(1)

Käesoleva määruse eesmärk on luua Euroopa terviseandmeruum, et parandada füüsiliste isikute juurdepääsu oma isikustatud elektroonilistele terviseandmetele ja nende kontrolli nimetatud andmete üle tervishoiu kontekstis ning paremini saavutada muid ühiskonna huvides olevaid tervishoiu- või hooldussektori eesmärke, mis hõlmavad elektrooniliste terviseandmete kasutamist, nagu teadusuuringud, innovatsioon, poliitikakujundamine, terviseohtudeks valmisolek ja neile reageerimine, sealhulgas tulevaste pandeemiate ennetamine ja nendega toimetulek, patsiendi ohutus, personaalmeditsiin, ametlik statistika või regulatiivne tegevus. Lisaks on käesoleva määruse eesmärk parandada siseturu toimimist, kehtestades ühtse õigus- ja tehnilise raamistiku eelkõige tervisevaldkonna infosüsteemide arendamiseks, turustamiseks ja kasutamiseks kooskõlas liidu väärtustega. Euroopa terviseandmeruum on oluline komponent tugeva ja vastupidava Euroopa terviseliidu loomisel.

(2)

COVID-19 pandeemia näitas selgelt, kui tähtis on kiire juurdepääs kvaliteetsetele elektroonilistele terviseandmetele, et olla terviseohtudeks valmis ja neile reageerida, neid ennetada, võimaldada diagnoosimist ja ravi ning selliste elektrooniliste terviseandmete teisest kasutust. Selline kiire juurdepääs võib tõhusa rahvatervise seire ja järelevalve kaudu aidata tulevaste pandeemiatega paremini toime tulla, vähendada kulusid ja parandada terviseohtudele reageerimist ning võib lõppkokkuvõttes aidata päästa rohkem inimelusid. 2020. aastal kohandas komisjon kiiresti oma rakendusotsusega (EL) 2019/1269 (4) loodud patsiendi kliiniliste andmete haldamise süsteemi, et võimaldada liikmesriikidel jagada pandeemia haripunktis tervishoiuteenuse osutajate ja liikmesriikide vahel liikuvate COVID-19 patsientide elektroonilisi terviseandmeid. Ent selline kohandamine oli aga vaid erakorraline lahendus, mis näitas, et liikmesriikide ja liidu tasandil on vaja struktuurset ja ühtset lähenemisviisi, nii selleks, et parandada elektrooniliste terviseandmete kättesaadavust tervishoiuteenuste osutamiseks, kui ka selleks, et lihtsustada juurdepääsu elektroonilistele terviseandmetele, et kujundada tulemuslikke poliitikameetmeid ja aidata kaasa inimeste tervise kõrgetele standarditele.

(3)

COVID-19 kriisi ajal kujutas e-tervise võrgustiku – mis on digitervishoiu eest vastutavate asutuste vabatahtlik võrgustik – töö endast kindlalt peamist tugisammast mobiilseadmete kontaktijälgimis- ja kontaktihoiatusrakenduste ning ELi digitaalsete COVID-tõendite tehniliste aspektide väljatöötamisel. Samuti osutas kriis vajadusele jagada elektroonilisi terviseandmeid, mis on leitavad, juurdepääsetavad, koostalitlusvõimelised ja taaskasutatavad (FAIR-põhimõtetele vastavad), ning tagada, et juurdepääs elektroonilistele terviseandmetele oleks nii avatud kui võimalik, järgides seejuures Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 (5) sätestatud võimalikult väheste andmete kogumise põhimõtet. Tagada tuleks koostoime Euroopa terviseandmeruumi, Euroopa avatud teaduse pilve ja Euroopa teadustaristute vahel ning arvesse tuleks võtta Euroopa COVID-19 andmeplatvormi raames välja töötatud andmejagamislahendustest saadud kogemusi.

(4)

Kuna isikustatud elektroonilised terviseandmed on tundlikud, püütakse käesoleva määrusega näha ette piisavad kaitsemeetmed nii liidu kui ka liikmesriikide tasandil, et tagada andmekaitse, turvalisuse, konfidentsiaalsuse ja eetilise kasutamise kõrge tase. Sellised kaitsemeetmed on vajalikud, et suurendada usaldust füüsiliste isikute elektrooniliste terviseandmete ohutu käitlemise vastu käesolevas määruses määratletud esmaseks kasutuseks ja teiseseks kasutuseks.

(5)

Isikustatud elektrooniliste terviseandmete töötlemise suhtes kohaldatakse määruse (EL) 2016/679 sätteid ning liidu institutsioonide, organite ja asutuste puhul Euroopa Parlamendi ja nõukogu määrust (EL) 2018/1725 (6). Viiteid määruse (EL) 2016/679 sätetele tuleks liidu institutsioonide, organite ja asutuste puhul käsitada ka viidetena määruse (EL) 2018/1725 vastavatele sätetele, kui see on asjakohane.

(6)

Üha enam liidus elavaid inimesi ületab riigipiire, et töötada, õppida, külastada sugulasi või muul põhjusel. Terviseandmete vahetamise hõlbustamiseks ja kooskõlas vajadusega kodanikke võimestada peaks neil olema juurdepääs oma terviseandmetele elektroonilisel kujul, mida on võimalik tunnustada ja aktsepteerida kogu liidus. Sellised isikustatud elektroonilised terviseandmed võivad hõlmata füüsilise isiku füüsilise või vaimse tervisega seotud isikuandmeid, sealhulgas seoses osutatud tervishoiuteenustega, mis annavad teavet selle füüsilise isiku tervisliku seisundi kohta, isikuandmeid füüsilise isiku päritud või omandatud geneetiliste omaduste kohta, mis annavad ainulaadset teavet selle füüsilise isiku füsioloogia või tervise kohta ja mis on saadud eelkõige asjaomase füüsilise isiku bioloogilise proovi analüüsist, ning andmeid tervist mõjutavate tegurite kohta, nagu käitumine, keskkonna- ja füüsiline mõju, ravi, sotsiaalsed või hariduslikud tegurid. Elektroonilised terviseandmed hõlmavad ka andmeid, mida on algselt kogutud teadusuuringute, statistika, terviseohtude hindamise või poliitikakujundamise jaoks või regulatiivsetel eesmärkidel ja neid peaks olema võimalik teha kättesaadavaks käesolevas määruses sätestatud reeglite kohaselt. Elektroonilised terviseandmed koosnevad kõigist nende andmete kategooriatest, olenemata sellest, kas need andmed on esitanud andmesubjekt või muu füüsiline või juriidiline isik, näiteks tervishoiutöötaja, või kas neid andmeid töödeldakse seoses füüsilise isiku tervise või heaoluga, ning need peaksid hõlmama ka järeldatud ja tuletatud andmeid, näiteks diagnoose, uuringuid ja arstlikke kontrolle, ning automatiseeritud vahendite abil jälgitavaid ja salvestatud andmeid.

(7)

Tervishoiusüsteemides kogutakse isikustatud elektroonilisi terviseandmeid tavaliselt elektroonilistesse terviselugudesse, mis sisaldavad üldjuhul füüsilise isiku haiguslugu, diagnoose ja ravi, ravimeid, allergiaid ja vaktsineerimisi ning radioloogilisi ülesvõtteid, laboritulemusi ja muid meditsiinilisi andmeid, mille on sisestanud tervishoiusüsteemi eri üksused, nagu perearstid, haiglad, apteegid või hooldusteenuste osutajad. Et füüsilised isikud või tervishoiutöötajad saaksid elektroonilistele terviseandmetele juurde pääseda, neid jagada ja muuta, on mõned liikmesriigid võtnud vajalikud õiguslikud ja tehnilised meetmed ning loonud tsentraliseeritud taristud, mis ühendavad tervishoiuteenuse osutajate ja füüsiliste isikute kasutatavaid tervisevaldkonna infosüsteeme. Lisaks toetavad mõned liikmesriigid avaliku ja erasektori tervishoiuteenuse osutajaid nende isikustatud elektrooniliste terviseandmeruumide loomisel, et võimaldada erinevate tervishoiuteenuse osutajate vahelist koostalitlust. Mitu liikmesriiki on ka toetanud elektroonilistele terviseandmetele juurdepääsu teenuste pakkumist patsientidele ja tervishoiutöötajatele või neid ise pakkunud, näiteks patsiendi- või tervishoiutöötajate portaalide kaudu. Samuti on kõnealused liikmesriigid võtnud meetmeid tagamaks, et tervisevaldkonna infosüsteemidest või heaolurakendustest oleks võimalik edastada elektroonilisi terviseandmeid kesksesse tervisevaldkonna infosüsteemi, näiteks sertifitseerimissüsteemi tagamise abil. Kõik liikmesriigid ei ole aga selliseid süsteeme loonud ja neid rakendanud liikmesriigid on seda teinud erinevalt. Et hõlbustada isikustatud elektrooniliste terviseandmete vaba liikumist kogu liidus ja vältida negatiivseid tagajärgi patsientidele, kes kasutavad tervishoiuteenuseid piiriüleselt, on vaja liidu meetmeid, et parandada füüsiliste isikute juurdepääsu oma isikustatud elektroonilistele terviseandmetele ja anda neile õigus neid andmeid jagada. Sellega seoses tuleks võtta kohaseid meetmeid liidu ja liikmesriikide tasandil, et vähendada killustatust, heterogeensust ja jagunemist ning luua kõikides liikmesriikides kasutajasõbralik ja intuitiivne süsteem. Igasugune digipööre tervishoiusektoris peaks olema kaasav ja tooma kasu ka neile füüsilistele isikutele, kelle võimalused digiteenustele juurdepääsuks ja nende kasutamiseks on piiratud, sealhulgas puuetega inimestele.

(8)

Määruses (EL) 2016/679 on ette nähtud erisätted füüsiliste isikute õiguste kohta seoses nende isikuandmete töötlemisega. Euroopa terviseandmeruum tugineb nendele õigustele ja täiendab mõnda neist, mida kohaldatakse isikustatud elektrooniliste terviseandmete suhtes. Kõnealuseid õigusi kohaldatakse olenemata liikmesriigist, kus isikustatud elektroonilisi terviseandmeid töödeldakse, tervishoiuteenuse osutaja liigist, nende andmete allikatest või füüsilise isiku kindlustajaliikmesriigist. Käesoleva määruse kohased õigused ja reeglid seoses isikustatud elektrooniliste terviseandmete esmase kasutusega puudutavad kõiki nende andmete kategooriaid, olenemata sellest, kuidas need on kogutud või kes need on esitanud, ning olenemata määruse (EL) 2016/679 kohasest töötlemise õiguslikust alusest või vastutava töötleja staatusest avalik-õigusliku või eraõigusliku organisatsioonina. Käesolevas määruses sätestatud täiendavad õigused juurdepääsuks isikustatud elektroonilistele terviseandmetele ja nende ülekantavuseks ei tohiks piirata määrusega (EL) 2016/679 kehtestatud juurdepääsu- ja ülekantavuse õigusi. Need õigused jäävad füüsilistele isikutele käesolevas määruses sätestatud tingimustel.

(9)

Kuigi määrusega (EL) 2016/679 antud õigusi tuleks jätkuvalt kohaldada, tuleks määrusega (EL) 2016/679 kehtestatud füüsilise isiku õigust andmetega tutvuda tervishoiusektoris veelgi täiendada. Kõnealuse määruse kohaselt ei pea vastutavad töötlejad juurdepääsu viivitamata võimaldama. Paljudes kohtades rakendatakse terviseandmetele juurdepääsu õigust endiselt sageli nii, et taotletud terviseandmed esitatakse paberil või skannitud dokumentidena, mis on vastutava töötleja, näiteks haigla või muu juurdepääsu pakkuva tervishoiuteenuse osutaja jaoks aeganõudev. See olukord aeglustab füüsiliste isikute kiiret juurdepääsu terviseandmetele ja võib neid kahjustada, kui nad vajavad sellist juurdepääsu oma terviseseisundiga seotud kiireloomuliste asjaolude tõttu viivitamata. Seetõttu on vaja pakkuda füüsilistele isikutele tõhusamat võimalust oma isikustatud elektroonilistele terviseandmetele juurde pääseda. Neil peaks olema õigus tasuta ja kohesele juurdepääsule isikustatud elektrooniliste terviseandmete kindlatele prioriteetsetele kategooriatele, näiteks patsiendi koondandmetele, kasutades selleks elektroonilise terviseandmetele juurdepääsu teenust, võttes samas arvesse tehnilist teostatavust. Seda õigust tuleks rakendada olenemata liikmesriigist, kus isikustatud elektroonilisi terviseandmeid töödeldakse, tervishoiuteenuse osutaja liigist, andmeallikatest või füüsilise isiku kindlustajaliikmesriigist. Käesoleva määrusega kehtestatud täiendava õiguse kohaldamisala ja selle kasutamise tingimused on teatud viisil erinevad määruse (EL) 2016/679 kohasest isikuandmetega tutvumise õigusest, mis hõlmab kõiki vastutava töötleja valduses olevaid isikuandmeid ja mida kasutatakse seoses konkreetse vastutava töötlejaga, kes peab seejärel päringule vastama ühe kuu jooksul. Käesoleva määruse kohane õigus pääseda juurde isikustatud elektroonilistele terviseandmetele peaks piirduma selle kohaldamisalasse kuuluvate andmekategooriatega, seda tuleks kasutada elektroonilistele terviseandmetele juurdepääsu teenuse kaudu ja see peaks andma viivitamatu vastuse. Jätkuvalt tuleks kohaldada ka määruse (EL) 2016/679 kohaseid õigusi, nii et füüsilised isikud saaksid kasutada oma õigusi mõlema raamistiku alusel, eelkõige õigust saada elektrooniliste terviseandmete paberkoopia.

(10)

Tuleb arvesse võtta, et füüsiliste isikute viivitamatu juurdepääs oma teatavate kategooriate isikustatud elektroonilistele terviseandmetele võib kahjustada kõnealuste füüsiliste isikute turvalisust või olla ebaeetiline. Näiteks võib olla ebaeetiline teavitada patsienti elektroonilise kanali kaudu sellest, et tal on diagnoositud ravimatu haigus, mis tõenäoliselt lõppeb surmaga, selle asemel, et anda see teave patsiendile kõigepealt konsultatsiooni käigus. Seetõttu peaks olema võimalik sellistes olukordades isikustatud elektroonilistele terviseandmetele juurdepääsu andmist piiratud ajaks edasi lükata, näiteks seni, kuni tervishoiutöötaja saab patsiendile olukorda selgitada. Liikmesriikidel peaks olema võimalik selline erand kehtestada, kui see on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, kooskõlas määruse (EL) 2016/679 artikli 23 kohaselt sätestatud piirangutega.

(11)

Käesolev määrus ei mõjuta liikmesriikide pädevust seoses isikustatud elektrooniliste terviseandmete esmase registreerimisega, näiteks võimalust seada geneetiliste andmete registreerimine sõltuvaks füüsilise isiku nõusolekust või muudest kaitsemeetmetest. Liikmesriigid võivad nõuda andmete elektroonilisel kujul kättesaadavaks tegemist enne käesoleva määruse kohaldamist. See ei tohiks mõjutada kohustust teha isikustatud elektroonilised terviseandmed, mis registreeritakse pärast käesoleva määruse kohaldamise kuupäeva, elektroonilisel kujul kättesaadavaks.

(12)

Füüsilistel isikutel peaks olema võimalik lisada oma elektroonilistesse terviselugudesse elektroonilisi terviseandmeid või säilitada lisateavet eraldi isiklikus terviseloos, millele tervishoiutöötajatel on juurdepääs, et täiendada neile kättesaadavat teavet. Füüsiliste isikute sisestatud teave ei pruugi aga olla sama usaldusväärne kui tervishoiutöötajate sisestatud ja kontrollitud elektroonilised terviseandmed ning sellel ei ole samasugust kliinilist väärtust ega õigusjõudu kui tervishoiutöötaja esitatud teabel. Seepärast peaksid füüsiliste isikute elektroonilisse terviseloosse lisatud andmed olema tervishoiutöötajate esitatud andmetest selgelt eristatavad. See füüsiliste isikute võimalus lisada ja täiendada isikustatud elektroonilisi terviseandmeid ei tohiks anda neile õigust muuta tervishoiutöötajate esitatud isikustatud elektroonilisi terviseandmeid.

(13)

Kui füüsilised isikud saavad oma elektroonilistele terviseandmetele hõlpsamini ja kiiremini juurde pääseda, saavad nad märgata võimalikke vigu, näiteks väära teavet või ekslikult neile omistatud patsiendikirjeid. Sellisel juhul peaks füüsilisel isikul olema võimalik taotleda internetis viivitamata ja tasuta ebaõigete isikustatud elektrooniliste terviseandmete parandamist elektroonilistele terviseandmetele juurdepääsu teenuse kaudu. Andmete parandamise taotlusi peaksid edasi menetlema asjaomased vastutavad töötlejad kooskõlas määrusega (EL) 2016/679 ning vajaduse korral peaks neid abistama vastava valdkonna tervishoiutöötajad, kes vastutavad asjaomase füüsilise isiku ravi eest.

(14)

Määruse (EL) 2016/679 kohaselt piirdub andmete ülekandmise õigus nõusoleku või lepingu alusel töödeldavate andmetega, mille andmesubjekt on vastutavale töötlejale esitanud. Lisaks sellele on kõnealuse määruse kohaselt füüsilisel isikul õigus nõuda, et vastutav töötleja edastaks isikustatud andmed otse teisele vastutavale töötlejale ainult siis, kui see on tehniliselt teostatav. Määrusega (EL) 2016/679 ei ole siiski kehtestatud kohustust muuta selline otsene edastamine tehniliselt teostatavaks. Andmete ülekandmise õigust tuleks käesoleva määrusega täiendada, et füüsilised isikud saaksid teha vähemalt oma prioriteetsete kategooriate isikustatud elektroonilised terviseandmed kättesaadavaks vabalt valitud tervishoiutöötajatele, et vahetada selliseid terviseandmeid nimetatud tervishoiutöötajatega ja selliseid terviseandmeid alla laadida. Lisaks peaks füüsilistel isikutel olema õigus taotleda, et tervishoiuteenuse osutaja edastaks osa nende elektroonilistest terviseandmetest selgelt kindlaks määratud vastuvõtjale sotsiaalkindlustus- või hüvitamisteenuste sektoris. Selline edastamine peaks toimuma ainult ühes suunas.

(15)

Käesolevas määruses sätestatud raamistik peaks tuginema määruses (EL) 2016/679 sätestatud andmete ülekandmise õigusele ja tagama, et füüsilised isikud kui andmesubjektid saavad edastada oma isikustatud elektroonilisi terviseandmeid, sealhulgas tuletatud andmeid elektrooniliste terviseandmete Euroopa andmevahetusvormingus, olenemata elektrooniliste terviseandmete töötlemise õiguslikust alusest. Tervishoiutöötajad ei tohiks takistada füüsiliste isikute õiguste kohaldamist, näiteks keelduda arvesse võtmast teisest liikmesriigist pärinevaid isikustatud elektroonilisi terviseandmeid, mis on esitatud koostalitlusvõimelises ja usaldusväärses elektrooniliste terviseandmete Euroopa andmevahetusvormingus.

(16)

Tervishoiuteenuse osutajate või muude isikute juurdepääs elektroonilistele terviseandmetele peaks olema asjaomaste füüsiliste isikute jaoks läbipaistev. Elektroonilistele terviseandmetele juurdepääsu teenused peaksid andma üksikasjalikku teavet andmetele juurdepääsu kohta, näiteks millal ja milline üksus või füüsiline isik on millistele andmetele juurde pääsenud. Samuti peaksid füüsilised isikud saama sisse või välja lülitada automaatsed teated selle kohta, kui tervishoiutöötajate juurdepääsuteenuse kaudu on nende elektroonilistele terviseandmetele juurde pääsetud.

