanje ali kakovost zdravstvenih storitev, ki se zagotavljajo fizični osebi, bi morale fizične osebe, ki uporabljajo take omejitve dostopa, prevzeti odgovornost za dejstvo, da izvajalec zdravstvenega varstva teh podatkov ne more upoštevati pri zagotavljanju zdravstvenih storitev. Omejitve dostopa do osebnih elektronskih podatkov bi lahko imele smrtno nevarne posledice, zato bi bilo treba kljub temu omogočiti dostop do teh podatkov, kadar je potrebno za zaščito življenjskih interesov v izrednih razmerah. Države članice bi lahko v svojem nacionalnem pravu opredelile bolj specifične pravne določbe o mehanizmih omejitev, ki jih fizične osebe določijo v zvezi z deli svojih osebnih elektronskih zdravstvenih podatkov, zlasti v zvezi z zdravniško odgovornostjo v primerih, kadar je zadevna fizična oseba določila omejitve.

(18)

Zaradi različnih občutljivosti v državah članicah, kar zadeva stopnjo nadzora pacientov nad njihovimi zdravstvenimi podatki, bi poleg tega morale imeti države članice možnost, da predpišejo absolutno pravico vsakega, da odkloni dostop kogarkoli do svojih osebnih elektronskih zdravstvenih podatkov razen prvotnega upravljavca, brez možnosti neupoštevanja te odklonitve v izrednih razmerah. V takem primeru bi morale države članice določiti pravila in posebne zaščitne ukrepe v zvezi s takimi mehanizmi odklonitve. Ta pravila in posebni zaščitni ukrepi bi se lahko nanašali tudi na posebne kategorije osebnih elektronskih zdravstvenih podatkov, na primer genske podatke. Pravica do odklonitve pomeni, da osebni elektronski zdravstveni podatki, ki se nanašajo na fizično osebo, ki uveljavlja to pravico, ne bi bili dani na voljo prek storitev, vzpostavljenih v okviru evropskega zdravstvenega podatkovnega prostora, onkraj izvajalca zdravstvenega varstva, ki je opravil zdravljenje. Države članice bi morale imeti možnost, da zahtevajo registracijo in shranjevanje osebnih elektronskih zdravstvenih podatkov v sistemu za vodenje elektronskih zdravstvenih zapisov, ki ga uporablja izvajalec zdravstvenega varstva, ki je zagotovil zdravstvene storitve, in je dostopen samo izvajalcu zdravstvenega varstva. Če je fizična oseba uveljavila pravico do odklonitve, bodo izvajalci zdravstvenega varstva še vedno dokumentirali zdravljenje, zagotovljeno v skladu z veljavnimi pravili, in bodo lahko dostopali do podatkov, ki so jih registrirali. Fizične osebe, ki uveljavljajo pravico do odklonitve, bi morale imeti možnost, da spremenijo svojo odločitev. V takih primerih osebni elektronski zdravstveni podatki, ustvarjeni v obdobju odklonitve, morda ne bodo na voljo prek storitev dostopa in platforme Mojezdravje@EU (MyHealth@EU).

(19)

Pravočasen in popoln dostop zdravstvenih delavcev do zdravstvene dokumentacije pacientov je ključen za zagotavljanje neprekinjene oskrbe, preprečevanje podvajanja in napak ter znižanje stroškov. Vendar zdravstveni delavci, ker ni interoperabilnosti, v številnih primerih ne morejo dostopati do popolne zdravstvene dokumentacije svojih pacientov in ne morejo sprejemati optimalnih zdravniških odločitev za njihovo diagnozo in zdravljenje, kar zdravstvenim sistemom in fizičnim osebam povzroča znatne dodatne stroške ter lahko privede do slabših zdravstvenih izidov za fizične osebe. Elektronski zdravstveni podatki, ki so na voljo v interoperabilni obliki in ki se lahko prenašajo med izvajalci zdravstvenega varstva, lahko poleg tega zmanjšajo upravno breme zdravstvenih delavcev zaradi ročnega vnašanja ali kopiranja zdravstvenih podatkov med elektronskimi sistemi. Zato bi bilo treba zdravstvenim delavcem zagotoviti elektronska sredstva, kot so ustrezne elektronske naprave in portali za zdravstvene delavce ali druge storitve dostopa za zdravstvene delavce, da lahko pri opravljanju svojih nalog uporabljajo osebne elektronske zdravstvene podatke. Zdravstveni delavci bi morali imeti širok dostop do podatkov, saj je težko vnaprej izčrpno določiti, kateri od obstoječih podatkov v prednostnih kategorijah so zdravstveno pomembni v določenem primeru oskrbe. Zdravstveni delavci bi morali pri dostopu do podatkov, ki se nanašajo na njihove paciente, upoštevati veljavno pravo, kodekse ravnanja, deontološke smernice ali druge predpise, ki urejajo etično ravnanje v zvezi z izmenjavo informacij ali dostopom do njih, zlasti v življenjsko nevarnih ali skrajnih razmerah. Da svoj dostop omejijo na to, kar je pomembno v določenem primeru oskrbe, bi morali v skladu z Uredbo (EU) 2016/679 izvajalci zdravstvenega varstva pri dostopu do osebnih elektronskih zdravstvenih podatkov upoštevati načelo najmanjšega obsega podatkov in se pri dostopanju do podatkov omejiti na tiste podatke, ki so nujno potrebni in upravičeni za določeno storitev. Zagotavljanje storitev dostopa za zdravstvene delavce je naloga v javnem interesu, ki jo predpisuje ta uredba, pri opravljanju take naloge pa je potrebna obdelava osebnih podatkov iz člena 6(1), točka (e), Uredbe (EU) 2016/679. Ta uredba določa pogoje in zaščitne ukrepe za obdelavo elektronskih zdravstvenih podatkov v okviru storitev dostopa za zdravstvene delavce v skladu s členom 9(2), točka (h), Uredbe (EU) 2016/679, na primer podrobne določbe v zvezi z beleženjem dostopa do osebnih elektronskih zdravstvenih podatkov, da se zagotovi preglednost v odnosu do posameznikov, na katere se nanašajo osebni podatki. Vendar ta uredba ne bi smela posegati v nacionalno pravo o obdelavi zdravstvenih podatkov za zagotavljanje zdravstvenega varstva, vključno z nacionalnim pravom, ki določa kategorije zdravstvenih delavcev, ki lahko obdelujejo različne kategorije elektronskih zdravstvenih podatkov.

(20)

Za lažje uveljavljanje pravic dopolnilnega dostopa in prenosljivosti, določenih na podlagi te uredbe, bi morale države članice vzpostaviti eno ali več storitev dostopa do elektronskih zdravstvenih podatkov. Te storitve bi se lahko zagotavljale na nacionalni, regionalni ali lokalni ravni ali pa s strani izvajalcev zdravstvenega varstva v obliki spletnega portala za paciente, aplikacije za mobilne naprave ali na drug način. Zasnovane bi morale biti na dostopen način, zlasti za invalide. Zagotavljanje takšne storitve, da se fizičnim osebam omogoči, da imajo enostaven dostop do svojih osebnih elektronskih zdravstvenih podatkov, je v bistvenem javnem interesu. Obdelava osebnih elektronskih zdravstvenih podatkov v okviru teh storitev je potrebna za opravljanje te naloge, dodeljene s to uredbo, v smislu člena 6(1), točka (e), in člena 9(2), točka (g), Uredbe (EU) 2016/679. Ta uredba določa potrebne pogoje in zaščitne ukrepe za obdelavo elektronskih zdravstvenih podatkov v storitvah dostopa do elektronskih zdravstvenih podatkov, kot je elektronska identifikacija fizičnih oseb, ki dostopajo do teh storitev.

(21)

Fizične osebe bi morale imeti možnost, da drugim fizičnim osebam po svoji izbiri, kot so njihovi sorodniki ali druge bližnje fizične osebe, zagotovijo pooblastilo, ki takim osebam po njihovi izbiri omogoča dostop do osebnih elektronskih zdravstvenih podatkov fizičnih oseb, ki zagotovijo pooblastilo, ali nadzor dostopa do teh podatkov ali uporabo digitalnih zdravstvenih storitev v njihovem imenu. Taka pooblastila bi bila lahko iz praktičnih razlogov koristna tudi za drugo uporabo s strani fizičnih oseb, ki imajo tako pooblastilo. Države članice bi morale za omogočanje in izvajanje teh pooblastil vzpostaviti storitve pooblaščanja, ki bi bile povezane s storitvami dostopa do osebnih elektronskih zdravstvenih podatkov, kot so portali za paciente ali aplikacije za mobilne naprave, namenjene pacientom. Te storitve pooblaščanja bi morale poleg tega skrbnikom omogočati, da delujejo v imenu svojih vzdrževanih oseb, vključno z mladoletniki; v takih primerih bi lahko bila pooblastila samodejna. Države članice bi morale poleg teh storitev pooblaščanja vzpostaviti tudi lahko dostopne podporne storitve, ki jih zagotavlja ustrezno usposobljeno osebje, ki fizičnim osebam pomaga pri uveljavljanju njihovih pravic. Da bi se upoštevali primeri, v katerih bi bil prikaz nekaterih osebnih elektronskih zdravstvenih podatkov vzdrževanih oseb njihovim skrbnikom lahko v nasprotju z interesi ali voljo vzdrževanih oseb, vključno z mladoletniki, bi morale imeti države članice možnost, da v nacionalnem pravu določijo omejitve in zaščitne ukrepe ter mehanizme za njihovo tehnično izvedbo. Storitve dostopa do osebnih elektronskih zdravstvenih podatkov, kot so portali za paciente ali aplikacije za mobilne naprave, namenjene pacientom, bi morale uporabljati taka pooblastila in tako pooblaščenim fizičnim osebam omogočiti dostop do osebnih elektronskih zdravstvenih podatkov, ki spadajo na področje uporabe pooblastila. Da se zagotovi horizontalna rešitev, ki bo uporabnikom prijaznejša, bi bilo treba digitalne rešitve pooblaščanja uskladiti z Uredbo (EU) št. 910/2014 Evropskega parlamenta in Sveta (7) ter s tehničnimi specifikacijami evropske denarnice za digitalno identiteto. Ta uskladitev bi prispevala k zmanjšanju tako upravnega kot finančnega bremena za države članice, saj bi se zmanjšalo tveganje, da bi se razvili vzporedni sistemi, ki ne bi bili interoperabilni po vsej Uniji.

(22)

V nekaterih državah članicah zdravstveno varstvo zagotavljajo skupine za upravljanje primarnega zdravstvenega varstva, ki so skupine zdravstvenih delavcev, osredotočene na primarno zdravstveno varstvo, in sicer splošni zdravniki, ki svoje dejavnosti primarnega zdravstvenega varstva izvajajo na podlagi načrta zdravstvenega varstva, ki ga same pripravijo. V več državah članicah obstajajo tudi druge vrste skupin za zdravstveno varstvo za drugo oskrbo. Zdravstvenim delavcem, ki so del takih skupin, bi bilo treba zagotoviti dostop v zvezi s primarno uporabo v evropskem zdravstvenem podatkovnem prostoru.

(23)

Nadzorni organi, ustanovljeni na podlagi Uredbe (EU) 2016/679, so pristojni za spremljanje in zagotavljanje uporabe te uredbe, zlasti za spremljanje obdelave osebnih elektronskih zdravstvenih podatkov in obravnavanje morebitnih pritožb, ki jih vložijo zadevne fizične osebe. Ta uredba določa dodatne pravice za fizične osebe v zvezi s primarno uporabo, ki presegajo in dopolnjujejo pravice dostopa in prenosljivosti iz Uredbe (EU) 2016/679. Ker bi morali te dodatne pravice uveljavljati tudi nadzorni organi, ustanovljeni na podlagi člena 51 Uredbe (EU) 2016/679, bi morale države članice zagotoviti, da imajo ti nadzorni organi na voljo finančne in človeške vire, prostore in infrastrukturo, ki jih potrebujejo za učinkovito izvajanje teh dodatnih nalog. Nadzorni organ ali organi, odgovorni za spremljanje in zagotavljanje obdelave osebnih elektronskih zdravstvenih podatkov za primarno uporabo v skladu s to uredbo, bi morali biti pristojni za nalaganje upravnih glob. Pravni sistem na Danskem ne dopušča upravnih glob, kakor so določene v tej uredbi. Pravila o upravnih globah se lahko uporabljajo na tak način, da na Danskem globo naložijo pristojna nacionalna sodišča kot kazensko sankcijo, pod pogojem, da ima takšna uporaba pravil enak učinek, kot ga imajo upravne globe, ki jih naložijo nadzorni organi. V vsakem primeru pa bi morale globe biti učinkovite, sorazmerne in odvračilne.

(24)

Države članice bi si morale pri uporabi te uredbe prizadevati za spoštovanje etičnih načel, kot so evropska etična načela za digitalno zdravje, ki jih je mreža e-zdravje sprejela 26. januarja 2022, in načelo zaupnosti odnosa med zdravstvenimi delavci in pacienti. S priznavanjem pomena etičnih načel evropska etična načela za digitalno zdravje nudijo smernice strokovnim delavcem, raziskovalcem, inovatorjem, oblikovalcem politik in regulatorjem.

(25)

Pomen različnih kategorij elektronskih zdravstvenih podatkov za različne scenarije zdravstvenega varstva se razlikuje. Različne kategorije so dosegle tudi različne stopnje zrelosti v zvezi s standardizacijo, zato je lahko izvajanje mehanizmov za njihovo izmenjavo bolj ali manj zapleteno, odvisno od kategorije. Zato bi bilo treba interoperabilnost in souporabo podatkov izboljševati postopno, pri čemer je treba prednostno razvrstiti določene kategorije elektronskih zdravstvenih podatkov. Mreža e-zdravje je kategorije elektronskih zdravstvenih podatkov, kot so povzetki podatkov o pacientu, elektronski recepti in elektronske izdaje zdravil, slikovna gradiva in povezani izvidi medicinskih slikovnih preiskav, rezultati medicinskih preiskav, vključno z laboratorijskimi izvidi in povezanimi poročili, poročila o odpustu iz bolnišnice, izbrala kot najpomembnejše za večino primerov zdravstvenega varstva, zato bi jih bilo treba obravnavati kot prednostne kategorije za države članice pri izvajanju dostopa do njih in njihovega prenosa. Kadar take prednostne kategorije podatkov predstavljajo skupine elektronskih zdravstvenih podatkov, bi se morala ta uredba uporabljati tako za celotne skupine kot za posamezne vnose podatkov, ki so vključeni v te skupine. Ker je na primer cepilni status del povzetka podatkov o pacientu, bi se morale pravice in zahteve, povezane s povzetkom podatkov o pacientu, uporabljati tudi za tak cepilni status, tudi če se obdeluje ločeno od celotnega povzetka podatkov o pacientu. Kadar so za namene zdravstvenega varstva opredeljene nadaljnje potrebe po izmenjavi dodatnih kategorij elektronskih zdravstvenih podatkov, bi bilo treba na podlagi te uredbe omogočiti dostop do teh dodatnih kategorij in njihovo izmenjavo. Dodatne kategorije bi bilo treba najprej izvajati na ravni držav članic in v čezmejnih primerih v tej uredbi določiti prostovoljno izmenjavo takih kategorij podatkov med sodelujočimi državami članicami. Posebno pozornost bi bilo treba nameniti izmenjavi podatkov v obmejnih regijah sosednjih držav članic, kjer je zagotavljanje čezmejnih zdravstvenih storitev pogostejše in so v zvezi z njim potrebni celo hitrejši postopki kot v Uniji na splošno.

(26)

Stopnja razpoložljivosti osebnih zdravstvenih in genskih podatkov v elektronski obliki se med državami članicami razlikuje. Evropski zdravstveni podatkovni prostor bi moral fizičnim osebam olajšati dostop do teh podatkov v elektronski obliki ter bolje nadzirati dostop do njihovih osebnih zdravstvenih podatkov in njihovo izmenjavo. To bi prispevalo tudi k uresničitvi cilja, da bo do leta 2030 100 % državljanov Unije imelo dostop do svojih elektronskih zdravstvenih zapisov, kot je navedeno v Sklepu (EU) 2022/2481 Evropskega parlamenta in Sveta (8). Da bi bili elektronski zdravstveni podatki dostopni in prenosljivi, bi bilo treba do takih podatkov dostopati in jih prenašati v interoperabilni skupni evropski obliki izmenjave elektronskih zdravstvenih zapisov vsaj za nekatere kategorije elektronskih zdravstvenih podatkov, kot so povzetki podatkov o pacientu, elektronski recepti in elektronske izdaje zdravil, slikovna gradiva in povezani izvidi medicinskih slikovnih preiskav, rezultati medicinskih preiskav in poročila o odpustu iz bolnišnice, in sicer ob upoštevanju prehodnih obdobij. Kadar fizična oseba osebne elektronske zdravstvene podatke da na voljo izvajalcu zdravstvenega varstva ali lekarni ali drug upravljavec te podatke posreduje v evropski obliki izmenjave elektronskih zdravstvenih zapisov, bi morala biti ta oblika sprejeta, prejemnik pa bi moral biti sposoben prebrati podatke in jih uporabiti za zagotavljanje zdravstvenega varstva ali izdajo zdravila, s čimer bi podprli zagotavljanje zdravstvenih storitev ali izdajo elektronskega recepta. Evropska oblika izmenjave elektronskih zdravstvenih zapisov bi morala biti zasnovana tako, da se, kolikor je to mogoče, olajša prevajanje elektronskih zdravstvenih podatkov, ki so z uporabo te oblike sporočeni, v uradne jezike Unije. Priporočilo Komisije (EU) 2019/243 (9) zagotavlja temelje za tako skupno evropsko obliko izmenjave elektronskih zdravstvenih zapisov. Interoperabilnost evropskega zdravstvenega podatkovnega prostora bi morala prispevati k evropskim naborom zdravstvenih podatkov visoke kakovosti. Uporaba evropske oblike izmenjave elektronskih zdravstvenih zapisov bi morala postati široko razširjena na ravni Unije in nacionalni ravni. Evropska oblika za izmenjavo elektronskih zdravstvenih zapisov bi lahko omogočala različne profile za uporabo na ravni sistemov za vodenje elektronskih zdravstvenih zapisov ter na ravni nacionalnih kontaktnih točk za digitalno zdravje platforme Mojezdravje@EU (MyHealth@EU) za čezmejno izmenjavo podatkov.

