EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32019D1269

Decizia de punere în aplicare (UE) 2019/1269 a Comisiei din 26 iulie 2019 de modificare a Deciziei de punere în aplicare 2014/287/UE de stabilire a criteriilor pentru înființarea și evaluarea rețelelor europene de referință și a membrilor lor și pentru facilitarea schimbului de informații și de expertiză privind înființarea și evaluarea unor asemenea rețele (Text cu relevanță pentru SEE.)

C/2019/5470

OJ L 200, 29.7.2019, p. 35–43 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2019/1269/oj

29.7.2019   

RO

Jurnalul Oficial al Uniunii Europene

L 200/35


DECIZIA DE PUNERE ÎN APLICARE (UE) 2019/1269 A COMISIEI

din 26 iulie 2019

de modificare a Deciziei de punere în aplicare 2014/287/UE de stabilire a criteriilor pentru înființarea și evaluarea rețelelor europene de referință și a membrilor lor și pentru facilitarea schimbului de informații și de expertiză privind înființarea și evaluarea unor asemenea rețele

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Directiva 2011/24/UE a Parlamentului European și a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere (1), în special articolul 12 alineatul (4) literele (b) și (c),

întrucât:

(1)

Decizia de punere în aplicare 2014/287/UE a Comisiei (2) stabilește criteriile pentru înființarea și evaluarea rețelelor europene de referință și a membrilor lor și pentru facilitarea schimbului de informații și de expertiză privind înființarea și evaluarea respectivelor rețele. Articolul 6 din decizia respectivă a invitat statele membre să înființeze un comitet al statelor membre cu scopul de a decide dacă să aprobe sau nu propunerile de înființare de rețele, componența și desființarea lor. Statele membre au înființat Comitetul statelor membre, care a aprobat ulterior 23 de rețele europene de referință (RER) în decembrie 2016 și una în februarie 2017. Toate rețelele și-au început activitățile în 2017.

(2)

Pentru a spori eficiența rețelelor europene de referință, Comitetul statelor membre ar trebui să devină forumul pentru schimbul de informații și de expertiză, cu scopul de a coordona dezvoltarea RER, de a oferi orientări rețelelor și statelor membre și de a consilia Comisia cu privire la aspecte legate de înființarea rețelelor. Pentru a promova schimbul de experiență și pentru a facilita un proces coerent cu alte schimburi transfrontaliere de date medicale, Comitetul ar trebui să prevadă o cooperare strânsă cu rețeaua de e-sănătate pentru a dezvolta, ori de câte ori este posibil, abordări, structuri de date și orientări comune care să faciliteze accesul transparent la diferite servicii și să raționalizeze normele aplicabile furnizorilor de servicii medicale. Comitetul ar trebui să promoveze, de asemenea, discuțiile cu alte foruri relevante ale UE (cum ar fi Grupul de coordonare privind promovarea sănătății, prevenirea bolilor și gestionarea bolilor netransmisibile) în domenii de interes comun.

(3)

Experiența actuală a celor 24 de RER a arătat că, pentru a asigura funcționarea eficace a fiecărei rețele, membrii săi ar trebui să coopereze îndeaproape pentru a-și îndeplini sarcinile, cum ar fi schimbul de date medicale privind diagnosticul și tratamentul pacienților într-un mod eficient și sigur, contribuind la activități de cercetare științifică și la elaborarea de orientări medicale. Cooperarea strânsă necesită încredere și recunoaștere reciprocă între membrii fiecărei rețele, în special în ceea ce privește expertiza și competența lor, calitatea asistenței lor clinice, precum și resursele umane, structurale și de echipament specifice ale acestora, astfel cum se prevede la punctul 2 din anexa II la Decizia delegată 2014/286/UE a Comisiei (3).

(4)

Încrederea reciprocă și recunoașterea inter pares sunt, de asemenea, importante în cazul în care furnizorii de servicii medicale doresc să se alăture unei rețele existente, deoarece garantează condițiile prealabile adecvate pentru o viitoare cooperare în cadrul rețelei. Un aviz favorabil din partea Comitetului de rețea asupra cererii furnizorului de servicii medicale de a adera la rețeaua respectivă, în urma unei evaluări inter pares efectuate de rețea pe baza criteriilor și a condițiilor stabilite la punctul 2 din anexa II la Decizia delegată 2014/286/UE, ar trebui, prin urmare, să însoțească o astfel de cerere atunci când aceasta este evaluată de un organism de evaluare independent numit de Comisie. Pentru a permite furnizorului de servicii medicale să își exprime punctul de vedere cu privire la avizul Comitetului de rețea, furnizorul de servicii medicale ar trebui să aibă posibilitatea de a prezenta observații cu privire la proiectul de aviz în termen de o lună de la data primirii avizului respectiv.