(17)

Füüsilised isikud ei pruugi soovida lubada juurdepääsu mõnele osale oma isikustatud elektroonilistest terviseandmetest, võimaldades samal ajal juurdepääsu ülejäänud osadele. See võib olla eriti asjakohane tundlike terviseprobleemide korral, nagu vaimse või seksuaaltervisega seotud probleemid, tundlikud protseduurid, nagu abort, või andmed konkreetsete ravimite kohta, mis võivad paljastada muid tundlikke teemasid. Seepärast tuleks sellist isikustatud elektrooniliste terviseandmete valikulist jagamist toetada ja rakendada piirangutega, mille asjaomane füüsiline isik kehtestab ühtemoodi andmete jagamiseks asjaomase liikmesriigi territooriumil ja piiriüleselt. Need piirangud peaksid võimaldama piisavat detailsust, et piirata andmestike osi, näiteks patsiendi koondandmete komponente. Enne piirangute kehtestamist tuleks füüsilisi isikuid teavitada patsiendi ohutusega seotud riskidest, mis tulenevad terviseandmetele juurdepääsu piiramisest. Kuna piirangualuste isikustatud elektrooniliste terviseandmete kättesaamatus võib mõjutada füüsilisele isikule osutatavate tervishoiuteenuste osutamist või kvaliteeti, peaks selliseid juurdepääsupiiranguid seadev füüsiline isik võtma vastutuse asjaolu eest, et tervishoiuteenuse osutaja ei saa neid andmeid tervishoiuteenuste osutamisel arvesse võtta. Juurdepääsu piiramisel isikustatud elektroonilistele terviseandmetele võivad olla eluohtlikud tagajärjed ja seetõttu peaks olema võimalik saada nendele andmetele siiski vajaduse korral juurdepääs hädaolukorras selleks, et kaitsta elulisi huve. Liikmesriigid võivad oma õiguses kehtestada üksikasjalikumad sätted selle kohta, kuidas füüsilised isikud saavad piirata juurdepääsu osale oma isikustatud elektroonilistest terviseandmetest, eelkõige meditsiinilise vastutuse kohta juhtudel, kui asjaomane füüsiline isik on seadnud piiranguid.

(18)

Lisaks on liikmesriikidel erinevad lähenemisviisid selle kohta, mil määral on patsientidel kontroll oma terviseandmete üle, mistõttu peaks liikmesriikidel olema võimalik sätestada absoluutne õigus loobuda juurdepääsu võimaldamisest isikustatud elektroonilistele terviseandmetele kellelegi teisele peale algse vastutava töötleja, ilma võimaluseta seda loobumist hädaolukorras tühistada. Sellisel juhul peaksid liikmesriigid kehtestama selliste loobumismehhanismidega seotud reeglid ja konkreetsed kaitsemeetmed. Sellised reeglid ja konkreetsed kaitsemeetmed võivad olla seotud ka isikustatud elektrooniliste terviseandmete konkreetsete kategooriatega, näiteks geneetiliste andmetega. Selline loobumisõigus tähendab, et seda õigust kasutanud füüsilise isiku isikustatud elektroonilisi terviseandmeid ei tehta Euroopa terviseandmeruumi raames loodud teenustes kättesaadavaks mitte kellelegi teisele peale ravi osutanud tervishoiuteenuse osutaja. Füüsiliste isikute puhul, kes kasutavad loobumisõigust, peaks liikmesriikidel olema võimalik nõuda isikustatud elektrooniliste terviseandmete registreerimist ja säilitamist tervisevaldkonna infosüsteemis, mida kasutab tervishoiuteenuseid osutanud tervishoiuteenuse osutaja ja mis on kättesaadav ainult sellele tervishoiuteenuse osutajale. Kui füüsiline isik on seda loobumisõigust kasutanud, dokumenteerivad tervishoiuteenuse osutajad siiski osutatud ravi vastavalt kehtivatele normidele ning neil on juurdepääs nende enda poolt registreeritud andmetele. Loobumisõigust kasutanud füüsilistel isikutel peaks olema võimalik oma otsus tühistada. Sellisel juhul ei pruugi loobumise kehtimise ajal loodud isikustatud elektroonilised terviseandmed olla juurdepääsuteenuste ja taristu MyHealth@EU kaudu kättesaadavad.

(19)

Tervishoiutöötajate kiire ja täielik juurdepääs patsientide raviandmetele on ülioluline, et tagada ravi järjepidevus, vältida dubleerimist ja vigu ning vähendada kulusid. Koostalitlusvõime puudumise tõttu ei ole tervishoiutöötajatel paljudel juhtudel siiski võimalik tutvuda oma patsientide täielike ravidokumentidega ega teha optimaalseid meditsiinilisi otsuseid nende diagnoosimiseks ja raviks ning see tekitab märkimisväärseid lisakulusid nii tervishoiusüsteemidele kui ka füüsilistele isikutele ning võib halvendada füüsiliste isikute tervisenäitajaid. Koostalitlusvõimelises vormingus kättesaadavad elektroonilised terviseandmed, mida saab tervishoiuteenuse osutajate vahel edastada, võivad ühtlasi vähendada tervishoiutöötajate halduskoormust, mida tekitab terviseandmete käsitsi sisestamine või nende kopeerimine elektrooniliste süsteemide vahel. Seetõttu tuleks tervishoiutöötajatele tagada kohased elektroonilised vahendid, näiteks elektroonikaseadmed ja tervishoiutöötajate portaalid või muud tervishoiutöötajate juurdepääsuteenused, et nad saaksid kasutada isikustatud elektroonilisi terviseandmeid oma ülesannete täitmiseks. Kuna on raske eelnevalt täielikult kindlaks teha, millised prioriteetsete kategooriate olemasolevatest andmetest on konkreetse raviepisoodi jaoks meditsiiniliselt olulised, peaks tervishoiutöötajatel olema andmetele laialdane juurdepääs. Oma patsiente puudutavatele andmetele juurdepääsul peaksid tervishoiutöötajad järgima kohaldatavat õigust, käitumisjuhendeid, deontoloogilisi suuniseid ja muid eetilise käitumise sätteid seoses teabe jagamise või sellele juurdepääsuga, eelkõige eluohtlikes või äärmuslikes olukordades. Tagamaks, et nende juurdepääs piirduks sellega, mis on konkreetse ravijuhtumi puhul asjakohane, peaksid tervishoiuteenuste osutajad kooskõlas määrusega (EL) 2016/679 järgima isikustatud elektroonilistele terviseandmetele juurdepääsu osas minimaalsuse põhimõtet, nii et juurdepääs piirduks andmetega, mis on konkreetse teenuse puhul rangelt vajalikud ja põhjendatud. Tervishoiutöötajate juurdepääsuteenuste osutamine on käesoleva määrusega määratud avalikes huvides olev ülesanne ja selle täitmine nõuab isikuandmete töötlemist, nagu on osutatud määruse (EL) 2016/679 artikli 6 lõike 1 punktis e. Käesolevas määruses sätestatakse tingimused ja kaitsemeetmed elektrooniliste terviseandmete töötlemiseks tervishoiutöötajate juurdepääsuteenuses kooskõlas määruse (EL) 2016/679 artikli 9 lõike 2 punktiga h, näiteks üksikasjalikud sätted isikustatud elektroonilistele terviseandmetele juurdepääsu logimise kohta eesmärgiga tagada andmesubjektide jaoks läbipaistvus. Käesolev määrus ei tohiks siiski piirata liikmesriigi õiguse kohaldamist, mis käsitleb terviseandmete töötlemist tervishoiuteenuste osutamisel, sealhulgas sellise liikmesriigi õiguse kohaldamist, milles on kehtestatud selliste tervishoiutöötajate kategooriad, kes võivad töödelda eri kategooriatesse kuuluvaid elektroonilisi terviseandmeid.

(20)

Et hõlbustada käesoleva määrusega kehtestatud täiendavate juurdepääsu- ja ülekantavuse õiguste kasutamist, peaksid liikmesriigid looma ühe või mitu elektroonilistele terviseandmetele juurdepääsu teenust. Neid teenuseid võib osutada riiklikul või piirkondlikul tasandil või tervishoiuteenuste osutajate kaudu veebipõhise patsiendiportaalina, mobiilirakendusena või muul viisil. Need peaksid olema kavandatud ligipääsetavatena, eelkõige puuetega inimeste jaoks. Sellise teenusega saavad füüsilised isikud oma isikustatud elektroonilistele terviseandmetele hõlpsasti ligi ning selle osutamine teenib olulisi avalikke huve. Isikustatud elektrooniliste terviseandmete töötlemine nendes teenustes on vajalik käesoleva määrusega määratud ülesande täitmiseks määruse (EL) 2016/679 artikli 6 lõike 1 punkti e ja artikli 9 lõike 2 punkti g tähenduses. Käesoleva määrusega nähakse ette vajalikud tingimused ja kaitsemeetmed elektrooniliste terviseandmete töötlemiseks elektroonilistele terviseandmetele juurdepääsu teenustes, nagu selliseid teenuseid kasutavate füüsiliste isikute e-identimine.

(21)

Füüsilisel isikul peaks olema võimalik anda luba teistele enda valitud füüsilistele isikutele, näiteks oma sugulastele või muudele lähedastele füüsilistele isikutele, et võimaldada neil enda valitud isikutel pääseda juurde selleks loa andnud füüsilise isiku isikustatud elektroonilistele terviseandmetele või kontrollida juurdepääsu neile andmetele või kasutada digitervishoiu teenuseid tema nimel. Sellised load võiksid sobida ka muuks kasutamiseks neile füüsilistele isikutele, kellele selline luba on antud. Nende lubade rakendamiseks peaksid liikmesriigid looma proksiteenused ning need peaksid olema seotud isikustatud elektroonilistele terviseandmetele juurdepääsu teenustega, nagu patsiendiportaalide või patsientidele mõeldud mobiilirakendustega. Proksiteenused peaksid ühtlasi võimaldama eestkostjatel tegutseda oma ülalpeetavate laste, sealhulgas alaealiste nimel; sellistes olukordades võiksid load olla automaatsed. Lisaks nimetatud proksiteenustele peaksid liikmesriigid looma ka füüsilistele isikutele hõlpsasti juurdepääsetavad tugiteenused, mida osutab piisavalt koolitatud personal, kes abistab füüsilisi isikuid nende õiguste kasutamisel. Võtmaks arvesse juhtumeid, kus ülalpeetavate isikute teatavate isikustatud elektrooniliste terviseandmete kuvamine nende eestkostjatele võib olla vastuolus ülalpeetavate, sealhulgas alaealiste huvide või tahtega, peaks liikmesriikidel olema võimalik tagada oma õiguses piirangud ja kaitsemeetmed ning vajalikud mehhanismid nende tehniliseks rakendamiseks. Isikustatud elektroonilistele terviseandmetele juurdepääsu teenused, näiteks patsiendiportaalid või mobiilirakendused, peaksid nimetatud lube kasutama ja võimaldama seega volitatud füüsiliste isikute juurdepääsu loa kohaldamisalasse kuuluvatele isikustatud elektroonilistele terviseandmetele. Suurema kasutajasõbralikkusega horisontaalse lahenduse pakkumiseks tuleks digitaalsed volitamislahendused viia kooskõlla Euroopa Parlamendi ja nõukogu määrusega (EL) nr 910/2014 (7) ning Euroopa digiidentiteedikukru tehniliste spetsifikatsioonidega. Selline ühtlustamine aitaks vähendada liikmesriikide haldus- ja finantskoormust, vähendades ohtu, et töötatakse välja paralleelsed süsteemid, mis ei ole kogu liidus koostalitlusvõimelised.

(22)

Mõnes liikmesriigis osutavad tervishoiuteenuseid esmatasandi tervishoiutöötajate rühmad, mis on määratletud esmatasandi tervishoiutöötajate rühmadena, nagu näiteks perearstid, kes tegelevad esmatasandi arstiabiga nende koostatud tervishoiukava alusel. Samuti on mitmes liikmesriigis olemas muud liiki tervishoiutöötajate meeskonnad, kes tegelevad muu hooldusega. Esmase kasutuse kontekstis Euroopa terviseandmeruumis tuleks tagada juurdepääs sellistesse meeskondadesse kuuluvatele tervishoiutöötajatele.

(23)

Määruse (EL) 2016/679 kohaselt loodud järelevalveasutustel on pädevus jälgida selle määruse kohaldamist ja tagada selle kohaldamine, eelkõige jälgida isikustatud elektrooniliste terviseandmete töötlemist ja käsitlema asjaomaste füüsiliste isikute esitatud kaebusi. Käesoleva määrusega kehtestatakse füüsilistele isikutele esmase kasutuse osas täiendavad õigused, mis lähevad kaugemale määruses (EL) 2016/679 sätestatud juurdepääsu- ja ülekantavuse õigustest ning täiendavad neid õigusi. Kuna neid lisaõigusi peaksid jõustama ka määruse (EL) 2016/679 kohaselt loodud järelevalveasutused, peaksid liikmesriigid tagama, et neil järelevalveasutustel oleks vajalikud rahalised ja inimressursid ning ruumid ja taristu nende lisaülesannete tulemuslikuks täitmiseks. Järelevalveasutusel või -asutustel, kes vastutavad isikustatud elektrooniliste terviseandmete esmaseks kasutuseks töötlemise jälgimise ja tagamise eest kooskõlas käesoleva määrusega, peaks olema õigus määrata haldustrahve. Taani õigussüsteem ei võimalda määrata haldustrahve käesolevas määruses sätestatu kohaselt. Haldustrahve käsitlevaid õigusnorme võib kohaldada selliselt, et Taanis määrab trahve pädev riiklik kohus kriminaalkaristusena, tingimusel et õigusnormide sellisel kohaldamisel on samaväärne toime nagu järelevalveasutuste määratud haldustrahvidel. Igal juhul peaksid määratavad trahvid olema mõjusad, proportsionaalsed ja hoiatavad.

(24)

Liikmesriigid peaksid püüdma järgida käesoleva määruse kohaldamisel eetilisi põhimõtteid, nagu e-tervise võrgustiku poolt 26. jaanuaril 2022 vastu võetud Euroopa digitervishoiu eetikapõhimõtted ning tervishoiutöötajate ja patsientide konfidentsiaalsuse põhimõte. Eetikapõhimõtete olulisuse tunnustamisel annavad Euroopa digitervishoiu eetikapõhimõtted suuniseid tervishoiutöötajatele, teadlastele, novaatoritele, otsustajatele ja reguleerivatele asutustele.

(25)

Elektrooniliste terviseandmete eri kategooriate asjakohasus on erinevate tervishoiustsenaariumide puhul erinev. Eri kategooriate puhul on ühtlasi saavutatud erinev standardimise tase ja seetõttu võib andmevahetusmehhanismide rakendamine sõltuvalt kategooriast olla rohkem või vähem keerukas. Seepärast peaks koostalitlusvõime ja andmete jagamise parandamine toimuma järk-järgult ning teatud elektrooniliste terviseandmete kategooriad tuleb seada tähtsuse järjekorda. Selliseid elektrooniliste terviseandmete kategooriaid nagu patsiendi koondandmed, digiretseptid ja digiretseptide alusel väljastatud ravimid, meditsiinilised ülesvõtted ja nende kirjeldused, meditsiiniliste analüüside tulemused, nagu laboritulemused, ja nende kirjeldused, ning haiglast väljakirjutamise dokumendid, on peetud e-tervise võrgustikus enamiku tervishoiuolukordade puhul kõige asjakohasemaks ning neid tuleks pidada liikmesriikides juurdepääsu tagamisel ja andmete edastamisel prioriteetseteks kategooriateks. Kui sellised prioriteetsed andmekategooriad esindavad elektrooniliste terviseandmete rühmi, tuleks käesolevat määrust kohaldada nii tervete rühmade suhtes kui ka nende alla kuuluvate üksikute andmekirjete suhtes. Näiteks kuna vaktsineerimisstaatus on osa patsiendi koondandmetest, tuleks sellise vaktsineerimisstaatuse suhtes kohaldada ka patsiendi koondandmetega seotud õigusi ja nõudeid, isegi kui seda töödeldakse patsiendi koondandmetest eraldi. Kui tehakse kindlaks, et tervishoiu eesmärgil on vaja vahetada rohkem elektrooniliste terviseandmete kategooriaid, peaks käesolev määrus võimaldama juurdepääsu neile muudele kategooriatele ja nende vahetamist. Täiendavaid kategooriaid tuleks kõigepealt rakendada liikmesriigi tasandil ja käesolevas määruses tuleks ette näha selliste andmekategooriate vabatahtlikkuse alusel vahetamine koostööd tegevate liikmesriikide vahel piiriülestes olukordades. Erilist tähelepanu tuleks pöörata andmevahetusele naaberliikmesriikide piirialadel, kus piiriüleste tervishoiuteenuste osutamine on sagedasem ja eeldab veelgi kiiremaid menetlusi kui kogu liidus üldiselt.

(26)

Elektroonilisel kujul tervise- ja geneetiliste andmete kättesaadavus on liikmesriigiti erinev. Euroopa terviseandmeruum peaks muutma need elektroonilisel kujul andmed füüsilistele isikutele lihtsamini kättesaadavaks ja tagama, et füüsilistel isikutel oleks parem kontroll juurdepääsu üle oma isikustatud elektroonilistele terviseandmetele ja nende jagamise üle. See aitaks saavutada ka eesmärki tagada 2030. aastaks 100 %-le liidu kodanikest juurdepääs oma elektroonilisele terviseloole, nagu on osutatud Euroopa Parlamendi ja nõukogu otsuses (EL) 2022/2481 (8). Et elektroonilised terviseandmed oleksid kättesaadavad ja edastatavad, tuleks tagada juurdepääs sellistele andmetele ning edastada neid koostalitlusvõimelises ja ühtses elektrooniliste terviseandmete Euroopa andmevahetusvormingus, vähemalt teatavate elektrooniliste terviseandmete kategooriate puhul, nagu patsientide koondandmed, digiretseptid ja digiretseptide alusel väljastatud ravimid, meditsiinilised ülesvõtted ja nende kirjeldused, meditsiiniliste testide tulemused ja haiglast väljakirjutamise dokumendid, ning selle suhtes tuleks kohaldada üleminekuperioode. Kui füüsiline isik teeb isikustatud elektroonilised terviseandmed teeb tervishoiuteenuse osutajale või apteegile kättesaadavaks või kui need edastab teine vastutav töötleja elektrooniliste terviseandmete Euroopa andmevahetusvormingus, tuleks seda vormingut aktsepteerida ning vastuvõtja peaks olema võimeline andmeid lugema ja neid tervishoiuteenuse osutamisel või ravimi väljastamisel kasutama, nii et need toetaksid tervishoiuteenuste osutamist või ravimite väljastamist digiretseptide alusel. Elektrooniliste terviseandmete Euroopa andmevahetusvorming tuleks kujundada nii, et selles vormingus esitatud elektroonilised terviseandmed oleks võimalikult suurel määral tõlgitavad liidu ametlikesse keeltesse. Komisjoni soovituses (EL) 2019/243 (9) on sätestatud sellise ühtse elektrooniliste terviseandmete Euroopa andmevahetusvormingu alused. Euroopa terviseandmeruumi koostalitlusvõime peaks aitama kaasa kvaliteetsete Euroopa terviseandmestike loomisele. Elektrooniliste terviseandmete Euroopa andmevahetusvormingu kasutamine peaks muutuma liidu ja liikmesriikide tasandil levinumaks. Elektrooniliste terviseandmete Euroopa andmevahetusvormingul võivad olla erinevad profiilid selle kasutamiseks tervisevaldkonna infosüsteemide tasandil ja digitervise riiklike kontaktpunktide tasandil taristus MyHealth@EU piiriüleseks andmevahetuseks.

(27)

Kuigi tervisevaldkonna infosüsteemid on laialt levinud, erineb terviseandmete digiteerimise tase liikmesriigiti sõltuvalt andmekategooriatest ja nende tervishoiuteenuse osutajate tegevuse ulatusest, kes registreerivad terviseandmeid elektroonilisel kujul. Toetamaks andmesubjektide õigust pääseda juurde elektroonilistele terviseandmetele ja neid vahetada, on vaja liidu meetmeid, et vältida edasist killustatust. Et aidata kaasa tervishoiuteenuste hea kvaliteedi ja järjepidevuse tagamisele, tuleks teatavate kategooriate terviseandmed süstemaatiliselt registreerida elektrooniliselt ja vastavalt konkreetsetele andmete kvaliteedi nõuetele. Elektrooniliste terviseandmete registreerimise ja vahetamisega seotud spetsifikatsioonide aluseks peaks olema elektrooniliste terviseandmete Euroopa andmevahetusvorming.

(28)

Telemeditsiin on muutumas üha olulisemaks vahendiks, mis võimaldab patsientide juurdepääsu ravile ja aitab ületada ebavõrdsust. See võib vähendada tervisealast ebavõrdsust ja toetada liidu kodanike piiriülest vaba liikumist. Digitaalsed ja muud tehnoloogilised vahendid võivad hõlbustada hoolduse pakkumist äärepoolsetes piirkondades. Kui digiteenuseid osutatakse koos tervishoiuteenuse füüsilise osutamisega, tuleks digiteenust pidada osaks üldise tervishoiuteenuse osutamisest. Euroopa Liidu toimimise lepingu (ELi toimimise leping) artikli 168 kohaselt vastutavad liikmesriigid oma tervishoiupoliitika eest, eelkõige tervishoiuteenuste ja arstiabi korraldamise ja kättesaadavaks muutmise eest, sealhulgas selliste tegevuste reguleerimise eest nagu internetiapteegid, telemeditsiin ja muud teenused, mida nad osutavad ja mille eest nad maksavad hüvitist kooskõlas liikmesriigi õigusaktidega. Erinevused tervishoiupoliitikas ei tohiks aga takistada elektrooniliste terviseandmete vaba liikumist piiriülese tervishoiu, näiteks telemeditsiini kontekstis ja internetiapteegi teenuste osutamisel.