(27)

Čeprav so sistemi za vodenje elektronskih zdravstvenih zapisov močno razširjeni, se stopnja digitalizacije zdravstvenih podatkov v državah članicah razlikuje glede na kategorije podatkov in pokritost izvajalcev zdravstvenega varstva, ki zdravstvene podatke registrirajo v elektronski obliki. Da bi podprli uporabo pravic posameznikov, na katere se nanašajo osebni podatki, do dostopa do elektronskih zdravstvenih podatkov in njihove izmenjave, je potrebno ukrepanje na ravni Unije, da bi preprečili nadaljnjo razdrobljenost. Da bi prispevali k visoki kakovosti in neprekinjenosti zdravstvenega varstva, bi bilo treba nekatere kategorije zdravstvenih podatkov sistematično in v skladu s posebnimi zahtevami glede kakovosti podatkov registrirati v elektronski obliki. Evropska oblika izmenjave elektronskih zdravstvenih zapisov bi morala biti podlaga za specifikacije, povezane z registracijo in izmenjavo elektronskih zdravstvenih podatkov.

(28)

Telemedicina postaja vse bolj pomembno orodje, ki lahko pacientom omogoči dostop do oskrbe in odpravi neenakosti, Ima potencial, da zmanjša neenakosti na področju zdravja in okrepi prosto gibanje državljanov Unije prek meja. Digitalna in druga tehnološka orodja lahko olajšajo zagotavljanje oskrbe v oddaljenih regijah. Kadar se digitalne storitve izvajajo poleg fizičnega zagotavljanja zdravstvenih storitev, bi bilo treba digitalno storitev vključiti v celotno zagotavljanje oskrbe. Na podlagi člena 168 Pogodbe o delovanju Evropske unije (PDEU) so države članice odgovorne za svojo zdravstveno politiko, zlasti za organizacijo in zagotavljanje zdravstvenih storitev in zdravstvene oskrbe, vključno z urejanjem dejavnosti, kot so spletne lekarne, telemedicina in druge storitve, ki jih zagotavljajo in za katere zagotovijo povrnitev stroškov, v skladu s svojim nacionalnim pravom. Različne zdravstvene politike pa ne bi smele ovirati prostega pretoka elektronskih zdravstvenih podatkov v okviru čezmejnega zdravstvenega varstva, na primer telemedicine in storitev spletnih lekarn.

(29)

Uredba (EU) št. 910/2014 določa pogoje, pod katerimi države članice izvajajo identifikacijo fizičnih oseb v čezmejnih primerih z uporabo sredstev elektronske identifikacije, ki jih je izdala druga država članica, in vzpostavlja pravila za vzajemno priznavanje takih sredstev elektronske identifikacije. Za evropski zdravstveni podatkovni prostor je potreben varen dostop do elektronskih zdravstvenih podatkov, tudi v čezmejnih primerih. Storitve dostopa do elektronskih zdravstvenih podatkov in telemedicinske storitve bi morale fizičnim osebam omogočiti, da uveljavljajo svoje pravice ne glede na državo članico njihovega zdravstvenega zavarovanja, in bi zato morale podpirati identifikacijo fizičnih oseb z uporabo katerega koli sredstva elektronske identifikacije, priznanega na podlagi Uredbe (EU) št. 910/2014. Ker lahko v čezmejnih primerih pride do izzivov v zvezi z ujemanjem identitete, bi morale države članice zdravljenja morda zagotoviti mehanizme dopolnilnega dostopa, kot so generatorji kod ali kode za dostop fizičnim osebam, ki prihajajo iz drugih držav članic in so deležne zdravstvenega varstva. Na Komisijo bi bilo treba prenesti pooblastilo za sprejemanje izvedbenih aktov za določitev zahtev za interoperabilno in čezmejno identifikacijo in avtentikacijo fizičnih oseb in zdravstvenih delavcev, vključno z vsemi dopolnilnimi mehanizmi, ki so potrebni, da se fizičnim osebam zagotovi, da uveljavljajo svoje pravice v zvezi z osebnimi elektronskimi zdravstvenimi podatki v čezmejnih primerih.

(30)

Države članice bi morale imenovati ustrezne organe za digitalno zdravje za načrtovanje in izvajanje standardov za dostop do elektronskih zdravstvenih podatkov in njihov prenos ter uveljavljanje pravic fizičnih oseb in zdravstvenih delavcev, in sicer kot ločene organizacije ali kot del že obstoječih organov. Osebje organa za digitalno zdravje ne bi smelo imeti nobenih finančnih ali drugih interesov v panogah ali gospodarskih dejavnostih, ki bi lahko vplivali na njihovo nepristranskost. Organi za digitalno zdravje so že ustanovljeni v večini držav članic in se ukvarjajo z elektronskimi zdravstvenimi zapisi, interoperabilnostjo, varnostjo ali standardizacijo. Organi za digitalno zdravje bi morali pri opravljanju svojih nalog sodelovati zlasti z nadzornimi organi, ustanovljenimi na podlagi Uredbe (EU) 2016/679, in nadzornimi organi, ustanovljenimi na podlagi Uredbe (EU) št. 910/2014. Organi za digitalno zdravje lahko sodelujejo tudi z Evropskim odborom za umetno inteligenco, ustanovljenim z Uredbo (EU) 2024/1689 Evropskega parlamenta in Sveta (10), Koordinacijsko skupino za medicinske pripomočke, ustanovljeno z Uredbo (EU) 2017/745 Evropskega parlamenta in Sveta (11), Evropskim odborom za podatkovne inovacije, vzpostavljenim na podlagi Uredbe (EU) 2022/868 Evropskega parlamenta in Sveta (12), ter pristojnimi organi na podlagi Uredbe (EU) 2023/2854 Evropskega parlamenta in Sveta (13). Države članice bi morale spodbujati udeležbo nacionalnih akterjev pri sodelovanju na ravni Unije, usmerjati strokovno znanje in svetovati pri oblikovanju rešitev, potrebnih za doseganje ciljev evropskega zdravstvenega podatkovnega prostora.

(31)

Brez poseganja v katero koli drugo upravno ali izvensodno pravno sredstvo bi morala imeti vsaka fizična ali pravna oseba pravico do učinkovitega sodnega pravnega sredstva zoper pravno zavezujočo odločitev organa za digitalno zdravje v zvezi z njo ali kadar organ za digitalno zdravje ne obravnava pritožbe ali fizične ali pravne osebe v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi. Za postopke zoper organ za digitalno zdravje bi morala biti pristojna sodišča držav članic, kjer ima organ za digitalno zdravje sedež.

(32)

Organi za digitalno zdravje bi morali imeti zadostno tehnično znanje in spretnosti ter po možnosti združevati strokovnjake iz različnih organizacij. Dejavnosti organov za digitalno zdravje bi bilo treba dobro načrtovati in spremljati, da se zagotovi njihova učinkovitost. Organi za digitalno zdravje bi morali sprejeti potrebne ukrepe za zaščito pravic fizičnih oseb z vzpostavitvijo nacionalnih, regionalnih in lokalnih tehničnih rešitev, kot so rešitve za posredovanje v nacionalnih sistemih za vodenje elektronskih zdravstvenih zapisov in portali za paciente. Pri sprejemanju takih potrebnih zaščitnih ukrepov bi morali organi za digitalno zdravje v takih rešitvah uporabljati skupne standarde in specifikacije, spodbujati uporabo standardov in specifikacij pri postopkih javnega naročanja ter uporabljati druga inovativna sredstva, vključno s povračilom stroškov za rešitve, ki so skladne z zahtevami glede interoperabilnosti in varnosti evropskega zdravstvenega podatkovnega sistema. Države članice bi morale poskrbeti za izvajanje ustreznih pobud za usposabljanje. Zlasti bi bilo treba zdravstvene delavce obvestiti o njihovih pravicah in obveznostih na podlagi te uredbe ter jih v zvezi s tem usposabljati. Da bi organi za digitalno zdravje opravljali svoje naloge, bi morali na ravni Unije in nacionalni ravni sodelovati z drugimi subjekti, vključno z zavarovalnicami, izvajalci zdravstvenega varstva, zdravstvenimi delavci, proizvajalci sistemov za vodenje elektronskih zdravstvenih zapisov in velnes aplikacij ter z drugimi deležniki iz zdravstvenega sektorja ali sektorja informacijske tehnologije, subjekti, ki upravljajo sheme za povračilo stroškov, organi za vrednotenje zdravstvenih tehnologij, regulativnimi organi in agencijami za zdravila, organi za medicinske pripomočke, naročniki in organi za kibernetsko varnost ali elektronsko identifikacijo.

(33)

Dostop do elektronskih zdravstvenih podatkov in njihov prenos sta pomembna v primerih čezmejnega zdravstvenega varstva, saj lahko podpirata neprekinjenost zdravstvenega varstva, kadar fizične osebe potujejo v druge države članice ali spremenijo kraj prebivališča. Neprekinjena oskrba in hiter dostop do osebnih elektronskih zdravstvenih podatkov sta še toliko pomembnejša za prebivalce obmejnih regij, ki pogosto prečkajo mejo, da bi dobili zdravstveno oskrbo. V številnih obmejnih regijah so lahko nekatere specializirane zdravstvene storitve na voljo bližje tik čez mejo kot pa v isti državi članici. Potrebna je infrastruktura za čezmejni prenos osebnih elektronskih zdravstvenih podatkov, kadar fizična oseba uporablja storitve izvajalca zdravstvenega varstva, ki ima sedež v drugi državi članici. Razmisliti bi bilo treba o postopni širitvi take infrastrukture in njenem financiranju. V ta namen je bila v okviru ukrepov za doseganje ciljev, določenih v Direktivi 2011/24/EU Evropskega parlamenta in Sveta (14), vzpostavljena prostovoljna infrastruktura Mojezdravje@EU (MyHealth@EU). Države članice so prek Mojezdravje@EU (MyHealth@EU) začele fizičnim osebam zagotavljati možnost, da pri potovanju v tujino njihove osebne elektronske zdravstvene podatke souporabljajo izvajalci zdravstvenega varstva. Na podlagi teh izkušenj bi moralo biti sodelovanje držav članic v Mojezdravje@EU (MyHealth@EU), kot je vzpostavljena s to uredbo, obvezno. Tehnične specifikacije za Mojezdravje@EU (MyHealth@EU) bi morale omogočati izmenjavo prednostnih kategorij elektronskih zdravstvenih podatkov in dodatnih kategorij, ki so podprte v evropski obliki izmenjave elektronskih zdravstvenih zapisov. Te specifikacije bi bilo treba opredeliti z izvedbenimi akti, temeljiti pa bi morale na čezmejnih specifikacijah evropske oblike izmenjave elektronskih zdravstvenih zapisov, dopolnjenih z dodatnimi specifikacijami o kibernetski varnosti, tehnični in semantični interoperabilnosti, postopkih in upravljanju storitev. Od držav članic bi bilo treba zahtevati, da se pridružijo Mojezdravje@EU (MyHealth@EU), izpolnjujejo njegove tehnične specifikacije ter z njim povežejo izvajalce zdravstvenega varstva, tudi lekarne, saj je to potrebno za omogočanje fizičnim osebam, da uveljavljajo svoje pravice na podlagi te uredbe, da dostopajo do svojih osebnih elektronskih zdravstvenih podatkov in jih uporabljajo ne glede na državo članico, v kateri se fizične osebe nahajajo.

(34)

Platforma Mojezdravje@EU (MyHealth@EU) zagotavlja skupno infrastrukturo za države članice, da se učinkovito in varno zagotovita povezljivost in interoperabilnost za podporo čezmejnemu zdravstvenem varstvu, ne da bi to vplivalo na odgovornosti držav članic pred prenosom osebnih elektronskih zdravstvenih podatkov prek nje in po njem. Države članice so odgovorne za organizacijo svojih nacionalnih kontaktnih točk za digitalno zdravje in za obdelavo osebnih podatkov za namene zagotavljanja zdravstvenega varstva pred prenosom teh podatkov prek platforme Mojezdravje@EU (MyHealth@EU) in po njem. Komisija bi morala s preverjanjem skladnosti spremljati skladnost nacionalnih kontaktnih točk za digitalno zdravje s potrebnimi zahtevami v zvezi s tehničnim razvojem platforme Mojezdravje@EU (MyHealth@EU), kot tudi s podrobnimi pravili v zvezi z varnostjo, zaupnostjo in varstvom osebnih elektronskih zdravstvenih podatkov. Komisija bi morala imeti možnost, da v primeru resne neskladnosti nacionalne kontaktne točke za digitalno zdravje začasno prekine zadevne storitve, ki jih zagotavlja ta nacionalna kontaktna točka. Komisija bi morala v okviru platforme Mojezdravje@EU (MyHealth@EU) delovati kot obdelovalec v imenu držav članic in zanjo zagotavljati osrednje storitve. Da se poskrbi za skladnost s pravili o varstvu podatkov in zagotovi okvir za obvladovanje tveganj za prenos osebnih elektronskih zdravstvenih podatkov, bi bilo treba z izvedbenimi akti podrobno določiti posebne odgovornosti držav članic kot skupnih upravljavcev ter obveznosti Komisije kot obdelovalca v njihovem imenu. Vsaka država članica je izključno odgovorna za podatke in storitve v tej državi članici. Ta uredba zagotavlja pravno podlago za obdelavo osebnih elektronskih zdravstvenih podatkov v platformi Mojezdravje@EU (MyHealth@EU) kot nalogo, ki se izvaja v javnem interesu na podlagi prava Unije iz člena 6(1), točka (e), Uredbe (EU) 2016/679. Ta obdelava je potrebna za zagotavljanje zdravstvenega varstva v čezmejnih primerih, kot je navedeno v členu 9(2), točka (h), navedene uredbe.

(35)

Poleg storitev v okviru platforme Mojezdravje@EU (MyHealth@EU) za izmenjavo osebnih elektronskih zdravstvenih podatkov na podlagi evropske oblike izmenjave elektronskih zdravstvenih zapisov bi bile morda potrebne druge storitve ali dopolnilna infrastruktura, na primer v primeru izrednih razmer v javnem zdravju ali kadar arhitektura Mojezdravje@EU (MyHealth@EU) ni primerna za izvajanje nekaterih vrst uporabe. Primeri takih vrst uporabe vključujejo podporo funkcionalnosti izkaznic o cepljenju, vključno z izmenjavo informacij o načrtih cepljenja ali preverjanjem potrdil o cepljenju ali drugih zdravstvenih potrdil. Taki primeri dodatne uporabe bi bili pomembni tudi za uvedbo dodatne funkcionalnosti za obvladovanje javnozdravstvenih kriz, kot je podpora za iskanje stikov za namene omejitve širjenja nalezljivih bolezni. Platforma Mojezdravje@EU (MyHealth@EU) bi morala podpirati izmenjave osebnih elektronskih zdravstvenih podatkov z nacionalnimi kontaktnimi točkami za digitalno zdravje ustreznih tretjih držav in sistemi, ki so jih na mednarodni ravni vzpostavile mednarodne organizacije, da se prispeva k neprekinjenosti zdravstvenega varstva. To je zlasti pomembno za posameznike, ki potujejo v sosednje tretje države ali iz njih, države kandidatke ter pridružene čezmorske države in ozemlja. Pri povezovanju takih nacionalnih kontaktnih točk za digitalno zdravje tretjih držav v platformo Mojezdravje@EU (MyHealth@EU) in pri interoperabilnosti z digitalnimi sistemi, ki so jih na mednarodni ravni vzpostavile mednarodne organizacije, bi bilo treba preveriti, ali te kontaktne točke in digitalni sistemi izpolnjujejo tehnične specifikacije, pravila o varstvu podatkov in druge zahteve Mojezdravje@EU (MyHealth@EU). Glede na to, da bo povezava s platformo Mojezdravje@EU (MyHealth@EU) vključevala prenose osebnih elektronskih zdravstvenih podatkov v tretje države, denimo izmenjavo povzetka podatkov o pacientu, kadar pacient poišče oskrbo v tej tretji državi, bi bilo treba poleg tega vzpostaviti ustrezne instrumente za prenos na podlagi poglavja V Uredbe (EU) 2016/679. Na Komisijo bi bilo treba prenesti pooblastilo za sprejemanje izvedbenih aktov za olajšanje povezave takih nacionalnih točk za digitalno zdravje tretjih držav in sistemov, ki so jih na mednarodni ravni vzpostavile mednarodne organizacije, z Mojezdravje@EU (MyHealth@EU). Pri pripravi teh izvedbenih aktov bi morala Komisija upoštevati interese nacionalne varnosti držav članic.

