(1)

Στόχος του παρόντος κανονισμού είναι η δημιουργία του Ευρωπαϊκού Χώρου Δεδομένων Υγείας (ΕΧΔΥ), προκειμένου να βελτιωθεί η πρόσβαση των φυσικών προσώπων και ο έλεγχός τους επί των προσωπικών ηλεκτρονικών δεδομένων υγείας τους στο πλαίσιο της υγειονομικής περίθαλψης, καθώς και για την καλύτερη επίτευξη άλλων σκοπών που περιλαμβάνουν τη χρήση ηλεκτρονικών δεδομένων υγείας στους τομείς της υγειονομικής περίθαλψης και της φροντίδας που θα ωφελούσαν την κοινωνία, όπως η έρευνα, η καινοτομία, η χάραξη πολιτικής, η ετοιμότητα και αντίδραση σε απειλές κατά της υγείας, συμπεριλαμβανομένων της πρόληψης και της αντιμετώπισης μελλοντικών πανδημιών, η ασφάλεια των ασθενών, η εξατομικευμένη ιατρική, οι επίσημες στατιστικές ή οι ρυθμιστικές δραστηριότητες. Επιπλέον, σκοπός του παρόντος κανονισμού είναι η βελτίωση της λειτουργίας της εσωτερικής αγοράς με τη θέσπιση ενιαίου νομικού και τεχνικού πλαισίου, ιδίως για την ανάπτυξη, την εμπορία και τη χρήση συστημάτων ηλεκτρονικών φακέλων υγείας («συστήματα ΗΦΥ») σύμφωνα με τις αξίες της Ένωσης. Ο ΕΧΔΥ θα αποτελεί βασική συνιστώσα στη δημιουργία μιας ισχυρής και ανθεκτικής Ευρωπαϊκής Ένωσης Υγείας.

(2)

Η πανδημία της COVID-19 ανέδειξε την επιτακτική ανάγκη έγκαιρης πρόσβασης σε ποιοτικά ηλεκτρονικά δεδομένα υγείας για την ετοιμότητα και την αντίδραση σε απειλές κατά της υγείας, καθώς και για την πρόληψη, τη διάγνωση και θεραπεία, και τη δευτερογενή χρήση των εν λόγω ηλεκτρονικών δεδομένων υγείας. Η εν λόγω έγκαιρη πρόσβαση μπορεί δυνητικά να συμβάλει, μέσω της αποτελεσματικής επιτήρησης και παρακολούθησης της δημόσιας υγείας, στην αποτελεσματικότερη διαχείριση μελλοντικών πανδημιών, στη μείωση των δαπανών και στη βελτίωση της αντίδρασης σε απειλές κατά της υγείας και, εντέλει, μπορεί να βοηθήσει να σωθούν περισσότερες ζωές. Το 2020 η Επιτροπή προσάρμοσε επειγόντως το σύστημά της για τη διαχείριση των κλινικών δεδομένων των ασθενών, το οποίο θεσπίστηκε με την εκτελεστική απόφαση (ΕΕ) 2019/1269 της Επιτροπής (4), ώστε να παράσχει στα κράτη μέλη τη δυνατότητα κοινοχρησίας ηλεκτρονικών δεδομένων υγείας των ασθενών με COVID-19 που μετακινούνταν μεταξύ παρόχων υγειονομικής περίθαλψης και κρατών μελών κατά τη διάρκεια της κορύφωσης της πανδημίας αυτής. Ωστόσο, η εν λόγω προσαρμογή ήταν μόνο μια λύση έκτακτης ανάγκης, γεγονός που καταδεικνύει την ανάγκη για μια διαρθρωτική και συνεπή προσέγγιση σε επίπεδο κρατών μελών και Ένωσης, με σκοπό τόσο να βελτιωθεί η διαθεσιμότητα ηλεκτρονικών δεδομένων υγείας για την υγειονομική περίθαλψη, όσο και για να διευκολυνθεί η πρόσβαση σε ηλεκτρονικά δεδομένα υγείας για τη διαμόρφωση αποτελεσματικών πολιτικών αντιδράσεων και τη συμβολή σε υψηλά πρότυπα ανθρώπινης υγείας.

(3)

Η κρίση της COVID-19 εδραίωσε σε μεγάλο βαθμό το έργο του δικτύου eHealth, ενός εθελοντικού δικτύου αρχών υπεύθυνων για την ψηφιακή υγεία, ως του βασικού πυλώνα για την ανάπτυξη εφαρμογών ιχνηλάτησης επαφών και αποστολής ειδοποιήσεων επαφών για φορητές συσκευές και των τεχνικών πτυχών των ψηφιακών πιστοποιητικών COVID της ΕΕ. Ανέδειξε επίσης την ανάγκη για κοινοχρησία ηλεκτρονικών δεδομένων υγείας που να είναι ευρέσιμα, προσβάσιμα, διαλειτουργικά και επαναχρησιμοποιήσιμα («αρχές FAIR»), και να διασφαλίζεται ότι τα ηλεκτρονικά δεδομένα υγείας είναι ανοικτά στο μέτρο του δυνατού, ενώ παράλληλα τηρείται η αρχή της ελαχιστοποίησης των δεδομένων όπως καθορίζεται στον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (5). Θα πρέπει να διασφαλιστούν συνέργειες μεταξύ του ΕΧΔΥ, του ευρωπαϊκού νέφους ανοικτής επιστήμης και των Ευρωπαϊκών Ερευνητικών Υποδομών, καθώς και να αξιοποιηθούν τα διδάγματα που αντλήθηκαν από τις λύσεις κοινοχρησίας δεδομένων που αναπτύχθηκαν στο πλαίσιο της ευρωπαϊκής πλατφόρμας δεδομένων COVID-19.

(4)

Δεδομένης της ευαισθησίας των προσωπικών ηλεκτρονικών δεδομένων υγείας, ο παρών κανονισμός επιδιώκει να παράσχει επαρκείς εγγυήσεις τόσο σε ενωσιακό όσο και σε εθνικό επίπεδο, ώστε να διασφαλιστεί υψηλός βαθμός προστασίας, ασφάλειας, εμπιστευτικότητας και δεοντολογικής χρήσης των δεδομένων. Οι εγγυήσεις αυτές είναι απαραίτητες για την προαγωγή της εμπιστοσύνης στον ασφαλή χειρισμό των ηλεκτρονικών δεδομένων υγείας των φυσικών προσώπων για πρωτογενή χρήση και δευτερογενή χρήση όπως ορίζονται στον παρόντα κανονισμό.

(5)

Η επεξεργασία προσωπικών ηλεκτρονικών δεδομένων υγείας υπόκειται στις διατάξεις του κανονισμού (ΕΕ) 2016/679 και, για τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6). Οι παραπομπές στις διατάξεις του κανονισμού (ΕΕ) 2016/679 θα πρέπει επίσης να νοούνται ως παραπομπές στις αντίστοιχες διατάξεις του κανονισμού (ΕΕ) 2018/1725 για τα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, κατά περίπτωση.

(6)

Όλο και περισσότερα άτομα που ζουν στην Ένωση διασχίζουν τα εθνικά σύνορα για να εργαστούν, να σπουδάσουν, να επισκεφθούν συγγενείς ή για άλλους λόγους. Για να διευκολυνθεί η ανταλλαγή δεδομένων υγείας, και σύμφωνα με την ανάγκη ενδυνάμωσης των πολιτών, θα πρέπει να είναι σε θέση να έχουν πρόσβαση στα δεδομένα υγείας τους σε ηλεκτρονική μορφή που μπορεί να αναγνωριστεί και να γίνει αποδεκτή σε ολόκληρη την Ένωση. Τα εν λόγω προσωπικά ηλεκτρονικά δεδομένα υγείας θα μπορούσαν να περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα που σχετίζονται με τη σωματική ή ψυχική υγεία φυσικού προσώπου, μεταξύ άλλων με την παροχή υπηρεσιών υγειονομικής περίθαλψης, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του εν λόγω φυσικού προσώπου, δεδομένα προσωπικού χαρακτήρα σχετικά με τα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου και τα οποία προκύπτουν, κυρίως, από ανάλυση βιολογικού δείγματος από το εν λόγω φυσικό πρόσωπο, καθώς και δεδομένα σχετικά με καθοριστικούς παράγοντες της υγείας, όπως η συμπεριφορά, το περιβάλλον και οι φυσικές επιρροές, η ιατρική φροντίδα, καθώς και κοινωνικούς ή εκπαιδευτικούς παράγοντες. Τα ηλεκτρονικά δεδομένα υγείας περιλαμβάνουν επίσης δεδομένα που συλλέχθηκαν αρχικά για σκοπούς έρευνας, στατιστικής, αξιολόγησης απειλών κατά της υγείας ή χάραξης πολιτικής ή για κανονιστικούς σκοπούς και θα πρέπει να μπορούν να διατίθενται σύμφωνα με τους κανόνες του παρόντος κανονισμού. Τα ηλεκτρονικά δεδομένα υγείας συνίστανται σε όλες τις κατηγορίες των εν λόγω δεδομένων, ανεξάρτητα από το αν τα εν λόγω δεδομένα παρέχονται από το υποκείμενο των δεδομένων ή άλλα φυσικά ή νομικά πρόσωπα, όπως επαγγελματίες υγείας, ή υποβάλλονται σε επεξεργασία σε σχέση με την υγεία ή την ευεξία ενός φυσικού προσώπου και θα πρέπει επίσης να περιλαμβάνουν συναγόμενα και παράγωγα δεδομένα, όπως διαγνωστικές διαδικασίες, έλεγχοι και ιατρικές εξετάσεις, καθώς και δεδομένα που παρατηρούνται και καταγράφονται με αυτοματοποιημένα μέσα.

(7)

Στα συστήματα υγείας, τα προσωπικά ηλεκτρονικά δεδομένα υγείας συγκεντρώνονται συνήθως σε ηλεκτρονικούς φακέλους υγείας, οι οποίοι συνήθως περιέχουν το ιατρικό ιστορικό, τις διαγνώσεις και τη θεραπεία, τα φάρμακα, τις αλλεργίες και τους εμβολιασμούς, καθώς και ακτινολογικές απεικονίσεις, εργαστηριακά αποτελέσματα και άλλα ιατρικά δεδομένα, ενός φυσικού προσώπου, τα οποία διαδίδονται μεταξύ διάφορων φορέων του συστήματος υγείας, όπως γενικοί ιατροί, νοσοκομεία, φαρμακεία ή υπηρεσίες φροντίδας. Προκειμένου να καταστούν δυνατές η πρόσβαση, η κοινοχρησία και η τροποποίηση των ηλεκτρονικών δεδομένων υγείας από τα φυσικά πρόσωπα ή τους επαγγελματίες υγείας, ορισμένα κράτη μέλη έχουν λάβει τα αναγκαία νομικά και τεχνικά μέτρα και έχουν δημιουργήσει κεντρικές υποδομές που συνδέουν τα συστήματα ΗΦΥ που χρησιμοποιούν οι πάροχοι υγειονομικής περίθαλψης και τα φυσικά πρόσωπα. Επιπρόσθετα, ορισμένα κράτη μέλη στηρίζουν τους δημόσιους και ιδιωτικούς παρόχους υγειονομικής περίθαλψης στη δημιουργία χώρων προσωπικών ηλεκτρονικών δεδομένων υγείας, ώστε να καταστεί δυνατή η διαλειτουργικότητα μεταξύ διάφορων παρόχων υγειονομικής περίθαλψης. Αρκετά κράτη μέλη στηρίζουν επίσης ή παρέχουν υπηρεσίες πρόσβασης σε ηλεκτρονικά δεδομένα υγείας για ασθενείς και επαγγελματίες υγείας, για παράδειγμα μέσω πυλών ασθενών ή επαγγελματιών υγείας. Τα εν λόγω κράτη μέλη έχουν επίσης λάβει μέτρα για να διασφαλίσουν ότι τα συστήματα ΗΦΥ ή οι εφαρμογές ευεξίας είναι σε θέση να διαβιβάζουν ηλεκτρονικά δεδομένα υγείας με το κεντρικό σύστημα ΗΦΥ, για παράδειγμα παρέχοντας ένα σύστημα πιστοποίησης. Ωστόσο, δεν έχουν θεσπίσει όλα τα κράτη μέλη τέτοια συστήματα, και τα κράτη μέλη εκείνα που τα έχουν εφαρμόσει, το έχουν πράξει με κατακερματισμένο τρόπο. Προκειμένου να διευκολυνθεί η ελεύθερη κυκλοφορία των προσωπικών ηλεκτρονικών δεδομένων υγείας σε ολόκληρη την Ένωση και να αποφευχθούν οι αρνητικές συνέπειες για τους ασθενείς όταν λαμβάνουν υγειονομική περίθαλψη σε διασυνοριακό πλαίσιο, απαιτείται δράση σε επίπεδο Ένωσης για να βελτιωθεί η πρόσβαση των φυσικών προσώπων στα προσωπικά τους ηλεκτρονικά δεδομένα υγείας και για να έχουν τη δυνατότητα κοινοχρησίας των εν λόγω δεδομένων. Εν προκειμένω, θα πρέπει να αναλαμβάνονται κατάλληλες δράσεις σε ενωσιακό και εθνικό επίπεδο ως μέσο για τη μείωση του κατακερματισμού, της ανομοιογένειας και της διαίρεσης και για τη δημιουργία ενός φιλικού προς τον χρήστη και διαισθητικού συστήματος σε όλα τα κράτη μέλη. Οποιοσδήποτε ψηφιακός μετασχηματισμός στον τομέα της υγειονομικής περίθαλψης θα πρέπει να έχει ως στόχο να είναι χωρίς αποκλεισμούς και να ωφελεί επίσης τα φυσικά πρόσωπα με περιορισμένη δυνατότητα πρόσβασης και χρήσης ψηφιακών υπηρεσιών, συμπεριλαμβανομένων των ατόμων με αναπηρία.

(8)

Ο κανονισμός (ΕΕ) 2016/679 θεσπίζει ειδικές διατάξεις σχετικά με τα δικαιώματα των φυσικών προσώπων σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Ο ΕΧΔΥ βασίζεται σε αυτά τα δικαιώματα και συμπληρώνει ορισμένα από αυτά όπως εφαρμόζονται στα προσωπικά ηλεκτρονικά δεδομένα υγείας. Τα δικαιώματα αυτά εφαρμόζονται ανεξάρτητα από το κράτος μέλος στο οποίο υποβάλλονται σε επεξεργασία τα προσωπικά ηλεκτρονικά δεδομένα υγείας, το είδος του παρόχου υγειονομικής περίθαλψης, τις πηγές των εν λόγω δεδομένων ή το κράτος μέλος ασφάλισης του φυσικού προσώπου. Τα δικαιώματα και οι κανόνες που σχετίζονται με την πρωτογενή χρήση των προσωπικών ηλεκτρονικών δεδομένων υγείας βάσει του παρόντος κανονισμού αφορούν όλες τις κατηγορίες των εν λόγω δεδομένων, ανεξάρτητα από τον τρόπο με τον οποίο συλλέχθηκαν ή από ποιον έχουν παρασχεθεί, τη νομική βάση για την επεξεργασία σύμφωνα με τον κανονισμό (ΕΕ) 2016/679 ή το καθεστώς του υπευθύνου επεξεργασίας ως δημόσιου ή ιδιωτικού οργανισμού. Τα πρόσθετα δικαιώματα πρόσβασης και φορητότητας των προσωπικών ηλεκτρονικών δεδομένων υγείας που προβλέπονται στον παρόντα κανονισμό δεν θα πρέπει να θίγουν τα δικαιώματα πρόσβασης και φορητότητας όπως ορίζονται στον κανονισμό (ΕΕ) 2016/679. Τα φυσικά πρόσωπα εξακολουθούν να έχουν τα εν λόγω δικαιώματα υπό τους όρους που προβλέπονται στον εν λόγω κανονισμό.

(9)

Ενώ τα δικαιώματα που θεσπίζει ο κανονισμός (ΕΕ) 2016/679 θα πρέπει να συνεχίσουν να ισχύουν, το δικαίωμα πρόσβασης φυσικού προσώπου σε δεδομένα, το οποίο θεσπίζεται στον κανονισμό (ΕΕ) 2016/679, θα πρέπει να συμπληρωθεί περαιτέρω και στον τομέα της υγειονομικής περίθαλψης. Σύμφωνα με τον εν λόγω κανονισμό οι υπεύθυνοι επεξεργασίας δεν υποχρεούνται να παρέχουν αμέσως πρόσβαση. Το δικαίωμα πρόσβασης σε δεδομένα υγείας εξακολουθεί να ασκείται ευρέως σε πολλά μέρη μέσω της παροχής των ζητούμενων δεδομένων υγείας σε έντυπη μορφή ή ως σαρωμένων εγγράφων, διαδικασία η οποία είναι χρονοβόρα για τον υπεύθυνο επεξεργασίας, όπως νοσοκομεία ή άλλοι πάροχοι υγειονομικής περίθαλψης που παρέχουν πρόσβαση. Αυτή η κατάσταση επιβραδύνει την έγκαιρη πρόσβαση των φυσικών προσώπων σε δεδομένα υγείας και μπορεί να έχει αρνητικό αντίκτυπο σε αυτά, εάν χρειάζονται αμέσως την εν λόγω πρόσβαση λόγω επειγουσών περιστάσεων που αφορούν την κατάσταση της υγείας τους. Ως εκ τούτου, είναι αναγκαίο να παρέχεται ένας αποδοτικότερος τρόπος πρόσβασης των φυσικών προσώπων στα δικά τους προσωπικά ηλεκτρονικά δεδομένα υγείας. Θα πρέπει να δικαιούνται να έχουν δωρεάν και άμεση πρόσβαση, στον βαθμό που αυτό είναι τεχνολογικά πρακτικό, σε συγκεκριμένες κατηγορίες προτεραιότητας προσωπικών ηλεκτρονικών δεδομένων υγείας, όπως το συνοπτικό ιστορικό υγείας ασθενούς, μέσω υπηρεσίας πρόσβασης σε ηλεκτρονικά δεδομένα υγείας. Το δικαίωμα αυτό θα πρέπει να εφαρμόζεται ανεξάρτητα από το κράτος μέλος στο οποίο υποβάλλονται σε επεξεργασία τα προσωπικά ηλεκτρονικά δεδομένα υγείας, το είδος του παρόχου υγειονομικής περίθαλψης, τις πηγές των εν λόγω δεδομένων ή το κράτος μέλος ασφάλισης του φυσικού προσώπου. Το πεδίο εφαρμογής του συμπληρωματικού αυτού δικαιώματος που θεσπίζεται με τον παρόντα κανονισμό και οι προϋποθέσεις άσκησής του διαφέρουν κατά ορισμένους τρόπους από το δικαίωμα πρόσβασης σε δεδομένα προσωπικού χαρακτήρα δυνάμει του κανονισμού (ΕΕ) 2016/679, το οποίο καλύπτει όλα τα δεδομένα προσωπικού χαρακτήρα που έχει στην κατοχή του ο υπεύθυνος επεξεργασίας και ασκείται κατά μεμονωμένου υπευθύνου επεξεργασίας, ο οποίος έχει στη διάθεσή του έως έναν μήνα για να απαντήσει σε αίτημα. Το δικαίωμα πρόσβασης σε προσωπικά ηλεκτρονικά δεδομένα υγείας δυνάμει του παρόντος κανονισμού θα πρέπει να περιορίζεται στις κατηγορίες δεδομένων που εμπίπτουν στο πεδίο εφαρμογής του, να ασκείται μέσω υπηρεσίας πρόσβασης σε ηλεκτρονικά δεδομένα υγείας και να συνεπάγεται άμεση απάντηση. Τα δικαιώματα βάσει του κανονισμού (ΕΕ) 2016/679 θα πρέπει να εξακολουθήσουν να ισχύουν, επιτρέποντας σε φυσικά πρόσωπα να επωφελούνται από τα δικαιώματά τους σε αμφότερα τα νομικά πλαίσια, ειδικότερα από το δικαίωμα λήψης έντυπου αντιγράφου των ηλεκτρονικών δεδομένων υγείας.

(10)

Θα πρέπει να ληφθεί υπόψη ότι η άμεση πρόσβαση φυσικών προσώπων σε ορισμένες κατηγορίες των προσωπικών τους ηλεκτρονικών δεδομένων υγείας θα μπορούσε να είναι επιβλαβής για την ασφάλεια των εν λόγω φυσικών προσώπων ή αντιδεοντολογική. Για παράδειγμα, θα μπορούσε να είναι αντιδεοντολογικό να ενημερώνεται ο ασθενής μέσω ηλεκτρονικού διαύλου σχετικά με διάγνωση ανίατης νόσου που είναι πιθανόν να είναι θανατηφόρα, αντί να παρέχονται οι πληροφορίες αυτές πρώτα σε διαβούλευση με τον ασθενή. Ως εκ τούτου, θα πρέπει να είναι δυνατή η καθυστέρηση της παροχής της πρόσβασης σε προσωπικά ηλεκτρονικά δεδομένα υγείας σε τέτοιες καταστάσεις για περιορισμένο χρονικό διάστημα, για παράδειγμα έως τη στιγμή που ο επαγγελματίας υγείας μπορεί να εξηγήσει την κατάσταση στον ασθενή. Τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να καθορίζουν την εν λόγω εξαίρεση, όταν αυτή συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, σε ευθυγράμμιση με τους περιορισμούς όπως προβλέπονται στο άρθρο 23 του κανονισμού (ΕΕ) 2016/679.

(11)

Ο παρών κανονισμός δεν θίγει τις αρμοδιότητες των κρατών μελών όσον αφορά την αρχική καταχώριση προσωπικών ηλεκτρονικών δεδομένων υγείας, όπως η υπαγωγή της καταχώρισης γενετικών δεδομένων στη συγκατάθεση του φυσικού προσώπου ή άλλες εγγυήσεις. Τα κράτη μέλη μπορούν να απαιτούν να διατίθενται τα δεδομένα σε ηλεκτρονική μορφή πριν από την εφαρμογή του παρόντος κανονισμού. Αυτό δεν θα πρέπει να θίγει την υποχρέωση να διατίθενται σε ηλεκτρονική μορφή τα προσωπικά ηλεκτρονικά δεδομένα υγείας που έχουν καταχωριστεί μετά την ημερομηνία εφαρμογής του παρόντος κανονισμού.

(12)

Για τη συμπλήρωση των πληροφοριών που έχουν στη διάθεσή τους, τα φυσικά πρόσωπα θα πρέπει να έχουν τη δυνατότητα να προσθέτουν ηλεκτρονικά δεδομένα υγείας στους ΗΦΥ τους ή να αποθηκεύουν πρόσθετες πληροφορίες σε χωριστό προσωπικό τους φάκελο υγείας, στον οποίο θα μπορούσαν να έχουν πρόσβαση οι επαγγελματίες υγείας. Ωστόσο, οι πληροφορίες που εισάγονται από φυσικά πρόσωπα ενδέχεται να μην είναι τόσο αξιόπιστες όσο τα ηλεκτρονικά δεδομένα υγείας που εισάγονται και επαληθεύονται από επαγγελματίες υγείας και δεν έχουν την ίδια κλινική ή νομική αξία με τις πληροφορίες που παρέχονται από επαγγελματίες υγείας. Ως εκ τούτου, τα δεδομένα που προστίθενται από φυσικά πρόσωπα στους ΗΦΥ τους θα πρέπει να διακρίνονται σαφώς από τα δεδομένα που παρέχουν οι επαγγελματίες υγείας. Αυτή η δυνατότητα των φυσικών προσώπων να προσθέτουν και να συμπληρώνουν προσωπικά ηλεκτρονικά δεδομένα υγείας δεν θα πρέπει να τους παρέχει το δικαίωμα να αλλάζουν τα προσωπικά ηλεκτρονικά δεδομένα υγείας που έχουν παράσχει οι επαγγελματίες υγείας.

(13)

Η παροχή στα φυσικά πρόσωπα της δυνατότητας ευκολότερης και ταχύτερης πρόσβασης στα προσωπικά ηλεκτρονικά δεδομένα υγείας τους θα παρέχει στα εν λόγω πρόσωπα τη δυνατότητα να εντοπίζουν πιθανά σφάλματα, όπως εσφαλμένες πληροφορίες ή εσφαλμένη αντιστοίχιση φακέλων ασθενών. Στις περιπτώσεις αυτές, τα φυσικά πρόσωπα θα πρέπει να έχουν τη δυνατότητα να ζητούν επιγραμμικά τη διόρθωση των εσφαλμένων προσωπικών ηλεκτρονικών δεδομένων υγείας, αμέσως και δωρεάν, μέσω υπηρεσίας πρόσβασης σε ηλεκτρονικά δεδομένα υγείας. Τα εν λόγω αιτήματα διόρθωσης θα πρέπει ακολούθως να διεκπεραιώνονται από τους σχετικούς υπευθύνους επεξεργασίας σε συμφωνία με τον κανονισμό (ΕΕ) 2016/679, με τη συμμετοχή, εφόσον απαιτείται, επαγγελματιών υγείας με σχετική ειδίκευση, αρμόδιων για τη θεραπεία των φυσικών προσώπων.

(14)

Βάσει του κανονισμού (ΕΕ) 2016/679, το δικαίωμα φορητότητας των δεδομένων περιορίζεται στα δεδομένα που υποβάλλονται σε επεξεργασία βάσει συγκατάθεσης ή σύμβασης και παρέχονται από το υποκείμενο των δεδομένων σε υπεύθυνο επεξεργασίας. Επιπροσθέτως, βάσει του εν λόγω κανονισμού, τα φυσικά πρόσωπα έχουν το δικαίωμα να ζητούν την απευθείας διαβίβαση των δεδομένων προσωπικού χαρακτήρα από έναν υπεύθυνο επεξεργασίας σε άλλον μόνο σε περίπτωση που αυτό είναι τεχνικά εφικτό. Ωστόσο, ο κανονισμός (ΕΕ) 2016/679 δεν επιβάλλει την υποχρέωση να καταστεί τεχνικά εφικτή αυτή η απευθείας διαβίβαση. Το δικαίωμα φορητότητας των δεδομένων θα πρέπει να συμπληρωθεί στο πλαίσιο του παρόντος κανονισμού, ώστε να μπορούν τα φυσικά πρόσωπα να παρέχουν πρόσβαση τουλάχιστον σε κατηγορίες προτεραιότητας των προσωπικών ηλεκτρονικών δεδομένων υγείας τους στους επαγγελματίες υγείας της επιλογής τους, να ανταλλάσσουν με τους εν λόγω επαγγελματίες υγείας τέτοια δεδομένα υγείας και να τηλεφορτώνουν τα εν λόγω δεδομένα υγείας. Επιπλέον, τα φυσικά πρόσωπα θα πρέπει να έχουν το δικαίωμα να ζητούν από πάροχο υγειονομικής περίθαλψης να διαβιβάσει μέρος των ηλεκτρονικών δεδομένων υγείας τους σε σαφώς ταυτοποιημένο αποδέκτη στον τομέα της κοινωνικής ασφάλισης ή των υπηρεσιών επιστροφής εξόδων. Η εν λόγω μεταφορά θα πρέπει να είναι αποκλειστικά μονόδρομη.

(15)

Το πλαίσιο που θεσπίζεται με τον παρόντα κανονισμό θα πρέπει να βασίζεται στο δικαίωμα στη φορητότητα των δεδομένων που θεσπίζεται στον κανονισμό (ΕΕ) 2016/679, διασφαλίζοντας ότι τα φυσικά πρόσωπα ως υποκείμενα των δεδομένων μπορούν να διαβιβάζουν τα προσωπικά ηλεκτρονικά δεδομένα υγείας τους, συμπεριλαμβανομένων των συναγόμενων δεδομένων στον ευρωπαϊκό μορφότυπο ανταλλαγής ηλεκτρονικών φακέλων υγείας, ανεξάρτητα από τη νομική βάση για την επεξεργασία των ηλεκτρονικών δεδομένων υγείας. Οι επαγγελματίες υγείας θα πρέπει να μην παρεμποδίζουν την άσκηση των δικαιωμάτων των φυσικών προσώπων, για παράδειγμα με το να αρνούνται να λαμβάνουν υπόψη προσωπικά ηλεκτρονικά δεδομένα υγείας που προέρχονται από άλλο κράτος μέλος και παρέχονται μέσω του διαλειτουργικού και αξιόπιστου ευρωπαϊκού μορφοτύπου ανταλλαγής ηλεκτρονικών φακέλων υγείας.

(16)

Η πρόσβαση των παρόχων υγειονομικής περίθαλψης ή άλλων ατόμων σε ηλεκτρονικούς φακέλους υγείας θα πρέπει να είναι διαφανής για τα ενδιαφερόμενα φυσικά πρόσωπα. Οι υπηρεσίες πρόσβασης σε ηλεκτρονικά δεδομένα υγείας θα πρέπει να παρέχουν λεπτομερείς πληροφορίες σχετικά με την πρόσβαση σε δεδομένα, όπως πότε και ποια οντότητα ή ποιο φυσικό πρόσωπο είχε πρόσβαση και σε ποια δεδομένα. Τα φυσικά πρόσωπα θα πρέπει επίσης να είναι σε θέση να ενεργοποιούν ή να απενεργοποιούν αυτόματες κοινοποιήσεις σχετικά με την πρόσβαση στα προσωπικά ηλεκτρονικά δεδομένα υγείας σχετικά με αυτά μέσω των υπηρεσιών πρόσβασης επαγγελματιών υγείας.