(5)

Ar trebui stabilite termene rezonabile pentru Comitetul de rețea în ceea ce privește proiectul de aviz și avizul final. Prin urmare, termenul pentru avizul final ar trebui stabilit, în principiu, la patru luni. Cu toate acestea, în cazul în care furnizorul de servicii medicale prezintă observații cu privire la proiectul de aviz al Comitetului de rețea, termenul de patru luni pentru emiterea avizului final ar trebui prelungit cu o lună pentru a permite Comitetului de rețea să ia în considerare observațiile primite. Din motive de securitate juridică, în cazul în care Comitetul de rețea nu transmite proiectul de aviz sau nu transmite avizul final în termenele stabilite, avizul final ar trebui să fie considerat favorabil.

(6)

În cazul în care cererea de aderare la rețea primește un aviz nefavorabil din partea Comitetului de rețea la care vrea să adere furnizorul de servicii medicale, deși a primit aprobarea printr-o declarație scrisă din partea statului membru de stabilire al furnizorului de servicii medicale, statul membru de stabilire ar trebui să aibă posibilitatea de a solicita Comitetului statelor membre să decidă, pe baza criteriilor și condițiilor stabilite la punctul 2 din anexa II la Decizia delegată 2014/286/UE, dacă cererea poate fi totuși prezentată Comisiei.

(7)

Pentru a sprijini personalul medical din cadrul RER să colaboreze de la distanță în diagnosticarea și tratamentul pacienților cu boli sau afecțiuni complexe rare sau cu prevalență redusă la nivel transfrontalier și pentru a facilita cercetarea științifică a unor astfel de boli sau afecțiuni, Comisia a elaborat un sistem clinic de gestionare a pacienților pentru RER (Clinical Patient Management System - „CPMS”), cu scopul de a facilita înființarea și funcționarea RER, astfel cum se prevede la articolul 12 alineatul (4) litera (c) din Directiva 2011/24/UE.

(8)

CPMS ar trebui să asigure o infrastructură comună pentru ca profesioniștii din domeniul sănătății să colaboreze în cadrul RER în diagnosticarea și tratarea pacienților cu boli sau afecțiuni complexe rare sau cu prevalență redusă. Acest sistem ar trebui să ofere mijloacele prin care schimbul de informații și de expertiză cu privire la astfel de boli să poată avea loc în cel mai eficace mod în cadrul RER.

(9)

Prin urmare, CPMS ar trebui să constea într-o infrastructură IT securizată care să asigure o interfață comună în care furnizorii de servicii medicale care sunt membri ai RER, partenerii afiliați (4) sau utilizatorii invitați („furnizorii de servicii medicale autorizați să aibă acces în CPMS”) pot face schimb de informații în cadrul rețelelor cu pacienții în cauză cu scopul de a le facilita accesul la servicii medicale sigure și de înaltă calitate și de a promova o cooperare eficace în materie de servicii medicale între statele membre prin facilitarea schimbului de informații relevante.

(10)

Pentru a garanta respectarea normelor de protecție a datelor și pentru a asigura utilizarea unui mediu eficace și securizat pentru schimbul electronic de date cu caracter personal ale pacienților între furnizorii de servicii medicale din cadrul RER în scopurile menționate la articolul 12 alineatul (2) din Directiva 2011/24/UE, un astfel de schimb ar trebui să aibă loc numai pe baza consimțământului explicit al pacienților și numai prin intermediul CPMS. Furnizorii de servicii medicale sunt responsabili pentru asigurarea securității datelor pe care le prelucrează în afara CPMS cu scopul de a le introduce în CPMS, precum și a datelor care nu sunt introduse în CPMS, dar care sunt prelucrate de aceștia în legătură cu CPMS (cum ar fi formularele de consimțământ) sau a datelor pe care le descarcă din CPMS și le prelucrează în afara CPMS.

