a także mając na uwadze, co następuje:

(1) Celem niniejszego rozporządzenia jest ustanowienie europejskiej przestrzeni danych dotyczących zdrowia (zwanej dalej "EPDZ"), aby poprawić dostęp osób fizycznych do ich elektronicznych danych osobowych dotyczących zdrowia i kontrolę nad nimi w kontekście opieki zdrowotnej), jak również dla lepszego osiągnięcia innych celów przy wykorzystaniu elektronicznych danych dotyczących zdrowia w sektorach opieki zdrowotnej i opieki, które przyniosłyby korzyści społeczeństwu, takich jak badania naukowe, innowacje, kształtowanie polityki, gotowość na zagrożenia dla zdrowia i reagowanie na nie, w tym w celu zapobiegania przyszłym pandemiom i radzenia sobie z nimi, bezpieczeństwo pacjentów, medycyna personalizowana, statystyka publiczna lub działania regulacyjne. Ponadto celem niniejszego rozporządzenia jest poprawa funkcjonowania rynku wewnętrznego poprzez ustanowienie jednolitych ram prawnych i technicznych, w szczególności w zakresie rozwoju, wprowadzania do obrotu i wykorzystywania systemów elektronicznej dokumentacji medycznej (system EDM) zgodnie z wartościami Unii. EPDZ będzie kluczowym elementem tworzenia silnej i odpornej Europejskiej Unii Zdrowotnej.

(2) Pandemia COVID-19 uwydatniła konieczność posiadania szybkiego dostępu do wysokiej jakości elektronicznych danych dotyczących zdrowia na potrzeby gotowości i reagowania na zagrożenia zdrowotne, jak również zapobiegania, diagnozowania i leczenia oraz wtórnego wykorzystywania takich elektronicznych danych dotyczących zdrowia. Taki szybki dostęp mógłby potencjalnie przyczynić się, dzięki efektywnemu nadzorowi i monitorowaniu zdrowia publicznego, do skuteczniejszego zarządzania w przypadku przyszłych pandemii, do zmniejszenia kosztów i poprawy reakcji na zagrożenia dla zdrowia, a ostatecznie mógłby pomóc uratować więcej istnień ludzkich w przyszłości. W 2020 r. Komisja w trybie pilnym dostosowała swój system zarządzania danymi klinicznymi pacjentów, ustanowiony decyzją wykonawczą Komisji (UE) 2019/1269 4 , aby umożliwić państwom członkowskim udostępnianie elektronicznych danych dotyczących zdrowia pacjentów z COVID-19 przemieszczających się między świadczeniodawcami i państwami członkowskimi w szczytowym okresie pandemii. Jednakże dostosowanie to było jedynie rozwiązaniem awaryjnym, wskazującym na potrzebę strukturalnego i spójnego podejścia na poziomie państw członkowskich i Unii zarówno w celu poprawy dostępności elektronicznych danych dotyczących zdrowia, jak i ułatwienia dostępu do tych danych w celu kierowania skutecznymi reakcjami politycznymi i przyczynienia się do wysokich standardów ochrony zdrowia ludzkiego.

(3) Efektem kryzysu związanego z COVID-19 było silne ugruntowanie prac sieci e-zdrowie, dobrowolnej sieci organów odpowiedzialnych za e-zdrowie, jako głównego filaru rozwoju aplikacji służących do ustalania kontaktów zakaźnych i aplikacji ostrzegających o kontaktach dla urządzeń mobilnych oraz technicznych aspektów unijnych cyfrowych

zaświadczeń COVID. Podkreślono także potrzebę udostępniania elektronicznych danych dotyczących zdrowia, możliwych do znalezienia, dostępnych, interoperacyjnych oraz nadających się do ponownego wykorzystania ("zasady FAIR"), oraz zapewnienia, aby elektroniczne dane dotyczące zdrowia były jak najbardziej otwarte, z zachowaniem zasady minimalizacji danych ustanowionej w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 5 . Należy zapewnić synergię między EPDZ, europejską chmurą dla otwartej nauki i europejskimi infrastrukturami badawczymi oraz wykorzystać doświadczenia płynące z rozwiązań w zakresie udostępniania danych opracowanych w ramach europejskiej platformy danych dotyczących COVID-19.

(4) Biorąc pod uwagę wrażliwość elektronicznych danych osobowych dotyczących zdrowia, niniejsze rozporządzenie ma na celu zapewnienie wystarczających zabezpieczeń zarówno na poziomie unijnym, jak i krajowym, aby zapewnić wysoki poziom ochrony, bezpieczeństwa, poufności i etycznego wykorzystywania danych. Takie zabezpieczenia są niezbędne, aby wspierać zaufanie do bezpiecznego przetwarzania elektronicznych danych dotyczących zdrowia osób fizycznych do pierwotnego wykorzystywania i wtórnego wykorzystywania w rozumieniu niniejszego rozporządzenia.

(5) Przetwarzanie elektronicznych danych osobowych dotyczących zdrowia podlega przepisom rozporządzenia (UE) 2016/679, a w przypadku instytucji, organów i jednostek organizacyjnych Unii - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 6 . W stosownych przypadkach odniesienia do przepisów rozporządzenia (UE) 2016/679 należy rozumieć również jako odniesienia do odpowiednich przepisów rozporządzenia (UE) 2018/1725 w przypadku instytucji, organów i jednostek organizacyjnych Unii.

(6) Coraz więcej mieszkańców Unii przekracza granice państwowe, aby pracować, studiować, odwiedzać krewnych lub w innych celach. Aby ułatwić wymianę danych dotyczących zdrowia oraz zgodnie z potrzebą wzmocnienia pozycji obywateli, powinni oni mieć dostęp do swoich danych dotyczących zdrowia w formacie elektronicznym, który może być uznawany i akceptowany w całej Unii. Takie elektroniczne dane osobowe dotyczące zdrowia mogłyby obejmować dane osobowe związane ze zdrowiem fizycznym lub psychicznym osoby fizycznej, w tym związane ze świadczeniem usług opieki zdrowotnej, dane osobowe ujawniające informacje na temat stanu zdrowia tej osoby fizycznej, dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej, jak również dane dotyczące czynników warunkujących zdrowie, takich jak zachowanie, wpływ środowiska i czynniki fizyczne, opieka medyczna oraz czynniki społeczne czy czynniki związane z edukacją. Elektroniczne dane dotyczące zdrowia obejmują również dane, które zostały pierwotnie zgromadzone do celów badawczych, statystycznych, oceny zagrożeń dla zdrowia, kształtowania polityki celów lub regulacyjnych i należy umożliwić ich udostępnianie zgodnie z zasadami określonymi w niniejszym rozporządzeniu. Elektroniczne dane dotyczące zdrowia obejmują wszystkie kategorie tych danych, niezależnie od tego, czy dane te są dostarczane przez osobę, której dane dotyczą, lub inne osoby fizyczne lub prawne, takie jak pracownicy służby zdrowia, czy też są przetwarzane w związku ze zdrowiem lub dobrostanem osoby fizycznej i powinny również obejmować dane wywnioskowane i wyprowadzone, takie jak dane diagnostyczne, testy i badania medyczne, a także dane zaobserwowane i zarejestrowane w sposób zautomatyzowany.

(7) W systemach opieki zdrowotnej elektroniczne dane osobowe dotyczące zdrowia zwykle gromadzi się w elektronicznej dokumentacji medycznej, która zazwyczaj zawiera historię przebytych chorób danej osoby fizycznej, diagnozy i leczenie, leki, alergie i szczepienia, a także obrazy radiologiczne i wyniki badań laboratoryjnych, przekazywane między różnymi podmiotami systemu opieki zdrowotnej takimi jak lekarze podstawowej opieki zdrowotnej, szpitale, apteki czy ośrodki opieki. Aby umożliwić dostęp do tych elektronicznych danych dotyczących zdrowia, ich udostępnianie i zmianę przez osoby fizyczne lub pracowników służby zdrowia, niektóre państwa członkowskie wdrożyły niezbędne środki prawne i techniczne oraz utworzyły scentralizowaną infrastrukturę łączącą systemy EDM wykorzystywane przez świadczeniodawców i osoby fizyczne. Niektóre państwa członkowskie wspierają również publicznych i prywatnych świadczeniodawców w tworzeniu przestrzeni elektronicznych danych osobowych dotyczących zdrowia, aby umożliwić interoperacyjność między różnymi świadczeniodawcami. Kilka państw członkowskich wspiera lub zapewnia również usługi dostępu do elektronicznych danych dotyczących zdrowia dla pacjentów i pracowników służby zdrowia na przykład za pośrednictwem portali dla pacjentów lub pracowników służby zdrowia. Te państwa członkowskie wdrożyły także środki w celu zagwarantowania, aby w ramach systemów EDM lub aplikacji wspierających dobrostan można było przekazywać elektroniczne dane dotyczące zdrowia, korzystając z centralnego systemu EDM, na przykład poprzez zapewnienie systemu certyfikacji. Nie wszystkie państwa członkowskie wprowadziły jednak takie systemy, a państwa członkowskie, które je wdrożyły, zrobiły to w sposób fragmentaryczny. Aby ułatwić swobodny przepływ

elektronicznych danych osobowych dotyczących zdrowia w całej Unii i uniknąć negatywnych konsekwencji dla pacjentów korzystających z opieki zdrowotnej w kontekście transgranicznym, konieczne jest podjęcie przez Unię działań w celu zapewnienia osobom fizycznym lepszego dostępu do ich własnych elektronicznych danych osobowych dotyczących zdrowia oraz umożliwienia im udostępniania tych danych. W tym względzie należy podjąć odpowiednie działania na poziomie unijnym i krajowym, aby zmniejszyć rozdrobnienie, heterogeniczność i podziały oraz stworzyć system, który jest przyjazny dla użytkownika i intuicyjny we wszystkich państwach członkowskich. Transformacja cyfrowa w sektorze opieki zdrowotnej powinna dążyć do inkluzywności oraz przynosić korzyści również osobom fizycznym o ograniczonych możliwościach dostępu do usług cyfrowych i korzystania z nich, w tym osobom z niepełnosprawnościami.

(8) W rozporządzeniu (UE) 2016/679 określono przepisy szczegółowe dotyczące praw osób fizycznych w związku z przetwarzaniem ich danych osobowych. EPDZ opiera się na tych prawach i uzupełnia niektóre z nich w odniesieniu do elektronicznych danych osobowych dotyczących zdrowia. Prawa te mają zastosowanie niezależnie od państwa członkowskiego, w którym przetwarza się elektroniczne dane osobowe dotyczące zdrowia, rodzaju świadczeniodawcy, źródeł tych danych lub państwa członkowskiego ubezpieczenia osoby fizycznej. Prawa i zasady związane z pierwotnym wykorzystywaniem elektronicznych danych osobowych dotyczących zdrowia na podstawie niniejszego rozporządzenia odnoszą się do wszystkich kategorii tych danych, niezależnie od tego, w jaki sposób zostały one zgromadzone lub kto je dostarczył, od podstawy prawnej przetwarzania na podstawie rozporządzenia (UE) 2016/679 ani od statusu administratora jako organizacji publicznej lub prywatnej. Dodatkowe prawa dostępu do elektronicznych danych osobowych dotyczących zdrowia ustanowione w niniejszym rozporządzeniu i możliwości ich przenoszenia nie powinny naruszać praw dostępu i przenoszenia ustanowionych na mocy rozporządzenia (UE) 2016/679. Prawa te nadal przysługują osobom fizycznym na warunkach określonych w tym rozporządzeniu.

(9) O ile prawa przyznane na mocy rozporządzenia (UE) 2016/679 powinny nadal mieć zastosowanie, prawo dostępu do danych przez osobę fizyczną, ustanowione w rozporządzeniu (UE) 2016/679 należy uzupełnić w sektorze opieki zdrowotnej. Zgodnie z tym rozporządzeniem administratorzy nie muszą zapewniać dostępu natychmiastowo. W wielu miejscach prawo dostępu do danych dotyczących zdrowia nadal powszechnie realizuje się przez dostarczanie danych dotyczących zdrowia będących przedmiotem wniosku w formacie papierowym lub w postaci zeskanowanych dokumentów, co jest czasochłonne dla administratora danych, takiego jak szpital lub inny świadczeniodawca zapewniający dostęp. Taka sytuacja spowalnia dostęp osób fizycznych do danych dotyczących zdrowia i może mieć negatywny wpływ na osoby fizyczne, w przypadku gdy potrzebują one takiego dostępu natychmiast ze względu na pilne okoliczności mające związek ze stanem ich zdrowia. Z tego względu konieczne jest zapewnienie osobom fizycznym skuteczniejszego dostępu do ich własnych elektronicznych danych osobowych dotyczących zdrowia. Osoby fizyczne powinny mieć prawo do bezpłatnego i natychmiastowego dostępu, z zachowaniem wykonalności technologicznej, do określonych priorytetowych kategorii elektronicznych danych osobowych dotyczących zdrowia, takich jak skrócona karta zdrowia pacjenta, za pośrednictwem usługi dostępu do elektronicznych danych dotyczących zdrowia. Prawo to powinno mieć zastosowanie niezależnie od państwa członkowskiego, w którym przetwarza się elektroniczne dane osobowe dotyczące zdrowia, rodzaju świadczeniodawcy, źródeł tych danych lub państwa członkowskiego ubezpieczenia danej osoby fizycznej. Zakres tego uzupełniającego prawa ustanowionego na mocy niniejszego rozporządzenia oraz warunki korzystania z niego różnią się pod pewnymi względami od prawa dostępu do danych osobowych przewidzianego w rozporządzeniu (UE) 2016/679, które obejmuje wszystkie dane osobowe przechowywane przez administratora i przysługuje wobec indywidualnego administratora, który ma maksymalnie miesiąc na udzielenie odpowiedzi na wniosek. Prawo dostępu do elektronicznych danych osobowych dotyczących zdrowia na podstawie niniejszego rozporządzenia powinno być ograniczone do kategorii danych objętych jego zakresem, powinno być wykonywane za pośrednictwem usługi dostępu do elektronicznych danych dotyczących zdrowia oraz zapewniać natychmiastową odpowiedź. Prawa wynikające z rozporządzenia (UE) 2016/679 powinny nadal mieć zastosowanie, tak aby umożliwiać osobom fizycznym korzystanie z praw wynikających z obu aktów prawnych, w szczególności prawo do uzyskania papierowej kopii elektronicznych danych dotyczących zdrowia.

(10) Należy wziąć pod uwagę, że natychmiastowy dostęp osób fizycznych do niektórych kategorii ich elektronicznych danych osobowych dotyczących zdrowia może mieć negatywny wpływ na bezpieczeństwo tych osób fizycznych lub być nieetyczny. Na przykład nieetyczne mogłoby być poinformowanie pacjenta za pośrednictwem kanału elektronicznego o zdiagnozowaniu u niego nieuleczalnej, najprawdopodobniej śmiertelnej, choroby, zamiast przekazania tej informacji najpierw podczas konsultacji z pacjentem. Dlatego w takich sytuacjach powinna istnieć możliwość opóźnienia udostępnienia elektronicznych danych osobowych dotyczących zdrowia przez określony czas, na przykład do momentu wyjaśnienia sytuacji pacjentowi przez pracownika służby zdrowia. Państwa członkowskie powinny móc ustanowić taki wyjątek, o ile stanowi on środek niezbędny i proporcjonalny w społeczeństwie demokratycznym, zgodnie z ograniczeniami określonymi w art. 23 rozporządzenia (UE) 2016/679.

(11) Niniejsze rozporządzenie nie ma wpływu na kompetencje państw członkowskich w zakresie wstępnej rejestracji elektronicznych danych osobowych dotyczących zdrowia, takie jak uzależnianie rejestracji danych genetycznych od zgody osoby fizycznej lub innych zabezpieczeń. Państwa członkowskie mogą wymagać, aby dane były udostępniane w formacie elektronicznym przed rozpoczęciem stosowania niniejszego rozporządzenia. Nie narusza to obowiązku udostępniania w formacie elektronicznym danych osobowych dotyczących zdrowia zarejestrowanych po dniu rozpoczęcia stosowania niniejszego rozporządzenia.

(12) W celu uzupełniania dostępnych informacji, osoby fizyczne powinny mieć możliwość dodawania elektronicznych danych dotyczących zdrowia do swojej EDM lub przechowywania dodatkowych informacji w oddzielnej osobistej dokumentacji medycznej, do której dostęp mają pracownicy służby zdrowia. Informacje wprowadzane przez osoby fizyczne mogą nie być tak wiarygodne jak elektroniczne dane dotyczące zdrowia wprowadzane i weryfikowane przez pracowników służby zdrowia, ani nie mają takiej samej wartości klinicznej lub prawnej jak informacje przekazane przez pracownika służby zdrowia. W związku z tym informacje dodane przez osoby fizyczne do ich elektronicznej dokumentacji medycznej należy wyraźnie odróżnić od danych dostarczanych przez pracowników służby zdrowia. Możliwość dodawania i uzupełniania elektronicznych danych osobowych dotyczących zdrowia przez osoby fizyczne nie powinna uprawniać ich do zmiany elektronicznych danych osobowych dotyczących zdrowia przekazywanych przez pracowników służby zdrowia.

(13) Umożliwienie osobom fizycznym łatwiejszego i szybszego dostępu do ich elektronicznych danych osobowych dotyczących zdrowia dodatkowo umożliwi im dostrzeżenie ewentualnych błędów, takich jak nieprawidłowe informacje lub nieprawidłowo przypisana dokumentacja medyczna. W takich przypadkach osoby fizyczne powinny mieć możliwość złożenia elektronicznego wniosku o sprostowanie nieprawidłowych elektronicznych danych osobowych dotyczących zdrowia, niezwłocznie i bezpłatnie, za pośrednictwem usługi dostępu do elektronicznych danych dotyczących zdrowia. Takie wnioski o sprostowanie danych powinni następnie rozpatrywać właściwi administratorzy zgodnie z rozporządzeniem (UE) 2016/679, w razie potrzeby z udziałem pracowników służby zdrowia o odpowiedniej specjalizacji, odpowiedzialnych za leczenie danej osoby fizycznej.

(14) Zgodnie z rozporządzeniem (UE) 2016/679 prawo do przenoszenia danych jest ograniczone do danych przetwarzanych na podstawie zgody lub umowy i przekazanych administratorowi przez osobę, której dane dotyczą. Ponadto, zgodnie z tym rozporządzeniem, osoba fizyczna ma prawo do spowodowania, by dane osobowe zostały przekazane przez jednego administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. W rozporządzeniu (UE) 2016/679 nie nakłada się jednak obowiązku zapewnienia technicznej możliwości takiego bezpośredniego przekazywania danych. Prawo do przenoszenia danych należy uzupełnić na mocy niniejszego rozporządzenia, tak aby umożliwić osobom fizycznym udostępnienie wybranym przez siebie pracownikom służby zdrowia dostępu co najmniej do priorytetowych kategorii swoich elektronicznych danych osobowych dotyczących zdrowia, do wymiany takich danych z pracownikami służby zdrowia oraz do pobierania takich danych dotyczących zdrowia. Ponadto osoby fizyczne powinny mieć prawo zwrócenia się do świadczeniodawcy o przekazanie części ich elektronicznych danych dotyczących zdrowia wyraźnie określonemu odbiorcy w sektorze usług zabezpieczenia społecznego lub zwrotu kosztów. Takie przekazanie danych powinno następować tylko w jedną stronę.

(15) Ramy określone w niniejszym rozporządzeniu powinny opierać się na prawie do przenoszenia danych ustanowionym w rozporządzeniu (UE) 2016/679 przez zapewnienie osobom fizycznym jako osobom, których dane dotyczą, możliwości przekazywania ich elektronicznych danych osobowych dotyczących zdrowia, w tym danych wywnioskowanych, w europejskim formacie wymiany elektronicznej dokumentacji medycznej, niezależnie od podstawy prawnej przetwarzania elektronicznych danych dotyczących zdrowia. Pracownicy służby zdrowia powinni powstrzymać się od utrudniania osobom fizycznym korzystania z przysługujących im praw, na przykład poprzez odmowę uwzględniania elektronicznych danych osobowych dotyczących zdrowia pochodzących z innego państwa członkowskiego i dostarczonych w interoperacyjnym wiarygodnym europejskim formacie wymiany elektronicznej dokumentacji medycznej.

(16) Dostęp świadczeniodawców lub innych osób do elektronicznej dokumentacji medycznej powinien być przejrzysty dla zainteresowanych osób fizycznych. Usługi dostępu do elektronicznych danych dotyczących zdrowia powinny dostarczać szczegółowych informacji o dostępie do danych, np. o tym, kiedy i jaki podmiot lub osoba fizyczna uzyskały dostęp do danych i do których danych taki dostęp uzyskano. Osoby fizyczne powinny mieć również możliwość włączenia lub wyłączenia automatycznych powiadomień o dostępie do elektronicznych danych osobowych dotyczących ich zdrowia za pośrednictwem usług dostępu dla pracowników służby zdrowia

(17) Osoby fizyczne mogą nie chcieć zezwalać na dostęp do niektórych części swoich elektronicznych danych osobowych dotyczących zdrowia, jednocześnie umożliwiając dostęp do innych części. Może to być szczególnie istotne w przypadku problemów zdrowotnych o szczególnie poufnym charakterze, takich jak problemy związane ze zdrowiem psychicznym lub seksualnym, procedur o szczególnie poufnym charakterze, takich jak aborcja, czy też w przypadku danych dotyczących konkretnych leków, które mogłyby ujawnić inne wrażliwe kwestie. Należy zatem wspierać takie selektywne udostępnianie i wdrażanie elektronicznych danych osobowych dotyczących zdrowia za pomocą ograniczeń określonych przez daną osobę fizyczną tak samo na terytorium danego państwa członkowskiego oraz w odniesieniu do transgranicznej wymiany danych. Ograniczenia te powinny umożliwiać wystarczającą szczegółowość, aby ograniczyć części zbiorów danych, takie jak elementy skróconych kart zdrowia pacjenta. Przed określeniem takich ograniczeń osoby fizyczne powinny zostać poinformowane o zagrożeniach dla bezpieczeństwa pacjenta związanych z ograniczeniem dostępu do danych dotyczących zdrowia. Ponieważ niedostępność objętych ograniczeniem elektronicznych danych osobowych dotyczących zdrowia może mieć wpływ na świadczenie lub jakość usług zdrowotnych udzielanych osobie fizycznej, osoba fizyczna korzystająca z takich ograniczeń w dostępie powinna przyjąć odpowiedzialność za fakt, że świadczeniodawca nie może uwzględnić tych danych przy świadczeniu usług zdrowotnych. Ograniczenia w dostępie do elektronicznych danych osobowych mogą jednak mieć konsekwencje zagrażające życiu; dlatego - aby chronić żywotne interesy w sytuacjach nadzwyczajnych - należy umożliwić w odpowiednich przypadkach dostęp do tych danych osobowych. Państwa członkowskie mogłoby ustanowić w swym prawie krajowym bardziej szczegółowe przepisy prawne dotyczące mechanizmów ograniczeń nakładanych przez osobę fizyczną na części jej elektronicznych danych osobowych dotyczących zdrowia, w szczególności w odniesieniu do odpowiedzialności medycznej w przypadku nałożenia ograniczeń przez zainteresowaną osobę fizyczną.