(36)

Za omogočanje nemotene izmenjave elektronskih zdravstvenih podatkov in zagotovitev spoštovanja pravic fizičnih oseb in zdravstvenih delavcev bi morali sistemi za vodenje elektronskih zdravstvenih zapisov, ki se tržijo na notranjem trgu, omogočati varno shranjevanje in prenos visokokakovostnih elektronskih zdravstvenih podatkov. To je ključni cilj evropskega zdravstvenega podatkovnega prostora za zagotavljanje varnega in prostega pretoka elektronskih zdravstvenih podatkov v Uniji. V ta namen bi bilo treba vzpostaviti obvezno shemo samoocenjevanja skladnosti za sisteme za vodenje elektronskih zdravstvenih zapisov, v katerih se obdeluje ena ali več prednostnih kategorij elektronskih zdravstvenih podatkov, da se odpravi razdrobljenost trga in hkrati zagotovi sorazmeren pristop. S samooceno bodo sistemi za vodenje elektronskih zdravstvenih zapisov dokazovali skladnost z zahtevami glede interoperabilnosti, varnosti in beleženja za sporočanje osebnih elektronskih zdravstvenih podatkov, ki jih določata dve obvezni komponenti programske opreme vodenja elektronskih zdravstvenih zapisov, ki ju ta uredba harmonizira, in sicer evropska interoperabilnostna komponenta programske opreme za sisteme za vodenje elektronskih zdravstvenih zapisov in evropska komponenta programske opreme za beleženje za sisteme za vodenje elektronskih zdravstvenih zapisov (v nadaljnjem besedilu: harmonizirani komponenti programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov). Harmonizirani komponenti programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov zadevata predvsem pretvorbo podatkov, četudi lahko pomenita potrebo po posrednih zahtevah za registracijo podatkov in predstavitev podatkov v sistemih za vodenje elektronskih zdravstvenih zapisov. Tehnične specifikacije za harmonizirani komponenti programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov bi bilo treba opredeliti z izvedbenimi akti in bi morale temeljiti na uporabi evropske oblike za izmenjavo elektronskih zdravstvenih zapisov. Harmonizirani komponenti programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov bi morali biti zasnovani tako, da ju je mogoče ponovno uporabiti in da se brezhibno povežeta z drugimi komponentami v večjem sistemu programske opreme. Varnostne zahteve harmoniziranih komponent programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov bi morale zajemati elemente, značilne za sisteme za vodenje elektronskih zdravstvenih zapisov, saj bi morale biti splošnejše varnostne lastnosti podprte z drugimi mehanizmi, kot so tisti na podlagi Uredbe (EU) 2024/2847 Evropskega parlamenta in Sveta (15). Za podpiranje tega postopka bi bilo treba vzpostaviti evropska digitalna testna okolja, da bi zagotavljala avtomatizirana sredstva za testiranje, ali je delovanje harmoniziranih komponent programske opreme sistema za vodenje elektronskih zdravstvenih zapisov v skladu z zahtevami iz te uredbe. V ta namen bi bilo treba na Komisijo prenesti izvedbena pooblastila za določitev skupnih specifikacij za ta okolja. Komisija bi morala razviti potrebno programsko opremo za testna okolja in jo kot odprtokodno dati na voljo. Za delovanje digitalnih testnih okolij bi morale biti odgovorne države članice, saj so proizvajalcem bližje in jih lažje podpirajo. Proizvajalci bi morali ta digitalna testna okolja uporabljati za preskušanje svojih proizvodov, preden jih dajo na trg, obenem pa bi morali ostati v celoti odgovorni za skladnost svojih proizvodov. Rezultati preskusa bi morali biti del tehnične dokumentacije izdelka. Kadar je sistem za vodenje elektronskih zdravstvenih zapisov ali kateri koli njegov del skladen z evropskimi standardi in skupnimi specifikacijami, se v tehnični dokumentaciji navede tudi seznam ustreznih evropskih standardov in skupnih specifikacij. Da bi podprla primerljivost sistemov za vodenje elektronskih zdravstvenih zapisov, bi morala Komisija pripraviti enotno predlogo za tehnično dokumentacijo, ki spremlja take sisteme.

(37)

Sistemom za vodenje elektronskih zdravstvenih zapisov bi morala biti priložena informativni list z informacijami za poklicne uporabnike ter jasna in popolna navodila za uporabo, vključno z oblikami, dostopnimi invalidom. Če sistemu za vodenje elektronskih zdravstvenih zapisov niso priložene take informacije, bi bilo treba od proizvajalca zadevnega sistema za vodenje elektronskih zdravstvenih zapisov, njegovega pooblaščenega zastopnika in vseh drugih zadevnih gospodarskih subjektov zahtevati, da sistemu za vodenje elektronskih zdravstvenih zapisov dodajo ta informativni list in navedena navodila za uporabo.

(38)

Za sisteme za vodenje elektronskih zdravstvenih zapisov, ki jih je proizvajalec izrecno predvidel za obdelavo ene ali več posebnih kategorij elektronskih zdravstvenih podatkov, bi moralo veljati obvezno samocertificiranje, programska oprema za splošne namene pa se ne bi smela šteti za sistem za vodenje elektronskih zdravstvenih zapisov, tudi če se uporablja v zdravstvu, zato se v zvezi z njo ne bi smelo zahtevati, da je skladna s to uredbo. To zajema primere, kot je programska oprema za obdelavo besedil, ki se uporablja za pisanje poročil in bi nato postala del pisnih elektronskih zdravstvenih zapisov, splošne vmesne programske opreme ali programske opreme za upravljanje podatkovnih zbirk, ki se uporablja kot del rešitev za shranjevanje podatkov.

(39)

Ta uredba nalaga obvezno shemo samoocenjevanja skladnosti za harmonizirani komponenti programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov, da se zagotovi, da sistemi za vodenje elektronskih zdravstvenih zapisov, ki se dajo na trg Unije, lahko izmenjujejo podatke v evropski obliki za izmenjavo elektronskih zdravstvenih zapisov in da imajo zahtevane zmogljivosti beleženja. Ta obvezna shema samoocenjevanja skladnosti, ki bi bila v obliki EU izjave proizvajalca o skladnosti, bi morala zagotoviti, da so te zahteve izpolnjene na sorazmeren način, ob izogibanju nepotrebnemu bremenu državam članicam in proizvajalcem.

(40)

Proizvajalci bi morali v spremne dokumente sistema za vodenje elektronskih zdravstvenih zapisov in po potrebi na embalažo namestiti oznako skladnosti CE, ki označuje, da je sistem za vodenje elektronskih zdravstvenih zapisov skladen s to uredbo in, kar zadeva vidike, ki jih ta uredba ne zajema, z drugim veljavnim pravom Unije, ki prav tako zahteva namestitev take oznake. Države članice bi morale nadgraditi obstoječe mehanizme, da bi zagotovile pravilno uporabo določb o oznaki skladnosti CE na podlagi zadevnega prava Unije, in sprejeti ustrezne ukrepe v primeru nepravilne rabe te oznake.

(41)

Države članice bi morale ostati pristojne za opredelitev zahtev v zvezi s katerimi koli drugimi komponentami programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov in pogojev za povezavo izvajalcev zdravstvenega varstva z njihovimi nacionalnimi infrastrukturami, ki bi jih lahko na nacionalni ravni ocenile tretje strani. Za olajšanje nemotenega delovanja notranjega trga sistemov za vodenje elektronskih zdravstvenih zapisov, digitalnih zdravstvenih proizvodov in z njimi povezanih storitev bi bilo treba zagotoviti čim večjo preglednost nacionalnega prava, ki določa zahteve za sisteme za vodenje elektronskih zdravstvenih zapisov, in določb o ugotavljanju njihove skladnosti v zvezi z vidiki, ki niso harmonizirane komponente programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov. Zato bi morale države članice Komisijo obvestiti o teh nacionalnih zahtevah, da bi imela na voljo potrebne informacije za zagotovitev, da ne vplivajo negativno na harmonizirani komponenti programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov.

(42)

Nekatere komponente programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov bi se lahko štele za medicinske pripomočke na podlagi Uredbe (EU) 2017/745 ali in vitro diagnostične medicinske pripomočke na podlagi Uredbe (EU) 2017/746 Evropskega parlamenta in Sveta (16). Programska oprema ali moduli programske opreme, ki spadajo v opredelitev medicinskega pripomočka, in vitro diagnostičnih medicinskih pripomočkov ali umetnointeligenčnega sistema, ki se šteje za visokotvegani (v nadaljnjem besedilu: visokotvegani sistem UI), bi morali biti certificirani v skladu z Uredbami (EU) 2017/745, (EU) 2017/746 in (EU) 2024/1689, kot je ustrezno. Taki proizvodi sicer morajo izpolnjevati zahteve na podlagi uredb, ki urejata te proizvode, države članice pa bi morale sprejeti ustrezne ukrepe, s katerimi bi zagotovile, da se zadevno ugotavljanje skladnosti opravi kot skupni ali usklajen postopek, da se omeji upravno breme za proizvajalce in druge gospodarske subjekte. Bistvene zahteve glede interoperabilnosti iz te uredbe bi se morale uporabljati le, če proizvajalec medicinskega pripomočka, in vitro diagnostičnega medicinskega pripomočka ali visokotveganega sistema UI, ki zagotavlja elektronske zdravstvene podatke, ki se obdelujejo v okviru sistema za vodenje elektronskih zdravstvenih zapisov, navaja njegovo interoperabilnost s takim sistemom za vodenje elektronskih zdravstvenih zapisov. V tem primeru bi se morale določbe o skupnih specifikacijah za sisteme za vodenje elektronskih zdravstvenih zapisov uporabljati za navedene medicinske pripomočke, in vitro diagnostične medicinske pripomočke in visokotvegane sisteme UI.

(43)

Za nadaljnjo podporo interoperabilnosti in varnosti bi morale države članice imeti možnost, da ohranijo ali opredelijo posebna pravila za javna naročila sistemov za vodenje elektronskih zdravstvenih zapisov, povračilo stroškov zanje ali njihovo financiranje na nacionalni ravni v okviru organizacije zdravstvenih storitev, njihovega zagotavljanja ali financiranja. Taka posebna pravila ne bi smela ovirati prostega pretoka sistemov za vodenje elektronskih zdravstvenih zapisov v Uniji. Nekatere države članice so uvedle obvezno certificiranje teh sistemov ali obvezno preskušanje interoperabilnosti za njihovo povezavo z nacionalnimi digitalnimi zdravstvenimi storitvami. Take zahteve se običajno upoštevajo v postopkih javnega naročanja, ki jih organizirajo izvajalci zdravstvenega varstva in nacionalni ali regionalni organi. Z obveznim certificiranjem sistemov za vodenje elektronskih zdravstvenih zapisov na ravni Unije bi bilo treba določiti osnovo, ki se lahko uporablja pri postopkih javnega naročanja na nacionalni ravni.

(44)

Da se zagotovi učinkovito uresničevanje pravic pacientov na podlagi te uredbe, bi morali izvajalci zdravstvenega varstva, ki razvijejo in uporabljajo interni sistem za vodenje elektronskih zdravstvenih zapisov za izvajanje notranjih dejavnosti, ne da bi ga dali na trg v zameno za plačilo ali plačilo, tudi ravnati v skladu s to uredbo. V tem okviru bi morali ti izvajalci zdravstvenega varstva v zvezi s takimi sistemi za vodenje elektronskih zdravstvenih zapisov, ki se razvijejo interno in jih ti izvajalci zdravstvenega varstva dajo v uporabo, izpolnjevati vse zahteve, ki veljajo za proizvajalce. Ker izvajalci zdravstvenega varstva utegnejo potrebovati dodaten čas za pripravo na skladnost s to uredbo, bi se morale te zahteve uporabljati v zvezi s takšnimi sistemi šele po podaljšanem prehodnem obdobju.

(45)

Zagotoviti je treba jasno in sorazmerno porazdelitev obveznosti, ki ustrezajo vlogi vsakega gospodarskega subjekta v postopku dobave in distribucije sistemov za vodenje elektronskih zdravstvenih zapisov. Gospodarski subjekti bi morali biti odgovorni za skladnost v zvezi s svojo vlogo v takem postopku in bi morali zagotoviti, da omogočijo dostopnost na trgu le takih sistemov za vodenje elektronskih zdravstvenih zapisov, ki izpolnjujejo ustrezne zahteve.

(46)

Proizvajalci sistemov za vodenje elektronskih zdravstvenih zapisov bi morali z izvajanjem skupnih specifikacij dokazati skladnost z bistvenimi zahtevami glede interoperabilnosti in varnosti. V ta namen bi bilo treba na Komisijo prenesti izvedbena pooblastila za določitev takih skupnih specifikacij v zvezi s podatkovnimi nabori, sistemi kodiranja, tehničnimi specifikacijami, standardi, specifikacijami in profili za izmenjavo podatkov, ter zahtevami in načeli v zvezi z varnostjo pacientov in varnostjo, zaupnostjo, celovitostjo, in varstvom osebnih podatkov ter specifikacijami in zahtevami v zvezi z upravljanjem identifikacije in uporabo elektronske identifikacije. Organi za digitalno zdravje bi morali prispevati k razvoju takih skupnih specifikacij. Po potrebi bi morale te skupne specifikacije temeljiti na obstoječih harmoniziranih standardih za harmonizirani komponenti programske opreme sistemov za vodenje elektronskih zdravstvenih zapisov in biti skladne s sektorskim pravom. Kadar so skupne specifikacije posebej pomembne, kar zadeva zahteve glede varstva osebnih podatkov v zvezi s sistemi za vodenje elektronskih zdravstvenih zapisov, bi se bilo treba o njih pred sprejetjem posvetovati z Evropskim odborom za varstvo podatkov in Evropskim nadzornikom za varstvo podatkov na podlagi člena 42(2) Uredbe (EU) 2018/1725.

(47)

Za zagotovitev ustreznega in učinkovitega izvrševanja zahtev in obveznosti iz te uredbe bi bilo treba uporabljati sistem nadzora trga in skladnosti proizvodov, vzpostavljen z Uredbo (EU) 2019/1020 Evropskega parlamenta in Sveta (17). Odvisno od organizacije, opredeljene na nacionalni ravni, lahko take dejavnosti nadzora trga izvajajo organi za digitalno zdravje, ki zagotavljajo pravilno izvajanje poglavja II te uredbe, ali ločen organ za nadzor trga, pristojen za sisteme za vodenje elektronskih zdravstvenih zapisov. Čeprav bi lahko to, da se organi za digitalno zdravje imenujejo za organe za nadzor trga, imelo pomembne praktične prednosti za izvajanje zdravstva in oskrbe, bi se bilo treba izogniti vsakršnemu nasprotju interesov, na primer z ločitvijo različnih nalog.

(48)

Zaposleni v organih za nadzor trga ne bi smeli imeti neposrednih ali posrednih gospodarskih, finančnih ali osebnih nasprotij interesov, za katere bi se lahko štelo, da vplivajo na njihovo neodvisnost, zlasti pa ne bi smeli biti v položaju, ki bi lahko neposredno ali posredno vplival na nepristranskost njihovega poklicnega ravnanja. Države članice bi morale določiti in objaviti izbirni postopek za organe za nadzor trga. Zagotoviti bi morale, da je postopek pregleden in da ne dopušča nasprotij interesov.

(49)

Uporabnike velnes aplikacij, vključno z aplikacijami za mobilne naprave, bi bilo treba obvestiti o zmožnosti takih aplikacij, da se povežejo in posredujejo podatke sistemom za vodenje elektronskih zdravstvenih zapisov ali nacionalnim elektronskim zdravstvenim rešitvam, kadar so podatki, pridobljeni z velnes aplikacijami, koristni za zdravstvene namene. Zmožnost teh aplikacij, da izvažajo podatke v interoperabilni obliki, je pomembna tudi za namene prenosljivosti podatkov. Po potrebi bi bilo treba uporabnike tudi obvestiti o skladnosti takih velnes aplikacij z zahtevami glede interoperabilnosti in varnosti. Vendar glede na veliko število velnes aplikacij in ker je pomen podatkov, ki jih ustvarjajo številne od njih, za zdravstvene namene le omejen, certifikacijska shema za te aplikacije ne bi bila sorazmerna. Zato bi bilo treba za velnes aplikacije, za katere je navedeno, da so interoperabilne s sistemom za vodenje elektronskih zdravstvenih zapisov, vzpostaviti obvezni sistem označevanja kot ustrezen mehanizem za zagotavljanje preglednosti za uporabnike velnes aplikacij v zvezi z izpolnjevanjem zahtev na podlagi te uredbe, s čimer bi uporabnike podpirali pri izbiri ustreznih velnes aplikacij z visokimi standardi interoperabilnosti in varnosti. Komisija bi morala z izvedbenimi akti določiti podrobnosti v zvezi z obliko in vsebino take oznake.

(50)

Države članice bi morale ohraniti možnost, da urejajo druge vidike uporabe velnes aplikacij, pod pogojem, da so ustrezna pravila v skladu s pravom Unije.

(51)

Razširjanje informacij o certificiranih sistemih za vodenje elektronskih zdravstvenih zapisov in velnes aplikacijah, opremljenih z oznako, je potrebno, da se naročnikom in uporabnikom takih proizvodov omogoči iskanje interoperabilnih rešitev za njihove posebne potrebe. Zato bi bilo treba na ravni Unije vzpostaviti podatkovno zbirko interoperabilnih sistemov za vodenje elektronskih zdravstvenih zapisov in velnes aplikacij, ki ne spadajo na področje uporabe uredb (EU) 2017/745 in (EU) 2024/1689, podobno Evropski podatkovni zbirki za medicinske pripomočke (Eudamed), vzpostavljeni z Uredbo (EU) 2017/745. Cilji podatkovne zbirke EU za registracijo sistemov za vodenje elektronskih zdravstvenih zapisov in velnes aplikacij bi morali biti izboljšanje splošne preglednosti, preprečevanje večkratnih zahtev glede poročanja ter racionalizacija in olajšanje pretoka informacij. V zvezi z medicinskimi pripomočki in sistemi UI bi bilo treba registracijo ohraniti v okviru zdajšnjih podatkovnih zbirk, vzpostavljenih na podlagi uredbe (EU) 2017/745 oziroma (EU) 2024/1689, vendar bi morali proizvajalci navesti skladnost z zahtevami glede interoperabilnosti, kadar navajajo, da je taka skladnost mogoča, da se naročnikom zagotovijo informacije.

(52)

Cilj te uredbe je vzpostaviti skupni mehanizem za dostop do elektronskih zdravstvenih podatkov za sekundarno uporabo po vsej Uniji, ne da bi ovirala ali nadomestila obstoječe pogodbene ureditve ali druge mehanizme. V okviru tega mehanizma bi morali imetniki zdravstvenih podatkov dati na voljo podatke, ki jih imajo, na podlagi dovoljenja za obdelavo podatkov ali zahtevka za zdravstvene podatke. Za namene obdelave elektronskih zdravstvenih podatkov za sekundarno uporabo bi bilo treba zahtevati eno od pravnih podlag iz člena 6(1), točke (a), (c), (e) ali (f), Uredbe (EU) 2016/679 v povezavi s členom 9(2) Uredbe. V skladu s tem ta uredba zagotavlja pravno podlago za sekundarno uporabo osebnih elektronskih zdravstvenih podatkov, vključno z zaščitnimi ukrepi, zahtevanimi na podlagi člena 9(2), točke (g) do (j), Uredbe (EU) 2016/679, da se omogoči obdelava posebnih vrst podatkov, v smislu zakonitih namenov, zaupanja vredno upravljanje za zagotavljanje dostopa do zdravstvenih podatkov prek sodelovanja organov za dostop do zdravstvenih podatkov in obdelava v varnem okolju za obdelavo ter ureditve obdelave podatkov, določene v dovoljenju za obdelavo podatkov. Zato države članice ne bi smele več ohranjati ali uvajati dodatnih pogojev na podlagi člena 9(4) Uredbe (EU) 2016/679, vključno z omejitvami in posebnimi določbami, ki zahtevajo privolitev fizičnih oseb, v zvezi z obdelavo osebnih elektronskih zdravstvenih podatkov za sekundarno uporabo na podlagi te uredbe, z izjemo uvedbe strožjih ukrepov in dodatnih zaščitnih ukrepov na nacionalni ravni, namenjenih zaščiti občutljivosti in vrednosti podatkov iz te uredbe. Prosilci za dostop do zdravstvenih podatkov bi morali tudi dokazati pravno podlago iz člena 6 Uredbe (EU) 2016/679, ki jim omogoča, da zaprosijo za dostop do elektronskih zdravstvenih podatkov v skladu s to uredbo, in izpolnjevati pogoje iz poglavja IV Uredbe. Poleg tega bi moral organ za dostop do zdravstvenih podatkov oceniti informacije, ki jih je predložil prosilec za dostop do zdravstvenih podatkov, na podlagi katerih bi moralo biti mogoče izdati dovoljenje za obdelavo osebnih elektronskih zdravstvenih podatkov na podlagi te uredbe, ki bi moralo izpolnjevati zahteve in pogoje iz poglavja IV te uredbe. Za obdelavo elektronskih zdravstvenih podatkov, ki jih hranijo imetniki zdravstvenih podatkov, ta uredba določa pravno obveznost v smislu člena 6(1), točka (c), Uredbe (EU) 2016/679 v skladu s členom 9(2), točki (i) in (j), navedene uredbe, da mora imetnik zdravstvenih podatkov dati na voljo osebne elektronske zdravstvene podatke organom za dostop do zdravstvenih podatkov, medtem ko je pravna podlaga za prvotno obdelavo, na primer izvajanje zdravstvenega varstva, nespremenjena. Ta uredba, s katero so organom za dostop do zdravstvenih podatkov tudi dodeljene naloge v javnem interesu v smislu člena 6(1), točka (e), Uredbe (EU) 2016/679, izpolnjuje zahteve iz člena 9(2), točke (g) do (j), kot je ustrezno, navedene uredbe. Če se uporabnik zdravstvenih podatkov opira na pravno podlago, določeno v členu 6(1), točka (e) ali (f), Uredbe (EU) 2016/679, bi morala ta uredba zagotavljati zaščitne ukrepe, zahtevane na podlagi člena 9(2) Uredbe (EU) 2016/679.