(11)

CPMS prelucrează date sensibile privind pacienții care suferă de boli complexe rare sau cu prevalență redusă. Aceste date sunt prelucrate exclusiv în scopul facilitării diagnosticului și tratamentului pacienților, pentru a fi introduse în registrele relevante sau în alte baze de date pentru boli complexe rare și cu prevalență redusă, care servesc unei cercetări științifice, clinice sau politicilor în materie de sănătate și pentru contactarea potențialilor participanți la inițiativele de cercetare științifică. Furnizorii de servicii medicale din cadrul RER ar trebui să poată prelucra datele pacienților în CPMS după ce au obținut consimțământul specific, informat și liber al pacienților cu privire la trei utilizări posibile ale datelor lor (evaluarea medicală a dosarului pentru consiliere privind diagnosticarea și tratamentul, introducerea datelor în registrele bolilor rare sau în alte baze de date pentru boli complexe rare și cu prevalență redusă și posibilitatea ca pacienții să fie contactați pentru a participa la o inițiativă de cercetare științifică). Consimțământul ar trebui obținut separat pentru fiecare dintre aceste trei scopuri. Prezenta decizie ar trebui să stabilească scopurile și garanțiile pentru prelucrarea unor astfel de date în CPMS. În special, Comisia ar trebui să prevadă caracteristicile generale ale CPMS în legătură cu fiecare rețea, ar trebui să asigure și să mențină infrastructura IT securizată necesară în acest scop și ar trebui să asigure funcționarea tehnică și securitatea acesteia. În conformitate cu principiul reducerii la minimum a datelor, Comisia ar trebui să prelucreze numai datele cu caracter personal strict necesare pentru a asigura administrarea CPMS în legătură cu fiecare rețea și, prin urmare, nu ar trebui să aibă acces la datele medicale ale pacienților care fac obiectul schimburilor în RER, cu excepția cazului în care acest lucru este strict necesar pentru a-și îndeplini obligațiile în calitate de operator asociat.

(12)

Prezenta decizie de punere în aplicare ar trebui să se aplice numai prelucrării datelor cu caracter personal care are loc în CPMS, în special datelor de contact și datelor privind sănătatea, în cadrul RER.

(13)

Articolul 26 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (5) și articolul 28 din Regulamentul (UE) 2018/1725 (6) prevăd obligația operatorilor asociați de operațiuni de prelucrare a datelor cu caracter personal de a stabili, într-un mod transparent, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor care le revin în temeiul regulamentelor respective. Se prevede, de asemenea, posibilitatea ca aceste responsabilități să fie stabilite prin legislație la nivelul Uniunii sau prin legislația statului membru care li se aplică operatorilor.

(14)

Prin urmare, Decizia de punere în aplicare 2014/287/UE ar trebui modificată în consecință.

(15)

Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 și a emis un aviz la 13 septembrie 2018.

(16)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 16 din Directiva 2011/24/UE,

ADOPTĂ PREZENTA DECIZIE:

Articolul 1

Decizia de punere în aplicare 2014/287/UE se modifică după cum urmează:

(1)

Se introduce următorul articol 1a:

„Articolul 1a

Definiții

În sensul prezentei decizii de punere în aplicare, se aplică următoarele definiții:

(a)

«coordonator al rețelelor europene de referință» înseamnă persoana numită în calitate de coordonator al rețelei de către membrul rețelei europene de referință ales ca membru coordonator, astfel cum se menționează în considerentul 3 și la articolul 4 din Decizia delegată 2014/286/UE;

(b)

«Comitet de rețea» înseamnă un organism responsabil cu guvernanța rețelei, alcătuit din reprezentanți ai fiecărui membru din rețea, astfel cum se menționează în considerentul 3 din Decizia delegată 2014/286/UE și la punctul (1) litera (b) subpunctul (ii) din anexa I la decizia menționată;

(c)

«partener afiliat» înseamnă (centrul național asociat, centrul național de colaborare și centrul național de coordonare), astfel cum se menționează în considerentul 14 din Decizia delegată 2014/286/UE și la punctul (7) litera (c) din anexa I la decizia menționată și în Declarația Consiliului statelor membre din 10 octombrie 2017;

(d)

«utilizator invitat» înseamnă un furnizor de servicii medicale care nu este membru sau partener afiliat și care are dreptul, pentru o perioadă limitată, în urma aprobării coordonatorului competent al rețelei europene de referință, să înscrie pacienții în CPMS și să participe la grupul special în legătură cu respectivul pacient sau să participe la un grup specific în calitate de expert.”

(2)

La articolul 8 se introduc următoarele alineate (4), (5) și (6):

„(4)   În cazul în care Comisia concluzionează că cerințele prevăzute la articolul 8 alineatele (2) și (3) sunt îndeplinite, Comitetul de rețea la care dorește să adere furnizorul de servicii medicale emite un aviz privind cererea de aderare, în urma unei evaluări inter pares efectuate de rețea pe baza criteriilor și a condițiilor stabilite la punctul 2 din anexa II la Decizia delegată 2014/286/UE.

