NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2025/327

z 11. februára 2025

o európskom priestore pre zdravotné údaje a o zmene smernice 2011/24/EÚ a nariadenia (EÚ) 2024/2847

(Text s významom pre EHP)

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej články 16 a 114,

so zreteľom na návrh Európskej komisie,

po postúpení návrhu legislatívneho aktu národným parlamentom,

so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru (1),

so zreteľom na stanovisko Výboru regiónov (2),

konajúc v súlade s riadnym legislatívnym postupom (3),

keďže:

(1)

Cieľom tohto nariadenia je vytvoriť európsky priestor pre zdravotné údaje (ďalej len „EHDS“) v záujme zlepšenia prístupu fyzických osôb k svojim osobným elektronickým zdravotným údajom a kontroly nad nimi v súvislosti so zdravotnou starostlivosťou, ako aj na lepšie dosahovanie iných účelov zahŕňajúcich používanie elektronických zdravotných údajov v sektoroch zdravotnej a inej starostlivosti, ktoré by boli prínosom pre spoločnosť, ako sú výskum, inovácie, tvorba politík, pripravenosť a reakcia na ohrozenie zdravia vrátane predchádzania a riešenia budúcich pandémií, bezpečnosť pacienta, personalizovaná medicína, oficiálne štatistiky alebo regulačné činnosti. Cieľom tohto nariadenia je okrem toho zlepšiť fungovanie vnútorného trhu stanovením jednotného právneho a technického rámca, najmä pokiaľ ide o vývoj, uvádzanie na trh a používanie systémov elektronických zdravotných záznamov (ďalej len „systémy EHR“) v súlade s hodnotami Únie. EHDS bude kľúčovým prvkom pri vytváraní silnej a odolnej európskej zdravotnej únie.

(2)

Pandémia ochorenia COVID-19 zdôraznila nevyhnutnosť včasného prístupu ku kvalitným elektronickým zdravotným údajom v záujme pripravenosti a reakcie na ohrozenia zdravia, ako aj prevencie, diagnostiky a liečby a na sekundárne používanie uvedených elektronických zdravotných údajov. Takýto včasný prístup by mohol prostredníctvom efektívneho dohľadu nad verejným zdravím a jeho monitorovania potenciálne prispieť k účinnejšiemu riadeniu budúcich pandémií, zníženým nákladom a lepšej reakcii na ohrozenia zdravia a v konečnom dôsledku by mohol pomôcť zachrániť viac životov. Komisia v roku 2020 urýchlene prispôsobila svoj systém správy klinických údajov o pacientoch, ktorý sa zriadil vykonávacím rozhodnutím Komisie (EÚ) 2019/1269 (4), aby si členské štáty mohli vymieňať elektronické zdravotné údaje pacientov s ochorením COVID-19 presúvajúcich sa medzi poskytovateľmi zdravotnej starostlivosti a členskými štátmi počas vrcholu uvedenej pandémie. Toto prispôsobenie však bolo len núdzovým riešením, ktoré poukázalo na potrebu štrukturálneho a konzistentného prístupu na úrovni členského štátu a Únie s cieľom zlepšiť dostupnosť elektronických zdravotných údajov pre zdravotnú starostlivosť a uľahčiť prístup k elektronickým zdravotným údajom s cieľom riadiť účinné politické reakcie a prispieť k vysokým štandardom ľudského zdravia.

(3)

Kríza spôsobená ochorením COVID-19 výrazne upevnila prácu siete elektronického zdravotníctva, dobrovoľnej siete orgánov zodpovedných za elektronické zdravotníctvo, ako hlavného piliera vývoja aplikácií na sledovanie kontaktov a zasielanie varovaní o kontaktoch pre mobilné zariadenia a technických aspektov digitálnych COVID preukazov EÚ. Zároveň poukázala na potrebu zdieľania elektronických zdravotných údajov, ktoré sú vyhľadateľné, prístupné, interoperabilné a opätovne použiteľné (ďalej len „zásady FAIR“), a zabezpečenia, aby elektronické zdravotné údaje boli čo najotvorenejšie pri súčasnom zachovaní zásady minimalizácie údajov stanovenej v nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 (5). Mali by sa zaistiť synergie medzi EHDS, európskym cloudom pre otvorenú vedu a európskymi výskumnými infraštruktúrami a malo by sa vziať ponaučenie z riešení spoločného využívania údajov, ktoré boli vyvinuté v rámci európskej platformy údajov o ochorení COVID-19.

(4)

Vzhľadom na citlivosť osobných elektronických zdravotných údajov sa toto nariadenie usiluje o poskytnutie dostatočných záruk tak na úrovni Únie, ako aj na vnútroštátnej úrovni, aby sa zabezpečila vysoká miera ochrany, bezpečnosti, dôvernosti a etického používania údajov. Takéto záruky sú potrebné na podporu dôvery v bezpečné zaobchádzanie s osobnými elektronickými zdravotnými údajmi na primárne používanie a sekundárne používanie v zmysle vymedzenia v tomto nariadení.

(5)

Spracúvanie osobných elektronických zdravotných údajov podlieha ustanoveniam nariadenia (EÚ) 2016/679 a v prípade inštitúcií, orgánov, úradov a agentúr Únie ustanoveniam nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 (6). Odkazy na ustanovenia nariadenia (EÚ) 2016/679 by sa mali v relevantných prípadoch chápať aj ako odkazy na zodpovedajúce ustanovenia nariadenia (EÚ) 2018/1725 v prípade inštitúcií, orgánov, úradov a agentúr Únie.

(6)

Čoraz viac jednotlivcov žijúcich v Únii prekračuje štátne hranice za účelom práce, štúdia, návštevy príbuzných alebo z iných dôvodov. Na uľahčenie výmeny zdravotných údajov a v súlade s potrebou posilniť postavenie občanov by občania mali mať prístup k svojim zdravotným údajom v elektronickom formáte, ktorý je rozpoznateľný a uznávaný v celej Únii. Medzi takéto osobné elektronické zdravotné údaje by mohli patriť osobné údaje týkajúce sa telesného alebo duševného zdravia fyzickej osoby vrátane údajov týkajúcich sa poskytovania služieb zdravotnej starostlivosti, a ktorými sa odhaľujú informácie o zdravotnom stave tejto fyzickej osoby, osobné údaje týkajúce sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby, ako aj údaje o determinantoch zdravia, ako je správanie, vplyvy prostredia a fyzické vplyvy, lekárska starostlivosť a sociálne faktory či faktory súvisiace so vzdelaním. Súčasťou elektronických zdravotných údajov sú aj údaje, ktoré sa pôvodne získali na účely výskumu, štatistiky, posudzovania ohrozenia zdravia, tvorby politík alebo na regulačné účely, a malo by byť možné sprístupniť ich v súlade s pravidlami stanovenými v tomto nariadení. Elektronické zdravotné údaje pozostávajú zo všetkých kategórií uvedených údajov bez ohľadu na to, či takéto údaje poskytuje dotknutá osoba alebo iné fyzické či právnické osoby, ako sú zdravotnícki pracovníci, alebo sa spracúvajú súvislosti so zdravím alebo blahobytom fyzickej osoby, a mali by zahŕňať aj vyvodené a odvodené údaje, ako sú diagnózy, testy a lekárske vyšetrenia, ako aj údaje pozorované a zaznamenané automatizovanými prostriedkami.

(7)

V zdravotníckych systémoch sa osobné elektronické zdravotné údaje zvyčajne zhromažďujú v podobe elektronických zdravotných záznamov, ktoré typicky obsahujú anamnézu, diagnózy a liečbu, lieky, alergie, očkovania, ako aj rádiologické snímky, laboratórne výsledky fyzickej osoby a iné lekárske údaje, ktoré sú rozdelené medzi rôznymi aktérmi v systéme zdravotníctva, ako sú všeobecní lekári, nemocnice, lekárne alebo služby starostlivosti. Niektoré členské štáty s cieľom umožniť prístup fyzických osôb alebo zdravotníckych pracovníkov k elektronickým zdravotným údajom, ich zdieľanie a zmenu prijali potrebné právne a technické opatrenia a zriadili centralizované infraštruktúry prepájajúce systémy EHR, ktoré používajú poskytovatelia zdravotnej starostlivosti a fyzické osoby. Okrem toho niektoré členské štáty s cieľom umožniť interoperabilitu medzi rôznymi poskytovateľmi zdravotnej starostlivosti poskytujú podporu verejným a súkromným poskytovateľom zdravotnej starostlivosti pri vytváraní priestorov pre osobné elektronické zdravotné údaje. Viaceré členské štáty takisto podporujú alebo poskytujú služby elektronického prístupu k zdravotným údajom pre pacientov a zdravotníckych pracovníkov, napríklad prostredníctvom portálov pre pacientov alebo zdravotníckych pracovníkov. Uvedené členské štáty takisto prijali opatrenia s cieľom zabezpečiť, že systémy EHR alebo wellness aplikácie sú schopné prenášať si elektronické zdravotné údaje s ústredným systémom EHR, napríklad poskytnutím systému certifikácie. Takéto systémy však nezaviedli všetky členské štáty, pričom tie členské štáty, ktoré ich zaviedli, tak urobili fragmentovaným spôsobom. Na uľahčenie voľného pohybu osobných elektronických zdravotných údajov v celej Únii a na zabránenie negatívnym dôsledkom pre pacientov pri prijímaní zdravotnej starostlivosti v cezhraničnom kontexte sú nevyhnutné opatrenia na úrovni Únie s cieľom zlepšiť prístup fyzických osôb k vlastným osobným elektronickým zdravotným údajom a posilniť ich postavenie pri zdieľaní uvedených údajov. V tejto súvislosti by sa malo prijať primerané opatrenie na úrovni Únie a členských štátov ako prostriedok na zníženie rozdrobenosti, rôznorodosti a rozdelenia a na vytvorenie systému, ktorý je používateľsky ústretový a intuitívny, vo všetkých členských štátoch. Akákoľvek digitálna transformácia v sektore zdravotníctva by mala byť zameraná na inkluzívnosť a mala by byť prínosom aj pre fyzické osoby s obmedzenou možnosťou prístupu k digitálnym službám a ich využívania vrátane osôb so zdravotným postihnutím.

(8)

V nariadení (EÚ) 2016/679 sa stanovujú osobitné ustanovenia týkajúce sa práv fyzických osôb vo vzťahu k spracúvaniu ich osobných údajov. EHDS vychádza z uvedených práv a dopĺňa niektoré, ktoré sa uplatňujú na osobné elektronické zdravotné údaje. Uvedené práva sa uplatňujú bez ohľadu na členský štát, v ktorom sa osobné elektronické zdravotné údaje spracúvajú, druh poskytovateľa zdravotnej starostlivosti, zdroje týchto údajov alebo členský štát, v ktorom je fyzická osoba poistená. Práva a pravidlá súvisiace s primárnym používaním osobných elektronických zdravotných údajov podľa tohto nariadenia sa týkajú všetkých kategórií týchto údajov bez ohľadu na to, ako boli získané alebo kto ich poskytol, na právny dôvod spracúvania podľa nariadenia (EÚ) 2016/679 alebo na postavenie prevádzkovateľa ako verejnej či súkromnej organizácie. Dodatočnými právami na prístup k osobným elektronickým zdravotným údajom a na ich prenosnosť stanovenými v tomto nariadení by nemali byť dotknuté práva na prístup a prenosnosť stanovené v nariadení (EÚ) 2016/679. Fyzické osoby majú tieto práva aj naďalej za podmienok stanovených v tomto nariadení.

(9)

Zatiaľ čo práva udelené nariadením (EÚ) 2016/679 by sa mali naďalej uplatňovať, právo fyzickej osoby na prístup k údajom, ktoré sa stanovuje v nariadení (EÚ) 2016/679, by sa malo v sektore zdravotníctva ďalej doplniť. Podľa uvedeného nariadenia prevádzkovatelia nemusia poskytnúť prístup okamžite. Právo na prístup k zdravotným údajom sa na mnohých miestach stále bežne uplatňuje prostredníctvom poskytovania požadovaných zdravotných údajov v papierovej podobe alebo ako naskenované dokumenty, čo je časovo náročné pre prevádzkovateľa, ako je nemocnica alebo iný poskytovateľ zdravotnej starostlivosti, ktorý poskytuje prístup. Uvedená situácia spomaľuje prístup fyzických osôb k zdravotným údajom a môže to mať na nich negatívny vplyv, ak takýto prístup potrebujú okamžite v dôsledku naliehavých okolností týkajúcich sa ich zdravotného stavu. Je preto potrebné poskytnúť fyzickým osobám efektívnejší spôsob prístupu k ich vlastným osobným elektronickým zdravotným údajom. Mali by mať právo na bezplatný a okamžitý prístup k vymedzeným prioritným kategóriám osobných elektronických zdravotných údajov, ako je pacientsky sumár, pričom by mali rešpektovať potrebu technologickej uskutočniteľnosti, prostredníctvom služby prístupu k elektronickým zdravotným údajom. Uvedené právo by sa malo uplatňovať bez ohľadu na členský štát, v ktorom sa osobné elektronické zdravotné údaje spracúvajú, druh poskytovateľa zdravotnej starostlivosti, zdroje údajov alebo členský štát, v ktorom je fyzická osoba poistená. Rozsah uvedeného doplnkového práva stanoveného podľa tohto nariadenia a podmienky jeho uplatňovania sa určitým spôsobom líšia od práva na prístup k osobných údajom podľa nariadenia (EÚ) 2016/679, ktoré sa vzťahuje na všetky osobné údaje, ktoré má v držbe prevádzkovateľ, a uplatňuje sa voči jednotlivému prevádzkovateľovi, ktorý má potom najviac jeden mesiac na to, aby odpovedal na žiadosť. Právo na prístup k osobným elektronickým zdravotným údajom podľa tohto nariadenia by sa malo obmedziť na kategórie údajov, ktoré patria do jeho rozsahu pôsobnosti, malo by sa uplatňovať prostredníctvom služby prístupu k elektronickým zdravotným údajom a poskytovať okamžitú odpoveď. Práva podľa nariadenia (EÚ) 2016/679 by sa mali naďalej uplatňovať, čo fyzickým osobám umožní využívať ich práva podľa oboch právnych rámcov, predovšetkým právo na získanie papierovej kópie elektronických zdravotných údajov.

(10)

Malo by sa zohľadniť, že okamžitý prístup fyzických osôb k určitým kategóriám ich osobných elektronických zdravotných údajov by mohol byť škodlivý pre bezpečnosť uvedených fyzických osôb alebo neetický. Napríklad by mohlo byť neetické elektronickým kanálom informovať pacienta o stanovení diagnózy nevyliečiteľnej choroby, ktorá pravdepodobne povedie k úmrtiu, namiesto toho, aby sa takáto informácia najskôr poskytla v rámci konzultácie s pacientom. Preto by malo byť možné odložiť poskytovanie prístupu k osobným elektronickým zdravotným údajom v takýchto situáciách na obmedzený čas, napríklad až do okamihu, keď zdravotnícky pracovník môže pacientovi vysvetliť situáciu. Členské štáty by mali mať možnosť stanoviť takúto výnimku vtedy, ak v súlade s obmedzeniami stanovenými v článku 23 nariadenia (EÚ) 2016/679 predstavuje nevyhnutné a primerané opatrenie v demokratickej spoločnosti.

(11)

Týmto nariadením nie sú dotknuté právomoci členských štátov týkajúce sa počiatočnej registrácie osobných elektronických zdravotných údajov, ako je napríklad podmieňovanie registrácie genetických údajov súhlasom fyzickej osoby alebo inými zárukami. Členské štáty môžu požadovať, aby sa údaje pred uplatňovaním tohto nariadenia sprístupnili v elektronickom formáte. Týmto by nemala byť dotknutá povinnosť sprístupniť osobné elektronické zdravotné údaje zaznamenané po dni začatia uplatňovania tohto nariadenia dostupné v elektronickom formáte.

(12)

S cieľom doplniť informácie, ktoré sú im k dispozícii, by fyzické osoby mali mať možnosť dopĺňať do svojich elektronických zdravotných záznamov elektronické zdravotné údaje alebo uchovávať vo svojich samostatných osobných zdravotných záznamoch dodatočné informácie, ktoré môžu prehliadať zdravotnícki pracovníci. Informácie, ktoré vkladajú fyzické osoby, by však nemuseli byť natoľko spoľahlivé ako elektronické zdravotné údaje zadávané a overované zdravotníckymi pracovníkmi, a nemajú rovnakú klinickú či právnu hodnotu ako informácie poskytnuté zdravotníckymi pracovníkmi. Preto by údaje doplnené fyzickými osobami do ich elektronických zdravotných záznamov mali byť jasne odlíšiteľné od údajov poskytovaných zdravotníckymi pracovníkmi. Uvedená možnosť, aby fyzické osoby pridávali a dopĺňali osobné elektronické zdravotné údaje, by ich nemala oprávňovať na zmenu osobných elektronických zdravotných údajov, ktoré boli poskytnuté zdravotníckymi pracovníkmi.

(13)

Umožnenie jednoduchšieho a rýchlejšieho prístupu fyzických osôb k ich osobným elektronickým zdravotným údajom im umožní upozorniť na prípadné chyby, ako sú nesprávne informácie alebo nesprávne priradené záznamy pacienta. Fyzické osoby by v daných prípadoch mali mať možnosť elektronicky požiadať o okamžitú a bezplatnú opravu nesprávnych elektronických zdravotných údajov prostredníctvom služby prístupu k osobným zdravotným údajom. Takéto žiadosti o opravu by potom mali vybavovať príslušní prevádzkovatelia v súlade s nariadením (EÚ) 2016/679, prípadne s účasťou zdravotníckych pracovníkov s relevantnou špecializáciou a zodpovedných za liečbu tejto fyzickej osoby.

(14)

Podľa nariadenia (EÚ) 2016/679 je právo na prenosnosť údajov obmedzené na údaje spracúvané na základe súhlasu alebo zmluvy a poskytnuté dotknutou osobou prevádzkovateľovi. Okrem toho majú fyzické osoby podľa uvedeného nariadenia právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi len vtedy, ak je to technicky možné. V nariadení (EÚ) 2016/679 sa však neukladá povinnosť zabezpečiť, aby bol tento priamy prenos technicky možný. Právo na prenosnosť údajov by sa malo doplniť podľa tohto nariadenia, čím by sa fyzickým osobám umožnilo poskytovať prístup aspoň k prioritným kategóriám svojich osobných elektronických zdravotných údajov zdravotníckym pracovníkom podľa vlastného výberu, vymieňať si takéto zdravotné údaje s takýmito zdravotníckymi pracovníkmi a sťahovať si takéto zdravotné údaje. Fyzické osoby by okrem toho mali mať právo požiadať poskytovateľa zdravotnej starostlivosti o prenos časti svojich elektronických zdravotných údajov jasne identifikovanému príjemcovi v sektore služieb sociálneho zabezpečenia alebo preplácania nákladov. Takýto prevod by mal byť len jednosmerný.

(15)

Rámec stanovený v tomto nariadení by mal vychádzať z práva na prenosnosť údajov stanoveného v nariadení (EÚ) 2016/679 tým, že zabezpečuje, aby fyzické osoby mali ako dotknuté osoby možnosť prenášať svoje osobné elektronické zdravotné údaje vrátane vyvodených údajov v európskom formáte na výmenu elektronických zdravotných záznamov, a to bez ohľadu na právny základ na spracúvanie elektronických zdravotných údajov. Zdravotnícki pracovníci by nemali brániť uplatňovaniu práv fyzických osôb, napríklad odmietnutím zohľadnenia osobných elektronických zdravotných údajov, ktoré pochádzajú z iného členského štátu a ktoré sa poskytli v interoperabilnom a spoľahlivom európskom formáte na výmenu elektronických zdravotných záznamov.

(16)

Prístup poskytovateľov zdravotnej starostlivosti alebo iných jednotlivcov k elektronickým zdravotným záznamom by mal byť pre dotknuté fyzické osoby transparentný. Služby prístupu k elektronickým zdravotným údajom by mali poskytovať podrobné informácie o prístupoch k údajom, napríklad o tom, kedy a ktorý subjekt alebo fyzická osoba si údaje prehliadal a aké údaje sa prehliadali. Fyzické osoby by takisto mali mať možnosť umožniť alebo znemožniť automatické oznámenia týkajúce sa prístupu k ich osobným elektronickým zdravotným údajom, ktoré sa ich týkajú, prostredníctvom služieb prístupu pre zdravotníckych pracovníkov

(17)

Fyzické osoby nemusia mať záujem umožniť prístup k niektorým častiam svojich osobných elektronických zdravotných údajov pri súčasnom umožnení prístupu k iným častiam. To by mohlo byť relevantné najmä v prípadoch týkajúcich sa citlivých zdravotných problémov, ako sú problémy súvisiace s duševným alebo sexuálnym zdravím, citlivých zákrokov, ako sú umelé prerušenie tehotenstva, alebo týkajúcich sa informácii o konkrétnych liekoch, ktoré by mohli odhaliť iné citlivé záležitosti. Takéto selektívne zdieľanie osobných elektronických zdravotných údajov by sa preto malo podporovať a vykonávať prostredníctvom obmedzení stanovených dotknutou fyzickou osobou rovnakým spôsobom v rámci územia daného členského štátu a v prípade cezhraničnej výmeny údajov. Uvedené obmedzenia by mali umožniť dostatočnú podrobnosť na obmedzenie častí súborov údajov, ako sú prvky pacientskych sumárov. Pred stanovením obmedzení by fyzické osoby mali byť informované o rizikách týkajúcich sa bezpečnosti pacientov, ktoré sú spojené s obmedzením prístupu k zdravotným údajom. Vzhľadom na to, že nedostupnosť obmedzených osobných elektronických zdravotných údajov môže mať vplyv na poskytovanie alebo kvalitu služieb zdravotnej starostlivosti poskytovaných fyzickej osobe, fyzické osoby využívajúce takéto obmedzenia prístupu by mali niesť zodpovednosť za to, že poskytovateľ zdravotnej starostlivosti nemôže pri poskytovaní služieb zdravotnej starostlivosti tieto údaje zohľadniť. Obmedzenia prístupu k osobným elektronickým zdravotným údajom by mohli mať život ohrozujúce následky, a preto by prístup k uvedeným údajom mal byť napriek tomu možný, ak je to nevyhnutné na ochranu životne dôležitých záujmov v núdzových situáciách. Členské štáty by mohli vo svojom vnútroštátnom práve stanoviť špecifickejšie právne ustanovenia o mechanizmoch obmedzení, ktoré si fyzické osoby uplatňujú na časti svojich osobných elektronických zdravotných údajov, najmä pokiaľ ide o zdravotnú zodpovednosť v prípadoch, že dotknutá fyzická osoba zaviedla obmedzenia.

(18)

Navyše vzhľadom na rôznu citlivosť v členských štátoch, pokiaľ ide o mieru pacientskej kontroly nad svojimi zdravotnými údajmi, by členské štáty mali mať možnosť stanoviť absolútne právo odmietnuť prístup k ich osobným elektronickým zdravotným údajom komukoľvek inému než pôvodnému prevádzkovateľovi bez akejkoľvek možnosti neprihliadať na dané odmietnutie v núdzových situáciách. V takom prípade by členské štáty mali stanoviť pravidlá a osobitné záruky týkajúce sa takýchto mechanizmov odmietnutia. Uvedené pravidlá a osobitné záruky by sa mohli týkať aj osobitných kategórií osobných elektronických zdravotných údajov, napríklad genetických údajov. Právo odmietnuť znamená, že osobné elektronické zdravotné údaje týkajúce sa fyzickej osoby, ktorá si uplatňuje toto právo, by neboli sprístupnené prostredníctvom služieb zriadených v rámci EHDS inému poskytovateľovi zdravotnej starostlivosti, než je poskytovateľ zdravotnej starostlivosti, ktorý ošetrenie poskytol. Členské štáty by mali mať možnosť vyžadovať registráciu a uchovávanie osobných elektronických zdravotných údajov v systéme EHR, ktorý používa poskytovateľ zdravotnej starostlivosti, ktorý poskytol zdravotnícke služby a ktorý je prístupný len tomuto poskytovateľovi zdravotnej starostlivosti. Ak fyzická osoba uplatnila právo odmietnuť, poskytovatelia zdravotnej starostlivosti budú naďalej dokumentovať ošetrenie poskytnuté v súlade s platnými pravidlami a budú mať prístup k údajom, ktoré zaregistrovali. Fyzické osoby, ktoré si uplatňujú právo odmietnuť, by mali mať možnosť zmeniť svoje rozhodnutie. V takýchto prípadoch, osobné elektronické zdravotné údaje získané počas obdobia odmietnutia nemusia byť dostupné prostredníctvom prístupových služieb a infraštruktúry MyHealth@EU.

(19)

Včasný a úplný prístup zdravotníckych pracovníkov k zdravotným záznamom pacientov je nevyhnutný na zabezpečenie kontinuity starostlivosti, predchádzanie duplicitám a chybám, a na zníženie nákladov. V dôsledku nedostatočnej interoperability však zdravotnícki pracovníci v mnohých prípadoch nemajú prístup k úplným zdravotným záznamom svojich pacientov a nemôžu prijímať optimálne lekárske rozhodnutia v záujme diagnostiky a liečby, čo vytvára ďalšie značné náklady pre zdravotnícke systémy a pre fyzické osoby a môže to viesť k horším výsledkom v oblasti zdravia fyzických osôb. Elektronickými zdravotnými údajmi sprístupnenými v interoperabilnom formáte, a ktoré možno prenášať medzi poskytovateľmi zdravotnej starostlivosti, sa zároveň môže znížiť administratívna záťaž na zdravotníckych pracovníkov, ktorá vyplýva z ručného zadávania alebo kopírovania zdravotných údajov medzi elektronickými systémami. Zdravotníckym pracovníkom by sa preto mali poskytnúť elektronické prostriedky, ako sú príslušné elektronické zariadenia a portály pre zdravotníckych pracovníkov alebo iné služby prístupu pre zdravotníckych pracovníkov, na používanie osobných elektronických zdravotných údajov pri plnení svojich úloh. Keďže je ťažké vopred vyčerpávajúcim spôsobom určiť, ktoré údaje z existujúcich údajov v prioritných kategóriách sú z lekárskeho hľadiska relevantné v konkrétnej epizóde starostlivosti, zdravotnícki pracovníci by mali mať široký prístup k údajom. Zdravotnícki pracovníci by pri prístupe k údajom týkajúcim sa svojich pacientov mali dodržiavať platné právne predpisy, kódexy správania, deontologické usmernenia alebo iné ustanovenia, ktorými sa riadi etické správanie, pokiaľ ide o výmenu informácií alebo prístup k nim, najmä v život ohrozujúcich alebo extrémnych situáciách. V súlade s nariadením (EÚ) 2016/679, s cieľom obmedziť využívanie ich prístupu na to, čo je relevantné v konkrétnej epizóde starostlivosti, by poskytovatelia zdravotnej starostlivosti pri prístupe k osobným elektronickým zdravotným údajom mali dodržiavať zásadu minimalizácie údajov a prístup k nim obmedziť na údaje nevyhnutne potrebné a odôvodnené pre danú službu. Poskytovanie služieb prístupu pre zdravotníckych pracovníkov je úlohou vo verejnom záujme, ktorá je pridelená týmto nariadením a ktorej plnenie si vyžaduje spracúvanie osobných údajov, ako sa uvádza v článku 6 ods. 1 písm. e) nariadenia (EÚ) 2016/679. V tomto nariadení sa stanovujú podmienky a záruky týkajúce sa spracúvania elektronických zdravotných údajov v rámci služby prístupu pre zdravotníckych pracovníkov v súlade s článkom 9 ods. 2 písm. h) nariadenia (EÚ) 2016/679, napríklad podrobné ustanovenia týkajúce sa logovania prístupu k osobným elektronickým zdravotným údajom, a cieľom toho je zabezpečiť transparentnosť voči dotknutým osobám. Týmto nariadením by však nemalo byť dotknuté vnútroštátne právo týkajúce sa spracúvania zdravotných údajov na poskytovanie zdravotnej starostlivosti vrátane vnútroštátneho práva, ktorým sa stanovujú kategórie zdravotníckych pracovníkov, ktorí môžu spracúvať rozličné kategórie elektronických zdravotných údajov.

(20)

S cieľom uľahčiť výkon doplnkových práv na prístup a prenosnosť stanovených podľa tohto nariadenia by členské štáty mali zriadiť jednu alebo viacero služieb prístupu k elektronickým zdravotným údajom. Uvedené služby by sa mohli poskytovať na vnútroštátnej, regionálnej alebo miestnej úrovni alebo poskytovateľmi zdravotnej starostlivosti formou online portálu pre pacientov, aplikácie pre mobilné zariadenia alebo inými prostriedkami. Mali by byť navrhnuté dostupným spôsobom, najmä pre osoby so zdravotným postihnutím. Preukázanie takejto služby umožňujúcej fyzickým osobám jednoduchý prístup k ich osobným elektronickým zdravotným údajom vo významnom verejnom záujme. Spracúvanie osobných elektronických zdravotných údajov prostredníctvom uvedených služieb je potrebné na plnenie úlohy stanovenej týmto nariadením v zmysle článku 6 ods. 1 písm. e) a článku 9 ods. 2 písm. g) nariadenia (EÚ) 2016/679. V tomto nariadení sa stanovujú potrebné podmienky a záruky pre spracúvanie elektronických zdravotných údajov v rámci služieb prístupu k elektronickým zdravotným údajom, ako je elektronická identifikácia fyzických osôb, ktoré majú prístup k takýmto službám.

(21)

Fyzické osoby by mali mať možnosť udeliť oprávnenie iným fyzickým osobám podľa vlastného výberu, ako napríklad svojim príbuzným alebo iným blízkym fyzickým osobám, čím sa takýmto vybraným osobám umožní prístup alebo kontrola prístupu k osobným elektronickým zdravotným údajom fyzických osôb, ktoré udeľujú oprávnenie, alebo používanie služieb elektronického zdravotníctva v ich mene. Takéto oprávnenia by mohli byť vhodné aj na iné použitie fyzickými osobami, ktorým bolo udelené takéto oprávnenie. V členských štátoch by sa mali zriadiť proxy služby na uplatňovanie a vykonávanie takýchto oprávnení, a mali by byť prepojené so službami prístupu k osobným elektronickým zdravotným údajom, ako sú portály pre pacientov alebo aplikácie pre mobilné zariadenia určené pre pacientov. Uvedené proxy služby by mali zároveň umožniť poručníkom konať v mene svojich nezaopatrených osôb, vrátane maloletých osôb; v takýchto situáciách by mohli byť oprávnenia automatické. Okrem uvedených proxy služieb by mali členské štáty zriadiť aj ľahko dostupné podporné služby pre fyzické osoby poskytované primerane vyškolenými pracovníkmi, ktorí fyzickým osobám budú pomáhať pri výkone ich práv. Aby sa zohľadnili prípady, v ktorých by zobrazenie niektorých osobných elektronických zdravotných údajov nezaopatrených osôb ich poručníkom mohlo byť v rozpore so záujmami alebo s vôľou ich nezaopatrených osôb vrátane maloletých osôb, členské štáty by mali mať možnosť vo vnútroštátnom práve stanoviť obmedzenia a záruky, ako aj mechanizmus na ich technickú implementáciu. Služby prístupu k osobným elektronickým zdravotným údajom, ako sú portály pre pacientov alebo aplikácie pre mobilné zariadenia určené pre pacientov, by mali využívať takéto oprávnenia, a tak umožniť oprávneným fyzickým osobám prístup k osobným elektronickým zdravotným údajom, ktoré patria do rozsahu oprávnenia. S cieľom zabezpečiť horizontálne riešenie so zvýšenou používateľskou ústretovosťou by sa digitálne náhradné riešenia mali zosúladiť s nariadením Európskeho parlamentu a Rady (EÚ) č. 910/2014 (7) a technickými špecifikáciami európskej peňaženky digitálnej identity. Uvedené zosúladenie by prispelo k zníženiu administratívneho aj finančného zaťaženia členských štátov znížením rizika vývoja paralelných systémov, ktoré nie sú interoperabilné v celej Únii.

(22)

V niektorých členských štátoch poskytujú zdravotnú starostlivosť tímy riadenia primárnej starostlivosti, ktoré sú skupinami zdravotníckych pracovníkov zameraných na primárnu starostlivosť, a to všeobecní lekári, ktorí vykonávajú svoje činnosti primárnej starostlivosti na základe plánu zdravotnej starostlivosti, ktorý vypracujú. Vo viacerých členských štátoch existujú aj iné typy zdravotníckych tímov na iné účely starostlivosti. V súvislosti s primárnym používaním zdravotných údajov v EHDS by sa mal poskytnúť prístup zdravotníckym pracovníkom, ktorí patria do takýchto tímov.

(23)

Dozorné orgány zriadené podľa nariadenia (EÚ) 2016/679 sú oprávnené na monitorovanie a presadzovanie uplatňovania uvedeného nariadenia, najmä pokiaľ ide o monitorovanie spracúvania osobných elektronických zdravotných údajov a vybavovanie všetkých sťažností podaných dotknutými fyzickými osobami. V tomto nariadení sa stanovujú dodatočné práva pre fyzické osoby týkajúce sa primárneho používania, ktoré presahujú a dopĺňajú práva na prístup a prenosnosť zakotvené v nariadení (EÚ) 2016/679. Keďže uvedené dodatočné práva by mali presadzovať aj dozorné orgány zriadené podľa nariadenia (EÚ) 2016/679, členské štáty by mali zabezpečiť, aby sa týmto dozorným orgánom poskytli finančné a ľudské zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie uvedených dodatočných úloh. Dozorný orgán alebo orgány zodpovedné za monitorovanie a presadzovanie spracúvania osobných elektronických zdravotných údajov na primárne používanie v súlade s týmto nariadením by mali mať právomoc ukladať správne pokuty. Právny systém Dánska neumožňuje ukladanie správnych pokút stanovených v tomto nariadení. Pravidlá týkajúce sa správnych pokút sa môžu uplatňovať takým spôsobom, že v Dánsku uložia pokuty príslušné vnútroštátne súdy ako trestnú sankciu za predpokladu, že takéto uplatňovanie pravidiel má rovnocenný účinok ako správne pokuty uložené dozornými orgánmi. Ukladané pokuty by v každom prípade mali byť účinné, primerané a odrádzajúce.

(24)

Členské štáty by sa pri uplatňovaní tohto nariadenia mali usilovať o dodržiavanie etických zásad, ako sú európske etické zásady pre digitálne zdravotníctvo, ktoré prijala sieť elektronického zdravotníctva 26. januára 2022, a zásadu dôvernosti informácií medzi zdravotníckymi pracovníkmi a pacientmi. Európske etické zásady pre digitálne zdravotníctvo uznávajú význam etických zásad, poskytujú usmernenia odborníkom z praxe, výskumníkom, inovátorom, tvorcom politík a regulačným orgánom.

(25)

Význam rôznych kategórií elektronických zdravotných údajov sa v odlišných scenároch zdravotnej starostlivosti líši. V rôznych kategóriách sa takisto dosiahli odlišné úrovne vyspelosti, pokiaľ ide o normalizáciu, a preto môže byť vykonávanie mechanizmov ich výmeny v závislosti od kategórie viac či menej zložité. Zlepšenie interoperability a zdieľania údajov by preto malo byť postupné, pričom je nevyhnutné uprednostnenie určitých kategórií elektronických zdravotných údajov. Sieť elektronického zdravotníctva za najviac relevantné vo väčšine situácií zdravotnej starostlivosti označila kategórie elektronických zdravotných údajov, ako sú pacientske sumáre, elektronické lekárske predpisy a výdaje, vyšetrenia s lekárskymi snímkami a s nimi súvisiace správy zo zobrazovacích vyšetrení, výsledky lekárskych testov, ako sú laboratórne výsledky a s nimi súvisiace správy a prepúšťacie správy, a na tomto základe by ich členské štáty mali považovať za prioritné kategórie, pokiaľ ide o zavedenie prístupu k nim a ich prenosu. Ak takéto prioritné kategórie údajov predstavujú skupiny elektronických zdravotných údajov, toto nariadenie by sa malo uplatňovať na skupiny ako celok, ako aj na jednotlivé zápisy údajov zahrnuté v týchto skupinách. Napríklad vzhľadom na to, že stav očkovania je súčasťou pacientskeho sumáru, práva a požiadavky spojené s pacientskym sumárom by sa mali vzťahovať aj na takýto stav očkovania, aj keď sa spracúva oddelene od celkového pacientskeho sumáru. Ak sa na účely zdravotnej starostlivosti identifikujú ďalšie potreby výmeny uvedených ďalších kategórií elektronických zdravotných údajov, podľa tohto nariadenia by sa mal umožniť prístup k týmto ďalším kategóriám a ich výmena. Dodatočné kategórie by sa mali najprv zaviesť na úrovni členských štátov a v tomto nariadení by sa mala stanoviť výmena takýchto kategórií údajov na dobrovoľnom základe v cezhraničných situáciách medzi spolupracujúcimi členskými štátmi. Osobitná pozornosť by sa mala venovať výmene údajov v pohraničných regiónoch susediacich členských štátov, kde je poskytovanie cezhraničných služieb zdravotnej starostlivosti častejšie a vyžaduje si ešte rýchlejšie postupy ako vo všeobecnosti v celej Únii.

(26)

Úroveň dostupnosti osobných zdravotných údajov a genetických údajov v elektronickom formáte sa v jednotlivých členských štátoch líši. EHDS by mal fyzickým osobám uľahčiť dostupnosť týchto údajov v elektronickom formáte a lepšie kontrolovať prístup k ich osobným elektronickým zdravotným údajom a ich zdieľanie. Prispelo by to aj k dosiahnutiu cieľa, aby 100 % občanov Únie malo do roku 2030 prístup k svojim elektronickým zdravotným záznamom, ako sa uvádza v rozhodnutí Európskeho parlamentu a Rady (EÚ) 2022/2481 (8). Na zabezpečenie dostupnosti a prenosnosti elektronických zdravotných údajov by sa prístup k takýmto údajom a ich prenos mali uskutočňovať v interoperabilnom spoločnom európskom formáte na výmenu elektronických zdravotných záznamov, a to aspoň v prípade určitých elektronických zdravotných údajov, ako sú pacientske sumáre, elektronické lekárske predpisy a výdaje, vyšetrenia s lekárskymi snímkami a súvisiace správy zo zobrazovacích vyšetrení, výsledky lekárskych testov a prepúšťacie správy, na ktoré sa vzťahujú prechodné obdobia. Ak fyzická osoba sprístupní osobné elektronické zdravotné údaje poskytovateľovi zdravotnej starostlivosti alebo lekárni, alebo ak ich iný prevádzkovateľ prenesie v európskom formáte na výmenu elektronických zdravotných záznamov, uvedený formát by mal byť akceptovaný a príjemca by mal mať možnosť si prečítať dané údaje a používať ich na poskytovanie zdravotnej starostlivosti alebo na výdaj lieku, čím sa podporí poskytovanie služieb zdravotnej starostlivosti alebo výdaj elektronického lekárskeho predpisu. Európsky formát na výmenu elektronických zdravotných záznamov by mal byť navrhnutý tak, aby sa v čo najväčšej možnej miere uľahčil preklad elektronických zdravotných údajov, ktoré sa postúpili cez tento formát, do úradných jazykov Únie. V odporúčaní Komisie (EÚ) 2019/243 (9) sa stanovujú základy takéhoto spoločného európskeho formátu na výmenu elektronických zdravotných záznamov. Interoperabilita EHDS by mala prispieť k vysokej kvalite európskych súborov zdravotných údajov. Používanie európskeho formátu na výmenu elektronických zdravotných záznamov by sa malo rozšíriť na úrovni Únie a na vnútroštátnej úrovni. Európsky formát na výmenu elektronických zdravotných záznamov by mohol umožniť rôzne profily na používanie na úrovni systémov EHR a na úrovni národných kontaktných miest pre elektronické zdravotníctvo na infraštruktúre MyHealth@EU pre cezhraničnú výmenu údajov.

(27)

Hoci sú systémy EHR rozšírené, úroveň digitalizácie zdravotných údajov sa v členských štátoch líši v závislosti od kategórií údajov a od pokrytia poskytovateľov zdravotnej starostlivosti, ktorí zdravotné údaje zaznamenávajú v elektronickom formáte. Aby sa podporilo uplatňovanie práv dotknutých osôb na prístup k elektronickým zdravotným údajom a ich výmenu, v snahe predísť ďalšej fragmentácii sú nevyhnutné opatrenia na úrovni Únie. Určité kategórie zdravotných údajov by sa mali systematicky a v súlade so špecifickými požiadavkami na kvalitu údajov zaznamenávať v elektronickom formáte s cieľom prispieť k vysokej kvalite starostlivosti a jej kontinuite. Európsky formát na výmenu elektronických zdravotných záznamov by mal tvoriť základ špecifikácií týkajúcich sa zaznamenávania a výmeny elektronických zdravotných údajov.

(28)

Telemedicína sa stáva čoraz dôležitejším nástrojom, ktorý môže pacientom umožniť prístup k starostlivosti a riešiť nerovnosti. Toto má potenciál znížiť nerovnosti v oblasti zdravia a posilniť voľný pohyb občanov Únie cez hranice. Poskytovanie starostlivosti vo vzdialených regiónoch môžu uľahčiť digitálne a iné technologické nástroje. Ak sú digitálne služby súčasťou fyzického poskytovania služby zdravotnej starostlivosti, digitálna služba by sa mala považovať za súčasť celkového poskytovania starostlivosti. Podľa článku 168 Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“) sú členské štáty zodpovedné za svoju politiku v oblasti zdravia, najmä za organizáciu a poskytovanie zdravotníckych služieb a zdravotnej starostlivosti vrátane regulácie činností, ako sú online lekárne, telemedicína a iné služby, ktoré poskytujú a za ktoré poskytujú úhradu, v súlade so svojimi vnútroštátnymi právnymi predpismi. Rôzne politiky v oblasti zdravotnej starostlivosti by však nemali predstavovať prekážky voľného pohybu elektronických zdravotných údajov v kontexte cezhraničnej zdravotnej starostlivosti, napríklad telemedicíny a online lekárenských služieb.

(29)

V nariadení (EÚ) č. 910/2014 sa stanovujú podmienky, za akých členské štáty vykonávajú identifikáciu fyzických osôb v cezhraničných situáciách pomocou prostriedkov elektronickej identifikácie vydaných iným členským štátom, pričom sa v ňom uvádzajú pravidlá vzájomného uznávania takýchto prostriedkov elektronickej identifikácie. EHDS si vyžaduje bezpečný prístup k elektronickým zdravotným údajom, a to aj v cezhraničných situáciách. Služby prístupu k elektronickým zdravotným údajom a služby telemedicíny by mali fyzickým osobám umožniť uplatňovať ich práva bez ohľadu na členský štát, v ktorom sú poistení, a preto by mali podporovať identifikáciu fyzických osôb pomocou akýchkoľvek prostriedkov elektronickej identifikácie uznaných podľa nariadenia (EÚ) č. 910/2014. Vzhľadom na možné výzvy týkajúce sa priraďovania totožnosti v cezhraničných situáciách by mohlo byť potrebné, aby členské štáty poskytujúce ošetrenie poskytli doplnkové mechanizmy prístupu, ako sú tokeny alebo kódy fyzickým osobám, ktoré prichádzajú z iných členských štátov a dostávajú zdravotnú starostlivosť. Komisia by mala byť splnomocnená prijímať vykonávacie akty s cieľom určiť požiadavky na účely interoperabilnej a cezhraničnej identifikácie a autentifikácie fyzických osôb a zdravotníckych pracovníkov vrátane akýchkoľvek doplnkových mechanizmov, ktoré sú potrebné na zabezpečenie toho, aby fyzické osoby mohli uplatňovať svoje práva súvisiace s osobnými elektronickými zdravotnými údajmi v cezhraničných situáciách.

(30)

V záujme plánovania a zavádzania noriem prístupu k elektronickým zdravotným údajom a ich prenosu a presadzovania práv fyzických osôb a zdravotníckych pracovníkov by členské štáty mali určiť relevantné orgány pre elektronické zdravotníctvo ako samostatné organizácie alebo ako súčasť už existujúcich orgánov. Zamestnanci orgánu pre elektronické zdravotníctvo by nemali mať žiadne finančné alebo iné záujmy v priemyselných sektoroch alebo hospodárskych činnostiach, ktoré by mohli ovplyvniť ich nestrannosť. Orgány pre elektronické zdravotníctvo už existujú vo väčšine členských štátov a zaoberajú sa elektronickými zdravotnými záznamami, interoperabilitou, bezpečnosťou alebo normalizáciou. Orgány pre elektronické zdravotníctvo by pri vykonávaní svojich úloh mali spolupracovať najmä s dozornými orgánmi zriadenými podľa nariadenia (EÚ) 2016/679 a orgánmi dohľadu zriadenými podľa nariadenia (EÚ) č. 910/2014. Orgány pre elektronické zdravotníctvo môžu spolupracovať aj s Európskou radou pre umelú inteligenciu zriadenou nariadením Európskeho parlamentu a Rady (EÚ) 2024/1689 (10), Koordinačnou skupinou pre zdravotnícke pomôcky zriadenou nariadením Európskeho parlamentu a Rady (EÚ) 2017/745 (11), Európskym dátovým inovačným výborom zriadeným podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2022/868 (12) a príslušnými orgánmi podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2023/2854 (13). Okrem toho by mali členské štáty uľahčiť účasť vnútroštátnych subjektov na spolupráci na úrovni Únie, nasmerovanie odborných znalostí a poskytovanie poradenstva pri koncipovaní riešení potrebných na dosiahnutie cieľov EHDS.

(31)

Bez toho, aby boli dotknuté akékoľvek iné správne alebo mimosúdne prostriedky nápravy, akákoľvek fyzická alebo právnická osoba by mala mať právo na účinný súdny prostriedok nápravy proti právne záväznému rozhodnutiu orgánu pre elektronické zdravotníctvo, ktoré sa jej týka, alebo v prípade, ak orgán pre elektronické zdravotníctvo sťažnosť nevybaví, alebo ak fyzickú alebo právnickú osobu neinformuje do troch mesiacov o priebehu alebo výsledku konania o sťažnosti. Konanie proti orgánu pre elektronické zdravotníctvo by sa malo viesť na súdoch členských štátov, v ktorých je orgán pre elektronické zdravotníctvo zriadený.

(32)

Orgány pre elektronické zdravotníctvo by mali mať dostatočné technické zručnosti, pričom by mohli spájať expertov z rôznych organizácií. Činnosti orgánov pre elektronické zdravotníctvo by mali byť dobre naplánované a monitorované, aby sa zabezpečila ich efektívnosť. Orgány pre elektronické zdravotníctvo by mali prijať potrebné opatrenia na ochranu práv fyzických osôb vytvorením celoštátnych, regionálnych a miestnych technických riešení, ako sú sprostredkovanie elektronických zdravotných záznamov a portály pre pacientov. Pri prijímaní takýchto potrebných ochranných opatrení by orgány pre elektronické zdravotníctvo mali uplatňovať spoločné normy a špecifikácie daných riešení, podporovať uplatňovanie noriem a špecifikácií v postupoch obstarávaniach a používať iné inovačné prostriedky vrátane kompenzácie riešení, ktoré sú v súlade s požiadavkami EHDS na interoperabilitu a bezpečnosť. Členské štáty by mali zabezpečiť prijatie vhodných iniciatív v oblasti odbornej prípravy. Najmä zdravotnícki pracovníci by mali byť informovaní a vyškolení v súvislosti so svojimi právami a povinnosťami podľa tohto nariadenia. Orgány pre elektronické zdravotníctvo by mali pri vykonávaní svojich úloh spolupracovať na úrovni Únie a na vnútroštátnej úrovni s inými subjektmi vrátane poisťovní, poskytovateľov zdravotnej starostlivosti, zdravotníckych pracovníkov, výrobcov systémov EHR a wellness aplikácií, ako aj s inými zainteresovanými stranami z oblasti zdravotníctva alebo informačných technológií, so subjektami zaoberajúcimi sa systémami preplácania, s orgánmi posudzujúcimi zdravotnícke technológie, regulačnými orgánmi a agentúrami pre lieky, s orgánmi pre zdravotnícke pomôcky, s verejnými obstarávateľmi a orgánmi pre kybernetickú bezpečnosť alebo elektronickú identifikáciu.

(33)

Prístup k elektronickým zdravotným údajom a ich prenos majú význam v situáciách cezhraničnej zdravotnej starostlivosti, keďže môžu podporiť kontinuitu zdravotnej starostlivosti vtedy, ak fyzické osoby vycestujú do iného členského štátu alebo zmenia svoje miesto pobytu. Kontinuita starostlivosti a rýchly prístup k osobným elektronickým zdravotným údajom sú ešte dôležitejšie pre obyvateľov pohraničných regiónov, ktorí často prekračujú hranicu s cieľom získať zdravotnú starostlivosť. V mnohých pohraničných regiónoch môžu byť niektoré špecializované služby zdravotnej starostlivosti dostupné bližšie skôr cezhranične než v tom istom členskom štáte. Infraštruktúra na cezhraničný prenos osobných elektronických zdravotných údajov je potrebná v situáciách, keď fyzická osoba využíva služby poskytovateľa zdravotnej starostlivosti usadeného v inom členskom štáte. Malo by sa zvážiť postupné rozširovanie takejto infraštruktúry a jej financovanie. Infraštruktúra s dobrovoľnou účasťou, infraštruktúra MyHealth@EU, sa zriadila ako súčasť opatrení na dosiahnutie cieľov stanovených v smernici Európskeho parlamentu a Rady 2011/24/EÚ (14). Členské štáty prostredníctvom infraštruktúry MyHealth@EU začali poskytovať fyzickým osobám možnosť zdieľať ich osobné elektronické zdravotné údaje s poskytovateľmi zdravotnej starostlivosti počas cestovania do zahraničia. Na základe uvedených skúseností by sa účasť členských štátov na infraštruktúre MyHealth@EU zriadenej týmto nariadením mala stať povinnou. Technické špecifikácie infraštruktúry MyHealth@EU by mali umožniť výmenu prioritných kategórií elektronických zdravotných údajov, ako aj ďalších kategórií podporovaných európskym formátom na výmenu elektronických zdravotných záznamov. Uvedené špecifikácie by sa mali vymedziť prostredníctvom vykonávacích aktov a mali by vychádzať z cezhraničných špecifikácií európskeho formátu na výmenu elektronických zdravotných záznamov doplnených o ďalšie špecifikácie kybernetickej bezpečnosti, technickej a sémantickej interoperability, prevádzky a riadenia služieb. Od členských štátov by sa malo vyžadovať, aby sa pripojili k infraštruktúre MyHealth@EU, dodržiavali jej technické špecifikácie a pripojili k nej poskytovateľov zdravotnej starostlivosti vrátane lekární, keďže je to nevyhnutné na to, aby fyzické osoby mohli uplatňovať svoje práva podľa tohto nariadenia na prístup k svojim osobným elektronickým zdravotným údajom a ich používanie bez ohľadu na členský štát, v ktorom sa fyzické osoby nachádzajú.

(34)

Infraštruktúra MyHealth@EU poskytuje členským štátom spoločnú infraštruktúru na zabezpečenie pripojiteľnosti a interoperability účinným a bezpečným spôsobom na podporu cezhraničnej zdravotnej starostlivosti bez toho, aby boli dotknuté povinnosti členských štátov pred prenosom osobných elektronických zdravotných údajov prostredníctvom tejto infraštruktúry a po ňom. Členské štáty sú zodpovedné za organizáciu svojich národných kontaktných miest pre elektronické zdravotníctvo a za spracúvanie osobných údajov na účely poskytovania zdravotnej starostlivosti pred prenosom uvedených údajov prostredníctvom infraštruktúry MyHealth@EU a po ňom. Komisia by mala prostredníctvom kontrol súladu monitorovať dodržiavanie potrebných požiadaviek národnými kontaktnými miestami pre elektronické zdravotníctvo týkajúcimi sa technického rozvoja infraštruktúry MyHealth@EU, ako aj podrobných pravidiel týkajúcich sa bezpečnosti, dôvernosti a ochrany osobných elektronických zdravotných údajov. V prípade závažného nedodržiavania pravidiel zo strany národného kontaktného miesta pre elektronické zdravotníctvo by Komisia mala mať možnosť pozastaviť služby, ktorých sa nesúlad týka, poskytované týmto národným kontaktným miestom pre elektronické zdravotníctvo. Komisia by mala konať ako sprostredkovateľ v mene členských štátov v rámci infraštruktúry MyHealth@EU a mala by pre ňu poskytovať ústredné služby. S cieľom zabezpečiť súlad s pravidlami ochrany údajov a poskytnúť rámec riadenia rizík na prenos osobných elektronických zdravotných údajov by sa prostredníctvom vykonávacích aktov mali vymedziť osobitné povinnosti členských štátov ako spoločných prevádzkovateľov a povinnosti Komisie ako sprostredkovateľa v ich mene. Každý členský štát je výlučne zodpovedný za údaje a služby v uvedenom členskom štáte. Toto nariadenie poskytuje právny základ pre spracúvanie osobných elektronických zdravotných údajov v infraštruktúre MyHealth@EU ako úlohu vykonávanú vo verejnom záujme, ktorá je stanovená právom Únie uvedenom v článku 6 ods. 1 písm. e) nariadenia (EÚ) 2016/679. Uvedené spracúvanie je potrebné na poskytovanie zdravotnej starostlivosti v cezhraničných situáciách, ako sa uvádza v článku 9 ods. 2 písm. h) uvedeného nariadenia.