(53)

Elektronski zdravstveni podatki, ki se uporabljajo za sekundarno uporabo, lahko prinesejo velike družbene koristi. Uporabo podatkov in dokazov iz resničnega življenja, vključno z izidi zdravljenja, o katerih poročajo pacienti, za na dokazih temelječe regulativne namene in namene politik, pa tudi za raziskave, vrednotenje zdravstvenih tehnologij in klinične cilje, bi bilo treba spodbujati. Podatki in dokazi iz resničnega življenja lahko dopolnijo zdravstvene podatke, ki se trenutno dajejo na voljo. Za dosego tega cilja je pomembno, da so podatkovni nabori, ki se na podlagi te uredbe dajo na voljo za sekundarno uporabo, čim bolj popolni. Ta uredba določa potrebne zaščitne ukrepe za zmanjšanje nekaterih tveganj, povezanih z uresničevanjem teh koristi. Sekundarna uporaba elektronskih zdravstvenih podatkov temelji na psevdonimiziranih ali anonimiziranih podatkih, da se prepreči identifikacija posameznikov, na katere se nanašajo osebni podatki.

(54)

Da bi potrebo uporabnikov zdravstvenih podatkov po izčrpnih in reprezentativnih podatkovnih naborih uravnotežili s potrebo po avtonomiji fizičnih oseb glede njihovih osebnih elektronskih zdravstvenih podatkov, ki se štejejo za posebej občutljive, bi morale imeti fizične osebe možnost, da odločajo, ali se njihovi osebni elektronski zdravstveni podatki lahko obdelujejo za sekundarno uporabo na podlagi te uredbe, in sicer v obliki pravice, da odklonijo dajanje teh podatkov na voljo za sekundarno uporabo. Zagotoviti bi bilo treba lahko razumljiv in dostopen ter uporabniku prijazen mehanizem za uveljavljanje pravice do odklonitve. Poleg tega je nujno, da se fizičnim osebam zagotovijo zadostne in celovite informacije o njihovi pravici do odklonitve, vključno s prednostmi in slabostmi, povezanimi z uveljavljanjem te pravice. Od fizičnih oseb se ne bi smelo zahtevati, da navedejo razloge za odklonitev, in morale bi imeti možnost, da kadar koli ponovno premislijo o svoji izbiri. Vseeno je za nekatere namene, ki so tesno povezani z javnim interesom, kot so dejavnosti zaščite pred resnimi čezmejnimi nevarnostmi za zdravje ali znanstvene raziskave zaradi pomembnih razlogov javnega interesa, primerno državam članicam omogočiti, da ob upoštevanju svojega nacionalnega konteksta vzpostavijo mehanizme za zagotavljanje dostopa do osebnih elektronskih zdravstvenih podatkov fizičnih oseb, ki so uveljavile svojo pravico do odklonitve, da v takšnih primerih zagotovijo razpoložljivost popolnih podatkovnih naborov. Taki mehanizmi bi morali biti skladni z zahtevami, ki so za sekundarno uporabo določene na podlagi te uredbe. Znanstvene raziskave zaradi pomembnih razlogov javnega interesa bi lahko na primer vključevale raziskave, ki obravnavajo neizpolnjene zdravstvene potrebe, tudi za redke bolezni, ali porajajoče se nevarnosti za zdravje. Pravila o takih neupoštevanjih bi morala spoštovati bistvo temeljnih pravic in svoboščin ter biti potreben in sorazmeren ukrep v demokratični družbi, s katerim se izpolni javni interes v zvezi z legitimnimi znanstvenimi in družbenimi cilji. Taka neupoštevanja bi morala biti na voljo le uporabnikom zdravstvenih podatkov, ki so organi javnega sektorja, ali ustrezne institucije, organi, uradi ali agencije Unije, ki so pooblaščeni za opravljanje nalog na področju javnega zdravja, ali drugim subjektom, ki so pooblaščeni za izvajanje javnih nalog na področju javnega zdravja ali delujejo v imenu ali po naročilu javnega organa, in le kadar podatkov ni mogoče pravočasno in učinkovito pridobiti na druge načine. Ti uporabniki zdravstvenih podatkov bi morali utemeljiti, da je uporaba neupoštevanja potrebna za posamezno vlogo za dostop do zdravstvenih podatkov ali zahtevek za zdravstvene podatke. Kadar se uporabi tako neupoštevanje, bi morali uporabniki zdravstvenih podatkov še naprej uporabljati zaščitne ukrepe na podlagi poglavja IV, zlasti prepoved ponovne identifikacije ali poskusov ponovne identifikacije zadevnih fizičnih oseb.

(55)

V okviru evropskega zdravstvenega podatkovnega prostora elektronski zdravstveni podatki že obstajajo in jih pri svojih dejavnostih zbirajo med drugim izvajalci zdravstvenega varstva, strokovna združenja, javne ustanove, regulatorji, raziskovalci in zavarovalnice. Ti podatki bi morali biti na voljo tudi za sekundarno uporabo, tj. za obdelavo podatkov za namene, ki niso tisti, za katere so bili zbrani ali pridobljeni, vendar veliko takih podatkov ni na voljo za obdelavo v te namene. To omejuje zmožnost raziskovalcev, inovatorjev, oblikovalcev politik, regulatorjev in zdravnikov, da te podatke uporabljajo za druge namene, vključno z raziskavami, inovacijami, oblikovanjem politik, regulativnimi nameni, varnostjo pacientov ali personalizirano medicino. Da bi v celoti izkoristili prednosti sekundarne uporabe, bi morali vsi imetniki zdravstvenih podatkov prispevati k tem prizadevanjem in dati na voljo različne kategorije elektronskih zdravstvenih podatkov, ki jih hranijo, za sekundarno uporabo, pod pogojem, da se taka prizadevanja vedno opravijo prek učinkovitih in zavarovanih postopkov ter ob ustreznem spoštovanju poklicnih dolžnosti, kot so dolžnosti glede zaupnosti.

(56)

Kategorije elektronskih zdravstvenih podatkov, ki se lahko obdelujejo za sekundarno uporabo, bi morale biti dovolj široke in prožne, da jih je mogoče prilagoditi spreminjajočim se potrebam uporabnikov zdravstvenih podatkov, pri čemer bi morale ostati omejene na podatke, ki so povezani z zdravjem ali za katere je znano, da vplivajo na zdravje. Vključujejo lahko tudi ustrezne podatke iz zdravstvenega sistema, na primer elektronske zdravstvene zapise, podatke o zahtevkih za povračilo, podatke o izdanih zdravilih, podatke iz registrov bolezni ali genske podatke, ter podatke, ki vplivajo na zdravje, na primer podatki o uživanju različnih snovi, socialnoekonomskem statusu ali vedenju, vključno s podatki o okoljskih dejavnikih, kot so onesnaževanje, sevanje ali uporaba nekaterih kemičnih snovi. Kategorije elektronskih zdravstvenih podatkov za sekundarno uporabo vključujejo nekatere kategorije podatkov, ki so bili sprva zbrani za druge namene, kot so raziskave, statistika, varnost pacientov, regulativne dejavnosti ali oblikovanje politike, na primer registri za oblikovanje politik ali registri v zvezi s stranskimi učinki zdravil ali medicinskih pripomočkov. Evropske podatkovne zbirke, ki olajšajo uporabo ali ponovno uporabo podatkov, so na voljo na nekaterih področjih, kot so rak (evropski informacijski sistem o raku) ali redke bolezni (na primer evropska platforma za registracijo redkih bolezni in registri evropskih referenčnih mrež). Te kategorije elektronskih zdravstvenih podatkov, ki se lahko obdelujejo za sekundarno uporabo, bi morale vključevati tudi samodejno ustvarjene podatke iz medicinskih pripomočkov in podatke, ki jih ustvarijo posamezniki, denimo podatke iz velnes aplikacij. Podatke o kliničnih preskušanjih in kliničnih raziskavah bi bilo tudi treba vključiti v kategorije elektronskih podatkov za sekundarno uporabo po koncu kliničnega preskušanja ali klinične raziskave, ne da bi to vplivalo na kakršno koli prostovoljno izmenjavo podatkov sponzorjev tekočih preskušanj in raziskav. Elektronske zdravstvene podatke za sekundarno uporabo bi bilo treba po možnosti dati na voljo v strukturirani elektronski obliki, ki olajša njihovo obdelavo z računalniškimi sistemi. Primeri strukturiranih elektronskih oblik vključujejo zapise v relacijski podatkovni zbirki, dokumente XML ali datoteke CSV ter prosto besedilo, zvočne zapise, videoposnetke in slike, ki se posredujejo kot računalniško berljive datoteke.

(57)

Uporabniki zdravstvenih podatkov, ki imajo koristi od dostopa do podatkovnih naborov, zagotovljenih na podlagi te uredbe, bi lahko podatke v teh podatkovnih naborih obogatili z različnimi popravki, opombami in drugimi izboljšavami, na primer z dopolnitvijo manjkajočih ali nepopolnih podatkov, s čimer bi se izboljšale točnost, popolnost ali kakovost podatkov v podatkovnih naborih. Uporabnike zdravstvenih podatkov bi bilo treba spodbujati, da organom za dostop do zdravstvenih podatkov poročajo o kritičnih napakah v podatkovnih naborih. Da bi podprli izboljšanje prvotne podatkovne zbirke in nadaljnjo uporabo obogatenega podatkovnega nabora, bi morale imeti države članice možnost, da določijo pravila za obdelavo in uporabo elektronskih zdravstvenih podatkov, ki vsebujejo izboljšave v zvezi z obdelavo teh podatkov. Izboljšani podatkovni nabor bi moral biti brezplačno na voljo prvotnemu imetniku zdravstvenih podatkov skupaj z opisom izboljšav. Imetnik zdravstvenih podatkov bi moral dati na voljo nov podatkovni nabor, razen če organu za dostop do zdravstvenih podatkov predloži utemeljeno obvestilo, da tega ne bo storil, na primer v primerih, v katerih je obogatitev s strani uporabnika zdravstvenih podatkov slabe kakovosti. Zagotoviti bi bilo treba, da so neosebni elektronski zdravstveni podatki na voljo za sekundarno uporabo. Zlasti podatki o patogenih genskih virih imajo pomembno vrednost za zdravje ljudi, kot se je izkazalo med pandemijo COVID-19, med katero sta se pravočasen dostop do takih podatkov in njihova souporaba izkazala za bistvena za hiter razvoj orodij za odkrivanje, zdravstvenih protiukrepov in odzivov na tveganje za javno zdravje. Največja korist prizadevanj za genomiko patogenov bo dosežena, ko se bodo v javnozdravstvenih in raziskovalnih postopkih souporabljali podatkovni nabori ter ko bodo ti postopki vključevali sodelovanje pri medsebojnem obveščanju in izboljšavah.

(58)

Da bi povečali učinkovitost sekundarne uporabe osebnih elektronskih zdravstvenih podatkov in v celoti izkoristili možnosti, ki jih ponuja ta uredba, bi bilo treba omogočiti, da so v evropskem zdravstvenem podatkovnem prostoru elektronski zdravstveni podatki, opisani v poglavju IV, taki, da so podatki čim bolj dostopni, visokokakovostni, pripravljeni in primerni za ustvarjanje znanstvene, inovativne in družbene vrednosti in kakovosti. Delo v zvezi z izvajanjem evropskega zdravstvenega podatkovnega prostora in nadaljnjih izboljšavah podatkovnih naborov bi bilo treba izvesti tako, da se prednostno razvrstijo podatkovni nabori, ki so najprimernejši za ustvarjanje take vrednosti in kakovosti.

(59)

Javni ali zasebni subjekti pogosto prejemajo javna sredstva iz nacionalnih skladov ali skladov Unije za zbiranje in obdelavo elektronskih zdravstvenih podatkov za raziskave, za uradno ali neuradno statistiko ali druge podobne namene, med drugim na področjih, na katerih je zbiranje takih podatkov razdrobljeno ali oteženo, kot so redke bolezni ali rak. Take podatke, ki jih imetniki zdravstvenih podatkov zbirajo in obdelujejo s podporo javnih sredstev Unije ali nacionalnih javnih sredstev, bi bilo treba dati na voljo organom za dostop do zdravstvenih podatkov, da bi čim bolj povečali učinek javnih naložb in podprli raziskave, inovacije, varnost pacientov ali oblikovanje politik v korist družbi. V nekaterih državah članicah imajo zasebni subjekti, vključno z zasebnimi izvajalci zdravstvenega varstva in strokovnimi združenji, ključno vlogo v zdravstvenem sektorju. Zdravstveni podatki, ki jih hranijo taki izvajalci, bi morali biti na voljo tudi za sekundarno uporabo. Imetniki zdravstvenih podatkov v kontekstu sekundarne uporabe bi zato morali biti subjekti, ki so izvajalci zdravstvenega varstva ali oskrbe ali izvajajo raziskave v zvezi s sektorjema zdravstvenega varstva ali oskrbe ali razvijajo proizvode ali storitve, namenjene za sektorja zdravstvenega varstva ali oskrbe. Taki subjekti so lahko javni, neprofitni ali zasebni. V skladu s to opredelitvijo bi bilo treba domove za nego, centre za dnevno varstvo, subjekte, ki zagotavljajo storitve za invalide, subjekte, ki opravljajo poslovne in tehnološke dejavnosti, povezane z oskrbo, kot so ortopedija in podjetja, ki zagotavljajo storitve oskrbe, šteti za imetnike zdravstvenih podatkov. Pravne osebe, ki razvijajo velnes aplikacije, bi tudi morale šteti za imetnike zdravstvenih podatkov. Za imetnike zdravstvenih podatkov bi bilo treba šteti tudi institucije, organe, urade ali agencije Unije, ki obdelujejo te kategorije zdravstvenih podatkov in podatkov zdravstvenega varstva, ter registre umrlih. Da bi se izognili nesorazmernemu bremenu, bi morale biti fizične osebe in mikropodjetja praviloma izvzeti iz obveznosti imetnikov zdravstvenih podatkov. Vseeno bi morale imeti države članice možnost, da v svojem nacionalnem pravu razširijo obveznosti imetnikov zdravstvenih podatkov na fizične osebe in mikropodjetja. Za zmanjšanje upravnega bremena ter ob upoštevanju načel uspešnosti in učinkovitosti bi morale imeti države članice možnost, da v nacionalnem pravu zahtevajo, da subjekti za posredovanje zdravstvenih podatkov izvajajo dolžnosti nekaterih kategorij imetnikov zdravstvenih podatkov. Taki subjekti za posredovanje zdravstvenih podatkov bi morali biti pravne osebe, ki elektronske zdravstvene podatke, ki jih zagotovijo imetniki zdravstvenih podatkov, lahko obdelujejo, jih dajo na voljo, registrirajo, zagotavljajo, omejujejo dostop do njih ali jih izmenjujejo za sekundarno uporabo. Taki subjekti za posredovanje zdravstvenih podatkov opravljajo naloge, ki so drugačne od storitev posredovanja podatkov na podlagi Uredbe (EU) 2022/868.

(60)

Elektronski zdravstveni podatki, zaščiteni s pravicami intelektualne lastnine ali poslovnimi skrivnostmi, vključno s podatki o kliničnih preskušanjih, raziskavah in študijah, so lahko zelo koristni za sekundarno uporabo in lahko spodbudijo inovacije v Uniji v korist pacientov v Uniji. Za spodbujanje nadaljnjega vodstva Unije na tem področju je pomembno spodbujati, da se podatki o kliničnih preskušanjih in kliničnih raziskavah izmenjujejo prek evropskega zdravstvenega podatkovnega prostora za sekundarno uporabo. Podatki o kliničnih preskušanjih in kliničnih raziskavah bi se morali v največji možni meri dajati na voljo, hkrati pa bi bilo treba sprejeti vse potrebne ukrepe za zaščito pravic intelektualne lastnine in poslovnih skrivnosti. Ta uredba se ne bi smela uporabljati za zmanjšanje take zaščite ali za izogibanje taki zaščiti in bi morala biti skladna z ustreznimi določbami o preglednosti iz prava Unije, vključno za podatke o kliničnih preskušanjih in kliničnih raziskavah. Organi za dostop do zdravstvenih podatkov bi morali oceniti, kako ohraniti tako zaščito in uporabnikom zdravstvenih podatkov omogočiti dostop do takih podatkov, kolikor je to mogoče. Če organ za dostop do zdravstvenih podatkov ne more zagotoviti dostopa do takih podatkov, bi moral obvestiti uporabnika zdravstvenih podatkov in pojasniti, zakaj ni mogoče zagotoviti takega dostopa. Pravni, organizacijski in tehnični ukrepi za zaščito pravic intelektualne lastnine ali poslovnih skrivnosti bi lahko vključevali skupne pogodbene ureditve dostopa do elektronskih zdravstvenih podatkov, posebne obveznosti v okviru dovoljenja za obdelavo podatkov v zvezi s takimi pravicami, predhodno obdelavo podatkov, s katero se ustvarijo izpeljani podatki, ki varujejo poslovno skrivnost, vendar so še vedno koristni za uporabnika zdravstvenih podatkov, ali zasnovo varnega okolja za obdelavo, da uporabnik zdravstvenih podatkov ne more dostopati do teh podatkov.