(5)   Înainte de emiterea avizului menționat la alineatul (4) și în termen de trei luni de la data la care Comisia a confirmat că sunt îndeplinite cerințele prevăzute la articolul 8 alineatele (2) și (3), Comitetul de rețea trimite un proiect de aviz furnizorului de servicii medicale solicitant care, la rândul său, poate transmite observații rețelei în termen de o lună de la primirea proiectului de aviz. În cazul în care Comitetul de rețea nu primește observații cu privire la proiectul respectiv, acesta emite un aviz final privind cererea de aderare în termen de patru luni de la data la care Comisia a confirmat că sunt îndeplinite cerințele prevăzute la articolul 8 alineatele (2) și (3).

În cazul în care Comitetul de rețea primește observații, termenul limită pentru emiterea avizului final se prelungește la cinci luni de la data la care Comisia a confirmat că sunt îndeplinite cerințele prevăzute la articolul 8 alineatele (2) și (3). La primirea observațiilor, Comitetul de rețea își modifică avizul prin care explică dacă observațiile justifică o modificare a evaluării sale. În cazul în care Comitetul de rețea nu transmite proiectul de aviz sau nu transmite său avizul final în termenele stabilite, se consideră că avizul final este favorabil.

(6)   În cazul unui aviz nefavorabil al Comitetului de rețea, la cererea statului membru de stabilire, Comitetul statelor membre poate emite un aviz favorabil după reevaluarea cererii pe baza criteriilor și condițiilor stabilite la punctul 2 din anexa II la Decizia delegată 2014/286/UE. Această cerere este însoțită de respectivul aviz favorabil.”

(3)

La articolul 9, alineatul (1) se înlocuiește cu următorul text:

„(1)   În cazul în care se emite un aviz favorabil în conformitate cu articolul 8 alineatul (5) sau (6), Comisia desemnează un organism care să evalueze cererea de aderare pe care o însoțește.”

(4)

La capitolul IV, se introduce următorul articol 15a:

„Articolul 15a

Schimbul de informații și expertiză între statele membre

Statele membre sunt invitate să facă schimb de informații și de expertiză în cadrul Comitetului statelor membre, cu scopul de a coordona dezvoltarea RER, de a oferi orientări rețelelor și statelor membre și de a consilia Comisia cu privire la aspecte legate de înființarea rețelelor.”

(5)

Se introduce următorul articol 16a:

„Articolul 16a

Sistemul clinic de gestionare a pacienților

(1)   Se înființează prin prezenta un sistem clinic de gestionare a pacienților (denumit în continuare «CPMS» - Clinical Patient Management System) pentru schimbul electronic de date cu caracter personal ale pacienților între furnizorii de servicii medicale autorizați să acceseze CPMS în cadrul RER.

(2)   CPMS constă într-un instrument informatic securizat pus la dispoziție de Comisie pentru schimbul și găzduirea de date privind pacienții și pentru comunicarea în timp real și la timp a cazurilor pacienților în cadrul RER.

(3)   Acesta include, printre altele, un vizualizator de imagini medicale, capacități de raportare a datelor, seturi de date personalizate și integrează garanții adecvate de protecție a datelor în conformitate cu anexa I.”

(6)

Se introduce următorul articol 16b:

„Articolul 16b

Date cu caracter personal prelucrate în CPMS

(1)   Datele cu caracter personal ale pacienților, care constau în nume, sex, data și locul nașterii, precum și alte date cu caracter personal necesare în scopul diagnosticării și al tratamentului, sunt partajate și prelucrate în cadrul RER exclusiv prin intermediul CPMS. Prelucrarea se limitează exclusiv la scopul facilitării colaborării în ceea ce privește evaluarea medicală a dosarului unui pacient pentru diagnostic și tratament, al introducerii datelor în registrele relevante și în alte baze de date pentru boli complexe rare și cu prevalență redusă, care servesc unei cercetări științifice, clinice sau politicilor în materie de sănătate și al contactării potențialilor participanți la inițiativele de cercetare științifică. Acesta se bazează pe un consimțământ obținut în conformitate cu anexa IV.