(29)

Määruses (EL) nr 910/2014 on sätestatud tingimused, mille alusel liikmesriigid tuvastavad füüsilisi isikuid piiriülestes olukordades teise liikmesriigi väljastatud identimisvahendite abil, ning seejuures on kehtestatud reeglid selliste e-identimise vahendite vastastikuseks tunnustamiseks. Euroopa terviseandmeruum nõuab turvalist juurdepääsu elektroonilistele terviseandmetele, sealhulgas piiriülestes olukordades. Elektroonilistele terviseandmetele juurdepääsu teenused ja telemeditsiini teenused peaksid võimaldama füüsilistel isikutel rakendada oma õigusi olenemata nende kindlustajaliikmesriigist ning seetõttu tuleks toetada füüsiliste isikute tuvastamist määruse (EL) nr 910/2014 kohaselt tunnustatud e-identimise vahendite abil. Arvestades, et piiriülestes olukordades võib esineda probleeme identiteedi ühitamisega, võib osutuda vajalikuks, et ravi osutavatel liikmesriikidel tuleb ette näha täiendavaid juurdepääsumehhanisme, nagu tokenid või koodid füüsilistele isikutele, kes saabuvad teistest liikmesriikidest ja saavad tervishoiuteenuseid. Komisjonil peaks olema õigus võtta vastu rakendusakte füüsiliste isikute ja tervishoiutöötajate koostalitlusvõimelise piiriülese identifitseerimise ja autentimise nõuete kohta, sealhulgas täiendavaid mehhanisme, millega tagada, et füüsilised isikud saavad kasutada piiriülestes olukordades oma õigust isikustatud elektroonilistele terviseandmetele.

(30)

Liikmesriigid peaksid määrama asjaomased digitervishoiuasutused elektroonilistele terviseandmetele juurdepääsu ja nende edastamise standardite kavandamiseks ja rakendamiseks ning füüsiliste isikute ja tervishoiutöötajate õiguste jõustamiseks kas eraldi organisatsioonidena või juba olemasolevate asutuste osana. Digitervishoiuasutuste töötajatel ei tohi olla finants- ega muid huve tööstusharudes ega majanduslikku tegevust, mis võiks mõjutada nende erapooletust. Enamikus liikmesriikides on juba olemas digitervishoiuasutused, kes tegelevad elektrooniliste terviselugude, koostalitlusvõime, turvalisuse või standardimisega. Digitervishoiuasutused peaksid oma ülesannete täitmisel tegema koostööd eelkõige määruse (EL) 2016/679 kohaselt loodud järelevalveasutustega ja määruse (EL) nr 910/2014 kohaselt loodud järelevalveorganitega. Samuti võivad digitervishoiuasutused teha koostööd Euroopa Parlamendi ja nõukogu määrusega (EL) 2024/1689 (10) loodud Euroopa tehisintellekti nõukojaga, Euroopa Parlamendi ja nõukogu määrusega (EL) 2017/745 (11) loodud meditsiiniseadmete koordineerimisrühmaga, Euroopa Parlamendi ja nõukogu määruse (EL) 2022/868 (12) alusel loodud Euroopa Andmeinnovatsiooninõukoguga ning Euroopa Parlamendi ja nõukogu määruse (EL) 2023/2854 (13) kohaste pädevate asutustega. Lisaks peaksid liikmesriigid soodustama riiklike osalejate osalemist liidu tasandi koostöös, suunama eksperditeadmisi ja andma nõu lahenduste kavandamisel, mis on vajalikud Euroopa terviseandmeruumi eesmärkide saavutamiseks.

(31)

Ilma et see piiraks muude haldus- või kohtuväliste õiguskaitsevahendite kasutamist, peaks igal füüsilisel või juriidilisel isikul olema õigus tõhusale õiguskaitsevahendile digitervishoiuasutuse neid puudutava õiguslikult siduva otsuse vastu või kui digitervishoiuasutus ei menetle kaebust või ei teavita füüsilist või juriidilist isikut kolme kuu jooksul kaebuse menetlemise käigust või tulemustest. Digitervishoiuasutuse vastu tuleks algatada menetlus selle liikmesriigi kohtus, kus digitervishoiuasutus asub.

(32)

Digitervishoiuasutustel peaksid olema piisavad tehnilised oskused, viies võimaluse korral kokku eri organisatsioonide eksperte. Digitervishoiuasutuste tegevus peaks olema hästi kavandatud ja jälgitav, et tagada selle tõhusus. Digitervishoiuasutused peaksid võtma vajalikud meetmed, et kaitsta füüsiliste isikute õiguseid, luues riiklikud, piirkondlikud ja kohalikud tehnilised lahendused, nagu riiklikud tervisevaldkonna infosüsteemide vahenduslahendused ja patsiendiportaalid. Selliste vajalike kaitsemeetmete võtmisel peaksid digitervishoiuasutused kohaldama selliste lahenduste puhul ühtseid standardeid ja spetsifikatsioone, edendama standardite ja spetsifikatsioonide kohaldamist hankemenetlustes ning kasutama muid uuenduslikke lahendusi, sealhulgas Euroopa terviseandmeruumi koostalitlus- ja turvanõuetele vastavate lahenduste hüvitamist. Liikmesriigid peaksid tagama, et võetakse kasutusele asjakohased koolitusmeetmed. Eelkõige tuleks tervishoiutöötajatele pakkuda teavet ja koolitusi nende käesolevast määrusest tulenevate õiguste ja kohustuste kohta. Oma ülesannete täitmiseks peaksid digitervishoiuasutused tegema liidu ja riigi tasandil koostööd muude üksustega, sealhulgas kindlustusandjatega, tervishoiuteenuste osutajatega, tervishoiutöötajatega, tervisevaldkonna infosüsteemide ja heaolurakenduste tootjatega, samuti tervishoiu- ja infotehnoloogiasektori muude sidusrühmadega, hüvitisskeeme haldavate üksustega, tervisetehnoloogia hindamise asutustega, ravimivaldkonna reguleerivate asutuste ja ametitega, meditsiiniseadmete valdkonna asutustega, hankijatega ja küberturvalisuse või e-identimise valdkonna asutustega.

(33)

Juurdepääs elektroonilistele terviseandmetele ja nende edastamine on piiriüleste tervishoiuteenuste puhul oluline, sest see võib toetada tervishoiuteenuste osutamise järjepidevust, kui füüsilised isikud reisivad teistesse liikmesriikidesse või vahetavad elukohta. Ravi järjepidevus ja kiire juurdepääs isikustatud elektroonilistele terviseandmetele on veelgi olulisem piirialade elanike jaoks, kes ületavad tervishoiuteenuste kasutamiseks sageli riigipiiri. Paljudel piirialadel võivad mõned spetsiaalsed tervishoiuteenused olla teisel pool piiri lähemal kui samas liikmesriigis. Vaja on taristut isikustatud elektrooniliste terviseandmete piiriüleseks edastamiseks olukordades, kus füüsiline isik kasutab teises liikmesriigis asuva tervishoiuteenuse osutaja teenuseid. Tuleks kaaluda sellise taristu ja selle rahastamise järkjärgulist laiendamist. Osana meetmetest, mille abil saavutada Euroopa Parlamendi ja nõukogu direktiivis 2011/24/EL (14) sätestatud eesmärgid, on loodud vabatahtlik taristu MyHealth@EU. Taristu MyHealth@EU kaudu on liikmesriigid hakanud pakkuma füüsilistele isikutele võimalust jagada välismaal reisides oma isikustatud elektroonilisi terviseandmeid tervishoiuteenuse osutajatega. Seda kogemust arvestades peaks liikmesriikide osalemine käesoleva määrusega loodud digitaristus MyHealth@EU olema kohustuslik. Taristu MyHealth@EU tehnilised spetsifikatsioonid peaksid võimaldama vahetada elektrooniliste terviseandmete prioriteetseid kategooriaid, samuti täiendavaid kategooriaid, mida toetab elektrooniliste terviseandmete Euroopa andmevahetusvorming. Need spetsifikatsioonid tuleks kindlaks määrata rakendusaktidega ja need peaksid põhinema elektrooniliste terviseandmete Euroopa andmevahetusvormingu piiriülestel spetsifikatsioonidel, mida täiendavad spetsifikatsioonid küberturvalisuse, tehnilise ja semantilise koostalitlusvõime, toimingute ja teenuste haldamise kohta. Liikmesriikidel peaks olema kohustus taristuga MyHealth@EU ühineda, järgida selle tehnilisi spetsifikatsioone ning ühendada sellega tervishoiuteenuse osutajad, kaasa arvatud apteegid, sest see on vajalik, et rakendada käesolevas määruses sätestatud füüsiliste isikute õigust pääseda juurde ja kasutada oma elektroonilisi terviseandmeid, olenemata liikmesriigist, kus füüsilised isikud asuvad.

(34)

Taristu MyHealth@EU pakub liikmesriikidele ühist taristut, et tagada ühendatus ja koostalitlusvõime tõhusal ja turvalisel viisil, et toetada piiriüleseid tervishoiuteenuseid, ilma et see mõjutaks liikmesriikide kohustusi enne ja pärast isikustatud elektrooniliste terviseandmete edastamist selle taristu kaudu. Liikmesriigid vastutavad digitervise riiklike kontaktpunktide korraldamise ja isikuandmete töötlemise eest tervishoiuteenuste osutamiseks enne ja pärast andmete edastamist taristu MyHealth@EU kaudu. Komisjon peaks vastavuskontrollide abil jälgima, kas digitervise riiklikud kontaktpunktid vastavad vajalikele nõuetele seoses taristu MyHealth@EU tehnilise arendamisega ning samuti üksikasjalike reeglitega isikustatud elektrooniliste terviseandmete turvalisuse, konfidentsiaalsuse ja kaitse kohta. Kui digitervise riiklik kontaktpunkt jätab nõuded olulisel määral täitmata, peaks komisjonil olema võimalik peatada selle digitervise riikliku kontaktpunkti osutatavad teenused, mida rikkumine mõjutab. Komisjon peaks tegutsema taristus MyHealth@EU liikmesriikide nimel volitatud töötlejana ja osutama sellele keskseid teenuseid. Et tagada andmekaitsereeglite järgimine ja luua riskijuhtimisraamistik isikustatud elektrooniliste terviseandmete edastamiseks, tuleks rakendusaktides üksikasjalikult sätestada liikmesriikide kui kaasvastutavate töötlejate konkreetsed kohustused ja komisjoni kohustused volitatud töötlejana nende nimel. Iga liikmesriik vastutab ainuisikuliselt oma liikmesriigi andmete ja teenuste eest. Käesoleva määrusega sätestatakse õiguslik alus isikustatud elektrooniliste terviseandmete töötlemiseks taristus MyHealth@EU liidu õiguse alusel avalikes huvides oleva ülesandena, nagu on osutatud määruse (EL) 2016/679 artikli 6 lõike 1 punktis e. Selline töötlemine on vajalik nimetatud määruse artikli 9 lõike 2 punktis h osutatud tervishoiuteenuste osutamiseks piiriülestes olukordades.

(35)

Lisaks taristus MyHealth@EU osutatavatele teenustele, mis on mõeldud isikustatud elektrooniliste terviseandmete vahetamiseks elektrooniliste terviseandmete Euroopa andmevahetusvormingus, võib vaja minna muid teenuseid või lisataristuid, näiteks rahvatervisealastes hädaolukordades või kui taristu MyHealth@EU ülesehitus ei sobi mõne kasutusmalli rakendamiseks. Sellised kasutusstsenaariumid hõlmavad näiteks vaktsineerimiskaardi funktsioonide toetamist, sealhulgas vaktsineerimiskavasid käsitleva teabe vahetamist või vaktsineerimistõendite või muude tervisetõendite kontrollimist. Sellised lisakasutusmallid oleksid olulised ka selleks, et võtta kasutusele lisafunktsioonid rahvatervise kriisidega toimetulekuks, näiteks et toetada kontaktide jälgimist nakkushaiguste leviku tõkestamise eesmärgil. Taristu MyHealth@EU peaks toetama isikustatud elektrooniliste terviseandmete vahetamist asjaomaste kolmandate riikide digitervishoiu riiklike kontaktpunktidega ja rahvusvahelisel tasandil rahvusvaheliste organisatsioonide poolt loodud süsteemidega, et aidata kaasa tervishoiuteenuste järjepidevusele. See on eriti oluline üksikisikute jaoks, kes liiguvad üle piiri naabruses asuvate kolmandate riikidega, kandidaatriikide jaoks ning ülemeremaade ja -territooriumide assotsieerimiseks. Kolmandate riikide digitervishoiu riiklike kontaktpunktide ühendamisel taristuga MyHealth@EU ja koostalitlusvõime tagamisel rahvusvahelisel tasandil rahvusvaheliste organisatsioonide poolt loodud digisüsteemidega tuleks allutada need kontaktpunktid ja digisüsteemid taristu MyHealth@EU tehnilistele spetsifikatsioonidele, andmekaitsereeglitele ja muudele nõuetele vastavuse kontrollile. Kuna ühendus taristuga MyHealth@EU hõlmab isikustatud elektrooniliste terviseandmete edastamist kolmandatele riikidele, näiteks patsiendi koondandmete jagamist, kui patsient otsib ravi asjaomases kolmandas riigis, peavad olema olemas määruse (EL) 2016/679 V peatüki kohased vajalikud andmeedastusvahendid. Komisjonil peaks olema õigus võtta vastu rakendusakte, et hõlbustada selliste kolmandate riikide digitervishoiu riiklike kontaktpunktide ja rahvusvahelisel tasandil rahvusvaheliste organisatsioonide poolt loodud süsteemide ühendamist taristuga MyHealth@EU. Nende rakendusaktide ettevalmistamisel peaks komisjon võtma arvesse liikmesriikide riiklikke julgeolekuhuve.

(36)

Et tagada elektrooniliste terviseandmete sujuv vahetamine ning füüsiliste isikute ja tervishoiutöötajate õiguste austamine, peaksid siseturul turustatavad tervisevaldkonna infosüsteemid võimaldama kvaliteetseid elektroonilisi terviseandmeid turvaliselt salvestada ja edastada. Euroopa terviseandmeruumi peamine eesmärk on tagada elektrooniliste terviseandmete turvaline ja vaba liikumine kogu liidus. Seepärast tuleks ühe või mitme prioriteetse kategooria elektrooniliste terviseandmete töötlemiseks kasutatavate tervisevaldkonna infosüsteemide jaoks kehtestada kohustuslik vastavuse enesehindamise kava, et vähendada turu killustatust ja tagada samal ajal proportsionaalne lähenemisviis. Selle enesehindamisega tõendavad tervisevaldkonna infosüsteemid vastavust isikustatud elektrooniliste terviseandmete koostalitlusvõime, turvalisuse ja logimise nõuetele, mis on kehtestatud tervisevaldkonna infosüsteemi kahe kohustusliku tarkvarakomponendiga, mida käesoleva määrusega ühtlustatakse – nimelt tervisevaldkonna infosüsteemide Euroopa andmevahetuse koostalitlusvõime tarkvarakomponendi ja tervisevaldkonna infosüsteemide Euroopa logimistarkvarakomponendiga (edaspidi „tervisevaldkonna infosüsteemi ühtlustatud tarkvarakomponendid“). Tervisevaldkonna infosüsteemi ühtlustatud tarkvarakomponendid keskenduvad peamiselt andmete muundamisele, kuid võivad tähendada kaudseid nõudeid andmete registreerimisele ja andmete esitamisele tervisevaldkonna infosüsteemides. Tervisevaldkonna infosüsteemi ühtlustatud tarkvarakomponentide tehnilised spetsifikatsioonid tuleks määratleda rakendusaktidega ning need peaksid põhinema elektrooniliste terviseandmete Euroopa andmevahetusvormingu kasutamisel. Tervisevaldkonna infosüsteemi ühtlustatud tarkvarakomponendid tuleks kavandada nii, et need oleksid korduskasutatavad ja integreeruksid sujuvalt teiste komponentidega suuremas tarkvarasüsteemis. Tervisevaldkonna infosüsteemi ühtlustatud tarkvarakomponentide turvalisusnõuded peaksid hõlmama tervisevaldkonna infosüsteemidele omaseid elemente, kuna üldisemaid turvaomadusi peaksid toetama muud mehhanismid, näiteks Euroopa Parlamendi ja nõukogu määruse (EL) 2024/2847 (15) kohased mehhanismid. Selle protsessi toetamiseks tuleks luua Euroopa digitaalsed testimiskeskkonnad, mis võimaldavad automaatselt testida, kas tervisevaldkonna infosüsteemi ühtlustatud tarkvarakomponendid toimivad kooskõlas käesolevas määruses sätestatud nõuetega. Selleks tuleks komisjonile anda rakendamisvolitused, et määrata kindlaks selliste keskkondade ühtsed kirjeldused. Komisjon peaks välja töötama testimiskeskkonna jaoks vajaliku tarkvara ja tegema selle kättesaadavaks avatud lähtekoodina. Digitaalseid testimiskeskkondi peaksid käitama liikmesriigid, sest nad on tootjatele lähemal ja neil on paremad võimalused neid toetada. Tootjad peaksid kasutama neid digitaalseid testimiskeskkondi oma toodete testimiseks enne nende turule laskmist, olles samal ajal jätkuvalt täielikult vastutavad oma toodete nõuetele vastavuse eest. Testi tulemused peaksid olema osa toote tehnilisest dokumentatsioonist. Kui tervisevaldkonna infosüsteem või selle osa vastab Euroopa standarditele või ühtsetele kirjeldustele, tuleks tehnilises dokumentatsioonis esitada ka asjaomaste Euroopa standardite ja ühtsete kirjelduste loetelu. Tervisevaldkonna infosüsteemide võrreldavuse toetamiseks peaks komisjon koostama kõnealuste süsteemidega kaasas oleva tehnilise dokumentatsiooni ühtse vormi.

(37)

Tervisevaldkonna infosüsteemidega peaks kaasas olema teabeleht, mis sisaldab teavet professionaalsetele kasutajatele, ning selged ja täielikud kasutusjuhendid, sealhulgas puuetega inimestele juurdepääsetavas vormingus. Kui tervisevaldkonna infosüsteemiga ei ole kaasas kõnealust teavet, peaksid asjaomase tervisevaldkonna infosüsteemi tootja, selle volitatud esindaja ja kõik muud asjaomased ettevõtjad olema kohustatud lisama tervisevaldkonna infosüsteemi sellise teabelehe ja kasutusjuhendi.

(38)

Kuigi tervisevaldkonna infosüsteemide suhtes, mille tootja on spetsiaalselt ette näinud ühe või mitme konkreetse elektrooniliste terviseandmete kategooria töötlemiseks, tuleks kohaldada kohustuslikku enesesertifitseerimist, ei tohiks üldistel eesmärkidel kasutatavat tarkvara käsitada tervisevaldkonna infosüsteemina isegi siis, kui seda kasutatakse tervishoius, ning seetõttu ei tohiks selle puhul nõuda käesoleva määruse järgimist. See hõlmab selliseid juhtumeid nagu tekstitöötlustarkvara, mida kasutatakse teadete kirjutamiseks, millest saavad seejärel kirjalikud elektroonilised terviselood, üldotstarbeline vahetarkvara või andmebaaside haldamise tarkvara, mida kasutatakse andmesäilituslahenduse osana.

(39)

Käesoleva määrusega kehtestatakse tervisevaldkonna infosüsteemide ühtlustatud tarkvarakomponentide jaoks kohustuslik nõuetele vastavuse enesehindamise kava, tagamaks, et liidu turule lastavad tervisevaldkonna infosüsteemid suudavad vahetada andmeid elektrooniliste terviseandmete Euroopa andmevahetusvormingus ja et neil on nõutavad logimisfunktsioonid. See kohustuslik nõuetele vastavuse enesehindamine, mis toimuks tootja ELi vastavusdeklaratsiooni vormis, peaks tagama nende nõuete proportsionaalse täitmise, vältides samal ajal ebamõistlikku koormust liikmesriikidele ja tootjatele.

(40)

Tootjad peaksid tervisevaldkonna infosüsteemi saatedokumentidesse ja vajaduse korral selle pakendile kinnitama CE-vastavusmärgise, mis näitab, et tervisevaldkonna infosüsteem vastab käesolevale määrusele ja käesoleva määrusega hõlmamata aspektide puhul muule kohaldatavale liidu õigusele, millega samuti nõutakse sellise märgise kinnitamist. Liikmesriigid peaksid tuginema olemasolevatele mehhanismidele, et tagada CE-vastavusmärgist käsitlevate sätete nõuetekohane kohaldamine, ja võtma märgistuse vale kasutamise korral asjakohaseid meetmeid.