(61)

Sekundarna uporaba zdravstvenih podatkov v okviru evropskega zdravstvenega podatkovnega prostora bi morala javnim, zasebnim in nepridobitnim subjektom ter raziskovalcem posameznikom omogočiti dostop do zdravstvenih podatkov za raziskave, inovacije, oblikovanje politik, izobraževalne dejavnosti, varnost pacientov, regulativne dejavnosti ali personalizirano medicino v skladu z nameni iz te uredbe. Dostop do podatkov za sekundarno uporabo bi moral prispevati k splošnemu interesu družbe. Sekundarna uporaba zdravstvenih podatkov za raziskovalne in razvojne namene bi morala zlasti prispevati h koristim za družbo v obliki novih zdravil in medicinskih pripomočkov ter zdravstvenih proizvodov in storitev po dostopnih in pravičnih cenah za državljane Unije ter k izboljšanju dostopa do takšnih proizvodov in storitev ter njihove razpoložljivosti v vseh državah članicah. Dejavnosti, za katere je dostop v okviru te uredbe zakonit, bi lahko vključevale uporabo elektronskih zdravstvenih podatkov za naloge, ki jih izvajajo organi javnega sektorja, kot so izvajanje javne naloge, vključno s spremljanjem javnega zdravja, načrtovanjem in poročanjem, oblikovanjem zdravstvene politike ter zagotavljanjem varnosti pacientov, kakovosti oskrbe in vzdržnosti sistemov zdravstvenega varstva. Organi javnega sektorja in institucije, organi, uradi in agencije Unije bi lahko potrebovali reden dostop do elektronskih zdravstvenih podatkov za daljše časovno obdobje, med drugim zaradi izpolnjevanja njihovih nalog, ki jih določa ta uredba. Organi javnega sektorja bi lahko take raziskovalne dejavnosti izvajali ob pomoči tretjih oseb, vključno s podizvajalci, če organ javnega sektorja ves čas ohrani nadzor nad izvajanjem teh dejavnosti. Z zagotavljanjem podatkov bi bilo treba podpirati tudi dejavnosti, povezane z znanstvenimi raziskavami. Pojem znanstvenih raziskovalnih namenov bi bilo treba razlagati široko, vključno s tehnološkim razvojem in predstavitvami, temeljnimi raziskavami, uporabnimi raziskavami in zasebno financiranimi raziskavami. Dejavnosti, povezane z znanstvenimi raziskavami, vključujejo inovacijske dejavnosti, kot so učenje algoritmov UI, ki bi se lahko uporabile v zdravstvenem varstvu ali pri oskrbi fizičnih oseb, ter ocenjevanje in nadaljnji razvoj obstoječih algoritmov in proizvodov za take namene. Potrebno je, da evropski zdravstveni podatkovni prostor prispeva tudi k temeljnim raziskavam in, čeprav utegnejo biti njegove koristi za končne uporabnike in paciente manj neposredne, so take temeljne raziskave ključne za dolgoročne družbene koristi. V nekaterih primerih bi lahko informacije nekaterih fizičnih oseb, kot so genske informacije o fizičnih osebah z določeno boleznijo, prispevale k diagnosticiranju ali zdravljenju drugih fizičnih oseb. Organi javnega sektorja morajo preseči področje uporabe „izjemne potrebe“ iz poglavja V Uredbe (EU) 2023/2854. Vendar bi bilo treba organom za dostop podatkov dovoliti, da podpirajo organe javnega sektorja pri obdelavi ali povezovanju podatkov. Ta uredba organom javnega sektorja omogoča dostop do informacij, ki jih potrebujejo za izpolnjevanje nalog, ki so jim dodeljene s pravom, vendar ne razširja pooblastil takih organov javnega sektorja.

(62)

Prepovedati bi bilo treba vsak poskus uporabe elektronskih zdravstvenih podatkov za ukrepe, ki bi škodovali fizičnim osebam, na primer zvišanje zneska zavarovalnih premij, za dejavnosti, povezane z zaposlovanjem, pokojninami ali bančništvom, vključno s hipoteko na nepremičnine, ki bi lahko škodovale fizičnim osebam, za oglaševanje izdelkov ali zdravljenja, avtomatizirano sprejemanje posameznih odločitev, ponovno identificiranje fizičnih oseb ali razvoj škodljivih izdelkov. Ta prepoved bi veljala tudi za dejavnosti, ki so v nasprotju z določbami o etičnem ravnanju na podlagi nacionalnega prava, z izjemo določb o etičnem ravnanju, povezanih z obdelavo osebnih podatkov in določb o etičnem ravnanju, povezanih s pravico do odklonitve, ker ima ta uredba prednost pred nacionalnim pravom v skladu s splošnim načelom primarnosti prava Unije. Prepovedano bi moralo biti tudi zagotavljanje dostopa do elektronskih zdravstvenih podatkov ali vsakršno dajanje navedenih podatkov na voljo tretjim osebam, ki niso navedene v dovoljenju za obdelavo podatkov. V dovoljenju za obdelavo podatkov bi morala biti navedena identiteta pooblaščenih oseb, zlasti identiteta glavnega raziskovalca, ki bo imel na podlagi te uredbe pravico dostopa do elektronskih zdravstvenih podatkov v varnem okolju za obdelavo. Glavni raziskovalci so glavne osebe, odgovorne za zahtevo za dostop do elektronskih zdravstvenih podatkov in za obdelavo zahtevanih podatkov v varnem okolju za obdelavo v imenu uporabnika zdravstvenih podatkov.

(63)

S to uredbo se ne vzpostavlja pooblastilo za sekundarno uporabo zdravstvenih podatkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj. Med namene sekundarne uporabe zdravstvenih podatkov, ki jih zajema ta uredba, ne spadajo preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij s strani pristojnih organov. Zato se sodišča in drugi subjekti pravosodnega sistema ne bi smeli šteti za uporabnike zdravstvenih podatkov za sekundarno uporabo zdravstvenih podatkov na podlagi te uredbe. Poleg tega sodišča in drugi subjekti pravosodnega sistema ne bi smeli biti zajeti v opredelitvi imetnikov zdravstvenih podatkov in zato zanje ne bi smele veljati obveznosti imetnikov zdravstvenih podatkov na podlagi te uredbe. Poleg tega ta uredba ne vpliva na zakonsko določena pooblastila, ki jih imajo pristojni organi za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj za pridobitev elektronskih zdravstvenih podatkov. Prav tako elektronski zdravstveni podatki, ki jih hranijo sodišča za namene sodnih postopkov, ne spadajo na področje uporabe te uredbe.

(64)

Ustanovitev enega ali več organov za dostop do zdravstvenih podatkov, ki podpirajo dostop do elektronskih zdravstvenih podatkov v državah članicah, je bistvena za spodbujanje sekundarne uporabe podatkov, povezanih z zdravjem. Države članice bi zato morale ustanoviti enega ali več organov za dostop do zdravstvenih podatkov, med drugim glede na svojo ustavno, organizacijsko in upravno strukturo. Vendar bi moral biti eden od teh organov za dostop do zdravstvenih podatkov imenovan za koordinatorja, če deluje več kot en organ za dostop do zdravstvenih podatkov. Kadar država članica ustanovi več organov za dostop do zdravstvenih podatkov, bi morala na nacionalni ravni določiti pravila za zagotovitev usklajenega sodelovanja teh organov v odboru za evropski zdravstveni podatkovni prostor. Ta država članica bi morala zlasti imenovati en organ za dostop do zdravstvenih podatkov, ki bi deloval kot enotna kontaktna točka za učinkovito udeležbo teh organov ter zagotavljal hitro in nemoteno sodelovanje z drugimi organi za dostop do zdravstvenih podatkov, odborom za evropski zdravstveni podatkovni prostor in Komisijo. Organi za dostop do zdravstvenih podatkov bi se lahko razlikovali glede na organizacijo in velikost, od posebne polnopravne organizacije do enote ali oddelka v obstoječi organizaciji. Ti organi bi odločitve o dostopu do elektronskih podatkov za sekundarno uporabo morali sprejemati neodvisno in se izogibati nasprotjem interesov. Člani organov upravljanja in odločanja vsakega organa za dostop do zdravstvenih podatkov ter njihovo osebje bi se morali vzdržati vseh dejanj, ki niso združljiva z njihovimi nalogami, in ne bi smeli opravljati nobenega nezdružljivega poklica. Vendar neodvisnost organov za dostop do zdravstvenih podatkov ne bi smela pomeniti, da za njih ne morejo veljati mehanizmi nadzora ali spremljanja v zvezi z njihovimi finančnimi odhodki ali sodni nadzor. Vsakemu takemu organu bi bilo treba zagotoviti finančne, tehnične in človeške vire, prostore in infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog, vključno s tistimi, ki so povezani s sodelovanjem z drugimi organi za dostop do zdravstvenih podatkov po vsej Uniji. Člani organov upravljanja in odločanja organov za dostop do zdravstvenih podatkov ter njihovo osebje bi morali imeti potrebne kvalifikacije, izkušnje ter znanja in spretnosti. Vsak tak organ bi moral imeti ločen javni letni proračun, ki bi bil lahko del splošnega državnega ali nacionalnega proračuna. Da se omogočita boljši dostop do zdravstvenih podatkov in dopolnitev člena 7(2) Uredbe (EU) 2022/868, bi morale države članice organom za dostop do zdravstvenih podatkov podeliti pooblastila za sprejemanje odločitev o dostopu do zdravstvenih podatkov in njihovi sekundarni uporabi. To bi lahko vključevalo dodelitev novih nalog pristojnim organom, ki jih imenujejo države članice na podlagi člena 7(1) Uredbe (EU) 2022/868, ali imenovanje obstoječih ali novih sektorskih organov, odgovornih za take naloge v zvezi z dostopom do zdravstvenih podatkov.

(65)

Organi za dostop do zdravstvenih podatkov bi morali spremljati uporabo poglavja IV te uredbe in prispevati k njeni dosledni uporabi po vsej Uniji. V ta namen bi morali organi za dostop do zdravstvenih podatkov sodelovati med seboj in s Komisijo. Organi za dostop do zdravstvenih podatkov bi morali sodelovati tudi z deležniki, med drugim z organizacijami pacientov. Organi za dostop do zdravstvenih podatkov bi morali podpirati mala podjetja, ki so imetniki zdravstvenih podatkov, v skladu s Priporočilom Komisije 2003/361/ES (18), zlasti zdravnike in lekarne. Ker sekundarna uporaba zdravstvenih podatkov vključuje obdelavo osebnih podatkov v zvezi z zdravjem, se uporabljajo ustrezne določbe uredb (EU) 2016/679 in (EU) 2018/1725, nadzorni organi na podlagi navedenih uredb pa bi morali ostati edini organi, pristojni za izvajanje teh določb. Organi za dostop do zdravstvenih podatkov bi morali organe za varstvo podatkov obveščati o vseh naloženih kaznih in morebitnih vprašanjih v zvezi z obdelavo podatkov za sekundarno uporabo ter si izmenjevati vse ustrezne informacije, ki jih imajo na voljo, da se zagotovi izvrševanje ustreznih pravil. Poleg nalog, ki so potrebne za zagotovitev učinkovite sekundarne uporabe zdravstvenih podatkov, bi si moral organ za dostop do zdravstvenih podatkov prizadevati za razširitev razpoložljivosti dodatnih naborov zdravstvenih podatkov in spodbujati razvoj skupnih standardov. Uporabljati bi moral preizkušene najsodobnejše tehnike za omogočanje obdelave elektronskih zdravstvenih podatkov na način, pri katerem se ohranja zasebnost informacij, vsebovanih v podatkih, katerih sekundarna uporaba je dovoljena, vključno s tehnikami za psevdonimizacijo, anonimizacijo, posploševanje, črtanje in naključno razporeditev osebnih podatkov. Organi za dostop do zdravstvenih podatkov lahko pripravijo podatkovne nabore za uporabnika zdravstvenih podatkov, kot je zahtevano na podlagi izdanega dovoljenja za obdelavo podatkov. V zvezi s tem bi morali organi za dostop do zdravstvenih podatkov sodelovati čezmejno, da bi razvili in si izmenjevali najboljše prakse in tehnike. To vključuje pravila za psevdonimizacijo in anonimizacijo naborov mikropodatkov. Kjer je to ustrezno, bi morala Komisija z izvedbenimi akti določiti postopke in zahteve za enoten postopek psevdonimizacije in anonimizacije elektronskih zdravstvenih podatkov ter zagotoviti tehnična orodja zanj.

(66)

Organi za dostop do zdravstvenih podatkov bi morali zagotoviti, da je sekundarna uporaba pregledna s podajanjem javnih informacij o izdanih dovoljenjih za obdelavo podatkov in utemeljitvah zanje, ukrepih, sprejetih za zaščito pravic fizičnih oseb, sredstvih, s katerimi lahko fizične osebe uveljavljajo svoje pravice v zvezi s sekundarno uporabo, in rezultatih sekundarne uporabe, tudi prek povezav do znanstvenih publikacij. Te informacije o rezultatih sekundarne uporabe bi morale po potrebi vključevati tudi nestrokovni povzetek, ki ga zagotovi uporabnik zdravstvenih podatkov. Te obveznosti glede preglednosti dopolnjujejo obveznosti, določene v členu 14 Uredbe (EU) 2016/679. Veljale bi lahko izjeme iz člena 14(5) navedene uredbe. Kadar take izjeme veljajo, bi morale obveznosti glede preglednosti, določene v tej uredbi, prispevati k zagotavljanju poštene in pregledne obdelave iz člena 14(2) Uredbe (EU) 2016/679, na primer z zagotavljanjem informacij o namenu obdelovanja in kategorijah podatkov, ki se obdelujejo, kar fizičnim osebam omogoča, da vedo, ali se njihovi podatki dajejo na voljo za sekundarno uporabo na podlagi dovoljenj za obdelavo podatkov.

(67)

Fizične osebe bi morali imetniki zdravstvenih podatkov obvestiti o pomembnih ugotovitvah v zvezi z njihovim zdravjem, ki jih odkrijejo uporabniki zdravstvenih podatkov. Fizične osebe bi morale imeti pravico zahtevati, da ne prejemajo obvestil o takih ugotovitvah. Države članice bi lahko določile pogoje glede ureditev zagotavljanja takih informacij s strani imetnikov zdravstvenih podatkov zadevnim fizičnim osebam in za uveljavljanju pravice o neprejemanju obvestil. V skladu s členom 23(1), točka (i), Uredbe (EU) 2016/679 bi morale države članice imeti možnost, da omejijo obseg obveznosti obveščanja fizičnih oseb, kadar je to potrebno za njihovo zaščito na podlagi varnosti pacientov in etike, tako da obveščanje o informacijah odložijo za omejeno časovno obdobje, dokler zdravstveni delavec zadevnim fizičnim osebam ne more sporočiti in pojasniti informacij, ki bi lahko vplivale na njihovo zdravje.

(68)

Za spodbujanje preglednosti bi morali organi za dostop do zdravstvenih podatkov vsaki dve leti objaviti poročilo o dejavnostih, ki bi vsebovalo pregled njihovih dejavnosti. Kadar je država članica imenovala več kot en organ za dostop do zdravstvenih podatkov, bi moral usklajevalni organ pripraviti in objaviti skupno poročilo vsaki dve leti. Poročila o dejavnostih bi morala biti pripravljena v skladu s strukturo, dogovorjeno z Odborom za evropski zdravstveni podatkovni prostor, in bi morala vsebovati pregled dejavnosti, vključno z informacijami v zvezi z odločitvami o uporabi, revizijah in sodelovanju z ustreznimi deležniki. Med temi deležniki so lahko predstavniki fizičnih oseb, organizacij pacientov, zdravstvenih delavcev, raziskovalcev in odborov za etiko.

(69)

Da bi podpirali sekundarno uporabo, imetniki zdravstvenih podatkov ne bi smeli odreči podatkov, zahtevati neupravičenih pristojbin, ki niso pregledne ali sorazmerne s stroški dajanja podatkov na voljo ali po potrebi z mejnimi stroški zbiranja podatkov, niti ne bi smeli od uporabnikov zdravstvenih podatkov zahtevati, da soobjavijo raziskave, ali drugih praks, ki bi lahko uporabnike zdravstvenih podatkov odvrnile od tega, da zahtevajo podatke. Kadar je imetnik zdravstvenih podatkov organ javnega sektorja, ne bi smel kriti stroškov začetnega zbiranja podatkov z delom pristojbin, povezanih z njegovimi stroški. Kadar je za zagotovitev dovoljenja za obdelavo podatkov potrebna etična odobritev, bi morala ocena v zvezi z etično odobritvijo temeljiti na njegovih značilnostih.

(70)

Organom za dostop do zdravstvenih podatkov bi moralo biti dovoljeno, da v zvezi s svojimi nalogami zaračunavajo pristojbine, ob upoštevanju horizontalnih pravil iz Uredbe (EU) 2022/868. Pri takih pristojbinah bi se lahko upoštevala položaj in interes malih in srednjih podjetij (MSP), raziskovalcev posameznikov ali organov javnega sektorja. Države članice bi morale imeti možnost, da zlasti vzpostavijo ukrepe za organe za dostop do zdravstvenih podatkov v svoji jurisdikciji, ki nekaterim kategorijam uporabnikov zdravstvenih podatkov omogočajo zaračunavanje nižjih pristojbin. Organi za dostop do zdravstvenih podatkov bi morali imeti možnost, da stroške svojega delovanja krijejo s pristojbinami, določenimi na sorazmeren, utemeljen in pregleden način. To bi lahko privedlo do višjih pristojbin za nekatere uporabnike zdravstvenih podatkov, če je za obravnavo njihovih vlog za dostop do zdravstvenih podatkov in zahtevkov za zdravstvene podatke potrebno več dela. Imetniki zdravstvenih podatkov bi morali imeti možnost, da zahtevajo tudi pristojbine za dajanje podatkov na voljo, ki bi odražale njihove stroške. Organi za dostop do zdravstvenih podatkov bi morali določiti znesek takih pristojbin, ki bi lahko vključeval tudi pristojbine, ki jih zahtevajo imetniki zdravstvenih podatkov. Organ za dostop do zdravstvenih podatkov bi moral uporabniku zdravstvenih podatkov take pristojbine zaračunati na enem samem računu. Organ za dostop do zdravstvenih podatkov bi moral nato ustrezni del plačanih pristojbin prenesti imetniku zdravstvenih podatkov. Da bi Komisija zagotovila usklajen pristop v zvezi s politikami in strukturo pristojbin, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Za pristojbine, ki se zaračunavajo na podlagi te uredbe, bi se moral uporabljati člena 10 Uredbe (EU) 2023/2854.

