(Redovni zakonodavni postupak: prvo čitanje)

Europski parlament,

–  uzimajući u obzir Prijedlog Komisije upućen Europskom parlamentu i Vijeću (COM(2022)0197),

–  uzimajući u obzir članak 294. stavak 2. i članke 16. i 114. Ugovora o funkcioniranju Europske unije, u skladu s kojima je Komisija podnijela Prijedlog Parlamentu (C9‑0167/2022),

–  uzimajući u obzir članak 294. stavak 3. Ugovora o funkcioniranju Europske unije,

–  uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora od 22. rujna 2022.(1),

–  uzimajući u obzir mišljenje Odbora regija od 9. veljače 2023.(2),

–  uzimajući u obzir privremeni sporazum koji su odobrili nadležni odbori u skladu s člankom 74. stavkom 4. Poslovnika te činjenicu da se predstavnik Vijeća pismom od 22. ožujka 2024. obvezao prihvatiti stajalište Europskog parlamenta u skladu s člankom 294. stavkom 4. Ugovora o funkcioniranju Europske unije,

–  uzimajući u obzir članak 59. Poslovnika,

–  uzimajući u obzir zajedničke rasprave Odbora za okoliš, javno zdravlje i sigurnost hrane i Odbora za građanske slobode, pravosuđe i unutarnje poslove u skladu s člankom 58. Poslovnika,

–  uzimajući u obzir mišljenja Odbora za industriju, istraživanje i energetiku i Odbora za unutarnje tržište i zaštitu potrošača,

–  uzimajući u obzir izvješće Odbora za okoliš, javno zdravlje i sigurnost hrane i Odbora za građanske slobode, pravosuđe i unutarnje poslove (A9‑0395/2023),

1.  usvaja sljedeće stajalište u prvom čitanju(3);

2.  poziva Komisiju da predmet ponovno uputi Parlamentu ako zamijeni, bitno izmijeni ili namjerava bitno izmijeniti svoj Prijedlog;

3.  nalaže svojoj predsjednici da stajalište Parlamenta proslijedi Vijeću, Komisiji i nacionalnim parlamentima.

(1) SL C 486, 21.12.2022., str. 123. (2) SL C 157, 3.5.2023., str. 64. (3) Ovo stajalište zamjenjuje amandmane usvojene na sjednici 13. prosinca 2023. (Usvojeni tekstovi, P9_TA(2023)0462).

(Tekst značajan za EGP)

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegove članke 16. i 114.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora(2),

uzimajući u obzir mišljenje Odbora regija(3),

u skladu s redovnim zakonodavnim postupkom(4),

budući da:

(1)  Cilj je ove Uredbe uspostaviti europski prostor za zdravstvene podatke kako bi se poboljšao pristup pojedinaca njihovim osobnim elektroničkim zdravstvenim podacima i njihova kontrola nad tim podacima u kontekstu zdravstvene zaštite (primarna uporaba elektroničkih zdravstvenih podataka), kao i radi boljeg postizanja drugih svrha u zdravstvenom sektoru ili sektoru skrbi koje bi koristile društvu, kao što su inovacije, oblikovanje politika, pripravnost i odgovor na prijetnje zdravlju uključujući radi sprečavanja budućih pandemija i pružanja odgovora na njih, sigurnost pacijenata, personalizirana medicina, službena statistika ili regulatorne aktivnosti (sekundarna uporaba elektroničkih zdravstvenih podataka). Osim toga, cilj je poboljšati funkcioniranje unutarnjeg tržišta utvrđivanjem jedinstvenog pravnog i tehničkog okvira, posebno za razvoj, stavljanje na tržište i uporabu sustava elektroničkih zdravstvenih zapisa u skladu s vrijednostima Unije. Europski prostor za zdravstvene podatke ključna je sastavnica u stvaranju snažne i otporne europske zdravstvene unije.

(2)  Pandemija bolesti COVID-19 naglasila je važnost pravodobnog pristupa kvalitetnim elektroničkim zdravstvenim podacima radi prevencije, pripravnosti i odgovora na prijetnje zdravlju, kao i radi dijagnosticiranja i liječenja te sekundarne uporabe zdravstvenih podataka. Takvim pravodobnim pristupom moguće je doprinijeti, s pomoću učinkovitog nadzora i praćenja javnog zdravlja, djelotvornijem upravljanju budućim pandemijama, smanjenju troškova i boljem odgovoru na prijetnje zdravlju, što u konačnici može pomoći spasiti više života u budućnosti. Komisija je 2020. hitno prilagodila svoj sustav upravljanja kliničkim podacima pacijenata, uspostavljen Provedbenom odlukom Komisije (EU) 2019/1269(5), kako bi državama članicama omogućila da razmjenjuju elektroničke zdravstvene podatke pacijenata oboljelih od bolesti COVID-19 koji mijenjaju pružatelje zdravstvene zaštite i sele se iz jedne države članice u drugu na vrhuncu pandemije, no to je bilo samo rješenje u nuždi koje je ukazalo na potrebu za strukturiranim i sustavnim pristupom na razini država članica i Unije ne samo u pogledu poboljšanja dostupnosti elektroničkih zdravstvenih podataka za zdravstvenu skrb nego i olakšavanja pristupa elektroničkim zdravstvenim podacima radi usmjeravanja djelotvornih odgovora politike i doprinosa višem standardu zdravlja ljudi.

(3)  Kriza uzrokovana bolešću COVID-19 snažno je učvrstila rad mreže e-zdravstva, dobrovoljne mreže tijela nadležnih za digitalno zdravstvo, kao glavnog stupa za razvoj mobilnih aplikacija za praćenje kontakata i upozoravanje te tehničkih aspekata EU digitalnih COVID potvrda. Pokazala je i da je potrebno razmjenjivati elektroničke zdravstvene podatke koji su vidljivi, dostupni, interoperabilni i ponovno upotrebljivi (engl. findable, accessible, interoperable and reusable – „načela FAIR”) te osigurati da elektronički zdravstveni podaci budu otvoreni koliko je to moguće, uz poštovanje načela smanjenja količine podataka. Trebalo bi osigurati sinergije između europskog prostora za zdravstvene podatke(6), europskog oblaka za otvorenu znanost i europskih istraživačkih infrastruktura, kao i izvući pouke iz rješenja za razmjenu podataka razvijenih u okviru europske platforme za podatke o bolesti COVID-19.

(3a)   S obzirom na osjetljivost osobnih zdravstvenih podataka, ovom se Uredbom žele osigurati dostatne zaštitne mjere na razini Unije i na nacionalnoj razini kako bi se osigurao visok stupanj zaštite, sigurnosti, povjerljivosti i etičke uporabe podataka. Takve su zaštitne mjere potrebne radi poticanja povjerenja u sigurno rukovanje zdravstvenim podacima fizičkih osoba za primarnu i sekundarnu uporabu.

(4)  Obrada osobnih elektroničkih zdravstvenih podataka podliježe odredbama Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća(7) i, za institucije, tijela, urede i agencije Unije, Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća(8). Upućivanja na odredbe Uredbe (EU) 2016/679 prema potrebi bi se trebala smatrati i upućivanjima na odgovarajuće odredbe Uredbe (EU) 2018/1725 za institucije, tijela, urede i agencije Unije.

(5)  Sve više Europljana prelazi nacionalne granice radi posla, studija, posjeta rodbini ili putovanja. Kako bi se olakšala razmjena zdravstvenih podataka, i u skladu s potrebom za osnaživanjem građana, oni bi trebali moći pristupiti svojim zdravstvenim podacima u elektroničkom formatu koji se može prepoznati i prihvatiti u cijeloj Uniji. Ti osobni elektronički zdravstveni podaci mogli bi uključivati osobne podatke povezane s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu, osobne podatke koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca, kao i podatke o odrednicama zdravlja, kao što su ponašanje, okolišni i fizički utjecaji, medicinska skrb, socijalni ili obrazovni čimbenici. Elektronički zdravstveni podaci uključuju i podatke koji su prvotno prikupljeni u svrhu istraživanja, statistike, ocjene prijetnji zdravlju, oblikovanja politika ili u regulatorne svrhe i mogu se staviti na raspolaganje u skladu s pravilima iz poglavlja IV. Elektronički zdravstveni podaci odnose se na sve kategorije tih podataka, neovisno o tome pruža li ih ispitanik ili druge fizičke ili pravne osobe, kao što su zdravstveni stručnjaci, ili se ti podaci obrađuju u vezi sa zdravljem ili dobrobiti pojedinca, te bi trebali uključivati i izvedene podatke, kao što su dijagnoze, pretrage i medicinski pregledi, te podatke opažene i evidentirane automatskim sredstvima.

(5b)   Osobni elektronički zdravstveni podaci u zdravstvenim sustavima obično se prikupljaju u elektroničkim zdravstvenim zapisima, koji uglavnom sadržavaju povijest bolesti, dijagnoze i liječenje, lijekove, alergije, cijepljenja te radiološke snimke i laboratorijske nalaze te druge medicinske podatke pojedinca, razvrstane prema različitim subjektima iz zdravstvenog sustava (liječnici opće prakse, bolnice, ljekarne, usluge skrbi). Kako bi pojedinci ili zdravstveni stručnjaci mogli pristupiti elektroničkim zdravstvenim podacima, razmjenjivati ih i mijenjati, neke države članice poduzele su potrebne pravne i tehničke mjere te uspostavile centralizirane infrastrukture za povezivanje sustava elektroničkih zdravstvenih zapisa koje upotrebljavaju pružatelji zdravstvene zaštite i pojedinci. Druge države članice pak podupiru javne i privatne pružatelje zdravstvene zaštite u uspostavi prostora za osobne zdravstvene podatke kako bi se omogućila interoperabilnost različitih pružatelja zdravstvene zaštite. Nekoliko država članica podupire ili pruža usluge pristupa zdravstvenim podacima za pacijente i zdravstvene stručnjake (na primjer na portalima za pacijente ili zdravstvene stručnjake). Poduzele su i mjere kako bi sustavi elektroničkih zdravstvenih zapisa ili aplikacije za dobrobit mogli prenositi elektroničke zdravstvene podatke u središnji sustav elektroničkih zdravstvenih zapisa (neke države članice to primjerice čine uspostavom sustava certificiranja). Međutim, takve sustave nisu uvele sve države članice, a one države članice koje su ih uvele učinile su to na rascjepkan način. Kako bi se olakšalo slobodno kretanje osobnih zdravstvenih podataka u Uniji i izbjegle negativne posljedice za pacijente pri primanju zdravstvene zaštite u prekograničnom kontekstu, potrebno je djelovanje Unije kako bi pojedinci imali bolji pristup svojim osobnim elektroničkim zdravstvenim podacima i kako bi im se omogućilo da ih mogu dijeliti. U tom bi se pogledu odgovarajuće mjere na razini Unije i na nacionalnoj razini trebale smatrati sredstvom za smanjenje rascjepkanosti, heterogenosti i podjele te za ostvarenje sustava u svim državama članicama koji je prilagođen korisnicima i intuitivan. Svaka digitalna transformacija u zdravstvenom sektoru trebala bi nastojati biti uključiva te koristiti i pojedincima s ograničenom sposobnošću pristupa i korištenja digitalnim uslugama, uključujući osobe s invaliditetom.

(6)  U poglavlju III. Uredbe (EU) 2016/679 utvrđene su posebne odredbe o pravima pojedinaca u vezi s obradom njihovih osobnih podataka. Europski prostor za zdravstvene podatke temelji se na tim pravima i dopunjuje neka od njih ▌kako se primjenjuju na osobne elektroničke zdravstvene podatke. Ta se prava primjenjuju neovisno o državi članici u kojoj se osobni elektronički zdravstveni podaci obrađuju, vrsti pružatelja zdravstvene zaštite, izvorima podataka ili državi članici čijem sustavu osigurana osoba pripada. Prava i pravila povezana s primarnom uporabom elektroničkih zdravstvenih podataka u skladu s poglavljima II. i III. ove Uredbe odnose se na sve kategorije tih podataka, neovisno o tome kako su prikupljeni ili tko ih je pružio te neovisno o pravnoj osnovi za obradu u skladu s Uredbom (EU) 2016/679 ili statusu voditelja obrade kao javne ili privatne organizacije. Dodatnim pravom na pristup i prenosivost osobnih elektroničkih zdravstvenih podataka ne bi se trebala dovoditi u pitanje prava na pristup i prenosivost kako je utvrđeno Uredbom (EU) 2016/679. Pojedinci i dalje imaju ta prava pod uvjetima utvrđenima u toj uredbi.

▌

(8)  Prava dodijeljena Uredbom (EU) 2016/679 trebala bi se i dalje primjenjivati. Pravo pojedinca na pristup podacima, utvrđeno člankom 15. Uredbe (EU) 2016/679, trebalo bi dodatno dopuniti u zdravstvenom sektoru. U skladu s Uredbom (EU) 2016/679 voditelji obrade ne moraju odmah omogućiti pristup. ▌Pravo na pristup zdravstvenim podacima i dalje se na mnogim mjestima obično ostvaruje pružanjem zatraženih zdravstvenih podataka u papirnatom obliku ili u obliku skeniranih dokumenata, što oduzima mnogo vremena voditelju obrade, primjerice bolnici ili drugom pružatelju zdravstvene zaštite koji pruža pristup. To usporava pristup pojedinaca zdravstvenim podacima i može negativno utjecati na njih ako im je takav pristup potreban odmah zbog hitnih okolnosti povezanih s njihovim zdravstvenim stanjem. Zbog toga je pojedincima potrebno omogućiti učinkovitiji pristup vlastitim osobnim elektroničkim zdravstvenim podacima. Oni bi, poštujući tehnološku praktičnost, trebali imati pravo na besplatan i trenutačan pristup definiranim prioritetnim kategorijama osobnih elektroničkih zdravstvenih podataka, kao što je sažetak medicinskih podataka o pacijentu, u okviru usluge pristupa elektroničkim zdravstvenim podacima. Ta bi se prava trebala primjenjivati neovisno o državi članici u kojoj se osobni elektronički zdravstveni podaci obrađuju, vrsti pružatelja zdravstvene zaštite, izvorima podataka ili državi članici čijem sustavu osigurana osoba pripada. Područje primjene tog komplementarnog prava utvrđenog ovom Uredbom i uvjeti za njegovo ostvarivanje na određene se načine razlikuju od prava na pristup na temelju članka 15. Uredbe (EU) 2016/679. Potonje obuhvaća sve osobne podatke koje posjeduje voditelj obrade i ostvaruje se u odnosu na jednog pojedinačnog voditelja obrade, koji zatim ima mjesec dana da odgovori na zahtjev. Pravo na pristup osobnim elektroničkim zdravstvenim podacima na temelju ove Uredbe trebalo bi biti ograničeno na kategorije podataka koje su obuhvaćene njezinim područjem primjene, trebalo bi se ostvarivati u okviru usluge pristupa elektroničkim zdravstvenim podacima i pružiti trenutačan odgovor. Prava na temelju Uredbe (EU) 2016/679 i dalje bi se trebala primjenjivati, čime se pojedincima omogućuje ostvarivanje prava na temelju obaju okvira. Posebice bi trebalo zadržati pravo na dobivanje papirnatog primjerka elektroničkih zdravstvenih podataka jer je to jedno od prava predviđenih Uredbom (EU) 2016/679.

(9)  S druge strane, trebalo bi uzeti u obzir činjenicu da neposredan pristup pojedinaca određenim vrstama njihovih osobnih elektroničkih zdravstvenih podataka može biti štetan za sigurnost pojedinaca ▌ili neetičan. Na primjer, moglo bi biti neetično elektroničkim putem obavijestiti pacijenta o dijagnozi neizlječive bolesti zbog koje će vjerojatno brzo preminuti umjesto da se ta informacija najprije uživo priopći pacijentu. Stoga bi trebalo biti moguće odgoditi pružanje tog pristupa u takvim situacijama na ograničeno vrijeme, primjerice do trenutka stupanja u kontakt pacijenta i zdravstvenog stručnjaka. ▌Države članice trebale bi imati mogućnost utvrditi takvu iznimku ako je riječ o nužnoj i razmjernoj mjeri u demokratskom društvu, u skladu sa zahtjevima iz članka 23. Uredbe (EU) 2016/679.

(9a)   Ova Uredba ne utječe na nadležnost država članica u pogledu izvorne registracije osobnih elektroničkih zdravstvenih podataka, kao što je uvjetovanje registracije genetskih podataka privolom pojedinca ili drugim zaštitnim mjerama. Države članice mogu zahtijevati da se podaci stave na raspolaganje u elektroničkom obliku i prije početka primjene ove Uredbe. To ne bi trebalo utjecati na obvezu da se osobni elektronički zdravstveni podaci registrirani nakon početka primjene ove Uredbe stave na raspolaganje u elektroničkom formatu.

(10)  Pojedinci bi trebali imati mogućnost dodati elektroničke zdravstvene podatke u svoje elektroničke zdravstvene zapise ili pohranjivati dodatne informacije u svoj zaseban osobni zdravstveni zapis kojem mogu pristupiti zdravstveni stručnjaci kako bi dopunili informacije koje su im dostupne. Informacije koje unesu pojedinci možda neće biti jednako pouzdane kao elektronički zdravstveni podaci koje unesu i provjere zdravstveni stručnjaci te one nemaju istu kliničku ili pravnu vrijednost kao informacije koje pruža zdravstveni stručnjak. Stoga bi ih trebalo moći jasno razlikovati od podataka koje pružaju stručnjaci. Ta mogućnost da pojedinci dodaju i dopunjuju osobne elektroničke zdravstvene podatke ▌ne bi im trebala dati pravo na promjenu osobnih elektroničkih zdravstvenih podataka koje pružaju zdravstveni stručnjaci.

(10a)   Jednostavniji i brži pristup osobnim elektroničkim zdravstvenim podacima također omogućuje pojedincima da primijete moguće pogreške, kao što su netočne informacije ili netočno pripisani zapisi o pacijentu. U tim slučajevima pojedincima bi trebalo omogućiti da odmah i bez naknade zatraže ispravak netočnih elektroničkih zdravstvenih podataka na internetu u okviru usluge pristupa osobnim zdravstvenim podacima. Relevantni voditelji obrade podataka trebali bi potom obraditi takve zahtjeve za ispravak podataka u skladu s Uredbom (EU) 2016/679, prema potrebi tako da u to uključe zdravstvene stručnjake s relevantnom specijalizacijom nadležne za liječenje pojedinca.

(11)  ▌Na temelju članka 20. Uredbe (EU) 2016/679 pravo na prenosivost podataka ograničeno je ▌na podatke koji se obrađuju na temelju privole ili ugovora i koje ispitanik pruži voditelju obrade ▌. Povrh toga, na temelju Uredbe (EU) 2016/679 pojedinac ima pravo na izravni prijenos osobnih podataka od jednog voditelja obrade drugome samo ako je to tehnički izvedivo. Međutim, Uredbom se ne nameće obveza da se taj izravni prijenos učini tehnički izvedivim. To bi pravo trebalo dopuniti na temelju ove Uredbe, čime bi se pojedincima omogućilo barem da pošalju i da omoguće pristup barem prioritetnim kategorijama svojih osobnih elektroničkih zdravstvenih podataka zdravstvenim stručnjacima po vlastitom izboru te da preuzmu takve zdravstvene podatke. Osim toga, pojedinci bi trebali imati pravo zatražiti od pružatelja zdravstvene zaštite da pošalje dio njihovih elektroničkih zdravstvenih podataka jasno naznačenom primatelju u službi socijalnog osiguranja ili službi za nadoknadu troškova. Takav prijenos podataka trebao bi biti isključivo jednosmjeran.

(12)  ▌Okvir utvrđen ovom Uredbom trebao bi se temeljiti na pravu na prenosivost podataka utvrđenom u Uredbi (EU) 2016/679 tako što se osigurava da pojedinci kao ispitanici mogu prenositi svoje elektroničke zdravstvene podatke, uključujući izvedene podatke, u europskom formatu za razmjenu elektroničkih zdravstvenih zapisa, neovisno o pravnoj osnovi za obradu elektroničkih zdravstvenih podataka. Zdravstveni stručnjaci ne bi smjeli ometati pojedince u ostvarivanju prava, primjerice odbijanjem uzimanja u obzir elektroničkih zdravstvenih podataka iz druge države članice koji su stavljeni na raspolaganje u interoperabilnom i pouzdanom europskom formatu za razmjenu elektroničkih zdravstvenih zapisa.

(12a)   Pojedinci bi trebali znati koji pružatelji zdravstvene zaštite ili drugi pojedinci pristupaju njihovim osobnim zdravstvenim zapisima. U okviru usluga pristupa zdravstvenim podacima trebale bi se pružati detaljne informacije o pristupu podacima, primjerice o tome kada su i koji subjekti ili pojedinci pristupili kojim podacima. Pojedinci bi također u okviru usluga pristupa zdravstvenim podacima trebali imati mogućnost uključiti ili isključiti automatske obavijesti o pristupu njihovim zdravstvenim podacima. Kako bi se osigurala ujednačena provedba, Komisiju bi trebalo ovlastiti za utvrđivanje detaljnih elemenata u provedbenom aktu.

(13)  Pojedinci možda neće htjeti dopustiti pristup nekim dijelovima svojih osobnih elektroničkih zdravstvenih podataka, dok će omogućiti pristup drugim dijelovima. To može biti osobito relevantno ako je riječ o osjetljivim zdravstvenim tegobama kao što su tegobe povezane s mentalnim ili spolnim zdravljem, osjetljivim postupcima kao što je pobačaj ili podacima o određenim lijekovima koji bi mogli otkriti druga osjetljiva pitanja. Stoga bi takvu selektivnu razmjenu osobnih elektroničkih zdravstvenih podataka trebalo ▌poduprijeti i provoditi u vidu ograničenja koja postavi pojedinac na isti način unutar određene države članice i u kontekstu prekogranične razmjene podataka. Ta bi ograničenja trebala omogućiti dovoljnu razinu detaljnosti radi ograničavanja dijelova skupova podataka, kao što su dijelovi sažetaka medicinskih podataka o pacijentima. Prije postavljanja ograničenja pojedinci bi trebali biti obaviješteni o rizicima za sigurnost pacijenata koji proizlaze iz ograničavanja pristupa zdravstvenim podacima. Budući da nedostupnost ograničenih osobnih elektroničkih zdravstvenih podataka može utjecati na pružanje zdravstvenih usluga pojedincu ili na njihovu kvalitetu, on bi trebao preuzeti odgovornost za činjenicu da pružatelj zdravstvene zaštite ne može uzeti u obzir te podatke pri pružanju zdravstvenih usluga. Međutim, takva ograničenja mogu imati posljedice opasne po život i stoga bi se trebao omogućiti pristup osobnim elektroničkim zdravstvenim podacima kako bi se zaštitili životno važni interesi u hitnim situacijama. Države članice mogle bi u nacionalnom pravu predvidjeti preciznije pravne odredbe o mehanizmima kojima pojedinci ograničavaju pristup dijelovima svojih osobnih elektroničkih zdravstvenih podataka, posebno u pogledu zdravstvene odgovornosti u slučaju da je pojedinac uveo ograničenja.

(13a)   Osim toga, zbog toga što u različitim državama članicama postoji različit stupanj osjetljivosti na razinu kontrole koju pacijenti imaju nad svojim zdravstvenim podacima, države članice trebale bi imati mogućnost propisati apsolutno pravo prigovora na pristup svima osim izvornom voditelju obrade podataka, bez izuzeća u hitnim situacijama. Ako odluče to učiniti, trebale bi utvrditi pravila i posebne zaštitne mjere za takve mehanizme. Takva pravila i posebne zaštitne mjere mogu se odnositi i na određene kategorije osobnih elektroničkih zdravstvenih podataka, na primjer na genetske podatke. Takvo pravo na prigovor znači da se osobni elektronički zdravstveni podaci koji se odnose na osobe koje istaknu prigovor ne bi stavljali na raspolaganje u sklopu usluga uspostavljenih u okviru europskog prostora za zdravstvene podatke nikome osim pružatelju zdravstvene zaštite kod kojeg se predmetni pojedinac liječi. Kad je riječ o pojedincima koji istaknu prigovor, države članice mogu zahtijevati da se elektronički zdravstveni podaci registriraju i pohrane u sustavu elektroničkih zdravstvenih zapisa kojim se koristi pružatelj zdravstvene zaštite kod kojeg se ti pojedinci liječe i koji je dostupan samo njima. Ako je pojedinac iskoristio takvo pravo na prigovor, pružatelji zdravstvene zaštite i dalje će dokumentirati provedeno liječenje u skladu s primjenjivim pravilima i moći će pristupiti podacima koje registriraju. Fizičke osobe koje iskoriste takvo pravo na prigovor trebale bi moći povući svoju odluku. Ako to učine, osobni elektronički zdravstveni podaci koji nastanu tijekom razdoblja za koje je istaknut prigovor možda neće biti dostupni u okviru usluga pristupa i infrastrukture Moje zdravlje@EU (MyHealth@EU).

(15)  Pravodoban i potpun pristup zdravstvenih stručnjaka medicinskoj dokumentaciji pacijenata ključan je za osiguravanje kontinuiteta skrbi, izbjegavanje udvostručenja posla i pogrešaka te smanjenje troškova. No zbog nedostatka interoperabilnosti zdravstveni stručnjaci u brojnim slučajevima ne mogu pristupiti cjelokupnoj medicinskoj dokumentaciji pacijenata i ne mogu donijeti optimalne medicinske odluke za njihovu dijagnozu i liječenje, što uzrokuje znatne dodatne troškove ne samo sustavima nego i pojedincima te može dovesti do lošijih zdravstvenih ishoda za pojedince. Elektronički zdravstveni podaci stavljeni na raspolaganje u interoperabilnom formatu, koji se mogu prenositi među pružateljima zdravstvene zaštite, mogu smanjiti i administrativno opterećenje koje zdravstvenim stručnjacima uzrokuje ručni unos ili kopiranje zdravstvenih podataka iz jednog elektroničkog sustava u drugi. Stoga bi zdravstvenim stručnjacima trebalo staviti na raspolaganje odgovarajuća elektronička sredstva, kao što su odgovarajući elektronički uređaji i portali za zdravstvene stručnjake ili druge usluge pristupa za zdravstvene stručnjake, kako bi pri izvršavanju svojih zadaća mogli upotrebljavati osobne elektroničke zdravstvene podatke. Budući da je teško unaprijed iscrpno utvrditi koji su podaci iz postojećih podataka u prioritetnim kategorijama medicinski relevantni u određenom trenutku pružanja skrbi, zdravstveni stručnjaci trebali bi imati širok pristup. Kad pristupaju podacima koji se odnose na njihove pacijente, zdravstveni djelatnici trebali bi poštovati primjenjivo pravo, kodekse ponašanja, deontološke smjernice ili druge odredbe kojima se uređuje etičko ponašanje u pogledu razmjene informacija ili pristupa informacijama, posebno u situacijama opasnima po život ili ekstremnim situacijama, kako bi se upotreba njihova pristupa ograničila na ono što je relevantno u tom specifičnom trenutku pružanja skrbi. U skladu s Uredbom (EU) 2016/679 pružatelji zdravstvene zaštite trebali bi se pridržavati načela smanjenja količine podataka pri pristupu osobnim zdravstvenim podacima, ograničavajući podatke kojima se pristupa na podatke koji su nužni i opravdani za određenu uslugu. Pružanje pristupa zdravstvenim stručnjacima zadaća je od javnog interesa koja je dodijeljena ovom Uredbom i čije izvršavanje zahtijeva obradu osobnih podataka u smislu članka 6. stavka 1. točke (e) Uredbe (EU) 2016/679. Ovom Uredbom propisani su uvjeti i zaštitne mjere za obradu elektroničkih zdravstvenih podataka u okviru usluge pristupa za zdravstvene stručnjake u skladu s člankom 9. stavkom 2. točkom (h) Uredbe (EU) 2016/679, kao što su detaljne odredbe o evidentiranju radi transparentnosti za ispitanike. Međutim, ovom se Uredbom ne bi trebali dovesti u pitanje nacionalni zakoni o obradi zdravstvenih podataka radi pružanja zdravstvene zaštite, uključujući zakonodavstvo kojim se utvrđuju kategorije zdravstvenih stručnjaka koji mogu obrađivati različite kategorije elektroničkih zdravstvenih podataka.

(15b)   Kako bi se olakšalo ostvarivanje dodatnih prava na pristup i prenosivost utvrđenih ovom Uredbom, države članice trebale bi uspostaviti jednu ili više usluga pristupa elektroničkim zdravstvenim podacima. Te usluge mogu se pružati u vidu internetskog portala za pacijente, mobilne aplikacije ili na drugi način, na nacionalnoj ili regionalnoj razini ili ih mogu pružati pružatelji zdravstvene zaštite. Trebale bi biti osmišljene na pristupačan način, među ostalim za osobe s invaliditetom. Pružanje takve usluge kako bi se pojedincima omogućio jednostavan pristup njihovim osobnim elektroničkim zdravstvenim podacima od velikog je javnog interesa. Obrada osobnih elektroničkih zdravstvenih podataka u okviru tih usluga nužna je za izvršavanje te zadaće dodijeljene ovom Uredbom u smislu članka 6. stavka 1. točke (e) i članka 9. stavka 2. točke (g) Uredbe (EU) 2016/679. Ovom su Uredbom propisani potrebni uvjeti i zaštitne mjere za obradu elektroničkih zdravstvenih podataka u okviru usluga pristupa elektroničkim zdravstvenim podacima, kao što je elektronička identifikacija pojedinaca koji pristupaju takvim uslugama.

(15c)   Pojedinci bi trebali moći ovlastiti osobe po svojem izboru, na primjer svoju rodbinu ili druge bliske osobe, da pristupe njihovim osobnim elektroničkim zdravstvenim podacima ili da kontroliraju pristup tim podacima odnosno da koriste digitalne zdravstvene usluge u njihovo ime. Ta ovlaštenja mogu biti praktična i u drugim situacijama. Države članice trebale bi uspostaviti usluge davanja punomoći kojima bi se odobravala ta ovlaštenja za provedbu tih ovlaštenja, koje bi trebale biti povezane s uslugama pristupa osobnim zdravstvenim podacima, kao što su portali za pacijente ili mobilne aplikacije namijenjene pacijentima. Usluge davanja punomoći trebale bi omogućiti i skrbnicima da djeluju u ime svoje uzdržavane djece; u takvim situacijama ovlaštenja bi mogla biti automatska. Osim tih usluga davanja punomoći države članice trebale bi uspostaviti i lako dostupne usluge potpore za fizičke osobe s odgovarajuće osposobljenim osobljem koje im pomaže u ostvarivanju njihovih prava. Kako bi se uzeli u obzir slučajevi u kojima bi prikazivanje nekih osobnih elektroničkih zdravstvenih podataka maloljetnika njihovim skrbnicima moglo biti protivno interesima ili volji maloljetnika, države članice trebale bi moći nacionalnim pravom predvidjeti takva ograničenja i zaštitne mjere, kao i potrebnu tehničku provedbu. Ta ovlaštenja trebala bi se upotrebljavati u okviru usluga pristupa osobnim zdravstvenim podacima, kao što su portali za pacijente i mobilne aplikacije, i time omogućiti ovlaštenim pojedincima da pristupe osobnim elektroničkim zdravstvenim podacima koji su obuhvaćeni ovlaštenjem kako bi ono moglo proizvesti željeni učinak. Digitalna rješenja za davanje punomoći trebala bi biti usklađena s Uredbom (EU) br. 910/2014 Europskog parlamenta i Vijeća (9) i tehničkim specifikacijama europske lisnice za digitalni identitet kako bi se osiguralo horizontalno rješenje prilagođenije korisnicima. To bi trebalo doprinijeti smanjenju administrativnog i financijskog opterećenja za države članice zbog smanjenja rizika od razvoja paralelnih sustava koji nisu interoperabilni na razini cijele Unije.

(15d)   U nekim državama članicama zdravstvenu skrb pružaju timovi za upravljanje primarnom zdravstvenom zaštitom, koji se definiraju kao skupine zdravstvenih stručnjaka usmjerenih na primarnu zdravstvenu zaštitu (liječnici opće prakse), koji svoje aktivnosti primarne zdravstvene zaštite obavljaju na temelju plana zdravstvene zaštite koji su izradili. Osim toga, u nekoliko država članica postoje i druge vrste timova zdravstvene zaštite za druge potrebe skrbi. U kontekstu primarne uporabe zdravstvenih podataka u europskom prostoru za zdravstvene podatke zdravstvenim stručnjacima u takvim timovima trebalo bi omogućiti pristup.

(16b)   Nadzorna tijela osnovana na temelju članka 51. Uredbe (EU) 2016/679 nadležna su za praćenje i izvršenje te uredbe, posebno za praćenje obrade osobnih elektroničkih zdravstvenih podataka i pružanje odgovora na eventualne pritužbe koje podnesu pojedinci. Europskim prostorom za zdravstvene podatke utvrđuju se dodatna prava pojedinaca u primarnoj upotrebi, koja nadilaze prava na pristup i prenosivost utvrđena u Uredbi (EU) 2016/679, čime se dopunjuju ta prava. Primjenu tih dodatnih prava trebala bi zajamčiti i nadzorna tijela osnovana u skladu s člankom 51. Uredbe (EU) 2016/679. Države članice trebale bi osigurati da ta tijela raspolažu financijskim i ljudskim resursima, poslovnim prostorima i infrastrukturom potrebnima za djelotvorno obavljanje te dodatne zadaće. Nadzorno tijelo ili tijela odgovorna za praćenje i provedbu obrade osobnih elektroničkih zdravstvenih podataka za primarnu uporabu u skladu s Uredbom trebala bi biti nadležna za izricanje upravnih novčanih kazni. U pravnom sustavu Danske nisu dopuštene upravne novčane kazne kako su navedene u ovoj Uredbi. Pravila o upravnim novčanim kaznama mogu se primjenjivati na način da u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu kao kaznenu sankciju, pod uvjetom da takva primjena pravilâ ima istovrijedni učinak kao i upravne novčane kazne koje izriču nadzorna tijela. U svakom slučaju novčane kazne trebale bi biti djelotvorne, proporcionalne i odvraćajuće.