(41)

Liikmesriikidele peaks jääma pädevus määrata kindlaks nõuded tervisevaldkonna infosüsteemide muudele tarkvarakomponentidele ning tingimused tervishoiuteenuste osutajate ühendamiseks nende riiklike taristutega, mida võivad riigi tasandil hinnata kolmandad isikud. Et edendada tervisevaldkonna infosüsteemide, digitaalsete tervishoiutoodete ja nendega seotud teenuste siseturu sujuvat toimimist, on vajalik tagada võimalikult suur läbipaistvus nende riiklike õigusaktide osas, millega kehtestatakse nõuded tervisevaldkonna infosüsteemidele ja nähakse ette nende vastavushindamine muude aspektide kui käesoleva määruse kohaste tervisevaldkonna infosüsteemide ühtlustatud tarkvarakomponentide puhul. Liikmesriigid peaksid seega teavitama komisjoni oma riiklikest nõuetest, et komisjonil oleks vajalik teave tagamaks, et need nõuded ei kahjusta tervisevaldkonna infosüsteemide ühtlustatud tarkvarakomponente.

(42)

Tervisevaldkonna infosüsteemide teatud tarkvarakomponente võib käsitada määruse (EL) 2017/745 kohaselt meditsiiniseadmetena või in vitro diagnostikameditsiiniseadmetena vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2017/746 (16). Meditsiiniseadme, in vitro diagnostikameditsiiniseadme või suure riskiga tehisintellektisüsteemi määratluse alla kuuluv tarkvara või tarkvaramoodul(id) tuleks sertifitseerida vastavalt kooskõlas määrustega (EL) 2017/745, (EL) 2017/746 ja (EL) 2024/1689. Kuigi sellised tooted peavad vastama neid tooteid reguleeriva vastava määruse nõuetele, peaksid liikmesriigid võtma meetmeid tagamaks, et asjaomane vastavushindamine viiakse läbi kas ühis- või kooskõlastatud menetlusena, et piirata tootjate ja teiste ettevõtjate halduskoormust. Käesoleva määruse kohaseid olulisi koostalitlusnõudeid tuleks kohaldada üksnes juhul, kui meditsiiniseadme, in vitro diagnostikameditsiiniseadmete või suure riskiga tehisintellektisüsteemi tootja, kes esitab elektroonilisi terviseandmeid, mida töödeldakse osana tervisevaldkonna infosüsteemist, väidab, et olemas on koostalitlusvõime sellise tervisevaldkonna infosüsteemiga. Sellisel juhul tuleks selliste meditsiiniseadmete, in vitro diagnostikameditsiiniseadmete ja suure riskiga tehisintellektisüsteemide suhtes kohaldada tervisevaldkonna infosüsteemide ühtseid kirjeldusi käsitlevaid sätteid.

(43)

Koostalitlusvõime ja turvalisuse täiendavaks toetamiseks peaks liikmesriikidel olema võimalik tervishoiuteenuste korraldamise, osutamise või rahastamise kontekstis säilitada või kehtestada erireeglid tervisevaldkonna infosüsteemide hankimiseks, hüvitamiseks, või rahastamiseks riigi tasandil. Sellised erireeglid ei tohiks takistada tervisevaldkonna infosüsteemide vaba liikumist liidus. Mõned liikmesriigid on kehtestanud tervisevaldkonna infosüsteemide kohustusliku sertifitseerimise või kohustusliku koostalitlusvõime katsetamise nende ühendamiseks riigi digitervishoiu teenustega. Sellised nõuded on tavaliselt kajastatud tervishoiuteenuste osutajate ning riiklike või piirkondlike ametiasutuste korraldatud hankemenetlustes. Tervisevaldkonna infosüsteemide kohustuslik sertifitseerimine liidu tasandil peaks looma võrdlusaluse, mida saab kasutada riigi tasandi hankemenetlustes.

(44)

Et patsiendid saaksid tulemuslikult kasutada oma käesolevast määrusest tulenevaid õigusi, peaksid käesolevat määrust järgima ka tervishoiuteenuse osutajad, kes arendavad ja kasutavad tervisevaldkonna infosüsteemi asutusesiseselt sisetoimingute tegemiseks, ilma et nad süsteemi maksete või tasu eest turule laseksid. Sel juhul peaksid sellised tervishoiuteenuste osutajad täitma kõiki nõudeid, mida kohaldatakse selliste tervisevaldkonna infosüsteemide tootjate suhtes, mis on välja töötatud asutusesiseseks kasutamiseks ja mille tervishoiuteenuse osutajad on kasutusele võtnud. Võttes arvesse, et tervishoiuteenuste osutajad võivad vajada lisaaega, et valmistuda käesoleva määruse nõuete täitmiseks, tuleks neid nõudeid kohaldada selliste süsteemide suhtes alles pärast pikendatud üleminekuperioodi.

(45)

On vaja ette näha selge ja proportsionaalne kohustuste jaotus, mis vastab iga ettevõtja rollile tervisevaldkonna infosüsteemide tarne- ja turustusprotsessis. Ettevõtjad peaksid vastutama nõuete täitmise eest vastavalt oma rollile sellises protsessis ja tagama, et nad teevad turul kättesaadavaks ainult sellised tervisevaldkonna infosüsteemid, mis vastavad asjaomastele nõuetele.

(46)

Tervisevaldkonna infosüsteemide tootjad peaksid tõendama vastavust olulistele koostalitlus- ja turvanõuetele ühtsete kirjelduste rakendamise kaudu. Selleks tuleks komisjonile anda rakendamisvolitused selliste ühtsete kirjelduste kindlaksmääramiseks, mis käsitlevad andmestikke, kodeerimissüsteeme, tehnilisi spetsifikatsioone, standardeid, spetsifikatsioone ja profiile, samuti patsiendi ohutuse ja isikuandmete turvalisuse, konfidentsiaalsuse, tervikluse ja kaitsega seotud nõudeid ja põhimõtteid, ning identimise haldamise ja e-identimise kasutamisega seotud spetsifikatsioone ja nõudeid. Digitervishoiuasutused peaksid selliste ühtsete kirjelduste väljatöötamisele kaasa aitama. Kohaldataval juhul peaksid need ühtsed kirjeldused põhinema tervisevaldkonna infosüsteemide ühtlustatud tarkvarakomponente käsitlevatel olemasolevatel ühtlustatud standarditel ja olema kooskõlas valdkondliku õigusega. Kui ühtsel kirjeldusel on tervisevaldkonna infosüsteemide isikuandmete kaitse nõuetele eriti suur mõju, tuleks seda enne selle vastuvõtmist arutada Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektoriga vastavalt määruse (EL) 2018/1725 artikli 42 lõikele 2.

(47)

Et tagada käesolevas määruses sätestatud nõuete ja kohustuste asjakohane ja tulemuslik täitmine, tuleks kohaldada Euroopa Parlamendi ja nõukogu määrusega (EL) 2019/1020 (17) kehtestatud turujärelevalve ja toodete vastavuse süsteemi. Sõltuvalt riigi tasandil kindlaks määratud korraldusest võivad selliseid turujärelevalvemeetmeid ellu viia digitervishoiuasutused, kes tagavad käesoleva määruse II peatüki nõuetekohase rakendamise, või eraldi turujärelevalveasutus, kes vastutab tervisevaldkonna infosüsteemide eest. Kuigi digitervishoiuasutuste määramine turujärelevalveasutusteks võib anda olulisi praktilisi eeliseid tervishoiu ja hoolduse rakendamisel, tuleks vältida huvide konflikte, näiteks eri ülesannete lahushoidmisega.

(48)

Turujärelevalveasutuste töötajatel ei tohiks olla otseseid ega kaudseid majanduslikke, finantsilisi või isiklikke huvide konflikte, mida võiks pidada nende sõltumatust kahjustavaks, ja eelkõige ei tohiks nad olla olukorras, mis võib otseselt või kaudselt mõjutada nende ametialase tegevuse erapooletust. Liikmesriigid peaksid määrama kindlaks ja avaldama turujärelevalveasutuste valikumenetluse. Nad peaksid tagama, et menetlus on läbipaistev ega võimalda huvide konfliktide tekkimist.

(49)

Heaolurakenduste, sealhulgas mobiilirakenduste kasutajaid tuleks teavitada võimalusest ühendada sellised rakendused tervisevaldkonna infosüsteemidega või riiklike elektrooniliste tervishoiualaste lahendustega ja edastada rakendustest neisse andmeid, kui heaolurakenduste genereeritud andmed on tervishoius kasulikud. Andmete ülekantavuse seisukohast on oluline ka võimalus eksportida nendest rakendustest andmeid koostalitlusvõimelises vormingus. Vajaduse korral tuleks kasutajaid teavitada ka sellest, kas sellised heaolurakendused vastavad koostalitlus- ja turvanõuetele. Võttes aga arvesse heaolurakenduste suurt arvu ja neist paljude genereeritavate andmete piiratud asjakohasust tervishoiu jaoks, ei oleks nende rakenduste sertifitseerimissüsteem proportsionaalne. Seepärast tuleks kehtestada heaolurakendustele, mis väidetavalt on koostalitusvõimelised tervisevaldkonna infosüsteemidega, kohustuslik märgistamissüsteem, mis oleks asjakohane mehhanism, mis võimaldab tagada heaolurakenduste kasutajatele läbipaistvuse seoses käesoleva määruse nõuete täitmisega, aidates seeläbi kasutajatel valida sellised sobivad heaolurakendused, mis vastavad rangetele koostalitlus- ja turvanõuetele. Komisjon peaks rakendusaktidega sätestama sellise märgise vormi ja sisu üksikasjad.

(50)

Liikmesriikidele peaks jääma õigus reguleerida heaolurakenduste kasutamise muid aspekte, tingimusel et vastavad reeglid on kooskõlas liidu õigusega.

(51)

Levitada tuleb teavet sertifitseeritud tervisevaldkonna infosüsteemide ja märgistatud heaolurakenduste kohta, et selliste toodete hankijad ja kasutajad leiaksid oma konkreetsetele vajadustele vastavad koostalitlusvõimelised lahendused. Seepärast tuleks liidu tasandil luua andmebaas, mis sisaldab määruste (EL) 2017/745 ja (EL) 2024/1689 kohaldamisalast väljapoole jäävaid koostalitlusvõimelisi tervisevaldkonna infosüsteeme ja heaolurakendusi ning mis sarnaneb määrusega (EL) 2017/745 loodud Euroopa meditsiiniseadmete andmebaasiga (Eudamed). Koostalitlusvõimeliste tervisevaldkonna infosüsteemide ja heaolurakenduste registreerimise ELi andmebaasi eesmärk peaks olema suurendada üldist läbipaistvust, vältida mitmekordseid aruandlusnõudeid ning ühtlustada ja hõlbustada teabe liikumist. Meditsiiniseadmete ja tehisintellektisüsteemide puhul tuleks jätkata registreerimist olemasolevates andmebaasides, mis on loodud määruste (EL) 2017/745 ja (EL) 2024/1689 alusel, kuid hankijatele teabe andmiseks peaksid tootjad teatama koostalitlusnõuetele vastavusest, kui nad väidavad, et need nõuded on täidetud.

(52)

Ilma et see takistaks või asendaks olemasolevaid lepingulisi kokkuleppeid või muid mehhanisme, on käesoleva määruse eesmärk luua kogu liidus ühine mehhanism juurdepääsuks elektroonilistele terviseandmetele teiseseks kasutuseks. Selle mehhanismi kohaselt peaksid terviseandmete valdajad tegema nende valduses olevad andmed andmeloa või terviseandmete päringu alusel kättesaadavaks. Elektrooniliste terviseandmete teiseseks kasutuseks töötlemiseks on nõutav üks määruse (EL) 2016/679 artikli 6 lõike 1 punktides a, c, e või f osutatud õiguslikest alustest koostoimes artikli 9 lõikega 2. Sellest tulenevalt nähakse käesoleva määrusega ette õiguslik alus isikustatud elektrooniliste terviseandmete teiseseks kasutuseks, sealhulgas määruse (EL) 2016/679 artikli 9 lõike 2 punktides g–j nõutud kaitsemeetmed, et võimaldada andmete eriliikide töötlemist, mis puudutab seaduslikke eesmärke, terviseandmetele juurdepääsu võimaldamise usaldusväärset juhtimist terviseandmetele juurdepääsu asutuste kaasamise kaudu ja turvalises töötlemiskeskkonnas töötlemist ning andmeloas sätestatud andmetöötluse korda. Sellest tulenevalt ei tohi liikmesriikidel enam olla lubatud säilitada ega kehtestada määruse (EL) 2016/679 artikli 9 lõike 4 alusel täiendavaid tingimusi, sealhulgas piiranguid ega erisätteid, millega küsitakse füüsilistelt isikutelt nõusolekut, seoses isikustatud elektrooniliste terviseandmete teiseseks kasutuseks töötlemisega käesoleva määruse alusel, välja arvatud rangemate meetmete ja täiendavate kaitsemeetmete kehtestamiseks riiklikul tasandil, mille eesmärk on kaitsta teatavate andmete tundlikkust ja väärtust, nagu on sätestatud käesolevas määruses. Terviseandmete taotlejad peaksid tõendama ka määruse (EL) 2016/679 artikli 6 kohast õiguslikku alust, millele tuginedes nad võivad käesoleva määruse kohaselt taotleda juurdepääsu elektroonilistele terviseandmetele, ning nad peaksid täitma IV peatükis sätestatud tingimused. Lisaks peaks terviseandmetele juurdepääsu asutus hindama terviseandmete taotleja esitatud teavet ning selle alusel peaks ta saama väljastada andmeloa isikustatud elektrooniliste terviseandmete töötlemiseks käesoleva määruse kohaselt, mis peaks vastama käesoleva määruse IV peatükis sätestatud tingimustele. Andmevaldaja valduses olevate elektrooniliste terviseandmete töötlemiseks kehtestatakse käesoleva määrusega määruse (EL) 2016/679 artikli 6 lõike 1 punkti c kohaselt ning kooskõlas sama määruse artikli 9 lõike 2 punktidega i ja j õiguslik kohustus, et terviseandmete valdaja peab avalikustama isikustatud elektroonilisi terviseandmeid terviseandmetele juurdepääsu asutustele, ilma et see mõjutaks algse töötlemise õiguslikku alust, nagu tervishoiuteenuste võimaldamine. Käesoleva määrusega antakse terviseandmetele juurdepääsu asutustele ka avalikes huvides olevad ülesanded määruse (EL) 2016/679 artikli 6 lõike 1 punkti e tähenduses ning see on kooskõlas kohaldataval juhul kõnealuse määruse artikli 9 lõike 2 punktide g–j nõuetega. Kui terviseandmete kasutaja tugineb õiguslikule alusele, mis on sätestatud määruse (EL) 2016/679 artikli 6 lõike 1 punktis e või f, tuleks määruse (EL) 2016/679 artikli 9 lõikes 2 nõutud kaitsemeetmed sätestada käesolevas määruses.

(53)

Teiseseks kasutuseks kasutatavad elektroonilised terviseandmed võib tuua suurt ühiskondlikku kasu. Tuleks julgustada reaalandmete ja tegelikes tingimustes saadud tõendite, sealhulgas patsientide enda teatatud tulemuste kasutuselevõttu tõenduspõhistel regulatiivsetel ja poliitilistel eesmärkidel, samuti teadusuuringutes, tervisetehnoloogia hindamises ja kliinilistes eesmärkides. Reaalandmed ja tegelikes tingimustes saadud tõendid võivad täiendada praegu kättesaadavaks tehtud terviseandmeid. Selle eesmärgi saavutamiseks on oluline, et käesoleva määruse kohaselt teiseseks kasutuseks kättesaadavaks tehtud andmestikud oleksid võimalikult täielikud. Käesoleva määrusega nähakse ette vajalikud kaitsemeetmed, et maandada teatud riske, mis nende hüvede saavutamisega kaasnevad. Elektrooniliste terviseandmete teisene kasutus põhineb pseudonüümitud või anonüümitud andmetel, et välistada andmesubjektide tuvastamine.

(54)

Et tasakaalustada terviseandmete kasutajate vajadust omada ammendavaid ja representatiivseid andmestikke ning füüsiliste isikute vajadust autonoomiaks oma selliste isikustatud elektrooniliste terviseandmete üle, mida peetakse eriti tundlikeks, peaks füüsilistel isikutel olema võimalik otsustada, kas nende isikustatud elektroonilisi terviseandmeid võib töödelda teiseseks kasutuseks käesoleva määruse alusel, nii et neil oleks õigus loobuda oma isikustatud elektrooniliste terviseandmete kättesaadavaks tegemisest teiseseks kasutuseks. Tuleks ette näha kergesti mõistetav ja juurdepääsetav kasutajasõbralik mehhanism sellise loobumisõiguse kasutamiseks. Lisaks on hädavajalik anda füüsilistele isikutele piisavat ja täielikku teavet nende õiguse kohta loobuda, sealhulgas selle õiguse kasutamise eeliste ja puuduste kohta. Füüsilistelt isikutelt ei tohiks nõuda loobumise põhjuseid ja neil peaks olema võimalus oma valikut igal ajal uuesti muuta. Teatud eesmärkidel, mis on tugevalt seotud avaliku huviga, näiteks kaitsmine tõsiste piiriüleste terviseohtude eest või teadusuuringud avaliku huviga seotud olulistel põhjustel, on siiski asjakohane anda liikmesriikidele võimalus kehtestada oma riigi konteksti arvestades mehhanismid, mis võimaldavad juurdepääsu nende füüsiliste isikute isikustatud elektroonilistele terviseandmetele, kes on kasutanud loobumisõigust, et tagada sellistes olukordades täielike andmestike kättesaadavus. Sellised mehhanismid peaksid vastama käesoleva määrusega teiseseks kasutuseks kehtestatud nõuetele. Avaliku huviga seotud olulistel põhjustel tehtavad teadusuuringud võiksid hõlmata näiteks teadusuuringuid, mis käsitlevad rahuldamata ravivajadusi, sealhulgas harvikhaiguste puhul, või tekkivaid terviseohte. Sellist loobumisõiguse tühistamist käsitlevad normid peaksid austama põhiõiguste ja -vabaduste olemust ning olema demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et täita avalikku huvi seoses õiguspäraste teaduslike ja ühiskondlike eesmärkidega. Sellist loobumisõiguse tühistamist peaksid saama kasutada ainult need terviseandmete kasutajad, kes on avaliku sektori asutused, sealhulgas asjaomased liidu institutsioonid, organid või asutused, kellel on volitused täita rahvatervise valdkonna ülesandeid, või muu üksus, kellele on usaldatud rahvatervise valdkonna avalik-õiguslike ülesannete täitmine või kes tegutseb avaliku sektori asutuse nimel või kellele avaliku sektori asutus on esitanud tellimuse, ning ainult juhul, kui andmeid ei ole võimalik õigeaegselt ja tulemuslikult saada alternatiivsete vahenditega. Need terviseandmete kasutajad peaksid põhjendama, et loobumisõiguse tühistamine on vajalik individuaalse terviseandmetele juurdepääsu taotluse või andmepäringu jaoks. Sellise loobumisõiguse tühistamise korral kohaldavad terviseandmete kasutajad jätkuvalt IV peatüki kohaseid kaitsemeetmeid, eelkõige keeldu asjaomaseid füüsilisi isikuid tagasituvastada või püüda neid tagasituvastada.

(55)

Euroopa terviseandmeruumi kontekstis on elektroonilised terviseandmed juba olemas ja neid koguvad oma tegevuse käigus muu hulgas tervishoiuteenuse osutajad, kutseliidud, avalik-õiguslikud asutused, reguleerivad asutused, teadlased, kindlustusandjad jne. Need andmed tuleks teha kättesaadavaks ka teiseseks kasutuseks, st andmete töötlemiseks muul eesmärgil kui see, milleks need koguti või genereeriti, kuid paljusid selliseid andmeid ei tehta sellisel eesmärgil töötlemiseks kättesaadavaks. Paljud olemasolevad terviseandmed ei ole siiski kättesaadavad muul eesmärgil kui see, milleks need koguti. See piirab teadlaste, novaatorite, poliitikakujundajate, reguleerivate asutuste ja arstide võimalust kasutada neid andmeid teistsugustel eesmärkidel, sealhulgas teadusuuringutes, innovatsioonis, poliitikakujundamises, regulatiivsetel eesmärkidel, patsiendi ohutuse tagamisel või personaalmeditsiinis. Et täielikult ära kasutada teisesest kasutusest saadavat kasu, peaksid kõik terviseandmete valdajad sellele jõupingutusele kaasa aitama, tehes enda valduses olevad eri kategooriate elektroonilised terviseandmed teiseseks kasutuseks kättesaadavaks, tingimusel et selliseid jõupingutusi tehakse alati tulemuslike ja turvaliste protsesside kaudu ning järgides nõuetekohaselt ametikohustusi, näiteks konfidentsiaalsuskohustusi.