(17)

Τα φυσικά πρόσωπα ενδέχεται να μην επιθυμούν να επιτρέψουν την πρόσβαση σε ορισμένα τμήματα των προσωπικών ηλεκτρονικών δεδομένων υγείας τους, επιτρέποντας παράλληλα την πρόσβαση σε άλλα τμήματα. Αυτό θα μπορούσε να είναι ιδιαίτερα σημαντικό σε περιπτώσεις ευαίσθητων ζητημάτων υγείας όπως εκείνα που σχετίζονται με την ψυχική ή σεξουαλική υγεία, ευαίσθητες διαδικασίες όπως οι αμβλώσεις, ή δεδομένα για συγκεκριμένα φάρμακα που θα μπορούσαν να αποκαλύψουν άλλα ευαίσθητα ζητήματα. Αυτή η επιλεκτική κοινοχρησία προσωπικών ηλεκτρονικών δεδομένων υγείας θα πρέπει επομένως να υποστηρίζεται και να εφαρμόζεται μέσω περιορισμών που θέτει το ενδιαφερόμενο φυσικό πρόσωπο με τον ίδιο τρόπο εντός του εδάφους ενός δεδομένου κράτους μέλους και για τη διασυνοριακή κοινοχρησία δεδομένων. Οι εν λόγω περιορισμοί θα πρέπει να επιτρέπουν επαρκή βαθμό λεπτομέρειας ώστε να περιορίζονται μέρη των συνόλων δεδομένων, όπως τα στοιχεία των συνοπτικών ιστορικών υγείας ασθενούς. Πριν από τον καθορισμό των περιορισμών, τα φυσικά πρόσωπα θα πρέπει να ενημερώνονται σχετικά με τους κινδύνους για την ασφάλεια των ασθενών που συνδέονται με τον περιορισμό της πρόσβασης σε δεδομένα υγείας. Δεδομένου ότι η μη διαθεσιμότητα των περιορισμένων προσωπικών ηλεκτρονικών δεδομένων υγείας μπορεί να επηρεάσει την παροχή ή την ποιότητα των υπηρεσιών υγείας που παρέχονται στο φυσικό πρόσωπο, τα φυσικά πρόσωπα που κάνουν χρήση των εν λόγω περιορισμών πρόσβασης θα πρέπει να αναλάβουν την ευθύνη για το γεγονός ότι ο πάροχος υγειονομικής περίθαλψης δεν μπορεί να λάβει υπόψη τα δεδομένα κατά την παροχή υπηρεσιών υγείας. Οι περιορισμοί στην πρόσβαση σε προσωπικά ηλεκτρονικά δεδομένα υγείας θα μπορούσε να έχουν απειλητικές για τη ζωή συνέπειες και, ως εκ τούτου, η πρόσβαση στα εν λόγω δεδομένα θα πρέπει παρά ταύτα να είναι δυνατή όπου είναι αναγκαίο για την προστασία ζωτικών συμφερόντων σε καταστάσεις έκτακτης ανάγκης. Τα κράτη μέλη θα μπορούσαν να προβλέπουν στο εθνικό τους δίκαιο ειδικότερες νομικές διατάξεις σχετικά με τους μηχανισμούς των περιορισμών που επιβάλλονται από φυσικά πρόσωπα σε τμήματα των προσωπικών ηλεκτρονικών δεδομένων υγείας τους, ιδίως όσον αφορά την ιατρική ευθύνη σε περίπτωση που έχουν επιβληθεί περιορισμοί από το ενδιαφερόμενο φυσικό πρόσωπο.

(18)

Επιπλέον, λόγω των διαφορετικών ευαισθησιών στα κράτη μέλη όσον αφορά τον βαθμό ελέγχου που έχουν οι ασθενείς επί των δεδομένων υγείας τους, τα κράτη μέλη θα πρέπει να μπορούν να παρέχουν απόλυτο δικαίωμα εξαίρεσης από την πρόσβαση στα προσωπικά τους ηλεκτρονικά δεδομένα υγείας από οποιονδήποτε εκτός από τον αρχικό υπεύθυνο επεξεργασίας, χωρίς καμία δυνατότητα υπέρβασης του εν λόγω δικαιώματος εξαίρεσης σε περίπτωση έκτακτης ανάγκης. Σε αυτήν την περίπτωση, τα κράτη μέλη θα πρέπει να θεσπίσουν κανόνες και ειδικές εγγυήσεις σε σχέση με τους εν λόγω μηχανισμούς εξαίρεσης. Οι εν λόγω κανόνες και ειδικές εγγυήσεις θα μπορούσαν επίσης να αφορούν συγκεκριμένες κατηγορίες προσωπικών ηλεκτρονικών δεδομένων υγείας, για παράδειγμα γενετικά δεδομένα. Το δικαίωμα εξαίρεσης σημαίνει ότι τα προσωπικά ηλεκτρονικά δεδομένα υγείας τα οποία αφορούν το φυσικό πρόσωπο που κάνει χρήση του εν λόγω δικαιώματος δεν θα διατίθενται μέσω των υπηρεσιών που δημιουργούνται στο πλαίσιο του ΕΧΔΥ, πέραν του παρόχου υγειονομικής περίθαλψης που παρείχε τη θεραπεία. Τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να απαιτούν την καταχώριση και αποθήκευση προσωπικών ηλεκτρονικών δεδομένων υγείας σε σύστημα ΗΦΥ που χρησιμοποιείται από τον πάροχο υγειονομικής περίθαλψης ο οποίος παρείχε τις υπηρεσίες υγείας και είναι προσβάσιμο μόνο στον εν λόγω πάροχο υγειονομικής περίθαλψης. Εάν ένα φυσικό πρόσωπο έχει κάνει χρήση του δικαιώματος εξαίρεσης, οι πάροχοι υγειονομικής περίθαλψης θα εξακολουθούν να τεκμηριώνουν την παρεχόμενη θεραπεία σύμφωνα με τους ισχύοντες κανόνες και θα μπορούν να έχουν πρόσβαση στα δεδομένα που έχουν καταχωρίσει οι ίδιοι. Τα φυσικά πρόσωπα που έκαναν χρήση του δικαιώματος εξαίρεσης θα πρέπει να έχουν τη δυνατότητα να ανακαλέσουν την απόφασή τους. Στην περίπτωση αυτήν, τα προσωπικά ηλεκτρονικά δεδομένα υγείας που παράγονται κατά την περίοδο της εξαίρεσης ενδέχεται να μην είναι διαθέσιμα μέσω των υπηρεσιών πρόσβασης και του MyHealth@EU (Η υγεία μου @ ΕΕ).

(19)

Η έγκαιρη και πλήρης πρόσβαση από τους επαγγελματίες υγείας στους ιατρικούς φακέλους των ασθενών είναι θεμελιώδους σημασίας για τη διασφάλιση της συνέχειας της φροντίδας, την αποφυγή αλληλεπικαλύψεων και σφαλμάτων και τη μείωση των δαπανών. Ωστόσο, λόγω έλλειψης διαλειτουργικότητας, σε πολλές περιπτώσεις, οι επαγγελματίες υγείας δεν μπορούν να έχουν πρόσβαση στον πλήρη ιατρικό φάκελο των ασθενών τους και δεν μπορούν να λάβουν βέλτιστες ιατρικές αποφάσεις για τη διάγνωση και τη θεραπεία τους, γεγονός που συνεπάγεται σημαντικό κόστος τόσο για τα συστήματα υγείας όσο και για τα φυσικά πρόσωπα και μπορεί να οδηγήσει σε χειρότερα αποτελέσματα στον τομέα της υγείας για τα φυσικά πρόσωπα. Τα ηλεκτρονικά δεδομένα υγείας που διατίθενται σε διαλειτουργικό μορφότυπο και τα οποία μπορούν να διαβιβάζονται μεταξύ των παρόχων υγειονομικής περίθαλψης μπορούν επίσης να μειώσουν τη διοικητική επιβάρυνση για τους επαγγελματίες υγείας που προκύπτει λόγω της μη αυτόματης εισαγωγής ή αντιγραφής δεδομένων υγείας μεταξύ ηλεκτρονικών συστημάτων. Ως εκ τούτου, θα πρέπει να παρέχονται στους επαγγελματίες υγείας κατάλληλα ηλεκτρονικά μέσα, όπως ηλεκτρονικά τεχνολογικά προϊόντα και πύλες επαγγελματιών υγείας ή άλλες υπηρεσίες πρόσβασης επαγγελματιών υγείας, για τη χρήση προσωπικών ηλεκτρονικών δεδομένων υγείας για την άσκηση των καθηκόντων τους. Δεδομένου ότι είναι δύσκολο να προσδιοριστεί διεξοδικά εκ των προτέρων ποια από τα υφιστάμενα δεδομένα στις κατηγορίες προτεραιότητας είναι ιατρικώς σημαντικά σε ένα συγκεκριμένο περιστατικό φροντίδας, οι επαγγελματίες υγείας θα πρέπει να έχουν ευρεία πρόσβαση σε δεδομένα. Κατά την πρόσβαση σε δεδομένα που αφορούν τους ασθενείς τους, οι επαγγελματίες υγείας θα πρέπει να τηρούν το εφαρμοστέο δίκαιο, τους κώδικες δεοντολογίας, τις δεοντολογικές κατευθυντήριες γραμμές ή άλλες διατάξεις που διέπουν τη δεοντολογική συμπεριφορά όσον αφορά την ανταλλαγή πληροφοριών ή την πρόσβαση σε αυτές, ιδίως σε απειλητικές για τη ζωή ή ακραίες καταστάσεις. Σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, προκειμένου να περιορίζεται η πρόσβασή τους σε ό,τι είναι σχετικό σε ένα συγκεκριμένο περιστατικό φροντίδας, οι πάροχοι υγειονομικής περίθαλψης θα πρέπει να τηρούν την αρχή της ελαχιστοποίησης των δεδομένων κατά την πρόσβαση σε προσωπικά ηλεκτρονικά δεδομένα υγείας, περιορίζοντας τα δεδομένα στα οποία έχουν πρόσβαση σε δεδομένα που είναι απολύτως αναγκαία και αιτιολογημένα για μια δεδομένη υπηρεσία. Η παροχή υπηρεσιών πρόσβασης επαγγελματιών υγείας αποτελεί καθήκον που εκτελείται προς το δημόσιο συμφέρον βάσει του παρόντος κανονισμού και η εκτέλεση του εν λόγω καθήκοντος απαιτεί την επεξεργασία δεδομένων προσωπικού χαρακτήρα όπως αναφέρεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2016/679. Ο παρών κανονισμός προβλέπει προϋποθέσεις και εγγυήσεις για την επεξεργασία ηλεκτρονικών δεδομένων υγείας από την υπηρεσία πρόσβασης επαγγελματιών υγείας σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχείο η) του κανονισμού (ΕΕ) 2016/679, για παράδειγμα λεπτομερείς διατάξεις σχετικά με την καταγραφή πρόσβασης σε προσωπικά ηλεκτρονικά δεδομένα υγείας που σκοπό έχουν να εξασφαλίζεται η διαφάνεια ενώπιον των υποκειμένων των δεδομένων. Ωστόσο, ο παρών κανονισμός δεν θα πρέπει να θίγει το εθνικό δίκαιο σχετικά με την επεξεργασία δεδομένων υγείας για την παροχή υγειονομικής περίθαλψης, συμπεριλαμβανομένου του εθνικού δικαίου για τον καθορισμό των κατηγοριών επαγγελματιών υγείας που μπορούν να επεξεργάζονται διάφορες κατηγορίες ηλεκτρονικών δεδομένων υγείας.

(20)

Για να διευκολυνθεί η άσκηση των συμπληρωματικών δικαιωμάτων πρόσβασης και φορητότητας που θεσπίζονται δυνάμει του παρόντος κανονισμού, τα κράτη μέλη θα πρέπει να δημιουργήσουν μία ή περισσότερες υπηρεσίες πρόσβασης σε ηλεκτρονικά δεδομένα υγείας. Οι εν λόγω υπηρεσίες θα μπορούσαν να παρέχονται σε εθνικό, περιφερειακό ή τοπικό επίπεδο, ή από παρόχους υγειονομικής περίθαλψης, με τη μορφή μιας διαδικτυακής πύλης ασθενών, μιας εφαρμογής για φορητές συσκευές ή με άλλα μέσα. Θα πρέπει να σχεδιάζονται με προσβάσιμο τρόπο, ιδίως για τα άτομα με αναπηρία. Η παροχή της εν λόγω υπηρεσίας ώστε να μπορούν τα φυσικά πρόσωπα να έχουν εύκολη πρόσβαση στα προσωπικά ηλεκτρονικά δεδομένα υγείας τους αποτελεί ουσιαστικό δημόσιο συμφέρον. Η επεξεργασία προσωπικών ηλεκτρονικών δεδομένων υγείας μέσω των υπηρεσιών αυτών είναι απαραίτητη για την εκτέλεση του εν λόγω καθήκοντος που ανατίθεται από τον παρόντα κανονισμό κατά την έννοια του άρθρου 6 παράγραφος 1 στοιχείο ε) και του άρθρου 9 παράγραφος 2 στοιχείο ζ) του κανονισμού (ΕΕ) 2016/679. Ο παρών κανονισμός καθορίζει τις αναγκαίες προϋποθέσεις και εγγυήσεις για την επεξεργασία ηλεκτρονικών δεδομένων υγείας στις υπηρεσίες πρόσβασης σε ηλεκτρονικά δεδομένα υγείας, όπως η ηλεκτρονική ταυτοποίηση φυσικών προσώπων που έχουν πρόσβαση στις εν λόγω υπηρεσίες.

(21)

Τα φυσικά πρόσωπα θα πρέπει να είναι σε θέση να παρέχουν άδεια σε άλλα φυσικά πρόσωπα της επιλογής τους, όπως στους συγγενείς τους ή άλλα στενά συνδεδεμένα φυσικά πρόσωπα, που θα επιτρέπει στα εν λόγω πρόσωπα της επιλογής τους να έχουν πρόσβαση ή να ελέγχουν την πρόσβαση στα προσωπικά ηλεκτρονικά δεδομένα υγείας των φυσικών προσώπων που παρέχουν την άδεια ή να χρησιμοποιούν ψηφιακές υπηρεσίες υγείας για λογαριασμό τους. Οι άδειες αυτές θα μπορούσαν επίσης να είναι χρήσιμες για άλλες χρήσεις από τα φυσικά πρόσωπα που παρείχαν μια τέτοια άδεια. Τα κράτη μέλη θα πρέπει να θεσπίσουν υπηρεσίες πληρεξουσιότητας για τη διευκόλυνση και την εφαρμογή των εν λόγω αδειών, και οι εν λόγω υπηρεσίες πληρεξουσιότητας θα πρέπει να συνδέονται με υπηρεσίες πρόσβασης σε προσωπικά ηλεκτρονικά δεδομένα υγείας, όπως πύλες ασθενών ή εφαρμογές για φορητές συσκευές που απευθύνονται σε ασθενείς. Οι εν λόγω υπηρεσίες πληρεξουσιότητας θα πρέπει επίσης να επιτρέπουν στους κηδεμόνες να ενεργούν εξ ονόματος των εξαρτώμενων προσώπων τους, συμπεριλαμβανομένων των ανηλίκων· σε αυτές τις περιπτώσεις, οι άδειες θα μπορούσαν να είναι αυτόματες. Εκτός από αυτές τις υπηρεσίες πληρεξουσιότητας, τα κράτη μέλη θα πρέπει επίσης να δημιουργήσουν εύκολα προσβάσιμες υπηρεσίες υποστήριξης που να παρέχονται από επαρκώς εκπαιδευμένο προσωπικό το οποίο να βοηθά τα φυσικά πρόσωπα στην άσκηση των δικαιωμάτων τους. Προκειμένου να ληφθούν υπόψη περιπτώσεις στις οποίες η παρουσίαση ορισμένων προσωπικών ηλεκτρονικών δεδομένων υγείας εξαρτώμενων ατόμων στους κηδεμόνες τους θα μπορούσε να είναι αντίθετη προς τα συμφέροντα ή τη βούληση των οικείων εξαρτωμένων ατόμων, συμπεριλαμβανομένων των ανηλίκων, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να προβλέπουν περιορισμούς και εγγυήσεις στο εθνικό δίκαιο, καθώς και μηχανισμούς για την τεχνική εφαρμογή τους. Οι υπηρεσίες πρόσβασης σε προσωπικά ηλεκτρονικά δεδομένα υγείας, όπως πύλες ασθενών ή εφαρμογές για φορητές συσκευές που απευθύνονται σε ασθενείς, θα πρέπει να κάνουν χρήση των εν λόγω αδειών και, ως εκ τούτου, να επιτρέπουν σε φυσικά πρόσωπα που έχουν λάβει άδεια να έχουν πρόσβαση σε προσωπικά ηλεκτρονικά δεδομένα υγείας που εμπίπτουν στο πεδίο εφαρμογής της άδειας. Προκειμένου να διασφαλιστεί μια οριζόντια λύση με αυξημένη φιλικότητα προς τον χρήστη, οι ψηφιακές λύσεις πληρεξουσιότητας θα πρέπει να ευθυγραμμιστούν με τον κανονισμό (ΕΕ) αριθ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7) και τις τεχνικές προδιαγραφές του ευρωπαϊκού πορτοφολιού ψηφιακής ταυτότητας. Η εν λόγω ευθυγράμμιση θα συμβάλει στη μείωση τόσο της διοικητικής όσο και της οικονομικής επιβάρυνσης για τα κράτη μέλη, μειώνοντας τον κίνδυνο ανάπτυξης παράλληλων συστημάτων που δεν είναι διαλειτουργικά σε ολόκληρη την Ένωση.

(22)

Σε ορισμένα κράτη μέλη, η υγειονομική περίθαλψη παρέχεται από ομάδες διαχείρισης της πρωτοβάθμιας φροντίδας, οι οποίες είναι ομάδες επαγγελματιών υγείας με επίκεντρο την πρωτοβάθμια φροντίδα, όπως γενικοί ιατροί, οι οποίοι ασκούν τις δραστηριότητές τους στον τομέα της πρωτοβάθμιας φροντίδας βάσει σχεδίου υγειονομικής περίθαλψης που καταρτίζουν οι ίδιοι. Υπάρχουν επίσης άλλα είδη ομάδων υγειονομικής περίθαλψης σε διάφορα κράτη μέλη για άλλους σκοπούς φροντίδας. Στο πλαίσιο της πρωτογενούς χρήσης στον ΕΧΔΥ, θα πρέπει να παρέχεται πρόσβαση στους επαγγελματίες υγείας που ανήκουν σε τέτοιες ομάδες.

(23)

Οι εποπτικές αρχές που συγκροτούνται δυνάμει του κανονισμού (ΕΕ) 2016/679 είναι αρμόδιες για την παρακολούθηση και την επιβολή της εφαρμογής του εν λόγω κανονισμού, ιδίως για την παρακολούθηση της επεξεργασίας των προσωπικών ηλεκτρονικών δεδομένων υγείας και για τον χειρισμό τυχόν καταγγελιών που υποβάλλονται από τα ενδιαφερόμενα φυσικά πρόσωπα. Ο παρών κανονισμός θεσπίζει πρόσθετα δικαιώματα για τα φυσικά πρόσωπα όσον αφορά την πρωτογενή χρήση, τα οποία υπερβαίνουν και συμπληρώνουν τα δικαιώματα πρόσβασης και φορητότητας που κατοχυρώνονται στον κανονισμό (ΕΕ) 2016/679. Δεδομένου ότι τα πρόσθετα αυτά δικαιώματα θα πρέπει επίσης να επιβάλλονται από τις εποπτικές αρχές που έχουν συσταθεί δυνάμει του κανονισμού (ΕΕ) 2016/679, τα κράτη μέλη θα πρέπει να διασφαλίζουν ότι οι εν λόγω εποπτικές αρχές διαθέτουν τους οικονομικούς και ανθρώπινους πόρους, τις εγκαταστάσεις και τις υποδομές που απαιτούνται για την αποτελεσματική εκτέλεση των εν λόγω πρόσθετων καθηκόντων. Η εποπτική αρχή ή αρχές που είναι υπεύθυνες για την παρακολούθηση και επιβολή της επεξεργασίας προσωπικών ηλεκτρονικών δεδομένων υγείας για πρωτογενή χρήση κατά τα προβλεπόμενα στον παρόντα κανονισμό θα πρέπει να είναι αρμόδιες για την επιβολή διοικητικών προστίμων. Το νομικό σύστημα της Δανίας δεν επιτρέπει την επιβολή διοικητικών προστίμων όπως ορίζεται στον παρόντα κανονισμό. Οι κανόνες για τα διοικητικά πρόστιμα μπορούν να εφαρμόζονται κατά τρόπο ώστε, στη Δανία, τα πρόστιμα να επιβάλλονται από τα αρμόδια εθνικά δικαστήρια ως ποινική κύρωση, υπό την προϋπόθεση ότι η εν λόγω εφαρμογή των κανόνων έχει ισοδύναμο αποτέλεσμα με τα διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές. Εν πάση περιπτώσει, τα πρόστιμα που επιβάλλονται θα πρέπει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά.

(24)

Κατά την εφαρμογή του παρόντος κανονισμού, τα κράτη μέλη οφείλουν να επιδιώκουν την τήρηση δεοντολογικών αρχών, όπως οι ευρωπαϊκές δεοντολογικές αρχές για την ψηφιακή υγεία που εγκρίθηκαν από το δίκτυο eHealth στις 26 Ιανουαρίου 2022 και η αρχή του επαγγελματικού απορρήτου μεταξύ επαγγελματιών υγείας και ασθενών. Αναγνωρίζοντας τη σημασία των δεοντολογικών αρχών, οι ευρωπαϊκές δεοντολογικές αρχές για την ψηφιακή υγεία παρέχουν καθοδήγηση σε επαγγελματίες, ερευνητές, φορείς καινοτομίας, υπεύθυνους χάραξης πολιτικής και ρυθμιστικές αρχές.

(25)

Η συνάφεια των διάφορων κατηγοριών ηλεκτρονικών δεδομένων υγείας για τα διάφορα σενάρια υγειονομικής περίθαλψης ποικίλλει. Οι διάφορες κατηγορίες έχουν επίσης επιτύχει διαφορετικά επίπεδα ωριμότητας όσον αφορά την τυποποίηση και, ως εκ τούτου, η εφαρμογή μηχανισμών για την ανταλλαγή τους μπορεί να είναι περισσότερο ή λιγότερο πολύπλοκη, ανάλογα με την κατηγορία. Ως εκ τούτου, η βελτίωση της διαλειτουργικότητας και της κοινοχρησίας δεδομένων θα πρέπει να είναι σταδιακή, ενώ επίσης απαιτείται ιεράρχηση ορισμένων κατηγοριών ηλεκτρονικών δεδομένων υγείας. Κατηγορίες ηλεκτρονικών δεδομένων υγείας, όπως τα συνοπτικά ιστορικά υγείας ασθενούς, οι ηλεκτρονικές συνταγές και οι χορηγήσεις φαρμάκων, οι μελέτες σχετικά με ιατρικές απεικονίσεις και οι σχετικές γνωματεύσεις των απεικονίσεων, τα αποτελέσματα ιατρικών εξετάσεων όπως τα εργαστηριακά αποτελέσματα και οι σχετικές εκθέσεις, και οι εξιτήριες αναφορές, έχουν επιλεγεί από το δίκτυο eHealth ως οι πλέον συναφείς για την πλειονότητα των καταστάσεων υγειονομικής περίθαλψης και θα πρέπει να θεωρούνται κατηγορίες προτεραιότητας για τα κράτη μέλη όσον αφορά την εφαρμογή της πρόσβασης στα δεδομένα αυτά και τη διαβίβασή τους. Όταν οι εν λόγω κατηγορίες προτεραιότητας δεδομένων αντιπροσωπεύουν ομάδες ηλεκτρονικών δεδομένων υγείας, ο παρών κανονισμός θα πρέπει να εφαρμόζεται τόσο στις ομάδες στο σύνολό τους όσο και στις μεμονωμένες καταχωρίσεις δεδομένων που περιέχονται σε αυτές τις ομάδες. Για παράδειγμα, δεδομένου ότι το καθεστώς εμβολιασμού αποτελεί μέρος του συνοπτικού ιστορικού υγείας ασθενούς, τα δικαιώματα και οι απαιτήσεις που συνδέονται με το συνοπτικό ιστορικό υγείας ασθενούς θα πρέπει να ισχύουν και για ένα τέτοιο καθεστώς εμβολιασμού, ακόμη και αν υποβάλλεται σε επεξεργασία χωριστά από το συνοπτικό ιστορικό υγείας ασθενούς στο σύνολό του. Όταν εντοπίζονται περαιτέρω ανάγκες για την ανταλλαγή πρόσθετων κατηγοριών ηλεκτρονικών δεδομένων υγείας για σκοπούς υγειονομικής περίθαλψης, η πρόσβαση και η ανταλλαγή στις πρόσθετες αυτές κατηγορίες θα πρέπει να είναι δυνατές δυνάμει του παρόντος κανονισμού. Θα πρέπει πρώτα να εφαρμοστούν οι πρόσθετες κατηγορίες σε επίπεδο κρατών μελών και να προβλεφθεί στον παρόντα κανονισμό η ανταλλαγή σε εθελοντική βάση των εν λόγω κατηγοριών δεδομένων σε διασυνοριακές καταστάσεις μεταξύ των συνεργαζόμενων κρατών μελών. Ιδιαίτερη προσοχή θα πρέπει να δίνεται σε ανταλλαγή δεδομένων σε παραμεθόριες περιοχές γειτονικών κρατών μελών, όπου η παροχή διασυνοριακών υπηρεσιών υγείας είναι συχνότερη και απαιτεί ακόμη ταχύτερες διαδικασίες απ’ ό,τι σε ολόκληρη την Ένωση εν γένει.

(26)

Το επίπεδο διαθεσιμότητας προσωπικών δεδομένων υγείας και γενετικών δεδομένων σε ηλεκτρονική μορφή ποικίλλει μεταξύ των κρατών μελών. Ο ΕΧΔΥ θα πρέπει να διευκολύνει τα φυσικά πρόσωπα να διαθέτουν τα εν λόγω δεδομένα σε ηλεκτρονική μορφή και να έχουν καλύτερο έλεγχο όσον αφορά την πρόσβαση και την κοινοχρησία των προσωπικών ηλεκτρονικών δεδομένων υγείας τους. Αυτό θα συμβάλει επίσης στην επίτευξη του στόχου να έχουν το 100 % των πολιτών της Ένωσης πρόσβαση στους ηλεκτρονικούς φακέλους υγείας τους έως το 2030, όπως αναφέρεται στην απόφαση (ΕΕ) 2022/2481 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8). Προκειμένου να καταστούν τα ηλεκτρονικά δεδομένα υγείας προσβάσιμα και διαβιβάσιμα, τα δεδομένα αυτά θα πρέπει να είναι προσβάσιμα και να διαβιβάζονται σε διαλειτουργικό κοινό ευρωπαϊκό μορφότυπο ανταλλαγής ηλεκτρονικών φακέλων υγείας, τουλάχιστον για ορισμένες κατηγορίες ηλεκτρονικών δεδομένων υγείας, όπως τα συνοπτικά ιστορικά υγείας ασθενούς, οι ηλεκτρονικές συνταγές και χορηγήσεις φαρμάκων, οι μελέτες σχετικά με ιατρικές απεικονίσεις και οι σχετικές γνωματεύσεις των απεικονίσεων, τα αποτελέσματα ιατρικών εξετάσεων και οι εξιτήριες αναφορές, με την επιφύλαξη μεταβατικών περιόδων. Όταν τα προσωπικά ηλεκτρονικά δεδομένα υγείας διατίθενται σε πάροχο υγειονομικής περίθαλψης ή φαρμακείο από φυσικό πρόσωπο ή διαβιβάζονται από άλλον υπεύθυνο επεξεργασίας στον ευρωπαϊκό μορφότυπο ανταλλαγής ηλεκτρονικών φακέλων υγείας, ο εν λόγω μορφότυπος θα πρέπει να γίνεται δεκτός και ο αποδέκτης θα πρέπει να έχει τη δυνατότητα να διαβάζει τα δεδομένα και να τα χρησιμοποιεί για την παροχή υγειονομικής περίθαλψης ή για τη χορήγηση φαρμάκου, υποστηρίζοντας με αυτόν τον τρόπο την παροχή υπηρεσιών υγειονομικής περίθαλψης ή τη χορήγηση φαρμάκων βάσει ηλεκτρονικής συνταγής. Ο ευρωπαϊκός μορφότυπος ανταλλαγής ηλεκτρονικών φακέλων υγείας θα έπρεπε να σχεδιαστεί ούτως ώστε να διευκολύνει τη μετάφραση των ηλεκτρονικών δεδομένων υγείας που κοινοποιούνται χρησιμοποιώντας τον εν λόγω μορφότυπο στις επίσημες γλώσσες της Ένωσης, στο μέτρο του δυνατού,. Η σύσταση (ΕΕ) 2019/243 της Επιτροπής (9) παρέχει τις βάσεις για τον εν λόγω κοινό ευρωπαϊκό μορφότυπο ανταλλαγής ηλεκτρονικών φακέλων υγείας. Η διαλειτουργικότητα του ΕΧΔΥ θα πρέπει να συμβάλλει στην απόκτηση ευρωπαϊκών συνόλων δεδομένων υγείας υψηλής ποιότητας. Η χρήση του ευρωπαϊκού μορφοτύπου ανταλλαγής ηλεκτρονικών φακέλων υγείας θα πρέπει να γενικευθεί περαιτέρω σε επίπεδο Ένωσης και σε εθνικό επίπεδο. Ο ευρωπαϊκός μορφότυπος ανταλλαγής ηλεκτρονικών φακέλων υγείας θα μπορούσε να επιτρέπει διαφορετικά προφίλ για τη χρήση του σε επίπεδο συστημάτων ΗΦΥ και σε επίπεδο εθνικών σημείων επαφής για την ψηφιακή υγεία στο MyHealth@EU για τη διασυνοριακή ανταλλαγή δεδομένων.

(27)

Ενώ τα συστήματα ΗΦΥ είναι ευρέως διαδεδομένα, το επίπεδο ψηφιοποίησης των δεδομένων υγείας ποικίλλει στα κράτη μέλη ανάλογα με τις κατηγορίες δεδομένων και την κάλυψη των παρόχων υγειονομικής περίθαλψης που καταχωρίζουν δεδομένα υγείας σε ηλεκτρονική μορφή. Προκειμένου να υποστηριχθεί η εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων όσον αφορά την πρόσβαση και την ανταλλαγή ηλεκτρονικών δεδομένων υγείας, απαιτείται δράση της Ένωσης για να αποφευχθεί ο περαιτέρω κατακερματισμός. Προκειμένου να συμβάλουν στην υψηλή ποιότητα και τη συνέχεια της υγειονομικής περίθαλψης, ορισμένες κατηγορίες δεδομένων υγείας θα πρέπει να καταχωρίζονται συστηματικά σε ηλεκτρονική μορφή και σύμφωνα με ειδικές απαιτήσεις ποιότητας δεδομένων. Ο ευρωπαϊκός μορφότυπος ανταλλαγής ηλεκτρονικών φακέλων υγείας θα πρέπει να αποτελεί τη βάση για τις προδιαγραφές σχετικά με την καταχώριση και την ανταλλαγή ηλεκτρονικών δεδομένων υγείας.

(28)

Η τηλεϊατρική καθίσταται ολοένα και πιο σημαντικό εργαλείο που μπορεί να παρέχει στους ασθενείς πρόσβαση σε φροντίδα και να αντιμετωπίζει τις ανισότητες. Έχει τη δυνατότητα να μειώσει τις ανισότητες στον τομέα της υγείας και να ενισχύσει την ελεύθερη κυκλοφορία των πολιτών της Ένωσης σε διασυνοριακό επίπεδο. Τα ψηφιακά και άλλα τεχνολογικά εργαλεία μπορούν να διευκολύνουν τη φροντίδα σε απομακρυσμένες περιοχές. Όταν οι ψηφιακές υπηρεσίες συνοδεύουν τη φυσική παροχή μιας υπηρεσίας υγειονομικής περίθαλψης, η ψηφιακή υπηρεσία θα πρέπει να περιλαμβάνεται στη συνολική παροχή φροντίδας. Βάσει του άρθρου 168 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), τα κράτη μέλη είναι υπεύθυνα για την πολιτική τους στον τομέα της υγείας, ιδίως για την οργάνωση και την παροχή υγειονομικών υπηρεσιών και ιατρικής φροντίδας, συμπεριλαμβανομένης της ρύθμισης δραστηριοτήτων όπως τα διαδικτυακά φαρμακεία, η τηλεϊατρική και άλλες υπηρεσίες τις οποίες παρέχουν και για τις οποίες επιστρέφουν τα έξοδα, σε ευθυγράμμιση με την εθνική τους νομοθεσία. Ωστόσο, οι διαφορετικές πολιτικές υγειονομικής περίθαλψης δεν θα πρέπει να αποτελούν εμπόδια στην ελεύθερη κυκλοφορία των ηλεκτρονικών δεδομένων υγείας στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης, για παράδειγμα της τηλεϊατρικής και των διαδικτυακών φαρμακευτικών υπηρεσιών.