(18) Ponadto, ze względu na różny stopień poufności w państwach członkowskich w odniesieniu do kontroli pacjentów nad danymi dotyczącymi ich zdrowia, państwa członkowskie powinny mieć możliwość ustanowienia bezwzględnego prawa do wyłączenia z dostępu do swych elektronicznych danych osobowych dotyczących zdrowia przez każdą osobę z wyjątkiem pierwotnego administratora, bez możliwości pominięcia tego prawa w sytuacjach nadzwyczajnych. W takich przypadkach państwa członkowskie powinny ustanowić przepisy i szczególne zabezpieczenia dotyczące takich mechanizmów wyłączenia. Takie przepisy i szczególne zabezpieczenia mogą również odnosić się do określonych kategorii elektronicznych danych osobowych dotyczących zdrowia, na przykład do danych genetycznych. Prawo do wyłączenia oznacza, że elektroniczne dane osobowe dotyczące zdrowia osoby fizycznej, która z nich korzystała, nie byłyby udostępniane za pośrednictwem usług ustanowionych w ramach EPDZ poza świadczeniodawcą, który świadczył leczenie. Państwa członkowskie powinny mieć możliwość wymagania rejestracji i przechowywania elektronicznych danych osobowych dotyczących zdrowia w systemie EDM wykorzystywanym przez świadczeniodawcę, który świadczył usługi zdrowotne i. Jeżeli osoba fizyczna skorzystała z prawa do wyłączenia danych, świadczeniodawcy będą nadal dokumentować leczenie prowadzone zgodnie z obowiązującymi przepisami i będą mieli dostęp do zarejestrowanych przez siebie danych. Osoby fizyczne, które skorzystały z prawa do wyłączenia danych, powinny mieć możliwość zmiany decyzji. W takim przypadku elektroniczne dane osobowe dotyczące zdrowia wygenerowane w okresie obowiązywania wyłączenia mogą nie być dostępne za pośrednictwem usług dostępu i infrastruktury MojeZdrowie@UE.

(19) Terminowy i pełny dostęp pracowników służby zdrowia do dokumentacji medycznej pacjentów ma zasadnicze znaczenie dla zapewnienia ciągłości opieki, uniknięcia powielania i błędów oraz zmniejszenia kosztów. Z powodu braku interoperacyjności w wielu przypadkach pracownicy służby zdrowia nie mają jednak dostępu do pełnej dokumentacji medycznej swoich pacjentów i nie mogą podejmować optymalnych decyzji medycznych dotyczących ich diagnozowania i leczenia, co powoduje znaczne koszty zarówno dla systemów ochrony zdrowia, jak i dla osób fizycznych, oraz może prowadzić do gorszych efektów zdrowotnych u osób fizycznych. Elektroniczne dane dotyczące zdrowia udostępniane w interoperacyjnym formacie, które mogą być przekazywane między świadczeniodawcami, mogą również zmniejszyć obciążenie administracyjne pracowników służby zdrowia związane z ręcznym wprowadzaniem lub kopiowaniem danych dotyczących zdrowia między systemami elektronicznymi. Dlatego pracownikom służby zdrowia należy zapewnić odpowiednie środki elektroniczne, takie jak urządzenia elektroniczne oraz portale dla pracowników służby zdrowia lub inne usługi dostępu dla pracowników służby zdrowia, aby mogli oni wykorzystywać elektroniczne dane osobowe dotyczące zdrowia do wykonywania swoich obowiązków. Ponieważ trudno jest z góry wyczerpująco określić, które z istniejących danych w kategoriach priorytetowych są istotne z medycznego punktu widzenia dla pojedynczego świadczenia opieki zdrowotnej, pracownicy służby zdrowia powinni mieć do nich szeroki dostęp do danych. Uzyskując dostęp do danych dotyczących swoich pacjentów, pracownicy służby zdrowia powinni przestrzegać obowiązujących przepisów prawa, kodeksów postępowania, wytycznych deontologicznych lub innych przepisów, które regulują etyczne postępowanie w odniesieniu do wymiany informacji lub dostępu do nich, w szczególności w sytuacjach zagrażających życiu lub w sytuacjach ekstremalnych. Zgodnie z rozporządzeniem (UE) 2016/679, aby ograniczyć dostęp do danych, które są istotne dla danego świadczenia opieki zdrowotnej, świadczeniodawcy powinni przestrzegać zasady minimalizacji danych podczas uzyskiwania dostępu do elektronicznych danych osobowych dotyczących zdrowia, ograniczając dostęp do tych danych, które są absolutnie niezbędne i uzasadnione dla danej usługi. Świadczenie usług dostępu dla pracowników służby zdrowia jest zadaniem leżącym w interesie publicznym i określonym w niniejszym rozporządzeniu a wykonywanie tego świadczenia wymaga przetwarzania danych osobowych, o którym mowa w art. 6 ust. 1 lit. e) rozporządzenia (UE) 2016/679. Niniejsze rozporządzenie określa warunki i zabezpieczenia dotyczące przetwarzania elektronicznych danych dotyczących zdrowia w ramach usługi dostępu dla pracowników służby zdrowia zgodnie z art. 9 ust. 2 lit. h) rozporządzenia (UE) 2016/679, takie jak szczegółowe przepisy dotyczące rejestrowania dostępu do elektronicznych danych osobowych dotyczących zdrowia i w tym celu zapewnienia przejrzystości wobec osób, których dane dotyczą. Niniejsze rozporządzenie nie powinno jednak naruszać przepisów krajowych dotyczących przetwarzania danych dotyczących zdrowia do celów świadczenia opieki zdrowotnej, w tym przepisów krajowych ustanawiających kategorie pracowników służby zdrowia, którzy mogą przetwarzać różne kategorie elektronicznych danych dotyczących zdrowia.

(20) Aby ułatwić korzystanie z uzupełniających praw dostępu i przenoszenia ustanowionych na mocy niniejszego rozporządzenia, państwa członkowskie powinny przewidzieć co najmniej jedną usługę dostępu do elektronicznych danych dotyczących zdrowia. Usługi te mogą być świadczone, na poziomie krajowym, regionalnym lub lokalnym, lub przez świadczeniodawców, w formie internetowego portalu dla pacjentów, za pośrednictwem aplikacji na urządzenia mobilne lub innych środków. Należy je zaprojektować tak, aby były dostępne w szczególności dla osób z niepełnosprawnościami. Zapewnienie usługi umożliwiającej osobom fizycznym łatwy dostęp do ich elektronicznych danych osobowych dotyczących zdrowia stanowi ważny interes publiczny. Przetwarzanie elektronicznych danych osobowych dotyczących zdrowia w ramach tych usług jest niezbędne do wykonania zadania powierzonego na mocy niniejszego rozporządzenia w rozumieniu art. 6 ust. 1 lit. e) i art. 9 ust. 2 lit. g) rozporządzenia (UE) 2016/679. Niniejsze rozporządzenie określa niezbędne warunki i zabezpieczenia dotyczące przetwarzania elektronicznych danych dotyczących zdrowia w ramach usług dostępu do elektronicznych danych dotyczących zdrowia, takich jak elektroniczna identyfikacja osób fizycznych korzystających z takich usług.

(21) Osoby fizyczne powinny mieć możliwość upoważnienia innych wybranych przez siebie osób fizycznych, takich jak krewni lub inne bliskie osoby fizyczne, umożliwiając tym osobom dostęp do swoich elektronicznych danych osobowych dotyczących zdrowia lub kontroli dostępu do tych danych lub do korzystania w imieniu osób udzielających upoważnienia z cyfrowych usług zdrowotnych. Takie upoważnienia mogą być również przydatne ze względów praktycznych w innych celach dla osób fizycznych, które otrzymały takie upoważnienie. W celu umożliwienia i wykonania tych upoważnień państwa członkowskie powinny ustanowić usługi pełnomocnictwa, które powinny być powiązane z usługami dostępu do elektronicznych danych osobowych dotyczących zdrowia, takimi jak portale czy aplikacje dla pacjentów na urządzenia mobilne Usługi pełnomocnictwa powinny również umożliwiać opiekunom prawnym występowanie w imieniu osób pozostających pod ich opieką, w tym małoletnich; w takich sytuacjach upoważnienia mogłyby być wydawane automatycznie. Oprócz tych usług pełnomocnictwa państwa członkowskie powinny również tworzyć łatwo dostępne usługi wsparcia, świadczone przez odpowiednio przeszkolony personel pomagający osobom fizycznym w korzystaniu z przysługujących im praw. W celu uwzględnienia przypadków, w których udostępnienie opiekunom prawnym niektórych elektronicznych danych osobowych dotyczących zdrowia osób pozostających pod ich opieką mogłoby być sprzeczne z dobrem lub wolą tych osób, w tym małoletnich, państwa członkowskie powinny mieć możliwość wprowadzenia w prawie krajowym odnośnych ograniczeń i zabezpieczeń, a także mechanizmów ich technicznego wdrożenia. Usługi dostępu do elektronicznych danych osobowych dotyczących zdrowia, takie jak portale dla pacjentów lub aplikacje dla pacjentów na urządzenia mobilne, powinny zapewniać możliwość korzystania z takich upoważnień, a tym samym umożliwiać upoważnionym osobom fizycznym dostęp do elektronicznych danych osobowych dotyczących zdrowia, które są objęte zakresem upoważnienia. Aby zapewnić bardziej przyjazne dla użytkownika rozwiązanie horyzontalne, cyfrowe rozwiązania dotyczące pełnomocnictwa należy dostosować do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 7  oraz do specyfikacji technicznych europejskiego portfela tożsamości cyfrowej. Dostosowanie to przyczyni się do zmniejszenia obciążeń administracyjnych i finansowych dla państw członkowskich dzięki zmniejszeniu ryzyka powstania równoległych systemów, które nie są interoperacyjne w całej Unii.

(22) W niektórych państwach członkowskich opiekę zdrowotną świadczą zespoły zarządzające podstawową opieką zdrowotną będące grupami pracowników służby zdrowia skupionymi na podstawowej opiece zdrowotnej, tj. lekarze podstawowej opieki zdrowotnej, którzy świadczą usługi podstawowej opieki zdrowotnej na podstawie opracowanego przez siebie planu takiej opieki. Ponadto w kilku państwach członkowskich istnieją inne rodzaje zespołów medycznych, które zajmują się innymi rodzajami opieki zdrowotnej. W kontekście pierwotnego wykorzystywania danych dotyczących zdrowia w EPDZ, dostęp do danych należy zapewnić pracownikom służby zdrowia należącym do takich zespołów.

(23) Organy nadzorcze ustanowione na podstawie rozporządzenia (UE) 2016/679 są właściwe do monitorowania i do egzekwowania stosowania tego rozporządzenia, w szczególności do monitorowania przetwarzania elektronicznych danych osobowych dotyczących zdrowia oraz do rozpatrywania wszelkich skarg złożonych przez zainteresowane osoby fizyczne. Niniejsze rozporządzenie ustanawia dodatkowe prawa dla osób fizycznych w ramach pierwotnego wykorzystywania danych które wykraczają one poza prawa dostępu i przenoszenia przewidziane w rozporządzeniu (UE) 2016/679 i uzupełniają je. Ponieważ organy nadzorcze ustanowione na podstawie rozporządzenia (UE) 2016/679 powinny się również zajmować egzekwowaniem tych dodatkowych praw, państwa członkowskie powinny zapewnić, aby każdy organ nadzorczy dysponował zasobami finansowymi i kadrowymi, pomieszczeniami i infrastrukturą niezbędnymi do skutecznego wypełniania tego dodatkowego zadania. Organ nadzorczy lub organy nadzorcze odpowiedzialne za monitorowanie i egzekwowanie przetwarzania elektronicznych danych osobowych dotyczących zdrowia do pierwotnego wykorzystywania zgodnie z rozporządzeniem powinny być właściwe do nakładania administracyjnych kar pieniężnych. System prawny Danii nie przewiduje administracyjnych kar pieniężnych określonych w niniejszym rozporządzeniu. Przepisy dotyczące administracyjnych kar pieniężnych można stosować tak, że w Danii właściwy sąd krajowy będzie nakładać karę pieniężną, jako sankcję karną, pod warunkiem że takie stosowanie przepisów będzie mieć skutek równoważny administracyjnej karze pieniężnej nakładanej przez organy nadzorcze. Nakładane kary pieniężne muszą być w każdym przypadku skuteczne, proporcjonalne i odstraszające.

(24) Państwa członkowskie powinny dążyć do przestrzegania zasad etycznych, takich jak europejskie zasady etyczne dotyczące e-zdrowia przyjęte przez sieć e-zdrowie 26 stycznia 2022 r. oraz zasada poufności pomiędzy pracownikiem służby zdrowia a pacjentem w stosowaniu niniejszego rozporządzenia. Uznając znaczenie tych zasad etycznych europejskie zasady etyczne dotyczące e-zdrowia zapewniają wytyczne praktykom, naukowcom, innowatorom, decydentom i organom regulacyjnym.

(25) Znaczenie różnych kategorii elektronicznych danych dotyczących zdrowia dla różnych scenariuszy opieki zdrowotnej jest odmienne. W różnych kategoriach osiągnięto także odmienny poziom dojrzałości w zakresie normalizacji, a zatem wdrażanie mechanizmów ich wymiany może być mniej lub bardziej złożone w zależności od kategorii. Z tego względu poprawa interoperacyjności i udostępniania danych powinna następować stopniowo i konieczne jest ustalenie niektórych priorytetów dla poszczególnych kategorii elektronicznych danych dotyczących zdrowia. Kategorie elektronicznych danych dotyczących zdrowia, takie jak skrócone karty zdrowia pacjenta, recepty elektroniczne, realizacja recept elektronicznych, wyniki badań obrazowych i powiązane z nimi opisy, wyniki badań medycznych, takich jak badań laboratoryjnych i innych badań diagnostycznych oraz powiązane raporty wybrano w ramach sieci e-zdrowie jako najistotniejsze w większości sytuacji w opiece zdrowotnej, a państwa członkowskie powinny traktować je jako kategorie priorytetowe z myślą o wdrożeniu dostępu do nich i ich przekazywaniu. W przypadku gdy takie priorytetowe kategorie danych reprezentują grupy elektronicznych danych dotyczących zdrowia, niniejsze rozporządzenie powinno mieć zastosowanie zarówno do całych grup, jak i do poszczególnych wpisów danych zawartych w tych grupach. Na przykład - w związku z tym że status szczepienia jest elementem skróconej karty zdrowia pacjenta - prawa i wymogi związane z tą kartą również powinny mieć zastosowanie do takiego statusu szczepienia, nawet jeśli jest ono przetwarzane oddzielnie od całej karty zdrowia pacjenta. W przypadku stwierdzenia dalszych potrzeb w zakresie wymiany dodatkowych kategorii elektronicznych danych dotyczących zdrowia do celów opieki zdrowotnej należy przewidzieć w niniejszym rozporządzeniu możliwość dostępu do tych dodatkowych kategorii danych oraz możliwość ich wymiany. Takie dodatkowe kategorie trzeba najpierw wdrożyć na poziomie państw członkowskich oraz przewidzieć w niniejszym rozporządzeniu dobrowolną wymianę tych kategorii w sytuacjach transgranicznych między współpracującymi państwami członkowskimi. Szczególną uwagę należy zwrócić na wymianę danych w regionach przygranicznych sąsiednich państw członkowskich, gdzie świadczenie transgranicznych usług zdrowotnych jest częstsze i wymaga jeszcze szybszych procedur niż w całej Unii.

(26) Poziom dostępności danych osobowych dotyczących zdrowia i danych genetycznych w formacie elektronicznym różni się w poszczególnych państwach członkowskich. EPDZ powinna ułatwić osobom fizycznym uzyskanie dostępu do tych danych w formacie elektronicznym, a także zapewnić im lepszą kontrolę nad dostępem do ich elektronicznych danych osobowych dotyczących zdrowia oraz ich udostępnianiem. Przyczyniłoby się to również do osiągnięcia celu, jakim jest zapewnienie 100 % obywateli Unii dostępu do ich elektronicznej dokumentacji medycznej do 2030 r., o czym jest mowa w decyzji Parlamentu Europejskiego i Rady (UE) 2022/2481 8 . W celu zapewnienia dostępności i możliwości przekazywania elektronicznych danych dotyczących zdrowia, dane te należy udostępniać i przekazywać w interoperacyjnym wspólnym europejskim formacie wymiany elektronicznej dokumentacji medycznej, co najmniej w odniesieniu do niektórych kategorii elektronicznych danych dotyczących zdrowia, takich jak skrócone karty zdrowia pacjenta, recepty elektroniczne, realizacja recept elektronicznych, wyniki badań obrazowych i powiązane z nimi opisy, wyniki badań medycznych, takich jak badań laboratoryjnych i innych badań diagnostycznych oraz powiązane raporty, z zastrzeżeniem okresów przejściowych. W przypadku gdy elektroniczne dane osobowe dotyczące zdrowia są udostępniane świadczeniodawcy lub aptece przez osobę fizyczną lub są przekazywane przez innego administratora danych w europejskim formacie wymiany elektronicznej dokumentacji medycznej, format ten należy przyjmować, a odbiorca powinien być w stanie odczytać dane i wykorzystać je w celu świadczenia opieki zdrowotnej lub wydania produktu leczniczego, wspierając w ten sposób świadczenie usług opieki zdrowotnej lub realizację recepty elektronicznej. Europejski format wymiany elektronicznej dokumentacji medycznej trzeba opracować tak, aby ułatwić - w miarę możliwości - tłumaczenie zawartych w nim elektronicznych danych dotyczących zdrowia przekazane w tym formacie na języki urzędowe Unii. W zaleceniu Komisji (UE) 2019/243 9  zapewniono podstawy takiego wspólnego europejskiego formatu wymiany elektronicznej dokumentacji medycznej. Interoperacyjność EPDZ powinna przyczynić się do wysokiej jakości europejskich zbiorów danych dotyczących zdrowia. Stosowanie europejskiego formatu wymiany elektronicznej dokumentacji medycznej powinno stać się bardziej powszechne na poziomie unijnym i krajowym. Europejski format wymiany elektronicznej dokumentacji medycznej może mieć różne profile do użycia na poziomie systemów EDM i krajowych punktów kontaktowych ds. e-zdrowia w ramach infrastruktury MojeZdrowie@UE do celów transgranicznej wymiany danych.

(27) Chociaż systemy EDM są szeroko rozpowszechnione, poziom digitalizacji danych dotyczących zdrowia różni się w poszczególnych państwach członkowskich w zależności od kategorii danych oraz od odsetka świadczeniodawców, którzy rejestrują dane dotyczące zdrowia w formacie elektronicznym. Aby wesprzeć wdrażanie praw osób, których dane dotyczą, w zakresie dostępu do elektronicznych danych dotyczących zdrowia i ich wymiany, konieczne

jest działanie na poziomie Unii w celu uniknięcia dalszego rozdrobnienia. Aby przyczynić się do wysokiej jakości i ciągłości opieki zdrowotnej, niektóre kategorie danych dotyczących zdrowia należy rejestrować w formacie elektronicznym systematycznie i zgodnie z określonymi wymogami dotyczącymi jakości danych. Europejski format wymiany elektronicznej dokumentacji medycznej powinien stanowić podstawę specyfikacji związanych z rejestracją i wymianą elektronicznych danych dotyczących zdrowia.

(28) Telemedycyna staje się coraz ważniejszym narzędziem, które może zapewnić pacjentom dostęp do opieki i zwalczać nierówności. Może także przyczynić się do zmniejszenia nierówności dotyczących zdrowia oraz do umocnienia swobodnego przepływu obywateli Unii ponad granicami. Narzędzia cyfrowe i inne narzędzia technologiczne mogą ułatwić świadczenie opieki w regionach oddalonych. W przypadku gdy usługi cyfrowe towarzyszą fizycznemu świadczeniu usługi opieki zdrowotnej, usługę cyfrową należy uwzględnić w ogólnym świadczeniu opieki. Zgodnie z art. 168 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) państwa członkowskie są odpowiedzialne za swoją politykę dotyczącą zdrowia, w szczególności za organizację i świadczenie usług zdrowotnych i opieki medycznej, w tym za regulację działalności takiej jak apteki internetowe, telemedycyna i inne usługi, które świadczą i zapewniają zwrot kosztów, zgodnie z ich ustawodawstwem krajowym. Różne strategie polityczne w zakresie opieki zdrowotnej nie powinny jednak stanowić przeszkody w swobodnym przepływie elektronicznych danych dotyczących zdrowia w kontekście transgranicznej opieki zdrowotnej, na przykład telemedycyny oraz usług aptek internetowych.

(29) W rozporządzeniu (UE) nr 910/2014 określono warunki, na jakich państwa członkowskie dokonują identyfikacji osób fizycznych w sytuacjach transgranicznych przy użyciu środków identyfikacji wydanych przez inne państwo członkowskie, ustanawiając zasady wzajemnego uznawania takich środków identyfikacji elektronicznej. EPDZ wymaga bezpiecznego dostępu do elektronicznych danych dotyczących zdrowia, w tym w sytuacjach trans- granicznych. Usługi dostępu do elektronicznych danych dotyczących zdrowia i usługi telemedycyny, powinny umożliwiać osobom fizycznym korzystanie ze swoich prawa niezależnie od państwa członkowskiego ubezpieczenia tych osób; należy zatem wspierać identyfikację osób fizycznych za pomocą wszelkich środków identyfikacji elektronicznej uznanych zgodnie z rozporządzeniem (UE) nr 910/2014. Biorąc pod uwagę możliwość wyzwań związanych z dopasowaniem tożsamości w sytuacjach transgranicznych, może być konieczne wydawanie przez państwa członkowskie, w których świadczona jest opieka zdrowotna dodatkowych mechanizmów dostępu takich jak tokenów lub kodów dostępu osobom fizycznym, które przybywają z innych państw członkowskich i korzystają z opieki zdrowotnej. Komisja powinna być uprawniona do przyjmowania aktów wykonawczych określających wymogi dotyczące interoperacyjnej i transgranicznej identyfikacji i uwierzytelniania osób fizycznych i pracowników służby zdrowia, w tym wszelkich uzupełniających mechanizmów niezbędnych do zapewnienia osobom fizycznym możliwości korzystania z ich praw w odniesieniu do elektronicznych danych osobowych dotyczących zdrowia w sytuacjach transgranicznych.