(71)

Za okrepitev izvajanja pravil o sekundarni uporabi bi bilo treba predvideti ustrezne ukrepe, ki lahko privedejo do upravnih glob ali izvršilnih ukrepov s strani organov za dostop do zdravstvenih podatkov ali začasne ali dokončne izključitve uporabnikov ali imetnikov zdravstvenih podatkov, ki ne izpolnjujejo svojih obveznosti, iz okvira evropskega zdravstvenega podatkovnega prostora. Organi za dostop do zdravstvenih podatkov bi morali biti pooblaščeni, da preverijo skladnost uporabnikov zdravstvenih podatkov in imetnikov zdravstvenih podatkov ter jim omogočiti, da odgovorijo na morebitne ugotovitve in odpravijo morebitne kršitve. Pri odločanju o znesku upravne globe ali izvršilnemu ukrepu bi morali organi za dostop do zdravstvenih podatkov pri vsakem posameznem primeru upoštevati stroškovne marže in merila iz te uredbe ter tako zagotoviti, da so te globe ali ukrepi sorazmerni.

(72)

Glede na občutljivost elektronskih zdravstvenih podatkov je treba zmanjšati tveganja za zasebnost fizičnih oseb z uporabo načela najmanjšega obsega podatkov. Zato bi bilo treba dati na voljo neosebne elektronske zdravstvene podatke v vseh primerih, kadar zagotavljanje takih podatkov zadostuje. Če mora uporabnik zdravstvenih podatkov uporabiti osebne elektronske zdravstvene podatke, bi moral v svojem zahtevku jasno utemeljiti uporabo tovrstnih podatkov, organ za dostop do zdravstvenih podatkov pa bi moral oceniti, ali je ta utemeljitev ustrezna. Osebni elektronski zdravstveni podatki bi morali biti na voljo le v psevdonimizirani obliki. Ob upoštevanju specifičnih namenov obdelave bi bilo treba osebne elektronske zdravstvene podatke psevdonimizirati ali anonimizirati čim prej v procesu dajanja podatkov na voljo za sekundarno uporabo. Moralo bi biti mogoče, da psevdonimizacijo in anonimizacijo opravijo organi za dostop do zdravstvenih podatkov ali imetniki zdravstvenih podatkov. Kot upravljavci bi morali organi za dostop do zdravstvenih podatkov in imetniki zdravstvenih podatkov imeti možnost, da te naloge prenesejo na obdelovalce. Organ za dostop do zdravstvenih podatkov bi moral pri zagotavljanju dostopa do psevdonimiziranega ali anonimiziranega podatkovnega nabora uporabljati najsodobnejšo tehnologijo in standarde za psevdonimizacijo ali anonimizacijo ter tako v največji možni meri poskrbeti za to, da uporabniki zdravstvenih podatkov fizičnih oseb ne morejo ponovno identificirati. Tako tehnologijo in standarde za psevdonimizacijo ali anonimizacijo podatkov bi bilo treba še naprej razvijati. Uporabniki zdravstvenih podatkov ne bi smeli poskušati ponovno identificirati fizičnih oseb iz podatkovnega nabora, zagotovljenega na podlagi te uredbe, kadar bi to storili, pa bi morale zanje veljati upravne globe in izvršilni ukrepi, določeni v tej uredbi, ali morebitne kazenske sankcije, kadar je to določeno v nacionalnem pravu. Poleg tega bi lahko prosilec za dostop do zdravstvenih podatkov zahteval odgovor na zahtevek za zdravstvene podatke v anonimizirani statistični obliki. V takih primerih bo uporabnik zdravstvenih podatkov obdeloval le neosebne zdravstvene podatke, organ za dostop do zdravstvenih podatkov pa bo ostal edini upravljavec vsakršnih osebnih podatkov, potrebnih za odgovor na zahtevek za zdravstvene podatke.

(73)

Da bi zagotovili, da vsi organi za dostop do zdravstvenih podatkov izdajajo dovoljenja za obdelavo podatkov na podoben način, je treba vzpostaviti standardni skupni postopek za izdajo dovoljenj za obdelavo podatkov s podobnimi zahtevami v različnih državah članicah. Prosilec za dostop do zdravstvenih podatkov bi moral organom za dostop do zdravstvenih podatkov predložiti več elementov informacij, ki bi organu pomagali oceniti vlogo za dostop do zdravstvenih podatkov in sprejeti odločitev, ali lahko prosilec za dostop do zdravstvenih podatkov prejme dovoljenje za obdelavo podatkov, pri čemer bi bilo treba zagotoviti tudi skladnost med različnimi organi za dostop do zdravstvenih podatkov. Informacije, predložene v okviru vloge za dostop do zdravstvenih podatkov bi morale biti skladne z zahtevami, določenimi na podlagi te uredbe, kar bi omogočilo, da bi bile temeljito ocenjene, saj bi moralo biti dovoljenje za dostop do podatkov izdano le, če so izpolnjeni vsi potrebni pogoji, določeni v tej uredbi. Poleg tega bi morale te informacije, kadar je to ustrezno, vključevati izjavo prosilca za dostop do zdravstvenih podatkov, da nameravana uporaba zahtevanih zdravstvenih podatkov ne pomeni tveganja stigmatizacije ali oškodovanja dostojanstva fizičnih oseb in skupin, na katere se nanaša zahtevani podatkovni nabor. Etična ocena bi se lahko zahtevala na podlagi nacionalnega prava. V tem primeru bi moralo biti omogočeno, da obstoječi organi za etiko takšne ocene izvajajo za organe za dostop do zdravstvenih podatkov. Obstoječi organi za etiko v državah članicah bi morali v ta namen organu za dostop do zdravstvenih podatkov dati na voljo svoje strokovno znanje. Države članice bi morale imeti možnost, da namesto tega organom za etiko zagotovijo, da so del organa za dostop do zdravstvenih podatkov. Organ za dostop do zdravstvenih podatkov in po potrebi imetniki zdravstvenih podatkov bi morali uporabnikom zdravstvenih podatkov pomagati pri izbiri ustreznih podatkovnih naborov ali podatkovnih virov za predvideni namen sekundarne uporabe. Kadar prosilec za dostop do zdravstvenih podatkov potrebuje podatke v anonimizirani statistični obliki, bi moral predložiti zahtevek za zdravstvene podatke, organ za dostop do zdravstvenih podatkov pa bi moral neposredno zagotoviti rezultate. Zavrnitev dovoljenja za obdelavo podatkov s strani organa za dostop do zdravstvenih podatkov prosilcu za dostop do zdravstvenih podatkov ne bi smela preprečevati, da predloži novo vlogo za dostop do zdravstvenih podatkov. Da se zagotovi usklajen pristop med organi za dostop do zdravstvenih podatkov in omeji upravno breme za prosilce za dostop do zdravstvenih podatkov, bi morala Komisija podpreti uskladitev vlog za dostop do zdravstvenih podatkov in zahtevkov za zdravstvene podatke, tudi tako, da bi vzpostavila ustrezne predloge. V utemeljenih primerih, na primer pri kompleksnem in zamudnem zahtevku, bi organ za dostop do zdravstvenih podatkov moral imeti možnost, da podaljša rok, v katerem mu morajo imetniki zdravstvenih podatkov zahtevane elektronske zdravstvene podatke dati na voljo.

(74)

Ker so njihovi viri omejeni, bi morali organi za dostop do zdravstvenih podatkov imeti možnost, da uporabljajo pravila o prednostni razvrstitvi, na primer dajanje prednosti javnim ustanovam pred zasebnimi subjekti, vendar v okviru iste kategorije prednostnih nalog ne bi smeli razlikovati med nacionalnimi organizacijami in organizacijami iz drugih držav članic. Uporabnik zdravstvenih podatkov bi moral imeti možnost, da podaljša trajanje dovoljenja za obdelavo podatkov, da se na primer omogočita dostop pregledovalcem znanstvenih publikacij do podatkovnih naborov ali dodatna analiza podatkovnega nabora na podlagi prvotnih ugotovitev. Za to bi bila potrebna sprememba dovoljenja za obdelavo podatkov, za kar bi se lahko zaračunala dodatna pristojbina. Vendar bi moralo dovoljenje za obdelavo podatkov v vseh primerih odražati take dodatne uporabe podatkovnega nabora. Po možnosti bi jih moral uporabnik zdravstvenih podatkov navesti v svoji prvotni vlogi za dostop do zdravstvenih podatkov. Da se zagotovi usklajen pristop med organi za dostop do zdravstvenih podatkov, bi morala Komisija podpreti uskladitev dovoljenj za obdelavo podatkov.

(75)

Kot je pokazala kriza zaradi COVID-19, institucije, organi, uradi in agencije Unije, ki imajo zakonska pooblastila na področju javnega zdravja, zlasti Komisija, potrebujejo dostop do zdravstvenih podatkov za daljše obdobje in redno. To lahko velja ne le v posebnih okoliščinah, določenih v pravu Unije ali nacionalnem pravu v času krize, temveč tudi za redno zagotavljanje znanstvenih dokazov in tehnične podpore politikam Unije. Dostop do takih podatkov bi se lahko zahteval v posameznih državah članicah ali na celotnem ozemlju Unije. Take institucije, organi, uradi in agencije Unije bi morali imeti možnost, da izkoristijo pospešeni postopek in tako podatke pridobijo običajno v manj kot dveh mesecih, pri čemer se lahko v bolj zapletenih primerih ta rok podaljša za en mesec.

(76)

Države članice bi morale imeti možnost, da imenujejo zaupanja vredne imetnike zdravstvenih podatkov, za katere se postopek za izdajo dovoljenja za obdelavo podatkov lahko izvaja na poenostavljen način, da bi se zmanjšalo upravno breme organov za dostop do zdravstvenih podatkov pri upravljanju zahtevkov za podatke, ki jih obdelujejo. Zaupanja vredni imetniki zdravstvenih podatkov bi morali imeti možnost, da ocenijo vloge za dostop do zdravstvenih podatkov, predložene po tem poenostavljenem postopku, na podlagi njihovega strokovnega znanja pri obravnavi vrste zdravstvenih podatkov, ki jih obdelujejo, in izdajo priporočilo v zvezi z dovoljenjem za obdelavo podatkov. Organ za dostop do zdravstvenih podatkov bi moral biti odgovoren za izdajo dokončnega dovoljenja za obdelavo podatkov in ne bi smel biti vezan na priporočilo zaupanja vrednega imetnika zdravstvenih podatkov. Subjekti za posredovanje zdravstvenih podatkov ne bi smeli biti imenovani za zaupanja vredne imetnike zdravstvenih podatkov.

(77)

Zaradi občutljivosti elektronskih zdravstvenih podatkov uporabniki zdravstvenih podatkov ne bi smeli imeti neomejenega dostopa do takih podatkov. Vsak dostop do zahtevanih elektronskih zdravstvenih podatkov za sekundarno uporabo bi moral potekati prek varnega okolja za obdelavo. Da se zagotovijo strogi tehnični in varnostni zaščitni ukrepi za elektronske zdravstvene podatke, bi moral organ za dostop do zdravstvenih podatkov ali po potrebi zaupanja vredni imetnik zdravstvenih podatkov zagotoviti dostop do takih podatkov v varnem okolju za obdelavo, in sicer ob spoštovanju visokih tehničnih in varnostnih standardov, določenih na podlagi te uredbe. Obdelava osebnih podatkov v takem varnem okolju za obdelavo bi morala biti skladna z Uredbo (EU) 2016/679, vključno z zahtevami iz člena 28 navedene uredbe in po potrebi poglavja V Uredbe, kadar varno okolje za obdelavo upravlja tretja oseba. Tako varno okolje za obdelavo bi moralo zmanjšati tveganja za zasebnost, povezana s takimi dejavnostmi obdelave, in preprečiti neposreden prenos elektronskih zdravstvenih podatkov uporabnikom zdravstvenih podatkov. Organ za dostop do zdravstvenih podatkov ali imetnik zdravstvenih podatkov, ki zagotavlja to storitev, bi moral še naprej imeti stalen nadzor nad dostopom do elektronskih zdravstvenih podatkov, dostop, odobren uporabnikom zdravstvenih podatkov, pa bi moral biti določen s pogoji izdanega dovoljenja za obdelavo podatkov. Uporabniki zdravstvenih podatkov bi morali iz takega varnega okolja za obdelavo prenesti le neosebne elektronske zdravstvene podatke, ki ne vsebujejo osebnih elektronskih zdravstvenih podatkov. Zato je varno okolje za obdelavo bistven zaščitni ukrep, da se ohranijo pravice in svoboščine fizičnih oseb v zvezi z obdelavo njihovih elektronskih zdravstvenih podatkov za sekundarno uporabo. Komisija bi morala pomagati državam članicam pri oblikovanju skupnih varnostnih standardov za spodbujanje varnosti in interoperabilnosti različnih varnih okolij za obdelavo.

(78)

Uredba (EU) 2022/868 določa splošna pravila za upravljanje podatkovnega altruizma. Ker se v zdravstvenem sektorju upravljajo občutljivi podatki, bi bilo treba v pravilih iz navedene uredbe določiti dodatna merila. Kadar taka pravila določajo uporabo varnega okolja za obdelavo za ta sektor, bi moralo biti tako varno okolje za obdelavo v skladu z merili, določenimi v tej uredbi. Organi za dostop do zdravstvenih podatkov bi morali pri nadziranju dejavnosti organizacij za podatkovni altruizem v zdravstvenem sektorju ali sektorju oskrbe sodelovati s pristojnimi organi, imenovanimi na podlagi Uredbe (EU) 2022/868.

(79)

Za obdelavo elektronskih zdravstvenih podatkov v okviru dovoljenja za obdelavo podatkov ali zahtevka za zdravstvene podatke bi se morali imetniki zdravstvenih podatkov, vključno z zaupanja vrednimi imetniki zdravstvenih podatkov, organi za dostop do zdravstvenih podatkov in uporabniki zdravstvenih podatkov šteti za upravljavce za določen del postopka in v skladu z vlogami, ki jih v njem imajo. Imetniki zdravstvenih podatkov bi se morali šteti za upravljavce, kadar razkrivajo zahtevane osebne elektronske zdravstvene podatke organom za dostop do zdravstvenih podatkov, organi za dostop do zdravstvenih podatkov pa bi se morali šteti za upravljavce za obdelavo osebnih elektronskih zdravstvenih podatkov, kadar pripravljajo podatke in jih dajejo na voljo uporabnikom zdravstvenih podatkov. Uporabniki zdravstvenih podatkov bi se morali šteti za upravljavce za obdelavo osebnih elektronskih zdravstvenih podatkov v psevdonimizirani obliki v varnem okolju za obdelavo na podlagi njihovih dovoljenj za obdelavo podatkov. Organi za dostop do zdravstvenih podatkov bi se morali šteti za obdelovalce v imenu uporabnika zdravstvenih podatkov za obdelavo, ki jo izvaja uporabnik zdravstvenih podatkov na podlagi dovoljenja za obdelavo podatkov v varnem okolju za obdelavo, pa tudi za obdelavo z namenom odgovora na zahtevek za zdravstvene podatke. Podobno bi se morali zaupanja vredni imetniki zdravstvenih podatkov šteti za upravljavce, ko obdelujejo osebne elektronske zdravstvene podatke, povezane z zagotavljanjem elektronskih zdravstvenih podatkov uporabniku zdravstvenih podatkov na podlagi dovoljenja za obdelavo podatkov ali zahtevka za zdravstvene podatke. Zaupanja vredni imetniki zdravstvenih podatkov bi se morali šteti za obdelovalce za uporabnika zdravstvenih podatkov, kadar podatke zagotavljajo v varnem okolju za obdelavo.