(56)

Selliste elektrooniliste terviseandmete kategooriad, mida saab teisese kasutuse eesmärgil töödelda, peaksid olema piisavalt laiad ja paindlikud, et võtta arvesse terviseandmete kasutajate muutuvaid vajadusi, kuid piirduma siiski andmetega, mis on tervisega seotud või mõjutavad teadaolevalt tervist. Need võivad hõlmata ka asjakohaseid tervishoiusüsteemi andmeid, nagu elektroonilised terviselood, tervisekindlustushüvitise nõuete andmed, ravimite väljastamise andmed, andmed haigusregistritest või genoomiandmed, ja andmeid tervist mõjutavate tegurite kohta, nagu eri ainete tarbimine, sotsiaalmajanduslik staatus, käitumine ja andmed selliste keskkonnategurite kohta nagu reostus, kiirgus või teatavate keemiliste ainete kasutamine. Need teiseseks kasutuseks mõeldud elektrooniliste terviseandmete kategooriad hõlmavad mõnesid andmekategooriaid, mida algselt koguti muudel eesmärkidel, nagu teadusuuringud, statistika, patsiendi ohutus, regulatiivne tegevus või poliitikakujundamine, näiteks poliitikakujundamise registrid või ravimite või meditsiiniseadmete kõrvalmõjusid käsitlevad registrid. Mõnes valdkonnas on kättesaadavad Euroopa andmebaasid, mis hõlbustavad andmete (taas)kasutust: näiteks vähktõve (Euroopa vähiteabesüsteem) või harvikhaiguste valdkonnas (näiteks harvikhaiguste registreerimise Euroopa platvorm, Euroopa tugivõrgustike registrid). Sellised elektrooniliste terviseandmete kategooriad, mida saab teisese kasutuse eesmärgil töödelda, peaksid hõlmama ka meditsiiniseadmete abil automaatselt loodud andmeid ja isiku loodud andmeid, näiteks heaolurakendustest saadud andmed. Kliiniliste uuringute andmed tuleks samuti lisada teiseseks kasutuseks mõeldud elektrooniliste terviseandmete kategooriate hulka, kui kliiniline uuring on lõppenud, ilma et see mõjutaks käimasolevate uuringute sponsorite vabatahtlikku andmete jagamist. Teiseseks kasutuseks mõeldud elektroonilised terviseandmed tuleks teha eelistatavalt kättesaadavaks struktureeritud elektroonilises vormingus, mis hõlbustab nende töötlemist arvutisüsteemides. Struktureeritud elektroonilised vormingud on näiteks kirjed relatsioonandmebaasis, XML-dokumendid või CSV-failid ja vabas vormis tekst, heli, video ja pilt, mis on esitatud arvutis loetavate failidena.

(57)

Terviseandmete kasutajad, kellel on juurdepääs käesoleva määruse alusel esitatud andmestikele, võivad täiendada neis andmestikes olevaid andmeid mitmesuguste paranduste, märkuste ja muude täiendustega, näiteks esitades puuduvad andmed või täiendades mittetäielikke andmeid, parandades seeläbi andmestikes sisalduvate andmete täpsust, täielikkust või kvaliteeti. Terviseandmete kasutajaid tuleks julgustada andmestikes esinevatest kriitilistest vigadest terviseandmetele juurdepääsu asutustele teada andma. Selleks et toetada algse andmebaasi täiendamist ja täiustatud andmestiku edasist kasutamist, peaks liikmesriikidel olema võimalik kehtestada elektrooniliste terviseandmete töötlemise ja kasutamise reeglid, mis sisaldavad nende andmete töötlemisega seotud täiustusi. Täiustatud andmestik ja tehtud muudatuste kirjeldus tuleks teha algsele terviseandmete valdajale tasuta kättesaadavaks. Terviseandmete valdaja peaks tegema uue andmestiku kättesaadavaks, välja arvatud juhul, kui ta esitab terviseandmetele juurdepääsu asutusele põhjendatud teate otsuse kohta seda mitte teha, näiteks juhul, kui terviseandmete kasutajate tehtud täienduste kvaliteet on kehv. Samuti tuleks tagada isikustamata elektrooniliste terviseandmete kättesaadavus teiseseks kasutuseks. Eelkõige on patogeenide genoomiandmed inimeste tervise seisukohast väga väärtuslikud, nagu näitas COVID-19 pandeemia, mil kiire juurdepääs sellistele andmetele ja nende jagamine osutus äärmiselt oluliseks tuvastusvahendite, meditsiiniliste vastumeetmete ja rahvatervist ähvardavatele ohtudele reageerimise meetmete kiireks väljatöötamiseks. Patogeenide genoomide uurimisel tehtud jõupingutustest saadakse suurimat kasu siis, kui rahvatervise ja teadusprotsesside valdkonnas kasutatakse samu andmestikke ning tehakse vastastikuse teavitamise ja täiustamise nimel koostööd.

(58)

Et isikustatud elektrooniliste terviseandmete teisene kasutus oleks tulemuslikum ja kasutaks täiel määral ära käesoleva määrusega pakutavaid võimalusi, tuleks IV peatükis kirjeldatud elektrooniliste terviseandmete kättesaadavust Euroopa terviseandmeruumis võimaldada nii, et andmed oleksid võimalikult kättesaadavad, kvaliteetsed, valmis ja sobivad teadusliku, uuendusliku ja ühiskondliku väärtuse ja kvaliteedi loomiseks. Euroopa terviseandmeruumi rakendamine ja andmestike edasine täiustamine peaks toimuma viisil, mis seab esikohale andmestikud, mis on sellise väärtuse ja kvaliteedi loomiseks kõige sobivamad.

(59)

Avalik-õiguslikud või eraõiguslikud üksused saavad sageli rahalisi vahendeid avalikult sektorilt, st riigilt või liidult, et koguda ja töödelda elektroonilisi terviseandmeid teadusuuringute, ametliku või mitteametliku statistika või muudel sarnastel eesmärkidel, sealhulgas valdkondades, kus selliste andmete kogumine on killustatud või keeruline, näiteks harvikhaiguste või vähktõvega seonduvates valdkondades. Terviseandmete valdajad peaksid tegema sellised andmed, mida nad koguvad ja töötlevad liidu või riigi vahendite abil, kättesaadavaks terviseandmetele juurdepääsu asutustele, et maksimeerida avaliku sektori investeeringute mõju ning toetada teadusuuringuid, innovatsiooni, patsiendi ohutust või ühiskonnale kasu toovat poliitikakujundamist. Mõnes liikmesriigis on tervishoiusektoris otsustav tähtsus eraõiguslikel üksustel, sealhulgas erasektori tervishoiuteenuse osutajatel ja kutseliitudel. Selliste teenuseosutajate valduses olevad terviseandmed tuleks teha kättesaadavaks ka teiseseks kasutuseks. Seepärast peaksid terviseandmete valdajad teisese kasutuse kontekstis olema üksused, kes on tervishoiuteenuse osutajad või hooldusteenuse osutajad või teevad tervishoiu- või hooldussektoriga seotud teadusuuringuid või töötavad välja tervishoiu- või hooldussektorile mõeldud tooteid või teenuseid. Sellised üksused võivad olla avalik-õiguslikud, mittetulunduslikud või eraõiguslikud. Kooskõlas selle määratlusega tuleks terviseandmete valdajateks pidada hooldekodusid, päevakeskusi, puuetega inimestele teenuseid osutavaid üksusi, hooldusega seotud äri- ja tehnoloogilise tegevusega tegelevaid üksusi, näiteks ortopeediat, ning hooldusteenuseid osutavaid ettevõtteid. Heaolurakendusi välja töötavad juriidilised isikud peaksid samuti olema terviseandmete valdajad. Terviseandmete valdajateks tuleks pidada ka liidu institutsioone, organeid või asutusi, kes töötlevad kõnealuseid tervise- ja tervishoiuandmeid ning surma põhjuste registreid. Ebaproportsionaalse koormuse vältimiseks tuleks füüsilised isikud ja mikroettevõtjad üldjuhul terviseandmete valdaja kohustustest vabastada. Liikmesriikidel peaks siiski olema võimalik laiendada oma riiklikus õiguses terviseandmete valdajate kohustusi füüsilistele isikutele ja mikroettevõtjatele. Halduskoormuse vähendamiseks ning tulemuslikkuse ja tõhususe põhimõtteid silmas pidades peaks liikmesriikidel olema võimalik oma õiguses nõuda, et teatud terviseandmete valdajate rühmade puhul peavad andmevaldaja ülesandeid täitma terviseandmeid vahendavad üksused. Sellised terviseandmeid vahendavad üksused peaksid olema juriidilised isikud, kes saavad andmevaldajate esitatud elektroonilisi terviseandmeid teiseseks kasutuseks töödelda, registreerida, edastada, piirata neile juurdepääsu ja neid vahetada. Sellised terviseandmeid vahendavad üksused täidavad teistsuguseid ülesandeid kui määruse (EL) 2022/868 kohase andmevahendusteenusega seotud ülesanded.

(60)

Intellektuaalomandi õiguste või ärisaladustega kaitstud elektroonilised terviseandmed, sealhulgas kliiniliste uuringute ja uurimuste andmed võivad olla teiseseks kasutuseks väga kasulikud ja edendada liidus innovatsiooni liidu patsientide hüvanguks. Et stimuleerida liidu jätkuvat juhtpositsiooni selles valdkonnas, on oluline julgustada Euroopa terviseandmeruumi kaudu kliiniliste uuringute ja kliiniliste uurimuste andmete vahetamist teiseseks kasutuseks. Kliiniliste uuringute ja kliiniliste uurimuste andmed tuleks teha kättesaadavaks võimalikult suures ulatuses, võttes samal ajal kõik vajalikud meetmed intellektuaalomandi õiguste ja ärisaladuste kaitsmiseks. Käesolevat määrust ei tohiks kasutada sellise kaitse vähendamiseks või sellest kõrvalehoidmiseks ning see peaks olema kooskõlas liidu õiguses sätestatud asjaomaste läbipaistvussätetega, sealhulgas nendega, mis on ette nähtud kliiniliste uuringute ja kliiniliste uurimuste andmete kohta. Terviseandmetele juurdepääsu asutus peab hindama, kuidas seda kaitset säilitada, võimaldades samal ajal terviseandmete kasutajatele võimalikult suure juurdepääsu sellistele andmetele. Kui terviseandmetele juurdepääsu asutusel ei ole võimalik sellistele terviseandmetele juurdepääsu võimaldada, peaks ta terviseandmete kasutajat sellest teavitama ja selgitama, miks sellist juurdepääsu ei ole võimalik anda. Õiguslikud, korralduslikud ja tehnilised meetmed intellektuaalomandi õiguste või ärisaladuste kaitsmiseks võivad hõlmata ühiseid elektroonilistele terviseandmetele juurdepääsu lepingulisi kokkuleppeid, selliste õigustega seotud erikohustusi andmeloa raames, andmete eeltöötlust, et luua tuletatud andmeid, mis kaitsevad ärisaladust, kuid on terviseandmete kasutaja jaoks siiski kasulikud, või turvalise töötlemiskeskkonna konfiguratsiooni, nii et terviseandmete kasutajal ei ole sellistele andmetele juurdepääsu.

(61)

Terviseandmete teisene kasutus Euroopa terviseandmeruumis peaks võimaldama avalik-õiguslikel, eraõiguslikel ja mittetulunduslikel üksustel, ning ka üksikutel teadlastel pääseda kooskõlas käesolevas määruses sätestatud eesmärkidega juurde terviseandmetele, et kasutada neid teadusuuringutes, innovatsioonis, poliitikakujundamises, haridustegevuses, patsiendi ohutuse tagamisel, regulatiivses tegevuses või personaalmeditsiini jaoks. Juurdepääs teiseseks kasutuseks mõeldud andmetele peaks teenima ühiskonna üldisi huve. Eelkõige peaks terviseandmete teisene kasutus teadus- ja arendustegevuse eesmärgil andma kasu ühiskonnale uute ravimite, meditsiiniseadmete, tervishoiutoodete ja -teenuste näol, mis jõuavad liidu kodanikeni taskukohase ja õiglase hinnaga, ning parandama juurdepääsu sellistele andmetele ja nende toodete ja teenuste kättesaadavust kõigis liikmesriikides. Tegevused, mille puhul juurdepääs on käesoleva määruse kontekstis õiguspärane, võivad hõlmata elektrooniliste terviseandmete kasutamist avalik-õiguslike asutuste ülesannete täitmiseks, näiteks avalike ülesannete täitmiseks, sealhulgas rahvatervise seireks ning rahvatervisealaseks kavandamiseks ja aruandluseks, tervishoiupoliitika kujundamiseks ning patsiendi ohutuse, hoolduse kvaliteedi ja tervishoiusüsteemide kestlikkuse tagamiseks. Avalik-õiguslikud asutused ning liidu institutsioonid, organid ja asutused võivad vajada korrapärast pikema kestusega juurdepääsu elektroonilistele terviseandmetele, muu hulgas selleks, et täita neile käesoleva määrusega antud volitusi. Avaliku sektori asutused võivad mainitud teadustegevuse elluviimiseks kasutada kolmandaid isikuid, sealhulgas alltöövõtjaid, tingimusel et avaliku sektori asutus teeb alati sellise tegevuse üle järelevalvet. Andmete esitamisega tuleks toetada ka tegevusi, mis on seotud teadusuuringutega. Teadusuuringute eesmärke tuleks tõlgendada laialt, nii et need hõlmavad näiteks tehnoloogiaarendust ja tutvustamistegevust, alusuuringuid, rakendusuuringuid ja erasektori rahastatavaid teadusuuringuid. Teadusuuringutega seotud tegevuste hulka kuulub innovatsioonitegevus, nagu selliste tehisintellekti algoritmide treenimine, mida saaks kasutada füüsiliste isikute tervishoius või hoolduses, ning olemasolevate algoritmide ja toodete hindamine ja edasiarendamine sellistel eesmärkidel. On vaja, et Euroopa terviseandmeruum aitaks kaasa ka alusuuringutele ning kuigi sellest lõppkasutajatele ja patsientidele tulenev kasu võib olla vähem otsene, on sellised alusuuringud pikas perspektiivis ühiskondliku kasu seisukohast üliolulised. Mõnel juhul võib teave mõne füüsilise isiku kohta, näiteks teatavat haigust põdevate füüsiliste isikute genoomiteave, aidata kaasa teiste füüsiliste isikute diagnoosimisele või ravile. Avalik-õiguslikel asutustel on vaja minna määruse (EL) 2023/2854 V peatüki kohase erakorralise vajaduse kohaldamisalast kaugemale. Terviseandmetele juurdepääsu asutustel peaks siiski olema lubatud toetada avaliku sektori asutusi andmete töötlemisel või linkimisel. Käesoleva määrusega antakse avaliku sektori asutustele kanal juurdepääsuks teabele, mida nad vajavad neile seadusega määratud ülesannete täitmiseks, kuid ei laiendata selliste avaliku sektori asutuste volitusi.

(62)

Keelata tuleks kõik katsed kasutada elektroonilisi terviseandmeid füüsilist isikut kahjustavateks meetmeteks, näiteks kindlustusmaksete suurendamiseks ning töö, pensioni või pangandusega seotud tegevusteks, mis võivad olla füüsilistele isikutele kahjulikud, sealhulgas kinnisvara hüpoteegi seadmine, toodete või ravi reklaamimiseks, automatiseeritud üksikotsuste tegemiseks, füüsiliste isikute tagasi tuvastamiseks või kahjulike toodete väljatöötamiseks. Seda keeldu tuleks kohaldada ka tegevuste suhtes, mis on vastuolus liikmesriigi õigusaktide eetikasätetega, välja arvatud eetikasätted, mis puudutavad isikuandmete töötlemiseks nõusolekut, ja eetikasätted, mis puudutavad loobumisõigust, kuna kooskõlas liidu õiguse esimuse üldpõhimõttega on käesolev määrus riikliku õiguse suhtes ülimuslik. Samuti peaks olema keelatud anda elektroonilistele terviseandmetele juurdepääs või teha need muul viisil kättesaadavaks andmeloas nimetamata kolmandatele isikutele. Andmeloale tuleks märkida volitatud isikute, eelkõige vastutava uurija isikuandmed, kellel on käesoleva määruse kohaselt õigus pääseda juurde elektroonilistele terviseandmetele turvalises töötlemiskeskkonnas. Vastutavad uurijad on peamised isikud, kes vastutavad elektroonilistele terviseandmetele juurdepääsu taotlemise ja taotletud andmete töötlemise eest turvalises töötlemiskeskkonnas terviseandmete kasutaja nimel.

(63)

Käesoleva määrusega ei anta volitusi terviseandmete teiseseks kasutuseks õiguskaitse eesmärgil. Käesoleva määrusega hõlmatud teisese kasutuse eesmärgid ei tohiks hõlmata kuritegude tõkestamist, uurimist, avastamist või nende eest vastutusele võtmist või kriminaalkaristuste täitmisele pööramist pädevate asutuste poolt. Seetõttu ei tohiks kohtuid ja muid õigussüsteemi üksusi pidada terviseandmete kasutajateks terviseandmete teiseses kasutuses käesoleva määruse alusel. Lisaks ei tohiks terviseandmete valdajate määratlus hõlmata kohtuid ja muid õigussüsteemi üksusi ning seetõttu ei tohiks nende suhtes kohaldada käesoleva määruse alusel terviseandmete valdajate suhtes kehtivaid kohustusi. Lisaks ei mõjuta käesolev määrus pädevate asutuste seadusjärgseid volitusi ennetada, uurida ja avastada elektrooniliste terviseandmete hankimisega seotud kuritegusid või nende eest vastutusele võtta. Samuti ei kuulu käesoleva määruse kohaldamisalasse elektroonilised terviseandmed, mida kohtud hoiavad kohtumenetluse eesmärgil.

(64)

Tervisega seotud andmete teisese kasutuse edendamiseks on äärmiselt oluline luua liikmesriikides üks või mitu terviseandmetele juurdepääsu asutust, mille ülesanne on toetada juurdepääsu elektroonilistele terviseandmetele. Seepärast peaksid liikmesriigid looma olenevalt, inter alia, oma põhiseaduslikust, korralduslikust ja haldusstruktuurist ühe või mitu terviseandmetele juurdepääsu asutust. Üks neist terviseandmetele juurdepääsu asutustest tuleks siiski määrata koordinaatoriks, kui terviseandmetele juurdepääsu asutusi on rohkem kui üks. Kui liikmesriik loob mitu terviseandmetele juurdepääsu asutust, peaks ta kehtestama riigi tasandil reeglid, et tagada nende asutuste koordineeritud osalemine Euroopa terviseandmeruumi nõukogus. Selline liikmesriik peaks eelkõige määrama ühe terviseandmetele juurdepääsu asutuse, kes tegutseb ühtse kontaktpunktina nende asutuste tulemuslikuks osalemiseks, ning tagama kiire ja sujuva koostöö teiste terviseandmetele juurdepääsu asutustega, Euroopa terviseandmeruumi nõukogu ja komisjoniga. Terviseandmetele juurdepääsu asutused võivad korralduse ja suuruse poolest erineda alates sihtotstarbelisest täieõiguslikust organisatsioonist kuni olemasoleva organisatsiooni üksuse või osakonnani. Terviseandmetele juurdepääsu asutusi ei tohiks mõjutada selliste otsuste tegemisel, mis käsitlevad elektroonilistele andmetele juurdepääsu nende teiseseks kasutuseks, ja neis tuleks vältida huvide konflikti. Iga terviseandmetele juurdepääsu asutuse juhtimis- ja otsustusorganite liikmed ning selle asutuse töötajad peaksid seega hoiduma igasugusest tegevusest, mis on vastuolus nende ülesannetega, ning nad ei tohiks tegutseda ühelgi kokkusobimatul kutsealal. Terviseandmetele juurdepääsu asutuste sõltumatus ei tohiks siiski tähendada, et nende suhtes ei saa kohaldada kontrolli- või järelevalvemehhanisme seoses nende finantskuludega ega kohtulikku kontrolli. Igale terviseandmetele juurdepääsu asutusele tuleks anda rahalised, tehnilised ja inimressursid, ruumid ja taristu, mis on vajalikud tema ülesannete, sealhulgas kogu liidus teiste terviseandmetele juurdepääsu asutustega tehtava koostööga seotud ülesannete tulemuslikuks täitmiseks. Terviseandmetele juurdepääsu asutuste juhtimis- ja otsustusorganite liikmetel ja nende asutuste töötajatel peaks olema vajalik kvalifikatsioon, kogemused ja oskused. Igal terviseandmetele juurdepääsu asutusel peaks olema eraldi avalik aastaeelarve, mis võib olla piirkonna või riigi üldeelarve osa. Et võimaldada paremat juurdepääsu terviseandmetele ning täiendada määruse (EL) 2022/868 artikli 7 lõiget 2, peaksid liikmesriigid andma terviseandmetele juurdepääsu asutustele volituse teha otsuseid terviseandmetele juurdepääsu ja nende teisese kasutuse kohta. See võib seisneda uute ülesannete andmises pädevatele asutustele, kelle liikmesriigid on määranud vastavalt määruse (EL) 2022/868 artikli 7 lõikele 1, või selliste ülesannete eest vastutavate olemasolevate või uute valdkondlike asutuste määramises seoses terviseandmetele juurdepääsuga.