(29)

Ο κανονισμός (ΕΕ) αριθ. 910/2014 καθορίζει τις προϋποθέσεις υπό τις οποίες τα κράτη μέλη διενεργούν την ταυτοποίηση φυσικών προσώπων σε διασυνοριακές καταστάσεις με τη χρήση μέσων ταυτοποίησης που έχουν εκδοθεί από άλλο κράτος μέλος, θεσπίζοντας κανόνες για την αμοιβαία αναγνώριση των εν λόγω μέσων ηλεκτρονικής ταυτοποίησης. Ο ΕΧΔΥ απαιτεί ασφαλή πρόσβαση σε ηλεκτρονικά δεδομένα υγείας, μεταξύ άλλων σε διασυνοριακές καταστάσεις. Οι υπηρεσίες πρόσβασης σε ηλεκτρονικά δεδομένα υγείας και οι υπηρεσίες τηλεϊατρικής θα πρέπει να παρέχουν τη δυνατότητα στα φυσικά πρόσωπα να ασκούν τα δικαιώματά τους ανεξάρτητα από το κράτος μέλος ασφάλισής τους και, ως εκ τούτου, θα πρέπει να υποστηρίζουν την ταυτοποίηση των φυσικών προσώπων που χρησιμοποιούν οποιοδήποτε μέσο ηλεκτρονικής ταυτοποίησης αναγνωρίζεται δυνάμει του κανονισμού (ΕΕ) αριθ. 910/2014. Δεδομένης της δυνατότητας προκλήσεων όσον αφορά την αντιστοίχιση ταυτότητας σε διασυνοριακές καταστάσεις, ενδέχεται να είναι αναγκαίο τα κράτη μέλη θεραπείας να παρέχουν συμπληρωματικούς μηχανισμούς πρόσβασης όπως αδειοπλαίσια ή κωδικοί πρόσβασης για φυσικά πρόσωπα που φθάνουν από άλλα κράτη μέλη και λαμβάνουν υγειονομική περίθαλψη. Η Επιτροπή θα πρέπει να εξουσιοδοτηθεί να εκδίδει εκτελεστικές πράξεις για τον καθορισμό των απαιτήσεων για τη διαλειτουργική και διασυνοριακή ταυτοποίηση και επαλήθευση ταυτότητας φυσικών προσώπων και επαγγελματιών υγείας, συμπεριλαμβανομένων τυχόν συμπληρωματικών μηχανισμών αναγκαίων για να εξασφαλίζεται η δυνατότητα των φυσικών προσώπων να ασκούν τα δικαιώματά τους σχετικά με προσωπικά ηλεκτρονικά δεδομένα υγείας σε διασυνοριακές καταστάσεις.

(30)

Τα κράτη μέλη θα πρέπει να ορίσουν τις αρμόδιες αρχές ψηφιακής υγείας για τον σχεδιασμό και την εφαρμογή προτύπων για την πρόσβαση σε ηλεκτρονικά δεδομένα υγείας και τη διαβίβασή τους, καθώς και την επιβολή των δικαιωμάτων των φυσικών προσώπων και των επαγγελματιών υγείας, ως χωριστούς οργανισμούς ή ως μέρος ήδη υφιστάμενων αρχών. Το προσωπικό της αρχής ψηφιακής υγείας δεν θα πρέπει να έχει οποιαδήποτε οικονομικά ή άλλα συμφέροντα σε κλάδους ή οικονομικές δραστηριότητες που θα μπορούσαν να επηρεάσουν την αμεροληψία του. Αρχές ψηφιακής υγείας ήδη υπάρχουν στα περισσότερα κράτη μέλη και ασχολούνται με τους ΗΦΥ, τη διαλειτουργικότητα, την ασφάλεια ή την τυποποίηση. Κατά την άσκηση των καθηκόντων τους, οι αρχές ψηφιακής υγείας θα πρέπει να συνεργάζονται ιδίως με τις εποπτικές αρχές που έχουν συσταθεί δυνάμει του κανονισμού (ΕΕ) 2016/679 και με τους εποπτικούς φορείς που έχουν συσταθεί δυνάμει του κανονισμού (ΕΕ) αριθ. 910/2014. Οι αρχές ψηφιακής υγείας μπορούν επίσης να συνεργάζονται με το Ευρωπαϊκό Συμβούλιο Τεχνητής Νοημοσύνης που συστάθηκε με τον κανονισμό (ΕΕ) 2024/1689 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10), το Συντονιστικό Όργανο Ιατροτεχνολογικών Προϊόντων που συγκροτήθηκε με τον κανονισμό (ΕΕ) 2017/745 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (11), το ευρωπαϊκό συμβούλιο καινοτομίας δεδομένων που συγκροτήθηκε δυνάμει του κανονισμού (ΕΕ) 2022/868 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12) και τις αρμόδιες αρχές κατά τον κανονισμό (ΕΕ) 2023/2854 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (13). Τα κράτη μέλη θα πρέπει να διευκολύνουν τη συμμετοχή των εθνικών φορέων στη συνεργασία σε επίπεδο Ένωσης, τη διοχέτευση εμπειρογνωσίας και την παροχή συμβουλών για τον σχεδιασμό των λύσεων που είναι αναγκαίες για την επίτευξη των στόχων του ΕΧΔΥ.

(31)

Με την επιφύλαξη οποιασδήποτε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης αρχής ψηφιακής υγείας που το αφορά ή όταν η αρχή ψηφιακής υγείας δεν εξετάσει την καταγγελία ή δεν ενημερώσει το φυσικό ή νομικό πρόσωπο εντός τριών μηνών σχετικά με την πρόοδο ή την έκβαση της καταγγελίας. Η διαδικασία κατά αρχής ψηφιακής υγείας θα πρέπει να κινείται ενώπιον των δικαστηρίων των κρατών μελών όπου είναι εγκατεστημένη η αρχή ψηφιακής υγείας.

(32)

Οι αρχές ψηφιακής υγείας θα πρέπει να διαθέτουν επαρκείς τεχνικές δεξιότητες, φέρνοντας ενδεχομένως σε επαφή εμπειρογνώμονες από διάφορους οργανισμούς. Οι δραστηριότητες των αρχών ψηφιακής υγείας θα πρέπει να είναι άρτια σχεδιασμένες και να παρακολουθούνται προκειμένου να διασφαλίζεται η αποδοτικότητά τους. Οι αρχές ψηφιακής υγείας θα πρέπει να λαμβάνουν τα αναγκαία μέτρα για την προστασία των δικαιωμάτων των φυσικών προσώπων με τη δημιουργία εθνικών, περιφερειακών και τοπικών τεχνικών λύσεων, όπως οι εθνικοί ΗΦΥ, οι λύσεις διαμεσολάβησης και οι πύλες ασθενών. Όταν λαμβάνονται τέτοια αναγκαία μέτρα προστασίας, οι αρχές ψηφιακής υγείας θα πρέπει να εφαρμόζουν κοινά πρότυπα και προδιαγραφές στις εν λόγω λύσεις, να προωθούν την εφαρμογή των προτύπων και των προδιαγραφών στις διαδικασίες για δημόσιες συμβάσεις και να χρησιμοποιούν άλλα καινοτόμα μέσα, συμπεριλαμβανομένης της επιστροφής εξόδων για λύσεις που συμμορφώνονται με τις απαιτήσεις διαλειτουργικότητας και ασφάλειας του ΕΧΔΥ. Τα κράτη μέλη θα πρέπει να μεριμνούν για την ανάληψη κατάλληλων πρωτοβουλιών κατάρτισης. Ειδικότερα, οι επαγγελματίες υγείας θα πρέπει να ενημερώνονται και να εκπαιδεύονται όσον αφορά τα δικαιώματα και τις υποχρεώσεις τους δυνάμει του παρόντος κανονισμού. Για την εκτέλεση των καθηκόντων τους, οι αρχές ψηφιακής υγείας θα πρέπει να συνεργάζονται σε ενωσιακό και εθνικό επίπεδο με άλλες οντότητες, μεταξύ άλλων με ασφαλιστικούς φορείς, παρόχους υγειονομικής περίθαλψης, επαγγελματίες υγείας, κατασκευαστές συστημάτων ΗΦΥ και εφαρμογών ευεξίας, καθώς και με άλλους συμφεροντούχους από τον τομέα της υγείας ή της τεχνολογίας των πληροφοριών, οντότητες που χειρίζονται συστήματα επιστροφής εξόδων, φορείς αξιολόγησης τεχνολογιών υγείας, ρυθμιστικές αρχές και οργανισμούς φαρμάκων, αρχές ιατροτεχνολογικών προϊόντων, αγοραστές και αρχές κυβερνοασφάλειας ή ηλεκτρονικής ταυτοποίησης.

(33)

Η πρόσβαση σε ηλεκτρονικά δεδομένα υγείας και η διαβίβασή τους είναι σημαντική σε περιπτώσεις διασυνοριακής υγειονομικής περίθαλψης, καθώς μπορεί να στηρίξει τη συνέχεια της υγειονομικής περίθαλψης, όταν τα φυσικά πρόσωπα ταξιδεύουν σε άλλα κράτη μέλη ή αλλάζουν τόπο διαμονής. Η συνέχεια της φροντίδας και η ταχεία πρόσβαση σε προσωπικά ηλεκτρονικά δεδομένα υγείας είναι ακόμη πιο σημαντικές για τους κατοίκους παραμεθόριων περιοχών, οι οποίοι διασχίζουν συχνά τα σύνορα για να λάβουν υγειονομική περίθαλψη. Σε πολλές παραμεθόριες περιοχές, ορισμένες εξειδικευμένες υπηρεσίες υγειονομικής περίθαλψης ενδέχεται να είναι διαθέσιμες πιο κοντά στην άλλη πλευρά των συνόρων απ’ ό,τι στο ίδιο κράτος μέλος. Απαιτείται υποδομή για τη διασυνοριακή διαβίβαση προσωπικών ηλεκτρονικών δεδομένων υγείας, σε περιπτώσεις στις οποίες ένα φυσικό πρόσωπο χρησιμοποιεί υπηρεσίες παρόχου υγειονομικής περίθαλψης που είναι εγκατεστημένος σε άλλο κράτος μέλος. Θα πρέπει να εξεταστούν η σταδιακή επέκταση της τέτοιας υποδομής και η χρηματοδότησή της. Για τον σκοπό αυτόν δημιουργήθηκε μια εθελοντική υποδομή, το MyHealth@EU, στο πλαίσιο των δράσεων για την επίτευξη των στόχων που καθορίζονται στην οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (14). Μέσω του MyHealth@EU, τα κράτη μέλη άρχισαν να παρέχουν στα φυσικά πρόσωπα τη δυνατότητα κοινοχρησίας των προσωπικών τους ηλεκτρονικών δεδομένων υγείας με παρόχους υγειονομικής περίθαλψης όταν ταξιδεύουν στο εξωτερικό. Με βάση την εμπειρία αυτήν, η συμμετοχή των κρατών μελών στο MyHealth@EU όπως θεσπίζεται από τον παρόντα κανονισμό θα πρέπει να είναι υποχρεωτική. Οι τεχνικές προδιαγραφές για το MyHealth@EU θα πρέπει να επιτρέπουν την ανταλλαγή κατηγοριών προτεραιότητας ηλεκτρονικών δεδομένων υγείας, καθώς και πρόσθετων κατηγοριών που υποστηρίζονται από τον ευρωπαϊκό μορφότυπο ανταλλαγής ηλεκτρονικών φακέλων υγείας. Οι προδιαγραφές αυτές θα πρέπει να καθορίζονται με εκτελεστικές πράξεις και να βασίζονται στις διασυνοριακές προδιαγραφές του ευρωπαϊκού μορφοτύπου ανταλλαγής ηλεκτρονικών φακέλων υγείας, οι οποίες συμπληρώνονται από περαιτέρω προδιαγραφές για την κυβερνοασφάλεια, την τεχνική και σημασιολογική διαλειτουργικότητα και τη διαχείριση πράξεων και υπηρεσιών. Θα πρέπει να απαιτείται από τα κράτη μέλη να προσχωρήσουν στο MyHealth@EU, συμμορφούμενα με τις τεχνικές προδιαγραφές του, και να συνδέσουν με αυτό τους παρόχους υγειονομικής περίθαλψης, συμπεριλαμβανομένων των φαρμακείων, καθώς αυτό είναι απαραίτητο για να έχουν τη δυνατότητα τα φυσικά πρόσωπα να ασκούν τα δικαιώματά τους βάσει του παρόντος κανονισμού όσον αφορά την πρόσβαση και τη χρήση των προσωπικών ηλεκτρονικών δεδομένων υγείας τους ανεξάρτητα από το κράτος μέλος όπου τα φυσικά πρόσωπα είναι εγκατεστημένα.

(34)

Το MyHealth@EU παρέχει κοινή υποδομή για τα κράτη μέλη ώστε να διασφαλίζονται η συνδεσιμότητα και η διαλειτουργικότητα με αποδοτικό και ασφαλή τρόπο, για τη στήριξη της διασυνοριακής υγειονομικής περίθαλψης, χωρίς να θίγονται οι αρμοδιότητες των κρατών μελών πριν και μετά τη διαβίβαση προσωπικών ηλεκτρονικών δεδομένων υγείας μέσω αυτού. Τα κράτη μέλη είναι υπεύθυνα για την οργάνωση των εθνικών σημείων επαφής τους για την ψηφιακή υγεία και για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της παροχής υγειονομικής περίθαλψης, πριν και μετά τη διαβίβαση των εν λόγω δεδομένων μέσω του MyHealth@EU. Η Επιτροπή θα πρέπει να παρακολουθεί μέσω ελέγχων συμμόρφωσης τη συμμόρφωση των εθνικών σημείων επαφής για την ψηφιακή υγεία με τις αναγκαίες απαιτήσεις όσον αφορά την τεχνική ανάπτυξη του MyHealth@EU, καθώς και με λεπτομερείς κανόνες σχετικά με την ασφάλεια, την εμπιστευτικότητα και την προστασία των προσωπικών ηλεκτρονικών δεδομένων υγείας. Σε περίπτωση σοβαρής μη συμμόρφωσης εθνικού σημείου επαφής για την ψηφιακή υγεία, η Επιτροπή θα πρέπει να έχει τη δυνατότητα να αναστείλει τις υπηρεσίες που επηρεάζονται από τη μη συμμόρφωση και παρέχονται από το εν λόγω εθνικό σημείο επαφής για την ψηφιακή υγεία. Η Επιτροπή θα πρέπει να ενεργεί ως εκτελούσα την επεξεργασία εξ ονόματος των κρατών μελών στο πλαίσιο του MyHealth@EU και να παρέχει κεντρικές υπηρεσίες για αυτήν. Προκειμένου να διασφαλίζεται η συμμόρφωση με τους κανόνες προστασίας των δεδομένων και να παρέχεται ένα πλαίσιο διαχείρισης κινδύνων για τη διαβίβαση προσωπικών ηλεκτρονικών δεδομένων υγείας, οι ειδικές αρμοδιότητες των κρατών μελών, ως από κοινού υπευθύνων επεξεργασίας, και οι υποχρεώσεις της Επιτροπής ως εκτελούσας την επεξεργασία εξ ονόματός τους θα πρέπει να προσδιοριστούν μέσω εκτελεστικών πράξεων. Κάθε κράτος μέλος είναι αποκλειστικά υπεύθυνο για τα δεδομένα και τις υπηρεσίες στο εν λόγω κράτος μέλος. Ο παρών κανονισμός παρέχει τη νομική βάση για την επεξεργασία προσωπικών ηλεκτρονικών δεδομένων υγείας στο MyHealth@EU, ως καθήκον που εκτελείται προς το δημόσιο συμφέρον και το οποίο ανατίθεται δυνάμει του ενωσιακού δικαίου που αναφέρεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2016/679. Η επεξεργασία αυτή είναι απαραίτητη για την παροχή υγειονομικής περίθαλψης σε διασυνοριακές καταστάσεις, όπως αναφέρεται στο άρθρο 9 παράγραφος 2 στοιχείο η) του εν λόγω κανονισμού.

(35)

Εκτός από τις υπηρεσίες στο MyHealth@EU για την ανταλλαγή προσωπικών ηλεκτρονικών δεδομένων υγείας με βάση τον ευρωπαϊκό μορφότυπο ανταλλαγής ηλεκτρονικών φακέλων υγείας, θα μπορούσαν να χρειαστούν και άλλες υπηρεσίες ή συμπληρωματικές υποδομές, για παράδειγμα σε περιπτώσεις έκτακτης ανάγκης στον τομέα της δημόσιας υγείας ή όταν η αρχιτεκτονική του MyHealth@EU δεν είναι κατάλληλη για την εφαρμογή ορισμένων περιπτώσεων χρήσης. Παραδείγματα τέτοιων περιπτώσεων χρήσης περιλαμβάνουν την υποστήριξη των λειτουργιών της κάρτας εμβολιασμού, συμπεριλαμβανομένης της ανταλλαγής πληροφοριών σχετικά με τα σχέδια εμβολιασμού, ή την επαλήθευση των πιστοποιητικών εμβολιασμού ή άλλων πιστοποιητικών που σχετίζονται με την υγεία. Τέτοιες επιπρόσθετες περιπτώσεις χρήσης θα ήταν επίσης σημαντικές για την καθιέρωση πρόσθετης λειτουργικότητας για την αντιμετώπιση κρίσεων στον τομέα της δημόσιας υγείας, όπως η υποστήριξη της ιχνηλάτησης επαφών με σκοπό τον περιορισμό των λοιμωδών νοσημάτων. Το MyHealth@EU θα πρέπει να στηρίζει τις ανταλλαγές προσωπικών ηλεκτρονικών δεδομένων υγείας με εθνικά σημεία επαφής για την ψηφιακή υγεία των σχετικών τρίτων χωρών και συστημάτων που έχουν θεσπιστεί σε διεθνές επίπεδο από διεθνείς οργανισμούς, ώστε να συμβάλλει στη συνέχεια της υγειονομικής περίθαλψης. Αυτό έχει ιδιαίτερη σημασία για άτομα που ταξιδεύουν από και προς γειτονικές τρίτες χώρες, υποψήφιες χώρες και τις συνδεδεμένες υπερπόντιες χώρες και εδάφη. Η σύνδεση των εν λόγω εθνικών σημείων επαφής για την ψηφιακή υγεία τρίτων χωρών στο MyHealth@EU και η διαλειτουργικότητα με ψηφιακά συστήματα που έχουν θεσπιστεί σε διεθνές επίπεδο από διεθνείς οργανισμούς θα πρέπει να υπόκεινται σε έλεγχο που θα διασφαλίζει τη συμμόρφωση των εν λόγω σημείων επαφής και ψηφιακών συστημάτων με τις τεχνικές προδιαγραφές, τους κανόνες προστασίας των δεδομένων και άλλες απαιτήσεις του MyHealth@EU. Επιπλέον, δεδομένου ότι η σύνδεση με το MyHealth@EU θα συνεπάγεται τη διαβίβαση προσωπικών ηλεκτρονικών δεδομένων υγείας σε τρίτες χώρες, όπως η κοινοποίηση συνοπτικού ιστορικού υγείας ασθενούς, όταν ο ασθενής αναζητεί φροντίδα στην εν λόγω τρίτη χώρα, θα πρέπει να υπάρχουν τα σχετικά μέσα διαβίβασης του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679. Η Επιτροπή θα πρέπει να εξουσιοδοτηθεί να εκδίδει εκτελεστικές πράξεις για να διευκολύνει τη σύνδεση των εν λόγω εθνικών σημείων επαφής για την ψηφιακή υγεία τρίτων χωρών και συστημάτων που έχουν θεσπιστεί σε διεθνές επίπεδο από διεθνείς οργανισμούς με το MyHealth@EU. Κατά την εκπόνηση των εν λόγω εκτελεστικών πράξεων, η Επιτροπή θα πρέπει να λαμβάνει υπόψη τα συμφέροντα εθνικής ασφάλειας των κρατών μελών.

(36)

Προκειμένου να καταστεί δυνατή η απρόσκοπτη ανταλλαγή ηλεκτρονικών δεδομένων υγείας και να διασφαλιστεί ο σεβασμός των δικαιωμάτων των φυσικών προσώπων και των επαγγελματιών υγείας, τα συστήματα ΗΦΥ που διατίθενται στην εσωτερική αγορά της Ένωσης θα πρέπει να είναι σε θέση να αποθηκεύουν και να διαβιβάζουν, με ασφαλή τρόπο, ηλεκτρονικά δεδομένα υγείας υψηλής ποιότητας. Πρόκειται για βασικό στόχο του ΕΧΔΥ, ώστε να διασφαλιστεί η ασφαλής και ελεύθερη κυκλοφορία των ηλεκτρονικών δεδομένων υγείας σε ολόκληρη την Ένωση. Για τον σκοπό αυτό, θα πρέπει να θεσπιστεί υποχρεωτικό σύστημα αυτοαξιολόγησης της συμμόρφωσης για τα συστήματα ΗΦΥ που επεξεργάζονται μία ή περισσότερες κατηγορίες προτεραιότητας ηλεκτρονικών δεδομένων υγείας, ώστε να αντιμετωπιστεί ο κατακερματισμός της αγοράς, διασφαλίζοντας παράλληλα αναλογική προσέγγιση. Μέσω της αυτοαξιολόγησης, τα συστήματα ΗΦΥ θα αποδεικνύουν τη συμμόρφωση με τις απαιτήσεις διαλειτουργικότητας, ασφάλειας και καταγραφής για την κοινοποίηση προσωπικών ηλεκτρονικών δεδομένων υγείας οι οποίες θεσπίζονται από τα δύο υποχρεωτικά συστατικά στοιχεία λογισμικού ΗΦΥ που εναρμονίζονται με τον παρόντα κανονισμό, και συγκεκριμένα με το ευρωπαϊκό συστατικό στοιχείο λογισμικού διαλειτουργικότητας για συστήματα ΗΦΥ και το ευρωπαϊκό συστατικό στοιχείο λογισμικού καταγραφής για συστήματα ΗΦΥ («εναρμονισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ»). Τα εναρμονισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ είναι σχετικά κυρίως με τον μετασχηματισμό των δεδομένων, αν και ενδέχεται να συνεπάγονται την ανάγκη για έμμεσες απαιτήσεις για την καταχώριση δεδομένων και την παρουσίαση δεδομένων στα συστήματα ΗΦΥ. Οι τεχνικές προδιαγραφές για τα εναρμονισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ θα πρέπει να καθορίζονται μέσω εκτελεστικών πράξεων και να βασίζονται στη χρήση του ευρωπαϊκού μορφοτύπου ανταλλαγής ηλεκτρονικών φακέλων υγείας. Τα εναρμονισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ θα πρέπει να σχεδιάζονται έτσι ώστε να είναι επαναχρησιμοποιήσιμα και να ενσωματώνονται απρόσκοπτα με άλλα συστατικά στοιχεία σε ένα ευρύτερο σύστημα λογισμικού. Οι απαιτήσεις ασφάλειας των εναρμονισμένων συστατικών στοιχείων λογισμικού των συστημάτων ΗΦΥ θα πρέπει να καλύπτουν στοιχεία που αφορούν ειδικά τα συστήματα ΗΦΥ, καθώς οι γενικότερες ιδιότητες ασφάλειας θα πρέπει να υποστηρίζονται από άλλους μηχανισμούς, όπως εκείνοι του κανονισμού (ΕΕ) 2024/2847 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15). Για την υποστήριξη της διαδικασίας αυτής, θα πρέπει να δημιουργηθούν ευρωπαϊκά ψηφιακά περιβάλλοντα δοκιμών, για να παρέχουν αυτοματοποιημένα μέσα για να ελέγχεται ότι η λειτουργία των εναρμονισμένων συστατικών στοιχείων λογισμικού ενός συστήματος ΗΦΥ είναι σύμφωνη με τις απαιτήσεις που ορίζονται στον παρόντα κανονισμό. Προς τούτο, θα πρέπει να ανατεθούν στην Επιτροπή εκτελεστικές αρμοδιότητες για τον καθορισμό των κοινών προδιαγραφών για τα εν λόγω περιβάλλοντα. Η Επιτροπή θα πρέπει να αναπτύξει το απαραίτητο λογισμικό για τα περιβάλλοντα δοκιμών και να το καταστήσει διαθέσιμο ως ανοικτό κώδικα. Τα κράτη μέλη θα πρέπει να είναι αρμόδια να χειρίζονται τα ψηφιακά περιβάλλοντα δοκιμών, καθώς βρίσκονται πιο κοντά στους κατασκευαστές και είναι καλύτερα σε θέση να τους υποστηρίξουν. Οι κατασκευαστές θα πρέπει να χρησιμοποιούν τα εν λόγω ψηφιακά περιβάλλοντα δοκιμών για να δοκιμάζουν τα προϊόντα τους προτού τα διαθέσουν στην αγορά, συνεχίζοντας παράλληλα να φέρουν την πλήρη ευθύνη για τη συμμόρφωση των προϊόντων τους. Τα αποτελέσματα της δοκιμής θα πρέπει να αποτελούν μέρος της τεχνικής τεκμηρίωσης του προϊόντος. Όταν το σύστημα ΗΦΥ ή οποιοδήποτε μέρος αυτού συμμορφώνεται με ευρωπαϊκά πρότυπα ή κοινές προδιαγραφές, θα πρέπει να αναφέρεται επίσης στην τεχνική τεκμηρίωση ο κατάλογος των σχετικών ευρωπαϊκών προτύπων και κοινών προδιαγραφών. Για την υποστήριξη της συγκρισιμότητας των συστημάτων ΗΦΥ, η Επιτροπή θα πρέπει να καταρτίσει ενιαίο υπόδειγμα για την τεχνική τεκμηρίωση που να συνοδεύει τα εν λόγω συστήματα.

(37)

Τα συστήματα ΗΦΥ θα πρέπει να συνοδεύονται από δελτίο πληροφοριών που περιλαμβάνει πληροφορίες για τους επαγγελματίες χρήστες τους και από σαφείς και πλήρεις οδηγίες χρήσης σε προσβάσιμη μορφή για άτομα με αναπηρία. Εάν ένα σύστημα ΗΦΥ δεν συνοδεύεται από τις εν λόγω πληροφορίες, ο κατασκευαστής του οικείου συστήματος ΗΦΥ, ο εξουσιοδοτημένος αντιπρόσωπός του και όλοι οι άλλοι σχετικοί οικονομικοί φορείς θα πρέπει να υποχρεούνται να προσθέσουν στο σύστημα ΗΦΥ το εν λόγω δελτίο πληροφοριών και τις εν λόγω οδηγίες χρήσης.

(38)

Ενώ τα συστήματα ΗΦΥ που προορίζονται ειδικά από τον κατασκευαστή να χρησιμοποιούνται για την επεξεργασία μίας ή περισσότερων ειδικών κατηγοριών ηλεκτρονικών δεδομένων υγείας θα πρέπει να υπόκεινται σε υποχρεωτική αυτοπιστοποίηση, το λογισμικό για γενικούς σκοπούς δεν θα πρέπει να θεωρείται σύστημα ΗΦΥ, ακόμη και όταν χρησιμοποιείται σε περιβάλλον υγειονομικής περίθαλψης, και, ως εκ τούτου, δεν θα πρέπει να απαιτείται η συμμόρφωσή του με τον παρόντα κανονισμό. Αυτό καλύπτει περιπτώσεις όπως το λογισμικό επεξεργασίας κειμένου που χρησιμοποιείται για τη σύνταξη εκθέσεων, το οποίο στη συνέχεια θα αποτελέσει μέρος γραπτών ηλεκτρονικών φακέλων υγείας, το ενδιάμεσο λογισμικό γενικής χρήσης ή το λογισμικό διαχείρισης βάσεων δεδομένων που χρησιμοποιείται ως μέρος λύσεων αποθήκευσης δεδομένων.

(39)

Ο παρών κανονισμός επιβάλλει υποχρεωτικό σύστημα αυτοαξιολόγησης της συμμόρφωσης για τα εναρμονισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ, ώστε να διασφαλίζεται ότι τα συστήματα ΗΦΥ που διατίθενται στην αγορά της Ένωσης είναι σε θέση να ανταλλάσσουν δεδομένα στον ευρωπαϊκό μορφότυπο ανταλλαγής ηλεκτρονικών φακέλων υγείας και ότι διαθέτουν τις απαιτούμενες ικανότητες καταγραφής. Το εν λόγω υποχρεωτικό σύστημα αυτοαξιολόγησης της συμμόρφωσης, που θα είναι σε μορφή δήλωσης συμμόρφωσης ΕΕ του κατασκευαστή, θα πρέπει να διασφαλίζει ότι οι απαιτήσεις αυτές πληρούνται με αναλογικό τρόπο, χωρίς να επιβάλλεται αδικαιολόγητη επιβάρυνση στα κράτη μέλη και τους κατασκευαστές.

(40)

Οι κατασκευαστές θα πρέπει να τοποθετήσουν στα συνοδευτικά έγγραφα του συστήματος ΗΦΥ και, κατά περίπτωση, επί της συσκευασίας του σήμανση συμμόρφωσης CE που να αναφέρει ότι το σύστημα ΗΦΥ συμμορφώνεται με τον παρόντα κανονισμό και, σχετικά με πτυχές που δεν καλύπτονται από τον παρόντα κανονισμό, με άλλο ισχύον ενωσιακό δίκαιο το οποίο επίσης απαιτεί την τοποθέτηση του εν λόγω σήματος. Τα κράτη μέλη θα πρέπει να βασίζονται σε υφιστάμενους μηχανισμούς για να εξασφαλίζουν την ορθή εφαρμογή των διατάξεων σχετικά με τη σήμανση συμμόρφωσης CE βάσει του σχετικού ενωσιακού δικαίου και θα πρέπει να λαμβάνουν κατάλληλα μέτρα σε περίπτωση αθέμιτης χρήσης της εν λόγω σήμανσης.