(80)

Da se doseže vključujoč in trajnosten okvir za večdržavno sekundarno uporabo, bi bilo treba vzpostaviti čezmejno infrastrukturo Zdravstvenipodatki@EU (HealthData@EU). Infrastruktura Zdravstvenipodatki@EU (HealthData@EU) bi morala pospešiti sekundarno uporabo, hkrati pa povečati pravno varnost, spoštovati zasebnost fizičnih oseb in biti interoperabilna. Zaradi občutljivosti zdravstvenih podatkov bi bilo treba, kadar koli je to mogoče, spoštovati načela, kot sta „vgrajena zasebnost“ in „privzeta zasebnost“, in koncept „vprašanja pripeljati k podatkom namesto prenašati podatke“. Države članice bi morale določiti nacionalne kontaktne točke za sekundarno uporabo, ki bi bile organizacijske in tehnične vstopne točke za organe za dostop do zdravstvenih podatkov, ter te kontaktne točke povezati z infrastrukturo Zdravstvenipodatki@EU (HealthData@EU). Tudi storitev Unije za dostop do zdravstvenih podatkov bi morala biti povezana z infrastrukturo Zdravstvenipodatki@EU (HealthData@EU). Poleg tega bi lahko bili pooblaščeni udeleženci infrastrukture Zdravstvenipodatki@EU (HealthData@EU) organi za dostop do zdravstvenih podatkov, raziskovalna infrastruktura, ustanovljena kot Konzorcij evropske raziskovalne infrastrukture (ERIC) na podlagi Uredbe Sveta (ES) št. 723/2009 (19), Konzorcij evropske digitalne infrastrukture (EDIC) na podlagi Sklepa (EU) 2022/2481 ali podobne infrastrukture, ustanovljene na podlagi drugih pravnih aktov Unije, ter druge vrste subjektov, vključno z infrastrukturo v okviru Evropskega strateškega foruma za raziskovalne infrastrukture (ESFRI) ali infrastrukturo, združeno v okviru evropskega oblaka za odprto znanost. Tretje države in mednarodne organizacije bi prav tako lahko postale pooblaščene udeleženke v Zdravstvenipodatki@EU (HealthData@EU), če izpolnjujejo zahteve iz te uredbe. Sporočilo Komisije z dne 19. februarja 2020 z naslovom „Evropska strategija za podatke“ je spodbujalo povezovanje različnih skupnih evropskih podatkovnih prostorov. Zato bi morala infrastruktura Zdravstvenipodatki@EU (HealthData@EU) omogočiti sekundarno uporabo različnih kategorij elektronskih zdravstvenih podatkov, vključno s povezovanjem zdravstvenih podatkov s podatki iz drugih podatkovnih prostorov, kot so tisti, povezani z okoljem, kmetijstvom in socialnim sektorjem. Taka interoperabilnost med zdravstvenim sektorjem in drugimi sektorji, kot so okoljski, kmetijski ali socialni sektor, bi lahko bila pomembna za pridobitev dodatnega vpogleda v determinante zdravja. Komisija bi lahko v okviru infrastrukture Zdravstvenipodatki@EU (HealthData@EU) zagotavljala številne storitve, vključno s podpiranjem izmenjave informacij med organi za dostop do zdravstvenih podatkov in pooblaščenimi udeleženci v Zdravstvenipodatki@EU (HealthData@EU) za obravnavo zahtevkov za čezmejni dostop, vzdrževanjem katalogov elektronskih zdravstvenih podatkov, ki so na voljo prek infrastrukture, odkrivnostjo v omrežju in poizvedbami z metapodatki, povezljivostjo in storitvami zagotavljanja skladnosti. Komisija bi lahko na zahtevo upravljavcev vzpostavila tudi varno okolje za obdelavo, ki omogoča prenos in analizo podatkov iz različnih nacionalnih infrastruktur. Zaradi učinkovitosti informacijske tehnologije, racionalizacije in interoperabilnosti izmenjave podatkov bi bilo treba v čim večji meri ponovno uporabiti obstoječe sisteme za izmenjavo podatkov, kot so tisti, ki se vzpostavljajo za izmenjavo dokazil v okviru tehničnega sistema po načelu „samo enkrat“ iz Uredbe (EU) 2018/1724 Evropskega parlamenta in Sveta (20).

(81)

Glede na to, da bi lahko povezava z infrastrukturo Zdravstvenipodatki@EU (HealthData@EU) vključevala prenose osebnih podatkov v zvezi s prosilcem ali uporabnikom zdravstvenih podatkov v tretje države, je treba za te prenose vzpostaviti ustrezne instrumente za prenos na podlagi poglavja V Uredbe (EU) 2016/679.

(82)

V primeru čezmejnih registrov ali podatkovnih zbirk, kot so registri evropskih referenčnih mrež za redke bolezni, ki prejemajo podatke od različnih izvajalcev zdravstvenega varstva v več državah članicah, bi moral biti za zagotavljanje dostopa do podatkov odgovoren organ za dostop do zdravstvenih podatkov države članice, v kateri ima sedež koordinator registra.

(83)

Postopek odobritve za pridobitev dostopa do osebnih elektronskih zdravstvenih podatkov v različnih državah članicah je za uporabnike zdravstvenih podatkov lahko ponavljajoč se in zapleten. Kadar koli je to mogoče, bi bilo treba vzpostaviti sinergije za zmanjšanje bremena in ovir za uporabnike zdravstvenih podatkov. Eden od načinov za dosego tega cilja je upoštevanje načela ene same vloge, pri čemer lahko uporabnik zdravstvenih podatkov z eno vlogo pridobi dovoljenje več organov za dostop do zdravstvenih podatkov v več državah članicah ali pooblaščenih udeležencev v Zdravstvenipodatki@EU (HealthData@EU).

(84)

Organi za dostop do zdravstvenih podatkov bi morali zagotoviti informacije o razpoložljivih podatkovnih naborih in njihovih značilnostih, da se lahko uporabniki zdravstvenih podatkov seznanijo z osnovnimi dejstvi o podatkovnem naboru in ocenijo, ali so zanje ta dejstva morda pomembna. Zato bi moral vsak podatkovni nabor vključevati vsaj informacije o viru in naravi podatkov in pogojih za dajanje podatkov na voljo. Imetnik zdravstvenih podatkov bi moral vsaj vsako leto preveriti, ali je njegov opis podatkovnega nabora v nacionalnem katalogu podatkovnih naborov točen in posodobljen. Zato bi bilo treba vzpostaviti katalog podatkovnih naborov EU, da se olajša odkrivnost podatkovnih naborov, ki so na voljo v evropskem zdravstvenem podatkovnem prostoru; da se imetnikom zdravstvenih podatkov pomaga pri objavi njihovih podatkovnih naborov; da se vsem deležnikom, vključno s širšo javnostjo, pri čemer je treba upoštevati posebne potrebe invalidov, zagotovijo informacije o podatkovnih naborih, vključenih v evropski zdravstveni podatkovni prostor, kot so oznake kakovosti in koristnosti podatkov in informativni listi o podatkovnih naborih, ter da se uporabnikom zdravstvenih podatkov zagotovijo posodobljene informacije o kakovosti in koristnosti podatkov v zvezi s podatkovnimi nabori.

(85)

Informacije o kakovosti in koristnosti podatkovnih naborov znatno povečajo vrednost rezultatov podatkovno intenzivnih raziskav in inovacij, hkrati pa spodbujajo na dokazih temelječe regulativno odločanje in odločanje o politikah. Izboljšanje kakovosti in koristnosti podatkovnih naborov na podlagi informiranih odločitev strank ter harmonizacija povezanih zahtev na ravni Unije ob upoštevanju obstoječih standardov Unije in mednarodnih standardov, smernic in priporočil za zbiranje in izmenjavo podatkov, kot so načela FAIR, koristita tudi imetnikom zdravstvenih podatkov, zdravstvenim delavcem, fizičnim osebam in celotnemu gospodarstvu Unije. Z oznako kakovosti in koristnosti podatkov za podatkovne nabore bi se uporabniki zdravstvenih podatkov seznanili z značilnostmi glede kakovosti in koristnosti podatkovnega nabora, to bi jim tudi omogočilo, da izberejo podatkovne nabore, ki najbolje ustrezajo njihovim potrebam. Oznaka kakovosti in koristnosti podatkov ne bi smela onemogočati dostopnosti podatkovnih naborov v evropskem zdravstvenem podatkovnem prostoru, temveč bi morala zagotavljati mehanizem preglednosti med imetniki zdravstvenih podatkov in uporabniki zdravstvenih podatkov. Na primer: podatkovni nabor, ki ne izpolnjuje nobene zahteve glede kakovosti in koristnosti podatkov, bi moral imeti oznako, ki pomeni najslabšo kakovost in koristnost, še vedno pa bi moral biti na voljo. Pri razvoju okvira kakovosti in koristnosti podatkov bi bilo treba upoštevati pričakovanja, določena z okviri, vzpostavljenimi na podlagi člena 10 Uredbe (EU) 2024/1689, in ustrezno tehnično dokumentacijo iz Priloge IV k navedeni uredbi. Države članice bi morale s komunikacijskimi dejavnostmi ozaveščati o oznaki kakovosti in koristnosti podatkov. Komisija bi lahko podpirala te dejavnosti. Uporabniki bi lahko prednostno uporabljali podatkovne nabore glede na njihovo uporabnost in kakovost.

(86)

Katalog podatkovnih naborov EU bi moral čim bolj zmanjšati upravno breme za imetnike zdravstvenih podatkov in druge uporabnike podatkovnih zbirk, biti bi moral uporabniku prijazen, dostopen in stroškovno učinkovit, povezovati bi moral nacionalne kataloge podatkovnih naborov in preprečevati nepotrebno registracijo podatkovnih naborov. Brez poseganja v zahteve iz Uredbe (EU) 2022/868 bi bilo mogoče katalog podatkovnih naborov EU uskladiti s pobudo data.europa.eu. Zagotoviti bi bilo treba interoperabilnost med katalogom podatkovnih naborov EU, nacionalnimi katalogi podatkovnih naborov in katalogi podatkovnih naborov iz evropske raziskovalne infrastrukture in drugih ustreznih infrastruktur za souporabo podatkov.

(87)

V okviru sodelovanja med različnimi strokovnimi organizacijami, Komisijo in drugimi institucijami potekajo dejavnosti za določitev minimalnih podatkovnih polj in drugih značilnosti različnih podatkovnih naborov, na primer registrov. Te dejavnosti, ki so v naprednejši fazi na področjih, kot so rak, redke bolezni, srčno-žilne in metabolične bolezni, ocenjevanje dejavnikov tveganja in statistika, se upoštevajo pri opredelitvi novih standardov in za posamezne bolezni značilnih harmoniziranih predlogov za strukturirane podatkovne elemente. Vendar številni podatkovni nabori niso harmonizirani, kar povzroča težave glede primerljivosti in otežuje čezmejne raziskave. Zato bi bilo treba v izvedbenih aktih določiti podrobnejša pravila za zagotovitev usklajenega kodiranja in registracije elektronskih zdravstvenih podatkov, da bi lahko take podatke dosledno zagotavljali za sekundarno uporabo. Taki podatkovni nabori bi lahko vključevali podatke iz registrov redkih bolezni, podatkovnih zbirk o zdravilih sirotah, registrov raka in registrov zelo pomembnih nalezljivih bolezni. Države članice bi si morale prizadevati za zagotovitev, da evropski elektronski zdravstveni sistemi in storitve ter interoperabilne aplikacije prinašajo trajnostne gospodarske in družbene koristi, da bi se dosegla visoka raven zaupanja in varnosti, izboljšala neprekinjenost zdravstvenega varstva ter zagotovile dostop do varnega in visokokakovostnega zdravstvenega varstva. Obstoječe infrastrukture in registri za zdravstvene podatke lahko zagotovijo modele, ki se lahko uporabljajo za opredelitev in izvajanje standardov podatkov in interoperabilnosti ter bi jih bilo treba uporabiti za to, da se omogoči kontinuiteta ter upoštevajo obstoječe strokovno znanje in izkušnje.

(88)

Komisija bi morala podpirati države članice pri krepitvi in izboljšanju zmogljivosti in povečanju učinkovitosti na področju digitalnih zdravstvenih sistemov za primarno uporabo in sekundarno uporabo. Države članice bi bilo treba podpirati pri krepitvi njihovih zmogljivosti. Ustrezni ukrepi v zvezi s tem so dejavnosti na ravni Unije, kot sta primerjalna analiza in izmenjava primerov najboljše prakse. Te dejavnosti bi morale upoštevati specifične okoliščine različnih kategorij deležnikov, kot so predstavniki civilne družbe, raziskovalci, medicinska združenja ter MSP.

(89)

Izboljšanje digitalne zdravstvene pismenosti za fizične osebe in zdravstvene delavce je bistveno za zaupanje in varnost ter ustrezno uporabo zdravstvenih podatkov ter je zato bistveno za uspešno izvajanje te uredbe. Zdravstveni delavci se soočajo s korenitimi spremembami, povezanimi z digitalizacijo, zato jim bodo na voljo dodatna digitalna orodja v okviru izvajanja evropskega zdravstvenega podatkovnega prostora. Zdravstveni delavci morajo posledično razviti svojo digitalno zdravstveno pismenost ter digitalna znanja in spretnosti, države članice pa bi morale zdravstvenim delavcem zagotoviti dostop do tečajev digitalnega opismenjevanja, da se lahko pripravijo na delo v sistemih za vodenje elektronskih zdravstvenih zapisov. Na takšnih tečajih bi se lahko zdravstveni delavci in upravljavci informacijskih tehnologij zadostno usposobili za delo z novimi digitalnimi infrastrukturami, da bi omogočili kibernetsko varnost in etično upravljanje zdravstvenih podatkov. Usposabljanja bi bilo treba redno razvijati, pregledovati in posodabljati v posvetovanju z ustreznimi strokovnjaki in v sodelovanju z njimi. Boljša digitalna zdravstvena pismenost je osnova za opolnomočenje fizičnih oseb, da bodo imele dejanski nadzor nad svojimi zdravstvenimi podatki, dejavno upravljale svoje zdravje in oskrbo ter razumele posledice upravljanja teh podatkov za primarno uporabo in sekundarno uporabo. Različne demografske skupine imajo različne stopnje digitalne pismenosti, kar lahko vpliva na sposobnost fizičnih oseb, da uveljavljajo svoje pravice do nadzora nad svojimi elektronskimi zdravstvenimi podatki. Države članice, pa tudi regionalni in lokalni organi, bi zato morali podpirati digitalno zdravstveno pismenost in ozaveščanje javnosti, in skrbeti, da izvajanje te uredbe prispeva k zmanjšanju neenakosti in ni diskriminatorno do oseb brez digitalnih spretnosti. Posebno pozornost bi bilo treba nameniti invalidom in ranljivim skupinam, vključno z migranti in starejšimi. Države članice bi morale oblikovati ciljno usmerjene nacionalne programe za digitalno pismenost, vključno s programi za čim večjo socialno vključenost in zagotovitev, da bodo lahko vse fizične osebe učinkovito uveljavljale svoje pravice na podlagi te uredbe. Države članice bi morale zagotoviti tudi smernice za fizične osebe, kar zadeva uporabo elektronskih zdravstvenih zapisov in primarno uporabo njihovih osebnih zdravstvenih podatkov. Smernice bi morale biti prilagojene ravni pismenosti pacientov na področju digitalnega zdravja, pri čemer bi bilo treba posebno pozornost nameniti potrebam ranljivih skupin.

(90)

K doseganju ciljev evropskega zdravstvenega podatkovnega prostora bi morala prispevati tudi uporaba sredstev skladov. Javni naročniki, pristojni nacionalni organi v državah članicah, vključno z organi za digitalno zdravje in organi za dostop do zdravstvenih podatkov, ter Komisija bi se morali pri določanju pogojev za javna naročila, razpise za zbiranje predlogov in dodelitev sredstev Unije, vključno s sredstvi strukturnih in kohezijskih skladov, sklicevati na veljavne tehnične specifikacije, standarde in profile glede interoperabilnosti, varnosti in kakovosti podatkov ter na druge zahteve, oblikovane na podlagi te uredbe. Sredstva Unije morajo biti pregledno porazdeljena med države članice, ob upoštevanju različnih ravni digitalizacije zdravstvenih sistemov. Če želimo, da bi bili podatki na voljo za sekundarno uporabo, so potrebni dodatni viri za zdravstvene sisteme, še posebej javne zdravstvene sisteme. To dodatno breme bi bilo treba med fazo izvajanja evropskega zdravstvenega podatkovnega prostora obravnavati in ga čim bolj zmanjšati.

(91)

Za izvajanje evropskega zdravstvenega podatkovnega prostora so potrebni ustrezna naložba v krepitev zmogljivosti in usposabljanje ter dobro financirana prizadevanja za posvetovanje in sodelovanje z javnostjo, tako na ravni Unije kot na nacionalni ravni. Gospodarske stroške izvajanja te uredbe bo treba kriti tako na ravni Unije kot na ravni držav članic, poskrbeti pa bo treba tudi za pravično porazdelitev tega bremena med sredstvi Unije in nacionalnimi sredstvi.

(92)

Nekatere kategorije elektronskih zdravstvenih podatkov lahko ostanejo posebej občutljive, tudi če so ti podatki v anonimizirani obliki in torej niso osebni, kot je že izrecno določeno v Uredbi (EU) 2022/868. Tudi kadar se uporabljajo najsodobnejše tehnike anonimizacije, je še vedno prisotno preostalo tveganje, da bi poleg sredstev, za katera se razumno pričakuje, da se bodo uporabila, lahko obstajala zmogljivost za ponovno identifikacijo ali da bi ta postala na voljo. Tako preostalo tveganje je prisotno v zvezi z redkimi boleznimi, to je življenjsko nevarnimi ali kronično izčrpavajočimi boleznimi, ki prizadenejo največ pet od deset tisoč oseb v Uniji, pri katerih omejeno število primerov zmanjšuje možnost popolnega združevanja objavljenih podatkov, da bi se varovala zasebnost fizičnih oseb in hkrati ohranila ustrezna raven razčlenjenosti, da bi podatki ostali smiselni. Tako preostalo tveganje lahko vpliva na različne kategorije zdravstvenih podatkov in lahko vodi do ponovne identifikacije posameznikov, na katere se nanašajo osebni podatki, z uporabo sredstev, ki presegajo sredstva, za katera se razumno pričakuje, da se bodo uporabila. Tako tveganje je odvisno od ravni razčlenjenosti, od opisa značilnosti posameznikov, na katere se nanašajo osebni podatki, od števila prizadetih oseb, na primer v primeru podatkov, vključenih v elektronske zdravstvene zapise, registre bolezni, biobanke in podatke, ki jih ustvarijo posamezniki, kjer je razpon identifikacijskih značilnosti širši in od možne kombinacije z drugimi informacijami, na primer na zelo majhnih geografskih območjih, ali zaradi tehnološkega razvoja metod, ki v času anonimizacije niso bile na voljo. Taka ponovna identifikacija fizičnih oseb bi bila zelo zaskrbljujoča ter bi verjetno ogrozila sprejetje pravil o sekundarni uporabi iz te uredbe. Poleg tega so tehnike združevanja manj preizkušene za neosebne podatke, ki vsebujejo na primer poslovne skrivnosti, kot je pri poročanju o kliničnih preskušanjih in kliničnih raziskavah, ukrepanje v primeru kršitev poslovnih skrivnosti zunaj Unije pa je težje, ker ni ustreznega mednarodnega standarda varstva. Zato pri teh kategorijah zdravstvenih podatkov po anonimizaciji ali združevanju še vedno obstaja tveganje ponovne identifikacije, ki ga na začetku ni mogoče razumno zmanjšati. To spada med merila iz člena 5(13) Uredbe (EU) 2022/868. Te vrste zdravstvenih podatkov bi tako spadale v okvir pooblastil iz člena 5(13) navedene uredbe za prenos v tretje države. Posebni pogoji, določeni na podlagi pooblastila iz člena 5(13) Uredbe (EU) 2022/868, bodo podrobno opredeljeni v okviru delegiranega akta, sprejetega na podlagi tega pooblastila, in morajo biti sorazmerni s tveganjem ponovne identifikacije ter upoštevati posebnosti različnih kategorij podatkov ali različnih tehnik anonimizacije ali združevanja.