(65)

Terviseandmetele juurdepääsu asutused peaksid jälgima käesoleva määruse IV peatüki kohaldamist ja aitama kaasa selle järjekindlale kohaldamisele kogu liidus. Selleks peaksid terviseandmetele juurdepääsu asutused tegema koostööd üksteise ja komisjoniga. Terviseandmetele juurdepääsu asutused peaksid tegema koostööd ka sidusrühmadega, sealhulgas patsiendiorganisatsioonidega. Terviseandmetele juurdepääsu asutused peaksid toetama terviseandmete valdajaid, kes on komisjoni soovituse 2003/361/EÜ (18) kohaselt väikeettevõtjad, eelkõige arste ja apteeke. Kuna terviseandmete teisene kasutus hõlmab tervisega seotud isikuandmete töötlemist, kohaldatakse määruste (EL) 2016/679 ja (EL) 2018/1725 asjakohaseid sätteid ning kõnealuste määruste kohased järelevalveasutused peaksid olema ainsad pädevad asutused, kes neid norme jõustavad. Terviseandmetele juurdepääsu asutused peaksid teavitama andmekaitseasutusi kõigist määratud karistustest ja võimalikest probleemidest, mis on seotud andmete töötlemisega nende teiseseks kasutuseks, ning vahetama nende käsutuses olevat asjakohast teavet, et tagada asjaomaste normide täitmine. Lisaks terviseandmete tulemusliku teisese kasutuse tagamiseks vajalike ülesannete täitmisele peaksid terviseandmetele juurdepääsu asutused püüdma laiendada täiendavate terviseandmestike kättesaadavust ja edendama ühtsete standardite väljatöötamist. Nad peaksid kasutama läbiproovitud tipptasemel meetodeid, millega tagatakse elektrooniliste terviseandmete töötlemine viisil, mis võimaldab säilitada teabe privaatsuse andmete puhul, mille teisene kasutus on lubatud, sealhulgas peaksid nad kasutama isikuandmete pseudonüümimise, anonüümimise, üldistamise, summutamise ja juhuslikustamise meetodeid. Terviseandmetele juurdepääsu asutused võivad valmistada andmestikke ette vastavalt terviseandmete kasutaja nõuetele, nagu on nõutud väljastatud andmeloa kohaselt. Sellega seoses peaksid terviseandmetele juurdepääsu asutused tegema piiriülest koostööd ning töötama välja ja vahetama parimaid tavasid ja meetodeid. See hõlmab üksikandmete kogumite pseudonüümimise ja anonüümimise reeglite järgimist. Kui see on asjakohane, peaks komisjon kehtestama menetlused ja nõuded ning nägema ette tehnilised vahendid elektrooniliste terviseandmete pseudonüümimise ja anonüümimise ühtseks menetluseks.

(66)

Terviseandmetele juurdepääsu asutused peaksid tagama teisese kasutuse läbipaistvuse, andes avalikku teavet antud andmelubade ja nende andmise põhjenduste kohta, füüsiliste isikute õiguste kaitseks võetud meetmete kohta, selle kohta, kuidas füüsilised isikud saavad kasutada oma õigusi seoses teisese kasutusega, ning teisese kasutuse tulemuste kohta, sealhulgas linkide kaudu teaduspublikatsioonidele. See teave teisese kasutuse tulemuste kohta peaks asjakohasel juhul sisaldama terviseandmete kasutaja koostatud üldist kokkuvõtet. Need läbipaistvuskohustused täiendavad määruse (EL) 2016/679 artiklis 14 sätestatud kohustusi. Kohaldada võiks nimetatud määruse artikli 14 lõikes 5 sätestatud erandeid. Kui selliseid erandeid kohaldatakse, peaksid käesolevas määruses sätestatud läbipaistvuskohustused aitama tagada õiglase ja läbipaistva töötlemise, nagu on osutatud määruse (EL) 2016/679 artikli 14 lõikes 2, näiteks pakkudes teavet töötlemise eesmärgi ja töödeldavate andmekategooriate kohta, võimaldades seeläbi füüsilistel isikutel mõista, kas nende andmed tehakse andmelubade alusel teiseseks kasutuseks kättesaadavaks.

(67)

Füüsilisi isikuid tuleks terviseandmete valdajate kaudu teavitada terviseandmete kasutajate avastatud olulistest tervisega seotud leidudest. Füüsilistel isikutel peaks olema õigus nõuda, et neid sellistest leidudest ei teavitataks. Liikmesriigid võivad kehtestada tingimused, mis käsitlevad terviseandmete valdajate poolt asjaomastele füüsilistele isikutele sellise teabe esitamise korda ja õigust mitte olla teavitatud. Kooskõlas määruse (EL) 2016/679 artikli 23 lõike 1 punktiga i peaks liikmesriikidel olema võimalik piirata füüsiliste isikute teavitamise kohustuse ulatust, kui see on vajalik isiku kaitsmiseks patsiendi ohutuse ja eetika alusel, lükates talle teabe edastamise edasi seniks, kuni tervishoiutöötaja saab asjaomastele füüsilistele isikutele edastada teabe, mis võib nende tervist mõjutada, ja seda teavet selgitada.

(68)

Läbipaistvuse edendamiseks peaksid terviseandmetele juurdepääsu asutused avaldama iga kahe aasta tagant tegevusaruande, milles ta annavad ülevaate oma tegevusest. Kui liikmesriik on määranud rohkem kui ühe terviseandmetele juurdepääsu asutuse, peaks koordineeriv asutus koostama ja avaldama iga kahe aasta tagant ühise aruande. Tegevusaruanded peaksid järgima Euroopa terviseandmeruumi nõukogus kokku lepitud struktuuri ja andma ülevaate tegevusest, sealhulgas teavet taotluste kohta tehtud otsuste, auditite ja sidusrühmade kaasamise kohta. Selliste sidusrühmade hulka võivad kuuluda füüsiliste isikute, patsientide organisatsioonide, tervishoiutöötajate, teadlaste ja eetikakomiteede esindajad.

(69)

Elektrooniliste terviseandmete teisese kasutuse toetamiseks peaksid terviseandmete valdajad hoiduma andmete esitamata jätmisest, nõudmast põhjendamatuid tasusid, mis ei ole läbipaistvad ega proportsionaalsed andmete kättesaadavaks tegemise kuludega, või kui see on asjakohane, siis andmete kogumise piirkuludega, nõudmast andmekasutajalt teadustöö kaasavaldamist või muust tegevusest, mis võib takistada terviseandmete kasutajaid andmeid taotlemast. Kui terviseandmete valdaja on avaliku sektori asutus, ei tohiks tema kuludega seotud tasude osa katta andmete esmase kogumise kulusid. Kui andmeloa andmiseks on vaja eetilist heakskiitu, peaks eetilise heakskiiduga seotud hindamine põhinema eraldi hinnangul.

(70)

Terviseandmetele juurdepääsu asutustel peaks olema lubatud võtta seoses oma ülesannete täitmisega tasu, arvestades määruses (EL) 2022/868 sätestatud horisontaalseid norme. Selliste tasude puhul võib arvesse võtta väikeste ja keskmise suurusega ettevõtjate (VKEd), üksikute teadlaste või avalik-õiguslike asutuste olukorda ja huve. Eelkõige peaks liikmesriikidel olema võimalik kehtestada oma jurisdiktsioonis terviseandmetele juurdepääsu asutustele meetmed, mis võimaldavad võtta teatud terviseandmete kasutajate kategooriate puhul vähendatud tasu. Terviseandmetele juurdepääsu asutustel peaks olema võimalik katta oma tegevuskulud proportsionaalsel, põhjendatud ja läbipaistval viisil kehtestatud tasudega. See võib mõnele terviseandmete kasutajale tuua kaasa suuremad tasud, kui nende terviseandmetele juurdepääsu rakenduste ja terviseandmete päringute käsitlemine nõuab rohkem tööd. Terviseandmete valdajatel peaks olema lubatud võtta oma kuludele vastavat tasu ka andmete kättesaadavaks tegemise eest. Terviseandmetele juurdepääsu asutused peaksid otsustama selliste tasude suuruse, mis võivad hõlmata ka terviseandmete valdajate taotletud tasusid. Terviseandmetele juurdepääsu asutus peaks nõudma terviseandmete kasutajalt selliseid tasusid ühel arvel. Terviseandmetele juurdepääsu asutus peaks seejärel kandma vastava osa makstud tasudest üle terviseandmete valdajale. Et tagada tasupoliitikat ja tasustruktuuri käsitlev ühtlustatud lähenemine, tuleks komisjonile anda rakendamisvolitused. Käesoleva määruse alusel võetavate tasude suhtes tuleks kohaldada määruse (EL) 2023/2854 artiklit 10.

(71)

Et tugevdada teisese kasutuse normide täitmise tagamist, tuleks näha ette asjakohased meetmed, mis võivad kaasa tuua oma kohustusi eiravatele terviseandmete kasutajatele või terviseandmete valdajatele haldustrahvid või täitemeetmed terviseandmetele juurdepääsu asutuste poolt või nende ajutise või lõpliku väljaarvamise Euroopa terviseandmeruumi raamistikust. Terviseandmetele juurdepääsu asutustele tuleks anda õigus kontrollida terviseandmete kasutajate ja terviseandmete valdajate nõuetele vastavust ning anda neile võimalus kommenteerida kõiki leide ja heastada võimalikud rikkumised. Iga üksikjuhtumi puhul haldustrahvi või täitemeetme suuruse üle otsustamisel peaksid terviseandmetele juurdepääsu asutused võtma arvesse käesolevas määruses sätestatud kulumarginaale ja kriteeriume, tagades trahvide või meetmete proportsionaalsuse.

(72)

Arvestades elektrooniliste terviseandmete tundlikkust, tuleb vähendada ohtu füüsiliste isikute privaatsusele, kohaldades võimalikult väheste andmete kogumise põhimõtet. Seepärast tuleks kõigil juhtudel, kui selliste andmete esitamine on piisav, teha kättesaadavaks isikustamata elektroonilised terviseandmed. Kui terviseandmete kasutajal on vaja kasutada isikustatud elektroonilisi terviseandmeid, peaks ta oma taotluses selgelt põhjendama, miks seda liiki andmeid kasutatakse, ning terviseandmetele juurdepääsu eest vastutav asutus peaks hindama, kas põhjendus on piisav. Isikustatud elektroonilised terviseandmed tuleks teha kättesaadavaks üksnes pseudonüümitud kujul. Võttes arvesse töötlemise konkreetseid eesmärke, tuleks isikustatud elektroonilised terviseandmed nende teiseseks kasutuseks kättesaadavaks tegemise protsessis pseudonüümida või anonüümida võimalikult varakult. Pseudonüümida ja anonüümida peaksid saama terviseandmetele juurdepääsu asutused või terviseandmete valdajad. Vastutavate töötlejatena peaks terviseandmetele juurdepääsu asutused ja terviseandmete valdajad saama delegeerida need ülesanded volitatud töötlejatele. Pseudonüümitud või anonüümitud andmestikule juurdepääsu pakkumisel peaks terviseandmetele juurdepääsu asutus kasutama tipptasemel pseudonüümimis- või anonüümimistehnoloogiat ja -standardeid, tagades nii palju kui võimalik, et terviseandmete kasutajad ei saa füüsilisi isikuid tagasituvastada. Sellist andmete pseudonüümimise või anonüümimise tehnoloogiat ja standardeid tuleks edasi arendada. Terviseandmete kasutajad ei tohiks üritada füüsilisi isikuid käesoleva määruse alusel esitatud andmestikust tagasi tuvastada ning kui seda tehakse, kohaldatakse nende suhtes käesolevas määruses sätestatud haldustrahve või täitemeetmeid või võimalikke kriminaalkaristusi, kui need on liikmesriigi õigusega ette nähtud. Lisaks peaks terviseandmete taotleja saama nõuda, et terviseandmetele juurdepääsu asutus vastaks tema terviseandmete päringule anonüümitud statistilisel kujul. Sellisel juhul töötleks terviseandmete kasutaja ainult isikustamata andmeid ning terviseandmetele juurdepääsu asutus jääks terviseandmete päringule vastamiseks vajalike isikuandmete puhul ainsaks vastutavaks töötlejaks.

(73)

Tagamaks, et kõik terviseandmetele juurdepääsu asutused väljastavad andmelube sarnasel viisil, on vaja kehtestada andmelubade väljastamise ühtne standardmenetlus, mis kehtib sarnaste taotluste suhtes eri liikmesriikides. Terviseandmete taotleja peaks esitama terviseandmetele juurdepääsu asutustele mitu teabeelementi, mis aitaksid asutusel terviseandmetele juurdepääsutaotlust hinnata ja otsustada, kas terviseandmete taotleja võib saada andmeloa, ning tuleks tagada erinevate terviseandmetele juurdepääsu asutuste vaheline sidusus. Terviseandmetele juurdepääsu taotluse osana esitatav teave peaks vastama käesoleva määrusega kehtestatud nõuetele, et võimaldada selle põhjalikku hindamist, sest andmeluba tuleks anda välja üksnes juhul, kui kõik käesolevas määruses sätestatud vajalikud tingimused on täidetud. Lisaks peaks see teave vajadusel sisaldama terviseandmete taotleja kinnitust, et taotletud terviseandmete kavandatud kasutusega ei kaasne ohtu taotletud andmestikuga seotud füüsiliste isikute või rühmade häbimärgistamiseks või nende väärikuse kahjustamiseks. Liikmesriigi õiguse alusel võib taotleda eetilist hindamist. Sellisel juhul peaks olema võimalik, et selliseid terviseandmetele juurdepääsu asutuste hindamisi teevad olemasolevad eetikaorganid. Liikmesriikide olemasolevad eetikaorganid peaksid selleks tegema terviseandmetele juurdepääsu asutusele kättesaadavaks oma eksperditeadmised. Teise võimalusena peaks liikmesriikidel olema võimalik ette näha, et eetikaorganid on terviseandmetele juurdepääsu asutuse osa. Terviseandmetele juurdepääsu asutus ja vajaduse korral terviseandmete valdajad peaksid aitama terviseandmete kasutajatel valida teisese kasutuse eesmärkideks sobivad andmestikud või andmeallikad. Kui terviseandmete taotleja vajab andmeid anonüümitud statistilises vormingus, peaks ta esitama terviseandmete päringu, milles ta palub, et terviseandmetele juurdepääsu asutus esitaks tulemuse otse. Kui terviseandmetele juurdepääsu asutus keeldub andmeluba andmast, ei tohiks see takistada terviseandmete taotlejat esitamast uut terviseandmetele juurdepääsu taotlust. Et tagada ühtlustatud lähenemisviis terviseandmetele juurdepääsu asutuste vahel ja piirata terviseandmete taotlejate tarbetut halduskoormust, peaks komisjon toetama terviseandmetele juurdepääsu taotluste ja terviseandmete päringute ühtlustamist, sealhulgas kehtestades vastavad vormid. Põhjendatud juhtudel, näiteks keeruka ja koormava taotluse korral, peaks terviseandmetele juurdepääsu asutusel olema võimalik pikendada ajavahemikku, mille jooksul terviseandmete valdajad peavad taotletud elektroonilised terviseandmed talle kättesaadavaks tegema.

(74)

Kuna terviseandmetele juurdepääsu asutuste ressursid on piiratud, peaks neil olema lubatud kohaldada prioriseerimisreegleid, näiteks käsitades avalik-õiguslikke asutusi eraõiguslike üksustega võrreldes prioriteetsetena, kuid nad ei tohiks samas prioriseerimise kategoorias teha vahet riiklike või teiste liikmesriikide organisatsioonide vahel. Terviseandmete kasutajal peaks olema võimalik andmeluba pikendada, näiteks selleks, et võimaldada teaduspublikatsiooni retsensentidele juurdepääs andmestikele või võimaldada esialgsete järelduste põhjal andmestiku lisaanalüüsi. See eeldaks terviseandmete loa muutmist, mille eest võidakse nõuda lisatasu. Andmeluba peaks aga igal juhul kajastama selliseid andmestiku täiendavaid kasutusviise. Eelistatavalt peaks terviseandmete kasutaja need ära märkima oma terviseandmete juurdepääsu taotluses. Et tagada ühtlustatud lähenemisviis terviseandmetele juurdepääsu asutuste vahel, peaks komisjon toetama andmelubade ühtlustamist.

(75)

Nagu COVID-19 kriis on näidanud, vajavad liidu institutsioonid, organid ja asutused, kellel on rahvatervise valdkonnas õiguslikud volitused, eelkõige komisjon, terviseandmetele juurdepääsu pikema aja jooksul ja korduvalt. Nad ei pruugi seda vajada üksnes konkreetsetes kriisiaja olukordades, mis on sätestatud liidu või liikmesriigi õiguses, vaid ka selleks, et tagada korrapäraselt teaduslikud tõendid ja tehniline tugi liidu poliitika kujundamiseks. Juurdepääsu sellistele andmetele võidakse taotleda konkreetsetes liikmesriikides või kogu liidu territooriumil. Sellistel liidu institutsioonidel, organitel ja asutustel peaks olema võimalik kasutada kiirendatud menetlust andmete kättesaadavaks tegemiseks, tavaliselt vähem kui kahe kuu jooksul, võimalusega pikendada tähtaega keerukamatel juhtudel ühe kuu võrra.

(76)

Liikmesriikidel peaks olema võimalik määrata usaldatavad terviseandmete valdajad, kelle andmeloa väljastamise menetlus toimuks lihtsustatud viisil, et leevendada tervishoiuandmetele juurdepääsu asutuste halduskoormust nende töödeldavate andmete päringute haldamisel. Usaldatavatel terviseandmete valdajatel peaks olema võimalik hinnata andmetele juurdepääsu taotlusi selle lihtsustatud menetluse alusel, arvestades nende eksperditeadmisi seoses terviseandmete liigiga, mida nad töötlevad, ning anda välja soovitus andmeloa kohta. Lõpliku andmeloa väljastamise eest peaks jääma vastutavaks terviseandmetele juurdepääsu asutus ning usaldatava terviseandmete valdaja soovitus ei tohiks olla tema jaoks siduv. Terviseandmete vahendamise üksusi ei tohiks määrata usaldatavateks terviseandmete valdajateks.

(77)

Arvestades elektrooniliste terviseandmete tundlikkust, ei tohiks terviseandmete kasutajatel olla piiramatut juurdepääsu sellistele andmetele. Juurdepääs taotletud elektroonilistele terviseandmetele peaks teisese kasutuse korral alati toimuma turvalises töötlemiskeskkonnas. Et tagada elektrooniliste terviseandmete puhul tugevad tehnilised kaitsemeetmed ja turvameetmed, peaks terviseandmetele juurdepääsu asutus või asjakohasel juhul usaldatav terviseandmete valdaja võimaldama juurdepääsu sellistele andmetele turvalises töötlemiskeskkonnas, järgides käesolevas määruses sätestatud rangeid tehnilisi ja turvastandardeid. Isikuandmete töötlemine sellises turvalises töötlemiskeskkonnas peaks toimuma kooskõlas määrusega (EL) 2016/679, sealhulgas kõnealuse määruse artikli 28 nõuetega juhul, kui turvalist töötlemiskeskkonda haldab kolmas isik, ja vajaduse korral V peatüki nõuetega. Selline turvaline töötlemiskeskkond peaks vähendama sellise töötlemistegevusega seotud privaatsusriske ja hoidma ära elektrooniliste terviseandmete edastamise otse terviseandmete kasutajatele. Terviseandmetele juurdepääsu asutusel või seda teenust osutaval terviseandmete valdajal peaks alati säilima kontroll elektroonilistele terviseandmetele juurdepääsu üle ning andmekasutajatele antav juurdepääs peaks väljastatama vastavalt andmeloa tingimustele. Terviseandmete kasutajad peaksid laadima sellisest turvalisest töötlemiskeskkonnast alla ainult isikustamata elektroonilisi terviseandmeid. Seega on selline turvaline töötlemiskeskkond oluline kaitsemeede, et säilitada füüsiliste isikute õigused ja vabadused seoses nende elektrooniliste terviseandmete töötlemisega teisese kasutuse eesmärgil. Komisjon peaks abistama liikmesriike ühtsete turvastandardite väljatöötamisel, et edendada eri turvaliste töötlemiskeskkondade turvalisust ja koostalitlusvõimet.