(41)

Τα κράτη μέλη θα πρέπει να διατηρήσουν την αρμοδιότητα να καθορίζουν απαιτήσεις σχετικά με οποιαδήποτε άλλα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ, καθώς και τους όρους και τις προϋποθέσεις για τη σύνδεση των παρόχων υγειονομικής περίθαλψης με τις αντίστοιχες εθνικές υποδομές τους, οι οποίες ενδέχεται να υπόκεινται σε αξιολόγηση από τρίτους σε εθνικό επίπεδο. Προκειμένου να διευκολυνθεί η ομαλή λειτουργία της εσωτερικής αγοράς για τα συστήματα ΗΦΥ, τα προϊόντα ψηφιακής υγείας και τις συναφείς υπηρεσίες, είναι αναγκαίο να εξασφαλίζεται όσο είναι δυνατόν διαφάνεια όσον αφορά το εθνικό δίκαιο που θεσπίζει απαιτήσεις για τα συστήματα ΗΦΥ και διατάξεις σχετικά με την αξιολόγηση της συμμόρφωσής τους σε σχέση με πτυχές άλλες από τα εναρμονισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ. Ως εκ τούτου, τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή για τις εν λόγω εθνικές απαιτήσεις, ώστε να διαθέτει τις απαραίτητες πληροφορίες με σκοπό να διασφαλίζεται ότι δεν επιδρούν αρνητικά στα εναρμονισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ.

(42)

Ορισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ θα μπορούσαν να θεωρηθούν ιατροτεχνολογικά προϊόντα κατά τον κανονισμό (ΕΕ) 2017/745 ή in vitro διαγνωστικά ιατροτεχνολογικά προϊόντα κατά τον κανονισμού (ΕΕ) 2017/746 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (16). Το λογισμικό ή ενότητες λογισμικού που εμπίπτουν στον ορισμό του ιατροτεχνολογικού προϊόντος, του in vitro διαγνωστικού ιατροτεχνολογικού προϊόντος ή του συστήματος τεχνητής νοημοσύνης (ΤΝ) που θεωρείται υψηλού κινδύνου («σύστημα ΤΝ υψηλού κινδύνου») θα πρέπει να πιστοποιούνται σύμφωνα με τους κανονισμούς (ΕΕ) 2017/745, (ΕΕ) 2017/746 και (ΕΕ) 2024/1689, κατά περίπτωση. Ενώ τα εν λόγω προϊόντα απαιτείται να πληρούν τις απαιτήσεις του αντίστοιχου κανονισμού που διέπει τα εν λόγω προϊόντα, τα κράτη μέλη θα πρέπει να λαμβάνουν κατάλληλα μέτρα, ώστε να εξασφαλίζουν ότι η αντίστοιχη αξιολόγηση της συμμόρφωσης διενεργείται ως κοινή ή συντονισμένη διαδικασία, ώστε να περιορίζεται η διοικητική επιβάρυνση των κατασκευαστών και άλλων οικονομικών φορέων. Οι βασικές απαιτήσεις διαλειτουργικότητας του παρόντος κανονισμού θα πρέπει να ισχύουν μόνο στον βαθμό που ο κατασκευαστής ιατροτεχνολογικού προϊόντος, in vitro διαγνωστικού ιατροτεχνολογικού προϊόντος ή συστήματος ΤΝ υψηλού κινδύνου, ο οποίος παρέχει ηλεκτρονικά δεδομένα υγείας προς επεξεργασία στο πλαίσιο του συστήματος ΗΦΥ, ισχυρίζεται ότι υπάρχει διαλειτουργικότητα με το εν λόγω σύστημα ΗΦΥ. Στην περίπτωση αυτήν, οι διατάξεις σχετικά με τις κοινές προδιαγραφές για τα συστήματα ΗΦΥ θα πρέπει να εφαρμόζονται στα εν λόγω ιατροτεχνολογικά προϊόντα, in vitro διαγνωστικά ιατροτεχνολογικά προϊόντα και συστήματα ΤΝ υψηλού κινδύνου.

(43)

Για την περαιτέρω στήριξη της διαλειτουργικότητας και της ασφάλειας, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να διατηρούν ή να καθορίζουν ειδικούς κανόνες για τις δημόσιες συμβάσεις, την επιστροφή εξόδων ή τη χρηματοδότηση συστημάτων ΗΦΥ σε εθνικό επίπεδο στο πλαίσιο της οργάνωσης, της παροχής ή της χρηματοδότησης των υγειονομικών υπηρεσιών. Οι εν λόγω ειδικοί κανόνες δεν θα πρέπει να εμποδίζουν την ελεύθερη κυκλοφορία των συστημάτων ΗΦΥ στην Ένωση. Ορισμένα κράτη μέλη έχουν θεσπίσει υποχρεωτική πιστοποίηση των συστημάτων ΗΦΥ ή υποχρεωτικές δοκιμές διαλειτουργικότητας για τη σύνδεσή τους με τις εθνικές υπηρεσίες ψηφιακής υγείας. Οι απαιτήσεις αυτές αντικατοπτρίζονται συνήθως στις διαδικασίες για δημόσιες συμβάσεις που διοργανώνονται από παρόχους υγειονομικής περίθαλψης και εθνικές ή περιφερειακές αρχές. Η υποχρεωτική πιστοποίηση των συστημάτων ΗΦΥ σε επίπεδο Ένωσης θα πρέπει να καθορίζει μια βάση αναφοράς που θα μπορεί να χρησιμοποιείται σε διαδικασίες για δημόσιες συμβάσεις σε εθνικό επίπεδο.

(44)

Προκειμένου να διασφαλιστεί η αποτελεσματική άσκηση των δικαιωμάτων των ασθενών δυνάμει του παρόντος κανονισμού, οι πάροχοι υγειονομικής περίθαλψης αναπτύσσουν και χρησιμοποιούν σύστημα ΗΦΥ «εσωτερικά» για την εκτέλεση εσωτερικών δραστηριοτήτων χωρίς να το διαθέτουν στην αγορά έναντι πληρωμής ή αμοιβής θα πρέπει επίσης να συμμορφώνονται με τον παρόντα κανονισμό. Στο πλαίσιο αυτό, οι εν λόγω πάροχοι υγειονομικής περίθαλψης θα πρέπει να συμμορφώνονται με όλες τις απαιτήσεις που ισχύουν για τους κατασκευαστές όσον αφορά τα εν λόγω συστήματα ΗΦΥ που αναπτύσσονται «εσωτερικά» και τα οποία οι εν λόγω πάροχοι υγειονομικής περίθαλψης θέτουν σε λειτουργία. Ωστόσο, δεδομένου ότι οι εν λόγω πάροχοι υγειονομικής περίθαλψης ενδέχεται να χρειαστούν πρόσθετο χρόνο για να προετοιμαστούν για τη συμμόρφωση με τον παρόντα κανονισμό, οι απαιτήσεις αυτές θα πρέπει να ισχύουν μόνο για τα εν λόγω συστήματα μετά από παρατεταμένη μεταβατική περίοδο.

(45)

Είναι απαραίτητο να προβλεφθεί σαφής και αναλογική κατανομή των υποχρεώσεων που αντιστοιχούν στον ρόλο του κάθε οικονομικού φορέα στη διαδικασία εφοδιασμού και διανομής των συστημάτων ΗΦΥ. Οι οικονομικοί φορείς θα πρέπει να είναι υπεύθυνοι για τη συμμόρφωση σε σχέση με τους αντίστοιχους ρόλους τους στην εν λόγω διαδικασία και θα πρέπει να διασφαλίζουν ότι καθιστούν διαθέσιμα στην αγορά μόνο συστήματα ΗΦΥ που συμμορφώνονται με τις σχετικές απαιτήσεις.

(46)

Η συμμόρφωση με τις βασικές απαιτήσεις διαλειτουργικότητας και ασφάλειας θα πρέπει να αποδεικνύεται από τους κατασκευαστές συστημάτων ΗΦΥ μέσω της εφαρμογής κοινών προδιαγραφών. Για τον σκοπό αυτόν, θα πρέπει να ανατεθούν εκτελεστικές αρμοδιότητες στην Επιτροπή για τον καθορισμό των εν λόγω κοινών προδιαγραφών όσον αφορά τα σύνολα δεδομένων, τα συστήματα κωδικοποίησης, τις τεχνικές προδιαγραφές, τα πρότυπα, τις προδιαγραφές και τα προφίλ για την ανταλλαγή δεδομένων, καθώς και τις απαιτήσεις και τις αρχές που σχετίζονται με την ασφάλεια των ασθενών και την ασφάλεια, την εμπιστευτικότητα, την ακεραιότητα και την προστασία των δεδομένων προσωπικού χαρακτήρα, και τις προδιαγραφές και τις απαιτήσεις που σχετίζονται με τη διαχείριση της ταυτοποίησης και τη χρήση της ηλεκτρονικής ταυτοποίησης. Οι αρχές ψηφιακής υγείας θα πρέπει να συμβάλλουν στην ανάπτυξη των εν λόγω κοινών προδιαγραφών. Κατά περίπτωση, οι εν λόγω κοινές προδιαγραφές θα πρέπει να βασίζονται σε υφιστάμενα εναρμονισμένα πρότυπα για τα εναρμονισμένα συστατικά στοιχεία λογισμικού των συστημάτων ΗΦΥ και να είναι συμβατές με το τομεακό δίκαιο. Όταν οι κοινές προδιαγραφές έχουν ιδιαίτερη σημασία για τις απαιτήσεις προστασίας των δεδομένων προσωπικού χαρακτήρα για τα συστήματα ΗΦΥ, θα πρέπει να υπόκεινται σε διαβούλευση με το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) πριν από την έγκρισή τους, δυνάμει του άρθρου 42 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725.

(47)

Προκειμένου να διασφαλιστεί η κατάλληλη και αποτελεσματική επιβολή των απαιτήσεων και των υποχρεώσεων που προβλέπονται στον παρόντα κανονισμό, θα πρέπει να εφαρμόζεται το σύστημα εποπτείας της αγοράς και συμμόρφωσης των προϊόντων που θεσπίστηκε με τον κανονισμό (ΕΕ) 2019/1020 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (17). Ανάλογα με την οργάνωση που ορίζεται σε εθνικό επίπεδο, οι εν λόγω δραστηριότητες εποπτείας της αγοράς θα μπορούσαν να διεξάγονται από τις αρχές ψηφιακής υγείας που διασφαλίζουν την ορθή εφαρμογή του κεφαλαίου ΙΙ του παρόντος κανονισμού ή από χωριστή αρχή εποπτείας της αγοράς που είναι αρμόδια για τα συστήματα ΗΦΥ. Παρότι ο ορισμός των αρχών ψηφιακής υγείας ως αρχών εποπτείας της αγοράς θα μπορούσε να έχει σημαντικά πρακτικά πλεονεκτήματα για την παροχή υγειονομικής περίθαλψης και φροντίδας, θα πρέπει να αποφεύγονται τυχόν συγκρούσεις συμφερόντων, για παράδειγμα με τον διαχωρισμό διαφορετικών καθηκόντων.

(48)

Το προσωπικό των αρχών εποπτείας της αγοράς θα πρέπει να μην υφίσταται καμία άμεση ή έμμεση οικονομική, χρηματοοικονομική ή προσωπική σύγκρουση συμφερόντων που θα μπορούσε να θεωρηθεί ότι θίγει την ανεξαρτησία του και, ειδικότερα, θα πρέπει να μη βρίσκεται σε κατάσταση που θα μπορούσε, άμεσα ή έμμεσα, να επηρεάσει την αμεροληψία της επαγγελματικής συμπεριφοράς του. Τα κράτη μέλη θα πρέπει να καθορίζουν και να δημοσιεύουν τη διαδικασία επιλογής των αρχών εποπτείας της αγοράς. Θα πρέπει να εξασφαλίζουν ότι η διαδικασία είναι διαφανής και δεν επιτρέπει τη σύγκρουση συμφερόντων.

(49)

Οι χρήστες εφαρμογών ευεξίας, συμπεριλαμβανομένων των εφαρμογών για φορητές συσκευές, θα πρέπει να ενημερώνονται σχετικά με την ικανότητα των εν λόγω εφαρμογών να συνδέονται και να παρέχουν δεδομένα σε συστήματα ΗΦΥ ή σε εθνικές λύσεις ηλεκτρονικής υγείας, σε περιπτώσεις στις οποίες τα δεδομένα που παράγονται από εφαρμογές ευεξίας είναι χρήσιμα για σκοπούς υγειονομικής περίθαλψης. Η ικανότητα των εν λόγω εφαρμογών να εξάγουν δεδομένα σε διαλειτουργικό μορφότυπο είναι επίσης σημαντική για τους σκοπούς της φορητότητας των δεδομένων. Κατά περίπτωση, οι χρήστες θα πρέπει επίσης να ενημερώνονται σχετικά με τη συμμόρφωση των εν λόγω εφαρμογών ευεξίας με τις απαιτήσεις διαλειτουργικότητας και ασφάλειας. Ωστόσο, δεδομένου του μεγάλου αριθμού εφαρμογών ευεξίας και της περιορισμένης συνάφειας των δεδομένων που παράγονται από πολλές από αυτές για τους σκοπούς της υγειονομικής περίθαλψης, ένα σύστημα πιστοποίησης για τις εν λόγω εφαρμογές δεν θα ήταν αναλογικό. Ως εκ τούτου, θα πρέπει να θεσπιστεί ένα υποχρεωτικό σύστημα επισήμανσης για εφαρμογές ευεξίας για τις οποίες υποστηρίζεται ότι υπάρχει διαλειτουργικότητα με συστήματα ΗΦΥ, ως κατάλληλος μηχανισμός που θα παρέχει διαφάνεια για τους χρήστες των εφαρμογών ευεξίας όσον αφορά τη συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού, στηρίζοντας με αυτόν τον τρόπο τους χρήστες στην επιλογή κατάλληλων εφαρμογών ευεξίας με υψηλά πρότυπα διαλειτουργικότητας και ασφάλειας. Η Επιτροπή θα πρέπει να καθορίζει μέσω εκτελεστικών πράξεων τις λεπτομέρειες σχετικά με τη μορφή και το περιεχόμενο του εν λόγω σήματος.

(50)

Τα κράτη μέλη θα πρέπει να παραμένουν ελεύθερα να ρυθμίζουν άλλες πτυχές της χρήσης εφαρμογών ευεξίας, υπό την προϋπόθεση ότι οι αντίστοιχοι κανόνες συμμορφώνονται με το δίκαιο της Ένωσης.

(51)

Η διανομή πληροφοριών σχετικά με τα πιστοποιημένα συστήματα ΗΦΥ και τις εφαρμογές ευεξίας που φέρουν επισήμανση είναι απαραίτητη για να μπορούν οι αγοραστές και οι χρήστες των εν λόγω προϊόντων να βρίσκουν διαλειτουργικές λύσεις για τις συγκεκριμένες ανάγκες τους. Ως εκ τούτου, θα πρέπει να δημιουργηθεί σε ενωσιακό επίπεδο μια βάση δεδομένων για τα διαλειτουργικά συστήματα ΗΦΥ και τις εφαρμογές ευεξίας, που δεν εμπίπτουν στο πεδίο εφαρμογής των κανονισμών (ΕΕ) 2017/745 και (ΕΕ) 2024/1689, παρόμοια με την ευρωπαϊκή βάση δεδομένων για τα ιατροτεχνολογικά προϊόντα (Eudamed) που θεσπίστηκε με τον κανονισμό (ΕΕ) 2017/745. Οι στόχοι της βάσης δεδομένων της ΕΕ για την καταχώριση συστημάτων ΗΦΥ και εφαρμογών ευεξίας θα πρέπει να είναι η ενίσχυση της συνολικής διαφάνειας, η αποφυγή πολλαπλών απαιτήσεων υποβολής εκθέσεων και ο εξορθολογισμός και η διευκόλυνση της ροής πληροφοριών. Για τα ιατροτεχνολογικά προϊόντα και τα συστήματα ΤΝ, η καταχώριση θα πρέπει να διατηρείται στο πλαίσιο των υφιστάμενων βάσεων δεδομένων που έχουν δημιουργηθεί βάσει των κανονισμών (ΕΕ) 2017/745 και (ΕΕ) 2024/1689, αλλά η συμμόρφωση με τις απαιτήσεις διαλειτουργικότητας θα πρέπει να αναφέρεται από τους κατασκευαστές, όταν αυτοί ισχυρίζονται μία τέτοια συμμόρφωση, για την παροχή πληροφοριών στους αγοραστές.

(52)

Χωρίς να εμποδίζει ή να αντικαθιστά συμβατικές ρυθμίσεις ή άλλους εφαρμοζόμενους μηχανισμούς, ο παρών κανονισμός αποσκοπεί στη θέσπιση κοινού μηχανισμού πρόσβασης σε ηλεκτρονικά δεδομένα υγείας για δευτερογενή χρήση σε ολόκληρη την Ένωση. Στο πλαίσιο του μηχανισμού αυτού, οι κάτοχοι δεδομένων υγείας θα πρέπει να καθιστούν διαθέσιμα τα δεδομένα που κατέχουν βάσει άδειας δεδομένων ή αιτήματος για δεδομένα υγείας. Για τον σκοπό της επεξεργασίας ηλεκτρονικών δεδομένων υγείας για δευτερογενή χρήση, απαιτείται μία από τις νομικές βάσεις που αναφέρονται στο άρθρο 6 παράγραφος 1 στοιχείο α), γ), ε) ή στ) του κανονισμού (ΕΕ) 2016/679, σε συνδυασμό με το άρθρο 9 παράγραφος 2 αυτού. Ως εκ τούτου, ο παρών κανονισμός παρέχει νομική βάση για τη δευτερογενή χρήση προσωπικών ηλεκτρονικών δεδομένων υγείας, συμπεριλαμβανομένων των εγγυήσεων που απαιτούνται βάσει του άρθρου 9 παράγραφος 2 στοιχεία ζ) έως ι) του κανονισμού (ΕΕ) 2016/679, ώστε να επιτρέπει την επεξεργασία ειδικών κατηγοριών δεδομένων, όσον αφορά τους νόμιμους σκοπούς, την αξιόπιστη διακυβέρνηση για την παροχή πρόσβασης σε δεδομένα υγείας, με τη συμμετοχή των φορέων πρόσβασης σε δεδομένα υγείας, και την επεξεργασία σε ασφαλές περιβάλλον επεξεργασίας, καθώς και λεπτομέρειες για την επεξεργασία δεδομένων, που καθορίζονται στην άδεια δεδομένων. Κατά συνέπεια, τα κράτη μέλη δεν θα πρέπει να μπορούν πλέον να διατηρούν ή να θεσπίζουν, δυνάμει του άρθρου 9 παράγραφος 4 του κανονισμού (ΕΕ) 2016/679, περαιτέρω προϋποθέσεις, συμπεριλαμβανομένων των περιορισμών και των ειδικών διατάξεων με τα οποία ζητείται η συγκατάθεση φυσικών προσώπων, όσον αφορά την επεξεργασία, για δευτερογενή χρήση, προσωπικών ηλεκτρονικών δεδομένων υγείας δυνάμει του παρόντος κανονισμού, εκτός από τις περιπτώσεις θέσπισης αυστηρότερων μέτρων και πρόσθετων εγγυήσεων σε εθνικό επίπεδο με στόχο τη διασφάλιση της ευαισθησίας και της αξίας των εν λόγω δεδομένων όπως καθορίζονται στον παρόντα κανονισμό. Οι αιτούντες τα δεδομένα υγείας θα πρέπει επίσης να αποδεικνύουν ότι διαθέτουν νομική βάση που αναφέρεται στο άρθρο 6 του κανονισμού (ΕΕ) 2016/679, βάσει της οποίας μπορούν να ζητήσουν πρόσβαση σε ηλεκτρονικά δεδομένα υγείας δυνάμει του παρόντος κανονισμού, και θα πρέπει να πληρούν τις προϋποθέσεις που ορίζονται στο κεφάλαιο IV αυτού. Επιπλέον, ο φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να αξιολογεί τις πληροφορίες που παρέχει ο αιτών τα δεδομένα υγείας, βάσει των οποίων θα πρέπει να είναι δυνατή η έκδοση άδειας δεδομένων για την επεξεργασία προσωπικών ηλεκτρονικών δεδομένων υγείας δυνάμει του παρόντος κανονισμού, η οποία θα πρέπει να πληροί τις απαιτήσεις και τις προϋποθέσεις που ορίζονται στο κεφάλαιο IV του παρόντος κανονισμού. Για την επεξεργασία ηλεκτρονικών δεδομένων υγείας τα οποία κατέχουν οι κάτοχοι δεδομένων υγείας, ο παρών κανονισμός δημιουργεί τη νομική υποχρέωση, κατά την έννοια του άρθρου 6 παράγραφος 1 στοιχείο γ) του κανονισμού (ΕΕ) 2016/679, σύμφωνα με το άρθρο 9 παράγραφος 2 στοιχεία θ) και ι) του εν λόγω κανονισμού, για την κοινοποίηση των προσωπικών ηλεκτρονικών δεδομένων υγείας από τον κάτοχο δεδομένων υγείας σε φορείς πρόσβασης σε δεδομένα υγείας, ενώ δεν θίγεται η νομική βάση για τον σκοπό της αρχικής επεξεργασίας, για παράδειγμα, η παροχή υγειονομικής περίθαλψης. Ο παρών κανονισμός αναθέτει επίσης καθήκοντα που εκτελούνται προς το δημόσιο συμφέρον στους φορείς πρόσβασης σε δεδομένα υγείας κατά την έννοια του άρθρου 6 παράγραφος 1 στοιχείο ε) του κανονισμού (ΕΕ) 2016/679 και πληροί τις απαιτήσεις του άρθρου 9 παράγραφος 2 στοιχεία ζ) έως ι), κατά περίπτωση, του εν λόγω κανονισμού. Σε περίπτωση που ο χρήστης δεδομένων υγείας στηρίζεται σε νομική βάση που ορίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ) του κανονισμού (ΕΕ) 2016/679, ο παρών κανονισμός θα πρέπει να προβλέπει τις εγγυήσεις που απαιτούνται βάσει του άρθρου 9 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679.

(53)

Τα ηλεκτρονικά δεδομένα υγείας που χρησιμοποιούνται για δευτερογενή χρήση μπορούν να αποφέρουν σημαντικά κοινωνικά οφέλη. Θα πρέπει να ενθαρρυνθεί η απορρόφηση πραγματικών δεδομένων και πραγματικών στοιχείων, συμπεριλαμβανομένων των αποτελεσμάτων που αναφέρονται από ασθενείς, για τεκμηριωμένους κανονιστικούς σκοπούς και σκοπούς πολιτικής, καθώς και για την έρευνα, την αξιολόγηση των τεχνολογιών υγείας και την επίτευξη κλινικών στόχων. Τα πραγματικά δεδομένα και τα πραγματικά στοιχεία έχουν τη δυνατότητα να συμπληρώσουν τα δεδομένα υγείας που διατίθενται επί του παρόντος. Για την επίτευξη του στόχου αυτού, είναι σημαντικό να είναι όσο το δυνατόν πληρέστερα τα σύνολα δεδομένων που διατίθενται για δευτερογενή χρήση δυνάμει του παρόντος κανονισμού. Ο παρών κανονισμός παρέχει τις αναγκαίες εγγυήσεις για τον μετριασμό ορισμένων κινδύνων που συνδέονται με την επίτευξη των εν λόγω οφελών. Η δευτερογενής χρήση των ηλεκτρονικών δεδομένων υγείας βασίζεται σε ψευδωνυμοποιημένα ή ανωνυμοποιημένα δεδομένα, ώστε να αποκλείεται η ταυτοποίηση των υποκειμένων των δεδομένων.

(54)

Για να εξισορροπηθεί η ανάγκη των χρηστών δεδομένων υγείας να διαθέτουν εξαντλητικά και αντιπροσωπευτικά σύνολα δεδομένων με την ανάγκη για αυτονομία των φυσικών προσώπων επί των προσωπικών ηλεκτρονικών δεδομένων υγείας τους που θεωρούνται ιδιαίτερα ευαίσθητα, τα φυσικά πρόσωπα θα πρέπει να έχουν τη δυνατότητα να λαμβάνουν απόφαση σχετικά με τη δυνατότητα επεξεργασίας των προσωπικών ηλεκτρονικών δεδομένων υγείας τους για δευτερογενή χρήση δυνάμει του παρόντος κανονισμού, με τη μορφή δικαιώματος εξαίρεσης από τη διάθεση των εν λόγω δεδομένων για δευτερογενή χρήση. Εν προκειμένω, θα πρέπει να προβλέπεται ένας εύκολα κατανοητός, προσβάσιμος και φιλικός προς τον χρήστη μηχανισμός για την άσκηση του εν λόγω δικαιώματος εξαίρεσης. Επιπλέον, είναι επιτακτική ανάγκη να παρέχονται στα φυσικά πρόσωπα επαρκείς και πλήρεις πληροφορίες σχετικά με το δικαίωμα εξαίρεσης, συμπεριλαμβανομένων των οφελών και των μειονεκτημάτων που συνεπάγεται η άσκηση του εν λόγω δικαιώματος. Τα φυσικά πρόσωπα θα πρέπει να μην υποχρεούνται να αναφέρουν οποιουσδήποτε λόγους εξαίρεσης και να έχουν τη δυνατότητα να αναθεωρήσουν την επιλογή τους ανά πάσα στιγμή. Ωστόσο, για ορισμένους σκοπούς που συνδέονται στενά με το δημόσιο συμφέρον, όπως οι δραστηριότητες προστασίας από σοβαρές διασυνοριακές απειλές κατά της υγείας ή οι επιστημονικές έρευνες για σημαντικούς λόγους δημόσιου συμφέροντος, είναι σκόπιμο να προβλέπεται η δυνατότητα των κρατών μελών να θεσπίζουν, λαμβάνοντας υπόψη το εθνικό τους πλαίσιο, μηχανισμούς για την παροχή πρόσβασης σε προσωπικά ηλεκτρονικά δεδομένα υγείας φυσικών προσώπων που έχουν κάνει χρήση του δικαιώματός τους εξαίρεσης, ώστε να διασφαλίζεται ότι μπορούν να διατίθενται πλήρη σύνολα δεδομένων στις περιπτώσεις αυτές. Οι εν λόγω μηχανισμοί θα πρέπει να συμμορφώνονται με τις απαιτήσεις που θεσπίζονται για δευτερογενή χρήση δυνάμει του παρόντος κανονισμού. Οι επιστημονικές έρευνες για σημαντικούς λόγους δημόσιου συμφέροντος θα μπορούσαν, για παράδειγμα, να περιλαμβάνουν έρευνα για την αντιμετώπιση μη ικανοποιούμενων ιατρικών αναγκών, μεταξύ άλλων για σπάνιες νόσους, ή αναδυόμενων απειλών για την υγεία. Οι κανόνες για τις εν λόγω υπερβάσεις θα πρέπει να σέβονται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και να αποτελούν αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία, για την εξυπηρέτηση του δημόσιου συμφέροντος σε σχέση με τους θεμιτούς επιστημονικούς και κοινωνικούς στόχους. Οι εν λόγω υπερβάσεις θα πρέπει να είναι διαθέσιμες μόνο σε χρήστες δεδομένων υγείας που είναι φορείς του δημόσιου τομέα ή σχετικά θεσμικά και λοιπά όργανα ή οργανισμοί της Ένωσης με καθήκοντα στον τομέα της δημόσιας υγείας ή σε άλλη οντότητα στην οποία έχει ανατεθεί η εκτέλεση δημόσιων καθηκόντων στον τομέα της δημόσιας υγείας ή η οποία ενεργεί εξ ονόματος ή κατ’ εντολή δημόσιας αρχής, και μόνον όταν τα δεδομένα δεν μπορούν να αποκτηθούν εγκαίρως και αποτελεσματικά με εναλλακτικά μέσα. Οι εν λόγω χρήστες δεδομένων υγείας θα πρέπει να αιτιολογούν ότι η χρήση της υπέρβασης είναι απαραίτητη για μεμονωμένη αίτηση πρόσβασης σε δεδομένα υγείας ή αίτημα για δεδομένα υγείας. Όταν εφαρμόζεται τέτοια υπέρβαση, θα πρέπει να εξακολουθούν να ισχύουν οι εγγυήσεις του κεφαλαίου IV από τους χρήστες δεδομένων υγείας, ιδίως η απαγόρευση της απο-ανωνυμοποίησης ή της απόπειρας απο-ανωνυμοποίησης των ενδιαφερόμενων φυσικών προσώπων.

(55)

Στο πλαίσιο του ΕΧΔΥ, τα ηλεκτρονικά δεδομένα υγείας υπάρχουν ήδη και συλλέγονται από, μεταξύ άλλων, παρόχους υγειονομικής περίθαλψης, επαγγελματικές ενώσεις, δημόσιους οργανισμούς, ρυθμιστικές αρχές, ερευνητές και ασφαλιστές στο πλαίσιο των δραστηριοτήτων τους. Τα δεδομένα αυτά θα πρέπει επίσης να διατίθενται για δευτερογενή χρήση, τουτέστιν για την επεξεργασία δεδομένων για σκοπούς άλλους από εκείνους για τους οποίους συλλέχθηκαν ή παράχθηκαν, ωστόσο, πολλά από αυτά τα δεδομένα δεν διατίθενται για επεξεργασία για τέτοιους σκοπούς. Αυτό περιορίζει τη δυνατότητα των ερευνητών, των φορέων καινοτομίας, των φορέων χάραξης πολιτικής, των ρυθμιστικών αρχών και των ιατρών να χρησιμοποιούν τα εν λόγω δεδομένα για διάφορους σκοπούς, συμπεριλαμβανομένων της έρευνας, της καινοτομίας, της χάραξης πολιτικής, των κανονιστικών σκοπών, της ασφάλειας των ασθενών ή της εξατομικευμένης ιατρικής. Προκειμένου να αξιοποιηθούν πλήρως τα οφέλη της δευτερογενούς χρήσης, όλοι οι κάτοχοι δεδομένων υγείας θα πρέπει να συμβάλουν στην προσπάθεια αυτήν καθιστώντας διαθέσιμες για δευτερογενή χρήση διάφορες κατηγορίες ηλεκτρονικών δεδομένων υγείας που διατηρούν, εφόσον η προσπάθεια αυτή καταβάλλεται πάντοτε μέσω αποτελεσματικών και ασφαλών διαδικασιών και με δέοντα σεβασμό προς τις επαγγελματικές υποχρεώσεις, όπως η εμπιστευτικότητα.