(35)

Okrem služieb infraštruktúry MyHealth@EU by mohli byť na výmenu osobných elektronických zdravotných údajov založených na európskom formáte na výmenu elektronických zdravotných záznamov potrebné ďalšie služby alebo doplnkové infraštruktúry, napríklad v prípadoch núdzových situácií v oblasti verejného zdravia alebo tam, kde architektúra infraštruktúry MyHealth@EU nie je vhodná na vykonávanie niektorých prípadov použitia. Príklady takýchto prípadov použitia zahŕňajú podporu funkcií očkovacích preukazov vrátane výmeny informácií o očkovacích plánoch alebo overovania potvrdení o očkovaní alebo iných zdravotných potvrdení. Takéto dodatočné prípady použitia by boli dôležité aj na zavedenie dodatočných funkcií na riešenie kríz v oblasti verejného zdravia, ako je podpora sledovania kontaktov na účely zabránenia šíreniu infekčných chorôb. Infraštruktúra MyHealth@EU by mala podporovať výmenu osobných elektronických zdravotných údajov s národnými kontaktnými miestami pre elektronické zdravotníctvo príslušných tretích krajín a systémami zriadenými na medzinárodnej úrovni medzinárodnými organizáciami s cieľom prispieť ku kontinuite zdravotnej starostlivosti. Týka sa to najmä osôb cestujúcich do susedných tretích krajín a zo susedných tretích krajín, kandidátskych krajín a pridružených zámorských krajín a území. Pripojenie takýchto národných kontaktných miest pre elektronické zdravotníctvo tretích krajín k infraštruktúre MyHealth@EU a interoperabilita s digitálnymi systémami zriadenými na medzinárodnej úrovni medzinárodnými organizáciami by mali podliehať kontrole, ktorou sa zaistí dodržiavanie súladu uvedených kontaktných miest a digitálnych systémov s technickými špecifikáciami, pravidlami ochrany údajov a ďalšími požiadavkami infraštruktúry MyHealth@EU. Okrem toho vzhľadom na to, že spojenie s infraštruktúrou MyHealth@EU bude zahŕňať prenosy osobných elektronických zdravotných údajov do tretích krajín, ako napríklad zdieľanie pacientskeho sumáru, keď pacient žiada o starostlivosť v danej tretej krajine, mali by sa zaviesť príslušné nástroje prenosu podľa kapitoly V nariadenia (EÚ) 2016/679. Komisia by mala byť splnomocnená prijímať vykonávacie akty s cieľom uľahčiť prepojenie takýchto národných kontaktných miest pre elektronické zdravotníctvo tretích krajín a systémov zriadených na medzinárodnej úrovni medzinárodnými organizáciami s infraštruktúrou MyHealth@EU. Pri príprave uvedených vykonávacích aktov by Komisia mala zohľadniť národné bezpečnostné záujmy členských štátov.

(36)

S cieľom umožniť bezproblémovú výmenu elektronických zdravotných údajov a zabezpečiť dodržiavanie práv fyzických osôb a zdravotníckych pracovníkov by systémy EHR uvádzané na vnútorný trh mali byť schopné bezpečne uchovávať a prenášať kvalitné elektronické zdravotné údaje. Toto je kľúčovým cieľom EHDS na zaistenie bezpečného a voľného pohybu elektronických zdravotných údajov v Únii. Na uvedený účel by sa mal zaviesť povinný systém vlastného posudzovania zhody pre systémy EHR, v ktorých sa spracúva jedna alebo viacero prioritných kategórií elektronických zdravotných údajov, stanoviť povinný systém posudzovania zhody systémov EHR, aby sa vyriešila fragmentácia trhu a zároveň sa zabezpečil primeraný prístup. Prostredníctvom sebahodnotenia systémy EHR preukážu súlad s požiadavkami na interoperabilitu, bezpečnosť a logovanie na oznamovanie osobných elektronických zdravotných údajov stanovenými v dvoch povinných softvérových komponentoch elektronických zdravotných záznamov harmonizovaných týmto nariadením, a to v európskom softvérovom komponente interoperability pre systémy EHR a v európskom softvérovom komponente logovania pre systémy EHR (ďalej len „harmonizované softvérové komponenty systémov EHR“). Harmonizované softvérové komponenty systémov EHR sú zamerané hlavne na transformáciu údajov, hoci môžu znamenať potrebu nepriamych požiadaviek na zaznamenávanie údajov a prezentáciu údajov v systémoch EHR. Technické špecifikácie harmonizovaných softvérových komponentov systémov EHR by sa mali vymedziť prostredníctvom vykonávacích aktov a mali by byť založené na používaní európskeho formátu na výmenu elektronických zdravotných záznamov. Harmonizované softvérové komponenty systémov EHR by mali byť navrhnuté tak, aby boli opätovne použiteľné a aby sa bezproblémovo integrovali s inými komponentmi v rámci väčšieho softvérového systému. Požiadavky harmonizovaných softvérových komponentov systémov EHR na bezpečnosť by sa mali vzťahovať na prvky, ktoré sú špecifické pre systémy EHR, keďže všeobecnejšie bezpečnostné vlastnosti by mali podporovať iné mechanizmy, ako sú mechanizmy podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2024/2847 (15). Na podporu uvedeného procesu by sa mali zriadiť európske digitálne testovacie prostredia, ktoré by poskytovali automatizované prostriedky na testovanie toho, či je fungovanie harmonizovaných softvérových komponentov systému EHR v súlade s požiadavkami stanovenými v tomto nariadení. Na tento účel by sa mali na Komisiu preniesť vykonávacie právomoci s cieľom určiť spoločné špecifikácie pre uvedené prostredia. Komisia by mala vyvinúť softvér potrebný pre testovacie prostredia a sprístupniť ho ako otvorený zdroj. Členské štáty by mali byť zodpovedné za fungovanie digitálnych testovacích prostredí, keďže sú bližšie k výrobcom a majú lepšie predpoklady na ich podporu. Výrobcovia by mali používať tieto digitálne testovacie prostredia na testovanie svojich výrobkov pred ich uvedením na trh, pričom by mali naďalej niesť plnú zodpovednosť za súlad svojich výrobkov. Výsledky skúšky by sa mali stať súčasťou technickej dokumentácie výrobku. Ak systém EHR alebo jeho časť spĺňa európske normy alebo spoločné špecifikácie, mal by sa v technickej dokumentácii uviesť aj zoznam príslušných európskych noriem a spoločných špecifikácií. Na podporu porovnateľnosti systémov EHR by Komisia mala vypracovať jednotný vzor technickej dokumentácie sprevádzajúcej takéto systémy.

(37)

K systémom EHR by mal byť pripojený informačný formulár, ktorý obsahuje informácie pre profesionálnych používateľov a jasný a úplný návod na použitie v prístupných formátoch pre osoby so zdravotným postihnutím. Ak k systému EHR nie sú pripojené takéto informácie, výrobca dotknutého systému EHR, jeho splnomocnený zástupca a všetky ostatné príslušné hospodárske subjekty by mali byť povinní doplniť do systému EHR tento informačný list a tieto pokyny na použitie.

(38)

Zatiaľ čo systémy EHR, ktoré sú výrobcom osobitne určené na to, aby sa používali na spracúvanie jednej alebo viacerých osobitných kategórií elektronických zdravotných údajov, by mali podliehať povinnej samocertifikácii, softvér na všeobecné účely by sa nemal považovať za systém EHR, a to ani vtedy, keď sa používa v kontexte zdravotnej starostlivosti, a preto by sa nemalo vyžadovať, aby bol v súlade s týmto nariadením. Týka sa to prípadov, ako je softvér na spracovanie textu používaný na písanie správ, ktoré by sa potom stali súčasťou písomných elektronických zdravotných záznamov, univerzálneho midlvérového softvéru alebo softvéru na správu databáz, ktorý sa používa ako súčasť riešení na uchovávanie údajov.

(39)

Týmto nariadením sa zavádza povinný systém sebahodnotenia zhody pre harmonizované softvérové komponenty systémov EHR s cieľom zabezpečiť, aby si systémy EHR uvedené na trh Únie mohli vymieňať údaje v európskom formáte na výmenu elektronických zdravotných záznamov a aby mali požadované logovacie schopnosti. Uvedeným povinným sebahodnotením zhody, ktoré by bolo vo forme vyhlásenia výrobcu o zhode by sa malo zabezpečiť, aby boli uvedené požiadavky splnené primeraným spôsobom bez neprimeraného zaťaženia členských štátov a výrobcov.

(40)

Výrobcovia by mali na sprievodné dokumenty systému EHR a v príslušných prípadoch na jeho obal umiestniť označenie CE o zhode, v ktorom uvedú, že systém EHR je v súlade s týmto nariadením, a pokiaľ ide o aspekty, na ktoré sa toto nariadenie nevzťahuje, s iným príslušným právom Únie, v ktorom sa takisto vyžaduje umiestnenie takéhoto označenia. Členské štáty by mali vychádzať z existujúcich mechanizmov na zabezpečenie správneho uplatňovania ustanovení o označení zhody CE podľa relevantného práva Únie a v prípade nesprávneho používania tohto označenia by mali prijať náležité opatrenia.

(41)

Členské štáty by si mali ponechať právomoc vymedziť požiadavky týkajúce sa akýchkoľvek iných softvérových komponentov systémov EHR a podmienky pripojenia poskytovateľov zdravotnej starostlivosti k ich príslušným vnútroštátnym infraštruktúram, ktoré by mohli byť predmetom posúdenia treťou stranou na vnútroštátnej úrovni. S cieľom uľahčiť hladké fungovanie vnútorného trhu so systémami EHR, produktami elektronického zdravotníctva a súvisiacimi službami je potrebné zabezpečiť čo najväčšiu transparentnosť, pokiaľ ide o vnútroštátne právo, ktorým sa stanovujú požiadavky na systémy EHR, a ustanovenia o ich posudzovaní zhody v súvislosti s inými aspektmi, než sú harmonizované softvérové komponenty systémov EHR. Členské štáty by preto mali informovať Komisiu o uvedených vnútroštátnych požiadavkách, aby mala potrebné informácie na zabezpečenie toho, aby nepriaznivo neovplyvnili harmonizované softvérové komponenty systémov EHR alebo aby s nimi inak neboli v nepriaznivej interakcii.

(42)

Určité softvérové komponenty systémov EHR by sa mohli považovať za zdravotnícke pomôcky podľa nariadenia (EÚ) 2017/745 alebo za diagnostické zdravotné pomôcky in vitro podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2017/746 (16). Softvér alebo moduly softvéru, ktoré patria do vymedzenia pojmu zdravotnícka pomôcka, diagnostická zdravotnícka pomôcka in vitro alebo systém umelej inteligencie (ďalej len „AI“) považovaný za vysokorizikový (ďalej len „vysokorizikový systém AI“), by mali byť certifikované v súlade s nariadeniami (EÚ) 2017/745, (EÚ) 2017/746 a (EÚ) 2024/1689, podľa príslušného prípadu. Hoci sa od takýchto produktov vyžaduje, aby spĺňali požiadavky podľa príslušného nariadenia upravujúceho tieto produkty, členské štáty by mali prijať vhodné opatrenia na zabezpečenie toho, aby sa príslušné posudzovanie zhody vykonávalo ako spoločný alebo koordinovaný postup s cieľom obmedziť administratívne zaťaženie výrobcov a iných hospodárskych subjektov. Základné požiadavky tohto nariadenia týkajúce sa interoperability by sa mali uplatňovať len v rozsahu, v akom výrobca zdravotníckej pomôcky, diagnostickej zdravotníckej pomôcky in vitro alebo vysokorizikového systému AI, ktoré poskytujú elektronické zdravotné údaje na spracúvanie v rámci systému EHR, tvrdí, že sú interoperabilné s takýmto systémom EHR. V takomto prípade by sa na uvedené zdravotnícke pomôcky, diagnostické zdravotnícke pomôcky in vitro a vysokorizikové systémy AI mali vzťahovať ustanovenia o spoločných špecifikáciách systémov EHR.

(43)

Na ďalšiu podporu interoperability a bezpečnosti by členské štáty mali mať možnosť zachovať alebo stanoviť osobitné pravidlá obstarávania, preplácania alebo financovania systémov EHR na vnútroštátnej úrovni v súvislosti s organizáciou, poskytovaním alebo financovaním služieb zdravotnej starostlivosti. Takýmito osobitnými pravidlami by sa nemalo brániť voľnému pohybu systémov EHR v Únii. Niektoré členské štáty zaviedli povinnú certifikáciu systémov EHR alebo povinné skúšanie interoperability v prípade ich pripojenia k vnútroštátnym službám elektronického zdravotníctva. Takéto požiadavky sa často vyjadrujú pri postupoch obstarávaniach organizovaných poskytovateľmi zdravotnej starostlivosti, a celoštátnymi alebo regionálnymi orgánmi. Povinnou certifikáciou systémov EHR na úrovni Únie by sa mal stanoviť základ, ktorý možno používať pri postupoch obstarávania na vnútroštátnej úrovni.

(44)

S cieľom zaručiť pacientom účinné uplatňovanie ich práv podľa tohto nariadenia by poskytovatelia zdravotnej starostlivosti, ktorí vyvíjajú a používajú systém EHR „interne“ na vykonávanie interných činností bez toho, aby ho uviedli na trh za odplatu alebo odmenu, mali takisto dodržiavať toto nariadenie. V uvedenom kontexte by takíto poskytovatelia zdravotnej starostlivosti mali spĺňať všetky požiadavky, ktoré sa uplatňujú na výrobcov, pokiaľ ide o také systémy EHR, ktoré sú vyvinuté interne a ktoré takíto poskytovatelia zdravotnej starostlivosti uvádzajú do prevádzky. Vzhľadom na to, že poskytovatelia zdravotnej starostlivosti môžu potrebovať dodatočný čas na prípravu dosiahnutia súladu s týmto nariadením, by sa však uvedené požiadavky mali na takéto systémy uplatňovať až po predĺženom prechodnom období.

(45)

Treba stanoviť jasné a primerané rozdelenie povinností zodpovedajúce úlohe každého hospodárskeho subjektu v procese dodávania a distribúcie systémov EHR. Hospodárske subjekty by mali byť zodpovedné za dodržiavanie súladu vo vzťahu k svojim príslušným úlohám v takomto procese a mali by zabezpečiť, aby na trhu sprístupnili iba systémy EHR, ktoré spĺňajú príslušné požiadavky.

(46)

Výrobcovia systémov EHR by mali preukázať dodržiavanie súladu so základnými požiadavkami na interoperabilitu a bezpečnosť prostredníctvom zavedenia spoločných špecifikácií. Na tento účel by sa na Komisiu mali preniesť vykonávacie právomoci na stanovenie takýchto spoločných špecifikácií týkajúcich sa súborov údajov, kódovacích systémov, technických špecifikácií, noriem, špecifikácií a profilov na výmenu údajov, ako aj požiadaviek a zásad súvisiacich s bezpečnosťou pacienta a so zabezpečením, dôvernosťou, integritou a ochranou osobných údajov a špecifikácií a požiadaviek súvisiacich so správou identifikácie a používaním elektronickej identifikácie. Orgány pre elektronické zdravotníctvo by mali prispievať k vývoju takýchto spoločných špecifikácií. V príslušných prípadoch by uvedené spoločné špecifikácie mali vychádzať z existujúcich harmonizovaných noriem pre harmonizované softvérové komponenty systémov EHR a mali by byť zlučiteľné so sektorovým právom. Ak majú spoločné špecifikácie osobitný význam v súvislosti s požiadavkami na ochranu osobných údajov týkajúcich sa systémov EHR, pred ich prijatím by sa mali uskutočniť konzultácie s Európskym výborom pre ochranu údajov (ďalej len „EDPB“) a európskym dozorným úradníkom pre ochranu údajov (ďalej len „EDPS“) podľa článku 42 ods. 2 nariadenia (EÚ) 2018/1725.

(47)

S cieľom zabezpečiť primerané a účinné presadzovanie požiadaviek a povinností stanovených v tomto nariadení by sa mal uplatňovať systém dohľadu nad trhom a súladu produktov stanovený v nariadení Európskeho parlamentu a Rady (EÚ) 2019/1020 (17). V závislosti od organizácie stanovenej na vnútroštátnej úrovni by takéto činnosti dohľadu nad trhom mohli vykonávať orgány pre elektronické zdravotníctvo zabezpečujúce riadne uplatňovanie kapitoly II tohto nariadenia alebo samostatný orgán dohľadu nad trhom zodpovedný za systémy EHR. Zatiaľ čo určenie orgánov pre elektronické zdravotníctvo ako orgánov dohľadu nad trhom by mohlo mať významné praktické výhody pri vykonávaní zdravotnej a inej starostlivosti, malo by sa predísť akýmkoľvek konfliktom záujmov, napríklad oddelením rôznych úloh.

(48)

Zamestnanci orgánov dohľadu nad trhom by nemali mať žiadne priame ani nepriame hospodárske, finančné či osobné konflikty záujmov, ktoré by sa mohli považovať za ohrozujúce ich nezávislosť, a predovšetkým by sa nemali nachádzať v situácii, ktorá by mohla, priamo alebo nepriamo, ovplyvniť ich profesijnú nestrannosť. Členské štáty by mali určiť a uverejniť postup výberu orgánov dohľadu nad trhom. Mali by zabezpečiť, aby bol postup transparentný a neumožňoval konflikt záujmov.

(49)

Používatelia wellness aplikácií vrátane aplikácií pre mobilné zariadenia, by mali byť informovaní o možnosti pripojenia daných aplikácií k systémom EHR alebo ku vnútroštátnym elektronickým zdravotným riešeniam a poskytovať im údaje v prípadoch, keď sú údaje vytvorené wellness aplikáciami užitočné na účely zdravotnej starostlivosti. Schopnosť týchto aplikácií exportovať údaje v interoperabilnom formáte je dôležitá aj na účely prenosnosti údajov. Používatelia by mali byť v príslušných prípadoch takisto informovaní o dodržiavaní súladu takýchto wellness aplikácií s požiadavkami na interoperabilitu a bezpečnosť. Vzhľadom na veľký počet wellness aplikácií a obmedzený význam údajov, ktoré mnohé z nich vytvárajú na účely zdravotnej starostlivosti, by však systém certifikácie v prípade týchto aplikácií nebol primeraný. Preto by sa mal zriadiť povinný systém označovania wellness aplikácií, v prípade ktorých sa požaduje interoperabilita so systémami EHR, ako vhodný mechanizmus na zabezpečenie transparentnosti pre používateľov wellness aplikácii, pokiaľ ide o dodržiavanie súladu s požiadavkami podľa tohto nariadenia, čím sa podporí používateľský výber vhodných wellness aplikácií s prísnymi normami interoperability a bezpečnosti. Komisia by mala prostredníctvom vykonávacích aktov stanoviť podrobnosti týkajúce sa formátu a obsahu takéhoto označenia.

(50)	Členské štáty by mali mať naďalej možnosť regulovať iné aspekty používania wellness aplikácií za predpokladu, že zodpovedajúce pravidlá sú v súlade s právom Únie.

(51)

Distribúcia informácií o certifikovaných systémoch EHR a označených wellness aplikáciách je potrebná na to, aby sa obstarávateľom a používateľom takýchto produktov umožnilo nájsť interoperabilné riešenia pre ich konkrétne potreby. Na úrovni Únie by sa preto mala zriadiť databáza interoperabilných systémov EHR a wellness aplikácií, ktoré nepatria do rozsahu pôsobnosti nariadení (EÚ) 2017/745 a (EÚ) 2024/1689, podobná Európskej databáze zdravotníckych pomôcok (Eudamed) zriadenej nariadením (EÚ) 2017/745. Cieľmi databázy EÚ na registráciu systémov EHR a wellness aplikácie by malo byť zvýšenie celkovej transparentnosti, zamedzenie viacnásobným požiadavkám na podávanie správ a zefektívnenie a uľahčenie toku informácií. V prípade zdravotníckych pomôcok a systémov AI by sa registrácia mala zachovať v rámci existujúcich databáz zriadených podľa nariadenia (EÚ) 2017/745 a (EÚ) 2024/1689, ale výrobcovia by mali v prípade tvrdenia o takomto súlade uviesť súlad s požiadavkami na interoperabilitu, a to s cieľom poskytovať informácie obstarávateľom.

(52)

Toto nariadenie je zamerané na vytvorenie spoločného mechanizmu na prístup k elektronickým zdravotným údajom na sekundárne používanie v celej Únii bez toho, aby sa bránilo zavedeným zmluvným alebo iným mechanizmom alebo aby sa nahradili. V rámci uvedeného mechanizmu by držitelia zdravotných údajov mali údaje, ktoré majú k dispozícii, sprístupniť na základe povolenia na prístup k údajom alebo žiadosti o údaje. Na účely spracúvania elektronických zdravotných údajov na sekundárne používanie sa vyžaduje jeden z právnych základov uvedených v článku 6 ods. 1 písm. a), c), e) alebo f) nariadenia (EÚ) 2016/679 v spojení s jeho článkom 9 ods. 2. V tomto nariadení sa preto stanovuje právny základ pre sekundárne používanie osobných elektronických zdravotných údajov vrátane záruk požadovaných podľa článku 9 ods. 2 písm. g) až j) nariadenia (EÚ) 2016/679 s cieľom umožniť spracúvanie osobitných kategórií údajov, pokiaľ ide o zákonné účely, dôveryhodnú správu na poskytovanie prístupu k zdravotným údajom prostredníctvom zapojenia orgánov pre prístup k zdravotným údajom a spracúvanie v zabezpečenom prostredí spracúvania, ako aj podmienky spracúvania údajov stanovené v povolení na prístup k údajom. Členské štáty by preto nemali mať možnosť podľa článku 9 ods. 4 nariadenia (EÚ) 2016/679 zachovať ani zaviesť ďalšie podmienky vrátane obmedzení a osobitných ustanovení požadujúcich súhlas fyzických osôb, pokiaľ ide o spracúvanie osobných elektronických zdravotných údajov na sekundárne používanie podľa tohto nariadenia, s výnimkou zavedenia prísnejších opatrení a dodatočných záruk na vnútroštátnej úrovni zameraných na ochranu citlivosti a hodnoty určitých údajov, ako sa stanovuje v tomto nariadení. Žiadatelia o zdravotné údaje by tiež mali preukázať právny základ uvedený v článku 6 nariadenia (EÚ) 2016/679, ktorý im umožňuje požiadať o prístup k elektronickým zdravotným údajom podľa tohto nariadenia, a mali by spĺňať podmienky stanovené v jeho kapitole IV. Orgán pre prístup k zdravotným údajom by mal okrem toho posúdiť informácie poskytnuté žiadateľom o zdravotné údaje, na základe ktorých by mal byť schopný vystaviť povolenie na prístup k údajom na spracúvanie elektronických osobných zdravotných údajov podľa tohto nariadenia, ktoré by malo spĺňať požiadavky a podmienky stanovené v kapitole IV tohto nariadenia. V prípade spracúvania elektronických zdravotných údajov, ktoré majú v držbe držitelia zdravotných údajov, vzniká týmto nariadením držiteľovi zdravotných údajov v zmysle článku 6 ods. 1 písm. c) nariadenia (EÚ) 2016/679 v súlade s článkom 9 ods. 2 písm. i) a j) uvedeného nariadenia právna povinnosť sprístupniť osobné elektronické zdravotné údaje orgánom pre prístup k zdravotným údajom, pričom právny základ na účely prvotného spracúvania, napríklad poskytovanie zdravotnej starostlivosti, nie je dotknutý. Týmto nariadením sa orgánom pre prístup k zdravotným údajom stanovujú aj úlohy vo verejnom záujme v zmysle článku 6 ods. 1 písm. e) nariadenia (EÚ) 2016/679 a spĺňajú sa požiadavky článku 9 ods. 2 písm. g) až j) uvedeného nariadenia. Ak sa používateľ zdravotných údajov spolieha na právny základ stanovený v článku 6 ods. 1 písm. e) alebo f) nariadenia (EÚ) 2016/679, toto nariadenie by malo poskytovať záruky požadované podľa článku 9 ods. 2 nariadenia (EÚ) 2016/679.

(53)

Sekundárne používanie elektronických zdravotných údajov môže priniesť veľké spoločenské výhody. Na účely regulácie a politiky založenej na dôkazoch, ako aj na účely výskumu, hodnotenia zdravotníckych technológií a klinických cieľov, by sa malo podporovať využívanie údajov a dôkazov z klinickej praxe vrátane výsledkov hlásených pacientmi. Údaje o zdraví, ktoré sú v súčasnosti k dispozícii, môžu dopĺňať údaje a dôkazy z praxe. Na dosiahnutie uvedeného cieľa je dôležité, aby súbory údajov sprístupnené na sekundárne používanie podľa tohto nariadenia boli čo najúplnejšie. V tomto nariadení sa stanovujú potrebné záruky na zmiernenie určitých rizík spojených s dosahovaním týchto prínosov. Sekundárne používanie elektronických zdravotných údajov je založené na pseudonymizovaných alebo anonymizovaných údajoch, aby sa zabránilo identifikácii dotknutých osôb.

(54)

S cieľom vyvážiť potrebu používateľov zdravotných údajov mať vyčerpávajúce a reprezentatívne súbory údajov s potrebou autonómie fyzických osôb, pokiaľ ide o ich osobné elektronické zdravotné údaje, ktoré sa považujú za osobitne citlivé, by fyzické osoby mali mať možnosť rozhodnúť o tom, či ich osobné elektronické zdravotné údaje možno spracúvať na sekundárne používanie podľa tohto nariadenia, a to vo forme práva odmietnuť spracúvanie uvedených údajov na sekundárne používanie. Mal by sa zabezpečiť ľahko zrozumiteľný, prístupný a užívateľsky prívetivý mechanizmus na uplatňovanie tohto práva na odmietnutie. Okrem toho je nevyhnutné poskytnúť fyzickým osobám dostatočné a úplné informácie o ich práve na odmietnutie, a to aj o výhodách a nevýhodách pri uplatňovaní uvedeného práva. Od fyzických osôb by sa nemalo vyžadovať, aby uviedli dôvody odmietnutia a mali by mať možnosť svoju voľbu kedykoľvek prehodnotiť. Na určité účely so silným prepojením na verejný záujem, ako sú činnosti na ochranu pred závažnými cezhraničnými ohrozeniami zdravia alebo vedecký výskum z dôležitých dôvodov verejného záujmu, je však vhodné stanoviť pre členské štáty možnosť vytvoriť, pokiaľ ide o ich vnútroštátny kontext, mechanizmus na poskytovanie prístupu k osobným elektronickým údajom fyzických osôb, ktoré využili právo na odmietnutie, s cieľom zabezpečiť, aby sa v týchto situáciách mohli sprístupniť úplné súbory údajov. Takéto mechanizmy by mali byť v súlade s požiadavkami na sekundárne používanie stanovenými podľa tohto nariadenia. Vedecký výskum z dôležitých dôvodov verejného záujmu by mohol zahŕňať napríklad výskum zameraný na neuspokojené liečebné potreby vrátane zriedkavých chorôb alebo nových ohrození zdravia. Pravidlá týkajúce sa takýchto neprihliadaní by mali rešpektovať podstatu základných práv a slobôd a byť nevyhnutným a primeraným opatrením v demokratickej spoločnosti na plnenie verejného záujmu v súvislosti s legitímnymi vedeckými a spoločenskými cieľmi. Takéto neprihliadania by mali byť dostupné len pre používateľov zdravotných údajov, ktorí sú subjektmi verejného sektora alebo príslušným inštitúciám, orgánom, úradom alebo agentúram Únie povereným vykonávaním úloh v oblasti verejného zdravia, alebo inému subjektu poverenému vykonávaním verejných úloh v oblasti verejného zdravia alebo konajúcemu v mene orgánu verejnej moci alebo poverenému týmto orgánom, a to len vtedy, ak údaje nemožno včas a účinne získať alternatívnymi prostriedkami. Uvedení používatelia zdravotných údajov by mali odôvodniť, že využitie neprihliadania je potrebné v prípade individuálnej žiadosti o prístup k zdravotným údajom alebo žiadosti o zdravotné údaje. Keď sa uplatňuje takéto neprihliadanie, používatelia zdravotných údajov by mali naďalej využívať záruky podľa kapitoly IV, najmä zákaz spätnej identifikácie dotknutých fyzických osôb alebo pokusov o ňu.

(55)

V kontexte EHDS už elektronické zdravotné údaje existujú a sú získavané v rámci svojich činností, okrem iných, poskytovateľmi zdravotnej starostlivosti, profesijnými združeniami, verejnými inštitúciami, regulačnými orgánmi, výskumníkmi a poisťovňami. Uvedené údaje by sa mali sprístupniť aj na sekundárne používanie, to znamená na spracúvanie údajov na iné účely ako tie, na ktoré boli získané alebo vytvorené, avšak mnoho takýchto údajov nie je sprístupnených na spracúvanie na takéto účely. Obmedzuje to schopnosť výskumníkov, inovátorov, tvorcov politík, regulačných orgánov a lekárov používať uvedené údaje na rôzne účely vrátane výskumu, inovácií, tvorby politík, regulačných účelov, bezpečnosti pacientov alebo personalizovanej medicíny. Aby sa v plnej miere využili výhody sekundárneho používania, všetci držitelia zdravotných údajov by mali prispieť k tomuto úsiliu sprístupniť rôzne kategórie elektronických zdravotných údajov, ktoré uchovávajú, na sekundárne používanie za predpokladu, že uvedené úsilie sa vynakladá prostredníctvom efektívnych a zabezpečených procesov, a pri náležitom zachovaní služobných povinností, vrátane povinnosti zachovávať dôvernosť.

(56)

Kategórie elektronických zdravotných údajov, ktoré možno spracúvať na sekundárne používanie, by mali byť dostatočne široké a flexibilné, aby vyhovovali vyvíjajúcim sa potrebám používateľov zdravotných údajov, pričom by sa stále mali obmedzovať na údaje týkajúce sa zdravia alebo na údaje, o ktorých je známe, že ovplyvňujú zdravie. Môžu zahŕňať aj relevantné údaje zo zdravotníckeho systému, napríklad elektronické zdravotné záznamy, údaje o nárokoch, údaje o výdajoch, údaje z registrov chorôb alebo genomické údaje, ako aj údaje s vplyvom na zdravie, napríklad údaje o konzumácii rôznych látok, sociálnom a ekonomickom postavení alebo správaní a údaje o environmentálnych faktoroch, ako je znečistenie, žiarenie alebo používanie určitých chemických látok. Kategórie elektronických zdravotných údajov na sekundárne používanie zahŕňajú niektoré kategórie údajov, ktoré sa pôvodne získali na iné účely, ako je výskum, štatistika, bezpečnosť pacientov, regulačné činnosti alebo tvorba politík, napríklad registre tvorby politík, registre týkajúce sa vedľajších účinkov liekov alebo zdravotníckych pomôcok. Európske databázy, ktoré uľahčujú používanie alebo opätovné používanie údajov, sú dostupné v niektorých oblastiach, ako je rakovina (európsky informačný systém o rakovine) alebo zriedkavé choroby (napríklad európska platforma na registráciu zriedkavých chorôb a registre európskych referenčných sietí (ERN)). Kategórie elektronických zdravotných údajov by mali zahŕňať aj údaje automaticky generované zo zdravotníckych pomôcok a údaje vytvorené osobami, ako sú údaje z wellness aplikácií Údaje o klinickom skúšaní a klinických skúškach by sa mali zahrnúť aj do kategórií elektronických zdravotných údajov na sekundárne používanie po skončení klinického skúšania alebo klinických skúšok bez toho, aby to malo vplyv na akékoľvek dobrovoľné zdieľanie údajov zadávateľmi prebiehajúcich skúšaní a skúšok. Elektronické zdravotné údaje na sekundárne používanie by sa mali sprístupniť prednostne v štruktúrovanom elektronickom formáte, ktorý uľahčuje ich spracúvanie počítačovými systémami. Príklady štruktúrovaných elektronických formátov zahŕňajú záznamy v relačnej databáze, dokumenty XML alebo súbory CSV a voľný text, zvukové záznamy, videá a obrázky poskytované ako súbory čitateľné počítačom.

(57)

Používatelia zdravotných údajov, ktorí využívajú prístup k súborom údajov poskytnutý podľa tohto nariadenia, by mohol údaje v uvedených súboroch údajov obohatiť o rôzne opravy, poznámky a iné vylepšenia, napríklad doplnením chýbajúcich alebo neúplných údajov, čím by sa zlepšila presnosť, úplnosť alebo kvalita údajov v súboroch údajov. Používatelia zdravotných údajov by sa mali viesť k tomu, aby orgánom pre prístup k zdravotným údajom oznamovali kritické chyby v súboroch údajov. Na podporu zlepšenia pôvodnej databázy a ďalšieho používania obohateného súboru údajov by členské štáty mali mať možnosť stanoviť pravidlá spracúvania a používania elektronických zdravotných údajov, ktoré obsahujú zlepšenia týkajúce sa spracúvania týchto údajov. Pôvodnému držiteľovi údajov by sa mal bezplatne sprístupniť súbor údajov s opisom zlepšení. Držiteľ zdravotných údajov by mal sprístupniť nový súbor údajov, pokiaľ proti tomu neposkytne odôvodnené oznámenie orgánu pre prístup k zdravotným údajom, napríklad v prípadoch nízkej kvality obohatenia. Malo by sa zabezpečiť aj sekundárne používanie iných ako osobných elektronických zdravotných údajov. Najmä genomické údaje o patogénoch majú značnú hodnotu pre ľudské zdravie, ako sa ukázalo počas pandémie ochorenia COVID-19, počas ktorej sa včasný prístup k takýmto údajom a ich sprístupňovanie ukázali ako zásadné v záujme rýchleho vývoja detekčných nástrojov, zdravotníckych protiopatrení a reakcií na ohrozenia verejného zdravia. Najväčší úžitok z úsilia v oblasti genomiky patogénov sa dosiahne, keď verejné zdravie a výskumné postupy sprístupnia súbory údajov a budú sa navzájom informovať a zlepšovať.

(58)

S cieľom zvýšiť účinnosť sekundárneho používania osobných elektronických zdravotných údajov a v plnej miere využívať možnosti, ktoré ponúka toto nariadenie, by sa mala v EHDS umožniť dostupnosť elektronických zdravotných údajov opísaných v kapitole IV tak, aby boli údaje čo najprístupnejšie, vysokokvalitné, pripravené a vhodné na účely vytvárania vedeckej, inovačnej a spoločenskej hodnoty a kvality. Práca na vykonávaní EHDS a ďalších zlepšeniach súborov údajov by sa mala vykonávať spôsobom, ktorý uprednostňuje súbory údajov, ktoré sú najvhodnejšie na vytvorenie takejto hodnoty a kvality.

(59)

Verejné alebo súkromné subjekty často dostávajú verejné finančné prostriedky z vnútroštátnych fondov alebo fondov Únie na získavanie a spracúvanie elektronických zdravotných údajov na účely výskumu, oficiálne alebo neoficiálne štatistiky alebo na iné podobné účely, a to aj v oblastiach, v ktorých je získavanie takýchto údajov rozdrobené alebo zložité, ako je to napríklad vo vzťahu k zriedkavým chorobám, rakovine. Takéto údaje, ktoré získali a spracovali držitelia zdravotných údajov s podporou únijného alebo vnútroštátneho verejného financovania, by mali byť sprístupnené orgánom pre prístup k zdravotným údajom, aby sa maximalizoval vplyv verejných investícií a aby sa podporil výskum, inovácie, bezpečnosť pacientov alebo tvorba politík v prospech spoločnosti. V niektorých členských štátoch zohrávajú v sektore zdravotníctva kľúčovú úlohu súkromné subjekty vrátane súkromných poskytovateľov zdravotnej starostlivosti a profesijných združení. Zdravotné údaje, ktoré majú v držbe títo poskytovatelia, by sa takisto mali sprístupniť na sekundárne používanie. Držitelia zdravotných údajov by preto v kontexte sekundárneho používania mali byť subjektmi, ktoré sú poskytovateľmi zdravotnej starostlivosti alebo poskytovateľmi inej starostlivosti alebo ktoré vykonávajú výskum v súvislosti so sektormi zdravotnej alebo inej starostlivosti, alebo vyvíjajú produkty alebo služby určené pre sektory zdravotnej alebo inej starostlivosti. Takéto subjekty môžu byť verejné, neziskové alebo súkromné. V súlade s týmto vymedzením by sa za držiteľov zdravotných údajov mali považovať opatrovateľské zariadenia, centrá dennej starostlivosti, subjekty poskytujúce služby osobám so zdravotným postihnutím, subjekty vykonávajúce obchodné a technologické činnosti súvisiace so starostlivosťou, ako je ortopédia, a spoločnosti poskytujúce služby starostlivosti. Držiteľmi zdravotných údajov by mali byť aj právnické osoby, ktoré vyvíjajú wellness aplikácie. Za držiteľov zdravotných údajov by sa mali považovať aj inštitúcie, orgány, úrady alebo agentúry Únie, ktoré spracúvajú uvedené kategórie zdravotných údajov a údajov o zdravotnej starostlivosti, ako aj registre úmrtnosti. S cieľom zabrániť neprimeranému zaťaženiu by fyzické osoby a mikropodniky mali byť vo všeobecnosti oslobodené od povinností držiteľov zdravotných údajov. Členské štáty by však mali mať možnosť rozšíriť povinnosti držiteľov zdravotných údajov na fyzické osoby a mikropodniky vo svojom vnútroštátnom práve. S cieľom znížiť administratívne zaťaženie a vzhľadom na zásady účinnosti a efektívnosti by členské štáty mali mať možnosť v ich vnútroštátnom práve vyžadovať, aby subjekty sprostredkovania zdravotných údajov plnili povinnosti určitých kategórií držiteľov zdravotných údajov. Takýmito subjektmi sprostredkovania zdravotných údajov by mali byť právnické osoby schopné spracúvať, sprístupňovať, registrovať, poskytovať, obmedzovať prístup a vymieňať si elektronické zdravotné údaje na sekundárne používanie poskytované držiteľmi údajov. Takéto subjekty sprostredkovania zdravotných údajov vykonávajú úlohy, ktoré sa líšia od služieb sprostredkovania údajov podľa nariadení (EÚ) 2022/868.

(60)

Elektronické zdravotné údaje chránené právami duševného vlastníctva alebo obchodným tajomstvom vrátane údajov o klinickom skúšaní, skúškach a štúdiách môžu byť veľmi užitočné na sekundárne používanie a môžu podporiť inovácie v rámci Únie v prospech pacientov z Únie. S cieľom stimulovať nepretržité vedúce postavenie Únie v tejto oblasti je dôležité podporovať výmenu údajov o klinickom skúšaní a klinických skúškach prostredníctvom EHDS na sekundárne používanie. Údaje o klinickom skúšaní a klinických skúškach by mali byť k dispozícii v čo najväčšej možnej miere, pričom by sa mali prijať všetky potrebné opatrenia na ochranu práv duševného vlastníctva alebo obchodného tajomstva. Toto nariadenie by sa nemalo používať na zníženie alebo obchádzanie takejto ochrany a malo by byť v súlade s relevantnými ustanoveniami o transparentnosti stanovenými v práve Únie, vrátane údajov o klinickom skúšaní a klinických skúškach. Orgány pre prístup k zdravotným údajom by mali posúdiť, ako zachovať takúto ochranu a umožniť používateľom zdravotných údajov prístup k takýmto údajom v čo najväčšej možnej miere. Ak orgán pre prístup k zdravotným údajom nemôže poskytnúť prístup k takýmto údajom, mal by o tom informovať používateľa zdravotných údajov a vysvetliť, prečo nie je možné poskytnúť takýto prístup. Právne, organizačné a technické opatrenia na ochranu práv duševného vlastníctva alebo obchodného tajomstva by mohli zahŕňať spoločné zmluvné dojednania o prístupe k elektronickým zdravotným údajom, osobitné povinnosti v súvislosti s takýmito právami v rámci povolenia na prístup k údajom, predbežné spracúvanie údajov na generovanie odvodených údajov chrániacich obchodné tajomstvo, ale napriek tomu užitočných pre používateľa zdravotných údajov alebo konfiguráciu zabezpečeného prostredia spracúvania, aby používateľ zdravotných údajov k takýmto údajom nemal prístup.

(61)

Sekundárnym používaním zdravotných údajov v rámci EHDS by sa malo verejným, súkromným a neziskovým subjektom, ako aj individuálnym výskumníkom umožniť, aby mali prístup k zdravotným údajom na účely výskumu, inovácií, tvorby politík, vzdelávacích činností, bezpečnosti pacientov, regulačných činností alebo personalizovanej medicíny, a to v súlade s účelmi stanovenými v tomto nariadení. Prístupom k údajom na sekundárne používanie by sa malo prispieť k všeobecným záujmom spoločnosti. Najmä sekundárne používanie zdravotných údajov na účely výskumu a vývoja by malo prispieť k prospechu pre spoločnosť z nových liekov, zdravotníckych pomôcok a výrobkov, a služieb zdravotnej starostlivosti za prijateľné a spravodlivé ceny pre občanov Únie, ako aj k zlepšeniu prístupu k nim a dostupnosti takýchto produktov a služieb vo všetkých členských štátoch. Činnosti, na účely ktorých je prístup v kontexte tohto nariadenia zákonný, by mohli zahŕňať používanie elektronických zdravotných údajov na úlohy realizované subjektmi verejného sektora, ako je napríklad výkon verejnej úlohy vrátane dohľadu nad verejným zdravím, plánovania úloh a podávania správ o nich, tvorby politík v oblasti zdravia, ako aj zaistenia bezpečnosti pacientov, kvality starostlivosti a udržateľnosti systémov zdravotnej starostlivosti. Subjekty verejného sektora a inštitúcie, orgány, úrady a agentúry Únie môžu potrebovať pravidelný prístup k elektronickým zdravotným údajom počas dlhšieho obdobia, a to aj na účely plnenia svojho mandátu, ako sa stanovuje v tomto nariadení. Subjekty verejného sektora by mohli vykonávať takéto výskumné činnosti s využitím tretích strán vrátane subdodávateľov tak dlho, pokiaľ subjekt verejného sektora zostane kontrolórom uvedených činností. Poskytovaním údajov by sa mali podporovať aj činnosti súvisiace s vedeckým výskumom. Pojem účely vedeckého výskumu by sa mal vykladať široko zahrňujúc technický rozvoj a demonštračné činnosti, základný výskum, aplikovaný výskum a výskum financovaný zo súkromných zdrojov. Činnosti súvisiace s vedeckým výskumom zahŕňajú inovačné činnosti, ako sú trénovania algoritmov AI, ktoré by sa mohli použiť v oblasti zdravotnej starostlivosti alebo starostlivosti o fyzické osoby, ako aj hodnotenie a ďalší vývoj existujúcich algoritmov a produktov na takéto účely. Je nevyhnutné, aby EHDS prispieval aj k základnému výskumu, a hoci jeho prínosy pre koncových používateľov a pacientov môžu byť menej priame, takýto základný výskum má zásadný význam pre spoločenské prínosy z dlhodobého hľadiska. V niektorých prípadoch by informácie o niektorých fyzických osobách, ako sú genomické informácie o fyzických osobách s určitým ochorením, mohli prispieť ku diagnostike alebo liečbu iných fyzických osôb. Je potrebné, aby subjekty verejného sektora išli nad rámec „núdzovej potreby“ kapitoly V nariadenia (EÚ) 2023/2854. Orgány prístupu k zdravotným údajom by však mali mať možnosť poskytnúť podporu orgánom verejného sektora pri spracúvaní alebo prepájaní údajov. V tomto nariadení sa subjektom verejného sektora poskytuje prostriedok na získanie prístupu k informáciám, ktoré potrebujú na plnenie úloh, ktoré im ukladá zákon, ale mandát takýchto subjektov verejného sektora sa nerozširuje.

(62)

Mal by sa zakázať akýkoľvek pokus o použitie elektronických zdravotných údajov na opatrenia poškodzujúce fyzické osoby, ako je napríklad zvýšenie poistného, vykonávanie činností potenciálne škodlivých pre fyzické osoby v súvislosti so zamestnaním, dôchodkom alebo bankovníctvom vrátane hypoték na nehnuteľnosti, reklamná propagácia produktov alebo liečby, automatizácia individuálneho rozhodovania, spätná identifikácia fyzických osôb alebo vývoj škodlivých produktov. Uvedený zákaz by sa mal vzťahovať aj na činnosti, ktoré sú v rozpore s etickými ustanoveniami podľa vnútroštátneho práva, s výnimkou etických ustanovení týkajúcich sa súhlasu na spracúvanie osobných údajov a etických ustanovení týkajúcich sa práva odmietnuť, keďže toto nariadenie má prednosť pred vnútroštátnym právom v súlade so všeobecnou zásadou prednosti práva Únie. Malo by sa takisto zakázať poskytnutie prístupu k elektronickým zdravotným údajom alebo ich sprístupnenie iným spôsobom tretím stranám neuvedeným v povolení na prístup k údajom. V povolení na prístup k údajom by sa mala uviesť totožnosť oprávnených osôb, najmä totožnosť hlavného vyšetrovateľa, ktorí budú mať podľa tohto nariadenia právo na prístup k elektronickým zdravotným údajom v zabezpečenom prostredí spracúvania. Hlavnými vyšetrovateľmi sú hlavné osoby zodpovedné za žiadosť o prístup k elektronickým zdravotným údajom a za spracúvanie požadovaných údajov v zabezpečenom prostredí spracúvania v mene používateľa zdravotných údajov.

(63)

Týmto nariadením sa nevytvára splnomocnenie na sekundárne používanie zdravotných údajov na účely presadzovania práva. Predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií príslušnými orgánmi by nemali patriť medzi účely sekundárneho používania, na ktoré sa vzťahuje toto nariadenie. Súdy a iné subjekty justičného systému by sa preto nemali považovať za používateľov zdravotných údajov pri sekundárnom používaní zdravotných údajov podľa tohto nariadenia. Okrem toho by sa vymedzenie držiteľov zdravotných údajov nemalo vzťahovať na súdy a iné subjekty justičného systému, a preto by nemali byť adresátmi povinností držiteľov zdravotných údajov podľa tohto nariadenia. Právomoci príslušných orgánov v oblasti predchádzania trestným činom, ich vyšetrovania, odhaľovania a stíhania stanovené zákonom na získanie elektronických zdravotných údajov nie sú dotknuté týmto nariadením. Podobne elektronické zdravotné údaje, ktoré majú súdy k dispozícii na účely súdneho konania, nepatria do rozsahu pôsobnosti tohto nariadenia.

(64)

Zriadenie jedného alebo viacerých orgánov pre prístup k zdravotným údajom, ktoré v členských štátoch podporujú prístup k elektronickým zdravotným údajom, je nevyhnutné na podporu sekundárneho používania zdravotných údajov. Členské štáty by preto mali zriadiť jeden alebo viacero orgánov pre prístup k zdravotným údajom, ktoré by okrem iného zohľadnili ich ústavnú, organizačnú a administratívnu štruktúru. Jeden z uvedených orgánov pre prístup k zdravotným údajom by sa však mal určiť ako koordinátor v prípade, že existuje viac ako jeden orgán pre prístup k zdravotným údajom. Ak členský štát zriadi viacero orgánov pre prístup k zdravotným údajom, mal by na vnútroštátnej úrovni stanoviť pravidlá na zabezpečenie koordinovanej účasti uvedených orgánov v Rade európskeho priestoru pre zdravotné údaje (ďalej len „rada EHDS“). Uvedený členský štát by mal určiť najmä jeden orgán pre prístup k zdravotným údajom, ktorý bude fungovať ako jednotné kontaktné miesto v záujme účinnej účasti uvedených orgánov, a zabezpečiť rýchlu a bezproblémovú spoluprácu s inými orgánmi pre prístup k zdravotným údajom, radou EHDS a Komisiou. Orgány pre prístup k zdravotným údajom by sa mohli líšiť z hľadiska organizácie a veľkosti od špecializovanej plnohodnotnej organizácie po oddelenie alebo odbor v existujúcej organizácii. Orgány pre prístup k zdravotným údajom by nemali byť ovplyvňované pri svojom rozhodovaní o prístupe k elektronickým údajom na sekundárne používanie a mali by sa vyhýbať akýmkoľvek konfliktom záujmov. Členovia riadiacich a rozhodovacích orgánov každého orgánu pre prístup k zdravotným údajom a jeho zamestnanci by sa mali preto zdržať akéhokoľvek konania, ktoré je nezlučiteľné s ich povinnosťami, a nemali by vykonávať žiadnu činnosť nezlučiteľnú s touto funkciou. Nezávislosť orgánov pre prístup k zdravotným údajom by však nemala znamenať, že nemôžu podliehať kontrolným alebo monitorovacím mechanizmom týkajúcim sa ich finančných výdavkov alebo súdnemu preskúmaniu. Každému orgánu pre prístup k zdravotným údajom by sa mali poskytnúť finančné, technické a ľudské zdroje, priestory a infraštruktúra potrebné na účinné plnenie jeho úloh vrátane tých, ktoré súvisia so spoluprácou s inými orgánmi pre prístup k zdravotným údajom v celej Únii. Členovia riadiacich a rozhodovacích orgánov orgánov pre prístup k zdravotným údajom a ich zamestnanci by mali mať potrebnú kvalifikáciu, skúsenosti a zručnosti. Každý orgán pre prístup k zdravotným údajom by mal mať samostatný verejný ročný rozpočet, ktorý by mohol byť súčasťou celkového štátneho alebo národného rozpočtu. S cieľom umožniť lepší prístup k zdravotným údajom a na doplnenie článku 7 ods. 2 nariadenia (EÚ) 2022/868 by členské štáty mali orgánom pre prístup k zdravotným údajom zveriť právomoci prijímať rozhodnutia o prístupe k zdravotným údajom a ich sekundárnom používaní. Mohlo by to spočívať v pridelení nových úloh príslušným orgánom, ktoré členské štáty určili podľa článku 7 ods. 1 nariadenia (EÚ) 2022/868 alebo v určení existujúcich alebo nových sektorových orgánov zodpovedných za takéto úlohy v súvislosti s prístupom k zdravotným údajom.

(65)

Orgány pre prístup k zdravotným údajom by mali monitorovať uplatňovanie kapitoly IV tohto nariadenia a prispievať k jej jednotnému uplatňovaniu v celej Únii. Na tento účel orgány pre prístup k zdravotným údajom spolupracujú navzájom, ako aj s Komisiou. Orgány pre prístup k zdravotným údajom by mali spolupracovať aj so zainteresovanými stranami vrátane organizácií pacientov. Orgány pre prístup k zdravotným údajom by mali podporovať držiteľov zdravotných údajov, ktorí sú malými podnikmi v súlade s odporúčaním Komisie 2003/361/ES (18), najmä lekárov a lekárne. Keďže sekundárne používanie zdravotných údajov zahŕňa spracúvanie osobných údajov týkajúcich sa zdravia, uplatňujú sa relevantné ustanovenia nariadení (EÚ) 2016/679 a (EÚ) 2018/1725 a dozorné orgány v zmysle uvedených nariadení by mali zostať jedinými orgánmi príslušnými na presadzovanie uvedených ustanovení. Orgány pre prístup k zdravotným údajom by mali informovať orgány pre ochranu údajov o všetkých uložených sankciách a akýchkoľvek možných problémoch týkajúcich sa spracúvania údajov na sekundárne používanie a vymieňať si všetky relevantné informácie, ktoré majú k dispozícii, s cieľom zabezpečiť presadzovanie relevantných pravidiel. Okrem úloh potrebných na zabezpečenie účinného sekundárneho používania zdravotných údajov by sa orgán pre prístup k zdravotným údajom mal usilovať o rozšírenie dostupnosti ďalších súborov údajov týkajúcich sa zdravia a propagáciu vývoja spoločných noriem. Mali by používať odskúšané najmodernejšie techniky zaručujúce, že pri spracúvaní elektronických zdravotných údajov sa zachová súkromie informácií obsiahnutých v údajoch, v prípade ktorých sa povolilo sekundárne používanie, vrátane techník pseudonymizácie, anonymizácie, zovšeobecnenia, odstraňovania a náhodného výberu osobných údajov. Orgány pre prístup k zdravotným údajom môžu pripravovať súbory údajov pre používateľa zdravotných údajov požadované v rámci vydaného povolenia na prístup k údajom. V tejto súvislosti by orgány pre prístup k zdravotným údajom mali spolupracovať cezhranične s cieľom rozvíjať a vymieňať si najlepšie postupy a techniky. Zahŕňa to pravidlá pseudonymizácie a anonymizácie mikrodátových súborov. Ak je to relevantné, Komisia by prostredníctvom vykonávacích aktov mala stanoviť postupy a požiadavky a poskytnúť technické nástroje na jednotný postup pseudonymizácie a anonymizácie elektronických zdravotných údajov.

(66)

Orgány pre prístup k zdravotným údajom by mali zabezpečiť transparentnosť sekundárneho používania poskytovaním verejných informácií o vydaných povoleniach na prístup k údajom a ich odôvodneniach, o opatreniach prijatých na ochranu práv fyzických osôb, o prostriedkoch, ktoré majú fyzické osoby na uplatňovanie svojich práv v súvislosti so sekundárnym používaním, a o výsledkoch sekundárneho používania, a to aj prostredníctvom odkazov na vedecké publikácie. Vo vhodných prípadoch by uvedené informácie o výsledkoch sekundárneho používania mali zahŕňať aj stručné zhrnutie, ktoré má poskytnúť používateľ zdravotných údajov. Uvedené povinnosti týkajúce sa transparentnosti dopĺňajú povinnosti stanovené v článku 14 nariadenia (EÚ) 2016/679. Mohli by sa uplatňovať výnimky uvedené v článku 14 ods. 5 uvedeného nariadenia. Ak sa uplatňujú takéto výnimky, povinnosti týkajúce sa transparentnosti zriadené v tomto nariadení by mali prispievať k zabezpečeniu spravodlivého a transparentného spracúvania, ako sa uvádza v článku 14 ods. 2 nariadenia (EÚ) 2016/679, napríklad prostredníctvom poskytovania informácií o účele spracúvania a spracúvaných kategóriách údajov, čím sa fyzickým osobám umožňuje pochopiť, či sa ich údaje sprístupňujú na sekundárne používanie na základe povolení na prístup k údajom.