(78)

Määruses (EL) 2022/868 on sätestatud andmealtruismi haldamise üldnormid. Arvestades, et tervishoiusektoris hallatakse tundlikke andmeid, tuleks kõnealuses määruses osutatud normides kehtestada lisakriteeriumid. Kui sellistes normides on kõnealuse sektori puhul ette nähtud turvalise töötlemiskeskkonna kasutamine, peaks see turvaline töötlemiskeskkond vastama käesolevas määruses kehtestatud kriteeriumidele. Terviseandmetele juurdepääsu asutused peaksid tegema koostööd määruse (EL) 2022/868 alusel määratud pädevate asutustega, et teha järelevalvet andmealtruismi organisatsioonide tegevuse üle tervishoiu- või hooldussektoris.

(79)

Elektrooniliste terviseandmete töötlemisel andmeloa või terviseandmete päringu alusel tuleks nii terviseandmete valdajaid, sealhulgas usaldatavaid terviseandmete valdajaid, terviseandmetele juurdepääsu asutusi kui ka terviseandmete kasutajaid käsitada igaüht protsessi konkreetses osas ja vastavalt nende rollile selles protsessis vastutava töötlejana. Terviseandmete valdajat tuleks käsitada vastutava töötlejana taotletud isikustatud elektrooniliste terviseandmete avaldamisel terviseandmetele juurdepääsu asutusele, ning terviseandmetele juurdepääsu asutust tuleks omakorda käsitada vastutava töötlejana isikustatud elektrooniliste terviseandmete töötlemisel, kui ta koostab andmeid ja teeb need terviseandmete kasutajale kättesaadavaks. Terviseandmete kasutajaid tuleks käsitada vastutavate töötlejatena pseudonüümitud isikustatud elektrooniliste terviseandmete töötlemisel turvalises töötlemiskeskkonnas vastavalt nende andmelubadele. Terviseandmetele juurdepääsu eest vastutavaid asutusi tuleks käsitada terviseandmete kasutaja nimel volitatud töötlejatena, kui terviseandmete kasutaja töötleb andmeid turvalises töötlemiskeskkonnas vastavalt andmeloale ja kui andmeid töödeldakse vastuse andmiseks terviseandmete päringule. Samamoodi tuleks usaldatavat terviseandmete valdajat käsitada vastutava töötlejana selliste isikustatud elektrooniliste terviseandmete töötlemisel, mis on seotud elektrooniliste terviseandmete esitamisega terviseandmete kasutajale andmeloa või terviseandmete päringu alusel. Usaldatavat terviseandmete valdajat tuleks käsitada terviseandmete kasutaja nimel tegutseva volitatud töötlejana, kui ta esitab andmeid turvalise töötlemiskeskkonna kaudu.

(80)

Et saavutada kaasav ja kestlik raamistik teiseseks kasutuseks mitmes riigis, tuleks luua piiriülene taristu HealthData@EU. HealthData@EU peaks kiirendama teisest kasutust, suurendades samal ajal õiguskindlust, austades füüsiliste isikute privaatsust ja olles koostalitlusvõimeline. Terviseandmete tundlikkuse tõttu tuleks võimaluse korral alati järgida selliseid põhimõtteid nagu „lõimitud andmekaitse“, „vaikimisi andmekaitse“ ja kontseptsiooni „andmepäringu esitamine nende asukohas andmete liigutamise asemel“. Liikmesriigid peaksid määrama riiklikud elektrooniliste terviseandmete teisese kasutuse kontaktpunktid, mis oleksid terviseandmetele juurdepääsu asutuste korralduslikud ja tehnilised väravad, ning ühendama need kontaktpunktid taristuga HealthData@EU. Liidu terviseandmetele juurdepääsu teenus peaks samuti olema ühendatud taristuga HealthData@EU. Lisaks võivad taristu HealthData@EU volitatud osalejad olla teadustaristud, mis on loodud nõukogu määruse (EÜ) nr 723/2009 (19) alusel Euroopa teadusuuringute infrastruktuuri konsortsiumitena (ERIC), otsuse (EL) 2022/2481 alusel Euroopa digitaristu konsortsiumina (EDIC) või muude liidu õigusaktide alusel loodud samalaadsed taristud, samuti muud liiki üksused, sealhulgas Euroopa teadustaristu strateegiafoorumi (ESFRI) alla kuuluvad taristud või Euroopa avatud teaduse pilve (EOSC) raames loodud taristud. Kolmandad riigid ja rahvusvahelised organisatsioonid võivad samuti saada taristu HealthData@EU volitatud osalejateks, tingimusel et nad vastavad käesoleva määruse nõuetele. Komisjoni 19. veebruari 2020. aasta teatises „Euroopa andmestrateegia“ edendatakse erinevate ühtsete Euroopa andmeruumide ühendamist. HealthData@EU peaks seepärast võimaldama eri kategooriate elektrooniliste terviseandmete teisest kasutust, sealhulgas terviseandmete linkimist muude andmeruumide, nagu keskkond, põllumajandus ja sotsiaalvaldkond, andmetega. Selline koostalitlusvõime tervishoiusektori ning muude sektorite, nagu keskkonna-, põllumajandus- või sotsiaalsektori vahel võib olla oluline, et saada paremini aru tervist mõjutavatest teguritest. Komisjon võiks pakkuda taristus HealthData@EU mitmesuguseid teenuseid, sealhulgas toetada terviseandmetele juurdepääsu asutuste ja volitatud taristus HealthData@EU osalejate vahelist teabevahetust piiriüleste juurdepääsutaotluste menetlemiseks, pidada katalooge taristu, võrkude leitavuse ja metaandmete päringute kaudu kättesaadavate elektrooniliste terviseandmete kohta ning osutada ühenduvus- ja vastavusteenuseid. Komisjon võib luua ka turvalise keskkonna, mis võimaldab vastutavate töötlejate taotluse korral edastada ja analüüsida erinevatest riiklikest taristutest pärit andmeid. Andmevahetuse IT-alase tõhususe, ratsionaliseerimise ja koostalitlusvõime huvides tuleks võimalikult palju taaskasutada olemasolevaid andmejagamissüsteeme, nagu näiteks neid, mis luuakse tõendite vahetamiseks osana Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1724 (20) kohasest andmete ühekordse küsimise põhimõttel põhinevast tehnilisest süsteemist.

(81)

Võttes lisaks arvesse, et ühendus taristuga HealthData@EU võib hõlmata taotleja või terviseandmete kasutajaga seotud isikuandmete edastamist kolmandatesse riikidesse, peavad selliseks edastamiseks olema kehtestatud määruse (EL) 2016/679 V peatüki kohased asjakohased andmeedastusvahendid.

(82)

Piiriüleste registrite või andmebaaside puhul, nagu harvikhaiguste Euroopa tugivõrgustiku registrid, millesse kannavad andmeid eri tervishoiuteenuse osutajad mitmes liikmesriigis, peaks andmetele juurdepääsu võimaldamise eest vastutama registri koordinaatori asukoha liikmesriigi terviseandmetele juurdepääsu asutus.

(83)

Loamenetlus juurdepääsu saamiseks eri liikmesriikides asuvatele elektroonilistele terviseandmetele võib olla terviseandmete kasutajate jaoks korduv ja koormav. Võimaluse korral tuleks tagada koostoime, et vähendada koormust ja takistusi, millega terviseandmete kasutajad silmitsi seisavad. Üks viis selle eesmärgi saavutamiseks on järgida „ühe taotluse“ põhimõtet, mille kohaselt terviseandmete kasutaja võib ühe taotluse alusel saada loa mitmelt terviseandmetele juurdepääsu asutuselt, mis asuvad eri liikmesriikides või mitmelt volitatud taristus HealthData@EU osalejalt.

(84)

Terviseandmetele juurdepääsu asutused peaksid andma teavet olemasolevate andmestike ja nende omaduste kohta, et terviseandmete kasutajad oleksid teadlikud andmestikuga seotud põhifaktidest ja saaksid hinnata nende faktide võimalikku asjakohasust nende kasutajate jaoks. Seepärast peaks iga andmestik sisaldama vähemalt teavet allika, andmete laadi ja andmete kättesaadavaks tegemise tingimuste kohta. Terviseandmete valdaja peaks vähemalt kord aastas kontrollima, kas tema andmestiku kirjeldus riiklikus andmestike kataloogis on täpne ja ajakohane. Seega tuleks luua ELi andmestike kataloog, et parandada Euroopa terviseandmeruumis kättesaadavate andmestike leitavust; aidata andmevaldajatel oma andmestikke avaldada; anda kõigile sidusrühmadele, sealhulgas üldsusele, võttes arvesse puuetega inimeste konkreetseid vajadusi, teavet Euroopa terviseandmeruumis olemas olevate andmestike kohta, nagu andmekvaliteedi ja andmete kasutatavuse märgised ja andmestiku teabelehed ning anda terviseandmete kasutajatele ajakohast teavet andmestikega seotud andmekvaliteedi ja kasutatavuse kohta.

(85)

Teave andmestike andmete kvaliteedi ja kasutatavuse kohta suurendab märkimisväärselt andmemahuka teadus- ja innovatsioonitegevuse tulemuste väärtust, edendades samal ajal tõenditel põhinevat regulatiivsete ja poliitiliste otsuste tegemist. Andmekvaliteedi ja andmete kasutatavuse parandamine klientide teadlike valikute kaudu ning asjaomaste nõuete ühtlustamine liidu tasandil, võttes arvesse kehtivaid liidu ja rahvusvahelisi standardeid, suuniseid ja soovitusi andmete kogumiseks ja vahetamiseks, nagu näiteks FAIR-põhimõtteid, on kasulik ka terviseandmete valdajatele, tervishoiutöötajatele, füüsilistele isikutele ja liidu majandusele üldiselt. Andmestikega seotud andmekvaliteedi ja andmete kasutatavuse märgis annaks terviseandmete kasutajatele teavet andmestiku andmekvaliteedi ja andmete kasutatavuse omaduste kohta ning võimaldaks neil valida andmestikud, mis vastavad nende vajadustele kõige paremini. Andmekvaliteedi ja andmete kasutatavuse märgis ei tohiks takistada andmestike kättesaadavaks tegemist Euroopa terviseandmeruumi kaudu, vaid peaks tagama terviseandmete valdajate ja terviseandmete kasutajate vahelise läbipaistvusmehhanismi. Näiteks andmestik, mis ei vasta ühelegi andmekvaliteedi ja andmete kasutatavuse nõudele, tuleks märgistada klassiga, mis näitab kõige kehvemat andmekvaliteeti ja andmete kasutatavust, kuid see tuleks siiski kättesaadavaks teha. Andmekvaliteedi ja andmete kasutatavuse raamistiku väljatöötamisel tuleks arvesse võtta määruse (EL) 2024/1689 artikli 10 kohaselt loodud raamistikega seatud ootusi ja kõnealuse määruse IV lisas täpsustatud asjakohast tehnilist dokumentatsiooni. Liikmesriigid peaksid teavitustegevuse abil suurendama teadlikkust andmekvaliteedi ja andmete kasutatavuse märgisest. Komisjon võiks seda tegevust toetada. Kasutajad võiksid andmestike kasutamist prioriseerida vastavalt nende andmekvaliteedile ja andmete kasutatavusele.

(86)

ELi andmestike kataloog peaks vähendama terviseandmete valdajate ja muude andmebaasi kasutajate halduskoormust; olema kasutajasõbralik, juurdepääsetav ja kulutõhus, ühendama riiklikke andmestike katalooge ja võimaldama vältida andmestike liigset registreerimist. Ilma et see piiraks määruses (EL) 2022/868 sätestatud nõuete kohaldamist, võiks ELi andmestike kataloogi viia kooskõlla data.europa.eu algatusega. Tuleks tagada ELi andmestike kataloogi, riiklike andmestike kataloogide ning Euroopa teadustaristute ja muude asjakohaste andmejagamistaristute andmestike kataloogide koostalitlusvõime.

(87)

Eri kutseorganisatsioonid, komisjon ja muud institutsioonid teevad koostööd ja tööd selleks, et kehtestada minimaalsed andmeväljad ja eri andmestike muud omadused, näiteks registrites. Selle tööga on praeguseks jõutud kaugemale sellistes valdkondades nagu vähktõbi, harvikhaigused, südame-veresoonkonna haigused ja metaboolsed haigused, riskitegurite hindamine ja statistika ning seda tuleks uute standardite ja haigusspetsiifiliste struktureeritud andmeelementide ühtlustatud vormide kindlaksmääramisel arvesse võtta. Paljud andmestikud ei ole siiski ühtlustatud, mis tekitab võrreldavusprobleeme ja muudab piiriülese teadustöö keeruliseks. Seepärast tuleks rakendusaktides sätestada üksikasjalikumad normid, et tagada elektrooniliste terviseandmete ühtlustatud kodeerimine ja registreerimine, mis võimaldaks nende andmete järjepidevat edastamist teiseseks kasutuseks. Sellised andmestikud võivad sisaldada andmeid harvikhaiguste registritest, harvikravimite andmebaasidest, vähiregistritest ja väga oluliste nakkushaiguste registritest. Liikmesriigid peaksid töötama selle nimel, et Euroopa elektroonilised tervishoiusüsteemid ja -teenused ning koostalitlusvõimelised rakendused tooksid püsivat majanduslikku ja sotsiaalset kasu, eesmärgiga saavutada usaldusväärsuse ja turvalisuse kõrge tase, tõhustada tervishoiuteenuste osutamise järjepidevust ning tagada juurdepääs ohututele ja kvaliteetsetele tervishoiuteenustele. Olemasolevad terviseandmete taristud ja registrid võivad pakkuda mudeleid, mis on kasulikud andmestandardite ja koostalitlusvõime kindlaksmääramiseks ja rakendamiseks ning neid tuleks võimendada, et võimaldada järjepidevust ja tugineda olemasolevatele eksperditeadmistele.

(88)

Komisjon peaks toetama liikmesriike suutlikkuse ja tulemuslikkuse suurendamisel elektrooniliste terviseandmete esmaseks kasutuseks ja teiseseks kasutuseks mõeldud digitervishoiusüsteemide valdkonnas. Liikmesriike tuleks nende suutlikkuse suurendamisel toetada. Sellega seoses on asjakohased liidu tasandil võetavad meetmed, nagu võrdlusuuringud ja parimate tavade vahetamine. Neis tegevustes tuleks arvesse võtta eri kategooriate sidusrühmade, näiteks kodanikuühiskonna esindajate, teadlaste, meditsiiniühingute ja VKEde konkreetset olukorda.

(89)

Nii füüsiliste isikute kui ka tervishoiutöötajate tervisealase digikirjaoskuse parandamine on oluline usaldusväärsuse ja ohutuse ning terviseandmete asjakohase kasutamise seisukohast ning seega on see oluline käesoleva määruse eduka rakendamise saavutamiseks. Tervishoiutöötajaid ootavad digiteerimisega seoses ees põhjalikud muutused ja neile pakutakse Euroopa terviseandmeruumi rakendamise raames täiendavaid digivahendeid. Tervishoiutöötajad peavad seega arendama oma tervisealast digikirjaoskust ja digioskusi ning liikmesriigid peaksid andma tervishoiutöötajatele juurdepääsu digikirjaoskuse kursustele, et nad saaksid valmistuda töötamiseks tervisevaldkonna infosüsteemidega. Sellised kursused peaksid võimaldama tervishoiutöötajatel ja IT-ettevõtjatel saada piisava väljaõppe uute digitaristutega töötamiseks, et tagada küberturvalisus ja terviseandmete eetiline haldamine. Koolitused tuleks välja töötada ja läbi vaadata ning neid tuleks korrapäraselt ajakohastada, konsulteerides ja tehes koostööd asjaomaste ekspertidega. Tervisealase digikirjaoskuse parandamine on äärmiselt oluline, et anda füüsilistele isikutele võimalus omada tõelist kontrolli oma terviseandmete üle, hallata aktiivselt oma tervist ja ravi ning mõista selliste andmete nii esmase kasutuse kui ka teisese kasutuse eesmärgil haldamise mõju. Eri demograafilistes rühmades on digikirjaoskuse tase erinev, mis võib mõjutada füüsiliste isikute võimet kasutada oma õigust oma elektroonilisi terviseandmeid kontrollida. Liikmesriigid, sealhulgas piirkondliku ja kohaliku tasandi ametiasutused, peaksid seepärast toetama tervisealast digikirjaoskust ja üldsuse teadlikkust, tagades samal ajal, et käesoleva määruse rakendamisega aidatakse vähendada ebavõrdsust ega diskrimineerita inimesi, kellel puudub digikirjaoskus. Erilist tähelepanu tuleks pöörata puuetega inimestele ja kaitsetutele rühmadele, sealhulgas rändajatele ja eakatele. Liikmesriigid peaksid looma sihipärased riiklikud digikirjaoskuse programmid, sealhulgas programmid, mille eesmärk on maksimeerida sotsiaalset kaasatust ja tagada, et kõik füüsilised isikud saavad oma käesolevast määrusest tulenevaid õigusi tulemuslikult kasutada. Liikmesriigid peaksid ka andma füüsilistele isikutele patsiendikeskseid juhiseid elektrooniliste terviselugude kasutamise ja nende isikustatud elektrooniliste terviseandmete esmase kasutuse kohta. Suunised peaksid olema kohandatud vastavalt patsiendi tervisealasele digikirjaoskusele, pöörates erilist tähelepanu kaitsetutele rühmadele.

(90)

Ka rahaliste vahendite kasutamisega tuleks Euroopa terviseandmeruumi eesmärkide saavutamisele kaasa aidata. Avaliku sektori hankijad, liikmesriikide pädevad asutused, sealhulgas digitervishoiuasutused ja terviseandmetele juurdepääsu asutused ja komisjon peaksid riigihangete, projektikonkursside ja liidu vahendite eraldamise (sealhulgas struktuuri- ja ühtekuuluvusfondide vahendid) tingimuste kindlaksmääramisel tuginema kohaldatavatele tehnilistele spetsifikatsioonidele, standarditele ja profiilidele, mis käsitlevad koostalitlusvõimet, turvalisust ja andmete kvaliteeti, samuti muudele käesoleva määruse alusel välja töötatud nõuetele. Liidu rahalised vahendid tuleb jaotada liikmesriikide vahel läbipaistvalt, võttes arvesse tervishoiusüsteemide erinevat digiteerimistaset. Andmete teiseseks kasutuseks kättesaadavaks tegemiseks on tervishoiusüsteemidele, eelkõige riiklikele tervishoiusüsteemidele vaja eraldada lisavahendid. Seda lisakoormust tuleks Euroopa terviseandmeruumi rakendamise etapis käsitleda ja minimeerida.

(91)

Euroopa terviseandmeruumi rakendamine nõuab asjakohaseid investeeringuid suutlikkuse suurendamisse ja koolitusse ning avalike konsultatsioonide ja kaasamise head rahastamist nii liidu kui ka liikmesriikide tasandil. Käesoleva määruse rakendamisega seotud majanduslikud kulud tuleb kanda nii liidu kui ka liikmesriikide tasandil, ning see koormus tuleb õiglaselt jagada liidu ja liikmesriikide vahendite vahel.

(92)

Teatavate kategooriate elektroonilised terviseandmed võivad olla eriti tundlikud isegi siis, kui need on anonüümitud kujul ja seega isikustamata, nagu on juba konkreetselt sätestatud määruses (EL) 2022/868. Isegi juhul, kui kasutatakse tipptasemel anonüümimismeetodeid, on olemas jääkrisk, et on või tekib tagasituvastussuutlikkus, mis on mõistliku tõenäosusega kasutatavate vahendite võimaldatavast suurem. Selline jääkrisk on olemas seoses harvikhaigustega ehk eluohtlike või krooniliste invaliidsust põhjustavate haigustega, mis esineb liidus kuni viiel inimesel kümnest tuhandest, mille puhul juhtumite piiratud arv vähendab võimalust avaldatud andmed täielikult agregeerida, et säilitada füüsiliste isikute privaatsus ja samal ajal ka asjakohane üksikasjalikkus, et andmed jääksid otstarbekaks. Selline jääkrisk võib mõjutada terviseandmete eri kategooriaid ja viia andmesubjektide tagasituvastuseni, kasutades vahendeid, mis lähevad kaugemale nendest, mille kasutamine on mõistlikult tõenäoline. Selline risk sõltub nende üksikasjalikkusest, andmesubjektide omaduste kirjeldusest, mõjutatud inimeste arvust, näiteks juhul, kui andmed on esitatud elektroonilistes terviselugudes, haigusregistrites, biopankades ja isikute loodud andmete hulgas, kus identifitseerimistunnuste ulatus on laiem, ning võimalikust kombineerimisest muu teabega, näiteks väga väikestes geograafilistes piirkondades, või selliste meetodite tehnoloogilise arengu tulemusel, mis ei olnud anonüümimise ajal kättesaadavad. Sellise füüsiliste isikute tagasituvastuse riski realiseerumine oleks suur probleem ja ohustaks tõenäoliselt käesolevas määruses sätestatud teisese kasutuse normide heakskiitmist. Lisaks katsetatakse agregeerimismeetodeid vähem selliste isikustamata andmete puhul, mis sisaldavad näiteks ärisaladusi, nagu kliiniliste uuringute aruannete puhul, ning piisava rahvusvahelise kaitsestandardi puudumise tõttu on ärisaladuse hoidmise kohustuse rikkumiste korral nõuete täitmise tagamine väljaspool liitu keerulisem. Seetõttu on nende terviseandmete kategooriate puhul pärast anonüümimist või agregeerimist endiselt olemas tagasituvastuse risk, mida ei olnud alguses võimalik mõistlikult maandada. Siinkohal kehtivad määruse (EL) 2022/868 artikli 5 lõikes 13 osutatud kriteeriumid. Seda liiki terviseandmete suhtes kehtiks seega kõnealuse määruse artikli 5 lõikes 13 sätestatud õigus edastada andmeid kolmandatesse riikidesse. Määruse (EL) 2022/868 artikli 5 lõikes 13 sätestatud volituse alusel ette nähtud eritingimused täpsustatakse kõnealuse volituse alusel vastu võetava delegeeritud õigusakti kontekstis ning need peavad olema proportsionaalsed tagasituvastuse riskiga ja võtma arvesse eri andmekategooriate või erinevate anonüümimis- või agregeerimismeetodite eripärasid.