(30) Państwa członkowskie powinny wyznaczyć właściwe organy ds. e-zdrowia odpowiedzialne za zaplanowanie i wdrożenie norm dostępu do elektronicznych danych dotyczących zdrowia i ich przekazywanie oraz za egzekwowanie praw osób fizycznych i pracowników służby zdrowia; organy te powinny stanowić odrębne organizacje lub wydzieloną część istniejących już organów. Pracownicy organu ds. e-zdrowia nie mogą mieć interesów finansowych ani innych interesów w branżach lub działalności gospodarczej, które mogłyby wpływać na ich bezstronność. W większości państw członkowskich istnieją już organy ds. e-zdrowia, które zajmują się kwestiami EDM, interoperacyjności, bezpieczeństwa lub normalizacji. Wykonując swoje zadania, organy ds. e-zdrowia powinny współpracować w szczególności z organami nadzorczymi ustanowionymi na podstawie rozporządzenia (UE) 2016/679 i organami nadzoru ustanowionymi na podstawie rozporządzenia (UE) nr 910/2014. Organy ds. e-zdrowia mogą również współpracować z Europejską Radą ds. Sztucznej Inteligencji ustanowioną na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 10 , Grupą Koordynacyjną ds. Wyrobów Medycznych ustanowioną na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/745 11 , Europejską Radą ds. Innowacji w zakresie Danych na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/868 12  oraz z właściwymi organami na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2854 13 . Państwa członkowskie powinny ponadto ułatwiać udział podmiotów krajowych we współpracy na poziomie unijnym, przekazywanie wiedzy specjalistycznej i doradzanie w sprawie opracowania rozwiązań koniecznych do osiągnięcia celów EPDZ.

(31) Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej, każdej osobie fizycznej lub prawnej powinno przysługiwać prawo do wniesienia skutecznego środka zaskarżenia wobec prawnie wiążącej decyzji, która jej dotyczy, wydanej przez organ ds. e-zdrowia lub w przypadku, gdy organ ds. e-zdrowia nie rozpatrzył skargi lub nie poinformował osoby fizycznej lub prawnej w terminie trzech miesięcy o przebiegu lub wyniku rozpatrywania skargi. Postępowanie przeciwko organowi ds. e-zdrowia należy wszcząć przed sądem państwa członkowskiego, w którym dany organ ds. e-zdrowia ma siedzibę.

(32) Organy ds. e-zdrowia powinny dysponować wystarczającymi umiejętnościami technicznymi, w miarę możliwości zrzeszając ekspertów z różnych organizacji. Działalność organów ds. e-zdrowia należy właściwie zaplanować i monitorować, aby zapewnić ich skuteczność. Organy ds. e-zdrowia powinny podejmować środki niezbędne do poszanowania praw osób fizycznych poprzez tworzenie krajowych, regionalnych i lokalnych rozwiązań technicznych, takich jak krajowa EDM, rozwiązania dotyczące pośrednictwa oraz portale dla pacjentów. Podejmując takie niezbędne środki ochronne, organy ds. e-zdrowia powinny stosować wspólne normy i specyfikacje tego typu rozwiązań, propagować stosowanie takich norm i specyfikacji w procedurach zamówień i wykorzystywać inne innowacyjne środki, w tym zwrot kosztów rozwiązań zgodnych z wymogami EPDZ w zakresie interoperacyjności i bezpieczeństwa. Państwa członkowskie powinny zapewnić podjęcie odpowiednich inicjatyw szkoleniowych. W szczególności pracownicy służby zdrowia powinni być informowani i szkoleni w zakresie ich praw i obowiązków wynikających z niniejszego rozporządzenia. W ramach realizacji swoich zadań organy ds. e-zdrowia powinny współpracować na poziomie unijnym i krajowym z innymi podmiotami, w tym organami ubezpieczeniowymi, świadczeniodawcami, pracownikami służby zdrowia, producentami systemów EDM i aplikacji wspierających dobrostan, a także z innymi zainteresowanymi stronami z sektora zdrowia lub technologii informacyjnych, podmiotami obsługującymi systemy zwrotu kosztów, organami oceny technologii medycznych, organami i agencjami regulacyjnymi ds. produktów leczniczych, organami ds. wyrobów medycznych, zamawiającymi i organami ds. cyberbezpieczeństwa lub e-identyfikacji.

(33) Kwestia dostępu do elektronicznych danych dotyczących zdrowia i ich przekazywania jest istotna w sytuacjach transgranicznej opieki zdrowotnej, gdyż dzięki dostępowi do takich danych i ich przekazywaniu można zapewnić ciągłość opieki zdrowotnej, gdy osoby fizyczne podróżują do innych państw członkowskich lub zmieniają miejsce zamieszkania. Ciągłość opieki i szybki dostęp do elektronicznych danych osobowych dotyczących zdrowia mają jeszcze większe znaczenie z punktu widzenia mieszkańców regionów przygranicznych, którzy często przekraczają granicę, aby skorzystać z usług opieki zdrowotnej. W wielu regionach przygranicznych niektóre specjalistyczne świadczenia zdrowotne mogą być dostępne bliżej po drugiej stronie granicy niż w tym samym państwie członkowskim. Należy zapewnić infrastrukturę do transgranicznego przekazywania elektronicznych danych osobowych dotyczących zdrowia w sytuacjach, w których osoba fizyczna korzysta z usług świadczeniodawcy z siedzibą w innym państwie członkowskim. Należy rozważyć stopniową rozbudowę infrastruktury i jej finansowanie. W tym celu ustanowiono infrastrukturę fakultatywną, MojeZdrowie@UE, w ramach działań zmierzających do osiągnięcia celów ustanowionych w dyrektywie Parlamentu Europejskiego i Rady 2011/24/UE 14 . W ramach infrastruktury MojeZdrowie@UE państwa członkowskie zaczęły umożliwiać osobom fizycznym podróżującym za granicę udostępnianie świadczeniodawcom swoich elektronicznych danych osobowych dotyczących zdrowia. W oparciu o to doświadczenie udział państw członkowskich w infrastrukturze MojeZdrowie@UE utworzonej na mocy niniejszego rozporządzenia powinien być obowiązkowy. Specyfikacje techniczne dotyczące infrastruktury MojeZdrowie@UE powinny umożliwiać wymianę priorytetowych kategorii elektronicznych danych dotyczących zdrowia, a także dodatkowych kategorii kompatybilnych z europejskim formatem wymiany elektronicznej dokumentacji medycznej. Specyfikacje te należy określić w drodze aktów wykonawczych i powinny one opierać się na specyfikacjach transgranicznych europejskiego formatu wymiany elektronicznej dokumentacji medycznej, uzupełnionych dalszymi specyfikacjami dotyczącymi cyberbezpieczeństwa, interoperacyjności technicznej i semantycznej, operacji i zarządzania usługami. Państwa członkowskie powinny być zobowiązane do dołączenia do infrastruktury MojeZdrowie@UE, przestrzegania jej specyfikacji technicznych i podłączenia do niej świadczeniodawców, w tym apteki, gdyż jest to konieczne do umożliwienia osobom fizycznym korzystania z przewidzianych w niniejszym rozporządzeniu praw dostępu do elektronicznych danych osobowych dotyczących zdrowia i korzystania z tych danych w dowolnym państwie członkowskim, w którym te osoby fizyczne się znajdują.

(34) Infrastruktura MojeZdrowie@UE zapewnia państwom członkowskim wspólną infrastrukturę, aby skutecznie zagwarantować łączność i interoperacyjność w celu wsparcia transgranicznej opieki zdrowotnej, nie naruszając odpowiedzialności państw członkowskich przed przekazaniem elektronicznych danych osobowych dotyczących zdrowia za pośrednictwem tej infrastruktury i po ich przekazaniu. Państwa członkowskie są odpowiedzialne za organizację krajowych punktów kontaktowych ds. e-zdrowia oraz przetwarzanie danych osobowych w celu świadczenia opieki zdrowotnej przed przekazaniem danych za pośrednictwem infrastruktury MojeZdrowie@UE i po ich przekazaniu. Komisja powinna monitorować za pomocą kontroli zgodności, czy krajowe punkty kontaktowe ds. e-zdrowia przestrzegają niezbędnych wymogów dotyczących rozwoju technicznego infrastruktury MojeZdro- wie@UE, jak również czy przestrzegają szczegółowych przepisów dotyczących bezpieczeństwa, poufności i ochrony elektronicznych danych osobowych dotyczących zdrowia. W przypadku poważnego nieprzestrzegania przepisów przez krajowy punkt kontaktowy ds. e-zdrowia Komisja powinna mieć możliwość zawieszenia usług świadczonych przez ten punkt, których dotyczy to nieprzestrzeganie przepisów. Komisja powinna działać jako podmiot

przetwarzający w imieniu państw członkowskich w ramach infrastruktury MojeZdrowie@UE i powinna świadczyć na jej rzecz usługi centralne. Aby zapewnić przestrzeganie przepisów o ochronie danych i ramy zarządzania ryzykiem w zakresie przekazywania elektronicznych danych osobowych dotyczących zdrowia, w aktach wykonawczych należy szczegółowo określić konkretne obowiązki państw członkowskich jako współadministra- torów oraz obowiązki Komisji jako podmiotu przetwarzającego w ich imieniu. Każde państwo członkowskie ponosi wyłączną odpowiedzialność za dane i usługi na swoim terytorium. Niniejsze rozporządzenie stanowi podstawę prawną przetwarzania elektronicznych danych osobowych dotyczących zdrowia w ramach infrastruktury MojeZdrowie@UE jako zadania realizowanego w interesie publicznym, określonego w prawie Unii w rozumieniu art. 6 ust. 1 lit. e) rozporządzenia (UE) 2016/679. Przetwarzanie to jest niezbędne do świadczenia opieki zdrowotnej w sytuacjach transgranicznych, o której mowa w art. 9 ust. 2 lit. h) tego rozporządzenia.

(35) Oprócz usług świadczonych w ramach infrastruktury MojeZdrowie@UE do celów wymiany elektronicznych danych osobowych dotyczących zdrowia w oparciu o europejski format wymiany elektronicznej dokumentacji medycznej konieczne może okazać się zapewnienie innych usług lub infrastruktur uzupełniających, na przykład w przypadkach zaistnienia stanu zagrożenia zdrowia publicznego lub jeżeli architektura infrastruktury MojeZdrowie@UE jest nieodpowiednia do wdrożenia niektórych przypadków użycia. Do przykładów tego typu przypadków użycia należą funkcje karty szczepień, w tym wymiana informacji na temat planów szczepień lub weryfikacja zaświadczeń o szczepieniu lub innych zaświadczeń zdrowotnych. Takie przypadki dodatkowego użycia byłyby również istotne dla wprowadzenia dodatkowej funkcji postępowania w przypadku kryzysów w dziedzinie zdrowia publicznego, takiej jak wsparcie w ustalaniu kontaktów zakaźnych do celów powstrzymywania rozprzestrzeniania się chorób zakaźnych. Infrastruktura MojeZdrowie@UE powinna wspierać wymianę elektronicznych danych osobowych dotyczących zdrowia z krajowymi punktami kontaktowymi ds. e-zdrowia odpowiednich państw trzecich i systemami ustanowionymi na poziomie międzynarodowym przez organizacje międzynarodowe, aby przyczynić się do ciągłości opieki zdrowotnej. Jest to szczególnie istotne w przypadku osób podróżujących do sąsiednich państw trzecich jak również podróżujących z tych państw trzecich, w przypadku państw kandydujących oraz stowarzyszenia krajów i terytoriów zamorskich. Połączenie takich krajowych punktów kontaktowych ds. e-zdrowia państw trzecich z infrastrukturą MojeZdrowie@UE lub interoperacyjność z systemami cyfrowymi na poziomie międzynarodowym przez organizacje międzynarodowe powinny podlegać kontroli służącej zapewnieniu przestrzegania przez te punkty kontaktowe i systemy cyfrowe specyfikacji technicznej, przepisów o ochronie danych i innych wymogów infrastruktury MojeZdrowie@UE. Ponadto, biorąc pod uwagę, że połączenie z infrastrukturą MojeZdrowie@UE będzie się wiązać z przekazywaniem danych osobowych dotyczących wnioskodawcy do państw trzecich, w tym z udostępnianiem skróconej karty zdrowia pacjenta, w przypadku gdy pacjenci zechcą uzyskać opiekę w danym państwie trzecim, konieczne jest wprowadzenie odpowiednich instrumentów przekazywania na podstawie rozdziału V rozporządzenia (UE) 2016/679. Komisja powinna być uprawniona do przyjmowania aktów wykonawczych w celu ułatwienia połączenia takich krajowych punktów kontaktowych ds. e-zdrowia państw trzecich i systemów ustanowionych na poziomie międzynarodowym przez organizacje międzynarodowe z infrastrukturą MojeZdrowie@UE. Przygotowując te akty wykonawcze Komisja powinna uwzględnić interesy bezpieczeństwa narodowego państw członkowskich.

(36) Aby umożliwić płynną wymianę elektronicznych danych osobowych dotyczących zdrowia i zapewnić poszanowanie praw osób fizycznych i pracowników służby zdrowia, systemy EDM wprowadzane na rynek wewnętrzny powinny mieć możliwość bezpiecznego przechowywania i przekazywania wysokiej jakości elektronicznych danych dotyczących zdrowia. Najważniejszym celem EPDZ jest zapewnienie bezpiecznego i swobodnego przepływu elektronicznych danych dotyczących zdrowia w Unii. W tym celu należy ustanowić obowiązkowy system własnej oceny zgodności w odniesieniu do systemów EDM przetwarzających co najmniej jedną priorytetową kategorię elektronicznych danych dotyczących zdrowia, co w efekcie wyeliminuje fragmentację rynku, a jednocześnie będzie stanowić proporcjonalne rozwiązanie. W ramach oceny własnej systemy EDM wykażą zgodność z wymogami w zakresie interoperacyjności, bezpieczeństwa i logowania w celu przekazywania elektronicznych danych osobowych dotyczących zdrowia, ustanowionymi przez dwa obowiązkowe komponenty oprogramowania systemu EDM zharmonizowane niniejszym rozporządzeniem, a mianowicie europejski komponent interoperacyjności systemów EDM oraz europejski komponent logowania systemów EDM (zwane dalej "zharmonizowanymi komponentami oprogramowania systemów EDM"). Zharmonizowane komponenty oprogramowania systemów EDM dotyczą głównie przekształcania danych, chociaż mogą pociągać za sobą pośrednio potrzebę istnienia wymogów dotyczących rejestru danych i prezentacji danych w systemach EDM. Specyfikacje techniczne zharmonizowanych komponentów oprogramowania systemów EDM należy określić w drodze aktów wykonawczych w oparciu o wykorzystanie europejskiego formatu wymiany elektronicznej dokumentacji medycznej. Zharmonizowane komponenty oprogramowania systemów EDM j powinny być zaprojektowane w taki sposób, aby można je było ponownie wykorzystać i bezproblemowo zintegrować z innymi komponentami w ramach większego systemu oprogramowania. Zasadnicze wymagania dotyczące bezpieczeństwa tych zharmonizowanych komponentów oprogramowania systemów EDM powinny obejmować elementy specyficzne dla systemów EDM, gdyż bardziej ogólne zabezpieczenia powinny być obsługiwane przez inne mechanizmy, takie jak te określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2024/2847 15 . Aby wesprzeć ten proces, należy stworzyć europejskie cyfrowe środowiska testowe, które zapewnią zautomatyzowane środki pozwalające na sprawdzenie, czy funkcjonowanie zharmonizowanych komponentów oprogramowania

systemu EDM jest zgodne z wymogami określonymi w niniejszym rozporządzeniu. W tym celu należy powierzyć Komisji uprawnienia wykonawcze do określenia wspólnych specyfikacji dla tego środowiska. Komisja powinna opracować oprogramowanie niezbędne dla środowiska testowego i udostępnić je jako otwarte oprogramowanie. Państwa członkowskie powinny być odpowiedzialne za działalność cyfrowych środowisk testowych, ponieważ są one bliżej producentów i są lepiej przygotowane do ich wspierania. Producenci powinni korzystać z tych cyfrowych środowisk testowych do sprawdzenia swoich produktów przed wprowadzeniem ich do obrotu, a jednocześnie nadal ponosić pełną odpowiedzialność za zgodność tych produktów. Wyniki sprawdzenia powinny wchodzić w skład dokumentacji technicznej produktu. Jeżeli system EDM lub jakakolwiek jego część spełnia normy europejskie lub wspólne specyfikacje, w dokumentacji technicznej należy także przedstawić wykaz odpowiednich norm europejskich i wspólnych specyfikacji. W celu wsparcia porównywalności systemów EDM Komisja powinna przygotować jednolity wzór dokumentacji technicznej towarzyszący tym systemom.

(37) Do systemów EDM należy dołączyć arkusz informacyjny zawierający informacje dla użytkowników profesjonalnych oraz jasne i kompletne instrukcje używania w formatach dostępnych dla osób z niepełnosprawnościami. Jeżeli do systemu EDM nie dołączono takich informacji, producent danego systemu EDM, jego upoważniony przedstawiciel i wszystkie inne odpowiednie podmioty gospodarcze są zobowiązani do dodania tego arkusza informacyjnego i instrukcji używania do systemu EDM.

(38) Chociaż systemy EDM konkretnie przewidziane przez producenta do przetwarzania co najmniej jednej określonej kategorii elektronicznych danych dotyczących zdrowia powinny podlegać obowiązkowej certyfikacji własnej, do systemu EDM nie należy zaliczać oprogramowania do zastosowań ogólnych - nawet jeżeli jest ono wykorzystywane w kontekście opieki zdrowotnej - i tym samym takie oprogramowanie nie musi być zgodne z niniejszym rozporządzeniem. Obejmuje to przypadki, takie jak oprogramowanie do przetwarzania tekstu wykorzystywane do sporządzania raportów, które następnie stałoby się częścią pisemną elektronicznej dokumentacji medycznej, oprogramowania pośredniczącego ogólnego przeznaczenia lub oprogramowania do zarządzania bazami danych, które jest wykorzystywane jako część rozwiązań w zakresie przechowywania danych.

(39) Niniejsze rozporządzenie wprowadza obowiązkowy system oceny własnej zgodności dla zharmonizowanych komponentów oprogramowania systemów EDM, aby zapewnić, aby systemy EDM wprowadzane do obrotu w Unii były w stanie wymieniać dane w europejskim formacie wymiany elektronicznej dokumentacji medycznej oraz aby posiadały wymagane zdolności logowania. Ten obowiązkowy system oceny własnej zgodności, który miałby formę deklaracji zgodności UE przez producenta powinien zapewniać, aby wymogi te były spełniane w sposób proporcjonalny, bez nakładania nadmiernych obciążeń na państwa członkowskie i producentów.

(40) Producenci powinni umieścić w dokumentacji towarzyszącej systemowi EDM oraz, w odpowiednim przypadku na jej opakowaniu, oznakowanie zgodności CE wskazujące, że system EDM spełnia wymogi zawarte w niniejszym rozporządzeniu oraz, w odniesieniu do aspektów nieobjętych niniejszym rozporządzeniem, w innych mających zastosowanie przepisach prawa Unii przewidujących wymóg umieszczania takiego oznakowania. Państwa członkowskie powinny korzystać z istniejących mechanizmów, aby zapewnić prawidłowe stosowanie przepisów dotyczących oznakowania zgodności CE na mocy odpowiedniego prawa Unii oraz podejmować odpowiednie działania w przypadku jego niewłaściwego wykorzystania.

(41) Państwa członkowskie powinny zachować kompetencje do określania wymogów dotyczących wszelkich innych komponentów oprogramowania systemów EDM oraz warunków przyłączenia świadczeniodawców do ich odpowiednich infrastruktur krajowych, które mogą podlegać ocenie przez stronę trzecią na poziomie krajowym. Aby promować sprawne funkcjonowanie wewnętrznego rynku systemów EDM, cyfrowych produktów zdrowotnych i usług powiązanych, należy zapewnić jak największą przejrzystość w odniesieniu do przepisów krajowych ustanawiających wymogi dotyczące systemów EDM oraz przepisów dotyczących ich oceny zgodności w odniesieniu do aspektów innych niż zharmonizowane komponenty oprogramowania systemów EDM. Dlatego też państwa członkowskie powinny powiadamiać Komisję o tych wymogach krajowych, tak aby dysponowała ona informacjami niezbędnymi do zapewnienia, aby nie miały one negatywnego wpływu na zharmonizowane komponenty oprogramowania systemów EDM.

(42) Niektóre komponenty systemów EDM mogą być uznane jako wyroby medyczne zgodnie z rozporządzeniem (UE) 2017/745 lub wyroby do diagnostyki medycznej in vitro zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2017/746 16 . Oprogramowanie lub jego moduły spełniające definicję wyrobu medycznego, wyrobu do diagnostyki in vitro lub systemu sztucznej inteligencji wysokiego ryzyka (zwanego dalej "systemem AI wysokiego ryzyka") powinny uzyskać certyfikację odpowiednio zgodnie z rozporządzeniami (UE) 2017/745, (UE) 2017/746 i (UE) 2024/1689. Mimo że produkty te muszą spełniać wymogi odpowiedniego rozporządzenia regulującego te produkty, państwa członkowskie powinny przyjąć odpowiednie środki w celu zapewnienia, aby odnośna ocena zgodności była przeprowadzana w ramach wspólnej lub skoordynowanej procedury, aby ograniczyć obciążenia administracyjne dla producentów i innych podmiotów gospodarczych. Określone w niniejszym rozporządzeniu zasadnicze wymogi dotyczące interoperacyjności powinny mieć zastosowanie wyłącznie w zakresie, w jakim producent wyrobu medycznego, wyrobów do diagnostyki in vitro lub systemu AI wysokiego ryzyka stanowiącego źródło elektronicznych danych dotyczących zdrowia przetwarzanych w ramach systemu EDM deklaruje

interoperacyjność z takim systemem EDM. W takim przypadku do tego typu wyrobów medycznych, wyrobów do diagnostyki in vitro i systemów AI wysokiego ryzyka powinny mieć zastosowanie przepisy dotyczące wspólnych specyfikacji systemów EDM.

(43) W celu dalszego wsparcia interoperacyjności i bezpieczeństwa państwa członkowskie powinny mieć możliwość utrzymania lub określenia przepisów szczegółowych dotyczących zamówień, zwrotu kosztów, lub finansowania systemów EDM na poziomie krajowym w kontekście organizacji, zapewniania lub finansowania świadczeń zdrowotnych. Takie przepisy szczegółowe nie mogą utrudniać swobodnego przepływu systemów EDM w Unii. Niektóre państwa członkowskie wprowadziły obowiązkową certyfikację systemów EDM lub obowiązkowe sprawdzanie interoperacyjności do celów połączenia takich systemów z krajowymi cyfrowymi usługami zdrowotnymi. Tego typu wymogi są powszechnie odzwierciedlane w procedurach zamówień organizowanych przez świadczeniodawców oraz organy krajowe lub organy regionalne. Obowiązkowa certyfikacja systemów EDM na poziomie unijnym powinna stanowić scenariusz odniesienia, który można stosować w procedurach zamówień na poziomie krajowym.