(56)

Οι κατηγορίες ηλεκτρονικών δεδομένων υγείας που μπορούν να υποβληθούν σε επεξεργασία για δευτερογενή χρήση θα πρέπει να είναι επαρκώς ευρείες και ευέλικτες, ώστε να ανταποκρίνονται στις εξελισσόμενες ανάγκες των χρηστών δεδομένων υγείας, ενώ θα πρέπει να περιορίζονται στα δεδομένα τα οποία σχετίζονται με την υγεία ή για τα οποία είναι γνωστό ότι επηρεάζουν την υγεία. Μπορεί επίσης να περιλαμβάνουν συναφή δεδομένα από το σύστημα υγείας, για παράδειγμα ηλεκτρονικούς φακέλους υγείας, δεδομένα απαιτήσεων, δεδομένα χορηγήσεων φαρμάκων, δεδομένα από μητρώα νόσων ή γονιδιωματικά δεδομένα, καθώς και δεδομένα με αντίκτυπο στην υγεία, για παράδειγμα δεδομένα σχετικά με την κατανάλωση διαφόρων ουσιών, κοινωνικοοικονομική κατάσταση ή συμπεριφορά, και δεδομένα περί περιβαλλοντικών παραγόντων όπως η ρύπανση, η ακτινοβολία ή η χρήση ορισμένων χημικών ουσιών. Οι κατηγορίες ηλεκτρονικών δεδομένων υγείας για δευτερογενή χρήση περιλαμβάνουν ορισμένες κατηγορίες δεδομένων που συλλέχθηκαν αρχικά για άλλους σκοπούς, όπως η έρευνα, οι στατιστικές, η ασφάλεια των ασθενών, οι ρυθμιστικές δραστηριότητες ή η χάραξη πολιτικής, για παράδειγμα μητρώα χάραξης πολιτικής ή μητρώα σχετικά με τις παρενέργειες φαρμάκων ή ιατροτεχνολογικών προϊόντων. Ευρωπαϊκές βάσεις δεδομένων που διευκολύνουν τη χρήση ή περαιτέρω χρήση δεδομένων είναι διαθέσιμες σε ορισμένους τομείς, όπως ο καρκίνος (το ευρωπαϊκό σύστημα ενημέρωσης για τον καρκίνο) ή οι σπάνιες νόσοι (για παράδειγμα, η ευρωπαϊκή πλατφόρμα για την καταχώριση των σπάνιων νόσων και τα μητρώα των ευρωπαϊκών δικτύων αναφοράς (ΕΔΑ)). Οι κατηγορίες ηλεκτρονικών δεδομένων υγείας που μπορούν να υποβληθούν σε επεξεργασία για δευτερογενή χρήση θα πρέπει επίσης να περιλαμβάνουν δεδομένα που παράγονται αυτόματα από ιατροτεχνολογικά προϊόντα και δεδομένα που παράγονται από άτομα, όπως τα δεδομένα από εφαρμογές ευεξίας. Τα δεδομένα σχετικά με κλινικές δοκιμές και κλινικές έρευνες θα πρέπει επίσης να περιλαμβάνονται στις κατηγορίες ηλεκτρονικών δεδομένων υγείας για δευτερογενή χρήση, όταν έχει λήξει η κλινική δοκιμή ή κλινική έρευνα, χωρίς να επηρεάζεται η εθελοντική ανταλλαγή δεδομένων από τους χορηγούς των εν εξελίξει δοκιμών και ερευνών. Τα ηλεκτρονικά δεδομένα υγείας για δευτερογενή χρήση θα πρέπει να διατίθενται κατά προτίμηση σε δομημένο ηλεκτρονικό μορφότυπο που διευκολύνει την επεξεργασία τους από συστήματα υπολογιστών. Παραδείγματα δομημένων ηλεκτρονικών μορφοτύπων περιλαμβάνουν φακέλους σε σχετική βάση δεδομένων, έγγραφα XML ή αρχεία CSV και ελεύθερο κείμενο, ηχητικά αρχεία, βίντεο και εικόνες που παρέχονται ως αρχεία αναγνώσιμα από υπολογιστή.

(57)

Οι χρήστες δεδομένων υγείας που επωφελούνται από την πρόσβαση σε σύνολα δεδομένων που παρέχονται δυνάμει του παρόντος κανονισμού θα μπορούσαν να εμπλουτίσουν τα δεδομένα στα εν λόγω σύνολα δεδομένων με διάφορες διορθώσεις, σημειώσεις και άλλες βελτιώσεις, για παράδειγμα συμπληρώνοντας δεδομένα που λείπουν ή είναι ελλιπή, βελτιώνοντας με αυτόν τον τρόπο την ακρίβεια, την πληρότητα ή την ποιότητα των δεδομένων στα σύνολα δεδομένων. Οι χρήστες δεδομένων υγείας θα πρέπει να ενθαρρύνονται να αναφέρουν, στους φορείς πρόσβασης σε δεδομένα υγείας, κρίσιμα σφάλματα στα σύνολα δεδομένων. Για να υποστηριχθούν η βελτίωση της αρχικής βάσης δεδομένων και η περαιτέρω χρήση του εμπλουτισμένου συνόλου δεδομένων, τα κράτη μέλη θα πρέπει να μπορούν να θεσπίζουν κανόνες για την επεξεργασία και χρήση των ηλεκτρονικών δεδομένων υγείας που περιέχουν βελτιώσεις όσον αφορά την επεξεργασία των εν λόγω δεδομένων. Το βελτιωμένο σύνολο δεδομένων θα πρέπει να διατίθεται δωρεάν στον αρχικό κάτοχο δεδομένων υγείας μαζί με μια περιγραφή των βελτιώσεων. Ο κάτοχος δεδομένων υγείας θα πρέπει να καθιστά διαθέσιμο το νέο σύνολο δεδομένων, εκτός εάν παράσχει αιτιολογημένη κοινοποίηση στον φορέα πρόσβασης σε δεδομένα υγείας σχετικά με τους λόγους που δεν το έπραξε, για παράδειγμα σε περιπτώσεις χαμηλής ποιότητας του εμπλουτισμού από τον χρήστη δεδομένων υγείας. Θα πρέπει επίσης να διασφαλίζεται ότι τα μη προσωπικά ηλεκτρονικά δεδομένα υγείας είναι διαθέσιμα για δευτερογενή χρήση. Ειδικότερα, τα γονιδιωματικά δεδομένα παθογόνων έχουν σημαντική αξία για την ανθρώπινη υγεία, όπως έγινε φανερό κατά τη διάρκεια της πανδημίας της COVID-19 όπου η έγκαιρη πρόσβαση και κοινοχρησία αυτών των δεδομένων αποδείχθηκαν απαραίτητες για την ταχεία ανάπτυξη εργαλείων ανίχνευσης, ιατρικών αντιμέτρων και αντιδράσεων σε απειλές για τη δημόσια υγεία. Το μεγαλύτερο όφελος από τις προσπάθειες για τη γονιδιωματική των παθογόνων θα επιτευχθεί όταν οι διαδικασίες δημόσιας υγείας και έρευνας χρησιμοποιούν από κοινού σύνολα δεδομένων και συνεργάζονται για την αμοιβαία ενημέρωση και βελτίωσή τους.

(58)

Προκειμένου να αυξηθεί η αποτελεσματικότητα της δευτερογενούς χρήσης των προσωπικών ηλεκτρονικών δεδομένων υγείας και να αξιοποιηθούν πλήρως οι δυνατότητες που προσφέρει ο παρών κανονισμός, η διαθεσιμότητα στον ΕΧΔΥ των ηλεκτρονικών δεδομένων υγείας που περιγράφονται στο κεφάλαιο IV θα πρέπει να είναι τέτοια ώστε τα δεδομένα να είναι όσο το δυνατόν πιο προσβάσιμα, ποιοτικά, έτοιμα και κατάλληλα για τον σκοπό της δημιουργίας επιστημονικής, καινοτόμου και κοινωνικής αξίας και ποιότητας. Θα πρέπει να διεξαχθούν εργασίες σχετικά με την υλοποίηση του ΕΧΔΥ, καθώς και περαιτέρω βελτιώσεις του συνόλου δεδομένων, κατά τρόπο που δίνει προτεραιότητα στα σύνολα δεδομένων που είναι τα πλέον κατάλληλα για τη δημιουργία της εν λόγω αξίας και ποιότητας.

(59)

Οι δημόσιοι ή ιδιωτικοί φορείς λαμβάνουν συχνά δημόσια χρηματοδότηση από εθνικούς ή ενωσιακούς πόρους για τη συλλογή και την επεξεργασία ηλεκτρονικών δεδομένων υγείας για σκοπούς έρευνας ή επίσημων ή ανεπίσημων στατιστικών, ή για άλλους παρόμοιους σκοπούς, μεταξύ άλλων σε τομείς στους οποίους η συλλογή των εν λόγω δεδομένων είναι κατακερματισμένη ή δύσκολη, όπως σχετικά με σπάνιες νόσους ή τον καρκίνο. Τα δεδομένα αυτά, τα οποία συλλέγονται και υποβάλλονται σε επεξεργασία από κατόχους δεδομένων υγείας με τη στήριξη ενωσιακής ή εθνικής δημόσιας χρηματοδότησης, θα πρέπει να διατίθενται σε φορείς πρόσβασης σε δεδομένα υγείας, προκειμένου να μεγιστοποιηθεί ο αντίκτυπος των δημόσιων επενδύσεων και να υποστηριχθεί η έρευνα, η καινοτομία, η ασφάλεια των ασθενών ή η χάραξη πολιτικής, προς όφελος της κοινωνίας. Σε ορισμένα κράτη μέλη, οι ιδιωτικοί φορείς, συμπεριλαμβανομένων των ιδιωτικών παρόχων υγειονομικής περίθαλψης και των επαγγελματικών ενώσεων, διαδραματίζουν καίριο ρόλο στον τομέα της υγείας. Τα δεδομένα υγείας που τηρούνται από τους εν λόγω παρόχους θα πρέπει επίσης να διατίθενται για δευτερογενή χρήση. Ως εκ τούτου, οι κάτοχοι δεδομένων υγείας στο πλαίσιο της δευτερογενούς χρήσης θα πρέπει να είναι οντότητες που είναι πάροχοι υγειονομικής περίθαλψης ή πάροχοι φροντίδας ή διεξάγουν έρευνα στους τομείς της υγειονομικής περίθαλψης ή της φροντίδας ή αναπτύσσουν προϊόντα ή υπηρεσίες που προορίζονται για τους τομείς της υγειονομικής περίθαλψης ή της φροντίδας. Οι εν λόγω φορείς μπορεί να είναι δημόσιοι, μη κερδοσκοπικοί ή ιδιωτικοί. Σε ευθυγράμμιση με τον ορισμό αυτόν, οι οίκοι ευγηρίας, οι βρεφονηπιακοί σταθμοί, οι οντότητες που παρέχουν υπηρεσίες για άτομα με αναπηρία, οι οντότητες που διεξάγουν επιχειρηματικές και τεχνολογικές δραστηριότητες που σχετίζονται με τη φροντίδα, όπως η ορθοπεδική, και οι εταιρείες που παρέχουν υπηρεσίες φροντίδας θα πρέπει να θεωρούνται κάτοχοι δεδομένων υγείας. Τα νομικά πρόσωπα που αναπτύσσουν εφαρμογές ευεξίας θα πρέπει επίσης να θεωρούνται κάτοχοι δεδομένων υγείας. Τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης που επεξεργάζονται τις εν λόγω κατηγορίες δεδομένων υγείας και υγειονομικής περίθαλψης, καθώς και τα μητρώα θνησιμότητας, θα πρέπει επίσης να θεωρούνται κάτοχοι δεδομένων υγείας. Για να αποφευχθεί δυσανάλογη επιβάρυνση για τα φυσικά πρόσωπα και τις πολύ μικρές επιχειρήσεις, θα πρέπει, κατά γενικό κανόνα, να εξαιρούνται από τις υποχρεώσεις των κατόχων δεδομένων υγείας. Τα κράτη μέλη θα πρέπει, ωστόσο, να έχουν τη δυνατότητα να επεκτείνουν τις υποχρεώσεις των κατόχων δεδομένων υγείας σε φυσικά πρόσωπα και πολύ μικρές επιχειρήσεις στο εθνικό τους δίκαιο. Προκειμένου να μειωθεί η διοικητική επιβάρυνση και με γνώμονα τις αρχές της αποτελεσματικότητας και της αποδοτικότητας, τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να απαιτούν στο εθνικό τους δίκαιο οι οντότητες διαμεσολάβησης δεδομένων υγείας να εκτελούν τα καθήκοντα ορισμένων κατηγοριών κατόχων δεδομένων υγείας. Οι εν λόγω οντότητες διαμεσολάβησης δεδομένων υγείας θα πρέπει να είναι νομικά πρόσωπα ικανά να επεξεργάζονται, να καθιστούν διαθέσιμα, να καταχωρίζουν, να παρέχουν, να ανταλλάσσουν και να περιορίζουν την πρόσβαση σε ηλεκτρονικά δεδομένα υγείας για δευτερογενή χρήση που παρέχονται από κατόχους δεδομένων υγείας. Οι εν λόγω οντότητες διαμεσολάβησης δεδομένων υγείας εκτελούν καθήκοντα που διαφέρουν από τα καθήκοντα των κατά τον κανονισμό (ΕΕ) 2022/868 υπηρεσιών διαμεσολάβησης δεδομένων.

(60)

Τα ηλεκτρονικά δεδομένα υγείας που προστατεύονται από δικαιώματα διανοητικής ιδιοκτησίας ή εμπορικό απόρρητο, συμπεριλαμβανομένων των δεδομένων σχετικά με κλινικές δοκιμές, έρευνες και μελέτες, μπορούν να είναι πολύ χρήσιμα για δευτερογενή χρήση και μπορούν να προωθήσουν την καινοτομία εντός της Ένωσης προς όφελος των ασθενών της Ένωσης. Για να δοθούν κίνητρα ώστε να συνεχίσει η Ένωση να διαδραματίζει ηγετικό ρόλο στον τομέα αυτόν, είναι σημαντικό να ενθαρρύνεται η ανταλλαγή των δεδομένων των κλινικών δοκιμών και κλινικών ερευνών μέσω του ΕΧΔΥ για δευτερογενή χρήση. Τα δεδομένα των κλινικών δοκιμών και κλινικών ερευνών θα πρέπει να διατίθενται στο μέτρο του δυνατού, με την παράλληλη λήψη όλων των αναγκαίων μέτρων για την προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας και του εμπορικού απορρήτου. Ο παρών κανονισμός θα πρέπει να μη χρησιμοποιείται για τη μείωση ή παράκαμψη της εν λόγω προστασίας και θα πρέπει να συνάδει με τις σχετικές διατάξεις περί διαφάνειας που ορίζονται στο ενωσιακό δίκαιο, μεταξύ άλλων για τα δεδομένα κλινικών δοκιμών και κλινικών ερευνών. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να αξιολογούν πώς θα διατηρείται η προστασία αυτή και παράλληλα να καταστούν δυνατή την πρόσβαση των χρηστών δεδομένων υγείας στα εν λόγω δεδομένα στο μέτρο του δυνατού. Εάν ένας φορέας πρόσβασης σε δεδομένα υγείας δεν είναι σε θέση να παρέχει την πρόσβαση σε τέτοια δεδομένα, θα πρέπει να ενημερώνει τον χρήστη δεδομένων υγείας και να εξηγεί τους λόγους για τους οποίους δεν είναι δυνατή η παροχή της πρόσβασης αυτής. Τα νομικά, οργανωτικά και τεχνικά μέτρα για την προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας ή του εμπορικού απορρήτου θα μπορούσαν να περιλαμβάνουν κοινές συμβατικές ρυθμίσεις πρόσβασης σε ηλεκτρονικά δεδομένα υγείας, ειδικές υποχρεώσεις στο πλαίσιο της άδειας δεδομένων σχετικά με τα εν λόγω δικαιώματα, την προεπεξεργασία των δεδομένων για την παραγωγή παράγωγων δεδομένων που προστατεύουν εμπορικό απόρρητο, αλλά εξακολουθούν ωστόσο να έχουν χρησιμότητα για τον χρήστη δεδομένων υγείας, ή τη διαμόρφωση του ασφαλούς περιβάλλοντος επεξεργασίας, ώστε τα εν λόγω δεδομένα να μην είναι προσβάσιμα στον χρήστη δεδομένων υγείας.

(61)

Η δευτερογενής χρήση των δεδομένων υγείας στο πλαίσιο του ΕΧΔΥ θα πρέπει να επιτρέπει στους δημόσιους, ιδιωτικούς και μη κερδοσκοπικούς φορείς, καθώς και σε μεμονωμένους ερευνητές, να έχουν πρόσβαση σε δεδομένα υγείας για την έρευνα, την καινοτομία, τη χάραξη πολιτικής, τις εκπαιδευτικές δραστηριότητες, την ασφάλεια των ασθενών, τις ρυθμιστικές δραστηριότητες ή την εξατομικευμένη ιατρική, σύμφωνα με τους σκοπούς που ορίζονται στον παρόντα κανονισμό. Η πρόσβαση σε δεδομένα για δευτερογενή χρήση θα πρέπει να συμβάλλει στο γενικό συμφέρον της κοινωνίας. Ειδικότερα, η δευτερογενής χρήση των δεδομένων υγείας για σκοπούς έρευνας και ανάπτυξης θα πρέπει να συμβάλλει στην επίτευξη οφέλους για την κοινωνία με τη μορφή νέων φαρμάκων, ιατροτεχνολογικών προϊόντων και προϊόντων και υπηρεσιών υγειονομικής περίθαλψης σε προσιτές και δίκαιες τιμές για τους πολίτες της Ένωσης, καθώς και στη βελτίωση της πρόσβασης και της διαθεσιμότητας των εν λόγω προϊόντων και υπηρεσιών σε όλα τα κράτη μέλη. Οι δραστηριότητες για τις οποίες η πρόσβαση στο πλαίσιο του παρόντος κανονισμού είναι νόμιμη θα μπορούσαν να περιλαμβάνουν τη χρήση ηλεκτρονικών δεδομένων υγείας για καθήκοντα που εκτελούνται από φορείς του δημόσιου τομέα, όπως η άσκηση δημόσιου καθήκοντος, συμπεριλαμβανομένων της επιτήρησης της δημόσιας υγείας, των καθηκόντων σχεδιασμού και υποβολής εκθέσεων, της χάραξης πολιτικής για την υγεία και της διασφάλισης της ασφάλειας των ασθενών, της ποιότητας της φροντίδας και της βιωσιμότητας των συστημάτων υγειονομικής περίθαλψης. Οι φορείς του δημόσιου τομέα και τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης ενδέχεται να χρειάζονται τακτική πρόσβαση σε ηλεκτρονικά δεδομένα υγείας για παρατεταμένο χρονικό διάστημα, μεταξύ άλλων για την εκπλήρωση της εντολής τους, όπως προβλέπεται στον παρόντα κανονισμό. Οι φορείς του δημόσιου τομέα θα μπορούσαν να διεξάγουν τις εν λόγω ερευνητικές δραστηριότητες χρησιμοποιώντας τρίτους, συμπεριλαμβανομένων των υπεργολάβων, εφόσον ο φορέας του δημόσιου τομέα παραμένει ανά πάσα στιγμή ο επόπτης των εν λόγω δραστηριοτήτων. Η παροχή των δεδομένων θα πρέπει επίσης να στηρίζει δραστηριότητες που σχετίζονται με την επιστημονική έρευνα. Η έννοια των σκοπών επιστημονικής έρευνας θα πρέπει να ερμηνεύεται ευρέως, συμπεριλαμβανομένων της ανάπτυξης και επίδειξης τεχνολογιών, της βασικής έρευνας, της εφαρμοσμένης έρευνας και της ιδιωτικά χρηματοδοτούμενης έρευνας. Δραστηριότητες που σχετίζονται με την επιστημονική έρευνα περιλαμβάνουν δραστηριότητες καινοτομίας, όπως η εκπαίδευσης αλγορίθμων ΤΝ που θα μπορούσαν να χρησιμοποιηθούν στην υγειονομική περίθαλψη ή τη φροντίδα φυσικών προσώπων, καθώς και η αξιολόγηση και περαιτέρω ανάπτυξη υφιστάμενων αλγορίθμων και προϊόντων για τους εν λόγω σκοπούς. Είναι αναγκαίο ο ΕΧΔΥ να συμβάλλει επίσης στη βασική έρευνα και, παρόλο που τα οφέλη της για τους τελικούς χρήστες και τους ασθενείς είναι ενδεχομένως λιγότερο άμεσα, αυτού του είδους η βασική έρευνα είναι ζωτικής σημασίας για μακροπρόθεσμα κοινωνιακά οφέλη. Σε ορισμένες περιπτώσεις, οι πληροφορίες ορισμένων φυσικών προσώπων, όπως οι γονιδιωματικές πληροφορίες φυσικών προσώπων με συγκεκριμένη ασθένεια, θα μπορούσαν να συμβάλλουν στη διάγνωση ή τη θεραπεία άλλων φυσικών προσώπων. Οι φορείς του δημόσιου τομέα χρειάζεται να υπερβαίνουν το πεδίο της «εξαιρετικής ανάγκης» του κεφαλαίου V του κανονισμού (ΕΕ) 2023/2854. Ωστόσο, θα πρέπει να επιτρέπεται στους φορείς πρόσβασης σε δεδομένα υγείας να παρέχουν στήριξη σε φορείς του δημόσιου τομέα, όταν επεξεργάζονται ή συνδέουν δεδομένα. Ο παρών κανονισμός παρέχει στους φορείς του δημόσιου τομέα έναν δίαυλο πρόσβασης στις πληροφορίες που χρειάζονται για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί από τον νόμο, αλλά δεν επεκτείνει την εντολή των εν λόγω φορέων του δημόσιου τομέα.

(62)

Θα πρέπει να απαγορεύεται οποιαδήποτε απόπειρα χρήσης των ηλεκτρονικών δεδομένων υγείας για μέτρα επιζήμια για φυσικά πρόσωπα, όπως για την αύξηση των ασφαλίστρων, την άσκηση δραστηριοτήτων δυνητικά επιζήμιων για τα φυσικά πρόσωπα που σχετίζονται με την απασχόληση, τις συντάξεις ή τις τραπεζικές δραστηριότητες, συμπεριλαμβανομένης της υποθήκης ακινήτων, τη διαφήμιση προϊόντων ή θεραπειών, την αυτοματοποίηση της ατομικής λήψης αποφάσεων, την απο-ανωνυμοποίηση φυσικών προσώπων ή την ανάπτυξη επιβλαβών προϊόντων. Η απαγόρευση αυτή θα πρέπει επίσης να ισχύει για δραστηριότητες που προσκρούουν στις κατά το εθνικό δίκαιο δεοντολογικές διατάξεις, με εξαίρεση τις δεοντολογικές διατάξεις που σχετίζονται με τη συγκατάθεση στην επεξεργασία δεδομένων προσωπικού χαρακτήρα και τις δεοντολογικές διατάξεις που σχετίζονται με το δικαίωμα εξαίρεσης, αφού ο παρών κανονισμός υπερισχύει του εθνικού δικαίου σύμφωνα με τη γενική αρχή της υπεροχής του ενωσιακού δικαίου. Θα πρέπει επίσης να απαγορεύεται η παροχή πρόσβασης σε ηλεκτρονικά δεδομένα υγείας ή η διάθεση με άλλον τρόπο των ηλεκτρονικών δεδομένων υγείας σε τρίτους που δεν αναφέρονται στην άδεια δεδομένων. Η ταυτότητα των εξουσιοδοτημένων προσώπων, ιδίως η ταυτότητα του κύριου ερευνητή, τα οποία θα έχουν δικαίωμα δυνάμει του παρόντος κανονισμού πρόσβασης στα ηλεκτρονικά δεδομένα υγείας στο ασφαλές περιβάλλον επεξεργασίας θα πρέπει να αναφέρεται στην άδεια δεδομένων. Οι κύριοι ερευνητές είναι τα κύρια πρόσωπα που είναι υπεύθυνα για την αίτηση πρόσβασης στα ηλεκτρονικά δεδομένα υγείας και για την επεξεργασία των ζητούμενων δεδομένων εντός του ασφαλούς περιβάλλοντος επεξεργασίας εξ ονόματος του χρήστη δεδομένων υγείας.

(63)

Ο παρών κανονισμός δεν θεσπίζει εξουσιοδότηση για τη δευτερογενή χρήση των δεδομένων υγείας για τους σκοπούς της επιβολής του νόμου. Η πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή η εκτέλεση ποινικών κυρώσεων από τις αρμόδιες αρχές δεν θα πρέπει να συγκαταλέγεται στους σκοπούς δευτερογενούς χρήσης που καλύπτονται από τον παρόντα κανονισμό. Επομένως, τα δικαστήρια και άλλες οντότητες του δικαστικού συστήματος δεν θα πρέπει να θεωρούνται χρήστες δεδομένων υγείας για τη δευτερογενή χρήση των δεδομένων υγείας δυνάμει του παρόντος κανονισμού. Επιπροσθέτως, τα δικαστήρια και άλλες οντότητες του δικαστικού συστήματος δεν θα πρέπει να καλύπτονται από τον ορισμό των κατόχων δεδομένων υγείας και, ως εκ τούτου, δεν θα πρέπει να υπόκεινται στις υποχρεώσεις των κατόχων δεδομένων υγείας δυνάμει του παρόντος κανονισμού. Επιπλέον, δεν επηρεάζονται από τον παρόντα κανονισμό οι εξουσίες των αρμόδιων αρχών για την πρόληψη, διερεύνηση, ανίχνευση και δίωξη ποινικών αδικημάτων που προβλέπονται από τον νόμο για την απόκτηση ηλεκτρονικών δεδομένων υγείας. Ομοίως, τα ηλεκτρονικά δεδομένα υγείας που τηρούνται από δικαστήρια για τους σκοπούς των δικαστικών διαδικασιών δεν εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού.

(64)

Η σύσταση ενός ή περισσότερων φορέων πρόσβασης σε δεδομένα υγείας, οι οποίοι υποστηρίζουν την πρόσβαση σε ηλεκτρονικά δεδομένα υγείας στα κράτη μέλη, είναι βασική για την προώθηση της δευτερογενούς χρήσης των σχετικών με την υγεία δεδομένων. Ως εκ τούτου, τα κράτη μέλη θα πρέπει να συστήσουν έναν ή περισσότερους φορείς πρόσβασης σε δεδομένα υγείας, προκειμένου να αντικατοπτρίζουν, μεταξύ άλλων, τη συνταγματική, οργανωτική και διοικητική δομή τους. Ωστόσο, ένας από αυτούς τους φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να οριστεί συντονιστής σε περίπτωση που υπάρχουν περισσότεροι του ενός φορείς πρόσβασης σε δεδομένα υγείας. Όταν ένα κράτος μέλος ιδρύει διάφορους φορείς πρόσβασης σε δεδομένα υγείας, θα πρέπει να θεσπίζει κανόνες σε εθνικό επίπεδο για τη διασφάλιση της συντονισμένης συμμετοχής των εν λόγω φορέων στο συμβούλιο του Ευρωπαϊκού Χώρου Δεδομένων Υγείας («συμβούλιο του ΕΧΔΥ»). Το εν λόγω κράτος μέλος θα πρέπει να ορίζει, ιδίως, έναν φορέα πρόσβασης σε δεδομένα υγείας ο οποίος θα λειτουργεί ως ενιαίο σημείο επαφής για την αποτελεσματική συμμετοχή των εν λόγω φορέων και θα διασφαλίζει την ταχεία και ομαλή συνεργασία με άλλους φορείς πρόσβασης σε δεδομένα υγείας, με το συμβούλιο του ΕΧΔΥ και την Επιτροπή. Οι φορείς πρόσβασης σε δεδομένα υγείας θα μπορούσαν να διαφέρουν από άποψη οργάνωσης και μεγέθους, ποικίλλοντας από έναν ειδικό ολοκληρωμένο οργανισμό έως μία μονάδα ή τμήμα υφιστάμενου οργανισμού. Οι φορείς πρόσβασης σε δεδομένα υγείας δεν θα πρέπει να επηρεάζονται στις αποφάσεις τους σχετικά με την πρόσβαση σε ηλεκτρονικά δεδομένα για δευτερογενή χρήση και θα πρέπει να αποφεύγουν τυχόν συγκρούσεις συμφερόντων. Επομένως, τα μέλη των οργάνων διακυβέρνησης και λήψης αποφάσεων κάθε φορέα πρόσβασης σε δεδομένα υγείας και το προσωπικό του θα πρέπει να απέχουν από κάθε ενέργεια που δεν συνάδει με τα καθήκοντά τους και θα πρέπει να μην ασκούν ασυμβίβαστο επάγγελμα. Ωστόσο, η ανεξαρτησία των φορέων πρόσβασης σε δεδομένα υγείας δεν θα πρέπει να σημαίνει δεν μπορούν να υπόκεινται σε μηχανισμούς ελέγχου ή παρακολούθησης όσον αφορά τις οικονομικές τους δαπάνες ή σε δικαστικό έλεγχο. Σε κάθε φορέα πρόσβασης σε δεδομένα υγείας θα πρέπει να παρέχονται οι οικονομικοί, τεχνικοί και ανθρώπινοι πόροι, οι εγκαταστάσεις και οι υποδομές που απαιτούνται για την αποτελεσματική άσκηση των καθηκόντων του, συμπεριλαμβανομένων εκείνων που σχετίζονται με τη συνεργασία με άλλους φορείς πρόσβασης σε δεδομένα υγείας σε ολόκληρη την Ένωση. Τα μέλη των οργάνων διακυβέρνησης και λήψης αποφάσεων των φορέων πρόσβασης σε δεδομένα υγείας και το προσωπικό τους θα πρέπει να διαθέτουν τα αναγκαία προσόντα, πείρα και δεξιότητες. Κάθε φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να διαθέτει χωριστό, δημόσιο ετήσιο προϋπολογισμό, ο οποίος θα μπορούσε να αποτελεί τμήμα του συνολικού κρατικού ή εθνικού προϋπολογισμού. Προκειμένου να καταστεί δυνατή η καλύτερη πρόσβαση σε δεδομένα υγείας και να συμπληρωθεί το άρθρο 7 παράγραφος 2 του κανονισμού (ΕΕ) 2022/868, τα κράτη μέλη θα πρέπει να αναθέσουν στους φορείς πρόσβασης σε δεδομένα υγείας την εξουσία να λαμβάνουν αποφάσεις σχετικά με την πρόσβαση σε δεδομένα υγείας και τη δευτερογενή χρήση τους. Αυτό θα μπορούσε να συνίσταται στην ανάθεση νέων καθηκόντων στους αρμόδιους φορείς που ορίζονται από τα κράτη μέλη βάσει του άρθρου 7 παράγραφος 1 του κανονισμού (ΕΕ) 2022/868 ή στον ορισμό υφιστάμενων ή νέων τομεακών φορέων αρμόδιων για τα εν λόγω καθήκοντα όσον αφορά την πρόσβαση σε δεδομένα υγείας.