(16c)   Države članice trebale bi prilikom primjene ove Uredbe nastojati poštovati etička načela, kao što su europska etička načela za digitalno zdravstvo koja je mreža e-zdravstva donijela 26. siječnja 2022. i načelo povjerljivosti odnosa između zdravstvenih stručnjaka i pacijenata, uvažavajući njihovu važnost, jer europska etička načela za digitalno zdravstvo pružaju smjernice stručnjacima, istraživačima, inovatorima, donositeljima politika i regulatornim tijelima.

(17)  Različite kategorije elektroničkih zdravstvenih podataka imaju različitu važnost ovisno o scenariju zdravstvene zaštite. Za različite kategorije postignuta je i različita razina standardizacije, pa uvođenje mehanizama za njihovu razmjenu može biti više ili manje složena ovisno o kategoriji. Stoga bi poboljšanje interoperabilnosti i razmjene podataka trebalo biti postupno te je potrebno odrediti prioritetne kategorije elektroničkih zdravstvenih podataka. Mreža e-zdravstva odabrala je sažetak medicinskih podataka o pacijentu, elektronički recept i elektroničko izdavanje lijeka, laboratorijske nalaze i izvješća, otpusna pisma, medicinske snimke i nalaze kao najvažnije kategorije elektroničkih zdravstvenih podataka za većinu situacija zdravstvene zaštite i one bi se trebale smatrati prioritetnim kategorijama za koje države članice trebaju omogućiti pristup i prijenos. Ako takve prioritetne kategorije podataka predstavljaju skupine elektroničkih zdravstvenih podataka, ova bi se Uredba trebala primjenjivati ne samo na cijele skupine nego i na pojedinačne unose podataka unutar tih skupina. Na primjer, budući da je karton cijepljenja dio sažetka o pacijentu, prava i zahtjevi povezani sa sažetkom medicinskih podataka o pacijentu trebali bi se primjenjivati i na takav konkretan karton cijepljenja čak i ako se on obrađuje odvojeno od cijelog sažetka medicinskih podataka o pacijentu. Ako se utvrde dodatne potrebe za razmjenom dodatnih kategorija elektroničkih zdravstvenih podataka u svrhe zdravstvene zaštite, na temelju ove Uredbe trebalo bi omogućiti pristup tim dodatnim kategorijama i njihovu razmjenu. Dodatne kategorije trebale bi se najprije uvesti na razini država članica, ▌a u prekograničnim situacijama trebala bi se omogućiti njihova razmjena među državama članicama koje surađuju na dobrovoljnoj osnovi. Posebnu pozornost trebalo bi posvetiti razmjeni podataka u pograničnim regijama susjednih država članica, u kojima je pružanje prekograničnih zdravstvenih usluga učestalije te su potrebni još brži postupci nego općenito u ostatku Unije.

▌

(19)  Razina dostupnosti osobnih zdravstvenih i genetskih podataka u elektroničkom formatu razlikuje se među državama članicama. Europski prostor za zdravstvene podatke trebao bi olakšati dostupnost tih podataka pojedincima u elektroničkom formatu te im omogućiti bolju kontrolu nad pristupom vlastitim osobnim elektroničkim zdravstvenim podacima i njihovom razmjenom. To bi pridonijelo i postizanju cilja da do 2030. svi građani Unije imaju pristup svojim elektroničkim zdravstvenim zapisima, kako je navedeno u programu politike „Put u digitalno desetljeće”. Kako bi se elektronički zdravstveni podaci učinili dostupnima i prenosivima, tim bi se podacima trebalo pristupati i trebalo bi ih prenositi u interoperabilnom zajedničkom europskom formatu za razmjenu elektroničkih zdravstvenih zapisa, barem za određene kategorije elektroničkih zdravstvenih podataka, kao što su sažeci medicinskih podataka o pacijentu, elektronički recepti i elektroničko izdavanje lijeka, medicinske snimke i nalazi, laboratorijski nalazi i otpusna pisma, uz primjenu prijelaznih razdoblja. Ako pojedinac stavi osobne elektroničke zdravstvene podatke na raspolaganje pružatelju zdravstvene zaštite ili ljekarni, ili ako ih drugi voditelj obrade podataka prenese u europskom formatu za razmjenu elektroničkih zdravstvenih zapisa, format bi trebalo prihvatiti, a primatelj bi trebao moći pročitati podatke i upotrijebiti ih za pružanje zdravstvene zaštite ili izdavanje lijeka, čime se podupire pružanje usluga zdravstvene zaštite ili izdavanje elektroničkog recepta. Format bi trebao biti osmišljen tako da se, u mjeri u kojoj je to moguće, olakša prijevod navedenih elektroničkih zdravstvenih podataka na službene jezike Unije. Preporuka Komisije (EU) 2019/243(10) pruža temelje za takav zajednički europski format za razmjenu elektroničkih zdravstvenih zapisa. Interoperabilnost europskog prostora za zdravstvene podatke trebala bi doprinijeti visokoj kvaliteti europskih skupova zdravstvenih podataka. Uporaba europskog formata za razmjenu elektroničkih zdravstvenih zapisa trebala bi postati raširenija na razini EU-a i nacionalnoj razini. Komisiju bi trebalo ovlastiti da donošenjem provedbenih akata proširi europske formate za razmjenu elektroničkih zdravstvenih zapisa na dodatne kategorije podataka koje dobrovoljno upotrebljavaju države članice. Europski format za razmjenu elektroničkih zdravstvenih zapisa može imati različite profile za upotrebu na razini sustava elektroničkih zdravstvenih zapisa i na razini nacionalnih kontaktnih točaka unutar infrastrukture Moje zdravlje@EU (MyHealth@EU) za prekograničnu razmjenu podataka.

(20)  Iako su sustavi elektroničkih zdravstvenih zapisa vrlo rašireni, razina digitalizacije zdravstvenih podataka razlikuje se u državama članicama ovisno o kategorijama podataka i o broju pružatelja zdravstvene zaštite koji registriraju zdravstvene podatke u elektroničkom formatu. Potrebno je djelovanje Unije kako bi se podržala provedba prava ispitanika na pristup elektroničkim zdravstvenim podacima i njihovu razmjenu i izbjegla daljnja rascjepkanost. Kako bi se pridonijelo visokoj razini kvalitete i kontinuitetu zdravstvene zaštite, određene kategorije zdravstvenih podataka trebalo bi registrirati u elektroničkom formatu na sustavan način i u skladu s posebnim zahtjevima u pogledu kvalitete podataka. Europski format za razmjenu elektroničkih zdravstvenih zapisa trebao bi biti osnova za specifikacije povezane s registracijom i razmjenom elektroničkih zdravstvenih podataka. Komisiju bi trebalo ovlastiti za donošenje provedbenih akata radi utvrđivanja ▌zahtjeva u pogledu kvalitete podataka.

(21)  Telemedicina postaje sve važniji alat kojim se pacijentima može omogućiti pristup skrbi i kojim se bori protiv nejednakosti i smanjuje zdravstvene nejednakosti te osnažuje slobodno kretanje građana Unije preko granica. Digitalni i drugi tehnološki alati mogu olakšati pružanje skrbi u udaljenim regijama. Kad se digitalne usluge pružaju uz fizičke usluge zdravstvene zaštite, digitalna usluga trebala bi se smatrati dijelom ukupno pružene zdravstvene zaštite. Na temelju članka 168. Ugovora o funkcioniranju Europske unije (UFEU) države članice odgovorne su za svoju zdravstvenu politiku, osobito za organizaciju i pružanje zdravstvenih usluga i zdravstvene zaštite, uključujući reguliranje aktivnosti kao što su internetske ljekarne, telemedicina i druge usluge koje pružaju i za koje nadoknađuju troškove, u skladu sa svojim nacionalnim zakonodavstvom. Međutim, različite zdravstvene politike ne bi smjele spriječiti slobodno kretanje elektroničkih zdravstvenih podataka u kontekstu prekogranične zdravstvene zaštite, uključujući telemedicinu, kao što su usluge internetskih ljekarni.

(22)  Uredbom (EU) br. 910/2014 utvrđeni su uvjeti pod kojima države članice provode identifikaciju pojedinaca u prekograničnim situacijama s pomoću sredstava identifikacije koja je izdala druga država članica, čime su utvrđena pravila za uzajamno priznavanje takvih sredstava elektroničke identifikacije. U okviru europskog prostora za zdravstvene podatke zahtijeva se siguran pristup elektroničkim zdravstvenim podacima, među ostalim u prekograničnim scenarijima. Uslugama pristupa elektroničkim zdravstvenim podacima i uslugama telemedicine trebala bi se osigurati prava pojedinaca bez obzira na državu članicu čijem sustavu osigurana osoba pripada te bi se njima stoga trebala podupirati identifikacija pojedinaca bilo kojim sredstvima elektroničke identifikacije priznatima u skladu s člankom 6. Uredbe (EU) br. 910/2014. S obzirom na mogućnost uspoređivanja identiteta u prekograničnim situacijama, države članice možda će trebati izdati dodatne pristupne tokene ili kodove pojedincima koje dolaze iz drugih država članica i primaju zdravstvenu zaštitu. Komisija bi trebala biti ovlaštena za donošenje provedbenih akata za interoperabilnu prekograničnu identifikaciju i autentifikaciju pojedinaca i zdravstvenih stručnjaka, uključujući sve dodatne mehanizme koji su potrebni da bi se pojedincima osigurala mogućnost da ostvare prava u vezi s osobnim elektroničkim zdravstvenim podacima u prekograničnim situacijama.

(22a)   Države članice trebale bi osnovati relevantna tijela nadležna za digitalno zdravstvo radi planiranja i uvođenja standardâ za pristup elektroničkim zdravstvenim podacima i njihov prijenos te ostvarivanje prava pojedinaca i zdravstvenih stručnjaka, kao zasebne organizacije ili kao dio trenutačno postojećih tijela. Djelatnici tijela nadležnih za digitalno zdravstvo ne smiju imati financijske ili druge interese u industrijama ili gospodarskim aktivnostima koji bi mogli utjecati na njihovu nepristranost. Osim toga, države članice trebale bi olakšati sudjelovanje nacionalnih aktera u suradnji na razini Unije širenjem stručnog znanja i savjetovanjem o izradi rješenja potrebnih za postizanje ciljeva europskog prostora za zdravstvene podatke. Tijela nadležna za digitalno zdravstvo postoje u većini država članica i rade na elektroničkim zdravstvenim zapisima, interoperabilnosti, sigurnosti ili standardizaciji. Pri obavljanju svojih zadaća tijela nadležna za digitalno zdravstvo trebala bi posebno surađivati s nadzornim tijelima uspostavljenima u skladu s Uredbom (EU) 2016/679 i nadzornim tijelima uspostavljenima u skladu s Uredbom (EU) br. 910/2014. Mogu surađivati i s Europskim odborom za umjetnu inteligenciju na temelju [Akta o umjetnoj inteligenciji 2021/0106(COD)], Koordinacijskom skupinom za medicinske proizvode na temelju Uredbe (EU) 2017/745 Europskog parlamenta i Vijeća(11), Europskim odborom za inovacije u području podataka na temelju Uredbe (EU) 2022/868 Europskog parlamenta i Vijeća(12) i nadležnim tijelima na temelju Uredbe (EU) 2023/2854 Europskog parlamenta i Vijeća(13).

(22b)   Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, svaki pojedinac ili pravna osoba trebao bi imati pravo na djelotvoran pravni lijek protiv pravno obvezujuće odluke tijela nadležnog za digitalno zdravstvo koja se na tu osobu odnosi. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, svaki pojedinac ili pravna osoba trebao bi imati pravo na djelotvoran pravni lijek ako tijelo nadležno za digitalno zdravstvo ne riješi pritužbu ili ne izvijesti pojedinca ili pravnu osobu u roku od tri mjeseca o napretku ili ishodu pritužbe. Postupci protiv tijela nadležnog za digitalno zdravstvo trebali bi se pokretati pred sudovima država članica u kojima tijelo nadležno za digitalno zdravstvo ima poslovni nastan.

(23)  Tijela nadležna za digitalno zdravstvo trebala bi imati dostatne tehničke vještine i po mogućnosti okupljati stručnjake iz različitih organizacija. Aktivnosti tijela nadležnih za digitalno zdravstvo trebale bi se precizno planirati i pratiti kako bi se osigurala njihova učinkovitost. Tijela nadležna za digitalno zdravstvo trebala bi poduzeti potrebne mjere za osiguravanje prava pojedinaca uspostavom nacionalnih, regionalnih i lokalnih tehničkih rješenja, kao što su nacionalni elektronički zdravstveni zapisi, rješenja s posredničkim uslugama i portali za pacijente. Pritom bi trebala primjenjivati zajedničke standarde i specifikacije u takvim rješenjima, promicati primjenu standarda i specifikacija u postupcima nabave te upotrebljavati druga inovativna sredstva, uključujući nadoknadu troškova za rješenja koja su usklađena sa zahtjevima interoperabilnosti i sigurnosti europskog prostora za zdravstvene podatke. Države članice trebale bi osigurati poduzimanje odgovarajućih inicijativa za osposobljavanje. Konkretno, zdravstvene stručnjake trebalo bi informirati i osposobljavati u skladu s njihovim pravima i obvezama na temelju ove Uredbe. Kako bi izvršila svoje zadaće, tijela nadležna za digitalno zdravstvo trebala bi surađivati na nacionalnoj razini i razini Unije s drugim subjektima, uključujući osiguravajuća tijela, pružatelje zdravstvene zaštite, zdravstvene stručnjake, proizvođače sustava elektroničkih zdravstvenih zapisa i aplikacija za dobrobit, kao i ostale dionike iz sektora zdravstva ili informacijske tehnologije, subjekte koji upravljaju sustavima za nadoknadu troškova, tijela za procjenu zdravstvene tehnologije, regulatorna tijela i agencije za lijekove, tijela za medicinske proizvode, naručitelje i tijela za kibernetičku sigurnost ili elektroničku identifikaciju.

(24)  Pristup elektroničkim zdravstvenim podacima i njihov prijenos relevantni su u situacijama prekogranične zdravstvene zaštite jer mogu pridonijeti kontinuitetu zdravstvene zaštite kad pojedinci putuju u druge države članice ili mijenjaju boravište. Kontinuitet skrbi i brz pristup osobnim elektroničkim zdravstvenim podacima još su važniji za stanovnike pograničnih regija, koji često prelaze granicu kako bi dobili zdravstvenu zaštitu. U brojnim pograničnim regijama neke specijalizirane usluge zdravstvene zaštite mogu biti dostupnije preko granice nego u istoj državi članici. Ako pojedinac koristi usluge pružatelja zdravstvene zaštite koji se nalazi u drugoj državi članici, potrebna je infrastruktura za prijenos osobnih elektroničkih zdravstvenih podataka preko granica. Trebalo bi razmotriti postupno širenje infrastrukture i njezino financiranje. Dobrovoljna infrastruktura u tu svrhu, Moje zdravlje@EU (MyHealth@EU), uspostavljena je kao dio djelovanja predviđenih člankom 14. Direktive 2011/24/EU Europskog parlamenta i Vijeća(14). Države članice počele su u okviru infrastrukture Moje zdravlje@EU (MyHealth@EU) pružati pojedincima mogućnost da dijele svoje osobne elektroničke zdravstvene podatke s pružateljima zdravstvene zaštite kad putuju u inozemstvo. Polazeći od stečenog iskustva, sudjelovanje država članica u digitalnoj infrastrukturi Moje zdravlje@EU (MyHealth@EU) kako je utvrđeno u ovoj Uredbi trebalo bi biti obvezno. Tehničke specifikacije za infrastrukturu MyHealth@EU trebale bi omogućiti razmjenu prioritetnih kategorija elektroničkih zdravstvenih podataka i dodatnih kategorija koje podržava europski format za razmjenu elektroničkih zdravstvenih zapisa. Te bi specifikacije trebale biti utvrđene u provedbenim aktima i trebale bi se temeljiti na prekograničnim specifikacijama europskog formata za razmjenu elektroničkih zdravstvenih zapisa, dopunjenima dodatnim specifikacijama o kibernetičkoj sigurnosti, tehničkoj i semantičkoj interoperabilnosti te upravljanju operacijama i uslugama. Ovom Uredbom trebalo bi obvezati države članice da se pridruže toj infrastrukturi, usklade s tehničkim specifikacijama za infrastrukturu Moje zdravlje@EU (MyHealth@EU) i da s njom povežu pružatelje zdravstvene zaštite uključujući ljekarne jer je to nužno za ostvarivanje prava pojedinaca utvrđena ovom Uredbom na pristup vlastitim osobnim elektroničkim zdravstvenim podacima i njihovu uporabu, neovisno o državi članici. ▌

(25)  ▌Infrastruktura Moje zdravlje@EU (MyHealth@EU) pruža zajedničku infrastrukturu za države članice radi učinkovitog i sigurnog postizanja povezivosti i interoperabilnosti s ciljem potpore prekograničnoj zdravstvenoj zaštiti, a da se pritom ne utječe na odgovornosti država članica prije i nakon prijenosa osobnih elektroničkih zdravstvenih podataka u okviru te infrastrukture. Države članice odgovorne su za organizaciju svojih nacionalnih kontaktnih točaka i za [obradu osobnih podataka za] pružanje zdravstvene zaštite prije i nakon prijenosa podataka u okviru te infrastrukture. Komisija bi trebala pratiti usklađenost nacionalnih kontaktnih točaka s potrebnim zahtjevima provedbom provjera usklađenosti. U slučaju ozbiljne neusklađenosti nacionalne kontaktne točke, Komisiji bi trebalo omogućiti da obustavi zahvaćene usluge koje pruža ta nacionalna kontaktna točka. Komisija bi u okviru te infrastrukture trebala djelovati kao izvršitelj obrade u ime država članica i pružati središnje usluge za tu infrastrukturu. Kako bi se osigurala usklađenost s pravilima o zaštiti podataka i omogućio okvir za upravljanje rizicima za prijenos osobnih elektroničkih zdravstvenih podataka, u provedbenim aktima trebalo bi detaljno utvrditi posebne odgovornosti država članica kao zajedničkih voditelja obrade i obveze Komisije kao izvršitelja obrade u njihovo ime. Svaka država članica odgovorna je isključivo za podatke i usluge u toj državi članici. Ovom se Uredbom pruža pravna osnova za obradu osobnih elektroničkih zdravstvenih podataka u okviru te infrastrukture kao zadaće od javnog interesa dodijeljene pravom Unije u smislu članka 6. stavka 1. točke (e) Uredbe (EU) 2016/679. Ta je obrada nužna za pružanje zdravstvene zaštite, kako je navedeno u članku 9. stavku 2. točki (h) te uredbe, u prekograničnim situacijama.

(26)  Osim usluga u infrastrukturi Moje zdravlje@EU (MyHealth@EU) za razmjenu osobnih elektroničkih zdravstvenih podataka na temelju europskog formata za razmjenu elektroničkih zdravstvenih zapisa, mogu biti potrebne druge usluge ili dodatne infrastrukture, na primjer u slučajevima javnozdravstvenih kriza ili ako arhitektura infrastrukture Moje zdravlje@EU (MyHealth@EU) ne bude prikladna za provedbu u nekim slučajevima uporabe. Primjeri takvih slučajeva uporabe uključuju potporu za funkcije kartona cijepljenja, uključujući razmjenu informacija o programima cijepljenja, i provjeru potvrda o cijepljenju ili drugih potvrda povezanih sa zdravljem. To bi bilo važno i za uvođenje dodatnih funkcija za upravljanje javnozdravstvenim krizama, kao što je mogućnost praćenja kontakata radi suzbijanja zaraznih bolesti. Infrastruktura Moje zdravlje@EU (MyHealth@EU) trebala bi podržavati razmjenu osobnih elektroničkih zdravstvenih podataka s kontaktnim točkama relevantnih trećih zemalja i međunarodnih organizacija kako bi se doprinijelo kontinuitetu zdravstvene zaštite. To je osobito važno za prekogranično mobilno stanovništvo preko granice sa susjednim trećim zemljama, za zemlje kandidatkinje i za pridruživanje prekomorskih zemalja i područja. Povezivanje nacionalnih kontaktnih točaka za digitalno zdravstvo trećih zemalja ili interoperabilnost s digitalnim sustavima uspostavljenima na međunarodnoj razini trebali bi podlijegati provjeri kojom se osigurava usklađenost ▌kontaktne točke s tehničkim specifikacijama, pravilima o zaštiti podataka i drugim zahtjevima infrastrukture Moje zdravlje@EU (MyHealth@EU). Osim toga, s obzirom na to da će povezivanje s infrastrukturom Moje zdravlje@EU (MyHealth@EU) podrazumijevati prijenos osobnih elektroničkih zdravstvenih podataka u treće zemlje, primjerice slanje sažetka medicinskih podataka o pacijentu kada pacijent zatraži skrb u toj trećoj zemlji, morat će postojati relevantni instrumenti za prijenos u skladu s poglavljem V. Uredbe (EU) 2016/679. Komisija bi trebala biti ovlaštena za donošenje provedbenih akata za povezivanje takvih trećih zemalja i međunarodnih organizacija s infrastrukturom Moje zdravlje@EU (MyHealth@EU). Tijekom izrade tih provedbenih akata trebalo bi uzeti u obzir interese država članica u pogledu nacionalne sigurnosti.

(27)  Kako bi se omogućila neometana razmjena elektroničkih zdravstvenih podataka i osiguralo poštovanje prava pojedinaca i zdravstvenih stručnjaka, sustavi elektroničkih zdravstvenih zapisa stavljeni na jedinstveno tržište Unije trebali bi moći na siguran način pohranjivati i prenositi elektroničke zdravstvene podatke visoke kvalitete. Jedan je od ključnih ciljeva europskog prostora za zdravstvene podatke osigurati sigurno i slobodno kretanje elektroničkih zdravstvenih podataka u Uniji. U tu bi svrhu trebalo uspostaviti obvezan sustav samoprocjene sukladnosti za sustave elektroničkih zdravstvenih zapisa u kojima se obrađuje jedna ili više prioritetnih kategorija elektroničkih zdravstvenih podataka kako bi se nadvladala rascjepkanost tržišta i osigurao proporcionalan pristup. Tom samoprocjenom dokazat će se da su sustavi elektroničkih zdravstvenih zapisa usklađeni sa ▌zahtjevima u pogledu interoperabilnosti, sigurnosti i evidentiranja razmjene osobnih elektroničkih zdravstvenih kako je utvrđeno dvjema obveznim komponentama elektroničkih zdravstvenih zapisa usklađenima u ovoj Uredbi, odnosno „europskom komponentom interoperabilnosti razmjene za sustave elektroničkih zdravstvenih zapisa” i „europskom komponentom evidentiranja za sustave elektroničkih zdravstvenih zapisa”. Te su dvije komponente usmjerene na transformaciju podataka, iako mogu podrazumijevati neizravne zahtjeve za registar podataka i prikaz podataka u sustavima elektroničkih zdravstvenih zapisa. Tehničke specifikacije za „europsku komponentu interoperabilnosti za sustave elektroničkih zdravstvenih zapisa” i „europsku komponentu evidentiranja za sustave elektroničkih zdravstvenih zapisa” trebalo bi definirati provedbenim aktima i utemeljiti ih na europskom formatu za razmjenu elektroničkih zdravstvenih zapisa. Komponente bi trebale biti strukturirane tako da se mogu ponovno upotrebljavati i neometano integrirati s drugim komponentama u većem softverskom sustavu. Takvi zahtjevi u pogledu sigurnosti tih komponenti trebali bi obuhvaćati elemente specifične za sustave elektroničkih zdravstvenih zapisa jer bi se općenitija sigurnosna obilježja trebala poduprijeti drugim mehanizmima, kao što ▌je Uredba (EU) 2024/... Europskog parlamenta i Vijeća(15) [Akt o kibernetičkoj otpornosti 2022/0272(COD)]. Kako bi se podržao taj proces, trebalo bi uspostaviti europska okruženja za digitalno testiranje koja bi pružala automatizirana sredstva za testiranje funkcioniranja usklađenih komponenti sustava elektroničkih zdravstvenih zapisa u skladu sa zahtjevima utvrđenima u poglavlju III. ove Uredbe. U tu bi svrhu Komisiji trebalo dodijeliti provedbene ovlasti za utvrđivanje zajedničkih specifikacija za to okruženje. Komisija bi trebala razviti softver potreban za okruženje za testiranje i staviti ga na raspolaganje kao otvoreni kod. Države članice trebale bi biti te koje upravljaju okruženjima za ispitivanje jer su one bliže proizvođačima i u boljem položaju da im pruže potporu. Proizvođači bi trebali koristiti ta okruženja za testiranje svojih proizvoda prije njihova stavljanja na tržište, a da pritom i dalje snose punu odgovornost za usklađenost svojih proizvoda. Rezultati testiranja trebali bi postati dio tehničke dokumentacije proizvoda. Ako je sustav elektroničkih zdravstvenih zapisa ili bilo koji njegov dio u skladu s europskim normama ili zajedničkim specifikacijama, u tehničkoj dokumentaciji trebalo bi navesti i popis relevantnih europskih normi i zajedničkih specifikacija. Kako bi se olakšala usporedivost, Komisija bi trebala pripremiti jedinstveni predložak za tehničku dokumentaciju.

(27a)   Sustavi elektroničkih zdravstvenih zapisa trebali bi biti popraćeni informacijskim listom koji sadržava informacije za profesionalne korisnike. Ako uz sustav elektroničkih zdravstvenih zapisa nije priložen takav informacijski list te jasne i potpune upute za uporabu u formatima pristupačnima osobama s invaliditetom, proizvođač dotičnog sustava elektroničkih zdravstvenih zapisa, njegov ovlašteni zastupnik i svi drugi relevantni gospodarski subjekti trebali bi biti dužni sustavu elektroničkih zdravstvenih zapisa dodati taj informacijski list i upute za uporabu.

(28)  Dok bi sustavi elektroničkih zdravstvenih zapisa koje je proizvođač izričito namijenio za obradu jedne ili više posebnih kategorija elektroničkih zdravstvenih podataka trebali podlijegati obveznom samocertificiranju, softver za općenite svrhe ne bi se trebao smatrati sustavom elektroničkih zdravstvenih zapisa čak ni kad se upotrebljava u okruženju zdravstvene zaštite i stoga ne bi morao biti usklađen s odredbama poglavlja III. To obuhvaća slučajeve kao što je softver za obradu teksta koji se upotrebljava za pisanje izvješća koji bi zatim postao dio narativnih elektroničkih zdravstvenih zapisa, softvera opće namjene ili softvera za upravljanje bazama podataka koji se upotrebljava kao dio rješenja za pohranu podataka.

(28a)   Ovom se Uredbom uvodi obvezni sustav samoprocjene sukladnosti za dvije obvezne usklađene komponente sustava elektroničkih zdravstvenih zapisa kako bi se osiguralo da sustavi elektroničkih zdravstvenih zapisa stavljeni na tržište Unije mogu razmjenjivati podatke u europskom formatu za razmjenu elektroničkih zdravstvenih zapisa i da imaju potrebne funkcije evidentiranja. Proizvođačeva izjava o sukladnosti opravdana je ako se osigura da su ti zahtjevi zajamčeni na proporcionalan način, bez nametanja nepotrebnog opterećenja državama članicama i proizvođačima.

(28.aa)   Države članice trebale bi nadograditi postojeće mehanizme kako bi osigurale ispravnu primjenu sustava pravila za stavljanje oznake CE i poduzimati odgovarajuće mjere u slučaju nepravilne upotrebe te oznake. Ako sustavi elektroničkih zdravstvenih zapisa podliježu drugom zakonodavstvu Unije u pogledu aspekata koji nisu obuhvaćeni ovom Uredbom, a kojim se također zahtijeva stavljanje oznake CE, na oznaci CE trebalo bi navesti da sustavi ispunjavaju i zahtjeve tog drugog zakonodavstva.

(28b)   Države članice trebale bi zadržati nadležnost za definiranje zahtjeva koji se odnose na sve druge komponente sustava elektroničkih zdravstvenih zapisa i uvjeta za povezivanje pružatelja zdravstvene zaštite s njihovim nacionalnim infrastrukturama, što može podlijegati ocjeni treće strane na nacionalnoj razini. Kako bi se promicalo neometano funkcioniranje jedinstvenog tržišta za sustave elektroničkih zdravstvenih zapisa, digitalne zdravstvene proizvode i povezane usluge, trebalo bi osigurati najveću moguću transparentnost u pogledu nacionalnih propisa kojima se utvrđuju zahtjevi za sustave elektroničkih zdravstvenih zapisa i odredaba o njihovu ocjenjivanju sukladnosti u odnosu na aspekte koji nisu usklađene komponente sustava elektroničkih zdravstvenih zapisa na temelju Uredbe. Države članice trebale bi obavijestiti Komisiju o tim nacionalnim zahtjevima kako bi raspolagala potrebnim informacijama kako bi se osiguralo da ne ometaju ili nepovoljno utječu na usklađene komponente sustava elektroničkih zdravstvenih zapisa.

(29)  Određene komponente sustava elektroničkih zdravstvenih zapisa mogle bi se smatrati medicinskim proizvodima na temelju Uredbe (EU) 2017/745 ili in vitro dijagnostičkim proizvodima na temelju Uredbe (EU) 2017/746 Europskog parlamenta i Vijeća(16). Softver ili moduli softvera obuhvaćeni definicijom medicinskog proizvoda, in vitro dijagnostičkih proizvoda ili visokorizičnog sustava umjetne inteligencije trebali bi se certificirati u skladu s Uredbom (EU) 2017/745, Uredbom (EU) 2017/746 te Uredbom […] Europskog parlamenta i Vijeća [Akt o umjetnoj inteligenciji 2021/0106(COD)], kako je primjenjivo. Iako takvi proizvodi moraju ispunjavati zahtjeve iz svake primjenjive uredbe, države članice trebale bi poduzeti odgovarajuće mjere kako bi osigurale da se odgovarajuće ocjenjivanje sukladnosti provodi kao zajednički ili koordinirani postupak kako bi se ograničilo administrativno opterećenje proizvođača i drugih gospodarskih subjekata. Bitni zahtjevi u pogledu interoperabilnosti iz ove Uredbe trebali bi se primjenjivati samo u mjeri u kojoj proizvođač medicinskog proizvoda, in vitro dijagnostičkih proizvoda ili visokorizičnog sustava umjetne inteligencije koji pruža elektroničke zdravstvene podatke za obradu kao dio sustava elektroničkih zdravstvenih zapisa tvrdi da je njegov proizvod interoperabilan s takvim sustavom elektroničkih zdravstvenih zapisa. U tom bi se slučaju na te medicinske proizvode, in vitro dijagnostičke proizvode i visokorizične sustave umjetne inteligencije trebale primjenjivati odredbe o zajedničkim specifikacijama za sustave elektroničkih zdravstvenih zapisa.

(30)  Kako bi dodatno pridonijele interoperabilnosti i sigurnosti, države članice mogu primjenjivati ili utvrditi posebna pravila za nabavu, nadoknadu troškova, financiranje ili uporabu sustava elektroničkih zdravstvenih zapisa na nacionalnoj razini u kontekstu organizacije, pružanja ili financiranja zdravstvenih usluga. Takva posebna pravila ne bi smjela ometati slobodno kretanje sustava elektroničkih zdravstvenih zapisa u Uniji. Neke države članice uvele su obvezno certificiranje sustava elektroničkih zdravstvenih zapisa ili obvezno testiranje interoperabilnosti za njihovo povezivanje s nacionalnim digitalnim zdravstvenim uslugama. Takvi zahtjevi obično se navode u postupcima nabave koje organiziraju pružatelji zdravstvene zaštite, nacionalna ili regionalna tijela. Obvezno certificiranje sustava elektroničkih zdravstvenih zapisa na razini Unije trebalo bi postati osnovni zahtjev koji se može primjenjivati u postupcima nabave na nacionalnoj razini.

(31)  Kako bi se zajamčilo djelotvorno ostvarivanje prava pacijenata na temelju ove Uredbe, ako pružatelji zdravstvene zaštite interno razviju i upotrebljavaju sustav elektroničkih zdravstvenih zapisa za izvršavanje internih aktivnosti, a da ga ne stave na tržište u zamjenu za plaćanje ili naknadu, i oni bi se trebali pridržavati ove Uredbe. U tom kontekstu takvi pružatelji zdravstvene zaštite trebali bi se pridržavati svih zahtjeva primjenjivih na proizvođače za takav interni sustav koji stavljaju u uporabu. Međutim, takvim pružateljima zdravstvene zaštite može trebati dodatno vrijeme za pripremu. Stoga bi se ti zahtjevi trebali primjenjivati na takve sustave tek nakon produljenog prijelaznog razdoblja.

(32)  Potrebno je osigurati jasnu i proporcionalnu raspodjelu obveza koje odgovaraju ulozi svakog subjekta u opskrbnom i distribucijskom procesu sustava elektroničkih zdravstvenih zapisa. Gospodarski bi subjekti trebali biti odgovorni za sukladnost svojih uloga u tom procesu i trebali bi osigurati da stavljaju na tržište samo one sustave elektroničkih zdravstvenih zapisa koji su usklađeni s relevantnim zahtjevima.