(44) W celu zagwarantowania, aby pacjenci skutecznie egzekwowali prawa przysługujące im na mocy niniejszego rozporządzenia, przepisów niniejszego rozporządzenia muszą przestrzegać również świadczeniodawcy, którzy opracowują i wykorzystują system EDM wewnętrznie na potrzeby prowadzenia działalności wewnętrznej bez wprowadzania tego systemu na rynek za opłatą lub wynagrodzeniem. W tym kontekście świadczeniodawcy ci powinni spełniać wszystkie wymogi mające zastosowanie do producentów w odniesieniu do systemów EDM opracowywanych wewnętrznie i wprowadzanych do używania przez takich świadczeniodawców. Z uwagi na fakt, że tacy świadczeniodawcy mogą potrzebować dodatkowego czasu na przygotowanie się do przestrzegania wymogów niniejszego rozporządzenia, wymogi te powinny mieć zastosowanie do takich systemów po przedłużeniu okresu przejściowego.

(45) Należy jasno i proporcjonalnie rozdzielić obowiązki odpowiadające roli poszczególnych podmiotów gospodarczych w procesie dostawy i dystrybucji systemów EDM. Podmioty gospodarcze powinny odpowiadać za wywiązywanie się z obowiązków przypisanych do ról, które pełnią w takim procesie, oraz powinny zapewnić, aby udostępniały na rynku wyłącznie systemy EDM spełniające odpowiednie wymogi.

(46) Zgodność z zasadniczymi wymogami dotyczącymi interoperacyjności i bezpieczeństwa powinni wykazać producenci systemów EDM w drodze wdrożenia wspólnych specyfikacji. W tym celu należy powierzyć Komisji uprawnienia wykonawcze do ustalania takich wspólnych specyfikacji, w odniesieniu do zbiorów danych, systemów kodowania, specyfikacji technicznych, norm, specyfikacji i profili wymiany danych, a także wymogów i zasad dotyczących bezpieczeństwa pacjenta, zabezpieczenia, poufności, integralności i ochrony danych osobowych oraz również specyfikacji i wymogów związanych z zarządzaniem identyfikacją i stosowaniem identyfikacji elektronicznej. W opracowywanie takich wspólnych specyfikacji powinny angażować się organy ds. e-zdrowia. W stosownych przypadkach te wspólne specyfikacje powinny opierać się na istniejących normach zharmonizowanych dotyczących zharmonizowanych komponentów oprogramowania systemów EDM i być zgodne z prawodawstwem sektorowym. Jeżeli wspólne specyfikacje mają szczególne znaczenie w odniesieniu do wymogów dotyczących ochrony danych osobowych w systemach EDM, powinny one podlegać - przed ich przyjęciem - konsultacjom z Europejską Radą Ochrony Danych (EROD) i Europejskim Inspektorem Ochrony Danych (EIOD), zgodnie z art. 42 ust. 2 rozporządzenia (UE) 2018/1725.

(47) Aby zapewnić odpowiednie i skuteczne egzekwowanie wymogów i obowiązków określonych w niniejszym rozporządzeniu, powinien mieć zastosowanie system nadzoru rynku i zgodności produktów ustanowiony rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/1020 17 . W zależności od sposobu organizacji określonego na poziomie krajowym taką działalność w zakresie nadzoru rynku mogą prowadzić organy ds. e-zdrowia zapewniające prawidłowe wykonanie rozdziału II niniejszego rozporządzenia lub odrębny organ nadzoru rynku odpowiedzialny za systemy EDM. W związku z tym, że wyznaczenie organów ds. e-zdrowia jako organów nadzoru rynku może wiązać się z ważnymi praktycznymi korzyściami w zakresie świadczenia usług ochrony zdrowia i opieki, należy unikać wszelkich konfliktów interesów, na przykład przez rozdzielenie poszczególnych zadań.

(48) Pracownicy organów nadzoru rynku nie powinni mieć żadnych bezpośrednich ani pośrednich konfliktów interesów ekonomicznych, finansowych ani osobistych, które mogłyby być uznane za naruszające ich niezależność, a w szczególności nie powinni znajdować się w sytuacji, która może bezpośrednio lub pośrednio wpływać na bezstronność wykonywania przez nich obowiązków służbowych. Państwa członkowskie powinny określić i opublikować procedurę wyboru organów nadzoru rynku. Powinny też dopilnować, aby procedura była przejrzysta i nie dopuszczała konfliktów interesów.

(49) Jeżeli dane generowane przez aplikacje wspierające dobrostan, w tym aplikacje na urządzenia mobilne są przydatne w kontekście opieki zdrowotnej, użytkowników tego typu aplikacji należy informować, czy takie aplikacje można połączyć z systemami EDM lub krajowymi elektronicznymi rozwiązaniami w zakresie zdrowia i wykorzystywać do przesyłania danych do takich systemów lub rozwiązań. Możliwość wykorzystywania takich aplikacji do eksportu danych w interoperacyjnym formacie jest również istotna do celów możliwości przenoszenia danych. W stosownych

przypadkach użytkowników należy informować o zgodności takich aplikacji z wymogami dotyczącymi interoperacyjności i bezpieczeństwa. Ze względu jednak na ogromną liczbę aplikacji wspierających dobrostan i fakt, że wiele z nich generuje dane mające ograniczone znaczenie w kontekście opieki zdrowotnej, system certyfikacji takich aplikacji nie byłby rozwiązaniem proporcjonalnym. Należy zatem ustanowić system obowiązkowego oznakowania dla aplikacji wspierających dobrostan, co do których deklarowana jest interoperacyj- ność z systemami EDM, jako odpowiedni mechanizm, dzięki któremu użytkownicy aplikacji wspierających dobrostan otrzymują przejrzyste informacje dotyczące zgodności z wymogami na mocy niniejszego rozporządzenia, tym samym mając większe szanse wyboru odpowiednich aplikacji wspierających dobrostan, spełniających wysokie normy interoperacyjności i bezpieczeństwa. Komisja powinna określić, w drodze aktów wykonawczych, szczegółowe informacje dotyczące formatu i treści takiego znaku.

(50) Państwa członkowskie powinny zachować swobodę regulowania innych aspektów stosowania aplikacji wspierających dobrostan, pod warunkiem że takie odpowiadające przepisy są zgodne z prawem Unii.

(51) Rozpowszechnianie informacji na temat certyfikowanych systemów EDM i oznakowanych aplikacji wspierających dobrostan jest konieczne do tego, aby zamawiający i użytkownicy takich produktów mogli znaleźć odpowiednie interoperacyjne rozwiązania odpowiadające ich potrzebom. Należy zatem ustanowić na poziomie unijnym bazę danych interoperacyjnych systemów EDM i aplikacji wspierających dobrostan, które nie są objęte zakresem stosowania rozporządzeń (UE) 2017/745 i (UE) 2024/1689, na wzór europejskiej bazy danych o wyrobach medycznych (Eudamed) ustanowionej rozporządzeniem (UE) 2017/745. Baza danych UE do rejestracji systemów EDM i aplikacji wspierających dobrostan powinna służyć zwiększeniu ogólnej przejrzystości, unikaniu wielu wymogów w zakresie sprawozdawczości oraz usprawnieniu i ułatwieniu przepływu informacji. W przypadku wyrobów medycznych i systemów AI rejestracja powinna nadal odbywać się w ramach funkcjonujących już baz danych ustanowionych, odpowiednio, rozporządzeniami (UE) 2017/745 i (UE) 2024/1689, natomiast zgodność z wymogami dotyczącymi interoperacyjności należy wskazać, gdy producenci powołują się na zgodność z tymi wymogami, do celów informowania zamawiających.

(52) Niniejsze rozporządzenie nie utrudnia stosowania ani nie zastępuje istniejących uzgodnień umownych lub innych mechanizmów, lecz ma na celu ustanowienie wspólnego mechanizmu dostępu do elektronicznych danych dotyczących zdrowia do wtórnego wykorzystywania w całej Unii. W ramach tego mechanizmu posiadacze danych dotyczących zdrowia powinni udostępniać przechowywane przez siebie dane na podstawie zezwolenia na dostęp do danych lub zapytania o dane dotyczące zdrowia. Do celów przetwarzania elektronicznych danych dotyczących zdrowia do wtórnego wykorzystywania powinna być wymagana jedna z podstaw prawnych określonych w art. 6 ust. 1 lit. a), c), e) lub f) rozporządzenia (UE) 2016/679 w związku z art. 9 ust. 2 tego rozporządzenia. W związku z tym, niniejsze rozporządzenie stanowi podstawę prawną wtórnego wykorzystywania elektronicznych danych osobowych dotyczących zdrowia, w tym zabezpieczeń wymaganych na podstawie art. 9 ust. 2 lit. g) do j) rozporządzenia (UE) 2016/679, aby umożliwić przetwarzanie szczególnych kategorii danych, w zakresie celów zgodnych z prawem, godnego zaufania zarządzania w zakresie zapewniania dostępu do danych dotyczących zdrowia, z udziałem organów ds. dostępu do danych dotyczących zdrowia i przetwarzania danych w bezpiecznym środowisku przetwarzania, a także zasad przetwarzania danych określonych w zezwoleniu na dostęp do danych. W związku z tym państwa członkowskie nie powinny mieć możliwości utrzymywania ani wprowadzania na podstawie art. 9 ust. 4 rozporządzenia (UE) 2016/679 dalszych warunków, w tym ograniczeń i przepisów szczegółowych wymagających zgody osób fizycznych, w odniesieniu do przetwarzania do wtórnego wykorzystywania elektronicznych danych osobowych dotyczących zdrowia na podstawie niniejszego rozporządzenia, z wyjątkiem wprowadzenia bardziej rygorystycznych środków i dodatkowych zabezpieczeń na poziomie krajowym, aby chronić wrażliwość i wartość niektórych danych, zgodnie z niniejszym rozporządzeniem. Wnioskodawcy ubiegający się o dostęp do danych dotyczących zdrowia powinni również wykazać podstawę prawną, o której mowa w art. 6 rozporządzenia (UE) 2016/679, która umożliwia im ubieganie się o dostęp do elektronicznych danych dotyczących zdrowia zgodnie z niniejszym rozporządzeniem, i powinny spełnić warunki określone w rozdziale IV niniejszego rozporządzenia. Ponadto organ ds. dostępu do danych dotyczących zdrowia powinien ocenić informacje podane przez wnioskodawcę ubiegającego się o dostęp do danych dotyczących zdrowia i być w stanie wydać na podstawie tych informacji zezwolenie na przetwarzanie elektronicznych danych osobowych dotyczących zdrowia zgodnie z niniejszym rozporządzeniem, spełniające wymogi i warunki określone w rozdziale IV niniejszego rozporządzenia. W przypadku przetwarzania elektronicznych danych dotyczących zdrowia będących w posiadaniu posiadaczy danych dotyczących zdrowia zgodnie z niniejszym rozporządzeniem nakłada się na posiadacza danych dotyczących zdrowia zobowiązanie prawne w rozumieniu art. 6 ust. 1 lit. c) rozporządzenia (UE) 2016/679, zgodnie z art. 9 ust. 2 lit. i) i j) tego rozporządzenia, do udostępnienia jego elektronicznych danych osobowych dotyczących zdrowia organom ds. dostępu do danych dotyczących zdrowia, natomiast podstawa prawna do celów pierwotnego przetwarzania np. zapewnienia świadczenia opieki zdrowotnej pozostaje bez zmian. W niniejszym rozporządzeniu organom ds. dostępu do danych dotyczących zdrowia przypisuje się również zadania w interesie publicznym w rozumieniu art. 6 ust. 1 lit. e) rozporządzenia (UE) 2016/679 oraz spełniono wymogi określone w art. 9 ust. 2 lit. g)-j), w stosownych przypadkach, odpowiednio do przypadku, tego rozporządzenia. Jeżeli użytkownik danych dotyczących zdrowia opiera się na podstawie prawnej przewidzianej w art. 6 ust. 1 lit. e) lub f) rozporządzenia (UE) 2016/679, niniejsze rozporządzenie powinno zapewniać zabezpieczenia wymagane na podstawie art. 9 ust. 2 rozporządzenia (UE) 2016/679.

(53) Użycie elektronicznych danych dotyczących zdrowia na potrzeby wtórnego wykorzystywania może przynieść znaczne korzyści społeczne. Należy zachęcać do wykorzystywania danych i dowodów pochodzących z rzeczywistej praktyki klinicznej, w tym wyników zgłaszanych przez pacjentów, do celów regulacyjnych i politycznych opartych na dowodach, a także do celów badawczych, oceny technologii medycznych i celów klinicznych. Dane pochodzące z rzeczywistej praktyki klinicznej i dowody zebrane w warunkach rzeczywistej praktyki klinicznej mogą potencjalnie uzupełniać obecnie udostępniane dane dotyczące zdrowia. Aby osiągnąć ten cel, ważne jest, aby zbiory danych udostępnione do wtórnego wykorzystania na mocy niniejszego rozporządzenia były jak najbardziej kompletne. Niniejsze rozporządzenie przewiduje niezbędne zabezpieczenia w celu ograniczenia niektórych rodzajów ryzyka związanych z osiągnięciem tych korzyści. Wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia opiera się na danych spseudonimizowanych lub zanonimizowanych, aby uniemożliwić identyfikację osób, których dane dotyczą.

(54) Aby zrównoważyć potrzebę posiadania przez użytkowników danych dotyczących zdrowia wyczerpujących i reprezentatywnych baz danych z potrzebą autonomii osób fizycznych w odniesieniu do ich elektronicznych danych osobowych dotyczących zdrowia, które uznaje się za szczególnie poufne, osoby fizyczne powinny mieć możliwość podjęcia decyzji co do tego czy ich elektroniczne dane osobowe dotyczące zdrowia mogą być przetwarzane w ramach wtórnego wykorzystywania na podstawie niniejszego rozporządzenia, w postaci prawa do wyłączenia udostępniania takich danych do wtórnego wykorzystywania. Należy zapewnić łatwo zrozumiały, dostępny i przyjazny dla użytkownika mechanizm pozwalający na skorzystanie z takiego prawa do wyłączenia danych. Ponadto konieczne jest zapewnienie osobom fizycznym wystarczających i kompletnych informacji na temat przysługującego im prawa do wyłączenia danych, w tym na temat korzyści i wad wynikających ze skorzystania z tego prawa. Osoby fizyczne nie powinny być zobowiązane do podawania powodów wyłączenia danych i powinny mieć możliwość ponownego rozważenia swojego wyboru w dowolnym momencie. W niektórych celach mających silny związek z interesem publicznym, takich jak działania na rzecz ochrony przed poważnymi transgranicznymi zagrożeniami zdrowia lub badania naukowe prowadzone z ważnych względów interesu publicznego, należy jednak przewidzieć możliwość ustanowienia przez państwa członkowskie, przy uwzględnieniu ich kontekstu krajowego, mechanizmów zapewniających dostęp do elektronicznych danych osobowych dotyczących zdrowia osób fizycznych, które skorzystały z prawa do wyłączenia danych, w celu zapewnienia dostępności kompletnych zbiorów danych w takich sytuacjach. Mechanizmy takie powinny być zgodne z wymogami ustanowionymi w odniesieniu do wtórnego wykorzystywania na mocy niniejszego rozporządzenia. Badania naukowe prowadzone z ważnych względów interesu publicznego mogłyby na przykład obejmować badania nad niezaspokojonymi potrzebami medycznymi, w tym w odniesieniu do rzadkich chorób, lub pojawiającymi się zagrożeniami dla zdrowia. Przepisy dotyczące takich pominięć powinny przestrzegać istoty praw podstawowych i wolności oraz są niezbędnym i proporcjonalnym środkiem w społeczeństwie demokratycznym do działania w interesie publicznym w zakresie uzasadnionych celów naukowych i społecznych. Takie pominięcia powinny być dostępne wyłącznie dla użytkowników danych dotyczących zdrowia, którzy są podmiotami sektora publicznego lub odpowiednimi instytucjami, organami lub jednostkami organizacyjnymi Unii, którym powierzono wykonywanie zadań publicznych w dziedzinie zdrowia publicznego, lub dla innego podmiotu, któremu powierzono wykonywanie zadań publicznych w dziedzinie zdrowia publicznego, lub podmiotu działającego w imieniu organu publicznego lub na jego zlecenie, jedynie, gdy danych nie można uzyskać skutecznie i na czas innymi sposobami. Tacy użytkownicy danych dotyczących zdrowia powinni uzasadnić, że pominięcia jest konieczne w przypadku indywidualnego wniosku o dostęp do danych dotyczących zdrowia lub zapytania o dane dotyczące zdrowia. W przypadku zastosowania takiego pominięcia, użytkownicy danych dotyczących zdrowia powinni nadal stosować zabezpieczenia przewidziane w rozdziale IV, w szczególności zakaz ponownej identyfikacji lub prób ponownej identyfikacji danych osób fizycznych.

(55) W kontekście EPDZ, elektroniczne dane dotyczące zdrowia już istnieją i są gromadzone, między innymi przez świadczeniodawców, samorządy zawodowe, instytucje publiczne, organy regulacyjne, badaczy i ubezpieczycieli w toku prowadzonej przez nich działalności. Dane te również należy udostępniać na potrzeby wtórnego wykorzystywania, to znaczy na potrzeby przetwarzania danych do celów innych niż dla których były one zgromadzone lub wyprodukowane. Wielu z tych danych nie udostępnia się jednak na potrzeby przetwarzania do takich celów. Z tego względu badacze, innowatorzy, decydenci, organy regulacyjne i lekarze mają ograniczoną zdolność wykorzystywania tych danych do różnych celów, w tym do celów prowadzenia badań naukowych, wprowadzania innowacji, kształtowania polityki, do celów regulacyjnych, bezpieczeństwa pacjenta lub medycyny personalizowanej. Aby osiągnąć pełne korzyści płynące z wtórnego wykorzystywania, wszyscy posiadacze danych dotyczących zdrowia powinni uczestniczyć w tych działaniach poprzez udostępnianie do wtórnego wykorzystywania poszczególnych kategorii posiadanych elektronicznych danych dotyczących zdrowia, pod warunkiem że takie działania są zawsze podejmowane w ramach skutecznych i zabezpieczonych procedur, z należytym poszanowaniem obowiązków zawodowych takich jak obowiązki w zakresie poufności.

(56) Kategorie elektronicznych danych dotyczących zdrowia, które można przetwarzać na potrzeby wtórnego wykorzystywania, powinny być na tyle obszerne i elastyczne, aby uwzględniały zmieniające się potrzeby użytkowników danych dotyczących zdrowia, a jednocześnie powinny nadal ograniczać się do danych związanych ze zdrowiem lub mających znany wpływ na zdrowie. Do takich danych mogą również należeć odpowiednie dane z systemu opieki zdrowotnej, na przykład elektroniczna dokumentacja medyczna, dane dotyczące pozycji rozliczeniowych, dane dotyczące wydania, dane z rejestru chorób czy dane genomowe, a także dane dotyczące wpływu na zdrowie, na przykład dane dotyczące spożycia różnych substancji, statusu społecznoekonomicznego czy zachowania oraz dane środowiskowe, takie jak zanieczyszczenie, promieniowania lub stosowanie określonych substancji chemicznych. Kategorie elektronicznych danych dotyczących zdrowia do wtórnego wykorzystywania obejmują niektóre kategorie danych, które zostały pierwotnie zgromadzone na inne cele takie jak badania, statystyka, bezpieczeństwo pacjenta, działania regulacyjne lub kształtowanie polityki, na przykład rejestry chorób, rejestry dotyczące kształtowania polityki czy rejestry dotyczące efektów ubocznych produktów leczniczych lub wyrobów medycznych. Funkcjonują europejskie bazy danych umożliwiające wykorzystywanie lub ponowne wykorzystywanie danych w niektórych obszarach, w tym w obszarze chorób nowotworowych (europejski system informacji o raku) lub chorób rzadkich na przykład europejska platforma rejestracji chorób rzadkich oraz Europejskie sieci referencyjne (ESR). Kategorie elektronicznych danych, które mogą być przetwarzane na potrzeby wtórnego wykorzystywania powinny również zawierać dane generowane automatycznie z wyrobów medycznych oraz dane generowane przez osoby, takie jak dane z aplikacji wspierających dobrostan. Dane dotyczące prób klinicznych i badań klinicznych powinny być również zawarte w kategoriach elektronicznych danych dotyczących zdrowia do wtórnego wykorzystywania po zakończeniu próby klinicznej lub badania klinicznego, i nie powinno to mieć wpływu na dobrowolne udostępnianie danych przez sponsorów trwających prób klinicznych i badań klinicznych. Elektroniczne dane dotyczące zdrowia do wtórnego wykorzystywania powinny być udostępniane najlepiej w ustrukturyzowanym formacie elektronicznym, który ułatwia ich przetwarzanie przez systemy komputerowe. Przykłady ustrukturyzowanych formatów elektronicznych obejmują formaty, takie jak rekordy w relacyjnej bazie danych, dokumenty XML lub pliki CSV oraz tekst dowolny, audio, wideo i obrazy dostarczane jako pliki nadające się do odczytu komputerowego.

(57) Użytkownicy danych dotyczących zdrowia korzystający z dostępu do zbiorów danych zapewnionego na podstawie niniejszego rozporządzenia mogą wzbogacić dane w tych zbiorach danych o różne korekty, adnotacje i inne poprawki, na przykład poprzez uzupełnienie brakujących lub niekompletnych danych, dzięki czemu zwiększa się dokładność, kompletność lub jakość danych zawartych w danym zbiorze danych. Użytkowników danych dotyczących zdrowia należy zachęcać do zgłaszania krytycznych błędów w zbiorach danych organom odpowiedzialnym za dostęp do danych dotyczących zdrowia. Aby wesprzeć udoskonalanie pierwotnej bazy danych i zwiększyć wykorzystanie wzbogaconego zbioru danych, państwa członkowskie powinny mieć możliwość ustanowienia zasad dotyczących przetwarzania i wykorzystywania elektronicznych danych dotyczących zdrowia zawierających usprawnienia związane z przetwarzaniem tych danych. Ulepszony zbiór danych należy udostępniać nieodpłatnie pierwotnemu posiadaczowi danych dotyczących zdrowia wraz z opisem ulepszeń. Posiadacz danych dotyczących zdrowia powinien udostępnić taki nowy zbiór danych, chyba że przedstawi organowi ds. dostępu do danych dotyczących zdrowia uzasadnione powiadomienie o nieudzieleniu takiego dostępu, na przykład w przypadku, gdy uzupełnienia ze strony użytkowników danych dotyczących zdrowia są niskiej jakości. Należy zapewnić, aby elektroniczne dane nieosobowe były dostępne do wtórnego wykorzystywania. W szczególności niezwykle cenne w kontekście zdrowia człowieka są dane genomowe dotyczące patogenów, o czym można było się przekonać w czasie pandemii COVID-19, gdy okazało się, że dostęp do takich danych i ich udostępnianie w odpowiednim czasie stanowiły niezbędne elementy potrzebne do szybkiego rozwoju narzędzi do wykrywania, medycznych środków przeciwdziałania i działań podejmowanych w odpowiedzi na zagrożenia dla zdrowia publicznego. Działania w zakresie genomiki patogenów przyniosą największe korzyści w przypadku wspólnego wykorzystania zbiorów danych i wzajemnej wymiany informacji i poprawy wyników w ramach procesów z zakresu zdrowia publicznego i badań naukowych.