(67)

Fyzické osoby by mali byť informované držiteľmi zdravotných údajov o významných zisteniach týkajúcich sa ich zdravia, ktoré zistili používatelia zdravotných údajov. Fyzické osoby by mali mať právo požiadať, aby neboli informované o takýchto zisteniach. Členské štáty by na to mohli stanoviť podmienky týkajúce sa podmienok poskytovania takýchto informácií držiteľmi zdravotných údajov dotknutým fyzickým osobám a uplatňovania práva nebyť informovaný. Členské štáty by mali mať možnosť v súlade s článkom 23 ods. 1 písm. i) nariadenia (EÚ) 2016/679 obmedziť rozsah povinnosti informovať fyzické osoby, keď je to potrebné na ich ochranu na základe bezpečnosti pacienta a z etických dôvodov, a to oddialením oznamovania ich informácií, kým zdravotnícky pracovník nebude môcť dotknutým fyzickým osobám oznámiť a vysvetliť informácie, ktoré môžu mať potencionálne vplyv na ich zdravie.

(68)

Orgány pre prístup k zdravotným údajom by mali na podporu transparentnosti uverejniť každé dva roky aj správy o činnosti, ktoré poskytujú prehľad o ich činnostiach. Ak členský štát určil viac ako jeden orgán pre prístup k zdravotným údajom, koordinačný orgán by mal vypracovať a uverejniť každé dva roky spoločnú správu. Správy o činnosti by sa mali riadiť štruktúrou dohodnutou v rade EHDS a mali by poskytovať prehľad činností vrátane informácií o rozhodnutiach o žiadostiach, auditoch a spolupráci s príslušnými zainteresovanými stranami. Medzi takéto zainteresované strany môžu patriť zástupcovia fyzických osôb, organizácie pacientov, zdravotnícki pracovníci, výskumní pracovníci a etické výbory.

(69)

Na podporu sekundárneho používania by sa držitelia zdravotných údajov mali vyhýbať odmietnutiu vydania údajov, vyžadovaniu neoprávnených poplatkov, ktoré nie sú transparentné ani úmerné nákladom na sprístupnenie údajov alebo prípadne marginálnym nákladom na získavanie údajov, požadovaniu od používateľov zdravotných údajov spoločné uverejnenie výskumu alebo iným praktikám, ktoré by mohli odradiť používateľov zdravotných údajov od požadovania údajov. Ak je držiteľ zdravotných údajov subjektom verejného sektora, časť poplatkov spojená s jeho nákladmi by nemala pokrývať náklady na počiatočné získanie údajov. Ak je etický súhlas potrebný na poskytnutie povolenia na prístup k údajom, hodnotenie týkajúce sa etického súhlasu by malo vychádzať z jeho vlastných hodnôt.

(70)

Orgány pre prístup k zdravotným údajom by mali mať možnosť vyberať poplatky zohľadňujúc horizontálne pravidlá stanovené v nariadení (EÚ) 2022/868. V rámci takýchto poplatkov by sa mohla zohľadniť situácia a záujem malých a stredných podnikov (ďalej len „MSP“), individuálnych výskumníkov alebo subjektov verejného sektora. Členské štáty by mali mať možnosť najmä zaviesť opatrenia pre orgány pre prístup k zdravotným údajom v ich jurisdikcii, ktoré umožnia účtovať znížené poplatky určitým kategóriám používateľov zdravotných údajov. Orgány pre prístup k zdravotným údajom by mali byť schopné pokryť náklady na svoje činnosti poplatkami stanovenými primeraným, odôvodneným a transparentným spôsobom. To by mohlo viesť k vyšším poplatkom pre niektorých používateľov zdravotných údajov, ak si vybavovanie ich žiadostí o prístup k zdravotným údajom a žiadostí o zdravotné údaje vyžaduje viac práce. Držitelia zdravotných údajov by mali mať možnosť požiadať o poplatky aj za sprístupňovanie údajov, ktoré odrážajú ich náklady. Orgány pre prístup k zdravotným údajom by mali rozhodnúť o výške takýchto poplatkov, ktoré by mohli zahŕňať aj poplatky požadované držiteľmi zdravotných údajov. Držiteľovi zdravotných údajov by mal takéto poplatky účtovať orgán pre prístup k zdravotným údajom na jednej faktúre. Orgán pre prístup k zdravotným údajom by mal potom postúpiť príslušnú časť držiteľovi zdravotných údajov. Na zabezpečenie harmonizovaného prístupu týkajúceho sa politík v oblasti poplatkov a ich štruktúry by sa mali na Komisiu preniesť vykonávacie právomoci. Na poplatky vyberané podľa tohto nariadenia by sa mal uplatňovať článok 10 nariadenia (EÚ) 2023/2854.

(71)

S cieľom posilniť presadzovanie pravidiel o sekundárnom používaní by sa mali plánovať vhodné opatrenia, ktoré môžu viesť k administratívnym pokutám alebo opatreniam na presadzovanie pravidiel od orgánov pre prístup k zdravotným údajom alebo k dočasnému či definitívnemu vylúčeniu používateľov zdravotných údajov alebo držiteľov zdravotných údajov, ktorí si neplnia svoje povinnosti, z rámca EHDS. Orgány pre prístup k zdravotným údajom by mali byť oprávnené overovať dodržiavanie súladu používateľov zdravotných údajov a držiteľov zdravotných údajov a poskytnúť im možnosť odpovedať na akékoľvek zistenia a napraviť akékoľvek nesplnenie povinnosti. Pri rozhodovaní o výške administratívnej pokuty alebo opatrenia na presadzovanie pravidiel pre každý jednotlivý prípad by orgány pre prístup k zdravotným údajom mali zohľadniť nákladové marže a kritériá stanovené v tomto nariadení, pričom by mali zabezpečiť, aby uvedené pokuty alebo opatrenia boli primerané.

(72)

Vzhľadom na citlivosť elektronických zdravotných údajov treba znížiť riziká týkajúce sa súkromia fyzických osôb, a to uplatňovaním zásady minimalizácie údajov. Preto by sa iné ako osobné elektronické zdravotné údaje mali sprístupniť vo všetkých prípadoch, v ktorých je poskytnutie takýchto údajov dostatočné. Ak používateľ zdravotných údajov potrebuje použiť osobné elektronické zdravotné údaje, mal by vo svojej žiadosti jasne uviesť odôvodnenie použitia tohto druhu údajov a orgán pre prístup k zdravotným údajom by mal posúdiť oprávnenosť tohto odôvodnenia. Osobné elektronické zdravotné údaje by sa mali sprístupňovať len v pseudonymizovanom formáte. Vzhľadom na osobitné účely spracúvania by sa osobné elektronické zdravotné údaje mali pseudonymizovať alebo anonymizovať čo najskôr v procese sprístupňovania údajov na sekundárne používanie. Orgány pre prístup k zdravotným údajom alebo držitelia zdravotných údajov by mali mať možnosť vykonávať pseudonymizáciu a anonymizáciu. Orgány pre prístup k zdravotným údajom a držitelia zdravotných údajov by ako prevádzkovatelia mali mať možnosť delegovať tieto úlohy na spracovateľov. Pri poskytovaní prístupu k pseudonymizovanému alebo anonymizovanému súboru údajov by mal orgán pre prístup k zdravotným údajom používať najmodernejšiu technológiu a najnovšie normy pseudonymizácie alebo anonymizácie, čím sa v maximálnej možnej miere zabezpečí, aby fyzické osoby nemohli byť používateľmi zdravotných údajov spätne identifikované. Takáto technológia a normy pre anonymizáciu údajov by sa mali ďalej rozvíjať. Používatelia zdravotných údajov by sa nemali pokúšať o spätnú identifikáciu fyzických osôb zo súboru údajov poskytnutého podľa tohto nariadenia, pretože sa vystavujú administratívnym pokutám a opatreniam na presadzovanie pravidiel stanoveným v tomto nariadení alebo možným trestnoprávnym sankciám, ak to vnútroštátne právne predpisy predpokladajú. Žiadateľ o zdravotné údaje by mal mať možnosť okrem toho požiadať o odpoveď na žiadosť o zdravotné údaje v anonymizovanom štatistickom formáte. V takýchto prípadoch používateľ zdravotných údajov spracuje len iné ako osobné údaje a orgán pre prístup k zdravotným údajom zostane výhradným prevádzkovateľom všetkých osobných údajov potrebných na poskytnutie odpovede na žiadosť o zdravotné údaje.

(73)

Na zabezpečenie toho, aby všetky orgány pre prístup k zdravotným údajom vydávali povolenia podobným spôsobom, treba zaviesť štandardný spoločný postup vydávania povolení na prístup k údajom, a to na základe podobných žiadostí v rôznych členských štátoch. Žiadateľ o zdravotné údaje by mal orgánom pre prístup k zdravotným údajom poskytnúť niekoľko informačných prvkov, ktoré by orgánu pomohli vyhodnotiť žiadosť o prístup k zdravotným údajom a rozhodnúť, či žiadateľ o zdravotné údaje môže získať povolenie na prístup k údajom a mala by sa zabezpečiť koherentnosť medzi rôznymi orgánmi pre prístup k zdravotným údajom. Informácie poskytnuté ako súčasť žiadosti o prístup k zdravotným údajom by mali byť v súlade s požiadavkami stanovenými v tomto nariadení, aby sa umožnilo ich dôkladné posúdenie, keďže povolenie na prístup k údajom by sa malo vydať len vtedy, ak sú splnené všetky potrebné podmienky stanovené v tomto nariadení. Okrem toho by uvedené informácie mali v relevantných prípadoch obsahovať vyhlásenie žiadateľa o zdravotných údajoch, že zamýšľané použitie požadovaných zdravotných údajov nepredstavuje riziko stigmatizácie alebo poškodenia dôstojnosti fyzických osôb alebo skupín, na ktoré sa požadovaný súbor údajov vzťahuje. Na základe vnútroštátnych právnych predpisov by sa mohlo požadovať etické posúdenie. V uvedenom prípade by existujúce etické orgány mali mať možnosť vykonávať takéto posúdenia pre orgány pre prístup k zdravotným údajom. Existujúce etické orgány členských štátov by mali na uvedený účel sprístupniť svoje odborné znalosti orgánu pre prístup k zdravotným údajom. Alternatívne, členské štáty by mali mať možnosť zabezpečiť, aby etické orgány boli súčasťou orgánu pre prístup k zdravotným údajom. Orgán pre prístup k zdravotným údajom a prípadne držitelia zdravotných údajov by mali používateľom zdravotných údajov pomáhať pri výbere vhodných súborov údajov alebo zdrojov údajov na účel určenia sekundárneho používania. Ak žiadateľ o zdravotné údaje potrebuje údaje v anonymizovanom štatistickom formáte, mal by predložiť žiadosť o zdravotné údaje, v ktorej od orgánu pre prístup k zdravotným údajom priamo požaduje poskytnutie výsledku. Zamietnutie povolenia na prístup k zdravotným údajom zo strany orgánu pre zdravotné údaje by žiadateľovi o zdravotné údaje nemalo brániť v predložení novej žiadosti o prístup k údajom. S cieľom zabezpečiť harmonizovaný prístup medzi orgánmi pre prístup k zdravotným údajom a obmedziť administratívnu záťaž pre žiadateľov o zdravotné údaje by Komisia mala podporovať harmonizáciu žiadostí o prístup k zdravotným údajom, ako aj žiadostí o zdravotné údaje, a to aj stanovením príslušných vzorov žiadostí. V odôvodnených prípadoch, napríklad v prípade zložitej a zaťažujúcej žiadosti, by mal mať orgán pre prístup k zdravotným údajom možnosť predĺžiť lehotu pre držiteľov zdravotných údajov na sprístupnenie požadovaných elektronických zdravotných údajov tomuto orgánu.

(74)

Keďže orgány pre prístup k zdravotným údajom majú obmedzené zdroje, mali by mať možnosť uplatňovať pravidlá stanovovania priorít, napríklad uprednostňovanie verejných inštitúcií pred súkromnými subjektmi, ale v rámci rovnakej kategórie priorít by nemali robiť žiadne rozdiely medzi vnútroštátnymi organizáciami alebo organizáciami z iných členských štátov. Používateľ zdravotných údajov by mal mať možnosť predĺžiť trvanie povolenia na prístup k údajom, aby napríklad umožnil posudzovateľom vedeckej publikácie prístup k súborom údajov alebo aby umožnil ďalšiu analýzu súboru údajov na základe počiatočných zistení. Vyžadovalo by si to zmenu povolenia na prístup k údajom a mohlo by to podliehať ďalšiemu poplatku. V každom prípade by však takéto ďalšie použitia súboru údajov mali byť zohľadnené v povolení na prístup k údajom. Používateľ zdravotných údajov by ich mal podľa možnosti uviesť vo svojej prvej žiadosti o prístup k zdravotným údajom. S cieľom zabezpečiť harmonizovaný prístup medzi orgánmi pre prístup k zdravotným údajom by Komisia mala podporovať harmonizáciu povolení na prístup k údajom.

(75)

Ako ukázala kríza spôsobená ochorením COVID-19, inštitúcie, orgány, úrady a agentúry Únie so zákonným mandátom v oblasti verejného zdravia, najmä Komisia, potrebujú prístup k zdravotným údajom na dlhšie obdobie a opakovane. Môže to tak byť za osobitných okolností stanovených v práve Únie alebo vo vnútroštátnom práve v časoch krízy a pri pravidelnom poskytovaní vedeckých dôkazov a technickej podpory v záujme politík Únie. Prístup k takýmto údajom by sa mohol vyžadovať v konkrétnych členských štátoch alebo na celom území Únie. Takéto inštitúcie, orgány, úrady a agentúry Únie by mali mať možnosť využiť zrýchlený postup na sprístupnenie údajov za normálnych okolností za menej ako dva mesiace s možnosťou predĺženia lehoty o jeden mesiac v zložitejších prípadoch.

(76)

Členské štáty by mali mať možnosť určiť dôveryhodných držiteľov zdravotných údajov, v prípade ktorých by sa postup povolenia na prístup k údajom vykonával zjednodušeným spôsobom, aby sa zmiernilo administratívne zaťaženie orgánov pre prístup k zdravotným údajom pri vybavovaní žiadostí o údaje, ktoré spracúvajú. Dôveryhodní držitelia zdravotných údajov by mali mať možnosť posúdiť žiadosti o prístup k zdravotným údajom predložené v rámci tohto zjednodušeného postupu v na základe ich odborných znalostí pri zaoberaní sa s druhom zdravotných údajov, ktoré spracúvajú, a vydať odporúčanie týkajúce sa povolenia na prístup k údajom. Orgán pre prístup k zdravotným údajom by mal zostať zodpovedný za vydanie konečného povolenia na prístup k údajom a nemal by byť viazaný odporúčaním, ktoré poskytol dôveryhodný držiteľ zdravotných údajov. Subjekty sprostredkovania zdravotných údajov by nemali byť určené za dôveryhodných držiteľov zdravotných údajov.

(77)

Vzhľadom na citlivosť elektronických zdravotných údajov by používatelia zdravotných údajov nemali mať k takýmto údajom neobmedzený prístup. Akýkoľvek prístup k požadovaným elektronickým zdravotným údajom na sekundárne používanie by sa mal uskutočniť prostredníctvom zabezpečeného prostredia spracúvania. Na zaistenie spoľahlivých technických a bezpečnostných záruk pre elektronické zdravotné údaje by mal orgán pre prístup k zdravotným údajom alebo prípadne dôveryhodný držiteľ zdravotných údajov poskytnúť prístup k takýmto údajom v zabezpečenom prostredí spracúvania, ktoré spĺňa prísne technické a bezpečnostné normy stanovené podľa tohto nariadenia. Spracúvanie osobných údajov v takomto zabezpečenom prostredí spracúvania by malo byť v súlade s nariadením (EÚ) 2016/679 vrátane požiadaviek stanovených v článku 28 uvedeného nariadenia a v príslušných prípadoch stanovených v jeho kapitole V, ak zabezpečené prostredie spracúvania spravuje tretia strana. Takéto zabezpečené prostredie spracúvania by malo znížiť riziká pre súkromie súvisiace s takýmito činnosťami spracúvania a predísť tomu, aby sa elektronické zdravotné údaje priamo prenášali k používateľom zdravotných údajov. Orgán pre prístup k zdravotným údajom alebo držiteľ zdravotných údajov poskytujúci uvedenú službu by mal mať stále pod kontrolou prístup k elektronickým zdravotným údajom, a to pomocou prístupu, ktorý bol udelený používateľom údajov a určený podmienkami vydaného povolenia na prístup k údajom. Používatelia zdravotných údajov by mali z takéhoto zabezpečeného prostredia spracúvania sťahovať iba iné ako osobné elektronické zdravotné údaje. Takéto zabezpečené prostredie spracúvania je teda základnou zárukou ochrany práv a slobôd fyzických osôb v súvislosti so spracúvaním ich elektronických zdravotných údajov na sekundárne používanie. Komisia by mala pomôcť členským štátom pri vyvíjaní spoločných bezpečnostných noriem v snahe podporiť bezpečnosť a interoperabilitu rôznych zabezpečených prostredí spracúvania.

(78)

V nariadení (EÚ) 2022/868 sa stanovujú všeobecné pravidlá správy dátového altruizmu. Keďže sa v sektore zdravotníctva narába s citlivými údajmi, mali by sa zároveň stanoviť ďalšie kritériá, a to prostredníctvom súboru pravidiel uvedeného v uvedenom nariadení. Ak sa v rámci takýchto pravidiel ráta s použitím zabezpečeného prostredia spracúvania v prípade uvedeného sektora, takéto zabezpečené prostredie spracúvania by malo byť v súlade s kritériami stanovenými v tomto nariadení. Orgány pre prístup k zdravotným údajom by mali spolupracovať s príslušnými orgánmi určenými podľa nariadenia (EÚ) 2022/868, aby dohliadali na činnosť organizácií, ktoré sa v sektore zdravotnej alebo inej starostlivosti zaoberajú dátovým altruizmom.

(79)

V prípade spracúvania elektronických zdravotných údajov v rozsahu povolenia alebo žiadosti o zdravotné údaje by sa držitelia zdravotných údajov, vrátane dôveryhodných držiteľov zdravotných údajov, orgánov pre prístup k zdravotným údajom a používateľov zdravotných údajov, mali považovať za prevádzkovateľov pre konkrétnu časť procesu podľa ich príslušných úloh v ňom. Držitelia zdravotných údajov by sa mali považovať za prevádzkovateľov na účely sprístupnenia požadovaných osobných elektronických zdravotných údajov pred orgánmi pre prístup k zdravotným údajom, zatiaľ čo orgány pre prístup k zdravotným údajom by sa mali považovať za prevádzkovateľov pri spracúvaní osobných elektronických zdravotných údajov pri príprave údajov a ich sprístupňovaní používateľom zdravotných údajov. Používatelia zdravotných údajov by sa mali považovať za prevádzkovateľov na účely spracúvania osobných elektronických zdravotných údajov v pseudonymizovanej forme v zabezpečenom prostredí spracúvania na základe ich povolení na prístup k údajom. Orgány pre prístup k zdravotným údajom by sa mali považovať za sprostredkovateľov v mene používateľa zdravotných údajov na spracúvanie vykonávané používateľom zdravotných údajov na základe povolenia na prístup k údajom v zabezpečenom prostredí spracúvania, ako aj na účely spracúvania s cieľom získať odpoveď na žiadosť o zdravotné údaje. Podobne by sa dôveryhodní držitelia zdravotných údajov mali považovať za prevádzkovateľov pri ich spracúvaní osobných elektronických zdravotných údajov súvisiacich s poskytovaním elektronických zdravotných údajov používateľovi zdravotných údajov na základe povolenia na prístup k údajom alebo žiadosti o zdravotné údaje. Dôveryhodní držitelia zdravotných údajov by sa mali považovať za spracovateľov pre používateľa zdravotných údajov pri poskytovaní údajov prostredníctvom zabezpečeného prostredia spracúvania.

(80)

S cieľom dosiahnuť inkluzívny a udržateľný rámec na sekundárne používanie vo viacerých krajinách by sa mala zriadiť cezhraničná infraštruktúra (ďalej len „HealthData@EU)“). Infraštruktúra HealthData@EU by mala urýchliť sekundárne používanie a zároveň zvýšiť právnu istotu, rešpektovať súkromie fyzických osôb a byť interoperabilná. Vzhľadom na citlivosť zdravotných údajov by sa vždy, keď je to možné, mali dodržiavať zásady ako „ochrana súkromia už v štádiu návrhu“ a „štandardná ochrana súkromia“ a „žiadanie o údaje na mieste ich výskytu namiesto prenášania uvedených údajov“. Členské štáty by mali určiť národné kontaktné miesta na sekundárne používanie ako organizačné a technické brány pre orgány pre prístup k zdravotným údajom a prepojiť uvedené kontaktné miesta s infraštruktúrou HealthData@EU. Služba Únie pre prístup k zdravotným údajom by sa mala prepojiť aj s infraštruktúrou HealthData@EU. Oprávnenými účastníkmi infraštruktúry HealthData@EU by navyše mohli byť orgány pre prístup k zdravotným údajom, výskumné infraštruktúry zriadené podľa nariadenia Rady (ES) č. 723/2009 ako Konzorcium pre európsku výskumnú infraštruktúru (ERIC) (19), ako Konzorcium pre európsku digitálnu infraštruktúru (EDIC) podľa rozhodnutia (EÚ) 2022/2481 alebo podobné infraštruktúry zriadené podľa iných právnych aktov Únie, ako aj ďalšie druhy subjektov vrátane infraštruktúr v rámci Európskeho strategického fóra o výskumných infraštruktúrach (ESFRI), infraštruktúr združených v rámci európskeho cloudu pre otvorenú vedu (EOSC). Tretie krajiny a medzinárodné organizácie by sa tiež mohli stať oprávnenými účastníkmi infraštruktúry HealthData@EU za predpokladu, že spĺňajú požiadavky tohto nariadenia. Oznámenie Komisie z 19. februára 2020 s názvom Európska dátová stratégia podporilo prepojenie rôznych spoločných európskych dátových priestorov. Infraštruktúra HealthData@EU by preto mala umožniť sekundárne používanie rôznych kategórií elektronických zdravotných údajov vrátane prepojenia zdravotných údajov s údajmi z iných dátových priestorov, ako sú údaje týkajúce sa životného prostredia, poľnohospodárstva a sociálneho sektora. Takáto interoperabilita medzi sektorom zdravotníctva a inými sektormi, ako sú environmentálne, poľnohospodárske alebo sociálne sektory, by mohla byť relevantná pre získanie ďalších poznatkov o determinantoch zdravia. Komisia by mohla poskytovať viacero služieb v rámci infraštruktúry HealthData@EU vrátane podpory výmeny informácií medzi orgánmi pre prístup k zdravotným údajom a oprávnenými účastníkmi infraštruktúry HealthData@EU na účely vybavovania žiadostí o cezhraničný prístup, vedenia katalógov elektronických zdravotných údajov dostupných prostredníctvom infraštruktúry, vyhľadávaní sietí a dopytov týkajúcich sa metaúdajov, pripojiteľnosti a služieb týkajúcich sa plnenia požiadaviek. Komisia by mohla na žiadosť prevádzkovateľov vytvoriť aj zabezpečené prostredie spracúvania, ktoré umožní prenos a analýzu údajov z rôznych národných infraštruktúr. V záujme efektívnosti, racionalizácie a interoperability informačných technológií pri výmenách údajov by sa existujúce systémy na spoločné využívanie údajov mali čo možno najviac opätovne využívať, ako napríklad tie, ktoré sa budujú na výmenu dôkazov v rámci „kedysi jediného technického systému“ nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1724 (20).

(81)	Okrem toho, vzhľadom na to, že spojenie s infraštruktúrou HealthData@EU by mohlo zahŕňať prenosy osobných údajov týkajúcich sa žiadateľa alebo používateľa zdravotných údajov do tretích krajín, na takéto prenosy musia byť zavedené príslušné nástroje prenosu podľa kapitoly V nariadenia (EÚ) 2016/679.

(82)

V prípade cezhraničných registrov alebo databáz, ako sú registre európskych referenčných sietí pre zriedkavé choroby, ktoré prijímajú údaje od rôznych poskytovateľov zdravotnej starostlivosti vo viacerých členských štátoch, by mal byť zodpovedným za poskytovanie prístupu k údajom orgán členského štátu pre prístup k zdravotným údajom, v ktorom má koordinátor registra sídlo.

(83)

Proces udeľovania oprávnení na získanie prístupu k osobným elektronickým zdravotným údajom v rôznych členských štátoch môže byť pre používateľov zdravotných údajov opakujúci sa a zdĺhavý. Vždy, keď je to možné, by sa mali vytvoriť synergie na zníženie zaťaženia a prekážok pre používateľov zdravotných údajov. Jedným zo spôsobov, ako dosiahnuť uvedený cieľ, je dodržiavať zásadu „jedinej žiadosti“, podľa ktorej môže používateľ zdravotných údajov na základe jednej žiadosti získať oprávnenie od viacerých orgánov pre prístup k zdravotným údajom v rôznych členských štátoch alebo od oprávnených účastníkov infraštruktúry HealthData@EU.

(84)

Orgány pre prístup k zdravotným údajom by mali poskytovať informácie o dostupných súboroch údajov a ich charakteristikách, aby používatelia zdravotných údajov mohli byť informovaní o základných skutočnostiach týkajúcich sa súboru údajov a posúdiť prípadný význam týchto skutočností pre týchto používateľov. Preto by mal každý súbor údajov obsahovať aspoň informácie týkajúce sa zdroja a povahy údajov a podmienok sprístupnenia údajov. Držiteľ zdravotných údajov by mal aspoň raz ročne skontrolovať, či je opis jeho súboru údajov vo vnútroštátnom katalógu súborov údajov presný a aktuálny. Preto by sa mal vytvoriť únijný katalóg súborov údajov, aby sa uľahčilo vyhľadávanie súborov údajov, ktoré sú dostupné v EHDS; aby sa držiteľom zdravotných údajov pomohlo uverejňovať ich súbory údajov; aby sa všetkým zainteresovaným stranám vrátane širokej verejnosti, a to s ohľadom na osobitné potreby osôb so zdravotným postihnutím, poskytovali informácie o súboroch údajov umiestnených v EHDS, ako sú označenia kvality a užitočnosti údajov a informačné listy súborov údajov; a aby sa používateľom zdravotných údajov poskytovali aktuálne informácie o súboroch údajov týkajúce sa kvality a užitočnosti údajov.

(85)

Informácie o kvalite a užitočnosti súborov údajov výrazne zvyšujú hodnotu výsledkov výskumu a inovácie, ktoré sú náročné na údaje, pričom zároveň podporujú regulačné a politické rozhodovanie založené na faktoch. Zlepšenie kvality a využiteľnosti súborov údajov prostredníctvom informovaných rozhodnutí zákazníkov a harmonizácia súvisiacich požiadaviek na úrovni Únie, ktoré zohľadňujú existujúce únijné a medzinárodné normy, usmernenia a odporúčania na získavanie údajov a výmenu údajov, ako sú napríklad zásady FAIR, sú prínosom aj pre držiteľov zdravotných údajov, zdravotníckych pracovníkov, fyzické osoby a celkovo hospodárstvo Únie. Na základe označenia kvality a využiteľnosti údajov pre súbory údajov by sa používatelia zdravotných údajov informovali o charakteristikách súboru údajov týkajúcich sa kvality a užitočnosti a umožnilo by sa im vybrať súbory údajov, ktoré najlepšie zodpovedajú ich potrebám. Označením kvality a využiteľnosti údajov by sa nemalo zamedzovať sprístupneniu súborov údajov prostredníctvom EHDS, ale držiteľom zdravotných údajov a používateľom zdravotných údajov by sa ním mal poskytnúť mechanizmus transparentnosti. Napríklad súbor údajov, ktorý nespĺňa žiadnu požiadavku na kvalitu a využiteľnosť údajov, by mal byť označený triedou predstavujúcou najnižšiu kvalitu a využiteľnosť, ale mal by byť stále dostupný. Očakávania stanovené rámcami vytvorenými podľa článku 10 nariadenia (EÚ) 2024/1689a príslušná technická dokumentácia uvedená v prílohe IV k uvedenému nariadeniu by sa mali zohľadniť pri vyvíjaní rámca kvality a využiteľnosti údajov. Členské štáty by mali prostredníctvom komunikačných činností zvýšiť informovanosť o označení kvality a využiteľnosti údajov. Komisia by mohla uvedené činnosti podporovať. Používatelia by mohli uprednostniť používanie súborov údajov podľa ich užitočnosti a kvality.

(86)

Únijný katalóg súborov údajov by mal minimalizovať administratívne zaťaženie držiteľov zdravotných údajov a iných používateľov databázy, mal by byť používateľsky ústretový, prístupný a nákladovo efektívny, mal by spájať vnútroštátne katalógy súborov údajov a mal by sa vyhýbať nadbytočnej registrácii súborov údajov. Bez toho, aby boli dotknuté požiadavky stanovené v nariadení (EÚ) 2022/868 by sa únijný katalóg súborov údajov mohol zosúladiť s iniciatívou data.europa.eu. Mala by sa zabezpečiť interoperabilita medzi únijným katalógom súborov údajov, vnútroštátnymi katalógmi súborov údajov a katalógmi súborov údajov z európskych výskumných infraštruktúr a iných relevantných infraštruktúr na zdieľanie údajov.

(87)

Prebieha spolupráca a činnosť medzi rôznymi profesijnými organizáciami, Komisiou a ďalšími inštitúciami s cieľom vytvoriť minimálne dátové polia a iné charakteristiky rôznych súborov údajov, napríklad registrov. Uvedená činnosť je pokročilejšia v oblastiach, ako je rakovina, zriedkavé choroby, kardiovaskulárne a metabolické ochorenia, hodnotenie rizikových faktorov a štatistika, a mala by sa zohľadniť pri formulovaní nových noriem a harmonizovaných šablón pre štruktúrované dátové prvky špecifické pre jednotlivé choroby. Mnohé súbory údajov však nie sú harmonizované, čo vedie k problémom s porovnateľnosťou a sťažuje cezhraničný výskum. Preto by sa vo vykonávacích aktoch mali stanoviť podrobnejšie pravidlá na zabezpečenie harmonizovaného kódovania a zaznamenávania elektronických zdravotných údajov, aby sa umožnilo ich poskytovanie takýchto údajov na sekundárne používanie konzistentným spôsobom. Takéto súbory údajov by mohli zahŕňať údaje z registrov zriedkavých chorôb, databáz liekov na ojedinelé ochorenia, onkologických registrov a registrov vysoko relevantných infekčných chorôb. Členské štáty by mali zamerať činnosť na zabezpečenie toho, aby európske systémy a služby elektronického zdravotníctva a interoperabilných aplikácií poskytovali udržateľné hospodárske a sociálne prínosy v záujme dosiahnutia vysokej miery dôvery a bezpečnosti, posilnenia kontinuity starostlivosti a zaistenia prístupu k bezpečnej a kvalitnej zdravotnej starostlivosti. Existujúce infraštruktúry a registre zdravotníckych údajov môžu poskytnúť modely, ktoré sú užitočné k definovaniu a implementácii noriem týkajúcich sa údajov a interoperability, a mali by sa využívať, aby sa umožnila kontinuita a nadviazalo sa na existujúce odborné znalosti.

(88)

Komisia by mala podporovať členské štáty pri budovaní kapacít a zlepšovaní účinnosti v oblasti systémov elektronického zdravotníctva na primárne používanie a sekundárne používanie. Členským štátom by sa malo pomáhať pri posilňovaní ich kapacít. Činnosti na úrovni Únie, ako je referenčné porovnávanie a výmena najlepších postupov, sú v tomto zmysle relevantnými opatreniami. Uvedené činnosti by mali zohľadňovať osobitné okolnosti rôznych kategórií zainteresovaných strán, ako sú zástupcovia občianskej spoločnosti, výskumní pracovníci, zdravotnícke spoločnosti a MSP.

(89)

Zlepšenie gramotnosti fyzických osôb aj zdravotníckych pracovníkov v oblasti elektronického zdravotníctva je nevyhnutné pre dôveru a bezpečnosť a primerané využívanie zdravotných údajov, a tým je nevyhnutné na dosiahnutie úspešného vykonávania tohto nariadenia. Zdravotnícki pracovníci čelia v súvislosti s digitalizáciou zásadným zmenám a v rámci realizácie EHDS im budú ponúknuté ďalšie digitálne nástroje. Zdravotnícki pracovníci preto musia rozvíjať svoju gramotnosť v oblasti elektronického zdravotníctva a digitálne zručnosti a členské štáty by mali zdravotníckym pracovníkom poskytnúť prístup ku kurzom digitálnej gramotnosti, aby sa mohli pripraviť na prácu so systémami EHR. Takéto kurzy by mali zdravotníckym pracovníkom a prevádzkovateľom IT umožniť získať dostatočnú odbornú prípravu na prácu s novou digitálnou infraštruktúrou s cieľom zaistiť kybernetickú bezpečnosť a etickú správu zdravotných údajov. Kurzy odbornej prípravy by sa mali pravidelne rozvíjať, revidovať a aktualizovať v rámci konzultácií a spolupráce s príslušnými expertmi. Zlepšenie gramotnosti v oblasti elektronického zdravotníctva je nevyhnutné na to, aby fyzické osoby získali skutočnú kontrolu nad svojimi zdravotnými údajmi, aktívne riadili svoje zdravie a starostlivosť oň a chápať dôsledky správy týchto údajov na primárne používanie a sekundárne používanie. Rôzne demografické skupiny majú rôzny stupeň digitálnej gramotnosti, čo môže ovplyvniť schopnosť fyzických osôb uplatniť si práva na kontrolu svojich elektronických zdravotných údajov. Členské štáty, a to aj regionálne a miestne orgány, by preto mali podporovať aj gramotnosť v oblasti elektronického zdravotníctva a informovanosť verejnosti a zároveň zabezpečiť, aby vykonávanie tohto nariadenia prispievalo k znižovaniu nerovností a nediskriminovalo osoby bez digitálnych zručností. Osobitná pozornosť by sa mala venovať osobám so zdravotným postihnutím a zraniteľným skupinám vrátane migrantov a starších. Členské štáty by mali vytvoriť cielené vnútroštátne programy digitálnej gramotnosti vrátane programov na maximalizáciu sociálneho začlenenia a na zabezpečenie toho, aby všetky fyzické osoby mohli účinne uplatňovať svoje práva podľa tohto nariadenia. Členské štáty by mali takisto poskytovať fyzickým osobám usmernenia pre pacientov na používanie elektronických zdravotných záznamov a primárne používanie ich osobných elektronických zdravotných údajov. Usmernenia by mali byť prispôsobené úrovni gramotnosti pacienta v oblasti elektronického zdravotníctva, s osobitnou pozornosťou voči potrebám zraniteľných skupín.

(90)

K dosiahnutiu cieľov EHDS by malo prispieť aj využívanie finančných prostriedkov. Pri formulovaní podmienok verejného obstarávania, výziev na predkladanie návrhov a prideľovania finančných prostriedkov Únie vrátane štrukturálnych a kohéznych fondov by mali verejní obstarávatelia, príslušné vnútroštátne orgány v členských štátoch vrátane orgánov pre elektronické zdravotníctvo a orgánov pre prístup k zdravotným údajom a Komisia uvádzať odkazy na uplatniteľné technické špecifikácie, normy a profily týkajúce sa interoperability, bezpečnosti a kvality údajov, ako aj ďalšie požiadavky vytvorené podľa tohto nariadenia. Finančné prostriedky Únie sa musia transparentne rozdeliť medzi členské štáty, pričom by sa mali zohľadniť rôzne úrovne digitalizácie systému zdravotnej starostlivosti. Sprístupnenie údajov na sekundárne používanie si vyžaduje dodatočné zdroje pre systémy zdravotnej starostlivosti, najmä pre verejné systémy zdravotnej starostlivosti. Táto dodatočná záťaž by sa mala riešiť a vo fáze implementácie EHDS minimalizovať.

(91)

Implementácia EHDS si vyžaduje primerané investície do budovania kapacít a odbornej prípravy, ako aj dobre financovaný záväzok k verejným konzultáciám a zapojeniu verejnosti na úrovni Únie a aj na vnútroštátnej úrovni. Hospodárske náklady na vykonávanie tohto nariadenia sa budú musieť znášať na úrovni Únie aj na vnútroštátnej úrovni a bude sa musieť nájsť spravodlivé rozdelenie tejto záťaže medzi zdrojmi Únie a vnútroštátnymi zdrojmi.

(92)

Niektoré kategórie elektronických zdravotných údajov môžu byť naďalej zvlášť citlivé, aj keď sú v anonymizovanom formáte, a teda nie sú osobné, ako sa konkrétne stanovuje v nariadení (EÚ) 2022/868. Dokonca aj keď sa použijú najmodernejšie techniky anonymizácie, naďalej existuje zvyškové riziko, že by bola k dispozícii alebo by sa sprístupnila kapacita na spätnú identifikáciu, a to nad rámec prostriedkov, o ktorých možno odôvodnene predpokladať, že by sa použili. Takéto zvyškové riziko existuje v súvislosti so zriedkavými chorobami, to znamená život ohrozujúcim alebo chronicky invalidizujúcim stavom postihujúcim nie viac ako 5 z 10 tisíc osôb v Únii, v prípade ktorých obmedzený počet prípadov znižuje možnosť úplného zoskupenia uverejnených údajov v záujme zachovania súkromia fyzických osôb pri súčasnom udržaní vhodnej úrovne podrobnosti tak, aby údaje zostali zmysluplné. Takéto zvyškové riziko môže mať dosah na rôzne kategórie zdravotných údajov a môže viesť k spätnej identifikácii dotknutých osôb pomocou prostriedkov, ktoré sú nad rámec prostriedkov, o ktorých možno odôvodnene predpokladať, že by sa použili. Takéto riziko závisí od úrovne podrobnosti, od opisu charakteristík dotknutých osôb, od počtu osôb, ktorých sa to týka, napríklad v prípade údajov zahrnutých v elektronických zdravotných záznamoch, v prípade registrov chorôb, biobánk a osobou vytvorených údajov, keď je rozsah charakteristiky identifikácie rozsiahlejší, a od možnej kombinácie s inými informáciami, napríklad vo veľmi malých geografických oblastiach, alebo prostredníctvom technologického vývoja metód, ktoré neboli k dispozícii v čase anonymizácie. Takáto spätná identifikácia fyzických osôb by vyvolala veľké obavy a pravdepodobne by ohrozila prijatie pravidiel týkajúcich sa sekundárneho používania stanovených v tomto nariadení. Okrem toho techniky zoskupovania sú v prípade iných ako osobných údajov obsahujúcich napríklad obchodné tajomstvá menej odskúšané, ako napríklad pri podávaní správ o klinickom skúšaní a klinických skúškach, a presadzovanie práva pri porušovaní obchodných tajomstiev mimo Únie je v prípade neexistencie uspokojivej medzinárodnej ochrannej normy náročnejšie. Preto v prípade uvedených kategórií zdravotných údajov pretrváva riziko spätnej identifikácie po anonymizácii alebo zoskupení, ktoré pôvodne nie je možné primerane zmierniť. Táto otázka spadá pod kritériá uvedené v článku 5 ods. 13 nariadenia (EÚ) 2022/868. Na uvedené druhy zdravotných údajov by sa teda vzťahovalo splnomocnenie stanovené v článku 5 ods. 13 uvedeného nariadenia na prenos do tretích krajín. Osobitné podmienky stanovené na základe splnomocnenia stanoveného v článku 5 ods. 13 nariadenia (EÚ) 2022/868 budú podrobne opísané v kontexte delegovaného aktu prijatého na základe uvedeného splnomocnenia a musia byť úmerné riziku spätnej identifikácie a zohľadňovať špecifické vlastnosti rôznych kategórií údajov alebo rôznych techník anonymizácie či zoskupovania.

(93)

Spracúvanie veľkého množstva osobných elektronických údajov týkajúcich sa zdravia na účely EHDS v rámci činností spracúvania údajov v súvislosti s vybavovaním žiadostí o prístup k údajom, povolení na prístup k údajom a žiadostí o zdravotné údaje so sebou prináša vyššie riziko neoprávneného prístupu k takýmto osobným údajom, ako aj možnosť kybernetických incidentov. Osobné elektronické zdravotné údaje sú obzvlášť citlivé, pretože často obsahujú informácie, na ktoré sa vzťahuje lekárske tajomstvo a ktorých sprístupnenie neoprávneným tretím stranám môže spôsobiť značné ťažkosti. Pri plnom zohľadnení zásad uvedených v judikatúre Súdneho dvora Európskej únie sa týmto nariadením zabezpečuje úplné dodržiavanie základných práv, práva na súkromie a zásady proporcionality. S cieľom zabezpečiť úplnú integritu a dôvernosť osobných elektronických zdravotných údajov podľa tohto nariadenia, zaručiť mimoriadne vysokú úroveň ochrany a bezpečnosti a znížiť riziko nezákonného prístupu k uvedeným osobným elektronickým zdravotným údajom toto nariadenie umožňuje členským štátom požadovať, aby sa osobné elektronické zdravotné údaje uchovávali a spracúvali výlučne v Únii na účely vykonávania úloh stanovených v tomto nariadení, pokiaľ sa neuplatňuje rozhodnutie o primeranosti prijaté podľa článku 45 nariadenia (EÚ) 2016/679.

(94)

Používatelia zdravotných údajov usadení v tretích krajinách alebo medzinárodné organizácie by k elektronickým zdravotným údajom mali mať prístup len na základe zásady reciprocity. Sprístupnenie elektronických zdravotných údajov tretej krajine by sa malo umožniť len vtedy, ak Komisia prostredníctvom vykonávacieho aktu stanovila, že príslušná tretia krajina umožňuje subjektom Únie prístup k elektronickým zdravotným údajom pochádzajúcim z tejto tretej krajiny za rovnakých podmienok a s rovnakými zárukami ako by to bolo v prípade, keby mali prístup k elektronickým zdravotným údajom v Únii. Komisia by mala monitorovať a vykonávať pravidelné preskúmanie situácie v uvedených tretích krajinách a pre medzinárodné organizácie a zostaviť zoznam uvedených vykonávacích aktov. Ak Komisia zistí, že tretia krajina už nezabezpečuje prístup za rovnakých podmienok, mala by zodpovedajúci vykonávací akt zrušiť.

(95)

Na podporu jednotného uplatňovania tohto nariadenia, a to aj pokiaľ ide o cezhraničnú interoperabilitu elektronických zdravotných údajov, by sa mala zriadiť rada EHDS. Komisia by sa mala zúčastňovať na jej činnostiach a spolupredsedať jej. Rada EHDS by mala mať možnosť vydávať písomné príspevky k jednotnému uplatňovaniu tohto nariadenia v celej Únii, a to aj tým, že členským štátom pomôže koordinovať používanie elektronických zdravotných údajov na účely zdravotnej starostlivosti a certifikácie, ale aj pokiaľ ide o sekundárne používanie a financovanie uvedených činností. Mohlo by to zahŕňať aj výmenu informácií o rizikách a incidentoch v zabezpečených prostrediach spracúvania. Výmena uvedeného druhu informácií nemá vplyv na povinnosti vyplývajúce z iných právnych aktov, ako sú oznámenia o porušení ochrany údajov podľa nariadenia (EÚ) 2016/679. Vo všeobecnosti nie sú činnosťami rady EHDS dotknuté právomoci dozorných orgánov podľa nariadenia (EÚ) 2016/679. Keďže sa na vnútroštátnej úrovni môžu orgány pre elektronické zdravotníctvo zaoberajúce sa primárnym používaním líšiť od orgánov pre prístup k zdravotným údajom zaoberajúcich sa sekundárnym používaním, ich funkcie sú rozdielne a v každej z uvedených oblastí je potrebná odlišná spolupráca, rade EHDS by sa malo umožniť zriaďovať podskupiny zaoberajúce sa uvedenými dvoma funkciami, ako aj prípadne ďalšie podskupiny. V záujme efektívnej pracovnej metódy by orgány pre elektronické zdravotníctvo a orgány pre prístup k zdravotným údajom mali na vnútroštátnej úrovni vytvoriť siete a prepojenia s ďalšími subjektmi a orgánmi, ale aj na úrovni Únie. Takéto subjekty by mohli zahŕňať orgány pre ochranu osobných údajov, kybernetickú bezpečnosť, elektronickú identifikáciu a normalizáciu, ako aj subjekty a expertné skupiny podľa nariadení (EÚ) 2022/868, (EÚ) 2023/2854 a (EÚ) 2024/1689 a nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 (21). Rada EHDS by mala fungovať nezávisle, vo verejnom záujme a v súlade so svojím kódexom správania.

(96)	Ak sa prerokúvajú otázky, ktoré rada EHDS považuje za osobitne relevantné, mala by mať možnosť pozvať pozorovateľov, napríklad EDPS, zástupcov inštitúcií Únie vrátane Európskeho parlamentu a iných zainteresovaných strán.

(97)

Malo by sa zriadiť fórum zainteresovaných strán, ktoré by radilo rade EHDS pri plnení jej úloh poskytovaním vstupov zainteresovaných strán v otázkach súvisiacich s týmto nariadením. Fórum zainteresovaných strán by mali tvoriť okrem iného zástupcovia organizácií pacientov a spotrebiteľských organizácií, zdravotníckych pracovníkov, priemyslu, vedeckých výskumníkov a akademickej obce. Malo by mať vyvážené zloženie a zastupovať názory rôznych príslušných zainteresovaných strán. Zastúpené by v ňom mali byť komerčné aj nekomerčné záujmy.

(98)

S cieľom zabezpečiť riadne každodenné riadenie cezhraničných infraštruktúr na primárne používanie a sekundárne používanie je potrebné vytvoriť riadiace skupiny zložené zo zástupcov členských štátov. Tieto riadiace skupiny by mali prijímať prevádzkové rozhodnutia o každodennom technickom riadení cezhraničných infraštruktúr a ich technickom vývoji vrátane technických zmien infraštruktúr, zlepšenia funkcií alebo služieb alebo zabezpečenia interoperability s inými infraštruktúrami, digitálnymi systémami alebo dátovými priestormi. Ich činnosti by nemali zahŕňať prispievanie k rozvoju vykonávacích aktov, ktoré majú vplyv na uvedené infraštruktúry. Riadiace skupiny by mali mať možnosť pozvať na svoje zasadnutia aj zástupcov iných oprávnených účastníkov infraštruktúry HealthData@EU ako pozorovateľov a pri vykonávaní svojich úloh by sa mali radiť s príslušnými expertmi.

(99)

Bez toho, aby boli dotknuté akékoľvek iné správne, súdne alebo mimosúdne prostriedky nápravy, by každá fyzická alebo právnická osoba mala mať právo podať sťažnosť orgánu pre elektronické zdravotníctvo alebo orgánu pre prístup k zdravotným údajom, ak sa fyzická alebo právnická osoba domnieva, že jej práva alebo záujmy podľa tohto nariadenia boli dotknuté. Vyšetrovanie na základe podanej sťažnosti by sa s výhradou súdneho preskúmania malo vykonávať v rozsahu primeranom pre konkrétny prípad. Orgán pre elektronické zdravotníctvo alebo orgán pre prístup k zdravotným údajom by mal v primeranej lehote informovať fyzickú alebo právnickú osobu o pokroku a výsledku sťažnosti. Ak si prípad vyžaduje ďalšie vyšetrovanie alebo koordináciu s iným orgánom pre elektronické zdravotníctvo alebo orgánom pre prístup k zdravotným údajom, fyzickej alebo právnickej osobe by sa mali poskytnúť informácie o pokroku pri vybavovaní sťažnosti. S cieľom uľahčiť podávanie sťažností by mal každý orgán pre elektronické zdravotníctvo a orgán pre prístup k zdravotným údajom prijať opatrenia, ako je poskytnutie formulára na podanie sťažnosti, ktorý možno vyplniť aj elektronicky, bez toho, aby sa vylúčila možnosť použiť iné prostriedky komunikácie. Ak sa sťažnosť týka práv fyzických osôb súvisiacich s ochranou ich osobných údajov, orgán pre elektronické zdravotníctvo alebo orgán pre prístup k zdravotným údajom by mal sťažnosť postúpiť dozorným orgánom podľa nariadenia (EÚ) 2016/679. Orgány pre elektronické zdravotníctvo by mali spolupracovať s cieľom bez zbytočného odkladu vybaviť a vyriešiť sťažnosti, a to aj výmenou všetkých relevantných informácií elektronickými prostriedkami.

(100)

Ak sa fyzická osoba domnieva, že jej práva podľa tohto nariadenia boli porušené, mala by mať právo poveriť neziskový subjekt, organizáciu alebo združenie zriadené v súlade s vnútroštátnym právom, ktoré majú zákonné ciele verejného záujmu a pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene.

(101)

Orgán pre elektronické zdravotníctvo, orgán pre prístup k zdravotným údajom, držiteľ zdravotných údajov alebo používateľ zdravotných údajov by mali nahradiť všetky škody, ktoré fyzická alebo právnická osoba utrpí v dôsledku porušenia tohto nariadenia. Podľa judikatúry Súdneho dvora Európskej únie by sa mal pojem škody vykladať v širokom zmysle tak, aby sa v plnej miere zohľadnili ciele tohto nariadenia. Tým nie sú dotknuté prípadné nároky na náhradu škody vyplývajúce z porušenia iných ustanovení práva Únie alebo členského štátu. Fyzické osoby by za utrpenú škodu mali dostať úplnú a účinnú náhradu.

(102)

S cieľom posilniť presadzovanie pravidiel tohto nariadenia by sa za akékoľvek porušenie tohto nariadenia mali ukladať sankcie vrátane správnych pokút, a to popri alebo namiesto vhodných opatrení uložených orgánmi pre prístup k zdravotným údajom podľa toho nariadenia. Ukladanie sankcií vrátane správnych pokút by malo podliehať primeraným procesným zárukám v súlade so všeobecnými zásadami práva Únie a Chartou základných práv Európskej únie vrátane účinnej súdnej ochrany a riadneho procesu.

(103)

Je vhodné stanoviť ustanovenia umožňujúce orgánom pre prístup k zdravotným údajom uplatňovať správne pokuty za určité porušenia tohto nariadenia, ktoré by sa podľa tohto nariadenia mali považovať za závažné porušenia, ako je spätná identifikácia fyzických osôb, sťahovanie osobných elektronických zdravotných údajov mimo zabezpečeného prostredia spracúvania alebo spracúvanie údajov na zakázané použitie alebo použitie mimo povolenia na prístup k údajom. V tomto nariadení by sa mali špecifikovať uvedené porušenia a horná hranica príslušných správnych pokút, ako aj kritériá ich stanovenia, ktoré by mal určiť príslušný orgán pre prístup k zdravotným údajom v každom jednotlivom prípade, s ohľadom na všetky relevantné okolnosti konkrétnej situácie s náležitým zreteľom najmä na povahu, závažnosť a trvanie porušenia a jeho následkov, ako aj opatrenia, ktoré sa prijali na zabezpečenie súladu s povinnosťami podľa tohto nariadenia a na predchádzanie následkom porušenia alebo ich zmiernenie. Na účely ukladania správnych pokút podľa tohto nariadenia by sa pojem podnik mal chápať v súlade s článkami 101 a 102 ZFEÚ. Členské štáty by mali určiť, či a v akom rozsahu by sa mali na orgány verejnej moci uplatňovať správne pokuty. Uloženie správnej pokuty alebo napomenutie by nemalo mať vplyv na presadzovanie iných právomocí orgánov pre prístup k zdravotným údajom alebo iných sankcií podľa tohto nariadenia.

(104)

S cieľom zabezpečiť, aby EHDS splnil svoje ciele, by sa mala na Komisiu delegovať právomoc prijímať akty v súlade s článkom 290 ZFEÚ, pokiaľ ide úpravu, doplnenie alebo odstránenie hlavných charakteristík prioritných kategórií osobných elektronických zdravotných údajov v prílohe I, zoznam požadovaných údajov, ktoré majú vkladať výrobcovia systémov EHR a wellness aplikácií do databázy EÚ pre registráciu systémov elektronických zdravotných záznamov a wellness aplikácií, ako aj zmenu, doplnenie alebo odstránenie prvkov, na ktoré sa má vzťahovať označenie kvality a užitočnosti údajov. Je osobitne dôležité, aby Komisia počas prípravných prác uskutočnila príslušné konzultácie, a to aj na úrovni expertov, a aby tieto konzultácie vykonávala v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva (22). Predovšetkým, v záujme rovnakého zastúpenia pri príprave delegovaných aktov, sa všetky dokumenty doručujú Európskemu parlamentu a Rade v rovnakom čase ako expertom z členských štátov, a experti Európskeho parlamentu a Rady majú systematicky prístup na zasadnutia skupín expertov Komisie, ktoré sa zaoberajú prípravou delegovaných aktov.