(65)

Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να παρακολουθούν την εφαρμογή του κεφαλαίου IV του παρόντος κανονισμού και να συμβάλλουν στη συνεπή εφαρμογή του σε ολόκληρη την Ένωση. Για τον σκοπό αυτόν, οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να συνεργάζονται μεταξύ τους και με την Επιτροπή. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει επίσης να συνεργάζονται με τους συμφεροντούχους, συμπεριλαμβανομένων των οργανώσεων ασθενών. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να υποστηρίζουν τους κατόχους δεδομένων υγείας που είναι μικρές επιχειρήσεις σύμφωνα με τη σύσταση 2003/361/ΕΚ της Επιτροπής (18), ιδίως τους ιατρούς και τα φαρμακεία. Δεδομένου ότι η δευτερογενής χρήση των δεδομένων υγείας περιλαμβάνει την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, εφαρμόζονται οι σχετικές διατάξεις των κανονισμών (ΕΕ) 2016/679 και (ΕΕ) 2018/1725 και οι εποπτικές αρχές βάσει των εν λόγω κανονισμών θα πρέπει να παραμείνουν οι μόνες αρμόδιες αρχές για την επιβολή των εν λόγω διατάξεων. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να ενημερώνουν τις αρχές προστασίας δεδομένων για τυχόν κυρώσεις που επιβάλλονται και δυνητικά ζητήματα που σχετίζονται με την επεξεργασία δεδομένων για δευτερογενή χρήση και να ανταλλάσσουν κάθε σχετική πληροφορία που έχουν στη διάθεσή τους, ώστε να διασφαλίζεται η επιβολή των σχετικών κανόνων. Εκτός από τα καθήκοντα που είναι αναγκαία για τη διασφάλιση της αποτελεσματικής δευτερογενούς χρήσης των δεδομένων υγείας, ο φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να προσπαθήσει να επεκτείνει τη διαθεσιμότητα πρόσθετων συνόλων δεδομένων υγείας και να προωθήσει την ανάπτυξη κοινών προτύπων. Θα πρέπει να εφαρμόζει δοκιμασμένες τεχνικές αιχμής που διασφαλίζουν την επεξεργασία των ηλεκτρονικών δεδομένων υγείας με τρόπο που διαφυλάσσει το απόρρητο των πληροφοριών που περιέχονται στα δεδομένα για τα οποία επιτρέπεται η δευτερογενής χρήση, συμπεριλαμβανομένων των τεχνικών ψευδωνυμοποίησης, ανωνυμοποίησης, γενίκευσης, καταστολής και τυχαιοποίησης των δεδομένων προσωπικού χαρακτήρα. Οι φορείς πρόσβασης σε δεδομένα υγείας μπορούν να καταρτίζουν σύνολα δεδομένων για τον χρήστη δεδομένων υγείας όπως απαιτείται δυνάμει της εκδοθείσας άδειας δεδομένων. Εν προκειμένω, οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να συνεργάζονται σε διασυνοριακό επίπεδο για την ανάπτυξη και ανταλλαγή βέλτιστων πρακτικών και τεχνικών. Αυτό περιλαμβάνει κανόνες για την ψευδωνυμοποίηση και την ανωνυμοποίηση των συνόλων μικροδεδομένων. Όπου είναι σχετικό, η Επιτροπή θα πρέπει να καθορίζει τις διαδικασίες και απαιτήσεις και να παρέχει τεχνικά εργαλεία για ενιαία διαδικασία ψευδωνυμοποίησης και ανωνυμοποίησης των ηλεκτρονικών δεδομένων υγείας.

(66)

Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να εξασφαλίζουν τη διαφάνεια της δευτερογενούς χρήσης παρέχοντας δημόσιες πληροφορίες σχετικά με τις χορηγούμενες άδειες δεδομένων και τις αιτιολογήσεις τους, τα μέτρα που λαμβάνονται για την προστασία των δικαιωμάτων των φυσικών προσώπων, τα μέσα άσκησης από τα φυσικά πρόσωπα των δικαιωμάτων τους σε σχέση με τη δευτερογενή χρήση και τα αποτελέσματα της δευτερογενούς χρήσης, μεταξύ άλλων μέσω συνδέσμων προς επιστημονικές δημοσιεύσεις. Κατά περίπτωση, οι εν λόγω πληροφορίες σχετικά με τα αποτελέσματα της δευτερογενούς χρήσης θα πρέπει επίσης να περιλαμβάνουν περίληψη σε απλή γλώσσα που θα παρέχεται από τον χρήστη δεδομένων υγείας. Οι εν λόγω υποχρεώσεις διαφάνειας συμπληρώνουν τις υποχρεώσεις που ορίζονται στο άρθρο 14 του κανονισμού (ΕΕ) 2016/679. Θα μπορούσαν να εφαρμόζονται οι εξαιρέσεις που προβλέπονται στο άρθρο 14 παράγραφος 5 του εν λόγω κανονισμού. Όταν πράγματι εφαρμόζονται τέτοιες εξαιρέσεις, οι υποχρεώσεις διαφάνειας που θεσπίζει ο παρών κανονισμός θα πρέπει να συμβάλλουν στη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, όπως αναφέρεται στο άρθρο 14 παράγραφος 2 του κανονισμού (ΕΕ) 2016/679, για παράδειγμα παρέχοντας πληροφορίες σχετικά με τον σκοπό της επεξεργασίας και τις κατηγορίες δεδομένων που υποβάλλονται σε επεξεργασία, ώστε να είναι σε θέση τα φυσικά πρόσωπα να κατανοήσουν αν τα δεδομένα τους καθίστανται διαθέσιμα για δευτερογενή χρήση σύμφωνα με τις άδειες δεδομένων.

(67)

Τα φυσικά πρόσωπα θα πρέπει να ενημερώνονται από τους κατόχους δεδομένων υγείας σχετικά με σημαντικά ευρήματα που σχετίζονται με την υγεία τους και εντοπίζονται από χρήστες δεδομένων υγείας. Τα φυσικά πρόσωπα θα πρέπει να έχουν το δικαίωμα να ζητήσουν να μην ενημερώνονται για τα εν λόγω ευρήματα. Τα κράτη μέλη θα μπορούσαν να καθορίσουν τις προϋποθέσεις σχετικά με τις λεπτομέρειες παροχής τέτοιων πληροφοριών από τους κατόχους δεδομένων υγείας προς τα οικεία φυσικά πρόσωπα και σχετικά με την άσκηση του δικαιώματος μη ενημέρωσης. Τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα, σύμφωνα με το άρθρο 23 παράγραφος 1 στοιχείο θ) του κανονισμού (ΕΕ) 2016/679, να περιορίζουν το πεδίο εφαρμογής της υποχρέωσης ενημέρωσης των φυσικών προσώπων, όποτε αυτό είναι αναγκαίο για την προστασία τους με βάση την ασφάλεια των ασθενών και τη δεοντολογία, καθυστερώντας την κοινοποίηση των πληροφοριών τους έως ότου ένας επαγγελματίας υγείας μπορέσει να κοινοποιήσει και να εξηγήσει στα οικεία φυσικά πρόσωπα πληροφορίες που μπορούν να έχουν αντίκτυπο στην υγεία τους.

(68)

Για την προώθηση της διαφάνειας, οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να δημοσιεύουν επίσης εκθέσεις δραστηριοτήτων, ανά διετία, στις οποίες θα παρέχεται επισκόπηση των δραστηριοτήτων τους. Όταν ένα κράτος μέλος έχει ορίσει περισσότερους από έναν φορείς πρόσβασης σε δεδομένα υγείας, ο συντονιστικός φορέας θα πρέπει να καταρτίζει και να δημοσιεύει κοινή έκθεση, ανά διετία. Οι εκθέσεις δραστηριοτήτων θα πρέπει να ακολουθούν μια δομή που συμφωνείται από το συμβούλιο του ΕΧΔΥ και να παρέχουν επισκόπηση των δραστηριοτήτων, συμπεριλαμβανομένων των πληροφοριών σχετικά με αποφάσεις όσον αφορά τις αιτήσεις, τους ελέγχους και τη συνεργασία με τους σχετικούς συμφεροντούχους. Στους εν λόγω συμφεροντούχους μπορούν να συγκαταλέγονται εκπρόσωποι φυσικών προσώπων, οργανώσεων ασθενών, επαγγελματιών υγείας, ερευνητών και επιτροπών δεοντολογίας.

(69)

Προκειμένου να υποστηριχθεί η δευτερογενής χρήση, οι κάτοχοι δεδομένων υγείας θα πρέπει να μην αποκρύπτουν τα δεδομένα, να μη ζητούν αδικαιολόγητα τέλη που δεν είναι διαφανή ούτε αναλογικά προς το κόστος διάθεσης των δεδομένων ή, κατά περίπτωση, προς το οριακό κόστος συλλογής δεδομένων, να μη ζητούν από τους χρήστες δεδομένων υγείας να δημοσιεύουν από κοινού την έρευνα, καθώς και να απέχουν από άλλες πρακτικές που θα μπορούσαν να αποτρέψουν τους χρήστες δεδομένων υγείας από το να ζητήσουν τα δεδομένα. Όταν ο κάτοχος δεδομένων υγείας είναι φορέας του δημόσιου τομέα, το μέρος των τελών που συνδέεται με τις δαπάνες του δεν θα πρέπει να καλύπτει το κόστος της αρχικής συλλογής των δεδομένων. Όταν απαιτείται δεοντολογική έγκριση για την παροχή άδειας δεδομένων, η αξιολόγηση που σχετίζεται με τη δεοντολογική έγκριση θα πρέπει να βασίζεται στα χαρακτηριστικά κάθε μεμονωμένης περίπτωσης.

(70)

Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να έχουν τη δυνατότητα να χρεώνουν τέλη, λαμβάνοντας υπόψη τους οριζόντιους κανόνες που προβλέπονται στον κανονισμό (ΕΕ) 2022/868, σε σχέση με τα καθήκοντά τους. Τα τέλη αυτά θα μπορούσαν να λαμβάνουν υπόψη την κατάσταση και το συμφέρον των μικρών και μεσαίων επιχειρήσεων (ΜΜΕ), μεμονωμένων ερευνητών ή φορέων του δημόσιου τομέα. Ειδικότερα, τα κράτη μέλη θα πρέπει να μπορούν να υιοθετούν μέτρα για τους φορείς πρόσβασης σε δεδομένα υγείας στη δικαιοδοσία τους που να επιτρέπουν την επιβολή μειωμένων τελών σε ορισμένες κατηγορίες χρηστών δεδομένων υγείας. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να είναι σε θέση να καλύπτουν το κόστος λειτουργίας τους με τέλη που καθορίζονται με αναλογικό, αιτιολογημένο και διαφανή τρόπο. Αυτό θα μπορούσε να οδηγήσει σε υψηλότερα τέλη για ορισμένους χρήστες δεδομένων υγείας, εάν η εξυπηρέτηση των αιτήσεών τους πρόσβασης σε δεδομένα υγείας και των αιτημάτων τους για δεδομένα υγείας απαιτεί περισσότερη εργασία. Οι κάτοχοι δεδομένων υγείας θα πρέπει επίσης να έχουν τη δυνατότητα να ζητούν, για τη διάθεση των δεδομένων, τέλη που να αντικατοπτρίζουν τις δαπάνες τους. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να αποφασίζουν σχετικά με το ύψος των εν λόγω τελών, τα οποία θα μπορούσαν να περιλαμβάνουν επίσης τα τέλη που ζητούν οι κάτοχοι δεδομένων υγείας. Ο χρήστης δεδομένων υγείας οφείλει να χρεωθεί τα εν λόγω τέλη από τον φορέα πρόσβασης σε δεδομένα υγείας σε ένα ενιαίο τιμολόγιο. Ο φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει στη συνέχεια να μεταφέρει το σχετικό μέρος των τελών που έχουν καταβληθεί στον κάτοχο δεδομένων υγείας. Προκειμένου να διασφαλιστεί εναρμονισμένη προσέγγιση όσον αφορά τις πολιτικές και τη δομή των τελών, θα πρέπει να ανατεθούν στην Επιτροπή εκτελεστικές αρμοδιότητες. Το άρθρο 10 του κανονισμού (ΕΕ) 2023/2854 θα πρέπει να εφαρμόζεται στα τέλη που χρεώνονται δυνάμει του παρόντος κανονισμού.

(71)

Προκειμένου να ενισχυθεί η επιβολή των κανόνων σχετικά με τη δευτερογενή χρήση, θα πρέπει να προβλεφθούν κατάλληλα μέτρα τα οποία να μπορούν να οδηγήσουν σε διοικητικά πρόστιμα ή μέτρα επιβολής από φορείς πρόσβασης σε δεδομένα υγείας ή σε προσωρινούς ή οριστικούς αποκλεισμούς των χρηστών δεδομένων υγείας ή των κατόχων δεδομένων υγείας που δεν συμμορφώνονται με τις υποχρεώσεις τους από το πλαίσιο του ΕΧΔΥ. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να έχουν την εξουσία να επαληθεύουν τη συμμόρφωση των χρηστών δεδομένων υγείας και των κατόχων δεδομένων υγείας και να παρέχουν σε αυτούς την ευκαιρία να απαντούν σε τυχόν ευρήματα και να αποκαθιστούν τυχόν παραβάσεις. Κατά τη λήψη απόφασης σχετικά με το ποσό του διοικητικού προστίμου ή σχετικά με το μέτρο επιβολής για κάθε μεμονωμένη περίπτωση, οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να λαμβάνουν υπόψη τα περιθώρια κόστους και τα κριτήρια που ορίζονται στον παρόντα κανονισμό, μεριμνώντας ώστε τα εν λόγω πρόστιμα ή μέτρα να είναι αναλογικά.

(72)

Δεδομένης της ευαισθησίας των ηλεκτρονικών δεδομένων υγείας, είναι αναγκαίο να μειωθούν οι κίνδυνοι για την ιδιωτική ζωή των φυσικών προσώπων με την εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων. Ως εκ τούτου, τα μη προσωπικά ηλεκτρονικά δεδομένα υγείας θα πρέπει να είναι διαθέσιμα σε όλες τις περιπτώσεις όπου η παροχή των εν λόγω δεδομένων είναι επαρκής. Εάν ο χρήστης δεδομένων υγείας χρειάζεται να χρησιμοποιήσει προσωπικά ηλεκτρονικά δεδομένα υγείας, θα πρέπει να αναφέρει σαφώς στο αίτημά του την αιτιολόγηση της χρήσης αυτού του είδους δεδομένων και ο φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να αξιολογεί την εγκυρότητα της εν λόγω αιτιολόγησης. Τα προσωπικά ηλεκτρονικά δεδομένα υγείας θα πρέπει να διατίθενται μόνο σε ψευδωνυμοποιημένη μορφή. Λαμβανομένων υπόψη των ειδικών σκοπών της επεξεργασίας, τα προσωπικά ηλεκτρονικά δεδομένα υγείας θα πρέπει να ψευδωνυμοποιούνται ή να ανωνυμοποιούνται όσο το δυνατόν νωρίτερα στη διαδικασία διάθεσης δεδομένων για δευτερογενή χρήση. Η ψευδωνυμοποίηση και η ανωνυμοποίηση θα πρέπει να μπορούν να διενεργούνται από φορείς πρόσβασης σε δεδομένα υγείας ή από κατόχους δεδομένων υγείας. Ως υπεύθυνοι επεξεργασίας, θα πρέπει να επιτρέπεται στους φορείς πρόσβασης σε δεδομένα υγείας και στους κατόχους δεδομένων υγείας να αναθέτουν τα εν λόγω καθήκοντα στους εκτελούντες την επεξεργασία. Κατά την παροχή πρόσβασης σε ψευδωνυμοποιημένο ή ανωνυμοποιημένο σύνολο δεδομένων, ο φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να χρησιμοποιεί προηγμένη τεχνολογία και πρότυπα ψευδωνυμοποίησης ή ανωνυμοποίησης, διασφαλίζοντας στον μέγιστο δυνατό βαθμό ότι τα φυσικά πρόσωπα δεν μπορούν να απο-ανωνυμοποιηθούν από τους χρήστες δεδομένων υγείας. Η εν λόγω τεχνολογία και πρότυπα για την ψευδωνυμοποίηση ή ανωνυμοποίηση των δεδομένων θα πρέπει να αναπτυχθούν περαιτέρω. Οι χρήστες δεδομένων υγείας δεν θα πρέπει να επιχειρούν την απο-ανωνυμοποίηση φυσικών προσώπων από το σύνολο δεδομένων που παρέχεται βάσει του παρόντος κανονισμού και, όταν το επιχειρούν, θα πρέπει να υπόκεινται σε διοικητικά πρόστιμα και μέτρα επιβολής που καθορίζονται στον παρόντα κανονισμό ή πιθανές ποινικές κυρώσεις, εφόσον αυτό προβλέπεται από το εθνικό δίκαιο. Επιπλέον, ο αιτών δεδομένα υγείας θα πρέπει να μπορεί να ζητήσει απάντηση σε αίτημα για δεδομένα υγείας σε ανωνυμοποιημένη στατιστική μορφή. Σε αυτές τις περιπτώσεις, ο χρήστης δεδομένων υγείας θα επεξεργάζεται μόνο δεδομένα μη προσωπικού χαρακτήρα και ο φορέας πρόσβασης σε δεδομένα υγείας θα παραμένει ο αποκλειστικός υπεύθυνος επεξεργασίας για οποιαδήποτε δεδομένα προσωπικού χαρακτήρα είναι αναγκαία για την παροχή απάντησης στο αίτημα για δεδομένα υγείας.

(73)

Προκειμένου να διασφαλιστεί ότι όλοι οι φορείς πρόσβασης σε δεδομένα υγείας εκδίδουν άδειες δεδομένων με παρόμοιο τρόπο, είναι αναγκαίο να θεσπιστεί μια τυποποιημένη κοινή διαδικασία για την έκδοση αδειών δεδομένων, με παρόμοια αιτήματα σε διαφορετικά κράτη μέλη. Ο αιτών δεδομένα υγείας θα πρέπει να παρέχει στους φορείς πρόσβασης σε δεδομένα υγείας διάφορα πληροφοριακά στοιχεία που θα βοηθήσουν τον φορέα να αξιολογήσει την αίτηση πρόσβασης σε δεδομένα υγείας και να αποφασίσει αν ο αιτών δεδομένα υγείας μπορεί να λάβει άδεια δεδομένων και θα πρέπει να διασφαλίζεται η συνοχή μεταξύ των διάφορων φορέων πρόσβασης σε δεδομένα υγείας. Οι πληροφορίες που παρέχονται στο πλαίσιο της αίτησης πρόσβασης σε δεδομένα υγείας θα πρέπει να συμμορφώνονται προς τις απαιτήσεις που θεσπίζονται δυνάμει του παρόντος κανονισμού, προκειμένου να καταστεί δυνατή η ενδελεχής αξιολόγησή τους, δεδομένου ότι η άδεια δεδομένων θα πρέπει να εκδίδεται μόνον εφόσον πληρούνται όλες οι αναγκαίες προϋποθέσεις που ορίζονται στον παρόντα κανονισμό. Επίσης, οι πληροφορίες αυτές θα πρέπει να περιλαμβάνουν, όπου είναι σχετικό, δήλωση του αιτούντος δεδομένα υγείας ότι η σκοπούμενη χρήση των ζητούμενων δεδομένων υγείας δεν ενέχει κίνδυνο στιγματισμού ή πρόκλησης ζημίας στην αξιοπρέπεια των φυσικών προσώπων ή των ομάδων τις οποίες αφορά το ζητούμενο σύνολο δεδομένων. Θα μπορούσε να ζητηθεί δεοντολογική αξιολόγηση βάσει του εθνικού δικαίου. Στην περίπτωση αυτήν, οι υφιστάμενοι φορείς δεοντολογίας θα πρέπει να έχουν τη δυνατότητα να διενεργούν τέτοιες αξιολογήσεις για τον φορέα πρόσβασης σε δεδομένα υγείας. Οι υφιστάμενοι φορείς δεοντολογίας των κρατών μελών θα πρέπει να θέτουν την εμπειρογνωσία τους στη διάθεση του φορέα πρόσβασης σε δεδομένα υγείας για τον σκοπό αυτόν. Εναλλακτικά, τα κράτη μέλη θα πρέπει να μπορούν να προβλέψουν ότι οι φορείς δεοντολογίας πρέπει να αποτελούν μέρος του φορέα πρόσβασης σε δεδομένα υγείας. Ο φορέας πρόσβασης σε δεδομένα υγείας και, όπου αρμόζει, οι κάτοχοι δεδομένων υγείας θα πρέπει να βοηθούν τους χρήστες δεδομένων υγείας στην επιλογή των κατάλληλων συνόλων δεδομένων ή πηγών δεδομένων για την προβλεπόμενη χρήση δευτερογενούς χρήσης. Όταν ο αιτών δεδομένα υγείας χρειάζεται δεδομένα σε ανωνυμοποιημένη στατιστική μορφή, θα πρέπει να υποβάλει αίτημα για δεδομένα υγείας, ζητώντας από τον φορέα πρόσβασης σε δεδομένα υγείας να παράσχει απευθείας το αποτέλεσμα. Η άρνηση χορήγησης άδειας δεδομένων από τον φορέα πρόσβασης σε δεδομένα υγείας δεν θα πρέπει να εμποδίζει τον αιτούντα δεδομένα υγείας να υποβάλει νέα αίτηση πρόσβασης σε δεδομένα υγείας. Προκειμένου να διασφαλιστεί εναρμονισμένη προσέγγιση μεταξύ των φορέων πρόσβασης σε δεδομένα υγείας και να περιοριστεί η διοικητική επιβάρυνση για τους αιτούντες δεδομένα υγείας, η Επιτροπή θα πρέπει να στηρίξει την εναρμόνιση των αιτήσεων πρόσβασης σε δεδομένα υγείας, καθώς και των αιτημάτων για δεδομένα υγείας, μεταξύ άλλων θεσπίζοντας τα σχετικά υποδείγματα. Σε αιτιολογημένες περιπτώσεις, όπως στην περίπτωση πολύπλοκου και επαχθούς αιτήματος, θα πρέπει να επιτρέπεται στον φορέα πρόσβασης σε δεδομένα υγείας να παρατείνει τη χρονική περίοδο για τη διάθεση από τους κατόχους δεδομένων υγείας των ζητούμενων ηλεκτρονικών δεδομένων υγείας σε αυτόν.

(74)

Δεδομένου ότι οι πόροι τους είναι περιορισμένοι, θα πρέπει να επιτρέπεται στους φορείς πρόσβασης σε δεδομένα υγείας να εφαρμόζουν κανόνες ιεράρχησης, για παράδειγμα δίνοντας προτεραιότητα στους δημόσιους οργανισμούς έναντι των ιδιωτικών φορέων, αλλά δεν θα πρέπει να κάνουν καμία διάκριση μεταξύ εθνικών οργανισμών και οργανισμών από άλλα κράτη μέλη στο πλαίσιο της ίδιας κατηγορίας προτεραιοτήτων. Ο χρήστης δεδομένων υγείας θα πρέπει να είναι σε θέση να παρατείνει τη διάρκεια της άδειας δεδομένων, προκειμένου, για παράδειγμα, να επιτρέπει στους αξιολογητές επιστημονικών δημοσιεύσεων να έχουν πρόσβαση στα σύνολα δεδομένων ή να καταστήσει δυνατή την πρόσθετη ανάλυση του συνόλου δεδομένων με βάση τα αρχικά ευρήματα. Αυτό θα πρέπει να απαιτούσε τροποποίηση της άδειας δεδομένων και θα μπορούσε να υπόκειται σε πρόσθετο τέλος. Ωστόσο, σε όλες τις περιπτώσεις, αυτές οι πρόσθετες χρήσεις του συνόλου δεδομένων θα πρέπει να αποτυπώνονται στην άδεια δεδομένων. Κατά προτίμηση, ο χρήστης δεδομένων υγείας θα πρέπει να τις αναφέρει στο αρχικές του αιτήσεις πρόσβασης σε δεδομένα υγείας. Προκειμένου να διασφαλιστεί εναρμονισμένη προσέγγιση μεταξύ των φορέων πρόσβασης σε δεδομένα υγείας, η Επιτροπή θα πρέπει να στηρίξει την εναρμόνιση των αδειών δεδομένων.

(75)

Όπως κατέδειξε η κρίση της νόσου COVID-19, τα θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης με νόμιμη εντολή στον τομέα της δημόσιας υγείας, ιδίως η Επιτροπή, χρειάζονται πρόσβαση σε δεδομένα υγείας για μεγαλύτερο χρονικό διάστημα και σε επανειλημμένη βάση. Αυτό μπορεί να ισχύει όχι μόνο για ειδικές περιστάσεις που προβλέπονται στο ενωσιακό ή το εθνικό δίκαιο σε περιόδους κρίσης, αλλά και για την παροχή επιστημονικών στοιχείων και τεχνικής υποστήριξης για τις πολιτικές της Ένωσης σε τακτική βάση. Η πρόσβαση στα εν λόγω δεδομένα θα μπορούσε να απαιτείται σε συγκεκριμένα κράτη μέλη ή σε ολόκληρο το έδαφος της Ένωσης. Τα εν λόγω θεσμικά και λοιπά όργανα και οργανισμοί της Ένωσης θα πρέπει να μπορούν να επωφελούνται από ταχεία διαδικασία για τη διάθεση δεδομένων κανονικά σε λιγότερο από δύο μήνες, με δυνατότητα παράτασης του χρονοδιαγράμματος κατά ένα μήνα σε πιο σύνθετες περιπτώσεις.

(76)

Τα κράτη μέλη θα πρέπει να έχουν τη δυνατότητα να ορίζουν αξιόπιστους κατόχους δεδομένων υγείας για τους οποίους η διαδικασία έκδοσης της άδειας δεδομένων μπορεί να εκτελείται με απλουστευμένο τρόπο, προκειμένου να μετριαστεί η διοικητική επιβάρυνση για τους φορείς πρόσβασης σε δεδομένα υγείας σε σχέση με τη διαχείριση αιτημάτων για τα δεδομένα τα οποία αυτοί επεξεργάζονται. Θα πρέπει να επιτρέπεται στους αξιόπιστους κατόχους δεδομένων υγείας να αξιολογούν τις αιτήσεις πρόσβασης σε δεδομένα υγείας που υποβάλλονται στο πλαίσιο αυτής της απλουστευμένης διαδικασίας, με βάση την εμπειρογνωσία τους όσον αφορά τη διαχείριση του είδους δεδομένων υγείας που επεξεργάζονται, και να εκδίδουν σύσταση σχετικά με άδεια δεδομένων. Ο φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να παραμένει υπεύθυνος για την έκδοση της τελικής άδειας δεδομένων και να μη δεσμεύεται από τη σύσταση που παρέχεται από τον αξιόπιστο κάτοχο δεδομένων υγείας. Οι οντότητες διαμεσολάβησης δεδομένων υγείας δεν θα πρέπει να ορίζονται ως αξιόπιστοι κάτοχοι δεδομένων υγείας.

(77)

Δεδομένης της ευαισθησίας των ηλεκτρονικών δεδομένων υγείας, οι χρήστες δεδομένων υγείας δεν θα πρέπει να έχουν απεριόριστη πρόσβαση στα εν λόγω δεδομένα. Κάθε πρόσβαση στα ζητούμενα ηλεκτρονικά δεδομένα υγείας για δευτερογενή χρήση θα πρέπει να πραγματοποιείται μέσω ασφαλούς περιβάλλοντος επεξεργασίας. Προκειμένου να διασφαλιστεί ότι υπάρχουν ισχυρές τεχνικές εγγυήσεις και εγγυήσεις ασφάλειας για τα ηλεκτρονικά δεδομένα υγείας, ο φορέας πρόσβασης σε δεδομένα υγείας ή, όπου αρμόζει, ο αξιόπιστος κάτοχος δεδομένων υγείας θα πρέπει να παρέχει πρόσβαση στα εν λόγω δεδομένα σε ασφαλές περιβάλλον επεξεργασίας, συμμορφούμενος προς τα υψηλά τεχνικά πρότυπα και τα πρότυπα ασφάλειας που καθορίζονται δυνάμει του παρόντος κανονισμού. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα σε ένα τέτοιο ασφαλές περιβάλλον επεξεργασίας θα πρέπει να συμμορφώνεται με τον κανονισμό (ΕΕ) 2016/679, συμπεριλαμβανομένων, όταν το ασφαλές περιβάλλον επεξεργασίας τελεί υπό τη διαχείριση τρίτου, των απαιτήσεων του άρθρου 28 του εν λόγω κανονισμού και, κατά περίπτωση, του κεφαλαίου V αυτού. Το εν λόγω ασφαλές περιβάλλον επεξεργασίας θα πρέπει να μειώνει τους κινδύνους για την ιδιωτική ζωή που σχετίζονται με τις εν λόγω δραστηριότητες επεξεργασίας και να αποτρέπει τη διαβίβαση των ηλεκτρονικών δεδομένων υγείας απευθείας στους χρήστες δεδομένων υγείας. Ο φορέας πρόσβασης σε δεδομένα υγείας ή ο κάτοχος δεδομένων υγείας που παρέχει την εν λόγω υπηρεσία θα πρέπει να διατηρεί ανά πάσα στιγμή τον έλεγχο της πρόσβασης στα ηλεκτρονικά δεδομένα υγείας και η πρόσβαση που χορηγείται στους χρήστες δεδομένων υγείας θα πρέπει να καθορίζεται από τους όρους της εκδοθείσας άδειας δεδομένων. Από το εν λόγω ασφαλές περιβάλλον επεξεργασίας οι χρήστες δεδομένων υγείας θα πρέπει να τηλεφορτώνουν μόνο μη προσωπικά ηλεκτρονικά δεδομένα υγείας που δεν περιέχουν προσωπικά ηλεκτρονικά δεδομένα υγείας. Ως εκ τούτου, ένα τέτοιο ασφαλές περιβάλλον επεξεργασίας αποτελεί ουσιαστική εγγύηση για τη διαφύλαξη των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των ηλεκτρονικών δεδομένων υγείας τους για δευτερογενή χρήση. Η Επιτροπή θα πρέπει να επικουρεί τα κράτη μέλη στην ανάπτυξη κοινών προτύπων ασφάλειας για την προώθηση της ασφάλειας και της διαλειτουργικότητας των διάφορων ασφαλών περιβαλλόντων επεξεργασίας.

(78)

Ο κανονισμός (ΕΕ) 2022/868 καθορίζει τους γενικούς κανόνες για τη διαχείριση του αλτρουισμού δεδομένων. Δεδομένου ότι ο τομέας της υγείας διαχειρίζεται ευαίσθητα δεδομένα, θα πρέπει να θεσπιστούν πρόσθετα κριτήρια μέσω του εγχειριδίου κανόνων που αναφέρονται στον εν λόγω κανονισμό. Όταν οι εν λόγω κανόνες προβλέπουν τη χρήση ασφαλούς περιβάλλοντος επεξεργασίας για τον εν λόγω τομέα, το εν λόγω ασφαλές περιβάλλον επεξεργασίας θα πρέπει να συμμορφώνεται με τα κριτήρια που καθορίζονται στον παρόντα κανονισμό. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να συνεργάζονται με τις αρμόδιες αρχές που ορίζονται βάσει του κανονισμού (ΕΕ) 2022/868 για την εποπτεία της δραστηριότητας των οργανώσεων αλτρουισμού δεδομένων στον τομέα της υγείας ή της φροντίδας.