(2)   Comisia este considerată operator de prelucrare a datelor cu caracter personal în ceea ce privește gestionarea drepturilor de acces și prelucrează aceste date pe baza consimțământului explicit al persoanelor identificate de către furnizorii de servicii medicale ca utilizatori și este autorizată de către RER relevantă, în măsura în care este necesar, pentru a se asigura că:

(a)

acestor persoane li se acordă drepturi de acces;

(b)

aceste persoane își pot exercita drepturile și își pot îndeplini obligațiile și

(c)

își poate îndeplini obligațiile care îi revin în calitate de operator.

(3)   Comisia nu are acces la datele cu caracter personal ale pacienților, cu excepția cazului în care acest lucru este strict necesar pentru a-și îndeplini obligațiile în calitate de operator asociat.

(4)   Numai persoanele autorizate de RER și aparținând categoriilor de personal și alte persoane afiliate furnizorilor de servicii medicale și autorizate să acceseze CPMS pot avea acces la datele cu caracter personal ale pacienților din CPMS.

(5)   Numele pacientului, precum și locul și data exactă a nașterii, sunt criptate și pseudonimizate în CPMS. Alte date cu caracter personal necesare în scopul diagnosticării și al tratamentului sunt pseudonimizate. Numai datele pseudonimizate sunt puse la dispoziția utilizatorilor CPMS de la alți furnizori de servicii medicale pentru discuții și pentru evaluarea dosarele pacienților în cadrul unor grupuri speciale.

(6)   Comisia asigură securitatea transferului și a găzduirii datelor cu caracter personal.

(7)   Furnizorii de servicii medicale care au acces la CPMS șterg datele care nu mai sunt necesare. Datele cu caracter personal ale pacienților sunt păstrate numai atât timp cât este necesar, în interesul îngrijirii pacienților, al diagnosticării bolilor sau în scopul de a asigura îngrijirea în cadrul unei rețele europene de referință pentru membrii familiei pacienților. Cel puțin o dată la cincisprezece ani, fiecare furnizor de servicii medicale autorizat să acceseze CPMS analizează dacă este necesar să păstreze datele pacienților de care este responsabil ca operator.

(8)   Eficacitatea măsurilor tehnice și organizatorice pentru asigurarea securității prelucrării datelor cu caracter personal în CPMS este testată, analizată și evaluată periodic de către Comisie și de către furnizorii de servicii medicale autorizați să acceseze CPMS.”

(7)

Se introduce următorul articol 16c:

„Articolul 16c

Calitatea de operator asociat în ceea ce privește datele cu caracter personal ale pacienților prelucrate prin CPMS

(1)   Fiecare dintre furnizorii de servicii medicale care prelucrează datele pacienților din CPMS și Comisia sunt operatori asociați la prelucrarea acestor date în CPMS.

(2)   În sensul alineatului (1), responsabilitățile se repartizează între operatorii asociați în conformitate cu anexa III.

(3)   Fiecare dintre operatorii asociați trebuie să respecte legislația relevantă la nivelul Uniunii și legislația națională care i se aplică operatorului respectiv.”

(8)

Se adaugă anexa III, al cărei text este prevăzut în anexa I la prezenta decizie.

(9)

Se adaugă anexa IV, al cărei text este prevăzut în anexa II la prezenta decizie.

Articolul 2

Prezenta decizie intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Adoptată la Bruxelles, 26 iulie 2019.

Pentru Comisie

Președintele

Jean-Claude JUNCKER


(1)  JO L 88, 4.4.2011, p. 45.

(2)  Decizia de punere în aplicare 2014/287/UE a Comisiei din 10 martie 2014 de stabilire a criteriilor pentru înființarea și evaluarea rețelelor europene de referință și a membrilor lor și pentru facilitarea schimbului de informații și de expertiză privind înființarea și evaluarea unor asemenea rețele (JO L 147, 17.5.2014, p. 79).

(3)  Decizia delegată 2014/286/UE a Comisiei din 10 martie 2014 de stabilire a criteriilor și condițiilor pe care trebuie să le îndeplinească rețelele europene de referință și furnizorii de servicii medicale care doresc să se alăture unei rețele europene de referință (JO L 147, 17.5.2014, p. 71).

(4)  Astfel cum se menționează în considerentul 14 din Decizia delegată 2014/286/UE și la punctul (7) litera (c) din anexa I la decizia menționată și în Declarația Consiliului statelor membre din 10 octombrie 2017, disponibilă la adresa https://ec.europa.eu/health/sites/health/files/ern/docs/boms_affiliated_partners_en.pdf

(5)  Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).

(6)  Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliul din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).