(105)

S cieľom zabezpečiť jednotné podmienky vykonávania tohto nariadenia by sa mali na Komisiu preniesť vykonávacie právomoci, pokiaľ ide o:

—	technické špecifikácie na zabezpečenie interoperability proxy služieb členských štátov,

—	požiadavky na kvalitu údajov na účely zaznamenávania osobných elektronických zdravotných údajov v systéme EHR,

—	cezhraničné špecifikácie pre prioritné kategórie osobných elektronických zdravotných údajov,

—	technické špecifikácie pre kategórie osobných elektronických zdravotných údajov, v ktorých stanoví európsky formát na výmenu elektronických zdravotných záznamov,

—	aktualizácie európskeho formátu na výmenu elektronických zdravotných záznamov s cieľom začleniť príslušné revízie systémov a názvosloví kódovania zdravotnej starostlivosti,

—	technické špecifikácie, ktorými sa európsky formát na výmenu elektronických zdravotných záznamov rozšíri o ďalšie kategórie osobných elektronických zdravotných údajov,

—	požiadavky na interoperabilný cezhraničný mechanizmus identifikácie a autentifikácie pre fyzické osoby a zdravotníckych pracovníkov v súlade s nariadením (EÚ) č. 910/2014,

—	požiadavky na technické vykonávanie práv fyzických osôb v súvislosti s primárnym používaním ich osobných elektronických zdravotných údajov,

—	potrebné opatrenia na technický rozvoj infraštruktúry MyHealth@EU, podrobné pravidlá týkajúce sa zabezpečenia, dôvernosti a ochrany osobných elektronických zdravotných údajov, ako aj podmienky kontrol súladu potrebných na pripojenie a zachovanie pripojenia k infraštruktúre MyHealth@EU,

—	pravidlá týkajúce sa požiadaviek kybernetickej bezpečnosti, technickej interoperability, sémantickej interoperability, prevádzky a riadenia služieb v súvislosti so spracúvaním zo strany Komisie a jej povinnosti voči prevádzkovateľom,

—	technické aspekty doplnkových služieb prostredníctvom infraštruktúry MyHealth@EU,

—	technické aspekty výmen osobných elektronických zdravotných údajov medzi infraštruktúrou MyHealth@EU a inými službami alebo infraštruktúrami,

—	pripojenie iných infraštruktúr, národných kontaktných miest pre elektronické zdravotníctvo tretích krajín alebo systémov zriadených na medzinárodnej úrovni medzinárodnými organizáciami k centrálnej platforme interoperability infraštruktúry MyHealth@EU alebo ich odpojenie od tejto platformy,

—	spoločné špecifikácie týkajúce sa základných požiadaviek stanovených v prílohe II,

—	spoločné špecifikácie pre európske digitálne testovacie prostredie,

—	odôvodnenia vnútroštátnych opatrení prijatých orgánmi dohľadu nad trhom v prípade nesúladu systémov EHR,

—	formát a obsah označovania wellness aplikácií,

—	zásady politík poplatkov a štruktúry poplatkov týkajúce sa poplatkov, ktoré môžu orgány pre prístup k zdravotným údajom a dôveryhodní držitelia zdravotných údajov účtovať za sprístupnenie elektronických zdravotných údajov na sekundárne používanie,

—	architektúru IT nástroja zameraného na podporu a sprehľadnenie opatrení orgánov pre prístup k zdravotným údajom na presadzovanie pravidiel,

—	logo na uznanie prínosu EHDS,

—	vzory žiadosti o prístup k zdravotným údajom, povolenia na prístup k údajom a žiadosti o zdravotné údaje,

—	technické, organizačné požiadavky, požiadavky na bezpečnosť informácií, dôvernosť, ochranu údajov a interoperabilitu pre zabezpečené prostredia spracúvania,

—	vzory dohôd medzi prevádzkovateľmi a sprostredkovateľmi,

—

rozhodnutia o súlade národného kontaktného miesta na sekundárne používanie tretej krajiny alebo systému zriadeného na medzinárodnej úrovni medzinárodnými organizáciami s požiadavkami infraštruktúry HealthData@EU na účely sekundárneho používania zdravotných údajov, o súlade s kapitolou IV a o tom, či dané národné kontaktné miesto na sekundárne používanie alebo daný systém poskytuje používateľom zdravotných údajov nachádzajúcim sa v Únii rovnocenný prístup k elektronickým zdravotným údajom, ku ktorým má prístup,

—

požiadavky infraštruktúry HealthData@EU, technické špecifikácie a architektúra IT; podmienky a kontroly súladu s cieľom pripojiť sa k infraštruktúre HealthData@EU a zostať s ňou v spojení; minimálne kritériá, ktoré musia spĺňať národné kontaktné miesta pre sekundárne používanie a oprávnení účastníci infraštruktúry HealthData@EU; povinnosti prevádzkovateľov a sprostredkovateľov, ktorí sa zúčastňujú na infraštruktúre HealthData@EU; zodpovednosti prevádzkovateľov a sprostredkovateľov za bezpečné prostredie spracúvania spravované Komisiou; a spoločné špecifikácie architektúry infraštruktúry HealthData@EU a jej interoperability s inými spoločnými európskymi dátovými priestormi,

—	rozhodnutia o pripojení jednotlivých oprávnených účastníkov k infraštruktúre HealthData@EU,

—	minimálne prvky súborov údajov a charakteristiky uvedených prvkov, ktoré majú poskytnúť držitelia zdravotných údajov,

—	vizuálne charakteristiky a technické špecifikácie označenia kvality a užitočnosti údajov,

—	minimálne špecifikácie pre súbory údajov s veľkým vplyvom na sekundárne používanie,

—	rozhodnutia o tom, či tretia krajina umožňuje žiadateľom o zdravotné údaje z Únie prístup k elektronickým zdravotným údajom v danej tretej krajine za podmienok, ktoré nie sú reštriktívnejšie ako podmienky stanovené v tomto nariadení,

—	potrebné opatrenia na zriadenie a prevádzku rady EHDS.

Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011 (23).

(106)

Členské štáty by mali prijať všetky opatrenia potrebné na zabezpečenie vykonávania ustanovení tohto nariadenia vrátane stanovenia účinných, primeraných a odrádzajúcich sankcií za ich porušenie. Pri rozhodovaní o výške sankcie pre každý jednotlivý prípad by členské štáty mali zohľadniť rozpätia a kritériá stanovené v tomto nariadení. Spätná identifikácia fyzických osôb by sa mala považovať za závažné porušenie tohto nariadenia.

(107)

Zavedenie EHDS si bude vyžadovať značnú prácu v oblasti rozvoja vo všetkých členských štátoch a ústredných útvaroch. S cieľom sledovať pokrok dosiahnutý v tejto súvislosti by Komisia mala až do úplného uplatňovania tohto nariadenia každoročne podávať správu o tomto pokroku, pričom zohľadní informácie poskytnuté členskými štátmi. Uvedené správy by mohli obsahovať odporúčania na nápravné opatrenia, ako aj posúdenie dosiahnutého pokroku.

(108)

S cieľom posúdiť, či sa týmto nariadením účinne a efektívne dosahujú jeho ciele, či je súdržné a stále relevantné a či sa ním poskytuje pridaná hodnota na úrovni Únie, by Komisia mala vykonať hodnotenie tohto nariadenia. Komisia by mala vykonať cielené hodnotenie tohto nariadenia do ôsmich rokov od nadobudnutia jeho účinnosti a celkové hodnotenie do 10 rokov od nadobudnutia jeho účinnosti. Komisia by mala po každom hodnotení predložiť správy o svojich hlavných zisteniach Európskemu parlamentu a Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov.

(109)

V záujme úspešného cezhraničného zavedenia EHDS by sa mal európsky rámec interoperability, ktorého rozsah pôsobnosti bol aktualizovaný a rozšírený oznámením Komisie z 23. marca 2017 s názvom „Európsky rámec interoperability – stratégia vykonávania“ s cieľom zohľadniť nové alebo revidované požiadavky na interoperabilitu, považovať za spoločnú referenciu na zaistenie právnej, organizačnej, sémantickej a technickej interoperability.

(110)

Keďže ciele tohto nariadenia, a to posilniť postavenie fyzických osôb tým, že sa im poskytne vyššia miera kontroly nad svojimi osobnými elektronickými zdravotnými údajmi a podporí sa ich sloboda pohybu zabezpečením prenosnosti ich zdravotných údajov; podporiť skutočný vnútorný trh služieb a produktov elektronického zdravotníctva; a zabezpečiť jednotný a efektívny rámec na opätovné používanie zdravotných údajov fyzických osôb na účely výskumu, inovácií, tvorby politík a regulačných činností nie je možné uspokojivo dosiahnuť na úrovni členských štátov len prostredníctvom samotných koordinačných opatrení, ako vyplynulo z hodnotenia digitálnych aspektov smernice 2011/24/EÚ, ale z dôvodov harmonizácie opatrení týkajúcich sa práv fyzických osôb vo vzťahu k ich elektronickým zdravotným údajom, interoperability elektronických zdravotných údajov a spoločného rámca a záruk na primárne používanie a sekundárne používanie ich možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie uvedených cieľov.

(111)

Z hodnotenia digitálnych aspektov smernice 2011/24/EÚ vyplýva, že účinnosť siete elektronického zdravotníctva je obmedzená, ale že existuje aj výrazný potenciál práce na úrovni Únie v oblasti elektronického zdravotníctva, ako sa ukázalo pri práci vykonanej počas pandémie ochorenia COVID-19. Smernica 2011/24/EÚ by sa preto mala zodpovedajúcim spôsobom zmeniť.

(112)

Týmto nariadením sa dopĺňajú základné požiadavky kybernetickej bezpečnosti stanovené v nariadení (EÚ) 2024/2847. Systémy EHR, ktoré sú produktmi s digitálnymi prvkami v zmysle nariadenia (EÚ) 2024/2847, by preto mali spĺňať aj základné požiadavky kybernetickej bezpečnosti stanovené v uvedenom nariadení. Výrobcovia uvedených systémov EHR by mali preukázať zhodu požadovanú podľa tohto nariadenia. Na uľahčenie dosiahnutia uvedenej zhody by výrobcovia mali mať možnosť vypracovať jednotný súbor technických dokumentov obsahujúci prvky požadované oboma právnymi aktmi. Malo by byť možné preukázať zhodu systémov EHR so základnými požiadavkami kybernetickej bezpečnosti stanovenými v nariadení (EÚ) 2024/2847 prostredníctvom rámca posudzovania podľa tohto nariadenia. Časti postupu posudzovania zhody podľa tohto nariadenia, ktoré sa týkajú používania testovacích prostredí, by sa však nemali uplatňovať, keďže tieto testovacie prostredia neumožňujú posúdenie zhody so základnými požiadavkami kybernetickej bezpečnosti. Keďže nariadenie (EÚ) 2024/2847 sa nevzťahuje priamo na softvér ako službu (SaaS), systémy EHR ponúkané prostredníctvom modelu udeľovania licencií a poskytovania SaaS nepatria do rozsahu pôsobnosti uvedeného nariadenia. Podobne systémy EHR, ktoré sa vyvíjajú a používajú interne, nepatria do rozsahu pôsobnosti uvedeného nariadenia, keďže sa neuvádzajú na trh.

(113)

V súlade s článkom 42 ods. 1 a 2 nariadenia (EÚ) 2018/1725 sa konzultovalo s EDPS a EDPB, ktorí vydali 12. júla 2022 ich spoločné stanovisko.

(114)

Týmto nariadením by nemalo byť dotknuté uplatňovanie pravidiel hospodárskej súťaže, a najmä článkov 101 a 102 ZFEÚ. Opatrenia stanovené v tomto nariadení by sa nemali používať na obmedzovanie hospodárskej súťaže spôsobom, ktorý je v rozpore so ZFEÚ.

(115)

Vzhľadom na potrebu technickej prípravy by sa toto nariadenie malo uplatňovať od 26. marca 2027. S cieľom podporiť úspešné zavedenie EHDS a vytvorenie účinných podmienok pre európsku spoluprácu v oblasti zdravotných údajov by sa zavedenie malo uskutočňovať postupne,

PRIJALI TOTO NARIADENIE:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet úpravy a rozsah pôsobnosti

1. Týmto nariadením sa zriaďuje európsky priestor pre zdravotné údaje (ďalej len „EHDS“), a to stanovením spoločných pravidiel, noriem a infraštruktúr, a rámca riadenia, s cieľom uľahčiť prístup k elektronickým zdravotným údajom na účely primárneho používania elektronických zdravotných údajov a sekundárneho používania týchto údajov.

2. Týmto nariadením sa:

a)	špecifikujú a dopĺňajú práva fyzických osôb stanovené v nariadení (EÚ) 2016/679 v súvislosti s primárnym používaním a sekundárnym používaním ich osobných elektronických zdravotných údajov;

stanovujú spoločné pravidlá pre systémy elektronických zdravotných záznamov (ďalej len „systémy EHR“) v súvislosti s dvoma povinnými harmonizovanými softvérovými komponentmi, a to európsky softvérový komponent interoperability pre systémy EHR a európsky softvérový komponent logovania pre systémy EHR, vymedzenými v článku 2 ods. 2 písm. n) a o), a pre wellness aplikácie, v ktorých sa tvrdí, že sú interoperabilné so systémami EHR v súvislosti s týmito dvoma harmonizovanými softvérovými komponentmi, pokiaľ ide o primárne používanie elektronických zdravotných údajov;

c)	stanovujú spoločné pravidlá a mechanizmy primárneho používania elektronických zdravotných údajov a sekundárneho používania elektronických zdravotných údajov;

d)	zriaďuje cezhraničná infraštruktúra, ktorá umožňuje primárne používanie osobných elektronických zdravotných údajov v celej Únii;

e)	zriaďuje cezhraničná infraštruktúra na sekundárne používanie elektronických zdravotných údajov;

f)	zavádza mechanizmus riadenia a koordinácie na úrovni Únie a na vnútroštátnej úrovni pre primárne používanie elektronických zdravotných údajov a sekundárne používanie elektronických zdravotných údajov.

3. Týmto nariadením nie sú dotknuté iné právne akty Únie týkajúce sa prístupu k elektronickým zdravotným údajom a ich spoločného využívania alebo sekundárneho používania, ani požiadavky Únie súvisiace so spracúvaním údajov v súvislosti s elektronickými zdravotnými údajmi, najmä nariadenia Európskeho parlamentu a Rady (ES) č. 223/2009 (24), (EÚ) č. 536/2014 (25), (EÚ) 2016/679, (EÚ) 2018/1725, (EÚ) 2022/868 a (EÚ) 2023/2854 a smernice Európskeho parlamentu a Rady 2002/58/EC (26) a (EÚ) 2016/943 (27).

4. Odkazy v tomto nariadení na ustanovenia nariadenia (EÚ) 2016/679 sa v relevantných prípadoch chápu aj ako odkazy na zodpovedajúce ustanovenia nariadenia (EÚ) 2018/1725, pokiaľ ide o inštitúcie, orgány, úrady a agentúry Únie.

5. Týmto nariadením nie sú dotknuté nariadenia (EÚ) 2017/745, (EÚ) 2017/746 a (EÚ) 2024/1689, pokiaľ ide o bezpečnosť zdravotníckych pomôcok, diagnostických zdravotníckych pomôcok in vitro a systémov AI, ktoré sú v interakcii so systémami EHR.

6. Týmto nariadením nie je dotknuté právo Únie ani vnútroštátne právo týkajúce sa spracúvania elektronických zdravotných údajov na účely nahlasovania, plnenia žiadostí o prístup k informáciám alebo preukazovania alebo overovania súladu s právnymi povinnosťami, ani právo Únie či vnútroštátne právo týkajúce sa udeľovania prístupu k úradným dokumentom a ich zverejňovania.

7. Týmto nariadením nie sú dotknuté osobitné ustanovenia práva Únie alebo vnútroštátneho práva, ktorými sa stanovuje prístup k elektronickým zdravotným údajom na účely ďalšieho spracúvania orgánmi verejného sektora členských štátov, inštitúciami, orgánmi, úradmi a agentúrami Únie alebo súkromnými subjektmi poverenými podľa práva Únie alebo vnútroštátneho práva úlohou verejného záujmu na účely vykonávania takejto úlohy.

8. Týmto nariadením nie je dotknutý prístup k elektronickým zdravotným údajom na sekundárne používanie dohodnutý v rámci zmluvných alebo administratívnych dojednaní medzi verejnými alebo súkromnými subjektmi.

9. Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov v týchto prípadoch:

a)	ak sa spracúvanie vykonáva v rámci činnosti, ktorá nepatrí do pôsobnosti práva Únie;

b)	ak sa spracúvanie vykonáva príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.

Článok 2

Vymedzenie pojmov

1. Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:

a)	vymedzenie pojmov „osobné údaje“, „spracúvanie“, „pseudonymizácia“, „prevádzkovateľ“, „sprostredkovateľ“, „tretia strana“, „súhlas“, „genetické údaje“, „údaje týkajúce sa zdravia“ a „medzinárodná organizácia“ stanovené v článku 4 bodoch 1, 2, 5, 7, 8, 10, 11, 13, 15 a 26 nariadenia (EÚ) 2016/679;

vymedzenie pojmov „zdravotná starostlivosť“, „členský štát, v ktorom je pacient poistený“, „členský štát, v ktorom sa poskytuje ošetrenie“, „zdravotnícky pracovník“, „poskytovateľ zdravotnej starostlivosti“, „liek“ a „lekársky predpis“ stanovené v článku 3 písm. a), c), d), f), g), i) a k) smernice 2011/24/EÚ;

c)	vymedzenie pojmov „údaje“, „prístup“, „dátový altruizmus“, „subjekt verejného sektora“ a „zabezpečené prostredie spracúvania“ stanovené v článku 2 bodoch 1, 13, 16, 17 a 20 nariadenia (EÚ) 2022/868;

vymedzenie pojmov „sprístupnenie na trhu“, „uvedenie na trh“, „dohľad nad trhom“, „orgán dohľadu nad trhom“, „nesúlad“, „výrobca“, „dovozca“, „distribútor“, „hospodársky subjekt“, „nápravné opatrenie“, „spätné prevzatie“ a „stiahnutie“ stanovené v článku 3 bodoch 1, 2, 3, 4, 7, 8, 9, 10, 13, 16, 22 a 23 nariadenia (EÚ) 2019/1020;

e)	vymedzenie pojmov „zdravotnícka pomôcka“, „účel určenia“, „návod na použitie“, „výkon“, „zdravotnícke zariadenie“ a „spoločné špecifikácie“ stanovené v článku 2 bodoch 1, 12, 14, 22, 36 a 71 nariadenia (EÚ) 2017/745;

f)	vymedzenie pojmov „elektronická identifikácia“ a „prostriedok elektronickej identifikácie“ stanovené v článku 3 bodoch 1 a 2 nariadenia (EÚ) č. 910/2014;

g)	vymedzenie pojmu „verejní obstarávatelia“ stanovené v článku 2 ods. 1 bode 1 smernice Európskeho parlamentu a Rady 2014/24/EÚ (28);

h)	vymedzenie pojmu „verejné zdravie“ stanovené v článku 3 písm. c) nariadenia Európskeho parlamentu a Rady (ES) č. 1338/2008 (29).

2. Na účely tohto nariadenia sa okrem toho uplatňuje toto vymedzenie pojmov:

a)	„osobné elektronické zdravotné údaje“ sú údaje týkajúce sa zdravia a genetické údaje, ktoré sa spracúvajú v elektronickej podobe;

„iné ako osobné elektronické zdravotné údaje“ sú elektronické zdravotné údaje, ktoré nie sú osobné elektronické zdravotné údaje, vrátane údajov, ktoré boli anonymizované tak, že sa už netýkajú identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“), ako aj údaje, ktoré sa nikdy netýkali dotknutej osoby;

c)	„elektronické zdravotné údaje“ sú osobné alebo iné ako osobné elektronické zdravotné údaje;

„primárne používanie“ je spracúvanie elektronických zdravotných údajov na účely poskytovania zdravotnej starostlivosti s cieľom posúdiť, udržať alebo obnoviť zdravotný stav fyzickej osoby, ktorej sa uvedené údaje týkajú, vrátane predpisovania, výdaja a poskytovania liekov a zdravotníckych pomôcok, ako aj na účely príslušných sociálnych, administratívnych služieb alebo služieb preplácania nákladov;

e)	„sekundárne používanie“ je spracúvanie elektronických zdravotných údajov na účely stanovené v kapitole IV tohto nariadenia, ktoré nie sú pôvodnými účelmi, na ktoré boli údaje získané alebo vytvorené;

„interoperabilita“ je schopnosť organizácií, ako aj softvérových aplikácií alebo zariadení od toho istého výrobcu alebo od rôznych výrobcov, byť v interakcii prostredníctvom postupov, ktoré podporujú, čo zahŕňa výmenu informácií a vedomostí bez zmeny obsahu údajov medzi uvedenými organizáciami, softvérovými aplikáciami alebo zariadeniami;

„zaznamenávanie elektronických zdravotných údajov“ je zaznamenávanie zdravotných údajov v elektronickom formáte, a to manuálnym vkladaním takýchto údajov, získavaním takýchto údajov zariadením alebo konverziou neelektronických zdravotných údajov do elektronického formátu, aby sa spracovali v systéme EHR alebo vo wellness aplikácii;

„služba prístupu k elektronickým zdravotným údajom“ je online služba, napríklad portál alebo aplikácia pre mobilné zariadenia, ktorá umožňuje fyzickým osobám, ktoré nekonajú v rámci profesijnej kapacity, aby mali prístup k svojim vlastným elektronickým zdravotným údajom alebo elektronickým zdravotným údajom tých fyzických osôb, ku ktorých elektronickým zdravotným údajom majú zákonné oprávnenie na prístup;

i)	„služba prístupu pre zdravotníckych pracovníkov“ je služba podporovaná systémom EHR, ktorá umožňuje zdravotníckym pracovníkom, aby mali prístup k údajom fyzických osôb, ktoré ošetrujú;

j)	„elektronický zdravotný záznam“ alebo „EHR“ je súbor elektronických zdravotných údajov súvisiacich s fyzickou osobou, ktoré sa získavajú v zdravotníckom systéme a spracúvajú na účel poskytovania zdravotnej starostlivosti;

„systém elektronických zdravotných záznamov“ alebo „systém EHR“ je akýkoľvek systém, v ktorom softvér alebo kombinácia hardvéru a softvéru tohto systému umožňuje uchovávať, sprostredkovať, exportovať, importovať, konvertovať, upravovať alebo zobrazovať osobné elektronické zdravotné údaje, ktoré patria do prioritných kategórií osobných elektronických zdravotných údajov stanovených podľa tohto nariadenia a ktoré výrobca určil na používanie poskytovateľmi zdravotnej starostlivosti pri poskytovaní starostlivosti o pacienta alebo pacientmi na prístup k svojim elektronickým zdravotným údajom;

l)	„uvedenie do prevádzky“ je prvé použitie systému EHR, na ktorý sa vzťahuje toto nariadenie, v Únii na jeho účel určenia;

m)	„softvérový komponent“ je samostatná časť softvéru, ktorá poskytuje špecifickú funkciu alebo vykonáva špecifické funkcie alebo postupy a ktorá môže fungovať nezávisle alebo v spojení s inými komponentmi;

„európsky softvérový komponent interoperability pre systémy EHR“ je softvérový komponent systému EHR, ktorý poskytuje a prijíma osobné elektronické zdravotné údaje v rámci prioritnej kategórie na primárne použitie stanovenej podľa tohto nariadenia v rámci európskeho formátu výmeny elektronických zdravotných záznamov stanoveného v tomto nariadení a ktorý je nezávislý od európskeho softvérového komponentu logovania pre systémy EHR;

„európsky softvérový komponent logovania pre systémy EHR“ je softvérový komponent systému EHR, ktorý poskytuje logovacie údaje týkajúce sa prístupov zdravotníckych pracovníkov alebo iných jednotlivcov k prioritným kategóriám osobných elektronických zdravotných údajov zriadeným podľa tohto nariadenia, vo formáte vymedzenom v bode 3.2 prílohy II k tomuto nariadeniu, a ktorý je nezávislý od európskeho softvérového komponentu interoperability pre systémy EHR;

p)	„označenie zhody CE“ je označenie, ktorým výrobca dáva najavo, že systém EHR je v zhode s príslušnými požiadavkami stanovenými v tomto nariadení a v ďalšom príslušnom práve Únie týkajúcom sa jeho umiestňovania podľa nariadenia Európskeho parlamentu a Rady (ES) č. 765/2008 (30);

q)	„riziko“ je kombinácia pravdepodobnosti výskytu nebezpečenstva spôsobujúceho ujmu na zdraví, bezpečnosti alebo informačnej bezpečnosti a stupňa závažnosti takejto ujmy;

„vážny incident“ je akékoľvek nesprávne fungovanie alebo zhoršenie charakteristík alebo výkonu systému EHR sprístupneného na trhu, ktoré priamo alebo nepriamo viedlo, mohlo viesť alebo môže viesť ku:

i)	úmrtiu fyzickej osoby alebo k vážnej ujme na zdraví fyzickej osoby;

ii)	vážnej ujme na právach fyzickej osoby;

iii)	vážnemu narušeniu riadenia a prevádzky kritickej infraštruktúry v sektore zdravotníctva;

„starostlivosť“ je odborná služba, ktorej účelom je riešiť osobitné potreby fyzickej osoby, ktorá si z dôvodu postihnutia alebo iného telesného alebo duševného stavu vyžaduje pomoc vrátane preventívnych a podporných opatrení pri vykonávaní základných činností každodenného života s cieľom podporiť jej osobnú samostatnosť;

„držiteľ zdravotných údajov“ je akákoľvek fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný orgán v sektore zdravotnej starostlivosti alebo starostlivosti, v prípade potreby vrátane služieb preplácania nákladov, ako aj akákoľvek fyzická alebo právnická osoba, ktorá vyvíja produkty alebo služby určené pre sektory zdravotníctva, zdravotnej starostlivosti alebo starostlivosti, ktorá vyvíja alebo vyrába wellness aplikácie, ktorá vykonáva výskum týkajúci sa sektora zdravotnej alebo inej starostlivosti alebo ktorá pôsobí ako register úmrtnosti, ako aj akákoľvek inštitúcia, orgán, úrad alebo agentúra Únie, ktoré majú buď:

v súlade s príslušným právom Únie alebo vnútroštátnym právom, a to ako prevádzkovateľ alebo spoločný prevádzkovateľ, právo alebo povinnosť spracúvať osobné elektronické zdravotné údaje na účely poskytovania zdravotnej starostlivosti alebo starostlivosti alebo na účely verejného zdravia, preplácania nákladov, výskumu, inovácií, tvorby politík, oficiálnych štatistík alebo bezpečnosti pacientov alebo na regulačné účely; alebo

ii)	spôsobilosť sprístupňovať iné ako osobné elektronické zdravotné údaje prostredníctvom kontroly technického riešenia produktu a súvisiacich služieb, a to aj zaznamenávaním takýchto údajov, ich poskytovaním, obmedzovaním prístupu k nim alebo ich vymieňaním;

„používateľ zdravotných údajov“ je fyzická alebo právnická osoba vrátane inštitúcií, orgánov, úradov alebo agentúr Únie, ktorej bol udelený zákonný prístup k elektronickým zdravotným údajom na sekundárne používanie na základe povolenia na prístup k údajom, schválenia žiadosti o zdravotné údaje alebo schválenia prístupu oprávneným účastníkom infraštruktúry HealthData@EU;

„povolenie na prístup k údajom“ je administratívne rozhodnutie, ktoré orgán pre prístup k zdravotným údajom vydal používateľovi zdravotných údajov na spracúvanie určitých elektronických zdravotných údajov uvedených v povolení na prístup k údajom na konkrétne účely sekundárneho používania, na základe podmienok stanovených v kapitole IV tohto nariadenia;

w)	„súbor údajov“ je štruktúrovaná zbierka elektronických zdravotných údajov;

x)	„súbory údajov s vysokým vplyvom na sekundárne používanie“ sú súbory údajov, ktorých opakované použitie je spojené s významnými prínosmi vzhľadom na jeho význam pre výskum v oblasti zdravia;

y)	„katalóg súborov údajov“ je zbierka opisov súborov údajov, systematicky usporiadaná a zahŕňajúca verejnú časť zameranú na používateľa, v ktorej sú informácie o jednotlivých parametroch súborov údajov prístupné elektronickými prostriedkami prostredníctvom online portálu;

z)	„kvalita údajov“ je miera, do akej sú prvky elektronických zdravotných údajov vhodné na ich zamýšľané primárne používanie a sekundárne používanie;

a.	a.) „označenie kvality a využiteľnosti údajov“ je grafický diagram vrátane stupnice, ktorý opisuje kvalitu údajov a podmienky používania súboru údajov;

ab)

„wellness aplikácia“ je akýkoľvek softvér alebo akákoľvek kombinácia hardvéru a softvéru, ktorý výrobca určil na to, aby ho fyzická osoba používala na spracúvanie elektronických zdravotných údajov, výslovne na poskytovanie informácií o zdraví fyzických osôb alebo na poskytovanie starostlivosti na iné účely, ako je poskytovanie zdravotnej starostlivosti.

KAPITOLA II

PRIMÁRNE POUŽÍVANIE

ODDIEL 1

Práva fyzických osôb v súvislosti s primárnym používaním ich osobných elektronických zdravotných údajov a súvisiace ustanovenia

Článok 3

Právo fyzických osôb na prístup k svojim osobným elektronickým zdravotným údajom

1. Fyzické osoby majú právo na prístup aspoň k osobným elektronickým zdravotným údajom, ktoré sa ich týkajú a ktoré patria do prioritných kategórií uvedených v článku 14 a spracúvajú sa na účely poskytovania zdravotnej starostlivosti prostredníctvom služieb prístupu k elektronickým zdravotným údajom uvedených v článku 4. Prístup sa poskytne okamžite po zaznamenaní osobných elektronických zdravotných údajov v systéme EHR, pričom sa rešpektuje potreba technologickej uskutočniteľnosti, a poskytuje sa bezplatne a v ľahko čitateľnom, konsolidovanom a prístupnom formáte.

2. Fyzické osoby alebo ich zástupcovia uvedení v článku 4 ods. 2 majú právo bezplatne si stiahnuť elektronickú kópiu aspoň osobných elektronických zdravotných údajov v prioritných kategóriách uvedených v článku 14 týkajúcich sa týchto fyzických osôb, a to prostredníctvom služieb elektronického prístupu k zdravotným údajom uvedených v článku 4, v európskom formáte na výmenu elektronických zdravotných záznamov uvedenom v článku 15.

3. Členské štáty môžu v súlade s článkom 23 nariadenia (EÚ) 2016/679 obmedziť rozsah práv stanovených v odsekoch 1 a 2 tohto článku, najmä keď sú uvedené obmedzenia potrebné na ochranu fyzických osôb na základe bezpečnosti pacienta a z etických dôvodov, a to dočasným odložením prístupu k ich osobným elektronickým zdravotným údajom, kým zdravotnícky pracovník nebude môcť dotknutým fyzickým osobám riadne oznámiť a vysvetliť informácie, ktoré môžu mať závažný vplyv na ich zdravie.

Článok 4

Služby prístupu k elektronickým zdravotným údajom pre fyzické osoby a ich zástupcov

1. Členské štáty zabezpečia zriadenie jednej alebo viacerých služieb prístupu k elektronickým zdravotným údajom na vnútroštátnej, regionálnej alebo miestnej úrovni, čím sa fyzickým osobám umožní prístup k ich osobným elektronickým zdravotným údajom a výkon ich práv stanovených v článkoch 3 a 5 až 10. Takéto služby prístupu k elektronickým zdravotným údajom sú bezplatné pre fyzické osoby a ich zástupcov uvedených v odseku 2 tohto článku.

2. Členské štáty zabezpečia, aby sa zriadila jedna alebo viacero proxy služieb ako funkcia služieb prístupu k elektronickým zdravotným údajom, ktorá umožní:

a)	fyzickým osobám oprávňovať iné fyzické osoby podľa vlastného výberu na prístup k svojim osobným elektronickým zdravotným údajom alebo ich časti v ich mene na obmedzené alebo neobmedzené obdobie a v prípade potreby len na konkrétny účel a spravovať tieto povolenia; a

b)	právnym zástupcom fyzických osôb prístup k osobným elektronickým zdravotným údajom uvedených fyzických osôb, ktorých záležitosti spravujú, v súlade s vnútroštátnym právom.

Členské štáty stanovia pravidlá týkajúce sa povolení uvedených v písmene a) prvého pododseku a úkonov opatrovníkov a iných právnych zástupcov.

3. Proxy služby uvedené v odseku 2 poskytujú oprávnenia transparentne, ľahko zrozumiteľne, bezplatne a v elektronickej alebo tlačenej podobe. Fyzické osoby a ich zástupcovia sú informovaní o svojich právach vyplývajúcich z oprávnenia, vrátane toho, ako môžu uvedené práva vykonávať, a o procese udeľovania oprávnenia.

Proxy služby poskytujú fyzickým osobám jednoduchý mechanizmus podávania sťažností.

4. Proxy služby uvedené v odseku 2 tohto článku musia byť medzi členskými štátmi interoperabilné. Komisia prostredníctvom vykonávacích aktov stanoví technické špecifikácie na interoperabilitu proxy služieb členských štátov. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

5. Elektronické služby prístupu k zdravotným údajom a proxy služby musia byť ľahko dostupné pre osoby so zdravotným postihnutím, zraniteľné skupiny a osoby s nízkou digitálnou gramotnosťou.

Článok 5

Právo fyzických osôb vkladať informácie do svojich vlastných elektronických zdravotných záznamov

Fyzické osoby alebo ich zástupcovia uvedení v článku 4 ods. 2 majú právo vkladať informácie do elektronických zdravotných záznamov týchto fyzických osôb prostredníctvom služieb prístupu k elektronickým zdravotným údajom alebo aplikácií spojených s uvedenými službami, ako sa uvádza v uvedenom článku. Uvedené informácie musia byť jasne odlíšiteľné ako informácie vložené fyzickou osobou alebo jej zástupcom. Fyzické osoby alebo ich zástupcovia uvedení v článku 4 ods. 2 nemôžu priamo meniť elektronické zdravotné údaje a súvisiace informácie, ktoré vložili zdravotnícki pracovníci.

Článok 6

Právo fyzických osôb na opravu

Služby prístupu k elektronickým zdravotným údajom uvedeným v článku 4 umožňujú fyzickým osobám jednoducho požiadať online o opravu svojich osobných elektronických zdravotných údajov v súlade s článkom 16 nariadenia (EÚ) 2016/679. Prevádzkovateľ vo vhodných prípadoch overí u príslušného zdravotníckeho pracovníka správnosť informácií poskytnutých v žiadosti.

Členské štáty môžu fyzickým osobám umožniť aj online uplatňovanie iných práv podľa kapitoly III nariadenia (EÚ) 2016/679 prostredníctvom služieb prístupu k elektronickým zdravotným údajom.

Článok 7

Právo na prenosnosť údajov pre fyzické osoby

1. Fyzické osoby majú právo umožniť poskytovateľovi zdravotnej starostlivosti podľa vlastného výberu prístup k svojim osobným elektronickým zdravotným údajom alebo ich časti alebo požiadať poskytovateľa zdravotnej starostlivosti, aby preniesol všetky ich elektronické zdravotné údaje alebo ich časť k inému poskytovateľovi zdravotnej starostlivosti podľa ich vlastného výberu, a to okamžite, bezplatne a bez prekážok zo strany poskytovateľa zdravotnej starostlivosti alebo výrobcov systémov používaných týmto poskytovateľom zdravotnej starostlivosti.

2. Fyzické osoby majú právo vyžadovať, aby sa v prípade, že sa poskytovatelia zdravotnej starostlivosti nachádzajú v rôznych členských štátoch, ich osobné elektronické zdravotné údaje prenášali v európskom formáte na výmenu elektronických zdravotných záznamov uvedenom v článku 15 prostredníctvom cezhraničnej infraštruktúry uvedenej v článku 23. Prijímajúci poskytovateľ zdravotnej starostlivosti musí takéto údaje akceptovať a byť schopný ich prečítať.

3. Fyzické osoby majú právo požiadať poskytovateľa zdravotnej starostlivosti o prenos časti svojich osobných elektronických zdravotných údajov jasne identifikovanému príjemcovi v sektore služieb sociálneho zabezpečenia alebo preplácania. Takýto prenos sa vykoná okamžite, bezplatne a bez prekážok zo strany poskytovateľa zdravotnej starostlivosti alebo výrobcov systémov používaných týmto poskytovateľom zdravotnej starostlivosti, a je len jednosmerný.

4. Ak si fyzické osoby stiahli elektronickú kópiu svojich prioritných kategórií osobných elektronických zdravotných údajov v súlade s článkom 3 ods. 2, musia mať možnosť preniesť uvedené údaje k poskytovateľom zdravotnej starostlivosti podľa vlastného výberu v európskom formáte na výmenu elektronických zdravotných záznamov uvedenom v článku 15. Prijímajúci poskytovateľ zdravotnej starostlivosti musí takéto údaje akceptovať a byť schopný ich v príslušných prípadoch prečítať.

Článok 8

Právo obmedziť prístup

Fyzické osoby majú právo obmedziť prístup zdravotníckych pracovníkov a poskytovateľov zdravotnej starostlivosti ku všetkým svojim osobným elektronickým zdravotným údajom uvedeným v článku 3 alebo k ich častiam.

Pri uplatňovaní práva uvedeného v prvom odseku musia byť fyzické osoby upozornené na to, že obmedzenie prístupu môže mať vplyv na im poskytovanú zdravotnú starostlivosť.

Skutočnosť, že fyzická osoba obmedzila prístup podľa prvého odseku nesmie byť pre poskytovateľov zdravotnej starostlivosti viditeľná.

Členské štáty stanovia pravidlá a osobitné záruky týkajúce sa takýchto mechanizmov obmedzenia.

Článok 9

Právo na získanie informácií o prístupe k údajom

1. Fyzické osoby majú právo získať informácie, a to aj prostredníctvom automatických oznámení, o akomkoľvek prístupe k svojim osobným elektronickým zdravotným údajom prostredníctvom služby prístupu pre zdravotníckych pracovníkov získanom v súvislosti so zdravotnou starostlivosťou vrátane prístupu poskytnutého v súlade s článkom 11 ods. 5.

2. Informácie uvedené v odseku 1 sa poskytujú bezplatne a bezodkladne prostredníctvom služieb prístupu k elektronickým zdravotným údajom a musia byť k dispozícii aspoň tri roky od každého dátumu prístupu k údajom. Uvedené informácie musia zahŕňať aspoň:

a)	informácie o poskytovateľovi zdravotnej starostlivosti alebo iných jednotlivcov, ktorí prehliadali osobné elektronické zdravotné údaje;

b)	dátum a čas prístupu;

c)	ktoré osobné elektronické zdravotné údaje boli prehliadané.

3. Za výnimočných okolností môžu členské štáty stanoviť obmedzenia práva uvedeného v odseku 1, ak existujú vecné náznaky, že by zverejnenie ohrozilo životne dôležité záujmy alebo práva zdravotníckeho pracovníka či starostlivosť o fyzickú osobu.

Článok 10

Právo fyzických osôb odmietnuť spracúvanie na primárne používanie

1. V právnych predpisoch členských štátov sa môže stanoviť, že fyzické osoby majú právo odmietnuť prístup k ich osobným elektronickým zdravotným údajom zaznamenaným v systéme EHR prostredníctvom služieb prístupu k elektronickým zdravotným údajom uvedených v článkoch 4 a 12. V takýchto prípadoch členské štáty zabezpečia, aby bol výkon uvedeného práva zvratný.

2. Ak členský štát stanoví právo uvedené v odseku 1 tohto článku, stanovia pravidlá a osobitné záruky týkajúce sa mechanizmu odmietnutia. Členské štáty môžu najmä stanoviť, že poskytovateľ zdravotnej starostlivosti alebo zdravotnícky pracovník má umožnené získať prístup k osobným elektronickým zdravotným údajom v prípadoch, keď je spracúvanie potrebné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ako sa uvádza v článku 9 ods. 2 písm. c) nariadenia (EÚ) 2016/679, a to aj vtedy, ak pacient uplatnil právo odmietnuť spracúvanie na primárne používanie.

Článok 11

Prístup zdravotníckych pracovníkov k osobným elektronickým zdravotným údajom

1. Pri spracúvaní údajov v elektronickom formáte majú zdravotnícki pracovníci prístup k relevantným a potrebným osobným elektronickým zdravotným údajom fyzických osôb, ktoré ošetrujú, a to prostredníctvom služieb prístupu pre zdravotníckych pracovníkov uvedených v článku 12, bez ohľadu na členský štát, v ktorom je pacient poistený, a členský štát, v ktorom sa poskytuje ošetrenie.

2. Ak sa členský štát, v ktorom je liečená fyzická osoba poistená, a členský štát, v ktorom sa poskytuje ošetrenie takejto fyzickej osobe, líšia, cezhraničný prístup k osobným elektronickým zdravotným údajom liečenej fyzickej osoby sa poskytuje prostredníctvom cezhraničnej infraštruktúry uvedenej v článku 23.

3. Prístup uvedený v odsekoch 1 a 2 tohto článku zahŕňa aspoň prioritné kategórie osobných elektronických zdravotných údajov uvedených v článku 14.

Členské štáty v súlade so zásadami stanovenými v článku 5 nariadenia (EÚ) 2016/679 stanovia pravidlá, v ktorých určia kategórie osobných elektronických zdravotných údajov dostupných pre rôzne kategórie zdravotníckych pracovníkov alebo na rôzne výkony zdravotnej starostlivosti. V týchto pravidlách sa zohľadní možnosť obmedzení uložených podľa článku 8 tohto nariadenia.

4. V prípade ošetrenia v inom členskom štáte, ako je členský štát, v ktorom je pacient poistený, sú pravidlami uvedenými v odseku 3 pravidlá členského štátu, v ktorom sa poskytuje ošetrenie.

5. Ak fyzická osoba obmedzila prístup k osobným elektronickým zdravotným údajom podľa článku 8, poskytovateľ zdravotnej starostlivosti alebo zdravotnícky pracovník nesmie byť informovaný o obmedzenom obsahu týchto údajov.

Odchylne od článku 8 prvého odseku môže poskytovateľ zdravotnej starostlivosti alebo zdravotnícky pracovník získať prístup k obmedzeným elektronickým zdravotným údajom v prípadoch, keď je prístup potrebný v záujme ochrany životne dôležitých záujmov dotknutej osoby. Takéto prípady sa logujú v jasnom a zrozumiteľnom formáte a sú pre dotknutú osobu ľahko prístupné.

Členské štáty môžu poskytnúť dodatočné záruky.

Článok 12

Služby prístupu pre zdravotníckych pracovníkov

Pokiaľ ide o poskytovanie zdravotnej starostlivosti, členské štáty zabezpečia, aby mali zdravotnícki pracovníci umožnený bezplatný prístup k prioritným kategóriám osobných elektronických zdravotných údajov uvedeným v článku 14, a to aj v prípade cezhraničnej zdravotnej starostlivosti, prostredníctvom služieb prístupu pre zdravotníckych pracovníkov.

Služby uvedené v prvom odseku tohto článku sú prístupné len zdravotníckym pracovníkom, ktorí vlastnia prostriedky elektronickej identifikácie, ktoré sú uznané podľa článku 6 nariadenia (EÚ) č. 910/2014 alebo iné prostriedky elektronickej identifikácie, ktoré sú v súlade so spoločnými špecifikáciami uvedenými v článku 36 tohto nariadenia.

Osobné elektronické zdravotné údaje musia byť prezentované používateľsky ústretovým spôsobom v elektronických zdravotných záznamoch, aby ich zdravotnícki pracovníci mohli ľahko používať.

Článok 13

Zaznamenávanie osobných elektronických zdravotných údajov

1. Členské štáty zabezpečia, aby v prípade, že sa elektronické zdravotné údaje spracúvajú na účely poskytovania zdravotnej starostlivosti, poskytovatelia zdravotnej starostlivosti zaznamenali relevantné osobné elektronické zdravotné údaje, ktoré úplne alebo čiastočne patria aspoň do prioritných kategórií osobných elektronických zdravotných údajov uvedených v článku 14, v elektronickom formáte v systéme EHR.

2. Poskytovatelia zdravotnej starostlivosti pri spracúvaní údajov v elektronickom formáte zabezpečia, aby sa osobné elektronické zdravotné údaje fyzických osôb, ktoré ošetrujú, aktualizovali na základe informácií týkajúcich sa zdravotnej starostlivosti.

3. Ak sa osobné elektronické zdravotné údaje zaznamenali v členskom štáte, v ktorom sa poskytuje ošetrenie, ktorý sa líši od členského štátu, v ktorom je daná fyzická osoba poistená, členský štát, v ktorom sa poskytuje ošetrenie, zabezpečí, aby sa údaje zaznamenali pod identifikačnými údajmi fyzickej osoby v členskom štáte, v ktorom je daná osoba poistená.

4. Komisia do 26. marca 2027 v relevantných prípadoch prostredníctvom vykonávacích aktov určí požiadavky na kvalitu údajov na účely zaznamenávania osobných elektronických zdravotných údajov v systéme EHR vrátane sémantiky, jednotnosti, konzistentnosti, presnosti a úplnosti. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Pri zaznamenávaní alebo aktualizácii osobných elektronických zdravotných údajov sa v elektronických zdravotných záznamoch uvedie zdravotnícky pracovník a poskytovateľ zdravotnej starostlivosti, ktorý vykonal takýto záznam alebo aktualizáciu, a čas, kedy bol vykonaný takýto záznam alebo aktualizácia. Členské štáty môžu vyžadovať zaznamenávanie ďalších aspektov registrácie údajov.

Článok 14

Prioritné kategórie osobných elektronických zdravotných údajov na primárne používanie

1. Ak sa na účely tejto kapitoly údaje spracúvajú v elektronickom formáte, prioritnými kategóriami osobných elektronických zdravotných údajov sú:

a)	pacientske sumáre;

b)	elektronické lekárske predpisy;

c)	elektronické výdaje;

d)	vyšetrenia s lekárskymi snímkami a s nimi súvisiace správy zo zobrazovacích vyšetrení;

e)	výsledky lekárskych testov vrátane laboratórnych a iných diagnostických výsledkov a súvisiacich správ; a

f)	prepúšťacie správy.

Hlavné charakteristiky prioritných kategórií osobných elektronických zdravotných údajov na primárne používanie sú stanovené v prílohe I.

Členské štáty môžu vo svojom vnútroštátnom práve stanoviť, že na primárne používanie podľa tejto kapitoly sa majú sprístupniť a vymieňať ďalšie kategórie osobných elektronických zdravotných údajov.

Komisia môže prostredníctvom vykonávacích aktov stanoviť cezhraničné špecifikácie pre kategórie osobných elektronických zdravotných údajov uvedené v treťom pododseku tohto odseku podľa článku 15 ods. 3 a článku 23 ods. 8. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

2. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 97 s cieľom zmeniť toto nariadenie zmenou prílohy I prostredníctvom doplnenia, zmeny alebo odstránenia hlavných charakteristík prioritných kategórií osobných elektronických zdravotných údajov, ako sa uvádza v odseku 1, pod podmienkou, že zmeny majú za cieľ prispôsobiť prioritné kategórie osobných elektronických zdravotných údajov technickému vývoju a medzinárodným normám. Okrem toho, doplnenia a úpravy uvedených charakteristík musia spĺňať obe tieto kritériá:

a)	charakteristika je relevantná pre zdravotnú starostlivosť poskytovanú fyzickým osobám;

b)	charakteristika sa podľa najnovších informácií používa vo väčšine členských štátov.

Článok 15

Európsky formát na výmenu elektronických zdravotných záznamov

1. Komisia do 26. marca 2027 prostredníctvom vykonávacích aktov stanoví technické špecifikácie prioritných kategórií osobných elektronických zdravotných údajov uvedených v článku 14 ods. 1, v ktorých stanoví európsky formát na výmenu elektronických zdravotných záznamov. Takýto formát musí byť bežne používaný, strojovo čitateľný a musí umožňovať prenos osobných elektronických zdravotných údajov medzi rôznymi softvérovými aplikáciami, zariadeniami a poskytovateľmi zdravotnej starostlivosti. Takýto formát musí podporovať prenos štruktúrovaných a neštruktúrovaných zdravotných údajov a musí obsahovať tieto prvky:

a)	harmonizované súbory údajov, ktoré obsahujú elektronické zdravotné údaje a vymedzujú ich štruktúry, ako napríklad dátové polia a skupiny údajov na reprezentáciu klinického obsahu a ďalších častí elektronických zdravotných údajov;

b)	kódovacie systémy a hodnoty kódov, ktoré sa majú používať v súboroch údajov obsahujúcich elektronické zdravotné údaje;

c)	technické špecifikácie interoperability na výmenu elektronických zdravotných údajov vrátane reprezentácie ich obsahu, noriem a profilov.

Vykonávacie akty uvedené v prvom pododseku tohto odseku sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

2. Komisia prostredníctvom vykonávacích aktov pravidelne aktualizuje európsky formát na výmenu elektronických zdravotných záznamov s cieľom začleniť príslušné revízie systémov a názvosloví kódovania zdravotnej starostlivosti. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

3. Komisia môže prostredníctvom vykonávacích aktov stanoviť technické špecifikácie, ktorými sa európsky formát na výmenu elektronických zdravotných záznamov rozšíri o ďalšie kategórie osobných elektronických zdravotných údajov uvedené v článku 14 ods. 1 treťom pododseku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

4. Členské štáty zabezpečia, aby boli prioritné kategórie osobných elektronických zdravotných údajov uvedené v článku 14 vydané v európskom formáte na výmenu elektronických zdravotných záznamov uvedenom v odseku 1 tohto článku. Ak sa takéto údaje prenášajú automatizovanými prostriedkami na primárne používanie, prijímajúci poskytovateľ musí akceptovať formát údajov a byť schopný ich prečítať.

Článok 16

Správa identifikácie

1. Ak fyzické osoby využívajú služby prístupu k elektronickým zdravotným údajom uvedené v článku 4, tieto fyzické osoby majú právo identifikovať sa elektronicky pomocou akýchkoľvek prostriedkov elektronickej identifikácie, ktoré sa uznávajú podľa článku 6 nariadenia (EÚ) č. 910/2014. Členské štáty môžu poskytnúť doplnkové mechanizmy na zabezpečenie vhodného párovania totožnosti v cezhraničných situáciách.

2. Komisia prostredníctvom vykonávacích aktov určí požiadavky na interoperabilný cezhraničný mechanizmus identifikácie a autentifikácie pre fyzické osoby a zdravotníckych pracovníkov v súlade s nariadením (EÚ) č. 910/2014. Uvedený mechanizmus uľahčí prenosnosť osobných elektronických zdravotných údajov v cezhraničnom kontexte. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

3. Komisia v spolupráci s členskými štátmi zavedie služby požadované v rámci interoperabilného cezhraničného mechanizmu identifikácie a autentifikácie uvedeného v odseku 2 tohto článku na úrovni Únie ako súčasť cezhraničnej infraštruktúry uvedenej v článku 23.

4. Príslušné orgány členských štátov na úrovni členských štátov a Komisia na úrovni Únie vykonávajú interoperabilný cezhraničný mechanizmus identifikácie a autentifikácie.

Článok 17

Požiadavky technického vykonávania

Komisia prostredníctvom vykonávacích aktov určí požiadavky technického vykonávania práv stanovených v tomto oddiele.

Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 18

Kompenzácia za sprístupnenie osobných elektronických zdravotných údajov

Poskytovatelia prijímajúci údaje podľa tejto kapitoly nie sú povinní poskytnúť poskytovateľovi zdravotnej starostlivosti za sprístupnenie osobných elektronických zdravotných údajov žiadnu kompenzáciu. Poskytovateľ zdravotnej starostlivosti alebo tretia strana nesmú priamo ani nepriamo účtovať dotknutým osobám poplatok alebo náklady alebo vyžadovať kompenzáciu za zdieľanie údajov alebo prístup k nim.

ODDIEL 2

Riadenie pre primárne použitie

Článok 19

Orgány pre elektronické zdravotníctvo

1. Každý členský štát určí jeden alebo viac orgánov pre elektronické zdravotníctvo zodpovedných za vykonávanie a presadzovanie tejto kapitoly na vnútroštátnej úrovni. Členské štáty informujú Komisiu o totožnosti orgánov pre elektronické zdravotníctvo do 26. marca 2027. Ak členský štát určí viac ako jeden orgán pre elektronické zdravotníctvo alebo ak orgán pre elektronické zdravotníctvo pozostáva z viacerých organizácií, dotknutý členský štát oznámi Komisii opis rozdelenia úloh medzi uvedenými rôznymi orgánmi alebo organizáciami. Ak členský štát určí niekoľko orgánov pre elektronické zdravotníctvo, vyberie jeden orgán pre elektronické zdravotníctvo, ktorý bude konať ako koordinátor. Komisia uvedené informácie zverejní.

2. Každý orgán pre elektronické zdravotníctvo sa poveruje týmito úlohami a právomocami:

a)	zabezpečovanie vykonávania práv a povinností stanovených v tejto kapitole a kapitole III prijatím potrebných celoštátnych, regionálnych či miestnych technických riešení a stanovením relevantných pravidiel a mechanizmov;

b)	zabezpečovanie, aby úplné a aktuálne informácie o vykonávaní práv a povinností stanovených v tejto kapitole a kapitole III boli fyzickým osobám, zdravotníckym pracovníkom a poskytovateľom zdravotnej starostlivosti ľahko dostupné;

c)	pri zavádzaní technických riešení uvedených v písmene a) tohto odseku zabezpečenie, že takéto technické riešenia sú v súlade s touto kapitolou, kapitolou III a prílohou II;

d)	prispievanie na úrovni Únie k vývoju technických riešení umožňujúcich fyzickým osobám a zdravotníckym pracovníkom uplatňovať ich práva alebo dodržiavať ich povinnosti stanovené v tejto kapitole;

e)	uľahčovanie osobám so zdravotným postihnutím uplatňovanie ich práv podľa tejto kapitoly v súlade so smernicou Európskeho parlamentu a Rady (EÚ) 2019/882 (31);

f)	dohliadanie na národné kontaktné miesta pre elektronické zdravotníctvo a spolupráca s inými orgánmi pre elektronické zdravotníctvo a s Komisiou na ďalšom rozvoji infraštruktúry MyHealth@EU;

g)	zabezpečovanie na vnútroštátnej úrovni zavedenia európskeho formátu na výmenu elektronických zdravotných záznamov v spolupráci s vnútroštátnymi orgánmi a so zainteresovanými stranami;

prispievanie na úrovni Únie k vývoju európskeho formátu na výmenu elektronických zdravotných záznamov, k vypracovaniu spoločných špecifikácií v súlade s článkom 36, ktoré sa týkajú obáv v súvislosti s kvalitou, interoperabilitou, ochranou, bezpečnosťou, ľahkosťou používania, dostupnosťou, nediskrimináciou alebo základnými právami a k vypracovaniu špecifikácií databázy EÚ pre registráciu systémov EHR a wellness aplikácií uvedenej v článku 49;

i)	v príslušných prípadoch vykonávanie činností dohľadu nad trhom v súlade s článkom 43 a zároveň zabezpečovanie, aby sa predišlo akýmkoľvek konfliktom záujmov;

j)	budovanie vnútroštátnej kapacity na vykonávanie požiadaviek týkajúcich sa interoperability a bezpečnosti elektronických zdravotných údajov na primárne používanie a zúčastňovanie sa na výmenách informácií a činnostiach budovania kapacít na úrovni Únie;

k)	spolupráca s orgánmi dohľadu nad trhom, zúčastňovanie sa na činnostiach týkajúcich sa zvládania rizík, ktoré predstavujú systémy EHR, a vážnych incidentov a dohliadanie na vykonávanie nápravného opatrenia v súlade s článkom 44;

l)	spolupráca pri zaisťovaní interoperability, prenosnosti a bezpečnosti elektronických zdravotných údajov s ostatnými relevantnými subjektmi a orgánmi na miestnej, regionálnej alebo vnútroštátnej úrovni alebo na úrovni Únie;

m)	spolupráca s dozornými orgánmi v súlade s nariadeniami (EÚ) č. 910/2014 a (EÚ) 2016/679 a smernicou Európskeho parlamentu a Rady (EÚ) 2022/2555 (32) a s inými relevantnými orgánmi vrátane orgánov zodpovedných za kybernetickú bezpečnosť a elektronickú identifikáciu.