(58) Aby zwiększyć skuteczność wtórnego wykorzystywania elektronicznych danych osobowych dotyczących zdrowia oraz w pełni korzystać z możliwości oferowanych przez niniejsze rozporządzenie, należy zapewnić dostępność w EPDZ opisanych w rozdziale IV elektronicznych danych dotyczących zdrowia w taki sposób, aby dane te były jak najbardziej dostępne, wysokiej jakości, gotowe i odpowiednie do celu tworzenia wartości i jakości naukowej, innowacyjnej i społecznej. Należy prowadzić prace nad wdrożeniem EPDZ, a także nad dalszym udoskonalaniem zbiorów danych, w sposób który nadaje priorytet zbiorom danych, które najlepiej nadają się do tworzenia takiej wartości i jakości.

(59) Publiczne lub prywatne podmioty często otrzymują finansowanie publiczne - ze środków krajowych lub unijnych - na gromadzenie i przetwarzanie elektronicznych danych dotyczących zdrowia na potrzeby badań, statystyki, urzędowej lub innej, lub do innych podobnych celów, w tym w obszarach, w których gromadzenie takich danych przebiega w sposób fragmentaryczny lub jest utrudnione, tak jak w odniesieniu do chorób rzadkich lub nowotworów. Takie dane - gromadzone i przetwarzane przez posiadaczy danych dotyczących zdrowia z wykorzystaniem unijnego lub krajowego finansowania publicznego - powinny być udostępniane organom ds. dostępu do danych dotyczących zdrowia, aby osiągnąć jak największy wpływ inwestycji publicznych i wsparcia badań, innowacji, bezpieczeństwa pacjenta lub kształtowania polityki z korzyścią dla społeczeństwa. W niektórych państwach członkowskich prywatne podmioty, w tym prywatni świadczeniodawcy i samorządy zawodowe, odgrywają podstawową rolę w sektorze ochrony zdrowia. Dane dotyczące zdrowia będące w posiadaniu takich świadczeniodawców również należy udostępniać na potrzeby wtórnego wykorzystywania. Posiadaczami danych dotyczących zdrowia w kontekście wtórnego wykorzystywania powinny być zatem podmioty, które są dostawcami usług zdrowotnych lub opiekuńczych lub prowadzą badania związane z sektorem opieki zdrowotnej lub opieki lub opracowują produkty lub usługi przeznaczone dla sektora opieki zdrowotnej lub sektora opieki. Takie podmioty mogą być publiczne, nienastawione na zysk lub prywatne. Zgodnie z tą definicją za posiadaczy danych dotyczących zdrowia należy uznać placówki opiekuńczo-pielęgnacyjne, ośrodki opieki dziennej, podmioty świadczące usługi dla osób z niepełnosprawnościami, podmiot prowadzące działalność gospodarczą i technologiczną związaną z opieką, taką jak ortopedia, oraz przedsiębiorstwa świadczące usługi opiekuńcze. Za posiadaczy danych dotyczących zdrowia powinny być uznane również osoby prawne opracowujące aplikacje wspierające dobrostan. Za posiadaczy danych dotyczących zdrowia należy również uznać instytucje, organy lub jednostki organizacyjne Unii przetwarzające te kategorie danych dotyczących zdrowia i opieki zdrowotnej, a także rejestry zgonów. Aby uniknąć nieproporcjonalnych obciążeń, osoby fizyczne i mikroprzedsiębiorstwa powinny być co do zasady zwolnione z obowiązków posiadaczy danych dotyczących zdrowia. Państwa członkowskie powinny jednak mieć możliwość rozszerzenia obowiązków posiadaczy danych dotyczących zdrowia na osoby fizyczne i mikroprzedsiębiorstwa w swoim prawie krajowym. Aby zmniejszyć obciążenie administracyjne oraz mając na uwadze zasady skuteczności i efektywności, państwa członkowskie powinny mieć możliwość wprowadzania w swoich prawach krajowych obowiązku wykonywania przez podmioty pośredniczące w zakresie danych dotyczących zdrowia obowiązków niektórych kategorii posiadaczy danych dotyczących zdrowia. Takimi podmiotami pośredniczącymi w zakresie danych dotyczących zdrowia powinny być osoby prawne mogące przetwarzać, udostępniać, rejestrować, dostarczać, ograniczać dostęp oraz dokonywać wymiany elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania, przekazanych przez posiadaczy danych dotyczących zdrowia. Takie podmioty pośredniczące w zakresie danych dotyczących zdrowia wykonują zadania inne niż usługi pośrednictwa danych na podstawie rozporządzenia (UE) 2022/868.

(60) Elektroniczne dane dotyczące zdrowia chronione prawami własności intelektualnej lub tajemnicą przedsiębiorstwa, w tym dane dotyczące prób, badań i analiz klinicznych, mogą być bardzo przydatne do wtórnego wykorzystywania i mogą wspierać innowacje w Unii z korzyścią dla unijnych pacjentów. Aby zachęcić Unię do pozostania liderem w tej dziedzinie, należy zachęcać do dzielenia się danymi z prób klinicznych i badań klinicznych za pośrednictwem EPDZ do celów wtórnego wykorzystywania. Dane z prób klinicznych i badań klinicznych powinny być udostępniane w miarę możliwości, przy jednoczesnym podjęciu wszelkich niezbędnych środków w celu ochrony praw własności intelektualnej i tajemnicy przedsiębiorstwa. Niniejsze rozporządzenie nie powinno być wykorzystywane do ograniczania lub obchodzenia takiej ochrony i powinno być spójne z odpowiednimi przepisami dotyczącymi przejrzystości określonymi w prawie Unii, w tym w zakresie danych z prób klinicznych i badań klinicznych. Organy ds. dostępu do danych dotyczących zdrowia powinny ocenić, w jaki sposób można zachować tę ochronę, umożliwiając użytkownikom danych dotyczących zdrowia dostęp do takich danych w zakresie, w jakim to możliwe. Jeżeli organ ds. dostępu do danych dotyczących zdrowia nie jest w stanie udzielić dostępu do takich danych, powinien poinformować użytkownika danych dotyczących zdrowia i wyjaśnić, dlaczego nie jest możliwe udzielenie dostępu do takich danych. Środki prawne, organizacyjne i techniczne służące ochronie praw własności intelektualnej lub tajemnicy przedsiębiorstwa mogą obejmować wspólne ustalenia umowne dotyczące dostępu do elektronicznych danych dotyczących zdrowia, szczególne obowiązki związane z takimi prawami w ramach zezwolenia na dostęp do danych, wstępne przetwarzanie danych w celu wygenerowania danych pochodnych, które chronią tajemnicę przedsiębiorstwa, ale są nadal użyteczne dla użytkownika danych dotyczących zdrowia, lub konfigurację bezpiecznego środowiska przetwarzania, tak aby użytkownik danych dotyczących zdrowia nie miał do nich dostępu.

(61) Za sprawą wtórnego wykorzystywania danych dotyczących zdrowia w ramach EPDZ podmioty publiczne, prywatne oraz podmioty nienastawione na zysk, a także poszczególni badacze powinni zyskać dostęp do danych dotyczących zdrowia na potrzeby badań naukowych, innowacji, kształtowania polityki, działań edukacyjnych, bezpieczeństwa pacjenta, działań regulacyjnych lub medycyny personalizowanej, zgodnie z celami określonymi w niniejszym rozporządzeniu. Dostępu do danych do celów wtórnego wykorzystywania należy udzielać w ogólnym interesie społeczeństwa. W szczególności wtórne wykorzystywanie danych dotyczących zdrowia do celów badań i rozwoju powinno przyczynić się do korzyści dla społeczeństwa w postaci nowych leków, wyrobów medycznych oraz produktów i usług opieki zdrowotnej po przystępnych i sprawiedliwych cenach dla obywateli Unii, a także do zwiększenia dostępu do takich produktów i usług oraz ich dostępności we wszystkich państwach członkowskich. Działania, w przypadku których dostęp udzielany w kontekście niniejszego rozporządzenia jest zgodny z prawem, mogą obejmować wykorzystywanie elektronicznych danych dotyczących zdrowia do zadań realizowanych przez podmioty sektora publicznego, takich jak wywiązywanie się z obowiązku publicznego, w tym prowadzenie nadzoru nad zdrowiem publicznym, wykonywanie obowiązków w zakresie planowania i sprawozdawczości, kształtowanie polityki zdrowotnej i zapewnienie bezpieczeństwa pacjenta, jakości opieki i zrównoważonego charakteru systemów opieki zdrowotnej. Podmioty sektora publicznego oraz instytucje, organy i jednostki organizacyjne Unii mogą potrzebować regularnego dostępu do elektronicznych danych dotyczących zdrowia przez dłuższy czas, w tym w celu wykonywania swoich uprawnień, jak przewidziano w niniejszym rozporządzeniu. Podmioty sektora publicznego mogą prowadzić taką działalność badawczą za pośrednictwem stron trzecich, w tym podwykonawców, o ile taki podmiot sektora publicznego przez cały czas pozostaje organem nadzorującym taką działalność. Przekazywanie danych powinno również przyczyniać się do realizacji działań związanych z badaniami naukowymi. Pojęcie celów badań naukowych powinno być interpretowane szeroko, w tym jako rozwój technologiczny i prototypy, badania podstawowe, badania stosowane i badania finansowane ze środków prywatnych. Działania związane z badaniami naukowymi obejmują działania innowacyjne takie jak trenowanie algorytmów AI, które mogą być wykorzystywane w opiece zdrowotnej lub opiece nad osobami fizycznymi, a także ocena i dalszy rozwój istniejących algorytmów i produktów do takich celów. EPDZ powinna również przyczyniać się do badań podstawowych i choć korzyści płynące z badań podstawowych mogą być mniej bezpośrednie dla użytkowników końcowych i pacjentów, badania takie mają zasadnicze znaczenie dla korzyści społecznych w perspektywie długoterminowej. W niektórych przypadkach informacje dotyczące określonych osób fizycznych, takie jak informacje genomowe osób fizycznych cierpiących na konkretną chorobę, mogą pomóc w postawieniu diagnozy lub leczeniu innych osób fizycznych. Podmioty sektora publicznego muszą wychodzić poza zakres "wyjątkowej potrzeby" w rozdziale V rozporządzenia (UE) 2023/2854. Organy ds. dostępu do danych dotyczących zdrowia powinny mieć jednak możliwość udzielenia wsparcia podmiotom sektora publicznego w zakresie przetwarzania lub łączenia danych. W niniejszym rozporządzeniu zapewnia się możliwość uzyskania dostępu przez podmioty sektora publicznego do informacji, których potrzebują do realizacji zadań powierzonych im z mocy prawa, ale nie rozszerza się uprawnień takich podmiotów sektora publicznego.

(62) Należy zakazać wszelkich prób wykorzystywania elektronicznych danych dotyczących zdrowia w celu wprowadzania środków szkodliwych dla osób fizycznych, takich jak zwiększenie składek ubezpieczeniowych, angażowanie się w działania potencjalnie szkodliwe dla osób fizycznych związane z zatrudnieniem, emeryturą lub bankowością, w tym hipoteką nieruchomości, reklamowanie produktów lub terapii, automatyzacja indywidualnego podejmowania decyzji, deanonimizacja osób fizycznych lub rozwój szkodliwych produktów. Zakaz ten powinien mieć zastosowanie do działań sprzecznych z przepisami prawa krajowego dotyczącymi kwestii etycznych, z wyjątkiem przepisów dotyczących kwestii etycznych związanych z wyrażeniem zgody na przetwarzanie danych osobowych i prawem do wyłączenia danych, ponieważ niniejsze rozporządzenie ma pierwszeństwo przed prawem krajowym, zgodnie z ogólną zasadą pierwszeństwa prawa Unii. Należy również zakazać zapewniania dostępu do elektronicznych danych dotyczących zdrowia lub udostępniania ich w inny sposób stronom trzecim niewymienionym w zezwoleniu na dostęp do danych. W zezwoleniu na dostęp do danych należy wskazać tożsamość upoważnionych osób, w szczególności tożsamość głównego badacza, które będą miały, na mocy niniejszego rozporządzenia, prawo dostępu do elektronicznych danych dotyczących zdrowia w bezpiecznym środowisku przetwarzania. Główni badacze są głównymi osobami odpowiedzialnymi za złożenie wniosku o dostęp do elektronicznych danych dotyczących zdrowia oraz za przetwarzanie żądanych danych w bezpiecznym środowisku przetwarzania w imieniu użytkownika danych dotyczących zdrowia.

(63) Niniejsze rozporządzenie nie tworzy uprawnień do wtórnego wykorzystywania danych dotyczących zdrowia do celów egzekwowania prawa. Zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar przez właściwe organy nie powinno należeć do celów wtórnego wykorzystywania objętych niniejszym rozporządzeniem. W związku z tym sądy i inne podmioty wymiaru sprawiedliwości nie powinny być uznawane za użytkowników danych dotyczących zdrowia w ramach wtórnego wykorzystywania danych dotyczących zdrowia na podstawie niniejszego rozporządzenia. Ponadto sądy i inne podmioty wymiaru sprawiedliwości nie powinny być objęte definicją posiadaczy danych dotyczących zdrowia, a zatem nie powinny być adresatami obowiązków spoczywających na posiadaczach danych dotyczących zdrowia na mocy niniejszego rozporządzenia. Ponadto niniejsze rozporządzenie nie wpływa na ustanowione prawem uprawnienia właściwych organów w zakresie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych w celu uzyskania elektronicznych danych dotyczących zdrowia. Podobnie elektroniczne dane dotyczące zdrowia będące w posiadaniu sądów do celów postępowań sądowych nie wchodzą w zakres niniejszego rozporządzenia.

(64) Zasadniczym elementem służącym propagowaniu wtórnego wykorzystywania danych związanych ze zdrowiem jest utworzenie jednego organu ds. dostępu do danych dotyczących zdrowia lub większej liczby takich organów, które wspierają dostęp do elektronicznych danych dotyczących zdrowia w państwach członkowskich. Państwa członkowskie powinny zatem utworzyć co najmniej jeden organ ds. dostępu do danych dotyczących zdrowia, między innymi aby uwzględnić swoją strukturę konstytucyjną, organizacyjną i administracyjną. Jeden z tych organów ds. dostępu do danych dotyczących zdrowia należy jednak wyznaczyć na koordynatora, jeżeli funkcjonuje więcej niż jeden organ ds. dostępu do danych dotyczących zdrowia. Jeżeli państwo członkowskie utworzy kilka takich organów ds. dostępu do danych dotyczących zdrowia, powinno przewidzieć przepisy na poziomie krajowym w celu zapewnienia skoordynowanego udziału tych organów w Radzie ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia (zwanej dalej "Radą ds. EPDZ"). Takie państwo członkowskie powinno w szczególności wyznaczyć jeden organ ds. dostępu do danych dotyczących zdrowia, który pełnił będzie funkcję pojedynczego punktu kontaktowego do celów skutecznego udziału tych organów i zapewni sprawną i płynną współpracę z innymi organami ds. dostępu do danych dotyczących zdrowia, Radą ds. EPDZ i Komisją. Organy ds. dostępu do danych dotyczących zdrowia mogą różnić się pod względem organizacji i wielkości, począwszy od w pełni rozwiniętej specjalnej organizacji po jednostkę lub wydział istniejącej organizacji). Organy ds. dostępu do danych dotyczących zdrowia nie powinny ulegać wpływom w zakresie podejmowanych przez nie decyzji w sprawie dostępu do danych elektronicznych do celów ich wtórnego wykorzystywania i powinny unikać wszelkich konfliktów interesów. Dlatego też członkowie organów zarządzających i decyzyjnych każdego organu ds. dostępu do danych dotyczących zdrowia oraz ich pracownicy powinni powstrzymać się od wszelkich działań niezgodnych z ich obowiązkami i nie powinni angażować się w żadne niezgodne z nimi zajęcia. Niezależność organów ds. dostępu do danych dotyczących zdrowia nie powinna jednak oznaczać, że organy te nie mogą podlegać mechanizmom kontroli lub monitorowania pod kątem wydatków ani kontroli sądowej. Każdy organ ds. dostępu do danych dotyczących zdrowia powinien zostać wyposażony w zasoby finansowe, techniczne i kadrowe, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań, w tym zadań związanych z wzajemną pomocą i współpracą z innymi organami ds. dostępu do danych dotyczących zdrowia z całej Unii. Członkowie organów ds. dostępu do danych dotyczących zdrowia i ich pracownicy powinni posiadać niezbędne kwalifikacje, doświadczenie i umiejętności. Każdy organ ds. dostępu do danych dotyczących zdrowia powinien dysponować odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu krajowego lub państwowego. Aby poprawić dostęp do danych dotyczących zdrowia i w uzupełnieniu art. 7 ust. 2 rozporządzenia (UE) 2022/868, państwa członkowskie powinny powierzyć organom ds. dostępu do danych dotyczących zdrowia uprawnienia do podejmowania decyzji w sprawie dostępu do danych dotyczących zdrowia i ich wtórnego wykorzystywania. Powierzenie takich uprawnień może odbywać się w drodze przydziału nowych zadań właściwym podmiotom wyznaczonym przez państwa członkowskie na podstawie art. 7 ust. 1 rozporządzenia (UE) 2022/868 lub w drodze wyznaczenia już funkcjonujących lub nowych organów sektorowych odpowiedzialnych za wykonanie takich zadań w kontekście dostępu do danych dotyczących zdrowia.

(65) Organy ds. dostępu do danych dotyczących zdrowia powinny monitorować stosowanie rozdziału IV niniejszego rozporządzenia i wspierać spójne stosowanie tego rozdziału w całej Unii. W tym celu organy ds. dostępu do danych dotyczących zdrowia współpracują ze sobą oraz z Komisją. Organy ds. dostępu do danych dotyczących zdrowia powinny również współpracować z zainteresowanymi stronami, w tym z organizacjami pacjentów. Organy ds. dostępu do danych dotyczących zdrowia powinny wspierać posiadaczy danych dotyczących zdrowia będących małymi przedsiębiorstwami zgodnie z zaleceniem Komisji 2003/361/WE 18 , w szczególności lekarzy i apteki. Ponieważ wtórne wykorzystywanie danych dotyczących zdrowia obejmuje przetwarzanie danych osobowych dotyczących zdrowia, zastosowanie mają odpowiednie przepisy rozporządzeń (UE) 2016/679 i (UE) 2018/1725, a organy nadzorcze przewidziane w tych rozporządzeniach powinny pozostać jedynymi organami właściwymi do egzekwowania tych przepisów. Organy ds. dostępu do danych dotyczących zdrowia powinny informować organy ochrony danych o wszelkich nałożonych karach i wszelkich potencjalnych problemach związanych z przetwarzaniem danych do celów wtórnego wykorzystywania oraz dzielić się wszelkimi istotnymi informacjami, którymi dysponują, aby zapewnić egzekwowanie odpowiednich przepisów. Oprócz realizacji zadań niezbędnych do zapewnienia skutecznego wtórnego wykorzystywania danych dotyczących zdrowia organ ds. dostępu do danych dotyczących zdrowia powinien dążyć do zwiększenia dostępności dodatkowych zbiorów danych dotyczących zdrowia i propagować rozwój wspólnych norm. Organy te powinny również stosować najnowocześniejsze sprawdzone techniki zapewniające przetwarzanie elektronicznych danych dotyczących zdrowia w sposób chroniący prywatność informacji zawartych w danych, których wtórne wykorzystywanie jest dozwolone, w tym technik pseudonimizacji, anonimizacji, uogólnienia, ukrywania i randomizacji danych osobowych. Organy ds. dostępu do danych dotyczących zdrowia mogą przygotować zbiory danych dla użytkownika danych dotyczących zdrowia zgodnie z wymogiem związanym z wydanym zezwoleniem na dostęp do danych. W tym względzie organy ds. dostępu do danych dotyczących zdrowia powinny współpracować w wymiarze transgranicznym w celu opracowywania i wymiany najlepszych praktyk i technik. Obejmuje to zasady dotyczące pseudonimizacji i anonimizacji zestawów danych jednostkowych. W stosownych przypadkach Komisja powinna określić procedury i wymogi oraz zapewnić narzędzia techniczne na potrzeby jednolitej procedury pseudonimizacji i anonimizacji elektronicznych danych dotyczących zdrowia.

(66) Organy ds. dostępu do danych dotyczących zdrowia powinny zapewnić przejrzystość wtórnego wykorzystywania poprzez podawanie do wiadomości publicznej informacji na temat udzielonych zezwoleń na dostęp do danych i ich uzasadnień, środków podjętych w celu ochrony praw osób fizycznych, sposobu, w jaki osoby fizyczne mogą korzystać ze swoich praw w związku z wtórnym wykorzystywaniem oraz wyników wtórnego wykorzystywania, w tym poprzez linki do publikacji naukowych. W stosownych przypadkach informacje na temat wyników wtórnego wykorzystywania powinny również zawierać krótkie podsumowanie, które ma przedstawić użytkownik danych dotyczących zdrowia. Te obowiązki w zakresie przejrzystości uzupełniają obowiązki określone w art. 14 rozporządzenia (UE) 2016/679. Zastosowanie mogą mieć wyjątki przewidziane w art. 14 ust. 5 tego rozporządzenia. W przypadkach stosowania takich wyjątków, obowiązki w zakresie przejrzystości ustanowione w niniejszym rozporządzeni powinny przyczyniać się do zapewnienia uczciwego i przejrzystego przetwarzania, o którym mowa w art. 14 ust. 2 rozporządzenia (UE) 2016/679, na przykład poprzez informacje na temat celu przetwarzania i przetwarzanych kategorii danych, co tym samym umożliwia osobom fizycznym zrozumienie, czy ich dane są udostępniane do wtórnego wykorzystywania na podstawie zezwoleń na dostęp do danych.