ANEXA I

„ANEXA III

ALOCAREA RESPONSABILITĂȚILOR ÎNTRE OPERATORII ASOCIAȚI

(1)

Comisia are următoarele responsabilități:

(i)

înființarea, funcționarea și administrarea CPMS;

(ii)

furnizarea, dacă este necesar, a mijloacelor tehnice către furnizorii de servicii medicale pentru a le permite pacienților să își exercite drepturile prin intermediul CPMS în conformitate cu Regulamentul (UE) 2018/1725 și să răspundă și să participe la cererile persoanelor vizate, în cazul în care legislația aplicabilă impune acest lucru;

(iii)

garantarea respectării de către CPMS a cerințelor aplicabile sistemelor informatice și de comunicații ale Comisiei (1);

(iv)

definirea și punerea în aplicare a mijloacelor tehnice pentru a permite pacienților să își exercite drepturile în conformitate cu Regulamentul (UE) 2018/1725;

(v)

informarea furnizorilor de servicii medicale cu privire la orice încălcare a securității datelor cu caracter personal în CPMS;

(vi)

exportul de seturi de date cu caracter personal din CPMS în cazul schimbării operatorului de date cu caracter personal;

(vii)

identificarea categoriilor de personal și a altor persoane cărora li se poate acorda acces la CPMS, afiliate furnizorilor de servicii medicale autorizați să acceseze CPMS;

(viii)

asigurarea faptului că numele și locul nașterii pacienților (cu excepția cazului în care acestea sunt necesare pentru diagnostic și tratament) și data exactă a nașterii sunt criptate și pseudonimizate și că alte date cu caracter personal necesare în scopul diagnosticării și tratării sunt pseudonimizate în CPMS;

(ix)

punerea în aplicare a unor garanții adecvate pentru a asigura securitatea și confidențialitatea datelor cu caracter personal ale pacienților prelucrate prin intermediul CPMS.

(2)

Fiecare furnizor de servicii medicale autorizat să acceseze CPMS are următoarele responsabilități:

(i)

selectarea pacienților ale căror date cu caracter personal sunt prelucrate prin intermediul CPMS;

(ii)

colectarea și menținerea unui (unor) consimțământ (consimțăminte) explicit(e), în cunoștință de cauză, de bună voie și specific(e) al(e) pacienților ale căror date sunt prelucrate prin intermediul CPMS în conformitate cu cerințele minime obligatorii pentru formularul de consimțământ specificat în anexa IV;

(iii)

rolul de punct de contact pentru pacienții săi, inclusiv atunci când își exercită drepturile, răspunzând la cererile pacienților sau ale reprezentanților acestora și asigurând faptul că pacienții ale căror date sunt prelucrate prin intermediul CPMS au posibilitatea de a-și exercita drepturile în conformitate cu legislația privind protecția datelor, utilizând, dacă este necesar, mijloacele tehnice furnizate de Comisie în conformitate cu punctul 1 subpunctul (ii);

(iv)

revizuirea, cel puțin o dată la cincisprezece ani, a necesității prelucrării anumitor date cu caracter personal ale pacienților prin intermediul CPMS;

(v)

asigurarea securității și a confidențialității privind orice prelucrare a datelor cu caracter personal ale pacienților în afara CPMS efectuată de furnizorul de servicii medicale în cauză, în cazul în care aceste date sunt prelucrate în scopul sau în legătură cu prelucrarea datelor cu caracter personal ale pacienților prin intermediul CPMS;

(vi)

comunicarea către Comisie, autoritățile de supraveghere competente și, în cazul în care i se solicită acest lucru, către pacienți, în conformitate cu articolele 33 și 34 din Regulamentul (UE) 2016/679 sau la solicitarea Comisiei, a oricărei încălcări a securității datelor cu caracter personal în ceea ce privește datele pacienților prelucrate prin intermediul CPMS;

(vii)

identificarea, în conformitate cu criteriile de acces menționate la punctul 1 subpunctul (vii) din prezenta anexă, a personalului și a altor persoane afiliate cărora li se acordă acces la datele cu caracter personal ale pacienților în CPMS și comunicarea constatărilor către Comisie;

(viii)

asigurarea faptului că personalul său și alte persoane care îi sunt afiliate, care au acces la datele cu caracter personal ale pacienților în CPMS, beneficiază de formare adecvată pentru a se asigura că își îndeplinesc sarcinile în conformitate cu normele aplicabile protecției datelor cu caracter personal și că fac obiectul obligației de păstrare a secretului profesional în conformitate cu articolul 9 alineatul (3) din Regulamentul (UE) 2016/679.