(93)

Obdelava velikih količin osebnih elektronskih zdravstvenih podatkov za namene evropskega zdravstvenega podatkovnega prostora, v okviru dejavnosti obdelave podatkov pri obravnavi vlog za dostop do zdravstvenih podatkov, dovoljenj za obdelavo podatkov in zahtevkov za zdravstvene podatke pomeni večje tveganje nepooblaščenega dostopa do takih osebnih podatkov ter možnost kibernetskih incidentov. Osebni elektronski zdravstveni podatki so še posebej občutljivi, saj pogosto vsebujejo informacije, ki morajo ostati zaupne in katerih razkritje nepooblaščenim tretjim osebam lahko povzroči veliko stisko. Ta uredba v celoti upošteva načela iz sodne prakse Sodišča Evropske unije in tako zagotavlja polno spoštovanje temeljnih pravic, pravice do zasebnosti in načela sorazmernosti. Da bi zagotovili popolno celovitost in zaupnost osebnih elektronskih zdravstvenih podatkov na podlagi te uredbe, dosegli posebej visoko raven varstva in varnosti ter zmanjšali tveganje nezakonitega dostopa do teh osebnih elektronskih zdravstvenih podatkov, ta uredba državam članicam omogoča, da zahtevajo, da se tovrstni podatki hranijo in obdelujejo izključno v Uniji za namene izvajanja nalog, določenih v tej uredbi, razen če se uporablja sklep o ustreznosti, sprejet na podlagi člena 45 Uredbe (EU) 2016/679.

(94)

Dostop do elektronskih zdravstvenih podatkov za uporabnike zdravstvenih podatkov v tretjih državah ali za mednarodne organizacije bi moral potekati samo na podlagi načela vzajemnosti. Dajanje elektronskih zdravstvenih podatkov na voljo tretji državi bi se smelo dovoliti samo, kadar Komisija z izvedbenim aktom določi, da zadevna tretja država subjektom Unije omogoča dostop do elektronskih zdravstvenih podatkov, ki izhajajo iz te tretje države, pod enakimi pogoji in z enakimi zaščitnimi ukrepi, kot bi bilo v primeru, če bi do elektronskih zdravstvenih podatkov dostopali v Uniji. Komisija bi morala spremljati in izvajati reden pregled razmer v teh tretjih državah in za mednarodne organizacije ter te izvedbene akte uvrstiti na seznam. Kadar Komisija ugotovi, da tretja država ne zagotavlja več dostopa pod enakimi pogoji, bi morala preklicati ustrezni izvedbeni akt.

(95)

Da bi se spodbujala dosledna uporaba te uredbe, vključno s čezmejno interoperabilnostjo elektronskih zdravstvenih podatkov, bi bilo treba ustanoviti odbor za evropski zdravstveni podatkovni prostor. Komisija bi morala sodelovati pri njegovih dejavnostih in mu sopredsedovati. Odbor za evropski zdravstveni podatkovni prostor bi moral imeti možnost pripraviti pisne prispevke v zvezi z dosledno uporabo te uredbe v vsej Uniji, med drugim z zagotavljanjem pomoči državam članicam pri usklajevanju uporabe elektronskih zdravstvenih podatkov za zdravstveno varstvo in certificiranje, pa tudi v zvezi s sekundarno uporabo ter financiranjem teh dejavnosti. To bi lahko vključevalo tudi izmenjavo informacij o tveganjih in incidentih v varnih okoljih za obdelavo. Izmenjava te vrste informacij ne vpliva na obveznosti na podlagi drugih pravnih aktov, kot so obvestila o kršitvah varstva podatkov na podlagi Uredbe (EU) 2016/679. Na splošno dejavnosti odbora za evropski zdravstveni podatkovni prostor ne posegajo v pooblastila nadzornih organov na podlagi Uredbe (EU) 2016/679. Glede na to, da se na nacionalni ravni organi za digitalno zdravje, ki se ukvarjajo s primarno uporabo, lahko razlikujejo od organov za dostop do zdravstvenih podatkov, ki se ukvarjajo s sekundarno uporabo, sta funkciji različni in obstaja potreba po ločenem sodelovanju na vsakem od teh področij, zato bi moral imeti odbor za evropski zdravstveni podatkovni prostor možnost, da ustanovi podskupine, ki se ukvarjajo s tema dvema funkcijama, po potrebi pa tudi druge podskupine. Da bi bila delovna metoda učinkovita, bi morali organi za digitalno zdravje in organi za dostop do zdravstvenih podatkov ne le na nacionalni ravni, temveč tudi na ravni Unije, vzpostaviti mreže in povezave z drugimi organi in institucijami. Taki organi bi lahko vključevali organe za varstvo podatkov, organe za kibernetsko varnost, elektronsko identifikacijo in standardizacijo ter organe in strokovne skupine na podlagi uredb (EU) 2022/868, (EU) 2023/2854 in (EU) 2024/1689 ter Uredbe (EU) 2019/881 Evropskega parlamenta in Sveta (21). Odbor za evropski zdravstveni podatkovni prostor bi moral delovati neodvisno, v javnem interesu in v skladu s svojim kodeksom ravnanja.

(96)

Kadar se razpravlja o vprašanjih, ki jih odbor za evropski zdravstveni podatkovni prostor šteje za pomembna, bi moral imeti možnost, da povabi opazovalce, na primer Evropskega nadzornika za varstvo podatkov, predstavnike institucij Unije, vključno z Evropskim parlamentom in drugimi deležniki.

(97)

Ustanoviti bi bilo treba forum deležnikov, ki bi odboru za evropski zdravstveni podatkovni prostor svetoval pri izpolnjevanju nalog, tako da bi mu zagotavljal prispevke deležnikov glede zadev, povezanih s to uredbo. V forumu deležnikov bi morali biti med drugim predstavniki organizacij pacientov in potrošniških organizacij, zdravstvenih delavcev, panoge, znanstvenih raziskovalcev in akademskih krogov. Biti bi moral uravnotežen in predstavljati stališča različnih ustreznih deležnikov. Zastopati bi moral komercialne in nekomercialne interese.

(98)

Za zagotovitev ustreznega vsakodnevnega upravljanja čezmejne infrastrukture za primarno uporabo in sekundarno uporabo je treba ustanoviti usmerjevalne skupine, ki jih bodo sestavljali predstavniki držav članic. Te usmerjevalne skupine bi morale sprejemati operativne odločitve o vsakodnevnem tehničnem upravljanju čezmejne infrastrukture in njenem tehničnem razvoju, vključno s tehničnimi spremembami infrastruktur, izboljšanjem funkcionalnosti ali storitev ali zagotavljanjem interoperabilnosti z drugimi infrastrukturami, digitalnimi sistemi ali podatkovnimi prostori. Njihove dejavnosti ne bi smele vključevati prispevanja k pripravi izvedbenih aktov, ki vplivajo na to infrastrukturo. Usmerjevalne skupine bi morale imeti možnost, da na svoje sestanke povabijo tudi predstavnike drugih pooblaščenih udeležencev v Zdravstvenipodatki@EU (HealthData@EU) kot opazovalce, pri izvajanju svojih nalog pa bi se morale posvetovati z ustreznimi strokovnjaki.

(99)

Brez poseganja v katero koli drugo upravno, sodno ali izvensodno pravno sredstvo bi morala imeti vsaka fizična ali pravna oseba pravico, da vloži pritožbo pri organu za digitalno zdravje ali pri organu za dostop do zdravstvenih podatkov, če meni, da so bile prizadete njene pravice ali interesi na podlagi te uredbe. Na podlagi pritožbe bi bilo treba v obsegu, ki je primeren glede na posamezni primer, izvesti preiskavo, ki je podvržena sodnemu nadzoru. Organ za digitalno zdravje ali organ za dostop do zdravstvenih podatkov bi moral fizično ali pravno osebo v razumnem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če primer zahteva nadaljnjo preiskavo ali usklajevanje z drugim organom za digitalno zdravje ali organom za dostop do zdravstvenih podatkov, bi bilo treba fizični ali pravni osebi posredovati informacije o napredku pri obravnavi pritožbe. Za lažjo vložitev pritožb bi moral vsak organ za digitalno zdravje in organ za dostop do zdravstvenih podatkov sprejeti ukrepe, dati na voljo obrazec za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, uporaba drugih komunikacijskih sredstev pa ni izključena. Kadar se pritožba nanaša na pravice fizičnih oseb v zvezi z varstvom njihovih osebnih podatkov, bi moral organ za digitalno zdravje ali organ za dostop do zdravstvenih podatkov poslati kopijo pritožbe nadzornim organom na podlagi Uredbe (EU) 2016/679. Organi za digitalno zdravje ali organi za dostop do zdravstvenih podatkov bi morali sodelovati pri obravnavi in reševanju pritožb, tudi z izmenjavo vseh ustreznih informacij po elektronski poti, brez nepotrebnega odlašanja.

(100)

Kadar fizična oseba, meni, da so bile kršene njene pravice na podlagi te uredbe, bi morala imeti pravico, da pooblasti organ, organizacijo ali združenje, ki je nepridobitne narave, ustanovljeno v skladu z nacionalnim pravom, ki ima statutarno določene cilje v javnem interesu in je dejavno na področju varstva osebnih podatkov, da v njenem imenu vloži pritožbo.

(101)

Organ za digitalno zdravje, organ za dostop do zdravstvenih podatkov, imetnik zdravstvenih podatkov ali uporabnik zdravstvenih podatkov bi morali poravnati vso škodo, ki jo fizična ali pravna oseba utrpi zaradi kršitve te uredbe. Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča Evropske unije na način, ki v celoti odraža cilje te uredbe. To ne posega v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih določb prava Unije ali nacionalnega prava. Fizične osebe bi morale prejeti popolno in učinkovito odškodnino za škodo, ki so jo utrpele.

(102)

Da bi okrepili izvrševanje pravil te uredbe, bi bilo treba poleg ustreznih ukrepov, ki jih na podlagi te uredbe naložijo organi za dostop do zdravstvenih podatkov, ali namesto njih za vsako kršitev uredbe uvesti kazni, vključno z upravnimi globami. Za naložitev sankcij, vključno z upravnimi globami, bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine Evropske unije o temeljnih pravicah, vključno z učinkovitim sodnim varstvom in ustreznim pravnim postopkom.

(103)

Primerno je opredeliti določbe, ki bodo organom za dostop do zdravstvenih podatkov omogočale uporabo upravnih glob za nekatere kršitve te uredbe, ki se bi morale na podlagi te uredbe šteti za hude kršitve, kot so ponovna identifikacija fizičnih oseb, prenos osebnih zdravstvenih elektronskih podatkov zunaj varnega okolja za obdelavo ali obdelava podatkov za prepovedano uporabo ali uporabo, ki je dovoljenje za obdelavo podatkov ne zajema. Ta uredba bi morala določiti te kršitve, zgornjo mejo in merila za določanje s tem povezanih upravnih glob, ki bi jih moral v vsakem posameznem primeru določiti pristojni organ za dostop do zdravstvenih podatkov, pri tem pa upoštevati vse zadevne okoliščine v določeni situaciji ter zlasti naravo, težo in trajanje kršitve ter njenih posledic in sprejetih ukrepov za zagotavljanje skladnosti z obveznostmi na podlagi te uredbe in za preprečitev ali ublažitev posledic kršitve. Za namene naložitve upravnih glob na podlagi te uredbe, bi se koncept podjetja moral razumeti v skladu s členoma 101 in 102 PDEU. Države članice bi morale določiti, ali bi se morale upravne globe uporabljati tudi za javne organe in v kakšnem obsegu. Naložitev upravne globe ali izdaja opozorila ne bi smela vplivati na izvrševanje drugih pooblastil organov za dostop do zdravstvenih podatkov ali drugih kazni na podlagi te uredbe.

(104)

Da se zagotovi, da evropski zdravstveni podatkovni prostor izpolnjuje svoje cilje, bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte v zvezi s spreminjanjem, dodajanjem ali odstranitvijo glavnih značilnosti prednostnih kategorij osebnih elektronskih zdravstvenih podatkov v Prilogi I, s seznamom zahtevanih podatkov, ki jih morajo vnesti proizvajalci sistemov za vodenje elektronskih zdravstvenih zapisov in velnes aplikacij v podatkovno zbirko EU za registracijo sistemov za vodenje elektronskih zdravstvenih zapisov in velnes aplikacij, ter s spreminjanjem, dodajanjem ali odstranitvijo elementov, ki jih zajema oznaka kakovosti in koristnosti podatkov. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje (22). Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet zlasti prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.

(105)

Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila v zvezi:

Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (23).

(106)

Države članice bi morale sprejeti vse ukrepe, potrebne za zagotovitev izvajanja določb iz te uredbe, ter določiti učinkovite, sorazmerne in odvračilne kazni za kršitve teh določb. Pri odločanju o znesku kazni za vsak posamezni primer bi morale države članice upoštevati omejitve in merila iz te uredbe. Ponovna identifikacija fizičnih oseb bi morala veljati za hudo kršitev te uredbe.

(107)

Izvajanje evropskega zdravstvenega podatkovnega prostora bo zahtevalo obsežno pripravljalno delo v državah članicah in osrednjih službah. Za spremljanje napredka v zvezi s tem bi morala Komisija do polne uporabe te uredbe vsako leto poročati o tem napredku, pri tem pa upoštevati informacije, ki jih predložijo države članice. Ta poročila bi lahko vključevala priporočila za popravne ukrepe in oceno doseženega napredka.

(108)

Da bi ugotovili, ali ta uredba učinkovito in uspešno dosega svoje cilje, je skladna in še vedno relevantna ter zagotavlja dodano vrednost na ravni Unije, bi morala Komisija izvesti vrednotenje te uredbe. Komisija bi morala opraviti ciljno usmerjeno vrednotenje te uredbe v osmih letih od začetka njene veljavnosti in splošno vrednotenje v desetih letih od začetka njene veljavnosti. Po vsakem vrednotenju bi morala Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij predložiti poročila o svojih glavnih ugotovitvah.

(109)

Za uspešno čezmejno izvajanje evropskega zdravstvenega podatkovnega prostora bi bilo treba evropski okvir interoperabilnosti, katerega področje uporabe je bilo posodobljeno in razširjeno s sporočilom Komisije z dne 23. marca 2017 z naslovom „Evropski okvir interoperabilnosti – strategija za izvajanje“, da bi se vključile nove ali spremenjene zahteve glede interoperabilnosti, upoštevati kot skupno referenco za zagotovitev pravne, organizacijske, semantične in tehnične interoperabilnosti.

(110)

Ker ciljev te uredbe, in sicer krepiti vlogo fizičnih oseb tako, da se jim zagotovi okrepljen nadzor nad njihovimi osebnimi elektronskimi zdravstvenimi podatki in da se podpira njihova svoboda gibanja z zagotavljanjem, da jim njihovi zdravstveni podatki sledijo, spodbujati resničen notranji trg za digitalne zdravstvene storitve in proizvode ter zagotoviti dosleden in učinkovit okvir za ponovno uporabo zdravstvenih podatkov fizičnih oseb za raziskave, inovacije, oblikovanje politik in regulativne dejavnosti, države članice ne morejo zadovoljivo doseči z usklajevalnimi ukrepi, kot je razvidno iz vrednotenja digitalnih vidikov Direktive 2011/24/EU, temveč se zaradi harmonizacije ukrepov za pravice fizičnih oseb v zvezi z njihovimi elektronskimi zdravstvenimi podatki, interoperabilnosti elektronskih zdravstvenih podatkov ter skupnega okvira in zaščitnih ukrepov za primarno uporabo in sekundarno uporabo lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(111)

Vrednotenje digitalnih vidikov Direktive 2011/24/EU kaže, da je učinkovitost mreže e-zdravje omejena, vendar kaže tudi na velik potencial za dejavnosti na ravni Unije na področju digitalnega zdravstva, kot je razvidno iz dela, opravljenega med pandemijo COVID-19. Direktivo 2011/24/EU bi bilo zato treba ustrezno spremeniti.

(112)

Ta uredba dopolnjuje bistvene zahteve glede kibernetske varnosti, določene v Uredbi (EU) 2024/2847. Sistemi elektronskih zdravstvenih zapisov, ki so izdelki z digitalnimi elementi v smislu Uredbe (EU) 2024/2847, bi zato morali izpolnjevati tudi bistvene zahteve glede kibernetske varnosti, določene v navedeni uredbi. Proizvajalci teh sistemov elektronskih zdravstvenih zapisov bi morali dokazati skladnost, kot se zahteva s to uredbo. Za olajšanje te skladnosti bi morali proizvajalci imeti možnost, da pripravijo enoten sklop tehničnih dokumentov z elementi, ki se zahtevajo z obema pravnima aktoma. Moralo bi biti mogoče dokazati skladnost sistemov za vodenje elektronskih zdravstvenih zapisov z bistvenimi zahtevami glede kibernetske varnosti iz Uredbe (EU) 2024/2847 prek okvira za ocenjevanje na podlagi te uredbe, razen za uporabo testnega okolja na podlagi te uredbe. Vendar se deli postopka ugotavljanja skladnosti na podlagi te uredbe, ki se nanašajo na uporabo testnih okolij, ne bi smeli uporabljati, saj ta testna okolja ne omogočajo ugotavljanja skladnosti z bistvenimi zahtevami glede kibernetske varnosti. Ker Uredba (EU) 2024/2847 neposredno ne zajema programske opreme kot storitve (SaaS) kot take, sistemi za vodenje elektronskih zdravstvenih zapisov, ki se ponujajo prek modela licenciranja in zagotavljanja programske opreme kot storitve, ne spadajo na področje uporabe navedene uredbe. Podobno sistemi za vodenje elektronskih zdravstvenih zapisov, ki se razvijajo in uporabljajo interno, ne spadajo na področje uporabe navedene uredbe, saj se ne dajejo na trg.

(113)

V skladu s členom 42(1) in (2) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov in Evropskim odborom za varstvo podatkov, ki sta skupno mnenje podala 12. julija 2022.

(114)

Ta uredba ne bi smela vplivati na uporabo pravil o konkurenci, zlasti členov 101 in 102 PDEU. Ukrepi iz te uredbe se ne bi smeli uporabljati za omejevanje konkurence na način, ki je v nasprotju s PDEU.

(115)

Zaradi potrebe po tehnični pripravi bi se morala ta uredba uporabljati od 26. marca 2027. Da bi podprli uspešno izvajanje evropskega zdravstvenega podatkovnega prostora in ustvarjanje učinkovitih pogojev za evropsko sodelovanje na področju zdravstvenih podatkov, bi moralo izvajanje potekati postopoma –