(67) Osoby fizyczne powinny być informowane za pośrednictwem posiadaczy danych dotyczących zdrowia o istotnych ustaleniach dotyczących ich zdrowia odkrytych przez użytkowników danych dotyczących zdrowia. Osoby fizyczne powinny mieć prawo zażądać nieinformowania o takich ustaleniach. Państwa członkowskie mogą określić zasady w zakresie sposobów przekazywania przez posiadaczy danych dotyczących zdrowia takich informacji takim osobom fizycznym jak również wykonywania prawa do odmowy bycia informowanym. Zgodnie z art. 23 ust. 1 lit. i) rozporządzenia (UE) 2016/679 państwa członkowskie powinny mieć możliwość ograniczenia zakresu obowiązku informowania osób fizycznych w każdym przypadku, gdy jest to konieczne dla ochrony osób fizycznych ze względu na bezpieczeństwo pacjenta i zasady etyczne, przez opóźnienie przekazania im informacji do czasu, gdy pracownik służby zdrowia będzie mógł przekazać i wyjaśnić zainteresowanym osobom fizycznym informacje, które potencjalnie mogą mieć na ich zdrowie.

(68) Aby zwiększać przejrzystość, organy ds. dostępu do danych dotyczących zdrowia powinny również publikować, co dwa lata sprawozdania z działalności zawierające przegląd prowadzonych przez nie działań. W przypadku gdy państwo członkowskie wyznaczyło więcej niż jeden organ ds. dostępu do danych dotyczących zdrowia, organ koordynujący powinien przygotowywać i publikować co dwa lata wspólne sprawozdanie. Sprawozdania z działalności powinny być zgodne ze strukturą uzgodnioną przez Radę ds. EPDZ i zawierać przegląd działań, w tym informacje na temat decyzji w sprawie wniosków, audytów i współpracy z odpowiednimi zainteresowanymi stronami. Do takich zainteresowanych stron mogą należeć przedstawiciele osób fizycznych, organizacji pacjentów, pracowników służby zdrowia, badaczy i komisji etycznych.

(69) Aby wspierać wtórne wykorzystywanie, posiadacze danych dotyczących zdrowia nie powinni wstrzymywać się od ujawniania danych, żądać nieuzasadnionych, nieprzejrzystych opłat niewspółmiernych do kosztów udostępniania danych (i w stosownych przypadkach do marginalnych kosztów gromadzenia danych), żądać od użytkowników danych dotyczących zdrowia wspólnej publikacji badań lub stosować inne praktyki zniechęcające użytkowników danych dotyczących zdrowia do składania wniosków o dane dotyczące zdrowia. W przypadku gdy posiadacz danych dotyczących zdrowia jest podmiotem sektora publicznego, część opłat związanych z jego kosztami nie powinna pokrywać kosztów początkowego gromadzenia danych. Jeżeli udzielenie zezwolenia na dostęp do danych wymaga

zatwierdzenia w zakresie zgodności z zasadami etycznymi, oceny związanej ze zgodnością z zasadami etycznymi należy dokonać pod względem merytorycznym.

(70) Organy ds. dostępu do danych dotyczących zdrowia powinny mieć możliwość pobierania opłat, biorąc pod uwagę przepisy horyzontalne przewidziane w rozporządzeniu (UE) 2022/868, w związku z realizowanymi przez nie zadaniami. W ramach takich opłat można uwzględnić sytuację i interes małych i średnich przedsiębiorstw (MŚP), poszczególnych badaczy lub podmiotów sektora publicznego. W szczególności państwa członkowskie powinny mieć możliwość przyjęcia polityki dotyczącej organów ds. dostępu do danych dotyczących zdrowia w swojej jurysdykcji, umożliwiającej obniżenie opłat dla niektórych kategorii użytkowników danych dotyczących zdrowia. Organy ds. dostępu do danych dotyczących zdrowia powinny mieć możliwość pokrycia kosztów swych działań za pomocą opłat ustalanych w sposób proporcjonalny, uzasadniony i przejrzysty. Może to skutkować wyższymi opłatami dla niektórych użytkowników danych dotyczących zdrowia, jeżeli obsługa ich wniosków o dostęp do danych dotyczących zdrowia i zapytań o dane dotyczące zdrowia wymaga więcej pracy. Posiadacze danych dotyczących zdrowia powinni również mieć możliwość pobierania opłat odzwierciedlających ich koszty udostępniania danych. Organy ds. dostępu do danych dotyczących zdrowia powinny decydować o wysokości takich opłat, co obejmowałoby również opłaty wymagane przez posiadacza danych dotyczących zdrowia. Organ ds. dostępu do danych dotyczących zdrowia powinien mieć możliwość pobierania takich opłat od użytkownika danych dotyczących zdrowia na jednej fakturze. Organ ds. dostępu do danych dotyczących zdrowia powinien następnie przekazać odpowiednią część uiszczonych opłat posiadaczowi danych dotyczących zdrowia. Aby zapewnić zharmonizowane podejście dotyczące polityki i struktury opłat, należy powierzyć Komisji uprawnienia wykonawcze. Art. 10 rozporządzenia (UE) 2023/2854 powinien mieć zastosowanie do opłat pobieranych na podstawie niniejszego rozporządzenia.

(71) Aby zwiększyć skuteczność egzekwowania przepisów dotyczących wtórnego wykorzystywania, należy przewidzieć odpowiednie środki, które mogą prowadzić do nakładania administracyjnych kar pieniężnych lub wprowadzenia środków egzekwowania przez organy ds. dostępu do danych dotyczących zdrowia albo czasowego lub stałego wykluczenia z ram EPDZ użytkowników lub posiadaczy danych dotyczących zdrowia niewywiązujących się ze swoich obowiązków. Organy ds. dostępu do danych dotyczących zdrowia powinny być uprawnione do weryfikacji zgodności użytkowników danych dotyczących zdrowia i posiadaczy danych dotyczących zdrowia i powinny dać im szansę na odniesienie się do wszelkich ustaleń i usunięcie wszelkich naruszeń. Przy podejmowaniu decyzji o wysokości administracyjnej kary pieniężnej lub środka egzekwowania prawa dla każdego przypadku osobno organy ds. dostępu do danych dotyczących zdrowia powinny uwzględnić marginesy kosztów i kryteria określone w niniejszym rozporządzeniu, zapewniając proporcjonalność kar pieniężnych lub środków.

(72) Ponieważ elektroniczne dane dotyczące zdrowia stanowią dane wrażliwe, należy ograniczyć ryzyko dotyczące prywatności osób fizycznych poprzez stosowanie zasady minimalizacji danych. W związku z powyższym elektroniczne dane nieosobowe dotyczące zdrowia powinny być udostępniane we wszystkich przypadkach, gdy dostarczenie takich danych jest wystarczające. Jeżeli użytkownik danych dotyczących zdrowia musi użyć elektronicznych danych osobowych dotyczących zdrowia, powinien podać we wniosku wyraźne uzasadnienie stosowania tego typu danych, a organ ds. dostępu do danych dotyczących zdrowia powinien ocenić zasadność tego uzasadnienia. Elektroniczne dane osobowe dotyczące zdrowia należy udostępniać wyłącznie w formacie spseudonimizowanym. Biorąc pod uwagę konkretne cele przetwarzania, elektroniczne dane osobowe dotyczące zdrowia należy spseudonimizować lub zanonimizować na jak najwcześniejszym etapie procesu udostępniania danych do wtórnego wykorzystywania. Pseudonimizacji i anonimizacji mogą dokonywać organy ds. dostępu do danych dotyczących zdrowia lub posiadacze danych dotyczących zdrowia. Jako administratorzy, organy ds. dostępu do danych dotyczących zdrowia i posiadacze danych dotyczących zdrowia powinni mieć możliwość delegowania tych zadań podmiotom przetwarzającym dane. Udzielając dostępu do spseudonimizowanego lub zanonimizowa- nego zbioru danych, organ ds. dostępu do danych dotyczących zdrowia powinien stosować najnowocześniejsze technologie i normy pseudonimizacji lub anonimizacji, zapewniając w jak największym stopniu, aby osoby fizyczne nie mogły zostać zdeanonimizowane przez użytkowników danych dotyczących zdrowia. Takie technologie i normy dotyczące pseudonimizacji lub anonimizacji danych powinny być w dalszym ciągu rozwijane. Użytkownicy danych dotyczących zdrowia nie powinni dążyć do deanonimizacji osób fizycznych z wykorzystaniem zbioru danych przekazanego na podstawie niniejszego rozporządzenia pod rygorem administracyjnych kar pieniężnych oraz środków egzekwowania prawa określonych w niniejszym rozporządzeniu lub ewentualnych sankcji karnych, jeżeli są przewidziane w prawie krajowym. Ponadto wnioskodawca ubiegający się o dostęp do danych dotyczących zdrowia powinien mieć możliwość zwrócenia się z prośbą o udzielenie odpowiedzi na zapytanie o dane dotyczące zdrowia w zanonimizowanym formacie statystycznym. W takim przypadku użytkownik danych dotyczących zdrowia przetwarzałby wyłącznie dane nieosobowe dotyczące zdrowia, a organ ds. dostępu do danych dotyczących zdrowia pozostałby jedynym administratorem wszelkich danych osobowych niezbędnych do udzielenia odpowiedzi na zapytanie o dane dotyczące zdrowia.

(73) W celu zapewnienia, aby wszystkie organy ds. dostępu do danych dotyczących zdrowia wydawały zezwolenia na dostęp do danych w podobny sposób, należy ustanowić standardowy wspólny proces wydawania zezwoleń na dostęp do danych obejmujący podobne wnioski składane w różnych państwach członkowskich. Wnioskodawca ubiegający się o dostęp do danych dotyczących zdrowia powinien przekazać organom ds. dostępu do danych dotyczących zdrowia szereg informacji, na podstawie których dany organ oceniłby wniosek o dostęp do danych dotyczących zdrowia i podjął decyzję czy wnioskodawca ubiegający się o dostęp do danych dotyczących zdrowia może otrzymać zezwolenie na dostęp do danych oraz należy zachować spójność między poszczególnymi organami ds. dostępu do danych dotyczących zdrowia. Informacje przekazywane w ramach wniosku o dostęp do danych dotyczących zdrowia powinny być zgodne z wymogami ustanowionymi w niniejszym rozporządzeniu, aby umożliwić ich dokładną ocenę, ponieważ zezwolenie na dostęp do danych powinno być wydawane tylko wtedy, gdy spełnione są wszystkie niezbędne warunki określone w niniejszym rozporządzeniu. Ponadto, w stosownych przypadkach, informacje te powinny zawierać oświadczenie wnioskodawcy ubiegającego się o dostęp do danych dotyczących zdrowia, że zamierzone wykorzystanie żądanych danych nie stwarza ryzyka stygmatyzacji lub naruszenia godności osób fizycznych lub grup, których dotyczy objęty wnioskiem zbiór danych. Na podstawie prawa krajowego może być wymagane przeprowadzenie oceny etycznej. W takim przypadku już funkcjonujące organy ds. etyki powinny mieć możliwość przeprowadzenia takich ocen na potrzeby organu ds. dostępu do danych dotyczących zdrowia. Funkcjonujące już organy ds. etyki państw członkowskich powinny w tym celu udostępnić swoją wiedzę fachową organowi ds. dostępu do danych dotyczących zdrowia. Jako alternatywa państwa członkowskie powinny mieć możliwość postanowienia o włączeniu organów ds. etyki do organu ds. dostępu do danych dotyczących zdrowia jako części tego organu. Organ ds. dostępu do danych dotyczących zdrowia i w razie potrzeby posiadacze danych dotyczących zdrowia powinni pomagać użytkownikom danych dotyczących zdrowia w wyborze odpowiednich zbiorów lub źródeł danych z punktu widzenia zamierzonego celu wtórnego wykorzystywania. Jeżeli wnioskodawca ubiegający się o dostęp do danych dotyczących zdrowia potrzebuje danych w zanonimizowanym formacie statystycznym, powinien przedłożyć zapytanie o dane dotyczące zdrowia z prośbą do organu ds. dostępu do danych dotyczących zdrowia o przekazanie bezpośrednio wyników. Odmowa wydania zezwolenia na dostęp do danych przez organ ds. dostępu do danych dotyczących zdrowia nie powinna uniemożliwiać wnioskodawcy ubiegającego się o dostęp do danych dotyczących zdrowia złożenia nowego wniosku o dostęp do danych dotyczących zdrowia. W celu zapewnienia, aby organy ds. dostępu do danych dotyczących zdrowia stosowały zharmonizowane podejście oraz aby ograniczyć obciążenia administracyjne dla wnioskodawców ubiegających się o dostęp do danych dotyczących zdrowia, Komisja powinna wspierać harmonizację wniosków o dostęp do danych dotyczących zdrowia, a także zapytań o dane dotyczące zdrowia, w tym poprzez ustanowienie odpowiednich wzorów. W uzasadnionych przypadkach, na przykład w przypadku złożonego i czasochłonnego wniosku, organ ds. dostępu do danych dotyczących zdrowia powinien mieć możliwość przedłużenia okresu, w którym posiadacze danych dotyczących zdrowia mogą udostępnić mu żądane elektroniczne dane dotyczące zdrowia.

(74) Ponieważ zasoby organów ds. dostępu do danych dotyczących zdrowia są ograniczone, organy te powinny mieć możliwość stosowania zasady ustalania priorytetów, na przykład przyznając pierwszeństwo instytucjom publicznym przed podmiotami prywatnymi, ale nie powinny odmiennie traktować organizacji krajowych i organizacji z innych państw członkowskich w ramach tej samej kategorii priorytetów. Użytkownik danych dotyczących zdrowia powinien mieć możliwość przedłużenia okresu obowiązywania zezwolenia na dostęp do danych, aby na przykład umożliwić dostęp do zbiorów danych recenzentom publikacji naukowej lub umożliwić dodatkową analizę zbioru danych na podstawie wstępnych ustaleń. Wymagałoby to zmiany zezwolenia na dostęp do danych i mogłoby podlegać dodatkowej opłacie. We wszystkich przypadkach zezwolenie na dostęp do danych powinno jednak odzwierciedlać te dodatkowe sposoby wykorzystania zbioru danych. Najlepiej byłoby, gdyby użytkownik danych dotyczących zdrowia wymieniał te sposoby w swoim pierwotnym wniosku o dostęp do danych. W celu zapewnienia, aby organy ds. dostępu do danych dotyczących zdrowia stosowały zharmonizowane podejście, Komisja powinna wspierać harmonizację zezwoleń na dostęp do danych.

(75) Jak pokazał kryzys związany z COVID-19, instytucje, organy i jednostki organizacyjne Unii, którym powierzono mandat prawny w dziedzinie zdrowia publicznego, zwłaszcza Komisja, potrzebują dostępu do danych dotyczących zdrowia przez dłuższy okres i regularnie. Może to mieć miejsce nie tylko w przypadku szczególnych okoliczności przewidzianych w prawie Unii lub prawie krajowym w czasach kryzysu, lecz także w celu regularnego dostarczania dowodów naukowych i wsparcia technicznego na potrzeby polityk Unii. Dostęp do takich danych może być wymagany w określonych państwach członkowskich lub na całym terytorium Unii. Takie instytucje, organy i jednostki organizacyjne Unii powinny mieć możliwość skorzystania z przyspieszonej procedury udostępniania danych zwykle w terminie krótszym niż dwa miesiące, z możliwością przedłużenia terminu o jeden miesiąc w bardziej złożonych przypadkach.

(76) Państwa członkowskie powinny mieć możliwość wyznaczenia zaufanych posiadaczy danych dotyczących zdrowia, w przypadku których procedura wydawania zezwoleń na dostęp do danych byłaby prowadzona w sposób uproszczony, aby zmniejszyć obciążenie administracyjne organów ds. dostępu do danych dotyczących zdrowia w związku z rozpatrywaniem wniosków o dane przetwarzane przez nie. Zaufani posiadacze danych dotyczących zdrowia powinni mieć możliwość oceny wniosków o dostęp do danych złożonych w ramach tej uproszczonej procedury, w oparciu o ich wiedzę fachową w zakresie postępowania z rodzajem danych dotyczących zdrowia, które przetwarzają, oraz wydania zalecenia dotyczącego zezwolenia na dostęp do danych. Organ ds. dostępu do danych dotyczących zdrowia powinien pozostać odpowiedzialny za wydanie ostatecznego zezwolenia na dostęp do danych i nie powinien być zobowiązany stosować się do zalecenia wydanego przez zaufanego posiadacza danych dotyczących zdrowia. Podmioty pośredniczące w zakresie danych dotyczących zdrowia nie powinny być wyznaczane jako zaufani posiadacze danych dotyczących zdrowia.

(77) Ze względu na wrażliwość elektronicznych danych dotyczących zdrowia użytkownicy danych dotyczących zdrowia nie powinni mieć nieograniczonego dostępu do takich danych. Wszelki dostęp do żądanych elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania powinien odbywać się za pośrednictwem bezpiecznego środowiska przetwarzania. W celu zapewnienia solidnych gwarancji technicznych i gwarancji bezpieczeństwa elektronicznych danych dotyczących zdrowia organ ds. dostępu do danych dotyczących zdrowia lub, w stosownych przypadkach, zaufany posiadacz danych dotyczących zdrowia powinien zapewniać dostęp do takich danych w bezpiecznym środowisku przetwarzania, przestrzegając rygorystycznych norm technicznych i norm bezpieczeństwa określonych na podstawie niniejszego rozporządzenia. Przetwarzanie danych osobowych w takim bezpiecznym środowisku przetwarzania powinno być zgodne z rozporządzeniem (UE) 2016/679, w tym - w przypadku gdy bezpiecznym środowiskiem zarządza strona trzecia - z wymogami określonymi w art. 28 tego rozporządzenia oraz, w stosownych przypadkach, w rozdziale V tego rozporządzenia. Takie bezpieczne środowisko przetwarzania powinno ograniczać ryzyko dla prywatności związane z takimi czynnościami przetwarzania i uniemożliwiać przekazywanie elektronicznych danych dotyczących zdrowia bezpośrednio użytkownikom danych dotyczących zdrowia. Organ ds. dostępu do danych dotyczących zdrowia lub posiadacz danych dotyczących zdrowia świadczący tę usługę powinni przez cały czas sprawować kontrolę nad dostępem do elektronicznych danych dotyczących zdrowia, a dostęp udzielany użytkownikom danych dotyczących zdrowia powinien być obwarowany warunkami określonymi w wydanym zezwoleniu na dostęp do danych. Z takiego bezpiecznego środowiska przetwarzania użytkownicy danych dotyczących zdrowia powinni pobierać jedynie elektroniczne dane nieosobowe dotyczące zdrowia, które nie zawierają żadnych elektronicznych danych osobowych dotyczących zdrowia. Takie bezpieczne środowisko przetwarzania jest zatem podstawowym zabezpieczeniem chroniącym prawa i wolności osób fizycznych w związku z przetwarzaniem ich elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania. Komisja powinna wspomagać państwa członkowskie w opracowywaniu wspólnych norm bezpieczeństwa w celu promowania bezpieczeństwa i interoperacyjności poszczególnych bezpiecznych środowisk przetwarzania.

(78) W rozporządzeniu (UE) 2022/868 określono ogólne przepisy dotyczące zarządzania altruistycznym podejściem do danych. Mając na uwadze, że sektor ochrony zdrowia zarządza danymi wrażliwymi, należy ustanowić dodatkowe kryteria w postaci zbioru zasad, o którym mowa w tym rozporządzeniu. Jeżeli taki zbiór zasad przewiduje stosowanie bezpiecznego środowiska przetwarzania w tym sektorze, takie bezpieczne środowisko przetwarzania powinno być zgodne z kryteriami określonymi w niniejszym rozporządzeniu. Organy ds. dostępu do danych dotyczących zdrowia powinny współpracować z właściwymi organami wyznaczonymi na podstawie rozporządzenia (UE) 2022/868 do celów nadzorowania działalności organizacji altruizmu danych w sektorze ochrony zdrowia i opieki.

(79) W odniesieniu do przetwarzania elektronicznych danych dotyczących zdrowia w zakresie zezwolenia na dostęp do danych lub zapytania o dane dotyczące zdrowia posiadacze danych dotyczących zdrowia, w tym zaufani posiadacze danych dotyczących zdrowia, organy ds. dostępu do danych dotyczących zdrowia i użytkownicy danych dotyczących zdrowia powinni być z kolei uznawani za administratorów w odniesieniu do konkretnej części procesu i zgodnie z ich odpowiednimi rolami w tym procesie. Posiadaczy danych dotyczących zdrowia należy uznać za administratorów do celów ujawnienia żądanych elektronicznych danych osobowych dotyczących zdrowia organom ds. dostępu do danych dotyczących zdrowia, natomiast organy ds. dostępu do danych dotyczących zdrowia należy uznać za administratorów do celów przetwarzania elektronicznych danych osobowych dotyczących zdrowia podczas przygotowywania danych i udostępniania ich użytkownikowi danych dotyczących zdrowia. Użytkowników danych dotyczących zdrowia należy uznać za administratorów do celów przetwarzania elektronicznych danych osobowych dotyczących zdrowia w formie spseudonimizowanej w bezpiecznym środowisku przetwarzania zgodnie z ich zezwoleniami na dostęp do danych. Organy ds. dostępu do danych dotyczących zdrowia należy uznać za podmioty przetwarzające w imieniu użytkownika danych dotyczących zdrowia do celów przetwarzania prowadzonego przez użytkownika danych dotyczących zdrowia na podstawie zezwolenia na dostęp do danych w bezpiecznym środowisku przetwarzania, a także do celów przetwarzania w celu udzielenia odpowiedzi na zapytanie o dane dotyczące zdrowia. Podobnie zaufanych posiadaczy danych dotyczących zdrowia należy uznać za administratorów do celów przetwarzania przez nich elektronicznych danych osobowych dotyczących zdrowia związanych z przekazywaniem elektronicznych danych dotyczących zdrowia użytkownikowi danych dotyczących zdrowia na podstawie zezwolenia na dostęp do danych lub zapytania o dane dotyczące zdrowia. Zaufanych posiadaczy danych dotyczących zdrowia należy uznać za podmioty przetwarzające dane dotyczące zdrowia przy przekazywaniu danych w bezpiecznym środowisku przetwarzania dla użytkownika danych dotyczących zdrowia.