(1)  Decizia (UE, Euratom) 2017/46 a Comisiei din 10 ianuarie 2017 privind securitatea sistemelor informatice și de comunicații în cadrul Comisiei Europene (JO L 6, 11.1.2017, p. 40)și Decizia Comisiei din 13.12.2017 de stabilire a normelor de punere în aplicare pentru articolele 3, 5, 7, 8, 9, 10, 11, 12, 14 și 15 din Decizia (UE, Euratom) 2017/46 privind securitatea sistemelor informatice și de comunicații din cadrul Comisiei.


ANEXA II

„ANEXA IV

Cerințe minime obligatorii privind formularul de consimțământ care trebuie pus la dispoziție de furnizorii de servicii medicale autorizați să acceseze CPMS

(1)

Formularul de consimțământ descrie temeiul juridic și legalitatea prelucrării, conceptul și scopul rețelelor europene de referință (RER) instituite prin Directiva 2011/24/UE privind aplicarea drepturilor pacienților în cadrul asistenței medicale transfrontaliere. Acesta informează cu privire la operațiunile de prelucrare specifice și, respectiv, cu privire la drepturile persoanei vizate în conformitate cu legislația privind protecția datelor aplicabilă. Formularul explică faptul că rețelele sunt formate din membri care sunt furnizori de servicii medicale foarte specializate, cu scopul de a le permite profesioniștilor din domeniul sănătății să colaboreze pentru a sprijini pacienții cu boli sau afecțiuni complexe rare sau cu prevalență redusă care necesită asistență medicală de înaltă specializare.

(2)

Formularul de consimțământ solicită consimțământul explicit al pacientului pentru schimbul de date cu caracter personal cu una sau mai multe RER, cu unicul scop de a îmbunătăți accesul acestuia la diagnostic și la tratament și furnizarea unei asistențe medicale de înaltă calitate. În acest scop, în formularul respectiv se explică următoarele:

(a)

în cazul în care se dă consimțământul, datele cu caracter personal ale pacienților vor fi prelucrate de către furnizorii de servicii medicale autorizați să acceseze CPMS, respectând următoarele condiții:

(i)

Numele pacientului, precum și locul și data exactă a nașterii, nu sunt incluse în datele partajate; datele de identificare ale pacientului vor fi înlocuite cu un identificator unic care nu va permite identificarea pacientului către alte persoane decât furnizorul de servicii medicale (pseudonimizare).

(ii)

Doar datele care sunt relevante în scopul diagnosticării și al tratamentului vor fi partajate; printre acestea se pot număra regiunea de naștere și regiunea de domiciliu, sexul, anul și luna nașterii, imaginile medicale, rapoartele de laborator, precum și datele privind mostrele de material biologic. Pot fi incluse, de asemenea, scrisori și rapoarte din partea altor profesioniști din domeniul sănătății care au avut grijă de pacient în trecut.

(iii)

Datele pacientului vor fi partajate prin intermediul sistemului clinic de gestionare a pacienților (CPMS), un sistem securizat de informații electronice.

(iv)

Numai profesioniștii din domeniul sănătății și alte persoane afiliate furnizorilor de servicii medicale care fac obiectul obligației de păstrare a secretului profesional și care au dreptul de a avea acces la datele pacienților din rețele vor avea acces la datele pacientului.

(v)

Profesioniștii din domeniul sănătății și alte persoane afiliate furnizorilor de servicii medicale care au dreptul de a avea acces la datele pacienților pot efectua căutări în CPMS și pot crea rapoarte pentru a identifica cazuri similare ale pacienților.

(b)

în cazul în care consimțământul nu este dat, acest lucru nu va afecta în niciun fel îngrijirea pacientului de către furnizorul de servicii medicale respectiv.

(3)

În formularul de consimțământ se poate solicita, de asemenea, consimțământul suplimentar al pacientului pentru ca datele sale să fie introduse în registre sau în alte baze de date pentru boli complexe rare și cu prevalență redusă, care servesc unor scopuri de cercetare științifică, clinice sau de politică de sănătate. În cazul în care se solicită consimțământul în acest scop, formularul de consimțământ descrie conceptul și scopul registrelor sau bazelor de date privind bolile rare și explică faptul că:

(a)

în cazul în care se dă consimțământul, datele cu caracter personal ale pacientului vor fi prelucrate de către furnizorii de servicii medicale autorizați să acceseze CPMS, respectând următoarele condiții:

(i)

Doar datele relevante referitoare la starea de sănătate a pacientului vor fi partajate.