3. Každý členský štát zabezpečí, aby sa každému orgánu pre elektronické zdravotníctvo poskytli ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie jeho úloh a vykonávanie jeho právomocí.

4. Každý orgán pre elektronické zdravotníctvo sa pri plnení svojich úloh vyhýba akýmkoľvek konfliktom záujmov. Každý zamestnanec orgánu pre elektronické zdravotníctvo koná vo verejnom záujme a nezávisle.

5. Relevantné orgány pre elektronické zdravotníctvo pri plnení svojich úloh aktívne spolupracujú a konzultujú so zástupcami relevantných zainteresovaných strán vrátane zástupcov pacientov, poskytovateľov zdravotnej starostlivosti a zástupcov zdravotníckych pracovníkov vrátane združení zdravotníckych pracovníkov, ako aj spotrebiteľských organizácií a sektorových združení.

Článok 20

Podávanie správ zo strany orgánov pre elektronické zdravotníctvo

Orgány pre elektronické zdravotníctvo určené podľa článku 19 uverejňujú každé dva roky správu o činnosti, ktorá obsahuje komplexný prehľad ich činností. Ak členský štát určí viac ako jeden orgán pre elektronické zdravotníctvo, za vyhotovenie správy je zodpovedný jeden z nich, ktorý požiada ostatné orgány pre elektronické zdravotníctvo o potrebné informácie. Uvedená správa o činnosti má štruktúru dohodnutú na úrovni Únie v rámci Rady európskeho priestoru pre zdravotné údaje (ďalej len „rada EHDS“) uvedenej v článku 92. Uvedená správa o činnosti musí obsahovať informácie aspoň o:

a)	opatreniach prijatých na vykonávanie tohto nariadenia;

b)	percentuálnom podiele fyzických osôb, ktoré majú prístup k rôznym kategóriám údajov svojich elektronických zdravotných záznamov;

c)	vybavovaní žiadostí fyzických osôb v súvislosti s uplatňovaním ich práv podľa tohto nariadenia;

počte poskytovateľov zdravotnej starostlivosti rôzneho druhu vrátane lekární, nemocníc a ostatných miest poskytovania starostlivosti pripojených na infraštruktúru MyHealth@EU vypočítanom:

i)	v absolútnych hodnotách;

ii)	ako podiel zo všetkých poskytovateľov zdravotnej starostlivosti rovnakého druhu; a

iii)	ako podiel fyzických osôb, ktoré majú možnosť služby využívať;

e)	objemoch elektronických zdravotných údajov rôznych kategórií vymieňaných cezhranične prostredníctvom infraštruktúry MyHealth@EU;

f)	počte prípadov nesúladu s povinnými požiadavkami.

Článok 21

Právo na podanie sťažnosti orgánu pre elektronické zdravotníctvo

1. Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, fyzické a právnické osoby majú právo v súvislosti s ustanoveniami stanovenými v tejto kapitole podať príslušnému orgánu pre elektronické zdravotníctvo sťažnosť, a to individuálne alebo v relevantných prípadoch kolektívne, za predpokladu, že sú negatívne ovplyvnené ich práva alebo záujmy.

2. Ak sa sťažnosť týka práv fyzických osôb podľa článkov 3 a 5 až 10 tohto nariadenia, orgán pre elektronické zdravotníctvo postúpi sťažnosť príslušným dozorným orgánom podľa nariadenia (EÚ) 2016/679. Orgán pre elektronické zdravotníctvo poskytne potrebné informácie, ktoré má k dispozícii, príslušnému dozornému orgánu podľa nariadenia (EÚ) 2016/679 s cieľom uľahčiť posúdenie a vyšetrovanie sťažnosti.

3. Príslušný orgán pre elektronické zdravotníctvo, ktorému bola sťažnosť podaná, informuje v súlade s vnútroštátnym právom sťažovateľa o pokroku pri vybavovaní sťažnosti, o prijatom rozhodnutí ohľadne sťažnosti, o akomkoľvek postúpení sťažnosti príslušnému dozornému orgánu podľa nariadenia (EÚ) 2016/679 a v prípadoch takéhoto postúpenia o tom, že tento dozorný orgán je pre sťažovateľa od tejto chvíle jediným kontaktným miestom v tejto veci.

4. Orgány pre elektronické zdravotníctvo v dotknutých členských štátoch spolupracujú s cieľom bez zbytočného odkladu vybaviť a vyriešiť sťažnosti týkajúce sa cezhraničnej výmeny a prístupu k osobným elektronickým zdravotným údajom, a to aj výmenou všetkých relevantných informácií elektronickými prostriedkami.

5. Orgány pre elektronické zdravotníctvo uľahčujú podávanie sťažností a poskytujú ľahko prístupné nástroje na podávanie sťažností.

Článok 22

Vzťah s dozornými orgánmi podľa nariadenia (EÚ) 2016/679

Dozorný orgán alebo dozorné orgány zodpovedné za monitorovanie a presadzovanie uplatňovania nariadenia (EÚ) 2016/679 zodpovedajú aj za monitorovanie a presadzovanie uplatňovania článkov 3 a 5 až 10 tohto nariadenia. Relevantné ustanovenia nariadenia (EÚ) 2016/679 sa uplatňujú mutatis mutandis. Dozorné orgány majú právomoc ukladať správne pokuty do výšky uvedenej v článku 83 ods. 5 nariadenia (EÚ) 2016/679.

Dozorné orgány uvedené v prvom odseku tohto článku a orgány pre elektronické zdravotníctvo uvedené v článku 19 v relevantných prípadoch spolupracujú pri presadzovaní tohto nariadenia v rámci svojich príslušných právomocí.

ODDIEL 3

Cezhraničná infraštruktúra na primárne používanie osobných elektronických zdravotných údajov

Článok 23

MyHealth@EU

1. Komisia zriadi centrálnu platformu interoperability pre elektronické zdravotníctvo (ďalej len „MyHealth@EU“) na poskytovanie služieb s cieľom podporiť a uľahčiť výmenu osobných elektronických zdravotných údajov medzi národnými kontaktnými miestami pre elektronické zdravotníctvo členských štátov.

2. Každý členský štát určí jedno národné kontaktné miesto pre elektronické zdravotníctvo ako organizačnú a technickú bránu na poskytovanie služieb spojených s cezhraničnou výmenou osobných elektronických zdravotných údajov v kontexte primárneho používania. Každé národné kontaktné miesto pre elektronické zdravotníctvo sa spojí so všetkými ostatnými národnými kontaktnými miestami pre elektronické zdravotníctvo v iných členských štátoch a s centrálnou platformou interoperability pre elektronické zdravotníctvo v cezhraničnej infraštruktúre platformy MyHealth@EU. Ak je národným kontaktným miestom pre elektronické zdravotníctvo subjekt pozostávajúci z viacerých organizácií zodpovedných za vykonávanie rôznych služieb, dotknutý členský štát oznámi Komisii opis rozdelenia úloh medzi tieto organizácie. Každý členský štát oznámi Komisii totožnosť svojho národného kontaktného miesta do 26. marca 2027. Národné kontaktné miesto pre elektronické zdravotníctvo možno určiť v rámci orgánu pre elektronické zdravotníctvo uvedeného v článku 19. Členské štáty oznámia Komisii každú následnú zmenu totožnosti uvedených národných kontaktných miest pre elektronické zdravotníctvo. Komisia a členské štáty tieto informácie zverejnia.

3. Každé národné kontaktné miesto pre elektronické zdravotníctvo umožňuje výmenu osobných elektronických zdravotných údajov uvedených v článku 14 ods. 1 s národnými kontaktnými miestami pre elektronické zdravotníctvo v iných členských štátoch cez infraštruktúru MyHealth@EU. Základom uvedenej výmeny je európsky formát na výmenu elektronických zdravotných záznamov.

Ak členské štáty stanovia ďalšie kategórie osobných elektronických zdravotných údajov podľa článku 14 ods. 1 tretieho pododseku, národné kontaktné miesto pre elektronické zdravotníctvo umožní výmenu ďalších kategórií osobných elektronických zdravotných údajov uvedených v článku 14 ods. 1 treťom pododseku, pokiaľ dotknutý členský štát stanovil, že sa tieto ďalšie kategórie osobných elektronických zdravotných údajov majú sprístupniť a vymieňať v súlade s článkom 14 ods. 1 tretím pododsekom.

4. Komisia do 26. marca 2027 prostredníctvom vykonávacích aktov prijme potrebné opatrenia na technický rozvoj infraštruktúry MyHealth@EU, podrobné pravidlá týkajúce sa zabezpečenia, dôvernosti a ochrany osobných elektronických zdravotných údajov, ako aj podmienky kontrol súladu potrebných na pripojenie a zachovanie pripojenia k infraštruktúre MyHealth@EU. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

5. Členské štáty zabezpečia spojenie všetkých poskytovateľov zdravotnej starostlivosti s ich národnými kontaktnými miestami pre elektronické zdravotníctvo. Členské štáty zabezpečia, aby pripojení poskytovatelia zdravotnej starostlivosti mohli s národným kontaktným miestom pre elektronické zdravotníctvo vykonávať obojsmernú výmenu elektronických zdravotných údajov.

6. Členské štáty zabezpečia, aby lekárne prevádzkované na ich území vrátane internetových lekární mohli vydávať lieky na základe elektronických lekárskych predpisov vystavených v iných členských štátoch za podmienok stanovených v článku 11 smernice 2011/24/EÚ.

Lekárne musia mať prístup k elektronickým lekárskym predpisom, ktoré im boli zaslané z iných členských štátov prostredníctvom infraštruktúry MyHealth@EU, a musia ich akceptovať, a to za predpokladu, že sú splnené podmienky stanovené v článku 11 smernice 2011/24/EÚ.

Po výdaji liekov na základe elektronického lekárskeho predpisu z iného členského štátu dotknutá lekáreň prostredníctvom infraštruktúry MyHealth@EU oznamuje takýto výdaj národnému kontaktnému miestu pre elektronické zdravotníctvo členského štátu, v ktorom bol lekársky predpis vystavený.

7. Národné kontaktné miesta pre elektronické zdravotníctvo konajú ako spoloční prevádzkovatelia osobných elektronických zdravotných údajov sprostredkúvaných infraštruktúrou MyHealth@EU v prípade spracovateľských operácií, na ktorých sa zúčastňujú. Komisia koná ako sprostredkovateľ.

8. Komisia prostredníctvom vykonávacích aktov stanoví pravidlá týkajúce sa požiadaviek kybernetickej bezpečnosti, technickej interoperability, sémantickej interoperability, prevádzky a riadenia služieb v súvislosti so spracúvaním zo strany sprostredkovateľa uvedeného v odseku 7 tohto článku a jeho povinnosti voči prevádzkovateľom v súlade s kapitolou IV nariadenia (EÚ) 2016/679. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

9. Národné kontaktné miesta pre elektronické zdravotníctvo musia spĺňať podmienky na to, aby sa pripojili a zostali pripojené k infraštruktúre MyHealth@EU, ako sa stanovuje vo vykonávacích aktoch uvedených v odseku 4. Súlad národných kontaktných miest pre elektronické zdravotníctvo overuje Komisia prostredníctvom kontrol súladu.

Článok 24

Doplnkové cezhraničné služby a infraštruktúry elektronického zdravotníctva

1. Členské štáty môžu prostredníctvom infraštruktúry MyHealth@EU poskytovať doplnkové služby, ktoré uľahčia telemedicínu, mobilné zdravotníctvo, prístup fyzických osôb k existujúcim prekladom ich zdravotných údajov, výmenu alebo overenie osvedčení týkajúcich sa zdravia vrátane očkovacích preukazov, služby podporujúce verejné zdravie a monitorovanie verejného zdravia alebo systémy, služby a interoperabilné aplikácie elektronického zdravotníctva, s cieľom dosiahnuť vysokú mieru dôvery a bezpečnosti, posilnenie kontinuity starostlivosti a zaistenie prístupu k bezpečnej a veľmi kvalitnej zdravotnej starostlivosti. Komisia prostredníctvom vykonávacích aktov stanoví technické aspekty takýchto doplnkových služieb. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

2. Komisia a členské štáty môžu uľahčiť výmenu osobných elektronických zdravotných údajov s inými infraštruktúrami, ako je systém správy klinických údajov o pacientoch alebo iné služby či infraštruktúry v oblastiach zdravia, starostlivosti alebo sociálneho zabezpečenia, ktoré sa môžu stať oprávnenými účastníkmi infraštruktúry MyHealth@EU. Komisia prostredníctvom vykonávacích aktov stanoví technické aspekty takýchto výmen. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Pripojenie inej infraštruktúry k centrálnej platforme elektronického zdravotníctva a odpojenie od nej podliehajú rozhodnutiu Komisie prijatému prostredníctvom vykonávacieho aktu na základe výsledku kontrol súladu technických aspektov výmen, ako sa uvádza v prvom pododseku tohto odseku. Uvedený vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

3. Národné kontaktné miesto pre elektronické zdravotníctvo tretej krajiny alebo systém zriadený medzinárodnou organizáciou na medzinárodnej úrovni sa môže stať oprávneným účastníkom infraštruktúry MyHealth@EU za predpokladu, že spĺňa požiadavky infraštruktúry MyHealth@EU na účely výmeny osobných elektronických zdravotných údajov, ako sa uvádza v článku 23, že prenos vyplývajúci z pripojenia k infraštruktúre MyHealth@EU je v súlade s pravidlami uvedenými v kapitole V nariadenia (EÚ) 2016/679 a že požiadavky týkajúce sa právnych, organizačných, prevádzkových, sémantických a technických opatrení, ako aj opatrení kybernetickej bezpečnosti sú rovnocenné s požiadavkami, ktoré sa pri prevádzkovaní služieb infraštruktúry MyHealth@EU uplatňujú na členské štáty. Uvedené požiadavky overuje Komisia prostredníctvom kontrol súladu.

Na základe výsledku kontrol súladu uvedených v prvom pododseku tohto odseku sa môže Komisia prostredníctvom vykonávacích aktov rozhodnúť pripojiť národné kontaktné miesto pre elektronické zdravotníctvo tretej krajiny alebo systém zriadený na medzinárodnej úrovni medzinárodnou organizáciou, podľa príslušného prípadu, k infraštruktúre MyHealth@EU alebo odpojiť z nej. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Komisia vytvorí a vedie zoznam národných kontaktných miest pre elektronické zdravotníctvo tretích krajín alebo systémov zriadených medzinárodnými organizáciami na medzinárodnej úrovni, ktoré sú pripojené k infraštruktúre MyHealth@EU podľa tohto odseku, a tento zoznam zverejní.

KAPITOLA III

SYSTÉMY EHR A WELLNESS APLIKÁCIE

ODDIEL 1

Rozsah pôsobnosti a všeobecné ustanovenia o systémoch EHR

Článok 25

Harmonizované softvérové komponenty systémov EHR

1. Systémy EHR zahŕňajú európsky softvérový komponent interoperability pre systémy EHR a európsky softvérový komponent logovania pre systémy EHR (ďalej len „harmonizované softvérové komponenty systémov EHR“) v súlade s ustanoveniami uvedenými v tejto kapitole.

2. Táto kapitola sa neuplatňuje na softvér používaný v prostredí zdravotnej starostlivosti, ktorý sa využíva na všeobecné účely.

Článok 26

Uvedenie na trh a do prevádzky

1. Systémy EHR sa uvedú na trh alebo do prevádzky, len ak sú v súlade s ustanoveniami uvedenými v tejto kapitole.

2. Systémy EHR, ktoré sú vyrobené a používané v zdravotníckych zariadeniach usadených v Únii, ako aj systémy EHR ponúkané fyzickej alebo právnickej osobe usadenej v Únii ako služba v zmysle vymedzenia v článku 1 ods. 1 písm. b) smernice Európskeho parlamentu a Rady (EÚ) 2015/1535 (33) sa považujú za uvedené do prevádzky.

3. Členské štáty nesmú zakázať ani obmedziť uvedenie systémov EHR, ktoré sú v súlade s týmto nariadením, na trh, na základe aspektov týkajúcich sa harmonizovaných softvérových komponentov systémov EHR regulovaných týmto nariadením.

Článok 27

Vzťah k právu Únie upravujúcemu zdravotnícke pomôcky, diagnostické zdravotnícke pomôcky in vitro a systémy AI

1. Výrobcovia zdravotníckych pomôcok alebo diagnostických zdravotníckych pomôcok in vitro v zmysle vymedzenia v článku 2 bode 1 nariadenia (EÚ) 2017/745 a článku 2 bode 2 nariadenia (EÚ) 2017/746, ktorí tvrdia, že tieto zdravotnícke pomôcky alebo diagnostické zdravotnícke pomôcky in vitro sú interoperabilné s harmonizovanými softvérovými komponentmi systémov EHR, musia preukázať súlad so základnými požiadavkami na európsky softvérový komponent interoperability pre systémy EHR a európsky softvérový komponent logovania pre systémy EHR stanovenými v oddiele 2 prílohy II k tomuto nariadeniu. Na uvedené zdravotnícke pomôcky a diagnostické zdravotnícke pomôcky in vitro sa uplatňuje článok 36 tohto nariadenia.

2. Poskytovatelia systémov AI považovaných za vysokorizikové v súlade s článkom 6 nariadenia (EÚ) 2024/1689 (ďalej len „vysokorizikový systém AI“) a ktoré nepatria do rozsahu pôsobnosti nariadenia (EÚ) 2017/745 alebo (EÚ) 2017/746, ktorí tvrdia, že uvedené vysokorizikové systémy AI sú interoperabilné s harmonizovanými softvérovými komponentmi systémov EHR, musia preukázať súlad so základnými požiadavkami na európsky softvérový komponent interoperability pre systémy EHR a európsky softvérový komponent logovania pre systémy EHR stanovenými v oddiele 2 prílohy II k tomuto nariadeniu. Na uvedené vysokorizikové systémy AI sa uplatňuje článok 36 tohto nariadenia.

Článok 28

Tvrdenia

V informačnom liste, v návode na použitie alebo v iných informáciách pripojených k systémom EHR a v reklame na systémy EHR je zakázané používať formulácie, názvy, ochranné známky, obrázky a názorné alebo iné symboly, ktoré môžu profesionálneho používateľa v zmysle vymedzenia v článku 3 bodu 8 nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1807 (34) uviesť do omylu, pokiaľ ide o ich účel určenia, interoperabilitu a zabezpečenie, a to:

a)	pripisovaním funkcií a vlastností systému EHR, ktoré nemá;

b)	neinformovaním profesionálneho používateľa o pravdepodobných obmedzeniach v súvislosti s interoperabilitou alebo bezpečnostnými prvkami systému EHR vo vzťahu k jeho účelu určenia;

c)	navrhovaním iných použití systému EHR ako použití, ktoré sú uvedené ako súčasť účelu určenia v technickej dokumentácii.

Článok 29

Obstarávanie, preplácanie a financovanie

Členské štáty môžu zachovať alebo stanoviť osobitné pravidlá obstarávania alebo financovania systémov EHR, alebo ich preplácania v súvislosti s organizáciou, poskytovaním alebo financovaním služieb zdravotnej starostlivosti, za predpokladu, že takéto pravidlá sú v súlade s právom Únie a nemajú vplyv na fungovanie harmonizovaných softvérových komponentov systémov EHR ani na ich súlad.

ODDIEL 2

Povinnosti hospodárskych subjektov v súvislosti so systémami EHR

Článok 30

Povinnosti výrobcov systémov EHR

1. Výrobcovia systémov EHR musia:

a)	zabezpečiť, aby harmonizované softvérové komponenty ich systémov EHR a systémy EHR ako také boli v rozsahu, v akom sa pre ne stanovujú požiadavky v tejto kapitole, v zhode so základnými požiadavkami stanovenými v prílohe II a so spoločnými špecifikáciami v súlade s článkom 36;

b)	zabezpečiť, aby harmonizované softvérové komponenty ich systémov EHR neboli nepriaznivo ovplyvnené inými softvérovými komponentmi toho istého systému EHR;

c)	vypracovať technickú dokumentáciu svojich systémov EHR v súlade s článkom 37 pred uvedením uvedených systémov EHR na trh a následne ju aktualizovať;

d)	zabezpečiť, aby k ich systémom EHR bol, pre používateľa bezplatne, pripojený informačný list stanovený v článku 38 a zrozumiteľný a úplný návod na použitie;

e)	vypracovať EÚ vyhlásenie o zhode v súlade s článkom 39;

f)	umiestniť označenie zhody CE v súlade s článkom 41;

uviesť v systéme EHR meno/názov, registrované obchodné meno alebo registrovanú ochrannú známku, poštovú adresu a webové sídlo, e-mailovú adresu alebo iné digitálne kontaktné údaje, prostredníctvom ktorých ich možno kontaktovať; uviesť v kontaktných údajoch jedno miesto, na ktorom možno výrobcu kontaktovať; kontaktné údaje musia byť v jazyku ľahko zrozumiteľnom pre používateľov a orgány dohľadu nad trhom;

h)	plniť povinnosti týkajúce sa registrácie uvedené v článku 49;

bez zbytočného odkladu prijať akékoľvek potrebné nápravné opatrenie týkajúce sa ich systémov EHR, ak sa domnievajú alebo majú dôvod domnievať sa, že takéto systémy nie sú alebo už nie sú v zhode so základnými požiadavkami stanovenými v prílohe II, alebo takéto systémy spätne prevziať alebo stiahnuť z trhu; výrobcovia systémov EHR následne informujú vnútroštátne orgány členských štátov, v ktorých sprístupnili svoje systémy EHR na trh alebo ich uviedli do prevádzky, o nezhode, o všetkých prijatých nápravných opatreniach vrátane harmonogramu vykonávania a o dátume, ku ktorému sa harmonizované softvérové komponenty ich systémov EHR uviedli do zhody alebo spätne prevzali, alebo stiahli z trhu;

j)	informovať distribútorov svojich systémov EHR a v príslušných prípadoch splnomocneného zástupcu, dovozcov a používateľov o nesúlade a o každom nápravnom opatrení, spätnom prevzatí alebo stiahnutí uvedených systémov EHR z trhu;

k)	informovať distribútorov svojich systémov EHR a v príslušných prípadoch splnomocneného zástupcu, dovozcov a používateľov o každej povinnej preventívnej údržbe systémov EHR a jej frekvencii;

l)	poskytnúť v úradnom jazyku dotknutého členského štátu orgánom dohľadu nad trhom v uvedenom členskom štáte na ich žiadosť všetky informácie a dokumentáciu potrebnú na preukázanie zhody systémov EHR, ktoré uviedli na trh alebo do prevádzky, so základnými požiadavkami stanovenými v prílohe II;

spolupracovať s orgánmi dohľadu nad trhom na ich žiadosť pri každom opatrení prijatom na zosúladenie systémov EHR, ktoré uviedli na trh alebo do prevádzky, so základnými požiadavkami stanovenými v prílohe II a s akýmikoľvek požiadavkami prijatými podľa článku 42 v úradnom jazyku dotknutého členského štátu;

n)	zriadiť kanály podávania sťažností a priebežne o nich informovať distribútorov;

o)	viesť register sťažností a register nevyhovujúcich systémov EHR a priebežne o nich informovať distribútorov.

2. Výrobcovia systémov EHR zabezpečujú, aby boli zavedené postupy na zaistenie toho, aby boli koncepcia, vývoj a zavádzanie harmonizovaných softvérových komponentov systému EHR naďalej v súlade so základnými požiadavkami stanovenými v prílohe II a spoločnými špecifikáciami uvedenými v článku 36. Zmeny koncepcie alebo charakteristík systému EHR týkajúce sa týchto harmonizovaných softvérových komponentov systému EHR sa primerane zohľadnia a vyjadria v technickej dokumentácii.

3. Výrobcovia systémov EHR uchovávajú technickú dokumentáciu uvedenú v článku 37 a EÚ vyhlásenie o zhode uvedené v článku 39 po dobu 10 rokov od uvedenia systému EHR, na ktorý sa vzťahuje EÚ vyhlásenie o zhode, na trh.

Výrobcovia systémov EHR sprístupnia relevantným orgánom zdrojový kód alebo programovú logiku uvedené v technickej dokumentácii na základe odôvodnenej žiadosti, ak je tento zdrojový kód alebo programová logika potrebná na to, aby uvedené orgány mohli skontrolovať súlad so základnými požiadavkami stanovenými v prílohe II.

4. Výrobca systémov EHR usadený mimo Únie zabezpečí, aby mal jeho splnomocnený zástupca ľahko k dispozícii potrebnú dokumentáciu na plnenie úloh uvedených v článku 31 ods. 2.

5. Na základe odôvodnenej žiadosti orgánu dohľadu nad trhom výrobcovia systémov EHR poskytnú tomuto orgánu všetky informácie a dokumenty v tlačenej alebo elektronickej forme potrebné na preukázanie zhody systému EHR so základnými požiadavkami stanovenými v prílohe II a spoločnými špecifikáciami uvedenými v článku 36 v jazyku, ktorý je pre tento orgán dohľadu nad trhom jednoducho zrozumiteľný. Výrobcovia systémov EHR na požiadanie spolupracujú s uvedeným orgánom dohľadu na všetkých opatreniach prijatých s cieľom odstrániť riziká, ktoré predstavuje systém EHR, ktorý uviedli na trh alebo do prevádzky.

Článok 31

Splnomocnení zástupcovia

1. Pred sprístupnením systému EHR na trhu Únie výrobca systému EHR usadený mimo Únie písomným splnomocnením vymenuje splnomocneného zástupcu, ktorý je usadený v Únii.

2. Splnomocnený zástupca vykonáva úlohy uvedené v splnomocnení dohodnutom s výrobcom. Splnomocnenie umožňuje splnomocnenému zástupcovi aspoň:

a)	uchovávať EÚ vyhlásenie o zhode a technickú dokumentáciu uvedenú v článku 37 pre potreby orgánov dohľadu nad trhom počas obdobia uvedeného v článku 30 ods. 3;

poskytnúť orgánom dotknutého členského štátu na základe odôvodnenej žiadosti orgánu dohľadu nad trhom kópiu splnomocnenia so všetkými informáciami a dokumentáciou potrebnou na preukázanie zhody systému EHR so základnými požiadavkami stanovenými v prílohe II a spoločnými špecifikáciami uvedenými v článku 36;

c)	bez zbytočného odkladu informovať výrobcu, ak má splnomocnený zástupca dôvod domnievať sa, že systém EHR už nie je v zhode so základnými požiadavkami stanovenými v prílohe II;

d)	bez zbytočného odkladu informovať výrobcu o akejkoľvek sťažnosti prijatej od spotrebiteľov alebo profesionálnych používateľov;

e)	spolupracovať s orgánmi dohľadu nad trhom na ich žiadosť pri každom nápravnom opatrení prijatom v súvislosti so systémami EHR, na ktoré sa vzťahuje jeho splnomocnenie;

f)	vypovedať splnomocnenie, ak si výrobca neplní svoje povinnosti podľa tohto nariadenia;

g)	zabezpečiť, aby bola technická dokumentácia uvedená v článku 37 na požiadanie sprístupnená relevantným orgánom.

3. V prípade výmeny splnomocneného zástupcu sa podrobné pravidlá takejto výmeny týkajú aspoň:

a)	dátumu vypovedania splnomocnenia odstupujúceho splnomocneného zástupcu a dátumu nadobudnutia účinnosti splnomocnenia nastupujúceho splnomocneného zástupcu;

b)	odovzdania dokumentov vrátane aspektov dôvernosti a vlastníckych práv.

4. Ak je výrobca usadený mimo Únie a nesplnil si povinnosti stanovené v článku 30, splnomocnený zástupca je spoločne a nerozdielne zodpovedný za nedodržanie tohto nariadenia na rovnakom základe ako výrobca.

Článok 32

Povinnosti dovozcov

1. Dovozcovia uvádzajú na trh Únie iba systémy EHR, ktoré sú v zhode so základnými požiadavkami stanovenými v prílohe II a spoločnými špecifikáciami uvedenými v článku 36.

2. Pred sprístupnením systému EHR na trhu dovozcovia zabezpečujú, aby:

a)	výrobca vypracoval technickú dokumentáciu uvedenú v článku 37 a EÚ vyhlásenie o zhode;

b)	výrobca bol identifikovaný a bol vymenovaný splnomocnený zástupca v súlade s článkom 31;

c)	systém EHR mal po dokončení postupu posudzovania zhody označenie zhody CE uvedené v článku 41;

d)	bol k systému EHR pripojený informačný list uvedený v článku 38 s jednoznačným a úplným návodom na použitie, vrátane jeho údržby, v prístupných formátoch.

3. Dovozcovia v dokumente pripojenom k systému EHR uvedú svoje meno/názov, registrované obchodné meno alebo registrovanú ochrannú známku, poštovú adresu, webové sídlo, e-mailovú adresu alebo iné digitálne kontaktné údaje, prostredníctvom ktorých ich možno kontaktovať. V kontaktných údajoch sa uvádza jedno konkrétne miesto, na ktorom možno výrobcu kontaktovať, a sú v jazyku, ktorý je ľahko zrozumiteľný pre používateľov a orgány dohľadu nad trhom. Dovozcovia zabezpečia, aby žiadne dodatočné označenie nezakrývalo ani nezatienilo žiadnu z informácií poskytnutých výrobcom, ktoré sa vyskytujú na akomkoľvek pôvodnom označení poskytnutom systému EHR.

4. Dovozcovia zabezpečujú, aby v čase, keď za systém EHR nesú zodpovednosť, sa systém EHR nezmenil spôsobom, ktorý ohrozuje jeho zhodu so základnými požiadavkami stanovenými v prílohe II a s akýmikoľvek požiadavkami prijatými podľa článku 42.

5. Ak sa dovozca domnieva alebo má dôvod domnievať sa, že systém EHR nie je alebo už nie je v zhode so základnými požiadavkami stanovenými v prílohe II a s akýmikoľvek požiadavkami prijatými podľa článku 42, nesmie tento systém EHR sprístupniť na trhu alebo, ak už uvedený systém EHR na trhu sprístupnený bol, ho z trhu spätne prevezme alebo stiahne, kým sa systém EHR neuvedie do zhody. V prípade takéhoto spätného prevzatia alebo stiahnutia dovozca bez zbytočného odkladu informuje výrobcu takéhoto systému EHR, používateľov a orgány dohľadu nad trhom členského štátu, v ktorom sa systém EHR sprístupnil na trhu, o takomto spätnom prevzatí alebo stiahnutí, pričom uvedie podrobnosti, najmä o nesúlade, a o akýchkoľvek prijatých nápravných opatreniach.

Ak sa dovozca domnieva alebo má dôvod domnievať sa, že systém EHR predstavuje riziko pre zdravie alebo bezpečnosť fyzických osôb, bez zbytočného odkladu o tom informuje orgány dohľadu nad trhom členského štátu, v ktorom je usadený, ako aj výrobcu a v príslušných prípadoch splnomocneného zástupcu.

6. Dovozcovia uchovávajú kópiu EÚ vyhlásenia o zhode pre potreby orgánov dohľadu nad trhom počas obdobia uvedeného v článku 30 ods. 3 a zabezpečujú, aby bolo možné technickú dokumentáciu uvedenú v článku 37 týmto orgánom na ich žiadosť sprístupniť.

7. Dovozcovia poskytnú orgánom dohľadu nad trhom príslušných členských štátov na základe ich odôvodnenej žiadosti všetky informácie a dokumentáciu potrebnú na preukázanie zhody systému EHR. Dovozcovia na ich žiadosť spolupracujú s uvedenými orgánmi a s výrobcom a v príslušných prípadoch so splnomocneným zástupcom v úradnom jazyku členského štátu, v ktorom sa orgán dohľadu nad trhom nachádza. Dovozcovia spolupracujú s uvedenými orgánmi na ich žiadosť pri každom opatrení prijatom na uvedenie svojich systémov EHR do zhody so základnými požiadavkami v súvislosti s uvedenými harmonizovanými softvérovými komponentmi, ako sa stanovuje v prílohe II, alebo na zabezpečenie toho, aby boli systémy EHR, ktoré nie sú v zhode s týmito základnými požiadavkami, spätne prevzaté alebo stiahnuté.

8. Dovozcovia zriadia kanály nahlasovania a zabezpečia ich prístupnosť, aby používatelia mohli podávať sťažnosti, a vedú register sťažností, nevyhovujúcich systémov EHR a spätných prevzatí alebo stiahnutí systémov EHR. Dovozcovia overia, či sú kanály podávania sťažností zriadené podľa článku 30 ods. 1 písm. n) verejne dostupné a umožňujú používateľom podávať sťažnosti a prijímať akékoľvek oznámenia týkajúce sa akýchkoľvek rizík súvisiacich so zdravím a s bezpečnosťou alebo s inými aspektmi ochrany verejného záujmu a umožňujú používateľom, aby boli informovaní o akýchkoľvek vážnych incidentoch týkajúcich sa systému EHR. Ak takéto kanály podávania sťažností neboli zriadené, dovozcovia ich zriadia a zohľadnia potreby prístupnosti pre zraniteľné skupiny a osoby so zdravotným postihnutím.

9. Dovozcovia vyšetria sťažnosti a nadväzujú na prijaté informácie o incidentoch týkajúcich sa systému EHR, ktorý sprístupnili na trhu. Dovozcovia uvedené sťažnosti, akékoľvek spätné prevzatia alebo stiahnutia systémov EHR a všetky nápravné opatrenia prijaté na dosiahnutie súladu systému EHR zaznamenávajú v registri uvedenom v článku 30 ods. 1 písm. o) alebo vo svojom vlastnom internom registri. Dovozcovia včas informujú výrobcu, distribútorov a v relevantných prípadoch splnomocnených zástupcov o vykonanom vyšetrovaní a nadväzujúcich krokoch a o výsledkoch vyšetrovania a nadväzujúcich krokov.

Článok 33

Povinnosti distribútorov

1. Pred sprístupnením systému EHR na trhu distribútori overujú, či:

a)	výrobca vypracoval EÚ vyhlásenie o zhode;

b)	systém EHR má označenie zhody CE;

c)	bol k systému EHR pripojený informačný list uvedený v článku 38 s jednoznačným a úplným návodom na použitie v prístupných formátoch;

d)	dovozca v príslušných prípadoch splnil požiadavky stanovené v článku 32 ods. 3.

2. Distribútori zabezpečujú, aby sa systém EHR v čase, keď zaň nesú zodpovednosť, nezmenil spôsobom, ktorý ohrozuje jeho zhodu so základnými požiadavkami stanovenými v prílohe II a s akýmikoľvek požiadavkami prijatými podľa článku 42.

3. Ak sa distribútor domnieva alebo má dôvod domnievať sa, že systém EHR nie je v zhode so základnými požiadavkami stanovenými v prílohe II a s akýmikoľvek požiadavkami prijatými podľa článku 42, nesmie uvedený systém EHR sprístupniť na trhu, kým sa neuvedie do zhody. Distribútor okrem toho v tomto zmysle bez zbytočného odkladu informuje výrobcu alebo dovozcu, ako aj orgány dohľadu nad trhom členského štátu, v ktorom sa systém EHR sprístupnil alebo sa má sprístupniť na trhu. Ak sa distribútor domnieva alebo má dôvod domnievať sa, že systém EHR predstavuje riziko pre zdravie alebo bezpečnosť fyzických osôb, informuje o tom orgány dohľadu nad trhom členského štátu, v ktorom je distribútor usadený, ako aj výrobcu a dovozcu.

4. Distribútori poskytnú orgánu dohľadu nad trhom na základe jeho odôvodnenej žiadosti všetky informácie a dokumentáciu potrebnú na preukázanie zhody systému EHR. Na jeho žiadosť spolupracujú s týmto orgánom, ako aj s výrobcom, dovozcom a v príslušných prípadoch so splnomocneným zástupcom výrobcu pri každom opatrení prijatom na uvedenie systému EHR do zhody so základnými požiadavkami stanovenými v prílohe II a s akýmikoľvek požiadavkami prijatými podľa článku 42 alebo na jeho spätné prevzatie alebo stiahnutie.

Článok 34

Prípady, v ktorých sa povinnosti výrobcov systému EHR uplatňujú na iné subjekty alebo jednotlivcov

Dovozca, distribútor alebo používateľ sa na účely tohto nariadenia považuje za výrobcu a vzťahujú sa na neho povinnosti stanovené v článku 30, ak:

a)	sprístupňuje systém EHR na trhu pod vlastným menom/názvom alebo ochrannou známkou;

b)	mení systém EHR už uvedený na trh spôsobom, ktorý môže ovplyvniť jeho zhodu s príslušnými požiadavkami; alebo

c)	upravuje systém EHR takým spôsobom, ktorý vedie ku zmenám účelu určenia deklarovaného výrobcom.

Článok 35

Identifikácia hospodárskych subjektov

Hospodárske subjekty musia na žiadosť orgánom dohľadu nad trhom uvádzať po dobu 10 rokov odo dňa, keď bol posledný systém EHR, na ktorý sa vzťahuje EÚ vyhlásenie o zhode, uvedený na trh:

a)	každý hospodársky subjekt, ktorý im dodal systém EHR; a

b)	každý hospodársky subjekt, ktorému dodali systém EHR.

ODDIEL 3

Zhoda harmonizovaných softvérových komponentov systémov EHR

Článok 36

Spoločné špecifikácie

1. Komisia do 26. marca 2027 prostredníctvom vykonávacích aktov prijme spoločné špecifikácie týkajúce sa základných požiadaviek stanovených v prílohe II vrátane spoločného vzoru a lehoty na zavedenie týchto spoločných špecifikácií. V relevantných prípadoch sa v rámci uvedených spoločných špecifikácií zohľadňujú špecifiká zdravotníckych pomôcok a vysokorizikových systémov AI uvedených v článku 27 ods. 1 a 2 vrátane najmodernejších noriem pre zdravotnícku informatiku a európskeho formátu na výmenu elektronických zdravotných záznamov. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

2. Spoločné špecifikácie uvedené v odseku 1 obsahujú tieto informácie a prvky:

a)	ich rozsah pôsobnosti;

b)	ich uplatniteľnosť na rôzne kategórie systémov EHR alebo funkcií zahrnutých v nich;

c)	ich verziu;

d)	ich obdobie platnosti;

e)	normatívnu časť;

f)	dôvodovú časť vrátane všetkých príslušných vykonávacích usmernení.

3. Spoločné špecifikácie uvedené v odseku 1 môžu obsahovať prvky, ktoré sa týkajú:

a)	súborov údajov, ktoré obsahujú elektronické zdravotné údaje a vymedzujú ich štruktúry, ako napríklad dátové polia a skupiny údajov na reprezentáciu klinického obsahu a ďalších častí elektronických zdravotných údajov;

b)	kódovacích systémov a hodnôt kódov, ktoré sa majú používať v súboroch údajov obsahujúcich elektronické zdravotné údaje, pričom sa zohľadňuje tak potenciálna budúca harmonizácia terminológií, ako aj ich kompatibilita s existujúcimi vnútroštátnymi terminológiami;

c)	iných požiadaviek súvisiacich s kvalitou údajov, ako napríklad úplnosť a presnosť elektronických zdravotných údajov;

d)	technických špecifikácií, noriem a profilov výmeny elektronických zdravotných údajov;

e)	požiadaviek a zásad súvisiacich s bezpečnosťou pacienta a so zabezpečením, dôvernosťou, integritou a ochranou elektronických zdravotných údajov;

f)	špecifikácií a požiadaviek súvisiacich so správou identifikácie a s používaním elektronickej identifikácie.

4. Systémy EHR, zdravotnícke pomôcky, diagnostické zdravotnícke pomôcky in vitro a vysokorizikové systémy AI uvedené v článkoch 25 a 27, ktoré sú v zhode so spoločnými špecifikáciami uvedenými v odseku 1 tohto článku, sa považujú za systémy EHR, zdravotnícke pomôcky, diagnostické zdravotnícke pomôcky in vitro a vysokorizikové systémy AI, ktoré sú v zhode so základnými požiadavkami stanovenými v prílohe II, a na ktoré sa vzťahujú uvedené spoločné špecifikácie alebo príslušné časti uvedených spoločných špecifikácií.

5. Ak spoločné špecifikácie, ktoré sa vzťahujú na požiadavky na interoperabilitu a bezpečnosť systémov EHR, majú vplyv na zdravotnícke pomôcky, diagnostické zdravotnícke pomôcky in vitro alebo vysokorizikové systémy AI, na ktoré sa vzťahujú iné akty, ako napríklad nariadenie (EÚ) 2017/745, (EÚ) 2017/746 alebo (EÚ) 2024/1689, môže prijatiu uvedených spoločných špecifikácií predchádzať konzultácia s Koordinačnou skupinou pre zdravotnícke pomôcky (MDCG) zriadenou podľa článku 103 nariadenia (EÚ) 2017/745 alebo s Európskou radou pre umelú inteligenciu zriadenou podľa článku 65 nariadenia (EÚ) 2024/1689 a Európskym výborom pre ochranu údajov (ďalej len „EDPB“), podľa príslušného prípadu.

6. Ak spoločné špecifikácie, ktoré sa vzťahujú na požiadavky na interoperabilitu a bezpečnosť zdravotníckych pomôcok, diagnostických zdravotníckych pomôcok in vitro alebo vysokorizikových systémov AI, na ktoré sa vzťahujú iné právne akty, ako napríklad nariadenie (EÚ) 2017/745, (EÚ) 2017/746 alebo (EÚ) 2024/1689, majú vplyv na systémy EHR, Komisia zabezpečí, aby prijatiu uvedených spoločných špecifikácií predchádzala konzultácia s radou EHDS a s EDPB, podľa príslušného prípadu.

Článok 37

Technická dokumentácia

1. Výrobcovia vypracujú technickú dokumentáciu pred uvedením systému EHR na trh alebo do prevádzky a pravidelne uvedenú dokumentáciu aktualizujú.

2. Technická dokumentácia uvedená v odseku 1 tohto článku musí preukazovať, že systém EHR spĺňa základné požiadavky stanovené v prílohe II, a poskytovať orgánom dohľadu nad trhom všetky informácie potrebné na posúdenie súladu systému EHR s uvedenými požiadavkami. Uvedená technická dokumentácia musí obsahovať aspoň prvky stanovené v prílohe III a odkaz na výsledky získané z európskeho digitálneho testovacieho prostredia uvedeného v článku 40.

3. Technická dokumentácia uvedená v odseku 1 sa vypracuje v úradnom jazyku dotknutého členského štátu alebo v jazyku, ktorý je jednoducho zrozumiteľný v uvedenom členskom štáte. Na základe odôvodnenej žiadosti orgánu dohľadu nad trhom členského štátu výrobca poskytne preklad príslušných častí technickej dokumentácie do úradného jazyka daného členského štátu.

4. Keď orgán dohľadu nad trhom požiada výrobcu o technickú dokumentáciu alebo preklad jej častí, výrobca poskytne takúto technickú dokumentáciu alebo preklad do 30 dní od dátumu žiadosti, pokiaľ vzhľadom na závažné a bezprostredné riziko nie je odôvodnená kratšia lehota. Ak výrobca nesplní požiadavky uvedené v odsekoch 1, 2 a 3 tohto článku, orgán dohľadu nad trhom môže od neho požadovať, aby dal v stanovenej lehote na svoje náklady vykonať nezávislému subjektu skúšku s cieľom overiť zhodu so základnými požiadavkami stanovenými v prílohe II a so spoločnými špecifikáciami uvedenými v článku 36.

Článok 38

Informačný list pripojený k systému EHR

1. K systémom EHR je pripojený informačný list obsahujúci stručné, úplné, správne a jasné informácie, ktoré sú pre profesionálnych používateľov relevantné, prístupné a zrozumiteľné.

2. V informačnom liste podľa odseku 1 sa uvádzajú:

a)	totožnosť, registrované obchodné meno alebo registrovaná ochranná známka a kontaktné údaje výrobcu a v príslušných prípadoch jeho splnomocneného zástupcu;

b)	názov a verzia systému EHR a dátum jeho vydania;

c)	účel určenia systému EHR;

d)	kategórie elektronických zdravotných údajov, na ktorých spracúvanie bol systém EHR navrhnutý;

e)	normy, formáty a špecifikácie podporované systémom EHR a verzie týchto noriem, formátov a špecifikácií.

3. Alternatívne k pripájaniu informačného listu uvedeného v odseku 1 tohto článku k systému EHR môžu výrobcovia vkladať informácie uvedené v odseku 2 tohto článku do databázy EÚ pre registráciu systémov EHR a wellness aplikácií uvedenej v článku 49.

Článok 39

EÚ vyhlásenie o zhode

1. V EÚ vyhlásení o zhode uvedenom v článku 30 ods. 1 písm. e) sa uvedie, že výrobca systému EHR preukázal, že boli splnené základné požiadavky stanovené v prílohe II.

2. Ak systém EHR podlieha iným právnym aktom Únie, pokiaľ ide o aspekty, na ktoré sa toto nariadenie nevzťahuje a ktoré takisto vyžadujú od výrobcu EÚ vyhlásenie o zhode potvrdzujúce, že bolo preukázané splnenie požiadaviek uvedených právnych aktov, pre všetky právne akty Únie uplatniteľné na daný systém EHR sa vypracuje jediné EÚ vyhlásenie o zhode. Uvedené EÚ vyhlásenie o zhode obsahuje všetky informácie vyžadované na identifikáciu právnych aktov Únie, ktorých sa týka.

3. EÚ vyhlásenie o zhode musí obsahovať informácie uvedené v prílohe IV a musí sa preložiť do jedného úradného jazyka alebo viacerých úradných jazykov Únie určených členskými štátmi, v ktorých sa systém EHR sprístupňuje.

4. Ak je digitálne EÚ vyhlásenie o zhode vypracované v digitálnom formáte, sprístupní sa online počas očakávanej životnosti systému EHR a v každom prípade najmenej po dobu 10 rokov od uvedenia systému EHR na trh alebo do prevádzky.

5. Vypracovaním EÚ vyhlásenia o zhode výrobca preberá zodpovednosť za súlad harmonizovaných softvérových komponentov systému EHR s požiadavkami stanovenými v tomto nariadení, keď sa uvádza na trh alebo do prevádzky.

6. Komisia uverejní štandardný jednotný vzor EÚ vyhlásenia o zhode a sprístupní ho v digitálnom formáte vo všetkých úradných jazykoch Únie.

Článok 40

Európske digitálne testovacie prostredie

1. Komisia vyvinie európske digitálne testovacie prostredie na posudzovanie harmonizovaných softvérových komponentov systémov EHR. Komisia sprístupní softvér na podporu európskeho digitálneho testovacieho prostredia ako otvorený zdroj.

2. Členské štáty prevádzkujú digitálne testovacie prostredia na posudzovanie harmonizovaných softvérových komponentov systémov EHR. Takéto digitálne testovacie prostredia musia byť v súlade so spoločnými špecifikáciami pre európske digitálne testovacie prostredia stanovenými podľa odseku 4. Členské štáty o svojich digitálnych testovacích prostrediach informujú Komisiu.

3. Výrobcovia použijú digitálne testovacie prostredia uvedené v odsekoch 1 a 2 tohto článku na posúdenie harmonizovaných softvérových komponentov systémov EHR pred uvedením systémov EHR na trh. Výsledky uvedeného posúdenia sa zahrnú do technickej dokumentácie uvedenej v článku 37. Prvky, v súvislosti s ktorými sú výsledky posúdenia pozitívne, sa považujú za prvky v súlade s týmto nariadením.

4. Komisia prostredníctvom vykonávacích aktov stanoví spoločné špecifikácie európskeho digitálneho testovacieho prostredia. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 41

Označenie zhody CE

1. Označenie zhody CE sa umiestňuje viditeľne, čitateľne a neodstrániteľne na dokumenty pripojené k systému EHR a v príslušných prípadoch na obal systému EHR.

2. Označenie zhody CE sa umiestňuje pred uvedením systému EHR na trh.

3. Označenie zhody CE podlieha všeobecným zásadám stanoveným v článku 30 nariadenia (ES) č. 765/2008.

Článok 42

Vnútroštátne požiadavky a podávanie správ Komisii

1. Členské štáty môžu prijať vnútroštátne požiadavky na systémy EHR a ustanovenia o posudzovaní ich zhody v súvislosti s inými aspektmi, než sú harmonizované softvérové komponenty systémov EHR.

2. Vnútroštátne požiadavky alebo ustanovenia uvedené v odseku 1 nesmú nepriaznivo ovplyvňovať harmonizované softvérové komponenty systémov EHR.

3. Keď členské štáty prijmú požiadavky alebo ustanovenia v súlade s odsekom 1, informujú o tom Komisiu.

ODDIEL 4

Dohľad nad trhom so systémami EHR

Článok 43

Orgány dohľadu nad trhom

1. Na systémy EHR sa v súvislosti s požiadavkami uplatniteľnými na tieto systémy a rizikami, ktoré predstavujú systémy EHR, na ktoré sa vzťahuje táto kapitola, uplatňuje nariadenie (EÚ) 2019/1020.

2. Členské štáty určia orgán alebo orgány dohľadu nad trhom zodpovedné za vykonávanie tejto kapitoly. Členské štáty svojim orgánom dohľadu nad trhom udelia potrebné právomoci, a poskytnú im ľudské, finančné a technické zdroje, vybavenie a poznatky potrebné na riadne vykonávanie ich úloh podľa tohto nariadenia. Orgány dohľadu nad trhom sú na presadzovanie povinností stanovených v tejto kapitole oprávnené prijímať opatrenia dohľadu nad trhom uvedené v článku 16 nariadenia (EÚ) 2019/1020. Členské štáty oznámia Komisii totožnosť orgánov dohľadu nad trhom, ktoré určia. Komisia a členské štáty uvedené informácie zverejnia.

3. Orgánmi dohľadu nad trhom určenými podľa odseku 2 tohto článku môžu byť tie isté orgány ako orgány pre elektronické zdravotníctvo určené podľa článku 19. Ak úlohy orgánu dohľadu nad trhom vykonáva orgán pre elektronické zdravotníctvo, členské štáty zabezpečia, aby sa predišlo akýmkoľvek konfliktom záujmov.

4. Orgány dohľadu nad trhom každoročne podávajú Komisii správy o výsledkoch príslušných činností dohľadu nad trhom.

5. Ak výrobca alebo iný hospodársky subjekt nespolupracuje s orgánom dohľadu nad trhom alebo ak sú poskytnuté informácie a dokumentácia neúplné alebo nesprávne, orgán dohľadu nad trhom môže prijať všetky vhodné opatrenia na zákaz alebo obmedzenie sprístupnenia príslušného systému EHR na trhu, kým výrobca alebo dotknutý hospodársky subjekt nebude spolupracovať alebo kým neposkytne úplné a správne informácie, alebo na spätné prevzatie alebo stiahnutie takéhoto systému EHR z trhu.

6. Orgány dohľadu nad trhom členských štátov spolupracujú navzájom a s Komisiou. Komisia umožňuje organizáciu výmen informácií potrebných na takúto spoluprácu.

7. V prípade zdravotníckych pomôcok, diagnostických zdravotníckych pomôcok in vitro alebo vysokorizikových systémov AI uvedených v článku 27 ods. 1 a 2 sú zodpovednými orgánmi dohľadu nad trhom orgány uvedené v príslušných prípadoch v článku 93 nariadenia (EÚ) 2017/745, článku 88 nariadenia (EÚ) 2017/746 alebo článku 70 nariadenia (EÚ) 2024/1689.

Článok 44

Zvládanie rizík, ktoré predstavujú systémy EHR, a vážnych incidentov

1. Ak orgán dohľadu nad trhom jedného členského štátu má dôvod domnievať sa, že systém EHR predstavuje riziko pre zdravie, bezpečnosť alebo práva fyzických osôb alebo pre ochranu osobných údajov, uvedený orgán dohľadu nad trhom vykoná hodnotenie vo vzťahu k dotknutému systému EHR, pokiaľ ide o všetky relevantné požiadavky stanovené v tomto nariadení. Výrobca, splnomocnený zástupca výrobcu a všetky ostatné príslušné hospodárske subjekty na tento účel podľa potreby spolupracujú s orgánom dohľadu nad trhom a prijmú všetky vhodné opatrenia, ktorými sa zabezpečí, aby dotknutý systém EHR pri uvedení na trh už takéto riziko nepredstavoval alebo aby sa systém EHR v primeranej lehote spätne prevzal alebo stiahol z trhu.

2. Ak sa orgány dohľadu nad trhom členského štátu domnievajú, že nesúlad systému EHR sa neobmedzuje len na územia ich štátu, informujú Komisiu a orgány dohľadu nad trhom ostatných členských štátov o výsledkoch hodnotenia uvedeného v odseku 1 tohto článku a o nápravnom opatrení, ktorého prijatie od hospodárskeho subjektu požadujú podľa článku 16 ods. 2 nariadenia (EÚ) 2019/1020.

3. Ak orgán dohľadu nad trhom zistí, že systém EHR spôsobil ujmu na zdraví alebo bezpečnosti fyzických osôb alebo na určitých aspektoch ochrany verejného záujmu, výrobca okamžite poskytne informácie a dokumentáciu, podľa príslušného prípadu, dotknutej fyzickej osobe alebo používateľovi, a v príslušných prípadoch iným tretím stranám, ktorých sa uvedená ujma týka, bez toho, aby boli dotknuté pravidlá ochrany údajov.

4. Dotknutý hospodársky subjekt uvedený v odseku 1 zabezpečí prijatie nápravného opatrenia v súvislosti so všetkými dotknutými systémami EHR, ktoré uviedol na trh v celej Únii.