(79)

Για την επεξεργασία ηλεκτρονικών δεδομένων υγείας που εμπίπτουν στο πεδίο εφαρμογής άδειας δεδομένων ή αιτήματος για δεδομένα υγείας, οι κάτοχοι δεδομένων υγείας, συμπεριλαμβανομένων των αξιόπιστων κατόχων δεδομένων υγείας, οι φορείς πρόσβασης σε δεδομένα υγείας και οι χρήστες δεδομένων υγείας θα πρέπει, με τη σειρά τους, να θεωρούνται, ο καθένας τους, υπεύθυνοι επεξεργασίας για συγκεκριμένο μέρος της διαδικασίας και σύμφωνα με τους αντίστοιχους ρόλους τους εν προκειμένω. Οι κάτοχοι δεδομένων υγείας θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας για την κοινοποίηση των ζητούμενων προσωπικών ηλεκτρονικών δεδομένων υγείας στους φορείς πρόσβασης σε δεδομένα υγείας, ενώ οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει με τη σειρά τους να θεωρούνται υπεύθυνοι επεξεργασίας για την επεξεργασία των προσωπικών ηλεκτρονικών δεδομένων υγείας κατά την προετοιμασία των δεδομένων και τη διάθεσή τους στους χρήστες δεδομένων υγείας. Οι χρήστες δεδομένων υγείας θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας για την επεξεργασία προσωπικών ηλεκτρονικών δεδομένων υγείας σε ψευδωνυμοποιημένη μορφή στο ασφαλές περιβάλλον επεξεργασίας δυνάμει της άδειας δεδομένων τους. Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να θεωρούνται εκτελούντες την επεξεργασία εκ μέρους του χρήστη δεδομένων υγείας για την επεξεργασία που διενεργείται από τον χρήστη δεδομένων υγείας δυνάμει άδειας δεδομένων στο ασφαλές περιβάλλον επεξεργασίας, καθώς και για την επεξεργασία με σκοπό την παραγωγή απάντησης σε αίτημα για δεδομένα υγείας. Ομοίως, οι αξιόπιστοι κάτοχοι δεδομένων υγείας θα πρέπει να θεωρούνται υπεύθυνοι επεξεργασίας για την επεξεργασία από αυτούς προσωπικών ηλεκτρονικών δεδομένων υγείας που σχετίζεται με την παροχή ηλεκτρονικών δεδομένων υγείας στον χρήστη δεδομένων υγείας δυνάμει άδειας δεδομένων ή αιτήματος για δεδομένα υγείας. Οι αξιόπιστοι κάτοχοι δεδομένων υγείας θα πρέπει να θεωρούνται εκτελούντες την επεξεργασία για τον χρήστη δεδομένων υγείας κατά την παροχή δεδομένων μέσω ασφαλούς περιβάλλοντος επεξεργασίας.

(80)

Προκειμένου να επιτευχθεί ένα βιώσιμο πλαίσιο χωρίς αποκλεισμούς για την πολυκρατική δευτερογενή χρήση, θα πρέπει να δημιουργηθεί μια διασυνοριακή υποδομή («HealthData@EU»). Το HealthData@EU αναμένεται να επιταχύνει τη δευτερογενή χρήση, αυξάνοντας παράλληλα την ασφάλεια δικαίου, με σεβασμό της ιδιωτικής ζωής των φυσικών προσώπων και σε πλαίσιο διαλειτουργικότητας. Λόγω της ευαισθησίας των δεδομένων υγείας, θα πρέπει να τηρούνται, όποτε είναι δυνατόν, αρχές όπως η «προστασία της ιδιωτικής ζωής ήδη από το στάδιο του σχεδιασμού» και η «εξ ορισμού προστασία της ιδιωτικής ζωής» και η έννοια της «διακίνησης των ερωτήσεων προς τα δεδομένα αντί της μεταφοράς των εν λόγω δεδομένων». Τα κράτη μέλη θα πρέπει να ορίσουν εθνικά σημεία επαφής για τη δευτερογενή χρήση, ως οργανωτικές και τεχνικές πύλες για τους φορείς πρόσβασης σε δεδομένα υγείας, και να συνδέσουν τα εν λόγω σημεία επαφής με το HealthData@EU. Η υπηρεσία πρόσβασης σε δεδομένα υγείας της Ένωσης θα πρέπει επίσης να συνδέεται με το HealthData@EU. Επίσης, εξουσιοδοτημένοι συμμετέχοντες στο HealthData@EU θα μπορούσαν να είναι ερευνητικές υποδομές που έχουν συσταθεί ως Κοινοπραξία Ευρωπαϊκής Ερευνητικής Υποδομής (ΚΕΕΥ) βάσει του κανονισμού (ΕΚ) αριθ. 723/2009 του Συμβουλίου (19), ως Κοινοπραξία Ευρωπαϊκής Ψηφιακής Υποδομής (ΚΕΨΥ) βάσει της απόφασης (ΕΕ) 2022/2481 ή παρόμοιες υποδομές που έχουν συσταθεί βάσει άλλων ενωσιακών νομικών πράξεων, καθώς και άλλοι τύποι οντοτήτων, συμπεριλαμβανομένων των υποδομών στο πλαίσιο του Ευρωπαϊκού Στρατηγικού φόρουμ Ερευνητικών Υποδομών (ΕΣΦΕΥ) ή ομοσπονδοποιημένων υποδομών στο πλαίσιο του Ευρωπαϊκού Νέφους Ανοικτής Επιστήμης (ΕΝΑΕ). Τρίτες χώρες και διεθνείς οργανισμοί θα μπορούσαν επίσης να καταστούν εξουσιοδοτημένοι συμμετέχοντες στο HealthData@EU, υπό την προϋπόθεση ότι συμμορφώνονται με τις απαιτήσεις του παρόντος κανονισμού. Η Επιτροπή στην ανακοίνωσή της, της 19ης Φεβρουαρίου 2020, με τίτλο «Ευρωπαϊκή στρατηγική για τα δεδομένα», προώθησε τη σύνδεση των διάφορων κοινών ευρωπαϊκών χώρων δεδομένων. Το HealthData@EU θα πρέπει επομένως να καθιστά δυνατή τη δευτερογενή χρήση διάφορων κατηγοριών ηλεκτρονικών δεδομένων υγείας, συμπεριλαμβανομένης της σύνδεσης των δεδομένων υγείας με δεδομένα από άλλους χώρους δεδομένων, όπως αυτοί που αφορούν το περιβάλλον, τη γεωργία και τον κοινωνικό τομέα. Η εν λόγω διαλειτουργικότητα του τομέα της υγείας με άλλους τομείς, όπως ο περιβαλλοντικός, ο γεωργικός ή ο κοινωνικός τομέας, θα μπορούσε να είναι σημαντική για την απόκτηση πρόσθετων πληροφοριών σχετικά με τους καθοριστικούς παράγοντες για την υγεία. Η Επιτροπή θα μπορούσε να παρέχει ορισμένες υπηρεσίες στο πλαίσιο του HealthData@EU, συμπεριλαμβανομένων της υποστήριξης της ανταλλαγής πληροφοριών μεταξύ των φορέων πρόσβασης σε δεδομένα υγείας και των εξουσιοδοτημένων συμμετεχόντων στο HealthData@EU για τη διεκπεραίωση αιτημάτων διασυνοριακής πρόσβασης, της τήρησης καταλόγων ηλεκτρονικών δεδομένων υγείας που διατίθενται μέσω της υποδομής, της δυνατότητας εντοπισμού δικτύου και των ερωτημάτων μεταδεδομένων, της συνδεσιμότητας και των υπηρεσιών συμμόρφωσης. Η Επιτροπή θα μπορούσε επίσης να δημιουργήσει ασφαλές περιβάλλον επεξεργασίας, το οποίο θα επιτρέπει τη διαβίβαση και την ανάλυση δεδομένων από διάφορες εθνικές υποδομές, κατόπιν αιτήματος των υπευθύνων επεξεργασίας. Για λόγους αποδοτικότητας ΤΠ, εξορθολογισμού και διαλειτουργικότητας των ανταλλαγών δεδομένων, θα πρέπει να επαναχρησιμοποιούνται όσο το δυνατόν περισσότερο τα υφιστάμενα συστήματα κοινοχρησίας δεδομένων, όπως αυτά που δημιουργούνται για την ανταλλαγή αποδεικτικών στοιχείων στο πλαίσιο του τεχνικού συστήματος που βασίζεται στην αρχή «μόνον άπαξ» του κανονισμού (ΕΕ) 2018/1724 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (20).

(81)

Επιπλέον, δεδομένου ότι η σύνδεση με το HealthData@EU θα μπορούσε να συνεπάγεται τη διαβίβαση δεδομένων προσωπικού χαρακτήρα που αφορούν τον αιτούντα ή τον χρήστη δεδομένων υγείας σε τρίτες χώρες, χρειάζεται να υπάρχουν τα σχετικά μέσα διαβίβασης του κεφαλαίου V του κανονισμού (ΕΕ) 2016/679 για τις εν λόγω διαβιβάσεις.

(82)

Στην περίπτωση διασυνοριακών μητρώων ή βάσεων δεδομένων, όπως τα μητρώα των ευρωπαϊκών δικτύων αναφοράς για τις σπάνιες νόσους, τα οποία λαμβάνουν δεδομένα από διαφορετικούς παρόχους υγειονομικής περίθαλψης σε διάφορα κράτη μέλη, ο φορέας πρόσβασης σε δεδομένα υγείας του κράτους μέλους στο οποίο βρίσκεται ο συντονιστής του μητρώου θα πρέπει να είναι υπεύθυνος για την παροχή πρόσβασης σε δεδομένα.

(83)

Η διαδικασία παροχής άδειας για την απόκτηση πρόσβασης σε προσωπικά ηλεκτρονικά δεδομένα υγείας σε διάφορα κράτη μέλη μπορεί να είναι επαναλαμβανόμενη και επαχθής για τους χρήστες δεδομένων υγείας. Όποτε είναι δυνατόν, θα πρέπει να δημιουργηθούν συνέργειες για τη μείωση του φόρτου και των εμποδίων για τους χρήστες δεδομένων υγείας. Ένας τρόπος για να επιτευχθεί αυτός ο στόχος είναι να τηρηθεί η αρχή της «ενιαίας εφαρμογής», σύμφωνα με την οποία, με μία εφαρμογή, ο χρήστης δεδομένων υγείας μπορεί να λάβει άδεια από πολλαπλούς φορείς πρόσβασης σε δεδομένα υγείας σε διαφορετικά κράτη μέλη ή εξουσιοδοτημένους συμμετέχοντες στο HealthData@EU.

(84)

Οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να παρέχουν πληροφορίες σχετικά με τα διαθέσιμα σύνολα δεδομένων και τα χαρακτηριστικά τους, ώστε οι χρήστες δεδομένων υγείας να μπορούν να ενημερώνονται για στοιχειώδεις πληροφορίες σχετικά με το σύνολο δεδομένων και να αξιολογούν την πιθανή συνάφεια των εν λόγω πληροφοριών για τους χρήστες αυτούς. Για τον λόγο αυτόν, κάθε σύνολο δεδομένων θα πρέπει να περιλαμβάνει, τουλάχιστον, πληροφορίες σχετικά με την πηγή και τη φύση των δεδομένων και τις προϋποθέσεις διάθεσης των δεδομένων. Ο κάτοχος δεδομένων υγείας θα πρέπει, τουλάχιστον ετησίως, να ελέγχει αν η περιγραφή του συνόλου δεδομένων του στον εθνικό κατάλογο συνόλων δεδομένων είναι ακριβής και επικαιροποιημένη. Ως εκ τούτου, θα πρέπει να καταρτιστεί κατάλογος συνόλων δεδομένων της ΕΕ για: να διευκολύνεται η δυνατότητα εντοπισμού των συνόλων δεδομένων που είναι διαθέσιμα στον ΕΧΔΥ· να παρέχεται βοήθεια στους κατόχους δεδομένων υγείας για να δημοσιεύουν τα σύνολα δεδομένων τους· να παρέχονται σε όλους τους συμφεροντούχους, συμπεριλαμβανομένου του ευρέος κοινού, λαμβανομένων υπόψη των ειδικών αναγκών των ατόμων με αναπηρία, πληροφορίες σχετικά με τα σύνολα δεδομένων που τοποθετούνται στον ΕΧΔΥ, όπως τα σήματα ποιότητας και χρηστικότητας και τα δελτία πληροφοριών για τα σύνολα δεδομένων· και να παρέχονται στους χρήστες δεδομένων υγείας επικαιροποιημένες πληροφορίες σχετικά με την ποιότητα και τη χρηστικότητα των δεδομένων για τα σύνολα δεδομένων.

(85)

Οι πληροφορίες σχετικά με την ποιότητα και τη χρηστικότητα των συνόλων δεδομένων αυξάνουν σημαντικά την αξία των αποτελεσμάτων από την έρευνα και καινοτομία έντασης δεδομένων, προωθώντας ταυτόχρονα τη λήψη τεκμηριωμένων κανονιστικών αποφάσεων και αποφάσεων πολιτικής. Η βελτίωση της ποιότητας και της χρηστικότητας των συνόλων δεδομένων μέσω τεκμηριωμένων επιλογών των πελατών και η εναρμόνιση των σχετικών απαιτήσεων σε επίπεδο Ένωσης, λαμβανομένων υπόψη των υφιστάμενων ενωσιακών και διεθνών προτύπων, κατευθυντήριων γραμμών και συστάσεων για τη συλλογή δεδομένων και την ανταλλαγή δεδομένων, όπως οι αρχές FAIR, ωφελούν επίσης τους κατόχους δεδομένων υγείας, τους επαγγελματίες υγείας, τα φυσικά πρόσωπα και την οικονομία της Ένωσης συνολικά. Ένα σήμα ποιότητας και χρηστικότητας δεδομένων για σύνολα δεδομένων θα ενημερώνει τους χρήστες δεδομένων υγείας σχετικά με τα χαρακτηριστικά ποιότητας και χρηστικότητας ενός συνόλου δεδομένων και θα τους επιτρέπει να επιλέγουν τα σύνολα δεδομένων που ανταποκρίνονται καλύτερα στις ανάγκες τους. Το σήμα ποιότητας και χρηστικότητας δεδομένων δεν θα πρέπει να εμποδίζει τη διάθεση συνόλων δεδομένων μέσω του ΕΧΔΥ, αλλά να παρέχει ένα μηχανισμό διαφάνειας μεταξύ των κατόχων δεδομένων υγείας και των χρηστών δεδομένων υγείας. Για παράδειγμα, ένα σύνολο δεδομένων που δεν πληροί καμία απαίτηση ποιότητας και χρηστικότητας δεδομένων θα πρέπει να φέρει επισήμανση με την κατηγορία που αντιστοιχεί στη χαμηλότερη ποιότητα και χρηστικότητα, αλλά θα πρέπει να εξακολουθεί να καθίσταται διαθέσιμο. Οι προσδοκίες που καθορίζονται από τα πλαίσια που δημιουργούνται δυνάμει του άρθρου 10 του κανονισμού (ΕΕ) 2024/1689 και η σχετική τεχνική τεκμηρίωση που καθορίζεται στο παράρτημα IV του εν λόγω κανονισμού θα πρέπει να λαμβάνονται υπόψη κατά την κατάρτιση του πλαισίου ποιότητας και χρηστικότητας των δεδομένων. Τα κράτη μέλη θα πρέπει να αυξήσουν την ευαισθητοποίηση σχετικά με το σήμα ποιότητας και χρηστικότητας δεδομένων μέσω δραστηριοτήτων επικοινωνίας. Η Επιτροπή θα μπορούσε να υποστηρίξει αυτές τις δραστηριότητες. Η χρήση συνόλων δεδομένων θα μπορούσε να ιεραρχηθεί από τους χρήστες τους ανάλογα με τη χρησιμότητα και την ποιότητά τους.

(86)

Ο κατάλογος συνόλων δεδομένων της ΕΕ θα πρέπει να ελαχιστοποιεί τη διοικητική επιβάρυνση για τους κατόχους δεδομένων υγείας και άλλους χρήστες βάσεων δεδομένων, να είναι εύχρηστος, προσβάσιμος και οικονομικά αποδοτικός, να συνδέει τους εθνικούς καταλόγους συνόλων δεδομένων και να αποφεύγει τις περιττές καταχωρίσεις συνόλων δεδομένων. Με την επιφύλαξη των απαιτήσεων που ορίζονται στον κανονισμό (ΕΕ) 2022/868, ο κατάλογος συνόλων δεδομένων της ΕΕ θα μπορούσε να εναρμονιστεί με την πρωτοβουλία data.europa.eu. Θα πρέπει να διασφαλιστεί η διαλειτουργικότητα μεταξύ του καταλόγου συνόλων δεδομένων της ΕΕ, των εθνικών καταλόγων συνόλων δεδομένων και των καταλόγων συνόλων δεδομένων από ευρωπαϊκές ερευνητικές υποδομές και άλλες σχετικές υποδομές κοινοχρησίας δεδομένων.

(87)

Η συνεργασία και οι εργασίες συνεχίζονται μεταξύ των διάφορων επαγγελματικών οργανώσεων, της Επιτροπής και άλλων θεσμικών οργάνων για τον καθορισμό ελάχιστων πεδίων δεδομένων και άλλων χαρακτηριστικών των διάφορων συνόλων δεδομένων, για παράδειγμα των μητρώων. Το έργο αυτό έχει προχωρήσει περισσότερο σε τομείς όπως ο καρκίνος, οι σπάνιες νόσοι, οι καρδιαγγειακές και οι μεταβολικές νόσοι, η αξιολόγηση των παραγόντων κινδύνου και οι στατιστικές και θα πρέπει να ληφθεί υπόψη κατά τον καθορισμό νέων προτύπων και εναρμονισμένων υποδειγμάτων για δομημένα στοιχεία δεδομένων ανά νόσο. Ωστόσο, πολλά σύνολα δεδομένων δεν είναι εναρμονισμένα, γεγονός που εγείρει ζητήματα συγκρισιμότητας και δυσχεραίνει τη διασυνοριακή έρευνα. Ως εκ τούτου, θα πρέπει να καθοριστούν λεπτομερέστεροι κανόνες σε εκτελεστικές πράξεις για τη διασφάλιση εναρμονισμένης κωδικοποίησης και καταχώρισης ηλεκτρονικών δεδομένων υγείας, ώστε να καταστεί δυνατή η παροχή των εν λόγω δεδομένων για δευτερογενή χρήση με συνεπή τρόπο. Τα εν λόγω σύνολα δεδομένων θα μπορούσαν να περιλαμβάνουν δεδομένα από μητρώα σπάνιων νόσων, βάσεις δεδομένων για τα ορφανά φάρμακα, μητρώα καρκίνου και μητρώα εξαιρετικά σημαντικών λοιμωδών νόσων. Τα κράτη μέλη θα πρέπει να καταβάλουν προσπάθειες για να διασφαλίσουν ότι τα ευρωπαϊκά συστήματα, υπηρεσίες και διαλειτουργικές εφαρμογές ηλεκτρονικής υγείας επιτυγχάνουν βιώσιμες οικονομικές και κοινωνικές παροχές, ώστε να επιτευχθεί υψηλό επίπεδο εμπιστοσύνης και ασφάλειας, να ενισχυθεί η συνέχεια της υγειονομικής περίθαλψης και να διασφαλιστεί η πρόσβαση σε ασφαλή και ποιοτική υγειονομική περίθαλψη. Οι υφιστάμενες υποδομές και τα μητρώα δεδομένων υγείας μπορούν να παρέχουν μοντέλα που είναι χρήσιμα για τον καθορισμό και την εφαρμογή προτύπων δεδομένων και διαλειτουργικότητας και θα πρέπει να αξιοποιηθούν, ώστε να καταστεί δυνατή η συνέχεια και να αξιοποιηθεί η υφιστάμενη εμπειρογνωσία.

(88)

Η Επιτροπή θα πρέπει να στηρίξει τα κράτη μέλη στην ανάπτυξη ικανοτήτων και στην ενίσχυση της αποτελεσματικότητας στον τομέα των συστημάτων ψηφιακής υγείας για πρωτογενή χρήση και δευτερογενή χρήση. Τα κράτη μέλη θα πρέπει να λάβουν στήριξη για να ενισχύσουν τις ικανότητές τους. Οι δραστηριότητες σε επίπεδο Ένωσης, όπως η συγκριτική αξιολόγηση και η ανταλλαγή βέλτιστων πρακτικών, αποτελούν συναφή μέτρα εν προκειμένω. Οι εν λόγω δραστηριότητες θα πρέπει να λαμβάνουν υπόψη τις ειδικές περιστάσεις των διάφορων κατηγοριών συμφεροντούχων, όπως οι εκπρόσωποι της κοινωνίας των πολιτών, οι ερευνητές, οι ιατρικοί σύλλογοι και οι ΜΜΕ.

(89)

Η βελτίωση των στοιχειωδών γνώσεων ψηφιακής υγείας τόσο για τα φυσικά πρόσωπα όσο και για τους επαγγελματίες υγείας είναι καίριας σημασίας για την εμπιστοσύνη και την ασφάλεια και την κατάλληλη χρήση των δεδομένων υγείας και, επομένως, είναι καίριας σημασίας για την επιτυχή εφαρμογή του παρόντος κανονισμού. Οι επαγγελματίες υγείας βρίσκονται αντιμέτωποι με βαθιές αλλαγές στο πλαίσιο της ψηφιοποίησης και θα τους παρασχεθούν περαιτέρω ψηφιακά εργαλεία στο πλαίσιο της υλοποίησης του ΕΧΔΥ. Συνεπώς, οι επαγγελματίες υγείας χρειάζεται να αναπτύξουν στοιχειώδεις γνώσεις σε θέματα ψηφιακής υγείας και ψηφιακές δεξιότητες και τα κράτη μέλη θα πρέπει να παρέχουν στους επαγγελματίες υγείας πρόσβαση σε μαθήματα ψηφιακού γραμματισμού, ώστε να είναι σε θέση να προετοιμαστούν για να εργαστούν με συστήματα ΗΦΥ. Τα εν λόγω μαθήματα θα πρέπει να επιτρέπουν στους επαγγελματίες υγείας και στους φορείς ΤΠ να λαμβάνουν επαρκή κατάρτιση στην εργασία με νέες ψηφιακές υποδομές για τη διασφάλιση της κυβερνοασφάλειας και της δεοντολογικής διαχείρισης των δεδομένων υγείας. Τα μαθήματα κατάρτισης θα πρέπει να αναπτύσσονται, να επανεξετάζονται και να επικαιροποιούνται τακτικά, σε διαβούλευση και συνεργασία με τους σχετικούς εμπειρογνώμονες. Η βελτίωση των στοιχειωδών γνώσεων ψηφιακής υγείας είναι θεμελιώδους σημασίας για την ενδυνάμωση των φυσικών προσώπων, ώστε να έχουν πραγματικό έλεγχο επί των δεδομένων υγείας τους και να διαχειρίζονται ενεργά την υγεία και τη φροντίδα τους, καθώς και να κατανοούν τις επιπτώσεις της διαχείρισης των εν λόγω δεδομένων τόσο για πρωτογενή χρήση όσο και για δευτερογενή χρήση. Οι διάφορες δημογραφικές ομάδες έχουν διαφορετικό βαθμό ψηφιακού γραμματισμού, γεγονός που μπορεί να επηρεάσει την ικανότητα των φυσικών προσώπων να ασκούν τα οικεία δικαιώματα ελέγχου των ηλεκτρονικών δεδομένων υγείας τους. Ως εκ τούτου, τα κράτη μέλη, συμπεριλαμβανομένων των περιφερειακών και τοπικών αρχών, θα πρέπει να στηρίξουν τις στοιχειώδεις γνώσεις ψηφιακής υγείας και την ενημέρωση του κοινού, διασφαλίζοντας παράλληλα ότι η εφαρμογή του παρόντος κανονισμού συμβάλλει στη μείωση των ανισοτήτων και δεν εισάγει διακρίσεις σε βάρος ατόμων χωρίς ψηφιακές δεξιότητες. Ιδιαίτερη προσοχή θα πρέπει να δοθεί στα άτομα με αναπηρία και στις ευάλωτες ομάδες, συμπεριλαμβανομένων των μεταναστών και των ηλικιωμένων. Τα κράτη μέλη θα πρέπει να δημιουργήσουν στοχευμένα εθνικά προγράμματα ψηφιακού γραμματισμού, συμπεριλαμβανομένων των προγραμμάτων για τη μεγιστοποίηση της κοινωνικής ένταξης και τη διασφάλιση ότι όλα τα φυσικά πρόσωπα μπορούν να ασκούν αποτελεσματικά τα δικαιώματά τους δυνάμει του παρόντος κανονισμού. Τα κράτη μέλη θα πρέπει επίσης να παρέχουν στα φυσικά πρόσωπα καθοδήγηση με επίκεντρο τον ασθενή όσον αφορά τη χρήση ηλεκτρονικών φακέλων υγείας και την πρωτογενή χρήση των προσωπικών ηλεκτρονικών δεδομένων υγείας τους. Η καθοδήγηση θα πρέπει να είναι προσαρμοσμένη στο επίπεδο στοιχειωδών γνώσεων ψηφιακής υγείας του ασθενούς, με ιδιαίτερη προσοχή στις ανάγκες των ευάλωτων ομάδων.

(90)

Η χρήση των κονδυλίων θα πρέπει επίσης να συμβάλλει στην επίτευξη των στόχων του ΕΧΔΥ. Οι αγοραστές του δημόσιου τομέα, οι εθνικές αρμόδιες αρχές στα κράτη μέλη, συμπεριλαμβανομένων των αρχών ψηφιακής υγείας και των φορέων πρόσβασης σε δεδομένα υγείας, και η Επιτροπή θα πρέπει να παραπέμπουν στις εφαρμοστέες τεχνικές προδιαγραφές, πρότυπα και προφίλ σχετικά με τη διαλειτουργικότητα, την ασφάλεια και την ποιότητα δεδομένων, καθώς και σε άλλες απαιτήσεις που καταρτίζονται δυνάμει του παρόντος κανονισμού κατά τον καθορισμό των προϋποθέσεων για τις δημόσιες συμβάσεις, τις προσκλήσεις υποβολής προτάσεων και την κατανομή των κονδυλίων της Ένωσης, συμπεριλαμβανομένων των διαρθρωτικών ταμείων και του Ταμείου Συνοχής. Τα ενωσιακά κονδύλια οφείλεται να κατανέμονται με διαφάνεια μεταξύ των κρατών μελών, λαμβάνοντας υπόψη τα διαφορετικά επίπεδα ψηφιοποίησης των συστημάτων υγείας. Η διάθεση δεδομένων για δευτερογενή χρήση απαιτεί πρόσθετους πόρους για τα συστήματα υγειονομικής περίθαλψης, ιδίως για τα δημόσια συστήματα υγειονομικής περίθαλψης. Η εν λόγω πρόσθετη επιβάρυνση θα πρέπει να αντιμετωπιστεί και να ελαχιστοποιηθεί κατά το στάδιο υλοποίησης του ΕΧΔΥ.

(91)

Η υλοποίηση του ΕΧΔΥ απαιτεί κατάλληλες επενδύσεις στην ανάπτυξη ικανοτήτων και την κατάρτιση, καθώς και επαρκώς χρηματοδοτούμενη δέσμευση για δημόσια διαβούλευση και συμμετοχή τόσο σε επίπεδο Ένωσης όσο και σε εθνικό επίπεδο. Το οικονομικό κόστος της εφαρμογής του παρόντος κανονισμού θα χρειαστεί να καλυφθεί τόσο σε επίπεδο Ένωσης όσο και σε εθνικό επίπεδο και θα χρειαστεί να βρεθεί δίκαιη κατανομή της εν λόγω επιβάρυνσης μεταξύ ενωσιακών και εθνικών ταμείων.

(92)

Ορισμένες κατηγορίες ηλεκτρονικών δεδομένων υγείας μπορούν να παραμείνουν ιδιαίτερα ευαίσθητες, ακόμη και όταν είναι σε ανωνυμοποιημένη μορφή και ως εκ τούτου μη προσωπικού χαρακτήρα, όπως ήδη προβλέπεται ρητά στον κανονισμό (ΕΕ) 2022/868. Ακόμη και όταν χρησιμοποιούνται προηγμένες τεχνικές ανωνυμοποίησης, εξακολουθεί να υπάρχει ο υπολειπόμενος κίνδυνος να είναι ή να καταστεί διαθέσιμη η δυνατότητα απο-ανωνυμοποίησης, πέραν των μέσων που είναι ευλόγως πιθανό να χρησιμοποιηθούν. Ο εν λόγω υπολειπόμενος κίνδυνος υπάρχει σε σχέση με σπάνιες νόσους, τουτέστιν πάθηση απειλητική για τη ζωή ή χρόνια αναπηρία της οποίας τα κρούσματα δεν υπερβαίνουν τα 5 στα 10 χιλιάδες άτομα στην Ένωση, όπου ο περιορισμένος αριθμός κρουσμάτων μειώνει τη δυνατότητα πλήρους συγκέντρωσης των δημοσιευμένων δεδομένων προκειμένου να διαφυλαχθεί η ιδιωτική ζωή των φυσικών προσώπων, με παράλληλη διατήρηση κατάλληλου επιπέδου λεπτομέρειας ώστε να τα δεδομένα να εξακολουθούν να έχουν ουσιαστικό νόημα. Ο εν λόγω υπολειπόμενος κίνδυνος μπορεί να επηρεάσει διάφορες κατηγορίες δεδομένων υγείας και μπορεί να οδηγήσει στην απο-ανωνυμοποίηση των υποκειμένων των δεδομένων με τη χρήση μέσων που υπερβαίνουν εκείνα που είναι ευλόγως πιθανό να χρησιμοποιηθούν. Ένας τέτοιος κίνδυνος εξαρτάται από το επίπεδο λεπτομέρειας, από την περιγραφή των χαρακτηριστικών των υποκειμένων των δεδομένων, από τον αριθμό των κρουσμάτων, για παράδειγμα σε περιπτώσεις δεδομένων που περιλαμβάνονται σε ηλεκτρονικούς φακέλους υγείας, μητρώα νόσων, βιοτράπεζες και δεδομένα που παράγονται από πρόσωπα, όπου το εύρος των χαρακτηριστικών ταυτοποίησης είναι μεγαλύτερο, και από τον δυνατό συνδυασμό με άλλες πληροφορίες, για παράδειγμα σε πολύ μικρές γεωγραφικές περιοχές, ή μέσω της τεχνολογικής εξέλιξης μεθόδων που δεν ήταν διαθέσιμες τη στιγμή της ανωνυμοποίησης. Η εν λόγω απο-ανωνυμοποίηση φυσικών προσώπων θα προκαλούσε σοβαρή ανησυχία και θα ήταν πιθανό να θέσει σε κίνδυνο την αποδοχή των κανόνων για τη δευτερογενή χρήση που προβλέπονται στον παρόντα κανονισμό. Επιπλέον, οι τεχνικές συγκέντρωσης δοκιμάζονται λιγότερο για δεδομένα μη προσωπικού χαρακτήρα που περιέχουν, για παράδειγμα, εμπορικά απόρρητα, όπως στην περίπτωση της υποβολής εκθέσεων σχετικά με κλινικές δοκιμές και κλινικές έρευνες, και η επιβολή της νομοθεσίας σε περιπτώσεις παραβιάσεων εμπορικού απορρήτου εκτός της Ένωσης είναι δυσκολότερη ελλείψει επαρκούς προτύπου διεθνούς προστασίας. Ως εκ τούτου, για αυτές τις κατηγορίες δεδομένων υγείας, εξακολουθεί να υπάρχει κίνδυνος απο-ανωνυμοποίησης μετά την ανωνυμοποίηση ή τη συγκέντρωση, ο οποίος δεν μπορεί ευλόγως να μετριαστεί σε αρχικό στάδιο. Αυτό εμπίπτει στα κριτήρια που προσδιορίζονται στο άρθρο 5 παράγραφος 13 του κανονισμού (ΕΕ) 2022/868. Ως εκ τούτου, αυτά τα είδη δεδομένων υγείας θα ενέπιπταν στην εξουσιοδότηση που προβλέπεται στο άρθρο 5 παράγραφος 13 του εν λόγω κανονισμού για τη διαβίβαση σε τρίτες χώρες. Οι ειδικοί όροι που προβλέπονται βάσει της εξουσιοδότησης που προβλέπεται στο άρθρο 5 παράγραφος 13 του κανονισμού (ΕΕ) 2022/868 θα περιγράφονται λεπτομερώς στο πλαίσιο της κατ’ εξουσιοδότηση πράξης που εκδίδεται βάσει της εν λόγω εξουσιοδότησης και χρειάζεται να είναι αναλογικοί προς τον κίνδυνο απο-ανωνυμοποίησης και να λαμβάνουν υπόψη τις ιδιαιτερότητες των διάφορων κατηγοριών δεδομένων ή των διαφορετικών τεχνικών ανωνυμοποίησης ή συγκέντρωσης.