(93)

Suures mahus isikustatud elektrooniliste terviseandmete töötlemine Euroopa terviseandmeruumis ette nähtud eesmärkidel osana andmetöötlustoimingutest terviseandmetele juurdepääsu rakenduste, andmelubade ja terviseandmete päringute haldamise raames toob kaasa suurema loata juurdepääsu riski sellistele isikuandmetele ning küberintsidentide tekkimise võimaluse. Isikustatud elektroonilised terviseandmed on eriti tundlikud, kuna need hõlmavad sageli arstisaladusega hõlmatud teavet, mille avalikustamine volitamata kolmandatele isikutele võib põhjustada märkimisväärseid ebameeldivusi. Võttes täielikult arvesse Euroopa Liidu Kohtu kohtupraktikast tulenevaid põhimõtteid, tagatakse käesoleva määrusega põhiõiguste, eraelu puutumatuse õiguse ja proportsionaalsuse põhimõtte täielik austamine. Selleks et kindlustada käesoleva määruse kohane isikustatud elektrooniliste terviseandmete täielik terviklus ja konfidentsiaalsus, tagada kaitse ja turvalisuse eriti kõrge tase ning vähendada ebaseadusliku juurdepääsu riski kõnealustele isikustatud elektroonilistele terviseandmetele, lubatakse käesoleva määrusega liikmesriikidel nõuda, et isikustatud elektroonilisi terviseandmeid säilitatakse ja töödeldakse üksnes liidus käesoleva määrusega ette nähtud ülesannete täitmiseks, välja arvatud juhul, kui kohaldatakse määruse (EL) 2016/679 artikli 45 kohaselt vastu võetud kaitse piisavuse otsust.

(94)

Kolmandates riikides asuvate terviseandmete kasutajate või rahvusvaheliste organisatsioonide juurdepääs elektroonilistele terviseandmetele peaks toimuma ainult vastastikkuse põhimõtte alusel. Elektrooniliste terviseandmete kättesaadavaks tegemine kolmandale riigile peaks olema lubatud üksnes juhul, kui komisjon on rakendusaktiga kehtestanud, et asjaomane kolmas riik võimaldab liidu üksustele juurdepääsu elektroonilistele terviseandmetele samadel tingimustel ja samade kaitsemeetmetega nagu siis, kui neil oleks juurdepääs elektroonilistele terviseandmetele liidus. Komisjon peaks olukorda nendes kolmandates riikides ja rahvusvahelistes organisatsioonides jälgima ja selle korrapäraselt läbi vaatama ning koostama asjaomaste rakendusaktide loetelu. Kui komisjon leiab, et kolmas riik ei taga enam juurdepääsu samadel tingimustel, peaks ta vastava rakendusakti tühistama.

(95)

Selleks et edendada käesoleva määruse järjekindlat kohaldamist, sealhulgas seoses elektrooniliste terviseandmete piiriülese koostalitlusvõimega, tuleks luua Euroopa terviseandmeruumi nõukogu. Komisjon peaks osalema nõukogu tegevuses ja olema selle kaaseesistuja. Euroopa terviseandmeruumi nõukogul peaks olema võimalik esitada kirjalikke seisukohti, mis on seotud käesoleva määruse järjekindla kohaldamisega kogu liidus, sealhulgas aidates liikmesriikidel kooskõlastada elektrooniliste terviseandmete kasutamist tervishoius ja sertifitseerimist, aga ka elektrooniliste terviseandmete teisest kasutust ja selle tegevuse rahastamist. See võib hõlmata ka teabe jagamist riskide ja intsidentide kohta turvalises töötlemiskeskkonnas. Selline teabevahetus ei mõjuta kohustusi, mis tulenevad muudest õigusaktidest, näiteks määruse (EL) 2016/679 kohast andmetega seotud rikkumistest teavitamist. Üldisemalt ei piira Euroopa terviseandmeruumi nõukogu tegevus määruse (EL) 2016/679 kohaseid järelevalveasutuste volitusi. Võttes arvesse, et riigi tasandil võivad esmase kasutusega tegelevad digitervishoiuasutused erineda terviseandmetele juurdepääsu asutustest, kes tegelevad teisese kasutusega, nende ülesanded on erinevad ja mõlemas nimetatud valdkonnas on vaja teha selget koostööd, peaks Euroopa terviseandmeruumi nõukogul olema võimalik moodustada nende kahe ülesandega tegelevaid alarühmi ning vajaduse korral muid alarühmi. Tõhusa töömeetodi tagamiseks peaksid digitervishoiuasutused ja terviseandmetele juurdepääsu asutused looma võrgustikke ja sidemeid muude organite ja asutustega liikmesriigi tasandil ja ka liidu tasandil. Sellised organid võivad olla andmekaitseasutused, küberturvalisuse ja e-identimise asutused, standardiorganisatsioonid ning määruste (EL) 2022/868, (EL) 2023/2854 ja (EL) 2024/1689 ning Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 (21) kohased asutused ja eksperdirühmad. Euroopa terviseandmeruumi nõukogu peaks tegutsema sõltumatult, avalikes huvides ja vastavalt oma käitumisjuhendile.

(96)

Kui arutatakse Euroopa terviseandmeruumi nõukogu arvates olulisi küsimusi, peaks nõukogul olema võimalik kutsuda vaatlejaid, näiteks Euroopa Andmekaitseinspektorit, liidu institutsioonide, sealhulgas Euroopa Parlamendi ja muude sidusrühmade esindajaid.

(97)

Tuleks luua sidusrühmade foorum, et nõustada Euroopa terviseandmeruumi nõukogu tema ülesannete täitmisel, andes sidusrühmade sisendi käesoleva määrusega seotud küsimustesse. Sidusrühmade foorumisse peaksid kuuluma, inter alia, patsiendi- ja tarbijaorganisatsioonide, tervishoiutöötajate, tööstuse, teadlaste ja akadeemiliste ringkondade esindajad. Sellel peaks olema tasakaalustatud koosseis ja see peaks esindama erinevate asjaomaste sidusrühmade seisukohti. Esindatud peaksid olema nii ärilised kui ka mitteärilised huvid.

(98)

Selleks et tagada esmase kasutuse ja teisese kasutuse piiriüleste taristute nõuetekohane igapäevane haldamine, on vaja luua liikmesriikide esindajatest koosnevad juhtrühmad. Need juhtrühmad peaksid tegema operatiivotsuseid piiriüleste taristute igapäevase tehnilise haldamise ja nende tehnilise arendamise kohta, sealhulgas taristu tehniliste muudatuste, funktsioonide või teenuste parandamise või koostalitlusvõime tagamise kohta muude taristute, digisüsteemide või andmeruumidega. Nende tegevus ei peaks hõlmama nimetatud taristuid mõjutavate rakendusaktide väljatöötamisele kaasaaitamist. Juhtrühmadel peaks olema võimalik kutsuda oma koosolekutele vaatlejatena ka teiste taristus HealthData@EU volitatud osalejate esindajaid ja nad peaksid oma ülesannete täitmisel konsulteerima asjaomaste ekspertidega.

(99)

Ilma et see piiraks muude halduslike, kohtulike või kohtuväliste kaitsevahendite kohaldamist, peaks igal füüsilisel või juriidilisel isikul olema õigus esitada kaebus digitervishoiuasutusele või terviseandmetele juurdepääsu asutusele, kui füüsiline või juriidiline isik leiab, et see on mõjutanud tema käesolevast määrusest tulenevaid õigusi või huve. Kaebuse esitamisele järgnev uurimine peaks toimuma konkreetse juhtumi puhul vajalikus ulatuses, ja selle suhtes peaks olema võimalik kohaldada kohtulikku kontrolli. Digitervishoiuasutus või terviseandmetele juurdepääsu asutus peaks mõistliku aja jooksul teavitama füüsilist või juriidilist isikut kaebuse menetlemise käigust ja tulemusest. Kui juhtum nõuab täiendavat uurimist või koordineerimist teise digitervishoiuasutuse või terviseandmetele juurdepääsu asutusega, tuleks füüsilisele või juriidilisele isikule anda teavet kaebuse menetlemisel tehtud edusammude kohta. Kaebuste esitamise hõlbustamiseks peaks iga digitervishoiuasutus ja terviseandmetele juurdepääsu asutus võtma meetmeid, näiteks pakkuma kaebuse esitamise vormi, mida saab täita ka elektrooniliselt, välistamata võimalust kasutada muid sidevahendeid. Kui kaebus puudutab füüsiliste isikute õigusi, mis on seotud nende isikuandmete kaitsega, peaks digitervishoiuasutus või terviseandmetele juurdepääsu asutus edastama kaebuse määruse (EL) 2016/679 alusel järelevalveasutustele. Digitervishoiuasutused või terviseandmetele juurdepääsu asutused peaksid tegema koostööd, sealhulgas vahetama kogu asjakohast teavet elektrooniliselt, et kaebusi saaks käsitleda ja lahendada põhjendamatu viivituseta.

(100)

Kui füüsiline isik leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku asutust, organisatsiooni või ühendust, mis on asutatud kooskõlas asjaomase liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ja mis tegutseb isikuandmekaitse valdkonnas, esitama kaebuse tema nimel.

(101)

Digitervishoiuasutus, terviseandmetele juurdepääsu asutus, terviseandmete valdaja või terviseandmete kasutaja peaks hüvitama kahju, mida füüsiline või juriidiline isik käesoleva määruse rikkumise tõttu kannab. Kahju mõistet tuleks Euroopa Liidu Kohtu praktikat arvestades tõlgendada laialt ja sellisel viisil, mis kajastab täielikult käesoleva määruse eesmärke. See ei mõjuta muude liidu või liikmesriigi õiguse sätete rikkumisest tuleneva kahju eest esitatavaid nõudeid. Füüsilised isikud peaksid saama täieliku ja tulemusliku hüvitise kahju eest, mida nad on kandnud.

(102)

Käesoleva määruse normide täitmise tagamiseks tuleks käesoleva määruse igasuguse rikkumise eest määrata karistusi, sealhulgas haldustrahve lisaks käesoleva määruse kohaselt terviseandmetele juurdepääsu asutuste poolt kehtestatud asjakohastele meetmetele või nende asemel. Karistuste, sealhulgas haldustrahvide määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja Euroopa Liidu põhiõiguste hartaga kohaldada asjakohaseid menetluslikke tagatisi, sealhulgas tõhusat õiguskaitset ja nõuetekohast menetluskorda.

(103)

On asjakohane kehtestada sätted, mis võimaldavad terviseandmetele juurdepääsu asutustel kohaldada haldustrahve käesoleva määruse teatavate rikkumiste eest, mida tuleks käesoleva määruse alusel käsitada raskete rikkumistena, nagu füüsiliste isikute tagasituvastus, elektrooniliste terviseandmete allalaadimine väljapoole turvalist töötlemiskeskkonda või andmete töötlemine keelatud kasutuseks või andmeloaga hõlmamata kasutuseks. Käesolevas määruses tuleks täpsustada rikkumised, sätestada asjakohaste haldustrahvide ülemmäär ja nende määramise kriteeriumid, mille üle peaks iga juhtumi puhul eraldi otsustama pädev terviseandmetele juurdepääsu asutus, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades eelkõige silmas rikkumise laadi, raskusastet, ajalist kestust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks. Käesoleva määruse alusel haldustrahvide määramisel tuleks ettevõtja määratlemisel lähtuda ELi toimimise lepingu artiklites 101 ja 102 sätestatud määratlusest. See, kas ja kui palju tuleks avaliku sektori asutustele trahve määrata, peaks olema liikmesriikide otsustada. Haldustrahvi määramine või hoiatuse tegemine ei tohiks mõjutada terviseandmetele juurdepääsu asutuse muude volituste jõustamist ega muude käesoleva määruse kohaste karistuste määramist.

(104)

Selleks et tagada Euroopa terviseandmeruumi eesmärkide täitmine, peaks komisjonil olema õigus võtta kooskõlas ELi toimimise lepingu artikliga 290 vastu delegeeritud õigusakte seoses isikustatud elektrooniliste terviseandmete prioriteetsete kategooriate põhiomaduste muutmise, lisamise või eemaldamisega I lisast, loeteluga nõutavatest andmetest, mille tervisevaldkonna infosüsteemide ja heaolurakenduste tootjad peavad sisestama ELi tervisevaldkonna infosüsteemide ja heaolurakenduste registreerimise andmebaasi, ning andmekvaliteedi ja andmete kasutatavuse märgisega kaetavate elementide muutmise, lisamise või eemaldamisega. On eriti oluline, et komisjon viiks oma ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas ekspertide tasandil, ja et kõnealused konsultatsioonid viidaks läbi kooskõlas 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes (22) sätestatud põhimõtetega. Eelkõige selleks, et tagada delegeeritud õigusaktide ettevalmistamises võrdne osalemine, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, kus arutatakse delegeeritud õigusaktide ettevalmistamist.

(105)

Selleks et tagada käesoleva määruse ühetaolised rakendamistingimused, tuleks komisjonile anda rakendamisvolitused seoses järgmisega:

Neid volitusi tuleks teostada kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) nr 182/2011 (23).

(106)

Liikmesriigid peaksid võtma kõik vajalikud meetmed, et tagada käesoleva määruse sätete rakendamine, sealhulgas kehtestades mõjusad, proportsionaalsed ja hoiatavad karistused nende rikkumise eest. Iga üksikjuhtumi puhul karistuse suuruse üle otsustamisel peaksid liikmesriigid võtma arvesse käesolevas määruses sätestatud piire ja kriteeriume. Füüsiliste isikute tagasituvastamist tuleks käsitada käesoleva määruse raskete rikkumisena.

(107)

Euroopa terviseandmeruumi rakendamine nõuab märkimisväärset arendustööd kõigis liikmesriikides ja kesktalitustes. Selles valdkonnas tehtud edusammude jälgimiseks peaks komisjon kuni käesoleva määruse täieliku kohaldamiseni esitama igal aastal aruande nimetatud edusammude kohta, võttes arvesse liikmesriikide esitatud teavet. Nimetatud aruanded võivad sisaldada soovitusi parandusmeetmete võtmiseks ning hinnangut tehtud edusammudele.

(108)

Selleks et hinnata, kas käesolev määrus saavutab oma eesmärgid tulemuslikult ja tõhusalt, on sidus ja endiselt asjakohane ning annab liidu tasandil lisaväärtust, peaks komisjon käesolevat määrust hindama. Komisjon peaks kaheksa aasta jooksul pärast käesoleva määruse jõustumist korraldama määruse sihipärase hindamise ja kümne aasta jooksul pärast selle jõustumist üldhindamise. Komisjon peaks pärast iga hindamist esitama aruande oma peamiste järelduste kohta Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele.

(109)

Euroopa terviseandmeruumi edukaks piiriüleseks rakendamiseks tuleks õigusliku, korraldusliku, semantilise ja tehnilise koostalitlusvõime tagamiseks käsitada ühise võrdlusalusena Euroopa koostalitlusvõime raamistikku, mille kohaldamisala ajakohastati ja laiendati komisjoni 23. märtsi 2017. aasta teatisega „Euroopa koostalitlusvõime raamistik – rakendusstrateegia“, et võtta arvesse uusi või läbivaadatud koostalitlusvõime nõudeid.

(110)

Kuna käesoleva määruse eesmärke, nimelt võimestada füüsilisi isikuid, andes neile suurema kontrolli oma isikustatud elektrooniliste terviseandmete üle, ja toetada nende liikumisvabadust, tagades, et nende terviseandmed käivad nendega kaasas, edendada tõelist digitervishoiu teenuste ja toodete siseturgu ning tagada sidus ja tõhus raamistik, et taaskasutada füüsiliste isikute terviseandmeid teadusuuringute, innovatsiooni, poliitikakujundamise ja reguleerimistegevuse eesmärgil, ei suuda liikmesriigid ainuüksi koordineerimismeetmete abil piisavalt saavutada, nagu näitas direktiivi 2011/24/EL digiaspektide hindamine, külla aga saab neid paremini saavutada liidu tasandil füüsiliste isikute elektrooniliste terviseandmetega seotud õigusi käsitlevate meetmete ühtlustamise, elektrooniliste terviseandmete koostalitlusvõime ning esmase kasutuse ja teisese kasutuse ühise raamistiku ja kaitsemeetmete abil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärkide saavutamiseks vajalikust kaugemale.

(111)

Direktiivi 2011/24/EL digiaspektide hindamine näitas e-tervise võrgustiku piiratud tulemuslikkust, aga ka seda, et digitervishoiu valdkonnas on suur potentsiaal tööks liidu tasandil, mida tõendas COVID-19 pandeemia ajal tehtud töö. Seetõttu tuleks direktiivi 2011/24/EL vastavalt muuta.

(112)

Käesolev määrus täiendab määruses (EL) 2024/2847 sätestatud olulisi küberturvalisuse nõudeid. Tervisevaldkonna infosüsteemid, mis on digielemente sisaldavad tooted määruse (EL) 2024/2847 tähenduses, peaksid seetõttu vastama ka kõnealuses määruses sätestatud olulistele küberturvalisuse nõuetele. Selliste tervisevaldkonna infosüsteemide tootjad peaksid tõendama vastavust vastavalt käesolevas määruses nõutule. Nõuetele vastavuse hõlbustamiseks peaks tootjatel olema lubatud koostada üks tehniliste dokumentide kogum, mis sisaldab mõlema õigusaktiga nõutavaid elemente. Tervisevaldkonna infosüsteemide vastavust määruses (EL) 2024/2847 sätestatud olulistele küberturvalisuse nõuetele peaks olema võimalik tõendada käesoleva määruse kohase hindamisraamistiku kaudu. Käesoleva määruse kohaseid vastavushindamismenetluse osi, mis on seotud testimiskeskkondade kasutamisega, ei tohiks siiski kohaldada, kuna need testimiskeskkonnad ei võimalda hinnata vastavust olulistele küberturvalisuse nõuetele. Kuna määrus (EL) 2024/2847 ei hõlma tarkvara kui teenust (SaaS) otseselt, ei kuulu SaaSi litsentsimis- ja tarnemudeli kaudu pakutavad tervisevaldkonna infosüsteemid kõnealuse määruse kohaldamisalasse. Samuti ei kuulu kõnealuse määruse kohaldamisalasse asutusesiseselt välja töötatud ja kasutatavad tervisevaldkonna infosüsteemid, kuna neid ei lasta turule.

(113)

Euroopa Andmekaitseinspektori ja Euroopa Andmekaitsenõukoguga konsulteeriti kooskõlas määruse (EL) 2018/1725 artikli 42 lõigetega 1 ja 2 ning nad esitasid ühisarvamuse 12. juulil 2022.

(114)

Käesolev määrus ei tohiks mõjutada konkurentsireeglite, eriti ELi toimimise lepingu artiklite 101 ja 102 kohaldamist. Käesolevas määruses sätestatud meetmeid ei tohiks kasutada konkurentsi piiramiseks viisil, mis on vastuolus ELi toimimise lepinguga.

(115)

Võttes arvesse vajadust tehnilise ettevalmistuse järele, tuleks käesolevat määrust kohaldada alates 26. märtsist 2027. Selleks et toetada Euroopa terviseandmeruumi edukat rakendamist ja mõjusate tingimuste loomist Euroopa terviseandmete alaseks koostööks, tuleks seda rakendada etapiviisiliselt,