5. Orgán dohľadu nad trhom bez zbytočného odkladu informuje Komisiu a orgány dohľadu nad trhom alebo v príslušných prípadoch dozorné orgány podľa nariadenia (EÚ) 2016/679 ostatných členských štátov o nápravnom opatrení uvedenom v odseku 2. Tieto informácie musia obsahovať všetky podrobnosti, ktoré sú k dispozícii, najmä údaje potrebné na identifikáciu dotknutého systému EHR, jeho pôvod a dodávateľský reťazec, povahu z neho vyplývajúceho rizika a povahu a trvanie prijatých vnútroštátnych opatrení.

6. Ak sa zistenie orgánu dohľadu nad trhom alebo závažný incident, o ktorom bol informovaný, týka ochrany osobných údajov, uvedený orgán dohľadu nad trhom bez zbytočného odkladu informuje relevantné dozorné orgány podľa nariadenia (EÚ) 2016/679 a spolupracuje s nimi.

7. Výrobcovia systémov EHR uvedených na trh alebo do prevádzky oznamujú každý vážny incident týkajúci sa systému EHR orgánom dohľadu nad trhom členských štátov, v ktorých sa takýto vážny incident stal, a členských štátov, v ktorých bol takýto systém EHR uvedený na trh alebo do prevádzky. Uvedené oznamovanie musí zahŕňať aj opis nápravného opatrenia, ktoré výrobca prijal alebo naplánoval. Členské štáty môžu používateľom systémov EHR uvedených na trh alebo do prevádzky umožniť takéto incidenty nahlasovať.

Oznamovanie požadované podľa prvého pododseku tohto odseku sa vykoná bez toho, aby tým boli dotknuté požiadavky na oznamovanie incidentov podľa smernice (EÚ) 2022/2555, okamžite po tom, ako výrobca zistil príčinnú súvislosť medzi systémom EHR a vážnym incidentom alebo logickú pravdepodobnosť takej súvislosti, a v každom prípade najneskôr do troch dní po tom, ako sa výrobca o vážnom incidente týkajúcom sa systému EHR dozvedel.

8. Orgány dohľadu nad trhom uvedené v odseku 7 bezodkladne informujú ostatné orgány dohľadu nad trhom o vážnom incidente a nápravnom opatrení, ktoré výrobca prijal alebo naplánoval alebo ktoré sa od neho vyžaduje na minimalizáciu rizika opätovného výskytu vážneho incidentu.

9. Ak úlohy orgánu dohľadu nad trhom nevykonáva orgán pre elektronické zdravotníctvo, orgán dohľadu nad trhom s ním spolupracuje. Orgán dohľadu nad trhom informuje orgán pre elektronické zdravotníctvo o všetkých vážnych incidentoch, o systémoch EHR predstavujúcich riziko vrátane rizík súvisiacich s interoperabilitou, so zabezpečením a s bezpečnosťou pacientov, o všetkých nápravných opatreniach a o akomkoľvek spätnom prevzatí takýchto systémov EHR alebo ich stiahnutí z trhu.

10. V prípade incidentov ohrozujúcich bezpečnosť pacienta alebo bezpečnosť informácií môžu orgány dohľadu nad trhom prijať okamžité opatrenie a požiadať výrobcu dotknutého systému EHR, jeho splnomocneného zástupcu a v príslušných prípadoch iné hospodárske subjekty, aby prijali okamžité nápravné opatrenie.

Článok 45

Riešenie nesúladu

1. Ak orgán dohľadu nad trhom zistí nesúlad, požiada výrobcu dotknutého systému EHR, jeho splnomocneného zástupcu a všetky ostatné príslušné hospodárske subjekty, aby v stanovenej lehote prijali primerané nápravné opatrenie na uvedenie systému EHR do zhody. Takéto zistenia nesúladu zahŕňajú okrem iného:

a)	systém EHR nie je v zhode so základnými požiadavkami stanovenými v prílohe II alebo spoločnými špecifikáciami uvedenými v článku 36;

b)	technická dokumentácia nie je k dispozícii, nie je úplná alebo nie je v súlade s článkom 37;

c)	EÚ vyhlásenie o zhode nebolo vypracované alebo nebolo vypracované správne v súlade s článkom 39;

d)	označenie zhody CE bolo umiestnené v rozpore s článkom 41 alebo nebolo umiestnené;

e)	neboli splnené povinnosti v oblasti registrácie uvedené v článku 49.

2. Ak dotknutý výrobca systému EHR, jeho splnomocnený zástupca alebo akýkoľvek iný príslušný hospodársky subjekt v primeranej lehote neprijme dostatočné nápravné opatrenia, orgány dohľadu nad trhom prijmú všetky vhodné predbežné opatrenia s cieľom zakázať alebo obmedziť sprístupnenie systému EHR na trhu ich členského štátu, alebo spätne prevziať alebo stiahnuť tento systém z daného trhu.

Orgány dohľadu nad trhom o uvedených predbežných opatreniach bezodkladne informujú Komisiu a ostatné orgány dohľadu nad trhom členských štátov. Uvedené informácie musia obsahovať všetky podrobnosti, ktoré sú k dispozícii, najmä údaje potrebné na identifikáciu nevyhovujúceho systému EHR, jeho pôvod, povahu údajného nesúladu a z neho vyplývajúceho rizika, povahu a trvanie opatrení prijatých orgánmi dohľadu nad trhom a argumenty príslušného hospodárskeho subjektu. Orgány dohľadu nad trhom najmä uvedú, či je daný nesúlad spôsobený niektorou z týchto príčin:

a)	nesplnenie základných požiadaviek stanovených v prílohe II systémom EHR;

b)	nedostatky týkajúce sa spoločných špecifikácií uvedených v článku 36.

3. Iné orgány dohľadu nad trhom, ako sú orgány dohľadu nad trhom, ktoré začali postup podľa tohto článku, bezodkladne informujú Komisiu a ostatné orgány dohľadu nad trhom členských štátov o všetkých prijatých opatreniach, o akýchkoľvek dodatočných informáciách týkajúcich sa nesúladu dotknutého systému EHR, ktoré majú k dispozícii, a o svojich námietkach v prípade nesúhlasu s prijatým vnútroštátnym opatrením.

4. Ak žiadny orgán dohľadu nad trhom z iného členského štátu ani Komisia počas troch mesiacov od prijatia informácií uvedených v druhom pododseku odseku 2 nevznesú námietku proti predbežnému opatreniu prijatému orgánom dohľadu nad trhom, dané opatrenie sa považuje za opodstatnené.

5. Ak nesúlad uvedený v odseku 1 pretrváva, dotknutý orgán dohľadu nad trhom prijme všetky vhodné opatrenia na zákaz alebo obmedzenie uvedenia systému EHR na trh alebo na zabezpečenie jeho spätného prevzatia alebo stiahnutia z trhu.

Článok 46

Ochranný postup Únie

1. Ak sú podľa článku 44 ods. 2 a článku 45 ods. 3 vznesené námietky proti vnútroštátnemu opatreniu prijatému orgánom dohľadu nad trhom alebo ak sa Komisia domnieva, že vnútroštátne opatrenie je v rozpore s právom Únie, Komisia začne bezodkladne konzultovať s orgánom dohľadu nad trhom a príslušnými hospodárskymi subjektmi a dotknuté vnútroštátne opatrenie zhodnotí. Na základe výsledkov uvedeného hodnotenia Komisia prijme vykonávacie rozhodnutie, v ktorom stanoví, či je vnútroštátne opatrenie opodstatnené. Uvedené vykonávacie rozhodnutie sa prijme v súlade s postupom preskúmania uvedeným v článku 98 ods. 2. Komisia adresuje svoje vykonávacie rozhodnutie všetkým členským štátom a okamžite ho oznámi členským štátom a príslušným hospodárskym subjektom.

2. Ak Komisia považuje vnútroštátne opatrenie uvedené v odseku 1 za opodstatnené, všetky dotknuté členské štáty prijmú nevyhnutné opatrenia na zabezpečenie stiahnutia nevyhovujúceho systému EHR zo svojich trhov a informujú o tom Komisiu.

Ak Komisia považuje vnútroštátne opatrenie uvedené v odseku 1 za neopodstatnené, dotknutý členský štát dané opatrenie odvolá.

ODDIEL 5

Ďalšie ustanovenia o interoperabilite

Článok 47

Označovanie wellness aplikácií

1. Ak výrobca wellness aplikácie tvrdí, že je interoperabilná so systémom EHR, pokiaľ ide o harmonizované softvérové komponenty systémov EHR, a teda v súlade so spoločnými špecifikáciami uvedenými v článku 36 a so základnými požiadavkami stanovenými v prílohe II, k takejto wellness aplikácii sa pripojí označenie so zreteľným uvedením jej súladu s uvedenými špecifikáciami a požiadavkami. Označenie vydáva výrobca wellness aplikácie.

2. Označenie uvedené v odseku 1 musí obsahovať tieto informácie:

a)	kategórie elektronických zdravotných údajov, v prípade ktorých sa potvrdil súlad so základnými požiadavkami uvedenými v prílohe II;

b)	odkaz na spoločné špecifikácie, ktorými sa preukazuje súlad;

c)	obdobie platnosti označenia.

3. Komisia prostredníctvom vykonávacích aktov určí formát a obsah označenia uvedeného v odseku 1. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

4. Označenie sa vyhotoví v jednom úradnom jazyku alebo vo viacerých úradných jazykoch Únie alebo v jednoducho zrozumiteľnom jazyku určeným členským štátom, v ktorom sa wellness aplikácia uvádza na trh alebo do prevádzky.

5. Platnosť označenia nesmie prekročiť tri roky.

6. Ak je wellness aplikácia neoddeliteľnou súčasťou zariadenia alebo je uložená v nejakom zariadení po jeho uvedení do prevádzky, sprievodné označenie sa zobrazí v samotnej aplikácii alebo sa umiestni na uvedenom zariadení. Ak wellness aplikácia pozostáva len zo softvéru, označenie musí mať digitálny formát a musí byť zobrazené v samotnej aplikácii. Na zobrazenie označenia sa môžu použiť aj dvojrozmerné (2D) čiarové kódy.

7. Orgány dohľadu nad trhom kontrolujú súlad wellness aplikácií so základnými požiadavkami stanovenými v prílohe II.

8. Každý dodávateľ wellness aplikácie, pre ktorú bolo vydané označenie, zaistí, aby bolo ku každej osobitnej jednotke takejto wellness aplikácie uvádzanej na trh alebo do prevádzky bezplatne pripojené dané označenie.

9. Každý distribútor wellness aplikácie, pre ktorú bolo vydané označenie, sprístupní zákazníkom toto označenie na predajnom mieste v elektronickej podobe.

Článok 48

Interoperabilita wellness aplikácií so systémami EHR

1. Výrobcovia wellness aplikácií môžu tvrdiť, že sú interoperabilné so systémom EHR za predpokladu, že sú splnené príslušné spoločné špecifikácie uvedené v článku 36 a základné požiadavky uvedené v prílohe II. V prípade takéhoto tvrdenia uvedení výrobcovia náležite informujú používateľov o interoperabilite takýchto wellness aplikácií a o účinkoch takejto interoperability.

2. Interoperabilita wellness aplikácií so systémami EHR nezahŕňa automatické zdieľanie všetkých alebo časti zdravotných údajov z wellness aplikácie, ani automatický prenos všetkých takýchto údajov alebo ich časti do systému EHR. Zdieľanie alebo prenos takýchto údajov sú možné len vtedy, ak je to v súlade s článkom 5 a po udelení súhlasu dotknutou fyzickou osobou a interoperabilita sa obmedzuje výlučne na uvedené účely. Výrobcovia wellness aplikácií, ktorí tvrdia, že wellness aplikácia je interoperabilná so systémom EHR, zabezpečia, aby si dotknutá fyzická osoba mohla vybrať, ktoré kategórie zdravotných údajov z wellness aplikácie sa majú vložiť do systému EHR, a okolnosti zdieľania alebo prenosu týchto kategórií údajov.

ODDIEL 6

Registrácia systémov EHR a wellness aplikácií

Článok 49

Databáza EÚ pre registráciu systémov EHR a wellness aplikácií

1. Komisia zriadi a udržuje verejne dostupnú databázu EÚ s údajmi o systémoch EHR, pre ktoré bolo vydané EÚ vyhlásenie o zhode podľa článku 39, a o wellness aplikáciách, pre ktoré bolo vydané označenie podľa článku 47 (ďalej len „databáza EÚ pre registráciu systémov EHR a wellness aplikácií“).

2. Výrobca systému EHR uvedeného v článku 26 alebo wellness aplikácie uvedenej v článku 47 alebo v príslušných prípadoch jeho splnomocnený zástupca pred uvedením takého systému alebo takej aplikácie na trh alebo pred ich uvedením do prevádzky vloží požadované údaje uvedené v odseku 4 tohto článku do databázy EÚ pre registráciu systémov EHR a wellness aplikácií, ktoré v prípade systémov EHR zahŕňajú výsledky posudzovania uvedeného v článku 40.

3. Zdravotnícke pomôcky, diagnostické zdravotnícke pomôcky in vitro alebo vysokorizikové systémy AI uvedené v článku 27 ods. 1 a 2 tohto nariadenia sa takisto registrujú v databázach zriadených podľa nariadenia (EÚ) 2017/745, (EÚ) 2017/746 alebo (EÚ) 2024/1689, podľa príslušného prípadu. V takýchto prípadoch sa údaje, ktoré sa majú vložiť, postúpia aj do databázy EÚ pre registráciu systémov EHR a wellness aplikácií.

4. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 97 s cieľom doplniť toto nariadenie určením zoznamu požadovaných údajov, ktoré majú vkladať výrobcovia systémov EHR a wellness aplikácií podľa odseku 2 tohto článku do databázy EÚ pre registráciu systémov EHR a wellness aplikácií.

KAPITOLA IV

SEKUNDÁRNE POUŽÍVANIE

ODDIEL 1

Všeobecné podmienky sekundárneho používania

Článok 50

Uplatniteľnosť na držiteľov zdravotných údajov

1. Od povinností držiteľov zdravotných údajov stanovených v tejto kapitole sú oslobodené tieto kategórie držiteľov zdravotných údajov:

a)	fyzické osoby, vrátane individuálnych výskumných pracovníkov;

b)	právnické osoby, ktoré sa považujú za mikropodniky v zmysle vymedzenia v článku 2 ods. 3 prílohy k odporúčaniu Komisie 2003/361/ES.

2. Členské štáty môžu vo svojom vnútroštátnom práve stanoviť, že povinnosti držiteľov zdravotných údajov stanovené v tejto kapitole sa uplatňujú na držiteľov zdravotných údajov uvedených v odseku 1, ktorí patria do ich právomoci.

3. Členské štáty môžu vo svojom vnútroštátnom práve stanoviť, že povinnosti určitých kategórií držiteľov zdravotných údajov majú plniť subjekty sprostredkovania zdravotných údajov. V takom prípade sa však údaje považujú za sprístupnené viacerými držiteľmi zdravotných údajov.

4. Členské štáty oznámia Komisii vnútroštátne právo uvedené v odsekoch 2 a 3 do 26. marca 2029. Každý následný právny predpis alebo zmena týkajúce sa takéhoto práva sa bezodkladne oznámia Komisii.

Článok 51

Minimálne kategórie elektronických zdravotných údajov na sekundárne používanie

1. Držitelia zdravotných údajov sprístupnia na sekundárne používanie, v súlade s touto kapitolou, tieto kategórie elektronických zdravotných údajov:

a)	elektronické zdravotné údaje z elektronických zdravotných záznamov;

b)	údaje o faktoroch ovplyvňujúcich zdravie vrátane sociálno-ekonomických, environmentálnych a behaviorálnych determinantov zdravia;

c)	súhrnné údaje o potrebách v oblasti zdravotnej starostlivosti, zdrojoch vyčlenených na zdravotnú starostlivosť, poskytovaní zdravotnej starostlivosti a prístupe k nej a o výdavkoch na zdravotnú starostlivosť a jej financovaní;

d)	údaje o patogénoch, ktoré majú vplyv na ľudské zdravie;

e)	administratívne údaje týkajúce sa zdravotnej starostlivosti vrátane údajov o výdajoch, nárokoch na preplatenie a preplácaní;

f)	ľudské genetické, epigenomické a genomické údaje;

g)	iné ľudské molekulárne údaje, ako sú proteomické, transkriptomické, metabolomické, lipidomické a iné omické údaje;

h)	osobné elektronické zdravotné údaje vytvorené automaticky prostredníctvom zdravotníckych pomôcok;

i)	údaje z wellness aplikácií;

j)	údaje týkajúce sa profesijného postavenia a špecializácie a inštitúcie zdravotníckych pracovníkov zapojených do liečby fyzickej osoby;

k)	údaje z registrov zdravotných údajov obyvateľstva, ako sú napríklad registre verejného zdravia;

l)	údaje z lekárskych registrov a registrov úmrtnosti;

m)	údaje z klinických skúšaní, klinických štúdií, klinických skúšaní a štúdií výkonu, na ktoré sa vzťahuje nariadenie (EÚ) č. 536/2014, nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1938 (35), nariadenie (EÚ) 2017/745 a nariadenie (EÚ) 2017/746;

n)	iné zdravotné údaje zo zdravotníckych pomôcok;

o)	údaje z registrov liekov a zdravotníckych pomôcok;

p)	údaje z výskumných kohort, dotazníkov a prieskumov týkajúcich sa zdravia po prvom zverejnení súvisiacich výsledkov;

q)	zdravotné údaje z biobánk a súvisiacich databáz.

2. Členské štáty môžu vo svojom vnútroštátnom práve stanoviť, že na sekundárne používanie podľa tohto nariadenia sa sprístupnia aj ďalšie kategórie elektronických zdravotných údajov.

3. Členské štáty môžu stanoviť pravidlá spracúvania a používania elektronických zdravotných údajov, ktoré obsahujú zlepšenia týkajúce sa spracúvania uvedených údajov, ako je oprava, anotácia a obohacovanie, na základe povolenia na prístup k údajom podľa článku 68.

4. Členské štáty môžu na vnútroštátnej úrovni zaviesť prísnejšie opatrenia a dodatočné záruky zamerané na ochranu citlivosti a hodnoty údajov, na ktoré sa vzťahuje odsek 1 písm. f), g), i) a q). Členské štáty oznámia uvedené opatrenia a záruky Komisii a bezodkladne jej oznámia každú následnú zmenu, ktorá má na ne vplyv.

Článok 52

Práva duševného vlastníctva a obchodné tajomstvo

1. Elektronické zdravotné údaje, ktoré sú chránené právami duševného vlastníctva, obchodným tajomstvom alebo na ktoré sa vzťahuje právo na regulačnú ochranu údajov stanovené v článku 10 ods. 1 smernice Európskeho parlamentu a Rady 2001/83/ES (36) alebo v článku 14 ods. 11 nariadenia Európskeho parlamentu a Rady (ES) č. 726/2004 (37), sa sprístupnia na sekundárne používanie v súlade s pravidlami stanovenými v tomto nariadení.

2. Držitelia zdravotných údajov informujú orgán pre prístup k zdravotným údajom o všetkých elektronických zdravotných údajoch, ktoré zahŕňajú obsah alebo informácie chránené právami duševného vlastníctva, obchodným tajomstvom alebo na ktoré sa vzťahuje právo na regulačnú ochranu údajov stanovené v článku 10 ods. 1 smernice 2001/83/ES alebo v článku 14 ods. 11 nariadenia (ES) č. 726/2004. Držitelia zdravotných údajov identifikujú, ktorých častí súborov údajov sa to týka, a odôvodnia, prečo potrebujú osobitnú ochranu údajov. Držitelia zdravotných údajov poskytnú uvedené informácie pri oznamovaní opisov súborov údajov, ktoré majú v držbe podľa článku 60 ods. 3 tohto nariadenia, orgánu pre prístup k zdravotným údajom alebo najneskôr na základe žiadosti orgánu pre prístup k zdravotným údajom.

3. Orgány pre prístup k zdravotným údajom prijmú všetky konkrétne vhodné a primerané opatrenia vrátane opatrení právnej, organizačnej a technickej povahy, ktoré považujú za potrebné na ochranu práv duševného vlastníctva, obchodného tajomstva alebo práva na regulačnú ochranu údajov stanoveného v článku 10 ods. 1 smernice 2001/83/ES alebo článku 14 ods. 11 nariadenia (ES) č. 726/2004. Orgány pre prístup k zdravotným údajom sú naďalej zodpovedné za určenie potreby a vhodnosti takýchto opatrení.

4. Pri vydávaní povolení na prístup k údajom v súlade s článkom 68 môžu orgány pre prístup k zdravotným údajom podmieniť prístup k určitým elektronickým zdravotným údajom právnymi, organizačnými a technickými opatreniami, ktoré môžu zahŕňať zmluvné dojednania medzi držiteľmi zdravotných údajov a používateľmi zdravotných údajov o výmene údajov zahŕňajúcich informácie alebo obsah chránený právami duševného vlastníctva alebo obchodným tajomstvom. Komisia vypracuje a odporučí nezáväzné vzory zmluvných podmienok pre takéto dojednania.

5. Ak udelenie prístupu k elektronickým zdravotným údajom na sekundárne používanie predstavuje vážne riziko porušenia práv duševného vlastníctva, obchodného tajomstva alebo práva na regulačnú ochranu údajov stanoveného v článku 10 ods. 1 smernice 2001/83/ES alebo v článku 14 ods. 11 nariadenia (ES) č. 726/2004, ktoré nemožno uspokojivo vyriešiť, orgán pre prístup k zdravotným údajom v tejto súvislosti zamietne žiadateľovi o zdravotné údaje prístup k takýmto údajom. Orgán pre prístup k zdravotným údajom informuje žiadateľa o zdravotné údaje o uvedenom zamietnutí a poskytne žiadateľovi o zdravotné údaje odôvodnenie pre uvedené zamietnutie. Držitelia zdravotných údajov a žiadatelia o zdravotné údaje majú právo podať sťažnosť v súlade s článkom 81 tohto nariadenia.

Článok 53

Účely, na ktoré sa môžu spracúvať elektronické zdravotné údaje na sekundárne používanie

1. Orgány pre prístup k zdravotným údajom poskytujú používateľovi zdravotných údajov prístup k elektronickým zdravotným údajom uvedeným v článku 51 na sekundárne používanie, ak je spracúvanie týchto údajov používateľom zdravotných údajov potrebné na jeden z týchto účelov:

verejný záujem v oblastiach verejného zdravia alebo ochrany zdravia pri práci, napríklad činnosti na ochranu pred závažnými cezhraničnými ohrozeniami zdravia, dohľad nad verejným zdravím alebo činnosti zabezpečujúce vysokú kvalitu a bezpečnosť zdravotnej starostlivosti vrátane bezpečnosti pacienta a liekov alebo zdravotníckych pomôcok;

b)	tvorba politík a regulačné činnosti na podporu subjektov verejného sektora alebo inštitúcií, orgánov, úradov alebo agentúr Únie vrátane regulačných orgánov v sektore zdravotnej alebo inej starostlivosti pri plnení ich úloh vymedzených ich mandátmi;

c)	štatistika v zmysle vymedzenia v článku 3 bode 1 nariadenia (ES) č. 223/2009, ako napríklad oficiálne štatistiky, ktoré sa týkajú sektorov zdravotnej alebo inej starostlivosti, na vnútroštátnej a nadnárodnej úrovni, ako aj na úrovni Únie;

d)	činnosti vzdelávania alebo výučby v sektoroch zdravotnej alebo inej starostlivosti na úrovni odborného alebo vysokoškolského vzdelávania;

vedecký výskum týkajúci sa sektorov zdravotnej alebo inej starostlivosti, ktorý prispieva k hodnoteniam verejného zdravia alebo zdravotníckych technológií alebo zabezpečuje vysokú úroveň kvality a bezpečnosti zdravotnej starostlivosti, liekov alebo zdravotníckych pomôcok, s cieľom priniesť prospech koncovým používateľom, ako sú pacienti, zdravotnícki pracovníci a správcovia zdravotníctva, vrátane:

i)	činností rozvoja a inovovania produktov alebo služieb;

ii)	trénovania, testovania a hodnotenia algoritmov, a to aj v zdravotníckych pomôckach, diagnostických zdravotníckych pomôckach in vitro, systémoch AI a aplikáciách elektronického zdravotníctva;

f)	zlepšovanie poskytovania starostlivosti, optimalizácie liečby a poskytovania zdravotnej starostlivosti na základe elektronických zdravotných údajov iných fyzických osôb.

2. Prístup k elektronickým zdravotným údajom na účely uvedené v odseku 1 písm. a), b) a c) je vyhradený pre subjekty verejného sektora a inštitúcie, orgány, úrady a agentúry Únie plniace úlohy, ktoré im boli zverené právom Únie alebo vnútroštátnym právom, a to aj v prípadoch, keď spracúvanie údajov na splnenie uvedených úloh vykonáva tretia strana v mene uvedených subjektov verejného sektora alebo inštitúcií, orgánov, úradov a agentúr Únie.

Článok 54

Zakázané sekundárne používanie

Používatelia zdravotných údajov spracúvajú elektronické zdravotné údaje na sekundárne používanie len na základe a v súlade s účelmi uvedenými v povolení na prístup k údajom vydanom podľa článku 68, v žiadostiach o zdravotné údaje schválených podľa článku 69, alebo v situáciách uvedených v článku 67 ods. 3 v schválení prístupu od príslušného oprávneného účastníka infraštruktúry HealthData@EU uvedenej v článku 75.

Najmä sa zakazuje žiadať o spracúvanie a prístup k elektronickým zdravotným údajom získaných na základe povolenia na prístup k údajom vydaného podľa článku 68 alebo na základe žiadosti o zdravotné údaje schválenej podľa článku 69 na tieto účely:

prijímanie rozhodnutí, ktoré poškodzujú fyzickú osobu alebo skupinu fyzických osôb, na základe ich elektronických zdravotných údajov; na to, aby sa považovali za „rozhodnutia“, na účely tohto písmena, musia mať právne, sociálne alebo hospodárske účinky alebo mať na uvedené fyzické osoby podobne významný vplyv;

prijímanie rozhodnutí vo vzťahu k fyzickej osobe alebo skupine fyzických osôb v súvislosti s pracovnými ponukami, ponukami menej výhodných podmienok pri poskytovaní tovaru alebo služieb vrátane vylúčenia takýchto osôb a skupín z plnenia poistnej alebo úverovej zmluvy, zmeny ich príspevkov a poistného alebo podmienok ich pôžičiek, alebo prijímanie akýchkoľvek iných rozhodnutí vo vzťahu k fyzickej osobe alebo skupine fyzických osôb, ktoré majú za následok ich diskrimináciu na základe získaných zdravotných údajov;

c)	vykonávanie reklamných alebo marketingových činností;

vývoj produktov alebo služieb, ktoré môžu poškodiť jednotlivcov, verejné zdravie alebo spoločnosť ako celok, ako napríklad nelegálne drogy, alkoholické nápoje, tabakové a nikotínové výrobky, zbrane alebo produkty či služby, ktoré sú navrhnuté alebo upravené takým spôsobom, že vytvárajú závislosť, sú v rozpore s verejným poriadkom alebo predstavujú riziko pre ľudské zdravie;

e)	vykonávanie činností, ktoré sú v rozpore s etickými ustanoveniami stanovenými vo vnútroštátnom práve.

ODDIEL 2

Správa a mechanizmy sekundárneho používania

Článok 55

Orgány pre prístup k zdravotným údajom

1. Členské štáty určia jeden alebo viacero orgánov pre prístup k zdravotným údajom zodpovedných za plnenie úloh a povinností uvedených v článkoch 57, 58 a 59. Členské štáty môžu buď zriadiť jeden alebo viacero nových subjektov verejného sektora, alebo sa môžu spoľahnúť na existujúce subjekty verejného sektora alebo na vnútorné útvary subjektov verejného sektora, ktoré spĺňajú podmienky stanovené v tomto článku. Úlohy stanovené v článku 57 možno rozdeliť medzi rôzne orgány pre prístup k zdravotným údajom. Ak členský štát určí viacero orgánov pre prístup k zdravotným údajom, určí jeden orgán pre prístup k zdravotným údajom, aby konal ako koordinátor so zodpovednosťou za koordináciu úloh s ostatnými orgánmi pre prístup k zdravotným údajom, a to s orgánmi pre prístup k zdravotným údajom na území uvedeného členského štátu aj v iných členských štátoch.

Každý orgán pre prístup k zdravotným údajom prispieva k jednotnému uplatňovaniu tohto nariadenia v celej Únii. Na tento účel orgány pre prístup k zdravotným údajom spolupracujú navzájom, s Komisiou a v prípade obáv týkajúcich sa ochrany údajov aj s relevantnými dozornými orgánmi.

2. S cieľom podporiť účinné plnenie úloh a výkon právomocí orgánov pre prístup k zdravotným údajom členské štáty zabezpečia, aby sa každému orgánu pre prístup k zdravotným údajom poskytli tieto prvky:

a)	potrebné ľudské, finančné a technické zdroje;

b)	potrebné odborné znalosti; a

c)	potrebné priestory a infraštruktúra.

Ak sa podľa vnútroštátneho práva vyžaduje posúdenie etickými orgánmi, tieto orgány sprístupnia orgánu pre prístup k zdravotným údajom odborné znalosti. Členské štáty môžu alternatívne stanoviť, že etické orgány budú súčasťou orgánu pre prístup k zdravotným údajom.

3. Členské štáty zabezpečia, aby sa zabránilo akýmkoľvek konfliktom záujmov medzi organizačnými časťami orgánov pre prístup k zdravotným údajom vykonávajúcimi rôzne úlohy takýchto orgánov, napríklad stanovením organizačných záruk, ako napríklad oddelenie rôznych funkcií orgánov pre prístup k zdravotným údajom vrátane posudzovania žiadostí, prijímania a prípravy súborov údajov, napríklad pseudonymizácie a anonymizácie súborov údajov, a poskytovania údajov v zabezpečených prostrediach spracúvania.

4. Orgány pre prístup k zdravotným údajom pri vykonávaní svojich úloh aktívne spolupracujú s príslušnými zástupcami zainteresovaných strán, najmä so zástupcami pacientov, držiteľov zdravotných údajov a používateľov zdravotných údajov a predchádzajú akýmkoľvek konfliktom záujmov.

5. Orgány pre prístup k zdravotným údajom sa pri plnení svojich úloh a vykonávaní svojich právomocí vyhýbajú akýmkoľvek konfliktom záujmov. Zamestnanci orgánov pre prístup k zdravotným údajom konajú vo verejnom záujme a nezávisle.

6. Členské štáty oznámia Komisii totožnosť orgánov pre prístup k zdravotným údajom určených podľa odseku 1 do 26. marca 2027. Komisii takisto oznámia každú následnú zmenu totožnosti týchto orgánov. Komisia a členské štáty uvedené informácie zverejnia.

Článok 56

Služba Únie pre prístup k zdravotným údajom

1. Komisia vykonáva úlohy stanovené v článkoch 57 a 59, ak sú držiteľmi zdravotných údajov inštitúcie, orgány, úrady alebo agentúry Únie.

2. Komisia zabezpečí, aby sa pridelili ľudské, technické a finančné zdroje, priestory a infraštruktúra, ktoré sú potrebné na účinné plnenie úloh stanovených v článkoch 57 a 59 a vykonávanie jej povinností.

3. Pokiaľ nie je inak výslovne vylúčené, odkazy na orgány pre prístup k zdravotným údajom v tomto nariadení v súvislosti s plnením úloh a plnením povinností sa chápu tak, že sa vzťahujú aj na Komisiu, ak sú držiteľmi zdravotných údajov inštitúcie, orgány, úrady alebo agentúry Únie.

Článok 57

Úlohy orgánov pre prístup k zdravotným údajom

1. Orgány pre prístup k zdravotným údajom vykonávajú tieto úlohy:

rozhodovanie o žiadostiach o prístup k zdravotným údajom podľa článku 67 tohto nariadenia, schvaľovanie a vydávanie povolení na prístup k údajom podľa článku 68 tohto nariadenia na prístup k elektronickým zdravotným údajom, ktoré patria do ich pôsobnosti, na sekundárne používanie a rozhodovanie o žiadostiach o údaje predložených podľa článku 69 tohto nariadenia v súlade s touto kapitolou a kapitolou II nariadenia (EÚ) 2022/868, a to aj pokiaľ ide o:

i)	udeľovanie prístupu k elektronickým zdravotným údajom používateľom zdravotných údajov podľa povolenia na prístup k údajom v zabezpečenom prostredí spracúvania v súlade s článkom 73;

ii)	monitorovanie a dohliadanie na dodržiavanie požiadaviek stanovených v tomto nariadení používateľmi zdravotných údajov a držiteľmi zdravotných údajov;

iii)	žiadanie o elektronické zdravotné údaje uvedené v článku 51 od príslušných držiteľov zdravotných údajov podľa povolenia vydaného na prístup k údajom alebo schválenej žiadosti o zdravotné údaje;

b)	spracúvanie elektronických zdravotných údajov uvedených v článku 51, ako je napríklad prijímanie, kombinovanie, príprava a zostavovanie takýchto údajov na žiadosť držiteľov zdravotných údajov a pseudonymizáciou alebo anonymizáciou údajov;

c)	prijímanie všetkých opatrení potrebných na zachovanie dôvernosti práv duševného vlastníctva, na regulačnú ochranu údajov a na zachovanie dôvernosti obchodného tajomstva, ako sa stanovuje v článku 52, pričom zohľadňujú relevantné práva držiteľa zdravotných údajov aj používateľa zdravotných údajov;

d)	spolupráca s držiteľmi zdravotných údajov a vykonávanie dohľadu nad nimi s cieľom zabezpečiť jednotné a presné zavádzanie ustanovení o označení kvality a využiteľnosti údajov v článku 78;

udržiavanie systému riadenia na účely zaznamenávania a spracúvania žiadostí o prístup k zdravotným údajom, žiadostí o zdravotné údaje, rozhodnutí o týchto žiadostiach a vydaných povolení na prístup k údajom a vybavených žiadostí o zdravotné údaje, pričom poskytujú aspoň informácie o mene žiadateľa o zdravotné údaje, účele prístupu, dátume vydania a trvaní povolenia na prístup k údajom a opis žiadosti o prístup k údajom alebo žiadosti o prístup k zdravotným údajom;

f)	udržiavanie verejného informačného systému s cieľom plniť povinnosti uvedené v článku 58;

g)	spolupráca na úrovni Únie a na vnútroštátnej úrovni pri stanovení spoločných noriem, technických požiadaviek a vhodných opatrení na prístup k elektronickým zdravotným údajom v zabezpečenom prostredí spracúvania;

h)	spolupráca na úrovni Únie a na vnútroštátnej úrovni a poskytovanie poradenstva Komisii o technikách a najlepších postupoch sekundárneho používania a správy elektronických zdravotných údajov;

i)	uľahčovanie cezhraničného prístupu k elektronickým zdravotným údajom na sekundárne používanie uloženým v iných členských štátoch prostredníctvom infraštruktúry HealthData@EU uvedenej v článku 75 a úzka vzájomná spolupráca s Komisiou;

zverejňovanie pomocou elektronických prostriedkov:

i)	vnútroštátneho katalógu súborov údajov, ktorý obsahuje podrobnosti o zdroji a povahe elektronických zdravotných údajov v súlade s článkami 77, 78 a 80, a podmienok sprístupnenia elektronických zdravotných údajov;

ii)	akejkoľvek žiadosti o prístup k zdravotným údajom a žiadosti o zdravotné údaje bez zbytočného odkladu po ich prvom prijatí;

iii)	všetkých vydaných povolení na prístup k údajom alebo schválených žiadostí o zdravotné údaje, ako aj rozhodnutí o zamietnutí vrátane odôvodnenia, a to do 30 pracovných dní od vydania, schválenia alebo zamietnutia;

iv)	opatrení týkajúcich sa nesúladu podľa článku 63;

v)	výsledkov oznámených používateľmi zdravotných údajov podľa článku 61 ods. 4;

vi)	informačného systému s cieľom plniť povinnosti uvedené v článku 58;

vii)

informácií, minimálne na ľahko prístupnom webovom sídle alebo webovom portáli, o pripojení národných kontaktných miest tretej krajiny na sekundárne používanie alebo systému zriadeného na medzinárodnej úrovni medzinárodnou organizáciou k infraštruktúre HealthData@EU, hneď ako sa tretia krajina alebo medzinárodná organizácia stane oprávneným účastníkom infraštruktúry HealthData@EU;

k)	plnenie povinností voči fyzickým osobám podľa článku 58;

l)	plnenie akýchkoľvek ďalších úloh súvisiacich s tým, aby umožnili sekundárne používanie elektronických zdravotných údajov v súvislosti s týmto nariadením.

Vnútroštátny katalóg súborov údajov uvedený v písm. j) bode i) tohto odseku sa sprístupňuje aj jednotným informačným miestam podľa článku 8 nariadenia (EÚ) 2022/868.

2. Pri vykonávaní svojich úloh orgány pre prístup k zdravotným údajom:

a)	spolupracujú s dozornými orgánmi podľa nariadenia (EÚ) 2016/679 v súvislosti s osobnými elektronickými zdravotnými údajmi a s radou EHDS;

b)	spolupracujú so všetkými príslušnými zainteresovanými stranami vrátane organizácií pacientov, zástupcov fyzických osôb, zdravotníckych pracovníkov, výskumných pracovníkov a etických komisií, v príslušných prípadoch v súlade s právom Únie alebo vnútroštátnym právom;

spolupracujú s ostatnými príslušnými vnútroštátnymi subjektmi vrátane príslušných vnútroštátnych orgánov dohľadu nad organizáciami dátového altruizmu podľa nariadenia (EÚ) 2022/868, príslušných orgánov podľa nariadenia (EÚ) 2023/2854 a príslušných vnútroštátnych orgánov podľa nariadení (EÚ) 2017/745, (EÚ) 2017/746 a (EÚ) 2024/1689.

3. Orgány pre prístup k zdravotným údajom môžu poskytovať pomoc subjektom verejného sektora, keď tieto subjekty verejného sektora pristupujú k elektronickým zdravotným údajom v súlade s článkom 14 nariadenia (EÚ) 2023/2854.

4. Orgány pre prístup k zdravotným údajom môžu poskytovať podporu subjektu verejného sektora, ak tento subjekt získa údaje za okolností uvedených v článku 15 písm. a) alebo b) nariadenia (EÚ) 2023/2854, v súlade s pravidlami stanovenými v uvedenom nariadení, a to poskytnutím technickej podpory pri spracúvaní uvedených údajov alebo ich kombinovaním s inými údajmi v záujme spoločnej analýzy.

Článok 58

Povinnosti orgánov pre prístup k zdravotným údajom voči fyzickým osobám

1. Orgány pre prístup k zdravotným údajom zabezpečia, aby informácie o podmienkach, za ktorých sa elektronické zdravotné údaje sprístupňujú na sekundárne používanie, boli verejne dostupné, ľahko sa vyhľadávali elektronickými prostriedkami a aby boli prístupné pre fyzické osoby. Uvedené informácie zahŕňajú:

a)	právny základ, na ktorom sa prístup k elektronickým zdravotným údajom udeľuje používateľovi zdravotných údajov;

b)	technické a organizačné opatrenia prijaté na ochranu práv fyzických osôb;

c)	príslušné práva fyzických osôb v súvislosti so sekundárnym používaním;

d)	podmienky fyzických osôb na uplatňovanie ich práv v súlade s kapitolou III nariadenia (EÚ) 2016/679;

e)	totožnosť a kontaktné údaje orgánu pre prístup k zdravotným údajom;

f)	komu bol udelený prístup k súborom elektronických zdravotných údajov a ku ktorým súborom údajov bol udelený prístup a podrobnosti povolenia na prístup k údajom, pokiaľ ide o účely spracúvania takýchto údajov, ako sa uvádza v článku 53 ods. 1;

g)	výsledky alebo výstupy projektov, pri ktorých sa elektronické zdravotné údaje použili.

2. Ak členský štát stanovil, že v orgánoch pre prístup k zdravotným údajom sa uplatňuje právo na odmietnutie podľa článku 71, relevantné orgány pre prístup k zdravotným údajom poskytnú verejnosti informácie o postupe odmietnutia a uľahčia výkon uvedeného práva.

3. Ak používateľ zdravotných údajov informoval orgán pre prístup k zdravotným údajom o významnom zistení súvisiacom so zdravím fyzickej osoby, ako sa uvádza v článku 61 ods. 5, orgán pre prístup k zdravotným údajom informuje držiteľa zdravotných údajov o tomto zistení. Držiteľ zdravotných údajov za podmienok stanovených vo vnútroštátnom práve informuje fyzickú osobu alebo zdravotníckeho pracovníka ošetrujúceho dotknutú fyzickú osobu. Fyzické osoby majú právo požiadať, aby neboli informované o takýchto zisteniach.

4. Členské štáty informujú širokú verejnosť o úlohe a prínosoch orgánov pre prístup k zdravotným údajom.

Článok 59

Podávanie správ orgánmi pre prístup k zdravotným údajom

1. Každý orgán pre prístup k zdravotným údajom uverejňuje každé dva roky správu o činnosti a zverejňuje ju na svojom webovom sídle. Ak členský štát určí viac ako jeden orgán pre prístup k zdravotným údajom, za správu o činnosti je zodpovedný koordinačný orgán uvedený v článku 55 ods. 1, ktorý požiada ostatné orgány pre prístup k zdravotným údajom o potrebné informácie. Uvedená správa o činnosti má štruktúru dohodnutú radou EHDS podľa článku 94 ods. 2 písm. d) a musí obsahovať aspoň tieto kategórie informácií:

informácie o predložených žiadostiach o prístup k zdravotným údajom a žiadostiach o zdravotné údaje, napríklad druhy žiadateľov o zdravotné údaje, počet vydaných alebo zamietnutých povolení na prístup k údajom, kategórie účelov prístupu a kategórie prehliadaných elektronických zdravotných údajov a v príslušných prípadoch zhrnutie výsledkov použití elektronických zdravotných údajov;

b)	informácie o splnení regulačných a zmluvných záväzkov používateľmi zdravotných údajov a držiteľmi zdravotných údajov, ako aj o počte a výške správnych pokút uložených orgánmi pre prístup k zdravotným údajom;

c)	informácie o auditoch vykonaných u používateľov zdravotných údajov na zabezpečenie súladu spracúvania, ktoré vykonávajú v zabezpečenom prostredí spracúvania podľa článku 73 ods. 1 písm. e);

d)	informácie o interných auditoch a auditoch tretej strany týkajúcich sa súladu zabezpečených prostredí spracúvania s vymedzenými normami, špecifikáciami a požiadavkami, ako sa uvádza v článku 73 ods. 3;

e)	informácie o vybavovaní žiadostí fyzických osôb v súvislosti s uplatňovaním ich práv na ochranu údajov;

f)	opis činností orgánu pre prístup k zdravotným údajom vykonávaných v súvislosti so zapojením príslušných zainteresovaných strán a s konzultáciami s nimi;

g)	príjmy za povolenia na prístup k údajom a za žiadosti o zdravotné údaje;

h)	priemerný počet dní od podania žiadostí o prístup k zdravotným údajom alebo žiadostí o zdravotné údaje do prístupu k údajom;

i)	počet označení kvality údajov vydaných držiteľmi zdravotných údajov, rozčlenený podľa kategórie kvality;

j)	počet odborne recenzovaných výskumných publikácií, politických dokumentov a regulačných postupov, pri ktorých sa použili údaje prehliadané prostredníctvom EHDS;

k)	počet produktov a služieb elektronického zdravotníctva vrátane aplikácií AI, ktoré boli vyvinuté pomocou údajov prehliadaných prostredníctvom EHDS.

2. Správa o činnosti uvedená v odseku 1 sa predkladá Komisii a rade EHDS do šiestich mesiacov od konca druhého roka príslušného vykazovaného obdobia. Správa o činnosti sa sprístupní na webovom sídle Komisie.

Článok 60

Povinnosti držiteľov zdravotných údajov

1. Držitelia zdravotných údajov sprístupnia relevantné elektronické zdravotné údaje uvedené v článku 51 na požiadanie orgánu pre prístup k zdravotným údajom v súlade s povolením na prístup k údajom vydaným podľa článku 68 alebo na základe žiadosti o zdravotné údaje schválenej podľa článku 69.

2. Držitelia zdravotných údajov dajú požadované elektronické zdravotné údaje uvedené v odseku 1 k dispozícii orgánu pre prístup k zdravotným údajom v primeranej lehote, najneskôr do troch mesiacov od doručenia žiadosti od tohto orgánu. V odôvodnených prípadoch môže orgán pre prístup k zdravotným údajom uvedenú lehotu predĺžiť najviac o tri mesiace.

3. Držiteľ zdravotných údajov v súlade s článkom 77 oznamuje orgánu pre prístup k zdravotným údajom opis súboru údajov, ktorý má v držbe. Držiteľ zdravotných údajov aspoň raz ročne skontroluje, či je opis jeho súboru údajov vo vnútroštátnom katalógu súborov údajov presný a aktuálny.

4. Ak je k súboru údajov pripojené označenie kvality a využiteľnosti údajov podľa článku 78, držiteľ zdravotných údajov poskytuje orgánu pre prístup k zdravotným údajom dostatočnú dokumentáciu, aby tento orgán mohol potvrdiť presnosť označenia.

5. Držitelia iných ako osobných elektronických zdravotných údajov poskytnú prístup k údajom prostredníctvom dôveryhodných otvorených databáz na zabezpečenie neobmedzeného prístupu pre všetkých používateľov, ako aj uchovávania a ochrany údajov. Dôveryhodné otvorené verejné databázy musia mať zavedené spoľahlivé, transparentné a udržateľné riadenie a transparentný model prístupu používateľov.

Článok 61

Povinnosti používateľov zdravotných údajov

1. Používatelia zdravotných údajov môžu prehliadať a spracúvať elektronické zdravotné údaje uvedené v článku 51 na sekundárne používanie len v súlade s povolením na prístup k údajom vydaným podľa článku 68, so žiadosťou o zdravotné údaje schválenou podľa článku 69 alebo v situáciách uvedených v článku 67 ods. 3 so schválením prístupu zo strany príslušného oprávneného účastníka infraštruktúry HealthData@EU uvedenej v článku 75.

2. Pri spracúvaní elektronických zdravotných údajov v zabezpečených prostrediach spracúvania uvedených v článku 73 používatelia zdravotných údajov neposkytujú prístup k elektronickým zdravotným údajom ani nesprístupňujú uvedené údaje tretím stranám, ktoré nie sú uvedené v povolení na prístup k údajom.

3. Používatelia zdravotných údajov nesmú spätne identifikovať ani sa snažiť o opätovnú identifikáciu fyzických osôb, ktorých sa týkajú elektronické zdravotné údaje získané používateľmi zdravotných údajov na základe povolenia na prístup k údajom, žiadosti o zdravotné údaje alebo schválenia prístupu oprávneným účastníkom infraštruktúry HealthData@EU.

4. Používatelia zdravotných údajov zverejňujú výsledky alebo výstupy sekundárneho používania vrátane informácií relevantných z hľadiska poskytovania zdravotnej starostlivosti do 18 mesiacov po dokončení spracúvania elektronických zdravotných údajov v zabezpečenom prostredí spracúvania alebo po doručení odpovede na žiadosť o zdravotné údaje uvedenú v článku 69.

V odôvodnených prípadoch súvisiacich s povolenými účelmi spracúvania elektronických zdravotných údajov môže orgán pre prístup k zdravotným údajom obdobie uvedené v prvom pododseku predĺžiť, najmä v prípadoch, keď sa výsledok uverejňuje vo vedeckom časopise alebo v inej vedeckej publikácii.

Výsledky alebo výstupy sekundárneho používania obsahujú iba anonymné údaje.

Používatelia zdravotných údajov informujú orgány pre prístup k zdravotným údajom, od ktorých dostali povolenie na prístup k údajom, o výsledkoch alebo výstupoch sekundárneho používania a pomáhajú im zverejňovať uvedené informácie na webových sídlach orgánov pre prístup k zdravotným údajom. Takýmto uverejnením nie sú dotknuté práva na uverejňovanie vo vedeckých časopisoch alebo v iných vedeckých publikáciách.

Keď používatelia zdravotných údajov použijú elektronické zdravotné údaje v súlade s touto kapitolou, priznajú zdroje elektronických zdravotných údajov a skutočnosť, že elektronické zdravotné údaje boli získané v rámci EHDS.

5. Bez toho, aby bol dotknutý odsek 2, používatelia zdravotných údajov informujú orgán pre prístup k zdravotným údajom o všetkých významných nálezoch týkajúcich sa zdravia fyzickej osoby, ktorej údaje boli zahrnuté do súboru údajov.

6. Používatelia zdravotných údajov spolupracujú s orgánmi pre prístup k zdravotným údajom pri plnení ich úloh.

Článok 62

Poplatky

1. Orgány pre prístup k zdravotným údajom vrátane služby Únie pre prístup k zdravotným údajom alebo dôveryhodní držitelia zdravotných údajov uvedení v článku 72 môžu účtovať poplatky za sprístupňovanie elektronických zdravotných údajov na sekundárne používanie.

Poplatky musia byť úmerné nákladom na sprístupnenie údajov a nesmú obmedzovať hospodársku súťaž.

Poplatky sčasti alebo úplne pokrývajú náklady, ktoré súvisia s postupom posúdenia žiadosti o prístup k zdravotným údajom alebo žiadosti o zdravotné údaje, vydania, zamietnutia alebo zmeny povolenia na prístup k údajom podľa článkov 67 a 68 alebo poskytnutia odpovede na žiadosť o údaje predloženú podľa článku 69, vrátane nákladov súvisiacich s konsolidáciou, prípravou, pseudonymizáciou, anonymizáciou a poskytovaním elektronických zdravotných údajov.

Členské štáty môžu stanoviť znížené poplatky pre určité typy používateľov zdravotných údajov nachádzajúcich sa v Únii, ako sú subjekty verejného sektora alebo inštitúcie, orgány, úrady a agentúry Únie s právnym mandátom v oblasti verejného zdravia, univerzitní výskumní pracovníci alebo mikropodniky.

2. Poplatky uvedené v odseku 1 tohto článku môžu zahŕňať náhradu nákladov, ktoré vznikli držiteľovi zdravotných údajov pri zostavovaní a príprave elektronických zdravotných údajov, ktoré sa majú sprístupniť na sekundárne používanie. V takýchto prípadoch držiteľ zdravotných údajov poskytne orgánu pre prístup k zdravotným údajom odhad takýchto nákladov. Ak je držiteľom zdravotných údajov subjekt verejného sektora, článok 6 nariadenia (EÚ) 2022/868 sa neuplatňuje. Časť poplatkov súvisiaca s nákladmi držiteľa zdravotných údajov sa vyplatí držiteľovi zdravotných údajov.

3. Všetky poplatky účtované používateľom zdravotných údajov podľa tohto článku musia byť transparentné a nediskriminačné.

4. Ak držitelia zdravotných údajov a používatelia zdravotných údajov nesúhlasia s výškou poplatkov počas prvého mesiaca od vydania povolenia na prístup k údajom, orgán pre prístup k zdravotným údajom môže stanoviť poplatky úmerne k nákladom na sprístupnenie elektronických zdravotných údajov na sekundárne používanie. Ak držitelia zdravotných údajov alebo používatelia zdravotných údajov nesúhlasia s poplatkom stanoveným orgánom pre prístup k zdravotným údajom, musia mať prístup k orgánom na urovnávanie sporov v súlade s článkom 10 nariadenia (EÚ) 2023/2854.

5. Pred vydaním povolenia na prístup k údajom podľa článku 68 alebo poskytnutím odpovede na žiadosť o zdravotné údaje predloženú podľa článku 69 orgán pre prístup k zdravotným údajom informuje žiadateľa o zdravotné údaje o odhadovaných poplatkoch. Žiadateľ o zdravotné údaje musí byť informovaný o možnosti stiahnuť žiadosť o prístup k zdravotným údajom alebo žiadosť o zdravotné údaje. Ak žiadateľ o zdravotné údaje svoju žiadosť stiahne, vyúčtujú sa mu len tie náklady, ktoré už vznikli.

6. Komisia prostredníctvom vykonávacích aktov stanoví zásady politík poplatkov a štruktúr poplatkov vrátane zrážok pre subjekty uvedené v odseku 1 štvrtom pododseku tohto článku s cieľom podporiť jednotnosť a transparentnosť medzi členskými štátmi, pokiaľ ide o takéto politiky poplatkov a štruktúry poplatkov. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 63

Presadzovanie orgánmi pre prístup k zdravotným údajom

1. Orgány pre prístup k zdravotným údajom majú pri vykonávaní svojich úloh monitorovania a dohľadu uvedených v článku 57 ods. 1 písm. a) bode ii) právo požadovať a prijímať od používateľov zdravotných údajov a držiteľov zdravotných údajov všetky potrebné informácie na overenie súladu s touto kapitolou.

2. Ak orgány pre prístup k zdravotným údajom zistia, že používateľ zdravotných údajov alebo držiteľ zdravotných údajov nedodržiava požiadavky tejto kapitoly, okamžite oznámia tieto zistenia používateľovi zdravotných údajov alebo držiteľovi zdravotných údajov a prijmú vhodné opatrenia. Dotknutý orgán pre prístup k zdravotným údajom poskytne dotknutému používateľovi zdravotných údajov alebo držiteľovi zdravotných údajov príležitosť na vyjadrenie svojho stanoviska v primeranej lehote, ktorá nesmie presiahnuť štyri týždne.

Ak sa zistenie o nedodržiavaní požiadaviek týka možného porušenia nariadenia (EÚ) 2016/679, dotknutý orgán pre prístup k zdravotným údajom okamžite informuje dozorné orgány podľa uvedeného nariadenia a poskytne im všetky relevantné informácie v súvislosti s uvedeným zistením.

3. Pokiaľ ide o nedodržiavanie požiadaviek zo strany používateľov zdravotných údajov, orgány pre prístup k zdravotným údajom majú právomoc odvolať povolenie na prístup k údajom vydané podľa článku 68 a bez zbytočného odkladu zastaviť dotknutú operáciu spracúvania elektronických zdravotných údajov, ktorú vykonáva používateľ zdravotných údajov, a prijmú vhodné a primerané opatrenia na zabezpečenie spracúvania používateľom zdravotných údajov, ktoré bude v súlade s pravidlami.