(ii)

Profesioniștii din domeniul sănătății și alte persoane afiliate furnizorilor de servicii medicale care au dreptul de a avea acces la datele pacienților pot efectua căutări în CPMS și pot crea rapoarte pentru a identifica cazuri similare ale pacienților.

(b)

în cazul în care consimțământul nu este dat, acest lucru nu va afecta în niciun fel îngrijirea pacientului de către furnizorul de servicii medicale respectiv sau faptul că rețeaua va oferi consiliere cu privire la diagnostice și tratament, la cererea pacientului.

(4)

Formularul de consimțământ poate, de asemenea, să solicite consimțământul suplimentar al pacientului pentru a fi contactat de un membru al rețelei care consideră că pacientul ar putea fi adecvat pentru o inițiativă de cercetare științifică, un proiect specific de cercetare științifică sau părți ale unui proiect de cercetare științifică. Dacă se solicită consimțământul în acest scop, formularul de consimțământ explică faptul că, în acest stadiu, consimțământul de a fi contactat în scopuri de cercetare științifică nu înseamnă că s-a dat consimțământul pentru ca datele pacientului să fie utilizate pentru o anumită inițiativă de cercetare științifică și nici că pacientul va fi, în orice caz, contactat în legătură cu un proiect de cercetare științifică specific sau că pacientul va face parte din acesta și că:

(a)

în cazul în care se dă consimțământul, datele cu caracter personal ale pacientului vor fi prelucrate de către furnizorii de servicii medicale autorizați să acceseze CPMS, respectând următoarele condiții:

(i)

Profesioniștii din domeniul sănătății și alte persoane afiliate furnizorilor de servicii medicale care au dreptul să acceseze datele pacienților pot efectua căutări în CPMS și pot crea rapoarte pentru a găsi pacienți potriviți pentru cercetare științifică.

(ii)

Dacă boala sau afecțiunea pacientului este considerată relevantă pentru un anumit proiect științific de cercetare, pacientul poate fi contactat pentru acest proiect de cercetare științifică specific, pentru a obține consimțământul pacientului pentru ca datele sale să fie utilizate pentru respectivul proiect de cercetare științifică.

(b)

în cazul în care consimțământul nu este dat, acest fapt nu va afecta în niciun fel îngrijirea pacientului de către furnizorul de servicii medicale respectiv sau faptul că rețeaua va oferi consiliere cu privire la diagnostice și tratament, la cererea pacientului.

(5)

Formularul de consimțământ trebuie să explice drepturile pacientului în ceea ce privește consimțământul său de a partaja date cu caracter personal și, în special, să informeze pacientul că:

(a)

are dreptul să dea sau să refuze orice consimțământ, iar acest lucru nu îi va afecta îngrijirea;

(b)

poate retrage consimțământul dat anterior în orice moment;

(c)

are dreptul de a ști ce date sunt partajate într-o rețea, de a accesa datele deținute despre sine și de a solicita corectarea oricăror erori;

(d)

poate solicita blocarea sau ștergerea datelor sale cu caracter personal și are dreptul la portabilitatea datelor.

(6)

Formularul de consimțământ informează pacientul că furnizorul de servicii medicale va păstra datele cu caracter personal numai atât timp cât este necesar pentru scopurile cu privire la care pacientul și-a dat consimțământul, cel târziu o dată la cincisprezece ani având loc o revizuire a necesității de stocare a datelor cu caracter personal ale unui anumit pacient în CPMS.

(7)

Formularul de consimțământ informează pacientul cu privire la identitatea și datele de contact ale operatorilor de date, specificând clar că punctul de contact pentru a exercita drepturile pacientului este furnizorul de servicii medicale autorizat să aibă acces în CPMS, cu privire la datele de contact ale responsabililor cu protecția datelor și, după caz, cu privire la măsurile reparatorii disponibile referitoare la protecția datelor și furnizează datele de contact ale autorității naționale pentru protecția datelor.

(8)

Formularul de consimțământ înregistrează separat consimțământul individual pentru fiecare dintre cele trei forme diferite de partajare de date, într-un mod specific, explicit și lipsit de ambiguitate:

(a)

consimțământul trebuie demonstrat printr-o acțiune afirmativă fără echivoc, de exemplu prin bifarea unei căsuțe și printr-o semnătură pe formular;

(b)

sunt incluse ambele opțiuni (de a da sau de a refuza consimțământul).


Top