(80) Aby zapewnić sprzyjające włączeniu społecznemu i zrównoważone ramy wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia w wielu państwach, należy stworzyć transgraniczną infrastrukturę DaneZdrowotne@UE. Infrastruktura DaneZdrowotne@UE powinna przyspieszyć wtórne wykorzystywanie, a jednocześnie zwiększyć pewność prawa oraz zapewnić poszanowanie prywatności osób fizycznych i interoperacyjność. Ze względu na wrażliwość danych dotyczących zdrowia należy w miarę możliwości przestrzegać takich zasad, jak: "uwzględnienie ochrony prywatności już w fazie projektowania" i "domyślna ochrona prywatności" jak również zasady "zadawanie pytań w miejscu, w którym znajdują się dane, zamiast przenoszenia tych danych". Państwa członkowskie powinny wyznaczyć krajowe punkty kontaktowe ds. wtórnego wykorzystywania jako organizacyjne i techniczne punkty dostępu dla organów ds. dostępu do danych dotyczących zdrowia oraz powinny połączyć te punkty kontaktowe z infrastrukturą DaneZdrowotne@UE. Unijna służba ds. dostępu do danych dotyczących zdrowia powinna również być połączona z infrastrukturą DaneZdrowotne@UE. Ponadto upoważnionymi uczestnikami infrastruktury DaneZdrowotne@UE mogą być infrastruktury badawcze utworzone jako konsorcjum na rzecz europejskiej infrastruktury badawczej (ERIC) na podstawie rozporządzenia Rady (WE) nr 723/2009 19  jako europejskie konsorcjum na rzecz infrastruktury cyfrowej (EDIC) na podstawie decyzji (UE) 2022/2481 lub podobne struktury ustanowione na podstawie innych aktów prawnych Unii, a także inne rodzaje podmiotów, w tym infrastruktury w ramach Europejskiego Forum Strategii ds. Infrastruktur Badawczych (ESFRI) lub infrastruktury wchodzące w skład europejskiej chmury dla otwartej nauki (EOSC). Państwa trzecie i organizacje międzynarodowe również mogłyby stać się upoważnionymi uczestnikami w infrastrukturze DaneZdrowotne@UE, pod warunkiem że spełniają one wymogi niniejszego rozporządzenia. W komunikacie Komisji z dnia 19 lutego 2020 r. pt. "Europejska strategia w zakresie danych" promuje się łączenie poszczególnych wspólnych europejskich

przestrzeni danych. Infrastruktura DaneZdrowotne@UE powinna zatem umożliwiać wtórne wykorzystywanie różnych kategorii elektronicznych danych dotyczących zdrowia, w tym łączenie danych dotyczących zdrowia z danymi z innych przestrzeni danych, takich jak przestrzenie związane ze środowiskiem, rolnictwem i kwestiami społecznymi. Taka interoperacyjność między sektorem ochrony zdrowia a innymi sektorami, takimi jak sektor środowiskowy, rolny czy społeczny może być istotna dla uzyskania dodatkowych informacji na temat czynników warunkujących zdrowie. Komisja mogłaby świadczyć szereg usług w ramach infrastruktury DaneZdrowotne@UE, w tym wspierać wymianę informacji między organami ds. dostępu do danych dotyczących zdrowia i upoważnionymi uczestnikami infrastruktury DaneZdrowotne@UE do celów rozpatrywania wniosków o dostęp transgraniczny, prowadzić katalogi elektronicznych danych dotyczących zdrowia dostępne za pośrednictwem tej infrastruktury, oferować usługi w zakresie wyszukiwalności sieci, kwerend w metadanych, łączności i zapewniania zgodności. Komisja może również stworzyć bezpieczne środowisko przetwarzania umożliwiające przekazywanie i analizę - na wniosek administratorów - danych pochodzących z różnych infrastruktur krajowych. Ze względu na efektywność informatyczną, racjonalizację i interoperacyjność wymiany danych należy w jak największym stopniu ponownie wykorzystać istniejące systemy udostępniania danych, takie jak systemy utworzone na potrzeby wymiany dowodów w ramach "systemu technicznego z wykorzystaniem zasady jednorazowości" przewidzianego w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1724 20 .

(81) Ponadto, biorąc pod uwagę, że połączenie z infrastrukturą DaneZdrowotne@UE mogłoby wiązać się z przekazywaniem danych osobowych dotyczących wnioskodawcy lub użytkownika danych dotyczących zdrowia do państw trzecich, konieczne jest wprowadzenie odpowiednich instrumentów przekazywania na podstawie rozdziału V rozporządzenia (UE) 2016/679 w celu takiego przekazywania.

(82) W przypadku transgranicznych rejestrów lub baz danych, takich jak rejestry europejskich sieci referencyjnych ds. chorób rzadkich, do których wpływają dane od różnych świadczeniodawców z szeregu państw członkowskich, za zapewnienie dostępu do danych powinien odpowiadać organ ds. dostępu do danych dotyczących zdrowia państwa członkowskiego, w którym znajduje się koordynator rejestru.

(83) Proces autoryzacji uzyskiwania dostępu do elektronicznych danych osobowych dotyczących zdrowia w różnych państwach członkowskich może być powtarzalny i uciążliwy dla użytkowników danych dotyczących zdrowia. W miarę możliwości należy tworzyć synergie, by zmniejszać obciążenie i bariery dla użytkowników danych dotyczących zdrowia. Jednym ze sposobów osiągnięcia tego celu jest przestrzeganie zasady "jednego wniosku", zgodnie z którą użytkownik danych dotyczących zdrowia poprzez złożenie jednego wniosku może uzyskać autoryzację od wielu organów ds. dostępu do danych dotyczących zdrowia w różnych państwach członkowskich lub od upoważnionych uczestników infrastruktury DaneZdrowotne@UE.

(84) Organy ds. dostępu do danych dotyczących zdrowia powinny udzielać informacji o dostępnych zbiorach danych i ich cechach, tak aby użytkownicy danych dotyczących zdrowia mogli poznać podstawowe fakty na temat danego zbioru danych i oceniać ewentualne znaczenie tych faktów dla użytkowników. Z tego powodu każdy zbiór danych powinien zawierać co najmniej informacje dotyczące źródła, charakteru danych i warunków udostępniania danych. Posiadacz danych dotyczących zdrowia powinien co najmniej raz w roku sprawdzać, czy jego opis zbioru danych w krajowym katalogu zbiorów danych jest dokładny i aktualny. W związku z tym należy ustanowić katalog zbiorów danych UE, aby: zwiększyć wyszukiwalność zbiorów danych dostępnych w EPDZ, pomagać posiadaczom danych dotyczących zdrowia w publikowaniu ich zbiorów danych, dostarczać wszystkim zainteresowanym stronom, w tym ogółowi społeczeństwa, z uwzględnieniem szczególnych potrzeb osób z niepełnosprawnościami, informacji na temat zbiorów danych umieszczanych w EPDZ, w postaci m.in. znaków jakości i użyteczności, arkuszy informacyjnych dotyczących zbioru danych i dostarczać użytkownikom danych dotyczących zdrowia aktualnych informacji na temat jakości i użyteczności danych znajdujących się w zbiorach danych.

(85) Informacje na temat jakości i użyteczności zbiorów danych znacznie zwiększają wartość wyników badań naukowych i innowacji wymagających intensywnego przetwarzania danych, a jednocześnie wspomagają podejmowanie decyzji regulacyjnych i politycznych na podstawie dowodów. Poprawa jakości i użyteczności zbiorów danych dzięki umożliwieniu klientom świadomego wyboru oraz poprzez harmonizację powiązanych wymogów na poziomie unijnym, z uwzględnieniem istniejących norm unijnych i międzynarodowych, wytycznych oraz zaleceń dotyczących gromadzenia i wymiany danych, takich jak zasad FAIR przynosi korzyści również posiadaczom danych dotyczących zdrowia, pracownikom służby zdrowia, osobom fizycznym i całej gospodarce Unii. Znak jakości i użyteczności danych, którym byłyby opatrywane zbiory danych, informowałby użytkowników danych dotyczących zdrowia o jakości i cechach użytkowych zbioru danych oraz umożliwiałby im wybór zbiorów danych, które najlepiej odpowiadają ich potrzebom. Znak jakości i użyteczności danych nie powinien uniemożliwiać udostępniania zbiorów danych za pośrednictwem EPDZ, lecz stanowić mechanizm zapewniający przejrzystość między posiadaczami danych dotyczących zdrowia a użytkownikami danych dotyczących zdrowia. Na przykład zbiór danych, który nie spełnia żadnych wymogów dotyczących jakości i użyteczności danych, powinien być oznaczony klasą odpowiadającą najniższej jakości i najmniejszej użyteczności, ale i tak powinien być udostępniany. Przy opracowywaniu ram jakości i użyteczności danych należy wziąć pod uwagę oczekiwania określone przez ramy stworzone na podstawie art. 10 rozporządzenia (UE) 2024/1689 oraz odpowiednią dokumentację techniczną określoną w załączniku IV do tego rozporządzenia. Państwa członkowskie powinny podnosić świadomość na temat znaku jakości i użyteczności danych poprzez działania komunikacyjne. Komisja mogłaby wspierać te działania. Użytkownicy mogliby priorytetowo traktować wykorzystanie zbiorów danych w zależności od ich użyteczności i jakości.

(86) Katalog zbiorów danych UE powinien minimalizować obciążenie administracyjne dla posiadaczy danych dotyczących zdrowia i innych użytkowników baz danych; być przyjazny dla użytkownika, dostępny i opłacalny, łączyć krajowe zbiory danych i umożliwiać unikanie niepotrzebnej rejestracji zbiorów danych. Bez uszczerbku dla wymogów określonych w rozporządzeniu (UE) 2022/868, katalog zbiorów danych UE można byłoby dostosować do inicjatywy data.europa.eu. Należy zapewnić interoperacyjność między katalogiem zbiorów danych UE, krajowymi katalogami danych i katalogami zbiorów danych z europejskich infrastruktur badawczych i innych odpowiednich infrastruktur udostępniania danych.

(87) Różne organizacje zawodowe, Komisja i inne instytucje współpracują i działają w celu określenia minimalnych pól danych i innych cech różnych zbiorów danych, na przykład rejestrów. Prace te są bardziej zaawansowane w takich dziedzinach jak nowotwory, choroby rzadkie, choroby układu krążenia i metaboliczne, ocena czynników ryzyka i statystyki, i należy je uwzględnić przy określaniu nowych norm i zharmonizowanych wzorów ustrukturyzowanych elementów danych dotyczących poszczególnych chorób. Wiele zbiorów danych nie jest jednak zharmonizowanych, co powoduje problemy z porównywalnością i utrudnia prowadzenie badań transgranicznych. W związku z tym w aktach wykonawczych należy określić bardziej szczegółowe przepisy w celu zapewnienia zharmonizowanego kodowania i rejestracji elektronicznych danych dotyczących zdrowia, aby mogły być dostarczane do wtórnego wykorzystywania w sposób spójny. Takie zbiory danych mogą obejmować dane z rejestrów chorób rzadkich, baz danych leków sierocych, rejestrów nowotworów i rejestrów bardzo istotnych chorób zakaźnych. Państwa członkowskie powinny działać na rzecz zapewnienia, by europejskie systemy i usługi e-zdrowia oraz interoperacyjne aplikacje przynosiły trwałe korzyści gospodarcze i społeczne, mając na celu celem osiągnięcie wysokiego poziomu zaufania i bezpieczeństwa, zwiększenia ciągłości opieki zdrowotnej i zapewnienia dostępu do bezpiecznej opieki zdrowotnej wysokiej jakości. Istniejące infrastruktury i rejestry danych dotyczących zdrowia mogą stanowić wzorce przydatne do określenia i wdrożenia norm dotyczących danych oraz interoperacyjności i powinny być wykorzystywane w celu zapewnienia ciągłości i wykorzystania istniejącej wiedzy fachowej.

(88) Komisja powinna wspierać państwa członkowskie w budowaniu zdolności i zwiększaniu skuteczności w obszarze systemów e-zdrowia w zakresie pierwotnego wykorzystywania i wtórnego wykorzystywania. Należy wspomagać państwa członkowskie w zwiększaniu ich zdolności. Odpowiednimi środkami pod tym względem są działania na poziomie unijnym, takie jak analiza porównawcza i wymiana najlepszych praktyk. W działaniach tych należy uwzględniać specyficzne okoliczności różnych kategorii zainteresowanych stron, takich jak przedstawiciele społeczeństwa obywatelskiego, naukowcy, stowarzyszenia medyczne i MŚP.

(89) Poprawa umiejętności cyfrowych w dziedzinie zdrowia zarówno wśród osób fizycznych, jak i pracowników służby zdrowia ma kluczowe znaczenie dla zaufania, bezpieczeństwa i właściwego wykorzystania danych dotyczących zdrowia, a tym samym jest kluczowa dla pomyślnego wdrożenia niniejszego rozporządzenia. Pracownicy służby zdrowia stoją w obliczu głębokich zmian w kontekście cyfryzacji i w ramach wdrażania EPDZ otrzymają kolejne narzędzia cyfrowe. Pracownicy służby zdrowia muszą zatem rozwijać swoje umiejętności cyfrowe w dziedzinie zdrowia i umiejętności cyfrowe a państwa członkowskie powinny zapewnić pracownikom służby zdrowia dostęp do kursów rozwijających umiejętności cyfrowe, aby mogli przygotować się do pracy z systemami EDM. Takie kursy powinny umożliwiać pracownikom służby zdrowia i operatorom IT otrzymanie wystarczającego przeszkolenia w zakresie pracy z nowymi infrastrukturami cyfrowymi, aby zapewnić cyberbezpieczeństwo i etyczne zarządzanie danymi dotyczącymi zdrowia. Kursy szkoleniowe powinny być opracowywane, poddawane przeglądowi i regularnie aktualizowane w porozumieniu i we współpracy z odpowiednimi ekspertami. Poprawa umiejętności cyfrowych w dziedzinie zdrowia ma zasadnicze znaczenie dla umożliwienia osobom fizycznym sprawowania rzeczywistej kontroli nad swoimi danymi dotyczącymi zdrowia, aktywnego zarządzania swoim zdrowiem i opieką oraz zrozumienia konsekwencji zarządzania takimi danymi zarówno do wykorzystywania pierwotnego, jak i wykorzystywania wtórnego. Różne grupy demograficzne charakteryzują się różnym poziomem umiejętności cyfrowych, co może wpływać na zdolność osób fizycznych do korzystania z przysługujących im praw do kontrolowania swoich elektronicznych danych dotyczących zdrowia. Państwa członkowskie, w tym na poziomie regionalnym i lokalnym, powinny zatem wspierać umiejętności cyfrowe w dziedzinie zdrowia i świadomość społeczną, dbając jednocześnie o to, by wdrożenie niniejszego rozporządzenia przyczyniało się do zmniejszenia nierówności i nie dyskryminowało osób nieposiadających umiejętności cyfrowych. Szczególną uwagę należy poświęcić osobom z niepełnosprawnościami i grupom szczególnie wrażliwym, w tym migrantom i osobom starszym. Państwa członkowskie powinny stworzyć ukierunkowane krajowe programy w zakresie umiejętności cyfrowych, w tym programy mające na celu maksymalizację włączenia społecznego i zapewnienie wszystkim osobom fizycznym możliwości skutecznego korzystania z praw przysługujących im na podstawie niniejszego rozporządzenia. Państwa członkowskie powinny również zapewnić osobom fizycznym wytyczne ukierunkowane na pacjenta w odniesieniu do korzystania z elektronicznej dokumentacji medycznej i pierwotnego wykorzystywania ich elektronicznych danych osobowych dotyczących zdrowia. Wytyczne powinny być dostosowane do poziomu umiejętności cyfrowych pacjenta w dziedzinie zdrowia, ze szczególnym uwzględnieniem potrzeb grup szczególnie wrażliwych.

(90) Do osiągnięcia celów EPDZ powinno również przyczynić się wykorzystanie funduszy. Przy określaniu warunków udzielania zamówień publicznych, zaproszeń do składania wniosków i przydzielania środków z funduszy unijnych, w tym funduszy strukturalnych i Funduszu Spójności, podmioty udzielające zamówień publicznych, właściwe organy krajowe w państwach członkowskich, w tym organy ds. e-zdrowia i organy ds. dostępu do danych dotyczących zdrowia, oraz Komisja powinny odnosić się do mających zastosowanie specyfikacji technicznych, norm i profili dotyczących interoperacyjności, bezpieczeństwa i jakości danych, a także innych wymogów opracowanych na podstawie niniejszego rozporządzenia. Fundusze unijne powinny być rozdzielane w przejrzysty sposób między państwa członkowskie z uwzględnieniem różnych poziomów cyfryzacji systemów opieki zdrowotnej. Udostępnianie danych do wtórnego wykorzystywania wymaga dodatkowych zasobów dla systemów opieki zdrowotnej, w szczególności systemów publicznej opieki zdrowotnej. To dodatkowe obciążenie należy uwzględnić i zminimalizować na etapie wdrażania EPDZ.

(91) Wdrożenie EPDZ wymaga odpowiednich inwestycji w rozwijanie zdolności i szkolenia oraz odpowiednich środków finansowych przeznaczonych na konsultacje publiczne i zaangażowanie zarówno na poziomie Unii i państw członkowskich. Koszty ekonomiczne wdrożenia niniejszego rozporządzenia będą musiały być ponoszone zarówno na poziomie Unii, jak i na poziomie krajowym, z zapewnieniem sprawiedliwego podziału tego obciążenia między fundusze unijne i krajowe.

(92) Niektóre kategorie elektronicznych danych dotyczących zdrowia mogą pozostać szczególnie wrażliwe, nawet jeśli są w formacie zanonimizowanym, a zatem są nieosobowe, co zostało już wyraźnie przewidziane w rozporządzeniu (UE) 2022/868. Nawet w przypadku stosowania najnowocześniejszych technik anonimizacji występuje ryzyko szczątkowe, że dostępna może być lub stać się zdolność do deanonimizacji wykraczająca poza środki, których użycie jest racjonalnie prawdopodobne. Takie ryzyko szczątkowe występuje w odniesieniu do chorób rzadkich, czyli stanu chorobowego zagrażającego życiu lub powodującego chroniczny ubytek zdrowia, występującego u nie więcej niż pięciu na 10 tysięcy osób w Unii, w przypadku których ograniczona liczba przypadków ogranicza możliwość pełnego zagregowania publikowanych danych w celu ochrony prywatności osób fizycznych przy jednoczesnym utrzymaniu odpowiedniego poziomu szczegółowości, aby zachować znaczenie danych. Takie ryzyko szczątkowe może wpływać na różne kategorie danych dotyczących zdrowia oraz może to prowadzić do deanonimizacji osób, których dane dotyczą, przy użyciu środków wykraczających poza te, których użycie jest racjonalnie prawdopodobne. Takie ryzyko zależy od poziomu szczegółowości, opisu cech osób, których dane dotyczą, liczby osób, których dane dotyczą, na przykład w przypadku danych zawartych w elektronicznej dokumentacji medycznej, rejestrach chorób, biobankach i danych wygenerowanych przez osoby, gdzie zakres cech identyfikacyjnych jest ogólniejszy i istnieje możliwość połączenia z innymi informacjami, na przykład na bardzo małych obszarach geograficznych, lub dzięki rozwojowi technologicznemu metod, które nie były dostępne w momencie anonimizacji. Taka deanonimizacja osób fizycznych stanowiłaby poważny problem i prawdopodobnie zagroziłaby akceptacji zasad dotyczących wtórnego wykorzystywania przewidzianych w niniejszym rozporządzeniu. Ponadto techniki agregacji są mniej sprawdzone w przypadku danych nieosobowych zawierających np. tajemnicę przedsiębiorstwa, jak w przypadku sprawozdań z prób klinicznych i badań klinicznych, a egzekwowanie naruszeń tajemnicy przedsiębiorstwa poza Unią jest trudniejsze ze względu na brak wystarczającego międzynarodowego standardu ochrony. Dlatego w przypadku takich kategorii danych dotyczących zdrowia nadal istnieje ryzyko deanonimizacji po anonimizacji lub agregacji, którego nie można było na początku w rozsądny sposób ograniczyć. Spełnia to kryteria określone w art. 5 ust. 13 tego rozporządzenia (UE) 2022/868. Tego rodzaju dane dotyczące zdrowia wchodziłyby zatem w zakres uprawnienia określonego w art. 5 ust. 13 tego rozporządzenia do przekazywania ich do państw trzecich. Szczególne warunki przewidziane w ramach uprawnienia ustanowionego w art. 5 ust. 13 rozporządzenia (UE) 2022/868 zostaną szczegółowo określone w kontekście aktów delegowanych przyjętych na podstawie tego uprawnienia i muszą być proporcjonalne do ryzyka deanonimizacji i muszą uwzględniać specyfikę różnych kategorii danych lub różnych technik anonimizacji lub agregacji.

(93) Przetwarzanie dużych ilości elektronicznych danych osobowych dotyczących zdrowia do celów przewidzianych w EPDZ w ramach czynności przetwarzania z danych dotyczących zdrowia w kontekście obsługi wniosków o dostęp do danych dotyczących zdrowia, zezwoleń na dostęp do danych i zapytań o dane dotyczące zdrowia wiąże się z wyższym ryzykiem nieuprawnionego dostępu do takich danych osobowych, a także z możliwością wystąpienia cyberincydentów. Elektroniczne dane osobowe dotyczące zdrowia są szczególnie wrażliwe, ponieważ często zawierają informacje objęte tajemnicą lekarską, których ujawnienie nieupoważnionym stronom trzecim może powodować znaczne niedogodności. Uwzględniając w pełni zasady wynikające z orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, w niniejszym rozporządzeniu zapewniono pełne poszanowanie praw podstawowych, prawa do prywatności i zasady proporcjonalności. Aby zapewnić pełną integralność i poufność elektronicznych danych osobowych dotyczących zdrowia na podstawie niniejszego rozporządzenia, zagwarantować szczególnie wysoki poziom ochrony i bezpieczeństwa oraz zmniejszyć ryzyko bezprawnego dostępu do tych elektronicznych danych osobowych dotyczących zdrowia, niniejsze rozporządzenie zezwala państwom członkowskim na stosowanie wymogu przechowywania i przetwarzania elektronicznych danych osobowych dotyczących zdrowia do celów wykonywania zadań przewidzianych w niniejszym rozporządzeniu wyłącznie w Unii, chyba że zastosowanie ma decyzja stwierdzająca odpowiedni stopień ochrony przyjęta na podstawie art. 45 rozporządzenia (UE) 2016/679.

(94) Dostęp do elektronicznych danych dotyczących zdrowia dla użytkowników danych dotyczących zdrowia mających siedzibę w państwach trzecich lub organizacji międzynarodowych powinien odbywać się wyłącznie na zasadzie wzajemności. Udostępnianie elektronicznych danych dotyczących zdrowia państwu trzeciemu może mieć miejsce wyłącznie w przypadku, gdy Komisja ustali w drodze aktu wykonawczego, że dane państwo trzecie zezwala na dostęp do elektronicznych danych dotyczących zdrowia pochodzących z tego państwa trzeciego przez podmioty unijne na takich samych warunkach i przy takich samych zabezpieczeniach jak dostęp do elektronicznych danych dotyczących zdrowia w Unii. Komisja powinna monitorować i przeprowadzać okresowy przegląd sytuacji w tych państwach trzecich i organizacjach międzynarodowych oraz sporządzić wykaz tych aktów wykonawczych. W przypadku gdy Komisja stwierdzi, że państwo trzecie nie zapewnia już dostępu na tych samych warunkach, powinna uchylić odpowiedni akt wykonawczy.