Ako súčasť takýchto opatrení na presadzovanie pravidiel môžu tiež orgány pre prístup k zdravotným údajom vo vhodných prípadoch vylúčiť alebo začať konanie s cieľom vylúčiť dotknutého používateľa zdravotných údajov v súlade s vnútroštátnym právom z akéhokoľvek prístupu k elektronickým zdravotným údajom v rámci EHDS v súvislosti so sekundárnym používaním na obdobie piatich rokov.

4. Pokiaľ ide o nedodržiavanie požiadaviek zo strany držiteľa zdravotných údajov, ak držiteľ zdravotných údajov odmietne vydať elektronické zdravotné údaje orgánom pre prístup k zdravotným údajom so zjavným úmyslom zabrániť použitiu elektronických zdravotných údajov alebo nedodrží lehoty stanovené v článku 60 ods. 2, orgán pre prístup k zdravotným údajom má právomoc uložiť držiteľovi zdravotných údajov za každý deň omeškania pravidelné platby penále, ktoré musia byť transparentné a primerané. Výšku pokút stanovuje orgán pre prístup k zdravotným údajom v súlade s vnútroštátnym právom. V prípade, že držiteľ zdravotných údajov opakovane poruší povinnosť spolupráce s orgánom pre prístup k zdravotným údajom, tento orgán môže v súlade s vnútroštátnym právom vylúčiť alebo začať konanie o vylúčení dotknutého držiteľa údajov z predkladania žiadostí o prístup k zdravotným údajom podľa tejto kapitoly na obdobie najviac piatich rokov. Počas obdobia uvedeného vylúčenia je držiteľ zdravotných údajov v príslušných prípadoch stále povinný sprístupňovať údaje podľa tejto kapitoly.

5. Orgán pre prístup k zdravotným údajom bezodkladne oznámi dotknutému používateľovi alebo držiteľovi zdravotných údajov opatrenia na presadzovanie pravidiel prijaté podľa odsekov 3 a 4, ako aj ich dôvody, a stanoví používateľovi zdravotných údajov alebo držiteľovi zdravotných údajov primeranú lehotu na dosiahnutie súladu s uvedenými opatreniami.

6. Všetky opatrenia na presadzovanie pravidiel prijaté orgánom pre prístup k zdravotným údajom podľa odseku 3 sa oznamujú ostatným orgánom pre prístup k zdravotným údajom prostredníctvom IT nástroja uvedeného v odseku 7. Orgány pre prístup k zdravotným údajom môžu uvedené informácie zverejniť na svojich webových sídlach.

7. Komisia prostredníctvom vykonávacích aktov stanoví architektúru IT nástroja, ako súčasť infraštruktúry HealthData@EU uvedenej v článku 75, určenú na podporu a sprehľadnenie opatrení na presadzovanie pravidiel uvedených v tomto článku, najmä pravidelných platieb penále, odvolaní povolení na prístup k údajom a vylúčení, pre ostatné orgány pre prístup k zdravotným údajom. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

8. Komisia do 26. marca 2032 vydá v úzkej spolupráci s radou EHDS usmernenia týkajúce sa opatrení na presadzovanie pravidiel vrátane pravidelných platieb penále a iných opatrení, ktoré majú orgány pre prístup k zdravotným údajom prijať.

Článok 64

Všeobecné podmienky ukladania správnych pokút orgánmi pre prístup k zdravotným údajom

1. Každý orgán pre prístup k zdravotným údajom zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia uvedené v odsekoch 4 a 5 v každom jednotlivom prípade účinné, primerané a odrádzajúce.

2. Správne pokuty sa v závislosti od okolností každého jednotlivého prípadu ukladajú popri opatreniach na presadzovanie pravidiel uvedených v článku 63 ods. 3 a 4 alebo namiesto nich. Orgány pre prístup k zdravotným údajom rozhodnú o tom, či uložia správnu pokutu a o jej výške v každom jednotlivom prípade náležite zohľadňujúc tieto okolnosti:

a)	povaha, závažnosť a trvanie porušenia;

b)	či už iné príslušné orgány uložili za rovnaké porušenie sankcie alebo správne pokuty;

c)	úmyselná alebo nedbanlivostná povaha porušenia;

d)	akékoľvek opatrenie prijaté držiteľom zdravotných údajov alebo používateľom zdravotných údajov na zmiernenie spôsobenej škody;

e)	stupeň zodpovednosti používateľa zdravotných údajov s prihliadnutím na technické a organizačné opatrenia, ktoré vykonal tento používateľ zdravotných údajov podľa článku 67 ods. 2 písm. g) a článku 67 ods. 4;

f)	akékoľvek relevantné predchádzajúce porušenia zo strany držiteľa zdravotných údajov alebo používateľa zdravotných údajov;

g)	miera spolupráce držiteľa zdravotných údajov alebo používateľa zdravotných údajov s orgánom pre prístup k zdravotným údajom, pokiaľ ide o nápravu porušenia a zmierňovania jeho možných nepriaznivých účinkov;

h)	spôsob, akým sa orgán pre prístup k zdravotným údajom o porušení dozvedel, najmä to, či a v akom rozsahu mu používateľ zdravotných údajov porušenie oznámil;

i)	súlad so všetkými opatreniami na presadzovanie pravidiel uvedenými v článku 63 ods. 3 a 4, ktoré boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci nariadené;

j)	akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.

3. Ak držiteľ zdravotných údajov alebo používateľ zdravotných údajov úmyselne alebo z nedbanlivosti poruší viacero ustanovení tohto nariadenia v prípade rovnakého či prepojeného povolenia na prístup k zdravotným údajom alebo rovnakej či prepojenej žiadosti o zdravotné údaje, celková suma správnej pokuty nepresiahne výšku stanovenú za najzávažnejšie porušenie.

4. V súlade s odsekom 2 tohto článku sa za porušenie povinností držiteľa zdravotných údajov alebo používateľa zdravotných údajov podľa článku 60 a článku 61 ods. 1, 5 a 6 uložia správne pokuty až do maximálnej výšky 10 000 000 EUR alebo v prípade podniku až do maximálnej výšky 2 % z jeho celkového celosvetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

5. V súlade s odsekom 2 sa správne pokuty ukladajú v maximálnej výške 20 000 000 EUR alebo v prípade podniku v maximálnej výške 4 % jeho celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, za tieto porušenia:

a)	používatelia zdravotných údajov spracúvajú elektronické zdravotné údaje získané prostredníctvom povolenia na prístup k údajom vydaného podľa článku 68 na používania uvedené v článku 54;

b)	používatelia zdravotných údajov sťahujú osobné elektronické zdravotné údaje zo zabezpečených prostredí spracúvania;

c)	spätná identifikácia alebo snaha o spätnú identifikáciu fyzických osôb, ktorých sa týkajú elektronické zdravotné údaje, ktoré získali používatelia zdravotných údajov na základe povolenia na prístup k údajom alebo žiadosti o zdravotné údaje podľa článku 61 ods. 3;

d)	nedodržiavanie opatrení na presadzovanie pravidiel prijatých orgánom pre prístup k zdravotným údajom podľa článku 63 ods. 3 a 4.

6. Bez toho, aby boli dotknuté právomoci orgánov pre prístup k zdravotným údajom podľa článku 63, každý členský štát môže stanoviť pravidlá, či a v akom rozsahu sa môžu správne pokuty uložiť orgánom verejnej moci a subjektom verejného sektora zriadeným v danom členskom štáte.

7. Výkon právomocí orgánu pre prístup k zdravotným údajom podľa tohto článku podlieha primeraným procesným zárukám v súlade s právom Únie a vnútroštátnym právom vrátane účinných súdnych prostriedkov nápravy a riadneho procesu.

8. Ak sa v právnom systéme členského štátu nestanovujú správne pokuty, tento článok sa môže uplatňovať tak, že sa v súlade s jeho vnútroštátnym právnym rámcom zabezpečí, aby tieto právne prostriedky nápravy boli účinné a mali rovnocenný účinok ako správne pokuty ukladané orgánmi pre prístup k zdravotným údajom. Ukladané pokuty musia byť v každom prípade účinné, primerané a odrádzajúce. Dotknutý členský štát oznámi Komisii ustanovenia právnych predpisov, ktoré prijme podľa tohto odseku do 26. marca 2029 a bezodkladne akýkoľvek následný právny predpis, ktorým sa menia takéto ustanovenia alebo zmeny, ktoré majú vplyv na takéto ustanovenia.

Článok 65

Vzťah s dozornými orgánmi podľa nariadenia (EÚ) 2016/679

Dozorný orgán alebo orgány zodpovedné za monitorovanie a presadzovanie uplatňovania nariadenia (EÚ) 2016/679 zodpovedajú aj za monitorovanie a presadzovanie uplatňovania práva odmietnuť spracúvanie osobných elektronických zdravotných údajov na sekundárne používanie podľa článku 71. Uvedené dozorné orgány sú oprávnené ukladať správne pokuty do výšky uvedenej v článku 83 nariadenia (EÚ) 2016/679.

Dozorné orgány uvedené v prvom odseku tohto článku a orgány pre prístup k zdravotným údajom uvedené v článku 55 tohto nariadenia v relevantných prípadoch spolupracujú pri presadzovaní tohto nariadenia v rámci svojich príslušných právomocí. Relevantné ustanovenia nariadenia (EÚ) 2016/679 sa uplatňujú mutatis mutandis.

ODDIEL 3

Prístup k elektronickým zdravotným údajom na sekundárne používanie

Článok 66

Minimalizácia údajov a obmedzenie účelu

1. Ak orgány pre prístup k zdravotným údajom dostanú žiadosť o prístup k zdravotným údajom, zabezpečia aby sa prístup poskytoval len k elektronickým zdravotným údajom, ktoré sú primerané, relevantné a obmedzené na to, čo je potrebné v súvislosti s účelom spracúvania, ktorý uviedol používateľ zdravotných údajov v žiadosti o prístup k zdravotným údajom, a to v súlade s vydaným povolením na prístup k údajom podľa článku 68.

2. Orgány pre prístup k zdravotným údajom poskytujú elektronické zdravotné údaje v anonymizovanom formáte, ak účel spracúvania používateľom zdravotných údajov možno so zreteľom na informácie, ktoré používateľ zdravotných údajov poskytol, dosiahnuť pomocou takýchto údajov.

3. Ak používateľ zdravotných údajov dostatočne preukázal, že účel spracúvania nemožno splniť pomocou anonymizovaných údajov v súlade s článkom 68 ods. 1 písm. c), orgány pre prístup k zdravotným údajom poskytnú prístup k elektronickým zdravotným údajom v pseudonymizovanom formáte. Informácie potrebné na reverznú pseudonymizáciu sú dostupné len orgánu pre prístup k zdravotným údajom alebo subjektu, ktorý koná ako dôveryhodná tretia strana v súlade s vnútroštátnym právom.

Článok 67

Žiadosti o prístup k údajom

1. Fyzická alebo právnická osoba môže orgánu pre prístup k zdravotným údajom predložiť žiadosť o prístup k zdravotným údajom na účely uvedené v článku 53 ods. 1.

2. Žiadosť o prístup k zdravotným údajom obsahuje:

totožnosť žiadateľa o zdravotné údaje, opis jeho odborných funkcií a činností vrátane totožnosti fyzických osôb, ktoré by mali mať prístup k elektronickým zdravotným údajom, ak bolo povolenie na prístup k údajom vydané; žiadateľ o zdravotné údaje oznámi orgánu pre prístup k zdravotným údajom každú aktualizáciu zoznamu fyzických osôb;

b)	účely uvedené v článku 53 ods. 1, na ktoré sa žiada o prístup k údajom;

c)	podrobné vysvetlenie zamýšľaného použitia elektronických zdravotných údajov a očakávaného prínosu uvedeného používania a toho, ako by uvedený prínos prispieval k účelom uvedeným v článku 53 ods. 1;

opis požadovaných elektronických zdravotných údajov vrátane ich rozsahu, časového rozpätia, formátu, zdrojov a, ak je to možné, geografického pokrytia, pokiaľ sa žiada o takéto údaje od držiteľov zdravotných údajov vo viacerých členských štátoch alebo od oprávnených účastníkov infraštruktúry HealthData@EU uvedených v odseku 75;

e)	opis vysvetľujúci, či je potrebné sprístupniť elektronické zdravotné údaje v pseudonymizovanom alebo anonymizovanom formáte; v prípade pseudonymizovaného formátu dôvod, prečo sa spracúvanie nemôže vykonať s použitím anonymizovaných údajov;

f)	ak má žiadateľ o zdravotné údaje v úmysle priniesť do zabezpečeného prostredia spracúvania súbory údajov, ktoré už má v držbe, opis týchto súborov údajov;

opis záruk, ktoré majú byť primerané rizikám, plánovaných na zabránenie akémukoľvek zneužitiu elektronických zdravotných údajov, ako aj na ochranu práv a záujmov držiteľa zdravotných údajov a dotknutých fyzických osôb vrátane zabránenia akejkoľvek spätnej identifikácii fyzických osôb v súbore údajov;

h)	odôvodnený odhad obdobia, počas ktorého budú elektronické zdravotné údaje potrebné na spracúvanie v zabezpečenom prostredí spracúvania;

i)	opis nástrojov a výpočtových zdrojov potrebných pre zabezpečené prostredie spracúvania;

j)	v príslušných prípadoch informácie o akomkoľvek posúdení etických hľadísk spracúvania, ktoré sa vyžaduje podľa vnútroštátneho práva, ktoré môže slúžiť ako náhrada vlastného etického posúdenia žiadateľa o zdravotné údaje;

k)	ak má žiadateľ o zdravotné údaje v úmysle využiť výnimku podľa článku 71 ods. 4, odôvodnenie požadované podľa vnútroštátneho práva podľa uvedeného článku.

3. Pri žiadaní o prístup k elektronickým zdravotným údajom, ktoré majú v držbe držitelia zdravotných údajov usadení vo viac ako jednom členskom štáte alebo od príslušných oprávnených účastníkov infraštruktúry HealthData@EU uvedenej v článku 75, žiadateľ o zdravotné údaje predloží jedinú žiadosť o prístup k zdravotným údajom prostredníctvom orgánu pre prístup k zdravotným údajom členského štátu, v ktorom sa nachádza hlavné miesto podnikateľskej činnosti žiadateľa o zdravotné údaje, prostredníctvom orgánu pre prístup k zdravotným údajom členského štátu, v ktorom je usadený jeden z týchto držiteľov zdravotných údajov, alebo prostredníctvom služieb poskytovaných Komisiou v rámci infraštruktúry HealthData@EU uvedenej v článku 75. Žiadosť o prístup k zdravotným údajom sa automaticky postúpi príslušným oprávneným účastníkom infraštruktúry HealthData@EU a orgánom pre prístup k zdravotným údajom členských štátov, v ktorých sú usadení držitelia zdravotných údajov identifikovaní v žiadosti o prístup k údajom.

4. Pri žiadaní o prístup k osobným elektronickým zdravotným údajom v pseudonymizovanom formáte, žiadateľ o zdravotné údaje poskytne spolu so žiadosťou o prístup k zdravotným údajom opis toho, ako by spracúvanie bolo v súlade s príslušným právom Únie a vnútroštátnym právom o ochrane údajov a súkromia, najmä s nariadením (EÚ) 2016/679 a konkrétne s jeho článkom 6 ods. 1.

5. Subjekty verejného sektora a inštitúcie, orgány, úrady a agentúry Únie poskytujú rovnaké informácie, ako sa vyžadujú podľa odsekov 2 a 4, okrem odseku 2 písm. h), v prípade ktorého namiesto toho predkladajú informácie týkajúce sa obdobia, počas ktorého možno mať k elektronickým zdravotným údajom prístup, frekvenciu tohto prístupu alebo frekvenciu aktualizácií údajov.

Článok 68

Povolenie na prístup k údajom

1. Na účely udelenia prístupu k elektronickým zdravotným údajom, orgány pre prístup k zdravotným údajom posúdia, či sú splnené všetky tieto kritériá:

a)	účely opísané v žiadosti o prístup k údajom zodpovedajú jednému alebo viacerým účelom uvedeným v článku 53 ods. 1;

b)	požadované údaje sú potrebné, vhodné a primerané účelom opísaným v žiadosti o prístup k zdravotným údajom, berúc do úvahy požiadavky na minimalizáciu údajov a obmedzenie účelu stanovené v článku 66;

c)	spracúvanie je v súlade s článkom 6 ods. 1 nariadenia (EÚ) 2016/679 a v prípade pseudonymizovaných údajov existuje dostatočné odôvodnenie, že účel nemožno dosiahnuť pomocou anonymizovaných údajov;

žiadateľ o zdravotné údaje je kvalifikovaný vzhľadom na účely určenia používania údajov a má primerané odborné znalosti vrátane odborných kvalifikácií v oblasti zdravotnej starostlivosti, inej starostlivosti, verejného zdravia alebo výskumu, ktoré sú v súlade s etickou praxou a príslušnými zákonmi a inými právnymi predpismi;

e)	žiadateľ o zdravotné údaje preukáže dostatočné technické a organizačné opatrenia na zabránenie zneužitia elektronických zdravotných údajov a na ochranu práv a záujmov držiteľa údajov a dotknutých fyzických osôb;

f)	informácie o posúdení etických hľadísk spracúvania uvedenom v článku 67 ods. 2 písm. j) sú v príslušných prípadoch v súlade s vnútroštátnymi právom;

g)	ak má žiadateľ o zdravotné údaje v úmysle využiť výnimku podľa článku 71 ods. 4, bolo poskytnuté odôvodnenie požadované podľa vnútroštátneho práva prijatého podľa uvedeného článku;

h)	žiadateľ o zdravotné údaje spĺňa všetky ostatné požiadavky tejto kapitoly.

2. Orgán pre prístup k zdravotným údajom zohľadňuje aj tieto riziká:

a)	riziká pre národnú obranu, bezpečnosť, verejnú bezpečnosť a verejný poriadok;

b)	riziko narušenia dôverných údajov vo vládnych databázach regulačných orgánov.

3. Ak orgán pre prístup k zdravotným údajom dospeje k záveru, že požiadavky uvedené v odseku 1 sú splnené a riziká uvedené v odseku 2 sú dostatočne zmiernené, orgán pre prístup k zdravotným údajom povolí prístup k elektronickým zdravotným údajom vydaním povolenia na prístup k údajom. Orgány pre prístup k zdravotným údajom zamietnu všetky žiadosti o prístup k zdravotným údajom, ktoré nespĺňajú požiadavky tejto kapitoly.

Ak nie sú splnené požiadavky na vydanie povolenia na prístup k údajom, ale sú splnené požiadavky na poskytnutie odpovede v anonymizovanom štatistickom formáte podľa článku 69, orgán pre prístup k zdravotným údajom sa môže rozhodnúť poskytnúť takúto odpoveď pod podmienkou, že by poskytnutie uvedenej odpovede zmiernilo riziká a ak možno účel žiadosti o prístup k zdravotným údajom splniť týmto spôsobom, že žiadateľ o zdravotné údaje súhlasí s tým, že dostane odpoveď v anonymizovanom štatistickom formáte podľa článku 69.

4. Orgán pre prístup k zdravotným údajom odchylne od nariadenia (EÚ) 2022/868 vydá alebo zamietne povolenie na prístup k údajom do troch mesiacov od doručenia úplnej žiadosti o prístup k zdravotným údajom. Ak orgán pre prístup k zdravotným údajom zistí, že žiadosť o prístup k zdravotným údajom je neúplná, oznámi to žiadateľovi o zdravotné údaje, ktorý dostane možnosť túto žiadosť doplniť. Ak žiadateľ o zdravotné údaje nedoplní žiadosť o prístup k zdravotným údajom do štyroch týždňov, povolenie na prístup k údajom sa nevydá.

Orgán pre prístup k zdravotným údajom môže predĺžiť lehotu na odpoveď na žiadosť o prístup k zdravotným údajom o ďalšie tri mesiace, ak je to potrebné, so zreteľom na naliehavosť a zložitosť žiadosti o prístup k zdravotným údajom a objem žiadostí o prístup k zdravotným údajom predložených na rozhodnutie. V takýchto prípadoch orgán pre prístup k zdravotným údajom čo najskôr oznámi žiadateľovi o prístup k zdravotným údajom, že preskúmaniu žiadosti o prístup k zdravotným údajom treba venovať viac času, spolu s dôvodmi oneskorenia.

5. Pri vybavovaní žiadostí o prístup k zdravotným údajom v prípade cezhraničného prístupu k elektronickým zdravotným údajom uvedeného v článku 67 ods. 3 orgány pre prístup k zdravotným údajom a príslušní oprávnení účastníci infraštruktúry HealthData@EU uvedenej v článku 75 naďalej zodpovedajú za prijímanie rozhodnutí o udelení alebo zamietnutí prístupu k elektronickým zdravotným údajom v rámci svojej pôsobnosti a v súlade s touto kapitolou.

Orgány pre prístup k zdravotným údajom a oprávnení účastníci infraštruktúry HealthData@EU sa navzájom informujú o svojich rozhodnutiach. Uvedené informácie môžu zohľadniť pri rozhodovaní o udelení alebo zamietnutí prístupu k elektronickým zdravotným údajom.

Na povolenie na prístup k údajom vydané jedným orgánom pre prístup k zdravotným údajom sa môže uplatniť vzájomné uznávanie ostatnými orgánmi pre prístup k zdravotným údajom.

6. Členské štáty stanovia zrýchlený postup podávania žiadostí o prístup k zdravotným údajom pre subjekty verejného sektora a inštitúcie, orgány, úrady a agentúry Únie s právnym mandátom v oblasti verejného zdravia, ak sa má spracúvanie elektronických zdravotných údajov vykonávať na účely stanovené v článku 53 ods. 1 písm. a), b) a c).

Ak sa uplatňuje takýto zrýchlený postup, orgán pre prístup k zdravotným údajom vydá alebo zamietne povolenie na prístup k údajom do dvoch mesiacov od doručenia úplnej žiadosti o prístup k zdravotným údajom. Orgán pre prístup k zdravotným údajom môže v prípade potreby predĺžiť lehotu na odpoveď na žiadosť o prístup k zdravotným údajom o jeden ďalší mesiac.

7. Po vydaní povolenia na prístup k údajom si orgán pre prístup k zdravotným údajom okamžite vyžiada elektronické zdravotné údaje od držiteľa zdravotných údajov. Orgán pre prístup k zdravotným údajom sprístupní elektronické zdravotné údaje používateľovi zdravotných údajov do dvoch mesiacov po ich prijatí od držiteľov zdravotných údajov, pokiaľ orgán pre prístup k zdravotným údajom neuvedie, že sa údaje majú poskytnúť v dlhšom špecifikovanom časovom rámci.

8. V prípadoch uvedených v odseku 5 prvom pododseku tohto článku orgány pre prístup k zdravotným údajom a oprávnení účastníci infraštruktúry HealthData@EU, ktorí vydali povolenie na prístup k údajom alebo schválili prístup, môžu rozhodnúť o poskytnutí prístupu k elektronickým zdravotným údajom v zabezpečenom prostredí spracúvania, ktoré poskytuje Komisia, ako sa uvádza v článku 75 ods. 9.

9. Ak orgán pre prístup k zdravotným údajom odmietne vydať povolenie na prístup k údajom, žiadateľovi o zdravotné údaje poskytne odôvodnenie odmietnutia.

10. Pri vydávaní povolenia na prístup k údajom orgán pre prístup k zdravotným údajom stanoví v tomto povolení na prístup k údajom všeobecné podmienky uplatniteľné na používateľa zdravotných údajov. Povolenie na prístup k údajom musí obsahovať:

a)	kategórie, špecifikáciu a formát elektronických zdravotných údajov, ktoré sa majú prehliadať a na ktoré sa vzťahuje povolenie na prístup k údajom, vrátane ich zdrojov a údaje o tom, či sa majú elektronické zdravotné údaje prehliadať v pseudonymizovanom formáte v zabezpečenom prostredí;

b)	podrobný opis účelu, na ktorý sa elektronické zdravotné údaje sprístupňujú;

c)	ak je mechanizmus na vykonávanie výnimky stanovený a uplatniteľný podľa článku 71 ods. 4, informácie o tom, či bol uplatnený, a dôvod súvisiaceho rozhodnutia;

d)	totožnosť oprávnených osôb, najmä totožnosť hlavného vyšetrovateľa s právami na prístup k elektronickým zdravotným údajom v zabezpečenom prostredí spracúvania;

e)	trvanie povolenia na prístup k údajom;

f)	informácie o technických charakteristikách a nástrojoch dostupných pre používateľa zdravotných údajov v zabezpečenom prostredí spracúvania;

g)	poplatky, ktoré má používateľ zdravotných údajov zaplatiť;

h)	všetky osobitné podmienky.

11. Používatelia zdravotných údajov majú právo na prístup k elektronickým zdravotným údajom v zabezpečenom prostredí spracúvania a ich spracúvanie v takom prostredí v súlade s povolením na prístup k údajom vydaným na základe tohto nariadenia.

12. Povolenie na prístup k údajom sa vydáva na obdobie potrebné na splnenie požadovaných účelov a toto obdobie nesmie presiahnuť 10 rokov. Uvedené obdobie možno na žiadosť používateľa zdravotných údajov jedenkrát predĺžiť na obdobie, ktoré nepresahuje 10 rokov, na základe tvrdení a dokumentov odôvodňujúcich uvedené predĺženie, ktoré sa predložia jeden mesiac pred uplynutím platnosti povolenia na prístup k údajom. Orgán pre prístup k zdravotným údajom môže účtovať poplatky, ktoré sa zvyšujú tak, aby zodpovedali nákladom a rizikám uchovávania elektronických zdravotných údajov na obdobie, ktoré presahuje pôvodné obdobie. V záujme zníženia týchto nákladov a poplatkov môže orgán pre prístup k zdravotným údajom navrhnúť používateľovi zdravotných údajov aj uloženie súboru údajov v systéme uchovávania so zníženými možnosťami. Takéto znížené možnosti nesmú mať vplyv na bezpečnosť spracúvaného súboru údajov. Elektronické zdravotné údaje v zabezpečenom prostredí spracúvania sa vymažú do šiestich mesiacov od uplynutia platnosti povolenia na prístup k údajom. Na žiadosť používateľa zdravotných údajov môže orgán pre prístup k zdravotným údajom uchovať vzorec na vytvorenie požadovaného súboru údajov.

13. Ak treba povolenie na prístup k údajom aktualizovať, používateľ zdravotných údajov predloží žiadosť o zmenu povolenia na prístup k údajom.

14. Komisia môže prostredníctvom vykonávacieho aktu vytvoriť logo na priznanie prínosu EHDS. Uvedený vykonávací akt sa prijme v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 69

Žiadosť o zdravotné údaje

1. Žiadateľ o zdravotné údaje môže predložiť žiadosť o zdravotné údaje na účely uvedené v článku 53 s cieľom získať odpoveď len v anonymizovanom štatistickom formáte. Orgán pre prístup k zdravotným údajom neposkytuje odpoveď na žiadosť o zdravotné údaje v žiadnom inom formáte a používateľ zdravotných údajov nemá žiadny prístup k elektronickým zdravotným údajom použitým na poskytnutie uvedenej odpovede.

2. Žiadosť o zdravotné údaje uvedená v odseku 1 musí obsahovať tieto informácie:

a)	totožnosť žiadateľa o zdravotné údaje a opis odborných funkcií a činností tohto žiadateľa o zdravotné údaje;

b)	podrobné vysvetlenie zamýšľaného použitia elektronických zdravotných údajov vrátane účelov uvedených v článku 53 ods. 1, na ktoré je žiadosť o zdravotné údaje predložená;

c)	opis požadovaných elektronických zdravotných údajov, ich formát a, ak je to možné, zdroje uvedených údajov;

d)	opis štatistického obsahu;

e)	opis plánovaných záruk na zabránenie akémukoľvek zneužitiu požadovaných elektronických zdravotných údajov;

f)	opis toho, ako sa pri spracúvaní dodrží článok 6 ods. 1 nariadenia (EÚ) 2016/679 alebo článok 5 ods. 1 a článok 10 ods. 2 nariadenia (EÚ) 2018/1725;

g)	ak má žiadateľ o zdravotné údaje v úmysle využiť výnimku podľa článku 71 ods. 4, vysvetlenie požadované v uvedenej súvislosti podľa vnútroštátneho práva podľa uvedeného článku.

3. Orgán pre prístup k zdravotným údajom posúdi, či je žiadosť o zdravotné údaje úplná a zohľadní riziká uvedené v článku 68 ods. 2.

4. Orgán pre prístup k zdravotným údajom posúdi žiadosť o zdravotné údaje do troch mesiacov od jej doručenia a, ak je to možné, do ďalších troch mesiacov následne poskytne používateľovi zdravotných údajov výsledky jeho posúdenia.

Článok 70

Vzory na podporu prístupu k elektronickým zdravotným údajom na sekundárne používanie

Komisia do 26. marca 2027 prostredníctvom vykonávacích aktov stanoví vzory žiadosti o prístup k zdravotným údajom, povolenia na prístup k údajom a žiadosti o zdravotné údaje uvedené v článkoch 67, 68 a 69. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 71

Právo odmietnuť spracúvanie osobných elektronických zdravotných údajov na sekundárne používanie

1. Fyzické osoby majú právo kedykoľvek a bez poskytnutia akéhokoľvek dôvodu odmietnuť spracúvanie osobných elektronických zdravotných údajov, ktoré sa ich týkajú, na sekundárne používanie podľa tohto nariadenia. Výkon uvedeného práva musí byť zvratný.

2. Členské štáty zabezpečia prístupný a ľahko zrozumiteľný mechanizmus odmietnutia na uplatnenie práva stanoveného v odseku 1, ktorým fyzické osoby môžu výslovne uviesť, že si neželajú, aby boli ich osobné elektronické zdravotné údaje spracúvané na sekundárne používanie.

3. Po tom, ako fyzické osoby uplatnili právo odmietnuť spracúvanie, a ak možno v súbore údajov identifikovať osobné elektronické zdravotné údaje, ktoré sa ich týkajú, osobné elektronické zdravotné údaje, ktoré sa týkajú uvedených fyzických osôb, sa nesprístupnia ani inak nespracúvajú podľa povolení na prístup k údajom vydaných podľa článku 68 alebo žiadostí o zdravotné údaje podľa článku 69, ktoré boli schválené po tom, ako fyzická osoba uplatnila právo odmietnuť spracúvanie.

Prvý pododsek tohto odseku nemá vplyv na spracúvanie osobných elektronických zdravotných údajov na sekundárne používanie týkajúcich sa uvedených fyzických osôb podľa povolení na prístup k údajom alebo žiadostí o zdravotné údaje, ktoré boli vydané alebo schválené pred tým, ako fyzické osoby uplatnili svoje právo na odmietnutie.

4. Odchylne od práva na odmietnutie stanoveného v odseku 1 môže členský štát vo svojom vnútroštátnom práve stanoviť mechanizmus na sprístupnenie údajov, v prípade ktorých sa uplatnilo právo na odmietnutie, za predpokladu, že sú splnené všetky tieto podmienky:

žiadosť o prístup k zdravotným údajom alebo žiadosť o zdravotné údaje predkladá subjekt verejného sektora alebo inštitúcia, orgán, úrad alebo agentúra Únie s mandátom na vykonávanie úloh v oblasti verejného zdravia alebo iný subjekt poverený vykonávaním verejných úloh v oblasti verejného zdravia alebo konajúci v mene orgánu verejnej moci alebo poverený týmto orgánom, ak je spracúvanie uvedených údajov potrebné na niektorý z týchto účelov:

i)	účely uvedené v článku 53 ods. 1 písm. a), b) a c);

ii)	vedecký výskum z dôležitých dôvodov verejného záujmu;

b)	uvedené údaje nie je možné včas a účinne získať alternatívnymi prostriedkami za rovnocenných podmienok;

c)	žiadateľ o zdravotné údaje poskytol odôvodnenie uvedené v článku 68 ods. 1 písm. g) alebo v článku 69 ods. 2 písm. g).

Vnútroštátne právo stanovujúce takýto mechanizmus poskytne konkrétne a vhodné opatrenia s cieľom ochrániť základné práva a osobné údaje fyzických osôb.

Ak členský štát stanovil vo svojom vnútroštátnom práve možnosť požiadať o prístup k údajom, pre ktoré sa uplatnilo právo na odmietnutie, a podmienky uvedené v prvom pododseku tohto odseku sú splnené, uvedené údaje môžu byť zahrnuté pri vykonávaní úloh podľa článku 57 ods. 1 písm. a) bodu i), písm. a) bodu iii) a písm. b).

5. Pravidlá týkajúce sa akéhokoľvek mechanizmu na vykonávanie výnimiek stanoveného v odseku 4 odchylne od odseku 1 dodržiavajú podstatu základných práv a slobôd a sú nevyhnutným a primeraným opatrením v demokratickej spoločnosti na plnenie účelov verejného záujmu v oblasti legitímnych vedeckých a spoločenských cieľov.

6. Každé spracúvanie vykonávané v súlade s mechanizmom na vykonávanie výnimiek stanoveným podľa odseku 4 tohto článku musí byť v súlade s požiadavkami tejto kapitoly, najmä so zákazom spätnej identifikácie alebo pokusu o spätnú identifikáciu fyzických osôb v súlade s článkom 61 ods. 3. Každé legislatívne opatrenie stanovujúce mechanizmus vo vnútroštátnom práve, ako sa uvádza v odseku 4 tohto článku, zahŕňa osobitné ustanovenia o bezpečnosti a ochrane práv fyzických osôb.

7. Členské štáty bezodkladne oznámia Komisii ustanovenia svojho vnútroštátneho práva, ktoré prijmú podľa odseku 4, a každú následnú zmenu, ktorá má na uvedené ustanovenia vplyv.

8. Ak si účely spracúvania osobných elektronických zdravotných údajov držiteľom zdravotných údajov nevyžadujú alebo už nevyžadujú identifikáciu dotknutej osoby prevádzkovateľom, uvedený držiteľ zdravotných údajov nie je povinný uchovávať, získavať ani spracúvať dodatočné informácie s cieľom identifikovať dotknutú osobu výlučne na účely dodržania práva na odmietnutie podľa tohto článku.

Článok 72

Zjednodušený postup na prístup k elektronickým zdravotným údajom od dôveryhodného držiteľa zdravotných údajov

1. Ak orgán pre prístup k zdravotným údajom dostane žiadosť o prístup k zdravotným údajom podľa článku 67 alebo žiadosť o zdravotné údaje podľa článku 69, ktoré sa vzťahujú len na elektronické zdravotné údaje, ktoré má v držbe dôveryhodný držiteľ zdravotných údajov určený v súlade s odsekom 2 tohto článku, uplatňuje sa postup stanovený v odsekoch 4 až 6 tohto článku.

2. Členské štáty môžu stanoviť postup, na základe ktorého môžu držitelia zdravotných údajov požiadať o určenie za dôveryhodných držiteľov zdravotných údajov, ak držitelia zdravotných údajov spĺňajú tieto podmienky:

a)	sú schopní poskytnúť prístup k zdravotným údajom prostredníctvom zabezpečeného prostredia spracúvania, ktoré je v súlade s článkom 73;

b)	majú potrebné odborné znalosti na posudzovanie žiadostí o prístup k zdravotným údajom a žiadostí o zdravotné údaje;

c)	poskytujú potrebné záruky na zabezpečenie súladu s týmto nariadením.

Členské štáty určia dôveryhodných držiteľov zdravotných údajov na základe posúdenia splnenia uvedených podmienok relevantným orgánom pre prístup k zdravotným údajom.

Členské štáty stanovia postup na pravidelné preskúmanie toho, či dôveryhodný držiteľ zdravotných údajov naďalej spĺňa uvedené podmienky.

Orgány pre prístup k zdravotným údajom uvedú dôveryhodných držiteľov zdravotných údajov do katalógu súborov údajov uvedenom v článku 77.

3. Žiadosti o prístup k zdravotným údajom a žiadosti o zdravotné údaje uvedené v odseku 1 sa predkladajú orgánu pre prístup k zdravotným údajom, ktorý ich môže postúpiť príslušnému dôveryhodnému držiteľovi zdravotných údajov.

4. Po prijatí žiadosti o prístup k zdravotným údajom alebo žiadosti o zdravotné údaje podľa odseku 3 tohto článku, dôveryhodný držiteľ zdravotných údajov posúdi žiadosť o prístup k zdravotným údajom alebo žiadosť o zdravotné údaje na základe kritérií uvedených v článku 68 ods. 1 a 2 alebo v príslušných prípadoch v článku 69 ods. 2 a 3.

5. Dôveryhodný držiteľ zdravotných údajov predloží posúdenie, ktoré vykonáva podľa odseku 4, spolu s návrhom rozhodnutia orgánu pre prístup k zdravotným údajom do dvoch mesiacov po doručení žiadosti o prístup k zdravotným údajom alebo žiadosti o zdravotné údaje od orgánu pre prístup k zdravotným údajom. Orgán pre prístup k zdravotným údajom do dvoch mesiacov od prijatia posúdenia vydá rozhodnutie o žiadosti o prístup k zdravotným údajom alebo žiadosti o zdravotné údaje. Orgán pre prístup k zdravotným údajom nie je viazaný návrhom, ktorý predložil dôveryhodný držiteľ zdravotných údajov.

6. V nadväznosti na rozhodnutie orgánu pre prístup k zdravotným údajom vydať povolenie na prístup k údajom alebo schváliť žiadosť o zdravotné údaje vykonáva dôveryhodný držiteľ zdravotných údajov úlohy uvedené v článku 57 ods. 1 písm. a) bode i) a písm. b).

7. Služba Únie pre prístup k zdravotným údajom uvedená v článku 56 môže určiť držiteľov zdravotných údajov, ktorí sú inštitúciami, orgánmi, úradmi alebo agentúrami Únie a ktorí spĺňajú podmienky stanovené v odseku 2 prvom pododseku písm. a), b) a c) tohto článku, za dôveryhodných držiteľov zdravotných údajov. Ak tak urobí, odsek 2 tretí a štvrtý pododsek a odseky 3 až 6 tohto článku sa uplatňujú mutatis mutandis.

Článok 73

Zabezpečené prostredie spracúvania

1. Orgány pre prístup k zdravotným údajom poskytujú prístup k elektronickým zdravotným údajom na základe povolenia na prístup k údajom iba prostredníctvom zabezpečeného prostredia spracúvania, ktoré podlieha technickým a organizačným opatreniam a požiadavkám na bezpečnosť a interoperabilitu. Zabezpečené prostredie spracúvania musí byť v súlade najmä s týmito bezpečnostnými opatreniami:

a)	obmedzenie prístupu k zabezpečenému prostrediu spracúvania na oprávnené fyzické osoby uvedené v povolení na prístup k údajom vydanom podľa článku 68;

b)	minimalizovanie rizika neoprávneného čítania, kopírovania, úpravy alebo odstránenia elektronických zdravotných údajov uložených v zabezpečenom prostredí spracúvania pomocou najmodernejších technických a organizačných opatrení;

c)	obmedzenie vkladania elektronických zdravotných údajov a kontroly, zmeny alebo vymazania elektronických zdravotných údajov uložených v zabezpečenom prostredí spracúvania na obmedzený počet oprávnených identifikovateľných jednotlivcov;

d)	zabezpečenie toho, aby používatelia zdravotných údajov mali prístup len k elektronickým zdravotným údajom, na ktoré sa vzťahuje ich povolenie na prístup k údajom, a to len prostredníctvom individuálnej a jedinečnej totožnosti používateľa a režimov dôverného prístupu;

e)	uchovávanie identifikovateľných logov o prístupe k zabezpečenému prostrediu spracúvania a činnostiach v ňom počas obdobia potrebného na overenie a audit všetkých spracovateľských operácií v tomto prostredí; logy o prístupe sa musia uchovávať najmenej jeden rok;

f)	zabezpečenie dodržiavania monitorovania bezpečnostných opatrení uvedených v tomto odseku na zmiernenie potenciálnych bezpečnostných hrozieb.

2. Orgány pre prístup k zdravotným údajom zabezpečia, aby sa elektronické zdravotné údaje od držiteľov zdravotných údajov vo formáte uvedenom v povolení na prístup k údajom mohli nahrávať týmito držiteľmi a aby používateľ zdravotných údajov k nim mal prístup v zabezpečenom prostredí spracúvania.

Orgány pre prístup k zdravotným údajom preskúmajú elektronické zdravotné údaje uvedené v žiadosti o stiahnutie s cieľom zabezpečiť, aby používatelia zdravotných údajov mohli zo zabezpečeného prostredia spracúvania sťahovať len iné ako osobné elektronické zdravotné údaje vrátane elektronických zdravotných údajov v anonymizovanom štatistickom formáte.

3. Orgány pre prístup k zdravotným údajom zabezpečujú, aby sa pravidelne vykonávali audity zabezpečených prostredí spracúvania, a to aj tretími stranami, a prijmú nápravné opatrenia v prípade akýchkoľvek nedostatkov, rizík alebo zraniteľností zistených týmito auditmi v zabezpečených prostrediach spracúvania.

4. Ak osobné elektronické zdravotné údaje spracúvajú uznané organizácie dátového altruizmu podľa kapitoly IV nariadenia (EÚ) 2022/868 s využitím zabezpečeného prostredia spracúvania, aj uvedené prostredia musia spĺňať bezpečnostné požiadavky stanovené v odseku 1 písm. a) až f) tohto článku.

5. Komisia do 26. marca 2027, prostredníctvom vykonávacích aktov stanoví technické a organizačné požiadavky a požiadavky na informačné zabezpečenie, dôvernosť, ochranu údajov a interoperabilitu v zabezpečených prostrediach spracúvania, a to aj pokiaľ ide o technické charakteristiky a nástroje, ktoré má používateľ zdravotných údajov v zabezpečených prostrediach spracúvania k dispozícii. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 74

Prevádzkovanie

1. Držiteľ zdravotných údajov sa považuje za prevádzkovateľa pri sprístupňovaní osobných elektronických zdravotných údajov, ktoré sú požadované podľa článku 60 ods. 1, orgánu pre prístup k zdravotným údajom.

Orgán pre prístup k zdravotným údajom sa pri plnení svojich úloh podľa tohto nariadenia považuje za prevádzkovateľa na účely spracúvania osobných elektronických zdravotných údajov.

Bez ohľadu na druhý pododsek tohto odseku sa orgán pre prístup k zdravotným údajom považuje za sprostredkovateľa v mene používateľa zdravotných údajov, ktorý sa považuje za prevádzkovateľa pri spracúvaní osobných elektronických zdravotných údajov na základe povolenia na prístup k údajom vydaného podľa článku 68, v zabezpečenom prostredí spracúvania pri poskytovaní údajov prostredníctvom takéhoto prostredia alebo pri spracúvaní takýchto údajov na základe žiadosti o zdravotné údaje schválenej podľa článku 69 na účely vygenerovania odpovede.

2. V situáciách uvedených v článku 72 ods. 6 sa dôveryhodný držiteľ zdravotných údajov považuje za prevádzkovateľa pri jeho spracúvaní osobných elektronických zdravotných údajov súvisiacom s poskytovaním elektronických zdravotných údajov používateľovi zdravotných údajov na základe povolenia na prístup k údajom alebo žiadosti o zdravotné údaje. Dôveryhodný držiteľ zdravotných údajov sa považuje za spracovateľa v mene používateľa zdravotných údajov pri poskytovaní údajov prostredníctvom zabezpečeného prostredia spracúvania.

3. Komisia môže prostredníctvom vykonávacích aktov vytvoriť vzor dohôd medzi prevádzkovateľmi a sprostredkovateľmi podľa odsekov 1 a 2 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

ODDIEL 4

Cezhraničná infraštruktúra na sekundárne používanie

Článok 75

HealthData@EU

1. Každý členský štát určí jedno národné kontaktné miesto na sekundárne používanie. Uvedené národné kontaktné miesto na sekundárne používanie je organizačnou a technickou bránou, ktorá umožňuje sprístupňovanie elektronických zdravotných údajov na sekundárne používanie v cezhraničnom kontexte a zodpovedná za toto sprístupňovanie. Národné kontaktné miesto na sekundárne používanie môže byť koordinačným orgánom pre prístup k zdravotným údajom uvedeným v článku 55 ods. 1. Každý členský štát oznámi Komisii názov a kontaktné údaje národného kontaktného miesta na sekundárne používanie do 26. marca 2027. Komisia a členské štáty uvedené informácie zverejnia.

2. Služba Únie pre prístup k zdravotným údajom pôsobí ako kontaktné miesto inštitúcií, orgánov, úradov a agentúr Únie pre sekundárne používanie a je zodpovedná za sprístupňovanie elektronických zdravotných údajov na sekundárne používanie.

3. Národné kontaktné miesta na sekundárne používanie uvedené v odseku 1 a služba Únie pre prístup k zdravotným údajom uvedená v odseku 2 sú pripojené k cezhraničnej infraštruktúre na sekundárne používanie, a to k infraštruktúre HealthData@EU. Národné kontaktné miesta na sekundárne používanie a služba Únie pre prístup k zdravotným údajom uľahčujú cezhraničný prístup rôznych oprávnených účastníkov infraštruktúry HealthData@EU k elektronickým zdravotným údajom na sekundárne používanie. Národné kontaktné miesta na sekundárne používanie úzko spolupracujú navzájom i s Komisiou.

4. Výskumné infraštruktúry alebo podobné infraštruktúry týkajúce sa zdravia, ktorých fungovanie sa zakladá na práve Únie a ktoré poskytujú podporu na používanie elektronických zdravotných údajov na účely výskumu, tvorby politík, štatistiky, bezpečnosti pacientov alebo na regulačné účely sa môžu stať oprávnenými účastníkmi infraštruktúry HealthData@EU a pripojiť sa k nej.

5. Tretie krajiny alebo medzinárodné organizácie sa môžu stať oprávnenými účastníkmi infraštruktúry HealthData@EU, ak spĺňajú pravidlá tejto kapitoly a používateľom zdravotných údajov nachádzajúcim sa v Únii poskytujú za rovnakých podmienok prístup k elektronickým zdravotným údajom dostupným ich orgánom pre prístup k zdravotným údajom, za podmienky, že je dodržiavaná kapitola V nariadenia (EÚ) 2016/679.

Komisia prostredníctvom vykonávacích aktov môže prijať vykonávacie akty, ktorými sa stanoví, že národné kontaktné miesto na sekundárne používanie tretej krajiny alebo systém zriadený na medzinárodnej úrovni medzinárodnou organizáciou je v súlade s požiadavkami infraštruktúry HealthData@EU na účely sekundárneho používania zdravotných údajov, je v súlade s touto kapitolou a používateľom zdravotných údajov nachádzajúcim sa v Únii poskytuje prístup k elektronickým zdravotným údajom, ku ktorým má prístup, za podmienok rovnocenných s podmienkami infraštruktúry HealthData@EU. Súlad s týmito právnymi, organizačnými, technickými a bezpečnostnými požiadavkami vrátane súladu s požiadavkami pre zabezpečené prostredia spracúvania stanovenými v článku 73 sa kontroluje pod dohľadom Komisie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2. Komisia zverejní zoznam vykonávacích aktov prijatých podľa tohto odseku.

6. Každé národné kontaktné miesto na sekundárne používanie a každý oprávnený účastník infraštruktúry HealthData@EU musí získať požadovanú technickú spôsobilosť na pripojenie sa k infraštruktúre HealthData@EU a na účasť na nej. Musia dodržiavať požiadavky a technické špecifikácie potrebné na prevádzkovanie infraštruktúry HealthData@EU a na umožnenie pripojenia k nej.

7. Členské štáty a Komisia zriadia infraštruktúru HealthData@EU na podporu a uľahčovanie cezhraničného prístupu k elektronickým zdravotným údajom na sekundárne používanie, ktorou sa prepoja národné kontaktné miesta na sekundárne používanie a oprávnených účastníkov infraštruktúry HealthData@EU a centrálnu platformu uvedenú v odseku 8.

8. Komisia vytvorí, zavedie a prevádzkuje centrálnu infraštruktúru HealthData@EU poskytovaním služieb informačných technológií potrebných na podporu a uľahčenie výmeny informácií medzi orgánmi pre prístup k zdravotným údajom ako súčasti infraštruktúry HealthData@EU. Komisia spracúva elektronické zdravotné údaje iba ako sprostredkovateľ v mene prevádzkovateľov.

9. Komisia môže na žiadosť dvoch alebo viacerých národných kontaktných miest na sekundárne používanie poskytnúť zabezpečené prostredie spracúvania, ktoré sú v súlade s požiadavkami článku 73 v prípade údajov z viac ako jedného členského štátu. Ak dva alebo viaceré národné kontaktné miesta na sekundárne používanie alebo oprávnení účastníci v infraštruktúre HealthData@EU vložia elektronické zdravotné údaje do zabezpečeného prostredia spracúvania, ktoré spravuje Komisia, sú spoločnými prevádzkovateľmi a Komisia je sprostredkovateľom na účely spracúvania údajov v uvedenom prostredí.

10. Národné kontaktné miesta na sekundárne používanie konajú ako spoloční prevádzkovatelia spracovateľských operácií, na ktorých vykonávaní sa na infraštruktúre HealthData@EU zúčastňujú a Komisia koná ako sprostredkovateľ v mene uvedených národných kontaktných miest na sekundárne používanie bez toho, aby to malo vplyv na úlohy orgánov pre prístup k zdravotným údajom pred uvedenými spracovateľskými operáciami a po nich.

11. Členské štáty a Komisia sa usilujú zabezpečiť, aby infraštruktúra HealthData@EU bola interoperabilná s ďalšími relevantnými spoločnými európskymi dátovými priestormi, ako sa uvádza v nariadeniach (EÚ) 2022/868 a (EÚ) 2023/2854.

12. Komisia do 26. marca 2027 prostredníctvom vykonávacích aktov stanoví:

a)	požiadavky, technické špecifikácie a IT architektúru infraštruktúry HealthData@EU, ktoré zabezpečia najmodernejšiu bezpečnosť údajov, dôvernosť a ochranu elektronických zdravotných údajov v cezhraničnej infraštruktúre HealthData@EU;

podmienky a kontroly súladu požadované na to, aby bolo možné zapojiť sa do infraštruktúry HealthData@EU a udržať pripojenia k platforme, ako aj podmienky dočasného odpojenia alebo definitívneho vylúčenia z infraštruktúry HealthData@EU vrátane osobitných ustanovení pre prípady závažného pochybenia alebo opakovaného porušenia;

c)	minimálne kritériá, ktoré musia spĺňať národné kontaktné miesta na sekundárne používanie a oprávnení účastníci infraštruktúry HealthData@EU;

d)	povinnosti prevádzkovateľov a sprostredkovateľov zapojených do infraštruktúry HealthData@EU;

e)	povinnosti prevádzkovateľov a sprostredkovateľov týkajúce sa zabezpečeného prostredia spracúvania, ktoré spravuje Komisia;

f)	spoločné špecifikácie architektúry infraštruktúry HealthData@EU a jej interoperability s ďalšími spoločnými európskymi dátovými priestormi.

Vykonávacie akty uvedené v prvom pododseku tohto odseku sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

13. Ak je výsledok kontroly súladu uvedenej v odseku 5 tohto článku pozitívny, Komisia môže prostredníctvom vykonávacích aktov prijať rozhodnutia o pripojení jednotlivých oprávnených účastníkov k infraštruktúre HealthData@EU. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 76

Prístup k cezhraničným registrom alebo databázam elektronických zdravotných údajov na sekundárne používanie

1. V prípade cezhraničných registrov a databáz má orgán pre prístup k zdravotným údajom, u ktorého je držiteľ zdravotných údajov pre konkrétny register alebo konkrétnu databázu registrovaný, právomoc rozhodovať o žiadostiach o prístup k zdravotným údajom na poskytnutie prístupu k elektronickým zdravotným údajom podľa povolenia na prístup k údajom. Ak majú takéto registre alebo databázy spoločných prevádzkovateľov, orgán pre prístup k zdravotným údajom, ktorý rozhoduje o žiadostiach o prístup k zdravotným údajom na poskytnutie prístupu k elektronickým zdravotným údajom, musí byť orgánom pre prístup k zdravotným údajom v členskom štáte, kde je usadený jeden zo spoločných prevádzkovateľov.

2. Ak sa registre alebo databázy z viacerých členských štátov zorganizujú do jednej siete registrov alebo databáz na úrovni Únie, združené registre alebo databázy môžu určiť koordinátora na zabezpečenie poskytovania údajov zo siete registrov alebo databáz na sekundárne používanie. Orgán pre prístup k zdravotným údajom v členskom štáte, kde je koordinátor siete usadený, má právomoc rozhodovať o žiadostiach o prístup k zdravotným údajom na poskytnutie prístupu k elektronickým zdravotným údajom pre sieť registrov alebo databáz.

ODDIEL 5

Kvalita a využiteľnosť zdravotných údajov na sekundárne používanie

Článok 77

Opis súboru údajov a katalóg súborov údajov

1. Orgány pre prístup k zdravotným údajom poskytujú prostredníctvom verejne dostupného a štandardizovaného katalógu strojovo čitateľných súborov údajov opis vo forme metaúdajov o dostupných súboroch údajov a ich charakteristikách. Opis každého súboru údajov musí obsahovať informácie o zdroji, rozsahu, hlavných charakteristikách a povahe elektronických zdravotných údajov v súbore údajov a o podmienkach sprístupnenia uvedených údajov.

2. Opisy súborov údajov vo vnútroštátnom katalógu súboru údajov musia byť dostupné v aspoň jednom úradnom jazyku Únie. Katalóg súborov údajov pre inštitúcie, orgány, úrady a agentúry Únie, ktorý poskytuje služba Únie pre prístup k zdravotným údajom, je dostupný vo všetkých úradných jazykoch Únie.

3. Katalóg súboru údajov sa sprístupňuje jednotným informačným miestam zriadeným alebo určeným podľa článku 8 nariadenia (EÚ) 2022/868.

4. Komisia do 26. marca 2027 prostredníctvom vykonávacích aktov stanoví minimálne prvky, ktoré majú držitelia zdravotných údajov poskytnúť pre súbory údajov a charakteristiky týchto prvkov. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 78

Označenie kvality a využiteľnosti údajov

1. Súbory údajov sprístupnené prostredníctvom orgánov pre prístup k zdravotným údajom môžu mať označenie Únie o kvalite a využiteľnosti údajov, ktoré používajú držitelia zdravotných údajov.

2. Súbory údajov s elektronickými zdravotnými údajmi, ktoré boli získané a spracované s podporou verejného financovania zo strany Únie alebo členského štátu, musia mať označenie kvality a využiteľnosti údajov s prvkami stanovenými v odseku 3.

3. Označenie kvality a využiteľnosti údajov musí v príslušných prípadoch zahŕňať tieto prvky:

a)	v prípade dokumentácie údajov: metaúdaje, podporná dokumentácia, údajový slovník, použitý formát a použité normy, zdroj údajov a v príslušných prípadoch model údajov;

b)	na posúdenie technickej kvality: úplnosť, jedinečnosť, presnosť, platnosť, včasnosť a konzistentnosť údajov;

c)	v prípade postupov riadenia kvality údajov: úroveň vyspelosti postupov riadenia kvality údajov vrátane postupov preskúmania a auditu a posudzovania skreslení;

d)	na posúdenie pokrytia: obdobie, pokrytie obyvateľstva a v príslušných prípadoch reprezentatívnosť občanov zaradených do vzorky a priemerný časový rámec, v akom sa fyzická osoba dostane do súboru údajov;

e)	v prípade informácií o prístupe a poskytovaní: čas medzi získaním elektronických zdravotných údajov a ich vložením do súboru údajov a čas potrebný na poskytnutie elektronických zdravotných údajov po vydaní povolenia na prístup k údajom alebo po schválení žiadosti o zdravotné údaje;

f)	v prípade informácií o úpravách údajov: zlučovanie údajov a dopĺňanie údajov do existujúceho súboru údajov vrátane prepojení s inými súbormi údajov.

4. Ak má orgán pre prístup k zdravotným údajom dôvod domnievať sa, že by označenie kvality a využiteľnosti údajov mohlo byť nepresné, posúdi, či súbor údajov, na ktorý sa označenie vzťahuje, spĺňa požiadavky na kvalitu, ktoré sú súčasťou prvkov označenia kvality a využiteľnosti údajov, ako sa uvádza v odseku 3, a v prípade, že súbor údajov nespĺňa požiadavky na kvalitu, označenie odvolá.

5. Komisia je splnomocnená prijímať delegované akty v súlade s článkom 97 s cieľom zmeniť toto nariadenie úpravou, doplnením alebo odstránením prvkov, na ktoré sa má vzťahovať označenie kvality a využiteľnosti údajov stanovené v odseku 3 tohto článku.

6. Komisia do 26. marca 2027 prostredníctvom vykonávacích aktov stanoví vizuálne charakteristiky a technické špecifikácie označenia kvality a využiteľnosti údajov, a to na základe prvkov uvedených v odseku 3 tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2 tohto nariadenia. V uvedených vykonávacích aktoch sa zohľadnia požiadavky uvedené v článku 10 nariadenia (EÚ) 2024/1689 a v príslušných prípadoch všetky prijaté spoločné špecifikácie alebo harmonizované normy na podporu týchto požiadaviek.

Článok 79

Únijný katalóg súboru údajov

1. Komisia vytvorí únijný katalóg súboru údajov, ktorým sa prepoja vnútroštátne katalógy súboru údajov, ktoré vytvorili orgány pre prístup k zdravotným údajom v každom členskom štáte, ako aj katalógy súboru údajov oprávnených účastníkov infraštruktúry HealthData@EU.

2. Únijný katalóg súboru údajov, vnútroštátne katalógy súboru údajov a katalógy súboru údajov oprávnených účastníkov infraštruktúry HealthData@EU sa zverejnia.

Článok 80

Minimálne špecifikácie súborov údajov s vysokým vplyvom

Komisia môže prostredníctvom vykonávacích aktov určiť minimálne špecifikácie súborov údajov s vysokým vplyvom na sekundárne používanie, pričom zohľadní existujúce infraštruktúry, normy, usmernenia a odporúčania Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

ODDIEL 6

Sťažnosti

Článok 81

Právo podať sťažnosť orgánu pre prístup k zdravotným údajom

1. Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, fyzické a právnické osoby majú právo podať v súvislosti s poskytovaniami stanovenými v tejto kapitole individuálne alebo v relevantných prípadoch kolektívne sťažnosť orgánu pre prístup k zdravotným údajom za predpokladu, že sú negatívne ovplyvnené ich práva alebo záujmy.

2. Orgán pre prístup k zdravotným údajom, ktorému sa sťažnosť podala, informuje sťažovateľa o pokroku pri vybavovaní sťažnosti a o rozhodnutí, ktoré v súvislosti so sťažnosťou prijal.

3. Orgány pre prístup k zdravotným údajom poskytujú ľahko prístupné nástroje na podávanie sťažností.

4. Ak sa sťažnosť týka práv fyzických osôb podľa článku 71 tohto nariadenia, sťažnosť sa musí odoslať príslušnému dozornému orgánu podľa nariadenia (EÚ) 2016/679. Relevantný orgán pre prístup k zdravotným údajom poskytne potrebné informácie, ktoré má k dispozícii, uvedenému dozornému orgánu podľa nariadenia (EÚ) 2016/679 s cieľom uľahčiť posúdenie a vyšetrovanie sťažnosti.

KAPITOLA V

DOPLNKOVÉ ČINNOSTI

Článok 82

Budovanie kapacít

Komisia podporuje výmenu najlepších postupov a odborných znalostí s cieľom budovať kapacity v rámci členských štátov na posilnenie systémov elektronického zdravotníctva na primárne používanie a sekundárne používanie, pričom zohľadňuje osobitné okolnosti rôznych kategórií zapojených zainteresovaných strán. Na podporu uvedeného budovania kapacít Komisia v úzkej spolupráci a po konzultácii s členskými štátmi vypracuje ukazovatele sebahodnotenia pre primárne používanie a sekundárne používanie.

Článok 83

Programy odbornej prípravy a informácie pre zdravotníckych pracovníkov

1. Členské štáty vypracujú a zavedú programy odbornej prípravy alebo poskytnú prístup k programom odbornej prípravy a poskytnú prístup k informáciám pre zdravotníckych pracovníkov, aby pochopili a účinne vykonávali svoju úlohu pri primárnom používaní elektronických zdravotných údajov a prístupe k nim, a to aj v súvislosti s článkami 11, 13 a 16. Členské štáty v uvedenej súvislosti podporuje Komisia.

2. Programy odbornej prípravy a informácie musia byť prístupné a cenovo dostupné pre všetkých zdravotníckych pracovníkov bez toho, aby bola dotknutá organizácia systémov zdravotnej starostlivosti na vnútroštátnej úrovni.

Článok 84

Gramotnosť v oblasti elektronického zdravotníctva a prístup k elektronickému zdravotníctvu

1. Členské štáty propagujú a podporujú gramotnosť v oblasti elektronického zdravotníctva a rozvoj príslušných schopností a zručností pacientov. Členské štáty v tejto súvislosti podporuje Komisia. Kampane alebo programy na zvyšovanie informovanosti sa zameriavajú najmä na informovanie pacientov a širokej verejnosti o primárnom používaní a sekundárnom používaní v rámci EHDS vrátane práv, ktoré z nich vyplývajú, ako aj o výhodách, rizikách a potenciálnych prínosoch primárneho používania a sekundárneho používania pre vedu a spoločnosť.

2. Kampane a programy na zvyšovanie informovanosti uvedené v odseku 1 sa prispôsobia potrebám osobitných skupín, vypracujú sa, preskúmajú a v prípade potreby sa aktualizujú.

3. Členské štáty podporujú prístup k infraštruktúre, ktorý je potrebný na účinnú správu elektronických zdravotných údajov fyzických osôb na primárne používanie aj sekundárne používanie.

Článok 85

Dodatočné požiadavky na verejné obstarávanie a financovanie z prostriedkov Únie

1. Verejní obstarávatelia vrátane orgánov pre elektronické zdravotníctvo a orgánov pre prístup k zdravotným údajom a inštitúcie, orgány, úrady a agentúry Únie uvádzajú odkazy na príslušné technické špecifikácie, normy a profily uvedené v článkoch 15, 23, 36, 73, 75 a 78 pre postupy verejného obstarávania a pri formulovaní svojich súťažných podkladov alebo výziev na predkladanie návrhov, ako aj pri vymedzovaní podmienok financovania z prostriedkov Únie týkajúcich sa tohto nariadenia vrátane základných podmienok pre štrukturálne a kohézne fondy.

2. Kritériá na získanie financovania z prostriedkov Únie odrážajú požiadavky vypracované v rámci kapitol II, III a IV.

Článok 86

Uchovávanie osobných elektronických zdravotných údajov na primárne požívanie

V súlade so všeobecnými zásadami práva Únie, ktoré zahŕňajú základné práva zakotvené v článkoch 7 a 8 Charty základných práv Európskej únie, členské štáty vhodnými technickými a organizačnými opatreniami zabezpečia osobitne vysokú úroveň ochrany a zabezpečenia pri spracúvaní osobných elektronických zdravotných údajov na primárne používanie. V tejto súvislosti toto nariadenie nebráni požiadavke podľa vnútroštátneho práva, s prihliadnutím na vnútroštátny kontext, aby sa v prípadoch, keď osobné elektronické zdravotné údaje spracúvajú poskytovatelia zdravotnej starostlivosti na účely poskytovania zdravotnej starostlivosti alebo národné kontaktné miesta pre elektronické zdravotníctvo pripojené k infraštruktúre MyHealth@EU, úložisko osobných elektronických zdravotných údajov uvedených v článku 14 tohto nariadenia na účely primárneho používania nachádzalo v Únii v súlade s právom Únie a medzinárodnými záväzkami.

Článok 87

Uchovávanie osobných elektronických zdravotných údajov orgánmi pre prístup k zdravotným údajom a zabezpečené prostredia spracúvania

1. Orgány pre prístup k zdravotným údajom, dôveryhodní držitelia zdravotných údajov a služba Únie pre prístup k zdravotným údajom pri vykonávaní pseudonymizácie, anonymizácie a akýchkoľvek iných operácií spracúvania osobných údajov uvedených v článkoch 67 až 72 uchovávajú a spracúvajú osobné elektronické zdravotné údaje v Únii, a to prostredníctvom zabezpečených prostredí spracúvania v zmysle článku 73 a článku 75 ods. 9 alebo prostredníctvom infraštruktúry HealthData@EU. Uvedená požiadavka sa vzťahuje na každý subjekt vykonávajúci uvedené úlohy v mene takýchto orgánov, držiteľov alebo služby.

2. Odchylne od odseku 1 tohto článku sa údaje uvedené v danom odseku môžu uchovávať a spracúvať v tretej krajine alebo na území alebo v jednom či viacerých určených sektoroch danej tretej krajiny, ak sa na takúto krajinu, územie alebo sektor vzťahuje rozhodnutie o primeranosti prijaté podľa článku 45 nariadenia (EÚ) 2016/679.

Článok 88

Prenos iných ako osobných elektronických údajov do tretej krajiny

1. Iné ako osobné elektronické zdravotné údaje sprístupnené orgánmi pre prístup k zdravotným údajom používateľovi zdravotných údajov v tretej krajine podľa povolenia na prístup k údajom vydaného podľa článku 68 tohto nariadenia alebo žiadosti o zdravotné údaje schválenej podľa článku 69 tohto nariadenia, oprávneným účastníkom v tretej krajine alebo medzinárodnej organizácii, a založené na elektronických zdravotných údajoch fyzickej osoby patriacich do jednej z kategórií uvedených v článku 51 tohto nariadenia, sa považujú za vysoko citlivé v zmysle článku 5 ods. 13 nariadenia (EÚ) 2022/868, ak prenos takýchto iných ako osobných elektronických zdravotných údajov do tretích krajín predstavuje riziko spätnej identifikácie pomocou prostriedkov, ktoré sú nad rámec prostriedkov, o ktorých možno odôvodnene predpokladať, že by sa použili, a to najmä vzhľadom na obmedzený počet fyzických osôb, na ktoré sa uvedené údaje vzťahujú, skutočnosť, že sú geograficky rozptýlené, alebo technologický vývoj očakávaný v blízkej budúcnosti.

2. Ochranné opatrenia v prípade kategórií údajov uvedených v odseku 1 tohto článku sa podrobne opíšu v delegovanom akte uvedenom v článku 5 ods. 13 nariadenia (EÚ) 2022/868.

Článok 89

Medzinárodný prístup orgánov verejnej moci k iným ako osobným elektronickým zdravotným údajom

1. Orgány pre elektronické zdravotníctvo, orgány pre prístup k zdravotným údajom, oprávnení účastníci v rámci cezhraničných infraštruktúr uvedených v článkoch 23 a 75 a používatelia zdravotných údajov prijmú všetky primerané technické, právne a organizačné opatrenia vrátane zmluvných dojednaní s cieľom zabrániť prenosu iných ako osobných elektronických zdravotných údajov uchovávaných v Únii do tretej krajiny alebo medzinárodnej organizácii, a to aj na účely prístupu orgánov verejnej moci v tretej krajine, ak by taký prenos viedol k rozporu s právom Únie alebo vnútroštátnym právom relevantného členského štátu.

2. Akýkoľvek rozsudok súdu tretej krajiny a akékoľvek rozhodnutie správneho orgánu tretej krajiny, ktorým sa od orgánu pre elektronické zdravotníctvo, orgánu pre prístup k zdravotným údajom alebo používateľov zdravotných údajov vyžaduje preniesť iné ako osobné elektronické zdravotné údaje v rozsahu pôsobnosti tohto nariadenia, ktoré sú uchovávané v Únii, alebo prístup k takýmto údajom, sú uznané alebo vykonateľné akýmkoľvek spôsobom len v prípade, že sa zakladajú na medzinárodnej dohode, ako napríklad na zmluve o vzájomnej právnej pomoci, ktorá je v platnosti medzi žiadajúcou treťou krajinou a Úniou, alebo na akejkoľvek podobnej dohode medzi žiadajúcou treťou krajinou a členským štátom.

3. Ak medzinárodná dohoda uvedená v odseku 2 neexistuje a orgán pre elektronické zdravotníctvo, orgán pre prístup k zdravotným údajom alebo používateľ údajov sú adresátmi rozhodnutia alebo rozsudku súdu tretej krajiny alebo rozhodnutia správneho orgánu tretej krajiny, ktorým sa od nich vyžaduje prenos iných ako osobných údajov v rozsahu pôsobnosti tohto nariadenia, ktoré sú uchovávané v Únii, alebo poskytnutie prístupu k týmto údajom, a ak by v dôsledku vyhovenia takému rozhodnutiu alebo rozsudku hrozilo, že adresát by konal v rozpore s právom Únie alebo vnútroštátnym právom relevantného členského štátu, k prenosu takýchto údajov súdu alebo správnemu orgánu tretej krajiny dôjde alebo prístup súdu alebo správneho orgánu tretej krajiny k nim je udelený iba vtedy, ak:

a)	právny systém danej tretej krajiny vyžaduje, aby sa uviedli dôvody a primeranosť takého rozhodnutia alebo rozsudku, a ak vyžaduje konkrétnu povahu takého rozhodnutia alebo rozsudku, napríklad vytvorením dostatočného prepojenia na určité podozrivé osoby alebo porušenia;

b)	odôvodnená námietka adresáta podlieha preskúmaniu príslušným súdom tretej krajiny; a

príslušný súd tretej krajiny, ktorý vydal rozhodnutie alebo rozsudok alebo ktorý preskúmal rozhodnutie správneho orgánu, je splnomocnený podľa vnútroštátneho práva tretej krajiny náležite zohľadniť relevantné právne záujmy poskytovateľa údajov chránených právom Únie alebo vnútroštátnym právom relevantného členského štátu.

4. Ak sú splnené podmienky stanovené v odseku 2 alebo 3, orgán pre elektronické zdravotníctvo, orgán pre prístup k zdravotným údajom alebo organizácia dátového altruizmu poskytne iba minimálne množstvo údajov prípustné v reakcii na žiadosť na základe primeraného výkladu žiadosti.

5. Orgány pre elektronické zdravotníctvo, orgány pre prístup k zdravotným údajom a používatelia zdravotných údajov pred tým, ako vyhovejú žiadosti správneho orgánu tretej krajiny o prístup k údajom držiteľa zdravotných údajov, informujú držiteľa zdravotných údajov o existencii tejto žiadosti, okrem prípadov, keď žiadosť slúži na účely presadzovania práva a pokiaľ je vyhovenie žiadosti nevyhnutné na zachovanie účinnosti danej činnosti presadzovania práva.

Článok 90

Ďalšie podmienky prenosu osobných elektronických zdravotných údajov do tretej krajiny alebo medzinárodnej organizácii

Prenos osobných elektronických zdravotných údajov do tretej krajiny alebo medzinárodnej organizácii sa povoľuje v súlade s kapitolou V nariadenia (EÚ) 2016/679. Členské štáty môžu okrem požiadaviek stanovených v článku 24 ods. 3 a článku 75 ods. 5 tohto nariadenia a v kapitole V nariadenia (EÚ) 2016/679 zachovať alebo zaviesť ďalšie podmienky medzinárodného prístupu k osobným elektronickým zdravotným údajom a ich prenosu vrátane obmedzení, a to v súlade s článkom 9 ods. 4 nariadenia (EÚ) 2016/679.

Článok 91

Žiadosti o prístup k zdravotným údajom a žiadosti o zdravotné údaje z tretích krajín

1. Bez toho, aby boli dotknuté články 67, 68 a 69, žiadosti o prístup k zdravotným údajom a žiadosti o zdravotné údaje predložené žiadateľom o zdravotné údaje usadeným v tretej krajine sa považujú za oprávnené orgánmi pre prístup k zdravotným údajom a službou Únie pre prístup k zdravotným údajom, ak dotknutá tretia krajina:

a)	je povoleným účastníkom na základe toho, že má národné kontaktné miesto na sekundárne používanie, na ktoré sa vzťahuje vykonávací akt uvedený v článku 75 ods. 5; alebo

b)	umožňuje žiadateľom o zdravotné údaje z Únie prístup k elektronickým zdravotným údajom v danej tretej krajine za podmienok, ktoré nie sú prísnejšie ako podmienky stanovené v tomto nariadení, a preto sa na takýto prístup vzťahuje vykonávací akt uvedený v odseku 2 tohto článku.

2. Komisia môže prostredníctvom vykonávacích aktov určiť, že tretia krajina spĺňa požiadavku stanovenú v odseku 1 písm. b) tohto článku. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2. Komisia zverejní zoznam vykonávacích aktov prijatých podľa tohto odseku.

3. Komisia monitoruje vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť uplatňovanie vykonávacích aktov prijatých podľa odseku 2, a zabezpečí pravidelné preskúmanie uplatňovania tohto článku.

Ak sa Komisia domnieva, že tretia krajina už nespĺňa požiadavku stanovenú v odseku 1 písm. b) tohto článku, prijme vykonávací akt, ktorým sa zruší vykonávací akt uvedený v odseku 2 tohto článku týkajúci sa tejto tretej krajiny, ktorá má prístup. Uvedený vykonávací akty sa prijme v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

KAPITOLA VI

EURÓPSKA SPRÁVA A KOORDINÁCIA

Článok 92

Rada európskeho priestoru pre zdravotné údaje

1. Týmto sa zriaďuje Rada európskeho priestoru pre zdravotné údaje (ďalej len „rada EHDS“) s cieľom uľahčiť spoluprácu a výmenu informácií medzi členskými štátmi a Komisiou. Rada EHDS pozostáva z dvoch zástupcov za každý členský štát, a to jedného zástupcu na účely primárneho používania a jedného zástupcu na účely sekundárneho používania, ktorých vymenuje každý členský štát. Každý členský štát má pri hlasovaní jeden hlas. Členovia rady EHDS sa zaväzujú konať vo verejnom záujme a nezávisle.

2. Zasadnutiam rady EHDS spolupredsedá zástupca Komisie a jeden zo zástupcov členských štátov uvedených v odseku 1.

3. Orgány dohľadu nad trhom uvedené v článku 43, EDPB, európsky dozorný úradník pre ochranu údajov, Európska agentúra pre lieky, Európske centrum pre prevenciu a kontrolu chorôb a Agentúra Európskej únie pre kybernetickú bezpečnosť (ďalej len „ENISA“) sa prizývajú na zasadnutia, v relevantných prípadoch podľa rady EHDS.

4. Rada EHDS môže na svoje zasadnutia pozvať vnútroštátne orgány, expertov a pozorovateľov, ako aj inštitúcie, orgány, úrady a agentúry Únie, okrem tých, ktoré sú uvedené v odseku 3, a výskumné infraštruktúry a iné podobné infraštruktúry.

5. Rada EHDS môže vo vhodných prípadoch spolupracovať s externými expertmi.

6. V závislosti od funkcií súvisiacich s využívaním elektronických zdravotných údajov môže rada EHDS pracovať v podskupinách zameraných na určité témy, v ktorých sú zastúpené orgány pre elektronické zdravotníctvo alebo orgány pre prístup k zdravotným údajom. Uvedené podskupiny podporujú radu EHDS špecifickými odbornými znalosťami a môžu mať podľa potreby spoločné zasadnutia.

7. Na návrh Komisie prijme rada EHDS svoj rokovací poriadok a kódex správania. V uvedenom rokovacom poriadku sa stanoví zloženie, organizácia, fungovanie a spolupráca podskupín uvedených v odseku 6 tohto článku a spolupráca rady EHDS s fórom zainteresovaných strán uvedenom v článku 93.

Rada EHDS prijíma rozhodnutia v čo najväčšej možnej miere konsenzom. Ak nie je možné dosiahnuť konsenzus, rada EHDS prijíma rozhodnutia dvojtretinovou väčšinou členských štátov.

8. Rada EHDS spolupracuje s ďalšími relevantnými orgánmi, subjektmi a expertmi, ako je napríklad Európsky dátový inovačný výbor zriadený článkom 29 nariadenia (EÚ) 2022/868, príslušné orgány určené v súlade s článkom 37 nariadenia (EÚ) 2023/2854, orgány dohľadu určené v súlade s článkom 46b nariadenia (EÚ) č. 910/2014, Európsky výbor pre ochranu údajov zriadený článkom 68 nariadenia (EÚ) 2016/679, orgány kybernetickej bezpečnosti vrátane agentúry ENISA a európskeho cloudu pre otvorenú vedu, s cieľom dosiahnuť pokročilé riešenia na používanie vyhľadateľných, prístupných, interoperabilných a opätovne použiteľných údajov vo výskume a inováciách.

9. Rade EHDS pomáha sekretariát, ktorý poskytne Komisia.

10. Rada EHDS uverejňuje termíny svojich zasadnutí a zápisnice zo svojich rokovaní a každé dva roky uverejňuje správu o činnosti.

11. Komisia prostredníctvom vykonávacích aktov prijme potrebné opatrenia na zriadenie a činnosť rady EHDS. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 98 ods. 2.

Článok 93

Fórum zainteresovaných strán

1. Týmto sa zriaďuje fórum zainteresovaných strán na účely uľahčenia výmeny informácií a podpory spolupráce medzi zainteresovanými stranami v súvislosti s vykonávaním tohto nariadenia.

2. Fórum zainteresovaných strán má vyvážené zloženie a skladá sa z príslušných zainteresovaných strán vrátane zástupcov organizácii pacientov, zdravotníckych pracovníkov, priemyslu, organizácii spotrebiteľov, vedeckých výskumníkov a akademickej obce a zastupuje ich názory. Ak sú vo fóre zainteresovaných strán zastúpené obchodné záujmy, zastúpenie takýchto záujmov sa zakladá na vyváženej kombinácii veľkých spoločností, malých a stredných podnikov a startupov. Úlohy fóra zainteresovaných strán zahŕňajú rovnako primárne používanie aj sekundárne používanie.

3. Členov fóra zainteresovaných strán vymenúva Komisia na základe verejnej výzvy na vyjadrenie záujmu a transparentného výberového konania. Členovia fóra zainteresovaných strán každoročne predkladajú vyhlásenie o záujmoch, ktoré sa zverejní a aktualizuje, keď je to relevantné.

4. Fórum zainteresovaných strán môže vo vhodných prípadoch zriadiť stále alebo dočasné podskupiny na účely preskúmania špecifických otázok súvisiacich s cieľmi tohto nariadenia. Fórum zainteresovaných strán prijme svoj rokovací poriadok.

5. Fórum zainteresovaných strán organizuje pravidelné zasadnutia, ktorým predsedá zástupca Komisie.

6. Fórum zainteresovaných strán vypracúva výročnú správu o svojej činnosti. Táto správa sa zverejňuje.

Článok 94

Úlohy rady EHDS

1. Rada EHDS má tieto úlohy súvisiace s primárnym používaním v súlade s kapitolami II a III:

a)	pomoc členským štátom pri koordinácii postupov orgánov pre elektronické zdravotníctvo;

vydávanie písomných príspevkov a výmena najlepších postupov vo veciach týkajúcich sa koordinácie vykonávania tohto nariadenia a delegovaných a vykonávacích aktov prijatých podľa neho na úrovni členských štátov a so zreteľom na regionálnu a miestnu úroveň, najmä pokiaľ ide o:

i)	ustanovenia v kapitolách II a III;

ii)	rozvoj online služieb uľahčujúcich zdravotníckym pracovníkom a fyzickým osobám bezpečný prístup k elektronickým zdravotným údajom vrátane bezpečnej elektronickej identifikácie;

iii)	ďalšie aspekty týkajúce sa primárneho používania;

c)	uľahčovanie spolupráce medzi orgánmi pre elektronické zdravotníctvo budovaním kapacít, zriadením rámca na podávanie správ o činnosti uvedených v článku 20 a výmeny informácií;

d)	poskytovanie informácií svojim členom o rizikách, ktoré predstavujú systémy EHR, a o vážnych incidentoch, ako aj o riešení takýchto rizík a incidentov;

e)	uľahčovanie výmeny názorov na primárne používanie s fórom zainteresovaných strán uvedeným v článku 93, ako aj s regulačnými orgánmi a tvorcami politík v sektore zdravotníctva.

2. Rada EHDS má tieto úlohy súvisiace so sekundárnym používaním v súlade s kapitolou IV:

a)	pomoc členským štátom pri koordinácii postupov orgánov pre prístup k zdravotným údajom týkajúcich sa vykonávania ustanovení v kapitole IV s cieľom zabezpečiť jednotné uplatňovanie tohto nariadenia;

i)	vykonávanie pravidiel prístupu k elektronickým zdravotným údajom;

ii)	technické špecifikácie alebo existujúce normy v súvislosti s požiadavkami stanovenými v kapitole IV;

iii)	stimuly na podporu zlepšenia kvality údajov a interoperability;

iv)	politiky týkajúce sa poplatkov, ktoré si majú účtovať orgány pre prístup k zdravotným údajom a držitelia zdravotných údajov;

v)	opatrenia na ochranu osobných údajov zdravotníckych pracovníkov zapojených do liečby fyzických osôb;

vi)	ďalšie aspekty sekundárneho používania;

vypracovanie po konzultácii a v spolupráci s relevantnými zainteresovanými stranami, vrátane zástupcov pacientov, zdravotníckych pracovníkov a výskumných pracovníkov, usmernení s cieľom pomôcť používateľom zdravotných údajov plniť si povinnosti podľa článku 61 ods. 5, a najmä určiť, či sú ich zistenia klinicky významné;

d)	uľahčovanie spolupráce medzi orgánmi pre prístup k zdravotným údajom budovaním kapacít, zriadením rámca na podávanie správ o činnosti uvedených v článku 59 ods. 1 a výmeny informácií;

e)	poskytovanie informácií týkajúcich sa rizík a incidentov v rámci sekundárneho používania, ako riešení takýchto rizík a incidentov;

f)	uľahčovanie výmeny názorov na sekundárne používanie s fórom zainteresovaných strán uvedeným v článku 93, ako aj s držiteľmi zdravotných údajov, používateľmi zdravotných údajov, regulačnými orgánmi a tvorcami politík v sektore zdravotníctva.

Článok 95

Riadiace skupiny pre infraštruktúru MyHealth@EU a infraštruktúru HealthData@EU

1. Týmto sa zriaďuje riadiaca skupina pre infraštruktúru MyHealth@EU a riadiaca skupina pre infraštruktúru HealthData@EU (ďalej len „riadiace skupiny“) pre cezhraničné infraštruktúry uvedené v článkoch 23 a 75. Každá riadiaca skupina pozostáva z jedného zástupcu každého členského štátu vymenovaného relevantným národným kontaktným miestom.

2. Riadiace skupiny prijímajú prevádzkové rozhodnutia týkajúce sa rozvoja a prevádzky infraštruktúry MyHealth@EU a infraštruktúry HealthData@EU.

3. Riadiace skupiny prijímajú rozhodnutia na základe konsenzu. Ak konsenzus nie je možné dosiahnuť, rozhodnutie sa prijme dvomi tretinami členov. Na prijatie rozhodnutí má každý členský štát jeden hlas.

4. Riadiace skupiny prijmú rokovací poriadok, v ktorom stanovia ich zloženie, organizáciu, fungovanie a spoluprácu.

5. Na výmenu informácií a názorov na relevantné záležitosti týkajúce sa infraštruktúry MyHealth@EU a infraštruktúry HealthData@EU sa môžu prizvať aj iní oprávnení účastníci. Ak sú uvedení oprávnení účastníci prizvaní, majú úlohu pozorovateľa.

6. K účasti na zasadnutiach riadiacich skupín môžu byť ako pozorovatelia prizvané zainteresované strany a relevantné tretie strany vrátane zástupcov pacientov, zdravotníckych pracovníkov, spotrebiteľov a priemyslu.

7. Riadiace skupiny si volia predsedov svojich zasadnutí.

8. Riadiacim skupinám pomáha sekretariát, ktorý poskytne Komisia.

Článok 96

Úlohy a povinnosti Komisie, pokiaľ ide o fungovanie EHDS

1. Komisia okrem svojej úlohy sprístupňovať elektronické zdravotné údaje v držbe inštitúcií, orgánov, úradov alebo agentúr Únie v súlade s článkom 55, článkom 56 a článkom 75 ods. 2 a svojich úloh podľa kapitoly III, najmä článku 40, vyvíja, udržiava, hosťuje a prevádzkuje infraštruktúry a centrálne služby potrebné na podporu fungovania EHDS pre všetky relevantné pripojené subjekty prostredníctvom:

a)	interoperabilného cezhraničného mechanizmu identifikácie a autentifikácie fyzických osôb a zdravotníckych pracovníkov v súlade s článkom 16 ods. 3 a 4;

b)	centrálnych služieb a infraštruktúr pre elektronické zdravotníctvo infraštruktúry MyHealth@EU v súlade s článkom 23 ods. 1;

c)	kontrol súladu na pripojenie oprávnených účastníkov k infraštruktúre MyHealth@EU v súlade s článkom 23 ods. 9;

d)	dodatočných cezhraničných služieb a infraštruktúr elektronického zdravotníctva uvedených v článku 24 ods. 1;

ak sú súčasťou infraštruktúry HealthData@EU, služby na predkladanie žiadostí o prístup k zdravotným údajom, na základe ktorých sa žiada o prístup k elektronickým zdravotným údajom v držbe držiteľov zdravotných údajov vo viac ako jednom členskom štáte alebo iných oprávnených účastníkov infraštruktúry MyHealth@EU a na automatické postúpenie žiadostí o prístup k zdravotným údajom relevantným kontaktným miestam v súlade s článkom 67 ods. 3;

f)	centrálnych služieb a infraštruktúr infraštruktúry HealthData@EU v súlade s článkom 75 ods. 7 a 8;

g)	zabezpečeného prostredia spracúvania v súlade s článkom 75 ods. 9, v ktorom môžu orgány pre prístup k zdravotným údajom rozhodnúť o sprístupnení údajov v súlade s článkom 68 ods. 8;

h)	kontroly súladu na pripojenie oprávnených účastníkov k infraštruktúre HealthData@EU v súlade s článkom 75 ods. 5;

i)	federovaný katalóg súborov údajov EÚ spájajúci vnútroštátne katalógy súborov údajov v súlade s článkom 79;

j)	sekretariát rady EHDS v súlade s článkom 92 ods. 9;

k)	sekretariát riadiacich skupín v súlade s článkom 95 ods. 8.

2. Služby uvedené v odseku 1 tohto článku musia spĺňať dostatočné štandardy kvality, pokiaľ ide o dostupnosť, zabezpečenie, kapacitu, interoperabilitu, údržbu, monitorovanie a vývoj, aby sa zabezpečilo účinné fungovanie EHDS. Komisia poskytuje uvedené služby v súlade s prevádzkovými rozhodnutiami relevantných riadiacich skupín zriadených článkom 95.

3. Komisia pripraví každé dva roky správu o infraštruktúrach a službách na podporu EHDS, ktoré poskytuje v súlade s odsekom 1, a zverejní ju.

KAPITOLA VII

DELEGOVANIE PRÁVOMOCI A POSTUP VÝBORU

Článok 97

Vykonávanie delegovania právomoci

1. Komisii sa udeľuje právomoc prijímať delegované akty za podmienok stanovených v tomto článku.

2. Právomoc prijímať delegované akty uvedené v článku 14 ods. 2, článku 49 ods. 4 a článku 78 ods. 5 sa Komisii udeľuje na dobu neurčitú od 25. marca 2025.

3. Právomoc prijímať delegované akty uvedené v článku 14 ods. 2, článku 49 ods. 4 a článku 78 ods. 5 môže Európsky parlament alebo Rada kedykoľvek odvolať. Rozhodnutím o odvolaní sa ukončuje delegovanie právomoci, ktoré sa v ňom uvádza. Rozhodnutie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie alebo k neskoršiemu dátumu, ktorý je v ňom určený. Nie je ním dotknutá platnosť delegovaných aktov, ktoré už nadobudli účinnosť.

4. Komisia pred prijatím delegovaného aktu konzultuje s expertmi určenými jednotlivými členskými štátmi v súlade so zásadami stanovenými v Medziinštitucionálnej dohode z 13. apríla 2016 o lepšej tvorbe práva.

5. Komisia oznamuje delegovaný akt hneď po jeho prijatí súčasne Európskemu parlamentu a Rade.

6. Delegovaný akt prijatý podľa článku 14 ods. 2, článku 49 ods. 4 alebo článku 78 ods. 5 nadobudne účinnosť, len ak Európsky parlament alebo Rada voči nemu nevzniesli námietku v lehote troch mesiacov odo dňa oznámenia uvedeného aktu Európskemu parlamentu a Rade alebo ak pred uplynutím uvedenej lehoty Európsky parlament a Rada informovali Komisiu o svojom rozhodnutí nevzniesť námietku. Na podnet Európskeho parlamentu alebo Rady sa táto lehota predĺži o tri mesiace.

Článok 98

Postup výboru

1. Komisii pomáha výbor. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.

2. Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

KAPITOLA VIII

RÔZNE

Článok 99

Sankcie

Členské štáty stanovia pravidlá, pokiaľ ide o sankcie uplatniteľné pri porušení tohto nariadenia, a to predovšetkým pri porušení, na ktoré sa nevzťahujú správne pokuty podľa článkov 63 a 64, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonania. Stanovené sankcie musia byť účinné, primerané a odrádzajúce. Členské štáty do 26. marca 2027 oznámia tieto pravidlá a opatrenia Komisii a bezodkladne jej oznámia každú následnú zmenu, ktorá sa ich týka.

Členské štáty vo vhodných prípadoch zohľadnia tieto nevyčerpávajúce a orientačné kritériá na ukladanie sankcií za porušenie tohto nariadenia:

a)	povaha, závažnosť, rozsah a trvanie porušenia;

b)	akékoľvek opatrenie prijaté porušovateľom s cieľom zmierniť alebo napraviť škodu spôsobenú porušením;

c)	všetky predchádzajúce porušenia, ktorých sa porušovateľ dopustil;

d)	finančné výhody, ktoré porušovateľ získal, alebo straty, ktorým zabránil v dôsledku porušenia, pokiaľ takéto výhody alebo straty možno spoľahlivo stanoviť;

e)	všetky ostatné priťažujúce alebo poľahčujúce faktory vzťahujúce sa na okolnosti prípadu;

f)	ročný obrat porušovateľa v Únii v predchádzajúcom účtovnom roku.

Článok 100

Právo na náhradu škody

Každá fyzická alebo právnická osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu škody v súlade s právom Únie a vnútroštátnym právom.

Článok 101

Zastúpenie fyzickej osoby

Ak sa fyzická osoba domnieva, že jej práva podľa tohto nariadenia boli porušené, má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré sú zriadené v súlade s vnútroštátnym právom, majú zákonné ciele verejného záujmu a pôsobia v oblasti ochrany osobných údajov, aby podali sťažnosť v jej mene alebo aby uplatnili práva uvedené v článkoch 21 a 81.

Článok 102

Hodnotenie, preskúmanie a správa o pokroku

1. Do 26. marca 2033 Komisia vykoná cielené hodnotenie tohto nariadenia a správu so svojimi hlavnými zisteniami predloží Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov, vo vhodných prípadoch spolu s návrhom na zmenu nariadenia. Uvedené hodnotenie musí pokrývať:

a)	možnosti ďalšieho rozšírenia interoperability medzi systémami EHR a službami prístupu k elektronickým zdravotným údajom okrem tých, ktoré zriadili členské štáty;

b)	potrebu aktualizovať kategórie údajov uvedené v článku 51 a účely uvedené v článku 53 ods. 1;

c)	vykonávanie a využívanie mechanizmov na odmietnutie spracúvania na sekundárne používanie uvedených v článku 71 fyzickými osobami, najmä pokiaľ ide o vplyv uvedených mechanizmov na verejné zdravie, vedecký výskum a základné práva;

d)	používanie a vykonávanie akýchkoľvek prísnejších opatrení zavedených podľa článku 51 ods. 4;

e)	uplatňovanie a vykonávanie práva uvedeného v článku 8;

f)	posúdenie rámca certifikácie pre systémy EHR zriadeného kapitolou III a potrebu zaviesť ďalšie nástroje týkajúce sa posudzovania zhody;

g)	posúdenie fungovania vnútorného trhu so systémami EHR;

h)	posúdenie nákladov a prínosov vykonávania ustanovení o sekundárnom používaní stanovených v kapitole IV;

i)	uplatňovanie poplatkov, ako sa uvádza v článku 62.

2. Do 26. marca 2035 Komisia vykoná celkové hodnotenie tohto nariadenia a správu so svojimi hlavnými zisteniami predloží Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov, vo vhodných prípadoch spolu s návrhom na zmenu nariadenia alebo inými vhodnými opatreniami. Uvedené hodnotenie zahŕňa posúdenie efektívnosti a fungovania systémov poskytujúcich prístup k elektronickým zdravotným údajom na ďalšie spracúvanie vykonávané na základe práva Únie alebo vnútroštátneho práva, ako sa uvádza v článku 1 ods. 7, pokiaľ ide o ich vplyv na vykonávanie tohto nariadenia.

3. Členské štáty poskytnú Komisii informácie potrebné na vypracovanie správ uvedených v odsekoch 1 a 2 a Komisia uvedené informácie v uvedených správach riadne zohľadní.

4. Každý rok po 25. marca 2025 do konca roka, v ktorom sa začnú uplatňovať všetky ustanovenia tohto nariadenia, ako sa ustanovuje v článku 105, Komisia predloží Rade správu o pokroku týkajúcu sa aktuálneho stavu príprav na úplné vykonávanie tohto nariadenia. Uvedená správa o pokroku obsahuje informácie o pripravenosti členských štátov v súvislosti s vykonávaním tohto nariadenia vrátane posúdenia dosiahnuteľnosti časových rámcov stanovených v článku 105 a môže obsahovať aj odporúčania pre členské štáty na zlepšenie pripravenosti na uplatňovanie tohto nariadenia.

Článok 103

Zmena smernice 2011/24/EÚ

Článok 14 smernice 2011/24/EÚ sa vypúšťa s účinnosťou od 26. marca 2031.

Článok 104

Zmena nariadenia (EÚ) 2024/2847

Nariadenie (EÚ) 2024/2847 sa mení takto:

V článku 13 sa odsek 4 nahrádza takto:

„4. Pri uvádzaní produktu s digitálnymi prvkami na trh výrobca zahrnie posudzovanie kybernetickobezpečnostných rizík podľa odseku 3 tohto článku do technickej dokumentácie požadovanej podľa článku 31 a prílohy VII. V prípade produktov s digitálnymi prvkami, ako sa uvádza v článku 12 a článku 32 ods. 5a, ktoré podliehajú aj iným právnym aktom Únie, môže byť posudzovanie kybernetickobezpečnostných rizík súčasťou posudzovania rizík vyžadovaného v týchto právnych aktoch Únie. Ak na produkt s digitálnymi prvkami nemožno uplatniť určité základné požiadavky kybernetickej bezpečnosti, výrobca zahrnie do uvedenej technickej dokumentácie jasné odôvodnenie.“

V článku 31 sa odsek 3 nahrádza takto:

„3. V prípade produktov s digitálnymi prvkami, ako sa uvádza v článku 12 a článku 32 ods. 5a, na ktoré sa vzťahujú aj iné právne akty Únie, v ktorých sa stanovuje technická dokumentácia, sa vypracuje jediné vyhotovenie technickej dokumentácie s informáciami uvedenými v prílohe VII a informáciami, ktoré požadujú uvedené právne akty Únie.“

Do článku 32 sa vkladá tento odsek:

„5a. Výrobcovia produktov s digitálnymi prvkami, ktoré sú klasifikované ako systémy elektronických zdravotných záznamov podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2025//327 (*1), preukážu zhodu so základnými požiadavkami stanovenými v prílohe I k tomuto nariadeniu pomocou príslušného postupu posudzovania zhody stanoveného v kapitole III nariadenia (EÚ) 2025//327.

(*1) Nariadenie Európskeho parlamentu a Rady (EÚ) 2025//327 z 11. februára 2025 o európskom priestore pre zdravotné údaje a o zmene smernice 2011/24/EÚ a nariadenia (EÚ) 2024/2847 (Ú. v. EÚ L, 2025/327, 5.3.2025, ELI: http://data.europa.eu/eli/reg/2025/327/oj).“ "

KAPITOLA IX

ODLOŽENÉ UPLATŇOVANIE, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA

Článok 105

Nadobudnutie účinnosti a uplatňovanie

Toto nariadenie nadobúda účinnosť dvadsiatym dňom nasledujúcim po jeho uverejnení v Úradnom vestníku Európskej únie.

Toto nariadenie sa začne uplatňovať od 26. marca 2027.

Články 3 až 15, článok 23 ods. 2 až 6, články 25, 26, 27, 47, 48 a 49 sa však uplatňujú takto:

a)	od 26. marca 2029 na prioritné kategórie osobných elektronických zdravotných údajov uvedené v článku 14 ods. 1 písm. a), b) a c) a na systémy EHR, ktoré výrobca určí na spracúvanie takýchto kategórií údajov;

b)	od 26. marca 2031 na prioritné kategórie osobných elektronických zdravotných údajov uvedené v článku 14 ods. 1 písm. d), e) a f) a na systémy EHR, ktoré výrobca určí na spracúvanie takýchto kategórií údajov;

od jedného roka odo dňa stanoveného v delegovanom akte, ktorý sa má prijať podľa článku 14 ods. 2 v prípade každej zmeny hlavných charakteristík osobných elektronických zdravotných údajov stanovených v prílohe I za predpokladu, že uvedený dátum nasleduje po dátume začatia uplatňovania uvedenom v písmenách a) a b) tohto pododseku pre dotknuté kategórie osobných elektronických zdravotných údajov.

Kapitola III sa uplatňuje na systémy EHR uvedené do prevádzky v Únii uvedené v článku 26 ods. 2 od 26. marca 2031.

Kapitola IV sa uplatňuje od 26. marca 2029. Článok 55 ods. 6, článok 70, článok 73 ods. 5, článok 75 ods. 1 a 12, článok 77 ods. 4 a článok 78 ods. 6 sa však uplatňujú od 26. marca 2027, článok 51 ods. 1 písm. b), f), g), m) a p) sa však uplatňuje od 26. marca 2031 a článok 75 ods. 5 sa uplatňuje od 26. marca 2035.

Vykonávacie akty uvedené v článku 13 ods. 4, článku 15 ods. 1, článku 23 ods. 4 a článku 36 ods. 1 sa uplatňujú od dátumov uvedených v treťom odseku tohto článku v závislosti od kategórií osobných elektronických zdravotných údajov uvedených v článku 14 ods. 1 písm. a), b) a c) alebo článku 14 ods. 1 písm. d), e) a f).

Vykonávacie akty uvedené v článku 70, článku 73 ods. 5, článku 75 ods. 12, článku 77 ods. 4 a článku 78 ods. 6 sa uplatňujú od 26. marca 2029.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Štrasburgu 11. februára 2025

Za Európsky parlament

predsedníčka

R. METSOLA

Za Radu

predseda

A. SZŁAPKA

(1) Ú. v. EÚ C 486, 21.12.2022, s. 123.

(2) Ú. v. EÚ C 157, 3.5.2023, s. 64.

(3) Pozícia Európskeho parlamentu z 24. apríla 2024 (zatiaľ neuverejnená v úradnom vestníku) a rozhodnutie Rady z 21. januára 2025.

(4) Vykonávacie rozhodnutie Komisie (EÚ) 2019/1269 z 26. júla 2019, ktorým sa mení vykonávacie rozhodnutie 2014/287/EÚ, ktorým sa stanovujú kritériá vytvárania a hodnotenia európskych referenčných sietí, schvaľovania a hodnotenia ich členov, ako aj kritériá na uľahčenie výmeny informácií a odborných poznatkov v súvislosti s vytváraním a hodnotením takýchto sietí (Ú. v. EÚ L 200, 29.7.2019, s. 35).

(5) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016, s. 1).

(6) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 21.11.2018, s. 39).

(7) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28.8.2014, s. 73).

(8) Rozhodnutie Európskeho parlamentu a Rady (EÚ) 2022/2481 zo 14. decembra 2022, ktorým sa zriaďuje politický program digitálne desaťročie do roku 2030 (Ú. v. EÚ L 323, 19.12.2022, s. 4).

(9) Odporúčanie Komisie (EÚ) 2019/243 zo 6. februára 2019 o európskom formáte na výmenu elektronických zdravotných záznamov (Ú. v. EÚ L 39, 11.2.2019, s. 18).

(10) Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1689 z 13. júna 2024, ktorým sa stanovujú harmonizované pravidlá v oblasti umelej inteligencie a ktorým sa menia nariadenia (ES) č. 300/2008, (EÚ) č. 167/2013, (EÚ) č. 168/2013, (EÚ) 2018/858, (EÚ) 2018/1139 a (EÚ) 2019/2144 a smernice 2014/90/EÚ, (EÚ) 2016/797 a (EÚ) 2020/1828 (akt o umelej inteligencii) (Ú. v. EÚ L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).

(11) Nariadenie Európskeho parlamentu a Rady (EÚ) 2017/745 z 5. apríla 2017 o zdravotníckych pomôckach, zmene smernice 2001/83/ES, nariadenia (ES) č. 178/2002 a nariadenia (ES) č. 1223/2009 a o zrušení smerníc Rady 90/385/EHS a 93/42/EHS (Ú. v. EÚ L 117, 5.5.2017, s. 1).

(12) Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/868 z 30. mája 2022 o európskej správe údajov a o zmene nariadenia (EÚ) 2018/1724 (akt o správe údajov) (Ú. v. EÚ L 152, 3.6.2022, s. 1).

(13) Nariadenie Európskeho parlamentu a Rady (EÚ) 2023/2854 z 13. decembra 2023 o harmonizovaných pravidlách týkajúcich sa spravodlivého prístupu k údajom a ich používania, ktorým sa mení nariadenie (EÚ) 2017/2394 a smernica (EÚ) 2020/1828 (akt o údajoch) (Ú. v. EÚ L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(14) Smernica Európskeho parlamentu a Rady 2011/24/EÚ z 9. marca 2011 o uplatňovaní práv pacientov pri cezhraničnej zdravotnej starostlivosti (Ú. v. EÚ L 88, 4.4.2011, s. 45).

(15) Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/2847 z 23. októbra 2024 o horizontálnych požiadavkách kybernetickej bezpečnosti pre produkty s digitálnymi prvkami a o zmene nariadení (EÚ) č. 168/2013 a (EÚ) 2019/1020 a smernice (EÚ) 2020/1828 (akt o kybernetickej odolnosti) (Ú. v. EÚ L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

(16) Nariadenie Európskeho parlamentu a Rady (EÚ) 2017/746 z 5. apríla 2017 o diagnostických zdravotníckych pomôckach in vitro a o zrušení smernice 98/79/ES a rozhodnutia Komisie 2010/227/EÚ (Ú. v. EÚ L 117, 5.5.2017, s. 176).

(17) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/1020 z 20. júna 2019 o dohľade nad trhom a súlade výrobkov a o zmene smernice 2004/42/ES a nariadení (ES) č. 765/2008 a (EÚ) č. 305/2011 (Ú. v. EÚ L 169, 25.6.2019, s. 1).

(18) Odporúčanie Komisie 2003/361/ES zo 6. mája 2003 o vymedzení pojmov mikropodniky, malé a stredné podniky (Ú. v. EÚ L 124, 20.5.2003, s. 36).

(19) Nariadenie Rady (ES) č. 723/2009 z 25. júna 2009 o právnom rámci Spoločenstva pre Konzorcium pre európsku výskumnú infraštruktúru (ERIC) (Ú. v. EÚ L 206, 8.8.2009, s. 1).

(20) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1724 z 2. októbra 2018 o zriadení jednotnej digitálnej brány na poskytovanie prístupu k informáciám, postupom a asistenčným službám a službám riešenia problémov a o zmene nariadenia (EÚ) č. 1024/2012 (Ú. v. EÚ L 295, 21.11.2018, s. 1).

(21) Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) (Ú. v. EÚ L 151, 7.6.2019, s. 15).

(22) Ú. v. EÚ L 123, 12.5.2016, s. 1.

(23) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 182/2011 zo 16. februára 2011, ktorým sa ustanovujú pravidlá a všeobecné zásady mechanizmu, na základe ktorého členské štáty kontrolujú vykonávanie vykonávacích právomocí Komisie (Ú. v. EÚ L 55, 28.2.2011, s. 13).

(24) Nariadenie Európskeho parlamentu a Rady (ES) č. 223/2009 z 11. marca 2009 o európskej štatistike a o zrušení nariadenia Európskeho parlamentu a Rady (ES, Euratom) č. 1101/2008 o prenose dôverných štatistických údajov Štatistickému úradu Európskych spoločenstiev, nariadenia Rady (ES) č. 322/97 o štatistike Spoločenstva a rozhodnutia Rady 89/382/EHS, Euratom o založení Výboru pre štatistické programy Európskych spoločenstiev (Ú. v. EÚ L 87, 31.3.2009, s. 164).

(25) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 536/2014 zo 16. apríla 2014 o klinickom skúšaní liekov na humánne použitie, ktorým sa zrušuje smernica 2001/20/ES (Ú. v. EÚ L 158, 27.5.2014, s. 1).

(26) Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 31.7.2002, s. 37).

(27) Smernica Európskeho parlamentu a Rady (EÚ) 2016/943 z 8. júna 2016 o ochrane nesprístupneného know-how a obchodných informácií (obchodného tajomstva) pred ich neoprávneným získaním, využitím a sprístupnením (Ú. v. EÚ L 157, 15.6.2016, s. 1).

(28) Smernica Európskeho parlamentu a Rady 2014/24/EÚ z 26. februára 2014 o verejnom obstarávaní a o zrušení smernice 2004/18/ES (Ú. v. EÚ L 94, 28.3.2014, s. 65).

(29) Nariadenie Európskeho parlamentu a Rady (ES) č. 1338/2008 zo 16. decembra 2008 o štatistikách Spoločenstva v oblasti verejného zdravia a bezpečnosti a ochrany zdravia pri práci, (Ú. v. EÚ L 354, 31.12.2008, s. 70).

(30) Nariadenie Európskeho parlamentu a Rady (ES) č. 765/2008 z 9. júla 2008, ktorým sa stanovujú požiadavky akreditácie a ktorým sa zrušuje nariadenie (EHS) č. 339/93 (Ú. v. EÚ L 218, 13.8.2008, s. 30).

(31) Smernica Európskeho parlamentu a Rady (EÚ) 2019/882 zo 17. apríla 2019 o požiadavkách na prístupnosť výrobkov a služieb (Ú. v. EÚ L 151, 7.6.2019, s. 70).

(32) Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú. v. EÚ L 333, 27.12.2022, s. 80).

(33) Smernica Európskeho parlamentu a Rady (EÚ) 2015/1535 z 9. septembra 2015, ktorou sa stanovuje postup pri poskytovaní informácií v oblasti technických predpisov a pravidiel vzťahujúcich sa na služby informačnej spoločnosti (Ú. v. EÚ L 241, 17.9.2015, s. 1).

(34) Nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1807 zo 14. novembra 2018 o rámci pre voľný tok iných ako osobných údajov v Európskej únii (Ú. v. EÚ L 303, 28.11.2018, s. 59).

(35) Nariadenie Európskeho parlamentu a Rady (EÚ) 2024/1938 z 13. júna 2024 o normách kvality a bezpečnosti pre látky ľudského pôvodu určené na humánne použitie a o zrušení smerníc 2002/98/ES a 2004/23/ES (Ú. v. EÚ L, 2024/1938, 17.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1938/oj).

(36) Smernica Európskeho parlamentu a Rady 2001/83/ES zo 6. novembra 2001, ktorou sa ustanovuje zákonník Spoločenstva o humánnych liekoch (Ú. v. ES L 311, 28.11.2001, s. 67).

(37) Nariadenie Európskeho parlamentu a Rady (ES) č. 726/2004 z 31. marca 2004, ktorým sa stanovujú postupy Únie pre povoľovanie liekov na humánne použitie a pre vykonávanie dozoru nad nimi a ktorým sa zriaďuje Európska agentúra pre lieky (Ú. v. EÚ L 136, 30.4.2004, s. 1).