(93)

Η επεξεργασία μεγάλων όγκων προσωπικών ηλεκτρονικών δεδομένων υγείας για τους σκοπούς του ΕΧΔΥ, ως μέρος των δραστηριοτήτων επεξεργασίας δεδομένων στο πλαίσιο της διεκπεραίωσης αιτήσεων πρόσβασης σε δεδομένα υγείας, αδειών δεδομένων και αιτημάτων για δεδομένα υγείας, συνεπάγεται υψηλότερους κινδύνους μη εξουσιοδοτημένης πρόσβασης στα εν λόγω δεδομένα προσωπικού χαρακτήρα, καθώς και τη δυνατότητα περιστατικών κυβερνοασφάλειας. Τα προσωπικά ηλεκτρονικά δεδομένα υγείας είναι ιδιαίτερα ευαίσθητα, καθώς συχνά περιέχουν προσωπικές πληροφορίες που καλύπτονται από το ιατρικό απόρρητο, η αποκάλυψη των οποίων σε μη εξουσιοδοτημένους τρίτους μπορεί να προκαλέσει σημαντική δυσφορία. Λαμβάνοντας πλήρως υπόψη τις αρχές που περιγράφονται στη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, ο παρών κανονισμός διασφαλίζει τον πλήρη σεβασμό των θεμελιωδών δικαιωμάτων, του δικαιώματος στην ιδιωτική ζωή και της αρχής της αναλογικότητας. Προκειμένου να διασφαλιστεί η πλήρης ακεραιότητα και εμπιστευτικότητα των προσωπικών ηλεκτρονικών δεδομένων υγείας δυνάμει του παρόντος κανονισμού, να εξασφαλιστεί ιδιαίτερα υψηλό επίπεδο προστασίας και ασφάλειας και να μειωθεί ο κίνδυνος παράνομης πρόσβασης στα εν λόγω προσωπικά ηλεκτρονικά δεδομένα υγείας, ο παρών κανονισμός επιτρέπει στα κράτη μέλη να απαιτούν την αποθήκευση και επεξεργασία προσωπικών ηλεκτρονικών δεδομένων υγείας αποκλειστικά εντός της Ένωσης για τον σκοπό της εκτέλεσης των καθηκόντων που προβλέπονται στον παρόντα κανονισμό, εκτός εάν εφαρμόζεται απόφαση επάρκειας που έχει εκδοθεί δυνάμει του άρθρου 45 του κανονισμού (ΕΕ) 2016/679.

(94)

Η πρόσβαση σε ηλεκτρονικά δεδομένα υγείας για τους χρήστες δεδομένων υγείας που είναι εγκατεστημένοι σε τρίτες χώρες ή για διεθνείς οργανισμούς θα πρέπει να πραγματοποιείται μόνο βάσει της αρχής της αμοιβαιότητας. Η διάθεση ηλεκτρονικών δεδομένων υγείας σε τρίτη χώρα θα πρέπει να επιτρέπεται να πραγματοποιηθεί μόνον όταν η Επιτροπή έχει διαπιστώσει, με εκτελεστική πράξη, ότι η οικεία τρίτη χώρα επιτρέπει την πρόσβαση σε ηλεκτρονικά δεδομένα υγείας που προέρχονται από την εν λόγω Τρίτη χώρα από οντότητες της Ένωσης υπό τους ίδιους όρους και με τις ίδιες εγγυήσεις που θα ίσχυαν εάν είχαν πρόσβαση σε ηλεκτρονικά δεδομένα υγείας εντός της Ένωσης. Η Επιτροπή θα πρέπει να παρακολουθεί και να διεξάγει περιοδική επανεξέταση της κατάστασης στις εν λόγω τρίτες χώρες και για διεθνείς οργανισμούς και να καταρτίζει κατάλογο με τις εν λόγω εκτελεστικές πράξεις. Όταν η Επιτροπή διαπιστώνει ότι τρίτη χώρα δεν εξασφαλίζει πλέον πρόσβαση υπό τους ίδιους όρους, θα πρέπει να ανακαλεί την αντίστοιχη εκτελεστική πράξη.

(95)

Για την προώθηση της συνεπούς εφαρμογής του παρόντος κανονισμού, μεταξύ άλλων όσον αφορά τη διασυνοριακή διαλειτουργικότητα των ηλεκτρονικών δεδομένων υγείας, θα πρέπει να συσταθεί συμβούλιο του Ευρωπαϊκού Χώρου Δεδομένων Υγείας. Η Επιτροπή θα πρέπει να συμμετέχει στις δραστηριότητές του και να συμπροεδρεύει σε αυτό. Το συμβούλιο του ΕΧΔΥ θα πρέπει να μπορεί να εκδίδει γραπτές εισηγήσεις σχετικά με τη συνεπή εφαρμογή του παρόντος κανονισμού σε ολόκληρη την Ένωση, μεταξύ άλλων βοηθώντας τα κράτη μέλη να συντονίσουν τη χρήση των ηλεκτρονικών δεδομένων υγείας για την υγειονομική περίθαλψη και την πιστοποίηση, αλλά και όσον αφορά τη δευτερογενή χρήση, καθώς και τη χρηματοδότηση των δραστηριοτήτων αυτών. Αυτό θα μπορούσε επίσης να περιλαμβάνει την ανταλλαγή πληροφοριών σχετικά με κινδύνους και περιστατικά στα ασφαλή περιβάλλοντα επεξεργασίας. Η εν λόγω ανταλλαγή αυτού του είδους πληροφοριών δεν επηρεάζει τις υποχρεώσεις που απορρέουν από άλλες νομικές πράξεις, όπως οι κοινοποιήσεις παραβιάσεων δεδομένων κατά τον κανονισμό (ΕΕ) 2016/679. Γενικότερα, οι δραστηριότητες του συμβουλίου του ΕΧΔΥ δεν θίγουν τις εξουσίες των εποπτικών αρχών δυνάμει του κανονισμού (ΕΕ) 2016/679. Δεδομένου ότι, σε εθνικό επίπεδο, οι αρχές ψηφιακής υγείας που ασχολούνται με την πρωτογενή χρήση μπορεί να διαφέρουν από τους φορείς πρόσβασης σε δεδομένα υγείας που ασχολούνται με τη δευτερογενή χρήση, οι λειτουργίες είναι διαφορετικές και υπάρχει ανάγκη για διακριτή συνεργασία σε καθέναν από αυτούς τους τομείς, το συμβούλιο του ΕΧΔΥ θα πρέπει να είναι σε θέση να συγκροτεί υποομάδες που θα ασχολούνται με τις δύο αυτές λειτουργίες, καθώς και άλλες υποομάδες, ανάλογα με τις ανάγκες. Προκειμένου να υφίσταται μια αποτελεσματική μέθοδος εργασίας, οι αρχές ψηφιακής υγείας και οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να δημιουργήσουν δίκτυα και συνδέσμους σε εθνικό επίπεδο με άλλους φορείς και αρχές, αλλά και σε επίπεδο Ένωσης. Οι εν λόγω φορείς θα μπορούσαν να περιλαμβάνουν αρχές προστασίας δεδομένων, φορείς κυβερνοασφάλειας, ηλεκτρονικής ταυτοποίησης και τυποποίησης, καθώς και φορείς και ομάδες εμπειρογνωμόνων κατά τους κανονισμούς (ΕΕ) 2022/868, (ΕΕ) 2023/2854 και (ΕΕ) 2024/1689 και τον κανονισμό (ΕΕ) 2019/881 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (21). Το συμβούλιο του ΕΧΔΥ θα πρέπει να λειτουργεί ανεξάρτητα, προς το δημόσιο συμφέρον και σε συμφωνία με τον κώδικα δεοντολογίας του.

(96)

Όταν συζητούνται ζητήματα που θεωρούνται από το συμβούλιο του ΕΧΔΥ ότι είναι ιδιαίτερης σημασίας, θα πρέπει να έχει τη δυνατότητα να προσκαλεί παρατηρητές, για παράδειγμα τον ΕΕΠΔ, εκπροσώπους των θεσμικών οργάνων της Ένωσης, συμπεριλαμβανομένου του Ευρωπαϊκού Κοινοβουλίου, και άλλους συμφεροντούχους.

(97)

Θα πρέπει να συσταθεί φόρουμ συμφεροντούχων το οποίο θα παρέχει συμβουλές στο συμβούλιο του ΕΧΔΥ κατά την εκπλήρωση των καθηκόντων του, εισφέροντας τις εισηγήσεις των συμφεροντούχων επί θεμάτων που αφορούν τον παρόντα κανονισμό. Το φόρουμ συμφεροντούχων θα πρέπει να απαρτίζεται, μεταξύ άλλων, από εκπροσώπους οργανώσεων ασθενών και καταναλωτών, επαγγελματιών υγείας, του κλάδου, επιστημονικών ερευνητών και της ακαδημαϊκής κοινότητας. Θα πρέπει να έχει ισορροπημένη σύνθεση και να εκπροσωπεί τις απόψεις των διάφορων σχετικών συμφεροντούχων. Θα πρέπει να εκπροσωπούνται τόσο τα εμπορικά όσο και τα μη εμπορικά συμφέροντα.

(98)

Για τη διασφάλιση της καθημερινής διαχείρισης των διασυνοριακών υποδομών για την πρωτογενή χρήση και τη δευτερογενή χρήση, είναι αναγκαίο να δημιουργηθούν συντονιστικές ομάδες αποτελούμενες από εκπροσώπους των κρατών μελών. Αυτές οι συντονιστικές ομάδες θα πρέπει να λαμβάνουν επιχειρησιακές αποφάσεις σχετικά με την τεχνική καθημερινή διαχείριση των διασυνοριακών υποδομών και την τεχνική τους ανάπτυξη, μεταξύ άλλων σχετικά με τεχνικές αλλαγές στις υποδομές, τη βελτίωση των λειτουργιών ή των υπηρεσιών ή τη διασφάλιση της διαλειτουργικότητας με άλλες υποδομές, ψηφιακά συστήματα ή χώρους δεδομένων. Οι δραστηριότητές τους δεν θα πρέπει να περιλαμβάνουν τη συμβολή στην ανάπτυξη εκτελεστικών πράξεων που επηρεάζουν τις εν λόγω υποδομές. Οι συντονιστικές ομάδες θα πρέπει να μπορούν επίσης να προσκαλούν εκπροσώπους άλλων εξουσιοδοτημένων συμμετεχόντων στο HealthData@EU ως παρατηρητές στις συνεδριάσεις τους και θα πρέπει να διαβουλεύονται με σχετικούς εμπειρογνώμονες κατά την εκτέλεση των καθηκόντων τους.

(99)

Με την επιφύλαξη οποιασδήποτε άλλης διοικητικής, δικαστικής ή μη δικαστικής προσφυγής, κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε αρχή ψηφιακής υγείας ή φορέα πρόσβασης σε δεδομένα υγείας, εάν το φυσικό ή νομικό πρόσωπο θεωρεί ότι έχουν θιγεί τα δικαιώματα ή συμφέροντά του κατά τον παρόντα κανονισμό. Η έρευνα κατόπιν καταγγελίας θα πρέπει να διενεργείται, με την επιφύλαξη δικαστικού ελέγχου, στον βαθμό που ενδείκνυται στη συγκεκριμένη περίπτωση. Η αρχή ψηφιακής υγείας ή ο φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να ενημερώνει το φυσικό ή νομικό πρόσωπο για την πρόοδο και την έκβαση της καταγγελίας εντός εύλογου χρονικού διαστήματος. Εάν η υπόθεση απαιτεί περαιτέρω έρευνα ή συντονισμό με άλλη αρχή ψηφιακής υγείας ή φορέα πρόσβασης σε δεδομένα υγείας, θα πρέπει να παρέχονται στο φυσικό ή νομικό πρόσωπο πληροφορίες για την πρόοδο που επιτεύχθηκε σχετικά με την επεξεργασία της καταγγελίας. Για να διευκολυνθεί η υποβολή καταγγελιών, κάθε αρχή ψηφιακής υγείας και κάθε φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να λαμβάνουν μέτρα, όπως η παροχή εντύπου υποβολής καταγγελιών, το οποίο μπορεί επίσης να συμπληρωθεί ηλεκτρονικά, χωρίς να αποκλείεται η δυνατότητα χρήσης άλλων μέσων επικοινωνίας. Όταν η καταγγελία αφορά τα δικαιώματα φυσικών προσώπων που σχετίζονται με την προστασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, η αρχή ψηφιακής υγείας ή ο φορέας πρόσβασης σε δεδομένα υγείας θα πρέπει να διαβιβάζει την καταγγελία στις εποπτικές αρχές του κανονισμού (ΕΕ) 2016/679. Οι αρχές ψηφιακής υγείας ή οι φορείς πρόσβασης σε δεδομένα υγείας θα πρέπει να συνεργάζονται χωρίς αδικαιολόγητη καθυστέρηση για τον χειρισμό και την επίλυση καταγγελιών, μεταξύ άλλων με την ανταλλαγή όλων των σχετικών πληροφοριών με ηλεκτρονικά μέσα.

(100)

Όταν ένα φυσικό πρόσωπο θεωρεί ότι έχουν παραβιαστεί τα δικαιώματά του κατά τον παρόντα κανονισμό, θα πρέπει να έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή ένωση που έχει συσταθεί σύμφωνα με το εθνικό δίκαιο, έχει καταστατικούς σκοπούς που εξυπηρετούν το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα να υποβάλει καταγγελία εξ ονόματός του.

(101)

Η αρχή ψηφιακής υγείας, ο φορέας πρόσβασης σε δεδομένα υγείας, ο κάτοχος δεδομένων υγείας ή ο χρήστης δεδομένων υγείας θα πρέπει να αποζημιώνει κάθε ζημία που υφίσταται ένα φυσικό ή νομικό πρόσωπο ως αποτέλεσμα παράβασης του παρόντος κανονισμό. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. Αυτό ισχύει με την επιφύλαξη τυχόν αξιώσεων αποζημίωσης που απορρέουν από την παραβίαση άλλων διατάξεων του ενωσιακού ή του εθνικού δικαίου. Τα φυσικά πρόσωπα θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν.

(102)

Για να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, θα πρέπει να επιβάλλονται κυρώσεις, συμπεριλαμβανομένων διοικητικών προστίμων, για κάθε παράβαση του παρόντος κανονισμού, επιπλέον ή αντί των κατάλληλων μέτρων που επιβάλλονται από φορείς πρόσβασης σε δεδομένα υγείας δυνάμει του παρόντος κανονισμού. Η επιβολή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να υπόκειται σε κατάλληλες διαδικαστικές εγγυήσεις σύμφωνα με τις γενικές αρχές του ενωσιακού δικαίου και του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, συμπεριλαμβανομένων της αποτελεσματικής δικαστικής προστασίας και της ορθής διαδικασίας.

(103)

Είναι σκόπιμο να θεσπιστούν διατάξεις που θα επιτρέπουν στους φορείς πρόσβασης σε δεδομένα υγείας να επιβάλλουν διοικητικά πρόστιμα για ορισμένες παραβάσεις του παρόντος κανονισμού οι οποίες στο πλαίσιο του παρόντος κανονισμού θα πρέπει να θεωρούνται σοβαρές παραβάσεις, όπως η απο-ανωνυμοποίηση φυσικών προσώπων, η τηλεφόρτωση προσωπικών ηλεκτρονικών δεδομένων υγείας εκτός του ασφαλούς περιβάλλοντος επεξεργασίας ή η επεξεργασία δεδομένων για απαγορευμένες χρήσεις ή χρήσεις που δεν καλύπτονται από άδεια δεδομένων. Ο παρών κανονισμός θα πρέπει να προσδιορίζει τις εν λόγω παραβάσεις και το ανώτατο όριο και τα κριτήρια για τον καθορισμό των σχετικών διοικητικών προστίμων, τα οποία θα πρέπει να καθορίζονται από τον αρμόδιο φορέα πρόσβασης σε δεδομένα υγείας σε κάθε μεμονωμένη περίπτωση, αφού ληφθούν υπόψη όλες οι συναφείς περιστάσεις της συγκεκριμένης κατάστασης, με τη δέουσα προσοχή ειδικότερα στη φύση, τη βαρύτητα και τη διάρκεια της παράβασης και των συνεπειών της και τα μέτρα που λαμβάνονται για τη διασφάλιση της συμμόρφωσης με τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό και για την πρόληψη ή τον μετριασμό των συνεπειών της παράβασης. Για τους σκοπούς της επιβολής διοικητικών προστίμων βάσει του παρόντος κανονισμού, η έννοια της επιχείρησης θα πρέπει να νοείται σύμφωνα με τα άρθρα 101 και 102 ΣΛΕΕ. Θα πρέπει να εναπόκειται στα κράτη μέλη να αποφασίζουν εάν και σε ποιο βαθμό μπορούν να επιβάλλονται διοικητικά πρόστιμα σε δημόσιες αρχές. Η επιβολή διοικητικού προστίμου ή η προειδοποίηση δεν θα πρέπει να επηρεάζει την επιβολή άλλων εξουσιών των φορέων πρόσβασης σε δεδομένα υγείας ή την επιβολή άλλων κυρώσεων δυνάμει του παρόντος κανονισμού.

(104)

Προκειμένου να διασφαλιστεί ο ότι ο ΕΧΔΥ επιτυγχάνει τους στόχους του, θα πρέπει να ανατεθεί στην Επιτροπή η εξουσία έκδοσης πράξεων σύμφωνα με το άρθρο 290 ΣΛΕΕ όσον αφορά την τροποποίηση, την προσθήκη ή την κατάργηση στο παράρτημα I των κύριων χαρακτηριστικών των κατηγοριών προτεραιότητας προσωπικών ηλεκτρονικών δεδομένων υγείας, του καταλόγου των αιτούμενων δεδομένων που εισάγονται από τους κατασκευαστές συστημάτων ΗΦΥ και εφαρμογών ευεξίας στη βάση δεδομένων της ΕΕ για την καταχώριση συστημάτων ΗΦΥ και εφαρμογών ευεξίας, καθώς και την τροποποίηση, την προσθήκη ή την κατάργηση στοιχείων που πρόκειται να καλύπτονται από το σήμα ποιότητας και χρηστικότητας δεδομένων, Είναι ιδιαίτερα σημαντικό η Επιτροπή να διεξάγει, κατά τις προπαρασκευαστικές της εργασίες, τις κατάλληλες διαβουλεύσεις, μεταξύ άλλων σε επίπεδο εμπειρογνωμόνων, και οι διαβουλεύσεις αυτές να πραγματοποιούνται σύμφωνα με τις αρχές που ορίζονται στη διοργανική συμφωνία της 13ης Απριλίου 2016 για τη βελτίωση του νομοθετικού έργου (22). Πιο συγκεκριμένα, προκειμένου να διασφαλιστεί η ίση συμμετοχή στην προετοιμασία των κατ’ εξουσιοδότηση πράξεων, το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο λαμβάνουν όλα τα έγγραφα κατά τον ίδιο χρόνο με τους εμπειρογνώμονες των κρατών μελών, και οι εμπειρογνώμονές τους έχουν συστηματικά πρόσβαση στις συνεδριάσεις των ομάδων εμπειρογνωμόνων της Επιτροπής που ασχολούνται με την προετοιμασία κατ’ εξουσιοδότηση πράξεων.

(105)

Προκειμένου να διασφαλιστούν ενιαίες προϋποθέσεις για την εφαρμογή του παρόντος κανονισμού, θα πρέπει να ανατεθούν στην Επιτροπή εκτελεστικές αρμοδιότητες σχετικά με:

Οι εν λόγω αρμοδιότητες θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (23).

(106)

Τα κράτη μέλη θα πρέπει να λαμβάνουν όλα τα αναγκαία μέτρα για να εξασφαλίζουν την εφαρμογή των διατάξεων του παρόντος κανονισμού, μεταξύ άλλων θεσπίζοντας αποτελεσματικές, αναλογικές και αποτρεπτικές ποινές για την παράβασή τους. Κατά τη λήψη απόφασης σχετικά με το ύψος της ποινής για κάθε μεμονωμένη περίπτωση, τα κράτη μέλη θα πρέπει να λαμβάνουν υπόψη τους περιορισμούς και τα κριτήρια που καθορίζονται στον παρόντα κανονισμό. Η απο-ανωνυμοποίηση των φυσικών προσώπων θα πρέπει να θεωρείται σοβαρή παραβίαση του παρόντος κανονισμού.

(107)

Η υλοποίηση του ΕΧΔΥ θα απαιτήσει σημαντικές εργασίες ανάπτυξης σε όλα τα κράτη μέλη και τις κεντρικές υπηρεσίες. Για την παρακολούθηση της προόδου που έχει επιτευχθεί σχετικά, η Επιτροπή θα πρέπει, μέχρι την πλήρη εφαρμογή του παρόντος κανονισμού, να υποβάλλει ετήσια έκθεση σχετικά με την πρόοδο αυτή, λαμβάνοντας υπόψη τις πληροφορίες που παρέχουν τα κράτη μέλη. Οι εκθέσεις αυτές θα μπορούσαν να περιλαμβάνουν συστάσεις για διορθωτικά μέτρα, καθώς και αξιολόγηση της προόδου που σημειώνεται.

(108)

Προκειμένου να εκτιμηθεί αν ο παρών κανονισμός επιτυγχάνει τους στόχους του αποτελεσματικά και αποδοτικά, αν είναι συνεκτικός και παραμένει συναφής και παρέχει προστιθέμενη αξία σε επίπεδο Ένωσης, η Επιτροπή θα πρέπει να διενεργήσει αξιολόγηση του παρόντος κανονισμού. Η Επιτροπή θα πρέπει να διενεργήσει στοχευμένη αξιολόγηση του παρόντος κανονισμού εντός οκτώ ετών από την έναρξη ισχύος του και συνολική αξιολόγηση εντός 10 ετών από την έναρξη ισχύος του. Η Επιτροπή θα πρέπει να υποβάλλει εκθέσεις σχετικά με τα κύρια πορίσματά της έπειτα από κάθε αξιολόγηση στο Ευρωπαϊκό Κοινοβούλιο, στο Συμβούλιο, στην Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή και στην Επιτροπή των Περιφερειών.

(109)

Για την επιτυχή διασυνοριακή υλοποίηση του ΕΧΔΥ, το ευρωπαϊκό πλαίσιο διαλειτουργικότητας, το πεδίο εφαρμογής του οποίου έχει επικαιροποιηθεί και παραταθεί από την ανακοίνωση της Επιτροπής της 23ης Μαρτίου 2017 με τίτλο «Ευρωπαϊκό πλαίσιο διαλειτουργικότητας — Στρατηγική εφαρμογής» για να συμπεριλάβει νέες ή αναθεωρημένες απαιτήσεις διαλειτουργικότητας, θα πρέπει να θεωρείται κοινό σημείο αναφοράς για τη διασφάλιση της νομικής, οργανωτικής, σημασιολογικής και τεχνικής διαλειτουργικότητας.

(110)

Δεδομένου ότι οι στόχοι του παρόντος κανονισμού, δηλαδή η ενδυνάμωση των φυσικών προσώπων με την παροχή σε αυτά αυξημένου ελέγχου επί των προσωπικών ηλεκτρονικών δεδομένων υγείας τους και τη στήριξη της ελευθερίας της κυκλοφορίας τους, μέσω της διασφάλισης του ότι τα δεδομένα υγείας τους τα ακολουθούν, η προώθηση μιας πραγματικής εσωτερικής αγοράς για τις υπηρεσίες και τα προϊόντα ψηφιακής υγείας και η διασφάλιση συνεκτικού και αποτελεσματικού πλαισίου για την περαιτέρω χρήση των δεδομένων υγείας φυσικών προσώπων για σκοπούς έρευνας, καινοτομίας, χάραξης πολιτικής και ρυθμιστικών δραστηριοτήτων, δεν μπορούν να επιτευχθούν επαρκώς από τα κράτη μέλη, μόνο μέσω μέτρων συντονισμού, όπως καταδεικνύεται από την αξιολόγηση των ψηφιακών πτυχών της οδηγίας 2011/24/ΕΕ, αλλά μπορούν, λόγω της εναρμόνισης των μέτρων για τα δικαιώματα των φυσικών προσώπων σε σχέση με τα ηλεκτρονικά δεδομένα υγείας τους, της διαλειτουργικότητας των ηλεκτρονικών δεδομένων υγείας και ενός κοινού πλαισίου και εγγυήσεων για την πρωτογενή χρήση και τη δευτερογενή χρήση, να επιτευχθούν καλύτερα σε επίπεδο Ένωσης, η Ένωση μπορεί να θεσπίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας, όπως ορίζεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας όπως διατυπώνεται στο ίδιο άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη των στόχων αυτών.

(111)

Η αξιολόγηση των ψηφιακών πτυχών της οδηγίας 2011/24/ΕΕ δείχνει ότι η αποτελεσματικότητα του δικτύου eHealth είναι περιορισμένη, αλλά και ότι υπάρχουν μεγάλες δυνατότητες για να επιτελεστεί έργο σε ενωσιακό επίπεδο στον τομέα της ψηφιακής υγείας, όπως καταδεικνύεται από το έργο που επιτελέστηκε κατά τη διάρκεια της πανδημίας της COVID-19. Ως εκ τούτου, η οδηγία 2011/24/ΕΕ θα πρέπει να τροποποιηθεί αναλόγως.

(112)

Ο παρών κανονισμός συμπληρώνει τις βασικές απαιτήσεις κυβερνοασφάλειας που ορίζονται στον κανονισμό (ΕΕ) 2024/2847. Τα συστήματα ηλεκτρονικών φακέλων υγείας τα οποία είναι προϊόντα με ψηφιακά στοιχεία κατά την έννοια του κανονισμού (ΕΕ) 2024/2847 θα πρέπει, ως εκ τούτου, να συμμορφώνονται επίσης με τις βασικές απαιτήσεις κυβερνοασφάλειας που ορίζονται στον εν λόγω κανονισμό. Οι κατασκευαστές των εν λόγω συστημάτων ηλεκτρονικών φακέλων υγείας θα πρέπει να αποδεικνύουν τη συμμόρφωση όπως απαιτείται από τον παρόντα κανονισμό. Για τη διευκόλυνση της εν λόγω συμμόρφωσης, θα πρέπει να επιτρέπεται στους κατασκευαστές να καταρτίζουν ενιαίο σύνολο τεχνικών φακέλων το οποίο περιέχει τα στοιχεία που απαιτούνται από αμφότερες τις νομικές πράξεις. Θα πρέπει να είναι δυνατή η απόδειξη της συμμόρφωσης των συστημάτων ΗΦΥ με τις βασικές απαιτήσεις κυβερνοασφάλειας που ορίζονται στον κανονισμό (ΕΕ) 2024/2847 μέσω του πλαισίου αξιολόγησης του παρόντος κανονισμού. Ωστόσο, δεν θα πρέπει να εφαρμόζονται τα μέρη της διαδικασίας αξιολόγησης της συμμόρφωσης βάσει του παρόντος κανονισμού τα οποία έχουν σχέση με τη χρήση των περιβαλλόντων δοκιμών, δεδομένου ότι τα εν λόγω περιβάλλοντα δοκιμών δεν επιτρέπουν αξιολόγηση της συμμόρφωσης με τις βασικές απαιτήσεις κυβερνοασφάλειας. Δεδομένου ότι ο κανονισμός (ΕΕ) 2024/2847 δεν καλύπτει το λογισμικό ως υπηρεσία (SaaS) καθαυτό, συστήματα ΗΦΥ που προσφέρονται μέσω του μοντέλου αδειοδότησης και παράδοσης SaaS δεν εμπίπτουν στο πεδίο εφαρμογής του εν λόγω κανονισμού. Ομοίως, τα συστήματα ΗΦΥ που αναπτύσσονται και χρησιμοποιούνται εσωτερικά δεν εμπίπτουν στο πεδίο εφαρμογής του εν λόγω κανονισμού, καθώς δεν διατίθενται στην αγορά.

(113)

Πραγματοποιήθηκε διαβούλευση, σύμφωνα με το άρθρο 42 παράγραφοι 1 και 2 του κανονισμού (ΕΕ) 2018/1725, με τον ΕΕΠΔ και το ΕΣΠΔ, τα οποία εξέδωσαν την κοινή γνώμη τους στις 12 Ιουλίου 2022.

(114)

Ο παρών κανονισμός δεν θα πρέπει να θίγει την εφαρμογή των κανόνων ανταγωνισμού, ιδίως των άρθρων 101 και 102 ΣΛΕΕ. Τα μέτρα που προβλέπονται στον παρόντα κανονισμό δεν θα πρέπει να χρησιμοποιούνται για τον περιορισμό του ανταγωνισμού κατά τρόπο αντίθετο προς τη ΣΛΕΕ.

(115)

Δεδομένης της ανάγκης για τεχνική προετοιμασία, ο παρών κανονισμός θα πρέπει να εφαρμοστεί από τις 26 Μαρτίου 2027. Για να υποστηριχθούν η επιτυχής υλοποίηση του ΕΧΔΥ και η δημιουργία ευνοϊκών συνθηκών για την ευρωπαϊκή συνεργασία στον τομέα των δεδομένων υγείας, η υλοποίησή του θα πρέπει να γίνει σταδιακά,