(95) Aby wspierać spójne stosowanie niniejszego rozporządzenia, w tym interoperacyjności transgranicznej elektronicznych danych dotyczących zdrowia, należy utworzyć Radę ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia Komisja powinna uczestniczyć w działaniach Rady i jej współprzewodniczyć. Rada ds. EPDZ powinna mieć możliwość wydawania pisemnych opinii dotyczących spójnego stosowania niniejszego rozporządzenia w całej Unii, w tym przez pomaganie państwom członkowskim w koordynowaniu wykorzystywania elektronicznych danych dotyczących zdrowia do celów opieki zdrowotnej oraz przez certyfikację, lecz także w odniesieniu do wtórnego wykorzystywania oraz finansowania tych działań. Może to również obejmować wymianę informacji na temat zagrożeń i incydentów w bezpiecznych środowiskach przetwarzania. Tego rodzaju wymiana informacji nie ma wpływu na obowiązki wynikające z innych aktów prawnych, takich jak powiadamianie o naruszeniu ochrony danych na podstawie rozporządzenia (UE) 2016/679. W ogólniejszym ujęciu działalność Rady ds. EPDZ nie narusza uprawnień organów nadzorczych zgodnie z rozporządzeniem (UE) 2016/679. Biorąc pod uwagę, że na poziomie krajowym organy ds. e-zdrowia zajmujące się pierwotnym wykorzystywaniem mogą być organami innymi niż organy ds. dostępu do danych dotyczących zdrowia zajmujące się wtórnym wykorzystywaniem, że funkcje te są różne i że istnieje potrzeba odrębnej współpracy w każdym z tych obszarów, Rada ds. EPDZ powinna mieć możliwość tworzenia podgrup zajmujących się tymi dwiema funkcjami, a także - w razie potrzeby - innych podgrup. Aby zapewnić efektywną metodę pracy, organy ds. e-zdrowia i organy ds. dostępu do danych dotyczących zdrowia powinny tworzyć sieci i powiązania na poziomie krajowym z innymi organami i podmiotami, jak również na poziomie unijnym. Organy takie mogłyby obejmować organy ochrony danych, organy ds. cyberbezpieczeństwa i identyfikacji elektronicznej oraz organizacje normalizacyjne, a także organy i grupy ekspertów na mocy rozporządzeń (UE) 2022/868, (UE) 2023/2854 i (UE) 2024/1689i rozporządzenia (UE) 2019/881 21  Parlamentu Europejskiego i Rady. Rada ds. EPDZ powinna działać niezależnie, w interesie publicznym i zgodnie ze swoim kodeksem postępowania.

(96) W przypadku omawiania spraw uznanych przez Radę ds. EPDZ za szczególnie istotne, powinna ona mieć możliwość zaproszenia obserwatorów, na przykład EIOD, przedstawicieli instytucji Unii, w tym Parlamentu Europejskiego i innych zainteresowanych stron.

(97) Należy ustanowić forum zainteresowanych stron, które będzie doradzać Radzie ds. EPDZ podczas wykonywania jej zadań, zapewniając wkład zainteresowanych stron w sprawy związane z niniejszym rozporządzeniem. W skład forum zainteresowanych stron powinni wchodzić, między innymi, przedstawiciele organizacji pacjentów i konsumentów, pracowników służby zdrowia, przemysłu, badaczy i środowisk akademickich. Forum zainteresowanych stron powinno mieć zrównoważony skład i reprezentować stanowisko różnych zainteresowanych stron. Powinny być w nim reprezentowane zarówno interesy handlowe, jak i niehandlowe.

(98) W celu zapewnienia właściwego bieżącego zarządzania transgraniczną infrastrukturą służącą do pierwotnego wykorzystywania i wtórnego wykorzystywania konieczne jest utworzenie grup sterujących składających się z przedstawicieli państw członkowskich. Te grupy sterujące powinny podejmować decyzje operacyjne w sprawie technicznego bieżącego zarządzania transgraniczną infrastrukturą i jej rozwoju technicznego, w tym w sprawie zmian technicznych w infrastrukturze, poprawy funkcjonalności lub usług lub zapewnienia interoperacyjności z innymi infrastrukturami, systemami cyfrowymi lub przestrzeniami danych. Ich działalność nie powinna obejmować wkładu w opracowywanie aktów wykonawczych mających wpływ na te infrastruktury. Grupy sterujące powinny mieć również możliwość zapraszania na swoje posiedzenia przedstawicieli innych upoważnionych uczestników infrastruktury DaneZdrowotne@UE w charakterze obserwatorów i powinny konsultować się z odpowiednimi ekspertami podczas wykonywania swoich zadań.

(99) Z zastrzeżeniem innych administracyjnych, sądowych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna powinna mieć prawo wniesienia skargi do organu ds. e-zdrowia lub do organu ds. dostępu do danych dotyczących zdrowia, jeżeli uważa, że jej prawa lub interesy wynikające z niniejszego rozporządzenia zostały naruszone. Postępowanie wyjaśniające na podstawie skargi powinno być prowadzone, z zastrzeżeniem kontroli sądowej, w zakresie odpowiadającym konkretnej sprawie. Organ ds. e-zdrowia lub organ ds. dostępu do danych dotyczących zdrowia powinien w rozsądnym terminie poinformować osobę fizyczną lub prawną o postępach i wyniku rozpatrywania skargi. Jeżeli sprawa wymaga dalszego badania lub koordynacji z innym organem ds. e-zdrowia lub organem ds. dostępu do danych dotyczących zdrowia, informacje o postępach w rozpatrywaniu skargi powinny być przekazywane osobie fizycznej lub prawnej. Aby ułatwić składanie skarg, każdy organ ds. e-zdrowia lub organ ds. dostępu do danych dotyczących zdrowia powinien podejmować działania, takie jak udostępnienie

formularza skargi, który można wypełnić również elektronicznie, bez wykluczenia możliwości korzystania z innych środków komunikacji. Jeżeli skarga dotyczy praw osób fizycznych związanych z ochroną ich danych osobowych, organ ds. e-zdrowia lub organ ds. dostępu do danych dotyczących zdrowia powinien przekazać skargę organom nadzorczym na podstawie rozporządzenia (UE) 2016/679. Organy ds. e-zdrowia lub organy ds. dostępu do danych dotyczących zdrowia powinny współpracować w celu rozpatrywania i rozstrzygania skarg, w tym przez wymianę wszystkich istotnych informacji drogą elektroniczną bez zbędnej zwłoki.

(100) Jeżeli osoba fizyczna uzna, że naruszane są jej prawa wynikające z niniejszego rozporządzenia, powinna mieć prawo zlecić podmiotowi, organizacji lub zrzeszeniu, które nie mają charakteru zarobkowego, zostały ustanowione zgodnie z prawem krajowym, ich celem statutowym jest interes publiczny i które działają w dziedzinie ochrony danych osobowych, wniesienie skargi w jej imieniu.

(101) Organ ds. e-zdrowia, organ ds. dostępu do danych dotyczących zdrowia, posiadacz danych dotyczących zdrowia lub użytkownik danych dotyczących zdrowia powinni naprawić wszelkie szkody, jakie dana osoba fizyczna lub prawna poniosła w wyniku naruszenia niniejszego rozporządzenia. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie narusza to roszczeń z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa krajowego. Osoby fizyczne powinny uzyskać pełną i skuteczną rekompensatę za poniesione szkody.

(102) Aby egzekwowanie przepisów niniejszego rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać kary, w tym administracyjne kary pieniężne - oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organy ds. dostępu do danych dotyczących zdrowia. Nakładanie kar, w tym administracyjnych kar pieniężnych, powinno przebiegać z zastrzeżeniem odpowiednich gwarancji proceduralnych zgodnych z ogólnymi zasadami prawa Unii i z Kartą praw podstawowych Unii Europejskiej, w tym skutecznej ochrony prawnej i prawa do rzetelnego procesu sądowego.

(103) Należy ustanowić przepisy umożliwiające organom ds. dostępu do danych dotyczących zdrowia stosowanie administracyjnych kar pieniężnych za niektóre naruszenia niniejszego rozporządzenia, które na podstawie niniejszego rozporządzenia powinny być uznane się za poważne naruszenia, takie jak deanonimizacja osób fizycznych, pobieranie elektronicznych danych osobowych dotyczących zdrowia poza bezpiecznym środowiskiem przetwarzania lub przetwarzanie danych do celów zakazanych zastosowań lub celów nieobjętych zezwoleniem na dostęp do danych. W niniejszym rozporządzeniu należy określić rodzaje naruszeń oraz wskazać górną granicę i kryteria ustalania związanych z nimi administracyjnych kar pieniężnych, które właściwy organ ds. dostępu do danych dotyczących zdrowia powinien określać indywidualnie dla każdego przypadku, biorąc pod uwagę wszystkie stosowne okoliczności danej sytuacji, z należytym uwzględnieniem w szczególności charakteru, wagi, czasu trwania naruszenia i jego konsekwencji, a także środków podjętych w celu wywiązania się z obowiązków wynikających z niniejszego rozporządzenia oraz w celu zapobieżenia konsekwencjom naruszenia lub w celu zminimalizowania tych konsekwencji. Dla celów nakładania administracyjnych kar pieniężnych na mocy niniejszego rozporządzenia, pod pojęciem przedsiębiorstwa należy rozumieć przedsiębiorstwo zgodnie z art. 101 i 102 TFUE. Państwa członkowskie powinny określić, czy i w jakim zakresie administracyjnym karom pieniężnym powinny podlegać organy publiczne. Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie powinno wpływać na egzekwowanie innych uprawnień organów ds. dostępu do danych dotyczących zdrowia ani innych kar na mocy niniejszego rozporządzenia.

(104) W celu zapewnienia osiągnięcia celów EPDZ należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 TFUE w odniesieniu do zmiany lub usuwania z załącznika I głównych cech priorytetowych kategorii elektronicznych danych osobowych dotyczących zdrowia, wykazu wymaganych danych, które mają rejestrować producenci systemów EDM i aplikacji wspierających dobrostan w bazie danych UE celem rejestracji systemów EDM i aplikacji wspierających dobrostan, a także modyfikowania, dodawania lub usuwania elementów objętych znakiem jakości i użyteczności danych. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 22 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(105) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze w odniesieniu do:

- specyfikacji technicznych zapewniających interoperacyjność usług pełnomocnictwa państw członkowskich,

- wymogów dotyczących jakości danych w zakresie rejestracji elektronicznych danych osobowych dotyczących zdrowia w systemie EDM,

- specyfikacji transgranicznych dotyczących priorytetowych kategorii elektronicznych danych osobowych dotyczących zdrowia,

- specyfikacji technicznych dotyczących kategorii elektronicznych danych osobowych dotyczących zdrowia, ustanawiających europejski format wymiany elektronicznej dokumentacji medycznej,

- aktualizacji europejskiego formatu wymiany elektronicznej dokumentacji medycznej w celu uwzględnienia odpowiednich zmian w systemach kodowania i nomenklaturze opieki zdrowotnej,

- specyfikacji technicznych rozszerzających europejski format wymiany elektronicznej dokumentacji medycznej na dodatkowe kategorie elektronicznych danych osobowych dotyczących zdrowia,

- wymogów dotyczących interoperacyjnego, transgranicznego mechanizmu identyfikacji i uwierzytelniania osób fizycznych i pracowników służby zdrowia, zgodnie z rozporządzeniem (UE) nr 910/2014,

- wymogów technicznego wykonania praw osób fizycznych związanych z pierwotnym wykorzystywaniem ich elektronicznych danych osobowych dotyczących zdrowia,

- środków niezbędnych do rozwoju technicznego infrastruktury MojeZdrowie@UE, szczegółowych przepisów dotyczących bezpieczeństwa, poufności i ochrony elektronicznych danych osobowych dotyczących zdrowia oraz warunków kontroli zgodności niezbędnych do przyłączenia się do infrastruktury MojeZdrowie@UE i pozostania połączonym z tą infrastrukturą,

- przepisów dotyczących wymogów cyberbezpieczeństwa, interoperacyjności technicznej, interoperacyjności semantycznej, operacji i zarządzania usługami w odniesieniu do przetwarzania przez Komisję oraz jej obowiązków wobec administratorów,

- technicznych aspektów dodatkowych usług świadczonych za pośrednictwem infrastruktury MojeZdrowie@UE,

- technicznych aspektów wymiany elektronicznych danych osobowych dotyczących zdrowia między infrastrukturą MojeZdrowie@UE a innymi systemami lub infrastrukturami,

- przyłączenia do centralnej interoperacyjności infrastruktury MojeZdrowie@UE, a także o odłączeniu od niej, innych infrastruktur, krajowych punktów kontaktowych do spraw e-zdrowia państw trzecich lub systemów ustanowionych na poziomie międzynarodowym przez organizacje międzynarodowe,

- wspólnych specyfikacji w odniesieniu do zasadniczych wymagań ustanowionych w załączniku II,

- wspólnych specyfikacji dotyczących europejskiego cyfrowego środowiska testowego,

- uzasadnień dotyczących środków krajowych podjętych przez organy nadzoru rynkowego w przypadku niezgodności z systemem EDM,

- formatu i treści znaku dla aplikacji wspierających dobrostan,

- zasad i struktury opłat, jakie organy ds. dostępy do danych dotyczących zdrowia oraz zaufanie posiadacza danych dotyczących zdrowia mogą pobierać z tytułu udostępnienia elektronicznych danych dotyczących zdrowia do wtórnego wykorzystywania,

- architektury narzędzia informatycznego mającego wspierać i zapewniać przejrzystość środków egzekucyjnych organów ds. dostępu do danych dotyczących zdrowia,

- logo oznaczającego wkład EPDZ,

- wzorów wniosku o dostęp do danych dotyczących zdrowia, zezwolenia na dostęp do danych oraz zapytania o dane dotyczące zdrowia,

- wymogów technicznych i organizacyjnych oraz wymogów z zakresu bezpieczeństwa informacji, poufności, ochrony danych i interoperacyjności dotyczących bezpiecznych środowisk przetwarzania,

- wzorów umów między administratorami a podmiotami przetwarzającymi,

- decyzji w sprawie zgodności krajowego punktu kontaktowego państwa trzeciego ds. wtórnego wykorzystywania lub systemu ustanowionego na poziomie międzynarodowym przez organizacje międzynarodowe z wymogami infrastruktury DaneZdrowotne@UE do celów wtórnego wykorzystywania danych dotyczących zdrowia, zgodności z rozdziałem IV oraz tego czy ten krajowy punkt kontaktowy ds. wykorzystywania wtórnego lub system ustanowiony na poziomie międzynarodowym przyznaje równorzędny dostęp użytkownikom danych dotyczących zdrowia mającym siedzibę w Unii dostęp do elektronicznych danych dotyczących zdrowia, do których ma dostęp,

- wymogów, specyfikacji technicznych, architektury informatycznej infrastruktury; wymogów przyłączenia do infrastruktury DaneZdrowotne@UE i kontroli warunkujących przyłączenie i utrzymanie połączenia z infrastrukturą DaneZdrowotne@UE; minimalnych kryteriów, które muszą spełnić krajowe punkty kontaktowe i upoważnieni uczestnicy infrastruktury DaneZdrowotne@UE; obowiązków administratorów i podmiotów przetwarzających uczestniczących w infrastrukturze DaneZdrowotne@UE; obowiązków administratorów i podmiotów przetwarzających w zakresie bezpiecznego środowiska przetwarzania zarządzanego przez Komisję; oraz wspólnych specyfikacji w zakresie architektury infrastruktury DaneZdrowotne@UE i interopera- cyjności tej infrastruktury z innymi wspólnymi europejskimi przestrzeniami danych,

- decyzji o przyłączeniu indywidualnych upoważnionych uczestników do infrastruktury DaneZdrowotne@UE,

- minimalnych elementów zbiorów danych i cech tych elementów, które posiadacze danych dotyczących zdrowia mają przekazywać,

- cech wizualnych i specyfikacji technicznych znaku jakości i użyteczności danych,

- minimalnych specyfikacji zbiorów danych o dużym wpływie na wtórne wykorzystywanie,

- decyzji co do tego, czy państwo trzecie umożliwia, unijnym wnioskodawcom ubiegającym się o dostęp do danych dotyczących zdrowia, dostęp do elektronicznych danych dotyczących zdrowia w tym państwie trzecim na warunkach, które nie są bardziej restrykcyjne niż warunki przewidziane w niniejszym rozporządzeniu,

- niezbędnych środków dotyczących ustanowienia i działania Rady ds. EPDZ.

Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 23 .

(106) Państwa członkowskie powinny wprowadzić wszelkie niezbędne środki, aby zapewnić wykonanie przepisów niniejszego rozporządzenia, w tym poprzez ustanowienie skutecznych, proporcjonalnych i odstraszających kar za ich naruszenie. Przy podejmowaniu decyzji o wysokości kary dla każdego indywidualnego przypadku państwa członkowskie powinny uwzględnić limity i kryteria określone w niniejszym rozporządzeniu. Deanonimizację osób fizycznych należy uznać za poważne naruszenie niniejszego rozporządzenia.

(107) Wdrożenie EPDZ będzie wymagało znacznego nakładu pracy w rozwój we wszystkich państwach członkowskich i służbach centralnych. Aby śledzić postępy w tym zakresie, do czasu pełnego stosowania niniejszego rozporządzenia Komisja powinna co roku przedkładać sprawozdanie z tych postępów, z uwzględnieniem informacji dostarczonych przez państwa członkowskie. Sprawozdania te mogą zawierać zalecenia dotyczące środków zaradczych, jak również ocenę poczynionych postępów.

(108) Aby ocenić, czy niniejsze rozporządzenie skutecznie i sprawnie osiąga swoje cele, czy jest spójne i nadal aktualne oraz czy zapewnia wartość dodaną na poziomie Unii, Komisja powinna przeprowadzić ocenę niniejszego rozporządzenia. Komisja powinna przeprowadzić ukierunkowaną ocenę niniejszego rozporządzenia po 8 latach od jego wejścia w życie, a ocenę ogólną - po 10 latach od jego wejścia w życie. Po każdej ocenie Komisja powinna przedstawić Parlamentowi Europejskiemu, Radzie, Europejskiemu Komitetowi Ekonomiczno-Społecznemu i Komitetowi Regionów sprawozdania na temat głównych ustaleń.

(109) W celu pomyślnego transgranicznego wdrożenia EPDZ, Europejskie Ramy Interoperacyjności, których zakres został zaktualizowany i rozszerzony w komunikacie Komisji z dnia 23 marca 2017 r. pt. "Europejskie ramy interoperacyjności - strategia wdrażania" w celu uwzględnienia nowych lub zaktualizowanych wymogów interoperacyjności należy uznać za wspólny punkt odniesienia w celu zapewnienia interoperacyjności prawnej, organizacyjnej, semantycznej i technicznej.

(110) Ponieważ cele niniejszego rozporządzenia, mianowicie umocnienie pozycji osób fizycznych poprzez zwiększenie ich kontroli nad ich elektronicznymi danymi osobowymi dotyczącymi zdrowia oraz wsparciu swobody przemieszczania się tych osób poprzez zapewnienie, aby ich dane dotyczące zdrowia były przesyłane w ślad za nimi, przyczynienie się w stworzenia prawdziwie wewnętrznego rynku cyfrowych usług i produktów zdrowotnych oraz zapewnienie spójnych i skutecznych ram ponownego wykorzystywania danych dotyczących zdrowia osób fizycznych na potrzeby badań naukowych, innowacji, kształtowania polityki i działań regulacyjnych nie mogą zostać

osiągnięte w sposób wystarczający przez państwa członkowskie za pomocą samych środków koordynacji, jak wynika z oceny aspektów cyfrowych dyrektywy 2011/24/UE, natomiast, ze względu na harmonizację środków dotyczących praw osób fizycznych w odniesieniu do ich elektronicznych danych dotyczących zdrowia, interoperacyjności elektronicznych danych dotyczących zdrowia oraz wspólnych ram i zabezpieczeń dotyczących pierwotnego wykorzystywania i wtórnego wykorzystywania, możliwe jest ich lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(111) Ocena cyfrowych aspektów dyrektywy 2011/24/UE wskazuje na ograniczoną skuteczność sieci e-zdrowie, ale również na duży potencjał działań na poziomie Unii w obszarze e-zdrowia, o czym świadczą prace przeprowadzone w czasie pandemii COVID-19. Należy zatem odpowiednio zmienić dyrektywę 2011/24/UE.

(112) Niniejsze rozporządzenie uzupełnia zasadnicze wymogi cyberbezpieczeństwa określone w rozporządzeniu (UE) 2024/2847. Systemy EDM, które są produktami z elementami cyfrowymi w rozumieniu rozporządzenia (UE) 2024/2847, które w związku z tym powinny również spełniać zasadnicze wymogi cyberbezpieczeństwa określone w tym rozporządzeniu. Producenci tych systemów EDM powinni wykazać zgodność produktów na mocy niniejszego rozporządzenia. W celu ułatwienia zapewnienia zgodności producentom należy umożliwić sporządzanie jednej dokumentacji technicznej zawierającej elementy wymagane przez oba akty prawne. Powinna istnieć możliwość wykazania zgodności systemów EDM z zasadniczymi wymogami cyberbezpieczeństwa określonymi w rozporządzeniu (UE) 2024/2847 za pośrednictwem ram oceny na podstawie niniejszego rozporządzenia. Jednakże część procedury dotyczącej ram oceny zgodności na mocy niniejszego rozporządzenia dotycząca wykorzystania środowiska testowego nie powinna mieć zastosowania, gdyż te środowiska testowe nie pozwalają na ocenę zgodności z zasadniczymi wymogami cyberbezpieczeństwa. Ponieważ zakres stosowania rozporządzenia (UE) 2024/2847 nie obejmuje bezpośrednio oprogramowania jako usługi (SasS) jako takiego, systemy EDM zapewniane przez licencję SaaS i model świadczenia usług nie są objęte zakresem stosowania tego rozporządzenia. Podobnie w zakres stosowania tego rozporządzenia nie wchodzą systemy EDM tworzone i używane wewnętrznie, gdyż nie są one udostępniane na rynku.

(113) Zgodnie z art. 42 ust. 1 i 2 rozporządzenia (UE) 2018/1725 skonsultowano się z EIOD i EROD, którzy w dniu 12 lipca 2022 r. wydali wspólną opinię.

(114) Niniejsze rozporządzenie nie powinno mieć wpływu na stosowanie reguł konkurencji, a w szczególności art. 101 i 102 TFUE. Środków przewidzianych w niniejszym rozporządzeniu nie należy stosować do ograniczania konkurencji w sposób sprzeczny z TFUE.

(115) Ze względu na konieczność przygotowania technicznego niniejsze rozporządzenie powinno mieć zastosowanie od dnia 26 marca 2027 r. Aby wesprzeć pomyślne wprowadzenie EPDZ i stworzenie skutecznych warunków dla europejskiej współpracy w zakresie danych dotyczących zdrowia, wdrażanie powinno się odbywać etapami,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE: