Strasburg, dnia 3.5.2022

COM(2022) 197 final

2022/0140(COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie europejskiej przestrzeni danych dotyczących zdrowia

(Tekst mający znaczenie dla EOG)

{SEC(2022) 196 final} - {SWD(2022) 130 final} - {SWD(2022) 131 final} - {SWD(2022) 132 final}


UZASADNIENIE

1.KONTEKST WNIOSKU

Przyczyny i cele wniosku

W europejskiej strategii w zakresie danych 1 zaproponowano ustanowienie wspólnych europejskich przestrzeni danych w poszczególnych dziedzinach. Europejska przestrzeń danych dotyczących zdrowia stanowi pierwszą propozycję takiej wspólnej europejskiej przestrzeni danych w poszczególnych dziedzinach. Będzie ona stanowić odpowiedź na specyficzne dla zdrowia wyzwania związane z dostępem do elektronicznych danych dotyczących zdrowia i ich wymianą, jest jednym z priorytetów Komisji Europejskiej w dziedzinie zdrowia 2 i będzie integralną częścią tworzenia Europejskiej Unii Zdrowotnej. Europejska przestrzeń danych dotyczących zdrowia stworzy wspólny system, w którym osoby fizyczne będą mogły łatwo kontrolować swoje elektroniczne dane dotyczące zdrowia. Umożliwi również badaczom, innowatorom i decydentom korzystanie z tych elektronicznych danych dotyczących zdrowia przy użyciu zaufanych i bezpiecznych metod i w sposób chroniący prywatność.

Obecnie osoby fizyczne doświadczają trudności w korzystaniu z przysługujących im praw związanych z ich elektronicznymi danymi dotyczącymi zdrowia, w tym w uzyskiwaniu dostępu do tych danych i ich przekazywaniu na poziomie krajowym i transgranicznym. Jest tak pomimo przepisów rozporządzenia (UE) 2016/679 (zwanego dalej „RODO”) 3 , w którym zagwarantowano prawa osób fizycznych w odniesieniu do ich danych, w tym danych dotyczących zdrowia. Jak wynika z badania oceniającego przepisy państw członkowskich UE w zakresie przetwarzania danych dotyczących zdrowia w świetle RODO 4 , niejednolite wdrożenie i niejednolita interpretacja RODO przez państwa członkowskie powodują znaczne nieścisłości prawne, co skutkuje barierami dla wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Prowadzi to do sytuacji, w których osoby fizyczne nie mogą korzystać z innowacyjnych metod leczenia, a decydenci nie mogą skutecznie reagować na kryzysy zdrowotne z powodu barier utrudniających badaczom, innowatorom, organom regulacyjnym i decydentom dostęp do niezbędnych elektronicznych danych dotyczących zdrowia. Ponadto ze względu na różne normy i ograniczoną interoperacyjność producenci cyfrowych produktów zdrowotnych i dostawcy cyfrowych usług zdrowotnych działający w jednym państwie członkowskim napotykają bariery i dodatkowe koszty w chwili wejścia na rynek innego państwa członkowskiego.

Ponadto pandemia COVID-19 jeszcze bardziej uwypukliła znaczenie elektronicznych danych dotyczących zdrowia w kontekście opracowywania polityki w odpowiedzi na sytuacje kryzysowe w dziedzinie zdrowia. Uwydatniła również konieczność zapewniania szybkiego dostępu do elektronicznych danych osobowych dotyczących zdrowia na potrzeby gotowości i reagowania na zagrożenia zdrowotne, jak również leczenia, ale także badań naukowych, innowacji, bezpieczeństwa pacjentów, celów regulacyjnych, kształtowania polityki, celów statystycznych lub medycyny personalizowanej. Rada Europejska uznaje pilną potrzebę poczynienia postępów w zakresie europejskiej przestrzeni danych dotyczących zdrowia oraz nadania jej priorytetowego znaczenia.

Ogólnym celem jest zapewnienie osobom fizycznym w UE większej praktycznej kontroli nad ich elektronicznymi danymi dotyczącymi zdrowia. Ponadto celem jest zapewnienie ram prawnych obejmujących wiarygodne mechanizmy zarządzania na poziomie UE i państw członkowskich oraz bezpieczne środowisko przetwarzania. Dzięki temu badacze, innowatorzy, decydenci i organy regulacyjne na szczeblu UE i państw członkowskich będą mieli dostęp do odpowiednich elektronicznych danych dotyczących zdrowia w celu promowania lepszej diagnostyki, lepszego leczenia i większego dobrostanu osób fizycznych, a także prowadzenia lepszej i opartej na rzetelnych informacjach polityki. Celem jest również przyczynienie się w stworzenia prawdziwie jednolitego rynku cyfrowych produktów i usług zdrowotnych dzięki harmonizacji przepisów, a tym samym zwiększeniu efektywności systemów opieki zdrowotnej.

Kwestia e-zdrowia została po raz pierwszy uwzględniona w prawodawstwie UE w art. 14 dyrektywy 2011/24/UE w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (zwanej dalej „dyrektywą w sprawie transgranicznej opieki zdrowotnej”) 5 . Jak jednak stwierdzono w ocenie skutków towarzyszącej niniejszemu rozporządzeniu w sprawie europejskiej przestrzeni danych dotyczących zdrowia, odpowiednie przepisy dyrektywy w sprawie transgranicznej opieki zdrowotnej mają charakter dobrowolny. Wyjaśnia to częściowo, dlaczego ten aspekt dyrektywy cechuje ograniczona skuteczność we wspieraniu kontroli osób fizycznych nad ich elektronicznymi danymi osobowymi dotyczącymi zdrowia na poziomie krajowym i transgranicznym oraz bardzo niska skuteczność w zakresie wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Pandemia COVID-19 ujawniła pilną potrzebę zapewnienia interoperacyjności i harmonizacji oraz znaczne możliwości w tym zakresie dzięki istniejącej technicznej wiedzy fachowej na poziomie krajowym. Jednocześnie cyfrowe produkty i usługi zdrowotne, w tym telemedycyna, stały się nieodłącznym elementem świadczenia usług opieki zdrowotnej.

W ocenie cyfrowych aspektów dyrektywy w sprawie transgranicznej opieki zdrowotnej uwzględniono pandemię COVID-19 oraz rozporządzenie (UE) 2021/953 w sprawie unijnego cyfrowego zaświadczenia COVID 6 . To ograniczone pod względem czasu stosowania rozporządzenie dotyczy ograniczeń w swobodnym przemieszczaniu się nałożonych w związku z pandemią COVID-19. Z oceny wynika, że przepisy prawne wspierające harmonizację i wspólne podejście UE do wykorzystywania elektronicznych danych dotyczących zdrowia do określonych celów (w przeciwieństwie do działań o charakterze wyłącznie dobrowolnym) oraz starania UE na rzecz zapewnienia interoperacyjności prawnej, semantycznej i technicznej 7 mogą przynieść korzyści. W szczególności mogą one znacząco wspierać swobodne przemieszczanie się osób fizycznych i promować UE jako światowego lidera w dziedzinie e-zdrowia.

Europejska przestrzeń danych dotyczących zdrowia będzie również promować lepszą wymianę różnych rodzajów elektronicznych danych dotyczących zdrowia, w tym elektronicznej dokumentacji medycznej, danych genomowych, danych z rejestrów pacjentów itp., i lepszy dostęp do tych danych. Zapewni to wsparcie nie tylko w zakresie świadczenia usług opieki zdrowotnej (wsparcie usług i personelu zaangażowanego w świadczenie opieki zdrowotnej lub pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia), ale także w kontekście badań naukowych w dziedzinie zdrowia, innowacji, kształtowania polityki, celów regulacyjnych i celów medycyny personalizowanej (wsparcie wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia). Ustanowi także mechanizmy altruistycznego podejścia do danych w sektorze ochrony zdrowia. Europejska przestrzeń danych dotyczących zdrowia przyczyni się do realizacji określonej przez Komisję wizji przeprowadzenia transformacji cyfrowej w UE do 2030 r., celu cyfrowego kompasu 8 polegającego na zapewnieniu wszystkim osobom fizycznym dostępu do ich dokumentacji medycznej oraz deklaracji w sprawie zasad cyfrowych 9 .

Spójność z przepisami obowiązującymi w tej dziedzinie polityki

Transgraniczna wymiana elektronicznych danych dotyczących zdrowia jest w pewnym zakresie uwzględniona w dyrektywie w sprawie transgranicznej opieki zdrowotnej, w szczególności w jej art. 14 dotyczącym sieci e-zdrowie. Sieć ta, utworzona w 2011 r., jest dobrowolnym organem na szczeblu europejskim, w skład którego wchodzą eksperci w dziedzinie e-zdrowia ze wszystkich państw członkowskich oraz Islandii i Norwegii. Ich zadaniem jest promowanie ogólnounijnej interoperacyjności elektronicznych danych dotyczących zdrowia oraz opracowywanie wytycznych, takich jak normy semantyczne i techniczne, zbiory danych i opisy infrastruktury. W ocenie cyfrowych aspektów dyrektywy w sprawie transgranicznej opieki zdrowotnej zwrócono uwagę na dobrowolny charakter tych prac i wytycznych. Wyjaśnia to, dlaczego miały one stosunkowo ograniczony wpływ na wspieranie dostępu osób fizycznych do ich elektronicznych danych dotyczących zdrowia i kontroli nad nimi. Europejska przestrzeń danych dotyczących zdrowia ma uregulować te kwestie.

Europejska przestrzeń danych dotyczących zdrowia opiera się na aktach prawnych, takich jak RODO, rozporządzenie (UE) 2017/745 w sprawie wyrobów medycznych (rozporządzenie w sprawie wyrobów medycznych) 10 oraz rozporządzenie (UE) 2017/746 w sprawie wyrobów medycznych do diagnostyki in vitro (rozporządzenie w sprawie diagnostyki in vitro) 11 , proponowany akt w sprawie sztucznej inteligencji 12 , proponowany akt w sprawie zarządzania danymi 13 i proponowany akt w sprawie danych 14 , dyrektywa 2016/1148 w sprawie bezpieczeństwa sieci i systemów informatycznych (dyrektywa w sprawie bezpieczeństwa sieci i informacji) 15 oraz dyrektywa w sprawie transgranicznej opieki zdrowotnej.

Biorąc pod uwagę, że znaczna ilość danych elektronicznych, które mają być dostępne w europejskiej przestrzeni danych dotyczących zdrowia, to dane osobowe dotyczące zdrowia osób fizycznych w UE, niniejszy wniosek został opracowany w pełnej zgodności nie tylko z RODO, ale także z rozporządzeniem (UE) 2018/1725 (unijne rozporządzenie o ochronie danych) 16 . RODO zapewnia prawo dostępu do danych, ich przenoszenia oraz udostępniania/przekazywania nowemu administratorowi danych. Ponadto w rozporządzeniu tym wskazano, że dane dotyczące zdrowia stanowią „szczególną kategorię danych”, i zapewniono im szczególną ochronę poprzez ustanowienie dodatkowych zabezpieczeń przy ich przetwarzaniu. Europejska przestrzeń danych dotyczących zdrowia wspiera wdrażanie praw zapisanych w RODO w odniesieniu do elektronicznych danych dotyczących zdrowia. Ma to miejsce niezależnie od państwa członkowskiego, rodzaju świadczeniodawcy, źródeł elektronicznych danych dotyczących zdrowia czy przynależności danej osoby fizycznej do systemu ubezpieczeń. Podstawę europejskiej przestrzeni danych dotyczących zdrowia stanowią możliwości oferowane przez RODO w zakresie przepisów UE dotyczących wykorzystania elektronicznych danych osobowych dotyczących zdrowia do celów diagnozy medycznej, zapewnienia opieki zdrowotnej lub leczenia bądź zarządzania systemami i usługami opieki zdrowotnej. Pozwala ona również na wykorzystywanie elektronicznych danych dotyczących zdrowia do celów badań naukowych lub historycznych, oficjalnych celów statystycznych oraz w interesie publicznym w dziedzinie zdrowia publicznego, jak np. w celu ochrony przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienia wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych. W ramach europejskiej przestrzeni danych dotyczących zdrowia przewidziano dalsze przepisy ułatwiające interoperacyjność i wzmocniono prawo osób fizycznych do przenoszenia danych w sektorze opieki zdrowotnej.

W kontekście Europejskiej Unii Zdrowotnej europejska przestrzeń danych dotyczących zdrowia będzie wspierać prace Urzędu ds. Gotowości i Reagowania na Stany Zagrożenia Zdrowia (HERA) 17 , w ramach Europejskiego planu walki z rakiem 18 prace misji UE dotyczącej walki z rakiem 19 oraz prace w ramach strategii farmaceutycznej dla Europy 20 . Europejska przestrzeń danych dotyczących zdrowia stworzy środowisko prawne i techniczne, które będzie wspierać rozwój innowacyjnych produktów leczniczych i szczepionek, a także wyrobów medycznych i diagnostyki in vitro. Przyczyni się to do zapobiegania sytuacjom kryzysowym w dziedzinie zdrowia, wykrywania takich sytuacji i szybkiego reagowania na nie. Ponadto dzięki transgranicznemu bezpiecznemu dostępowi do danych dotyczących zdrowia osób fizycznych, w tym ich danych dotyczących nowotworów, oraz ich wymianie między świadczeniodawcami, europejska przestrzeń danych dotyczących zdrowia przyczyni się do lepszego zrozumienia, wczesnego wykrywania, diagnozowania, leczenia i monitorowania nowotworów oraz zapobiegania tym chorobom. Tym samym, dzięki zapewnieniu bezpiecznego dostępu do szerokiego zakresu elektronicznych danych dotyczących zdrowia, europejska przestrzeń danych dotyczących zdrowia otworzy nowe możliwości w zakresie profilaktyki i leczenia chorób.

Wniosek dotyczący europejskiej przestrzeni danych dotyczących zdrowia opiera się także na wymogach nałożonych na oprogramowanie na mocy rozporządzenia w sprawie wyrobów medycznych oraz proponowanego aktu w sprawie sztucznej inteligencji. Oprogramowanie wyrobów medycznych już teraz musi być certyfikowane na mocy rozporządzenia w sprawie wyrobów medycznych, a urządzenia medyczne oparte na sztucznej inteligencji i inne systemy sztucznej inteligencji będą musiały również spełniać wymogi określone w akcie w sprawie sztucznej inteligencji po jego wejściu w życie. Stwierdzono jednak istnienie luki regulacyjnej w odniesieniu do systemów informatycznych stosowanych w dziedzinie zdrowia, zwanych również systemami elektronicznej dokumentacji medycznej. Skupiono się zatem na tych systemach elektronicznej dokumentacji medycznej, które mają być wykorzystywane do przechowywania i udostępniania elektronicznych danych dotyczących zdrowia osób fizycznych. Dlatego też w ramach europejskiej przestrzeni danych dotyczących zdrowia specjalnie określono zasadnicze wymagania dotyczące systemów elektronicznej dokumentacji medycznej w celu promowania interoperacyjności i możliwości przenoszenia danych w ramach tych systemów, dzięki czemu osoby fizyczne mogłyby skuteczniej kontrolować swoje elektroniczne dane dotyczące zdrowia. Ponadto, w przypadku gdy producenci wyrobów medycznych i systemów sztucznej inteligencji wysokiego ryzyka zadeklarują interoperacyjność z systemami elektronicznej dokumentacji medycznej, będą musieli spełnić zasadnicze wymagania dotyczące interoperacyjności na mocy rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia.

W zakresie zapewnienia ram wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia europejska przestrzeń danych dotyczących zdrowia opiera się na proponowanym akcie w sprawie zarządzania danymi oraz na proponowanym akcie w sprawie danych. Jako ramy horyzontalne akt w sprawie zarządzania danymi określa jedynie ogólne warunki wtórnego wykorzystywania danych sektora publicznego i nie ustanawia rzeczywistego prawa do wtórnego wykorzystywania takich danych. Proponowany akt w sprawie danych rozszerza możliwości przenoszenia niektórych danych generowanych przez użytkowników, które mogą obejmować dane dotyczące zdrowia, ale nie zawiera przepisów odnoszących się do wszystkich danych dotyczących zdrowia. W związku z tym rozporządzenie w sprawie europejskiej przestrzeni danych dotyczących zdrowia uzupełnia te proponowane akty ustawodawcze i zawiera bardziej szczegółowe przepisy dotyczące sektora ochrony zdrowia. Te szczegółowe przepisy obejmują wymianę elektronicznych danych dotyczących zdrowia i mogą mieć wpływ na dostawcę usług udostępniania danych, formaty zapewniające możliwość przenoszenia danych dotyczących zdrowia, zasady współpracy w zakresie altruistycznego podejścia do danych w dziedzinie zdrowia oraz komplementarność w zakresie dostępu do danych prywatnych na potrzeby wtórnego wykorzystywania.

W dyrektywie w sprawie bezpieczeństwa sieci i informacji ustanowiono pierwsze ogólnounijne przepisy dotyczące cyberbezpieczeństwa. Trwa proces rewizji tej dyrektywy (wniosek dotyczący drugiej dyrektywy w sprawie bezpieczeństwa sieci i informacji 21 ) i obecnie jest ona przedmiotem negocjacji ze współprawodawcami. Celem przeglądu jest podniesienie wspólnego unijnego poziomu ambicji w zakresie ram regulacyjnych dotyczących cyberbezpieczeństwa przez rozszerzenie ich zakresu, wprowadzenie bardziej przejrzystych przepisów i wzmocnienie narzędzi nadzoru. Wniosek Komisji uwzględnia te kwestie w ramach trzech filarów: 1) zdolności państw członkowskich; 2) zarządzania ryzykiem; 3) współpracy i wymiany informacji. Podmioty działające w systemie opieki zdrowotnej pozostają objęte zakresem dyrektywy. Europejska przestrzeń danych dotyczących zdrowia zwiększa bezpieczeństwo i zaufanie do ram technicznych mających na celu ułatwianie wymiany elektronicznych danych dotyczących zdrowia na potrzeby wykorzystywania pierwotnego, jak również wtórnego.

W 2022 r. Komisja planuje również przyjąć wniosek w sprawie aktu dotyczącego cyberodporności, którego celem będzie ustanowienie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów cyfrowych i usług dodatkowych. Przewidywany zestaw zasadniczych wymagań w zakresie cyberbezpieczeństwa, który ma zostać ustanowiony w akcie dotyczącym cyberodporności, będzie miał zastosowanie do wszystkich sektorów i kategorii produktów cyfrowych, a producenci i sprzedawcy tych produktów będą musieli spełnić te wymagania przed wprowadzeniem produktów na rynek lub, w stosownych przypadkach, w chwili wprowadzania ich do używania, a także w trakcie całego cyklu życia produktów. Wymagania te będą miały charakter ogólny i będą neutralne pod względem technologicznym. Wymogi w zakresie bezpieczeństwa określone w ramach europejskiej przestrzeni danych dotyczących zdrowia, zwłaszcza w odniesieniu do systemów elektronicznej dokumentacji medycznej, obejmują bardziej szczegółowe wymogi w niektórych obszarach, w tym wymóg kontroli dostępu.

Rozporządzenie w sprawie europejskiej przestrzeni danych dotyczących zdrowia opiera się na nowym wniosku w sprawie europejskiej tożsamości cyfrowej 22 i wprowadzono w nim ulepszenia w dziedzinie identyfikacji elektronicznej, w tym w odniesieniu do portfela tożsamości cyfrowej. Pozwoli to na stworzenie lepszych mechanizmów identyfikacji online i offline osób fizycznych i pracowników służby zdrowia.

Spójność z innymi politykami Unii

Niniejszy wniosek jest zgodny z nadrzędnymi celami UE. Obejmują one budowanie silniejszej Europejskiej Unii Zdrowotnej, wdrażanie Europejskiego filaru praw socjalnych, poprawę funkcjonowania rynku wewnętrznego, propagowanie synergii z unijną agendą na rzecz cyfrowego rynku wewnętrznego oraz realizację ambitnego programu badań naukowych i innowacji. Ponadto wniosek zapewni istotny zestaw elementów wspierających tworzenie Europejskiej Unii Zdrowotnej przez zachęcanie do innowacji i prowadzenia badań oraz lepsze radzenie sobie z przyszłymi kryzysami zdrowotnymi.

Wniosek jest zgodny z priorytetami Komisji dotyczącymi stworzenia Europy na miarę ery cyfrowej i zbudowania gospodarki gotowej na przyszłe wyzwania, która będzie przynosić korzyści obywatelom. Umożliwia on również zbadanie potencjału regionów transgranicznych jako obszarów pilotażowych testów innowacyjnych rozwiązań w zakresie integracji europejskiej zgodnie z sugestiami zawartymi w sprawozdaniu Komisji „Regiony przygraniczne UE: »żywe laboratoria« dla integracji europejskiej” 23 . Stanowi on wsparcie dla opracowanego przez Komisję planu odbudowy dzięki wnioskom wyciągniętym z pandemii COVID-19 i zapewnia korzyści w postaci łatwiejszego dostępu do elektronicznych danych dotyczących zdrowia w razie potrzeby.

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

Podstawa prawna

Podstawą wniosku jest art. 16 i 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE). Możliwe jest wskazanie takiej podwójnej podstawy prawnej, jeśli zostanie ustalone, że dany środek służy jednocześnie osiągnięciu kilku celów, które są ze sobą nierozerwalnie związane, przy czym jeden z nich nie jest drugorzędny wobec drugiego ani tylko z nim pośrednio związany. Tak jest w przypadku niniejszego wniosku, jak wyjaśniono poniżej. Procedury ustanowione w odniesieniu do każdej podstawy prawnej są ze sobą zgodne.

Po pierwsze art. 114 TFUE ma na celu poprawę funkcjonowania rynku wewnętrznego za pomocą środków służących zbliżeniu przepisów krajowych. Niektóre państwa członkowskie podjęły działania legislacyjne w celu rozwiązania opisanych powyżej problemów i ustanowiły krajowe systemy certyfikacji systemów elektronicznej dokumentacji medycznej, podczas gdy inne tego nie uczyniły. Może to prowadzić do rozdrobnienia legislacyjnego na rynku wewnętrznym oraz stosowania różnych przepisów i praktyk w całej UE. Może to również powodować koszty dla firm, które będą musiały zapewniać zgodność z różnymi systemami.

Art. 114 TFUE jest odpowiednią podstawą prawną, gdyż większość przepisów niniejszego rozporządzenia ma na celu ulepszenie funkcjonowania rynku wewnętrznego i swobodnego przepływu towarów i usług. W tym względzie w art. 114 ust. 3 TFUE określono wyraźny wymóg, aby w procesie harmonizacji zagwarantowano wysoki poziom ochrony zdrowia ludzkiego, przy szczególnym uwzględnieniu wszelkich zmian opartych na faktach naukowych. Ta podstawa prawna jest zatem odpowiednia także w przypadku działań związanych z ochroną zdrowia publicznego. Jest to również w pełni zgodne z art. 168, który stanowi, że we wszystkich politykach Unii należy zapewnić wysoki poziom ochrony ludzi, przy jednoczesnym poszanowaniu obowiązków państw członkowskich w zakresie określania ich polityki dotyczącej zdrowia, jak również organizacji i świadczenia usług zdrowotnych i opieki medycznej.

Niniejszy wniosek ustawodawczy zapewni UE możliwość czerpania korzyści ze skali rynku wewnętrznego, ponieważ produkty i usługi oparte na danych dotyczących zdrowia są często opracowywane z wykorzystaniem elektronicznych danych dotyczących zdrowia z różnych państw członkowskich, a następnie komercjalizowane w całej UE.

Drugą podstawę prawną niniejszego wniosku stanowi art. 16 TFUE. RODO zapewnia istotne zabezpieczenia w odniesieniu do praw osób fizycznych w zakresie ich danych dotyczących zdrowia. Jak jednak wspomniano w sekcji 1, prawa te nie mogą być realizowane w praktyce ze względów związanych z interoperacyjnością oraz ograniczoną harmonizacją wymogów i norm technicznych wdrażanych na poziomie krajowym i unijnym. Ponadto zakres prawa do przenoszenia danych na mocy RODO sprawia, że jest ono mniej skuteczne w sektorze ochrony zdrowia 24 . W związku z tym istnieje potrzeba wprowadzenia dodatkowych prawnie wiążących przepisów i zabezpieczeń. Aby móc wykorzystać wartość danych dotyczących zdrowia dla społeczeństwa, konieczne jest także opracowanie szczegółowych wymogów i norm, które będą opierać się na zabezpieczeniach przewidzianych w dziedzinie przetwarzania elektronicznych danych dotyczących zdrowia. Ponadto niniejszy wniosek ma na celu rozszerzenie zakresu stosowania elektronicznych danych dotyczących zdrowia przy jednoczesnym wzmocnieniu praw wynikających z art. 16 TFUE. Ogólnie rzecz biorąc, europejska przestrzeń danych dotyczących zdrowia urzeczywistnia możliwości, jakie daje RODO w zakresie prawa Unii w odniesieniu do kilku celów. Obejmują one diagnozę medyczną, zapewnienie opieki zdrowotnej lub leczenia bądź zarządzanie systemami i usługami opieki zdrowotnej. Pozwala ona również na wykorzystywanie elektronicznych danych dotyczących zdrowia w interesie publicznym w dziedzinie zdrowia publicznego, np. w celu ochrony przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienia wysokich standardów jakości i bezpieczeństwa ochrony zdrowia i opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych. Służy ona także celom związanym z prowadzeniem badań naukowych lub historycznych oraz celom statystycznym.

Pomocniczość

Niniejszy wniosek ma na celu harmonizację przepływów danych, aby zapewnić osobom fizycznym wsparcie w korzystaniu z ochrony i swobodnego przepływu elektronicznych danych dotyczących zdrowia, zwłaszcza danych osobowych. Celem wniosku nie jest uregulowanie sposobu, w jaki państwa członkowskie świadczą usługi opieki zdrowotnej.

W ramach oceny cyfrowych aspektów dyrektywy w sprawie transgranicznej opieki zdrowotnej dokonano przeglądu obecnej sytuacji w zakresie rozdrobnienia, różnic oraz utrudnień w dostępie do elektronicznych danych dotyczących zdrowia i ich wykorzystywaniu. Z oceny tej wynika, że działania podejmowane wyłącznie przez państwa członkowskie nie są wystarczające i mogą utrudniać szybki rozwój i wdrażanie cyfrowych produktów i usług zdrowotnych, w tym produktów i usług opartych na sztucznej inteligencji.

We wspomnianym wyżej badaniu dotyczącym wdrażania RODO w sektorze ochrony zdrowia zauważono, że rozporządzenieto zapewnia osobom fizycznym szerokie prawa w zakresie dostępu do danych, w tym danych dotyczących zdrowia, oraz ich przekazywania. Stosowanie tych praw w praktyce utrudnia jednak niski poziom interoperacyjności w sektorze opieki zdrowotnej, czemu do tej pory zaradzano głównie za pomocą instrumentów prawa miękkiego. Takie różnice w lokalnych, regionalnych i krajowych normach i specyfikacjach mogą także uniemożliwić producentom cyfrowych produktów zdrowotnych i dostawcom cyfrowych usług zdrowotnych wejście na nowe rynki, na których musieliby dostosować się do nowych norm. Niniejszy wniosek ustawodawczy służy zatem uzupełnieniu praw i zabezpieczeń przewidzianych w RODO, tak aby rzeczywiście można było osiągnąć jego cele.

W tym samym badaniu stwierdzono, że na poziomie krajowym w ramach RODO powszechnie stosowane są przepisy dotyczące specyfikacji fakultatywnych. Doprowadziło to do rozdrobnienia i trudności w dostępie do elektronicznych danych dotyczących zdrowia zarówno na poziomie krajowym, jak i między państwami członkowskimi. Wpłynęło to również na zdolność badaczy, innowatorów, decydentów i organów regulacyjnych do wykonywania zadań lub prowadzenia badań czy opracowywania innowacji. Ostatecznie okazało się to szkodliwe dla gospodarki europejskiej.

Przeprowadzona w ramach oceny skutków ocena art. 14 dyrektywy w sprawie transgranicznej opieki zdrowotnej pokazuje, że dotychczasowe podejścia, polegające na stosowaniu instrumentów o niskiej intensywności/instrumentów „miękkiego prawa”, takich jak wytyczne i zalecenia mające na celu wspieranie interoperacyjności, nie przyniosły pożądanych rezultatów. Dostęp osób fizycznych do ich elektronicznych danych osobowych dotyczących zdrowia i kontrola nad takimi danymi są nadal ograniczone, a ponadto występują znaczne braki w interoperacyjności systemów informatycznych stosowanych w dziedzinie zdrowia. Ponadto krajowe podejścia do rozwiązywania problemów mają ograniczony zakres i nie uwzględniają w pełni kwestii ogólnounijnych. Obecnie transgraniczna wymiana danych dotyczących zdrowia jest nadal bardzo ograniczona, co częściowo wynika ze znacznego zróżnicowania norm stosowanych w odniesieniu do elektronicznych danych dotyczących zdrowia w poszczególnych państwach członkowskich. W wielu państwach członkowskich na poziomie krajowym, regionalnym i lokalnym występują poważne problemy związane z interoperacyjnością i możliwością przenoszenia danych, co utrudnia ciągłość opieki i zmniejsza sprawność systemów opieki zdrowotnej. Nawet jeśli dane dotyczące zdrowia są dostępne w formie elektronicznej, zazwyczaj nie trafiają one do innego świadczeniodawcy, z którego usług korzysta dana osoba fizyczna. Wniosek w sprawie europejskiej przestrzeni danych dotyczących zdrowia zaradzi tym kwestiom na poziomie UE i zapewni mechanizmy poprawy rozwiązań interoperacyjnych stosowanych na poziomie krajowym, regionalnym i lokalnym oraz wzmocni prawa osób fizycznych.

W związku z tym konieczne jest podjęcie ogólnounijnych działań we wskazanych aspektach i w określonej formie w celu propagowania transgranicznego przepływu elektronicznych danych dotyczących zdrowia oraz wspierania prawdziwego rynku wewnętrznego elektronicznych danych dotyczących zdrowia oraz cyfrowych produktów i usług zdrowotnych.

Proporcjonalność

Przedmiotowa inicjatywa ma na celu wprowadzenie środków niezbędnych do osiągnięcia głównych celów. Niniejszy wniosek tworzy ramy wspomagające, które nie wykraczają poza to, co jest konieczne do osiągnięcia tych celów. Uwzględniono w nim istniejące bariery, aby ułatwić wykorzystanie potencjalnej wartości elektronicznych danych dotyczących zdrowia. Ustanawia ramy, które ograniczają rozdrobnienie i zmniejszają niepewność prawa. W pracach nad inicjatywą uczestniczą organy krajowe i przewiduje się zdecydowane zaangażowanie odpowiednich zainteresowanych stron.

Proponowane rozporządzenie spowoduje powstanie kosztów finansowych i administracyjnych, które będą ponoszone w drodze przydziału zasobów zarówno na poziomie państw członkowskich, jak i UE. W ocenie skutków wykazano, że preferowany wariant strategiczny przynosi największe korzyści przy najmniejszych kosztach. Preferowany wariant strategiczny nie wykracza poza to, co jest konieczne do osiągnięcia celów Traktatów.

Wybór instrumentu

Niniejszy wniosek ma formę nowego rozporządzenia. Uważa się, że jest to najbardziej odpowiedni instrument, biorąc pod uwagę potrzebę wprowadzenia ram regulacyjnych bezpośrednio obejmujących prawa osób fizycznych i ograniczających rozdrobnienie na jednolitym rynku cyfrowym. Aby zapobiec rozdrobnieniu wynikającemu z niespójnego stosowania odpowiednich przepisów RODO (np. art. 9 ust. 4), w europejskiej przestrzeni danych dotyczących zdrowia korzysta się z wariantów prawa Unii oferowanych w RODO, odnoszących się do wykorzystania danych dotyczących zdrowia do różnych celów. Podczas przygotowywania niniejszego wniosku dokładnie przeanalizowano różne krajowe konteksty prawne, w których RODO stanowiło podstawę przy tworzeniu przepisów krajowych. Aby zapobiec poważnym zakłóceniom, ale także aby zapewnić spójny rozwój sytuacji w przyszłości, celem europejskiej przestrzeni danych dotyczących zdrowia jest przedstawienie inicjatywy, w której uwzględnione zostaną główne elementy wspólne różnych ram. Nie wybrano dyrektywy, ponieważ umożliwiłaby ona rozbieżne wdrożenie i fragmentację rynku, co mogłoby wpłynąć na ochronę i swobodny przepływ danych osobowych w sektorze ochrony zdrowia. Wniosek posłuży do wzmocnienia unijnej gospodarki opartej o dane dotyczące zdrowia przez zwiększenie pewności prawa i zagwarantowanie w pełni jednolitych i spójnych sektorowych ram prawnych. W proponowanym rozporządzeniu wzywa się również do zaangażowania zainteresowanych stron w celu zapewnienia, aby wymogi spełniały potrzeby pracowników służby zdrowia, osób fizycznych, środowisk akademickich, sektora i innych zainteresowanych stron.

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

Oceny ex post/oceny adekwatności obowiązującego prawodawstwa

W 2011 r. przyjęto dyrektywę w sprawie transgranicznej opieki zdrowotnej i do 2015 r. transponowano ją we wszystkich państwach członkowskich. Art. 14 dyrektywy, ustanawiający sieć e-zdrowie, poddano ocenie w celu lepszego zrozumienia wpływu, jaki wywarł on na e-zdrowie w UE. Z oceny, która stanowi załącznik do dokumentu roboczego służb Komisji dotyczącego oceny skutków europejskiej przestrzeni danych dotyczących zdrowia, wynika, że wpływ ten był raczej ograniczony. W ocenie przepisów dotyczących e-zdrowia w ramach dyrektywy stwierdzono, że ich skuteczność i wydajność jest raczej ograniczona, co wynikało z dobrowolnego charakteru działań w ramach sieci e-zdrowie.

Postępy w wykorzystywaniu elektronicznych danych osobowych dotyczących zdrowia do podstawowego celu w kontekście transgranicznej opieki zdrowotnej były powolne. Platformę MojeZdrowie@UE (MyHealth@EU) wdrożono jedynie w 10 państwach członkowskich i obecnie obsługuje ona tylko dwie usługi (recepta elektroniczna i skrócona karta zdrowia pacjenta). Niski stopień i powolność rozpowszechnienia mają częściowy związek z faktem, że choć w dyrektywie ustanowiono prawo osób fizycznych do otrzymania pisemnej dokumentacji przeprowadzonego leczenia, nie wymaga się w niej, aby tę dokumentację medyczną dostarczano w formie elektronicznej. Dostęp osób fizycznych do ich elektronicznych danych osobowych dotyczących zdrowia jest nadal uciążliwy i osoby te mają ograniczoną kontrolę nad swoimi danymi dotyczącymi zdrowia oraz wykorzystaniem tych danych do celów diagnozy medycznej i leczenia. W ramach sieci e-zdrowie państwom członkowskim zalecono stosowanie w zamówieniach publicznych norm i specyfikacji dotyczących formatu wymiany elektronicznej dokumentacji medycznej w celu budowania interoperacyjności. Faktyczne wykorzystanie tego formatu było jednak ograniczone, co doprowadziło do rozdrobnienia systemu oraz nierównego dostępu do elektronicznych danych dotyczących zdrowia i nierównej możliwości ich przenoszenia.

Oczekuje się, że większość państw członkowskich wdroży platformę MojeZdrowie@UE (MyHealth@EU) do 2025 r. Dopiero gdy więcej państw członkowskich wdroży platformę MojeZdrowie@UE (MyHealth@EU) i opracuje niezbędne narzędzia, ich wykorzystanie, rozwój i utrzymanie staną się efektywniejsze w całej UE. Postęp w dziedzinie e-zdrowia, jaki dokonał się w ostatnich latach, wymaga jednak bardziej skoordynowanych działań na poziomie UE.

Niemniej w wyniku pandemii COVID-19 w Europie sieć e-zdrowie okazała się bardzo skuteczna i efektywna w czasach kryzysu w dziedzinie zdrowia publicznego, co przyczyniło się do osiągnięcia konwergencji politycznej.

Jeżeli chodzi o wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia, działania sieci e-zdrowie były bardzo ograniczone i niezbyt skuteczne. Po kilku niewiążących dokumentach dotyczących dużych zbiorów danych nie podjęto dalszych konkretnych działań, a ich wdrożenie w praktyce jest nadal bardzo ograniczone. Na poziomie krajowym pojawiły się inne podmioty zajmujące się wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia niż te, które były reprezentowane w sieci e-zdrowie. Niektóre państwa członkowskie powołały różne organy, które zajmują się tą kwestią i uczestniczyły w inicjatywie TEHDaS (wspólnym działaniu na rzecz europejskiej przestrzeni danych dotyczących zdrowia). Ani to wspólne działanie, ani liczne fundusze zapewnione przez Komisję, np. w ramach programu „Horyzont Europa”, na wspieranie wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia nie zostały jednak w wystarczającym stopniu wdrożone w spójności z działaniami w ramach sieci e-zdrowie.

Stwierdzono zatem, że obecna struktura sieci e-zdrowie nie jest już odpowiednia. Umożliwia ona jedynie nieustrukturyzowaną współpracę w zakresie pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia i interoperacyjności, co nie rozwiązuje w sposób systematyczny problemów związanych z dostępem do danych i ich przenoszeniem na poziomie krajowym i transgranicznym. Ponadto sieć e-zdrowie nie jest w stanie w skuteczny i efektywny sposób zaspokoić potrzeb związanych z wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia. W dyrektywie w sprawie transgranicznej opieki zdrowotnej przewidziano uprawnienia do przyjęcia aktów wykonawczych w odniesieniu do pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia; uprawnienia te są ograniczone.

Pandemia COVID-19 uwidoczniła i podkreśliła znaczenie bezpiecznego i pewnego dostępu do danych dotyczących zdrowia publicznego i opieki zdrowotnej oraz dostępności takich danych ponad granicami państw członkowskich, a także szerokiej dostępności elektronicznych danych dotyczących zdrowia dla zdrowia publicznego w kontekście swobodnego przepływu osób w UE podczas pandemii. UE, korzystając z solidnych ram prawnych, bardzo skutecznie ustanowiła na poziomie unijnym normy i usługi ułatwiające swobodny przepływ osób, takie jak unijne cyfrowe zaświadczenie COVID. Wydaje się jednak, że ogólne postępy są utrudnione z powodu braku wiążących lub obowiązkowych norm w całej UE, a co za tym idzie – ograniczonej interoperacyjności. Rozwiązanie tego problemu przyniosłoby korzyści nie tylko osobom fizycznym, ale przyczyniłoby się również do urzeczywistnienia cyfrowego rynku wewnętrznego i zmniejszenia barier w swobodnym przepływie produktów i usług cyfrowych w dziedzinie opieki zdrowotnej.

Konsultacje z zainteresowanymi stronami

Podczas przygotowywania niniejszego wniosku dotyczącego europejskiej przestrzeni danych dotyczących zdrowia na różne sposoby konsultowano się z zainteresowanymi stronami. W ramach konsultacji publicznych zebrano opinie zainteresowanych stron na temat wariantów utworzenia europejskiej przestrzeni danych dotyczących zdrowia 25 . Otrzymano informacje zwrotne od różnych grup zainteresowanych stron. Szczegółowe informacje na temat ich opinii można znaleźć w załączniku do dokumentu roboczego służb Komisji obejmującego ocenę skutków.

W okresie od maja do lipca 2021 r. przeprowadzono konsultacje publiczne. Ogółem otrzymano 382 ważne odpowiedzi. Respondenci wyrazili poparcie dla działań na poziomie UE mających na celu przyspieszenie badań w dziedzinie zdrowia (89 %), promowanie kontroli osób fizycznych nad własnymi danymi dotyczącymi zdrowia (88 %) oraz ułatwienie transgranicznego świadczenia opieki zdrowotnej (83 %). Duże poparcie zyskało propagowanie dostępu do danych dotyczących zdrowia i ich wymiany za pośrednictwem infrastruktury cyfrowej (72 %) lub infrastruktury UE (69 %). Większość respondentów jest ponadto zdania, że osoby fizyczne powinny mieć możliwość przekazywania danych zgromadzonych w ramach mobilnego zdrowia i telemedycyny do systemów elektronicznej dokumentacji medycznej (77 %). Program certyfikacji na poziomie UE służący propagowaniu interoperacyjności poparło 52 % respondentów.

W obszarze wtórnego wykorzystywania danych dotyczących zdrowia większość respondentów stwierdziła, że organ UE mógłby ułatwić dostęp do tych danych do drugorzędnych celów (87 %). 67 % respondentów popiera obowiązkowe stosowanie wymogów technicznych i norm.

Opinie zainteresowanych stron zebrano również w ramach badania pt. „Assessment of the EU Member States rules on health data in the light of GDPR” (Ocena przepisów państw członkowskich UE w zakresie danych dotyczących zdrowia w świetle RODO). W ramach badania odbyło się pięć warsztatów z udziałem przedstawicieli ministerstw zdrowia, ekspertów, przedstawicieli zainteresowanych stron i ekspertów z krajowych urzędów ochrony danych 26 . Przeprowadzono także ankietę wśród zainteresowanych stron, aby zweryfikować i uzupełnić poruszone i określone tematy. W sumie na ankietę internetową odpowiedziało 543 respondentów. Wynika z niej, że 73 % respondentów uważa, iż umieszczenie danych dotyczących zdrowia w przestrzeni danych osobowych lub na portalu dla pacjentów ułatwia przekazywanie danych między świadczeniodawcami. Ponadto 87 % respondentów sądzi, że brak możliwości przenoszenia danych powoduje wzrost kosztów opieki zdrowotnej, a 84 % twierdzi, że brak możliwości przenoszenia danych opóźnia diagnozę i leczenie. Około 84 % jest zdania, że na poziomie UE należy wdrożyć dodatkowe środki w celu wzmocnienia kontroli osób fizycznych nad ich danymi dotyczącymi zdrowia. Około 81 % respondentów sądzi, że stosowanie różnych podstaw prawnych wynikających z RODO utrudnia wymianę danych dotyczących zdrowia. Około 81 % respondentów sugeruje, że UE powinna wspierać wtórne wykorzystywanie danych dotyczących zdrowia na tej samej podstawie prawnej.

Badanie dotyczące luk regulacyjnych w transgranicznym świadczeniu cyfrowych usług zdrowotnych i oferowaniu cyfrowych produktów zdrowotnych, z uwzględnieniem sztucznej inteligencji, oraz ocena istniejących ram transgranicznej wymiany danych dotyczących zdrowia. W okresie od września 2020 r. do sierpnia 2021 r. przeprowadzono badanie poświęcone danym dotyczącym zdrowia, e-zdrowiu i sztucznej inteligencji w opiece zdrowotnej. W wyniku tego badania uzyskano dowody niezbędne do świadomego kształtowania polityki w obszarach cyfrowych produktów i usług zdrowotnych, sztucznej inteligencji, zarządzania wykorzystywaniem danych dotyczących zdrowia oraz oceny art. 14 dyrektywy w sprawie transgranicznej opieki zdrowotnej. Działania konsultacyjne obejmowały wywiady, grupy dyskusyjne i ankiety internetowe. Zainteresowane strony popierają środki w szeregu obszarów, począwszy od wytycznych dotyczących jakości cyfrowych usług i produktów zdrowotnych, interoperacyjności, zwrotu kosztów, identyfikacji i uwierzytelniania, a skończywszy na umiejętnościach cyfrowych. Jeżeli chodzi o pierwotne wykorzystywanie, zainteresowane strony popierają upoważnienie krajowych organów ds. e-zdrowia do realizacji zadań z myślą o wspieraniu transgranicznego świadczenia usług w zakresie e-zdrowia i dostępu do elektronicznych danych dotyczących zdrowia. Ponadto popierają one także rozszerzenie usług świadczonych w ramach platformy MojeZdrowie@UE (MyHealth@EU). Popierane jest także przyznanie osobom fizycznym prawa do przenoszenia własnej elektronicznej dokumentacji medycznej w interoperacyjnym formacie. Jeżeli chodzi o wtórne wykorzystywanie, popiera się wprowadzenie ram prawnych i ram zarządzania, opierając się na ustanowieniu organów ds. dostępu do danych dotyczących zdrowia w wielu państwach członkowskich, przy współpracy na poziomie UE w ramach sieci lub grupy doradczej. Aby ograniczyć bariery, poparto by specyfikacje i normy.

W okresie od kwietnia 2021 r. do grudnia 2021 r. przeprowadzono badanie dotyczące infrastruktur i ekosystemu danych, wspierające ocenę skutków europejskiej przestrzeni danych dotyczących zdrowia 27 . Celem tego badania jest przedstawienie opartych na dowodach spostrzeżeń ułatwiających ocenę skutków wariantów europejskiej infrastruktury e-zdrowia. W ramach badania określono, scharakteryzowano i oceniono warianty infrastruktury cyfrowej, przedstawiono opłacalność i dostarczono dane dotyczące oczekiwanych skutków w odniesieniu do zarówno pierwotnego, jak i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Przeprowadzono interaktywne warsztaty, w których wzięło udział 65 zainteresowanych stron aktywnie zaangażowanych w wykorzystanie danych dotyczących zdrowia. Znaleźli się wśród nich przedstawiciele ministerstw zdrowia, organów ds. e-zdrowia, krajowych punktów kontaktowych ds. e-zdrowia, infrastruktur badawczych poświęconych danym dotyczącym zdrowia, agencji regulacyjnych, organów ds. dostępu do danych dotyczących zdrowia, świadczeniodawców, pacjentów i grup poparcia. Ponadto opracowano ankietę, w której skoncentrowano się na kosztach, zawierającą pytania dotyczące wartości, korzyści, skutków i kosztów różnych wariantów.

Ponadto w okresie od czerwca 2021 r. do grudnia 2021 r. przeprowadzono badanie oceny skutków. Jego celem było przedstawienie opartych na dowodach spostrzeżeń ułatwiających ocenę skutków wariantów europejskiej przestrzeni danych dotyczących zdrowia. W badaniu określono i oceniono ogólne warianty strategiczne europejskiej przestrzeni danych dotyczących zdrowia, wykorzystując dowody zgromadzone w toku poprzednich badań. W dokumencie pt. „Public consultation on overcoming cross-border obstacles” (Konsultacje publiczne w sprawie pokonywania przeszkód transgranicznych) 28 pokazano również, że osoby fizyczne napotykają podobne przeszkody w kontekście regionów transgranicznych. Bardziej szczegółowe informacje na temat tych badań można znaleźć w załączniku do dokumentu roboczego służb Komisji.

Gromadzenie i wykorzystanie wiedzy eksperckiej

Prace nad europejską przestrzenią danych dotyczących zdrowia wsparto kilkoma badaniami i opracowaniami, takimi jak:

badanie pt. „Assessment of the EU Member States rules on health data in the light of GDPR” (Ocena przepisów państw członkowskich UE w zakresie danych dotyczących zdrowia w świetle RODO) 29 ;

badanie dotyczące luk regulacyjnych w transgranicznym świadczeniu cyfrowych usług zdrowotnych i oferowaniu cyfrowych produktów zdrowotnych, z uwzględnieniem sztucznej inteligencji, oraz ocena istniejących ram transgranicznej wymiany danych dotyczących zdrowia (w przygotowaniu);

badanie dotyczące infrastruktury i ekosystemu danych, wspierające ocenę skutków europejskiej przestrzeni danych dotyczących zdrowia (w przygotowaniu);

badanie wspierające ocenę skutków wariantów strategicznych dotyczących inicjatywy UE w zakresie europejskiej przestrzeni danych dotyczących zdrowia (w przygotowaniu);

badanie dotyczące interoperacyjności elektronicznej dokumentacji medycznej w Unii Europejskiej (MonitorEHR) 30 ;

badanie dotyczące wykorzystania danych pochodzących z rzeczywistej praktyki klinicznej do badań, opieki klinicznej, podejmowania decyzji regulacyjnych, oceny technologii medycznych i kształtowania polityki oraz jego streszczenie 31 ;

badanie rynku telemedycyny 32 ;

wstępna opinia Europejskiego Inspektora Ochrony Danych (EIOD) na temat europejskiej przestrzeni danych dotyczących zdrowia 33 .

Ocena skutków

W odniesieniu do niniejszego wniosku przeprowadzono ocenę skutków. 26 listopada 2021 r. Rada ds. Kontroli Regulacyjnej wydała negatywną opinię w sprawie pierwszego wniosku. Po wprowadzeniu istotnych zmian w ocenie skutków w celu uwzględnienia uwag oraz po ponownym przedłożeniu oceny skutków Rada wydała pozytywną opinię bez zastrzeżeń 26 stycznia 2022 r. Opinie Rady, zalecenia oraz wyjaśnienie sposobu ich uwzględnienia przedstawiono w załączniku 1 do dokumentu roboczego służb Komisji.

Komisja przeanalizowała różne warianty strategiczne osiągnięcia ogólnych celów niniejszego wniosku. Polegają one na zapewnieniu osobom fizycznym kontroli nad własnymi elektronicznymi danymi dotyczącymi zdrowia, umożliwieniu im korzystania z szeregu produktów i usług związanych ze zdrowiem oraz umożliwieniu badaczom, innowatorom, decydentom i organom regulacyjnym jak najlepszego wykorzystywania dostępnych elektronicznych danych dotyczących zdrowia.

Oceniono trzy warianty strategiczne zakładające różny stopień interwencji regulacyjnej oraz dwie dodatkowe wersje tych wariantów:

Wariant 1: Interwencja o małej intensywności: bazuje na wzmocnionym mechanizmie współpracy i dobrowolnych instrumentach, które obejmowałyby cyfrowe produkty i usługi zdrowotne oraz wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia. Byłaby ona wspierana za pomocą poprawy zarządzania i infrastruktury cyfrowej.

Warianty 2 i 2+: Interwencja o średniej intensywności: pozwoliłaby wzmocnić prawa osób fizycznych do cyfrowej kontroli własnych danych dotyczących zdrowia i zapewnić unijne ramy wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Zarządzanie opierałoby się na krajowych organach ds. pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, które to organy wdrażałyby politykę na poziomie krajowym, a na poziomie UE wspierałyby opracowywanie odpowiednich wymogów. Dwie infrastruktury cyfrowe wspierałyby transgraniczne udostępnianie i wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia. Wdrożenie byłoby ułatwione dzięki obowiązkowej certyfikacji systemów elektronicznej dokumentacji medycznej i dobrowolnemu znakowi dla aplikacji wspierających dobrostan, co tym samym zapewniałoby przejrzystość dla organów, zamawiających i użytkowników.

Warianty 3 i 3+: Interwencja o dużej intensywności: wykraczałaby poza wariant 2, ponieważ istniejącemu lub nowemu organowi unijnemu powierzono by określenie wymogów na poziomie UE oraz dostępu do transgranicznych elektronicznych danych dotyczących zdrowia. Obejmowałaby ona również rozszerzenie zakresu certyfikacji.

Preferowanym wariantem jest wariant 2+, którego podstawę stanowi wariant 2. Zapewniałby on certyfikację systemów elektronicznej dokumentacji medycznej, dobrowolne oznakowanie aplikacji wspierających dobrostan oraz efekt kaskadowy w przypadku wyrobów medycznych, które mają być interoperacyjne z systemami elektronicznej dokumentacji medycznej. Zagwarantowałoby to najlepszą równowagę między skutecznością i efektywnością w osiąganiu celów. Wariant 1 skutkowałby nieznaczną poprawą względem scenariusza odniesienia, ponieważ pozostaje dobrowolny. Wariant 3 również byłby skuteczny, ale wiązałby się z wyższymi kosztami, mógłby mieć większy wpływ na MŚP i mógłby być w mniejszym stopniu wykonalny pod względem politycznym.

Preferowany wariant obejmowałby zapewnienie osobom fizycznym możliwości cyfrowego dostępu do własnych elektronicznych danych dotyczących zdrowia i ich przekazywania oraz umożliwienie dostępu do nich niezależnie od świadczeniodawcy i źródła danych. Podłączenie do platformy MojeZdrowie@UE (MyHealth@EU) stałoby się obowiązkowe i osoby fizyczne mogłyby dokonywać transgranicznej wymiany własnych elektronicznych danych osobowych dotyczących zdrowia w języku obcym. Obowiązkowe wymogi i obowiązkowa certyfikacja (w odniesieniu do systemów elektronicznej dokumentacji medycznej i wyrobów medycznych objętych deklaracją interoperacyjności z systemami elektronicznej dokumentacji medycznej) oraz dobrowolne oznakowanie aplikacji wspierających dobrostan pozwoliłyby zapewnić przejrzystość dla użytkowników i zamawiających oraz ograniczyłyby transgraniczne bariery rynkowe dla producentów.

Utrzymano obowiązkowe wymogi, ale certyfikację przez podmiot zewnętrzny zmieniono na certyfikację własną połączoną z klauzulą wcześniejszego przeglądu, co umożliwia ewentualne późniejsze przejście na certyfikację przez podmiot zewnętrzny. Ze względu na nowatorski charakter certyfikacji zdecydowano się na podejście stopniowe, które zapewni mniej przygotowanym państwom członkowskim i producentom więcej czasu na wprowadzenie systemu certyfikacji i budowanie zdolności. Jednocześnie bardziej zaawansowane państwa członkowskie mogą wymagać określonych kontroli na poziomie krajowym w kontekście zamówień, finansowania i zwrotu kosztów systemów elektronicznej dokumentacji medycznej. Taka zmiana zmniejszyłaby szacunkowe koszty certyfikacji dla indywidualnego producenta systemu elektronicznej dokumentacji medycznej z 20 000–50 000 EUR do 12 000–38 000 EUR, co mogłoby spowodować obniżenie całkowitych kosztów dla producentów o około 30 % (z 0,3–1,7 mld EUR do 0,2–1,2 mld EUR).

System ten wydaje się najbardziej proporcjonalny dla producentów, jeżeli chodzi o obciążenie administracyjne i potencjalne ograniczenia możliwości jednostek notyfikowanych w zakresie certyfikacji przez podmiot zewnętrzny. Należy jednak dokładnie przeanalizować rzeczywiste korzyści, jakie przyniesie on państwom członkowskim, pacjentom i zamawiającym, podczas oceny ram prawnych po upływie pięciu lat.

W kwestii wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia badacze, innowatorzy, decydenci i organy regulacyjne mogliby mieć bezpieczny dostęp do danych wysokiej jakości na potrzeby swojej pracy, przy zaufanym zarządzaniu i po niższych kosztach niż w przypadku polegania na zgodzie. Wspólne ramy wtórnego wykorzystywania pozwoliłyby ograniczyć rozdrobnienie i bariery w dostępie transgranicznym. Preferowany wariant wymaga od państw członkowskich ustanowienia co najmniej jednego organu ds. dostępu do danych dotyczących zdrowia (z podmiotem koordynującym), który może zapewniać dostęp do elektronicznych danych dotyczących zdrowia osobom trzecim, jako nowej organizacji albo części istniejącej organizacji, na podstawie aktu w sprawie zarządzania danymi. Część kosztów zostanie zrekompensowana dzięki opłatom pobieranym przez organy ds. dostępu do danych dotyczących zdrowia. Oczekuje się, że utworzenie organów ds. dostępu do danych dotyczących zdrowia obniży koszty dostępu do elektronicznych danych dotyczących zdrowia ponoszone przez organy regulacyjne i decydentów dzięki większej przejrzystości w zakresie skuteczności produktów leczniczych, co doprowadzi do zmniejszenia kosztów w procesach regulacyjnych i w zamówieniach publicznych w dziedzinie zdrowia. Transformacja cyfrowa może także skutkować ograniczeniem liczby niepotrzebnych badań i zapewnieniem przejrzystości wydatków, co pozwoli na oszczędności w budżecie na ochronę zdrowia. Wsparcie na rzecz transformacji cyfrowej zapewnią fundusze unijne.

Celem jest zapewnienie użytkownikom danych przejrzystości informacji dotyczących zbiorów danych, w związku z czym przyjęto także podejście stopniowe. Oznaczałoby to, że opis zbioru danych byłby obowiązkowy dla wszystkich zbiorów danych, z wyjątkiem zbiorów będących w posiadaniu mikroprzedsiębiorstw, podczas gdy znak jakości danych będący efektem osobistej deklaracji byłby obowiązkowy tylko dla posiadaczy danych, których zbiory są finansowane ze środków publicznych, a dla pozostałych byłby dobrowolny. Te niuanse wprowadzone po przeprowadzeniu oceny skutków nie zmieniają w istotny sposób obliczeń kosztów ponoszonych przez posiadaczy danych, wynikających z oceny skutków.

Oczekuje się, że w ciągu 10 lat całkowite korzyści gospodarcze wynikające z tego wariantu wyniosą ponad 11 mld EUR, czyli więcej niż w scenariuszu odniesienia. Kwota ta byłaby podzielona niemal równomiernie między korzyści wynikające ze środków dotyczących pierwotnego (5,6 mld EUR) i wtórnego wykorzystywania (5,4 mld EUR) danych dotyczących zdrowia.

W obszarze pierwotnego wykorzystywania danych dotyczących zdrowia pacjenci i świadczeniodawcy odniosą korzyści w wysokości około 1,4 mld EUR i 4,0 mld EUR wynikające z oszczędności w zakresie usług zdrowotnych dzięki szerszemu wykorzystaniu telemedycyny i bardziej efektywnej wymianie danych dotyczących zdrowia, z uwzględnieniem wymiany transgranicznej.

W obszarze wtórnego wykorzystywania danych dotyczących zdrowia badacze i innowatorzy w dziedzinie e-zdrowia, wyrobów medycznych i produktów leczniczych odnieśliby korzyści w wysokości ponad 3,4 mld EUR dzięki bardziej efektywnemu wtórnemu wykorzystywaniu danych dotyczących zdrowia. Pacjenci i służba zdrowia skorzystaliby z oszczędności rzędu 0,3 mld EUR i 0,9 mld EUR dzięki dostępowi do bardziej innowacyjnych produktów medycznych i lepszemu podejmowaniu decyzji. Intensywniejsze wykorzystanie w kształtowaniu polityki zdrowotnej dowodów zebranych w warunkach faktycznej praktyki klinicznej przyniosłoby decydentom i organom regulacyjnym dodatkowe oszczędności, szacowane na 0,8 mld EUR.

Całkowite koszty preferowanego wariantu szacuje się na 0,7–2,0 mld EUR więcej niż w scenariuszu odniesienia na przestrzeni 10 lat. Większość kosztów wynikałaby ze środków dotyczących pierwotnego (0,3–1,3 mld EUR) i wtórnego wykorzystywania (0,4–0,7 mld EUR) danych dotyczących zdrowia.

W obszarze pierwotnego wykorzystywania danych dotyczących zdrowia największe koszty ponieśliby producenci systemów elektronicznej dokumentacji medycznej oraz produktów przeznaczonych do łączenia się z tymi systemami. Wyniosłyby one około 0,2–1,2 mld EUR ze względu na stopniowe wprowadzanie certyfikacji systemów elektronicznej dokumentacji medycznej, wyrobów medycznych i systemów sztucznej inteligencji wysokiego ryzyka oraz dobrowolnego oznakowania aplikacji wspierających dobrostan. Pozostała część (mniej niż 0,1 mld EUR) przypadłaby organom publicznym na poziomie krajowym i unijnym w związku z zakończeniem procesu objęcia platformą MojeZdrowie@UE (MyHealth@EU).

W obszarze wtórnego wykorzystywania danych dotyczących zdrowia organy publiczne, w tym organy regulacyjne i decydenci na poziomie państw członkowskich i UE, ponieśliby koszty (0,4–0,7 mld EUR) ustanowienia organów ds. dostępu do danych dotyczących zdrowia oraz uruchomienia niezbędnej infrastruktury cyfrowej łączącej te organy, infrastruktury badawcze i organy UE, a także propagowania interoperacyjności i jakości danych.

Preferowany wariant ogranicza się do aspektów, których państwa członkowskie nie mogą osiągnąć w zadowalającym stopniu we własnym zakresie, jak wynika z oceny art. 14 dyrektywy w sprawie transgranicznej opieki zdrowotnej. Preferowany wariant jest proporcjonalny, biorąc pod uwagę średnią intensywność wniosku oraz oczekiwane korzyści dla osób fizycznych i sektora.

Ocena wpływu na środowisko, zgodnie z Europejskim prawem o klimacie 34 , wykazuje, że niniejszy wniosek miałby ograniczony wpływ na klimat i środowisko. Podczas gdy nowe infrastruktury cyfrowe oraz zwiększona ilość przekazywanych i przechowywanych danych mogą zwiększyć zanieczyszczenie cyfrowe, większa interoperacyjność w obszarze zdrowia w znacznym stopniu zrównoważyłaby takie negatywne skutki poprzez zmniejszenie zanieczyszczenia związanego z podróżowaniem oraz zużycia energii i papieru.

Sprawność regulacyjna i uproszczenie

Nie dotyczy.

Prawa podstawowe

Ponieważ wykorzystywanie elektronicznych danych dotyczących zdrowia wiąże się z przetwarzaniem wrażliwych danych osobowych, niektóre elementy proponowanego rozporządzenia wchodzą w zakres unijnych przepisów dotyczących ochrony danych. Przepisy niniejszego wniosku są zgodne z unijnymi przepisami dotyczącymi ochrony danych. Mają one na celu uzupełnienie praw przewidzianych w unijnych przepisach dotyczących ochrony danych przez wzmocnienie kontroli osób fizycznych nad własnymi elektronicznymi danymi dotyczącymi zdrowia i dostępu do nich. Oczekuje się, że wniosek będzie miał znaczący pozytywny wpływ na korzystanie z praw podstawowych w zakresie ochrony danych osobowych i swobodnego przemieszczania się. Wynika to z faktu, że w ramach platformy MojeZdrowie@UE (MyHealth@EU) osoby fizyczne będą mogły skutecznie udostępniać swoje elektroniczne dane osobowe dotyczące zdrowia w języku państwa przeznaczenia podczas podróży zagranicznych lub zabrać ze sobą te dane, gdy przeprowadzają się do innego państwa. Osoby fizyczne będą miały dodatkowe możliwości cyfrowego dostępu do swoich elektronicznych danych dotyczących zdrowia i ich przekazywania dzięki oparciu się na przepisach RODO. Podmioty gospodarcze w sektorze ochrony zdrowia (świadczeniodawcy albo dostawcy usług i produktów cyfrowych) będą zobowiązane do udostępniania elektronicznych danych dotyczących zdrowia wybranym przez użytkownika osobom trzecim z sektora ochrony zdrowia. Wniosek pozwoli zapewnić środki egzekwowania tych praw (za pomocą wspólnych norm, specyfikacji i oznakowania) bez uszczerbku dla środków bezpieczeństwa wymaganych w celu ochrony praw osób fizycznych na mocy RODO. Przyczyniłby się on do zwiększenia ochrony danych osobowych związanych ze zdrowiem oraz swobodnego przepływu takich danych zgodnie z art. 16 TFUE i zgodnie z RODO.

Jeżeli chodzi o wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia, np. do celów innowacji, badań naukowych, polityki publicznej, bezpieczeństwa pacjentów, celów regulacyjnych lub medycyny personalizowanej, wniosek będzie zgodny z unijnymi przepisami dotyczącymi ochrony danych w tym zakresie. Zostaną wdrożone rygorystyczne zabezpieczenia i środki bezpieczeństwa, aby zapewnić pełną ochronę praw podstawowych w zakresie ochrony danych, zgodnie z art. 8 Karty praw podstawowych Unii Europejskiej. W niniejszym wniosku określono unijne ramy dostępu do elektronicznych danych dotyczących zdrowia do celów badań naukowych i historycznych oraz do celów statystycznych, wykorzystując możliwości oferowane w tym zakresie przez RODO, a w przypadku instytucji i organów Unii – przez unijne rozporządzenie o ochronie danych. Będzie on obejmował odpowiednie i szczegółowe środki wymagane do ochrony praw podstawowych i interesów osób fizycznych zgodnie z art. 9 ust. 2 lit. h), i) oraz j) RODO i art. 10 ust. 2 lit. h), i) oraz j) rozporządzenia UE o ochronie danych. Ustanowienie organów ds. dostępu do danych dotyczących zdrowia zapewni przewidywalny i uproszczony dostęp do elektronicznych danych dotyczących zdrowia oraz wyższy poziom przejrzystości, odpowiedzialności i bezpieczeństwa przetwarzania danych. Koordynacja tych organów na poziomie UE i ujęcie ich działalności we wspólne ramy zapewni równe warunki działania. Będzie to sprzyjać transgranicznej analizie elektronicznych danych dotyczących zdrowia do celów badań naukowych, innowacji, statystyki publicznej, kształtowania polityki i celów regulacyjnych. Upowszechnianie interoperacyjności elektronicznych danych dotyczących zdrowia i ich wtórnego wykorzystywania przyczyni się do propagowania rynku wewnętrznego UE w zakresie elektronicznych danych dotyczących zdrowia zgodnie z art. 114 TFUE.

4.WPŁYW NA BUDŻET

W niniejszym wniosku określono szereg obowiązków dla organów państw członkowskich i Komisji oraz wymaga się w nim podjęcia konkretnych działań w celu promowania ustanowienia i funkcjonowania europejskiej przestrzeni danych dotyczących zdrowia. Obejmują one w szczególności opracowanie, wdrożenie i utrzymanie infrastruktury na potrzeby pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Europejska przestrzeń danych dotyczących zdrowia jest silnie powiązana z kilkoma innymi działaniami Unii w obszarze zdrowia i opieki społecznej, digitalizacji, badań, innowacji i praw podstawowych.

W programach prac na lata 2021 i 2022 w ramach Programu UE dla zdrowia już teraz przeznaczono na rozwój i ustanowienie europejskiej przestrzeni danych dotyczących zdrowia znaczną kwotę początkową w wysokości niemal 110 mln EUR. Obejmuje ona funkcjonowanie istniejącej infrastruktury służącej do pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia [MojeZdrowie@UE (MyHealth@EU)] i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia [DaneZdrowotne@UE (HealthData@EU)], wdrożenie norm międzynarodowych przez państwa członkowskie, działania w zakresie budowania zdolności i inne działania przygotowawcze, a także projekt pilotażowy w zakresie infrastruktury służącej do wtórnego wykorzystywania danych dotyczących zdrowia, projekt pilotażowy w zakresie dostępu pacjentów do ich danych dotyczących zdrowia za pośrednictwem platformy MojeZdrowie@UE (MyHealth@EU) i jej rozszerzenie oraz rozwój służb centralnych ds. wtórnego wykorzystywania danych dotyczących zdrowia.

Wypełnienie zobowiązań Komisji i związane z nimi działania wspierające na podstawie niniejszego wniosku ustawodawczego będą wymagały przeznaczenia kwoty 220 mln EUR w latach 2023–2027 i będą finansowane bezpośrednio z Programu UE dla zdrowia (170 mln EUR) oraz dodatkowo z programu „Cyfrowa Europa” (50 mln EUR) 35 . W obu przypadkach wydatki związane z niniejszym wnioskiem zostaną pokryte z kwot zaprogramowanych w ramach tych programów.

Na realizację działań na rzecz kontroli osób fizycznych nad elektronicznymi danymi osobowymi dotyczącymi zdrowia i dostępu do nich w celu świadczenia opieki zdrowotnej (rozdział II) potrzebna będzie kwota 110 mln EUR. Działania te obejmują obsługę europejskiej platformy usług w zakresie e-zdrowia w ramach infrastruktury MojeZdrowie@UE (MyHealth@EU), audyty państw członkowskich w krajowych punktach kontaktowych ds. e-zdrowia w ramach infrastruktury MojeZdrowie@UE (MyHealth@EU), wsparcie na rzecz wdrażania norm międzynarodowych oraz wsparcie na rzecz dostępu pacjentów do danych dotyczących zdrowia za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU).

Wdrożenie systemu certyfikacji własnej w odniesieniu do systemów elektronicznej dokumentacji medycznej (rozdział III) będzie wymagało przeznaczenia ponad 14 mln EUR na opracowanie i utrzymanie europejskiej bazy danych interoperacyjnych systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan. Ponadto państwa członkowskie będą musiały wyznaczyć organy nadzoru rynku odpowiedzialne za wdrażanie wymogów legislacyjnych. Ich funkcja nadzorcza w zakresie certyfikacji własnej systemów elektronicznej dokumentacji medycznej mogłaby być realizowana w oparciu o istniejące struktury, na przykład struktury nadzoru rynku, ale będzie wymagać odpowiedniej wiedzy specjalistycznej oraz odpowiednich zasobów ludzkich i finansowych. Działania na rzecz wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia do celów badań, innowacji, kształtowania polityki, decyzji regulacyjnych, bezpieczeństwa pacjentów lub medycyny personalizowanej (rozdział IV) będą wymagały 96 mln EUR. Środki te zostaną przeznaczone na pokrycie kosztów platformy europejskiej i audytów państw członkowskich dotyczących węzłów przyłączeniowych w ramach infrastruktury do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia [DaneZdrowotne@UE (HealthData@EU)].

Ponadto koszty podłączenia państw członkowskich do infrastruktur europejskich w ramach europejskiej przestrzeni danych dotyczących zdrowia będą częściowo pokrywane z programów finansowania unijnego, które uzupełnią Program UE dla zdrowia. Instrumenty takie jak Instrument na rzecz Odbudowy i Zwiększania Odporności (RRF) oraz Europejski Fundusz Rozwoju Regionalnego (EFRR) będą mogły posłużyć do wspierania podłączenia państw członkowskich do infrastruktur europejskich.

Wdrażanie celów i przepisów niniejszego rozporządzenia będzie uzupełnione innymi działaniami w ramach programu „Cyfrowa Europa”, instrumentu „Łącząc Europę” i programu „Horyzont Europa”. Programy te służą celowi m.in. „budowania i wzmacniania w zakresie zasobów danych wysokiej jakości i odpowiadających im mechanizmów wymiany” 36 (w ramach celu szczegółowego „Sztuczna inteligencja”) oraz mają na celu „rozwijanie, promowanie i zwiększanie doskonałości naukowej” 37 , w tym w dziedzinie zdrowia. Przykłady takiej komplementarności obejmują horyzontalne wsparcie na rzecz opracowania i pilotażu na dużą skalę inteligentnej platformy oprogramowania pośredniczącego dla wspólnych przestrzeni danych, na którą w latach 2021–2022 przeznaczono już 105 mln EUR z programu „Cyfrowa Europa”; inwestycje dotyczące konkretnych dziedzin, mające na celu ułatwienie bezpiecznego transgranicznego dostępu do obrazów nowotworów i genomiki, wspierane w ramach programu „Cyfrowa Europa” w latach 2021–2022 kwotą 38 mln EUR; a także projekty badawcze i innowacyjne oraz działania koordynacyjne i wspierające w zakresie jakości i interoperacyjności danych dotyczących zdrowia, na które przeznaczono już wsparcie w ramach programu „Horyzont Europa” (klaster 1) w wysokości 108 mln EUR w 2021 r. i 2022 r., a także 59 mln EUR z programu poświęconego infrastrukturom badawczym. W ramach programu „Horyzont Europa” w 2021 r. i 2022 r. przewidziano również dodatkowe wsparcie na wtórne wykorzystywanie danych dotyczących zdrowia w związku z COVID-19 (42 mln EUR) i nowotworami (3 mln EUR). 

Ponadto, w przypadku braku fizycznej łączności w sektorze ochrony zdrowia, także instrument „Łącząc Europę” umożliwi „przyczynianie się do opracowywania projektów będących przedmiotem wspólnego zainteresowania, dotyczących upowszechnienia oraz dostępu do bezpiecznych i chronionych sieci o bardzo dużej przepustowości, w tym systemów 5G, oraz do zwiększenia odporności i przepustowości cyfrowych sieci szkieletowych na terytoriach Unii” 38 . Na lata 2022 i 2023 zaprogramowano 130 mln EUR na wzajemne połączenia między infrastrukturami w chmurze, w tym w dziedzinie zdrowia.

Szacuje się, że koszty administracyjne Komisji wyniosą około 17 mln EUR, w tym koszty zasobów ludzkich i inne wydatki administracyjne.

Dołączona do niniejszego wniosku ocena skutków finansowych regulacji obejmuje skutki dla zasobów budżetowych, ludzkich i administracyjnych.

5.ELEMENTY FAKULTATYWNE

Plany wdrożenia i monitorowanie, ocena i sprawozdania

Ze względu na dynamiczny charakter transformacji cyfrowej w dziedzinie zdrowia monitorowanie tendencji w zakresie skutków wynikających z europejskiej przestrzeni danych dotyczących zdrowia będzie stanowić kluczową część działań w tej dziedzinie. W celu zapewnienia, aby wybrane środki z zakresu polityki rzeczywiście przyniosły zamierzone wyniki, oraz w celu zgromadzenia informacji na potrzeby ewentualnych przyszłych rewizji konieczne są monitorowanie i ocena wykonania niniejszego wniosku.

Monitorowanie celów szczegółowych i obowiązków regulacyjnych będzie realizowane przede wszystkim za pomocą sprawozdań składanych przez organy ds. e-zdrowia i organy ds. dostępu do danych dotyczących zdrowia. Co więcej, monitorowane będą wskaźniki infrastruktury MojeZdrowie@UE (MyHealth@EU) oraz infrastruktura do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia.

Wdrażanie infrastruktur, w szczególności wdrażanie europejskiej platformy nowej infrastruktury do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, będzie odbywało się zgodnie z ogólnymi ramami zarządzania systemami informatycznymi Komisji Europejskiej. W związku z tym decyzje dotyczące rozwoju technologii informatycznych i zamówień publicznych będą podlegały wstępnemu zatwierdzeniu przez Radę ds. Technologii Informacyjnej i Cyberbezpieczeństwa Komisji Europejskiej.

Szczegółowe objaśnienia poszczególnych przepisów wniosku

W rozdziale I przedstawiono przedmiot i zakres rozporządzenia, podano definicje stosowane w całym instrumencie oraz wyjaśniono jego związek z innymi instrumentami UE.

W rozdziale II omówiono dodatkowe prawa i mechanizmy mające na celu uzupełnienie praw osób fizycznych przewidzianych w RODO w odniesieniu do ich elektronicznych danych dotyczących zdrowia. Ponadto opisano w nim obowiązki różnych pracowników służby zdrowia w odniesieniu do elektronicznych danych dotyczących zdrowia. Niektóre rodzaje elektronicznych danych dotyczących zdrowia określono jako priorytetowe pod względem włączenia do europejskiej przestrzeni danych dotyczących zdrowia w ramach stopniowego procesu z okresem przejściowym. Państwa członkowskie będą musiały powołać organ ds. e-zdrowia odpowiedzialny za monitorowanie tych praw i mechanizmów oraz za zapewnienie właściwego wdrożenia tych dodatkowych praw osób fizycznych. Rozdział ten zawiera przepisy dotyczące interoperacyjności niektórych zbiorów danych dotyczących zdrowia. Państwa członkowskie będą również musiały wyznaczyć krajowy punkt kontaktowy, którego zadaniem będzie egzekwowanie obowiązków i wymogów określonych w tym rozdziale. Oprócz tego wspólna infrastruktura MojeZdrowie@UE (MyHealth@EU) ma stanowić infrastrukturę ułatwiającą transgraniczną wymianę elektronicznych danych dotyczących zdrowia.

W rozdziale III skoncentrowano się na wdrożeniu obowiązkowego systemu certyfikacji własnej dla systemów elektronicznej dokumentacji medycznej, w ramach którego systemy te muszą spełniać zasadnicze wymogi związane z interoperacyjnością i bezpieczeństwem. Takie podejście jest konieczne, aby zapewnić kompatybilność elektronicznej dokumentacji medycznej między poszczególnymi systemami i umożliwić łatwe przekazywanie między nimi elektronicznych danych dotyczących zdrowia. W rozdziale tym określono obowiązki każdego podmiotu gospodarczego korzystającego z systemów elektronicznej dokumentacji medycznej, wymogi związane ze zgodnością takich systemów, a także obowiązki organów nadzoru rynku odpowiedzialnych za te systemy w kontekście ich działań w zakresie nadzoru rynku. Rozdział ten zawiera również przepisy dotyczące dobrowolnego oznakowania aplikacji wspierających dobrostan, interoperacyjnych z systemami elektronicznej dokumentacji medycznej, oraz ustanowiono w nim unijną bazę danych, w której będą rejestrowane certyfikowane systemy elektronicznej dokumentacji medycznej i oznakowane aplikacje wspierające dobrostan.

Przepisy rozdziału IV ułatwiają wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia, np. do celów badań, innowacji, kształtowania polityki, bezpieczeństwa pacjentów lub działań regulacyjnych. Określono w nim zestaw rodzajów danych, które można wykorzystywać w określonych celach, a także cele zabronione (np. wykorzystywanie danych przeciwko osobom, reklama komercyjna, zwiększanie kwoty ubezpieczenia, opracowywanie niebezpiecznych produktów). Państwa członkowskie będą musiały powołać organ ds. dostępu do danych dotyczących zdrowia na potrzeby wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia oraz zapewnić udostępnianie danych elektronicznych przez posiadaczy danych użytkownikom danych. Rozdział ten zawiera również przepisy dotyczące wdrażania altruistycznego podejścia do danych w dziedzinie zdrowia. Określono także obowiązki i zobowiązania organów ds. dostępu do danych dotyczących zdrowia, posiadaczy danych i użytkowników danych. W szczególności posiadacze danych powinni współpracować z organem ds. dostępu do danych dotyczących zdrowia w celu zapewnienia dostępności elektronicznych danych dotyczących zdrowia użytkownikom danych. Ponadto określono zakresy odpowiedzialności organów ds. dostępu do danych dotyczących zdrowia i użytkowników danych jako współadministratorów przetwarzanych elektronicznych danych dotyczących zdrowia.

Wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia może wiązać się z kosztami. Rozdział ten zawiera przepisy ogólne dotyczące przejrzystości obliczania opłat. Na poziomie praktycznym określono w szczególności wymogi dotyczące bezpieczeństwa odnoszące się do bezpiecznego środowiska przetwarzania. Takie bezpieczne środowisko przetwarzania jest wymagane w celu uzyskania dostępu do elektronicznych danych dotyczących zdrowia i ich przetwarzania na podstawie tego rozdziału. Warunki i informacje wymagane w formularzu wniosku o udostępnienie danych w celu uzyskania dostępu do elektronicznych danych dotyczących zdrowia wymieniono w sekcji 3. Opisano również warunki związane z wydaniem zezwolenia na dostęp do danych.

Sekcja 4 tego rozdziału zawiera głównie przepisy dotyczące tworzenia i wspierania transgranicznego dostępu do elektronicznych danych dotyczących zdrowia, tak aby użytkownik danych w jednym państwie członkowskim mógł mieć dostęp do elektronicznych danych dotyczących zdrowia w celu wtórnego wykorzystywania z innych państw członkowskich bez konieczności występowania o zezwolenie na dostęp do danych do wszystkich tych państw członkowskich. Opisano również infrastrukturę transgraniczną, która ma umożliwić taki proces, oraz jej działanie.

Ponadto rozdział ten zawiera przepisy dotyczące opisu zbioru danych i ich jakości. Umożliwiłoby to użytkownikom danych sprawdzenie zawartości i potencjalnej jakości wykorzystywanego zbioru danych oraz pozwoliłoby im ocenić, czy przedmiotowe zbiory danych są odpowiednie do celu.

Rozdział V ma na celu przedstawienie innych środków promujących budowanie zdolności przez państwa członkowskie, które będą towarzyszyć rozwojowi europejskiej przestrzeni danych dotyczących zdrowia. Obejmują one wymianę informacji na temat cyfrowych usług publicznych, finansowania itp. Ponadto w rozdziale tym uregulowano kwestię międzynarodowego dostępu do danych nieosobowych w europejskiej przestrzeni danych dotyczących zdrowia.

W rozdziale VI utworzono Radę ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia, która będzie ułatwiać współpracę między organami ds. e-zdrowia a organami ds. dostępu do danych dotyczących zdrowia, w szczególności w zakresie relacji między pierwotnym a wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia. W celu skupienia się na konkretnych zagadnieniach lub procesach można utworzyć specjalne podgrupy, np. do spraw pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia i do spraw wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Rada będzie miała za zadanie promować współpracę między organami ds. e-zdrowia a organami ds. dostępu do danych dotyczących zdrowia. W rozdziale tym określono także skład Rady oraz sposób jej funkcjonowania.

Ponadto rozdział ten zawiera przepisy dotyczące grup ds. współadministracji infrastruktury UE, których zadaniem będzie podejmowanie decyzji dotyczących transgranicznej infrastruktury cyfrowej niezbędnej zarówno do pierwotnego, jak i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia.

Rozdział VII pozwala Komisji na przyjmowanie aktów delegowanych dotyczących europejskiej przestrzeni danych dotyczących zdrowia. Po przyjęciu wniosku Komisja zamierza utworzyć grupę ekspertów zgodnie z decyzją C(2016) 3301, aby doradzała jej i wspierała ją w przygotowywaniu aktów delegowanych, a także w kwestiach związanych z wdrażaniem rozporządzenia w zakresie:

wygenerowania trwałych korzyści ekonomicznych i społecznych europejskich systemów i świadczeń e-zdrowia oraz interoperacyjnych zastosowań użytkowych, aby osiągnąć wysoki poziom zaufania i bezpieczeństwa, zwiększyć ciągłość opieki i zapewnić dostęp do bezpiecznej opieki zdrowotnej wysokiej jakości;

zwiększania interoperacyjności elektronicznych danych dotyczących zdrowia na potrzeby opieki zdrowotnej w oparciu o istniejące normy europejskie, międzynarodowe lub krajowe oraz doświadczenia z innych przestrzeni danych;

zharmonizowanego wdrażania dostępu do elektronicznych danych dotyczących zdrowia na potrzeby pierwotnego wykorzystywania i ich wymiany na poziomie krajowym i unijnym;

interoperacyjności systemów elektronicznej dokumentacji medycznej i innych produktów przekazujących dane do elektronicznej dokumentacji medycznej, w tym wyrobów medycznych, systemów sztucznej inteligencji i aplikacji wspierających dobrostan. W stosownych przypadkach grupa ekspertów współpracuje z Grupą Koordynacyjną ds. Wyrobów Medycznych i Europejską Radą ds. Sztucznej Inteligencji;

minimalnych kategorii elektronicznych danych dotyczących zdrowia do wtórnego wykorzystywania;

zharmonizowanego wdrażania dostępu do elektronicznych danych dotyczących zdrowia na potrzeby wtórnego wykorzystywania na poziomie krajowym i unijnym;

działań związanych z altruistycznym podejściem do danych w sektorze ochrony zdrowia;

zharmonizowanej polityki opłat za wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia;

kar stosowanych przez organy ds. dostępu do danych dotyczących zdrowia;

minimalnych wymogów i specyfikacji technicznych dla infrastruktury DaneZdrowotne@UE (HealthData@EU) oraz dla bezpiecznych środowisk przetwarzania;

wymogów i specyfikacji technicznych dotyczących znaku jakości i użyteczności danych;

minimalnych zbiorów danych;

wymogów technicznych mających na celu wspieranie altruistycznego podejścia do danych w sektorze ochrony zdrowia;

innych elementów związanych z pierwotnym i wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia.

W stosownych przypadkach grupa ekspertów może współpracować i konsultować się z Grupą Koordynacyjną ds. Wyrobów Medycznych i Europejską Radą ds. Sztucznej Inteligencji.

Rozdział VIII zawiera przepisy dotyczące współpracy i kar oraz określono w nim przepisy końcowe.

2022/0140 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie europejskiej przestrzeni danych dotyczących zdrowia

(Tekst mający znaczenie dla EOG)

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 i 114,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 39 ,

uwzględniając opinię Komitetu Regionów 40 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)Celem niniejszego rozporządzenia jest ustanowienie europejskiej przestrzeni danych dotyczących zdrowia, aby poprawić dostęp osób fizycznych do ich elektronicznych danych osobowych dotyczących zdrowia i kontrolę nad nimi w kontekście opieki zdrowotnej (pierwotne wykorzystywanie elektronicznych danych dotyczących zdrowia), jak również do innych celów, które przyniosłyby korzyści społeczeństwu, takich jak badania naukowe, innowacje, kształtowanie polityki, bezpieczeństwo pacjentów, medycyna personalizowana, statystyka publiczna lub działania regulacyjne (wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia). Ponadto celem jest poprawa funkcjonowania rynku wewnętrznego poprzez ustanowienie jednolitych ram prawnych, w szczególności w zakresie rozwoju, wprowadzania do obrotu i wykorzystywania systemów elektronicznej dokumentacji medycznej zgodnie z wartościami Unii.

(2)Pandemia COVID-19 uwydatniła konieczność posiadania szybkiego dostępu do elektronicznych danych dotyczących zdrowia na potrzeby gotowości i reagowania na zagrożenia zdrowotne, jak również diagnozowania i leczenia oraz wtórnego wykorzystywania danych dotyczących zdrowia. Taki szybki dostęp przyczyniłby się, dzięki efektywnemu nadzorowi nad zdrowiem publicznym i jego monitorowaniu, do skuteczniejszego zarządzania w kontekście pandemii, a ostatecznie pomógłby w ratowaniu życia. W 2020 r. Komisja w trybie pilnym dostosowała swój system zarządzania danymi klinicznymi pacjentów, ustanowiony decyzją wykonawczą Komisji (UE) 2019/1269 41 , aby umożliwić państwom członkowskim udostępnianie elektronicznych danych dotyczących zdrowia pacjentów z COVID-19 przemieszczających się między świadczeniodawcami i państwami członkowskimi w szczytowym okresie pandemii, ale było to jedynie rozwiązanie awaryjne, wskazujące na potrzebę podejścia strukturalnego na poziomie państw członkowskich i Unii.

(3)Efektem kryzysu związanego z COVID-19 było silne ugruntowanie prac sieci e-zdrowie, dobrowolnej sieci organów ds. e-zdrowia, jako głównego filaru rozwoju mobilnych aplikacji służących do ustalania kontaktów zakaźnych i aplikacji ostrzegawczych oraz technicznych aspektów unijnych cyfrowych zaświadczeń COVID. Podkreślono także potrzebę udostępniania elektronicznych danych dotyczących zdrowia, możliwych do znalezienia, dostępnych, interoperacyjnych oraz nadających się do ponownego wykorzystania („zasady FAIR”), oraz zapewnienia, aby elektroniczne dane dotyczące zdrowia były otwarte w największym możliwym zakresie, a zamknięte tylko w koniecznym. Należy zapewnić synergię między europejską przestrzenią danych dotyczących zdrowia, europejską chmurą dla otwartej nauki 42 i europejskimi infrastrukturami badawczymi, a także wykorzystać doświadczenia płynące z rozwiązań w zakresie udostępniania danych opracowanych w ramach europejskiej platformy danych dotyczących COVID-19.

(4)Przetwarzanie elektronicznych danych osobowych dotyczących zdrowia podlega przepisom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 43 , a w przypadku instytucji i organów Unii – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 44 . W stosownych przypadkach odniesienia do przepisów rozporządzenia (UE) 2016/679 należy rozumieć również jako odniesienia do odpowiednich przepisów rozporządzenia (UE) 2018/1725 w przypadku instytucji i organów Unii.

(5)Coraz więcej Europejczyków przekracza granice państwowe, aby pracować, studiować, odwiedzać krewnych lub podróżować. Aby ułatwić wymianę danych dotyczących zdrowia oraz zgodnie z potrzebą wzmocnienia pozycji obywateli, powinni oni mieć dostęp do swoich danych dotyczących zdrowia w formacie elektronicznym, który może być uznawany i akceptowany w całej Unii. Takie elektroniczne dane osobowe dotyczące zdrowia mogłyby obejmować dane osobowe związane ze zdrowiem fizycznym lub psychicznym osoby fizycznej, w tym ze świadczeniem usług opieki zdrowotnej, ujawniające informacje na temat stanu zdrowia tej osoby, dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej, jak również dane dotyczące czynników warunkujących zdrowie, takich jak zachowanie, wpływ środowiska, czynniki fizyczne, opieka medyczna, czynniki społeczne czy czynniki związane z edukacją. Elektroniczne dane dotyczące zdrowia obejmują również dane, które zostały pierwotnie zgromadzone do celów badawczych, statystycznych, kształtowania polityki lub regulacyjnych i mogą być udostępniane zgodnie z zasadami określonymi w rozdziale IV. Elektroniczne dane dotyczące zdrowia odnoszą się do wszystkich kategorii tych danych, niezależnie od tego, czy dane te są dostarczane przez osobę, której dane dotyczą, lub inne osoby fizyczne lub prawne, takie jak pracownicy służby zdrowia, czy też są przetwarzane w związku ze zdrowiem lub dobrostanem osoby fizycznej i powinny również obejmować dane wywnioskowane i wyprowadzone, takie jak dane diagnostyczne, testy i badania medyczne, a także dane zaobserwowane i zarejestrowane za pomocą środków automatycznych.

(6)W rozdziale III rozporządzenia (UE) 2016/679 określono przepisy szczegółowe dotyczące praw osób fizycznych w związku z przetwarzaniem ich danych osobowych. W ramach europejskiej przestrzeni danych dotyczących zdrowia uwzględniono te prawa i dalej rozwinięto niektóre z nich. Europejska przestrzeń danych dotyczących zdrowia powinna służyć do wspierania spójnego wdrażania tych praw w zastosowaniu do elektronicznych danych dotyczących zdrowia, niezależnie od państwa członkowskiego, w którym przetwarza się elektroniczne dane osobowe dotyczące zdrowia, rodzaju świadczeniodawcy, źródeł danych lub państwa członkowskiego ubezpieczenia osoby fizycznej. Prawa i zasady związane z pierwotnym wykorzystywaniem elektronicznych danych osobowych dotyczących zdrowia na podstawie rozdziału II i III niniejszego rozporządzenia odnoszą się do wszystkich kategorii tych danych, niezależnie od tego, w jaki sposób zostały one zgromadzone lub kto je dostarczył, od podstawy prawnej przetwarzania na podstawie rozporządzenia (UE) 2016/679 ani od statusu administratora jako organizacji publicznej lub prywatnej.

(7)W systemach opieki zdrowotnej elektroniczne dane osobowe dotyczące zdrowia zwykle gromadzi się w elektronicznej dokumentacji medycznej, która zazwyczaj zawiera historię choroby danej osoby fizycznej, diagnozy i leczenie, leki, alergie, szczepienia, a także obrazy radiologiczne i wyniki badań laboratoryjnych, rozpowszechniane między różnymi podmiotami systemu opieki zdrowotnej (lekarzami podstawowej opieki zdrowotnej, szpitalami, aptekami, usługami opieki). Aby umożliwić dostęp do tych elektronicznych danych dotyczących zdrowia, ich udostępnianie i zmianę przez osoby fizyczne lub pracowników służby zdrowia, niektóre państwa członkowskie wdrożyły niezbędne środki prawne i techniczne oraz utworzyły scentralizowaną infrastrukturę łączącą systemy elektronicznej dokumentacji medycznej wykorzystywane przez świadczeniodawców i osoby fizyczne. Niektóre państwa członkowskie wspierają również publicznych i prywatnych świadczeniodawców w tworzeniu przestrzeni danych osobowych dotyczących zdrowia, aby umożliwić interoperacyjność między różnymi świadczeniodawcami. Kilka państw członkowskich wspiera lub zapewnia również usługi dostępu do danych dotyczących zdrowia dla pacjentów i pracowników służby zdrowia (np. za pośrednictwem portali dla pacjentów lub pracowników służby zdrowia). Wdrożyły one także środki w celu zagwarantowania, aby w ramach systemów elektronicznej dokumentacji medycznej lub aplikacji wspierających dobrostan można było przekazywać elektroniczne dane dotyczące zdrowia, korzystając z centralnego systemu elektronicznej dokumentacji medycznej (niektóre państwa członkowskie robią to np. poprzez zapewnienie systemu certyfikacji). Nie wszystkie państwa członkowskie wprowadziły jednak takie systemy, a państwa członkowskie, które je wdrożyły, zrobiły to w sposób fragmentaryczny. Aby ułatwić swobodny przepływ danych osobowych dotyczących zdrowia w całej Unii i uniknąć negatywnych konsekwencji dla pacjentów korzystających z opieki zdrowotnej w kontekście transgranicznym, konieczne jest podjęcie przez Unię działań w celu zapewnienia osobom fizycznym lepszego dostępu do ich własnych elektronicznych danych osobowych dotyczących zdrowia oraz umożliwienia im dzielenia się nimi.

(8)Prawo dostępu do danych przez osobę fizyczną, ustanowione w art. 15 rozporządzenia (UE) 2016/679, należy dalej rozwijać w sektorze ochrony zdrowia. Zgodnie z rozporządzeniem (UE) 2016/679 administratorzy nie muszą zapewniać dostępu natychmiastowo. Chociaż portale dla pacjentów, aplikacje mobilne i inne usługi dostępu do danych osobowych dotyczących zdrowia istnieją w wielu miejscach, uwzględniając rozwiązania krajowe w niektórych państwach członkowskich, w wielu miejscach prawo dostępu do danych dotyczących zdrowia nadal powszechnie realizuje się przez dostarczanie danych dotyczących zdrowia będących przedmiotem wniosku w formacie papierowym lub w postaci zeskanowanych dokumentów, co jest czasochłonne. Może to poważnie utrudnić osobom fizycznym dostęp do danych dotyczących zdrowia w odpowiednim czasie i może mieć negatywny wpływ na osoby fizyczne, które potrzebują takiego dostępu natychmiast ze względu na pilne okoliczności mające związek z ich stanem zdrowia. 

(9)Jednocześnie należy wziąć pod uwagę, że natychmiastowy dostęp do niektórych rodzajów elektronicznych danych osobowych dotyczących zdrowia może być szkodliwy dla bezpieczeństwa osób fizycznych, nieetyczny lub niewłaściwy. Na przykład nieetyczne mogłoby być poinformowanie pacjenta za pośrednictwem kanału elektronicznego o zdiagnozowaniu u niego nieuleczalnej choroby, która prawdopodobnie doprowadzi do jego szybkiego odejścia, zamiast przekazania tej informacji najpierw podczas konsultacji z pacjentem. Dlatego należy zapewnić możliwość ograniczonych wyjątków w realizacji tego prawa. Państwa członkowskie mogą wprowadzić taki wyjątek, o ile stanowi on w demokratycznym społeczeństwie niezbędny i proporcjonalny środek, zgodnie z wymogami określonymi w art. 23 rozporządzenia (UE) 2016/679. Ograniczenia takie należy wprowadzać w życie przez opóźnienie udostępnienia osobie fizycznej elektronicznych danych osobowych dotyczących zdrowia przez określony czas. W przypadku gdy dane dotyczące zdrowia są dostępne wyłącznie w formie papierowej, państwa członkowskie nie powinny mieć obowiązku przekształcania takich danych dotyczących zdrowia na format elektroniczny, jeżeli wysiłek związany z udostępnieniem danych w formie elektronicznej jest nieproporcjonalny. Wszelka transformacja cyfrowa w sektorze opieki zdrowotnej powinna mieć charakter integracyjny i powinna przynosić korzyści również osobom fizycznym o ograniczonych możliwościach dostępu do usług cyfrowych i korzystania z nich. Osoby fizyczne powinny mieć możliwość udzielenia upoważnienia wybranym przez siebie osobom fizycznym, takim jak ich krewni lub inne bliskie im osoby fizyczne, umożliwiając im dostęp do swoich elektronicznych danych osobowych dotyczących zdrowia lub kontrolę dostępu do nich lub korzystanie w ich imieniu z cyfrowych usług zdrowotnych. Takie upoważnienia mogą być również przydatne ze względów praktycznych w innych sytuacjach. W celu wdrożenia tych upoważnień państwa członkowskie powinny ustanowić usługi pełnomocnictwa, które powinny być powiązane z usługami dostępu do danych osobowych dotyczących zdrowia, takimi jak portale dla pacjentów czy aplikacje mobilne skierowane do pacjentów. Usługi pełnomocnictwa powinny również umożliwiać opiekunom występowanie w imieniu dzieci pozostających na ich utrzymaniu; w takich sytuacjach upoważnienia mogłyby być automatyczne. W celu uwzględnienia przypadków, w których udostępnienie opiekunom niektórych elektronicznych danych osobowych dotyczących zdrowia małoletnich mogłoby być sprzeczne z interesem lub wolą danego małoletniego, państwa członkowskie powinny mieć możliwość wprowadzenia w prawie krajowym odnośnych ograniczeń i zabezpieczeń, a także niezbędnego wdrożenia technicznego. Usługi dostępu do danych osobowych dotyczących zdrowia, takie jak portale dla pacjentów lub aplikacje mobilne, powinny zapewniać możliwość korzystania z takich upoważnień, a tym samym umożliwiać upoważnionym osobom fizycznym dostęp do elektronicznych danych osobowych dotyczących zdrowia objętych zakresem upoważnienia, tak aby mogły one przynieść pożądany skutek.

(10)Niektóre państwa członkowskie zezwalają osobom fizycznym na dodawanie elektronicznych danych dotyczących zdrowia do swojej elektronicznej dokumentacji medycznej lub na przechowywanie dodatkowych informacji w oddzielnej osobistej dokumentacji medycznej, do której dostęp mają pracownicy służby zdrowia. Nie jest to jednak powszechna praktyka we wszystkich państwach członkowskich i dlatego należy wprowadzić ją za pośrednictwem europejskiej przestrzeni danych dotyczących zdrowia w całej UE. Informacje wprowadzane przez osoby fizyczne mogą nie być tak wiarygodne jak elektroniczne dane dotyczące zdrowia wprowadzane i weryfikowane przez pracowników służby zdrowia, dlatego należy je wyraźnie oznaczyć, aby wskazać źródło takich dodatkowych danych. Umożliwienie osobom fizycznym łatwiejszego i szybszego dostępu do ich elektronicznych danych dotyczących zdrowia dodatkowo pozwala im również zauważyć ewentualne błędy, takie jak nieprawidłowe informacje lub nieprawidłowo przypisana dokumentacja medyczna, i zlecić ich sprostowanie, korzystając z praw przysługujących im na mocy rozporządzenia (UE) 2016/679. W takich przypadkach osoba fizyczna powinna mieć możliwość złożenia wniosku o sprostowanie nieprawidłowych elektronicznych danych dotyczących zdrowia przez internet, niezwłocznie i bezpłatnie, na przykład za pośrednictwem usługi dostępu do danych osobowych dotyczących zdrowia. Wnioski o sprostowanie danych powinni oceniać i, w stosownych przypadkach, realizować administratorzy danych w poszczególnych przypadkach, w razie potrzeby z udziałem pracowników służby zdrowia.

(11)Osoby fizyczne powinny być ponadto uprawnione do wymiany elektronicznych danych osobowych dotyczących zdrowia i udostępniania ich wybranym przez siebie pracownikom służby zdrowia, w szerszym zakresie niż umożliwia to prawo do przenoszenia danych ustanowione w art. 20 rozporządzenia (UE) 2016/679. Jest to konieczne, aby uporać się z obiektywnymi trudnościami i przeszkodami w obecnym stanie rzeczy. Zgodnie z rozporządzeniem (UE) 2016/679 możliwość przenoszenia jest ograniczona wyłącznie do danych przetwarzanych na podstawie zgody lub umowy, co wyklucza dane przetwarzane na podstawie innych podstaw prawnych, tak jak ma to miejsce, gdy przetwarzanie opiera się na przepisach prawa, np. gdy jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Dotyczy to wyłącznie danych przekazanych administratorowi przez osobę, której dane dotyczą, z wyłączeniem wielu danych wywnioskowanych lub pośrednich, takich jak diagnozy czy wyniki badań. Co więcej, zgodnie z rozporządzeniem (UE) 2016/679, osoba fizyczna ma prawo do spowodowania, by dane osobowe zostały przekazane przez jednego administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. W rozporządzeniu tym nie nakłada się jednak obowiązku zapewnienia technicznej możliwości takiego bezpośredniego przekazywania danych. Wszystkie te elementy ograniczają możliwość przenoszenia danych i mogą ograniczyć korzyści płynące z tego rozwiązania dla świadczenia wysokojakościowych, bezpiecznych i efektywnych usług opieki zdrowotnej na rzecz osoby fizycznej.

(12)Osoby fizyczne powinny mieć możliwość sprawowania kontroli nad przekazywaniem elektronicznych danych osobowych dotyczących zdrowia innym świadczeniodawcom. Świadczeniodawcy i inne organizacje udostępniające elektroniczną dokumentację medyczną powinny ułatwiać korzystanie z tego prawa. Zainteresowane strony, takie jak świadczeniodawcy, dostawcy cyfrowych usług zdrowotnych, producenci systemów elektronicznej dokumentacji medycznej lub wyrobów medycznych, nie powinny ograniczać ani blokować wykonywania prawa do przenoszenia z powodu stosowania zastrzeżonych norm lub innych środków wdrażanych w celu ograniczenia przenoszenia. Z tych względów ramy określone w niniejszym rozporządzeniu opierają się na prawie do przenoszenia danych ustanowionym w rozporządzeniu (UE) 2016/679 przez zapewnienie osobom fizycznym jako osobom, których dane dotyczą, możliwości przekazywania własnych elektronicznych danych dotyczących zdrowia, w tym danych wywnioskowanych, niezależnie od podstawy prawnej przetwarzania elektronicznych danych dotyczących zdrowia. Prawo to powinno mieć zastosowanie do elektronicznych danych dotyczących zdrowia przetwarzanych przez publicznych lub prywatnych administratorów, niezależnie od podstawy prawnej przetwarzania danych zgodnie z rozporządzeniem (UE) 2016/679. Prawo to powinno mieć zastosowanie do wszystkich elektronicznych danych dotyczących zdrowia.

(13)Osoby fizyczne mogą nie chcieć zezwalać na dostęp do niektórych części swoich elektronicznych danych osobowych dotyczących zdrowia, jednocześnie umożliwiając dostęp do innych części. Należy wspierać takie selektywne udostępnianie elektronicznych danych osobowych dotyczących zdrowia. Takie ograniczenia mogą jednak mieć konsekwencje zagrażające życiu i dlatego dostęp do elektronicznych danych osobowych dotyczących zdrowia powinien być możliwy w celu ochrony żywotnych interesów jako nadrzędny środek nadzwyczajny. Zgodnie z rozporządzeniem (UE) 2016/679 żywotne interesy odnoszą się do sytuacji, gdy niezbędna jest ochrona interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania elektronicznych danych osobowych dotyczących zdrowia wyłącznie w przypadkach, gdy przetwarzania tego nie da się w sposób ewidentny oprzeć na innej podstawie prawnej. Bardziej szczegółowe przepisy prawne dotyczące mechanizmów ograniczeń nakładanych przez osobę fizyczną na części jej elektronicznych danych osobowych dotyczących zdrowia powinny określić państwa członkowskie w prawie krajowym. Ponieważ niedostępność objętych ograniczeniem elektronicznych danych osobowych dotyczących zdrowia może mieć wpływ na świadczenie lub jakość usług zdrowotnych udzielanych osobie fizycznej, powinna ona przyjąć odpowiedzialność za fakt, że świadczeniodawca nie może uwzględnić tych danych przy świadczeniu usług zdrowotnych.

(14)W kontekście europejskiej przestrzeni danych dotyczących zdrowia osoby fizyczne powinny mieć możliwość korzystania ze swoich praw, tak jak zostały one zapisane w rozporządzeniu (UE) 2016/679. Organy nadzorcze ustanowione na podstawie art. 51 rozporządzenia (UE) 2016/679 powinny pozostać właściwe, w szczególności w zakresie monitorowania przetwarzania elektronicznych danych osobowych dotyczących zdrowia oraz rozpatrywania wszelkich skarg złożonych przez osoby fizyczne. Aby wykonywać swoje zadania w sektorze ochrony zdrowia i stać na straży praw osób fizycznych, organy ds. e-zdrowia powinny współpracować z organami nadzorczymi na podstawie rozporządzenia (UE) 2016/679.

(15)W art. 9 ust. 2 lit. h) rozporządzenia (UE) 2016/679 przewidziano wyjątki, w przypadku gdy przetwarzanie danych wrażliwych jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub leczenia lub zarządzania systemami i usługami opieki zdrowotnej na podstawie prawa Unii lub prawa państwa członkowskiego. W niniejszym rozporządzeniu należy zapewnić warunki i zabezpieczenia dotyczące przetwarzania elektronicznych danych dotyczących zdrowia przez świadczeniodawców i pracowników służby zdrowia zgodnie z art. 9 ust. 2 lit. h) rozporządzenia (UE) 2016/679 w celu uzyskania dostępu do elektronicznych danych osobowych dotyczących zdrowia przekazanych przez osobę fizyczną lub przekazanych od innych świadczeniodawców. Niniejsze rozporządzenie nie powinno jednak naruszać przepisów krajowych dotyczących przetwarzania danych dotyczących zdrowia, w tym przepisów ustanawiających kategorie pracowników służby zdrowia, którzy mogą przetwarzać różne kategorie elektronicznych danych dotyczących zdrowia.

(16)Terminowy i pełny dostęp pracowników służby zdrowia do dokumentacji medycznej pacjentów ma zasadnicze znaczenie dla zapewnienia ciągłości opieki oraz uniknięcia powielania i błędów. Z powodu braku interoperacyjności w wielu przypadkach pracownicy służby zdrowia nie mają jednak dostępu do pełnej dokumentacji medycznej swoich pacjentów i nie mogą podejmować optymalnych decyzji medycznych dotyczących ich diagnozowania i leczenia, co powoduje znaczne koszty zarówno dla systemów opieki zdrowotnej, jak i dla osób fizycznych oraz może prowadzić do gorszych efektów zdrowotnych u osób fizycznych. Elektroniczne dane dotyczące zdrowia udostępniane w interoperacyjnym formacie, które mogą być przekazywane między świadczeniodawcami, mogą również zmniejszyć obciążenie administracyjne pracowników służby zdrowia związane z ręcznym wprowadzaniem lub kopiowaniem danych dotyczących zdrowia między systemami elektronicznymi. Dlatego pracownikom służby zdrowia należy zapewnić odpowiednie środki elektroniczne, takie jak portale dla pracowników służby zdrowia, aby mogli oni wykorzystywać elektroniczne dane osobowe dotyczące zdrowia do wykonywania swoich obowiązków. Ponadto dostęp do osobistej dokumentacji medycznej powinien być przejrzysty dla osób fizycznych, a osoby fizyczne powinny mieć możliwość sprawowania pełnej kontroli nad takim dostępem, w tym przez ograniczanie dostępu do wszystkich elektronicznych danych osobowych dotyczących zdrowia znajdujących się w ich dokumentacji lub części tych danych. Pracownicy służby zdrowia powinni powstrzymać się od utrudniania realizacji praw osób fizycznych, np. od odmowy uwzględniania elektronicznych danych dotyczących zdrowia pochodzących z innego państwa członkowskiego i dostarczonych w interoperacyjnym i niezawodnym europejskim formacie wymiany elektronicznej dokumentacji medycznej.

(17)Znaczenie różnych kategorii elektronicznych danych dotyczących zdrowia dla różnych scenariuszy opieki zdrowotnej jest odmienne. W różnych kategoriach osiągnięto także odmienny poziom dojrzałości w zakresie normalizacji, a zatem wdrażanie mechanizmów ich wymiany może być mniej lub bardziej złożone w zależności od kategorii. Z tego względu poprawa interoperacyjności i udostępniania danych powinna następować stopniowo i konieczne jest ustalenie priorytetów dla poszczególnych kategorii elektronicznych danych dotyczących zdrowia. Kategorie elektronicznych danych dotyczących zdrowia, takie jak skrócona karta zdrowia pacjenta, recepty elektroniczne i realizacja recept elektronicznych, wyniki badań laboratoryjnych i sprawozdania laboratoryjne, sprawozdania z wypisów ze szpitala, obrazy i raporty medyczne, wybrano w ramach sieci e-zdrowie jako najistotniejsze w większości sytuacji w opiece zdrowotnej, a państwa członkowskie powinny traktować je jako kategorie priorytetowe z myś o wdrożeniu dostępu do nich i ich przekazywaniu. W przypadku stwierdzenia dalszych potrzeb w zakresie wymiany kolejnych kategorii elektronicznych danych dotyczących zdrowia do celów opieki zdrowotnej należy rozszerzyć wykaz kategorii priorytetowych. Komisja powinna być uprawniona do rozszerzenia wykazu kategorii priorytetowych po przeanalizowaniu istotnych aspektów związanych z koniecznością i możliwością wymiany nowych zbiorów danych, takich jak ich obsługa przez systemy utworzone przez państwa członkowskie na poziomie krajowym lub regionalnym. Szczególną uwagę należy zwrócić na wymianę danych w regionach przygranicznych sąsiednich państw członkowskich, gdzie świadczenie transgranicznych usług zdrowotnych jest częstsze i wymaga jeszcze szybszych procedur niż w całej Unii.

(18)Należy umożliwić dostęp do elektronicznych danych dotyczących zdrowia i udostępnianie ich w odniesieniu do wszystkich danych, które znajdują się w elektronicznej dokumentacji medycznej osoby fizycznej, o ile jest to technicznie możliwe. Niektóre elektroniczne dane dotyczące zdrowia mogą jednak nie być ustrukturyzowane lub zakodowane, a ich przekazywanie między świadczeniodawcami może być ograniczone lub możliwe jedynie w formatach uniemożliwiających tłumaczenie (w przypadku transgranicznego udostępniania danych). Aby zapewnić wystarczająco dużo czasu na przygotowanie się do wdrożenia, należy określić daty odroczenia stosowania, by umożliwić osiągnięcie prawnej, organizacyjnej, semantycznej i technicznej gotowości do przekazywania różnych kategorii elektronicznych danych dotyczących zdrowia. W przypadku stwierdzenia potrzeby wymiany nowych kategorii elektronicznych danych dotyczących zdrowia należy określić odpowiednie daty rozpoczęcia stosowania, aby umożliwić realizację tej wymiany.

(19)Poziom dostępności danych osobowych dotyczących zdrowia i danych genetycznych w formacie elektronicznym różni się w poszczególnych państwach członkowskich. Europejska przestrzeń danych dotyczących zdrowia powinna ułatwić osobom fizycznym uzyskanie dostępu do tych danych w formacie elektronicznym. Przyczyniłoby się to również do osiągnięcia celu, jakim jest zapewnienie 100 % obywateli Unii dostępu do ich elektronicznej dokumentacji medycznej do 2030 r., o czym jest mowa w programie polityki „Droga ku cyfrowej dekadzie”. W celu zapewnienia dostępności i możliwości przekazywania elektronicznych danych dotyczących zdrowia, dane te należy udostępniać i przekazywać w interoperacyjnym wspólnym europejskim formacie wymiany elektronicznej dokumentacji medycznej, co najmniej w odniesieniu do niektórych kategorii elektronicznych danych dotyczących zdrowia, takich jak skrócona karta zdrowia pacjenta, recepty elektroniczne i realizacja recept elektronicznych, obrazy medyczne i raporty na temat obrazów, wyniki badań laboratoryjnych i sprawozdania z wypisów ze szpitala, z zastrzeżeniem okresów przejściowych. W przypadku gdy elektroniczne dane osobowe dotyczące zdrowia są udostępniane świadczeniodawcy lub aptece przez osobę fizyczną lub są przekazywane przez innego administratora danych w europejskim formacie wymiany elektronicznej dokumentacji medycznej, elektroniczne dane dotyczące zdrowia należy odczytywać i przyjmować w celu świadczenia opieki zdrowotnej lub wydania produktu leczniczego, wspierając w ten sposób świadczenie usług opieki zdrowotnej lub realizację recepty elektronicznej. W zaleceniu Komisji (UE) 2019/243 45 zapewniono podstawy takiego wspólnego europejskiego formatu wymiany elektronicznej dokumentacji medycznej. Stosowanie europejskiego formatu wymiany elektronicznej dokumentacji medycznej powinno stać się bardziej powszechne na poziomie unijnym i krajowym. Chociaż w ramach sieci e-zdrowie utworzonej na podstawie art. 14 dyrektywy Parlamentu Europejskiego i Rady 2011/24/UE 46 państwom członkowskim zalecono stosowanie europejskiego formatu wymiany elektronicznej dokumentacji medycznej w zamówieniach publicznych w celu poprawy interoperacyjności, w praktyce jego stosowanie było ograniczone, co skutkowało rozdrobnieniem oraz nierównym dostępem do elektronicznych danych dotyczących zdrowia i nierówną możliwością ich przenoszenia.

(20)Chociaż systemy elektronicznej dokumentacji medycznej są szeroko rozpowszechnione, poziom digitalizacji danych dotyczących zdrowia różni się w poszczególnych państwach członkowskich w zależności od kategorii danych oraz od odsetka świadczeniodawców, którzy rejestrują dane dotyczące zdrowia w formacie elektronicznym. Aby wesprzeć wdrażanie praw osób, których dane dotyczą, w zakresie dostępu do elektronicznych danych dotyczących zdrowia i ich wymiany, konieczne jest działanie na poziomie Unii w celu uniknięcia dalszego rozdrobnienia. Aby przyczynić się do wysokiej jakości i ciągłości opieki zdrowotnej, niektóre kategorie danych dotyczących zdrowia należy rejestrować w formacie elektronicznym systematycznie i zgodnie z określonymi wymogami dotyczącymi jakości danych. Europejski format wymiany elektronicznej dokumentacji medycznej powinien stanowić podstawę specyfikacji związanych z rejestracją i wymianą elektronicznych danych dotyczących zdrowia. Komisja powinna posiadać uprawnienia do przyjęcia aktów wykonawczych w celu określenia dodatkowych aspektów związanych z rejestracją elektronicznych danych dotyczących zdrowia, takich jak kategorie świadczeniodawców, którzy mają rejestrować dane dotyczące zdrowia drogą elektroniczną, kategorie danych, które mają być rejestrowane drogą elektroniczną, lub wymogi dotyczące jakości danych.

(21)Zgodnie z art. 168 Traktatu państwa członkowskie są odpowiedzialne za swoją politykę dotyczącą zdrowia, w szczególności za decyzje dotyczące usług (w tym telemedycyny), które świadczą i refundują. Różne polityki w zakresie refundacji nie powinny jednak stanowić przeszkody w swobodnym przepływie cyfrowych usług zdrowotnych, takich jak telemedycyna, w tym usług aptek internetowych. W przypadku gdy usługi cyfrowe towarzyszą fizycznemu świadczeniu usługi opieki zdrowotnej, usługę cyfrową należy uwzględnić w ogólnym świadczeniu opieki.

(22)W rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 910/2014 47 określono warunki, na jakich państwa członkowskie dokonują identyfikacji osób fizycznych w sytuacjach transgranicznych przy użyciu środków identyfikacji wydanych przez inne państwo członkowskie, ustanawiając zasady wzajemnego uznawania takich środków identyfikacji elektronicznej. W ramach europejskiej przestrzeni danych dotyczących zdrowia wymaga się bezpiecznego dostępu do elektronicznych danych dotyczących zdrowia, w tym w sytuacjach transgranicznych, tj. kiedy pracownik służby zdrowia i osoba fizyczna pochodzą z różnych państw członkowskich, aby uniknąć przypadków nieuprawnionego dostępu. Jednocześnie obowiązywanie różnych środków identyfikacji elektronicznej nie powinno stanowić bariery w egzekwowaniu praw osób fizycznych i pracowników służby zdrowia. Wprowadzanie interoperacyjnych, transgranicznych mechanizmów identyfikacji i uwierzytelniania osób fizycznych i pracowników służby zdrowia w europejskiej przestrzeni danych dotyczących zdrowia wymaga uściślenia współpracy na szczeblu unijnym w ramach Rady ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia. Ze względu na konieczność jednakowego wykonywania w całej Unii praw osób fizycznych w zakresie dostępu i przekazywania elektronicznych danych osobowych dotyczących zdrowia należy zapewnić skuteczne zarządzanie i koordynację zarówno na szczeblu Unii, jak i na szczeblu państw członkowskich. Państwa członkowskie powinny ustanowić właściwe organy ds. e-zdrowia do celów zaplanowania i wdrożenia norm w zakresie dostępu do elektronicznych danych dotyczących zdrowia i ich przekazywania oraz egzekwowania praw osób fizycznych i pracowników służby zdrowia. Ponadto państwa członkowskie muszą posiadać struktury zarządzania ułatwiające uczestniczenie przez krajowe organy we współpracy na szczeblu unijnym, przekazywanie wiedzy specjalistycznej i doradzanie w sprawie projektu rozwiązań koniecznych do osiągnięcia celów europejskiej przestrzeni danych dotyczących zdrowia. W większości państw członkowskich ustanowiono organy ds. e-zdrowia, które zajmują się kwestiami elektronicznej dokumentacji medycznej, interoperacyjności, bezpieczeństwa lub normalizacji. Organy ds. e-zdrowia należy ustanowić we wszystkich państwach członkowskich jako odrębne organizacje lub wydzieloną część już funkcjonujących organów.

(23)Organy ds. e-zdrowia powinny dysponować wystarczającymi umiejętnościami technicznymi, w miarę możliwości zrzeszając ekspertów z różnych organizacji. Działalność organów ds. e-zdrowia należy właściwie zaplanować i monitorować, aby zapewnić ich skuteczność. Organy ds. e-zdrowia powinny stosować środki niezbędne do zagwarantowania poszanowania praw osób fizycznych poprzez tworzenie krajowych, regionalnych i lokalnych rozwiązań technicznych, takich jak krajowa elektroniczna dokumentacja medyczna, portale dla pacjentów, systemy pośrednictwa w zakresie danych. Prowadząc wskazane powyżej działania, powinny stosować wspólne normy i specyfikacje tego typu rozwiązań, propagować stosowanie takich norm i specyfikacji w zamówieniach i wykorzystywać inne innowacyjne środki, w tym zwrot kosztów rozwiązań zgodnych z wymogami europejskiej przestrzeni danych dotyczących zdrowia w zakresie interoperacyjności i bezpieczeństwa. W ramach realizacji swoich zadań organy ds. e-zdrowia powinny współpracować na szczeblu krajowym i unijnym z innymi podmiotami, w tym organami ubezpieczeniowymi, świadczeniodawcami, producentami systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan, a także z zainteresowanymi stronami z sektora zdrowia lub technologii informacyjnych, podmiotami obsługującymi systemy zwrotu kosztów, organami oceny technologii medycznych, organami i agencjami regulacyjnymi ds. produktów leczniczych, organami ds. wyrobów medycznych, zamawiającymi i organami ds. cyberbezpieczeństwa lub e-identyfikacji.

(24)Kwestia dostępu do elektronicznych danych dotyczących zdrowia i ich przekazywania jest istotna w sytuacjach transgranicznej opieki zdrowotnej, gdyż dzięki dostępowi do takich danych i ich przekazywaniu można zapewnić ciągłość opieki zdrowotnej, gdy osoby fizyczne podróżują do innych państw członkowskich lub zmieniają miejsce zamieszkania. Ciągłość opieki i szybki dostęp do elektronicznych danych osobowych dotyczących zdrowia mają jeszcze większe znaczenie z punktu widzenia mieszkańców regionów przygranicznych, którzy często przekraczają granicę, aby skorzystać z usług opieki zdrowotnej. W wielu regionach przygranicznych niektóre specjalistyczne świadczenia zdrowotne mogą być dostępne bliżej po drugiej stronie granicy niż w tym samym państwie członkowskim. Należy zapewnić infrastrukturę do transgranicznego przekazywania elektronicznych danych osobowych dotyczących zdrowia w sytuacjach, w których osoba fizyczna korzysta z usług świadczeniodawcy z siedzibą w innym państwie członkowskim. W tym celu ustanowiono fakultatywną infrastrukturę, MojeZdrowie@UE (MyHealth@EU), w ramach działań przewidzianych w art. 14 dyrektywy 2011/24/UE. W ramach infrastruktury MojeZdrowie@UE (MyHealth@EU) państwa członkowskie zaczęły umożliwiać osobom fizycznym podróżującym za granicę udostępnianie świadczeniodawcom swoich elektronicznych danych osobowych dotyczących zdrowia. Aby zwiększyć takie możliwości, udział państw członkowskich w cyfrowej infrastrukturze MojeZdrowie@UE (MyHealth@EU) powinien być obowiązkowy. Wszystkie państwa członkowskie powinny dołączyć do tej infrastruktury i podłączyć do niej świadczeniodawców i apteki, gdyż jest to konieczne do wykonywania praw osób fizycznych do dostępu do elektronicznych danych osobowych dotyczących zdrowia i korzystania z tych danych w dowolnym państwie członkowskim. Infrastrukturę tę należy stopniowo rozszerzać i obejmować nią kolejne kategorie elektronicznych danych dotyczących zdrowia.

(25)W kontekście infrastruktury MojeZdrowie@UE (MyHealth@EU) centralna platforma powinna stanowić wspólną infrastrukturę, dzięki której państwa członkowskie mogą zapewnić łączność i interoperacyjność w skuteczny i bezpieczny sposób. Aby zapewnić przestrzeganie przepisów o ochronie danych i ramy zarządzania ryzykiem w zakresie przekazywania elektronicznych danych osobowych dotyczących zdrowia, Komisja powinna – w drodze aktów wykonawczych – powierzyć państwom członkowskim jako współadministratorom określone obowiązki i ustalić własne obowiązki jako podmiotu przetwarzającego.

(26)Oprócz usług świadczonych w ramach infrastruktury MojeZdrowie@UE (MyHealth@EU) do celów wymiany elektronicznych danych osobowych dotyczących zdrowia w oparciu o europejski format wymiany elektronicznej dokumentacji medycznej konieczne może okazać się zapewnienie innych usług lub infrastruktur uzupełniających, na przykład w przypadkach zaistnienia stanu zagrożenia zdrowia publicznego lub jeżeli architektura infrastruktury MojeZdrowie@UE (MyHealth@EU) jest nieodpowiednia do wdrożenia niektórych przypadków użycia. Do przykładów tego typu przypadków użycia należą funkcje karty szczepień, w tym wymiana informacji na temat planów szczepień lub weryfikacja zaświadczeń o szczepieniu lub innych zaświadczeń zdrowotnych. Dotyczy to również wprowadzenia dodatkowej funkcji postępowania w przypadku kryzysów w dziedzinie zdrowia publicznego, takiej jak wsparcie w ustalaniu kontaktów zakaźnych do celów powstrzymywania rozprzestrzeniania się chorób zakaźnych. Połączenie krajowych punktów kontaktowych ds. e-zdrowia państw trzecich lub interoperacyjność z systemami cyfrowymi na szczeblu międzynarodowym powinny podlegać kontroli służącej zapewnieniu przestrzegania przez te krajowe punkty kontaktowe specyfikacji technicznej, przepisów o ochronie danych i innych wymogów infrastruktury MojeZdrowie@UE (MyHealth@EU). Decyzję w sprawie przyłączenia krajowego punktu kontaktowego państwa trzeciego podejmują administratorzy wchodzący w skład grupy ds. współadministracji infrastruktury MojeZdrowie@UE (MyHealth@EU).

(27)W celu zagwarantowania poszanowania praw osób fizycznych i pracowników służby zdrowia systemy elektronicznej dokumentacji medycznej wprowadzane na rynek wewnętrzny Unii powinny mieć możliwość bezpiecznego przechowywania i przekazywania wysokiej jakości elektronicznych danych dotyczących zdrowia. Zapewnienie bezpiecznego i swobodnego przepływu elektronicznych danych dotyczących zdrowia w Unii stanowi podstawową zasadę europejskiej przestrzeni danych dotyczących zdrowia. W tym celu należy ustanowić obowiązkowy system certyfikacji własnej w odniesieniu do systemów elektronicznej dokumentacji medycznej przetwarzających co najmniej jedną priorytetową kategorię elektronicznych danych dotyczących zdrowia, co w efekcie wyeliminuje fragmentację rynku, a jednocześnie będzie stanowić proporcjonalne rozwiązanie. W ramach tej certyfikacji własnej należy wykazać zgodność systemów elektronicznej dokumentacji medycznej z zasadniczymi wymaganiami dotyczącymi interoperacyjności i bezpieczeństwa określonymi na szczeblu unijnym. Zasadnicze wymagania dotyczące bezpieczeństwa powinny obejmować elementy specyficzne dla systemów elektronicznej dokumentacji medycznej, gdyż bardziej ogólne zabezpieczenia powinny być obsługiwane przez inne mechanizmy, takie jak systemy cyberbezpieczeństwa przewidziane w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2019/881 48 .

(28)Chociaż systemy elektronicznej dokumentacji medycznej konkretnie przewidziane przez producenta do przetwarzania co najmniej jednej określonej kategorii elektronicznych danych dotyczących zdrowia powinny podlegać certyfikacji własnej, do systemów elektronicznej dokumentacji medycznej nie należy zaliczać oprogramowania do zastosowań ogólnych – nawet jeżeli jest ono wykorzystywane w kontekście opieki zdrowotnej – i tym samym takie oprogramowanie nie musi spełniać przepisów określonych w rozdziale III.

(29)Oprogramowanie lub jego moduły spełniające definicję wyrobu medycznego lub systemu sztucznej inteligencji wysokiego ryzyka powinny uzyskać certyfikację odpowiednio zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2017/745 49 i rozporządzeniem Parlamentu Europejskiego i Rady [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final]. Określone w niniejszym rozporządzeniu zasadnicze wymagania dotyczące interoperacyjności powinny mieć zastosowanie wyłącznie w zakresie, w jakim producent wyrobu medycznego lub systemu sztucznej inteligencji wysokiego ryzyka stanowiącego źródło elektronicznych danych dotyczących zdrowia przetwarzanych w ramach systemu elektronicznej dokumentacji medycznej deklaruje interoperacyjność z takim systemem elektronicznej dokumentacji medycznej. W takim przypadku do tego typu wyrobów medycznych i systemów sztucznej inteligencji wysokiego ryzyka powinny mieć zastosowanie przepisy dotyczące wspólnych specyfikacji systemów elektronicznej dokumentacji medycznej.

(30)W celu dalszego wsparcia interoperacyjności i bezpieczeństwa państwa członkowskie mogą utrzymać lub określić przepisy szczegółowe dotyczące zamówień, zwrotu kosztów, finansowania lub stosowania systemów elektronicznej dokumentacji medycznej na szczeblu krajowym w kontekście organizacji, zapewniania lub finansowania świadczeń zdrowotnych. Takie przepisy szczegółowe nie mogą utrudniać swobodnego przepływu systemów elektronicznej dokumentacji medycznej w Unii. Niektóre państwa członkowskie wprowadziły obowiązkową certyfikację systemów elektronicznej dokumentacji medycznej lub obowiązkowe sprawdzanie interoperacyjności do celów połączenia takich systemów z krajowymi cyfrowymi usługami zdrowotnymi. Tego typu wymogi są powszechnie odzwierciedlane w zamówieniach organizowanych przez świadczeniodawców, organy krajowe lub organy regionalne. Obowiązkowa certyfikacja systemów elektronicznej dokumentacji medycznej na szczeblu unijnym powinna stanowić scenariusz odniesienia, który można stosować w zamówieniach na szczeblu krajowym.

(31)W celu zagwarantowania, aby pacjenci skutecznie egzekwowali prawa przysługujące im na mocy niniejszego rozporządzenia, przepisów niniejszego rozporządzenia muszą przestrzegać również świadczeniodawcy, którzy opracowują i wykorzystują system elektronicznej dokumentacji medycznej wewnętrznie na potrzeby prowadzenia działalności wewnętrznej bez wprowadzania tego systemu na rynek za opłatą lub wynagrodzeniem. W tym kontekście świadczeniodawcy powinni spełniać wszystkie wymogi mające zastosowanie do producentów.

(32)Należy jasno i proporcjonalnie rozdzielić obowiązki odpowiadające roli poszczególnych podmiotów w procesie dostawy i dystrybucji systemów elektronicznej dokumentacji medycznej. Podmioty gospodarcze powinny odpowiadać za wywiązywanie się z obowiązków przypisanych do ról, które pełnią w takim procesie, oraz powinny zapewnić, aby udostępniały na rynku wyłącznie systemy elektronicznej dokumentacji medycznej spełniające odpowiednie wymogi.

(33)Zgodność z zasadniczymi wymaganiami dotyczącymi interoperacyjności i bezpieczeństwa powinni wykazać producenci systemów elektronicznej dokumentacji medycznej w drodze wdrożenia wspólnych specyfikacji. W tym celu należy powierzyć Komisji uprawnienia wykonawcze do ustalania takich wspólnych specyfikacji, jeżeli chodzi o zbiory danych, systemy kodowania, specyfikacje techniczne, w tym normy, specyfikacje i profile wymiany danych, a także wymogów i zasad dotyczących bezpieczeństwa, poufności, integralności, bezpieczeństwa pacjenta i ochrony danych osobowych, jak również specyfikacji i wymogów związanych z zarządzaniem identyfikacją i stosowaniem identyfikacji elektronicznej. W opracowywanie takich wspólnych specyfikacji powinny angażować się organy ds. e-zdrowia.

(34)Aby zapewnić odpowiednie i skuteczne egzekwowanie wymogów i obowiązków określonych w rozdziale III niniejszego rozporządzenia, powinien mieć zastosowanie system nadzoru rynku i zgodności produktów ustanowiony rozporządzeniem (UE) 2019/1020. W zależności od sposobu organizacji określonego na szczeblu krajowym taką działalność w zakresie nadzoru rynku mogą prowadzić organy ds. e-zdrowia zapewniające prawidłowe wykonanie rozdziału II lub odrębny organ nadzoru rynku odpowiedzialny za systemy elektronicznej dokumentacji medycznej. W związku z tym, że wyznaczenie organów ds. e-zdrowia jako organów nadzoru rynku może wiązać się z ważnymi praktycznymi korzyściami w zakresie świadczenia usług ochrony zdrowia i opieki zdrowotnej, należy unikać wszelkich konfliktów interesów, na przykład przez rozdzielenie poszczególnych zadań.

(35)Jeżeli dane generowane przez aplikacje wspierające dobrostan są przydatne w kontekście opieki zdrowotnej, użytkowników tego typu aplikacji wspierających dobrostan, w tym aplikacji mobilnych, należy informować, czy takie aplikacje można połączyć z systemami elektronicznej dokumentacji medycznej lub krajowymi elektronicznymi rozwiązaniami w zakresie zdrowia i wykorzystywać do przesyłania danych do takich systemów lub rozwiązań. Możliwość wykorzystywania takich aplikacji do eksportu danych w interoperacyjnym formacie jest również istotna do celów możliwości przenoszenia danych. W stosownych przypadkach użytkowników należy informować o zgodności takich aplikacji z wymogami dotyczącymi interoperacyjności i bezpieczeństwa. Ze względu jednak na ogromną liczbę aplikacji wspierających dobrostan i fakt, że wiele z nich generuje dane mające ograniczone znaczenie w kontekście opieki zdrowotnej, system certyfikacji takich aplikacji nie byłby rozwiązaniem proporcjonalnym. Należy zatem ustanowić system dobrowolnego oznakowania jako odpowiedni mechanizm, dzięki któremu użytkownicy aplikacji wspierających dobrostan otrzymują przejrzyste informacje dotyczące zgodności z wymogami i tym samym mają większe szanse wyboru odpowiednich aplikacji wspierających dobrostan, spełniających wysokie normy interoperacyjności i bezpieczeństwa. Komisja może określić, w drodze aktów wykonawczych, szczegółowe informacje dotyczące formatu i treści takiego znaku. 

(36)Rozpowszechnianie informacji na temat certyfikowanych systemów elektronicznej dokumentacji medycznej i oznakowanych aplikacji wspierających dobrostan jest konieczne do tego, aby zamawiający i użytkownicy takich produktów mogli znaleźć odpowiednie interoperacyjne rozwiązania odpowiadające ich potrzebom. Należy zatem ustanowić na szczeblu unijnym bazę danych interoperacyjnych systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan, które nie są objęte zakresem stosowania rozporządzenia (UE) 2017/745 i rozporządzenia [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final], na wzór europejskiej bazy danych o wyrobach medycznych (Eudamed) ustanowionej rozporządzeniem (UE) 2017/745. Unijna baza danych o interoperacyjnych systemach elektronicznej dokumentacji medycznej i aplikacjach wspierających dobrostan powinna służyć zwiększeniu ogólnej przejrzystości, unikaniu wielu wymogów w zakresie sprawozdawczości oraz usprawnieniu i ułatwieniu przepływu informacji. W przypadku wyrobów medycznych i systemów sztucznej inteligencji rejestracja powinna nadal odbywać się w ramach funkcjonujących już baz danych ustanowionych odpowiednio rozporządzeniem (UE) 2017/745 i rozporządzeniem [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final], natomiast zgodność z wymogami dotyczącymi interoperacyjności należy wskazać, gdy producenci powołują się na zgodność z tymi wymogami, do celów informowania zamawiających.

(37)W przypadku wtórnego wykorzystywania danych klinicznych do celów prowadzenia badań naukowych, wprowadzania innowacji, kształtowania polityki, do celów regulacyjnych, bezpieczeństwa pacjentów lub leczenia innych osób fizycznych możliwości przewidziane w rozporządzeniu (UE) 2016/679 w zakresie prawa Unii należy wykorzystać jako podstawę przepisów i mechanizmów przewidujących odpowiednie i konkretne środki ochrony praw i wolności osób fizycznych. Niniejsze rozporządzenie stanowi podstawę prawną – zgodnie z art. 9 ust. 2 lit. g), h), i) oraz j) rozporządzenia (UE) 2016/679 – wtórnego wykorzystywania danych dotyczących zdrowia, poprzez ustanowienie zabezpieczeń dotyczących przetwarzania do celów zgodnych z prawem, godnego zaufania zarządzania w zakresie zapewniania dostępu do danych dotyczących zdrowia (za pośrednictwem organów ds. dostępu do danych dotyczących zdrowia) i przetwarzania danych w bezpiecznym środowisku, a także funkcji przetwarzania danych określonych w zezwoleniu na dostęp do danych. Jednocześnie ubiegający się o dostęp do danych powinien wykazać podstawę prawną zgodnie z art. 6 rozporządzenia (UE) 2016/679, na podstawie którego może ubiegać się o dostęp do danych zgodnie z niniejszym rozporządzeniem, i powinien spełnić warunki określone w rozdziale IV. W szczególności: w przypadku przetwarzania elektronicznych danych dotyczących zdrowia będących w posiadaniu posiadacza danych zgodnie z niniejszym rozporządzeniem – niniejszym rozporządzeniem nakłada się zobowiązanie prawne w rozumieniu art. 6 ust. 1 lit. c) rozporządzenia (UE) 2016/679 do ujawnienia danych przez posiadacza danych organom ds. dostępu do danych dotyczących zdrowia, natomiast podstawa prawna do celów pierwotnego przetwarzania (np. zapewnienia opieki) pozostaje bez zmian. Niniejsze rozporządzenie spełnia również warunki takiego przetwarzania zgodnie z art. 9 ust. 2 lit. h), i) oraz j) rozporządzenia (UE) 2016/679. W niniejszym rozporządzeniu zadania przypisuje się w interesie publicznym organom ds. dostępu do danych dotyczących zdrowia (zajmującym się obsługą bezpiecznego środowiska przetwarzania, przetwarzaniem danych przed ich wykorzystaniem itp.) w rozumieniu art. 6 ust. 1 lit. e) rozporządzenia (UE) 2016/679 oraz spełniono wymogi określone w art. 9 ust. 2 lit. h), i) oraz j) rozporządzenia (UE) 2016/679. W tym przypadku niniejsze rozporządzenie stanowi zatem podstawę prawną zgodnie z art. 6 i spełnia wymogi określone w art. 9 tego rozporządzenia, dotyczące warunków, w których można przetwarzać elektroniczne dane dotyczące zdrowia. Jeżeli użytkownik ma dostęp do elektronicznych danych dotyczących zdrowia (na potrzeby wtórnego wykorzystywania danych do jednego z celów określonych w niniejszym rozporządzeniu), użytkownik danych powinien wykazać podstawę prawną zgodnie z art. 6 ust. 1 lit. e) lub f) rozporządzenia (UE) 2016/679 i wyjaśnić szczególną podstawę prawną, na którą się powołuje, ubiegając się o uzyskanie dostępu do elektronicznych danych dotyczących zdrowia zgodnie z niniejszym rozporządzeniem: na podstawie mającego zastosowanie prawodawstwa, jeżeli podstawą prawną jest art. 6 ust. 1 lit. e) rozporządzenia (UE) 2016/679, lub na podstawie art. 6 ust. 1 lit. f) rozporządzenia (UE) 2016/679. Jeżeli użytkownik stosuje podstawę prawną przewidzianą w art. 6 ust. 1 lit. e), powinien odnieść się do innych przepisów unijnych lub krajowych, innych niż niniejsze rozporządzenie, w których użytkownika upoważnia się do przetwarzania danych osobowych dotyczących zdrowia w celu zapewnienia zgodności realizowanych zadań. Jeżeli zgodną z prawem podstawą przetwarzania przez użytkownika jest art. 6 ust. 1 lit. f) rozporządzenia (UE) 2016/679, w takim przypadku zastosowanie mają zabezpieczenia przewidziane w niniejszym rozporządzeniu. W tym kontekście zezwolenia na dostęp do danych wydawane przez organy ds. dostępu do danych dotyczących zdrowia stanowią decyzję administracyjną określającą warunki dostępu do danych.

(38)W kontekście europejskiej przestrzeni danych dotyczących zdrowia elektroniczne dane dotyczące zdrowia już istnieją i są gromadzone przez świadczeniodawców, samorządy zawodowe, instytucje publiczne, organy regulacyjne, badaczy, ubezpieczycieli itp. w toku prowadzonej przez nich działalności. Niektóre kategorie danych gromadzi się przede wszystkim na potrzeby świadczenia opieki zdrowotnej (np. elektroniczna dokumentacja medyczna, dane genetyczne, dane dotyczące pozycji rozliczeniowych itp.), inne gromadzi się również w innych celach, takich jak badania, statystyka, bezpieczeństwo pacjenta, działania regulacyjne lub kształtowanie polityki (np. rejestry chorób, rejestry dotyczące kształtowania polityki, rejestry dotyczące efektów ubocznych produktów leczniczych lub wyrobów medycznych itp.). Na przykład funkcjonują europejskie bazy danych umożliwiające (ponowne) wykorzystywanie danych w określonych obszarach, w tym w obszarze chorób nowotworowych (europejski system informacji o raku) lub chorób rzadkich (europejska platforma rejestracji chorób rzadkich, rejestry ESR itp.). Te dane również należy udostępniać na potrzeby wtórnego wykorzystywania. Wielu z obecnie istniejących danych związanych ze zdrowiem nie udostępnia się jednak w celach innych niż cel, w którym zostały zgromadzone. Z tego względu badacze, innowatorzy, decydenci, organy regulacyjne i lekarze mają ograniczoną zdolność wykorzystywania tych danych do różnych celów, w tym do celów prowadzenia badań naukowych, wprowadzania innowacji, kształtowania polityki, do celów regulacyjnych, bezpieczeństwa pacjenta lub medycyny personalizowanej. Aby osiągnąć pełne korzyści płynące z wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, wszyscy posiadacze danych powinni uczestniczyć w tych działaniach poprzez udostępnianie do wtórnego wykorzystywania poszczególnych kategorii posiadanych elektronicznych danych dotyczących zdrowia.

(39)Kategorie elektronicznych danych dotyczących zdrowia, które można przetwarzać na potrzeby wtórnego wykorzystywania, powinny być na tyle obszerne i elastyczne, aby uwzględniały zmieniające się potrzeby użytkowników danych, a jednocześnie powinny nadal ograniczać się do danych związanych ze zdrowiem lub mających znany wpływ na zdrowie. Do takich danych mogą również należeć odpowiednie dane z systemu opieki zdrowotnej (elektroniczna dokumentacja medyczna, dane dotyczące pozycji rozliczeniowych, rejestry chorób, dane genomowe itp.), a także dane dotyczące wpływu na zdrowie (np. spożycie różnych substancji, bezdomność, ubezpieczenie zdrowotne, dochód minimalny, status zatrudnienia, zachowanie, w tym czynniki środowiskowe, takie jak zanieczyszczenie, promieniowanie, stosowanie określonych substancji chemicznych). Mogą do nich należeć również dane generowane przez osoby, takie jak dane z wyrobów medycznych, aplikacji wspierających dobrostan lub innych urządzeń noszonych na ciele i aplikacji z zakresu e-zdrowia. Użytkownik danych korzystający z dostępu do zbiorów danych zapewnionego na podstawie niniejszego rozporządzenia może wzbogacić dane o różne korekty, adnotacje i inne poprawki, na przykład poprzez uzupełnienie brakujących lub niekompletnych danych, dzięki czemu zwiększa dokładność, kompletność lub jakość danych zawartych w danym zbiorze danych. Aby wesprzeć udoskonalanie pierwotnej bazy danych i zwiększyć wykorzystanie wzbogaconego zbioru danych, zbiór danych obejmujący takie poprawki i opis zmian należy udostępniać nieodpłatnie pierwotnemu posiadaczowi danych. Posiadacz danych powinien udostępnić taki nowy zbiór danych, chyba że przedstawi organowi ds. dostępu do danych dotyczących zdrowia uzasadnione powiadomienie o nieudzieleniu takiego dostępu, na przykład w przypadku wzbogacenia niskiej jakości. Należy również zapewnić wtórne wykorzystywanie elektronicznych danych nieosobowych. W szczególności niezwykle cenne w kontekście zdrowia człowieka są dane genomowe dotyczące patogenów, o czym można było się przekonać w czasie pandemii COVID-19. Okazało się, że dostęp do takich danych i ich udostępnianie w odpowiednim czasie stanowiły niezbędne elementy potrzebne do szybkiego rozwoju narzędzi do wykrywania, medycznych środków przeciwdziałania i działań podejmowanych w odpowiedzi na zagrożenia dla zdrowia publicznego. Działania w zakresie genomiki patogenów przyniosą największe korzyści w przypadku wspólnego wykorzystania zbiorów danych i wzajemnej wymiany informacji i poprawy wyników w ramach procesów z zakresu zdrowia publicznego i badań naukowych.

(40)Posiadaczami danych mogą być publiczni, niedochodowi lub prywatni dostawcy usług zdrowotnych lub opiekuńczych, publiczne, niedochodowe lub prywatne organizacje, stowarzyszenia lub inne podmioty, publiczne i prywatne podmioty prowadzące badania związane z sektorem ochrony zdrowia i przetwarzające wymienione powyżej kategorie danych dotyczących zdrowia i danych związanych ze zdrowiem. Aby uniknąć nakładania nieproporcjonalnego obciążenia na małe podmioty, mikroprzedsiębiorstwa są wyłączone z obowiązku udostępniania danych do wtórnego wykorzystywania w ramach europejskiej przestrzeni danych dotyczących zdrowia. Publiczne lub prywatne podmioty często otrzymują finansowanie publiczne – ze środków krajowych lub unijnych – na gromadzenie i przetwarzanie elektronicznych danych dotyczących zdrowia na potrzeby badań, statystyki (urzędowej lub innej) lub do innych podobnych celów, w tym w obszarze, w którym gromadzenie takich danych przebiega w sposób fragmentaryczny lub jest utrudnione, w tym w przypadku chorób rzadkich, nowotworów itp. Takie dane – gromadzone i przetwarzane przez posiadaczy danych z wykorzystaniem unijnego lub krajowego finansowania publicznego – powinny być udostępniane przez posiadaczy danych organom ds. dostępu do danych dotyczących zdrowia, aby osiągnąć jak największy wpływ inwestycji publicznych i wsparcia badań, innowacji, bezpieczeństwa pacjenta lub kształtowania polityki z korzyścią dla społeczeństwa. W niektórych państwach członkowskich prywatne podmioty, w tym prywatni świadczeniodawcy i samorządy zawodowe, odgrywają podstawową rolę w sektorze ochrony zdrowia. Dane dotyczące zdrowia będące w posiadaniu takich świadczeniodawców również należy udostępniać na potrzeby wtórnego wykorzystywania. Jednocześnie dane objęte określoną ochroną prawną, w tym prawami własności intelektualnej przedsiębiorstw produkujących wyroby medyczne lub przedsiębiorstw farmaceutycznych, często są objęte ochroną prawem autorskim lub podobnym rodzajem ochrony. Organy publiczne i organy regulacyjne powinny mieć jednak dostęp do takich danych, na przykład w przypadku pandemii, aby sprawdzić wadliwe urządzenia i chronić zdrowie ludzi. W czasach istotnych problemów dotyczących zdrowia publicznego (np. oszustwo związane z implantami piersi firmy PIP) organom publicznym bardzo trudno jest uzyskać dostęp do takich danych, aby zrozumieć powody i wiedzę producenta w zakresie wad niektórych wyrobów. Trudność w uzyskaniu dostępu przez decydentów do danych dotyczących zdrowia i innych danych związanych ze zdrowiem była również widoczna w czasie pandemii COVID-19. Takie dane należy udostępniać do celów działań publicznych i regulacyjnych, aby wspierać organy publiczne w wykonaniu powierzonych im uprawnień, a jednocześnie zapewnić – w razie potrzeby i w miarę możliwości – poszanowanie ochrony, jaką objęte są dane handlowe. Należy zapewnić przepisy szczegółowe dotyczące wtórnego wykorzystywania danych dotyczących zdrowia. Działalność związaną z altruistycznym podejściem do danych mogą prowadzić różne podmioty w kontekście rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] i z uwzględnieniem specyfiki sektora ochrony zdrowia.

(41)Za sprawą wtórnego wykorzystywania danych dotyczących zdrowia w ramach europejskiej przestrzeni danych dotyczących zdrowia podmioty publiczne, prywatne, niedochodowe, a także poszczególni badacze powinni zyskać dostęp do danych dotyczących zdrowia na potrzeby badań naukowych, innowacji, kształtowania polityki, działań edukacyjnych, bezpieczeństwa pacjenta, działań regulacyjnych lub medycyny personalizowanej, zgodnie z celami określonymi w niniejszym rozporządzeniu. Dostępu do danych do celów wtórnego wykorzystywania należy udzielać w ogólnym interesie społeczeństwa. Działania, w przypadku których dostęp udzielany w kontekście niniejszego rozporządzenia jest zgodny z prawem, mogą obejmować wykorzystywanie elektronicznych danych dotyczących zdrowia do zadań realizowanych przez podmioty publiczne, takich jak wywiązywanie się z obowiązku publicznego, w tym prowadzenie nadzoru nad zdrowiem publicznym, wykonywanie obowiązków w zakresie planowania i sprawozdawczości, kształtowanie polityki zdrowotnej, zapewnienie bezpieczeństwa pacjenta, jakości opieki i zrównoważonego charakteru systemów opieki zdrowotnej. Podmioty publiczne oraz instytucje, organy, urzędy i agencje Unii mogą żądać uzyskania regularnego dostępu do elektronicznych danych dotyczących zdrowia przez dłuższy czas, w tym w celu wykonywania swoich uprawnień, co przewidziano w niniejszym rozporządzeniu. Organy sektora publicznego mogą prowadzić taką działalność badawczą za pośrednictwem osób trzecich, w tym podwykonawców, o ile taki organ sektora publicznego przez cały czas pozostaje organem nadzorującym taką działalność. Przekazywanie danych powinno również przyczyniać się do realizacji działań związanych z badaniami naukowymi (w tym badaniami prywatnymi), rozwojem i innowacjami, produkcją towarów i usług dla sektora ochrony zdrowia lub opieki zdrowotnej, w tym działań innowacyjnych lub trenowania algorytmów sztucznej inteligencji, które mogą chronić zdrowie osób fizycznych i zapewniać opiekę nad nimi. W niektórych przypadkach informacje dotyczące określonych osób fizycznych (takie jak informacje genomowe osób fizycznych cierpiących na konkretną chorobę) mogą pomóc w postawieniu diagnozy lub leczeniu innych osób fizycznych. Podmioty publiczne muszą wychodzić poza zakres niebezpieczeństwa przewidziany w rozdziale V rozporządzenia [...] [akt w sprawie danych, COM(2022) 68 final]. Organy sektora publicznego mogą jednak zwrócić się do organów ds. dostępu do danych dotyczących zdrowia o wsparcie w zakresie przetwarzania lub powiązania danych. W niniejszym rozporządzeniu zapewnia się możliwość uzyskania dostępu przez organy sektora publicznego do informacji, których potrzebują do realizacji zadań powierzonych im z mocy prawa, ale nie rozszerza się uprawnień takich organów sektora publicznego. Należy zakazać wszelkich prób wykorzystywania danych w celu wprowadzania środków szkodliwych dla osoby fizycznej, zwiększania składek ubezpieczeniowych, reklamowania produktów lub terapii lub do rozwoju szkodliwych produktów.

(42)Zasadniczym elementem służącym propagowaniu wtórnego wykorzystywania danych związanych ze zdrowiem jest utworzenie jednego organu ds. dostępu do danych dotyczących zdrowia lub większej liczby takich organów, które wspierają dostęp do elektronicznych danych dotyczących zdrowia w państwach członkowskich. Państwa członkowskie powinny zatem utworzyć co najmniej jeden organ ds. dostępu do danych dotyczących zdrowia, na przykład aby uwzględnić swoją strukturę konstytucyjną, organizacyjną i administracyjną. Jeden z tych organów ds. dostępu do danych dotyczących zdrowia należy jednak wyznaczyć na koordynatora, jeżeli funkcjonuje więcej niż jeden organ ds. dostępu do danych. Jeżeli państwo członkowskie utworzy kilka takich organów, powinno przewidzieć przepisy na szczeblu krajowym w celu zapewnienia skoordynowanego udziału tych organów w Radzie ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia. Takie państwo członkowskie powinno w szczególności wyznaczyć jeden organ ds. dostępu do danych dotyczących zdrowia, który pełnił będzie funkcję pojedynczego punktu kontaktowego do celów skutecznego udziału tych organów i zapewni sprawną i płynną współpracę z innymi organami ds. dostępu do danych dotyczących zdrowia, Radą ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia i Komisją. Organy ds. dostępu do danych dotyczących zdrowia mogą różnić się pod względem organizacji i wielkości (począwszy od w pełni rozwiniętej specjalnej organizacji po jednostkę lub wydział istniejącej organizacji), ale powinny mieć te same funkcje, obowiązki i zdolności. Nie można wywierać wpływu na organy ds. dostępu do danych dotyczących zdrowia w zakresie podejmowanych przez nie decyzji w sprawie dostępu do danych elektronicznych do celów ich wtórnego wykorzystywania. Niezależność organów ds. dostępu do danych dotyczących zdrowia nie powinna jednak oznaczać, że organy te nie mogą podlegać mechanizmom kontroli lub monitorowania pod kątem wydatków ani kontroli sądowej. Każdy organ ds. dostępu do danych dotyczących zdrowia powinien zostać wyposażony w zasoby finansowe i kadrowe, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań, w tym zadań związanych z wzajemną pomocą i współpracą z innymi organami ds. dostępu do danych dotyczących zdrowia z całej Unii. Każdy organ ds. dostępu do danych dotyczących zdrowia powinien dysponować odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu krajowego lub państwowego. Aby poprawić dostęp do danych dotyczących zdrowia i w uzupełnieniu art. 7 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final], państwa członkowskie powinny powierzyć organom ds. dostępu do danych dotyczących zdrowia uprawnienia do podejmowania decyzji w sprawie dostępu do danych dotyczących zdrowia i ich wtórnego wykorzystywania Powierzenie takich uprawnień może odbywać się w drodze przydziału nowych zadań właściwym podmiotom wyznaczonym przez państwa członkowskie na podstawie art. 7 ust. 1 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] lub w drodze wyznaczenia już funkcjonujących lub nowych organów sektorowych odpowiedzialnych za wykonanie takich zadań w kontekście dostępu do danych dotyczących zdrowia.

(43)Organy ds. dostępu do danych dotyczących zdrowia powinny monitorować stosowanie rozdziału IV niniejszego rozporządzenia i wspierać spójne stosowanie tego rozdziału w całej Unii. W tym celu organy ds. dostępu do danych dotyczących zdrowia powinny współpracować ze sobą oraz z Komisją bez konieczności zawierania przez państwa członkowskie umów o wzajemnej pomocy lub współpracy. Organy ds. dostępu do danych dotyczących zdrowia powinny również współpracować z zainteresowanymi stronami, w tym z organizacjami pacjentów. Ponieważ wtórne wykorzystywanie danych dotyczących zdrowia obejmuje przetwarzanie danych osobowych dotyczących zdrowia, zastosowanie mają odpowiednie przepisy rozporządzenia (UE) 2016/679, a organom nadzorczych przewidzianym w rozporządzeniu (UE) 2016/679 i rozporządzeniu (UE) 2018/1725 należy powierzyć zadanie egzekwowania tych przepisów. Mając ponadto na uwadze fakt, że dane dotyczące zdrowia są danymi wrażliwymi, oraz uwzględniając obowiązek lojalnej współpracy, organy ds. dostępu do danych dotyczących zdrowia powinny informować organy ochrony danych o wszelkich kwestiach związanych z przetwarzaniem danych do celów wtórnego wykorzystywania, w tym o karach. Oprócz realizacji zadań niezbędnych do zapewnienia skutecznego wtórnego wykorzystywania danych dotyczących zdrowia organ ds. dostępu do danych dotyczących zdrowia powinien dążyć do zwiększenia dostępności dodatkowych zbiorów danych dotyczących zdrowia, wspierać rozwój sztucznej inteligencji w sektorze zdrowia i propagować rozwój wspólnych norm. Organy te powinny również stosować sprawdzone techniki zapewniające przetwarzanie elektronicznych danych dotyczących zdrowia w sposób chroniący prywatność informacji zawartych w danych, których wtórne wykorzystywanie jest dozwolone, w tym technik pseudonimizacji, anonimizacji, uogólnienia, ukrywania i randomizacji danych osobowych. Organy ds. dostępu do danych dotyczących zdrowia mogą przygotować zbiory danych dla użytkownika danych zgodnie z wymogiem związanym z wydanym zezwoleniem na dostęp do danych. Obejmuje to zasady dotyczące anonimizacji zestawów danych jednostkowych.

(44)Ze względu na obciążenie administracyjne nakładane na organy ds. dostępu do danych dotyczących zdrowia w związku z koniecznością informowania osób fizycznych, których dane wykorzystuje się w projektach w dziedzinie danych w bezpiecznym środowisku przetwarzania, zastosowanie powinny mieć wyjątki przewidziane w art. 14 ust. 5 rozporządzenia (UE) 2016/679. Organy ds. dostępu do danych dotyczących zdrowia powinny zatem przekazywać ogólne informacje dotyczące warunków wtórnego wykorzystywania danych dotyczących zdrowia zawierających informacje wymienione w art. 14 ust. 1 oraz – w stosownych przypadkach na potrzeby zapewnienia uczciwego i przejrzystego przetwarzania – w art. 14 ust. 2 rozporządzenia (UE) 2016/679, np. informacje na temat celu przetwarzania i przetwarzanych kategorii danych. Należy przewidzieć wyjątki od tej zasady w sytuacjach, w których wyniki badań mogą być pomocne w leczeniu danej osoby fizycznej. W takim przypadku użytkownik danych powinien poinformować organ ds. dostępu do danych dotyczących zdrowia, który z kolei powinien poinformować osobę, której dane dotyczą, lub opiekującego się nią pracownika służby zdrowia. Osoby fizyczne powinny mieć możliwość uzyskania dostępu do wyników poszczególnych projektów badawczych na stronie internetowej organu ds. dostępu do danych dotyczących zdrowia, najlepiej za pomocą prostego wyszukiwania. Do wiadomości publicznej należy również podać wykaz zezwoleń na dostęp do danych. Aby zwiększać przejrzystość prowadzonej przez siebie działalności, każdy organ ds. dostępu do danych dotyczących zdrowia powinien publikować roczne sprawozdanie z działalności zawierające przegląd działań prowadzonych przez dany organ.

(45)W rozporządzeniu [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] określono ogólne przepisy dotyczące zarządzania altruistycznym podejściem do danych. Jednocześnie, mając na uwadze, że sektor ochrony zdrowia zarządza danymi wrażliwymi, należy ustanowić dodatkowe kryteria w drodze zbioru zasad przewidzianego w rozporządzeniu [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final]. Jeżeli w takim zbiorze zasad przewiduje się stosowanie bezpiecznego środowiska przetwarzania w tym sektorze, takie środowisko należy zapewnić zgodnie z kryteriami określonymi w niniejszym rozporządzeniu. Organy ds. dostępu do danych dotyczących zdrowia powinny współpracować z organami wyznaczonymi na podstawie rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] do celów nadzorowania działalności organizacji o altruistycznym podejściu do danych w sektorze ochrony zdrowia lub opieki zdrowotnej.

(46)Aby wspierać wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia, posiadacze danych nie powinni wstrzymywać się od ujawniania danych, żądać nieuzasadnionych, nieprzejrzystych opłat niewspółmiernych do kosztów udostępniania danych (i w stosownych przypadkach do marginalnych kosztów gromadzenia danych), żądać od użytkowników danych wspólnej publikacji badań lub stosować inne praktyki zniechęcające użytkowników danych do składania wniosków o udostępnienie danych. Jeżeli udzielenie zezwolenia na dostęp do danych wymaga zatwierdzenia w zakresie zgodności z zasadami etycznymi, oceny należy dokonać pod względem merytorycznym. Z drugiej strony, instytucje, organy, urzędy i agencje Unii, w tym EMA, ECDC i Komisja, posiadają niezwykle ważne i przydatne dane. Udzielanie dostępu do danych takich instytucji, organów, urzędów i agencji powinno odbywać się za pośrednictwem organu ds. dostępu do danych dotyczących zdrowia w państwie, w którym znajduje się administrator.

(47)Organy ds. dostępu do danych dotyczących zdrowia i pojedynczy posiadacze danych powinni mieć możliwość pobierania opłat na podstawie przepisów rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] w związku z realizowanymi zadaniami. W ramach takich opłat można uwzględnić sytuację i interes MŚP, poszczególnych badaczy lub podmiotów publicznych. Posiadacze danych powinni również mieć możliwość pobierania opłat za udostępnianie danych. Takie opłaty powinny odzwierciedlać koszty świadczenia takich usług. Prywatni posiadacze danych mogą również pobierać opłaty z tytułu gromadzenia danych. Aby zapewnić zharmonizowane podejście dotyczące polityki i struktury opłat, Komisja może przyjąć akty wykonawcze. Przepisy określone w art. 10 rozporządzenia [akt w sprawie danych, COM(2022) 68 final] powinny mieć zastosowanie do opłat pobieranych na podstawie niniejszego rozporządzenia.

(48)Aby zwiększyć skuteczność egzekwowania przepisów dotyczących wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, należy stosować odpowiednie środki, które mogą prowadzić do nakładania kar lub czasowego lub stałego wykluczenia z ram europejskiej przestrzeni danych dotyczących zdrowia użytkowników lub posiadaczy danych niewywiązujących się ze swoich obowiązków. Organ ds. dostępu do danych dotyczących zdrowia powinien być uprawniony do weryfikacji zgodności i powinien dać szansę użytkownikom i posiadaczom danych na odniesienie się do wszelkich ustaleń i usunięcie wszelkich naruszeń. Nakładanie kar powinno podlegać odpowiednim zabezpieczeniom proceduralnym zgodnym z ogólnymi zasadami prawa danego państwa członkowskiego, w tym skutecznej ochronie prawnej i prawu do rzetelnego procesu.

(49)Ponieważ elektroniczne dane dotyczące zdrowia stanowią dane wrażliwe, należy ograniczyć ryzyko dotyczące prywatności osób fizycznych poprzez stosowanie zasady minimalizacji danych określonej w art. 5 ust. 1 lit. c) rozporządzenia (UE) 2016/679. W związku z powyższym w miarę możliwości i na wniosek użytkownika danych należy udostępniać zanonimizowane elektroniczne dane dotyczące zdrowia niezawierające żadnych danych osobowych. Jeżeli użytkownik danych musi użyć elektronicznych danych osobowych dotyczących zdrowia, wówczas we wniosku powinien podać wyraźne uzasadnienie stosowania tego typu danych na potrzeby planowanego działania w zakresie przetwarzania danych. Elektroniczne dane osobowe dotyczące zdrowia należy udostępniać wyłącznie w formacie spseudonimizowanym, a klucz kryptograficzny może znajdować się w posiadaniu wyłącznie organu ds. dostępu do danych dotyczących zdrowia. Użytkownicy danych nie powinni podejmować prób deanonimizacji osób fizycznych z wykorzystaniem zbioru danych przekazanego na podstawie niniejszego rozporządzenia pod rygorem sankcji administracyjnych lub ewentualnych sankcji karnych. Nie powinno to jednak dotyczyć sytuacji, w których wyniki projektu przeprowadzonego na podstawie zezwolenia na dostęp do danych przynoszą korzyści dla zdrowia lub oddziałują na zdrowie danej osoby fizycznej (przykładem może być odkrycie leczenia lub czynników ryzyka rozwoju określonej choroby) – w takiej sytuacji użytkownicy danych poinformowaliby organ ds. dostępu do danych dotyczących zdrowia, który z kolei powiadomiłby dane osoby fizyczne. Ponadto wnioskodawca może zwrócić się do organów ds. dostępu do danych dotyczących zdrowia z prośbą o udzielenie odpowiedzi na wniosek o udostępnienie danych, w tym w formie statystycznej. W takim przypadku użytkownicy danych nie przetwarzaliby danych dotyczących zdrowia, a organ ds. dostępu do danych dotyczących zdrowia pozostałby jedynym administratorem danych niezbędnych do udzielenia odpowiedzi na wniosek o udostępnienie danych.

(50)W celu zapewnienia, aby wszystkie organy ds. dostępu do danych dotyczących zdrowia udzielały zezwoleń na dostęp do danych w podobny sposób, należy ustanowić standardowy wspólny proces udzielania zezwoleń na dostęp do danych obejmujący podobne wnioski składane w różnych państwach członkowskich. Wnioskodawca powinien przekazać organom ds. dostępu do danych dotyczących zdrowia szereg informacji, na podstawie których dany organ oceniłby wniosek i podjął decyzję w sprawie udzielenia wnioskodawcy zezwolenia na dostęp do danych w celu ich wtórnego wykorzystywania, z zapewnieniem spójności między poszczególnymi organami ds. dostępu do danych dotyczących zdrowia. Informacje te obejmują: podstawę prawną – przewidzianą w rozporządzeniu (UE) 2016/679 – wniosku o udostępnienie danych (wykonanie ustawowo przypisanego zadania w interesie publicznym lub uzasadniony interes), cele przetwarzania danych, opis wymaganych danych i możliwych źródeł danych, opis narzędzi potrzebnych do przetwarzania danych, a także opis wymaganych właściwości bezpiecznego środowiska. Jeżeli wniosek dotyczy udostępnienia danych w formacie spseudonimizowanym, wnioskodawca powinien wyjaśnić, dlaczego jest to konieczne i dlaczego nie wystarczą dane zanonimizowane. Na podstawie prawa krajowego może być wymagane przeprowadzenie oceny etycznej. Organy ds. dostępu do danych dotyczących zdrowia i w razie potrzeby posiadacze danych powinni pomagać użytkownikom danych w wyborze odpowiednich zbiorów lub źródeł danych z punktu widzenia zamierzonego celu wtórnego wykorzystywania. Jeżeli wnioskodawca potrzebuje zanonimizowanych danych statystycznych, powinien przedłożyć formularz wniosku o udostępnienie danych z prośbą do organu ds. dostępu do danych dotyczących zdrowia o przekazanie bezpośrednio wyników. W celu zapewnienia, aby organy ds. dostępu do danych dotyczących zdrowia stosowały zharmonizowane podejście, Komisja powinna wspierać harmonizację zastosowań danych, a także wniosku o udostępnienie danych.

(51)Ponieważ zasoby organów ds. dostępu do danych dotyczących zdrowia są ograniczone, organy te mogą stosować zasady ustalania priorytetów, na przykład przyznając pierwszeństwo instytucjom publicznym przed podmiotami prywatnymi, ale nie powinny odmiennie traktować organizacji krajowych ani organizacji z innych państw członkowskich w ramach tej samej kategorii priorytetów. Użytkownik danych powinien mieć możliwość przedłużenia okresu obowiązywania zezwolenia na dostęp do danych, aby na przykład umożliwić dostęp do zbiorów danych recenzentom publikacji naukowej lub umożliwić dodatkową analizę zbioru danych na podstawie wstępnych ustaleń. Wymagałoby to zmiany zezwolenia na dostęp do danych i mogłoby podlegać dodatkowej opłacie. We wszystkich przypadkach zezwolenie na dostęp do danych powinno jednak odzwierciedlać te dodatkowe sposoby wykorzystania zbioru danych. Najlepiej byłoby, gdyby użytkownik danych wymieniał te sposoby w swoim pierwotnym wniosku o wydanie zezwolenia na dostęp do danych. W celu zapewnienia, aby organy ds. dostępu do danych dotyczących zdrowia stosowały zharmonizowane podejście, Komisja powinna wspierać harmonizację zezwoleń na dostęp do danych.

(52)Jak pokazał kryzys związany z COVID-19, instytucje, organy, urzędy i agencje Unii, zwłaszcza Komisja, potrzebują dostępu do danych dotyczących zdrowia przez dłuższy okres i regularnie. Może to mieć miejsce nie tylko w szczególnych okolicznościach w czasach kryzysu, lecz także w celu regularnego dostarczania dowodów naukowych i wsparcia technicznego na potrzeby polityk Unii. Dostęp do takich danych może być wymagany w określonych państwach członkowskich lub na całym terytorium Unii.

(53)W odniesieniu do wniosków o dostęp do elektronicznych danych dotyczących zdrowia składanych przez pojedynczego posiadacza danych w jednym państwie członkowskim oraz w celu zmniejszenia obciążenia administracyjnego związanego z rozpatrywaniem takich wniosków dla organów odpowiedzialnych za dostęp do danych dotyczących zdrowia użytkownik danych powinien mieć możliwość zwrócenia się o te dane bezpośrednio do posiadacza danych, a posiadacz danych powinien mieć możliwość wydania zezwolenia na dostęp do danych przy zachowaniu zgodności z wszystkimi wymogami i zabezpieczeniami związanych z takim wnioskiem i zezwoleniem. Wnioski dotyczące wielu państw oraz wnioski wymagające zestawienia zbiorów danych od kilku posiadaczy danych powinny być zawsze przekazywane za pośrednictwem organów ds. dostępu do danych dotyczących zdrowia. Posiadacz danych powinien informować organy ds. dostępu do danych dotyczących zdrowia o wszelkich zezwoleniach na dostęp do danych lub wnioskach o udostępnienie danych, które przekazuje.

(54)Ze względu na wrażliwość elektronicznych danych dotyczących zdrowia użytkownicy danych nie powinni mieć nieograniczonego dostępu do takich danych. Wszelki dostęp do żądanych elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania powinien odbywać się za pośrednictwem bezpiecznego środowiska przetwarzania. W celu zapewnienia solidnych gwarancji technicznych i gwarancji bezpieczeństwa elektronicznych danych dotyczących zdrowia organ ds. dostępu do danych dotyczących zdrowia lub, w stosownych przypadkach, pojedynczy posiadacz danych powinien zapewniać dostęp do takich danych w bezpiecznym środowisku przetwarzania, przestrzegając rygorystycznych norm technicznych i norm bezpieczeństwa określonych na podstawie niniejszego rozporządzenia. Niektóre państwa członkowskie podjęły działania mające na celu ustanowienie takich bezpiecznych środowisk w Europie. Przetwarzanie danych osobowych w takim bezpiecznym środowisku powinno być zgodne z rozporządzeniem (UE) 2016/679, w tym w przypadku gdy bezpiecznym środowiskiem zarządza strona trzecia – z wymogami określonymi w art. 28 oraz, w stosownych przypadkach, w rozdziale V. Takie bezpieczne środowisko przetwarzania powinno ograniczać ryzyko dla prywatności związane z takimi czynnościami przetwarzania i uniemożliwiać przekazywanie elektronicznych danych dotyczących zdrowia bezpośrednio użytkownikom danych. Organ ds. dostępu do danych dotyczących zdrowia lub posiadacz danych świadczący tę usługę powinni przez cały czas sprawować kontrolę nad dostępem do elektronicznych danych dotyczących zdrowia, a dostęp udzielany użytkownikom danych powinien być obwarowany warunkami określonymi w wydanym zezwoleniu na dostęp do danych. Z takiego bezpiecznego środowiska przetwarzania użytkownicy danych powinni pobierać jedynie elektroniczne dane nieosobowe dotyczące zdrowia, które nie zawierają żadnych elektronicznych danych dotyczących zdrowia. Jest to zatem podstawowe zabezpieczenie chroniące prawa i wolności osób fizycznych w związku z przetwarzaniem ich elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania. Komisja powinna wspomagać państwa członkowskie w opracowywaniu wspólnych norm bezpieczeństwa w celu promowania bezpieczeństwa i interoperacyjności poszczególnych bezpiecznych środowisk.

(55)W odniesieniu do przetwarzania elektronicznych danych dotyczących zdrowia w zakresie udzielonego zezwolenia organy ds. dostępu do danych dotyczących zdrowia i użytkownicy danych powinni być współadministratorami w rozumieniu art. 26 rozporządzenia (UE) 2016/679, co oznacza, że zastosowanie będą miały obowiązki współadministratorów wynikające z tego rozporządzenia. W celu wsparcia organów ds. dostępu do danych dotyczących zdrowia i użytkowników danych Komisja powinna w drodze aktu wykonawczego przedstawić wzór uzgodnień współadministratorów, które te organy i ci użytkownicy będą musieli zawrzeć. Aby zapewnić sprzyjające włączeniu społecznemu i zrównoważone ramy wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia w wielu państwach, należy stworzyć infrastrukturę transgraniczną. Infrastruktura DaneZdrowotne@UE (HealthData@EU) powinna przyspieszyć wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia, a jednocześnie zwiększyć pewność prawa oraz zapewnić poszanowanie prywatności osób fizycznych i interoperacyjność. Ze względu na wrażliwość danych dotyczących zdrowia należy w miarę możliwości przestrzegać takich zasad, jak „uwzględnienie ochrony prywatności już w fazie projektowania” i „zadawanie pytań w miejscu, w którym znajdują się dane, zamiast przenoszenia danych”. Upoważnionymi uczestnikami infrastruktury DaneZdrowotne@UE (HealthData@EU) mogą być organy ds. dostępu do danych dotyczących zdrowia, infrastruktury badawcze utworzone jako konsorcjum na rzecz europejskiej infrastruktury badawczej (ERIC) na podstawie rozporządzenia Rady (WE) nr 723/2009 50 lub podobne struktury ustanowione na podstawie innych przepisów Unii, a także inne rodzaje podmiotów, w tym infrastruktury w ramach Europejskiego Forum Strategii ds. Infrastruktur Badawczych (ESFRI) i infrastruktury wchodzące w skład europejskiej chmury dla otwartej nauki (EOSC). Inni upoważnieni uczestnicy powinni uzyskać zgodę grupy ds. współadministracji na przystąpienie do infrastruktury DaneZdrowotne@UE (HealthData@EU). Z drugiej strony infrastruktura DaneZdrowotne@UE (HealthData@EU) powinna umożliwiać wtórne wykorzystywanie różnych kategorii elektronicznych danych dotyczących zdrowia, w tym łączenie danych dotyczących zdrowia z danymi z innych przestrzeni danych, takich jak przestrzenie związane ze środowiskiem, rolnictwem, kwestiami społecznymi itp. Komisja mogłaby świadczyć szereg usług w ramach infrastruktury DaneZdrowotne@UE (HealthData@EU), w tym wspierać wymianę informacji między organami ds. dostępu do danych dotyczących zdrowia i upoważnionymi uczestnikami do celów rozpatrywania wniosków o dostęp transgraniczny, prowadzić katalogi elektronicznych danych dotyczących zdrowia dostępne za pośrednictwem tej infrastruktury, oferować usługi w zakresie wyszukiwalności sieci, kwerend w metadanych, łączności i zapewniania zgodności. Komisja może również stworzyć bezpieczne środowisko umożliwiające przekazywanie i analizę – na wniosek administratorów – danych pochodzących z różnych infrastruktur krajowych. W strategii cyfrowej Komisji promuje się łączenie poszczególnych wspólnych europejskich przestrzeni danych. W przypadku sektora ochrony zdrowia interoperacyjność z takimi sektorami jak sektory środowiskowy, społeczny i rolny może być istotna dla uzyskania dodatkowych informacji na temat czynników warunkujących zdrowie. Ze względu na efektywność informatyczną, racjonalizację i interoperacyjność wymiany danych należy w jak największym stopniu ponownie wykorzystać istniejące systemy udostępniania danych, podobnie jak systemy utworzone na potrzeby wymiany dowodów w ramach systemu technicznego z wykorzystaniem zasady jednorazowości przewidzianego w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1724 51 .

(56)W przypadku transgranicznych rejestrów lub baz danych, takich jak rejestry europejskich sieci referencyjnych ds. chorób rzadkich, do których wpływają dane od różnych świadczeniodawców z szeregu państw członkowskich, za zapewnienie dostępu do danych powinien odpowiadać organ ds. dostępu do danych dotyczących zdrowia w państwie, w którym znajduje się koordynator rejestru.

(57)Proces udzielania zezwoleń na dostęp do danych osobowych dotyczących zdrowia w różnych państwach członkowskich może być powtarzalny i uciążliwy dla użytkowników danych. W miarę możliwości należy tworzyć synergie, by zmniejszać obciążenie i bariery dla użytkowników danych. Jednym ze sposobów osiągnięcia tego celu jest przestrzeganie zasady „jednego wniosku”, zgodnie z którą użytkownik danych poprzez złożenie jednego wniosku uzyskuje zezwolenie od wielu organów ds. dostępu do danych dotyczących zdrowia w różnych państwach członkowskich.

(58)Organy ds. dostępu do danych dotyczących zdrowia powinny udzielać informacji o dostępnych zbiorach danych i ich cechach, tak aby użytkownicy danych mogli poznać podstawowych fakty na temat danego zbioru danych i oceniać ewentualne znaczenie tych danych dla siebie. Z tego powodu każdy zbiór danych powinien zawierać co najmniej informacje dotyczące źródła, charakteru danych i warunków udostępniania danych. W związku z tym należy ustanowić unijny katalog zbiorów danych, aby zwiększyć wyszukiwalność zbiorów danych dostępnych w europejskiej przestrzeni danych dotyczących zdrowia; pomagać posiadaczom danych w publikowaniu ich zbiorów danych; dostarczać wszystkim zainteresowanym stronom, w tym ogółowi społeczeństwa, również z uwzględnieniem osób z niepełnosprawnościami, informacji na temat zbiorów danych umieszczanych w europejskiej przestrzeni danych dotyczących zdrowia (w postaci m.in. znaków jakości i użyteczności, arkuszy informacyjnych dotyczących zbioru danych); dostarczać użytkownikom danych aktualnych informacji na temat jakości i użyteczności danych znajdujących się w zbiorach danych.

(59)Informacje na temat jakości i użyteczności zbiorów danych znacznie zwiększają wartość wyników badań naukowych i innowacji wymagających intensywnego przetwarzania danych, a jednocześnie wspomagają podejmowanie decyzji regulacyjnych i politycznych na podstawie dowodów. Poprawa jakości i użyteczności zbiorów danych dzięki umożliwieniu klientom świadomego wyboru oraz poprzez harmonizację powiązanych wymogów na szczeblu unijnym, z uwzględnieniem istniejących norm unijnych i międzynarodowych, wytycznych, zaleceń dotyczących gromadzenia i wymiany danych (tj. zasad FAIR: możliwe do znalezienia (Findable), dostępne (Accessible), interoperacyjne (Interoperable), nadające się do ponownego wykorzystania (Re-usable), przynosi korzyści również posiadaczom danych, pracownikom służby zdrowia, osobom fizycznym i całej gospodarce Unii. Znak jakości i użyteczności danych, którym byłyby opatrywane zbiory danych, informowałby użytkowników danych o jakości i cechach użytkowych zbioru danych oraz umożliwiałby im wybór zbiorów danych, które najlepiej odpowiadają ich potrzebom. Znak jakości i użyteczności danych nie powinien uniemożliwiać udostępniania zbiorów danych za pośrednictwem europejskiej przestrzeni danych dotyczących zdrowia, lecz stanowić mechanizm zapewniający przejrzystość między posiadaczami danych a użytkownikami danych. Na przykład zbiór danych, który nie spełnia żadnych wymogów dotyczących jakości i użyteczności danych, powinien być oznaczony klasą odpowiadającą najniższej jakości i najmniejszej użyteczności, ale i tak powinien być udostępniany. Przy opracowywaniu ram jakości i użyteczności danych należy wziąć pod uwagę oczekiwania zawarte w ramach opisanych w art. 10 rozporządzenia […] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final] i jego odpowiedniej dokumentacji określonej w załączniku IV. Państwa członkowskie powinny podnosić świadomość na temat znaku jakości i użyteczności danych poprzez działania komunikacyjne. Komisja mogłaby wspierać te działania.

(60)Unijny katalog zbiorów danych powinien minimalizować obciążenie administracyjne dla posiadaczy danych i innych użytkowników baz danych; być przyjazny dla użytkownika, dostępny i opłacalny, łączyć krajowe katalogi danych i umożliwiać unikanie niepotrzebnej rejestracji zbiorów danych. Unijny katalog zbiorów danych można byłoby dostosować do inicjatywy data.europa.eu i mógłby on pozostawać bez uszczerbku dla wymogów określonych w rozporządzeniu […] [akt w sprawie zarządzania danymi, COM(2020) 767 final]. Państwa członkowskie powinny zapewnić interoperacyjność krajowych katalogów danych z istniejącymi katalogami zbiorów danych z europejskich infrastruktur badawczych i innych odpowiednich infrastruktur udostępniania danych.

(61)Różne organizacje zawodowe, Komisja i inne instytucje współpracują i działają w celu określenia minimalnych pól danych i innych cech różnych zbiorów danych (np. rejestrów). Prace te są bardziej zaawansowane w takich dziedzinach jak nowotwory, choroby rzadkie i statystyki i należy je uwzględnić przy określaniu nowych norm. Wiele zbiorów danych nie jest jednak zharmonizowanych, co powoduje problemy z porównywalnością i utrudnia prowadzenie badań transgranicznych. W związku z tym w aktach wykonawczych należy określić bardziej szczegółowe przepisy w celu zapewnienia zharmonizowanego dostarczania, kodowania i rejestracji elektronicznych danych dotyczących zdrowia. Państwa członkowskie powinny działać na rzecz wygenerowania trwałych korzyści ekonomicznych i społecznych europejskich systemów i świadczeń e-zdrowia oraz interoperacyjnych zastosowań użytkowych, aby osiągnąć wysoki poziom zaufania i bezpieczeństwa, zwiększyć ciągłość opieki zdrowotnej i zapewnić dostęp do bezpiecznej opieki zdrowotnej wysokiej jakości.

(62)Komisja powinna wspierać państwa członkowskie w budowaniu zdolności i zwiększaniu skuteczności w obszarze systemów e-zdrowia w zakresie pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Należy wspomagać państwa członkowskie w zwiększaniu ich zdolności. Odpowiednimi środkami pod tym względem są działania na szczeblu unijnym, takie jak analiza porównawcza i wymiana najlepszych praktyk.

(63)Do osiągnięcia celów europejskiej przestrzeni danych dotyczących zdrowia powinno również przyczynić się wykorzystanie funduszy. Przy określaniu warunków udzielania zamówień publicznych, zaproszeń do składania wniosków i przydzielania środków z funduszy unijnych, w tym funduszy strukturalnych i Funduszu Spójności, podmioty udzielające zamówień publicznych, właściwe organy krajowe w państwach członkowskich, w tym organy ds. e-zdrowia i organy ds. dostępu do danych dotyczących zdrowia, oraz Komisja powinny odnosić się do mających zastosowanie specyfikacji technicznych, norm i profili dotyczących interoperacyjności, bezpieczeństwa i jakości danych, a także innych wymogów opracowanych na podstawie niniejszego rozporządzenia.

(64)Niektóre kategorie elektronicznych danych dotyczących zdrowia mogą pozostać szczególnie wrażliwe, nawet jeśli są w formacie zanonimizowanym, a zatem są nieosobowe, co zostało już wyraźnie przewidziane w akcie w sprawie zarządzania danymi. Nawet w przypadku stosowania najnowocześniejszych technik anonimizacji występuje ryzyko szczątkowe, że dostępna może być lub stać się zdolność do deanonimizacji wykraczająca poza środki, których użycie jest racjonalnie prawdopodobne. Takie ryzyko szczątkowe występuje w odniesieniu do chorób rzadkich (stan chorobowy zagrażający życiu lub powodujący chroniczny ubytek zdrowia, występujący u nie więcej niż pięciu na 10 tysięcy osób w Unii), w przypadku których ograniczona liczba przypadków ogranicza możliwość pełnego zagregowania publikowanych danych w celu ochrony prywatności osób fizycznych przy jednoczesnym utrzymaniu odpowiedniego poziomu szczegółowości, aby zachować znaczenie danych. Może to wpływać na różne rodzaje danych dotyczących zdrowia, w zależności od poziomu szczegółowości i opisu cech osób, których dane dotyczą, liczby osób, których dane dotyczą, lub na przykład w przypadku danych zawartych w elektronicznej dokumentacji medycznej, rejestrach chorób, biobankach, danych wygenerowanych przez osoby itp., gdzie cechy identyfikacyjne są ogólniejsze i gdzie w połączeniu z innymi informacjami (np. na bardzo małych obszarach geograficznych) lub dzięki rozwojowi technologicznemu metod, które nie były dostępne w momencie anonimizacji, może to prowadzić do deanonimizacji osób, których dane dotyczą, przy użyciu środków wykraczających poza te, których użycie jest racjonalnie prawdopodobne. Urzeczywistnienie się takiego ryzyka deanonimizacji osób fizycznych stanowiłoby poważny problem i prawdopodobnie zagroziłoby akceptacji polityki i zasad dotyczących wtórnego wykorzystywania przewidzianych w niniejszym rozporządzeniu. Ponadto techniki agregacji są mniej sprawdzone w przypadku danych nieosobowych zawierających np. tajemnice handlowe, jak w przypadku sprawozdań z badań klinicznych, a egzekwowanie naruszeń tajemnic handlowych poza Unią jest trudniejsze ze względu na brak wystarczającego międzynarodowego standardu ochrony. Dlatego w przypadku tego rodzaju danych dotyczących zdrowia nadal istnieje ryzyko deanonimizacji po anonimizacji lub agregacji, którego nie można było na początku w rozsądny sposób ograniczyć. Spełnia to kryteria określone w art. 5 ust. 13 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final]. Tego rodzaju dane dotyczące zdrowia wchodziłyby zatem w zakres uprawnienia określonego w art. 5 ust. 13 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] do przekazywania ich do państw trzecich. Środki ochronne, proporcjonalne do ryzyka deanonimizacji, musiałyby uwzględniać specyfikę różnych kategorii danych lub różnych technik anonimizacji lub agregacji i zostaną szczegółowo określone w kontekście aktu delegowanego przyjętego na podstawie uprawnienia określonego w art. 5 ust. 13 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final].

(65)Aby wspierać spójne stosowanie niniejszego rozporządzenia, należy utworzyć Radę ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia. Komisja powinna uczestniczyć w działaniach Rady i jej przewodniczyć. Rada powinna przyczynić się do spójnego stosowania niniejszego rozporządzenia w całej Unii, w tym przez pomaganie państwom członkowskim w koordynowaniu wykorzystywania elektronicznych danych dotyczących zdrowia do celów opieki zdrowotnej oraz przez certyfikację, lecz także w odniesieniu do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Biorąc pod uwagę, że na szczeblu krajowym organy ds. e-zdrowia zajmujące się pierwotnym wykorzystywaniem elektronicznych danych dotyczących zdrowia mogą być organami innymi niż organy ds. dostępu do danych dotyczących zdrowia zajmujące się wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia, funkcje te są różne i istnieje potrzeba odrębnej współpracy w każdym z tych obszarów, Rada ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia powinna mieć możliwość tworzenia podgrup zajmujących się tymi dwiema funkcjami, a także – w razie potrzeby – innych podgrup. Aby zapewnić efektywną metodę pracy, organy ds. e-zdrowia i organy ds. dostępu do danych dotyczących zdrowia powinny tworzyć sieci i powiązania na szczeblu krajowym z różnymi innymi organami i podmiotami, jak również na szczeblu unijnym. Organy takie mogłyby obejmować organy ochrony danych, organy ds. cyberbezpieczeństwa i identyfikacji elektronicznej oraz organizacje normalizacyjne, a także organy i grupy ekspertów na mocy rozporządzeń […], […], […] i […] [akt w sprawie zarządzania danymi, akt w sprawie danych, akt w sprawie sztucznej inteligencji i akt o cyberbezpieczeństwie].

(66)W celu zarządzania infrastrukturą transgraniczną służącą do pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia konieczne jest utworzenie grupy ds. współadministracji dla upoważnionych uczestników (np. aby zapewnić zgodność z przepisami o ochronie danych i niniejszym rozporządzeniem w odniesieniu do operacji przetwarzania dokonywanych w takich infrastrukturach).

(67)Ponieważ cele niniejszego rozporządzenia: umocnienie pozycji osób fizycznych dzięki ich większej kontroli nad ich danymi osobowymi dotyczącymi zdrowia oraz wsparciu swobodnego przemieszczania się tych osób poprzez zapewnienie, aby dane dotyczące zdrowia były przesyłane w ślad za nimi; przyczynienie się w stworzenia prawdziwie jednolitego rynku cyfrowych usług i produktów zdrowotnych; zapewnienie spójnych i skutecznych ram ponownego wykorzystywania danych dotyczących zdrowia osób fizycznych na potrzeby badań naukowych, innowacji, kształtowania polityki i działań regulacyjnych, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie za pomocą samych środków koordynacji, jak wynika z oceny aspektów cyfrowych dyrektywy 2011/24/UE, natomiast ze względu na harmonizację środków dotyczących praw osób fizycznych w odniesieniu do ich elektronicznych danych dotyczących zdrowia i interoperacyjności elektronicznych danych dotyczących zdrowia oraz wspólnych ram i zabezpieczeń dotyczących pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia możliwe jest ich lepsze osiągnięcie na poziomie Unii, może ona podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(68)W celu zapewnienia osiągnięcia celów europejskiej przestrzeni danych dotyczących zdrowia należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej w odniesieniu do różnych przepisów dotyczących pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 52 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(69)W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 53 .

(70)Państwa członkowskie powinny wprowadzić wszelkie niezbędne środki, aby zapewnić wykonanie przepisów niniejszego rozporządzenia, w tym poprzez ustanowienie skutecznych, proporcjonalnych i odstraszających kar za ich naruszenie. W przypadku niektórych szczególnych naruszeń państwa członkowskie powinny uwzględnić marginesy i kryteria określone w niniejszym rozporządzeniu.

(71)Aby ocenić, czy niniejsze rozporządzenie skutecznie i sprawnie osiąga swoje cele, czy jest spójne i nadal aktualne oraz czy zapewnia wartość dodaną na poziomie Unii, Komisja powinna przeprowadzić ocenę niniejszego rozporządzenia. Komisja powinna przeprowadzić ocenę częściową – dotyczącą certyfikacji własnej systemów elektronicznej dokumentacji medycznej – niniejszego rozporządzenia po 5 latach, a ocenę ogólną – po 7 latach od jego wejścia w życie. Po każdej ocenie Komisja powinna przedstawić Parlamentowi Europejskiemu, Radzie, Europejskiemu Komitetowi Ekonomiczno-Społecznemu i Komitetowi Regionów sprawozdania na temat głównych ustaleń.

(72)Mając na względzie pomyślne transgraniczne wdrożenie europejskiej przestrzeni danych dotyczących zdrowia, za wspólną podstawę odniesienia należy uznać europejskie ramy interoperacyjności 54 służące zapewnieniu interoperacyjności prawnej, organizacyjnej, semantycznej i technicznej.

(73)Ocena cyfrowych aspektów dyrektywy 2011/24/UE wskazuje na ograniczoną skuteczność sieci e-zdrowie, ale również na duży potencjał działań UE w tym obszarze, o czym świadczą prace w czasie pandemii. W związku z tym art. 14 tej dyrektywy zostanie uchylony i zastąpiony obecnym rozporządzeniem, a dyrektywa ta zostanie odpowiednio zmieniona.

(74)Zgodnie z art. 42 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych i Europejską Radą Ochrony Danych, którzy wydali opinię w dniu […] r.

(75)Niniejsze rozporządzenie nie powinno mieć wpływu na stosowanie reguł konkurencji, a w szczególności art. 101 i 102 Traktatu. Środków przewidzianych w niniejszym rozporządzeniu nie należy stosować do ograniczania konkurencji w sposób sprzeczny z Traktatem.

(76)Ze względu na konieczność przygotowania technicznego niniejsze rozporządzenie powinno mieć zastosowanie od [12 miesięcy po wejściu w życie] r.,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

Rozdział I

Przepisy ogólne

Artykuł 1

Przedmiot i zakres stosowania

1.W niniejszym rozporządzeniu ustanawia się europejską przestrzeń danych dotyczących zdrowia poprzez określenie przepisów, wspólnych norm i praktyk, infrastruktury i ram zarządzania w odniesieniu do pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia.

2.Niniejsze rozporządzenie:

a)wzmacnia prawa osób fizycznych związane z dostępnością i kontrolą ich elektronicznych danych dotyczących zdrowia;

b)ustanawia przepisy dotyczące wprowadzania do obrotu, udostępniania na rynku lub wprowadzania do używania systemów elektronicznej dokumentacji medycznej w Unii;

c)ustanawia przepisy i mechanizmy wspomagające wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia;

d)ustanawia obowiązkową infrastrukturę transgraniczną umożliwiającą pierwotne wykorzystywanie elektronicznych danych dotyczących zdrowia w całej Unii;

e)ustanawia obowiązkową infrastrukturę transgraniczną służącą do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia.

3.Niniejsze rozporządzenie ma zastosowanie do:

a)producentów i dostawców systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan wprowadzanych do obrotu i do używania w Unii oraz użytkowników takich produktów;

b)administratorów i podmiotów przetwarzających mających siedzibę w Unii, przetwarzających elektroniczne dane dotyczące zdrowia obywateli Unii i obywateli państw trzecich legalnie przebywających na terytorium państw członkowskich;

c)administratorów i podmiotów przetwarzających mających siedzibę w państwie trzecim, które jest połączone z infrastrukturą MojeZdrowie@UE (MyHealth@EU) lub jest z nią interoperacyjne zgodnie z art. 12 ust. 5;

d)użytkowników danych, którym posiadacze danych w Unii udostępniają elektroniczne dane dotyczące zdrowia.

4.Niniejsze rozporządzenie nie narusza przepisów innych aktów prawnych Unii dotyczących dostępu do elektronicznych danych dotyczących zdrowia, ich udostępniania lub wtórnego wykorzystywania ani wymogów związanych z przetwarzaniem danych w odniesieniu do elektronicznych danych dotyczących zdrowia, w szczególności rozporządzeń (UE) 2016/679, (UE) 2018/1725, [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] i [...] [akt w sprawie danych, COM(2022) 68 final].

5.Niniejsze rozporządzenie nie narusza przepisów rozporządzenia (UE) 2017/745 i rozporządzenia [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final] w odniesieniu do bezpieczeństwa wyrobów medycznych i systemów sztucznej inteligencji, które wchodzą w interakcję z systemami elektronicznej dokumentacji medycznej.

6.Niniejsze rozporządzenie nie ma wpływu na prawa i obowiązki określone w prawie Unii lub prawie krajowym w odniesieniu do przetwarzania danych do celów sprawozdawczości, stosowania się do wniosków o udzielenie informacji lub wykazywania bądź weryfikowania zgodności z zobowiązaniami prawnymi.

Artykuł 2

Definicje

1.Do celów niniejszego rozporządzenia stosuje się następujące definicje:

a)definicje z rozporządzenia (UE) 2016/679;

b)definicje „opieki zdrowotnej”, „państwa członkowskiego ubezpieczenia”, „państwa członkowskiego leczenia”, „pracownika służby zdrowia”, „świadczeniodawcy”, „produktu leczniczego” i „recepty” zgodnie z art. 3 lit. a), c), d), f), g), i) oraz k) dyrektywy 2011/24/UE;

c)definicje „danych”, „dostępu”, „altruistycznego podejścia do danych”, „organu sektora publicznego” i „bezpiecznego środowiska przetwarzania” zgodnie z art. 2 pkt 1, 8, 10, 11 i 14 [akt w sprawie zarządzania danymi, COM(2020) 767 final];

d)definicje „udostępnienia na rynku”, „wprowadzenia do obrotu”, „nadzoru rynku”, „organu nadzoru rynku”, „niezgodności”, „producenta”, „importera”, „dystrybutora”, „podmiotu gospodarczego”, „działania naprawczego”, „ryzyka”, „odzyskania produktu” i „wycofania z obrotu” zgodnie z art. 2 pkt 1, 2, 3, 4, 7, 8, 9, 10, 13, 16, 18, 22 i 23 rozporządzenia (UE) 2019/1020;

e)definicje „wyrobu medycznego”, „przewidzianego zastosowania”, „instrukcji używania”, „działania”, „instytucji zdrowia publicznego” i „wspólnych specyfikacji” zgodnie z art. 2 pkt 1, 12, 14, 22, 36 i 71 rozporządzenia (UE) 2017/745;

f)definicje „identyfikacji elektronicznej”, „środka identyfikacji elektronicznej” i „danych identyfikujących osobę” zgodnie z art. 3 pkt 1, 2 i 3 rozporządzenia (UE) nr 910/2014.

2.Dodatkowo do celów niniejszego rozporządzenia mają zastosowanie następujące definicje:

a)„elektroniczne dane osobowe dotyczące zdrowia” oznaczają dane dotyczące zdrowia i dane genetyczne w rozumieniu rozporządzenia (UE) 2016/679, a także dane odnoszące się do czynników warunkujących zdrowie lub dane przetwarzane w związku z udzielaniem świadczeń zdrowotnych, przetwarzane w formie elektronicznej;

b)„elektroniczne dane nieosobowe dotyczące zdrowia” oznaczają dane dotyczące zdrowia i dane genetyczne w formacie elektronicznym, które nie wchodzą w zakres definicji danych osobowych zawartej w art. 4 pkt 1 rozporządzenia (UE) 2016/679;

c)„elektroniczne dane dotyczące zdrowia” oznaczają elektroniczne dane osobowe lub nieosobowe dotyczące zdrowia;

d)„pierwotne wykorzystywanie elektronicznych danych dotyczących zdrowia” oznacza przetwarzanie elektronicznych danych osobowych dotyczących zdrowia na potrzeby udzielania świadczeń zdrowotnych w celu oceny, utrzymania lub poprawy stanu zdrowia osoby fizycznej, której dane te dotyczą, łącznie z przepisywaniem, wydawaniem i udostępnianiem produktów leczniczych oraz wyrobów medycznych, a także na potrzeby odpowiednich usług w zakresie zabezpieczenia społecznego, usług administracyjnych lub usług w zakresie zwrotu kosztów;

e)„wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia” oznacza przetwarzanie elektronicznych danych dotyczących zdrowia do celów określonych w rozdziale IV niniejszego rozporządzenia. Wykorzystane dane mogą obejmować elektroniczne dane osobowe dotyczące zdrowia zgromadzone początkowo w kontekście pierwotnego wykorzystywania, ale także elektroniczne dane dotyczące zdrowia zgromadzone do celów wtórnego wykorzystywania;

f)„interoperacyjność” oznacza zdolność organizacji, jak również aplikacji lub wyrobów tego samego producenta lub różnych producentów do współdziałania na rzecz osiągnięcia celów korzystnych dla wszystkich stron, w tym wymiany informacji i wiedzy między tymi organizacjami, aplikacjami lub wyrobami bez zmiany treści danych, za pomocą obsługiwanych przez nie procesów;

g)„europejski format wymiany elektronicznej dokumentacji medycznej” oznacza ustrukturyzowany, powszechnie używany i nadający się do odczytu maszynowego format, który umożliwia przekazywanie elektronicznych danych osobowych dotyczących zdrowia między różnymi aplikacjami, wyrobami i świadczeniodawcami;

h)„rejestracja elektronicznych danych dotyczących zdrowia” oznacza rejestrowanie danych dotyczących zdrowia w formacie elektronicznym poprzez ręczne wprowadzanie danych, gromadzenie danych przez wyrób lub konwersję nieelektronicznych danych dotyczących zdrowia do formatu elektronicznego do celów przetwarzania w systemie elektronicznej dokumentacji medycznej lub aplikacji wspierającej dobrostan;

i)„usługa dostępu do elektronicznych danych dotyczących zdrowia” oznacza usługę online, taką jak portal lub aplikacja mobilna, która umożliwia osobom fizycznym niedziałającym w ramach obowiązków zawodowych dostęp do ich elektronicznych danych dotyczących zdrowia lub elektronicznych danych dotyczących zdrowia tych osób fizycznych, do których elektronicznych danych dotyczących zdrowia mogą one zgodnie z prawem uzyskać dostęp;

j)„usługa dostępu dla pracowników służby zdrowia” oznacza usługę obsługiwaną przez system elektronicznej dokumentacji medycznej, umożliwiającą pracownikom służby zdrowia dostęp do danych osób fizycznych, które pracownicy ci leczą;

k)„odbiorca danych” oznacza osobę fizyczną lub prawną, która otrzymuje dane od innego administratora w kontekście pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia;

l)„telemedycyna” oznacza udzielanie świadczeń zdrowotnych, w tym usług opieki zdalnej i aptek internetowych, z wykorzystaniem technologii informacyjno-komunikacyjnych, w sytuacjach gdy pracownik służby zdrowia i pacjent (lub kilku pracowników służby zdrowia) nie znajdują się w tym samym miejscu;

m)„elektroniczna dokumentacja medyczna” oznacza zbiór elektronicznych danych dotyczących zdrowia odnoszących się do osoby fizycznej i zgromadzonych w systemie opieki zdrowotnej, przetwarzanych do celów opieki zdrowotnej;

n)„system elektronicznej dokumentacji medycznej” oznacza każde urządzenie lub oprogramowanie przewidziane przez producenta do używania w celu przechowywania, pośredniczenia w udostępnianiu, importu, eksportu, konwersji, edycji lub przeglądania elektronicznej dokumentacji medycznej; 

o)„aplikacja wspierająca dobrostan” oznacza każde urządzenie lub oprogramowanie przewidziane przez producenta do używania przez osobę fizyczną do przetwarzania elektronicznych danych dotyczących zdrowia do celów innych niż opieka zdrowotna, takich jak dobrostan i prowadzenie zdrowego stylu życia;

p)„oznakowanie zgodności CE” oznacza oznakowanie, za pomocą którego producent wskazuje, że system elektronicznej dokumentacji medycznej spełnia odpowiednie wymagania określone w niniejszym rozporządzeniu i w innych mających zastosowanie przepisach Unii przewidujących umieszczanie tego oznakowania;

q)„poważny incydent” oznacza wszelkie wadliwe działanie lub pogorszenie właściwości lub działania systemu elektronicznej dokumentacji medycznej udostępnionego na rynku, które bezpośrednio lub pośrednio prowadzi, mogło prowadzić lub może prowadzić do któregokolwiek z poniższych zdarzeń:

(i)śmierci osoby fizycznej lub poważnego uszczerbku na zdrowiu osoby fizycznej;

(ii)poważnego zakłócenia w zarządzaniu infrastrukturą krytyczną w sektorze opieki zdrowotnej i jej funkcjonowaniu;

r)„krajowy punkt kontaktowy ds. e-zdrowia” oznacza organizacyjną i techniczną bramkę umożliwiającą świadczenie transgranicznych usług informacyjnych w dziedzinie e-zdrowia do celów pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia, za którą to bramkę odpowiadają państwa członkowskie;

s)„centralna platforma e-zdrowia” oznacza platformę interoperacyjności świadczącą usługi wspierające i ułatwiające wymianę elektronicznych danych dotyczących zdrowia między krajowymi punktami kontaktowymi ds. e-zdrowia;

t)„MojeZdrowie@UE (MyHealth@EU)” oznacza infrastrukturę transgraniczną do pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia utworzoną przez połączenie krajowych punktów kontaktowych ds. e-zdrowia i centralnej platformy e-zdrowia;

u)„krajowy punkt kontaktowy ds. wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia” oznacza organizacyjną i techniczną bramkę umożliwiającą transgraniczne wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia, za którą to bramkę odpowiadają państwa członkowskie;

v)„centralna platforma do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia” oznacza platformę interoperacyjności utworzoną przez Komisję, świadczącą usługi wspierające i ułatwiające wymianę informacji między krajowymi punktami kontaktowymi ds. wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia;

x)„DaneZdrowotne@UE (HealthData@EU)” oznacza infrastrukturę łączącą krajowe punkty kontaktowe ds. wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia i centralną platformę;

y)„posiadacz danych” oznacza każdą osobę fizyczną lub prawną, która jest podmiotem lub organem w sektorze ochrony zdrowia lub opieki zdrowotnej lub która prowadzi badania naukowe w odniesieniu do tych sektorów, a także instytucje, organy, urzędy i agencje Unii, które mają prawo lub obowiązek – zgodnie z niniejszym rozporządzeniem, mającym zastosowanie prawem Unii lub przepisami krajowymi wdrażającymi prawo Unii – lub, w przypadku danych nieosobowych, poprzez kontrolę projektu technicznego produktu i powiązanych usług, możliwość udostępniania, w tym rejestracji, dostarczania, ograniczania dostępu lub wymiany niektórych danych;

z)„użytkownik danych” oznacza osobę fizyczną lub prawną, która ma zgodny z prawem dostęp do elektronicznych danych osobowych lub nieosobowych dotyczących zdrowia do celów wtórnego wykorzystywania;

aa)„zezwolenie na dostęp do danych” oznacza decyzję administracyjną wydaną użytkownikowi danych przez organ ds. dostępu do danych dotyczących zdrowia lub posiadacza danych zezwalającą na przetwarzanie elektronicznych danych dotyczących zdrowia określonych w zezwoleniu na dostęp do danych do celów wtórnego wykorzystywania określonych w zezwoleniu na warunkach określonych w niniejszym rozporządzeniu;

ab)„zbiór danych” oznacza ustrukturyzowany zbiór elektronicznych danych dotyczących zdrowia;

ac)„katalog zbiorów danych” oznacza zbiór opisów zbiorów danych, który jest zorganizowany w sposób systematyczny i składa się z części publicznej zorientowanej na użytkownika, w której informacje dotyczące poszczególnych parametrów zbioru danych są dostępne drogą elektroniczną za pośrednictwem portalu internetowego;

ad)„jakość danych” oznacza stopień, w jakim właściwości elektronicznych danych dotyczących zdrowia nadają się do wtórnego wykorzystywania;

ae)„znak jakości i użyteczności danych” oznacza diagram graficzny wraz ze skalą opisujący jakość danych i warunki korzystania ze zbioru danych.

Rozdział II

Pierwotne wykorzystywanie elektronicznych danych dotyczących zdrowia

Sekcja 1

Dostęp do elektronicznych danych osobowych dotyczących zdrowia i ich przekazywanie do celów pierwotnego wykorzystywania

Artykuł 3

Prawa osób fizycznych związane z pierwotnym wykorzystywaniem ich elektronicznych danych osobowych dotyczących zdrowia

1.Osoby fizyczne mają prawo do niezwłocznego i nieodpłatnego dostępu do swoich elektronicznych danych osobowych dotyczących zdrowia, przetwarzanych w kontekście pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia, w łatwym do przeczytania, skonsolidowanym i dostępnym formacie.

2.Osoby fizyczne mają prawo do otrzymania kopii elektronicznej, w europejskim formacie wymiany elektronicznej dokumentacji medycznej, o którym mowa w art. 6, co najmniej ich elektronicznych danych dotyczących zdrowia należących do kategorii priorytetowych, o których mowa w art. 5.

3.Zgodnie z art. 23 rozporządzenia (UE) 2016/679 państwa członkowskie mogą ograniczyć zakres tego prawa w każdym przypadku, gdy jest to konieczne do ochrony osoby fizycznej ze względu na bezpieczeństwo pacjenta i etykę, opóźniając o ograniczony czas dostęp osoby fizycznej do jej elektronicznych danych osobowych dotyczących zdrowia, dopóki pracownik służby zdrowia nie będzie mógł odpowiednio przekazać i wyjaśnić tej osobie fizycznej informacji, które mogą mieć istotny wpływ na jej zdrowie.

4.Jeżeli dane osobowe dotyczące zdrowia nie zostały zarejestrowane elektronicznie przed rozpoczęciem stosowania niniejszego rozporządzenia, państwa członkowskie mogą wymagać, aby takie dane były udostępniane w formacie elektronicznym zgodnie z niniejszym artykułem. Pozostaje to bez wpływu na obowiązek udostępniania w formacie elektronicznym, zgodnie z niniejszym artykułem, danych osobowych dotyczących zdrowia zarejestrowanych po rozpoczęciu stosowania niniejszego rozporządzenia.

5.Państwa członkowskie:

a)ustanawiają co najmniej jedną usługę dostępu do elektronicznych danych dotyczących zdrowia na szczeblu krajowym, regionalnym lub lokalnym umożliwiającą korzystanie z praw, o których mowa w ust. 1 i 2;

b)ustanawiają co najmniej jedną usługę pełnomocnictwa umożliwiającą osobie fizycznej upoważnienie innych wybranych przez nią osób fizycznych do dostępu do jej elektronicznych danych dotyczących zdrowia w jej imieniu.

Upoważnienia w ramach usług pełnomocnictwa udzielane są nieodpłatnie, w formie elektronicznej lub papierowej. Usługi te umożliwiają opiekunom lub innym przedstawicielom uzyskanie upoważnienia – automatycznie albo na żądanie – do dostępu do elektronicznych danych dotyczących zdrowia osób fizycznych, których sprawami zarządzają. Państwa członkowskie mogą postanowić, że upoważnienia nie mają zastosowania w każdym przypadku, gdy jest to konieczne ze względów związanych z ochroną osoby fizycznej, w szczególności ze względu na bezpieczeństwo pacjenta i etykę. Usługi pełnomocnictwa muszą być interoperacyjne między państwami członkowskimi.

6.Osoby fizyczne mogą wprowadzać swoje elektroniczne dane dotyczące zdrowia do własnej elektronicznej dokumentacji medycznej lub do elektronicznej dokumentacji medycznej osób fizycznych, do których informacji dotyczących zdrowia mają dostęp, za pośrednictwem usług dostępu do elektronicznych danych dotyczących zdrowia lub aplikacji powiązanych z tymi usługami. Informacje te są oznaczane jako wprowadzone przez osobę fizyczną lub jej przedstawiciela.

7.Państwa członkowskie zapewniają, aby przy korzystaniu z prawa do sprostowania danych na podstawie art. 16 rozporządzenia (UE) 2016/679 osoby fizyczne mogły z łatwością wystąpić o sprostowanie online za pośrednictwem usług dostępu do elektronicznych danych dotyczących zdrowia, o których to usługach mowa w ust. 5 lit. a) niniejszego artykułu.

8.Osoby fizyczne mają prawo udzielić posiadaczowi danych z sektora opieki zdrowotnej lub zabezpieczenia społecznego dostępu do swoich elektronicznych danych dotyczących zdrowia lub zwrócić się do niego o przekazanie ich elektronicznych danych dotyczących zdrowia wybranemu przez nie odbiorcy danych z sektora zdrowia lub zabezpieczenia społecznego niezwłocznie, nieodpłatnie i bez przeszkód ze strony posiadacza danych lub producentów systemów, z których korzysta ten posiadacz danych.

Osoby fizyczne mają prawo do tego, aby w przypadku gdy posiadacz danych i odbiorca danych znajdują się w różnych państwach członkowskich, a takie elektroniczne dane dotyczące zdrowia należą do kategorii, o których mowa w art. 5, posiadacz danych przekazywał dane w europejskim formacie wymiany elektronicznej dokumentacji medycznej, o którym mowa w art. 6, a odbiorca danych odczytywał i przyjmował te dane.

Na zasadzie odstępstwa od art. 9 rozporządzenia [...] [akt w sprawie danych, COM(2022) 68 final] odbiorca danych nie jest zobowiązany do zrekompensowania posiadaczowi danych udostępnienia elektronicznych danych dotyczących zdrowia.

Osoby fizyczne mają prawo, aby w przypadku przekazywania lub udostępniania przez osobę fizyczną priorytetowych kategorii elektronicznych danych osobowych dotyczących zdrowia, o których to kategoriach mowa w art. 5, zgodnie z europejskim formatem wymiany elektronicznej dokumentacji medycznej, o którym mowa w art. 6, takie dane były odczytywane i przyjmowane przez innych świadczeniodawców.

9.Niezależnie od przepisów art. 6 ust. 1 lit. d) rozporządzenia (UE) 2016/679 osoby fizyczne mają prawo ograniczyć dostęp pracowników służby zdrowia do całości lub części ich elektronicznych danych dotyczących zdrowia. Państwa członkowskie ustanawiają przepisy i określone zabezpieczenia dotyczące takich mechanizmów ograniczania.

10.Osoby fizyczne mają prawo do uzyskania informacji na temat świadczeniodawców i pracowników służby zdrowia, którzy korzystali z dostępu do ich elektronicznych danych dotyczących zdrowia w kontekście opieki zdrowotnej. Informacje te są przekazywane niezwłocznie i nieodpłatnie za pośrednictwem usług dostępu do elektronicznych danych dotyczących zdrowia.

11.Organ nadzorczy lub organy nadzorcze odpowiedzialne za monitorowanie stosowania rozporządzenia (UE) 2016/679 są również odpowiedzialne za monitorowanie stosowania niniejszego artykułu zgodnie z odpowiednimi przepisami rozdziałów VI, VII i VIII rozporządzenia (UE) 2016/679. Są one uprawnione do nakładania administracyjnych kar pieniężnych do wysokości kwoty, o której mowa w art. 83 ust. 5 tego rozporządzenia. Te organy nadzorcze i organy ds. e-zdrowia, o których mowa w art. 10 niniejszego rozporządzenia, w stosownych przypadkach współpracują w zakresie egzekwowania niniejszego rozporządzenia w ramach swoich odpowiednich kompetencji.

12.Komisja określa, w drodze aktów wykonawczych, wymogi dotyczące technicznego wdrożenia praw określonych w niniejszym artykule. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Artykuł 4

Dostęp pracowników służby zdrowia do elektronicznych danych osobowych dotyczących zdrowia

1.W przypadku przetwarzania danych w formacie elektronicznym pracownicy służby zdrowia:

a)mają dostęp do elektronicznych danych dotyczących zdrowia osób fizycznych, które leczą, niezależnie od państwa członkowskiego ubezpieczenia i państwa członkowskiego leczenia;

b)zapewniają, aby elektroniczne dane osobowe dotyczące zdrowia osób fizycznych, które leczą, były aktualizowane o informacje dotyczące udzielonych świadczeń zdrowotnych.

2.Zgodnie z zasadą minimalizacji danych przewidzianą w rozporządzeniu (UE) 2016/679 państwa członkowskie mogą ustanowić przepisy określające kategorie elektronicznych danych osobowych dotyczących zdrowia wymaganych przez różne zawody związane ze służbą zdrowia. Przepisy te nie mogą opierać się na źródle elektronicznych danych dotyczących zdrowia.

3.Państwa członkowskie zapewniają pracownikom służby zdrowia dostęp co najmniej do priorytetowych kategorii elektronicznych danych dotyczących zdrowia, o których to kategoriach mowa w art. 5, za pośrednictwem usług dostępu dla pracowników służby zdrowia. Pracownicy służby zdrowia, którzy dysponują uznanymi środkami identyfikacji elektronicznej, mają prawo do nieodpłatnego korzystania z tych usług dostępu dla pracowników służby zdrowia.

4.W przypadku gdy dostęp do elektronicznych danych dotyczących zdrowia został ograniczony przez osobę fizyczną, świadczeniodawca lub pracownik służby zdrowia nie jest informowany o treści elektronicznych danych dotyczących zdrowia bez uprzedniej zgody osoby fizycznej, w tym w przypadku gdy świadczeniodawca lub pracownik służby zdrowia został poinformowany o istnieniu i charakterze elektronicznych danych dotyczących zdrowia objętych ograniczeniem. W przypadkach gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, świadczeniodawca lub pracownik służby zdrowia może uzyskać dostęp do elektronicznych danych dotyczących zdrowia objętych ograniczeniem. Po uzyskaniu takiego dostępu świadczeniodawca lub pracownik służby zdrowia informuje posiadacza danych i zainteresowaną osobę fizyczną lub jej opiekunów o uzyskaniu dostępu do elektronicznych danych dotyczących zdrowia. Prawo państw członkowskich może przewidywać dodatkowe zabezpieczenia.

Artykuł 5

Priorytetowe kategorie elektronicznych danych osobowych dotyczących zdrowia do celów pierwotnego wykorzystywania

1.Jeżeli dane są przetwarzane w formacie elektronicznym, państwa członkowskie wdrażają dostęp do elektronicznych danych osobowych dotyczących zdrowia do celów pierwotnego wykorzystywania, które to dane w całości lub częściowo należą do następujących kategorii, oraz wymianę tych danych:

a)skrócone karty zdrowia pacjenta;

b)recepty elektroniczne;

c)realizacja recept elektronicznych;

d)obrazy medyczne i wyniki obrazowania medycznego;

e)wyniki badań laboratoryjnych;

f)wypisy.

Główne cechy kategorii elektronicznych danych dotyczących zdrowia, o których to kategoriach mowa w akapicie pierwszym, określa się w załączniku I.

Dostęp do elektronicznych danych dotyczących zdrowia i ich wymiana do celów pierwotnego wykorzystywania mogą być możliwe w przypadku innych kategorii elektronicznych danych osobowych dotyczących zdrowia dostępnych w elektronicznej dokumentacji medycznej osób fizycznych.

2.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu zmiany wykazu priorytetowych kategorii elektronicznych danych dotyczących zdrowia, o których to kategoriach mowa w ust. 1. Takie akty delegowane mogą również zmieniać załącznik I poprzez dodanie, zmianę lub usunięcie głównych cech priorytetowych kategorii elektronicznych danych dotyczących zdrowia oraz wskazanie, w stosownych przypadkach, odroczonej daty rozpoczęcia stosowania. Kategorie elektronicznych danych dotyczących zdrowia dodawane w drodze takich aktów delegowanych muszą spełniać następujące kryteria:

a)dana kategoria ma znaczenie dla świadczeń zdrowotnych udzielanych osobom fizycznym;

b)według najnowszych informacji dana kategoria jest wykorzystywana w znacznej liczbie systemów elektronicznej dokumentacji medycznej używanych w państwach członkowskich;

c)w odniesieniu do danej kategorii istnieją normy międzynarodowe, które zbadano pod kątem możliwości ich stosowania w Unii.

Artykuł 6

Europejski format wymiany elektronicznej dokumentacji medycznej

1.Komisja określa, w drodze aktów wykonawczych, specyfikacje techniczne dotyczące priorytetowych kategorii elektronicznych danych osobowych dotyczących zdrowia, o których to kategoriach mowa w art. 5, ustalające europejski format wymiany elektronicznej dokumentacji medycznej. Format ten obejmuje następujące elementy:

a)zbiory danych zawierające elektroniczne dane dotyczące zdrowia i definiujące struktury, takie jak pola danych i grupy danych do celów przedstawienia treści klinicznych i innych części elektronicznych danych dotyczących zdrowia;

b)systemy kodowania i wartości, które mają być stosowane w zbiorach danych zawierających elektroniczne dane dotyczące zdrowia;

c)specyfikacje techniczne na potrzeby wymiany elektronicznych danych dotyczących zdrowia, w tym przedstawienie ich treści, normy i profile.

2.Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2. Państwa członkowskie zapewniają, aby w przypadku gdy priorytetowe kategorie elektronicznych danych osobowych dotyczących zdrowia, o których to kategoriach mowa w art. 5, są dostarczane przez osobę fizyczną bezpośrednio lub przekazywane świadczeniodawcy w sposób automatyczny w formacie, o którym mowa w ust. 1, takie dane były odczytywane i przyjmowane przez odbiorcę danych.

3.Państwa członkowskie zapewniają, aby priorytetowe kategorie elektronicznych danych osobowych dotyczących zdrowia, o których to kategoriach mowa w art. 5, były wydawane w formacie, o którym mowa w ust. 1, oraz aby takie dane były odczytywane i przyjmowane przez odbiorcę danych.

Artykuł 7

Rejestracja elektronicznych danych osobowych dotyczących zdrowia

1.Państwa członkowskie zapewniają, aby w przypadku przetwarzania danych w formacie elektronicznym pracownicy służby zdrowia systematycznie rejestrowali w formacie elektronicznym w systemie elektronicznej dokumentacji medycznej odpowiednie dane dotyczące zdrowia należące co najmniej do kategorii priorytetowych, o których mowa w art. 5, dotyczące świadczeń zdrowotnych udzielanych przez nich osobom fizycznym.

2.W przypadku gdy elektroniczne dane dotyczące zdrowia osoby fizycznej są zarejestrowane w państwie członkowskim, które nie jest państwem członkowskim ubezpieczenia tej osoby, państwo członkowskie leczenia zapewnia, aby rejestracja odbywała się na podstawie danych identyfikujących tę osobę fizyczną w państwie członkowskim ubezpieczenia.

3.Komisja określa, w drodze aktów wykonawczych, wymogi dotyczące rejestracji elektronicznych danych dotyczących zdrowia przez świadczeniodawców i osoby fizyczne, stosownie do przypadku. W tych aktach wykonawczych ustanawia się:

a)kategorie świadczeniodawców, którzy mają rejestrować dane dotyczące zdrowia drogą elektroniczną;

b)kategorie danych dotyczących zdrowia, które mają być systematycznie rejestrowane w formacie elektronicznym przez świadczeniodawców, o których mowa w lit. a);

c)wymogi dotyczące jakości danych odnoszące się do elektronicznej rejestracji danych dotyczących zdrowia.

Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Artykuł 8

Telemedycyna w kontekście transgranicznej opieki zdrowotnej

W przypadku gdy państwo członkowskie akceptuje świadczenie usług telemedycznych, musi ono akceptować na takich samych warunkach świadczenie usług tego samego rodzaju przez świadczeniodawców znajdujących się w innych państwach członkowskich.

Artykuł 9

Zarządzanie identyfikacją 

1.W przypadku gdy osoba fizyczna korzysta z usług telemedycznych lub z usług dostępu do danych osobowych dotyczących zdrowia, o których to usługach mowa w art. 3 ust. 5 lit. a), osoba ta ma prawo do identyfikacji elektronicznej za pomocą wszelkich środków identyfikacji elektronicznej uznanych na podstawie art. 6 rozporządzenia (UE) nr 910/2014.

2.Komisja określa, w drodze aktów wykonawczych, wymogi dotyczące interoperacyjnego, transgranicznego mechanizmu identyfikacji i uwierzytelniania osób fizycznych i pracowników służby zdrowia zgodnie z rozporządzeniem (UE) nr 910/2014 zmienionym [COM(2021) 281 final]. Mechanizm ten ułatwia możliwość przenoszenia elektronicznych danych dotyczących zdrowia w kontekście transgranicznym. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

3.Komisja wdraża na szczeblu Unii usługi wymagane przez interoperacyjny, transgraniczny mechanizm identyfikacji i uwierzytelniania, o którym mowa w ust. 2 niniejszego artykułu, w ramach transgranicznej infrastruktury e-zdrowia, o której mowa w art. 12 ust. 3.

4.Organy ds. e-zdrowia i Komisja wdrażają transgraniczny mechanizm identyfikacji i uwierzytelniania odpowiednio na szczeblu Unii i państw członkowskich.

Artykuł 10

Organ ds. e-zdrowia

1.Każde państwo członkowskie wyznacza organ ds. e-zdrowia odpowiedzialny za wdrożenie i egzekwowanie przepisów niniejszego rozdziału na szczeblu krajowym. Państwo członkowskie przekazuje Komisji dane identyfikacyjne organu ds. e-zdrowia do dnia rozpoczęcia stosowania niniejszego rozporządzenia. W przypadku gdy wyznaczony organ ds. e-zdrowia jest podmiotem składającym się z wielu organizacji, państwo członkowskie przekazuje Komisji opis podziału zadań między tymi organizacjami. Komisja podaje te informacje do wiadomości publicznej.

2.Każdemu organowi ds. e-zdrowia powierza się następujące zadania:

a)zapewnienie wdrożenia praw i obowiązków przewidzianych wRozdzaiłach II i III przez przyjęcie niezbędnych krajowych, regionalnych lub lokalnych rozwiązań technicznych oraz przez ustanowienie odpowiednich przepisów i mechanizmów;

b)zapewnienie osobom fizycznym, pracownikom służby zdrowia i świadczeniodawcom łatwego dostępu do pełnych i aktualnych informacji na temat wdrożenia praw i obowiązków przewidzianych w rozdziałach II i III;

c)przy wdrażaniu rozwiązań technicznych, o których mowa w lit. a), egzekwowanie ich zgodności z rozdziałami II i III oraz z załącznikiem II;

d)przyczynianie się na szczeblu Unii do opracowania rozwiązań technicznych umożliwiających osobom fizycznym i pracownikom służby zdrowia wykonywanie ich praw i obowiązków określonych w niniejszym rozdziale;

e)ułatwianie osobom z niepełnosprawnościami korzystania z praw wymienionych w art. 3 niniejszego rozporządzenia zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/882 55 ;

f)nadzór nad krajowymi punktami kontaktowymi ds. e-zdrowia oraz współpracę z innymi organami ds. e-zdrowia i Komisją w zakresie dalszego rozwoju infrastruktury MojeZdrowie@UE (MyHealth@EU);

g)zapewnienie wdrożenia na szczeblu krajowym europejskiego formatu wymiany elektronicznej dokumentacji medycznej we współpracy z organami krajowymi i zainteresowanymi stronami;

h)przyczynianie się na szczeblu Unii do opracowania europejskiego formatu wymiany elektronicznej dokumentacji medycznej oraz do opracowania wspólnych specyfikacji dotyczących kwestii interoperacyjności, ochrony, bezpieczeństwa lub praw podstawowych zgodnie z art. 23 oraz specyfikacji unijnej bazy danych na potrzeby systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan, o których mowa w art. 32;

i)w stosownych przypadkach prowadzenie działań w zakresie nadzoru rynku zgodnie z art. 28, a jednocześnie zapewnianie unikania wszelkich konfliktów interesów;

j)budowanie krajowych zdolności w zakresie wdrażania interoperacyjności i bezpieczeństwa pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia oraz uczestnictwo w wymianie informacji i działaniach na rzecz budowania zdolności na szczeblu Unii;

k)oferowanie – zgodnie z przepisami krajowymi – usług telemedycznych i zapewnienie, aby takie usługi były łatwe w korzystaniu, dostępne dla różnych grup osób fizycznych i pracowników służby zdrowia, w tym osób fizycznych z niepełnosprawnościami, były niedyskryminujące oraz aby oferowały możliwości wyboru między usługami świadczonymi osobiście a usługami cyfrowymi;

l)współpracę z organami nadzoru rynku, udział w działaniach związanych z postępowaniem w przypadku ryzyka stwarzanego przez systemy elektronicznej dokumentacji medycznej oraz w przypadku poważnych incydentów oraz nadzór nad realizacją działań naprawczych zgodnie z art. 29;

m)współpracę z innymi odpowiednimi podmiotami i organami na szczeblu krajowym lub unijnym w celu zapewnienia interoperacyjności, możliwości przenoszenia danych i bezpieczeństwa elektronicznych danych dotyczących zdrowia, a także z przedstawicielami zainteresowanych stron, w tym przedstawicielami pacjentów, świadczeniodawcami, pracownikami służby zdrowia, stowarzyszeniami branżowymi;

n)współpracę z organami nadzorczymi zgodnie z rozporządzeniem (UE) nr 910/2014, rozporządzeniem (UE) 2016/679 i dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/1148 56 , z innymi odpowiednimi organami, w tym z organami właściwymi w zakresie cyberbezpieczeństwa, identyfikacji elektronicznej, Europejską Radą ds. Sztucznej Inteligencji, Grupą Koordynacyjną ds. Wyrobów Medycznych, Europejską Radą ds. Innowacji w zakresie Danych i właściwymi organami na mocy rozporządzenia […] [akt w sprawie danych, COM(2022) 68 final];

o)sporządzanie – w stosownych przypadkach we współpracy z organami nadzoru rynku – sprawozdania rocznego zawierającego kompleksowy przegląd działalności organu ds. e-zdrowia. Sprawozdanie przekazuje się Komisji. Roczne sprawozdanie z działalności musi być zgodne ze strukturą uzgodnioną na szczeblu Unii w ramach Rady ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia, aby umożliwiać analizę porównawczą zgodnie z art. 59. Sprawozdanie zawiera co najmniej następujące informacje:

(i)środki przyjęte w celu wykonania niniejszego rozporządzenia;

(ii)odsetek osób fizycznych mających dostęp do różnych kategorii danych w swojej elektronicznej dokumentacji medycznej;

(iii)informacje na temat rozpatrywania wniosków osób fizycznych dotyczących wykonywania praw przysługujących im na mocy niniejszego rozporządzenia;

(iv)liczbę świadczeniodawców różnego rodzaju, w tym aptek, szpitali i innych punktów opieki, połączonych z infrastrukturą MojeZdrowie@UE (MyHealth@EU), obliczoną a) w ujęciu bezwzględnym, b) jako odsetek wszystkich świadczeniodawców tego samego rodzaju oraz c) jako odsetek osób fizycznych, które mogą korzystać z usług;

(v)ilość elektronicznych danych dotyczących zdrowia różnych kategorii udostępnianych transgranicznie za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU);

(vi)poziom zadowolenia osób fizycznych z usług w ramach infrastruktury MojeZdrowie@UE (MyHealth@EU);

(vii)liczbę certyfikowanych systemów elektronicznej dokumentacji medycznej i oznakowanych aplikacji wspierających dobrostan wpisanych do unijnej bazy danych;

(viii)liczbę przypadków niezgodności z obowiązkowymi wymogami;

(ix)opis działań organu ds. e-zdrowia prowadzonych w związku ze współpracą i konsultacjami z odpowiednimi zainteresowanymi stronami, w tym przedstawicielami osób fizycznych, organizacji pacjentów, pracowników służby zdrowia, badaczy i komisji etycznych;

(x)informacje na temat współpracy z innymi właściwymi organami, w szczególności w obszarze ochrony danych, cyberbezpieczeństwa i sztucznej inteligencji.

3.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu uzupełnienia niniejszego rozporządzenia przez powierzenie organom ds. e-zdrowia dodatkowych zadań niezbędnych do wykonywania misji powierzonej im na mocy niniejszego rozporządzenia oraz w celu zmiany treści sprawozdania rocznego.

4.Każde państwo członkowskie zapewnia, aby każdy organ ds. e-zdrowia dysponował zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą niezbędnymi do skutecznego wypełniania swoich zadań i wykonywania swoich uprawnień.

5.Przy wypełnianiu swoich zadań organ ds. e-zdrowia aktywnie współpracuje z przedstawicielami zainteresowanych stron, w tym z przedstawicielami pacjentów. Członkowie organu ds. e-zdrowia unikają wszelkich konfliktów interesów. 

Artykuł 11

Prawo do wniesienia skargi do organu ds. e-zdrowia

1.Bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej osoby fizyczne i prawne mają prawo wnieść skargę, indywidualnie lub, w stosownych przypadkach, zbiorowo, do organu ds. e-zdrowia. Jeżeli skarga dotyczy praw osób fizycznych określonych w art. 3 niniejszego rozporządzenia, organ ds. e-zdrowia informuje o tym organy nadzorcze na podstawie rozporządzenia (UE) 2016/679.

2.Organ ds. e-zdrowia, do którego wniesiono skargę, informuje skarżącego o przebiegu postępowania i podjętej decyzji.

3.Organy ds. e-zdrowia współpracują w celu rozpatrywania i rozstrzygania skarg, w tym poprzez wymianę wszystkich istotnych informacji drogą elektroniczną bez zbędnej zwłoki.

Sekcja 2

Infrastruktura transgraniczna do pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia

Artykuł 12

MojeZdrowie@UE (MyHealth@EU)

1.Komisja ustanawia centralną platformę e-zdrowia na potrzeby świadczenia usług wspierających i ułatwiających wymianę elektronicznych danych dotyczących zdrowia między krajowymi punktami kontaktowymi ds. e-zdrowia w państwach członkowskich.

2.Każde państwo członkowskie wyznacza jeden krajowy punkt kontaktowy ds. e-zdrowia w celu zapewnienia połączenia ze wszystkimi pozostałymi krajowymi punktami kontaktowymi ds. e-zdrowia oraz z centralną platformą e-zdrowia. W przypadku gdy wyznaczony krajowy punkt kontaktowy jest podmiotem składającym się z wielu organizacji odpowiedzialnych za wdrażanie różnych usług, państwo członkowskie przekazuje Komisji opis podziału zadań między tymi organizacjami. Krajowy punkt kontaktowy ds. e-zdrowia uznaje się za upoważnionego uczestnika infrastruktury. Każde państwo członkowskie przekazuje Komisji dane identyfikacyjne swojego krajowego punktu kontaktowego do dnia [data rozpoczęcia stosowania niniejszego rozporządzenia] r. Taki punkt kontaktowy może zostać ustanowiony w ramach organu ds. e-zdrowia ustanowionego na mocy art. 10 niniejszego rozporządzenia. Państwa członkowskie informują Komisję o wszelkich późniejszych zmianach danych identyfikacyjnych tych punktów kontaktowych. Komisja i państwa członkowskie podają te informacje do wiadomości publicznej.

3.Każdy krajowy punkt kontaktowy ds. e-zdrowia umożliwia wymianę elektronicznych danych osobowych dotyczących zdrowia, o których mowa w art. 5, z wszystkimi pozostałymi krajowymi punktami kontaktowymi. Wymiana ta odbywa się z wykorzystaniem europejskiego formatu wymiany elektronicznej dokumentacji medycznej.

4.Komisja przyjmuje, w drodze aktów wykonawczych, środki niezbędne do rozwoju technicznego infrastruktury MojeZdrowie@UE (MyHealth@EU) oraz szczegółowe przepisy dotyczące bezpieczeństwa, poufności i ochrony elektronicznych danych dotyczących zdrowia, dotyczące warunków i kontroli zgodności niezbędnych do przyłączenia się do infrastruktury MojeZdrowie@UE (MyHealth@EU) i pozostania połączonym z tą infrastrukturą, a także dotyczące warunków czasowego lub ostatecznego wykluczenia z infrastruktury MojeZdrowie@UE (MyHealth@EU). Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

5.Państwa członkowskie zapewniają połączenie wszystkich świadczeniodawców ze swoimi krajowymi punktami kontaktowymi ds. e-zdrowia oraz zapewniają, aby połączone podmioty mogły prowadzić dwukierunkową wymianę elektronicznych danych dotyczących zdrowia z krajowym punktem kontaktowym ds. e-zdrowia.

6.Państwa członkowskie zapewniają, aby apteki prowadzące działalność na ich terytorium, w tym apteki internetowe, miały możliwość realizacji recept elektronicznych wystawionych w innych państwach członkowskich na warunkach określonych w art. 11 dyrektywy 2011/24/UE. Apteki mają dostęp do recept elektronicznych przekazywanych im z innych państw członkowskich za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU) i przyjmują takie recepty. Po wydaniu produktów leczniczych na podstawie recepty elektronicznej z innego państwa członkowskiego apteki zgłaszają wydanie państwu członkowskiemu, w którym wystawiono receptę, za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU).

7.Krajowe punkty kontaktowe ds. e-zdrowia działają jako współadministratorzy elektronicznych danych dotyczących zdrowia przekazywanych za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU) w odniesieniu do operacji przetwarzania, w których biorą udział. Komisja działa jako podmiot przetwarzający.

8.Komisja przydziela, w drodze aktów wykonawczych, obowiązki administratorom i podmiotowi przetwarzającemu, o których mowa w ust. 7 niniejszego artykułu, zgodnie z rozdziałem IV rozporządzenia (UE) 2016/679. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

9.Zgodę na przyłączenie się indywidualnych upoważnionych uczestników do infrastruktury MojeZdrowie@UE (MyHealth@EU) w odniesieniu do różnych usług lub na odłączenie uczestnika wydaje grupa ds. współadministracji na podstawie wyników kontroli zgodności.

Artykuł 13

Dodatkowe transgraniczne usługi i infrastruktura e-zdrowia

1.Państwa członkowskie mogą świadczyć za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU) dodatkowe usługi ułatwiające telemedycynę, mobilną opiekę zdrowotną, dostęp osób fizycznych do ich przetłumaczonych danych dotyczących zdrowia, wymianę lub weryfikację zaświadczeń zdrowotnych, w tym usługi dotyczące kart szczepień, wspierające zdrowie publiczne i monitorowanie zdrowia publicznego lub systemy, świadczenia oraz interoperacyjne zastosowania użytkowe e-zdrowia, aby osiągnąć wysoki poziom zaufania i bezpieczeństwa, zwiększyć ciągłość opieki i zapewnić dostęp do bezpiecznej opieki zdrowotnej wysokiej jakości. Komisja określa, w drodze aktów wykonawczych, aspekty techniczne takiego świadczenia. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

2.Komisja i państwa członkowskie mogą ułatwiać wymianę elektronicznych danych dotyczących zdrowia z innymi infrastrukturami, takimi jak system zarządzania danymi klinicznymi pacjentów lub inne serwisy bądź infrastruktury w dziedzinie zdrowia, opieki lub zabezpieczenia społecznego, które mogą stać się upoważnionymi uczestnikami infrastruktury MojeZdrowie@UE (MyHealth@EU). Komisja określa, w drodze aktów wykonawczych, aspekty techniczne takiej wymiany. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2. Połączenie innej infrastruktury z centralną platformą e-zdrowia podlega decyzji grupy ds. współadministracji infrastruktury MojeZdrowie@UE (MyHealth@EU), o której mowa w art. 66.

3.Państwa członkowskie i Komisja dążą do zapewnienia interoperacyjności infrastruktury MojeZdrowie@UE (MyHealth@EU) z systemami technologicznymi ustanowionymi na szczeblu międzynarodowym na potrzeby wymiany elektronicznych danych dotyczących zdrowia. Komisja może przyjąć akt wykonawczy stanowiący, że krajowy punkt kontaktowy państwa trzeciego lub system ustanowiony na szczeblu międzynarodowym jest zgodny z wymogami infrastruktury MojeZdrowie@UE (MyHealth@EU) do celów wymiany elektronicznych danych dotyczących zdrowia. Przed przyjęciem takiego aktu wykonawczego Komisja przeprowadza kontrolę zgodności krajowego punktu kontaktowego państwa trzeciego lub systemu ustanowionego na szczeblu międzynarodowym.

Akty wykonawcze, o których mowa w akapicie pierwszym niniejszego ustępu, przyjmuje się zgodnie z procedurą, o której mowa w art. 68. Połączenie krajowego punktu kontaktowego państwa trzeciego lub systemu ustanowionego na szczeblu międzynarodowym z centralną platformą e-zdrowia, a także decyzja o odłączeniu podlegają decyzji grupy ds. współadministracji infrastruktury MojeZdrowie@UE (MyHealth@EU), o której mowa w art. 66.

Komisja podaje do wiadomości publicznej wykaz aktów wykonawczych przyjętych na podstawie niniejszego ustępu.

ROZDZIAŁ III

Systemy elektronicznej dokumentacji medycznej i aplikacje wspierające dobrostan

Sekcja 1

Przepisy ogólne dotyczące systemów elektronicznej dokumentacji medycznej

Artykuł 14

Współdziałanie z przepisami regulującymi wyroby medyczne i systemy sztucznej inteligencji

1.Systemy elektronicznej dokumentacji medycznej przeznaczone przez ich producenta do pierwotnego wykorzystywania priorytetowych kategorii elektronicznych danych dotyczących zdrowia, o których to kategoriach mowa w art. 5, podlegają przepisom określonym w niniejszym rozdziale.

2.Niniejszy rozdział nie ma zastosowania do ogólnego oprogramowania wykorzystywanego w środowisku opieki zdrowotnej.

3.Producenci wyrobów medycznych zdefiniowanych w art. 2 pkt 1 rozporządzenia (UE) 2017/745, którzy deklarują interoperacyjność tych wyrobów medycznych z systemami elektronicznej dokumentacji medycznej, muszą wykazać zgodność z zasadniczymi wymaganiami dotyczącymi interoperacyjności określonymi w sekcji 2 załącznika II do niniejszego rozporządzenia. Do tych wyrobów medycznych zastosowanie ma art. 23 niniejszego rozdziału.

4.Dostawcy systemów sztucznej inteligencji wysokiego ryzyka zdefiniowanych w art. 6 rozporządzenia […] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final], którzy nie są objęci zakresem stosowania rozporządzenia (UE) 2017/745 i którzy deklarują interoperacyjność tych systemów sztucznej inteligencji z systemami elektronicznej dokumentacji medycznej, będą musieli wykazać zgodność z zasadniczymi wymaganiami dotyczącymi interoperacyjności określonymi w sekcji 2 załącznika II do niniejszego rozporządzenia. Do tych systemów sztucznej inteligencji wysokiego ryzyka zastosowanie ma art. 23 niniejszego rozdziału. 

5.Państwa członkowskie mogą utrzymać lub określić przepisy szczegółowe dotyczące zamówień, zwrotu kosztów lub finansowania systemów elektronicznej dokumentacji medycznej w kontekście organizacji, zapewniania lub finansowania świadczeń zdrowotnych.

Artykuł 15

Wprowadzenie do obrotu i do używania

1.Systemy elektronicznej dokumentacji medycznej mogą być wprowadzane do obrotu lub do używania tylko wtedy, gdy są zgodne z przepisami określonymi w niniejszym rozdziale.

2.Systemy elektronicznej dokumentacji medycznej produkowane i wykorzystywane w instytucjach zdrowia publicznego mających siedzibę w Unii oraz systemy elektronicznej dokumentacji medycznej oferowane jako usługa w rozumieniu art. 1 ust. 1 lit. b) dyrektywy (UE) 2015/1535 Parlamentu Europejskiego i Rady 57 osobie fizycznej lub prawnej mającej siedzibę w Unii uznaje się za wprowadzone do używania.

Artykuł 16

Oświadczenia

W arkuszu informacyjnym, instrukcjach używania lub innych informacjach towarzyszących systemom elektronicznej dokumentacji medycznej oraz w reklamie systemów elektronicznej dokumentacji medycznej zakazane jest używanie tekstów, nazw, znaków towarowych, obrazów i symboli lub innych znaków, które mogą wprowadzić w błąd użytkownika co do przewidzianego zastosowania, interoperacyjności i bezpieczeństwa systemu poprzez:

a)przypisanie systemowi elektronicznej dokumentacji medycznej funkcji i właściwości, których system nie posiada;

b)nieinformowanie użytkownika o prawdopodobnych ograniczeniach związanych z interoperacyjnością lub zabezpieczeniami systemu elektronicznej dokumentacji medycznej w odniesieniu do jego przewidzianego zastosowania;

c)sugerowanie zastosowań systemu elektronicznej dokumentacji medycznej innych niż te, które zostały podane w dokumentacji technicznej jako stanowiące część przewidzianego zastosowania.

Sekcja 2

Obowiązki podmiotów gospodarczych w odniesieniu do systemów elektronicznej dokumentacji medycznej

Artykuł 17

Obowiązki producentów systemów elektronicznej dokumentacji medycznej

1.Producenci systemów elektronicznej dokumentacji medycznej:

a)zapewniają zgodność swoich systemów elektronicznej dokumentacji medycznej z zasadniczymi wymaganiami określonymi w załączniku II oraz ze wspólnymi specyfikacjami zgodnie z art. 23;

b)sporządzają dokumentację techniczną swoich systemów elektronicznej dokumentacji medycznej zgodnie z art. 24;

c)zapewniają, aby ich systemom elektronicznej dokumentacji medycznej towarzyszył nieodpłatnie dla użytkownika arkusz informacyjny przewidziany w art. 25 oraz jasna i kompletna instrukcja używania;

d)sporządzają deklarację zgodności UE, o której mowa w art. 26;

e)umieszczają oznakowanie CE zgodnie z art. 27;

f)przestrzegają wymogów w zakresie rejestracji określonych w art. 32;

g)bez zbędnej zwłoki podejmują wszelkie niezbędne działania naprawcze w odniesieniu do swoich systemów elektronicznej dokumentacji medycznej, które są niezgodne z zasadniczymi wymaganiami określonymi w załączniku II, lub odzyskują takie systemy lub wycofują je z obrotu;

h)informują dystrybutorów swoich systemów elektronicznej dokumentacji medycznej oraz, w stosownych przypadkach, upoważnionego przedstawiciela i importerów o wszelkich działaniach naprawczych, odzyskaniu systemów lub wycofaniu ich z obrotu;

i)informują organy nadzoru rynku państw członkowskich, w których ich systemy elektronicznej dokumentacji medycznej zostały udostępnione lub wprowadzone do używania, o niezgodności oraz o wszelkich podjętych działaniach naprawczych;

j)na żądanie organu nadzoru rynku przekazują mu wszelkie informacje i dokumentację konieczne do wykazania zgodności swoich systemów elektronicznej dokumentacji medycznej z zasadniczymi wymaganiami określonymi w załączniku II;

k)na żądanie organów nadzoru rynku współpracują z nimi w zakresie wszelkich działań podejmowanych w celu dostosowania swoich systemów elektronicznej dokumentacji medycznej do zasadniczych wymagań określonych w załączniku II.

2.Producenci systemów elektronicznej dokumentacji medycznej zapewniają wprowadzenie procedur służących temu, aby projektowanie, opracowywanie i wdrażanie systemu elektronicznej dokumentacji medycznej w dalszym ciągu spełniało zasadnicze wymagania określone w załączniku II oraz wspólne specyfikacje, o których mowa w art. 23. Zmiany w projekcie lub właściwościach systemu elektronicznej dokumentacji medycznej muszą być odpowiednio uwzględnione i odzwierciedlone w dokumentacji technicznej.

3.Producenci systemów elektronicznej dokumentacji medycznej przechowują dokumentację techniczną i deklarację zgodności UE przez 10 lat od wprowadzenia do obrotu ostatniego systemu elektronicznej dokumentacji medycznej objętego tą deklaracją zgodności UE.

Artykuł 18

Upoważnieni przedstawiciele

1.Przed udostępnieniem systemu elektronicznej dokumentacji medycznej na rynku unijnym producent systemu elektronicznej dokumentacji medycznej mający siedzibę poza Unią wyznacza – na podstawie pisemnego pełnomocnictwa – upoważnionego przedstawiciela mającego siedzibę w Unii.

2.Upoważniony przedstawiciel wykonuje zadania określone w pełnomocnictwie otrzymanym od producenta. Pełnomocnictwo umożliwia upoważnionemu przedstawicielowi wykonywanie co najmniej następujących obowiązków:

a)przechowywanie deklaracji zgodności UE i dokumentacji technicznej do dyspozycji organów nadzoru rynku przez okres, o którym mowa w art. 17 ust. 3;

b)na uzasadniony wniosek organu nadzoru rynku przekazywanie mu wszelkich informacji i dokumentacji koniecznych do wykazania zgodności systemu elektronicznej dokumentacji medycznej z zasadniczymi wymaganiami określonymi w załączniku II;

c)na żądanie organów nadzoru rynku współpracowanie z nimi w zakresie wszelkich działań naprawczych podejmowanych w odniesieniu do systemów elektronicznej dokumentacji medycznej objętych ich pełnomocnictwem.

Artykuł 19

Obowiązki importerów

1.Importerzy wprowadzają do obrotu w Unii wyłącznie systemy elektronicznej dokumentacji medycznej, które są zgodne z zasadniczymi wymaganiami określonymi w załączniku II.

2.Przed udostępnieniem systemu elektronicznej dokumentacji medycznej na rynku importerzy zapewniają, aby:

a)producent sporządził dokumentację techniczną i deklarację zgodności UE;

b)system elektronicznej dokumentacji medycznej nosił oznakowanie zgodności CE;

c)systemowi elektronicznej dokumentacji medycznej towarzyszyły arkusz informacyjny, o którym mowa w art. 25, oraz odpowiednia instrukcja używania.

3.Importerzy podają swoje imię i nazwisko lub nazwę, zarejestrowaną nazwę handlową lub zarejestrowany znak towarowy i adres, pod którym można się z nimi skontaktować, w dokumencie towarzyszącym systemowi elektronicznej dokumentacji medycznej.

4.Importerzy zapewniają, aby w czasie, gdy ponoszą odpowiedzialność za system elektronicznej dokumentacji medycznej, system ten nie był zmieniany w sposób zagrażający jego zgodności z zasadniczymi wymaganiami określonymi w załączniku II.

5.W przypadku gdy importer uważa lub ma powody uważać, że system elektronicznej dokumentacji medycznej nie jest zgodny z zasadniczymi wymaganiami określonymi w załączniku II, nie udostępnia tego systemu na rynku, dopóki nie zostanie zapewniona jego zgodność. Importer bez zbędnej zwłoki informuje o tym producenta takiego systemu elektronicznej dokumentacji medycznej oraz organy nadzoru rynku państwa członkowskiego, w którym udostępnił ten system.

6.Importerzy przechowują kopię deklaracji zgodności UE do dyspozycji organów nadzoru rynku przez okres, o którym mowa w art. 17 ust. 3, i zapewniają, aby dokumentacja techniczna mogła być udostępniana tym organom na ich żądanie.

7.Na uzasadniony wniosek organu nadzoru rynku importerzy przekazują mu wszelkie informacje i dokumentację konieczne do wykazania zgodności systemu elektronicznej dokumentacji medycznej w języku urzędowym państwa członkowskiego, w którym znajduje się organ nadzoru rynku. Na żądanie tego organu współpracują z nim w zakresie wszelkich działań podejmowanych w celu dostosowania swoich systemów elektronicznej dokumentacji medycznej do zasadniczych wymagań określonych w załączniku II.

Artykuł 20

Obowiązki dystrybutorów

1.Przed udostępnieniem systemu elektronicznej dokumentacji medycznej na rynku dystrybutorzy sprawdzają, czy:

a)producent sporządził deklarację zgodności UE;

b)system elektronicznej dokumentacji medycznej nosi oznakowanie zgodności CE;

c)systemowi elektronicznej dokumentacji medycznej towarzyszy arkusz informacyjny, o którym mowa w art. 25, oraz odpowiednia instrukcja używania;

d)w stosownych przypadkach importer spełnił wymogi określone w art. 19 ust. 3. 

2.Dystrybutorzy zapewniają, aby w czasie, gdy ponoszą odpowiedzialność za system elektronicznej dokumentacji medycznej, system ten nie był zmieniany w sposób zagrażający jego zgodności z zasadniczymi wymaganiami określonymi w załączniku II.

3.W przypadku gdy dystrybutor uważa lub ma powody uważać, że system elektronicznej dokumentacji medycznej nie jest zgodny z zasadniczymi wymaganiami określonymi w załączniku II, nie udostępnia tego systemu na rynku, dopóki nie zostanie zapewniona jego zgodność. Ponadto dystrybutor bez zbędnej zwłoki informuje o tym producenta lub importera, a także organy nadzoru rynku państw członkowskich, w których system elektronicznej dokumentacji medycznej został udostępniony na rynku.

4.Na uzasadniony wniosek organu nadzoru rynku dystrybutorzy przekazują mu wszelkie informacje i dokumentację konieczne do wykazania zgodności systemu elektronicznej dokumentacji medycznej. Na żądanie tego organu współpracują z nim w zakresie wszelkich działań podejmowanych w celu dostosowania swoich systemów elektronicznej dokumentacji medycznej do zasadniczych wymagań określonych w załączniku II.

Artykuł 21

Przypadki, w których obowiązki producentów systemu elektronicznej dokumentacji medycznej stosuje się do importerów i dystrybutorów

Importera lub dystrybutora uznaje się za producenta do celów niniejszego rozporządzenia i podlegają oni obowiązkom określonym w art. 17, w przypadku gdy udostępniają na rynku system elektronicznej dokumentacji medycznej pod własną nazwą lub znakiem towarowym lub zmieniają już wprowadzony do obrotu system elektronicznej dokumentacji medycznej w taki sposób, że może to wpływać na zgodność z mającymi zastosowanie wymaganiami.

Artykuł 22

Identyfikacja podmiotów gospodarczych

Przez 10 lat od wprowadzenia do obrotu ostatniego systemu elektronicznej dokumentacji medycznej objętego deklaracją zgodności UE podmioty gospodarcze identyfikują na żądanie organów nadzoru rynku:

a)każdy podmiot gospodarczy, który dostarczył im system elektronicznej dokumentacji medycznej;

b)każdy podmiot gospodarczy, któremu dostarczyły system elektronicznej dokumentacji medycznej.

Sekcja 3

Zgodność systemu elektronicznej dokumentacji medycznej

Artykuł 23

Wspólne specyfikacje

1.Komisja przyjmuje, w drodze aktów wykonawczych, wspólne specyfikacje w odniesieniu do zasadniczych wymagań określonych w załączniku II, w tym termin wdrożenia tych wspólnych specyfikacji. W stosownych przypadkach we wspólnych specyfikacjach uwzględnia się specyfikę wyrobów medycznych i systemów sztucznej inteligencji wysokiego ryzyka, o których mowa w art. 14 ust. 3 i 4.

Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

2.Wspólne specyfikacje, o których mowa w ust. 1, zawierają następujące elementy:

a)zakres;

b)zastosowanie do różnych kategorii systemów elektronicznej dokumentacji medycznej lub funkcji w nich zawartych;

c)wersję;

d)okres ważności;

e)część normatywną;

f)część wyjaśniającą, w tym wszelkie stosowne wytyczne dotyczące wdrażania.

3.Wspólne specyfikacje mogą obejmować elementy dotyczące następujących kwestii:

a)zbiorów danych zawierających elektroniczne dane dotyczące zdrowia i definiujących struktury, takie jak pola danych i grupy danych do celów przedstawienia treści klinicznych i innych części elektronicznych danych dotyczących zdrowia;

b)systemów kodowania i wartości, które mają być stosowane w zbiorach danych zawierających elektroniczne dane dotyczące zdrowia;

c)innych wymogów związanych z jakością danych, takich jak kompletność i dokładność elektronicznych danych dotyczących zdrowia;

d)specyfikacji technicznych, norm i profili na potrzeby wymiany elektronicznych danych dotyczących zdrowia;

e)wymogów i zasad dotyczących bezpieczeństwa, poufności, integralności, bezpieczeństwa pacjentów i ochrony elektronicznych danych dotyczących zdrowia;

f)specyfikacji i wymogów dotyczących zarządzania identyfikacją oraz stosowania identyfikacji elektronicznej.

4.Systemy elektronicznej dokumentacji medycznej, wyroby medyczne i systemy sztucznej inteligencji wysokiego ryzyka, o których mowa w art. 14, zgodne ze wspólnymi specyfikacjami, o których mowa w ust. 1, uznaje się za zgodne z zasadniczymi wymaganiami objętymi tymi specyfikacjami lub ich częściami, określonymi w załączniku II, objętymi tymi wspólnymi specyfikacjami lub odpowiednimi częściami tych wspólnych specyfikacji.

5.W przypadku gdy wspólne specyfikacje obejmujące wymogi dotyczące interoperacyjności i bezpieczeństwa systemów elektronicznej dokumentacji medycznej mają wpływ na wyroby medyczne lub systemy sztucznej inteligencji wysokiego ryzyka objęte innymi aktami, takimi jak rozporządzenie (UE) 2017/745 lub rozporządzenie […] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final], przyjęcie tych wspólnych specyfikacji może być poprzedzone konsultacjami odpowiednio z Grupą Koordynacyjną ds. Wyrobów Medycznych, o której mowa w art. 103 rozporządzenia (UE) 2017/745, lub Europejską Radą ds. Sztucznej Inteligencji, o której mowa w art. 56 rozporządzenia […] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final].

6.W przypadku gdy wspólne specyfikacje obejmujące wymogi dotyczące interoperacyjności i bezpieczeństwa wyrobów medycznych lub systemów sztucznej inteligencji wysokiego ryzyka objęte innymi aktami, takimi jak rozporządzenie (UE) 2017/745 lub rozporządzenie […] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final], mają wpływ na systemy elektronicznej dokumentacji medycznej, przyjęcie tych wspólnych specyfikacji zostanie poprzedzone konsultacjami z Radą ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia, w szczególności z jej podgrupą ds. rozdziałów II i III niniejszego rozporządzenia.

Artykuł 24

Dokumentacja techniczna

1.Dokumentację techniczną sporządza się przed wprowadzeniem systemu elektronicznej dokumentacji medycznej do obrotu lub do używania oraz dokonuje się jej aktualizacji.

2.Dokumentację techniczną sporządza się w taki sposób, aby wykazać, że system elektronicznej dokumentacji medycznej jest zgodny z zasadniczymi wymaganiami określonymi w załączniku II, oraz aby dostarczyć organom nadzoru rynku wszystkich informacji niezbędnych do oceny zgodności systemu elektronicznej dokumentacji medycznej z tymi wymaganiami. Zawiera ona co najmniej elementy określone w załączniku III.

3.Dokumentację techniczną sporządza się w jednym z języków urzędowych Unii. Na uzasadniony wniosek organu nadzoru rynku państwa członkowskiego producent dostarcza tłumaczenia odpowiednich części dokumentacji technicznej na język urzędowy tego państwa członkowskiego.

4.Jeśli organ nadzoru rynku wymaga od producenta dokumentacji technicznej lub tłumaczenia jej części, organ ten ustala termin dostarczenia takiej dokumentacji lub tłumaczenia, wynoszący 30 dni, chyba że ze względu na poważne i bezpośrednie ryzyko uzasadniony jest krótszy termin. Jeżeli producent nie zastosuje się do wymogów przewidzianych w ust. 1, 2 i 3, organ nadzoru rynku może wymagać od niego zlecenia przeprowadzenia na własny koszt badania przez niezależny organ w określonym terminie, aby zweryfikować zgodność z zasadniczymi wymaganiami określonymi w załączniku II oraz ze wspólnymi specyfikacjami, o których mowa w art. 23.

Artykuł 25

Arkusz informacyjny towarzyszący systemowi elektronicznej dokumentacji medycznej

1.Systemom elektronicznej dokumentacji medycznej towarzyszy arkusz informacyjny zawierający zwięzłe, kompletne, poprawne i jasne informacje, które są istotne, dostępne i zrozumiałe dla użytkowników.

2.Arkusz informacyjny, o którym mowa w ust. 1, obejmuje:

a)tożsamość, zarejestrowaną nazwę handlową lub zarejestrowany znak towarowy i dane kontaktowe producenta oraz, w stosownych przypadkach, jego upoważnionego przedstawiciela;

b)nazwę i wersję systemu elektronicznej dokumentacji medycznej oraz datę jego wypuszczenia na rynek;

c)przewidziane zastosowanie tego systemu;

d)kategorie elektronicznych danych dotyczących zdrowia, które system elektronicznej dokumentacji medycznej ma przetwarzać;

e)normy, formaty i specyfikacje oraz ich wersje obsługiwane przez system elektronicznej dokumentacji medycznej.

3.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu uzupełnienia niniejszego rozporządzenia przez umożliwienie producentom wprowadzania informacji, o których mowa w ust. 2, do unijnej bazy danych dotyczących systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan, o której to bazie mowa w art. 32, jako alternatywy dla dostarczania arkusza informacyjnego, o którym mowa w ust. 1, wraz z systemem elektronicznej dokumentacji medycznej.

Artykuł 26

Deklaracja zgodności UE

1.Deklaracja zgodności UE stanowi, że producent systemu elektronicznej dokumentacji medycznej wykazał spełnienie zasadniczych wymagań określonych w załączniku II.

2.W przypadku gdy systemy elektronicznej dokumentacji medycznej w odniesieniu do aspektów nieobjętych niniejszym rozporządzeniem podlegają innym przepisom Unii, w których także ustanowiono wymóg sporządzenia przez producenta deklaracji zgodności UE wykazującej spełnienie wymogów zawartych w tych przepisach, sporządza się jedną deklarację zgodności UE odnoszącą się do wszystkich aktów Unii mających zastosowanie do danego systemu elektronicznej dokumentacji medycznej. Deklaracja zawiera wszystkie informacje wymagane do identyfikacji przepisów Unii, do których deklaracja ta się odnosi.

3.Deklaracja zgodności UE zawiera co najmniej informacje określone w załączniku IV i jest tłumaczona na co najmniej jeden język urzędowy Unii określony przez państwo lub państwa członkowskie, w których udostępnia się system elektronicznej dokumentacji medycznej.

4.Poprzez sporządzenie deklaracji zgodności UE producent przyjmuje na siebie odpowiedzialność za zgodność systemu elektronicznej dokumentacji medycznej.

Artykuł 27

Oznakowanie CE

1.Oznakowanie CE umieszcza się na dokumentach towarzyszących systemowi elektronicznej dokumentacji medycznej oraz, w stosownych przypadkach, na opakowaniu w taki sposób, aby było ono widoczne, czytelne i nieusuwalne.

2.Oznakowanie CE podlega ogólnym zasadom określonym w art. 30 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 765/2008 58 .

Sekcja 4

Nadzór rynku systemów elektronicznej dokumentacji medycznej

Artykuł 28

Organy nadzoru rynku

1.W odniesieniu do systemów elektronicznej dokumentacji medycznej objętych zakresem rozdziału III niniejszego rozporządzenia zastosowanie mają przepisy rozporządzenia (UE) 2019/1020.

2.Państwa członkowskie wyznaczają organ lub organy nadzoru rynku odpowiedzialne za wdrożenie przepisów niniejszego rozdziału. Powierzają one swoim organom nadzoru rynku uprawnienia, zasoby, wyposażenie i wiedzę niezbędne do prawidłowego wykonywania ich zadań zgodnie z niniejszym rozporządzeniem. Państwa członkowskie przekazują Komisji dane organów nadzoru rynku, Komisja zaś publikuje wykaz tych organów.

3.Organami nadzoru rynku wyznaczonymi na podstawie niniejszego artykułu mogą być organy ds. e-zdrowia wyznaczone na podstawie art. 10. Jeżeli organ ds. e-zdrowia wykonuje zadania organu nadzoru rynku, unika się wszelkich konfliktów interesów.

4.Organy nadzoru rynku regularnie przekazują Komisji sprawozdania dotyczące rezultatów stosownych działań w zakresie nadzoru rynku.

5.Organy nadzoru rynku państw członkowskich współpracują ze sobą oraz z Komisją. Komisja zapewnia organizację wymiany informacji niezbędnych do osiągnięcia tego celu.

6.W przypadku wyrobów medycznych lub systemów sztucznej inteligencji wysokiego ryzyka, o których mowa w art. 14 ust. 3 i 4, organami odpowiedzialnymi za nadzór rynku są organy, o których mowa odpowiednio w art. 93 rozporządzenia (UE) 2017/745 lub w art. 59 rozporządzenia [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final].

Artykuł 29

Postępowanie w przypadku ryzyka stwarzanego przez systemy elektronicznej dokumentacji medycznej oraz w przypadku poważnych incydentów

1.Jeżeli organ nadzoru rynku stwierdzi, że system elektronicznej dokumentacji medycznej stwarza ryzyko dla zdrowia lub bezpieczeństwa osób fizycznych lub dla innych aspektów ochrony interesu publicznego, organ ten zobowiązuje producenta danego systemu elektronicznej dokumentacji medycznej, jego upoważnionego przedstawiciela i wszystkie inne właściwe podmioty gospodarcze do wprowadzenia wszelkich odpowiednich środków w celu zapewnienia, aby odnośny system elektronicznej dokumentacji medycznej po wprowadzeniu do obrotu nie stwarzał już takiego ryzyka, do wycofania systemu elektronicznej dokumentacji medycznej z obrotu lub do odzyskania go w rozsądnym terminie.

2.Podmiot gospodarczy, o którym mowa w ust. 1, zapewnia podjęcie działań naprawczych w odniesieniu do wszystkich odnośnych systemów elektronicznej dokumentacji medycznej, które wprowadził do obrotu w całej Unii.

3.Organ nadzoru rynku niezwłocznie informuje Komisję i organy nadzoru rynku pozostałych państw członkowskich o wszelkich środkach zarządzonych zgodnie z ust. 1. Informacje te obejmują wszelkie dostępne szczegóły, w szczególności dane konieczne do identyfikacji danego systemu elektronicznej dokumentacji medycznej, informacje na temat jego pochodzenia i łańcucha dostaw, charakteru występującego zagrożenia oraz rodzaju i okresu obowiązywania wprowadzonych środków krajowych.

4.Producenci systemów elektronicznej dokumentacji medycznej wprowadzonych do obrotu zgłaszają wszelkie poważne incydenty z udziałem systemu elektronicznej dokumentacji medycznej organom nadzoru rynku państw członkowskich, w których miał miejsce taki poważny incydent, oraz działania naprawcze podjęte lub planowane przez producenta.

Producent dokonuje takiego zgłoszenia, bez uszczerbku dla wymogów w zakresie zgłaszania incydentów na podstawie dyrektywy (UE) 2016/1148, niezwłocznie po ustaleniu związku przyczynowego między systemem elektronicznej dokumentacji medycznej a poważnym incydentem lub po potwierdzeniu dostatecznie wysokiego prawdopodobieństwa istnienia takiego związku, a w każdym razie najpóźniej w terminie 15 dni od dnia uzyskania przez producenta informacji o wystąpieniu poważnego incydentu z udziałem systemu elektronicznej dokumentacji medycznej.

5.Organy nadzoru rynku, o których mowa w ust. 4, niezwłocznie informują pozostałe organy nadzoru rynku o poważnym incydencie i działaniach naprawczych podjętych lub planowanych przez producenta lub wymaganych od niego w celu zminimalizowania ryzyka ponownego wystąpienia poważnego incydentu.

6.W przypadku gdy organ ds. e-zdrowia nie wykonuje zadań organu nadzoru rynku, organ wykonujący te zadania współpracuje z organem ds. e-zdrowia. Informuje on organ ds. e-zdrowia o wszelkich poważnych incydentach oraz o systemach elektronicznej dokumentacji medycznej stwarzających ryzyko, w tym ryzyko związane z interoperacyjnością, ochroną i bezpieczeństwem pacjentów, a także o wszelkich działaniach naprawczych, odzyskaniu takich systemów elektronicznej dokumentacji medycznej lub o ich wycofaniu z obrotu.

Artykuł 30

Postępowanie w przypadku niezgodności

1.Jeżeli organ nadzoru rynku dokona jednego z poniższych ustaleń, wymaga od producenta danego systemu elektronicznej dokumentacji medycznej, jego upoważnionego przedstawiciela i wszystkich innych właściwych podmiotów gospodarczych usunięcia stwierdzonej niezgodności:

a)system elektronicznej dokumentacji medycznej nie spełnia zasadniczych wymagań określonych w załączniku II;

b)dokumentacja techniczna jest niedostępna albo niekompletna;

c)deklaracja zgodności UE nie została sporządzona lub nie została sporządzona w prawidłowy sposób;

d)oznakowanie CE umieszczono z naruszeniem art. 27 lub go nie umieszczono.

2.W przypadku utrzymywania się niezgodności, o której mowa w ust. 1, zainteresowane państwo członkowskie wdraża wszelkie odpowiednie środki w celu ograniczenia lub zakazania wprowadzania systemu elektronicznej dokumentacji medycznej do obrotu bądź zapewnienia jego odzyskania lub wycofania z obrotu.

Sekcja 5

Pozostałe przepisy dotyczące interoperacyjności

Artykuł 31

Dobrowolne oznakowanie aplikacji wspierających dobrostan

1.Jeżeli producent aplikacji wspierającej dobrostan deklaruje interoperacyjność z systemem elektronicznej dokumentacji medycznej, a tym samym zgodność z zasadniczymi wymaganiami określonymi w załączniku II i wspólnymi specyfikacjami określonymi w art. 23, taka aplikacja wspierająca dobrostan może zostać opatrzona znakiem wyraźnie wskazującym na jej zgodność z tymi wymaganiami. Znak wydaje producent aplikacji wspierającej dobrostan.

2.Na znaku znajdują się następujące informacje:

a)kategorie elektronicznych danych dotyczących zdrowia, w odniesieniu do których potwierdzono zgodność z zasadniczymi wymaganiami określonymi w załączniku II;

b)odniesienie do wspólnych specyfikacji w celu wykazania zgodności;

c)okres ważności znaku.

3.Komisja może określić, w drodze aktów wykonawczych, format i treść znaku. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

4.Znak sporządza się w co najmniej jednym języku urzędowym Unii lub w językach określonych przez państwo lub państwa członkowskie, w których aplikacja wspierająca dobrostan jest wprowadzana do obrotu. 

5.Okres ważności znaku nie może przekraczać 5 lat.

6.Jeżeli aplikacja wspierająca dobrostan jest wbudowana w urządzenie, towarzyszący jej znak umieszcza się na urządzeniu. Znak można również zamieścić w postaci dwuwymiarowego kodu kreskowego.

7.Organy nadzoru rynku sprawdzają zgodność aplikacji wspierających dobrostan z zasadniczymi wymaganiami określonymi w załączniku II.

8.Każdy dostawca aplikacji wspierającej dobrostan, w odniesieniu do której wydano znak, zapewnia, aby każdą pojedynczą aplikację wspierającą dobrostan wprowadzaną do obrotu lub do używania opatrywano nieodpłatnie znakiem.

9.Każdy dystrybutor aplikacji wspierającej dobrostan, w odniesieniu do której wydano znak, udostępnia go klientom w punkcie sprzedaży w formie elektronicznej lub – na żądanie – w formie fizycznej.

10.Wymogi określone w niniejszym artykule nie mają zastosowania do aplikacji wspierających dobrostan, które są systemami sztucznej inteligencji wysokiego ryzyka określonymi w rozporządzeniu [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final].

Artykuł 32

Rejestracja systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan

1.Komisja tworzy i prowadzi publicznie dostępną bazę danych zawierającą informacje dotyczące systemów elektronicznej dokumentacji medycznej, w odniesieniu do których wydano deklarację zgodności UE zgodnie z art. 26, oraz aplikacji wspierających dobrostan, w odniesieniu do których wydano znak zgodnie z art. 31.

2.Przed wprowadzeniem do obrotu lub do używania systemu elektronicznej dokumentacji medycznej, o którym mowa w art. 14, lub aplikacji wspierającej dobrostan, o której mowa w art. 31, producent takiego systemu elektronicznej dokumentacji medycznej lub takiej aplikacji wspierającej dobrostan lub – w stosownych przypadkach – jego upoważniony przedstawiciel rejestruje wymagane dane w unijnej bazie danych, o której mowa w ust. 1.

3.Wyroby medyczne lub systemy sztucznej inteligencji wysokiego ryzyka, o których mowa w art. 14 ust. 3 i 4 niniejszego rozporządzenia, rejestruje się w bazie danych ustanowionej odpowiednio na podstawie rozporządzenia (UE) 2017/745 lub rozporządzenia [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final].

4.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu określenia wykazu wymaganych danych, które producenci systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan mają zarejestrować na podstawie ust. 2.

ROZDZIAŁ IV

Wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia

Sekcja 1

Ogólne warunki wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia

Artykuł 33

Minimalne kategorie danych elektronicznych do wtórnego wykorzystywania

1.Posiadacze danych udostępniają następujące kategorie danych elektronicznych do wtórnego wykorzystywania zgodnie z przepisami niniejszego rozdziału:

a)elektroniczną dokumentację medyczną;

b)dane mające wpływ na zdrowie, w tym społeczne, środowiskowe i behawioralne czynniki warunkujące zdrowie;

c)istotne dane genomowe dotyczące patogenów, mające wpływ na zdrowie ludzi;

d)dane administracyjne dotyczące zdrowia, w tym dane dotyczące wniosków o zwrot i zwrotów kosztów;

e)dane z zakresu genetyki człowieka, genomiki i proteomiki;

f)elektroniczne dane dotyczące zdrowia wygenerowane przez daną osobę, w tym dane dotyczące wyrobów medycznych, aplikacji wspierających dobrostan lub innych aplikacji z zakresu e-zdrowia;

g)dane identyfikacyjne dotyczące pracowników służby zdrowia zaangażowanych w leczenie osób fizycznych;

h)rejestry danych dotyczących zdrowia obejmujące całą populację (rejestry dotyczące zdrowia publicznego);

i)elektroniczne dane dotyczące zdrowia pochodzące z rejestrów medycznych dotyczących określonych chorób;

j)elektroniczne dane dotyczące zdrowia z badań klinicznych;

k)elektroniczne dane dotyczące zdrowia pochodzące z wyrobów medycznych oraz z rejestrów produktów leczniczych i wyrobów medycznych;

l)badania kohortowe, kwestionariusze i badania związane ze zdrowiem;

m)elektroniczne dane dotyczące zdrowia pochodzące z biobanków i specjalnych baz danych;

n)dane elektroniczne dotyczące statusu ubezpieczenia, statusu zatrudnienia, wykształcenia, stylu życia, dobrostanu i zachowania mające znaczenie dla zdrowia;

o)elektroniczne dane dotyczące zdrowia zawierające różne udoskonalenia, takie jak korekty, adnotacje czy wzbogacenie uzyskane przez posiadacza danych w wyniku przetwarzania na podstawie zezwolenia na dostęp do danych.

2.Wymóg określony w ust. 1 nie ma zastosowania do posiadaczy danych kwalifikujących się jako mikroprzedsiębiorstwa zgodnie z definicją zawartą w art. 2 załącznika do zalecenia Komisji 2003/361/WE 59 .

3.Elektroniczne dane dotyczące zdrowia, o których mowa w ust. 1, obejmują dane przetwarzane w celu zapewnienia świadczeń zdrowotnych lub opiekuńczych lub do celów zdrowia publicznego, badań naukowych, innowacji, kształtowania polityki, statystyki publicznej, bezpieczeństwa pacjentów lub do celów regulacyjnych, gromadzone przez podmioty i organy w sektorach ochrony zdrowia lub opieki zdrowotnej, w tym przez publicznych i prywatnych świadczeniodawców, podmioty lub organy prowadzące badania związane z tymi sektorami oraz instytucje, organy, urzędy i agencje Unii.

4.Elektroniczne dane dotyczące zdrowia związane z chronioną własnością intelektualną i tajemnicą przedsiębiorstw prywatnych udostępnia się do wtórnego wykorzystywania. W przypadku udostępniania takich danych do wtórnego wykorzystywania wprowadza się wszelkie środki niezbędne do zachowania poufności praw własności intelektualnej i tajemnic przedsiębiorstwa.

5.Jeżeli prawo krajowe wymaga zgody osoby fizycznej, organy ds. dostępu do danych dotyczących zdrowia opierają się na obowiązkach określonych w niniejszym rozdziale w celu zapewnienia dostępu do elektronicznych danych dotyczących zdrowia.

6.Jeżeli organ sektora publicznego uzyskuje dane w sytuacjach nadzwyczajnych określonych w art. 15 lit. a) lub b) rozporządzenia [...] [akt w sprawie danych, COM(2022) 68 final], zgodnie z zasadami określonymi w tym rozporządzeniu, może on uzyskać wsparcie organu ds. dostępu do danych dotyczących zdrowia w celu zapewnienia wsparcia technicznego przy przetwarzaniu danych lub łączeniu ich z innymi danymi do celów wspólnej analizy.

7.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu zmiany wykazu zawartego w ust. 1, aby dostosować go do rozwoju dostępnych elektronicznych danych dotyczących zdrowia.

8.Organy ds. dostępu do danych dotyczących zdrowia mogą zapewnić dostęp do dodatkowych kategorii elektronicznych danych dotyczących zdrowia, które powierzono im na mocy prawa krajowego lub na podstawie dobrowolnej współpracy z odpowiednimi posiadaczami danych na szczeblu krajowym, w szczególności do elektronicznych danych dotyczących zdrowia będących w posiadaniu podmiotów prywatnych w sektorze ochrony zdrowia.

Artykuł 34

Cele, dla których elektroniczne dane dotyczące zdrowia mogą być przetwarzane do wtórnego wykorzystywania

1.Organy ds. dostępu do danych dotyczących zdrowia udzielają dostępu do elektronicznych danych dotyczących zdrowia, o których mowa w art. 33, wyłącznie w przypadku gdy zamierzony cel przetwarzania realizowany przez wnioskodawcę jest zgodny z: 

a)działaniami prowadzonymi ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego i ochrony zdrowia w miejscu pracy, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, nadzór nad zdrowiem publicznym lub zapewnienie wysokiego poziomu jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych;

b)celem polegającym na wspieraniu organów sektora publicznego lub instytucji, agencji i organów Unii, w tym organów regulacyjnych, w sektorze ochrony zdrowia lub opieki zdrowotnej w zakresie wykonywania zadań określonych w ich mandatach;

c)celem polegającym na tworzeniu na poziomie krajowym, wielonarodowym i unijnym statystyki publicznej dotyczącej sektorów ochrony zdrowia lub opieki zdrowotnej;

d)działalnością edukacyjną lub dydaktyczną w sektorach ochrony zdrowia lub opieki zdrowotnej;

e)badaniami naukowymi dotyczącymi sektorów ochrony zdrowia lub opieki zdrowotnej;

f)działaniami w zakresie rozwoju i innowacji w odniesieniu do produktów i usług przyczyniających się do ochrony zdrowia publicznego lub zabezpieczenia społecznego lub zapewniających wysoki poziom jakości i bezpieczeństwa opieki zdrowotnej, produktów leczniczych lub wyrobów medycznych;

g)działaniami w zakresie trenowania, testowania i oceny algorytmów, w tym w wyrobach medycznych, systemach sztucznej inteligencji i aplikacjach z zakresu e-zdrowia, przyczyniających się do ochrony zdrowia publicznego lub zabezpieczenia społecznego lub zapewniających wysoki poziom jakości i bezpieczeństwa opieki zdrowotnej, produktów leczniczych lub wyrobów medycznych;

h)celem w zakresie świadczenia zindywidualizowanej opieki zdrowotnej polegającej na ocenie, utrzymaniu lub poprawie stanu zdrowia osób fizycznych w oparciu o dane dotyczące zdrowia innych osób fizycznych.

2.Dostęp do elektronicznych danych dotyczących zdrowia, o których mowa w art. 33, w przypadku gdy zamierzony cel przetwarzania realizowany przez wnioskodawcę jest zgodny z jednym z celów, o których mowa w ust. 1 lit. a)–c), przyznaje się wyłącznie organom sektora publicznego oraz instytucjom, organom, urzędom i agencjom Unii wykonującym zadania powierzone im na mocy prawa Unii lub prawa krajowego, w tym w przypadku gdy przetwarzania danych w celu wykonania tych zadań dokonuje osoba trzecia w imieniu tego organu sektora publicznego lub tych instytucji, organów, urzędów i agencji Unii.

3.Dostęp do danych będących w posiadaniu podmiotów prywatnych w celu zapobiegania niebezpieczeństwu publicznemu, reagowania na nie lub pomocy w przywracaniu stanu wyjściowego po wystąpieniu niebezpieczeństwa publicznego zapewnia się zgodnie z art. 15 rozporządzenia [...] [akt w sprawie danych, COM(2022) 68 final].

4.Organy sektora publicznego lub instytucje, organy, urzędy i agencje Unii, które uzyskały dostęp do elektronicznych danych dotyczących zdrowia wiążących się z prawami własności intelektualnej i tajemnicami przedsiębiorstw w ramach wykonywania zadań powierzonych im na mocy prawa Unii lub prawa krajowego, stosują wszelkie szczególne środki niezbędne do zachowania poufności takich danych.

Artykuł 35

Niedozwolone wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia

Zakazuje się ubiegania się o dostęp do elektronicznych danych dotyczących zdrowia uzyskanych dzięki zezwoleniu na dostęp do danych wydanemu na podstawie art. 46 oraz ich przetwarzania w następujących celach:

a)podejmowania decyzji niekorzystnych dla osoby fizycznej na podstawie jej elektronicznych danych dotyczących zdrowia; warunkiem uznania za „decyzje” jest wywoływanie skutków prawnych lub podobnego znaczącego wpływu na te osoby fizyczne;

b)podejmowania w stosunku do osoby fizycznej lub grup osób fizycznych decyzji o wyłączeniu ich z możliwości korzystania z umowy ubezpieczenia lub o zmianie wysokości ich wkładu i składek ubezpieczeniowych;

c)prowadzenia działań reklamowych lub marketingowych skierowanych do pracowników służby zdrowia, organizacji działających w sektorze ochrony zdrowia lub osób fizycznych;

d)zapewniania dostępu do elektronicznych danych dotyczących zdrowia lub udostępniania ich w inny sposób osobom trzecim niewymienionym w zezwoleniu na dostęp do danych;

e)opracowywania produktów lub usług, które mogą być szkodliwe dla osób fizycznych i ogółu społeczeństwa, w tym m.in. niedozwolonych środków odurzających, napojów alkoholowych, wyrobów tytoniowych bądź towarów lub usług zaprojektowanych lub zmodyfikowanych w sposób prowadzący do naruszenia porządku publicznego lub moralności.

Sekcja 2

Zarządzanie wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia i jego mechanizmy

Artykuł 36

Organy ds. dostępu do danych dotyczących zdrowia

1.Państwa członkowskie wyznaczają co najmniej jeden organ ds. dostępu do danych dotyczących zdrowia odpowiedzialny za udzielanie dostępu do elektronicznych danych dotyczących zdrowia do wtórnego wykorzystywania. Państwa członkowskie mogą ustanowić jeden organ sektora publicznego lub większą ich liczbę albo polegać na istniejących organach sektora publicznego lub na służbach wewnętrznych organów sektora publicznego spełniających warunki określone w niniejszym artykule. Jeżeli państwo członkowskie wyznacza szereg organów ds. dostępu do danych dotyczących zdrowia, wyznacza jeden organ ds. dostępu do danych dotyczących zdrowia, który pełni funkcję koordynatora i odpowiada za koordynację wniosków składanych do pozostałych organów ds. dostępu do danych dotyczących zdrowia.

2.Państwo członkowskie zapewnia, aby każdy organ ds. dostępu do danych dotyczących zdrowia dysponował zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą niezbędnymi do skutecznego wypełniania swoich zadań i wykonywania swoich uprawnień.

3.Wykonując swoje zadania, organy ds. dostępu do danych dotyczących zdrowia aktywnie współpracują z przedstawicielami zainteresowanych stron, w szczególności z przedstawicielami pacjentów, posiadaczy danych i użytkowników danych. Pracownicy organów ds. dostępu do danych dotyczących zdrowia unikają wszelkich konfliktów interesów. Przy podejmowaniu decyzji organy ds. dostępu do danych dotyczących zdrowia nie są związane żadnymi instrukcjami.

4.Państwa członkowskie przekazują Komisji dane identyfikacyjne organów ds. dostępu do danych dotyczących zdrowia wyznaczonych na podstawie ust. 1 do dnia rozpoczęcia stosowania niniejszego rozporządzenia. Informują również Komisję o wszelkich późniejszych zmianach danych identyfikacyjnych tych organów. Komisja i państwa członkowskie podają te informacje do wiadomości publicznej.

Artykuł 37

Zadania organów ds. dostępu do danych dotyczących zdrowia

1.Organy ds. dostępu do danych dotyczących zdrowia wykonują następujące zadania:

a)podejmują decyzje w sprawie wniosków o udzielenie dostępu do danych na podstawie art. 45, udzielają upoważnienia i wydają zezwolenia na dostęp do danych na podstawie art. 46 w odniesieniu do elektronicznych danych dotyczących zdrowia wchodzących w zakres ich kompetencji krajowych do celów wtórnego wykorzystywania oraz podejmują decyzje w sprawie wniosków o udostępnienie danych zgodnie z rozdziałem II rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] oraz z niniejszym rozdziałem;

b)wspierają organy sektora publicznego w wykonywaniu zadań przewidzianych w ich mandacie na podstawie prawa krajowego lub prawa Unii;

c)wspierają instytucje, organy, urzędy i agencje Unii w wykonywaniu zadań przewidzianych w mandacie instytucji, organów, urzędów i agencji Unii na podstawie prawa krajowego lub prawa Unii;

d)przetwarzają elektroniczne dane dotyczące zdrowia do celów określonych w art. 34, w tym gromadzą, łączą, przygotowują i ujawniają te dane do celów wtórnego wykorzystywania na podstawie zezwolenia na dostęp do danych;

e)przetwarzają elektroniczne dane dotyczące zdrowia pochodzące od innych odpowiednich posiadaczy danych na podstawie zezwolenia na dostęp do danych lub wniosku o udostępnienie danych do celów określonych w art. 34;

f)wprowadzają wszelkie środki niezbędne do zachowania poufności praw własności intelektualnej i tajemnic przedsiębiorstwa;

g)gromadzą, zestawiają niezbędne elektroniczne dane dotyczące zdrowia pochodzące od poszczególnych posiadaczy danych, których elektroniczne dane dotyczące zdrowia są objęte zakresem stosowania niniejszego rozporządzenia, lub zapewniają do nich dostęp, a także udostępniają te dane użytkownikom danych w bezpiecznym środowisku przetwarzania zgodnie z wymogami określonymi w art. 50;

h)przyczyniają się do realizacji działań w zakresie altruistycznego podejścia do danych zgodnie z art. 40;

i)wspierają rozwój systemów sztucznej inteligencji, trenowanie, testowanie i walidację systemów sztucznej inteligencji oraz opracowywanie norm zharmonizowanych i wytycznych na podstawie rozporządzenia [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final] w zakresie trenowania, testowania i walidacji systemów sztucznej inteligencji w dziedzinie zdrowia;

j)współpracują z posiadaczami danych i nadzorują ich, aby zapewnić spójne i dokładne wdrażanie znaku jakości i użyteczności danych, o którym mowa w art. 56;

k)prowadzą system zarządzania służący do rejestrowania i przetwarzania wniosków o udzielenie dostępu do danych, wniosków o udostępnienie danych oraz wydanych zezwoleń na dostęp do danych i odpowiedzi na wnioski o udostępnienie danych, dostarczający co najmniej informacji o imieniu i nazwisku lub nazwie ubiegającego się o dostęp do danych, celu, w jakim dostęp jest udzielany, dacie wydania, okresie obowiązywania zezwolenia na dostęp do danych oraz zawierający opis wniosku o udzielenie dostępu do danych lub wniosku o udostępnienie danych;

l)prowadzą system informacji publicznej w celu spełnienia zobowiązań określonych w art. 38;

m)prowadzą współpracę na szczeblu unijnym i krajowym w celu ustanowienia odpowiednich środków i wymogów dotyczących dostępu do elektronicznych danych dotyczących zdrowia w bezpiecznym środowisku przetwarzania;

n)prowadzą współpracę na szczeblu unijnym i krajowym oraz doradzają Komisji w zakresie technik i najlepszych praktyk dotyczących wykorzystania elektronicznych danych dotyczących zdrowia i zarządzania nimi;

o)ułatwiają transgraniczny dostęp do elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania w innych państwach członkowskich za pośrednictwem infrastruktury DaneZdrowotne@UE (HealthData@EU) oraz ściśle współpracują ze sobą i z Komisją;

p)nieodpłatnie przesyłają posiadaczowi danych, przed upływem terminu ważności zezwolenia na dostęp do danych, kopię – zależnie od przypadku – poprawionego, opatrzonego adnotacjami lub wzbogaconego zbioru danych oraz opis operacji wykonanych na oryginalnym zbiorze danych; 

q)za pomocą środków elektronicznych upubliczniają:

(i)krajowy katalog zbiorów danych, który zawiera szczegółowe informacje na temat źródła i charakteru elektronicznych danych dotyczących zdrowia, zgodnie z art. 56 i 58, oraz warunki udostępniania elektronicznych danych dotyczących zdrowia. Krajowy katalog zbiorów danych udostępnia się również pojedynczym punktom informacyjnym utworzonym na podstawie art. 8 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final];

(ii)na swoich portalach wszystkie zezwolenia na dostęp do danych, wnioski o udostępnienie danych i wnioski o udzielenie dostępu do danych w terminie 30 dni roboczych od wydania zezwolenie na dostęp do danych lub udzielenia odpowiedzi na wniosek o udostępnienie danych;

(iii)kary stosowane zgodnie z art. 43;

(iv)wyniki przekazane przez użytkowników danych zgodnie z art. 46 ust. 11;

r)wywiązują się z zobowiązań wobec osób fizycznych zgodnie z art. 38;

s)zwracają się do użytkowników danych i posiadaczy danych o przekazanie wszelkich istotnych informacji w celu sprawdzenia wdrożenia przepisów niniejszego rozdziału;

t)wykonują wszelkie inne zadania związane z udostępnianiem możliwości wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia w kontekście niniejszego rozporządzenia.

2.Wykonując swoje zadania, organy ds. dostępu do danych dotyczących zdrowia:

a)współpracują z organami nadzorczymi zgodnie z rozporządzeniem (UE) 2016/679 i rozporządzeniem (UE) 2018/1725 w odniesieniu do elektronicznych danych osobowych dotyczących zdrowia oraz z Radą ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia;

b)informują organy nadzorcze właściwe na mocy rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725 w przypadku nałożenia przez organ ds. dostępu do danych dotyczących zdrowia kar lub innych środków na podstawie art. 43 w związku z przetwarzaniem elektronicznych danych osobowych dotyczących zdrowia oraz w przypadku gdy takie przetwarzanie dotyczy próby deanonimizacji osoby fizycznej lub bezprawnego przetwarzania elektronicznych danych osobowych dotyczących zdrowia;

c)współpracują z zainteresowanymi stronami, w tym organizacjami pacjentów, przedstawicielami osób fizycznych, pracownikami służby zdrowia, badaczami oraz z komisjami etycznymi, w stosownych przypadkach, zgodnie z prawem Unii i prawem krajowym;

d)współpracują z innymi właściwymi organami krajowymi, w tym właściwymi organami krajowymi nadzorującymi organizacje o altruistycznym podejściu do danych na mocy rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final], organami właściwymi na mocy rozporządzenia [...] [akt w sprawie danych, COM(2022) 68 final] oraz z organami krajowymi właściwymi do celów rozporządzenia (UE) 2017/745 i rozporządzenia [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final].

3.Organy ds. dostępu do danych dotyczących zdrowia mogą udzielić pomocy organom sektora publicznego, w przypadku gdy te organy sektora publicznego mają dostęp do elektronicznych danych dotyczących zdrowia na podstawie art. 14 rozporządzenia [...] [akt w sprawie danych, COM(2022) 68 final].

4.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu zmiany wykazu zadań wymienionych w ust. 1 niniejszego artykułu, aby odzwierciedlić rozwój działań wykonywanych przez organy ds. dostępu do danych dotyczących zdrowia.

Artykuł 38

Obowiązki organów ds. dostępu do danych dotyczących zdrowia względem osób fizycznych

1.Organy ds. dostępu do danych dotyczących zdrowia podają do wiadomości publicznej warunki udostępniania elektronicznych danych dotyczących zdrowia na potrzeby wtórnego wykorzystywania i zapewniają łatwą możliwość przeszukiwania tych warunków, w tym informacji dotyczących:

a)podstawy prawnej udzielenia dostępu;

b)środków technicznych i organizacyjnych zastosowanych w celu ochrony praw osób fizycznych;

c)mających zastosowanie praw osób fizycznych związanych z wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia;

d)uzgodnień dotyczących wykonywania przez osoby fizyczne przysługujących im praw zgodnie z rozdziałem III rozporządzenia (UE) 2016/679;

e)wyników lub rezultatów projektów, na potrzeby których korzystano z elektronicznych danych dotyczących zdrowia.

2.Organy ds. dostępu do danych dotyczących zdrowia nie mają obowiązku przekazywania szczegółowych informacji, o których mowa w art. 14 rozporządzenia (UE) 2016/679, każdej osobie fizycznej w odniesieniu do wykorzystania jej danych na potrzeby projektów objętych obowiązkiem posiadania zezwolenia na dostęp do danych i przekazują ogólne informacje publiczne dotyczące wszystkich zezwoleń na dostęp do danych wydanych na podstawie art. 46. 

3.W przypadku poinformowania organu ds. dostępu do danych dotyczących zdrowia przez użytkownika danych o ustaleniu, które może mieć wpływ na zdrowie osoby fizycznej, organ ds. dostępu do danych dotyczących zdrowia może poinformować o tym ustaleniu osobę fizyczną lub pracownika służby zdrowia odpowiadającego za jej leczenie.

4.Państwa członkowskie regularnie informują ogół społeczeństwa o roli organów ds. dostępu do danych dotyczących zdrowia i korzyściach wynikających z ich działalności.

Artykuł 39

Sprawozdawczość organów ds. dostępu do danych dotyczących zdrowia

1.Każdy organ ds. dostępu do danych dotyczących zdrowia publikuje roczne sprawozdanie z działalności zawierające co najmniej poniższe informacje:

a)informacje na temat złożonych wniosków o udzielenie dostępu do elektronicznych danych dotyczących zdrowia, takie jak rodzaje wnioskodawców, liczba zezwoleń na dostęp do danych, których udzielono lub których udzielenia odmówiono, cele dostępu i kategorie elektronicznych danych dotyczących zdrowia, do których udzielono dostępu, oraz w stosownych przypadkach podsumowanie rezultatów wykorzystania elektronicznych danych dotyczących zdrowia;

b)wykaz zezwoleń na dostęp do elektronicznych danych dotyczących zdrowia przetworzonych przez organ ds. dostępu do danych dotyczących zdrowia w oparciu o altruistyczne podejście do danych oraz w stosownych przypadkach skrótowy opis celów interesu ogólnego, którym służy korzystanie z danych, w tym rezultatów udzielonych zezwoleń na dostęp do danych;

c)informacje na temat wywiązania się przez użytkowników i posiadaczy danych z obowiązków wynikających z przepisów lub umów oraz na temat nałożonych kar;

d)informacje na temat przeprowadzonych kontroli dotyczących użytkowników danych celem zapewnienia zgodności przetwarzania z niniejszym rozporządzeniem;

e)informacje na temat kontroli dotyczących zgodności bezpiecznych środowisk przetwarzania z określonymi normami, specyfikacjami i wymogami;

f)informacje na temat rozpatrywania żądań osób fizycznych dotyczących wykonania przysługujących im praw z zakresu ochrony danych osobowych;

g)opis działań organu ds. dostępu do danych dotyczących zdrowia prowadzonych w związku ze współpracą i konsultacjami z odpowiednimi zainteresowanymi stronami, w tym przedstawicielami osób fizycznych, organizacji pacjentów, pracowników służby zdrowia, badaczy i komisji etycznych;

h)informacje na temat współpracy z innymi właściwymi organami, w szczególności w obszarze ochrony danych, cyberbezpieczeństwa, altruistycznego podejścia do danych i sztucznej inteligencji;

i)przychody uzyskane dzięki zezwoleniom na dostęp do danych i wnioskom o udostępnienie danych;

j)poziom satysfakcji wnioskodawców ubiegających się o dostęp do danych;

k)średnią liczbę dni między złożeniem wniosku a uzyskaniem dostępu do danych;

l)liczbę wydanych znaków jakości danych z podziałem na kategorie jakości;

m)liczbę recenzowanych publikacji naukowych, dokumentów programowych i procedur regulacyjnych, w których wykorzystano dane, do których uzyskano dostęp za pośrednictwem europejskiej przestrzeni danych dotyczących zdrowia;

n)liczbę cyfrowych produktów i świadczeń zdrowotnych, w tym zastosowań sztucznej inteligencji, opracowanych z wykorzystaniem danych, do których uzyskano dostęp za pośrednictwem europejskiej przestrzeni danych dotyczących zdrowia.

2.Sprawozdanie przekazuje się Komisji.

3.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 celem zmiany treści rocznego sprawozdania z działalności.

Artykuł 40

Altruistyczne podejście do danych dotyczących zdrowia

1.Podczas przetwarzania elektronicznych danych osobowych dotyczących zdrowia organizacje o altruistycznym podejściu do danych przestrzegają zasad określonych w rozdziale IV rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final]. W przypadku gdy organizacje o altruistycznym podejściu do danych przetwarzają elektroniczne dane osobowe dotyczące zdrowia z wykorzystaniem bezpiecznego środowiska przetwarzania, takie środowisko musi być również zgodne z wymogami przewidzianymi w art. 50 niniejszego rozporządzenia.

2.Organy ds. dostępu do danych dotyczących zdrowia wspierają właściwe organy wyznaczone zgodnie z art. 23 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] w monitorowaniu podmiotów prowadzących działania charakteryzujące się altruistycznym podejściem do danych.

Artykuł 41

Obowiązki posiadaczy danych

1.W przypadku gdy posiadacz danych ma obowiązek udostępnienia elektronicznych danych dotyczących zdrowia na podstawie art. 33 lub na podstawie innych przepisów unijnych lub przepisów krajowych wdrażających prawo Unii, posiadacz danych w stosownych przypadkach współpracuje w dobrej wierze z organami ds. dostępu do danych dotyczących zdrowia.

2.Posiadacz danych przekazuje organowi ds. dostępu do danych dotyczących zdrowia ogólny opis zbioru danych posiadanych przez niego zgodnie z art. 55.

3.W przypadku gdy zbiorowi danych towarzyszy znak jakości i użyteczności danych zgodnie z art. 56, posiadacz danych przekazuje organowi ds. dostępu do danych dotyczących zdrowia dokumentację wystarczającą do tego, aby organ ten mógł potwierdzić poprawność znaku.

4.Posiadacz danych udostępnia organowi ds. dostępu do danych dotyczących zdrowia elektroniczne dane dotyczące zdrowia w terminie 2 miesięcy od otrzymania żądania od organu ds. dostępu do danych dotyczących zdrowia. W wyjątkowych przypadkach organ ds. dostępu do danych dotyczących zdrowia może wydłużyć ten termin o dodatkowy okres 2 miesięcy.

5.W przypadku gdy posiadacz danych otrzymał wzbogacone zbiory danych w następstwie przetwarzania na podstawie zezwolenia na dostęp do danych, udostępnia on nowy zbiór danych, chyba że uzna to za niewłaściwe i poinformuje organ ds. dostępu do danych dotyczących zdrowia o tym fakcie.

6.Posiadacze elektronicznych danych nieosobowych dotyczących zdrowia umożliwiają dostęp do danych za pośrednictwem zaufanych otwartych baz danych celem zapewnienia nieograniczonego dostępu dla wszystkich użytkowników oraz przechowywania i zabezpieczania danych. Zaufane otwarte publiczne bazy danych muszą być wyposażone w solidny, przejrzysty i zrównoważony system zarządzania oraz przejrzysty model dostępu dla użytkowników.

7.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu zmiany obowiązków posiadaczy danych określonych w niniejszym artykule, aby odzwierciedlić rozwój działań wykonywanych przez posiadaczy danych.

Artykuł 42

Opłaty

1.Organy ds. dostępu do danych dotyczących zdrowia i pojedynczy posiadacze danych mogą pobierać opłaty za udostępnianie elektronicznych danych dotyczących zdrowia na potrzeby wtórnego wykorzystywania. Wszelkie opłaty obejmują koszty prowadzenia procedury i wynikają z kosztów związanych z prowadzeniem procedury dotyczącej wniosków, w tym procedury dotyczącej oceny wniosku o udzielenie dostępu do danych lub wniosku o udostępnienie danych, udzielenia, odmowy udzielenia lub zmiany zezwolenia na dostęp do danych na podstawie art. 45 i 46 lub udzielenia odpowiedzi na wniosek o udostępnienie danych na podstawie art. 47, zgodnie z art. 6 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final].

2.Gdy przedmiotowe dane nie są w posiadaniu organu ds. dostępu do danych ani organu sektora publicznego, opłaty mogą również obejmować zwrot części kosztów gromadzenia elektronicznych danych dotyczących zdrowia w szczególności na podstawie niniejszego rozporządzenia, oprócz ewentualnych opłat naliczonych na podstawie ust. 1. Część opłat związaną z kosztami posiadacza danych uiszcza się na rzecz posiadacza danych.

3.Elektroniczne dane dotyczące zdrowia, o których mowa w art. 33 ust. 1 lit. o), udostępnia się nowemu użytkownikowi nieodpłatnie lub za opłatą odpowiadającą zwrotowi kosztów zasobów ludzkich i technicznych wykorzystanych do wzbogacenia elektronicznych danych dotyczących zdrowia. Opłatę tę uiszcza się na rzecz podmiotu, który wzbogacił elektroniczne dane dotyczące zdrowia.

4.Wszelkie opłaty naliczane użytkownikom danych na podstawie niniejszego artykułu przez organy ds. dostępu do danych dotyczących zdrowia lub posiadaczy danych muszą być przejrzyste, proporcjonalne do kosztu gromadzenia elektronicznych danych dotyczących zdrowia i udostępniania ich na potrzeby wtórnego wykorzystywania, obiektywnie uzasadnione oraz nie ograniczają konkurencji. Z tego obliczenia wyklucza się wsparcie otrzymane przez posiadacza danych w postaci darowizn i krajowych lub unijnych środków publicznych w celu stworzenia, rozwinięcia lub zaktualizowania tego zbioru danych. Przy ustalaniu wysokości opłat bierze się pod uwagę szczególne interesy i potrzeby małych i średnich przedsiębiorstw, podmiotów publicznych, instytucji, organów, urzędów i agencji Unii zaangażowanych w badania, politykę zdrowotną lub analizę, instytucji edukacyjnych oraz świadczeniodawców, obniżając te opłaty proporcjonalnie do wielkości lub budżetu wspomnianych podmiotów.

5.W przypadku gdy posiadacze i użytkownicy danych nie osiągną porozumienia w kwestii wysokości opłat w terminie 1 miesiąca od udzielenia zezwolenia na dostęp do danych, organ ds. dostępu do danych dotyczących zdrowia może ustalić wysokość opłat proporcjonalnie do kosztu udostępnienia elektronicznych danych dotyczących zdrowia na potrzeby wtórnego wykorzystywania. W przypadku gdy posiadacz lub użytkownik danych nie zgadza się z opłatą ustaloną przez organ ds. dostępu do danych dotyczących zdrowia, posiadacz lub użytkownik ma dostęp do organów rozstrzygania sporów wyznaczonych zgodnie z art. 10 rozporządzenia [...] [akt w sprawie danych, COM(2022) 68 final].

6.Komisja może określić, w drodze aktów wykonawczych, zasady i przepisy dotyczące polityki i struktury opłat. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Artykuł 43

Kary nakładane przez organy ds. dostępu do danych dotyczących zdrowia

1.Organy ds. dostępu do danych dotyczących zdrowia monitorują i nadzorują przestrzeganie przez użytkowników i posiadaczy danych wymogów określonych w niniejszym rozdziale.

2.Żądając od użytkowników i posiadaczy danych informacji niezbędnych do weryfikacji zgodności z niniejszym rozdziałem, organy ds. dostępu do danych dotyczących zdrowia działają proporcjonalnie do zadania polegającego na weryfikacji zgodności.

3.W przypadku stwierdzenia przez organy ds. dostępu do danych dotyczących zdrowia, że użytkownik lub posiadacz danych nie spełnia wymogów określonych w niniejszym rozdziale, powiadamiają one niezwłocznie użytkownika lub posiadacza danych o swoich ustaleniach i dają mu możliwość przedstawienia jego opinii w terminie 2 miesięcy.

4.Organy ds. dostępu do danych dotyczących zdrowia uprawnione są do cofnięcia zezwolenia na dostęp do danych wydanego na podstawie art. 46 i wstrzymania przetwarzania odnośnych elektronicznych danych dotyczących zdrowia prowadzonego przez użytkownika danych celem zapewnienia usunięcia niezgodności, o której mowa w ust. 3, niezwłocznie lub w rozsądnym terminie, a także stosują odpowiednie i proporcjonalne środki służące zapewnieniu zgodnego z przepisami przetwarzania przez użytkowników danych. W tym względzie organy ds. dostępu do danych dotyczących zdrowia mogą w stosownych przypadkach cofnąć zezwolenie na dostęp do danych i odebrać użytkownikowi danych jakikolwiek dostęp do elektronicznych danych dotyczących zdrowia na okres nieprzekraczający 5 lat.

5.Jeżeli posiadacze danych pozbawią organy ds. dostępu do danych dotyczących zdrowia dostępu do elektronicznych danych dotyczących zdrowia z wyraźnym zamiarem uniemożliwienia wykorzystywania elektronicznych danych dotyczących zdrowia lub nie dochowują terminów przewidzianych w art. 41, organ ds. dostępu do danych dotyczących zdrowia jest uprawniony do nałożenia na posiadacza danych przejrzystej i proporcjonalnej kary finansowej za każdy dzień opóźnienia. Wysokość kar ustala organ ds. dostępu do danych dotyczących zdrowia. W przypadku powtarzających się naruszeń obowiązku lojalnej współpracy z organami ds. dostępu do danych dotyczących zdrowia przez posiadacza danych, organ ten może wykluczyć posiadacza danych z udziału w europejskiej przestrzeni danych dotyczących zdrowia na okres nieprzekraczający 5 lat. Jeżeli posiadacz danych został wykluczony z udziału w europejskiej przestrzeni danych dotyczących zdrowia na podstawie niniejszego artykułu wskutek wyraźnego zamiaru utrudnienia wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, nie ma on prawa do udzielenia dostępu do danych dotyczących zdrowia zgodnie z art. 49.

6.Organ ds. dostępu do danych dotyczących zdrowia niezwłocznie informuje zainteresowanego użytkownika lub posiadacza danych o środkach nałożonych zgodnie z ust. 4 oraz o powodach ich nałożenia i określa mu rozsądny termin na zastosowanie się do tych środków.

7.Wszelkie kary i środki nałożone na podstawie ust. 4 udostępnia się innym organom ds. dostępu do danych dotyczących zdrowia.

8.Komisja może w drodze aktu wykonawczego określić architekturę narzędzia informatycznego mającego na celu wsparcie działań, o których mowa w niniejszym artykule, w szczególności kar i wykluczeń, oraz zapewnienie ich przejrzystości z punktu widzenia innych organów ds. dostępu do danych dotyczących zdrowia. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

9.Każda osoba fizyczna lub prawna, której dotyczy decyzja organu ds. dostępu do danych dotyczących zdrowia, ma prawo do skutecznego środka zaskarżenia takiej decyzji.

10.Komisja może wydać wytyczne dotyczące kar stosowanych przez organy ds. dostępu do danych dotyczących zdrowia.

Sekcja 3

Zezwolenie na dostęp do danych na potrzeby wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia

Artykuł 44

Minimalizacja danych i ograniczenie celu

1.Organ ds. dostępu do danych dotyczących zdrowia zapewnia, aby udzielony dostęp dotyczył wyłącznie elektronicznych danych dotyczących zdrowia związanych z celem przetwarzania, wskazanych we wniosku o udzielenie dostępu do danych złożonym przez użytkownika danych, i by był zgodny z udzielonym zezwoleniem na dostęp do danych.

2.Organy ds. dostępu do danych dotyczących zdrowia przekazują elektroniczne dane dotyczące zdrowia w formacie zanonimizowanym, jeżeli takie dane umożliwiają osiągnięcie celu przetwarzania przez użytkownika danych, biorąc pod uwagę informacje przekazane przez użytkownika danych.

3.Jeżeli zanonimizowane dane nie umożliwiają osiągnięcia celu przetwarzania przez użytkownika danych, biorąc pod uwagę informacje przekazane przez użytkownika danych, organy ds. dostępu do danych dotyczących zdrowia udzielają dostępu do elektronicznych danych dotyczących zdrowia w formacie spseudonimizowanym. Informacje niezbędne do odwrócenia procesu pseudonimizacji są dostępne wyłącznie dla organu ds. dostępu do danych dotyczących zdrowia. Użytkownicy danych nie mogą deanonimizować elektronicznych danych dotyczących zdrowia przekazanych im w formacie spseudonimizowanym. Nieprzestrzeganie przez użytkownika danych środków zastosowanych przez organ ds. dostępu do danych dotyczących zdrowia w celu zapewnienia pseudonimizacji podlega odpowiednim karom.

Artykuł 45

Wnioski o udzielenie dostępu do danych

1.Każda osoba fizyczna lub prawna może złożyć wniosek o udzielenie dostępu do danych do celów określonych w art. 34.

2.Wniosek o udzielenie dostępu do danych zawiera:

a)szczegółowe wyjaśnienie zamierzonego przeznaczenia elektronicznych danych dotyczących zdrowia, w tym określenie, którego z celów przewidzianych w art. 34 ust. 1 dotyczy wniosek;

b)opis wymaganych elektronicznych danych dotyczących zdrowia, ich format i w miarę możliwości źródła danych, w tym zasięg geograficzny, jeżeli wniosek dotyczy kilku państw członkowskich;

c)wskazanie, czy elektroniczne dane dotyczące zdrowia powinny zostać udostępnione w formacie zanonimizowanym;

d)w stosownych przypadkach wyjaśnienie powodów ubiegania się o dostęp do elektronicznych danych dotyczących zdrowia w formacie spseudonimizowanym;

e)opis planowanych zabezpieczeń mających za zadanie zapobieżenie jakiemukolwiek innemu wykorzystaniu elektronicznych danych dotyczących zdrowia;

f)opis planowanych zabezpieczeń mających za zadanie ochronę praw i interesów posiadacza danych i zainteresowanych osób fizycznych;

g)szacunkowy okres, w którym konieczne jest przetwarzanie elektronicznych danych dotyczących zdrowia;

h)opis narzędzi i zasobów obliczeniowych potrzebnych do zapewnienia bezpiecznego środowiska.

3.Użytkownicy danych ubiegający się o dostęp do elektronicznych danych dotyczących zdrowia z więcej niż jednego państwa członkowskiego składają jeden wniosek w wybranym przez nich jednym z odnośnych organów ds. dostępu do danych dotyczących zdrowia, który to odpowiada za przekazanie wniosku innym organom ds. dostępu do danych dotyczących zdrowia i upoważnionym uczestnikom infrastruktury DaneZdrowotne@UE (HealthData@EU), o których mowa w art. 52, wskazanym we wniosku o udzielenie dostępu do danych. W przypadku wniosków o udzielenie dostępu do elektronicznych danych dotyczących zdrowia z więcej niż jednego państwa członkowskiego organ ds. dostępu do danych dotyczących zdrowia powiadamia pozostałe odnośne organy ds. dostępu do danych dotyczących zdrowia o otrzymaniu dotyczącego ich wniosku w terminie 15 dni od daty otrzymania wniosku o udzielenie dostępu do danych.

4.Jeżeli wnioskodawca chce uzyskać dostęp do elektronicznych danych osobowych dotyczących zdrowia w formacie spseudonimizowanym, wraz z wnioskiem o udzielenie dostępu do danych przekazuje on następujące dodatkowe informacje:

a)opis zgodności przetwarzania z art. 6 ust. 1 rozporządzenia (UE) 2016/679;

b)w stosownych przypadkach i zgodnie z przepisami krajowymi – informacje na temat oceny etycznych aspektów przetwarzania.

5.Do celów wykonania zadań, o których mowa w art. 37 ust. 1 lit. b) i c), organy sektora publicznego oraz instytucje, organy, urzędy i agencje Unii przekazują te same informacje, które są wymagane na podstawie art. 45 ust. 2, z wyjątkiem lit. g), w którym to przypadku przekazują one informacje na temat okresu, w jakim możliwy jest dostęp do danych, częstotliwości tego dostępu lub częstotliwości aktualizacji danych.

Jeżeli organy sektora publicznego oraz instytucje, organy, urzędy i agencje Unii chcą uzyskać dostęp do elektronicznych danych dotyczących zdrowia w formacie spseudonimizowanym, dostarczają one również opis zgodności przetwarzania z, odpowiednio, art. 6 ust. 1 rozporządzenia (UE) 2016/679 lub art. 5 ust. 1 rozporządzenia (UE) 2018/1725.

6.Komisja może określić, w drodze aktów wykonawczych, wzory wniosku o udzielenie dostępu do danych, o którym mowa w niniejszym artykule, zezwolenia na dostęp do danych, o którym mowa w art. 46, oraz wniosku o udostępnienie danych, o którym mowa w art. 47. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 68 ust. 2.

7.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu zmiany wykazu informacji przewidzianych w ust. 2, 4, 5 i 6 niniejszego artykułu, aby zapewnić odpowiedni charakter tego wykazu na potrzeby rozpatrywania wniosku o udzielenie dostępu do danych na poziomie krajowym lub transgranicznym.

Artykuł 46

Zezwolenie na dostęp do danych

1.Organy ds. dostępu do danych dotyczących zdrowia oceniają, czy wniosek spełnia kryteria jednego z celów wymienionych w art. 34 ust. 1 niniejszego rozporządzenia, czy dane, których on dotyczy, są niezbędne do osiągnięcia celów wymienionych we wniosku oraz czy wnioskodawca spełnił wymogi przewidziane w niniejszym rozdziale. Jeżeli tak jest, organ ds. dostępu do danych dotyczących zdrowia wydaje zezwolenie na dostęp do danych.

2.Organy ds. dostępu do danych dotyczących zdrowia oddalają wszystkie wnioski zawierające co najmniej jeden cel spośród wymienionych w art. 35 lub wnioski, w przypadku których nie spełnione zostały wymogi określone w niniejszym rozdziale.

3.Organ ds. dostępu do danych dotyczących zdrowia wydaje zezwolenie na dostęp do danych lub odmawia jego wydania w terminie 2 miesięcy od otrzymania wniosku o udzielenie dostępu do danych. Na zasadzie odstępstwa od rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] organ ds. dostępu do danych dotyczących zdrowia może w razie potrzeby przedłużyć termin odpowiedzi na wniosek o udzielenie dostępu do danych o 2 dodatkowe miesiące, zważywszy na złożoność wniosku. W takich przypadkach organ ds. dostępu do danych dotyczących zdrowia niezwłocznie powiadamia wnioskodawcę, że rozpatrzenie wniosku wymaga większej ilości czasu, i podaje przyczyny opóźnienia. Jeżeli organ ds. dostępu do danych dotyczących zdrowia nie podejmie decyzji w określonym terminie, zezwolenie na dostęp do danych zostaje wydane.

4.Po wydaniu zezwolenia na dostęp do danych organ ds. dostępu do danych dotyczących zdrowia niezwłocznie wzywa posiadacza danych do przekazania elektronicznych danych dotyczących zdrowia. Organ ds. dostępu do danych dotyczących zdrowia udostępnia użytkownikowi danych elektroniczne dane dotyczące zdrowia w terminie 2 miesięcy od otrzymania ich od posiadaczy danych, chyba że organ ds. dostępu do danych dotyczących zdrowia wskaże, że udostępni dane w dłuższym, określonym terminie.

5.Jeżeli organ ds. dostępu do danych dotyczących zdrowia odmawia wydania zezwolenia na dostęp do danych, podaje wnioskodawcy uzasadnienie swojej odmowy.

6.W zezwoleniu na dostęp do danych określa się ogólne warunki mające zastosowanie do użytkownika danych, w szczególności:

a)rodzaje i format udostępnianych elektronicznych danych dotyczących zdrowia, których dotyczy zezwolenie na dostęp do danych, w tym ich źródła;

b)cel, w jakim udostępnia się dane;

c)okres obowiązywania zezwolenia na dostęp do danych;

d)informacje na temat właściwości technicznych i narzędzi dostępnych dla użytkownika danych w ramach bezpiecznego środowiska przetwarzania;

e)opłaty uiszczane przez użytkownika danych;

f)wszelkie dodatkowe szczegółowe warunki dotyczące udzielonego zezwolenia na dostęp do danych.

7.Użytkownicy danych mają prawo do uzyskiwania dostępu do elektronicznych danych dotyczących zdrowia oraz do ich przetwarzania zgodnie z zezwoleniem na dostęp do danych wydanym im na podstawie niniejszego rozporządzenia.

8.Komisja jest uprawniona do przyjęcia aktów delegowanych w celu zmiany wykazu elementów zawartych w zezwoleniu na dostęp do danych wymienionych w ust. 7, zgodnie z procedurą przewidzianą w art. 67.

9.Zezwolenie na dostęp do danych wydaje się na okres niezbędny do osiągnięcia celów przewidzianych we wniosku, który to okres nie przekracza 5 lat. Na wniosek użytkownika danych okres ten można przedłużyć jednokrotnie o okres nieprzekraczający 5 lat na podstawie argumentów i dokumentów uzasadniających to przedłużenie, przekazanych na 1 miesiąc przed wygaśnięciem zezwolenia na dostęp do danych. Na zasadzie odstępstwa od art. 42 organ ds. dostępu do danych dotyczących zdrowia może nałożyć zwiększone opłaty w celu odzwierciedlenia kosztów i ryzyka związanych z przechowywaniem elektronicznych danych dotyczących zdrowia przez dłuższy okres przekraczający początkowe 5 lat. W celu ograniczenia takich kosztów i opłat organ ds. dostępu do danych dotyczących zdrowia może również zaproponować użytkownikowi danych przechowywanie zbioru danych w systemie przechowywania o ograniczonych możliwościach. Dane w ramach bezpiecznego środowiska przetwarzania usuwa się w terminie 6 miesięcy po wygaśnięciu zezwolenia na dostęp do danych. Na żądanie użytkownika danych formuła dotycząca stworzenia wnioskowanego zbioru danych jest przechowywana przez organ ds. dostępu do danych dotyczących zdrowia.

10.W razie konieczności zaktualizowania zezwolenia na dostęp do danych użytkownik danych składa wniosek o zmianę zezwolenia na dostęp do danych.

11.Użytkownicy danych udostępniają wyniki lub produkt wtórnego wykorzystania elektronicznych danych dotyczących zdrowia, w tym informacje istotne ze względu na świadczenie opieki zdrowotnej, nie później niż 18 miesięcy po zakończeniu przetwarzania elektronicznych danych dotyczących zdrowia lub po otrzymaniu odpowiedzi na wniosek o udostępnienie danych, o którym mowa w art. 47. Te wyniki lub ten produkt zawierają wyłącznie zanonimizowane dane. Użytkownik danych informuje o tym organy ds. dostępu do danych dotyczących zdrowia, od których otrzymał zezwolenie na dostęp do danych, i wspiera je w udostępnianiu tych informacji na stronach internetowych organów ds. dostępu do danych dotyczących zdrowia. W każdym przypadku gdy użytkownicy danych wykorzystali elektroniczne dane dotyczące zdrowia zgodnie z niniejszym rozdziałem, podają oni źródła elektronicznych danych dotyczących zdrowia i wskazują na fakt, że elektroniczne dane dotyczące zdrowia uzyskano w kontekście europejskiej przestrzeni danych dotyczących zdrowia.

12.Użytkownicy danych informują organ ds. dostępu do danych dotyczących zdrowia o wszelkich istotnych klinicznie ustaleniach mogących mieć wpływ na stan zdrowia osób fizycznych, których dane znajdują się w zbiorze danych.

13.Komisja może opracować, w drodze aktów wykonawczych, logo oznaczające wkład europejskiej przestrzeni danych dotyczących zdrowia. Ten akt wykonawczy przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

14.Odpowiedzialność organów ds. dostępu do danych dotyczących zdrowia jako współadministratorów jest ograniczona do zakresu wydanego zezwolenia na dostęp do danych do czasu zakończenia przetwarzania.

Artykuł 47

Wniosek o udostępnienie danych

1.Każda osoba fizyczna lub prawna może złożyć wniosek o udostępnienie danych do celów określonych w art. 34. Organ ds. dostępu do danych dotyczących zdrowia udziela odpowiedzi na wniosek o udostępnienie danych wyłącznie w zanonimizowanym, statystycznym formacie, a użytkownik danych nie ma dostępu do elektronicznych danych dotyczących zdrowia wykorzystanych do udzielenia takiej odpowiedzi.

2.Wniosek o udostępnienie danych zawiera elementy wymienione w art. 45 ust. 2 lit. a) i b), a w razie potrzeby może również zawierać:

a)opis wyniku oczekiwanego od organu ds. dostępu do danych dotyczących zdrowia;

b)opis zawartości statystyk.

3.Jeżeli wnioskodawca ubiega się o wynik w formie zanonimizowanej, w tym w formacie statystycznym, na podstawie wniosku o udostępnienie danych, organ ds. dostępu do danych dotyczących zdrowia dokonuje oceny w terminie 2 miesięcy i w miarę możliwości przekazuje wynik użytkownikowi danych w terminie 2 miesięcy.

Artykuł 48

Udostępnianie danych organom sektora publicznego oraz instytucjom, organom, urzędom i agencjom Unii bez zezwolenia na dostęp do danych

Na zasadzie odstępstwa od art. 46 niniejszego rozporządzenia zezwolenie na dostęp do danych nie jest wymagane do uzyskania dostępu do elektronicznych danych dotyczących zdrowia na podstawie niniejszego artykułu. Wykonując zadania przewidziane w art. 37 ust. 1 lit. b) i c), organ ds. dostępu do danych dotyczących zdrowia informuje organy sektora publicznego oraz instytucje, organy, urzędy i agencje Unii o dostępności danych w terminie 2 miesięcy od otrzymania wniosku o udzielenie dostępu do danych, zgodnie z art. 9 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final]. Na zasadzie odstępstwa od rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] organ ds. dostępu do danych dotyczących zdrowia może w stosownych przypadkach przedłużyć ten termin o 2 dodatkowe miesiące, zważywszy na złożoność wniosku. Organ ds. dostępu do danych dotyczących zdrowia udostępnia użytkownikowi danych elektroniczne dane dotyczące zdrowia w terminie 2 miesięcy od otrzymania ich od posiadaczy danych, chyba że wskaże on, że udostępni dane w dłuższym, określonym terminie.

Artykuł 49

Dostęp do elektronicznych danych dotyczących zdrowia od pojedynczego posiadacza danych

1.W przypadku gdy wnioskodawca ubiega się o dostęp do elektronicznych danych dotyczących zdrowia wyłącznie od pojedynczego posiadacza danych w jednym państwie członkowskim, na zasadzie odstępstwa od art. 45 ust. 1 wnioskodawca ten może skierować wniosek o udzielenie dostępu do danych lub wniosek o udostępnienie danych bezpośrednio do posiadacza danych. Wniosek o udzielenie dostępu do danych spełnia wymogi określone w art. 45, a wniosek o udostępnienie danych spełnia wymogi określone w art. 47. Wnioski dotyczące wielu państw oraz wnioski wymagające zestawienia zbiorów danych od większej liczby posiadaczy danych kieruje się do organów ds. dostępu do danych dotyczących zdrowia.

2.W takim przypadku posiadacz danych może wydać zezwolenie na dostęp do danych zgodnie z art. 46 lub udzielić odpowiedzi na wniosek o udostępnienie danych zgodnie z art. 47. Następnie posiadacz danych udziela dostępu do elektronicznych danych dotyczących zdrowia w bezpiecznym środowisku przetwarzania zgodnie z art. 50 i może nałożyć opłaty zgodnie z art. 42.

3.Na zasadzie odstępstwa od art. 51 pojedynczego posiadacza danych i użytkownika danych uznaje się za współadministratorów.

4.W terminie 3 miesięcy posiadacz danych informuje odpowiedni organ ds. dostępu do danych dotyczących zdrowia za pomocą środków elektronicznych o wszystkich złożonych wnioskach o udzielenie dostępu do danych oraz wszystkich wydanych zezwoleniach na dostęp do danych i złożonych wnioskach o udostępnienie danych na podstawie niniejszego artykułu w celu umożliwienia organowi ds. dostępu do danych dotyczących zdrowia wykonania jego obowiązków przewidzianych w art. 37 ust. 1 i art. 39.

Artykuł 50

Bezpieczne środowisko przetwarzania

1.Organy ds. dostępu do danych dotyczących zdrowia udzielają dostępu do elektronicznych danych dotyczących zdrowia wyłącznie za pośrednictwem bezpiecznego środowiska przetwarzania, z zastrzeżeniem środków technicznych i organizacyjnych oraz wymogów z zakresu bezpieczeństwa i interoperacyjności. W szczególności stosują one następujące środki z zakresu bezpieczeństwa:

a)ograniczenie dostępu do bezpiecznego środowiska przetwarzania do osób upoważnionych wymienionych w odnośnym zezwoleniu na dostęp do danych;

b)ograniczenie do minimum ryzyka nieupoważnionego odczytu, powielenia, usunięcia lub nieupoważnionej modyfikacji elektronicznych danych dotyczących zdrowia przechowywanych w bezpiecznym środowisku przetwarzania za pośrednictwem najnowocześniejszych środków technologicznych;

c)ograniczenie wprowadzania elektronicznych danych dotyczących zdrowia oraz kontroli, modyfikacji lub usuwania elektronicznych danych dotyczących zdrowia przechowywanych w bezpiecznym środowisku przetwarzania do ograniczonej liczby upoważnionych, możliwych do zidentyfikowania osób fizycznych;

d)zapewnienie, aby użytkownicy danych mieli dostęp wyłącznie do elektronicznych danych dotyczących zdrowia, których dotyczy ich zezwolenie na dostęp do danych, i wyłącznie za pomocą indywidualnych i niepowtarzalnych tożsamości użytkownika oraz poufnych trybów dostępu;

e)przechowywanie możliwych do zidentyfikowania logów dostępu do bezpiecznego środowiska przetwarzania przez okres niezbędny do zweryfikowania i skontrolowania wszystkich operacji przetwarzania w tym środowisku;

f)zapewnienie zgodności i monitorowanie środków z zakresu bezpieczeństwa, o których mowa w niniejszym artykule, w celu ograniczenia potencjalnych zagrożeń bezpieczeństwa.

2.Organy ds. dostępu do danych dotyczących zdrowia zapewniają możliwość wgrania elektronicznych danych dotyczących zdrowia przez posiadaczy danych oraz uzyskania do nich dostępu przez użytkownika danych w bezpiecznym środowisku przetwarzania. Użytkownicy danych mogą pobrać elektroniczne dane nieosobowe dotyczące zdrowia wyłącznie z bezpiecznego środowiska przetwarzania.

3.Organy ds. dostępu do danych dotyczących zdrowia zapewniają regularne kontrole bezpiecznych środowisk przetwarzania.

4.Komisja określa, w drodze aktów wykonawczych, wymogi techniczne oraz wymogi z zakresu bezpieczeństwa informacji i interoperacyjności dotyczące bezpiecznych środowisk przetwarzania. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Artykuł 51

Współadministratorzy

1.Organy ds. dostępu do danych dotyczących zdrowia oraz użytkownicy danych, w tym instytucje, organy, urzędy i agencje Unii, są uznawani za współadministratorów elektronicznych danych dotyczących zdrowia przetwarzanych zgodnie z zezwoleniem na dostęp do danych.

2.Komisja ustanawia, w drodze aktów wykonawczych, wzór porozumienia współadministratorów. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Sekcja 4

Transgraniczny dostęp do elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania

Artykuł 52

Infrastruktura transgraniczna do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia [DaneZdrowotne@UE (HealthData@EU)]

1.Każde państwo członkowskie powołuje krajowy punkt kontaktowy ds. wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, odpowiedzialny za udostępnianie elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania w kontekście transgranicznym, oraz przekazuje Komisji jego nazwę i dane kontaktowe. Krajowym punktem kontaktowym może być organ koordynujący ds. dostępu do danych dotyczących zdrowia zgodnie z art. 36. Komisja i państwa członkowskie podają te informacje do wiadomości publicznej.

2.Krajowe punkty kontaktowe, o których mowa w ust. 1, są upoważnionymi uczestnikami infrastruktury transgranicznej do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia [DaneZdrowotne@UE (HealthData@EU)]. Krajowe punkty kontaktowe ułatwiają różnym upoważnionym uczestnikom infrastruktury dostęp transgraniczny do elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania oraz ściśle współpracują między sobą i z Komisją.

3.Upoważnionymi uczestnikami infrastruktury DaneZdrowotne@UE (HealthData@EU) są instytucje, organy, urzędy i agencje Unii zaangażowane w badania naukowe, politykę zdrowotną lub analizę.

4.Upoważnionymi uczestnikami infrastruktury DaneZdrowotne@UE (HealthData@EU) są infrastruktury badawcze związane ze zdrowiem lub podobne struktury, których funkcjonowanie opiera się na prawie Unii i które wspierają wykorzystywanie elektronicznych danych dotyczących zdrowia do celów związanych z badaniami naukowymi, kształtowaniem polityki, opracowywaniem statystyk, bezpieczeństwem pacjentów lub do celów regulacyjnych.

5.Państwa trzecie lub organizacje międzynarodowe mogą zostać upoważnionymi uczestnikami, jeżeli przestrzegają przepisów rozdziału IV niniejszego rozporządzenia i zapewniają użytkownikom danych znajdującym się w Unii, na równoważnych warunkach, dostęp do elektronicznych danych dotyczących zdrowia, którymi dysponują ich organy ds. dostępu do danych dotyczących zdrowia. Komisja może przyjąć akty wykonawcze stanowiące, że krajowy punkt kontaktowy państwa trzeciego lub system ustanowiony na szczeblu międzynarodowym spełnia wymogi infrastruktury DaneZdrowotne@UE (HealthData@EU) do celów wtórnego wykorzystywania danych dotyczących zdrowia, jest zgodny z rozdziałem IV niniejszego rozporządzenia i zapewnia użytkownikom danych mającym siedzibę w Unii dostęp do elektronicznych danych dotyczących zdrowia, do których ma dostęp, na równoważnych warunkach. Zgodność z tymi wymogami prawnymi, organizacyjnymi, technicznymi i dotyczącymi bezpieczeństwa, w tym z normami w zakresie bezpiecznych środowisk przetwarzania zgodnie z art. 50, jest sprawdzana pod kontrolą Komisji. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2. Komisja podaje do wiadomości publicznej wykaz aktów wykonawczych przyjętych na podstawie niniejszego ustępu.

6.Każdy upoważniony uczestnik uzyskuje wymagane możliwości techniczne, aby połączyć się z infrastrukturą DaneZdrowotne@UE (HealthData@EU) i uczestniczyć w niej. Każdy uczestnik musi zapewniać zgodność z wymogami i specyfikacjami technicznymi niezbędnymi do eksploatacji infrastruktury transgranicznej oraz do umożliwienia upoważnionym uczestnikom wzajemnych połączeń w ramach tej infrastruktury.

7.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu zmiany niniejszego artykułu, aby dodać lub usunąć kategorie upoważnionych uczestników infrastruktury DaneZdrowotne@UE (HealthData@EU), uwzględniając opinię grupy ds. współaministracji zgodnie z art. 66 niniejszego rozporządzenia.

8.Państwa członkowskie i Komisja tworzą infrastrukturę DaneZdrowotne@UE (HealthData@EU) w celu wspierania i ułatwiania transgranicznego dostępu do elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania, łącząc krajowe punkty kontaktowe ds. wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia wszystkich państw członkowskich i upoważnionych uczestników tej infrastruktury.

9.Komisja opracowuje, wdraża i obsługuje podstawową platformę infrastruktury DaneZdrowotne@UE (HealthData@EU) przez świadczenie usług technologii informacyjnej niezbędnych do ułatwienia połączeń pomiędzy organami ds. dostępu do danych dotyczących zdrowia w ramach infrastruktury transgranicznej do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Komisja przetwarza elektroniczne dane dotyczące zdrowia wyłącznie w imieniu współadministratorów jako podmiot przetwarzający.

10.Na wniosek co najmniej dwóch organów ds. dostępu do danych dotyczących zdrowia Komisja może zapewnić bezpieczne środowisko przetwarzania danych pochodzących z więcej niż jednego państwa członkowskiego, zgodnie z wymogami określonymi w art. 50. Jeżeli co najmniej dwa organy ds. dostępu do danych dotyczących zdrowia umieszczają elektroniczne dane dotyczące zdrowia w bezpiecznym środowisku przetwarzania zarządzanym przez Komisję, są one współadministratorami, a Komisja jest podmiotem przetwarzającym.

11.Upoważnieni uczestnicy działają jako współadministratorzy operacji przetwarzania prowadzonych w ramach infrastruktury DaneZdrowotne@UE (HealthData@EU), w których biorą udział, a Komisja działa jako podmiot przetwarzający.

12.Państwa członkowskie i Komisja dążą do zapewnienia interoperacyjności infrastruktury DaneZdrowotne@UE (HealthData@EU) z innymi właściwymi wspólnymi europejskimi przestrzeniami danych, o których mowa w rozporządzeniach [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final] oraz […] [akt w sprawie danych, COM(2022) 68 final].

13.Komisja może określić w drodze aktów wykonawczych:

a)wymogi, które muszą spełnić upoważnieni uczestnicy, aby móc przyłączyć się do infrastruktury DaneZdrowotne@UE (HealthData@EU) i pozostać połączonymi z tą infrastrukturą, a także powiązane specyfikacje techniczne, architekturę informatyczną infrastruktury DaneZdrowotne@UE (HealthData@EU), warunki i kontrole zgodności, jak również warunki czasowego lub ostatecznego wykluczenia z infrastruktury DaneZdrowotne@UE (HealthData@EU);

b)minimalne kryteria, które muszą spełnić upoważnieni uczestnicy infrastruktury;

c)obowiązki współadministratorów i podmiotu przetwarzającego lub podmiotów przetwarzających uczestniczących w infrastrukturach transgranicznych;

d)obowiązki współadministratorów i podmiotu przetwarzającego lub podmiotów przetwarzających w zakresie bezpiecznego środowiska zarządzanego przez Komisję;

e)wspólne specyfikacje w zakresie architektury infrastruktury DaneZdrowotne@UE (HealthData@EU) i interoperacyjności tej infrastruktury z innymi wspólnymi europejskimi przestrzeniami danych.

Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

14.Zgodę na przyłączenie się indywidualnego upoważnionego uczestnika do infrastruktury DaneZdrowotne@UE (HealthData@EU) lub na odłączenie uczestnika od infrastruktury wydaje grupa ds. współadministracji na podstawie wyników kontroli zgodności.

Artykuł 53

Dostęp do transgranicznych źródeł elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania

1.W przypadku transgranicznych rejestrów i baz danych organ ds. dostępu do danych dotyczących zdrowia, w którym zarejestrowany jest posiadacz danych, jest właściwy do podejmowania decyzji w sprawie wniosków o udzielenie dostępu do danych w celu zapewnienia dostępu do elektronicznych danych dotyczących zdrowia. W przypadku współadministracji rejestru organem ds. dostępu do danych dotyczących zdrowia, który zapewnia dostęp do elektronicznych danych dotyczących zdrowia, jest organ w państwie członkowskim, w którym siedzibę ma jeden ze współadministratorów rejestru.

2.W przypadku organizacji rejestrów lub baz danych z kilku państw członkowskich w jedną sieć rejestrów lub baz danych na szczeblu Unii w ramach stowarzyszonych rejestrów można wyznaczyć jednego z ich członków jako koordynatora w celu zapewnienia dostarczania danych z sieci rejestrów do celów wtórnego wykorzystywania. Organ ds. dostępu do danych dotyczących zdrowia z państwa członkowskiego, w którym znajduje się koordynator sieci, jest właściwy do podejmowania decyzji w sprawie wniosków o udzielenie dostępu do danych w celu zapewnienia dostępu do elektronicznych danych dotyczących zdrowia na potrzeby sieci rejestrów lub baz danych.

3.Komisja może przyjąć, w drodze aktów wykonawczych, przepisy niezbędne do ułatwienia rozpatrywania wniosków o udzielenie dostępu do danych w ramach infrastruktury DaneZdrowotne@UE (HealthData@EU), w tym wspólny formularz wniosku, wspólny wzór zezwolenia na dostęp do danych, standardowe formularze wspólnych ustaleń umownych o dostępie do elektronicznych danych dotyczących zdrowia oraz wspólne procedury rozpatrywania wniosków transgranicznych, zgodnie z art. 45, 46, 47 i 48. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Artykuł 54

Wzajemne uznawanie

1.Rozpatrując wniosek o transgraniczny dostęp do elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania, organy ds. dostępu do danych dotyczących zdrowia i właściwi upoważnieni uczestnicy pozostają odpowiedzialni za podejmowanie decyzji o przyznaniu lub odmowie dostępu do elektronicznych danych na dotyczących zdrowia w ramach swoich kompetencji zgodnie z wymogami dotyczącymi dostępu określonymi w niniejszym rozdziale.

2.Zezwolenie na dostęp do danych wydane przez jeden zainteresowany organ ds. dostępu do danych dotyczących zdrowia może zostać wzajemnie uznane przez pozostałe zainteresowane organy ds. dostępu do danych dotyczących zdrowia.

Sekcja 5

Jakość i użyteczność danych dotyczących zdrowia do celów wtórnego wykorzystywania

Artykuł 55

Opis zbioru danych

1.Organy ds. dostępu do danych dotyczących zdrowia informują użytkowników danych o dostępnych zbiorach danych i ich cechach za pomocą katalogu metadanych. Każdy zbiór danych zawiera informacje dotyczące źródła, zakresu, głównych cech, charakteru elektronicznych danych dotyczących zdrowia oraz warunków udostępniania elektronicznych danych dotyczących zdrowia.

2.Komisja określa, w drodze aktów wykonawczych, minimalne elementy informacji, które posiadacze danych mają przekazywać w odniesieniu do zbiorów danych i ich cech. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Artykuł 56

Znak jakości i użyteczności danych

1.Zbiory danych udostępniane za pośrednictwem organów ds. dostępu do danych dotyczących zdrowia mogą być opatrzone unijnym znakiem jakości i użyteczności danych, przekazanym przez posiadaczy danych.

2.Zbiory danych zawierające elektroniczne dane dotyczące zdrowia gromadzone i przetwarzane przy wsparciu unijnego lub krajowego finansowania publicznego posiadają znak jakości i użyteczności danych, zgodnie z zasadami określonymi w ust. 3.

3.Znak jakości i użyteczności danych jest zgodny z następującymi elementami:

a)do celów dokumentacji danych: metadane, dokumentacja pomocnicza, model danych, słownik danych, stosowane normy, pochodzenie;

b)jakość techniczna wskazująca na kompletność, niepowtarzalność, dokładność, poprawność, terminowość i spójność danych;

c)do celów procesów zarządzania jakością danych: poziom dojrzałości procesów zarządzania jakością danych, w tym procesów przeglądu i audytu, badania błędów nielosowych;

d)zakres: reprezentatywność wielodyscyplinarnych elektronicznych danych dotyczących zdrowia, reprezentatywność populacji objętej próbą, średnie ramy czasowe, w których osoba fizyczna pojawia się w zbiorze danych;

e)informacje o dostępie do danych i ich dostarczaniu: czas między zebraniem elektronicznych danych dotyczących zdrowia a ich dodaniem do zbioru danych, czas na dostarczenie elektronicznych danych dotyczących zdrowia po zatwierdzeniu wniosku o udzielenie dostępu do elektronicznych danych dotyczących zdrowia;

f)informacje o wzbogacaniu danych: łączenie danych i ich dodawanie do istniejącego zbioru danych, w tym łączenie z innymi zbiorami danych.

4.Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 67 w celu zmiany wykazu zasad dotyczących znaku jakości i użyteczności danych. Na mocy takich aktów delegowanych można również zmieniać wykaz określony w ust. 3 przez dodawanie, modyfikowanie lub usuwanie wymogów dotyczących znaku jakości i użyteczności danych.

5.Komisja określa, w drodze aktów wykonawczych, cechy wizualne i specyfikacje techniczne znaku jakości i użyteczności danych na podstawie elementów, o których mowa w ust. 3. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2. Uwzględniają one wymogi określone w art. 10 rozporządzenia [...] [akt w sprawie sztucznej inteligencji, COM(2021) 206 final] oraz wszelkie przyjęte wspólne specyfikacje lub normy zharmonizowane ułatwiające spełnienie tych wymogów.

Artykuł 57

Unijny katalog zbiorów danych

1.Komisja tworzy unijny katalog zbiorów danych łączący krajowe katalogi zbiorów danych utworzone przez organy ds. dostępu do danych dotyczących zdrowia i innych upoważnionych uczestników infrastruktury DaneZdrowotne@UE (HealthData@EU).

2.Unijny katalog zbiorów danych i krajowe katalogi zbiorów danych są udostępniane publicznie.

Artykuł 58

Minimalne specyfikacje zbiorów danych

Komisja może określić, w drodze aktów wykonawczych, minimalne specyfikacje transgranicznych zbiorów danych do celów wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, uwzględniając istniejącą infrastrukturę unijną oraz obowiązujące normy, wytyczne i zalecenia Unii. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Rozdział V

Działania dodatkowe

Artykuł 59

Budowanie zdolności

Komisja wspiera wymianę najlepszych praktyk i wiedzy eksperckiej w celu budowania zdolności państw członkowskich do wzmacniania systemów e-zdrowia w zakresie pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Aby wspierać budowanie zdolności, Komisja sporządza wytyczne dotyczące analizy porównawczej na potrzeby pierwotnego i wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia.

Artykuł 60

Dodatkowe wymogi dotyczące zamówień publicznych i finansowania unijnego

1.Podmioty udzielające zamówień publicznych, właściwe organy krajowe, w tym organy ds. e-zdrowia i organy ds. dostępu do danych dotyczących zdrowia, oraz Komisja odnoszą się do mających zastosowanie specyfikacji technicznych, norm i profili, o których mowa odpowiednio w art. 6, 23, 50 i 56, jako punktów odniesienia dla zamówień publicznych oraz na potrzeby sporządzania dokumentacji przetargowej lub zaproszeń do składania wniosków, a także określania warunków unijnego finansowania w odniesieniu do niniejszego rozporządzenia, w tym warunków podstawowych korzystania z funduszy strukturalnych i Funduszu Spójności.

2.Warunek wstępny dotyczący finansowania Unii uwzględnia wymogi określone w rozdziałach II, III i IV.

Artykuł 61

Przekazywanie elektronicznych danych nieosobowych do państw trzecich

1.Elektroniczne dane nieosobowe udostępniane przez organy ds. dostępu do danych dotyczących zdrowia, które opierają się na danych elektronicznych osoby fizycznej należących do jednej z kategorii wymienionych w art. 33 [lit. a), e), f), i), j), k), m)], uznaje się za szczególnie chronione w rozumieniu art. 5 ust. 13 rozporządzenia […] [akt w sprawie zarządzania danymi, COM(2020) 767 final], pod warunkiem że ich przekazanie do państw trzecich wiąże się z ryzykiem deanonimizacji przy użyciu środków wykraczających poza te, których użycie jest racjonalnie prawdopodobne, z uwagi na ograniczoną liczbę osób fizycznych, których dotyczą te dane, fakt, że są one rozproszone geograficznie, lub oczekiwany w niedalekiej przyszłości postęp technologiczny.

2.Środki ochronne w odniesieniu do kategorii danych wymienionych w ust. 1 zależą od charakteru danych i technik anonimizacji oraz są szczegółowo określone w akcie delegowanym przyjętym na podstawie uprawnienia określonego w art. 5 ust. 13 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final].

Artykuł 62

Dostęp międzynarodowy i przekazywanie międzynarodowe elektronicznych danych nieosobowych dotyczących zdrowia

1.Organy ds. e-zdrowia, organy ds. dostępu do danych dotyczących zdrowia, upoważnieni uczestnicy infrastruktur transgranicznych, o których mowa w art. 12 i 52, oraz użytkownicy danych wprowadzają wszelkie uzasadnione środki techniczne, prawne i organizacyjne, w tym ustalenia umowne, w celu zapobiegania międzynarodowemu przekazywaniu elektronicznych danych nieosobowych dotyczących zdrowia przechowywanych w Unii lub dostępowi władz do tych danych, w przypadku gdy takie przekazywanie lub dostęp są sprzeczne z prawem Unii lub prawem krajowym odpowiedniego państwa członkowskiego, nie naruszając przepisów ust. 2 lub 3 niniejszego artykułu.

2.Wszelkie orzeczenia sądu lub trybunału państwa trzeciego oraz wszelkie decyzje organu administracyjnego państwa trzeciego nakazujące organowi ds. e-zdrowia, organowi ds. dostępu do danych dotyczących zdrowia lub użytkownikom danych przekazanie przechowywanych w Unii elektronicznych danych nieosobowych dotyczących zdrowia wchodzących w zakres stosowania niniejszego rozporządzenia lub udzielenie dostępu do tych danych są uznawane lub w jakikolwiek sposób egzekwowalne wyłącznie wówczas, gdy opierają się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej, obowiązującej między wzywającym państwem trzecim a Unią lub na ewentualnej takiej umowie między wzywającym państwem trzecim a państwem członkowskim.

3.W przypadku braku umowy międzynarodowej, o której mowa w ust. 2 niniejszego artykułu, jeżeli organ ds. e-zdrowia, organ ds. dostępu do danych dotyczących zdrowia lub użytkownicy danych są adresatami decyzji lub orzeczenia sądu lub trybunału państwa trzeciego lub decyzji organu administracyjnego państwa trzeciego wymagających przekazania przechowywanych w Unii danych nieosobowych wchodzących w zakres stosowania niniejszego rozporządzenia lub udzielenia dostępu do tych danych, a zastosowanie się do takiego orzeczenia lub takiej decyzji wiązałoby się z ryzykiem narażenia adresata na konflikt z prawem Unii lub z prawem krajowym danego państwa członkowskiego, przekazanie takich danych temu organowi państwa trzeciego lub udzielenie mu dostępu do takich danych odbywa się wyłącznie w przypadku, gdy:

a)system państwa trzeciego wymaga określenia powodów i proporcjonalności takiej decyzji lub takiego orzeczenia, a także wymaga, by taka decyzja lub takie orzeczenie miały szczególny charakter, na przykład przez ustanowienie wystarczającego powiązania z niektórymi osobami podejrzanymi lub naruszeniami;

b)uzasadniony sprzeciw adresata podlega kontroli właściwego sądu lub trybunału państwa trzeciego oraz

c)właściwy sąd lub trybunał państwa trzeciego wydający orzeczenie lub dokonujący kontroli decyzji organu administracyjnego jest uprawniony na mocy prawa tego państwa trzeciego do należytego uwzględnienia odpowiednich interesów prawnych dostawcy danych chronionych prawem Unii lub prawem krajowym danego państwa członkowskiego.

4.Jeżeli spełnione są warunki określone w ust. 2 lub 3, organy ds. e-zdrowia, organy ds. dostępu do danych dotyczących zdrowia lub organ o altruistycznym podejściu do danych dostarczają minimalną ilość danych dozwoloną w odpowiedzi na wniosek, w oparciu o jego właściwą interpretację.

5.Organy ds. e-zdrowia, organy ds. dostępu do danych dotyczących zdrowia lub użytkownicy danych informują posiadacza danych o istnieniu wniosku organu administracyjnego państwa trzeciego o dostęp do jego danych, zanim zastosują się do tego wniosku, z wyjątkiem przypadków, w których wniosek służy celom egzekwowania prawa, i tak długo, jak jest to konieczne do zachowania skuteczności działań w zakresie egzekwowania prawa.

Artykuł 63

Dostęp międzynarodowy i przekazywanie międzynarodowe elektronicznych danych osobowych dotyczących zdrowia

W kontekście międzynarodowego dostępu do elektronicznych danych osobowych dotyczących zdrowia i ich przekazywania państwa członkowskie mogą utrzymać lub wprowadzić dalsze warunki, w tym ograniczenia, zgodnie z art. 9 ust. 4 rozporządzenia (UE) 2016/679 i na warunkach w nim określonych.

Rozdział VI

Europejskie zarządzanie i koordynacja

Artykuł 64

Rada ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia

1.Niniejszym ustanawia się Radę ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia („Rada”) w celu ułatwienia współpracy i wymiany informacji między państwami członkowskimi. W skład Rady wchodzą przedstawiciele wysokiego szczebla organów ds. e-zdrowia i organów ds. dostępu do danych dotyczących zdrowia ze wszystkich państw członkowskich. Inne organy krajowe, w tym organy nadzoru rynku, o których mowa w art. 28, Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych mogą być zapraszane do udziału w posiedzeniach Rady, na których omawia się istotne dla nich kwestie. Rada może również zapraszać do udziału w swoich posiedzeniach ekspertów i obserwatorów oraz może współpracować z innymi ekspertami zewnętrznymi w razie potrzeby. Inne instytucje, organy, urzędy i agencje Unii, jak również infrastruktury badawcze i inne podobne struktury pełnią rolę obserwatorów.

2.W zależności od funkcji związanych z wykorzystaniem elektronicznych danych dotyczących zdrowia Rada może pracować w podgrupach, w których reprezentowane są organy ds. e-zdrowia lub organy ds. dostępu do danych dotyczących zdrowia dla danego obszaru. W razie potrzeby podgrupy mogą organizować wspólne posiedzenia.

3.Skład, organizację, funkcjonowanie i współpracę określa regulamin wewnętrzny przedstawiony przez Komisję.

4.Zainteresowane strony i odpowiednie osoby trzecie, w tym przedstawiciele pacjentów, są zapraszani do udziału w posiedzeniach i pracach Rady, w zależności od omawianych tematów i stopnia ich wrażliwości.

5.Rada współpracuje z innymi odpowiednimi organami, podmiotami i ekspertami, takimi jak Europejska Rada ds. Innowacji w zakresie Danych, o której mowa w art. 26 rozporządzenia [...] [akt w sprawie zarządzania danymi, COM(2020) 767 final], właściwe organy ustanowione na mocy art. 7 rozporządzenia [...] [akt w sprawie danych, COM(2022) 68 final], organy nadzorcze ustanowione na mocy art. 17 rozporządzenia [...] [rozporządzenie w sprawie identyfikacji elektronicznej], Europejska Rada Ochrony Danych, o której mowa w art. 68 rozporządzenia (UE) 2016/679, oraz organy ds. cyberbezpieczeństwa.

6.Posiedzeniom Rady przewodniczy Komisja.

7.Rada jest wspierana przez sekretariat zapewniony przez Komisję.

8.Komisja przyjmuje, w drodze aktów wykonawczych, środki niezbędne do ustanowienia i funkcjonowania Rady oraz zarządzania nią. Te akty wykonawcze przyjmuje się zgodnie z procedurą doradczą, o której mowa w art. 68 ust. 2.

Artykuł 65

Zadania Rady ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia

1.Rada ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia ma następujące zadania związane z pierwotnym wykorzystywaniem elektronicznych danych dotyczących zdrowia zgodnie z rozdziałami II i III:

a)wspieranie państw członkowskich w koordynowaniu praktyk organów ds. e-zdrowia;

b)wydawanie pisemnych opinii i wymiana najlepszych praktyk w sprawach związanych z koordynacją wdrażania na szczeblu państw członkowskich niniejszego rozporządzenia oraz aktów delegowanych i wykonawczych przyjętych na jego podstawie, w szczególności w odniesieniu do: 

(i)przepisów zawartych w rozdziałach II i III;

(ii)opracowania usług online ułatwiających bezpieczny dostęp do elektronicznych danych dotyczących zdrowia dla pracowników służby zdrowia i osób fizycznych, w tym bezpieczną identyfikację elektroniczną;

(iii)innych aspektów pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia;

c)ułatwienie współpracy między organami ds. e-zdrowia przez budowanie zdolności, ustanowienie struktury rocznych sprawozdań z działalności, wzajemną weryfikację rocznych sprawozdań z działalności oraz wymianę informacji;

d)wymiana informacji dotyczących zagrożeń stwarzanych przez systemy elektronicznej dokumentacji medycznej i poważnych incydentów oraz postępowania z nimi;

e)ułatwianie wymiany poglądów na temat pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia z odpowiednimi zainteresowanymi stronami, w tym z przedstawicielami pacjentów, pracowników służby zdrowia, badaczy, organów regulacyjnych i decydentów w sektorze ochrony zdrowia.

2.Rada ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia ma następujące zadania związane z wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia (zgodnie z rozdziałem IV):

a)pomoc państwom członkowskim w koordynowaniu praktyk organów ds. dostępu do danych dotyczących zdrowia w zakresie wdrażania przepisów zawartych w rozdziale IV, aby zapewnić spójne stosowanie niniejszego rozporządzenia;

b)wydawanie pisemnych opinii i wymiana najlepszych praktyk w sprawach związanych z koordynacją wdrażania na szczeblu państw członkowskich niniejszego rozporządzenia oraz aktów delegowanych i wykonawczych przyjętych na jego podstawie, w szczególności w odniesieniu do:

(xi)wdrażania przepisów dotyczących dostępu do elektronicznych danych dotyczących zdrowia;

(xii)specyfikacji technicznych lub istniejących norm dotyczących wymogów ustanowionych w rozdziale IV;

(xiii)polityki zachęt do propagowania jakości danych i poprawy interoperacyjności;

(xiv)polityk dotyczących opłat pobieranych przez organy ds. dostępu do danych dotyczących zdrowia i posiadaczy danych;

(xv)ustanawiania i stosowania kar;

(xvi)innych aspektów wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia;

c)ułatwienie współpracy między organami ds. dostępu do danych dotyczących zdrowia przez budowanie zdolności, ustanowienie struktury rocznych sprawozdań z działalności, wzajemną weryfikację rocznych sprawozdań z działalności oraz wymianę informacji;

d)wymiana informacji dotyczących zagrożeń i incydentów związanych z ochroną danych w związku z wtórnym wykorzystywaniem elektronicznych danych dotyczących zdrowia oraz postępowania z nimi;

e)wnoszenie wkładu w prace Europejskiej Rady Innowacji w zakresie Danych, która ma zostać ustanowiona zgodnie z art. 29 rozporządzenia […] [akt w sprawie zarządzania danymi, COM(2020) 767 final];

f)ułatwianie wymiany poglądów na temat wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia z odpowiednimi zainteresowanymi stronami, w tym z przedstawicielami pacjentów, pracowników służby zdrowia, badaczy, organów regulacyjnych i decydentów w sektorze zdrowia.

Artykuł 66

Grupy ds. współadministracji infrastruktur Unii

1.Komisja powołuje dwie grupy zajmujące się współadministracją infrastruktur transgranicznych, o których mowa w art. 12 i 52. Grupy te składają się z przedstawicieli krajowych punktów kontaktowych i innych upoważnionych uczestników tych infrastruktur.

2.Skład, organizację, funkcjonowanie i współpracę podgrup określają regulaminy wewnętrzne przyjęte przez te grupy.

3.Zainteresowane strony i odpowiednie osoby trzecie, w tym przedstawiciele pacjentów, mogą być zapraszane do udziału w posiedzeniach i pracach grup.

4.Grupy wybierają przewodniczących swoich posiedzeń.

5.Grupy są wspierane przez sekretariat zapewniony przez Komisję.

6.Grupy podejmują decyzje w sprawie rozwoju i eksploatacji infrastruktur transgranicznych zgodnie z rozdziałami II i IV, zmian infrastruktury, dodawania dodatkowych infrastruktur lub usług lub zapewniania interoperacyjności z innymi infrastrukturami, systemami cyfrowymi lub przestrzeniami danych. Grupa podejmuje również decyzje o wyrażeniu zgody na przyłączenie się poszczególnych upoważnionych uczestników do infrastruktury lub o ich odłączeniu.

ROZDZIAŁ VII

Przekazanie uprawnień i Komitet

Artykuł 67

Wykonywanie przekazanych uprawnień

1.Powierzenie Komisji uprawnień do przyjęcia aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2.Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 5 ust. 2, art. 10 ust. 3, art. 25 ust. 3, art. 32 ust. 4, art. 33 ust. 7, art. 37 ust. 4, art. 39 ust. 3, art. 41 ust. 7, art. 45 ust. 7, art. 46 ust. 8, art. 52 ust. 7 i art. 56 ust. 4, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszego rozporządzenia.

3.Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 5 ust. 2, art. 10 ust. 3, art. 25 ust. 3, art. 32 ust. 4, art. 33 ust. 7, art. 37 ust. 4, art. 39 ust. 3, art. 41 ust. 7, art. 45 ust. 7, art. 46 ust. 8, art. 52 ust. 7 i art. 56 ust. 4, mogą zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.

4.Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.

5.Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

6.Akt delegowany przyjęty na podstawie art. 5 ust. 2, art. 10 ust. 3, art. 25 ust. 3, art. 32 ust. 4, art. 33 ust. 7, art. 37 ust. 4, art. 39 ust. 3, art. 41 ust. 7, art. 45 ust. 7, art. 46 ust. 8, art. 52 ust. 7 lub art. 56 ust. 4 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie 3 miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o 3 miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

Artykuł 68

Procedura komitetowa

1.Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2.W przypadku odesłania do niniejszego ustępu stosuje się art. 4 rozporządzenia (UE) nr 182/2011.

Rozdział VIII

Różne

Artykuł 69

Kary

Państwa członkowskie ustanawiają przepisy dotyczące kar mających zastosowanie w przypadku naruszeń przepisów niniejszego rozporządzenia i wprowadzają wszelkie niezbędne środki w celu zapewnienia ich wykonywania. Kary te muszą być skuteczne, proporcjonalne i odstraszające. Państwa członkowskie powiadamiają Komisję o tych przepisach i środkach do dnia rozpoczęcia stosowania niniejszego rozporządzenia oraz niezwłocznie powiadamiają Komisję o wszelkich późniejszych zmianach ich dotyczących.

Artykuł 70

Ocena i przegląd

1.Po 5 latach od wejścia niniejszego rozporządzenia w życie Komisja przeprowadza ukierunkowaną ocenę niniejszego rozporządzenia, w szczególności w odniesieniu do rozdziału III, i przedkłada Parlamentowi Europejskiemu i Radzie, Europejskiemu Komitetowi Ekonomiczno-Społecznemu i Komitetowi Regionów sprawozdanie na temat głównych ustaleń, któremu towarzyszy, w stosownych przypadkach, wniosek w sprawie zmian w rozporządzeniu. Ocena zawiera ocenę certyfikacji własnej w odniesieniu do systemów elektronicznej dokumentacji medycznej i odzwierciedla potrzebę wprowadzenia procedury oceny zgodności wykonywanej przez jednostki notyfikowane.

2.Po 7 latach od wejścia niniejszego rozporządzenia w życie Komisja przeprowadza ogólną ocenę niniejszego rozporządzenia i przedkłada Parlamentowi Europejskiemu i Radzie, Europejskiemu Komitetowi Ekonomiczno-Społecznemu i Komitetowi Regionów sprawozdanie na temat głównych ustaleń, któremu towarzyszy, w stosownych przypadkach, wniosek w sprawie zmian w rozporządzeniu.

3.Państwa członkowskie przekazują Komisji informacje niezbędne do przygotowania tego sprawozdania.

Artykuł 71

Zmiana w dyrektywie 2011/24/UE

Uchyla się art. 14 dyrektywy 2011/24/UE.

Rozdział IX

Odroczenie stosowania i przepisy końcowe

Artykuł 72

Wejście w życie i stosowanie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się od dnia przypadającego 12 miesięcy po jego wejściu w życie.

Art. 3, 4, 5, 6, 7, 12, 14, 23 i 31 stosuje się jednak następująco:

a)od dnia przypadającego rok po dniu rozpoczęcia stosowania niniejszego rozporządzenia w odniesieniu do kategorii elektronicznych danych osobowych dotyczących zdrowia, o których mowa w art. 5 ust. 1 lit. a), b) i c), oraz do systemów elektronicznej dokumentacji medycznej przewidzianych przez producenta do przetwarzania takich kategorii danych;

b)od dnia przypadającego 3 lata po dniu rozpoczęcia stosowania niniejszego rozporządzenia w odniesieniu do kategorii elektronicznych danych osobowych dotyczących zdrowia, o których mowa w art. 5 ust. 1 lit. d), e) i f), oraz do systemów elektronicznej dokumentacji medycznej przewidzianych przez producenta do przetwarzania takich kategorii danych;

c)od dnia ustalonego w aktach delegowanych przyjętych na podstawie art. 5 ust. 2 w odniesieniu do innych kategorii elektronicznych danych osobowych dotyczących zdrowia.

Rozdział III stosuje się do systemów elektronicznej dokumentacji medycznej wprowadzonych do używania w Unii na podstawie art. 15 ust. 2 od dnia przypadającego 3 lata po dniu rozpoczęcia stosowania niniejszego rozporządzenia.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Strasburgu dnia r.

W imieniu Parlamentu Europejskiego    W imieniu Rady

Przewodnicząca    Przewodniczący

OCENA SKUTKÓW FINANSOWYCH REGULACJI

1.STRUKTURA WNIOSKU/INICJATYWY

1.1.Tytuł wniosku/inicjatywy

1.2.Obszary polityki, których dotyczy wniosek/inicjatywa

1.3.Wniosek/inicjatywa dotyczy:

1.4.Cel(e)

1.4.1.Cel(e) ogólny(e)

1.4.2.Cel(e) szczegółowy(e)

1.4.3.Oczekiwane wyniki i wpływ

1.4.4.Wskaźniki dotyczące realizacji celów

1.5.Uzasadnienie wniosku/inicjatywy

1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy

1.5.2.Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tego punktu „wartość dodaną z tytułu zaangażowania Unii” należy rozumieć jako wartość wynikającą z unijnej interwencji wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.

1.5.3.Główne wnioski wyciągnięte z podobnych działań

1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami

1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym zakresu przegrupowania środków

1.6.Czas trwania i wpływ finansowy wniosku/inicjatywy

1.7.Planowane tryby zarządzania

2.ŚRODKI ZARZĄDZANIA

2.1.Zasady nadzoru i sprawozdawczości

2.2.System zarządzania i kontroli

2.2.1.Uzasadnienie dla systemu zarządzania, mechanizmów finansowania wykonania, warunków płatności i proponowanej strategii kontroli

2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia

2.2.3.Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu)

2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom

3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY

3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ

3.2.Szacunkowy wpływ finansowy wniosku na środki

3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne

3.2.2.Przewidywany produkt finansowany ze środków operacyjnych

3.2.3.Podsumowanie szacunkowego wpływu na środki administracyjne

3.2.4.Zgodność z obowiązującymi wieloletnimi ramami finansowymi

3.2.5.Udział osób trzecich w finansowaniu

3.3.Szacunkowy wpływ na dochody

OCENA SKUTKÓW FINANSOWYCH REGULACJI

1.STRUKTURA WNIOSKU/INICJATYWY 

1.1.Tytuł wniosku/inicjatywy

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie europejskiej przestrzeni danych dotyczących zdrowia

1.2.Obszary polityki, których dotyczy wniosek/inicjatywa 

Dział 1: Jednolity rynek, innowacje i gospodarka cyfrowa

Dział 2: Spójność, odporność i wartości

1.3.Wniosek/inicjatywa dotyczy: 

 nowego działania 

 nowego działania, będącego następstwem projektu pilotażowego/działania przygotowawczego 60  

 przedłużenia bieżącego działania 

 połączenia lub przekształcenia co najmniej jednego działania pod kątem innego/nowego działania 

1.4.Cel(e)

1.4.1.Cel(e) ogólny(e)

Celem ogólnym interwencji jest ustanowienie przepisów regulujących europejską przestrzeń danych dotyczących zdrowia, aby zapewnić dostęp osób fizycznych do ich danych dotyczących zdrowia i kontrolę nad nimi, poprawić funkcjonowanie jednolitego rynku w odniesieniu do opracowania i wykorzystywania innowacyjnych produktów i świadczeń zdrowotnych opartych na danych dotyczących zdrowia oraz zapewnić, aby badacze, innowatorzy, decydenci i organy regulacyjne mogli jak najlepiej wykorzystać dostępne dane dotyczące zdrowia do celów swojej pracy, przy jednoczesnym zachowaniu zaufania i bezpieczeństwa.

1.4.2.Cel(e) szczegółowy(e)

Cel szczegółowy nr 1

Umocnienie pozycji osób fizycznych dzięki zwiększeniu cyfrowego dostępu do ich danych dotyczących zdrowia i kontroli nad takimi danymi oraz wsparciu swobodnego przepływu takich danych.

Cel szczegółowy nr 2

Określenie wymogów odnoszących się do systemów elektronicznej dokumentacji medycznej oraz obowiązków w celu zapewnienia, aby systemy elektronicznej dokumentacji medycznej wprowadzane do obrotu i znajdujące się w użyciu były interoperacyjne, bezpieczne i stosowane z poszanowaniem praw osób fizycznych w odniesieniu do ich danych dotyczących zdrowia.

Cel szczegółowy nr 3 

Zapewnienie spójnych i wydajnych ram wtórnego wykorzystywania danych osób fizycznych dotyczących zdrowia na potrzeby badań naukowych, innowacji, kształtowania polityki, statystyki publicznej, bezpieczeństwa pacjentów lub działań regulacyjnych.

1.4.3.Oczekiwane wyniki i wpływ

Należy wskazać, jakie efekty przyniesie wniosek/inicjatywa beneficjentom/grupom docelowym.

Cel szczegółowy nr 1

Osoby fizyczne powinny uzyskać łatwiejszy dostęp do swoich danych dotyczących zdrowia i łatwiejszą kontrolę nad nimi, w tym w wymiarze transgranicznym.

Cel szczegółowy nr 2

Dostawcy i producenci systemów elektronicznej dokumentacji medycznej powinni skorzystać dzięki minimalnemu lecz jasnemu zestawowi wymogów dotyczących interoperacyjności i bezpieczeństwa takich systemów, ograniczającemu bariery w dostawach takich systemów na jednolitym rynku.

Cel szczegółowy nr 3

Osoby fizyczne powinny uzyskać korzyści dzięki licznym innowacyjnym produktom i świadczeniom zdrowotnym dostarczanym i opracowywanym na podstawie pierwotnego i wtórnego wykorzystywania danych dotyczących zdrowia, przy jednoczesnym zachowaniu zaufania i bezpieczeństwa.

Użytkownicy danych dotyczących zdrowia, mianowicie badacze, innowatorzy, decydenci i organy regulacyjne, powinni skorzystać ze sprawniejszego wtórnego wykorzystywania danych dotyczących zdrowia.

1.4.4.Wskaźniki dotyczące realizacji celów

Należy wskazać wskaźniki stosowane do monitorowania postępów i osiągnięć.

Cel szczegółowy nr 1

a)Liczba świadczeniodawców różnego rodzaju połączonych z infrastrukturą MojeZdrowie@UE (MyHealth@EU), obliczona a) w ujęciu bezwzględnym, b) jako odsetek wszystkich świadczeniodawców oraz c) jako odsetek osób fizycznych, które mogą korzystać z usług świadczonych w ramach infrastruktury MojeZdrowie@UE (MyHealth@EU);

b)ilość elektronicznych danych osobowych dotyczących zdrowia różnych kategorii udostępnianych transgranicznie za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU);

c)odsetek osób fizycznych mających dostęp do swojej elektronicznej dokumentacji medycznej;

d)poziom zadowolenia osób fizycznych z usług w ramach infrastruktury MojeZdrowie@UE (MyHealth@EU).

Wartości te będą gromadzone w ramach rocznej sprawozdawczości organów ds. e-zdrowia.

Cel szczegółowy nr 2

e)Liczba certyfikowanych systemów elektronicznej dokumentacji medycznej i oznakowanych aplikacji wspierających dobrostan wpisanych do unijnej bazy danych;

f)liczba przypadków niezgodności z obowiązkowymi wymogami.

Wartości te będą gromadzone w ramach rocznej sprawozdawczości organów ds. e-zdrowia.

Cel szczegółowy nr 3

g)Liczba zbiorów danych opublikowanych w europejskim katalogu danych;

h)liczba wniosków o dostęp do danych z podziałem na wnioski krajowe i wnioski obejmujące wiele państw, rozpatrzonych, zatwierdzonych lub odrzuconych przez organy ds. dostępu do danych dotyczących zdrowia.

Wartości te będą gromadzone w ramach rocznej sprawozdawczości organów ds. dostępu do danych dotyczących zdrowia.

1.5.Uzasadnienie wniosku/inicjatywy 

1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy

Niniejsze rozporządzenie będzie w pełni stosowane cztery lata po wejściu w życie, gdy minie odroczenie stosowania. Przed tym terminem należy wprowadzić przepisy dotyczące praw osób fizycznych (rozdział II), certyfikacji systemów elektronicznej dokumentacji medycznej (rozdział III), wtórnego wykorzystywania danych dotyczących zdrowia (rozdział IV) i zarządzania (rozdział V). W szczególności państwa członkowskie powinny wcześniej wyznaczyć istniejące organy lub ustanowić nowe organy do wykonania zadań określonych w przepisach, tak aby wcześniej powstała Rada ds. Europejskiej Przestrzeni Danych Dotyczących Zdrowia i była w stanie służyć im pomocą. Wcześniej powinna również działać infrastruktura umożliwiająca pierwotne i wtórne wykorzystywanie danych dotyczących zdrowia, aby umożliwić rejestrację wszystkich państw członkowskich przed dniem, w którym niniejsze rozporządzenie stanie się w pełni stosowane.

1.5.2.Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tego punktu „wartość dodaną z tytułu zaangażowania Unii” należy rozumieć jako wartość wynikającą z unijnej interwencji wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.

Przyczyny działania na poziomie europejskim (ex ante)

Jak pokazuje ocena art. 14 dyrektywy 2011/24/UE w sprawie transgranicznej opieki zdrowotnej, dotychczasowe podejścia polegające na stosowaniu instrumentów o niskiej intensywności/instrumentów „miękkiego prawa”, takich jak wytyczne i zalecenia mające na celu wspieranie interoperacyjności, nie przyniosły pożądanych rezultatów. Krajowe podejścia do rozwiązywania problemów mają ograniczony zakres i nie uwzględniają w pełni kwestii ogólnounijnych: obecnie transgraniczna wymiana danych dotyczących zdrowia jest nadal bardzo ograniczona, co częściowo wynika ze znacznego zróżnicowania norm stosowanych w odniesieniu do danych dotyczących zdrowia w poszczególnych państwach członkowskich. W wielu państwach członkowskich na poziomie krajowym, regionalnym i lokalnym występują poważne problemy związane z interoperacyjnością i możliwością przenoszenia danych, co utrudnia ciągłość opieki i zmniejsza sprawność systemów opieki zdrowotnej. Nawet jeśli dane dotyczące zdrowia są dostępne w formie elektronicznej, zazwyczaj nie są one przekazywane danej osobie fizycznej, gdy korzysta ona z usług innego świadczeniodawcy.

Oczekiwana wygenerowana unijna wartość dodana (ex post)

Działanie podejmowane w ramach niniejszego rozporządzenia na szczeblu europejskim zwiększą skuteczność środków wdrażanych w celu rozwiązania tych problemów. Ustanowienie wspólnych praw osób fizycznych dotyczących dostępu do danych dotyczących zdrowia i kontrolowania takich danych oraz ustanowienie wspólnych przepisów i obowiązków dotyczących interoperacyjności i bezpieczeństwa systemów elektronicznej dokumentacji medycznej ograniczy koszty związane z przepływem danych dotyczących zdrowia w UE. Wspólna podstawa prawna dotycząca wtórnego wykorzystywania danych dotyczących zdrowia również przyniesie użytkownikom danych przyrosty wydajności w obszarze zdrowia. Ustanowienie wspólnych ram zarządzania obejmujących pierwotne i wtórne wykorzystywanie danych dotyczących zdrowia ułatwi koordynację.

1.5.3.Główne wnioski wyciągnięte z podobnych działań

W ocenie przepisów dyrektywy w sprawie transgranicznej opieki zdrowotnej związanych z e-zdrowiem stwierdzono, że biorąc pod uwagę dobrowolny charakter działań w ramach sieci e-zdrowie, skuteczność i wydajność rosnącej transgranicznej wymiany danych dotyczących zdrowia jest raczej ograniczona. Postępy we wdrażaniu infrastruktury MojeZdrowie@UE (MyHealth@EU) są powolne. Chociaż w ramach sieci e-zdrowie państwom członkowskim zalecono stosowanie w zamówieniach publicznych norm, profili i specyfikacji dotyczących formatu wymiany elektronicznej dokumentacji medycznej w celu budowania interoperacyjnych systemów, ich stosowanie było ograniczone, co skutkowało rozdrobnieniem oraz nierównym dostępem do danych dotyczących zdrowia i nierówną możliwością ich przenoszenia. Z tego powodu konieczne jest określenie szczegółowych przepisów, praw i obowiązków dotyczących dostępu osób fizycznych do ich danych dotyczących zdrowia i ich kontroli nad tymi danymi oraz transgranicznej wymiany takich danych na potrzeby pierwotnego i wtórnego wykorzystywania, wraz ze strukturą zarządzania zapewniającą koordynację określonych odpowiedzialnych organów na szczeblu unijnym.

1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami

Europejska przestrzeń danych dotyczących zdrowia jest silnie powiązana z kilkoma innymi działaniami Unii w obszarze zdrowia i opieki społecznej, digitalizacji, badań, innowacji i praw podstawowych.

Niniejsze rozporządzenie definiuje przepisy, prawa i obowiązki dotyczące funkcjonowania europejskiej przestrzeni danych dotyczących zdrowia, jak również wprowadzenie niezbędnej infrastruktury, systemów certyfikacji/oznakowania i ram zarządzania. Działania te mają charakter komplementarny w stosunku do przepisów horyzontalnych w akcie w sprawie zarządzania danymi, akcie w sprawie danych i ogólnym rozporządzeniu o ochronie danych.

Wypełnienie zobowiązań Komisji i związane z nimi działania wspierające na podstawie niniejszego wniosku ustawodawczego będą wymagały przeznaczenia w latach 2023–2027 kwoty 220 mln EUR. Przewiduje się, że większość kosztów wynikających z niniejszego rozporządzenia (170 mln EUR) będzie finansowana z Programu UE dla zdrowia zgodnie z art. 4 lit. f) rozporządzenia w sprawie Programu UE dla zdrowia 61 . Przewidziane działania przyczyniają się również do osiągnięcia celów szczegółowych określonych w art. 4 lit. a), b) i h). W ramach programu „Cyfrowa Europa” dodatkowe 50 mln EUR posłuży wsparciu dostępu pacjentów do ich danych dotyczących zdrowia za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU). W obu przypadkach wydatki związane z niniejszym wnioskiem zostaną pokryte z kwot zaprogramowanych w ramach tych programów.

W programach prac na lata 2021 i 2022 w ramach Programu UE dla zdrowia już teraz przeznaczono na rozwój i ustanowienie europejskiej przestrzeni danych dotyczących zdrowia znaczną kwotę początkową w wysokości niemal 110 mln EUR. Obejmuje ona funkcjonowanie istniejącej infrastruktury służącej do pierwotnego wykorzystywania danych dotyczących zdrowia [MojeZdrowie@UE (MyHealth@EU)], wdrożenie norm międzynarodowych przez państwa członkowskie, działania w zakresie budowania zdolności i inne działania przygotowawcze, a także projekt pilotażowy w zakresie infrastruktury służącej do wtórnego wykorzystywania danych dotyczących zdrowia, projekt pilotażowy w zakresie dostępu pacjentów do ich danych dotyczących zdrowia za pośrednictwem infrastruktury MojeZdrowie@UE (MyHealth@EU) i jej rozszerzenie oraz rozwój służb centralnych ds. wtórnego wykorzystywania danych dotyczących zdrowia.

Oprócz opisanych powyżej 330 mln EUR w ramach Programu UE dla zdrowia i programu „Cyfrowa Europa” inne działania w ramach programu „Cyfrowa Europa”, instrumentu „Łącząc Europę” i programu „Horyzont Europa” uzupełnią i ułatwią wdrożenie europejskiej przestrzeni danych dotyczących zdrowia. Ponadto Komisja może wspierać – na wniosek – państwa członkowskie w osiąganiu celów niniejszego wniosku przez zapewnienie bezpośredniego wsparcia technicznego ze środków Instrumentu Wsparcia Technicznego. Programy te służą celowi m.in. „budowania i wzmacniania w zakresie zasobów danych wysokiej jakości i odpowiadających im mechanizmów wymiany” 62  oraz mają na celu „rozwijanie, promowanie i zwiększanie doskonałości naukowej” 63 , w tym w dziedzinie zdrowia. Przykłady takiej komplementarności obejmują horyzontalne wsparcie na rzecz opracowania i pilotażu na dużą skalę inteligentnej platformy oprogramowania pośredniczącego dla wspólnych przestrzeni danych, na którą w latach 2021–2022 przeznaczono już 105 mln EUR z programu „Cyfrowa Europa”; inwestycje dotyczące konkretnych dziedzin, mające na celu ułatwienie bezpiecznego transgranicznego dostępu do obrazów nowotworów i genomiki, wspierane w ramach programu „Cyfrowa Europa” w latach 2021–2022 kwotą 38 mln EUR; a także projekty badawcze i innowacyjne oraz działania koordynacyjne i wspierające w zakresie jakości i interoperacyjności danych dotyczących zdrowia, na które przeznaczono już wsparcie w ramach programu „Horyzont Europa” (klaster 1) w wysokości 108 mln EUR w 2021 r. i 2022 r., a także 59 mln EUR z programu poświęconego infrastrukturom badawczym. W ramach programu „Horyzont Europa” w 2021 r. i 2022 r. przewidziano również dodatkowe wsparcie na wtórne wykorzystywanie danych dotyczących zdrowia w związku z COVID-19 (42 mln EUR) i nowotworami (3 mln EUR).

Ponadto, w przypadku braku fizycznej łączności w sektorze zdrowia, instrument „Łącząc Europę” umożliwi „przyczynianie się do opracowywania projektów będących przedmiotem wspólnego zainteresowania, dotyczących upowszechnienia oraz dostępu do bezpiecznych i chronionych sieci o bardzo dużej przepustowości, w tym systemów 5G, oraz do zwiększenia odporności i przepustowości cyfrowych sieci szkieletowych na terytoriach Unii” 64 . Na lata 2022 i 2023 zaprogramowano 130 mln EUR na wzajemne połączenia między infrastrukturami w chmurze, w tym w dziedzinie zdrowia.

Ponadto koszty podłączenia państw członkowskich do infrastruktur europejskich w ramach europejskiej przestrzeni danych dotyczących zdrowia będą częściowo pokrywane z programów finansowania unijnego, które uzupełnią Program UE dla zdrowia. Instrumenty takie jak Instrument na rzecz Odbudowy i Zwiększania Odporności (RRF) oraz Europejski Fundusz Rozwoju Regionalnego (EFRR) będą mogły posłużyć do wspierania podłączenia państw członkowskich do infrastruktur europejskich.

1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym zakresu przegrupowania środków

Wypełnienie zobowiązań Komisji i związane z nimi działania wspierające na podstawie niniejszego wniosku ustawodawczego będą finansowane bezpośrednio z Programu UE dla zdrowia oraz dodatkowo z programu „Cyfrowa Europa”.

Przegrupowane działania w ramach programów „Cyfrowa Europa” i „Horyzont Europa” dotyczące zdrowia i e-zdrowia również będą mogły stanowić uzupełnienie działań wdrażających służących wspieraniu niniejszego rozporządzenia w ramach Programu UE dla zdrowia.

1.6.Czas trwania i wpływ finansowy wniosku/inicjatywy

 Ograniczony czas trwania

   Okres trwania wniosku/inicjatywy: od [DD/MM]RRRR r. do [DD/MM]RRRR r.

   Okres trwania wpływu finansowego: od RRRR r. do RRRR r. w odniesieniu do środków na zobowiązania oraz od RRRR r. do RRRR r. w odniesieniu do środków na płatności.

 Nieograniczony czas trwania

Wprowadzenie w życie z okresem rozruchu od stycznia 2023 r.,

po którym następuje faza operacyjna.

1.7.Planowane tryby zarządzania 65  

 Bezpośrednie zarządzanie przez Komisję

w ramach jej służb, w tym za pośrednictwem jej pracowników w delegaturach Unii;

przez agencje wykonawcze;

 Zarządzanie dzielone z państwami członkowskimi

Zarządzanie pośrednie poprzez przekazanie zadań związanych z wykonaniem budżetu:

państwom trzecim lub organom przez nie wyznaczonym;

organizacjom międzynarodowym i ich agencjom (należy wyszczególnić);

EBI oraz Europejskiemu Funduszowi Inwestycyjnemu;

organom, o których mowa w art. 70 i 71 rozporządzenia finansowego;

organom prawa publicznego;

podmiotom podlegającym prawu prywatnemu, które świadczą usługi użyteczności publicznej, o ile są im zapewnione odpowiednie gwarancje finansowe;

podmiotom prawa prywatnego państwa członkowskiego, którym powierzono realizację partnerstwa publiczno-prywatnego i którym zapewniono odpowiednie gwarancje finansowe;

osobom odpowiedzialnym za wykonanie określonych działań w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa na mocy tytułu V Traktatu o Unii Europejskiej oraz określonym we właściwym podstawowym akcie prawnym.

W przypadku wskazania więcej niż jednego trybu zarządzania należy podać dodatkowe informacje w części „Uwagi”.

Uwagi

2.ŚRODKI ZARZĄDZANIA 

2.1.Zasady nadzoru i sprawozdawczości 

Określić częstotliwość i warunki.

Rozporządzenie zostanie poddane przeglądowi i ocenie po upływie siedmiu lat od jego wejścia w życie. Ukierunkowaną ocenę certyfikacji własnej w odniesieniu do systemów elektronicznej dokumentacji medycznej i odzwierciedlenia potrzeby wprowadzenia procedury oceny zgodności wykonywanej przez jednostki notyfikowane należy przeprowadzić po upływie pięciu lat od wejścia rozporządzenia w życie. Komisja przedstawi sprawozdanie z wyników oceny Parlamentowi Europejskiemu, Radzie, Europejskiemu Komitetowi Ekonomiczno-Społecznemu oraz Komitetowi Regionów.

Wniosek obejmuje rozszerzenie i wprowadzenie transgranicznych infrastruktur cyfrowych do pierwotnego i wtórnego wykorzystywania danych dotyczących zdrowia, które to infrastruktury ułatwią monitorowanie kilku wskaźników.

2.2.System zarządzania i kontroli 

2.2.1.Uzasadnienie dla systemu zarządzania, mechanizmów finansowania wykonania, warunków płatności i proponowanej strategii kontroli

W rozporządzeniu ustanawia się nową politykę dotyczącą ochrony elektronicznych danych dotyczących zdrowia, zharmonizowane przepisy dotyczące systemów elektronicznej dokumentacji medycznej oraz przepisy i zarządzanie w zakresie ponownego wykorzystywania danych dotyczących zdrowia. Te nowe przepisy wymagają wspólnego mechanizmu koordynacji w zakresie transgranicznego stosowania obowiązków wynikających z niniejszego rozporządzenia w postaci utworzenia nowej grupy doradczej koordynującej działania organów krajowych.

Działania przewidziane w ramach niniejszego rozporządzenia będą realizowane w trybie zarządzania bezpośredniego przy wykorzystaniu form realizacji przewidzianych w rozporządzeniu finansowym, przede wszystkim dotacji i zamówień. Zarządzanie bezpośrednie umożliwia zawieranie umów o udzielenie dotacji i zamówień z beneficjentami i wykonawcami bezpośrednio zaangażowanymi w działania służące realizacji polityki unijnej. Komisja zapewni bezpośrednie monitorowanie wyników finansowanych działań. Formy płatności na potrzeby finansowanych działań będą dostosowane do ryzyka wiążącego się z transakcjami finansowymi.

Aby zagwarantować skuteczność, wydajność i oszczędność kontroli przeprowadzanych przez Komisję, strategia kontroli zostanie ukierunkowana na równowagę między kontrolami ex ante i ex post oraz będzie skoncentrowana na trzech kluczowych etapach realizacji dotacji/zamówień, zgodnie z rozporządzeniem finansowym:

a)wyborze wniosków/ofert odpowiadających celom politycznym rozporządzenia;

b)kontrolach operacyjnych, monitorowaniu i kontrolach ex ante obejmujących realizację projektu, zamówienia publiczne, płatności zaliczkowe, płatności okresowe i końcowe, zarządzanie gwarancjami.

Prowadzone będą również kontrole ex post u beneficjentów/wykonawców w odniesieniu do próby transakcji. Wybór tych transakcji będzie łączył w sobie aspekt oceny ryzyka i wyboru losowego.

2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia

Wdrażanie niniejszego rozporządzenia skupia się na udzielaniu zamówień publicznych i dotacji na konkretne działania i konkretnym organizacjom.

Zamówienia publiczne będą zawierane głównie na dostarczenie europejskich platform infrastruktur cyfrowych i powiązanych z nimi usług oraz na pomoc techniczną w zakresie ram zarządzania.

Dotacje przyznawane będą głównie na wspieranie przyłączenia państw członkowskich do europejskiej infrastruktury, wsparcie projektów dotyczących interoperacyjności i prowadzenie wspólnych działań. Okres realizacji subsydiowanych projektów i działań waha się głównie od jednego roku do trzech lat.

Główne czynniki ryzyka są następujące:

a)ryzyko niepełnej realizacji celów rozporządzenia ze względu na niewystarczający poziom wykorzystania lub jakość/opóźnienia we wdrażaniu wybranych projektów lub zamówień;

b)ryzyko nieefektywnego lub niegospodarnego wykorzystania przyznanych środków, zarówno w przypadku dotacji (złożoność zasad finansowania), jak i zamówień (ograniczona liczba podmiotów gospodarczych posiadających wymaganą wiedzę specjalistyczną, co oznacza niewystarczające możliwości porównania ofert cenowych w niektórych sektorach);

c)ryzyko utraty reputacji Komisji w przypadku wykrycia nadużyć finansowych lub działalności przestępczej; systemy kontroli wewnętrznej stron trzecich dają tylko częściową pewność ze względu na dość dużą liczbę zróżnicowanych wykonawców i beneficjentów, z których każdy posiada własny system kontroli wewnętrznej.

Komisja wprowadziła procedury wewnętrzne, których celem jest uwzględnianie określonych powyżej czynników ryzyka. Te procedury wewnętrzne są w pełni zgodne z rozporządzeniem finansowym i obejmują środki zwalczania nadużyć finansowych oraz oceny kosztów i korzyści. W tym kontekście Komisja nadal poszukuje możliwości poprawy zarządzania i uzyskania przyrostu wydajności. Główne elementy ram kontroli:

1)Kontrole przed rozpoczęciem projektów i w trakcie ich realizacji:

a)Wprowadzony zostanie odpowiedni system zarządzania projektami, z naciskiem na wkład projektów i umów w realizację celów polityki, który to system obejmuje: zapewnienie systematycznego zaangażowania wszystkich podmiotów; ustanowienie regularnej sprawozdawczości w zakresie zarządzania projektami, uzupełnionej o wizyty na miejscu w poszczególnych przypadkach, w tym sprawozdania na temat ryzyka dla kadry kierowniczej wyższego szczebla; a także utrzymanie odpowiedniej elastyczności budżetowej.

b)Korzysta się z wzorów umów o udzielenie dotacji i umów o świadczenie usług opracowanych w ramach Komisji. Zawierają one szereg przepisów dotyczących środków kontroli, obejmujących m.in. świadectwa audytu, gwarancje finansowe, kontrole na miejscu oraz inspekcje przeprowadzane przez OLAF. Przepisy regulujące kwalifikowalność kosztów są upraszczane, na przykład przez stosowanie kosztów jednostkowych, płatności ryczałtowych, wkładów niepowiązanych z kosztami i innych możliwości, jakie zapewnia rozporządzenie finansowe. Przyczyni się to do ograniczenia kosztów kontroli i położenia nacisku na kontrole w obszarach wysokiego ryzyka.

c)Wszyscy pracownicy podpisują kodeks dobrego postępowania administracyjnego. Pracownicy, którzy są zaangażowani w procedurę wyboru lub zarządzanie umowami o udzielenie dotacji/zamówieniami, podpisują (również) deklarację o braku konfliktu interesów. Pracownicy są regularnie szkoleni i wykorzystują sieci do wymiany najlepszych praktyk.

d)Techniczna realizacja projektów podlega regularnym kontrolom dokumentacji na podstawie sprawozdań z postępu technicznego sporządzanych przez wykonawców i beneficjentów; dodatkowo w zależności od indywidualnego przypadku przewiduje się spotkania wykonawców i beneficjentów i wizyty na miejscu.

2)Kontrole po zakończeniu projektu:

Audyty ex post są przeprowadzane na próbie transakcji w celu zweryfikowania na miejscu kwalifikowalności wniosków o zwrot kosztów. Kontrole te służą zapobieganiu istotnym błędom związanym z legalnością i prawidłowością transakcji finansowych, a także wykrywaniu i naprawianiu takich błędów. W celu osiągnięcia wysokiej skuteczności kontroli w metodzie wyboru beneficjentów do audytu przewiduje się połączenie wyboru opartego na ocenie ryzyka z losowym doborem próby oraz w miarę możliwości zwrócenie uwagi na aspekty operacyjne w trakcie kontroli na miejscu.

2.2.3.Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu) 

Roczne koszty proponowanego poziomu kontroli w ramach trzeciego Programu działań w dziedzinie zdrowia 2014–2020 stanowiły około 4–7 % rocznego budżetu wydatków operacyjnych. Jest to uzasadnione różnorodnością kontrolowanych transakcji. W dziedzinie działań dotyczących zdrowia zarządzanie bezpośrednie wymaga bowiem udzielania licznych zamówień i przyznania licznych dotacji na działania od bardzo małego do bardzo dużego zasięgu oraz wypłacenia licznych dotacji na działalność na rzecz organizacji pozarządowych. Ryzyko związane z tymi działaniami dotyczy zdolności (zwłaszcza) mniejszych organizacji do sprawowania skutecznej kontroli nad wydatkami.

Komisja uważa, że średnie koszty kontroli będą prawdopodobnie takie same w przypadku działań proponowanych w niniejszym rozporządzeniu.

W ramach trzeciego Programu działań w dziedzinie zdrowia 2014–2020 w okresie 5 lat poziom błędu w odniesieniu do audytów na miejscu dotyczących dotacji podlegających zarządzaniu bezpośredniemu wyniósł 1,8 %, zaś w przypadku zamówień publicznych – poniżej 1 %. Ten poziom błędu jest uważany za dopuszczalny, bowiem znajduje się poniżej progu istotności równego 2 %.

Proponowane działania nie wpłyną na obecny sposób zarządzania środkami. Z doświadczenia wynika, że w ramach obowiązującego systemu kontroli jest możliwe zapobieganie błędom lub nieprawidłowościom lub ich wykrywanie, a w przypadku ich wystąpienia możliwa jest ich korekta. System zostanie dostosowany w celu uwzględnienia nowych działań i zagwarantowania, aby poziom błędu rezydualnego (po korekcie) pozostał poniżej progu 2 %.

2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom 

Określić istniejące lub przewidywane środki zapobiegania i ochrony, np. ze strategii zwalczania nadużyć finansowych.

W odniesieniu do swoich działań objętych zarządzaniem bezpośrednim Komisja przyjmuje odpowiednie środki zapewniające ochronę interesów finansowych Unii Europejskiej przez stosowanie środków zapobiegania nadużyciom finansowym, korupcji i wszelkim innym nielegalnym działaniom, przez skuteczne kontrole oraz, w razie wykrycia nieprawidłowości, przez odzyskiwanie kwot nienależnie wypłaconych a także, w stosownych przypadkach, przez skuteczne, proporcjonalne i odstraszające kary. W tym celu Komisja przyjęła strategię w zakresie zwalczania nadużyć finansowych, zaktualizowaną ostatnio w kwietniu 2019 r. (COM(2019) 196), obejmującą w szczególności następujące środki zapobiegawcze, dochodzeniowe i naprawcze:

Komisja lub jej przedstawiciele oraz Trybunał Obrachunkowy mają uprawnienia do audytu, na podstawie dokumentacji i na miejscu, wobec wszystkich beneficjentów dotacji, wykonawców i podwykonawców, którzy otrzymują od Unii środki finansowe. OLAF jest upoważniony do przeprowadzania kontroli i inspekcji na miejscu u podmiotów gospodarczych, których takie finansowanie dotyczy bezpośrednio lub pośrednio.

Komisja stosuje również szereg środków, takich jak:

a)w ramach decyzji, umów i zamówień wynikających z wykonania niniejszego rozporządzenia Komisji, w tym OLAF, i Trybunałowi Obrachunkowemu będą przyznane uprawnienia do przeprowadzania audytów, kontroli na miejscu oraz inspekcji, a także do odzyskiwania kwot nienależnie wypłaconych oraz – w stosownych przypadkach – do nakładania kar administracyjnych;

b)podczas etapu oceniania zaproszenia do składania wniosków/ofert przetargowych wnioskodawcy i oferenci są sprawdzani pod względem opublikowanych kryteriów wykluczenia na podstawie deklaracji oraz za pomocą systemu wczesnego wykrywania i wykluczania;

c)przepisy regulujące kwalifikowalność kosztów zostaną uproszczone zgodnie z przepisami rozporządzenia finansowego;

d)dla wszystkich pracowników zaangażowanych w zarządzanie zamówieniami, a także dla audytorów i administratorów weryfikujących deklaracje beneficjentów na miejscu organizowane są regularne szkolenia dotyczące kwestii związanych z nadużyciami finansowymi i nieprawidłowościami.

3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY 

3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ 

·Istniejące linie budżetowe

Według działów wieloletnich ram finansowych i linii budżetowych.

Dział wieloletnich ram finansowych

Linia budżetowa

Rodzaj 
wydatków

Wkład

Numer

Zróżn./Niezróżn. 66

państw EFTA 67

krajów kandydujących 68

z państw trzecich

w rozumieniu art. 21 ust. 2 lit. b) rozporządzenia finansowego

1

02 04 03 – Program „Cyfrowa Europa” – Sztuczna inteligencja

Zróżn.

TAK

TAK

TAK

NIE

2b

06 06 01 – Program UE dla zdrowia

Zróżn.

TAK

TAK

TAK

NIE

7 

20 02 06 Wydatki administracyjne

Niezróżn. 

NIE

NIE

NIE

NIE

3.2.Szacunkowy wpływ finansowy wniosku na środki 

3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne 

   Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków operacyjnych

   Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków operacyjnych, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

Dział wieloletnich ram
finansowych

1

Jednolity rynek, innowacje i gospodarka cyfrowa

DG CNECT

Rok
2022 69

Rok
2023

Rok
2024

Rok
2025

Rok
2026

Rok
2027

Kolejne lata (w ujęciu rocznym)

OGÓŁEM 2023–2027

• Środki operacyjne

02 04 03 – Program „Cyfrowa Europa” – Sztuczna inteligencja

Środki na zobowiązania

(1a)

10,000

20,000

20,000

50,000

Środki na płatności

(2a)

5,000

15,000

10,000

10,000

10,000 70

50,000

Środki administracyjne finansowane ze środków przydzielonych na określone programy operacyjne 71  

Linia budżetowa

(3)

OGÓŁEM środki
dla DG CNECT

Środki na zobowiązania

=1a+1b+1c+3

10,000

20,000

20,000

50,000

Środki na płatności

=2a+2b+2c

+3

5,000

15,000

10,000

10,000

10,000

50,000

Środki z programu „Cyfrowa Europa” na 2023 r. mają charakter orientacyjny i zostaną uwzględnione w kontekście przygotowania odpowiednich programów prac. Ich ostateczny przydział będzie uzależniony od ustalenia priorytetów finansowania w kontekście leżącej u podstaw procedury przyjmowania i zgody odpowiedniego komitetu programowego.



OGÓŁEM środki operacyjne

Środki na zobowiązania

(4)

10,000

20,000

20,000

50,000

Środki na płatności

(5)

5,000

15,000

10,000

10,000

10,000

50,000

• OGÓŁEM środki administracyjne finansowane ze środków przydzielonych na określone programy

(6)

OGÓŁEM środki
na DZIAŁ 1
wieloletnich ram finansowych

Środki na zobowiązania

=4+6

10,000

20,000

20,000

50,000

Środki na płatności

=5+6

5,000

15,000

10,000

10,000

10,000

50,000

Dział wieloletnich ram
finansowych

2b

Spójność, odporność i wartości

DG SANTE

Rok
2022 72

Rok
2023

Rok
2024

Rok
2025

Rok
2026

Rok
2027

Kolejne lata (w ujęciu rocznym)

OGÓŁEM 2023–2027

• Środki operacyjne

06 06 01 – Program UE dla zdrowia

Środki na zobowiązania

(1a)

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Środki na płatności

(2a)

13,000

25,500

29,500

34,500

67,500

15,000

170,000

Środki administracyjne finansowane ze środków przydzielonych na określone programy operacyjne 73  

Linia budżetowa

(3)

OGÓŁEM środki
dla DG SANTE

Środki na zobowiązania

=1a+1b+1c+3

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Środki na płatności

=2a+2b+2c

+3

13,000

25,500

29,500

34,500

67,500

15,000

170,000



OGÓŁEM środki operacyjne

Środki na zobowiązania

(4)

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Środki na płatności

(5)

13,000

25,500

29,500

34,500

67,500

15,000

170,000

• OGÓŁEM środki administracyjne finansowane ze środków przydzielonych na określone programy

(6)

OGÓŁEM środki
na DZIAŁ 2b
wieloletnich ram finansowych

Środki na zobowiązania

=4+6

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Środki na płatności

=5+6

13,000

25,500

29,500

34,500

67,500

15,000

170,000





Dział wieloletnich ram
finansowych

7

Wydatki administracyjne

Niniejszą część uzupełnia się przy użyciu „danych budżetowych o charakterze administracyjnym”, które należy najpierw wprowadzić do załącznika do oceny skutków finansowych regulacji (załącznika V do zasad wewnętrznych), przesyłanego do DECIDE w celu konsultacji pomiędzy służbami.

w mln EUR (do trzech miejsc po przecinku)

Rok
2022

Rok
2023

Rok
2024

Rok
2025

Rok
2026

Rok
2027

Kolejne lata (w ujęciu rocznym)

OGÓŁEM 2023–2027

DG SANTE

• Zasoby ludzkie

3,289

3,289

3,289

3,289

3,289

3,289

16,445

• Pozostałe wydatki administracyjne

0,150

0,150

0,250

0,250

0,250

0,250

1,050

OGÓŁEM DG SANTE

Środki

3,439

3,439

3,539

3,539

3,539

3,539

17,495

OGÓŁEM środki
na DZIAŁ 7
wieloletnich ram finansowych
 

(Środki na zobowiązania ogółem = środki na płatności ogółem)

3,439

3,439

3,539

3,539

3,539

3,539

17,495

w mln EUR (do trzech miejsc po przecinku)

Rok
2022

Rok
2023

Rok
2024

Rok
2025

Rok
2026

Rok
2027

Kolejne lata (w ujęciu rocznym)

OGÓŁEM 2023–2027

OGÓŁEM środki
na DZIAŁY 1–7
wieloletnich ram finansowych
 

Środki na zobowiązania

29,439

38,439

57,539

38,539

73,539

18,539

237,495

Środki na płatności

16,439

33,939

48,039

48,039

91,039

18,539

237,495

3.2.2.Przewidywany produkt finansowany ze środków operacyjnych 

Środki na zobowiązania w mln EUR (do trzech miejsc po przecinku)

Należy określić cele i produkty

Rok
2022

Rok
2023

Rok
2024

Rok
2025

Rok
2026

Rok
2027

Kolejne lata (w ujęciu rocznym)

OGÓŁEM 2023–2027

PRODUKTY

Rodzaj 74

Średni koszt

Liczba

Koszt

Liczba

Koszt

Liczba

Koszt

Liczba

Koszt

Liczba

Koszt

Liczba

Koszt

Liczba

Koszt

Liczba ogółem

Koszt całkowity

CEL SZCZEGÓŁOWY nr 1

Rozwój i utrzymanie europejskiej platformy podstawowej na potrzeby infrastruktury MojeZdrowie@UE (MyHealth@EU) i wsparcie dla państw członkowskich

16,400

 

18,000

 

28,000

 

10,000

 

38,000

 

8,000

 

110,400

Cel szczegółowy nr 1 – suma cząstkowa

16,400

 

18,000

 

28,000

 

10,000

 

38,000

 

8,000

 

110,400

CEL SZCZEGÓŁOWY nr 2

Bazy danych dla systemów elektronicznej dokumentacji medycznej i aplikacji wspierających dobrostan

3,100

 

3,000

 

3,000

 

3,000

 

2,000

 

2,000

 

14,100

Cel szczegółowy nr 2 – suma cząstkowa

3,100

 

3,000

 

3,000

 

3,000

 

2,000

 

2,000

 

14,100

CEL SZCZEGÓŁOWY nr 3

Rozwój i utrzymanie europejskiej podstawowej platformy DaneZdrowotne@UE (HealthData@EU) i wsparcie dla państw członkowskich

6,500

 

14,000

 

23,000

 

22,000

 

30,000

 

5,000

 

95,500

Cel szczegółowy nr 3 – suma cząstkowa

6,500

 

14,000

 

23,000

 

22,000

 

30,000

 

5,000

 

95,500

OGÓŁEM

26,000

 

35,000

 

54,000

 

35,000

 

70,000

 

15,000

 

220,000

3.2.3.Podsumowanie szacunkowego wpływu na środki administracyjne 

   Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków administracyjnych

   Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków administracyjnych, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

Rok
2022

Rok
2023

Rok
2024

Rok
2025

Rok
2026

Rok
2027 i kolejne lata

OGÓŁEM

DZIAŁ 7
wieloletnich ram finansowych

Zasoby ludzkie

3,289

3,289

3,289

3,289

3,289

16,445

Pozostałe wydatki administracyjne

0,150

0,150

0,250

0,250

0,250

1,050

DZIAŁ 7
wieloletnich ram finansowych – suma cząstkowa

3,439

3,439

3,539

3,539

3,539

17,495

Rok
2022

Rok
2023

Rok
2024

Rok
2025

Rok
2026

Rok
2027 i kolejne lata

OGÓŁEM

Poza DZIAŁEM 7 75  
wieloletnich ram finansowych

Zasoby ludzkie

Pozostałe wydatki o charakterze administracyjnym

Poza DZIAŁEM 7 wieloletnich ram finansowych – suma cząstkowa

Rok
2022

Rok
2023

Rok
2024

Rok
2025

Rok
2026

Rok
2027 i kolejne lata

OGÓŁEM

OGÓŁEM

3,439

3,439

3,539

3,539

3,539

17,495

Potrzeby w zakresie środków na zasoby ludzkie i inne wydatki o charakterze administracyjnym zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

3.2.3.1.Szacowane zapotrzebowanie na zasoby ludzkie

   Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania zasobów ludzkich.

   Wniosek/inicjatywa wiąże się z koniecznością wykorzystania zasobów ludzkich, jak określono poniżej:

Wartości szacunkowe należy wyrazić w ekwiwalentach pełnego czasu pracy

Rok
2022

Rok
2023

Rok 2024

Rok 2025

Rok
2026

Rok 2027 i kolejne lata

• Stanowiska przewidziane w planie zatrudnienia (stanowiska urzędników i pracowników zatrudnionych na czas określony)

20 01 02 01 (w centrali i w biurach przedstawicielstw Komisji)

16

16

16

16

16

20 01 02 03 (w delegaturach)

01 01 01 01 (pośrednie badania naukowe)

01 01 01 11 (bezpośrednie badania naukowe)

Inna linia budżetowa (określić)

20 02 01 (CA, SNE, INT z globalnej koperty finansowej)

9

9

9

9

9

20 02 03 (CA, LA, SNE, INT i JED w delegaturach)

XX 01 xx yy zz 76

– w centrali

– w delegaturach

01 01 01 02 (CA, SNE, INT – pośrednie badania naukowe)

01 01 01 12 (CA, SNE, INT – bezpośrednie badania naukowe)

Inna linia budżetowa (określić)

OGÓŁEM

25

25

25

25

25

06 oznacza odpowiedni obszar polityki lub odpowiedni tytuł w budżecie.

Potrzeby w zakresie zasobów ludzkich zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

Opis zadań do wykonania:

Urzędnicy i pracownicy zatrudnieni na czas określony

Do wykonywania zadań związanych z rozwojem i funkcjonowaniem europejskiej przestrzeni danych dotyczących zdrowia konieczne będzie 12 EPC grupy funkcyjnej AD (10 w dziale ds. polityki i 2 w dziale IT DG SANTE) i 4 EPC grupy funkcyjnej AST (3 w dziale ds. polityki i 1 w dziale IT DG SANTE); chodzi mianowicie o:

a)zarządzanie transgraniczną infrastrukturą cyfrową MojeZdrowie@UE (MyHealth@EU);

b)zarządzanie transgraniczną infrastrukturą cyfrową w odniesieniu do wtórnego wykorzystywania;

c)normalizację wymiany elektronicznej dokumentacji medycznej i elektronicznych danych dotyczących zdrowia;

d)jakość danych w wymianie elektronicznej dokumentacji medycznej i elektronicznych danych dotyczących zdrowia;

e)dostęp do danych dotyczących zdrowia do wtórnego wykorzystywania;

f)skargi, naruszenia i kontrole zgodności;

g)wsparcie logistyczne dotyczące ram zarządzania (spotkania bezpośrednie i przez internet);

h)zadania horyzontalne dotyczące komunikacji, zarządzanie zainteresowanymi stronami i stosunki międzyinstytucjonalne;

i)koordynację wewnętrzną;

j)zarządzanie działaniami.

6,5 EPC grupy funkcyjnej AD i 4 EPC grupy funkcyjnej AST pokryją pracownicy, którzy pracują obecnie nad e-zdrowiem i wymianą danych dotyczących zdrowia na podstawie art. 14 dyrektywy 2011/24/UE i biorą udział w przygotowaniu rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia. Pozostałe 5,5 EPC grupy funkcyjnej AD znajdzie pokrycie w ramach wewnętrznego przeniesienia z DG SANTE.

Personel zewnętrzny

W odniesieniu do realizacji wymienionych powyżej zadań pracownicy grup funkcyjnych AD i AST uzyskają wsparcie w postaci 5 CA i 4 SNE w DG SANTE.

4 EPC grupy funkcyjnej CA i 3 EPC grupy funkcyjnej SNE pokryją pracownicy, którzy pracują obecnie nad e-zdrowiem i wymianą danych dotyczących zdrowia na podstawie art. 14 dyrektywy 2011/24/UE i biorą udział w przygotowaniu rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia. Pozostały 1 EPC grupy funkcyjnej CA i 1 EPC grupy funkcyjnej SNE znajdą pokrycie w ramach wewnętrznego przeniesienia z DG SANTE.

3.2.4.Zgodność z obowiązującymi wieloletnimi ramami finansowymi 

Wniosek/inicjatywa:

   może zostać w pełni sfinansowany(a) przez przegrupowanie środków w ramach odpowiedniego działu wieloletnich ram finansowych (WRF).

Środki zostaną przegrupowane w ramach puli środków finansowych przydzielonych na Program UE dla zdrowia i na program „Cyfrowa Europa” w wieloletnich ramach finansowych na lata 2021–2027.

   wymaga zastosowania nieprzydzielonego marginesu środków w ramach odpowiedniego działu WRF lub zastosowania specjalnych instrumentów zdefiniowanych w rozporządzeniu w sprawie WRF.

   wymaga rewizji WRF.

3.2.5.Udział osób trzecich w finansowaniu 

Wniosek/inicjatywa:

   nie przewiduje się współfinansowania ze strony osób trzecich

   przewiduje się współfinansowanie ze strony osób trzecich szacowane zgodnie z poniższymi szacunkami:

Środki w mln EUR (do trzech miejsc po przecinku)

Rok
N 77

Rok
N+1

Rok
N+2

Rok
N+3

Wprowadzić taką liczbę kolumn dla poszczególnych lat, jaka jest niezbędna, by odzwierciedlić cały okres wpływu (zob. pkt 1.6)

Ogółem

Określić organ współfinansujący 

OGÓŁEM środki objęte współfinansowaniem



3.3.Szacunkowy wpływ na dochody 

   Wniosek/inicjatywa nie ma wpływu finansowego na dochody.

   Wniosek/inicjatywa ma wpływ finansowy określony poniżej:

   wpływ na zasoby własne

   wpływ na inne dochody

Wskazać, czy dochody są przypisane do linii budżetowej po stronie wydatków    

w mln EUR (do trzech miejsc po przecinku)

Linia budżetowa po stronie dochodów:

Środki zapisane w budżecie na bieżący rok budżetowy

Wpływ wniosku/inicjatywy 78

Rok
N

Rok
N+1

Rok
N+2

Rok
N+3

Wprowadzić taką liczbę kolumn dla poszczególnych lat, jaka jest niezbędna, by odzwierciedlić cały okres wpływu (zob. pkt 1.6)

Artykuł …

W przypadku wpływu na dochody przeznaczone na określony cel należy wskazać linie budżetowe po stronie wydatków, które ten wpływ obejmie.

Pozostałe uwagi (np. metoda/wzór użyte do obliczenia wpływu na dochody albo inne informacje).

(1)    Komisja Europejska, Europejska strategia w zakresie danych (2020). https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_pl
(2)    Jak wspomniano w mission-letter-stella-kyriakides_en.pdf (europa.eu) .
(3)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(4)    Komisja Europejska, „Assessment of the EU Member States rules on health data in the light of GDPR” (Ocena przepisów państw członkowskich UE w zakresie danych dotyczących zdrowia w świetle RODO), 2021.
(5)    Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45).
(6)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/953 z dnia 14 czerwca 2021 r. w sprawie ram wydawania, weryfikowania i uznawania interoperacyjnych zaświadczeń o szczepieniu, o wyniku testu i o powrocie do zdrowia w związku z COVID-19 (unijne cyfrowe zaświadczenie COVID) w celu ułatwienia swobodnego przemieszczania się w czasie pandemii COVID-19 (Dz.U. L 211 z 15.6.2021, s. 1).
(7)    Komisja Europejska, europejskie ramy interoperacyjności .
(8)    Komisja Europejska, Cyfrowa dekada Europy: cele cyfrowe na 2030 r.
(9)    Komisja Europejska, inicjatywa „Deklaracja w sprawie zasad cyfrowych – europejski sposób budowania społeczeństwa cyfrowego ”.  
(10)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/745 z dnia 5 kwietnia 2017 r. w sprawie wyrobów medycznych, zmiany dyrektywy 2001/83/WE, rozporządzenia (WE) nr 178/2002 i rozporządzenia (WE) nr 1223/2009 oraz uchylenia dyrektyw Rady 90/385/EWG i 93/42/EWG (Dz.U. L 117 z 5.5.2017, s. 1).
(11)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/746 z dnia 5 kwietnia 2017 r. w sprawie wyrobów medycznych do diagnostyki in vitro oraz uchylenia dyrektywy 98/79/WE i decyzji Komisji 2010/227/UE (Dz.U. L 117 z 5.5.2017, s. 176).
(12)    Wniosek w sprawie rozporządzenia ustanawiającego zharmonizowane przepisy dotyczące sztucznej inteligencji (akt w sprawie sztucznej inteligencji), COM(2021) 206 final .
(13)    Wniosek dotyczący rozporządzenia w sprawie europejskiego zarządzania danymi (akt w sprawie zarządzania danymi),  COM(2020) 767 final .  
(14)    Wniosek dotyczący rozporządzenia w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych), COM(2022) 68 final .  
(15)    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1).
(16)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(17)     Urząd ds. Gotowości i Reagowania na Stany Zagrożenia Zdrowia | Komisja Europejska (europa.eu) .
(18)     Plan walki z rakiem dla Europy | Komisja Europejska (europa.eu) .
(19)     Misja UE: Nowotwory | Komisja Europejska (europa.eu) .
(20)     Strategia farmaceutyczna dla Europy (europa.eu) .
(21)    Wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, uchylającej dyrektywę (UE) 2016/1148, COM(2020) 823 final.
(22)    Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady zmieniającego rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej, COM(2021) 281 final .  
(23)    Komisja Europejska, sprawozdanie pt. „Regiony przygraniczne UE: »żywe laboratoria« dla integracji europejskiej” , 2021.
(24)    Wyłączenie danych „wywnioskowanych” oraz ograniczenie do danych przetwarzanych na podstawie zgody lub umowy oznacza, że duża ilość danych dotyczących zdrowia znajduje się poza zakresem prawa do przenoszenia danych przewidzianego w RODO.
(25)     Serwis prasowy | Komisja Europejska (europa.eu) .
(26)    Bardziej szczegółowe informacje można znaleźć w opracowaniu przygotowanym przez Nivel dla Komisji Europejskiej, s. 20.
(27)    Komisja Europejska (badanie w przygotowaniu). Badanie dotyczące infrastruktury i ekosystemu danych, wspierające ocenę skutków europejskiej przestrzeni danych dotyczących zdrowia, Trasys.
(28)     Komisja Europejska, „Public consultation on overcoming cross-border obstacles”, 2020.
(29)    Komisja Europejska (2020). „Assessment of the EU Member States rules on health data in the light of GDPR” . (Załączniki dostępne tutaj : https://ec.europa.eu/health/system/files/2021-02/ms_rules_health-data_annex_en_0.pdf .)
(30)     „eHealth, Interoperability of Health Data and Artificial Intelligence for Health and Care in the EU, Lot 1 – Interoperability of Electronic Health Records in the EU” (2020) .  
(31)     „Study on the use of real-world data (RWD) for research, clinical care, regulatory decision-making, health technology assessment, and policy-making” .
(32)     „Market study on telemedicine” .
(33)     „Preliminary Opinion 8/2020 on the European Health Data Space” .
(34)    Art. 6 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/1119 z dnia 30 czerwca 2021 r. w sprawie ustanowienia ram na potrzeby osiągnięcia neutralności klimatycznej i zmiany rozporządzeń (WE) nr 401/2009 i (UE) 2018/1999 (Europejskie prawo o klimacie).
(35)    Środki z programu „Cyfrowa Europa” na 2023 r. mają charakter orientacyjny i zostaną uwzględnione w kontekście przygotowania odpowiednich programów prac. Ich ostateczny przydział będzie uzależniony od ustalenia priorytetów finansowania w kontekście leżącej u podstaw procedury przyjmowania i zgody odpowiedniego komitetu programowego.
(36)    Art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/694 z dnia 29 kwietnia 2021 r. ustanawiającego program „Cyfrowa Europa” oraz uchylającego decyzję (UE) 2015/2240.
(37)    Art. 3 ust. 2 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/695 z dnia 28 kwietnia 2021 r. ustanawiającego program ramowy w zakresie badań naukowych i innowacji „Horyzont Europa” oraz zasady uczestnictwa i upowszechniania obowiązujące w tym programie oraz uchylającego rozporządzenia (UE) nr 1290/2013 i (UE) nr 1291/2013.
(38)    Art. 3 ust. 2 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/1153 z dnia 7 lipca 2021 r. ustanawiającego instrument „Łącząc Europę” i uchylającego rozporządzenia (UE) nr 1316/2013 i (UE) nr 283/2014.
(39)    Dz.U. C […] z […], s. […].
(40)    Dz.U. C […] z […], s. […].
(41)    Decyzja wykonawcza Komisji (UE) 2019/1269 z dnia 26 lipca 2019 r. zmieniająca decyzję wykonawczą 2014/287/UE w sprawie kryteriów tworzenia i oceny europejskich sieci referencyjnych i ich członków oraz ułatwienia wymiany informacji i wiedzy specjalistycznej w odniesieniu do tworzenia i oceny takich sieci (Dz.U. L 200 z 29.7.2019, s. 35).
(42)     EOSC Portal (eosc-portal.eu) .
(43)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(44)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
(45)    Zalecenie Komisji (UE) 2019/243 z dnia 6 lutego 2019 r. w sprawie europejskiego formatu wymiany elektronicznej dokumentacji medycznej (Dz.U. L 39 z 11.2.2019, s. 18).
(46)    Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz.U. L 88 z 4.4.2011, s. 45).
(47)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE (Dz.U. L 257 z 28.8.2014, s. 73).
(48)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz.U. L 151 z 7.6.2019, s. 15).
(49)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/745 z dnia 5 kwietnia 2017 r. w sprawie wyrobów medycznych, zmiany dyrektywy 2001/83/WE, rozporządzenia (WE) nr 178/2002 i rozporządzenia (WE) nr 1223/2009 oraz uchylenia dyrektyw Rady 90/385/EWG i 93/42/EWG (Dz.U. L 117 z 5.5.2017, s. 1).
(50)    Rozporządzenie Rady (WE) nr 723/2009 z dnia 25 czerwca 2009 r. w sprawie wspólnotowych ram prawnych konsorcjum na rzecz europejskiej infrastruktury badawczej (ERIC) (Dz.U. L 206 z 8.8.2009, s. 1).
(51)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1724 z dnia 2 października 2018 r. w sprawie utworzenia jednolitego portalu cyfrowego w celu zapewnienia dostępu do informacji, procedur oraz usług wsparcia i rozwiązywania problemów, a także zmieniające rozporządzenie (UE) nr 1024/2012 (Dz.U. L 295 z 21.11.2018, s. 1).
(52)    Dz.U. L 123 z 12.5.2016, s. 1.
(53)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).
(54)    Komisja Europejska, europejskie ramy interoperacyjności .
(55)    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/882 z dnia 17 kwietnia 2019 r. w sprawie wymogów dostępności produktów i usług (Dz.U. L 151 z 7.6.2019, s. 70).
(56)    Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz.U. L 194 z 19.7.2016, s. 1).
(57)    Dyrektywa (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiająca procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (Dz.U. L 241 z 17.9.2015, s. 1).
(58)    Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiające wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylające rozporządzenie (EWG) nr 339/93 (Dz.U. L 218 z 13.8.2008, s. 30).
(59)    Zalecenie Komisji z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36).
(60)    O którym mowa w art. 58 ust. 2 lit. a) lub b) rozporządzenia finansowego.
(61)    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/522 z dnia 24 marca 2021 r. w sprawie ustanowienia Programu działań Unii w dziedzinie zdrowia („Program UE dla zdrowia”) na lata 2021–2027 oraz uchylenia rozporządzenia (UE) nr 282/2014.
(62)    Art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/694 z dnia 29 kwietnia 2021 r. ustanawiającego program „Cyfrowa Europa” oraz uchylającego decyzję (UE) 2015/2240.
(63)    Art. 3 ust. 2 lit. a) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/695 z dnia 28 kwietnia 2021 r. ustanawiającego program ramowy w zakresie badań naukowych i innowacji „Horyzont Europa” oraz zasady uczestnictwa i upowszechniania obowiązujące w tym programie oraz uchylającego rozporządzenia (UE) nr 1290/2013 i (UE) nr 1291/2013.
(64)    Art. 3 ust. 2 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/1153 z dnia 7 lipca 2021 r. ustanawiającego instrument „Łącząc Europę” i uchylającego rozporządzenia (UE) nr 1316/2013 i (UE) nr 283/2014.
(65)    Wyjaśnienia dotyczące trybów zarządzania oraz odniesienia do rozporządzenia finansowego znajdują się na następującej stronie: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  
(66)    Środki zróżnicowane/Środki niezróżnicowane.
(67)    EFTA: Europejskie Stowarzyszenie Wolnego Handlu.
(68)    Kraje kandydujące oraz w stosownych przypadkach potencjalne kraje kandydujące Bałkanów Zachodnich.
(69)    Rok N jest rokiem, w którym rozpoczyna się realizację wniosku/inicjatywy. „N” należy zastąpić oczekiwanym pierwszym rokiem realizacji (np. 2021). Tak samo należy postąpić w przypadku kolejnych lat.
(70)    Kwota ta wynika z zobowiązania na 2027 r. i nie jest to płatność powtarzalna. Jest ona ujęta w obliczeniach łącznej kwoty na lata 2023–2027.
(71)    Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie realizacji programów lub działań UE (dawne linie „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.
(72)    Rok N jest rokiem, w którym rozpoczyna się realizację wniosku/inicjatywy. „N” należy zastąpić oczekiwanym pierwszym rokiem realizacji (np. 2021). Tak samo należy postąpić w przypadku kolejnych lat.
(73)    Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie realizacji programów lub działań UE (dawne linie „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.
(74)    Produkty odnoszą się do produktów i usług, które zostaną zapewnione (np. liczby sfinansowanych wymian studentów, liczby kilometrów zbudowanych dróg itp.).
(75)    Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie realizacji programów lub działań UE (dawne linie „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.
(76)    W ramach podpułapu na personel zewnętrzny ze środków operacyjnych (dawne linie „BA”).
(77)    Rok N jest rokiem, w którym rozpoczyna się realizację wniosku/inicjatywy. „N” należy zastąpić oczekiwanym pierwszym rokiem realizacji (np. 2021). Tak samo należy postąpić w przypadku kolejnych lat.
(78)    W przypadku tradycyjnych zasobów własnych (opłaty celne, opłaty wyrównawcze od cukru) należy wskazać kwoty netto, tzn. kwoty brutto po odliczeniu 20 % na poczet kosztów poboru.

Strasburg, dnia 3.5.2022

COM(2022) 197 final

ZAŁĄCZNIKI

do

ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie europejskiej przestrzeni danych dotyczących zdrowia

{SEC(2022) 196 final} - {SWD(2022) 130 final} - {SWD(2022) 131 final} - {SWD(2022) 132 final}


ZAŁĄCZNIK I

Główne cechy kategorii elektronicznych danych dotyczących zdrowia

Kategoria elektronicznych danych dotyczących zdrowia

Główne cechy elektronicznych danych dotyczących zdrowia należących do danej kategorii

1.Skrócona karta zdrowia pacjenta

Elektroniczne dane dotyczące zdrowia, które zawierają istotne fakty kliniczne związane z określoną osobą i które mają zasadnicze znaczenie dla świadczenia bezpiecznej i efektywnej opieki zdrowotnej tej osobie. Skrócona karta zdrowia pacjenta zawiera informacje dotyczące następujących kwestii:

1.dane osobowe;

2.dane kontaktowe;

3.informacje dotyczące ubezpieczenia;

4.alergie;

5.ostrzeżenia medyczne;

6.informacje na temat szczepień/profilaktyki, potencjalnie w formie karty szczepień;

7.bieżące, rozwiązane, zakończone lub nieaktywne problemy;

8.informacje tekstowe związane z historią przebytych chorób;

9.wyroby medyczne i implanty;

10.zabiegi;

11.stan funkcjonalny;

12.leki przyjmowane obecnie i istotne leki przyjmowane w przeszłości;

13.wnioski z wywiadu środowiskowego związane ze zdrowiem;

14.historia ciąży;

15.dane dostarczone przez pacjenta;

16.wyniki obserwacji dotyczącej stanu zdrowia;

17.plan opieki;

18.informacje o chorobie rzadkiej, takie jak szczegóły na temat skutków lub charakterystyki choroby.

2.Recepta elektroniczna

Elektroniczne dane dotyczące zdrowia stanowiące receptę na produkt leczniczy zgodnie z definicją w art. 3 lit. k) dyrektywy 2011/24/UE.

3.Realizacja recept elektronicznych

Informacje na temat wydania osobie fizycznej produktu leczniczego przez aptekę na podstawie recepty elektronicznej.

4.Obraz medyczny i wynik obrazowania medycznego

Elektroniczne dane dotyczące zdrowia związane z wykorzystaniem technologii stosowanych do wizualizacji ludzkiego ciała celem zapobiegania stanom chorobowym, diagnozowania, monitorowania lub leczenia stanów chorobowych lub też wyprodukowane za pomocą takiej technologii.

5.Wyniki badań laboratoryjnych

Elektroniczne dane dotyczące zdrowia przedstawiające wyniki badań prowadzonych przede wszystkim przy użyciu diagnostyki in vitro w takich dziedzinach jak biochemia kliniczna, hematologia, transfuzjologia, mikrobiologia, immunologia i inne oraz zawierające w stosownych przypadkach sprawozdania ułatwiające interpretację wyników.

6.Wypis

Elektroniczne dane dotyczące zdrowia związane ze skorzystaniem z usług służby zdrowia lub uzyskaniem pojedynczego świadczenia opieki zdrowotnej i zawierające istotne informacje dotyczące przyjęcia, leczenia i wypisu osoby fizycznej.

ZAŁĄCZNIK II

Zasadnicze wymagania dotyczące systemów elektronicznej dokumentacji medycznej i produktów, w odniesieniu do których deklaruje się interoperacyjność z SYSTEMAMI ELEKTRONICZNEJ DOKUMENTACJI MEDYCZNEJ

Zasadnicze wymagania określone w niniejszym załączniku stosuje się odpowiednio do produktów, w odniesieniu do których deklaruje się interoperacyjność z systemami elektronicznej dokumentacji medycznej.

1.Wymagania ogólne

1.1.System elektronicznej dokumentacji medycznej osiąga działanie przewidziane przez producenta oraz jest projektowany i produkowany w taki sposób, by w normalnych warunkach stosowania był odpowiedni do swojego przewidzianego zastosowania, a jego stosowanie nie stanowiło zagrożenia dla bezpieczeństwa pacjenta.

1.2.System elektronicznej dokumentacji medycznej projektuje się i rozwija w taki sposób, aby można go było dostarczyć i zainstalować – przy uwzględnieniu instrukcji i informacji dostarczonych przez producenta – bez niekorzystnego wpływu na jego cechy i działanie podczas przewidzianego stosowania.

1.3.System elektronicznej dokumentacji medycznej projektuje się i rozwija w taki sposób, aby jego interoperacyjność, bezpieczeństwo działania i zabezpieczenia służyły gwarantowaniu praw osób fizycznych zgodnie z przewidzianym zastosowaniem systemu elektronicznej dokumentacji medycznej, jak określono w rozdziale II niniejszego rozporządzenia.

1.4.System elektronicznej dokumentacji medycznej przeznaczony do wykorzystania wraz z innymi produktami, w tym wyrobami medycznymi, projektuje się i produkuje w taki sposób, aby jego interoperacyjność i kompatybilność były niezawodne i bezpieczne oraz aby możliwa była wymiana elektronicznych danych osobowych dotyczących zdrowia między danym wyrobem a systemem elektronicznej dokumentacji medycznej.

2.Wymagania dotyczące interoperacyjności

2.1.System elektronicznej dokumentacji medycznej umożliwia wymianę elektronicznych danych osobowych dotyczących zdrowia między pracownikami służby zdrowia lub innymi podmiotami systemu opieki zdrowotnej oraz między pracownikami służby zdrowia i portalami dla pacjentów lub pracowników służby zdrowia w powszechnie stosowanym interoperacyjnym formacie elektronicznym, który obejmuje m.in. zawartość zbiorów danych, struktury danych, formaty danych, słowniki, taksonomie, formaty wymiany, normy, specyfikacje, profile wymiany i wykazy kodów, umożliwiając w ten sposób komunikację międzysystemową.

2.2.System elektronicznej dokumentacji medycznej jest interoperacyjny i kompatybilny z europejskimi infrastrukturami określonymi w niniejszym rozporządzeniu na potrzeby transgranicznej wymiany elektronicznych danych dotyczących zdrowia.

2.3.System elektronicznej dokumentacji medycznej z funkcją wprowadzania ustrukturyzowanych elektronicznych danych osobowych dotyczących zdrowia umożliwia wprowadzanie danych zorganizowanych w ustrukturyzowany sposób pozwalający na wymianę danych w ustrukturyzowanym formacie, który jest powszechnie stosowany i nadaje się do przetwarzania automatycznego, umożliwiając komunikację międzysystemową.

2.4.System elektronicznej dokumentacji medycznej nie zawiera funkcji, które zakazują uprawnionego dostępu, wymiany elektronicznych danych osobowych dotyczących zdrowia lub wykorzystywania elektronicznych danych osobowych dotyczących zdrowia do dozwolonych celów, ograniczają te czynności lub nakładają w związku z nimi nadmierne obciążenie.

2.5.System elektronicznej dokumentacji medycznej nie zawiera funkcji, które zakazują uprawnionego eksportu elektronicznych danych osobowych dotyczących zdrowia do celów zastąpienia systemu elektronicznej dokumentacji medycznej innym produktem, ograniczają taki eksport lub nakładają w związku z nim nadmierne obciążenie.

3.Wymagania dotyczące bezpieczeństwa

3.1.System elektronicznej dokumentacji medycznej projektuje się i rozwija w taki sposób, aby zapewniał pewne i bezpieczne przetwarzanie elektronicznych danych dotyczących zdrowia oraz aby zapobiegał nieuprawnionemu dostępowi do takich danych.

3.2.System elektronicznej dokumentacji medycznej zaprojektowany do użytku przez pracowników służby zdrowia zapewnia wiarygodne mechanizmy służące identyfikacji i uwierzytelnianiu pracowników służby zdrowia, w tym kontrole w zakresie praw i kwalifikacji zawodowych.

3.3.System elektronicznej dokumentacji medycznej zaprojektowany do użytku przez pracowników służby zdrowia umożliwia wykorzystywanie informacji dotyczących praw i kwalifikacji zawodowych w ramach mechanizmu kontroli dostępu, takiego jak kontrola dostępu na podstawie roli.

3.4.System elektronicznej dokumentacji medycznej zaprojektowany tak, aby umożliwić dostęp pracownikom służby zdrowia lub innym osobom do elektronicznych danych osobowych dotyczących zdrowia, zapewnia wystarczające mechanizmy rejestrowania, które przy każdym przypadku dostępu lub przy grupie takich zdarzeń rejestrują co najmniej następujące informacje:

a)identyfikacja pracownika służby zdrowia lub innej osoby, którzy uzyskali dostęp do elektronicznych danych dotyczących zdrowia;

b)identyfikacja danej osoby;

c)kategorie danych, do których uzyskano dostęp;

d)godzina i data uzyskania dostępu;

e)źródło lub źródła danych.

3.5.System elektronicznej dokumentacji medycznej obejmuje narzędzia i mechanizmy umożliwiające osobom fizycznym ograniczenie dostępu pracowników służby zdrowia do elektronicznych danych osobowych dotyczących zdrowia tych osób. Ponadto obejmuje on mechanizmy umożliwiające dostęp do elektronicznych danych osobowych dotyczących zdrowia w sytuacjach nadzwyczajnych oraz zapewnia, aby dostęp był ściśle rejestrowany.

3.6.System elektronicznej dokumentacji medycznej zawiera narzędzia lub mechanizmy służące do dokonywania przeglądu i analizy danych z rejestru lub wspiera połączenie z zewnętrznym oprogramowaniem służącym tym samym celom i korzystanie z takiego oprogramowania.

3.7.System elektronicznej dokumentacji medycznej zaprojektowany do użytku przez pracowników służby zdrowia umożliwia stosowanie podpisów cyfrowych lub podobnych mechanizmów zapewnienia niezaprzeczalności.

3.8.System elektronicznej dokumentacji medycznej zaprojektowany do celów przechowywania elektronicznych danych dotyczących zdrowia wspiera stosowanie różnych okresów zatrzymywania i praw dostępu uwzględniających źródła i kategorie elektronicznych danych dotyczących zdrowia.

3.9.System elektronicznej dokumentacji medycznej zaprojektowany do użytku przez osoby fizyczne umożliwia ich identyfikację przy użyciu dowolnego uznanego środka identyfikacji elektronicznej, jak określono w rozporządzeniu (UE) nr 910/2014, niezależnie od państwa członkowskiego, które go wydało. Jeżeli serwis wspiera inny środek identyfikacji elektronicznej, musi on mieć „średni” lub „wysoki” poziom bezpieczeństwa.

ZAŁĄCZNIK III

Dokumentacja techniczna

Dokumentacja techniczna, o której mowa w art. 24, zawiera, stosownie do przypadku, co najmniej następujące informacje właściwe dla danego systemu elektronicznej dokumentacji medycznej:

1.szczegółowy opis systemu elektronicznej dokumentacji medycznej zawierający:

a)jego przewidziane zastosowanie, datę i wersję systemu elektronicznej dokumentacji medycznej;

b)kategorie elektronicznych danych dotyczących zdrowia, które system elektronicznej dokumentacji medycznej ma przetwarzać;

c)sposób, w jaki system elektronicznej dokumentacji medycznej współdziała lub może być wykorzystany do współdziałania ze sprzętem lub oprogramowaniem, które nie są częścią samego systemu elektronicznej dokumentacji medycznej;

d)wersje odpowiedniego oprogramowania lub oprogramowania układowego oraz wszelkie wymogi związane z aktualizacją wersji;

e)opis wszystkich form, w jakich system elektronicznej dokumentacji medycznej wprowadza się do obrotu lub do używania;

f)opis sprzętu, na którym system elektronicznej dokumentacji medycznej ma być eksploatowany;

g)opis architektury systemu wyjaśniający, w jaki sposób elementy oprogramowania współgrają ze sobą lub wzajemnie się uzupełniają oraz włączają się w ogólne przetwarzanie, zawierający – w stosownych przypadkach – oznakowane przedstawienia graficzne (np. schematy i rysunki), jasno wskazujące kluczowe części/elementy i zawierające dostateczne objaśnienie umożliwiające zrozumienie rysunków i schematów;

h)specyfikacje techniczne, takie jak właściwości, wymiary i parametry działania, systemu elektronicznej dokumentacji medycznej oraz wszelkich jego wariantów/konfiguracji i wyposażenia, jakie zazwyczaj pojawiają się w specyfikacji produktu udostępnionej użytkownikowi, np. w broszurach, katalogach i podobnych publikacjach, zawierające szczegółowy opis struktury danych, przechowywania danych i wprowadzania/wyprowadzania danych;

i)opis wszelkich zmian dokonanych w systemie w jego cyklu życia;

j)instrukcję obsługi dla użytkownika oraz, w stosownych przypadkach, instrukcję instalacji;

2.w stosownych przypadkach, szczegółowy opis wdrożonego systemu oceny działania systemu elektronicznej dokumentacji medycznej;

3.wskazanie wszelkich wspólnych specyfikacji zastosowanych zgodnie z art. 23 i z którymi deklaruje się zgodność;

4.wyniki wszystkich testów weryfikacyjnych i walidacyjnych – wraz z ich krytyczną analizą – przeprowadzonych w celu wykazania zgodności systemu elektronicznej dokumentacji medycznej z wymogami zawartymi w rozdziale III niniejszego rozporządzenia, a w szczególności z mającymi zastosowanie zasadniczymi wymaganiami;

5.egzemplarz arkusza informacyjnego, o którym mowa w art. 25;

6.egzemplarz deklaracji zgodności UE.

ZAŁĄCZNIK IV

Deklaracja zgodności UE

Deklaracja zgodności UE zawiera wszystkie następujące informacje:

1.nazwę systemu elektronicznej dokumentacji medycznej, wersję oraz wszelkie dodatkowe jednoznaczne wskazania umożliwiające identyfikację systemu elektronicznej dokumentacji medycznej;

2.nazwę i adres producenta lub, w stosownych przypadkach, jego upoważnionego przedstawiciela;

3.oświadczenie, zgodnie z którym deklarację zgodności UE wydano na wyłączną odpowiedzialność producenta;

4.oświadczenie, że przedmiotowy system elektronicznej dokumentacji medycznej jest zgodny z przepisami określonymi w rozdziale III niniejszego rozporządzenia oraz, w stosownych przypadkach, z wszelkimi innymi odpowiednimi przepisami UE, w których przewidziano wydanie deklaracji zgodności UE;

5.wskazanie wszelkich właściwych zastosowanych norm zharmonizowanych, z którymi deklaruje się zgodność;

6.wskazanie wszelkich zastosowanych wspólnych specyfikacji, z którymi deklaruje się zgodność;

7.miejsce i datę wystawienia deklaracji, podpis oraz imię i nazwisko i stanowisko osoby, która złożyła podpis pod dokumentem, a także, w stosownych przypadkach, wskazanie osoby, w której imieniu podpisano dokument;

8.w stosownych przypadkach, dodatkowe informacje.