(33)  Proizvođači sustava elektroničkih zdravstvenih zapisa trebali bi dokazati sukladnost s bitnim zahtjevima u pogledu interoperabilnosti i sigurnosti primjenom zajedničkih specifikacija. U tu svrhu Komisiji bi trebalo dodijeliti provedbene ovlasti da utvrdi takve zajedničke specifikacije za skupove podataka, sustave za kodiranje, tehničke specifikacije, uključujući standarde, specifikacije i profile za razmjenu podataka, kao i zahtjeve i načela povezane sa sigurnošću, povjerljivošću, integritetom, sigurnošću pacijenata i zaštitom osobnih podataka te specifikacije i zahtjeve povezane s upravljanjem identifikacijom i uporabom elektroničke identifikacije. Tijela nadležna za digitalno zdravstvo trebala bi pridonijeti izradi takvih zajedničkih specifikacija. Ako je primjenjivo, te zajedničke specifikacije trebale bi se temeljiti na postojećim usklađenim normama za usklađene komponente sustava elektroničkih zdravstvenih zapisa i biti usklađene sa sektorskim zakonodavstvom. Ako su zajedničke specifikacije posebno važne u odnosu na zahtjeve za zaštitu podataka u sustavima elektroničkih zdravstvenih zapisa, one bi trebale podlijegati savjetovanju s Europskim odborom za zaštitu podataka i Europskim nadzornikom za zaštitu podataka prije njihova donošenja, u skladu s člankom 42. stavkom 2. Uredbe (EU) 2018/1725.

(34)  Kako bi se osigurala odgovarajuća i djelotvorna provedba zahtjeva i obveza utvrđenih u poglavlju III. ove Uredbe, trebao bi se primjenjivati sustav nadzora tržišta i sukladnosti proizvoda uspostavljen Uredbom (EU) 2019/1020 Europskog parlamenta i Vijeća(17). Ovisno o organizaciji utvrđenoj na nacionalnoj razini takve aktivnosti nadzora tržišta mogla bi provoditi tijela nadležna za digitalno zdravstvo koja osiguravaju pravilnu provedbu poglavlja II. ili zasebno tijelo za nadzor tržišta odgovorno za sustave elektroničkih zdravstvenih zapisa. Iako bi imenovanje tijela nadležnih za digitalno zdravstvo kao tijela za nadzor tržišta moglo imati važne praktične prednosti za zdravstvo i zdravstvenu zaštitu, trebalo bi izbjegavati sukobe interesa, na primjer razdvajanjem različitih zadaća.

(34.aa)   Osoblje tijela za nadzor tržišta ne bi trebalo imati izravni ili neizravni ekonomski, financijski ili osobni sukob interesa koji se može smatrati štetnim za njihovu neovisnost, a posebice ne bi trebali biti u situaciji koja izravno ili neizravno može utjecati na nepristranost njihovog profesionalnog ponašanja. Države članice trebale bi odrediti i objaviti postupak odabira tijela za nadzor tržišta. Trebale bi osigurati da je postupak transparentan i da ne dopušta sukobe interesa.

(35)  Korisnike aplikacija za dobrobit, kao što su mobilne aplikacije, trebalo bi obavijestiti o sposobnosti tih aplikacija za povezivanje sa sustavima elektroničkih zdravstvenih zapisa ili nacionalnim elektroničkim zdravstvenim rješenjima i pružanje podataka tim sustavima ili rješenjima ako su podaci koje proizvode aplikacije za dobrobit korisni za svrhe zdravstvene zaštite. Za svrhe prenosivosti podataka relevantna je i sposobnost tih aplikacija za izvoz podataka u interoperabilnom formatu. Korisnike bi prema potrebi trebalo informirati o sukladnosti tih aplikacija sa zahtjevima u pogledu interoperabilnosti i sigurnosti. Međutim, s obzirom na velik broj aplikacija za dobrobit i ograničenu važnost podataka koje one proizvode za svrhe zdravstvene zaštite sustav certificiranja za te aplikacije ne bi bio proporcionalan. Stoga bi trebalo uspostaviti sustav obveznog označivanja aplikacija za dobrobit koje se pozivaju na interoperabilnost sa sustavima elektroničkih zdravstvenih zapisa kao odgovarajući mehanizam koji bi korisnicima aplikacija za dobrobit pružao transparentne podatke o sukladnosti sa zahtjevima, čime bi im se pomoglo u odabiru prikladnih aplikacija za dobrobit, visokih standarda interoperabilnosti i sigurnosti. Komisija bi trebala provedbenim aktima utvrditi pojedinosti formata i sadržaja takve oznake.

(35a)   Države članice trebale bi i dalje moći slobodno regulirati druge aspekte upotrebe aplikacija za dobrobit iz članka 31., pod uvjetom da su takva pravila u skladu s pravom Unije.

(36)  Distribucija informacija o certificiranim sustavima elektroničkih zdravstvenih zapisa i označenim aplikacijama za dobrobit nužna je kako bi se naručiteljima i korisnicima takvih proizvoda omogućilo da pronađu interoperabilna rješenja za svoje posebne potrebe. Stoga bi na razini Unije trebalo uspostaviti bazu podataka o interoperabilnim sustavima elektroničkih zdravstvenih zapisa i aplikacijama za dobrobit, koji nisu obuhvaćeni područjem primjene Uredbe (EU) 2017/745 i […] [Akt o umjetnoj inteligenciji 2021/0106(COD)], sličnu Europskoj bazi podataka za medicinske proizvode (Eudamed) uspostavljenoj Uredbom (EU) 2017/745. Ciljevi EU-ove baze podataka o interoperabilnim sustavima elektroničkih zdravstvenih zapisa i aplikacijama za dobrobit trebali bi biti povećanje opće transparentnosti, izbjegavanje višestrukih zahtjeva za izvješćivanje te racionalizacija i olakšavanje protoka informacija. Medicinski proizvodi i sustavi umjetne inteligencije i dalje bi se trebali registrirati u postojećim bazama podataka uspostavljenima Uredbom (EU) 2017/745 odnosno […] [Akt o umjetnoj inteligenciji 2021/0106(COD)], no kad proizvođač tvrdi da je njegov proizvod sukladan sa zahtjevima interoperabilnosti, to bi trebalo naznačiti kako bi se informiralo naručitelje.

(37)  Bez ometanja ili zamjene postojećih ugovornih ili drugih mehanizama, ovom se Uredbom nastoji uspostaviti zajednički mehanizam za pristup elektroničkim zdravstvenim podacima za ▌sekundarnu uporabu u cijeloj Uniji. U okviru tog mehanizma vlasnici ▌podataka trebali bi podatke koje posjeduju staviti na raspolaganje na temelju dozvole za podatke ili zahtjeva za podatke. Za potrebe obrade elektroničkih zdravstvenih podataka za sekundarnu uporabu trebalo bi zahtijevati jednu od pravnih osnova utvrđenih u članku 6. stavku 1. točkama (a), (c), (e) ili (f) Uredbe (EU) 2016/679 u kombinaciji s člankom 9. stavkom 2. te uredbe. Ova Uredba čini pravnu osnovu u skladu s uredbama (EU) 2016/679 i (EU) 2018/1725 za sekundarnu uporabu osobnih elektroničkih zdravstvenih podataka, uključujući zaštitne mjere kojima se dopušta obrada posebnih kategorija podataka, u skladu s člankom 9. stavkom 2. točkama (g), (h), (i) i (j) Uredbe (EU) 2016/679 i člankom 10. stavkom 2. točkama (g), (h), (i) i (j) Uredbe (EU) 2018/1725, u smislu zakonitih svrha, pouzdanog upravljanja za pružanje pristupa zdravstvenim podacima (uključivanjem tijela za pristup zdravstvenim podacima) i obrade u sigurnom okruženju, kao i modaliteta za obradu podataka utvrđenih u dozvoli za podatke. Stoga države članice više ne smiju zadržavati ili uvoditi dodatne uvjete u skladu s člankom 9. stavkom 4. Uredbe (EU) 2016/679, uključujući ograničenja i posebne odredbe kojima se zahtijeva privola pojedinaca, u pogledu obrade osobnih elektroničkih zdravstvenih podataka za sekundarnu uporabu na temelju ove Uredbe, osim kako je navedeno u članku 33. stavku 8.b. Ujedno bi podnositelji zahtjeva za pristup podacima trebali dokazati postojanje pravne osnove u skladu s člankom 6. Uredbe (EU) 2016/679 ili, ako je to primjenjivo, člankom 5. Uredbe (EU) 2018/1725, na temelju koje bi mogli zatražiti pristup elektroničkim zdravstvenim podacima u skladu s ovom Uredbom i trebali ispuniti uvjete utvrđene u poglavlju IV. Ujedno bi tijelo za pristup zdravstvenim podacima trebalo ocijeniti informacije koje je dostavio podnositelj zahtjeva, na temelju kojih bi trebalo moći izdati dozvolu za podatke za obradu osobnih elektroničkih zdravstvenih podataka u skladu s ovom Uredbom koja bi trebala ispunjavati zahtjeve i uvjete utvrđene u poglavlju IV. ove Uredbe. Točnije, kad je riječ o obradi elektroničkih zdravstvenih podataka koje posjeduju vlasnici zdravstvenih podataka, ovom se Uredbom stvara pravna obveza u smislu članka 6. stavka 1. točke (c) Uredbe (EU) 2016/679 u skladu s člankom 9. stavkom 2. točkama (i) i (j) te Uredbe da vlasnik zdravstvenih podataka stavi na raspolaganje osobne elektroničke zdravstvene podatke tijelima za pristup zdravstvenim podacima, dok pravna osnova za svrhu prvotne obrade (npr. osiguranje pružanja zdravstvene zaštite) ostaje nepromijenjena. ▌Ovom se Uredbom također dodjeljuju zadaće u javnom interesu tijelima za pristup zdravstvenim podacima ▌u smislu članka 6. stavka 1. točke (e) Uredbe (EU) 2016/679 i ona ispunjava zahtjeve članka 9. stavka 2. točaka (g), (h), (i) i (j), kako je primjenjivo, Uredbe (EU) 2016/679. ▌Ako se korisnik zdravstvenih podataka oslanja na pravnu osnovu iz članka 6. stavka 1. točke (e) ili članka 6. stavka 1. točke (f) Uredbe (EU) 2016/679 ili članka 5. stavka 1. točke (a) Uredbe (EU) 2018/1725, ovom Uredbom trebale bi se osigurati zaštitne mjere propisane člankom 9. stavkom 2. Uredbe (EU) 2016/679 ili člankom 10. stavkom 2. Uredbe (EU) 2018/1725.

(37b)   Sekundarna uporaba elektroničkih zdravstvenih podataka može donijeti velike društvene koristi. Trebalo bi poticati prikupljanje stvarnih podataka i stvarnih dokaza, uključujući ishode koje su prijavili pacijenti, u regulatorne i političke svrhe utemeljene na dokazima te za istraživanje, procjenu zdravstvenih tehnologija i kliničke ciljeve. Stvarni podaci i stvarni dokazi mogu dopuniti zdravstvene podatke koji su trenutačno dostupni. Kako bi se taj cilj postigao, važno je da skupovi podataka koji se ovom Uredbom stavljaju na raspolaganje za sekundarnu uporabu budu što potpuniji. Ovom se Uredbom predviđaju potrebne zaštitne mjere za ublažavanje određenih rizika povezanih s ostvarivanjem tih koristi. Sekundarna uporaba elektroničkih zdravstvenih podataka temelji se na pseudonimiziranim ili anonimiziranim podacima kako bi se spriječila identifikacija ispitanika.

(37c)   Kako bi se potreba korisnika podataka da imaju iscrpne i reprezentativne skupove podataka uravnotežila s autonomijom pojedinaca u odnosu na njihove osobne elektroničke zdravstvene podatke koji se smatraju posebno osjetljivima, pojedinci bi trebali imati mogućnost suodlučivanja o obradi svojih osobnih elektroničkih zdravstvenih podataka za sekundarnu uporabu u skladu s ovom Uredbom, i to u obliku prava na izuzeće od stavljanja takvih osobnih elektroničkih zdravstvenih podataka na raspolaganje za sekundarnu uporabu. U tom bi pogledu trebalo osigurati lako razumljiv i pristupačan te korisnicima prilagođen mehanizam izuzeća. Osim toga, nužno je pojedincima osigurati dostatne i potpune informacije o njihovu pravu na izuzeće, uključujući prednosti i nedostatke pri ostvarivanju tog prava. Od pojedinaca ne bi trebalo zahtijevati da navedu razloge za izuzeće i trebali bi imati mogućnost da u bilo kojem trenutku preispitaju svoj izbor. Međutim, u određene svrhe koje su usko povezane s javnim interesom, kao što su aktivnosti za zaštitu od ozbiljnih prekograničnih prijetnji zdravlju ili znanstvena istraživanja iz važnih razloga od javnog interesa, primjereno je državama članicama omogućiti da, s obzirom na svoj nacionalni kontekst, uspostave mehanizam za pružanje pristupa podacima pojedinaca koji su iskoristili pravo na izuzeće kako bi se u takvim situacijama osigurala raspoloživost potpunih skupova podataka. Takvi mehanizmi trebali bi biti u skladu sa zahtjevima koji su utvrđeni za sekundarnu uporabu na temelju ove Uredbe. Znanstvena istraživanja iz važnih razloga od javnog interesa mogla bi primjerice uključivati istraživanja kojima se rješavaju nezadovoljene zdravstvene potrebe, među ostalim za rijetke bolesti, ili nove prijetnje zdravlju. Pravila o takvim izuzećima trebala bi poštovati bit temeljnih prava i sloboda te biti nužna i razmjerna mjera u demokratskom društvu kojom se ispunjava javni interes u području legitimnih znanstvenih i društvenih ciljeva. Takvo izuzeće trebalo bi biti dostupno samo korisnicima zdravstvenih podataka koji su tijela javnog sektora, uključujući relevantne europske institucije, tijela, urede ili agencije, koji su ovlašteni za obavljanje zadaća u području javnog zdravlja, ili drugim subjektima koji su ovlašteni za obavljanje javnih zadaća u području javnog zdravlja ili djeluju u ime javnog tijela ili na zahtjev tog tijela, te samo pod uvjetom da se podaci ne mogu pravodobno i učinkovito dobiti na drugi način. Takvi korisnici zdravstvenih podataka trebali bi obrazložiti da je upotreba izuzeća nužna za pojedinačni zahtjev za pristup ili zahtjev za podatke. Ako se primjenjuje takvo izuzeće, i dalje se primjenjuju zaštitne mjere iz poglavlja IV., posebno zabrana ponovne identifikacije i njezinih pokušaja od strane korisnika podataka.

(38)  U kontekstu europskog prostora za zdravstvene podatke elektronički zdravstveni podaci već postoje i prikupljaju ih pružatelji zdravstvene zaštite, strukovna udruženja, javne ustanove, regulatorna tijela, istraživači, osiguravatelji itd. pri obavljanju svojih aktivnosti. ▌Te bi podatke trebalo staviti na raspolaganje i za sekundarnu uporabu. Međutim, brojni postojeći zdravstveni podaci ne stavljaju se na raspolaganje u druge svrhe osim onih za koje su prikupljene. Time se ograničava sposobnost istraživača, inovatora, oblikovatelja politika, regulatornih tijela i liječnika da te podatke upotrijebe u različite svrhe, uključujući istraživanje, inovacije, oblikovanje politika, regulatorne svrhe, sigurnost pacijenata i personaliziranu medicinu. Kako bi se u potpunosti ostvarile koristi od sekundarne uporabe elektroničkih zdravstvenih podataka, svi vlasnici zdravstvenih podataka trebali bi pridonijeti stavljanjem različitih kategorija elektroničkih zdravstvenih podataka koje posjeduju na raspolaganje za sekundarnu uporabu, pod uvjetom da se taj korak uvijek provodi učinkovitim i sigurnim postupcima, uz dužno poštovanje profesionalnih dužnosti, kao što su dužnosti u pogledu povjerljivosti. U opravdanim slučajevima, primjerice u slučaju složenog i opterećujućeg zahtjeva, tijelo za pristup zdravstvenim podacima može produljiti rok u kojem vlasnici zdravstvenih podataka mogu tražene elektroničke zdravstvene podatke staviti na raspolaganje tijelu za pristup zdravstvenim podacima.

(39)  Kategorije elektroničkih zdravstvenih podataka koje se mogu obrađivati za sekundarnu uporabu trebale bi biti dovoljno široke i fleksibilne kako bi se uzele u obzir promjenjive potrebe korisnika zdravstvenih podataka i pritom ostati ograničene na podatke povezane sa zdravljem ili za koje se zna da utječu na zdravlje. Mogu uključivati i relevantne podatke iz zdravstvenog sustava (elektronički zdravstveni zapisi, podaci o zahtjevima za naknadu, podaci o izdavanju lijekova, podaci iz registara bolesti, genomski podaci itd.), kao i podatke koji utječu na zdravlje (na primjer konzumacija različitih tvari, socioekonomski status, ponašanje), uključujući okolišne čimbenike (na primjer onečišćenje, zračenje, uporaba određenih kemijskih tvari). ▌Uključuju neke kategorije podataka koje su prvotno prikupljene u druge svrhe, kao što su istraživanje, statistika, sigurnost pacijenata, regulatorne aktivnosti i oblikovanje politika (npr. registri oblikovanja politika, registri nuspojava lijekova ili medicinskih proizvoda). Na primjer, europske baze podataka koje olakšavaju (ponovnu) uporabu podataka dostupne su u nekim područjima, kao što su rak (europski informacijski sustav o raku) ili rijetke bolesti (europska platforma za registraciju rijetkih bolesti, registri europskih referentnih mreža itd.). Podaci mogu uključivati i automatski generirane podatke iz medicinskih proizvoda i podatke koje je generirala osoba, kao što su aplikacije za dobrobit. Podatke iz kliničkih ispitivanja i kliničkih istraživanja trebalo bi uključiti nakon završetka kliničkih ispitivanja ili kliničkih istraživanja, bez utjecaja na dobrovoljno dijeljenje podataka od strane naručitelja ispitivanja i istraživanja koja su u tijeku. Podatke za sekundarnu uporabu trebalo bi po mogućnosti staviti na raspolaganje u strukturiranom elektroničkom formatu koji olakšava njihovu obradu u računalnim sustavima. To bi trebalo obuhvaćati formate kao što su zapisi u relacijskoj bazi podataka, dokumenti XML ili datoteke CVS, ali i uključivati slobodan tekst, audiozapise, videozapise i slike koje se prenose kao računalno čitljive datoteke.

(39.aa)   Korisnik zdravstvenih podataka koji ostvaruje pristup skupovima podataka stavljenima na raspolaganje u skladu s ovom Uredbom mogao bi obogatiti podatke raznim ispravcima, bilješkama i drugim poboljšanjima, na primjer dopunom nedostajućih ili nepotpunih podataka, i tako poboljšati točnost, potpunost ili kvalitetu podataka u skupu podataka. Korisnike zdravstvenih podataka trebalo bi poticati da tijelima za pristup zdravstvenim podacima prijavljuju kritične pogreške u skupovima podataka. Kako bi se poboljšale izvorna baza podataka i daljnja uporaba obogaćenog skupa podataka, skup podataka s takvim poboljšanjima i opis promjena trebali bi se bez naknade staviti na raspolaganje izvornom vlasniku podataka. Vlasnik podataka trebao bi staviti na raspolaganje novi skup podataka, osim ako to odbije u obliku obrazložene obavijesti koju dostavlja tijelu za pristup zdravstvenim podacima, na primjer u slučajevima niske kvalitete obogaćivanja. Trebalo bi osigurati i sekundarnu uporabu neosobnih elektroničkih podataka. Genomski podaci o patogenima posebice imaju veliku vrijednost za zdravlje ljudi, kako je dokazano tijekom pandemije bolesti COVID-19. Pravodoban pristup takvim podacima i njihova razmjena pokazali su se ključnima za brzi razvoj alata za otkrivanje, medicinskih protumjera i odgovora na prijetnje javnom zdravlju. Najveća korist od rada u području genomike patogena postići će se dijeljenjem skupova podataka između javnozdravstvenih i istraživačkih procesa te njihovim međudjelovanjem radi razmjene informacija i obostranog poboljšanja.

(39b)   Kako bi se povećala učinkovitost sekundarne uporabe osobnih elektroničkih zdravstvenih podataka i u potpunosti iskoristile mogućnosti koje nudi ova Uredba, dostupni elektronički zdravstveni podaci u europskom prostoru za zdravstvene podatke opisani u poglavlju IV. trebali bi biti stavljeni na raspolaganje na način da su što dostupniji, kvalitetniji, pripremljeniji i prikladniji za stvaranje znanstvene, inovativne i društvene vrijednosti i kvalitete. Pri provedbi europskog prostora za zdravstvene podatke i dodatnog poboljšanja skupova podataka prednost bi trebalo dati skupovima podataka koji su najprikladniji za stvaranje takve vrijednosti i kvalitete.

(40)  ▌Javni ili privatni subjekti često se financiraju nacionalnim javnim sredstvima ili sredstvima Unije kako bi prikupljali i obrađivali elektroničke zdravstvene podatke za potrebe istraživanja, statistike (službene ili neslužbene) i u druge slične svrhe, među ostalim u područjima u kojima je prikupljanje takvih podataka rascjepkano ili otežano, kao što su rijetke bolesti, rak itd. Takve podatke koje vlasnici zdravstvenih podataka prikupljaju i obrađuju uz potporu sredstava Unije ili nacionalnih javnih sredstava ▌trebalo bi staviti na raspolaganje tijelima za pristup zdravstvenim podacima kako bi se povećao učinak javnih ulaganja i pridonijelo istraživanju, inovacijama, sigurnosti pacijenata ili oblikovanju politika koje koriste društvu. U nekim državama članicama privatni subjekti, uključujući privatne pružatelje zdravstvene zaštite i strukovna udruženja, imaju ključnu ulogu u zdravstvenom sektoru. Zdravstveni podaci koje posjeduju takvi pružatelji trebali bi se staviti na raspolaganje za sekundarnu uporabu. Vlasnici zdravstvenih podataka u kontekstu sekundarne uporabe elektroničkih zdravstvenih podataka stoga bi trebali biti subjekti koji su pružatelji zdravstvene zaštite ili skrbi ili koji provode istraživanja u vezi sa sektorom zdravstvene zaštite ili skrbi ili razvijaju proizvode ili usluge namijenjene sektorima zdravstvene zaštite ili skrbi. Takvi subjekti mogu biti javni, neprofitni ili privatni. U skladu s tom definicijom vlasnicima zdravstvenih podataka trebalo bi smatrati domove za starije i nemoćne, centre za dnevnu skrb, subjekte koji pružaju usluge osobama s invaliditetom, poslovne i tehnološke aktivnosti povezane sa skrbi kao što su ortopedija i poduzeća koja pružaju usluge skrbi. Pravne osobe koje razvijaju aplikacije za dobrobit također bi trebale biti vlasnici zdravstvenih podataka. Vlasnicima zdravstvenih podataka trebalo bi smatrati i institucije, tijela, urede ili agencije Unije koji obrađuju prethodno navedene kategorije zdravstvenih podataka i podataka zdravstvene zaštite te registre umrlih. Kako bi se izbjeglo nerazmjerno opterećenje, pojedinci i mikropoduzeća u pravilu bi trebali biti izuzeti od obveza vlasnika zdravstvenih podataka. Međutim, države članice trebale bi imati mogućnost da u svojem nacionalnom zakonodavstvu prošire obveze vlasnika podataka na pojedince i mikropoduzeća. Kako bi se smanjilo administrativno opterećenje i uzimajući u obzir načela djelotvornosti i učinkovitosti, države članice trebale bi imati mogućnost da nacionalnim zakonodavstvom odluče da dužnosti vlasnika podataka za određene kategorije vlasnika podataka izvršavaju subjekti za posredovanje u području zdravstvenih podataka. Takvi subjekti za posredovanje u području zdravstvenih podataka trebali bi biti pravne osobe koje elektroničke zdravstvene podatke koje dostavljaju vlasnici podataka mogu obraditi i staviti na raspolaganje za sekundarnu uporabu. Takvi subjekti za posredovanje u području zdravstvenih podataka obavljaju različite zadaće, kao što su usluge posredovanja podataka iz članka 10. Uredbe (EU) 2022/868. „Subjekt za posredovanje u području zdravstvenih podataka” znači pravna osoba koja može staviti na raspolaganje elektroničke zdravstvene podatke koje dostavljaju vlasnici podataka za sekundarnu uporabu, uključujući registraciju, pružanje, obradu takvih podataka, ograničenje pristupa istima ili njihovu razmjenu.

(40c)   Elektronički zdravstveni podaci zaštićeni pravima intelektualnog vlasništva ili poslovnim tajnama, uključujući podatke o kliničkim ispitivanjima, istraživanjima i studijama, mogu biti vrlo korisni za sekundarnu uporabu i mogu poticati inovacije unutar Unije u korist pacijenata u Uniji. Kako bi se potaknulo kontinuirano predvodništvo Unije u tom području, podaci o kliničkim ispitivanjima i kliničkim istraživanjima razmjenjuju se putem europskog prostora za zdravstvene podatke za sekundarnu uporabu [...]. Trebalo bi ih staviti na raspolaganje u najvećoj mogućoj mjeri, uz poduzimanje svih potrebnih mjera za zaštitu takvih prava. Ova Uredba ne bi se trebala upotrebljavati za smanjenje ili zaobilaženje takve zaštite te bi trebala biti u skladu s relevantnim odredbama o transparentnosti utvrđenima u pravu Unije, kao što su odredbe za podatke o kliničkim ispitivanjima i kliničkim istraživanjima. Tijelo za pristup zdravstvenim podacima treba procijeniti kako očuvati tu zaštitu, a korisnicima zdravstvenih podataka omogućiti pristup takvim podacima u najvećoj mogućoj mjeri. Ako to ne može učiniti, trebalo bi obavijestiti korisnika zdravstvenih podataka i objasniti zašto nije moguće osigurati pristup takvim podacima. Pravne, organizacijske i tehničke mjere za očuvanje prava intelektualnog vlasništva ili poslovnih tajni mogle bi uključivati zajedničke ugovorne sporazume o pristupu elektroničkim zdravstvenim podacima, posebne obveze u vezi s takvim pravima u okviru dozvole za podatke, prethodnu obradu podataka radi generiranja izvedenih podataka kojima se štiti poslovna tajna, ali koji su i dalje korisni za korisnika ili konfiguraciju sigurnog okruženja za obradu tako da korisnicima zdravstvenih podataka nisu dostupni.

(41)  Sekundarna uporaba zdravstvenih podataka u okviru europskog prostora za zdravstvene podatke trebala bi omogućiti javnim, privatnim i neprofitnim subjektima te pojedinačnim istraživačima pristup zdravstvenim podacima za istraživanje, inovacije, oblikovanje politika, obrazovne svrhe, sigurnost pacijenata, regulatorne aktivnosti ili personaliziranu medicinu, u skladu sa svrhama utvrđenima u ovoj Uredbi. Pristup podacima za sekundarnu uporabu trebao bi pridonijeti općem interesu društva. Konkretno, sekundarna uporaba zdravstvenih podataka u svrhu istraživanja i razvoja trebala bi doprinijeti dobrobiti društva, u obliku novih lijekova, medicinskih proizvoda, zdravstvenih proizvoda i usluga po pristupačnim i pravednim cijenama za građane Unije, kao i poboljšanju pristupa i dostupnosti takvih proizvoda i usluga u svim državama članicama. Aktivnosti za koje je pristup u kontekstu ove Uredbe zakonit mogu uključivati uporabu elektroničkih zdravstvenih podataka za zadaće koje izvršavaju javna tijela, kao što je izvršavanje javne dužnosti, uključujući nadzor javnog zdravlja, obveze planiranja i izvješćivanja, oblikovanje zdravstvenih politika te osiguravanje sigurnosti pacijenata, kvalitete zdravstvene zaštite i održivosti zdravstvenih sustava. Javna tijela i institucije, tijela, uredi i agencije Unije mogu zahtijevati redovit pristup elektroničkim zdravstvenim podacima na dulje vrijeme, među ostalim kako bi izvršili svoje ovlasti predviđene ovom Uredbom. Tijela javnog sektora mogu provoditi te istraživačke aktivnosti angažiranjem trećih strana, uključujući podugovaratelje, ali tijelo javnog sektora mora neprekidno nadzirati te aktivnosti. Pružanje podataka trebalo bi pridonijeti i aktivnostima povezanima sa znanstvenim istraživanjima. Pojam znanstvenih istraživačkih svrha trebalo bi tumačiti u širem smislu, uključujući na primjer tehnološki razvoj i demonstraciju, temeljna istraživanja, primijenjena istraživanja i istraživanja financirana iz privatnih izvora. Primjeri su inovacijske aktivnosti, uključujući učenje algoritama umjetne inteligencije koji bi se mogli upotrebljavati u zdravstvenoj skrbi ili skrbi pojedinaca, kao i evaluacija i daljnji razvoj postojećih algoritama i proizvoda u te svrhe. Europski prostor za zdravstvene podatke također bi trebao doprinijeti temeljnim istraživanjima; iako koristi za krajnje korisnike i pacijente mogu biti manje izravne u temeljnim istraživanjima, takva su istraživanja ključna za dugoročnu društvenu korist. U nekim slučajevima informacije nekih pojedinaca (kao što su genomske informacije pojedinaca s određenom bolešću) mogle bi pomoći u dijagnosticiranju ili liječenju drugih pojedinaca. Postoji potreba da javna tijela nadiđu granice područja primjene iznimne potrebe iz poglavlja V. Uredbe (EU) 2023/2854. Ipak, tijela javnog sektora mogu zatražiti potporu tijela za pristup zdravstvenim podacima radi obrade ili povezivanja podataka. Ova Uredba omogućuje tijelima javnog sektora da dobiju pristup potrebnim informacijama za izvršavanje zadaća koje su im dodijeljene zakonom, ali se njom ne proširuju ovlasti tih tijela javnog sektora. ▌

(41.aa)   Trebalo bi zabraniti svaki pokušaj da se podaci upotrijebe za mjere koje su štetne za pojedinca, na primjer za povećanje premija osiguranja, za aktivnosti vezane uz zapošljavanje, mirovine i bankarstvo, uključujući hipoteke na nekretnine, koje bi mogle štetiti pojedincima, za oglašavanje proizvoda ili postupaka liječenja, za automatiziranje individualnog donošenja odluka, ponovnu identifikaciju pojedinaca, odnosno za razvoj štetnih proizvoda. Ta se zabrana primjenjuje na aktivnosti koje su u suprotnosti s etičkim odredbama u skladu s nacionalnim pravom, uz iznimku etičkih odredaba povezanih s privolom, pravom prigovora na obradu osobnih podataka i pravom na prigovor, pri čemu u primjeni općeg načela nadređenosti prava Unije ova Uredba ima prednost pred nacionalnim pravom. Također bi trebalo zabraniti omogućivanje pristupa elektroničkim zdravstvenim podacima ili njihovo stavljanje na raspolaganje na drugi način trećim stranama koje nisu navedene u dozvoli za podatke. Identitet ovlaštenih osoba, posebno identitet glavnog istraživača, koji će imati pravo pristupa elektroničkim zdravstvenim podacima u sigurnom okruženju za obradu, trebao bi biti naveden u dozvoli za podatke. Glavni istraživači glavne su osobe odgovorne za zahtjev za pristup elektroničkim zdravstvenim podacima i obradu traženih podataka u sigurnom okruženju za obradu u ime korisnika zdravstvenih podataka.

(41.ab)   Ovom se Uredbom ne bi trebala stvoriti ovlast za sekundarnu uporabu zdravstvenih podataka za potrebe kaznenog progona. Svrhe sekundarne uporabe zdravstvenih podataka obuhvaćene ovom Uredbom ne uključuju sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija od strane nadležnih tijela. Stoga sudove i druge subjekte pravosudnog sustava ne bi trebalo smatrati korisnicima podataka u sekundarnoj uporabi zdravstvenih podataka u skladu s ovom Uredbom. Osim toga, sudovi i drugi subjekti pravosudnog sustava ne bi trebali biti obuhvaćeni definicijom vlasnika zdravstvenih podataka te stoga za njih ne bi trebale vrijediti obveze vlasnika zdravstvenih podataka na temelju ove Uredbe. To ne utječe na zakonski utvrđene ovlasti nadležnih tijela za sprečavanje, istragu, otkrivanje i progon kaznenih djela za dobivanje elektroničkih zdravstvenih podataka. Isto tako, elektronički zdravstveni podaci koje sudovi čuvaju za potrebe sudskih postupaka nisu obuhvaćeni područjem primjene ove Uredbe.

(42)  Osnivanje jednog ili više tijela za pristup zdravstvenim podacima, koja podupiru pristup elektroničkim zdravstvenim podacima u državama članicama, ključna je komponenta za promicanje sekundarne uporabe zdravstvenih podataka. Države članice stoga bi trebale osnovati jedno ili više tijela za pristup zdravstvenim podacima, na primjer u skladu sa svojom ustavnom, organizacijskom i upravnom strukturom. Međutim, ako se osnuje više tijela za pristup podacima, jedno od tih tijela za pristup zdravstvenim podacima trebalo bi imenovati koordinatorom. Ako država članica osnuje nekoliko tijela, trebala bi utvrditi pravila na nacionalnoj razini kako bi osigurala koordinirano sudjelovanje tih tijela u Odboru za europski prostor za zdravstvene podatke. Ta bi država članica osobito trebala imenovati jedno tijelo za pristup zdravstvenim podacima da djeluje kao jedinstvena kontaktna točka za djelotvorno sudjelovanje tih tijela te osigurati brzu i neometanu suradnju s drugim tijelima za pristup zdravstvenim podacima, Odborom za europski prostor za zdravstvene podatke i Komisijom. Tijela za pristup zdravstvenim podacima mogu se razlikovati s obzirom na organizaciju i veličinu, od posebne punopravne organizacije do jedinice ili odjela u postojećoj organizaciji ▌. Ne bi se smjelo utjecati na odlučivanje tijela za pristup zdravstvenim podacima o pristupu elektroničkim podacima za sekundarnu uporabu te bi ona trebala izbjegavati svaki sukob interesa. Stoga bi se članovi upravljačkih tijela i tijela nadležnih za donošenje odluka te osoblje svakog tijela za pristup zdravstvenim podacima trebali suzdržati od svakog djelovanja koje nije u skladu s njihovim dužnostima te se ne bi smjeli baviti nespojivom djelatnošću. No njihova neovisnost ne bi trebala značiti da tijelo za pristup zdravstvenim podacima ne može podlijegati mehanizmima kontrole ili praćenja njegovih financijskih rashoda ni sudskom preispitivanju. Svako tijelo za pristup zdravstvenim podacima trebalo bi imati na raspolaganju financijske, tehničke i ljudske resurse, prostorije i infrastrukturu potrebne za djelotvorno izvršavanje njegovih zadaća, među ostalim onih povezanih sa suradnjom s drugim tijelima za pristup zdravstvenim podacima u Uniji. Svako tijelo za pristup zdravstvenim podacima trebalo bi imati odvojen, javni godišnji proračun, koji može biti dio ukupnog državnog ili nacionalnog proračuna. Kako bi se omogućio bolji pristup zdravstvenim podacima i nadopunio članak 7. stavak 2. Uredbe (EU) 2022/868, države članice trebale bi ovlastiti tijela za pristup zdravstvenim podacima za donošenje odluka o pristupu zdravstvenim podacima i njihovoj sekundarnoj uporabi. To bi moglo podrazumijevati dodjeljivanje novih zadaća nadležnim tijelima koja imenuju države članice u skladu s člankom 7. stavkom 1. Uredbe (EU) 2022/868 ili imenovanje postojećih ili novih sektorskih tijela odgovornih za takve zadaće u vezi s pristupom zdravstvenim podacima. Članovi i osoblje tijela za pristup zdravstvenim podacima trebali bi imati potrebne kvalifikacije, iskustvo i vještine.

(43)  Tijela za pristup zdravstvenim podacima trebala bi pratiti primjenu poglavlja IV. ove Uredbe i pridonijeti njezinoj dosljednoj primjeni u cijeloj Uniji. U tu svrhu tijela za pristup zdravstvenim podacima trebala bi surađivati međusobno i s Komisijom. Tijela za pristup zdravstvenim podacima trebala bi surađivati i s dionicima, među ostalim s organizacijama pacijenata. Tijela za pristup zdravstvenim podacima trebala bi podupirati vlasnike zdravstvenih podataka koji su mala poduzeća u skladu s Preporukom Komisije 2003/361/EZ, posebno liječnike i ljekarne. Budući da sekundarna uporaba zdravstvenih podataka uključuje obradu osobnih podataka koji se odnose na zdravlje, primjenjuju se relevantne odredbe Uredbe (EU) 2016/679, a za provedbu tih pravila jedina nadležna tijela trebala bi ostati nadzorna tijela iz Uredbe (EU) 2016/679 i Uredbe (EU) 2018/1725. ▌Tijela za pristup zdravstvenim podacima trebala bi obavijestiti tijela za zaštitu podataka o svim izrečenim sankcijama i svim mogućim problemima povezanima s obradom podataka za sekundarnu uporabu te razmjenjivati sve relevantne informacije koje su im na raspolaganju kako bi se osigurala provedba relevantnih pravila. Osim zadaća nužnih za osiguravanje djelotvorne sekundarne uporabe zdravstvenih podataka tijelo za pristup zdravstvenim podacima trebalo bi težiti proširenju dostupnosti dodatnih skupova zdravstvenih podataka ▌i promicati izradu zajedničkih standarda. Trebalo bi primjenjivati ispitane najsuvremenije tehnike kojima se osigurava obrada elektroničkih zdravstvenih podataka na način kojim se čuva privatnost informacija sadržanih u podacima za koje je dopuštena sekundarna uporaba, uključujući tehnike kao što su pseudonimizacija, anonimizacija, generalizacija, uklanjanje i randomizacija osobnih podataka. Tijela za pristup zdravstvenim podacima mogu pripremiti skupove podataka prema zahtjevu korisnika podataka povezanom s izdanom dozvolom za podatke. U tom bi pogledu tijela za pristup zdravstvenim podacima trebala prekogranično surađivati kako bi razvijala i razmjenjivala najbolju praksu i tehnike. To uključuje pravila za anonimizaciju skupova mikropodataka. Komisija bi po potrebi trebala utvrditi postupke i zahtjeve te osigurati tehničke alate za jedinstven postupak anonimizacije i pseudonimizacije elektroničkih zdravstvenih podataka.

(44)  ▌Tijela za pristup zdravstvenim podacima trebala bi osigurati transparentnost sekundarne uporabe pružanjem javnih informacija o izdanim dozvolama i njihovim obrazloženjima, mjerama poduzetima za zaštitu prava pojedinaca, načinu na koji pojedinci mogu ostvariti svoja prava u pogledu sekundarne uporabe i ishodima sekundarne uporabe, kao što su poveznice na znanstvene publikacije. Prema potrebi, te informacije o ishodima sekundarne uporabe trebale bi uključivati i jednostavni sažetak koji treba dostaviti korisnik zdravstvenih podataka. Obveze u pogledu transparentnosti nadopunjuju obveze utvrđene u članku 14. Uredbe (EU) 2016/679. Mogle bi se primjenjivati iznimke predviđene člankom 14. stavkom 5. Uredbe (EU) 2016/679. ▌Ako se primjenjuju takve iznimke, te obveze transparentnosti doprinose osiguravanju poštene i transparentne obrade kako je navedeno u članku 14. stavku 2. Uredbe (EU) 2016/679, npr. informacije o svrsi i kategorijama podataka koje se obrađuju, čime se pojedincima omogućuje da razumiju stavljaju li se njihovi podaci na raspolaganje za sekundarnu uporabu u skladu s dozvolama za podatke.

(44a)  Pojedince bi preko vlasnika zdravstvenih podataka trebalo obavijestiti o značajnim saznanjima povezanima s njihovim zdravljem koje su otkrili korisnici zdravstvenih podataka. Pojedinci bi trebali imati pravo zatražiti da ih se ne obavješćuje o takvim nalazima. Države članice mogle bi utvrditi uvjete za to. U skladu s člankom 23. stavkom 1. točkom (i) Uredbe (EU) 2016/679 države članice trebale bi moći ograničiti opseg obveze obavješćivanja pojedinaca kad god je to potrebno za njihovu zaštitu na temelju sigurnosti pacijenta i etike, i to odgađanjem dostavljanja njihovih informacija dok zdravstveni stručnjak ne bude u mogućnosti pojedincu prenijeti i objasniti informacije koje na njih mogu utjecati.

(44b)   Kako bi se promicala transparentnost, tijela za pristup zdravstvenim podacima također bi trebala svake dvije godine objavljivati izvješća o radu s pregledom svojih aktivnosti. Ako je država članica imenovala više od jednog tijela za pristup zdravstvenim podacima, koordinacijsko tijelo trebalo bi pripremiti i objaviti zajedničko izvješće. Izvješća o radu trebala bi imati strukturu dogovorenu u Odboru za europski prostor za zdravstvene podatke i sadržavati pregled ▌aktivnosti, uključujući informacije o odlukama o primjeni, revizijama i suradnji s relevantnim dionicima. Takvi dionici mogu biti predstavnici pojedinaca, organizacije pacijenata, zdravstveni djelatnici, istraživači i etička povjerenstva.

▌(46)  Radi potpore sekundarnoj uporabi elektroničkih zdravstvenih podataka vlasnici podataka trebali bi se suzdržati od uskraćivanja podataka, traženja neopravdanih naknada koje nisu transparentne ni proporcionalne troškovima stavljanja podataka na raspolaganje (i prema potrebi marginalnim troškovima prikupljanja podataka), traženja od korisnika podataka da zajednički objave istraživanje ili drugih praksi koje bi mogle odvratiti korisnike podataka od traženja podataka. Ako je vlasnik zdravstvenih podataka tijelo javnog sektora, dio naknada povezanih s njegovim troškovima ne bi trebao pokrivati troškove početnog prikupljanja podataka. Ako je potrebno etičko odobrenje da bi se izdala dozvola za podatke, trebala bi se provesti zasebna evaluacija. ▌

(47)  Tijelima za pristup zdravstvenim podacima ▌trebalo bi dopustiti da naplaćuju naknade, uzimajući u obzir horizontalna pravila iz Uredbe (EU) 2022/868, u vezi sa svojim zadaćama. Pri određivanju takvih naknada može se uzeti u obzir situacija i interes MSP-ova, pojedinačnih istraživača ili javnih tijela. Konkretno, države članice mogu uspostaviti politike za tijela za pristup zdravstvenim podacima u svojoj nadležnosti kojima se omogućuje zaračunavanje nižih naknada određenim kategorijama korisnika podataka. Tijela za pristup zdravstvenim podacima trebala bi moći pokriti troškove svojeg rada naknadama utvrđenima na razmjeran, opravdan i transparentan način. To može dovesti do viših naknada za neke korisnike ako servisiranje njihovih aplikacija za pristup podacima i zahtjeva za podatke zahtijeva više posla. Vlasnicima zdravstvenih podataka trebalo bi biti dopušteno i da zahtijevaju naknade za stavljanje podataka na raspolaganje koje odražavaju njihove troškove. Tijela za pristup zdravstvenim podacima trebala bi odlučiti o iznosu takvih naknada koji bi uključivao i naknade koje zahtijeva vlasnik zdravstvenih podataka. Tijelo za pristup zdravstvenim podacima trebalo bi korisniku zdravstvenih podataka naplatiti takve naknade ispostavom jednog računa. Tijelo za pristup zdravstvenim podacima zatim bi relevantni dio trebalo prenijeti vlasniku zdravstvenih podataka. Komisija bi trebala donijeti provedbene akte radi usklađivanja pristupa u pogledu politika o naknadama i strukture naknada. Odredbe članka 10. ▌Uredbe (EU) 2023/2854 trebale bi se primjenjivati na naknade koje se naplaćuju u skladu s ovom Uredbom.

(48)  Kako bi se ojačala provedba pravila o sekundarnoj uporabi elektroničkih zdravstvenih podataka, trebalo bi predvidjeti odgovarajuće mjere koje mogu dovesti do upravnih novčanih kazni ili provedbenih mjera od strane tijela za pristup zdravstvenim podacima ili privremenog ili konačnog isključenja iz okvira europskog prostora za zdravstvene podatke korisnika zdravstvenih podataka ili vlasnika zdravstvenih podataka koji ne ispunjavaju svoje obveze. Tijelo za pristup zdravstvenim podacima trebalo bi ovlastiti da provjerava sukladnost i pruža korisnicima i vlasnicima zdravstvenih podataka priliku da odgovore na eventualne nalaze i otklone kršenja. Pri odlučivanju o iznosu upravne novčane kazne ili provedbene mjere za svaki pojedinačni slučaj tijela za pristup zdravstvenim podacima trebala bi uzeti u obzir marže za troškove i kriterije utvrđene u ovoj Uredbi te tako osigurati da su mjere ili kazne proporcionalne.

(49)  S obzirom na osjetljivost elektroničkih zdravstvenih podataka potrebno je smanjiti rizike za privatnost pojedinaca primjenom načela smanjenja količine podataka utvrđenog u članku 5. stavku 1. točki (c) Uredbe (EU) 2016/679. Stoga bi ▌neosobni elektronički zdravstveni podaci trebali biti dostupni u svim slučajevima u kojima je to dovoljno. Ako korisnik podataka treba upotrebljavati osobne elektroničke zdravstvene podatke, trebao bi u svojem zahtjevu jasno obrazložiti uporabu te vrste podataka, a tijelo za pristup zdravstvenim podacima trebalo bi ocijeniti valjanost tog obrazloženja. Osobni elektronički zdravstveni podaci trebali bi se staviti na raspolaganje samo u pseudonimiziranom formatu. Uzimajući u obzir posebne svrhe obrade, podatke bi trebalo anonimizirati ili pseudonimizirati što je prije moguće u lancu stavljanja podataka na raspolaganje za sekundarnu uporabu. Pseudonimizaciju i anonimizaciju mogu ▌provoditi tijela za pristup zdravstvenim podacima ili vlasnici zdravstvenih podataka. Kao voditelji obrade podataka, tijela za pristup zdravstvenim podacima i vlasnici zdravstvenih podataka mogu delegirati te zadaće izvršiteljima obrade podataka. Pri pružanju pristupa anonimiziranom ili pseudonimiziranom skupu podataka tijelo za pristup zdravstvenim podacima trebalo bi upotrebljavati najsuvremeniju tehnologiju i standarde anonimizacije ili pseudonimizacije, čime bi se u najvećoj mogućoj mjeri osiguralo da korisnici zdravstvenih podataka ne mogu ponovno identificirati pojedince. Trebalo bi dodatno razviti takve tehnologije i standarde za anonimizaciju podataka. Korisnici zdravstvenih podataka ne bi smjeli pokušati identificirati pojedince iz skupa podataka stavljenog na raspolaganje na temelju ove Uredbe, podložno izricanju upravnih novčanih kazni i provedbenih mjera utvrđenih u ovoj Uredbi ili eventualnih kaznenih sankcija ako je to predviđeno nacionalnim zakonima. ▌Nadalje, podnositelj zahtjeva za pristup zdravstvenim podacima trebao bi moći zatražiti odgovor na zahtjev za zdravstvene podatke ▌ u anonimiziranom statističkom formatu. U tom slučaju korisnik zdravstvenih podataka bi samo obradio neosobne podatke te bi tijelo za pristup zdravstvenim podacima ostalo jedini voditelj obrade svih osobnih podataka potrebnih za davanje odgovora na zahtjev za zdravstvene podatke.

(50)  Kako bi se osiguralo da sva tijela za pristup zdravstvenim podacima izdaju dozvole na sličan način, potrebno je utvrditi standardan zajednički postupak za izdavanje dozvola za podatke, sa sličnim zahtjevima u različitim državama članicama. Podnositelj zahtjeva trebao bi tijelima za pristup zdravstvenim podacima pružiti nekoliko informacija koje bi pomogle tijelu da ocijeni zahtjev za pristup podacima i odluči može li podnositelj zahtjeva dobiti dozvolu za podatke radi sekundarne uporabe podataka, čime bi se osigurala i dosljednost među različitim tijelima za pristup zdravstvenim podacima. Informacije dostavljene u sklopu zahtjeva za pristup zdravstvenim podacima trebale bi ispunjavati zahtjeve utvrđene ovom Uredbom kako bi se omogućila njihova temeljita procjena jer bi se odobrenje za pristup podacima trebalo dati samo ako su ispunjeni svi potrebni uvjeti utvrđeni u ovoj Uredbi. Osim toga, prema potrebi, trebale bi sadržavati izjavu podnositelja zahtjeva za pristup zdravstvenim podacima da namjeravana uporaba traženih podataka ne stvara rizik od stigmatizacije ili povrede dostojanstva pojedinaca i skupina na koje se odnosi traženi skup podataka. Može se zatražiti etička procjena u skladu s nacionalnim pravom. U tom bi slučaju postojeća etička tijela trebala moći provoditi takve procjene za tijela za pristup zdravstvenim podacima. Postojeća etička tijela država članica trebala bi u tu svrhu staviti svoje stručno znanje na raspolaganje tijelu za pristup zdravstvenim podacima. Alternativno, države članice mogu odlučiti da etička tijela ili stručno znanje budu sastavni dio tijela za pristup zdravstvenim podacima. Tijelo za pristup zdravstvenim podacima i prema potrebi vlasnici zdravstvenih podataka trebali bi pomoći korisnicima zdravstvenih podataka u odabiru odgovarajućih skupova podataka ili izvora podataka za namjenu sekundarne uporabe. Ako su podnositelju zahtjeva potrebni podaci u anonimiziranom statističkom formatu, trebao bi podnijeti zahtjev za podatke kojim od tijela za pristup zdravstvenim podacima traži da mu izravno dostavi rezultat. Odbijanje dozvole za podatke od strane tijela za zdravstvene podatke ne bi smjelo spriječiti podnositelja zahtjeva da podnese novi zahtjev za pristup podacima. Kako bi se osigurao usklađen pristup tijela za pristup zdravstvenim podacima i ograničilo nepotrebno administrativno opterećenje za podnositelje zahtjeva za pristup zdravstvenim podacima, Komisija bi trebala podržati usklađivanje zahtjeva za pristup zdravstvenim podacima i zahtjeva za zdravstvene podatke, među ostalim utvrđivanjem relevantnih predložaka.

(51)  Budući da su resursi tijela za pristup zdravstvenim podacima ograničeni, ona mogu primijeniti pravila za određivanje prioriteta, na primjer davanjem prioriteta javnim institucijama pred privatnim subjektima, ali ne bi smjela postupati različito prema nacionalnim organizacijama i organizacijama iz drugih država članica u istoj kategoriji prioriteta. Korisnik zdravstvenih podataka trebao bi moći produljiti trajanje dozvole za podatke kako bi, na primjer, omogućio recenzentima znanstvene publikacije pristup skupovima podataka ili kako bi omogućio dodatnu analizu skupa podataka na temelju prvotnih nalaza. Za to bi bilo potrebno izmijeniti dozvolu za zdravstvene podatke, za što bi se mogla naplatiti dodatna naknada. Međutim, u svim slučajevima dozvola za podatke trebala bi odražavati te dodatne uporabe skupa podataka. Korisnik zdravstvenih podataka po mogućnosti bi ih trebao spomenuti u svojem prvotnom zahtjevu za izdavanje dozvole za podatke. Kako bi se osigurao usklađen pristup među tijelima za pristup zdravstvenim podacima, Komisija bi trebala poduprijeti usklađivanje dozvole za podatke.

(52)  Kao što je pokazala kriza uzrokovana bolešću COVID-19, institucije, tijela, uredi i agencije Unije sa zakonskim ovlastima u području javnog zdravlja, posebno Komisija, trebaju moći redovito pristupati zdravstvenim podacima na dulje vrijeme. To bi moglo biti potrebno ne samo za posebne krizne okolnosti propisane pravom Unije ili nacionalnim pravom, već i u svrhu redovitog pružanja znanstvenih dokaza i tehničke podrške politikama Unije. Pristup takvim podacima može biti potreban u određenim državama članicama ili na cijelom području Unije. Takvi korisnici zdravstvenih podataka trebali bi moći iskoristiti ubrzani postupak za uobičajeno stavljanje podataka na raspolaganje u manje od dva mjeseca, uz mogućnost produljenja roka za mjesec dana u složenijim slučajevima.

(53)  Kako bi se smanjilo administrativno opterećenje tijela za pristup zdravstvenim podacima pri upravljanju zahtjevima za podatke koje obrađuju, trebalo bi im omogućiti da imenuju pouzdane vlasnike podataka za koje bi se postupak izdavanja dozvola za podatke provodio na pojednostavnjen način. Pouzdanim vlasnicima podataka trebalo bi omogućiti da procijene zahtjeve za pristup podacima podnesene u okviru tog pojednostavnjenog postupka, uzimajući u obzir njihovo stručno znanje u postupanju s vrstom zdravstvenih podataka koje obrađuju, te da izdaju preporuku o dozvoli za podatke ▌. Tijelo za pristup zdravstvenim podacima trebalo bi ostati odgovorno za izdavanje konačne dozvole za podatke i ne bi trebalo biti obvezano preporukom pouzdanog vlasnika podataka. Subjekte za posredovanje u području zdravstvenih podataka ne bi trebalo imenovati pouzdanim vlasnicima zdravstvenih podataka.

(54)  S obzirom na osjetljivost elektroničkih zdravstvenih podataka korisnici podataka ne bi smjeli imati neograničen pristup takvim podacima. Svaki pristup traženim elektroničkim zdravstvenim podacima radi sekundarne uporabe trebao bi se provesti putem sigurnog okruženja za obradu. Kako bi se primjenjivale pouzdane tehničke i sigurnosne zaštitne mjere za elektroničke zdravstvene podatke, tijelo za pristup zdravstvenim podacima ili prema potrebi pouzdani vlasnik podataka trebao bi pružiti pristup takvim podacima u sigurnom okruženju za obradu, pridržavajući se visokih tehničkih i sigurnosnih standarda utvrđenih u skladu s ovom Uredbom. ▌Obrada osobnih podataka u takvom sigurnom okruženju trebala bi biti u skladu s Uredbom (EU) 2016/679, uključujući, ako sigurnim okruženjem upravlja treća strana, zahtjeve iz članka 28. i prema potrebi poglavlja V. Takvo sigurno okruženje za obradu trebalo bi smanjiti rizike za privatnost povezane s takvim aktivnostima obrade i spriječiti izravan prijenos elektroničkih zdravstvenih podataka korisnicima podataka. Tijelo za pristup zdravstvenim podacima ili vlasnik podataka koji pruža tu uslugu trebao bi u svakom trenutku zadržati kontrolu nad pristupom elektroničkim zdravstvenim podacima, a odobravanje pristupa korisnicima podataka bilo bi određeno uvjetima izdane dozvole za podatke. Korisnici podataka iz takvog sigurnog okruženja za obradu trebali bi izdvojiti samo neosobne elektroničke zdravstvene podatke koji ne sadržavaju elektroničke zdravstvene podatke. Stoga je to ključna zaštitna mjera za očuvanje prava i sloboda pojedinaca u vezi s obradom njihovih elektroničkih zdravstvenih podataka za sekundarnu uporabu. Komisija bi trebala pomoći državi članici pri razvoju zajedničkih sigurnosnih standarda radi promicanja sigurnosti i interoperabilnosti različitih sigurnih okruženja.

(54a)  Uredbom (EU) 2022/868 utvrđuju se opća pravila za upravljanje podatkovnim altruizmom. S obzirom na to da se u zdravstvenom sektoru upravlja osjetljivim podacima, trebalo bi utvrditi dodatne kriterije u pravilniku predviđenom u Uredbi (EU) 2022/868. Ako se takvim pravilnikom predviđa uporaba sigurnog okruženja za obradu za taj sektor, ona bi trebala biti usklađena s kriterijima utvrđenima u ovoj Uredbi. Tijela za pristup zdravstvenim podacima trebala bi surađivati s tijelima imenovanima u skladu s Uredbom (EU) 2022/868 kako bi nadzirala aktivnost organizacija za podatkovni altruizam u zdravstvenom sektoru ili sektoru skrbi.

(55)  Kad je riječ o obradi elektroničkih zdravstvenih podataka obuhvaćenih izdanom dozvolom ili zahtjevom za podatke, vlasnici zdravstvenih podataka, uključujući pouzdane vlasnike, tijela za pristup zdravstvenim podacima i korisnici zdravstvenih podataka trebali bi se smatrati voditeljem obrade za određeni dio postupka i u skladu sa svojim pojedinačnim ulogama u njemu. Vlasnik zdravstvenih podataka trebao bi se smatrati voditeljem obrade za tražene osobne elektroničke zdravstvene podatke koji se dostavljaju tijelu za pristup zdravstvenim podacima, dok bi se tijelo za pristup zdravstvenim podacima trebalo smatrati voditeljem obrade osobnih elektroničkih zdravstvenih podataka pri pripremi i stavljanju podataka na raspolaganje korisniku zdravstvenih podataka. Korisnik zdravstvenih podataka trebao bi se smatrati voditeljem obrade osobnih elektroničkih zdravstvenih podataka u pseudonimiziranom obliku u sigurnom okruženju za obradu u skladu sa svojom dozvolom za podatke. Tijelo za pristup zdravstvenim podacima trebalo bi se smatrati izvršiteljem obrade u ime korisnika zdravstvenih podataka za obradu koju vrši korisnik zdravstvenih podataka u skladu s dozvolom za podatke u sigurnom okruženju za obradu, kao i za obradu radi pružanja odgovora na zahtjev za podatke. Slično tome, pouzdani vlasnik zdravstvenih podataka trebao bi se smatrati voditeljem obrade za obradu osobnih elektroničkih zdravstvenih podataka povezanih s pružanjem elektroničkih zdravstvenih podataka korisniku zdravstvenih podataka na temelju dozvole za podatke ili zahtjeva za podatke. Trebalo bi se smatrati da pouzdani vlasnik zdravstvenih podataka djeluje kao izvršitelj obrade za korisnika zdravstvenih podataka pri pružanju podataka putem sigurnog okruženja za obradu.

(55b)  Kako bi se postigao uključiv i održiv okvir za sekundarnu uporabu elektroničkih zdravstvenih podataka u više zemalja, potrebno je uspostaviti prekograničnu infrastrukturu. Infrastruktura Zdravstveni podaci@EU (HealthData@EU) trebala bi ubrzati sekundarnu uporabu elektroničkih zdravstvenih podataka, pri čemu bi se povećala pravna sigurnost, poštovala privatnost pojedinaca i osigurala interoperabilnost. Zbog osjetljivosti zdravstvenih podataka načela kao što su „integrirana privatnost”, „zadana privatnost” i „pretraživanje podataka na lokaciji umjesto premještanja podataka” trebala bi se poštovati kad god je to moguće. Države članice trebale bi imenovati nacionalne kontaktne točke za sekundarnu uporabu elektroničkih zdravstvenih podataka kao organizacijske i tehničke pristupnike za tijela za pristup zdravstvenim podacima te povezati te kontaktne točke na infrastrukturu Zdravstveni podaci@EU (HealthData@EU). Službu Unije za pristup podacima također bi trebalo povezati s infrastrukturom Zdravstveni podaci@EU (HealthData@EU). Nadalje, ovlašteni sudionici u infrastrukturi Zdravstveni podaci@EU (HealthData@EU) mogle bi biti istraživačke infrastrukture uspostavljene kao konzorcij europskih istraživačkih infrastruktura („ERIC”) u skladu s Uredbom Vijeća (EZ) br. 723/2009(18), kao konzorcij za europsku digitalnu infrastrukturu („EDIC”) u skladu s Odlukom EU) 2022/2481(19) ili slične strukture uspostavljene u skladu s drugim zakonodavstvom Unije, kao i druge vrste subjekata, uključujući infrastrukture u okviru Europskog strateškog foruma za istraživačke infrastrukture (ESFRI) i infrastrukture u okviru europskog oblaka za otvorenu znanost (EOSC). Nacionalne kontaktne točke trećih zemalja i sustavi uspostavljeni na međunarodnoj razini također bi mogli postati ovlašteni sudionici u okviru infrastrukture Zdravstveni podaci@EU (HealthData@EU), pod uvjetom da su usklađeni sa zahtjevima iz ove Uredbe. Digitalnom strategijom Komisije promiče se povezivanje različitih zajedničkih europskih podatkovnih prostora. Infrastruktura Zdravstveni podaci@EU (HealthData@EU) stoga bi trebala omogućiti sekundarnu uporabu različitih kategorija elektroničkih zdravstvenih podataka, uključujući povezivanje zdravstvenih podataka s podacima iz drugih podatkovnih prostora, kao što su okoliš, poljoprivreda, društvo itd. Takva interoperabilnost između zdravstvenog sektora i sektora kao što su okolišni, socijalni i poljoprivredni sektor može biti relevantna za dodatni uvid u odrednice zdravlja. Komisija bi mogla pružati nekoliko usluga u okviru infrastrukture Zdravstveni podaci@EU (HealthData@EU), uključujući potporu razmjeni informacija među tijelima za pristup zdravstvenim podacima i ovlaštenim sudionicima za potrebe obrade zahtjeva za prekogranični pristup, vođenja kataloga elektroničkih zdravstvenih podataka raspoloživih putem infrastrukture, mogućnosti otkrivanja u mreži i upita o metapodacima te usluga povezivosti i sukladnosti. Komisija može uspostaviti i sigurno okruženje koje omogućuje prijenos i analizu podataka iz različitih nacionalnih infrastruktura na zahtjev voditelja obrade. ▌Za potrebe učinkovitosti informacijske tehnologije, racionalizacije i interoperabilnosti razmjena podataka trebali bi se, koliko god je to moguće, ponovno upotrebljavati postojeći sustavi za razmjenu podataka, kao što su oni koji se uvode za razmjenu dokaza u okviru tehničkog sustava utemeljenog na načelu „samo jednom” iz Uredbe (EU) 2018/1724 Europskog parlamenta i Vijeća(20).

(55c)  Osim toga, s obzirom na to da bi povezivanje s infrastrukturom Zdravstveni podaci@EU (HealthData@EU) moglo podrazumijevati prijenose osobnih podataka povezanih s podnositeljem zahtjeva ili korisnikom zdravstvenih podataka u treće zemlje, za takvo dijeljenje podataka morat će postojati relevantni instrumenti za prijenos u skladu s poglavljem V. Uredbe (EU) 2016/679.

(56)  U slučaju prekograničnih registara ili baza podataka, kao što su registri europskih referentnih mreža za rijetke bolesti, koji primaju podatke od različitih pružatelja zdravstvene zaštite u nekoliko država članica, za pružanje pristupa podacima trebalo bi biti odgovorno tijelo za pristup zdravstvenim podacima u kojem se nalazi koordinator registra.

(57)  Postupak odobrenja za dobivanje pristupa osobnim zdravstvenim podacima u različitim državama članicama može biti repetitivan i zahtjevan za korisnike podataka. Kad god je to moguće, trebalo bi uspostaviti sinergiju radi smanjenja opterećenja i prepreka za korisnike podataka. Jedan je način za postizanje tog cilja pridržavanje načela „jedinstvenog zahtjeva”, prema kojem korisnik podataka jednim zahtjevom može dobiti odobrenje od više tijela za pristup zdravstvenim podacima u različitim državama članicama ili ovlaštenih sudionika.

(58)  Tijela za pristup zdravstvenim podacima trebala bi pružati informacije o dostupnim skupovima podataka i njihovim značajkama kako bi korisnici podataka bili informirani o osnovnim činjenicama o skupu podataka i mogli procijeniti koliko bi on mogao biti važan za njih. Iz tog bi razloga svaki skup podataka trebao uključivati barem informacije o izvoru, prirodi podataka i uvjetima za stavljanje podataka na raspolaganje. Vlasnik zdravstvenih podataka trebao bi, barem jednom godišnje, provjeravati je li njegov opis skupa podataka u nacionalnom katalogu skupova podataka točan i ažuriran. Stoga je potrebno uspostaviti katalog skupova podataka EU-a kako bi se olakšala mogućnost otkrivanja skupova podataka dostupnih u europskom prostoru za zdravstvene podatke, kako bi se vlasnicima podataka pomoglo da objave svoje skupove podataka, kako bi se svim dionicima, uključujući širu javnost i vodeći računa o osobama s invaliditetom, pružile informacije o skupovima podataka unesenima u europski prostor za zdravstvene podatke (kao što su oznake kvalitete i korisnosti, informacijski listovi uz skupove podataka) te kako bi se korisnicima podataka pružile ažurirane informacije o kvaliteti i korisnosti skupova podataka.

(59)  Informacije o kvaliteti i korisnosti skupova podataka znatno povećavaju vrijednost ishoda istraživanja i inovacija temeljenih na velikim količinama podataka te pritom promiču regulatorno i političko odlučivanje utemeljeno na dokazima. Poboljšanje kvalitete i korisnosti skupova podataka informiranim odlukama kupaca i usklađivanjem povezanih zahtjeva na razini Unije, uzimajući u obzir postojeće Unijine i međunarodne standarde, smjernice i preporuke za prikupljanje podataka i razmjenu podataka (tj. načela FAIR: vidljivi, dostupni, interoperabilni i ponovno upotrebljivi podaci), koristi i vlasnicima podataka, zdravstvenim stručnjacima, pojedincima i gospodarstvu Unije u cjelini. Oznakom kvalitete i korisnosti podataka za skupove podatka obavijestilo bi se korisnike podataka o značajkama kvalitete i korisnosti skupa podataka te bi im se omogućilo da odaberu skupove podataka koji najbolje odgovaraju njihovim potrebama. Oznaka kvalitete i korisnosti podataka ne bi smjela spriječiti stavljanje skupova podataka na raspolaganje u okviru europskog prostora za zdravstvene podatke, nego omogućiti mehanizam za transparentnost između vlasnika podataka i korisnika podataka. Na primjer, skup podataka koji ne ispunjava nijedan zahtjev kvalitete ni korisnosti podataka trebao bi se označiti razredom koji predstavlja najnižu kvalitetu i korisnost, ali svejedno bi se trebao staviti na raspolaganje. Pri razvoju okvira za kvalitetu i korisnost podataka trebala bi se uzeti u obzir očekivanja utvrđena u okvirima opisanima u članku 10. Uredbe […] [Akt o umjetnoj inteligenciji 2021/0106(COD)] i njegovoj relevantnoj dokumentaciji utvrđenoj u Prilogu IV. Države članice trebale bi informirati građane o oznaci kvalitete i korisnosti podataka komunikacijskim aktivnostima. Komisija bi mogla poduprijeti te aktivnosti. Uporabu skupova podataka mogli bi prioritizirati njihovi korisnici s obzirom na njihovu korisnost i kvalitetu.

(60)  Katalog skupova podataka EU-a trebao bi smanjiti administrativno opterećenje vlasnika podataka i drugih korisnika baze podataka, trebao bi biti jednostavan za uporabu, pristupačan i ekonomičan, povezivati nacionalne kataloge podataka te sprečavati suvišnu registraciju skupova podataka. Katalog skupova podataka EU-a trebao bi biti usklađen s inicijativom data.europa.eu i njime se ne bi smjeli dovoditi u pitanje zahtjevi utvrđeni u Uredbi (EU) 2022/868. Trebalo bi osigurati interoperabilnost između kataloga skupova podataka EU-a, nacionalnih kataloga podataka i kataloga skupova podataka iz europskih istraživačkih infrastruktura i drugih relevantnih infrastruktura za razmjenu podataka.

(61)  Različite strukovne organizacije, Komisija i druge institucije trenutačno surađuju i rade na uspostavi minimalnih podatkovnih polja i drugih značajki različitih skupova podataka (na primjer registara). Taj je rad više uznapredovao u područjima kao što su rak, rijetke bolesti, kardiovaskularne i metaboličke bolesti, procjena čimbenika rizika i statistika te bi ga trebalo uzeti u obzir pri određivanju novih standarda i usklađenih predložaka za strukturirane podatkovne elemente za pojedine bolesti. Međutim, brojni skupovi podataka nisu usklađeni, što otežava usporedivost i prekogranična istraživanja. Stoga bi se provedbenim aktima trebala utvrditi detaljnija pravila radi usklađenog ▌kodiranja i registracije elektroničkih zdravstvenih podataka kako bi se omogućilo da su na dosljedan način dostupni za sekundarnu uporabu. Takvi skupovi podataka mogu uključivati podatke iz registara rijetkih bolesti, baza podataka o lijekovima za rijetke bolesti, registara za rak i registara vrlo relevantnih zaraznih bolesti. Države članice trebale bi nastojati donijeti održive ekonomske i socijalne koristi s pomoću europskih elektroničkih zdravstvenih sustava i usluga te interoperabilnih aplikacija radi postizanja visoke razine povjerenja i sigurnosti, unapređenja kontinuiteta zdravstvene zaštite i osiguranja pristupa sigurnoj i kvalitetnoj zdravstvenoj zaštiti. Postojeće infrastrukture i registri zdravstvenih podataka mogu poslužiti kao modeli za utvrđivanje i provedbu podatkovnih standarda i interoperabilnosti te bi ih trebalo iskoristiti kako bi se omogućio kontinuitet i crpilo postojeće stručno znanje.

(62)  Komisija bi trebala poduprijeti države članice u izgradnji kapaciteta i djelotvornosti u području sustava digitalnog zdravstva za primarnu i sekundarnu uporabu elektroničkih zdravstvenih podataka. Trebalo bi pružiti potporu državama članicama da ojačaju svoj kapacitet. Aktivnosti na razini Unije, kao što su ocjenjivanje prema referentnim vrijednostima i razmjena primjera najbolje prakse, relevantne su mjere u tom pogledu. Trebale bi uzeti u obzir specifične uvjete različitih kategorija dionika, kao što su civilno društvo, istraživači, medicinska društva i MSP-ovi.

(62a)   Poboljšanje digitalne pismenosti u području zdravlja, kako u pogledu pojedinaca tako i zdravstvenih stručnjaka, ključno je za postizanje povjerenja, sigurnosti i odgovarajuće upotrebe zdravstvenih podataka, a time i za uspješnu provedbu ove Uredbe. Zdravstveni djelatnici suočeni su s korjenitim promjenama u kontekstu digitalizacije i u okviru provedbe europskog prostora za zdravstvene podatke bit će im ponuđeni daljnji digitalni alati. Zdravstveni stručnjaci moraju razviti svoju digitalnu pismenost u području zdravlja te svoje digitalne kompetencije. Države članice trebale bi zdravstvenim stručnjacima omogućiti da pohađaju tečajeve digitalne pismenosti kako bi se mogli pripremiti za rad u sustavima elektroničkih zdravstvenih zapisa. Takvim bi tečajevima zdravstvenim stručnjacima i operaterima u području IT-a trebalo pružiti dovoljnu razinu osposobljenosti za rad s novim digitalnim infrastrukturama kako bi se osigurala kibernetička sigurnost i etičko upravljanje zdravstvenim podacima. Osposobljavanja bi trebalo razvijati i preispitivati te redovito ažurirati uz savjetovanje i suradnju s relevantnim stručnjacima. Poboljšanje digitalne pismenosti u području zdravlja ključno je za osnaživanje pojedinaca kako bi imali stvarnu kontrolu nad svojim zdravstvenim podacima i aktivno upravljali svojim zdravljem i skrbi te kako bi razumjeli posljedice upravljanja takvim podacima za primarnu i sekundarnu uporabu. Različite demografske skupine imaju različite stupnjeve digitalne pismenosti, što može otežati sposobnost pojedinaca da ostvare svoja prava na kontrolu elektroničkih zdravstvenih podataka. Države članice, uključujući regionalna i lokalna tijela, trebala bi stoga podupirati digitalnu pismenost u području zdravlja i informiranost javnosti, istodobno osiguravajući da se provedbom ove Uredbe doprinosi smanjenju nejednakosti i da se njome ne diskriminira stanovništvo koje ne posjeduje digitalne vještine. Posebnu pozornost trebalo bi posvetiti osobama s invaliditetom i ugroženim skupinama, uključujući migrante i starije osobe. Države članice trebale bi izraditi ciljane nacionalne programe digitalne pismenosti, uključujući programe za maksimalno povećanje socijalne uključenosti, kako bi se osiguralo da svi pojedinci mogu učinkovito ostvarivati svoja prava na temelju ove Uredbe. Države članice također bi trebale pojedincima pružiti i smjernice usmjerene na pacijente o upotrebi elektroničkih zdravstvenih zapisa i primarnoj uporabi njihovih osobnih elektroničkih zdravstvenih podataka. Smjernice bi trebale biti prilagođene razini digitalne pismenosti pacijenata u području zdravlja, posebice vodeći računa o potrebama ranjivih skupina.

(63)  I fondovi bi trebali pridonijeti postizanju ciljeva europskog prostora za zdravstvene podatke. Javni naručitelji, nadležna nacionalna tijela u državama članicama, uključujući tijela nadležna za digitalno zdravstvo i tijela za pristup zdravstvenim podacima, i Komisija trebali bi uputiti na primjenjive tehničke specifikacije, standarde i profile za interoperabilnost, sigurnost i kvalitetu podataka, kao i druge zahtjeve utvrđene u skladu s ovom Uredbom pri određivanju uvjeta za javnu nabavu, pozive na podnošenje prijedloga i dodjelu sredstava Unije, uključujući sredstva iz strukturnih i kohezijskih fondova. Sredstva Unije trebala bi se transparentno raspodijeliti među državama članicama, vodeći računa o različitim razinama digitalizacije zdravstvenih sustava. Za stavljanje podataka na raspolaganje za sekundarnu uporabu potrebni su dodatni resursi za zdravstvene sustave, posebno javne sustave. Tijekom faze provedbe europskog prostora za zdravstvene podatke trebalo bi uzeti u obzir to dodatno opterećenje i svesti ga na najmanju moguću mjeru.

(63a)   Za provedbu europskog prostora za zdravstvene podatke potrebna su odgovarajuća ulaganja u izgradnju kapaciteta i osposobljavanje te predanost javnom savjetovanju i angažmanu uz dostatna financijska sredstva i na razini država članica i na razini Unije. Ekonomske troškove provedbe ove Uredbe trebale bi snositi i države članice i Unija te bi trebalo pronaći pravednu raspodjelu tog opterećenja između nacionalnih fondova i fondova Unije.

(64)  Određene kategorije elektroničkih zdravstvenih podataka mogu biti posebno osjetljive čak i kad su anonimizirane te stoga neosobne, kako je već izričito predviđeno u Uredbi (EU) 2022/868. Čak i ako se primjenjuju najsuvremenije tehnike anonimizacije, preostaje rizik da bi mogla biti dostupna ili će postati dostupna sredstva za utvrđivanje identiteta koja nadilaze sredstva za koja je u razumnoj mjeri vjerojatno da će biti upotrijebljena. Takav preostali rizik prisutan je za rijetke bolesti (po život opasna odnosno kronična bolest koja pogađa najviše pet od deset tisuća osoba u Uniji), za koje ograničen broj slučajeva smanjuje mogućnost potpunog objedinjavanja objavljenih podataka radi očuvanja privatnosti pojedinaca i istodobnog zadržavanja odgovarajuće razine detaljnosti kako bi podaci bili smisleni. Tom riziku mogu biti izložene različite vrste zdravstvenih podataka ovisno o razini detaljnosti i opisu značajki ispitanika, broju pogođenih osoba ili, primjerice u slučaju podataka uvrštenih u elektroničke zdravstvene zapise, registre bolesti, biobanke, podataka koje je generirala osoba itd., čije su identifikacijske značajke općenitije i koje, u kombinaciji s drugim informacijama (npr. u vrlo malim zemljopisnim područjima) ili zahvaljujući tehnološkom razvoju metoda koje nisu bile dostupne u trenutku anonimizacije, mogu omogućiti utvrđivanje identiteta ispitanika korištenjem sredstava koja nadilaze sredstva za koja je u razumnoj mjeri vjerojatno da će biti upotrijebljena. Realizacija takvog rizika od utvrđivanja identiteta pojedinaca izazvala bi veliku zabrinutost i vjerojatno bi ugrozila prihvaćanje politike i pravila o sekundarnoj uporabi predviđenih ovom Uredbom. Nadalje, manje se testiraju tehnike objedinjavanja za neosobne podatke koji npr. sadržavaju poslovne tajne, kao u slučaju izvješćivanja o kliničkim ispitivanjima i kliničkim istraživanjima, a zbog nepostojanja odgovarajućeg međunarodnog standarda zaštite otežano je poduzimanje mjera u slučaju povreda poslovnih tajni izvan Unije. Stoga su te vrste zdravstvenih podataka i dalje izložene riziku od utvrđivanja identiteta nakon anonimizacije ili objedinjavanja, koji prvotno nije bilo moguće u razumnoj mjeri smanjiti. To je obuhvaćeno kriterijima iz članka 5. stavka 13. Uredbe (EU) 2022/868. Stoga bi te vrste podataka bile obuhvaćene ovlaštenjem iz članka 5. stavka 13. Uredbe (EU) 2022/868 za prijenos u treće zemlje. Pri utvrđivanju zaštitnih mjera, proporcionalnih riziku od utvrđivanja identiteta, trebalo bi uzeti u obzir posebnosti različitih kategorija ili različitih tehnika anonimizacije ili objedinjavanja i te će se mjere detaljno opisati u kontekstu delegiranog akta donesenog na temelju ovlaštenja iz članka 5. stavka 13. Uredbe (EU) 2022/868.

(64b)   Obrada velikih količina osobnih zdravstvenih podataka u svrhe predviđene europskim prostorom za zdravstvene podatke u okviru aktivnosti obrade podataka u kontekstu rješavanja prijava za pristup podacima, dozvola za podatke i zahtjeva za podatke podrazumijeva veći rizik od neovlaštenog pristupa takvim osobnim podacima, kao i mogućnost kibernetičkih sigurnosnih incidenata. Osobni zdravstveni podaci posebno su osjetljivi jer često sadrže intimne informacije koje podliježu liječničkoj tajni, a čije otkrivanje neovlaštenim trećim stranama može uzrokovati znatnu potresenost. Uzimajući u potpunosti u obzir načela navedena u sudskoj praksi Suda Europske unije, ovom se Uredbom osigurava potpuno poštovanje temeljnih prava, prava na privatnost i načela proporcionalnosti. Kako bi se osigurao potpuni integritet i povjerljivost osobnih elektroničkih zdravstvenih podataka na temelju ove Uredbe, zajamčila posebno visoka razina zaštite i sigurnosti te smanjio rizik od nezakonitog pristupa tim osobnim elektroničkim zdravstvenim podacima, Uredbom se propisuje da se u svrhu obavljanja zadaća predviđenih ovom Uredbom osobni elektronički zdravstveni podaci pohranjuju i obrađuju isključivo unutar Unije, osim u slučaju primjene odluke o primjerenosti u skladu s člankom 45. Uredbe (EU) 2016/679.

(64d)   Pristup elektroničkim zdravstvenim podacima za subjekte iz trećih zemalja ili međunarodnih organizacija trebao bi se odvijati samo na temelju načela uzajamnosti. Zdravstveni podaci mogu se staviti na raspolaganje trećoj zemlji samo ako je Komisija provedbenim aktom utvrdila da predmetna treća zemlja omogućuje da subjekti iz Unije upotrebljavaju zdravstvene podatke pod istim uvjetima i uz iste zaštitne mjere kao unutar Unije. Komisija bi trebala pratiti situaciju u tim trećim zemljama i međunarodnim organizacijama, popisati ih i osigurati periodično preispitivanje situacije. Ako Komisija utvrdi da neka treća zemlja više ne osigurava pristup pod istim uvjetima, trebala bi opozvati povezani provedbeni akt.

(65)  Kako bi se promicala dosljedna primjena ove Uredbe, što se odnosi i na prekograničnu interoperabilnost zdravstvenih podataka, trebalo bi osnovati Odbor za europski prostor za zdravstvene podatke. Komisija bi trebala sudjelovati u njegovim aktivnostima i supredsjedati njime. Odbor za europski prostor za zdravstvene podatke trebao bi moći izdavati pisane doprinose u vezi s dosljednom primjenom ove Uredbe u cijeloj Uniji, među ostalim pomaganjem državama članicama da koordiniraju uporabu elektroničkih zdravstvenih podataka za zdravstvenu zaštitu i certificiranje, ali i u vezi sa sekundarnom uporabom elektroničkih zdravstvenih podataka i financiranjem tih aktivnosti. To se može odnositi i na razmjenu informacija o rizicima i incidentima u sigurnim okruženjima za obradu. Ta vrsta razmjene informacija ne utječe na obveze iz drugih pravnih akata, kao što je obavješćivanje u slučaju povrede podataka na temelju Uredbe (EU) 2016/679. Općenito gledano, aktivnostima Odbora za europski prostor za zdravstvene podatke ne dovode se u pitanje ovlasti nadzornih tijela u skladu s Uredbom (EU) 2016/679. Budući da na nacionalnoj razini tijela nadležna za digitalno zdravstvo, koja su zadužena za primarnu uporabu elektroničkih zdravstvenih podataka, mogu biti različita od tijela za pristup zdravstvenim podacima, koja su zadužena za sekundarnu uporabu elektroničkih zdravstvenih podataka, da se funkcije razlikuju te da postoji potreba za jedinstvenom suradnjom u svakom od tih područja, Odbor za europski prostor za zdravstvene podatke trebao bi moći osnovati podskupine zadužene za te dvije funkcije, kao i druge podskupine prema potrebi. Radi učinkovitog načina rada tijela nadležna za digitalno zdravstvo i tijela za pristup zdravstvenim podacima trebala bi se umrežiti i povezati s drugim tijelima na nacionalnoj razini, ali i na razini Unije. Takva tijela trebala bi se sastojati od tijela za zaštitu podataka, kibersigurnost, elektroničku identifikaciju i standardizaciju, kao i tijela i stručnih skupina na temelju uredbi 2023/2854, […] i […] [Akt o umjetnoj inteligenciji i Akt o kibernetičkoj sigurnosti]. Odbor za europski prostor za zdravstvene podatke trebao bi djelovati neovisno, u javnom interesu i u skladu sa svojim Kodeksom ponašanja.

(65a)   Ako se, prema Odboru za europski prostor za zdravstvene podatke, raspravlja o važnim pitanjima, Odbor bi trebao moći pozvati promatrače, primjerice Europskog nadzornika za zaštitu podataka, predstavnike institucija Unije, uključujući Europski parlament i druge dionike.

(65b)   Trebalo bi uspostaviti forum dionika koji bi savjetovao Odbor za europski prostor za zdravstvene podatke tijekom obavljanja zadataka pružanjem doprinosa dionika o pitanjima koja se odnose na ovu Uredbu. Forum dionika trebao bi se sastojati od predstavnika pacijenata, potrošača, zdravstvenih stručnjaka, industrije, znanstvenih istraživača i akademske zajednice. Trebao bi biti uravnotežen i zastupati stajališta različitih relevantnih dionika. Trebali bi biti zastupljeni i komercijalni i nekomercijalni interesi.

(66)  Kako bi se osiguralo svakodnevno upravljanje prekograničnim infrastrukturama za primarnu i sekundarnu uporabu elektroničkih zdravstvenih podataka, potrebno je osnovati upravljačke skupine koje se sastoje od predstavnika država članica. Te bi skupine trebale donositi operativne odluke o svakodnevnom tehničkom upravljanju infrastrukturama i njihovu tehničkom razvoju, među ostalim o tehničkim promjenama infrastruktura, poboljšanju funkcionalnosti ili usluga ili osiguravanju interoperabilnosti s drugim infrastrukturama, digitalnim sustavima ili podatkovnim prostorima. Njihove aktivnosti ne obuhvaćaju doprinos razvoju provedbenih akata koji utječu na te infrastrukture. Te skupine mogu na svoje sastanke pozivati i predstavnike drugih ovlaštenih sudionika u svojstvu promatrača. Te bi se skupine pri obavljanju svojih zadaća trebale savjetovati s relevantnim stručnjacima.

(66a)   Ne dovodeći u pitanje nijedan drugi upravni, sudski ili izvansudski pravni lijek, svaka fizička ili pravna osoba trebala bi imati pravo podnijeti pritužbu tijelu nadležnom za digitalno zdravstvo ili tijelu za pristup zdravstvenim podacima ako ta fizička ili pravna osoba smatra da su ugrožena njezina prava ili interesi na temelju ove Uredbe. Istragu pokrenutu na temelju pritužbe trebalo bi provesti, podložno sudskom preispitivanju, u mjeri koja je primjerena za određeni slučaj. Tijelo nadležno za digitalno zdravstvo ili tijelo za pristup zdravstvenim podacima trebalo bi u razumnom roku obavijestiti fizičku ili pravnu osobu o napretku i ishodu pritužbe. Ako predmet zahtijeva daljnju istragu ili koordinaciju s drugim tijelom nadležnim za digitalno zdravstvo ili tijelom za pristup zdravstvenim podacima, fizičkoj ili pravnoj osobi trebalo bi dati privremene informacije. Kako bi se omogućilo podnošenje pritužbi, svako tijelo nadležno za digitalno zdravstvo i svako tijelo za pristup zdravstvenim podacima trebalo bi poduzeti mjere kao što je osiguranje obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući mogućnost upotrebe drugih sredstava komunikacije. Ako se pritužba odnosi na prava fizičkih osoba u vezi sa zaštitom njihovih osobnih podataka, tijelo nadležno za digitalno zdravstvo ili tijelo za pristup zdravstvenim podacima trebalo bi proslijediti pritužbu nadzornom tijelu u skladu s Uredbom (EU) 2016/679. Tijela za pristup zdravstvenim podacima ili tijela za pristup zdravstvenim podacima surađuju kako bi bez nepotrebne odgode obradila i riješila pritužbe, među ostalim razmjenom svih relevantnih informacija elektroničkim putem.

(66b)   Ako fizička osoba smatra da su prekršena njezina prava iz ove Uredbe, trebala bi imati pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa i koje je aktivno u području zaštite osobnih podataka, da podnese pritužbu u njegovo ime.

(66f)   Tijelo nadležno za digitalno zdravstvo, tijelo za pristup zdravstvenim podacima, vlasnik zdravstvenih podataka ili korisnik zdravstvenih podataka trebali bi nadoknaditi svaku štetu koju bi neka osoba mogla pretrpjeti zbog djelovanja kojima je prekršena ova Uredba. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Uredbe. Time se ne dovode u pitanje zahtjevi za naknadu štete koja proizlazi iz kršenja drugih pravila prava Unije ili nacionalnog prava. Fizičke osobe trebale bi dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjele.

(66h)   Kako bi se poboljšalo izvršavanje pravila iz ove Uredbe, trebale bi se propisati sankcije, uključujući upravne novčane kazne, za svako kršenje ove Uredbe, uz odgovarajuće mjere koje propisuje tijelo za pristup zdravstvenim podacima u skladu s ovom Uredbom ili umjesto njih. Izricanje sankcija, uključujući upravne novčane kazne, trebalo bi podlijegati odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom Europske unije o temeljnim pravima, uključujući djelotvornu sudsku zaštitu i zakonito postupanje.

(66j)   Primjereno je utvrditi odredbe kojima se tijelima za pristup zdravstvenim podacima omogućuje primjena upravnih novčanih kazni za određena kršenja ove Uredbe, pri čemu se određena kršenja smatraju teškim kršenjima, kao što su ponovna identifikacija fizičkih osoba, preuzimanje osobnih zdravstvenih podataka izvan sigurnog okruženja za obradu i obrada podataka za zabranjene uporabe ili izvan dozvole za podatke. U ovoj Uredbi trebalo bi navesti kršenja te gornju granicu i kriterije za određivanje povezanih upravnih novčanih kazni, što bi za svaki pojedinačni slučaj trebalo odrediti nadležno tijelo za pristup zdravstvenim podacima, uzimajući u obzir sve bitne okolnosti konkretne situacije, vodeći računa posebno o prirodi, težini i trajanju kršenja i njezinim posljedicama te mjerama poduzetima kako bi se osiguralo poštovanje obveza na temelju ove Uredbe te spriječile ili ublažile posljedice kršenja. Kada se upravne novčane kazne izriču poduzetniku, poduzetnikom bi se u te svrhe trebao smatrati poduzetnik u skladu s člancima 101. i 102. UFEU-a. Države članice trebale bi utvrditi i trebaju li i do koje mjere primjenjivati upravne novčane kazne za javna tijela. Izricanje upravne novčane kazne ili upozorenja ne utječe na primjenu ovlasti nadzornih tijela ili drugih sankcija na temelju ove Uredbe.

(66k)   U pravnom sustavu Danske nisu predviđene administrativne novčane kazne kako su utvrđene u ovoj Uredbi. Trebalo bi biti moguće primjenjivati pravila o upravnim novčanim kaznama na način da u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu kao kaznenu sankciju, pod uvjetom da takva primjena pravilâ u Danskoj ima istovrijedni učinak kao i upravne novčane kazne koje izriču tijela za pristup zdravstvenim podacima. Stoga bi nadležni nacionalni sud trebao uzeti u obzir preporuku tijela za pristup zdravstvenim podacima koje je pokrenulo postupak izricanja novčane kazne. U svakom slučaju novčane kazne trebale bi biti učinkovite, proporcionalne i odvraćajuće.

(67)  Budući da ciljeve ove Uredbe, a to su osnaživanje pojedinaca povećanjem njihove kontrole nad osobnim zdravstvenim podacima i olakšavanjem slobodnog kretanja tih podataka tako što će ih zdravstveni podaci moći pratiti, poticanje istinskog jedinstvenog tržišta za digitalne zdravstvene usluge i proizvode te osiguravanje dosljednog i učinkovitog okvira za ponovnu uporabu zdravstvenih podataka pojedinaca radi istraživanja, inovacija, oblikovanja politika i regulatornih aktivnosti, ne mogu dostatno ostvariti države članice samo mjerama koordinacije, kako je pokazala evaluacija digitalnih aspekata Direktive 2011/24/EU, nego se oni zbog usklađivanja mjera za prava pojedinaca u vezi s njihovim elektroničkim zdravstvenim podacima, postizanje interoperabilnosti elektroničkih zdravstvenih podataka te utvrđivanje zajedničkog okvira i zaštitnih mjera za primarnu i sekundarnu uporabu elektroničkih zdravstvenih podataka na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(68)  Kako bi Odbor za europski prostor za zdravstvene podatke ispunio svoje ciljeve, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a u vezi s različitim odredbama primarne i sekundarne uporabe elektroničkih zdravstvenih podataka. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016(21). Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(69)  Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe, provedbene ovlasti trebalo bi dodijeliti Komisiji. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća(22).

(70)  Države članice trebale bi poduzeti sve potrebne mjere za provedbu odredaba ove Uredbe, među ostalim određivanjem učinkovitih, proporcionalnih i odvraćajućih sankcija za povrede tih odredaba. Pri odlučivanju o iznosu kazne za svaki pojedinačni slučaj države članice trebale bi uzeti u obzir odstupanja i kriterije utvrđene u ovoj Uredbi. Ponovna identifikacija pojedinaca trebala bi se smatrati teškim kršenjem ove Uredbe.

(70a)   Provedba europskog prostora za zdravstvene podatke zahtijevat će znatno razvojno djelovanje u državama članicama i središnjim službama. Kako bi pratila ostvareni napredak, Komisija bi do potpune primjene ove Uredbe svake godine trebala izvješćivati o ostvarenom napretku, uzimajući u obzir informacije koje dostavljaju države članice. Ta izvješća mogu uključivati preporuke za korektivne mjere, kao i procjenu ostvarenog napretka.

(71)  Kako bi ocijenila postižu li se ovom Uredbom djelotvorno i učinkovito njezini ciljevi, je li dosljedna te i dalje relevantna i ostvaruje li se njome dodana vrijednost na razini Unije, Komisija bi trebala provesti evaluaciju ove Uredbe. Komisija bi trebala provesti djelomičnu evaluaciju ove Uredbe osam godina nakon njezina stupanja na snagu i ▌cjelovitu evaluaciju deset godina nakon njezina stupanja na snagu. Komisija bi nakon svake evaluacije trebala dostaviti izvješća o svojim glavnim zaključcima Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija.

(72)  Za uspješnu prekograničnu provedbu europskog prostora za zdravstvene podatke kao zajednička referentna točka trebao bi poslužiti Europski okvir za interoperabilnost(23) radi osiguranja pravne, organizacijske, semantičke i tehničke interoperabilnosti.

(73)  Evaluacija digitalnih aspekata Direktive 2011/24/EU pokazuje ograničenu djelotvornost mreže e-zdravstva, ali i velik potencijal za djelovanje EU-a u tom području, kako je pokazao rad tijekom pandemije. Stoga će se članak 14. Direktive staviti izvan snage i zamijeniti ovom Uredbom, a Direktiva će se izmijeniti na odgovarajući način.

(73a)   Ovom se Uredbom dopunjuju bitni zahtjevi utvrđeni u Uredbi 2024/... [Akt o kibernetičkoj otpornosti 2022/0272(COD)] za sustave elektroničkih zdravstvenih zapisa obuhvaćene područjem primjene ove Uredbe koji su proizvodi s digitalnim elementima u smislu Uredbe 2024/... [Akt o kibernetičkoj otpornosti 2022/0272(COD)] i koji bi stoga trebali biti u skladu i s bitnim zahtjevima utvrđenima u Uredbi 2024/... [Akt o kibernetičkoj otpornosti 2022/0272(COD)]. Njihovi bi proizvođači trebali dokazati sukladnost kako se zahtijeva ovom Uredbom. Kako bi lakše ispunili taj zahtjev, proizvođači mogu sastaviti jedinstvenu tehničku dokumentaciju koja sadržava elemente koji se zahtijevaju prema oba ta zakonska akta. Trebalo bi biti moguće dokazati usklađenost sustava elektroničkih zdravstvenih zapisa s bitnim zahtjevima utvrđenima u Uredbi 2024/... [Akt o kibernetičkoj otpornosti 2022/0272(COD)] putem okvira za procjenu na temelju ove Uredbe, osim za upotrebu testnog okruženja u skladu s ovom Uredbom.

(74)  Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka i Europskim odborom za zaštitu podataka u skladu s člankom 42. Uredbe (EU) 2018/1725 te su oni dali zajedničko mišljenje br. 03/2022 dana 12. srpnja 2022.

(75)  Ova Uredba ne bi trebala utjecati na primjenu pravila tržišnog natjecanja, a posebno članaka 101. i 102 UFEU-a. Mjere predviđene u ovoj Uredbi ne bi se smjele upotrebljavati za ograničavanje tržišnog natjecanja na način koji je protivan UFEU-u.

(76)  S obzirom na potrebu za tehničkom pripremom ova Uredba trebala bi se primjenjivati počevši 24 mjeseca nakon stupanja na snagu. Kako bi se poduprla uspješna provedba europskog prostora za zdravstvene podatke i stvaranje djelotvornih uvjeta za europsku suradnju u području zdravstvenih podataka, trebalo bi primijeniti postupni pristup njegovoj provedbi,

DONIJELI SU OVU UREDBU:

POGLAVLJE I.

Opće odredbe

Članak 1.

Predmet i područje primjene

1.  Ovom Uredbom uspostavlja se europski prostor za zdravstvene podatke utvrđivanjem zajedničkih pravila, ▌normi ▌,infrastruktura i okvira upravljanja radi olakšavanja pristupa elektroničkim zdravstvenim podacima u svrhe primarne i sekundarne uporabe tih podataka.

2.  Ovom Uredbom:

(a)  utvrđuju se i dopunjuju prava pojedinaca utvrđena u Uredbi (EU) 2016/679 u pogledu primarne i sekundarne uporabe njihovih osobnih elektroničkih zdravstvenih podataka;

(b)  utvrđuju se zajednička pravila za sustave elektroničkih zdravstvenih zapisa u odnosu na dvije obvezne softverske komponente, konkretno „europsku komponentu interoperabilnosti za sustave elektroničkih zdravstvenih zapisa” i „europsku komponentu evidentiranja za sustave elektroničkih zdravstvenih zapisa” kako su definirane u članku 2. stavku 2. točkama (nc) i (nd) te aplikacije za dobrobit koje se pozivaju na interoperabilnost sa sustavima elektroničkih zdravstvenih zapisa u odnosu na te dvije komponente u Uniji za primarnu uporabu;

(c)  utvrđuju se zajednička pravila i mehanizmi za primarnu i sekundarnu uporabu elektroničkih zdravstvenih podataka;

(d)  uspostavlja se ▌prekogranična infrastruktura koja omogućuje primarnu uporabu osobnih elektroničkih zdravstvenih podataka u Uniji;

(e)  uspostavlja se ▌prekogranična infrastruktura za sekundarnu uporabu elektroničkih zdravstvenih podataka;

(f)   uspostavlja se upravljanje i koordinacija i za primarnu i za sekundarnu uporabu elektroničkih zdravstvenih podataka;

4.  Ovom se Uredbom ne dovode u pitanje drugi pravni akti Unije o pristupu elektroničkim zdravstvenim podacima, njihovoj razmjeni ili sekundarnoj uporabi odnosno zahtjevi u pogledu obrade elektroničkih zdravstvenih podataka, posebno uredbe (EU) 2016/679, (EU) 2018/1725, (EU) 536/2014(24), br.  223/2009(25), (EU) 2022/868 i (EU) 2023/2854 te direktive 2002/58/EZ(26) i (EU) 2016/943(27).

4a.   Upućivanja na odredbe Uredbe (EU) 2016/679 prema potrebi smatraju se upućivanjima na odgovarajuće odredbe Uredbe (EU) 2018/1725.

5.  Ovom se Uredbom ne dovode u pitanje uredbe (EU) 2017/745, (EU) 2017/746 i […] [Akt o umjetnoj inteligenciji COM(0106) 206 final] u pogledu sigurnosti medicinskih proizvoda, in vitro medicinskih dijagnostičkih proizvoda i sustava umjetne inteligencije u interakciji sa sustavima elektroničkih zdravstvenih zapisa.

6.  Ovom se Uredbom ne dovodi u pitanje pravo Unije ili nacionalno pravo o obradi elektroničkih zdravstvenih podataka u svrhu prijavljivanja, ispunjavanja zahtjeva za pristup informacijama ili dokazivanja odnosno provjeravanja usklađenosti s pravnim obvezama ili pravom Unije ili nacionalnim pravom u pogledu odobravanja pristupa službenim dokumentima i njihova otkrivanja.

6a.   Ovom Uredbom ne dovode se u pitanje posebne odredbe prava Unije ili nacionalnog prava kojima se predviđa pristup elektroničkim zdravstvenim podacima za daljnju obradu od strane javnih tijela država članica, institucija, tijela i agencija Unije ili privatnih subjekata kojima je na temelju prava Unije ili nacionalnog prava povjerena zadaća od javnog interesa u svrhu obavljanja takve zadaće.

6b.   Ova Uredba ne utječe na pristup elektroničkim zdravstvenim podacima za sekundarnu uporabu dogovorenu u okviru ugovornih ili administrativnih dogovora između javnih ili privatnih subjekata.

7.   Ova se Uredba ne odnosi na obradu osobnih podataka:

(a)  tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije;

(b)  koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja.

Članak 2.

Definicije

1.  Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

(a)  definicije „osobnih podataka”, „obrade”, „pseudonimizacije”, „voditelja obrade”, „izvršitelja obrade”, „treće strane”, „privole”, „genetskih podataka”, „podataka koji se odnose na zdravlje”, „međunarodne organizacije” u skladu s člankom 4. točkama 1., 2., 5., 7., 8., 10., 11., 13., 15. i 26. Uredbe (EU) 2016/679;

(b)  definicije „zdravstvene zaštite”, „države članice čijem sustavu osigurana osoba pripada”, „države članice liječenja”, „zdravstvenog stručnjaka”, „pružatelja zdravstvene zaštite”, „lijeka” i „recepta” u skladu s člankom 3. točkama (a), (c), (d), (f), (g), (i) i (k) Direktive 2011/24/EU;

(c)  definicije „podataka”, „pristupa”, „podatkovnog altruizma”, „tijela javnog sektora” i „sigurnog okruženja za obradu” u skladu s člankom 2. točkama 1., 13., 16., 17. i 20. Uredbe (EU) 2022/868;

(d)  definicije „stavljanja na raspolaganje na tržištu”, „stavljanja na tržište”, „nadzora tržišta”, „tijela za nadzor tržišta” „nesukladnosti”, „proizvođača”, „uvoznika”, „distributera”, „gospodarskog subjekta”, „korektivne mjere”, ▌„opoziva” i „povlačenja” u skladu s člankom 2. točkama 1., 2., 3., 4., 7., 8., 9., 10., 13., 16., ▌22. i 23. Uredbe (EU) 2019/1020;

(e)  definicije „medicinskog proizvoda”, „namjene”, „uputa za uporabu”, „učinkovitosti”, „zdravstvene ustanove” i „zajedničkih specifikacija” u skladu s člankom 2. točkama 1., 12., 14., 22., 36. i 71. Uredbe (EU) 2017/745;

(f)  definicije „elektroničke identifikacije”, „sredstva elektroničke identifikacije” i „osobnih identifikacijskih podataka” u skladu s člankom 3. točkama 1., 2. i 3. Uredbe (EU) br. 910/2014;

(g)   definicija „javnih naručitelja” u skladu s člankom 2. stavkom 1. točkom 1. Direktive 2014/24/EU Europskog parlamenta i Vijeća(28);

(h)   definicija „javnog zdravlja” u skladu s člankom 3. stavkom 2. točkom 3. Uredbe (EZ) br. 1338/2008 Europskog parlamenta i Vijeća(29).

2.  Za potrebe ove Uredbe, primjenjuju se i sljedeće definicije:

(a)  „osobni elektronički zdravstveni podaci” znači elektronički obrađeni podaci koji se odnose na zdravlje i genetski podaci, kako su definirani u članku 4. točkama 13. i 15. Uredbe (EU) 2016/679;

(b)  „neosobni elektronički zdravstveni podaci” znači elektronički zdravstveni podaci koji nisu osobni elektronički zdravstveni ▌podaci, što obuhvaća podatke koji su anonimizirani tako da se više ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi i podatke koji nikad nisu bili povezani s određenim ispitanikom;

(c)  „elektronički zdravstveni podaci” znači osobni ili neosobni elektronički zdravstveni podaci;

(d)  „primarna uporaba elektroničkih zdravstvenih podataka” znači obrada ▌elektroničkih zdravstvenih podataka za pružanje zdravstvene zaštite radi procjene, održavanja zdravstvenog stanja ili izlječenja pojedinca na kojeg se ti podaci odnose, uključujući propisivanje, izdavanje na recept i davanje lijekova i medicinskih proizvoda, te za pružanje relevantnih ▌socijalnih i administrativnih usluga ili usluga nadoknade troškova;

(e)  „sekundarna uporaba elektroničkih zdravstvenih podataka” znači obrada elektroničkih zdravstvenih podataka u svrhe utvrđene u poglavlju IV. ove Uredbe koje nisu prvotne svrhe za koje su bili prikupljeni ili pripremljeni;

(f)  „interoperabilnost” znači sposobnost organizacija i softverskih aplikacija ili uređaja istog ili različitih proizvođača da primjenom podržanih postupaka ostvare interakciju ▌, uključujući razmjenu informacija i znanja među tim organizacijama, softverskim aplikacijama ili uređajima, bez promjene sadržaja podataka;

▌

(h)  „registracija elektroničkih zdravstvenih podataka” znači bilježenje zdravstvenih podataka u elektroničkom formatu, ručnim unosom podataka, strojnim prikupljanjem podataka ili pretvaranjem neelektroničkih zdravstvenih podataka u elektronički format, radi obrade u sustavu elektroničkih zdravstvenih zapisa ili aplikaciji za dobrobit;

(i)  „usluga pristupa elektroničkim zdravstvenim podacima” znači internetska usluga, primjerice portal ili mobilna aplikacija, koja pojedincima koji ne djeluju u svojoj profesionalnoj ulozi omogućuje pristup vlastitim elektroničkim zdravstvenim podacima ili elektroničkim zdravstvenim podacima pojedinaca čijim su elektroničkim zdravstvenim podacima zakonski ovlašteni pristupati;

(j)  „usluga pristupa za zdravstvene stručnjake” znači usluga podržana u sustavu elektroničkih zdravstvenih zapisa koja zdravstvenim stručnjacima omogućuje pristup podacima o pojedincima za čije su liječenje nadležni;

▌

(m)  „elektronički zdravstveni zapis” znači skup elektroničkih zdravstvenih podataka o pojedincu koji su prikupljeni u zdravstvenom sustavu i obrađuju se za potrebe pružanja zdravstvene zaštite ▌;

(n)  „sustav elektroničkih zdravstvenih zapisa” znači bilo koji sustav u kojem uređaj ili softver omogućuje pohranu, posredovanje, izvoz, uvoz, pretvorbu, uređivanje ili pregledavanje osobnih elektroničkih zdravstvenih podataka koji pripadaju prioritetnim kategorijama osobnih elektroničkih zdravstvenih podataka iz članka 5. stavka 1. ove Uredbe i koji je proizvođač namijenio pružateljima zdravstvene zaštite za pružanje skrbi pacijentima ili pacijentima za pristup njihovim zdravstvenim podacima;

(na)   „stavljanje u uporabu” znači prva uporaba sustava elektroničkih zdravstvenih zapisa u Uniji u skladu s njegovom namjenom;

(nb)   „softverska komponenta” ili „komponenta” znači zasebni dio softvera koji pruža određenu funkcionalnost ili obavlja specifične funkcije ili postupke i koji može raditi neovisno ili zajedno s drugim komponentama;

(nc)   „europska komponenta interoperabilnosti za sustave elektroničkih zdravstvenih zapisa” (ili „komponenta interoperabilnosti”) znači softverska komponenta sustava elektroničkih zdravstvenih zapisa koja pruža i prima osobne elektroničke zdravstvene podatke iz članka 5. u formatu iz članka 6. ove Uredbe; Europska komponenta interoperabilnosti neovisna je o europskoj komponenti evidentiranja;

(nd)   „europska komponenta evidentiranja za sustave elektroničkih zdravstvenih zapisa” (ili „komponenta evidentiranja”) znači softverska komponenta sustava elektroničkih zdravstvenih zapisa koja pruža evidencijske informacije o pristupu zdravstvenih stručnjaka ili drugih pojedinaca osobnim elektroničkim zdravstvenim podacima iz članka 5. u formatu definiranom u Prilogu II.3.4. ovoj Uredbi; Europska komponenta evidentiranja neovisna je o europskoj komponenti interoperabilnosti;

(p)  „oznaka sukladnosti CE” znači oznaka kojom proizvođač označuje da je sustav elektroničkih zdravstvenih zapisa usklađen s primjenjivim zahtjevima utvrđenima u ovoj Uredbi i drugom primjenjivom zakonodavstvu Unije kojim se predviđa njezino stavljanje, u skladu s Uredbom (EZ) br. br. 765/2008 Europskog parlamenta i Vijeća(30);

(pa)   „rizik” znači kombinacija stupnja ozbiljnosti štete i vjerojatnosti pojave opasnosti koja može dovesti do štete za zdravlje, sigurnost ili informacijsku sigurnost;

(q)  „ozbiljan incident” znači svaka nepravilnost ili pogoršanje značajki ili učinkovitosti sustava elektroničkih zdravstvenih zapisa stavljenog na raspolaganje na tržištu koji izravno ili neizravno dovode, mogli su dovesti ili bi mogli dovesti do jednog od sljedećeg:

i.  smrti pojedinca ili ozbiljne štete za zdravlje ili prava pojedinca ili teške štete za prava pojedinca;

ii.  ozbiljnog poremećaja u upravljanju kritičnom infrastrukturom u zdravstvenom sektoru i njezinu radu;

(xa)   „skrb” znači stručna usluga čija je svrha odgovoriti na posebne potrebe osobe kojoj je zbog oštećenja ili drugih tjelesnih ili mentalnih stanja potrebna pomoć, uključujući mjere prevencije i mjere potpore, u obavljanju osnovnih aktivnosti svakodnevnog života radi potpore njezinoj osobnoj autonomiji;

(y)  „vlasnik zdravstvenih podataka” znači bilo koja fizička ili pravna osoba, javno tijelo, agencija ili drugo tijelo u sektoru zdravstvene zaštite ili sektoru skrbi; uključujući, prema potrebi, usluge nadoknade troškova, kao i sve fizičke ili pravne osobe koje razvijaju proizvode ili usluge namijenjene zdravstvenom sektoru, sektoru zdravstvene zaštite ili sektoru skrbi; razvijaju ili proizvode aplikacije za dobrobit; vrše istraživanja povezana sa sektorom zdravstvene zaštite ili sektorom skrbi; ili koje djeluju kao registri umrlih; kao i bilo koja institucija, tijelo, ured ili agencija Unije; koja ima ili:

(a)   pravo ili obvezu, u skladu s primjenjivim ▌pravom Unije ili nacionalnim zakonodavstvom, obrađivati osobne elektroničke zdravstvene podatke radi pružanja zdravstvene zaštite ili skrbi ili u svrhu javnog zdravlja, nadoknade troškova, istraživanja, inovacija, oblikovanja politika, službene statistike, sigurnosti pacijenata ili u regulatorne svrhe, u svojstvu voditelja obrade ili zajedničkog voditelja obrade; ili

(b)   na temelju upravljanja tehničkim dizajnom proizvoda i povezanim uslugama, mogućnost staviti na raspolaganje neosobne elektroničke zdravstvene podatke, među ostalim registrirati ih, pružiti, razmijeniti ili ograničiti im pristup.

(z)  „korisnik zdravstvenih podataka” znači fizička ili pravna osoba, uključujući institucije, tijela ili agencije Unije, kojoj je odobren zakonit pristup ▌elektroničkim zdravstvenim podacima za sekundarnu uporabu na temelju dozvole za podatke, zahtjeva za podatke ili odobrenja za pristup od strane ovlaštenog sudionika u infrastrukturi Zdravstveni podaci@EU (HealthData@EU);

(aa)  „dozvola za podatke” znači administrativna odluka koju tijelo za pristup zdravstvenim podacima ▌izdaje korisniku zdravstvenih podataka radi obrade određenih elektroničkih zdravstvenih podataka navedenih u dozvoli za podatke u svrhe specifične sekundarne uporabe ▌na temelju uvjeta utvrđenih u Poglavlju IV. ove Uredbe;

(ab)  „skup podataka” znači strukturirana zbirka elektroničkih zdravstvenih podataka;

(aba)   „skupovi podataka s velikim učinkom za sekundarnu uporabu elektroničkih zdravstvenih podataka” znači skupovi podataka čija je ponovna uporaba vrlo korisna zbog njihove važnosti za zdravstvena istraživanja;

(ac)  „katalog skupova podataka” znači sustavno organizirana zbirka opisa skupova podataka koja se sastoji od javnog dijela namijenjenog korisnicima, u kojem se putem internetskog portala može pristupiti informacijama o pojedinačnim parametrima skupa podataka;

(ad)  „kvaliteta podataka” znači mjera u kojoj su elementi elektroničkih zdravstvenih podataka primjereni za njihovu namijenjenu primarnu i sekundarnu uporabu;

(ae)  „oznaka kvalitete i korisnosti podataka” znači grafički dijagram, uključujući mjerilo, koji opisuje kvalitetu podataka i uvjete za uporabu skupa podataka;

(aea)   „aplikacija za dobrobit” znači bilo koji uređaj ili softver koji je proizvođač namijenio fizičkim osobama za obradu elektroničkih zdravstvenih podataka, a konkretno radi pružanja informacija o zdravlju pojedinaca ili radi pružanja skrbi u druge svrhe osim pružanja zdravstvene zaštite.

POGLAVLJE II.

Primarna uporaba elektroničkih zdravstvenih podataka

Odjeljak 1.

Prava pojedinaca u pogledu primarne uporabe njihovih osobnih elektroničkih zdravstvenih podataka

Članak 3.

[Prava pojedinaca u pogledu primarne uporabe njihovih osobnih elektroničkih zdravstvenih podataka]

▌

Komisija provedbenim aktima određuje zahtjeve za tehničko ostvarivanje prava utvrđenih ovim odjeljkom.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

▌

Članak 5.

Prioritetne kategorije osobnih elektroničkih zdravstvenih podataka za primarnu uporabu

1.  Za potrebe ovog poglavlja, ako se podaci obrađuju u elektroničkom obliku, prioritetne kategorije osobnih elektroničkih zdravstvenih podataka su sljedeće ▌:

(a)  sažeci medicinskih podataka o pacijentu;

(b)  elektronički recepti;

(c)  elektroničko izdavanje lijeka;

(d)  medicinsko snimanje i odgovarajući nalazi;

(e)  rezultati medicinskih pretraga, uključujući laboratorijske i druge dijagnostičke rezultate, i odgovarajući nalazi;

(f)  otpusna pisma.

Glavne značajke prioritetnih kategorija osobnih elektroničkih zdravstvenih podataka ▌ utvrđene su u Prilogu I.

Države članice mogu na temelju nacionalnog prava predvidjeti da se u skladu s ovim Poglavljem za primarnu uporabu može pristupiti dodatnim kategorijama osobnih elektroničkih zdravstvenih podataka i razmjenjivati ih. Komisija može provedbenim aktima utvrditi prekogranične specifikacije za te kategorije podataka u skladu s člankom 6. stavkom 2.ab i člankom 12. stavkom 8.

2.  Komisija je ovlaštena za donošenje delegiranih akata na temelju članka 67. radi izmjene ▌Priloga I. na način da se dodaju, izmijene ili uklone glavne značajke prioritetnih kategorija osobnih elektroničkih zdravstvenih podataka iz stavka 1. Izmjene moraju zadovoljavati sljedeće kumulativne kriterije:

(a)  značajka je relevantna za zdravstvenu zaštitu koja se pruža pojedincima;

(b)  značajka, kako je izmijenjena, primjenjuje se u većini država članica prema najnovijim informacijama;

(c)  cilj je izmjena prilagoditi prioritetne kategorije tehničkom razvoju i međunarodnim normama.

Članak 6.

Europski format za razmjenu elektroničkih zdravstvenih zapisa

1.  Komisija provedbenim aktima utvrđuje tehničke specifikacije za prioritetne kategorije osobnih elektroničkih zdravstvenih podataka iz članka 5. stavka 1., kojima se određuje europski format za razmjenu elektroničkih zdravstvenih zapisa. Taj format mora biti uobičajen i strojno čitljiv te omogućavati prijenos osobnih elektroničkih zdravstvenih podataka među softverskim aplikacijama, uređajima i pružateljima zdravstvene zaštite. Format bi trebao podržavati prijenos strukturiranih i nestrukturiranih zdravstvenih podataka. Taj format obuhvaća sljedeće elemente:

(a)  usklađene skupove podataka koji sadržavaju elektroničke zdravstvene podatke i kojima se definiraju strukture, kao što su podatkovna polja i skupine podataka za prikaz kliničkog sadržaja i drugih dijelova elektroničkih zdravstvenih podataka;

(b)  sustave i vrijednosti kodiranja koji će se primjenjivati u skupovima podataka koji sadržavaju elektroničke zdravstvene podatke;

(c)  tehničke specifikacije u pogledu interoperabilnosti za razmjenu elektroničkih zdravstvenih podataka, uključujući prikaz sadržaja, norme i profile.

2.  Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2. ▌

2a.  Komisija provedbenim aktima redovito ažurira europski format za razmjenu elektroničkih zdravstvenih zapisa kako bi se uključile relevantne revizije zdravstvenih sustava i nomenklatura.

2ab.   Komisija može provedbenim aktima utvrditi tehničke specifikacije kojima se europski format za razmjenu elektroničkih zdravstvenih zapisa proširuje na dodatne kategorije elektroničkih zdravstvenih podataka iz članka 5. stavka 1. podstavka 3. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

3.  Države članice osiguravaju da se prioritetne kategorije osobnih elektroničkih zdravstvenih podataka iz članka 5. izdaju u europskom formatu za razmjenu elektroničkih zdravstvenih zapisa iz stavka 1. Ako se takvi podaci automatski prenose za primarnu uporabu, primatelj prihvaća format podataka i može ga pročitati.

Članak 7.

Registracija osobnih elektroničkih zdravstvenih podataka

1.  Ako se elektronički zdravstveni podaci obrađuju u elektroničkom formatu radi pružanja zdravstvene zaštite, pružatelji zdravstvene zaštite registriraju barem relevantne osobne zdravstvene podatke koji u potpunosti ili djelomično pripadaju prioritetnim kategorijama iz članka 5. u elektroničkom obliku u sustavu elektroničkih zdravstvenih zapisa.

1a.   Ako obrađuju podatke u elektroničkom obliku, pružatelji zdravstvene zaštite osiguravaju da su osobni elektronički zdravstveni podaci pojedinaca koje liječe ažurirani informacijama o pruženim zdravstvenim uslugama.

2.  Ako se osobni elektronički zdravstveni podaci ▌registriraju u državi članici liječenja čijem sustavu osigurana osoba ne pripada, država članica liječenja osigurava da se registracija izvrši pod osobnim identifikacijskim podacima tog pojedinca u državi članici čijem sustavu osigurana osoba pripada.

3.  Komisija provedbenim aktima utvrđuje zahtjeve u pogledu kvalitete podataka, uključujući semantiku, ujednačenost, dosljednost registracije podataka, točnost i potpunost, za registraciju osobnih elektroničkih zdravstvenih podataka u sustavu elektroničkih zdravstvenih zapisa, ovisno o slučaju. ▌

▌

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

Kada se zdravstveni podaci registriraju ili ažuriraju, u elektroničkim zdravstvenim zapisima navodi se zdravstveni stručnjak, pružatelj usluga i pružatelj zdravstvene zaštite koji je proveo registraciju ili ažuriranje. Države članice mogu predvidjeti evidentiranje drugih aspekata upisa podataka.

Članak 8.a

Pravo pojedinaca na pristup vlastitim osobnim elektroničkim zdravstvenim podacima

1.   Pojedinci imaju pravo pristupa svojim osobnim elektroničkim zdravstvenim podacima, barem podacima koji pripadaju prioritetnim kategorijama iz članka 5., koji se obrađuju radi pružanja zdravstvene zaštite putem usluga pristupa elektroničkim zdravstvenim podacima iz članka 8.aa. Pristup se omogućuje odmah nakon što su osobni elektronički zdravstveni podaci registrirani u sustavu elektroničkih zdravstvenih zapisa, uz poštovanje tehnološke praktičnosti, besplatno i u lako čitljivom, konsolidiranom i pristupačnom obliku.

2.   Pojedinci ili njihovi predstavnici iz članka 8.aa stavka 2. imaju pravo besplatno preuzeti elektroničku kopiju barem svojih osobnih elektroničkih zdravstvenih podataka iz prioritetnih kategorija iz članka 5. putem usluga pristupa elektroničkim zdravstvenim podacima iz članka 8.aa u europskom formatu za razmjenu elektroničkih zdravstvenih zapisa iz članka 6.

3.   U skladu s člankom 23. Uredbe (EU) 2016/679 države članice mogu ograničiti opseg prava iz stavaka 1. i 2., osobito kad god je to potrebno za zaštitu pojedinca na temelju sigurnosti pacijenta i etike odgađanjem njihova pristupa vlastitim osobnim elektroničkim zdravstvenim podacima na ograničeno vrijeme dok zdravstveni stručnjak ne bude u mogućnosti pojedincu na odgovarajući način prenijeti i objasniti informacije koje mogu znatno utjecati na njegovo zdravlje.

Članak 8.aa

Usluge pristupa elektroničkim zdravstvenim podacima za pojedince i njihove predstavnike

1.   Države članice osiguravaju uspostavu jedne ili više usluga pristupa elektroničkim zdravstvenim podacima na nacionalnoj, regionalnoj ili lokalnoj razini kojima se pojedincima omogućuje pristup njihovim osobnim elektroničkim zdravstvenim podacima i ostvarivanje prava iz članaka od 8.a do 8.f i članka 8.h. Takve usluge pristupa besplatne su za pojedince i njihove predstavnike.

2.   Države članice osiguravaju da se jedna ili više usluga davanja punomoći uspostave kao funkcionalnost usluga pristupa zdravstvenim podacima koja omogućuje:

(a)   pojedincima da ovlašćuju druge pojedince po vlastitom izboru za pristup njihovim osobnim elektroničkim zdravstvenim podacima ili njihovim dijelovima u njihovo ime na određeno ili neodređeno vrijeme i, prema potrebi, samo u određenu svrhu, te da upravljaju tim odobrenjima; te

(b)   pravnim zastupnicima pacijenata pristup elektroničkim zdravstvenim podacima pojedinaca čije poslove obavljaju, u skladu s nacionalnim pravom.

Države članice utvrđuju pravila o takvim ovlaštenjima, postupcima skrbnika i zastupnicima.

2aa.  Usluge davanja punomoći omogućavaju dodjeljivanje ovlasti na transparentan i lako razumljiv način, bez naknade, u elektroničkom ili papirnatom obliku. Pojedinci i oni koji djeluju u njihovo ime obavješćuju se o pravima koja imaju na temelju dodjeljivanja ovlasti, kako ih ostvariti i što mogu očekivati od postupka dodjeljivanja ovlasti.

Usluge davanja punomoći osiguravaju jednostavan mehanizam za podnošenje pritužbi za pojedince.

2ab.  Usluge davanja punomoći moraju biti interoperabilne među državama članicama. Komisija provedbenim aktima utvrđuje tehničke specifikacije kako bi se osigurala interoperabilnost usluga davanja punomoći država članica. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

2b.  Usluge pristupa elektroničkim zdravstvenim podacima i usluge davanja punomoći moraju biti lako dostupne osobama s invaliditetom, ranjivim skupinama ili osobama s niskom razinom digitalne pismenosti.

Članak 8.b

Pravo fizičkih osoba na unos informacija u vlastiti elektronički zdravstveni zapis

Pojedinci ili njihovi predstavnici iz članka 8.aa stavka 2. imaju pravo unijeti informacije u vlastiti elektronički zdravstveni zapis putem usluga pristupa elektroničkim zdravstvenim podacima ili aplikacija povezanih s tim uslugama kako je navedeno u članku 8.aa. Za takve će podatke biti jasno naznačeno da li ih je unio pojedinac ili njegov zastupnik. Pojedinci nemaju mogućnost izravno mijenjati elektroničke zdravstvene podatke i povezane informacije koje su unijeli zdravstveni stručnjaci.

Članak 8.c

Pravo pojedinca na ispravak

Usluge elektroničkih zdravstvenih podataka iz članka 8.aa omogućuju pojedincima da jednostavno zatraže ispravak svojih osobnih podataka na internetu kako bi ostvarili svoje pravo na ispravak na temelju članka 16. Uredbe (EU) 2016/679. Prema potrebi, voditelj obrade podataka potvrđuje točnost informacija navedenih u zahtjevu kod relevantnog zdravstvenog stručnjaka.

Pravom država članica pojedincima se u skladu s poglavljem III. Uredbe (EU) 2016/679 može omogućiti i ostvarivanje drugih prava na internetu putem usluga pristupa elektroničkim zdravstvenim podacima iz članka 8.aaa.

Članak 8.d

Pravo pojedinaca na prenosivost podataka

1.   Pojedinci imaju pravo omogućiti pristup pružatelju zdravstvene zaštite da prenese sve ili dio njihovih elektroničkih zdravstvenih podataka drugom pružatelju zdravstvene zaštite po njihovu izboru, i to odmah i bez naknade, a da ih u tome ne ometa pružatelj zdravstvene zaštite ili proizvođači sustavâ koje taj pružatelj zdravstvene zaštite upotrebljava.

2.  Pojedinci imaju pravo da se, ako se pružatelji zdravstvene zaštite nalaze u različitim državama članicama, elektronički zdravstveni podaci prenose u europskom formatu za razmjenu elektroničkih zdravstvenih zapisa iz članka 6. putem prekogranične infrastrukture iz članka 12. Pružatelj zdravstvene zaštite koji je primatelj prihvaća te podatke i mora ih moći pročitati.

3.  Pojedinci imaju pravo zatražiti od pružatelja zdravstvene zaštite da dio svojih elektroničkih zdravstvenih podataka prenese jasno identificiranom primatelju u sektoru usluga socijalne sigurnosti ili nadoknade troškova, odmah, besplatno i bez ometanja od strane pružatelja zdravstvene zaštite ili proizvođača sustavâ kojima se taj pružatelj zdravstvene zaštite koristi. Takav prijenos je isključivo jednosmjeran.

4.  Ako su pojedinci primili elektroničku kopiju svojih prioritetnih kategorija osobnih elektroničkih zdravstvenih podataka iz članka 3. stavka 2., moraju moći prenijeti te podatke pružateljima zdravstvene zaštite po vlastitom izboru u europskom formatu za razmjenu elektroničkih zdravstvenih zapisa iz članka 6. Pružatelj koji prima podatke prihvaća te podatke i prema potrebi ih može pročitati.

Članak 8.e

Pravo na ograničavanje pristupa

Pojedinci imaju pravo ograničiti pristup zdravstvenih stručnjaka i pružatelja zdravstvene zaštite svim svojim elektroničkim zdravstvenim podacima iz članka 8.a ili njihovu dijelu.

Pri korištenju tog prava pojedince se obavješćuju da ograničavanje pristupa može utjecati na pružanje zdravstvene zaštite koja im se pruža.

Činjenica da je pojedinac uveo ograničenje nije vidljiva pružateljima zdravstvene zaštite.

Države članice utvrđuju pravila i posebne zaštitne mjere u pogledu takvih mehanizama ograničavanja.

Članak 8.f

Pravo na dobivanje informacija o pristupu podacima

Pojedinci imaju pravo dobiti informacije, među ostalim automatskim obavijestima, o svakom pristupu svojim osobnim elektroničkim zdravstvenim podacima putem usluge pristupa zdravstvenim stručnjacima u kontekstu zdravstvene zaštite, uključujući pristup osiguran u skladu s člankom 4. stavkom 4.

Te se informacije pružaju bez odgode i bez naknade u okviru usluga pristupa elektroničkim zdravstvenim podacima te moraju biti dostupne najmanje tri godine nakon svakog pristupa podacima. Informacije uključuju barem sljedeće elemente:

(a)  pružatelja zdravstvene zaštite ili druge osobe koje su pristupile osobnim elektroničkim zdravstvenim podacima;

(b)  datum i vrijeme pristupa;

(c)  osobne elektroničke zdravstvene podatke kojima je pristupljeno.

Države članice mogu predvidjeti ograničenja tog prava u iznimnim okolnostima ako postoje činjenične naznake da bi se otkrivanjem ugrozili vitalni interesi ili prava zdravstvenog stručnjaka ili skrb pojedinca.

Članak 8.h

Pravo pojedinca da ne sudjeluje u primarnoj uporabi

1.   Zakonima država članica može se predvidjeti da pojedinci imaju pravo izuzeti se od pristupa svojim osobnim elektroničkim zdravstvenim podacima registriranima u sustavu elektroničkih zdravstvenih zapisa putem usluga pristupa elektroničkim zdravstvenim podacima iz članaka 8.aa i -9.b. U takvim slučajevima države članice trebale bi osigurati reverzibilnost ostvarivanja tog prava.

Ako država članica osigurava to pravo, ona utvrđuje pravila i posebne zaštitne mjere u pogledu takvih mehanizama za ulaganje prigovora. Konkretno, države članice mogu pružatelju zdravstvene zaštite ili zdravstvenom stručnjaku omogućiti pristup osobnim elektroničkim zdravstvenim podacima u slučajevima u kojima je obrada nužna kako bi se zaštitili životno važni interesi ispitanika ili drugog pojedinca kako je navedeno u članku 9. stavku 2. točki (c) Uredbe (EU) 2016/679, čak i ako je pacijent iskoristio pravo na izuzeće od primarne uporabe.

Članak -9.a

Pristup zdravstvenih stručnjaka osobnim elektroničkim zdravstvenim podacima

1.   Ako obrađuju podatke u elektroničkom obliku, zdravstveni stručnjaci imaju pristup relevantnim i potrebnim osobnim elektroničkim zdravstvenim podacima pojedinaca koje liječe putem usluga pristupa za zdravstvene stručnjake iz članka -9.b, neovisno o državi članici čijem sustavu osigurana osoba pripada i državi članici liječenja.

1a.  Ako se države članice čijem sustavu osigurana osoba kojoj liječenje pripada i države članice liječenja razlikuju, prekogranični pristup elektroničkim zdravstvenim podacima pojedinca koji se liječi osigurava se putem infrastrukture iz članka 12.

2.  Pristup iz stavaka 1. i 1.a uključuje barem prioritetne kategorije iz članka 5.

U skladu s načelima iz članka 5. Uredbe (EU) 2016/679 države članice također utvrđuju pravila o kategorijama osobnih elektroničkih zdravstvenih podataka za koje je omogućen pristup različitim kategorijama zdravstvenih stručnjaka ili za potrebe različitih zadaća u području zdravstvene skrbi.

Takva pravila uzimaju u obzir mogućnost uvođenja ograničenja u skladu s člankom 8.e.

2a.  U slučaju liječenja u državi članici koja nije država članica čijem sustavu osigurana osoba pripada, primjenjuju se pravila iz stavaka 1.a i 2. države članice liječenja.

3.  Ako je pojedinac ograničio pristup elektroničkim zdravstvenim podacima u skladu s člankom 8.e stavkom 1., pružatelje zdravstvene zaštite ili zdravstvene stručnjake ne obavješćuje se o ograničenom sadržaju elektroničkih zdravstvenih podataka.

Ako je obrada nužna za zaštitu životno važnih interesa ispitanika, pružatelj zdravstvene zaštite ili zdravstveni stručnjak može ostvariti pristup ograničenim elektroničkim zdravstvenim podacima.

Takvi se događaji evidentiraju u jasnom i razumljivom obliku i moraju biti lako dostupni ispitaniku.

Pravom država članica mogu se predvidjeti dodatne zaštitne mjere.

Članak -9.b

Usluge pristupa za zdravstvene stručnjake

Kad je riječ o pružanju zdravstvene zaštite države članice osiguravaju da je zdravstvenim stručnjacima u okviru usluga pristupa za zdravstvene stručnjake omogućen pristup prioritetnim kategorijama elektroničkih zdravstvenih podataka iz članka 5., među ostalim i za prekograničnu skrb.

Te su usluge dostupne samo zdravstvenim stručnjacima koji posjeduju sredstva elektroničke identifikacije priznata u skladu s člankom 6. Uredbe (EU) br. 910/2014 ili druga sredstva elektroničke identifikacije u skladu sa zajedničkim specifikacijama iz članka 23., a pristup je besplatan.

Elektronički zdravstveni podaci u elektroničkim zdravstvenim zapisima prikazani su na način prilagođen korisnicima kako bi ih zdravstveni stručnjaci mogli lako upotrebljavati.

Članak 9.

Upravljanje identifikacijom

1.  Ako pojedinac koristi ▌usluge pristupa osobnim zdravstvenim podacima iz članka 8.aa, taj pojedinac ima pravo identificirati se elektroničkim putem bilo kojim sredstvom elektroničke identifikacije koje je priznato u skladu s člankom 6. Uredbe (EU) br. 910/2014. Države članice mogu osigurati dodatne mehanizme kako bi osigurale odgovarajuće potvrđivanje identiteta u prekograničnim situacijama.

2.  Komisija provedbenim aktima određuje zahtjeve za interoperabilni prekogranični mehanizam identifikacije i autentifikacije za pojedince i zdravstvene stručnjake u skladu s Uredbom (EU) br. 910/2014. Taj mehanizam olakšava prenosivost osobnih elektroničkih zdravstvenih podataka u prekograničnom kontekstu. Ti se provedbeni akti donose u skladu s ▌postupkom ispitivanja iz članka 68. stavka 2.

3.  Komisija, u suradnji s državama članicama, uvodi usluge potrebne za interoperabilni prekogranični mehanizam identifikacije i autentifikacije iz stavka 2. ovog članka na razini Unije, u okviru prekogranične infrastrukture za digitalno zdravstvo iz članka 12. stavka 3.

4.  Nadležna tijela država članica i Komisija ▌provode prekogranični mehanizam identifikacije i autentifikacije na razini ▌država članica odnosno Unije.

Članak 9.a

Naknada za stavljanje osobnih elektroničkih zdravstvenih podataka na raspolaganje

Pružatelj usluga primatelj nije dužan pružatelju zdravstvene zaštite isplatiti naknadu za stavljanje elektroničkih zdravstvenih podataka na raspolaganje. Pružatelj zdravstvene zaštite ili treća strana ne smiju izravno ili neizravno naplaćivati ispitanicima naknadu, kompenzaciju ili troškove za dijeljenje podataka ili pristup podacima.

Odjeljak 1.a

Članak 10.

Tijelo nadležno za digitalno zdravstvo

1.  Svaka država članica imenuje jedno ili više tijela nadležnih za digitalno zdravstvo koja su odgovorna za provedbu i izvršenje ovog poglavlja na nacionalnoj razini. Države članice obavješćuju Komisiju o identitetu tijela nadležnih za digitalno zdravstvo do datuma početka primjene ove Uredbe. Ako je država članica imenovala više od jednog tijela nadležnog za digitalno zdravstvo i ako se tijelo nadležno za digitalno zdravstvo sastoji od više organizacija, država članica dostavlja Komisiji opis podjele zadaća između tih različitih subjekata. Komisija objavljuje te podatke. Ako država članica imenuje nekoliko tijela nadležnih za digitalno zdravstvo, ona imenuje jedno tijelo kao koordinatora.

2.  Svakom tijelu nadležnom za digitalno zdravstvo povjeravaju se sljedeće zadaće i ovlasti:

(a)  osigurati provedbu prava i obveza predviđenih poglavljima II. i III. donošenjem potrebnih nacionalnih, regionalnih ili lokalnih tehničkih rješenja i utvrđivanjem relevantnih pravila i mehanizama;

(b)  pobrinuti se da se pojedincima, zdravstvenim stručnjacima i pružateljima zdravstvene zaštite stave na raspolaganje potpune i ažurirane informacije o provedbi prava i obveza predviđenih poglavljima II. i III.;

(c)  pri provedbi tehničkih rješenja iz točke (a) osigurati njihovu sukladnost s poglavljima II. i III. i Prilogom II.

(d)  na razini Unije pridonositi razvoju tehničkih rješenja koja pojedincima i zdravstvenim stručnjacima omogućuju ostvarivanje prava i izvršavanje obveza utvrđenih u ovom poglavlju;

(e)  osobama s invaliditetom olakšati ostvarivanje prava navedenih u članku 3. ove Uredbe u skladu s Direktivom (EU) 2019/882 Europskog parlamenta i Vijeća(31);

(f)  nadzirati nacionalne kontaktne točke za digitalno zdravstvo i surađivati s ostalim tijelima nadležnima za digitalno zdravstvo i Komisijom na daljnjem razvoju infrastrukture Moje zdravlje@EU (MyHealth@EU);

(g)  osigurati primjenu europskog formata za razmjenu elektroničkih zdravstvenih zapisa na nacionalnoj razini u suradnji s nacionalnim tijelima i dionicima;

(h)  na razini Unije pridonositi razvoju europskog formata za razmjenu elektroničkih zdravstvenih zapisa i razradi zajedničkih specifikacija povezanih s pitanjima kvalitete, interoperabilnosti, zaštite, sigurnosti, lakoće korištenja, pristupačnosti, nedeskriminacije ili temeljnih prava u skladu s člankom 23. te specifikacija baze podataka EU-a za sustave elektroničkih zdravstvenih zapisa i aplikacija za dobrobit iz članka 32.;

(i)  prema potrebi provoditi aktivnosti nadzora tržišta u skladu s člankom 28., izbjegavajući pritom sukobe interesa;

(j)  izgraditi nacionalne kapacitete za omogućavanje interoperabilnosti i sigurnosti primarne uporabe elektroničkih zdravstvenih podataka te sudjelovati u razmjeni informacija i aktivnostima izgradnje kapaciteta na razini Unije;

▌

(l)  surađivati s tijelima za nadzor tržišta, sudjelovati u aktivnostima upravljanja rizicima povezanima sa sustavima elektroničkih zdravstvenih zapisa i rješavanja ozbiljnih incidenata te nadzirati provedbu korektivnih mjera u skladu s člankom 29.;

(m)  surađivati s drugim relevantnim subjektima i tijelima na lokalnoj, regionalnoj i nacionalnoj razini ili razini Unije kako bi se osigurale interoperabilnost, prenosivost podataka i sigurnost elektroničkih zdravstvenih podataka ▌;

(n)  surađivati s nadzornim tijelima u skladu s Uredbom (EU) 910/2014, Uredbom (EU) 2016/679 i Direktivom (EU) 2022/2555 i s drugim relevantnim tijelima, među ostalim s tijelima nadležnima za kibersigurnost i elektroničku identifikaciju ▌.

▌

4.  Svaka država članica osigurava da svako tijelo nadležno za digitalno zdravstvo ima ljudske, tehničke i financijske resurse, prostorije i infrastrukturu potrebne za djelotvorno obavljanje svojih zadaća i izvršavanje svojih ovlasti.

5.  Pri obavljanju svojih zadaća tijelo nadležno za digitalno zdravstvo mora izbjegavati sukobe interesa. Osoblje tijela nadležnog za digitalno zdravstvo djeluje u javnom interesu i neovisno.

5a.   Pri obavljanju svojih zadaća tijela nadležna za digitalno zdravstvo aktivno surađuju i savjetuju se s predstavnicima relevantnih dionika, uključujući predstavnike pacijenata, pružatelje zdravstvene zaštite i predstavnike zdravstvenih stručnjaka, uključujući udruge zdravstvenih stručnjaka, organizacije potrošača i strukovna udruženja.

Članak 10.a

Izvješćivanje tijela nadležnog za digitalno zdravstvo

1.  Tijelo nadležno za digitalno zdravstvo svake dvije godine objavljuje godišnje izvješće o radu koje sadržava sveobuhvatan pregled njegovih aktivnosti. Ako država članica imenuje više tijela nadležnih za digitalno zdravstvo, jedno od njih je odgovorno za izvješće i zahtijeva potrebne informacije od drugih tijela nadležnih za digitalno zdravstvo. Dvogodišnje izvješće o radu ima strukturu dogovorenu na razini Unije u okviru Odbora za europski prostor za zdravstvene podatke ▌. Izvješće sadržava barem sljedeće informacije:

(a)  mjere poduzete radi provedbe ove Uredbe;

(b)  postotak pojedinaca koji imaju pristup različitim kategorijama podataka u svojim elektroničkim zdravstvenim zapisima;

(c)  informacije o obradi zahtjeva pojedinaca za ostvarivanje njihovih prava u skladu s ovom Uredbom;

(d)  broj pružatelja zdravstvene zaštite različitih vrsta, uključujući ljekarne, bolnice i druga mjesta skrbi, koji su povezani s infrastrukturom Moje zdravlje@EU (MyHealth@EU) izračunan:

a)  u apsolutnim vrijednostima;

b)  kao udio svih pružatelja zdravstvene zaštite iste vrste; te

(c)  kao udio pojedinaca koji mogu koristiti usluge;

(e)  u količinama elektroničkih zdravstvenih podataka različitih kategorija koji se u okviru infrastrukture Moje zdravlje@EU (MyHealth@EU) razmjenjuju preko granica;

▌

(f)  u broju slučajeva nesukladnosti s obveznim zahtjevima.

▌

Članak 11.

Pravo na podnošenje pritužbe tijelu nadležnom za digitalno zdravstvo

1.  Ne dovodeći u pitanje druga upravna ili sudska pravna sredstva, pojedinci i pravne osobe imaju pravo podnijeti pritužbu tijelu nadležnom za digitalno zdravstvo, pojedinačno ili prema potrebi kolektivno, u vezi s odredbama iz ovog poglavlja. Ako se pritužba odnosi na prava pojedinaca u skladu s člancima od 8.a do 8.f i člankom 8.h ove Uredbe, tijelo nadležno za digitalno zdravstvo prosljeđuje pritužbu nadležnim nadzornim tijelima u skladu s Uredbom (EU) 2016/679. Tijelo nadležno za digitalno zdravstvo dostavlja potrebne informacije koje su mu na raspolaganju u skladu s Uredbom (EU) 2016/679 kako bi se olakšala njegova procjena i istraga.

2.  Tijelo nadležno za digitalno zdravstvo kojem je podnesena pritužba obavješćuje podnositelja pritužbe, u skladu s nacionalnim pravom, o tijeku postupka i donesenoj odluci, uključujući prema potrebi da je pritužba upućena relevantnom nadzornom tijelu u skladu s Uredbom (EU) 2016/679 i da će nadzorno tijelo od tog trenutka biti jedina kontaktna točka za podnositelja pritužbe u tom predmetu.

3.  Tijela nadležna za digitalno zdravstvo u različitim državama članicama surađuju kako bi bez nepotrebne odgode obradila i riješila pritužbe povezane s prekograničnom razmjenom osobnih elektroničkih zdravstvenih podataka i pristupom njima, među ostalim razmjenom svih relevantnih informacija elektroničkim putem.

3a.   Svako tijelo nadležno za digitalno zdravstvo olakšava podnošenje pritužbi.

Članak 11.a

Odnos s nadzornim tijelima za zaštitu podataka

Nadzorno tijelo ili tijela odgovorna za praćenje i provedbu Uredbe (EU) 2016/679 nadležna su i za praćenje i provedbu primjene članaka od 8.a do 8.f i članka 8.h. Relevantne odredbe Uredbe (EU) 2016/679 primjenjuju se mutatis mutandis. Nadležna su za izricanje upravnih novčanih kazni do iznosa iz članka 83. stavka 5. te uredbe. Ta nadzorna tijela i tijela nadležna za digitalno zdravstvo iz članka 10. ove Uredbe dužna su prema potrebi surađivati na provedbi ove Uredbe u okviru svojih nadležnosti.

Odjeljak 2.

Prekogranična infrastruktura za primarnu uporabu osobnih elektroničkih zdravstvenih podataka

Članak 12.

Moje zdravlje@EU (MyHealth@EU)

1.  Komisija uspostavlja središnju platformu za interoperabilnost za digitalno zdravstvo Moje zdravlje@EU (MyHealth@EU) radi pružanja usluga kojima se podupire i olakšava razmjena osobnih elektroničkih zdravstvenih podataka među nacionalnim kontaktnim točkama za digitalno zdravstvo država članica.

2.  Svaka država članica imenuje jednu nacionalnu kontaktnu točku za digitalno zdravstvo kao organizacijski i tehnički pristupnik za pružanje usluga povezanih s prekograničnom razmjenom osobnih elektroničkih zdravstvenih podataka u kontekstu primarne uporabe. Nacionalna kontaktna točka povezuje se sa svim ostalim nacionalnim kontaktnim točkama za digitalno zdravstvo i sa središnjom platformom za interoperabilnost za digitalno zdravstvo u prekograničnoj infrastrukturi Moje zdravlje@EU (MyHealth@EU). Ako je imenovana nacionalna kontaktna točka subjekt koji se sastoji od više organizacija odgovornih za pružanje različitih usluga, država članica dostavlja Komisiji opis podjele zadaća među tim organizacijama. ▌Svaka država članica obavješćuje Komisiju o identitetu nacionalne kontaktne točke do [datum početka primjene ove Uredbe]. Takva se kontaktna točka može uspostaviti u okviru tijela nadležnog za digitalno zdravstvo koje je osnovano člankom 10. ove Uredbe. Države članice Komisiju obavješćuju i o svim naknadnim izmjenama identiteta tih kontaktnih točki. Komisija i države članice objavljuju te podatke.

3.  Svaka nacionalna kontaktna točka za digitalno zdravstvo omogućuje razmjenu osobnih elektroničkih zdravstvenih podataka iz članka 5. stavka 1. s ▌nacionalnim kontaktnim točkama u drugim državama članicama putem Moje zdravlje@EU (MyHealth@EU). Razmjena se temelji na europskom formatu za razmjenu elektroničkih zdravstvenih zapisa. Ako države članice dopuste dodatne kategorije, nacionalna kontaktna točka za digitalno zdravstvo omogućuje razmjenu dodatnih kategorija elektroničkih zdravstvenih podataka iz članka 5. stavka 1. točke (a) u mjeri u kojoj je pravom države članice predviđeno da se tim dodatnim kategorijama osobnog elektroničkog zdravstva pristupa i da ih se razmjenjuje, u skladu s člankom 5. stavkom 1. točkom (a).

4.  Komisija provedbenim aktima donosi potrebne mjere za tehnički razvoj infrastrukture Moje zdravlje@EU (MyHealth@EU), detaljna pravila o sigurnosti, povjerljivosti i zaštiti osobnih elektroničkih zdravstvenih podataka i uvjete za provjere sukladnosti potrebne za priključivanje na infrastrukturu Moje zdravlje@EU (MyHealth@EU) ▌. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

5.  Države članice osiguravaju povezivanje svih pružatelja zdravstvene zaštite s nacionalnim kontaktnim točkama za digitalno zdravstvo. Države članice osiguravaju ▌da povezani pružatelji zdravstvene zaštite imaju mogućnost dvosmjerne razmjene elektroničkih zdravstvenih podataka s nacionalnom kontaktnom točkom za digitalno zdravstvo.

6.  Države članice osiguravaju da ljekarne koje djeluju na njihovu državnom području mogu izdavati lijekove na temelju elektroničkih recepata koje je izdala druga država članica u skladu s uvjetima utvrđenima člankom 11. Direktive 2011/24/EU. Ljekarne pristupaju elektroničkim receptima koji su im poslani iz drugih država članica preko infrastrukture Moje zdravlje@EU (MyHealth@EU) i prihvaćaju ih, pod uvjetom da su ispunjeni zahtjevi iz članka 11. Direktive 2011/24. Nakon izdavanja lijekova na temelju elektroničkog recepta iz druge države članice, ljekarne to izdavanje prijavljuju državi članici koja je izdala recept preko infrastrukture Moje zdravlje@EU (MyHealth@EU).

7.  Nacionalne kontaktne točke za digitalno zdravstvo djeluju kao zajednički voditelji obrade osobnih elektroničkih zdravstvenih podataka prenesenih preko infrastrukture Moje zdravlje@EU (MyHealth@EU) za postupke obrade u koje su uključene. Komisija djeluje kao izvršitelj obrade.

8.  Komisija provedbenim aktima utvrđuje pravila o zahtjevima u pogledu kibersigurnosti, tehničke interoperabilnosti, semantičke interoperabilnosti, operacija i upravljanja uslugama u vezi s obradom koju provodi izvršitelj obrade iz stavka 7. ovog članka i njegovim odgovornostima prema voditeljima obrade, u skladu s poglavljem IV. Uredbe (EU) 2016/679. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

9.  Nacionalne kontaktne točke iz stavka 2. ispunjavaju uvjete za pridruživanje i zadržavanje povezanosti s Moje zdravlje@EU (MyHealth@EU) kako je utvrđeno u skladu sa stavkom 4. Njihova usklađenost provjerava se provjerama sukladnosti koje provodi Komisija.

Članak 13.

Dodatne prekogranične usluge i infrastrukture za digitalno zdravstvo

1.  Radi postizanja visoke razine povjerenja i sigurnosti te jačanja kontinuiteta skrbi i osiguravanja pristupa sigurnoj i kvalitetnoj zdravstvenoj zaštiti države članice u okviru infrastrukture Moje zdravlje@EU (MyHealth@EU) mogu pružati dodatne usluge koje olakšavaju telemedicinu, mobilno zdravstvo, pristup pojedinaca prevedenim zdravstvenim podacima, razmjenu ili provjeru zdravstvenih potvrda, među ostalim cijepnih kartona, te usluge kojima se podupiru javno zdravlje i praćenje javnog zdravlja ili digitalni zdravstveni sustavi, usluge i interoperabilne aplikacije. Komisija provedbenim aktima utvrđuje tehničke aspekte pružanja tih usluga. Ti se provedbeni akti donose u skladu s ▌postupkom ispitivanja iz članka 68. stavka 2.

2.  Komisija i države članice mogu olakšati razmjenu osobnih elektroničkih zdravstvenih podataka s drugim infrastrukturama, kao što su sustav upravljanja kliničkim podacima pacijenata ili druge usluge ili infrastrukture u području zdravstva, skrbi ili socijalne sigurnosti, koje mogu postati ovlašteni sudionici infrastrukture Moje zdravlje@EU (MyHealth@EU). Komisija provedbenim aktima utvrđuje tehničke aspekte takvih razmjena. Ti se provedbeni akti donose u skladu s ▌postupkom ispitivanja iz članka 68. stavka 2. O povezivanju druge infrastrukture sa središnjom platformom za digitalno zdravstvo, kao i o njezinu isključenju, odlučuje Komisija tako što provedbenim aktima donosi odluku na temelju rezultata provjera sukladnosti tehničkih aspekata takvih razmjena kako je navedeno u podstavku 1. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

3.  Nacionalna kontaktna točka treće zemlje ili sustav uspostavljen na međunarodnoj razini može postati ovlašteni sudionik na Moje zdravlje@EU (MyHealth@EU) pod uvjetom da ispunjavaju zahtjeve iz Moje zdravlje@EU (MyHealth@EU) za potrebe razmjene osobnih elektroničkih zdravstvenih podataka kako je navedeno u članku 12., da je prijenos koji proizlazi iz takve veze u skladu s pravilima iz poglavlja V. Uredbe (EU) 2016/679 te da su zahtjevi koji se odnose na pravne, organizacijske, operativne, semantičke, tehničke i kibersigurnosne mjere jednakovrijedni onima koji se primjenjuju na države članice u okviru pružanja usluga Moje zdravlje@EU (MyHealth@EU). Zahtjevi iz podstavka 1. provjeravaju se provjerom sukladnosti koju provodi Komisija.

Na temelju rezultata provjere sukladnosti Komisija može provedbenim aktom donijeti odluku o povezivanju i isključivanju nacionalne kontaktne točke treće zemlje ili sustava uspostavljenog na međunarodnoj razini na Moje zdravlje@EU (MyHealth@EU). Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

Komisija vodi popis nacionalnih kontaktnih točaka treće zemlje ili sustava uspostavljenih na međunarodnoj razini povezanih s Moje zdravlje@EU (MyHealth@EU) u skladu s ovim stavkom i objavljuje ga.

POGLAVLJE III.

Sustavi elektroničkih zdravstvenih zapisa i aplikacije za dobrobit

Odjeljak 1.

Opće odredbe o sustavima elektroničkih zdravstvenih zapisa i njihovo područje primjene

Članak 13.a

Usklađene komponente elektroničkih zdravstvenih zapisa

1.   Sustavi elektroničkih zdravstvenih zapisa uključuju „europsku komponentu interoperabilnosti za sustave elektroničkih zdravstvenih zapisa” i „europsku komponentu za evidenciju za sustave elektroničkih zdravstvenih zapisa” („usklađene komponente”), u skladu s odredbama utvrđenima u ovom poglavlju.

2.   Ovo poglavlje ne primjenjuje se na softver opće namjene koji se upotrebljava u okruženju zdravstvene zaštite.

Članak 13.b

Stavljanje na tržište i u uporabu

1.   Sustavi elektroničkih zdravstvenih zapisa iz članka 13.a stavka 1. mogu se staviti na tržište ili u uporabu samo ako su u skladu s odredbama utvrđenima u ovom poglavlju.

2.   Sustavi elektroničkih zdravstvenih zapisa koji su proizvedeni i primjenjuju se u zdravstvenim ustanovama s poslovnim nastanom u Uniji i sustavi elektroničkih zdravstvenih zapisa koji se nude kao usluga u smislu članka 1. stavka 1. točke (b) Direktive (EU) 2015/1535 Europskog parlamenta i Vijeća(32) fizičkoj ili pravnoj osobi s poslovnim nastanom u Uniji smatraju se stavljenima u uporabu.

3.   Države članice ne smiju, kad je riječ o aspektima koji se odnose na usklađene komponente koji su uređeni ovom Uredbom, zabraniti ili ograničiti stavljanje na tržište sustava elektroničkih zdravstvenih zapisa koji su u skladu s ovom Uredbom.

Članak 14.

Međudjelovanje sa zakonodavstvom o medicinskim proizvodima, in vitro dijagnostičkim medicinskim proizvodima i sustavima umjetne inteligencije

1.  Sustavi elektroničkih zdravstvenih zapisa uključuju „europsku komponentu interoperabilnosti za sustave elektroničkih zdravstvenih zapisa” i „europsku komponentu za evidenciju za sustave elektroničkih zdravstvenih zapisa” („usklađene komponente”), u skladu s odredbama utvrđenima u ovom poglavlju.

▌

3.  Proizvođači medicinskih proizvoda definiranih u članku 2. stavku 1. Uredbe (EU) 2017/745 i proizvođači in vitro dijagnostičkih medicinskih proizvoda definiranih u članku 2. stavku 2. Uredbe (EU) 2017/746 koji tvrde da su ti medicinski proizvodi interoperabilni s usklađenim komponentama sustava elektroničkih zdravstvenih zapisa dokazuju usklađenost s bitnim zahtjevima europske komponente interoperabilnosti za sustave elektroničkih zdravstvenih zapisa i europske komponente za evidenciju za sustave elektroničkih zdravstvenih zapisa utvrđenima u odjeljku 2. Priloga II. ovoj Uredbi. Na te medicinske proizvode primjenjuje se članak 23. ovog poglavlja.

4.  Dobavljači visokorizičnih sustava umjetne inteligencije definiranih u članku 6. Uredbe […] [Akt o umjetnoj inteligenciji 2021/0106(COD)], koji nisu obuhvaćeni područjem primjene Uredbe (EU) 2017/745 koji tvrde da su ti sustavi umjetne inteligencije interoperabilni s usklađenim komponentama sustava elektroničkih zdravstvenih zapisa morat će dokazati sukladnost s bitnim zahtjevima u pogledu europske komponente interoperabilnosti za sustave elektroničkih zdravstvenih zapisa i europske komponente za evidenciju za sustave elektroničkih zdravstvenih zapisa, kako je utvrđeno u Prilogu II. odjeljku 2. ove Uredbe. Članak 23. ovog poglavlja primjenjuje se na te visokorizične sustave umjetne inteligencije.

5.  Države članice mogu zadržati ili utvrditi posebna pravila za nabavu, nadoknadu troškova ili financiranje sustava elektroničkih zdravstvenih zapisa u kontekstu organizacije, pružanja ili financiranja usluga zdravstvene zaštite pod uvjetom da su takvi zahtjevi u skladu s pravom Unije i da ne utječu na funkcioniranje ili usklađenost usklađenih komponenti.

▌

Članak 16.

Tvrdnje

Na informacijskom listu, u uputama za uporabu i drugim podacima priloženima sustavima elektroničkih zdravstvenih zapisa te pri oglašavanju sustava elektroničkih zdravstvenih zapisa zabranjeno je upotrebljavati tekst, imena, žigove, slike i simbolične ili druge oznake kojima bi se profesionalnog korisnika kako je definiran u Uredbi (EU) 2018/1807 moglo obmanuti u pogledu njihove namjene, interoperabilnosti i sigurnosti:

(a)  pripisivanjem sustavu elektroničkih zdravstvenih zapisa funkcija i svojstava koje nema;

(b)  neobavješćivanjem profesionalnog korisnika o vjerojatnim ograničenjima značajki interoperabilnosti ili sigurnosti sustava elektroničkih zdravstvenih zapisa u pogledu njegove namjene;

(c)  upućivanjem na uporabe sustava elektroničkih zdravstvenih zapisa koje se razlikuju od onih navedenih u tehničkoj dokumentaciji pod namjenom.

Članak 16.a

Nabava, povrat troškova i financiranje sustava elektroničkih zdravstvenih zapisa

Države članice mogu zadržati ili utvrditi posebna pravila za nabavu, nadoknadu troškova ili financiranje sustava elektroničkih zdravstvenih zapisa u kontekstu organizacije, pružanja ili financiranja usluga zdravstvene zaštite pod uvjetom da su takvi zahtjevi u skladu s pravom Unije i da ne utječu na funkcioniranje ili usklađenost usklađenih komponenti.

Odjeljak 2.

Obveze gospodarskih subjekata u pogledu sustava elektroničkih zdravstvenih zapisa

Članak 17.

Obveze proizvođača sustava elektroničkih zdravstvenih zapisa

1.  Proizvođači sustava elektroničkih zdravstvenih zapisa:

(a)  osiguravaju da su usklađene komponente njihovih sustava elektroničkih zdravstvenih zapisa i sustavi elektroničkih zdravstvenih zapisa kao takvi, u mjeri u kojoj se ovim poglavljem utvrđuju zahtjevi za njih, usklađeni s bitnim zahtjevima utvrđenima u Prilogu II. i sa zajedničkim specifikacijama iz članka 23.;

(aa)   osiguravaju da sastavne dijelove njihova sustava elektroničkih zdravstvenih zapisa ne ometaju niti na njih negativno utječu druge komponente istog sustava elektroničkih zdravstvenih zapisa;

(b)  sastavljaju tehničku dokumentaciju svojih sustava elektroničkih zdravstvenih zapisa u skladu s člankom 24. prije njihova stavljanja na tržište i kasnije ih ažuriraju;

(c)  osiguravaju da su njihovim sustavima elektroničkih zdravstvenih zapisa priloženi informacijski list predviđen člankom 25. i potpune upute za uporabu, bez naknade za korisnika;

(d)  sastavljaju EU izjavu o sukladnosti u skladu s člankom 26.;

(e)  stavljaju oznaku sukladnosti CE u skladu s člankom 27.;

(ea)   u sustavu elektroničkih zdravstvenih zapisa navode svoje ime, tvrtku ili registrirani žig te poštansku adresu, mrežne stranice, elektroničku adresu ili drugi digitalni kontakt; u adresi se navodi jedinstveno mjesto na kojem se može stupiti u kontakt s proizvođačem i podaci za kontakt moraju biti na jeziku koji bez poteškoća razumiju korisnici i tijela za nadzor tržišta;

(f)  ispunjavaju obveze registracije iz članka 32.;

(g)  bez nepotrebne odgode poduzimaju sve potrebne korektivne mjere u vezi sa svojim sustavima elektroničkih zdravstvenih zapisa ako smatraju ili imaju razloga vjerovati da takvi sustavi nisu ili više nisu u skladu s bitnim zahtjevima utvrđenima u Prilogu II. ili opozivaju ili povlače takve sustave; zatim obavješćuju nacionalna tijela država članica u kojima su svoje sustave elektroničkih zdravstvenih zapisa stavili na raspolaganje ili u uporabu o nesukladnosti i o svim poduzetim korektivnim mjerama, uključujući vremenski raspored provedbe, ako su te usklađene komponente njihova sustava elektroničkih zdravstvenih zapisa usklađene i opozvane ili povučene;

(h)  obavješćuju distributere svojih sustava elektroničkih zdravstvenih zapisa i prema potrebi ovlaštenog zastupnika, uvoznike i korisnike o nesukladnosti i o svim korektivnim mjerama, opozivima ili povlačenjima tog sustava;

(i)  obavješćuju distributere svojih sustava elektroničkih zdravstvenih zapisa i prema potrebi ovlaštenog zastupnika, uvoznike i korisnike o svim obveznim preventivnim mjerama održavanja i njihovoj učestalosti;

(j)  na zahtjev tijelima za nadzor tržišta u državama članicama dostavljaju sve informacije i dokumentaciju potrebne za dokazivanje sukladnosti sustava elektroničkih zdravstvenih zapisa koji su stavili na tržište ili u uporabu s bitnim zahtjevima utvrđenima u Prilogu II. na službenom jeziku države članice;

(k)  na zahtjev tijela za nadzor tržišta surađuju s njima u provedbi svih mjera namijenjenih usklađivanju sustava elektroničkih zdravstvenih zapisa koje su stavili na tržište ili u uporabu s bitnim zahtjevima utvrđenima u Prilogu II. i članku 27.a na službenom jeziku države članice;

(ka)   uspostavljaju kanale za podnošenje pritužbi i vode registar pritužbi i nesukladnih sustava elektroničkih zdravstvenih zapisa te obavješćuju distributere o svakom takvom praćenju.

2.  Proizvođači sustava elektroničkih zdravstvenih zapisa primjenjuju postupke kojima se osigurava da su projektiranje, razvoj i uvođenje komponenti sustava elektroničkih zdravstvenih zapisa definiranih u članku 2. stavku 2. točkama (nc) i (nd) i dalje u skladu s bitnim zahtjevima utvrđenima u Prilogu II. i zajedničkim specifikacijama iz članka 23. Promjene u projektiranju ili značajkama sustava elektroničkih zdravstvenih zapisa s obzirom na te usklađene komponente na odgovarajući se način uzimaju u obzir i odražavaju u tehničkoj dokumentaciji.

3.  Proizvođači sustava elektroničkih zdravstvenih zapisa dužni su čuvati tehničku dokumentaciju i EU izjavu o sukladnosti 10 godina od stavljanja ▌sustava elektroničkih zdravstvenih zapisa obuhvaćenog EU izjavom o sukladnosti na tržište.

Izvorni kod ili programska logika uključeni u tehničku dokumentaciju stavljaju se na raspolaganje nadležnim nacionalnim tijelima na obrazložen zahtjev ako su im taj izvorni kod ili ta programska logika potrebni kako bi mogla provjeriti sukladnost s bitnim zahtjevima utvrđenima u Prilogu II.

3a.   Proizvođač sustava elektroničkih zdravstvenih zapisa s poslovnim nastanom izvan Unije osigurava da njegov ovlašteni zastupnik spremno ima na raspolaganju potrebnu dokumentaciju kako bi ispunio zadaće iz članka 18. stavka 2.

3b.   Na obrazložen zahtjev nadležnog tijela za nadzor tržišta proizvođači tom tijelu dostavljaju sve informacije i dokumentaciju, u papirnatom ili elektroničkom obliku, potrebne za dokazivanje sukladnosti sustava elektroničkih zdravstvenih zapisa s bitnim zahtjevima iz Priloga II. i zajedničkim specifikacijama iz članka 23. na jeziku koje to tijelo bez poteškoća razumije. Dužni su surađivati s tim tijelom, na njegov zahtjev, u svim mjerama koje se poduzmu za otklanjanje rizika koje predstavlja sustav elektroničkih zdravstvenih zapisa koji su stavili na tržište ili u uporabu.

Članak 18.

Ovlašteni zastupnici

1.  Prije stavljanja sustava elektroničkih zdravstvenih zapisa na raspolaganje na tržištu Unije proizvođač sustava elektroničkih zdravstvenih zapisa s poslovnim nastanom izvan Unije pisanim ovlaštenjem imenuje ovlaštenog zastupnika s poslovnim nastanom u Uniji.

2.  Ovlašteni zastupnik obavlja zadaće navedene u ovlaštenju koje je dogovoreno s proizvođačem. Tim se ovlaštenjem ovlaštenom zastupniku omogućava da čini barem sljedeće:

(a)  stavlja EU izjavu o sukladnosti i tehničku dokumentaciju na raspolaganje tijelima za nadzor tržišta tijekom razdoblja navedenog u članku 17. stavku 3.;

(b)  na obrazloženi zahtjev tijela za nadzor tržišta dostavlja tijelima dotične države članice primjerak ovlaštenja te sve informacije i dokumentaciju potrebne za dokazivanje sukladnosti sustava elektroničkih zdravstvenih zapisa s bitnim zahtjevima utvrđenima u Prilogu II., kao i sa zajedničkim specifikacijama u skladu s člankom 23.;

(ba)   bez nepotrebne odgode obavješćuje proizvođača ako ovlašteni zastupnik ima razloga vjerovati da sustav elektroničkih zdravstvenih zapisa više nije u skladu s bitnim zahtjevima utvrđenima u Prilogu II.;

(bb)   bez nepotrebne odgode obavješćuje proizvođača o pritužbama potrošača i profesionalnih korisnika;

(c)  na zahtjev tijela za nadzor tržišta surađuje s njima na provedbi svih korektivnih mjera u vezi sa sustavima elektroničkih zdravstvenih zapisa obuhvaćenima njegovim ovlaštenjem,

(d)  ukida ovlaštenje ako proizvođač postupa protivno svojim obvezama iz ove Uredbe;

(e)   osigurava da se tehnička dokumentacija može staviti na raspolaganje relevantnim tijelima na njihov zahtjev.

2c.   U slučaju promjene ovlaštenog zastupnika, detaljni aranžmani za promjenu obuhvaćaju barem sljedeće aspekte:

(a)  datum prekida ovlaštenja ovlaštenog zastupnika koji odstupa s te funkcije i datum stupanja na snagu ovlaštenja novoimenovanog ovlaštenog zastupnika;

(b)  prijenos dokumenata, uključujući podatke o povjerljivosti i vlasnička prava.

2d.   Ako proizvođač ima poslovni nastan izvan Unije i nije se pridržavao obveza utvrđenih u članku 17., ovlašteni predstavnik pravno je odgovoran za nepoštovanje ove Uredbe na istoj osnovi kao i proizvođač te solidarno s njime.

Članak 19.

Obveze uvoznika

1.  Uvoznici stavljaju na tržište Unije samo one sustave elektroničkih zdravstvenih zapisa koji su u skladu s bitnim zahtjevima utvrđenima u Prilogu II., kao i sa zajedničkim specifikacijama u skladu s člankom 23.

2.  Prije stavljanja sustava elektroničkih zdravstvenih zapisa na raspolaganje na tržištu uvoznici osiguravaju sljedeće:

(a)  da je proizvođač sastavio tehničku dokumentaciju i EU izjavu o sukladnosti;

(aa)   da je utvrđen proizvođač i da je imenovan ovlašteni zastupnik u skladu s člankom 18.;

(b)  da sustav elektroničkih zdravstvenih zapisa nosi oznaku sukladnosti CE iz članka 27., nakon dovršetka postupka ocjene sukladnosti;

(c)  da su sustavu elektroničkih zdravstvenih zapisa priloženi informacijski list iz članka 25. kao i jasne i potpune upute za uporabu, uključujući mjere održavanja, u pristupačnim formatima.

3.  Uvoznici na dokumentu priloženom sustavu elektroničkih zdravstvenih zapisa navode svoje ime, tvrtku ili registrirani žig te poštansku adresu, mrežne stranice, elektroničku adresu ili drugi digitalni kontakt. Adresa mora biti jedinstveno mjesto na kojem je moguće stupiti u kontakt s proizvođačem. Kontaktni podaci su na jeziku koji korisnici i tijela za nadzor tržišta bez poteškoća razumiju. Osiguravaju da dodatne oznake ne prekrivaju informacije na oznaci proizvođača.

4.  Uvoznici osiguravaju da se u razdoblju u kojem je sustav elektroničkih zdravstvenih zapisa pod njihovom odgovornošću taj sustav ne izmijeni na način kojim bi se ugrozila njegova sukladnost s bitnim zahtjevima utvrđenima u Prilogu II. i članku 27.a.

5.  Ako uvoznik smatra ili ima razloga vjerovati da sustav elektroničkih zdravstvenih zapisa nije u skladu s bitnim zahtjevima iz Priloga II. i članka 27.a ili je to prestao biti, sustav ne smije staviti na raspolaganje na tržištu ili ga, ako je već bio stavljen na tržište, mora opozvati ili povući dok se ne uskladi s tim zahtjevima. Uvoznik smjesta o tome obavješćuje proizvođača tog sustava elektroničkih zdravstvenih zapisa, korisnike i tijela za nadzor tržišta države članice u kojoj je stavio sustav elektroničkih zdravstvenih zapisa na raspolaganje na tržištu gdje se ta situacija dogodi, navodeći pojedinosti, posebno, o nesukladnosti i o svim poduzetim korektivnim mjerama te o opozivu ili povlačenju navedenog sustava. Ako uvoznik smatra ili ima razloga vjerovati da sustav elektroničkih zdravstvenih zapisa predstavlja rizik za zdravlje ili sigurnost pojedinaca, o tome bez nepotrebne odgode obavješćuje tijelo za nadzor tržišta države članice u kojoj uvoznik ima poslovni nastan te proizvođača i, prema potrebi, ovlaštenog zastupnika.

6.  Uvoznici tijelima za nadzor tržišta stavljaju na raspolaganje primjerak EU izjave o sukladnosti tijekom razdoblja navedenog u članku 17. stavku 3. i osiguravaju da im se na zahtjev može staviti na raspolaganje tehnička dokumentacija.

7.  Uvoznici na obrazložen zahtjev tijela za nadzor tržišta dotičnih država članica dostavljaju tom tijelu sve informacije i dokumentaciju u papirnatom ili digitalnom obliku koji su potrebni za dokazivanje sukladnosti sustava elektroničkih zdravstvenih zapisa. Oni surađuju s tim tijelom, na njegov zahtjev, i s proizvođačem te, prema potrebi, s proizvođačevim ovlaštenim zastupnikom na službenom jeziku države članice u kojoj se nalazi tijelo za nadzor tržišta. Na zahtjev tog tijela surađuju s njim u provedbi svih mjera namijenjenih usklađivanju sustava elektroničkih zdravstvenih zapisa s bitnim zahtjevima u pogledu tih komponenti utvrđenima u Prilogu II. ili kako bi se osiguralo povlačenje ili opoziv njihovih sustava elektroničkih zdravstvenih zapisa.

7a.   Proizvođači uspostavljaju kanale za prijavljivanje i osiguravaju njihovu dostupnost kako bi korisnicima omogućili podnošenje pritužbi te vode registar pritužbi, nesukladnih sustava elektroničkih zdravstvenih zapisa i opoziva sustava elektroničkih zdravstvenih zapisa. Uvoznici provjeravaju jesu li uspostavljeni kanali za podnošenje pritužbi iz članka 17. stavka 2. javno dostupni te da li im omogućuju podnošenje pritužbi i obavješćivanje o svim rizicima povezanima s njihovim zdravljem i sigurnošću ili drugim aspektima zaštite javnog interesa te o svim ozbiljnim incidentima koji uključuju sustav elektroničkih zdravstvenih zapisa. Ako takvi kanali nisu dostupni, uvoznici ih osiguravaju, uzimajući u obzir potrebe za pristupačnošću za skupine u osjetljivom položaju i osobe s invaliditetom.

7b.   Uvoznici istražuju pritužbe i informacije o incidentima koji uključuju sustav elektroničkih zdravstvenih zapisa koji su stavili na raspolaganje na tržištu i podnose te pritužbe, kao i podatke o povlačenjima sustava i korektivnim mjerama poduzetima kako bi se sustav elektroničkih zdravstvenih zapisa uskladio, u registru iz članka 17. stavka 3.d ili u vlastitom internom registru. Uvoznici pravodobno obavješćuju proizvođača, distributere i, prema potrebi, ovlaštene zastupnike o provedenoj istrazi i o rezultatima te istrage.

Članak 20.

Obveze distributera

1.  Prije stavljanja sustava elektroničkih zdravstvenih zapisa na raspolaganje na tržištu distributeri provjeravaju sljedeće:

(a)  je li proizvođač sastavio EU izjavu o sukladnosti;

(b)  nosi li sustav elektroničkih zdravstvenih zapisa oznaku sukladnosti CE;

(c)  jesu li sustavu elektroničkih zdravstvenih zapisa priloženi informacijski list iz članka 25. kao i jasne i potpune upute za uporabu u pristupačnim formatima;

(d)  prema potrebi, ispunjava li uvoznik zahtjeve utvrđene u članku 19. stavku 3.

2.  Distributeri osiguravaju da se u razdoblju u kojem je sustav elektroničkih zdravstvenih zapisa pod njihovom odgovornošću taj sustav ne izmijeni na način kojim bi se ugrozila njegova sukladnost s bitnim zahtjevima utvrđenima u Prilogu II.

3.  Ako distributer smatra ili ima razloga vjerovati da sustav elektroničkih zdravstvenih zapisa nije u skladu s bitnim zahtjevima utvrđenima u Prilogu II., taj se sustav ne smije staviti na raspolaganje na tržištu dok se ne uskladi s tim zahtjevima. Nadalje, distributer bez odgode o tome obavješćuje proizvođača ili uvoznika, kao i tijela za nadzor tržišta država članica u kojima je sustav elektroničkih zdravstvenih zapisa stavljen na raspolaganje na tržištu. Ako distributer smatra ili ima razloga vjerovati da sustav elektroničkih zdravstvenih zapisa predstavlja rizik za zdravlje ili sigurnost pojedinaca, o tome obavješćuje tijelo za nadzor tržišta države članice u kojoj distributer ima poslovni nastan te proizvođača i uvoznika.

4.  Distributeri na obrazložen zahtjev tijela za nadzor tržišta dostavljaju tom tijelu sve informacije i dokumentaciju koji su potrebni za dokazivanje sukladnosti sustava elektroničkih zdravstvenih zapisa. Oni surađuju s tim tijelom, na njegov zahtjev, i s proizvođačem, uvoznikom te, prema potrebi, s ovlaštenim zastupnikom proizvođača u pogledu svih mjera namijenjenih usklađivanju sustava elektroničkih zdravstvenih zapisa s bitnim zahtjevima utvrđenima u Prilogu II. ili kako bi ih povukli ili opozvali.

Članak 21.

Slučajevi u kojima se obveze proizvođača sustava elektroničkih zdravstvenih zapisa primjenjuju na druge gospodarske subjekte

Uvoznik, distributer ili korisnik smatra se proizvođačem za potrebe ove Uredbe i podliježe obvezama utvrđenim u članku 17. ako napravi jedno od sljedećeg:

(a)  stavi sustav elektroničkih zdravstvenih zapisa na raspolaganje na tržištu pod vlastitim imenom ili žigom;

(b)   izmijeni sustav elektroničkih zdravstvenih zapisa koji je već stavljen na tržište na način koji može utjecati na sukladnost s primjenjivim zahtjevima;

(c)  unese izmjene u sustav elektroničkih zdravstvenih zapisa zbog kojih se mijenja namjena koju je proizvođač naveo.

Članak 22.

Identifikacija gospodarskih subjekata

U razdoblju od 10 godina od stavljanja posljednjeg sustava elektroničkih zdravstvenih zapisa obuhvaćenog EU izjavom o sukladnosti na tržište gospodarski subjekti na zahtjev dostavljaju tijelima za nadzor tržišta informacije o identitetu:

(a)  svakog gospodarskog subjekta koji im je isporučio sustav elektroničkih zdravstvenih zapisa;

(b)  svakog gospodarskog subjekta kojem su isporučili sustav elektroničkih zdravstvenih zapisa.

Odjeljak 3.

Sukladnost sustava elektroničkih zdravstvenih zapisa

Članak 23.

Zajedničke specifikacije

1.  Komisija provedbenim aktima donosi zajedničke specifikacije u pogledu bitnih zahtjeva utvrđenih u Prilogu II., uključujući zajednički predložak za dokument i rok za provedbu tih zajedničkih specifikacija. Zajedničkim se specifikacijama prema potrebi uzimaju u obzir posebnosti medicinskih proizvoda i visokorizičnih sustava umjetne inteligencije iz članka 14. stavaka 3. i 4., uključujući najsuvremenije norme za zdravstvenu informatiku i europski format za razmjenu elektroničkih zdravstvenih zapisa.

Ti se provedbeni akti donose u skladu s ▌postupkom ispitivanja iz članka 68. stavka 2.

2.  Zajedničke specifikacije iz stavka 1. uključuju sljedeće elemente:

(a)  područje primjene;

(b)  primjenjivost na različite kategorije sustava elektroničkih zdravstvenih zapisa ili funkcija tih sustava;

(c)  verziju;

(d)  razdoblje valjanosti;

(e)  normativni dio;

(f)  dio s obrazloženjima, uključujući sve relevantne smjernice za provedbu.

3.  Zajedničke specifikacije mogu uključivati elemente povezane sa sljedećim:

(a)  skupovima podataka koji sadržavaju elektroničke zdravstvene podatke i kojima se definiraju strukture, kao što su podatkovna polja i skupine podataka za prikaz kliničkog sadržaja i drugih dijelova elektroničkih zdravstvenih podataka;

(b)  sustavima i vrijednostima kodiranja koji će se primjenjivati u skupovima podataka koji sadržavaju elektroničke zdravstvene podatke, uzimajući u obzir i buduće usklađivanje terminologija i njihovu kompatibilnost s postojećim nacionalnim terminologijama;

(c)  ostalim zahtjevima u pogledu kvalitete podataka, kao što su potpunost i točnost elektroničkih zdravstvenih podataka;

(d)  tehničkim specifikacijama, normama i profilima za razmjenu elektroničkih zdravstvenih podataka;

(e)  zahtjevima i načelima u pogledu sigurnosti, povjerljivosti, cjelovitosti, sigurnosti pacijenata i zaštite elektroničkih zdravstvenih podataka;

(f)  specifikacijama i zahtjevima u pogledu upravljanja identifikacijom i upotrebe elektroničke identifikacije.

4.  Smatra se da su sustavi elektroničkih zdravstvenih zapisa, medicinski proizvodi, in vitro dijagnostički medicinski proizvodi i visokorizični sustavi umjetne inteligencije iz članaka 13.a i 14. koji su usklađeni sa zajedničkim specifikacijama iz stavka 1. u skladu s bitnim zahtjevima obuhvaćenima tim specifikacijama ili njihovim dijelovima koji su utvrđeni u Prilogu II.

5.  Ako zajedničke specifikacije koje obuhvaćaju zahtjeve u pogledu interoperabilnosti i sigurnosti sustava elektroničkih zdravstvenih zapisa utječu na medicinske proizvode, in vitro dijagnostičke medicinske proizvode ili visokorizične sustave umjetne inteligencije na koje se primjenjuju drugi akti, primjerice uredbe (EU) 2017/745 i (EU) 2017/746 ili […] [Akt o umjetnoj inteligenciji 2021/0106(COD)], donošenju zajedničkih specifikacija može prethoditi savjetovanje s Koordinacijskom skupinom za medicinske proizvode (MDCG) iz članka 103. Uredbe (EU) 2017/745 ili Europskim odborom za umjetnu inteligenciju iz članka 56. Uredbe […] [Akt o umjetnoj inteligenciji 2021/0106(COD)] i Europskim odborom za zaštitu podataka, ovisno o slučaju.

6.  Ako zajedničke specifikacije koje obuhvaćaju zahtjeve u pogledu interoperabilnosti i sigurnosti medicinskih proizvoda, in vitro dijagnostičkih medicinskih proizvoda ili visokorizičnih sustava umjetne inteligencije na koje se primjenjuju drugi akti, primjerice uredbe (EU) 2017/745 i (EU) 2017/746 ili Uredba [...] [Akt o umjetnoj inteligenciji 2021/0106(COD)] utječu na sustave elektroničkih zdravstvenih zapisa, Komisija osigurava da je donošenju tih zajedničkih specifikacija prethodilo savjetovanje s Odborom za europski prostor za zdravstvene podatke i Europskim odborom za zaštitu podataka, ovisno o slučaju.

Članak 24.

Tehnička dokumentacija

1.  Proizvođači sastavljaju tehničku dokumentaciju prije stavljanja sustava elektroničkih zdravstvenih zapisa na tržište ili u uporabu te se ona redovito ažurira.

2.  Tehnička dokumentacija sastavlja se na način da se njome dokazuje da sustav elektroničkih zdravstvenih zapisa ispunjava bitne zahtjeve utvrđene u Prilogu II. te da se tijelima za nadzor tržišta pruže sve potrebne informacije za ocjenjivanje sukladnosti sustava elektroničkih zdravstvenih zapisa s tim zahtjevima. Sadržava barem elemente utvrđene u Prilogu III. i upućivanje na rezultate dobivene u europskom digitalnom testnom okruženju iz članka 26.a.

3.  Tehnička dokumentacija sastavlja se na jednom od službenih jezika dotične države članice ili na lako razumljivom jeziku. Na obrazloženi zahtjev tijela za nadzor tržišta države članice proizvođač tom tijelu dostavlja prijevod relevantnih dijelova tehničke dokumentacije na službeni jezik te države članice.

4.  Ako tijelo za nadzor tržišta zatraži od proizvođača tehničku dokumentaciju ili prijevod njezinih dijelova, određuje rok od 30 dana za primitak te dokumentacije ili prijevoda osim ako je zbog ozbiljnog i neposrednog rizika opravdan kraći rok. Ako proizvođač ne ispuni zahtjeve iz stavaka 1., 2. i 3., tijelo za nadzor tržišta može od njega zatražiti da u određenom roku o svojem trošku angažira neovisno tijelo koje će provesti ispitivanje za provjeru sukladnosti s bitnim zahtjevima utvrđenima u Prilogu II. i zajedničkim specifikacijama iz članka 23.

Članak 25.

Informacijski list priložen sustavu elektroničkih zdravstvenih zapisa

1.  Sustavima elektroničkih zdravstvenih zapisa prilaže se informacijski list koji sadržava sažete, potpune, točne i jasne informacije koje su profesionalnim korisnicima važne, pristupačne i razumljive.

2.  U informacijskom listu iz stavka 1. navode se:

(a)  identitet, tvrtka ili registrirani žig i kontaktni podaci proizvođača te prema potrebi njegova ovlaštenog zastupnika;

(b)  naziv i verzija sustava elektroničkih zdravstvenih zapisa i datum njegove objave;

(c)  njegova namjena;

(d)  kategorije elektroničkih zdravstvenih podataka za čiju je obradu sustav elektroničkih zdravstvenih zapisa projektiran;

(e)  norme, formati i specifikacije te njihove verzije koje sustav elektroničkih zdravstvenih zapisa podržava.

3.  Umjesto dostavljanja informacijskog lista iz stavka 1. u sustav elektroničkih zdravstvenih zapisa proizvođači mogu informacije iz stavka 2. unijeti u bazu podataka EU-a ▌iz članka 32.

Članak 26.

EU izjava o sukladnosti

1.  U EU izjavi o sukladnosti navodi se da je proizvođač sustava elektroničkih zdravstvenih zapisa dokazao da su ispunjeni bitni zahtjevi utvrđeni u Prilogu II.

2.  Ako u pogledu aspekata koji nisu obuhvaćeni ovom Uredbom sustavi elektroničkih zdravstvenih zapisa podliježu drugom zakonodavstvu Unije, kojim se isto tako zahtijeva EU izjava o sukladnosti kojom proizvođač dokazuje da su ispunjeni zahtjevi tog zakonodavstva, sastavlja se jedinstvena EU izjava o sukladnosti za sve akte Unije koji se primjenjuju na sustav elektroničkih zdravstvenih zapisa. Ta izjava sadržava sve informacije potrebne za identifikaciju zakonodavstva Unije na koje se izjava odnosi.

3.  EU izjava o sukladnosti sadržava ▌informacije utvrđene u Prilogu IV. i prevedena je na jedan ili više službenih jezika Unije koje odrede države članice u kojima je sustav elektroničkih zdravstvenih zapisa stavljen na raspolaganje.

3.a   Digitalne EU izjave o sukladnosti dostupne su na internetu tijekom očekivanog životnog vijeka sustava elektroničkih zdravstvenih zapisa, a u svakom slučaju najmanje deset godina nakon stavljanja sustava elektroničkih zdravstvenih zapisa na tržište ili u uporabu.

4.  Sastavljanjem EU izjave o sukladnosti proizvođač preuzima odgovornost za usklađenost sustava elektroničkih zdravstvenih zapisa sa zahtjevima utvrđenima u ovoj Uredbi u trenutku stavljanja na tržište ili u uporabu.

4.b   Komisija objavljuje standardni jedinstveni obrazac za EU izjavu o sukladnosti i stavlja ga na raspolaganje u digitalnom obliku na svim službenim jezicima Unije.

Članak 26.a

Europsko digitalno testno okruženje

1.   Komisija razvija europsko digitalno testno okruženje za ocjenu usklađenih komponenti sustava elektroničkih zdravstvenih zapisa. Softver koji podržava europsko digitalno testno okruženje Komisija stavlja na raspolaganje kao otvoreni kod.

2.   Države članice uspostavljaju digitalno testno okruženje za ocjenu usklađenih komponenti sustava elektroničkih zdravstvenih zapisa. Takva okruženja moraju biti u skladu sa zajedničkim specifikacijama za europska digitalna testna okruženja utvrđenima na temelju stavka 4. Države članice obavještavaju Komisiju o svojim digitalnim testnim okruženjima.

3.   Prije stavljanja sustava elektroničkih zdravstvenih zapisa na tržište proizvođači upotrebljavaju testna okruženja iz stavaka 1. i 2. za ocjenjivanje usklađenih komponenti sustava elektroničkih zdravstvenih zapisa. Rezultati testiranja sastavni su dio dokumentacije iz članka 24. Smatra se da su elementi koji na testiranju imaju pozitivne rezultate usklađeni s ovom Uredbom.

4.   Komisija provedbenim aktima utvrđuje zajedničke specifikacije za europsko digitalno testno okruženje. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

Članak 27.

Oznaka CE

1.  Oznaka CE postavlja se na prateće dokumente sustava elektroničkih zdravstvenih zapisa i prema potrebi na ambalažu tako da je vidljiva, čitka i neizbrisiva.

1.a   Oznaka CE postavlja se prije stavljanja sustava elektroničkih zdravstvenih zapisa na tržište.

2.  Oznaka CE podliježe općim načelima utvrđenima u članku 30. Uredbe (EZ) br. 765/2008 Europskog parlamenta i Vijeća.

Članak 27.a

Nacionalni zahtjevi i izvješćivanje Komisije

1.   Države članice mogu uvesti nacionalne zahtjeve za sustave elektroničkih zdravstvenih zapisa i odredbe o ocjenjivanju njihove sukladnosti u odnosu na aspekte koji nisu obuhvaćeni usklađenim komponentama sustava elektroničkih zdravstvenih zapisa.

2.   Nacionalni zahtjevi ili odredbe o ocjenjivanju iz stavka 1. ne smiju ometati niti negativno utjecati na usklađene komponente sustava elektroničkih zdravstvenih zapisa.

3.   Države članice obavješćuju Komisiju kada donose propise u skladu sa stavkom 1.

Odjeljak 4.

Nadzor tržišta za sustave elektroničkih zdravstvenih zapisa

Članak 28.

Tijela za nadzor tržišta

1.  Na sustave elektroničkih zdravstvenih zapisa obuhvaćene poglavljem III. ove Uredbe u pogledu zahtjeva koji se primjenjuju na te sustave i njihovih rizika primjenjuje se Uredba (EU) 2019/1020.

2.  Države članice imenuju tijelo ili tijela za nadzor tržišta odgovorna za provedbu ovog poglavlja. Svojim tijelima za nadzor tržišta povjeravaju potrebne ovlasti, ljudske, financijske i tehničke resurse, opremu i znanje nužne za pravilno obavljanje njihovih zadaća u skladu s ovom Uredbom. Radi provedbe ovog poglavlja tijela za nadzor tržišta ovlaštena su poduzimati mjere iz članka 16. Uredbe (EU) 2019/1020. Države članice priopćuju Komisiji identitet tijela za nadzor tržišta. Komisija i države članice objavljuju te podatke.

3.  Tijela za nadzor tržišta imenovana u skladu s ovim člankom mogu biti tijela nadležna za digitalno zdravstvo imenovana u skladu s člankom 10. Ako tijelo nadležno za digitalno zdravstvo izvršava zadaće tijela za nadzor tržišta, države članice moraju osigurati da se izbjegava svaki sukob interesa.

4.  Tijela za nadzor tržišta jednom godišnje izvješćuju Komisiju o ishodima relevantnih aktivnosti nadzora tržišta.

4.b   Ako proizvođač ili drugi gospodarski subjekt ne surađuje s tijelima za nadzor tržišta ili ako su dostavljene informacije i dokumentacija nepotpune ili netočne, tijela za nadzor tržišta mogu poduzeti sve odgovarajuće mjere kako bi zabranila ili ograničila dostupnost relevantnog sustava elektroničkih zdravstvenih zapisa na tržištu dok proizvođač ne pristane surađivati ili ne dostavi potpune i točne informacije, ne povuče ga s tržišta ili opozove.

5.  Tijela za nadzor tržišta država članica surađuju međusobno i s Komisijom. Komisija organizira razmjene informacija potrebnih u tu svrhu.

6.  Kad je riječ o medicinskim proizvodima, in vitro medicinskim proizvodima ili visokorizičnim sustavima umjetne inteligencije iz članka 14. stavaka 3. i 4., odgovorna tijela za nadzor tržišta su tijela iz članka 93. Uredbe (EU) 2017/745, članka 88. Uredbe (EU) 2017/746 ili članka 59. Uredbe […] [Akt o umjetnoj inteligenciji 2021/0106(COD)], ovisno o slučaju.

Članak 29.

Upravljanje rizicima povezanima sa sustavima elektroničkih zdravstvenih zapisa i rješavanje ozbiljnih incidenata

1.  Ako tijelo za nadzor tržišta jedne države članice ima dovoljno razloga vjerovati da je sustav elektroničkih zdravstvenih zapisa rizičan za zdravlje, sigurnost ili prava pojedinaca ili zaštitu osobnih podataka, provodi ocjenjivanje u vezi s dotičnim sustavom elektroničkih zdravstvenih zapisa i pritom obuhvaća sve relevantne zahtjeve utvrđene ovom Uredbom. Njegovi ovlašteni zastupnici i svi ostali relevantni gospodarski subjekti prema potrebi surađuju u tu svrhu s tijelima za nadzor tržišta i poduzimaju sve odgovarajuće mjere kako bi osigurali da taj sustav elektroničkih zdravstvenih zapisa više nije rizičan kad se stavi na tržište, da povuku sustav s tržišta ili ga opozovu.

1.a   Ako tijela za nadzor nad tržištem smatraju da neusklađenost nije ograničena na njihovo državno područje, izvješćuju Komisiju i druge države članice o rezultatima ocjenjivanja i mjerama koje zahtijevaju od gospodarskog subjekta.

1.b   Ako tijelo za nadzor tržišta zaključi da je sustav elektroničkih zdravstvenih zapisa prouzročio štetu zdravlju ili sigurnosti pojedinaca ili drugim aspektima zaštite javnog interesa, proizvođač bez odgode pruža informacije i dokumentaciju, ovisno o slučaju, osobi ili korisniku na koje to utječe i, prema potrebi, ostalim trećim stranama na koje je utjecala šteta prouzročena osobi ili korisniku, ne dovodeći u pitanje pravila o zaštiti podataka.

2.  Gospodarski subjekt iz stavka 1. osigurava poduzimanje korektivnih mjera u pogledu svih predmetnih sustava elektroničkih zdravstvenih zapisa koje je stavio na tržište bilo gdje u Uniji.

3.  Tijelo za nadzor tržišta bez nepotrebne odgode obavješćuje Komisiju i tijela za nadzor tržišta ili, ako je primjenjivo, nadzorna tijela iz Uredbe (EU) 2016/679 ostalih država članica o mjerama koje su naložene u skladu sa stavkom 1. Te informacije uključuju sve dostupne pojedinosti, a posebno podatke nužne za identifikaciju predmetnog sustava elektroničkih zdravstvenih zapisa, njegovo podrijetlo i lanac opskrbe, prirodu povezanog rizika te vrstu i trajanje poduzetih nacionalnih mjera.

3.a   Ako se nalaz tijela za nadzor tržišta ili ozbiljan incident o kojem je obaviješteno odnosi na zaštitu osobnih podataka, tijelo za nadzor tržišta bez nepotrebne odgode obavješćuje relevantna nadzorna tijela i surađuje s njima u skladu s Uredbom (EU) 2016/679.

4.  Proizvođači sustava elektroničkih zdravstvenih zapisa stavljenih na tržište ili u uporabu prijavljuju svaki ozbiljni incident koji uključuje sustav elektroničkih zdravstvenih zapisa tijelima za nadzor tržišta država članica u kojima je došlo do ozbiljnog incidenta te tijelima za nadzor tržišta država članica u kojima su takvi sustavi elektroničkih zdravstvenih zapisa stavljeni na tržište ili u uporabu. Izvješće također sadrži opis korektivnih mjera koje je proizvođač poduzeo ili predvidio. Države članice mogu predvidjeti da takve incidente prijavljuju korisnici sustava elektroničkih zdravstvenih zapisa stavljenih na tržište ili u uporabu.

Ne dovodeći u pitanje zahtjeve za obavješćivanje o incidentima u skladu s Direktivom (EU) 2022/2555, takva se obavijest dostavlja čim proizvođač utvrdi uzročnu vezu između sustava elektroničkih zdravstvenih zapisa i ozbiljnog incidenta ili razumnu vjerojatnost takve veze, a u svakom slučaju najkasnije 3 dana nakon što proizvođač sazna za ozbiljan incident koji uključuje sustav elektroničkih zdravstvenih zapisa.

5.  Tijela ▌iz stavka 4. bez odgode obavješćuju druga tijela ▌o ozbiljnom incidentu i korektivnoj mjeri koju je proizvođač poduzeo ili predvidio ili koja se od njega zahtijeva kako bi se rizik od ponavljanja ozbiljnog incidenta sveo na najmanju moguću mjeru.

6.  Ako tijelo nadležno za digitalno zdravstvo ne izvršava zadaće tijela za nadzor tržišta, tijelo za nadzor tržišta surađuje s tijelom nadležnim za digitalno zdravstvo. Dužno je obavijestiti tijelo nadležno za digitalno zdravstvo o svim ozbiljnim incidentima i o sustavima elektroničkih zdravstvenih zapisa koji predstavljaju rizik, uključujući rizike povezane s interoperabilnošću, zaštitom i sigurnošću pacijenata, te o svim korektivnim mjerama, opozivima ili povlačenjima takvih sustava elektroničkih zdravstvenih zapisa.

6.b   U slučaju incidenata koji ugrožavaju sigurnost pacijenata ili informacijsku sigurnost, tijela za nadzor tržišta mogu poduzeti hitne mjere i zahtijevati hitne korektivne mjere.

Članak 30.

Postupanje u slučaju neusklađenosti

1.  Ako tijelo za nadzor tržišta ustanovi, između ostalog, jedno od sljedećeg, dužno je zatražiti od proizvođača predmetnog sustava elektroničkih zdravstvenih zapisa, njegova ovlaštenog zastupnika i svih relevantnih gospodarskih subjekata da u utvrđenom roku poduzme odgovarajuće mjere za usklađivanje sustava elektroničkih zdravstvenih zapisa:

(a)  sustav elektroničkih zdravstvenih zapisa nije u skladu s bitnim zahtjevima utvrđenima u Prilogu II. i sa zajedničkim specifikacijama u skladu s člankom 23.;

(b)  tehnička dokumentacija nedostupna je, nepotpuna ili nije u skladu s člankom 24.;

(c)  EU izjava o sukladnosti nije sastavljena ili nije pravilno sastavljena kako je navedeno u članku 26.;

(d)  oznaka CE nije postavljena u skladu s člankom 27. ili uopće nije stavljena;

(da)   obveze registracije iz članka 32. nisu ispunjene.

1.a   Ako relevantni gospodarski subjekt u razumnom roku ne poduzme prikladne korektivne mjere, tijela za nadzor tržišta poduzimaju sve prikladne privremene mjere kako bi zabranila ili ograničila dostupnost sustava elektroničkih zdravstvenih zapisa na svojem nacionalnom tržištu, povukla sustav elektroničkih zdravstvenih zapisa s tržišta ili ga opozvala.

Tijela za nadzor tržišta dužna su o tim mjerama bez odgode obavijestiti Komisiju i druge države članice. Te informacije uključuju sve dostupne pojedinosti, a posebno podatke potrebne za identifikaciju neusklađenog sustava elektroničkih zdravstvenih zapisa, podrijetlo tog sustava, prirodu navodne neusklađenosti i povezanog rizika, prirodu i trajanje poduzetih nacionalnih mjera te obrazloženje koje je ponudio relevantni gospodarski subjekt. Tijela za nadzor tržišta posebno navode je li mogući uzrok neusklađenosti nešto od sljedećeg:

(a)   činjenica da sustav elektroničkih zdravstvenih zapisa ne ispunjava zahtjeve koji se odnose na bitne zahtjeve utvrđene u Prilogu II.;

(b)   nedostaci u zajedničkim specifikacijama iz članka 23.

(d)   države članice, osim države članice koja je započela postupak u skladu s ovim člankom, bez odgode obavještavaju Komisiju i ostale države članice o svim donesenim mjerama te o svim dodatnim informacijama koje su im na raspolaganju u vezi s neusklađenošću dotičnog sustava elektroničkih zdravstvenih zapisa te o svojim prigovorima u slučaju neslaganja s donesenom nacionalnom mjerom;

(e)   ako u roku od tri mjeseca od primitka informacije iz drugog podstavka nijedna država članica ni Komisija ne ulože prigovor na privremenu mjeru koju je poduzela određena država članica, mjera se smatra opravdanom.

2.  Ako se neusklađenost iz stavka 1. nastavi, dotično tijelo za nadzor tržišta poduzima sve prikladne mjere kako bi ograničilo ili zabranilo stavljanje sustava elektroničkih zdravstvenih zapisa na tržište ili kako bi osiguralo njegov opoziv ili povlačenje s tržišta.

Članak 30.a

Zaštitni postupak Unije

1.   Ako se nakon završetka postupka iz članka 29. stavka 2. i članka 30. stavka 1.a ulože prigovori na mjeru koju je poduzela država članica ili ako Komisija smatra da je neka nacionalna mjera u suprotnosti s pravom Unije, Komisija bez odgode započinje savjetovanje s državama članicama i relevantnim gospodarskim subjektom ili subjektima i ocjenjuje tu nacionalnu mjeru. Na temelju rezultata tog ocjenjivanja Komisija donosi provedbeni akt u obliku odluke u kojoj se navodi je li ta nacionalna mjera opravdana ili nije. Komisija svoju odluku upućuje svim državama članicama te o njoj odmah obavješćuje države članice te relevantni gospodarski subjekt ili subjekte.

2.   Ako se nacionalna mjera smatra opravdanom, sve države članice poduzimaju potrebne mjere kako bi osigurale da se nesukladni sustav elektroničkih zdravstvenih zapisa povuče s njihova nacionalnog tržišta te o tome obavješćuju Komisiju. Ako se nacionalna mjera smatra neopravdanom, dotična država članica je povlači.

Odjeljak 5.

Ostale odredbe o interoperabilnosti

Članak 31.

▌Označivanje aplikacija za dobrobit

1.  Ako proizvođač aplikacije za dobrobit tvrdi da je aplikacija interoperabilna sa sustavom elektroničkih zdravstvenih zapisa u odnosu na usklađene komponente sustava elektroničkih zdravstvenih zapisa, a time i u skladu s bitnim zahtjevima utvrđenima u Prilogu II. i zajedničkim specifikacijama iz članka 23., takva aplikacija za dobrobit mora sadržavati oznaku na kojoj se jasno navodi njezina usklađenost s tim zahtjevima. Oznaku izdaje proizvođač aplikacije za dobrobit.

2.  Na oznaci se navode sljedeće informacije:

(a)  kategorije elektroničkih zdravstvenih podataka za koje je potvrđena usklađenost s bitnim zahtjevima utvrđenima u Prilogu II.;

(b)  upućivanje na zajedničke specifikacije radi dokazivanja usklađenosti;

(c)  razdoblje valjanosti oznake.

3.  Komisija provedbenim aktima određuje format i sadržaj oznake. Ti se provedbeni akti donose u skladu s ▌postupkom ispitivanja iz članka 68. stavka 2.

4.  Oznaka se sastavlja na jednom ili više službenih jezika Unije ili na lako razumljivim jezicima koje odrede države članice u kojima se aplikacija za dobrobit stavlja na tržište ili u uporabu.

5.  Razdoblje valjanosti oznake ne može biti dulje od tri godine.

6.  Ako je aplikacija za dobrobit sastavni dio uređaja ili je ugrađena u uređaj nakon njegova stavljanja u uporabu, prateća oznaka prikazuje se u samoj aplikaciji ili se stavlja na uređaj, a u slučaju softvera stavlja se digitalna oznaka. Za prikaz oznake mogu se upotrebljavati i dvodimenzionalni, 2D, crtični kodovi.

7.  Tijela za nadzor tržišta provjeravaju usklađenosti aplikacija za dobrobit s bitnim zahtjevima utvrđenima u Prilogu II.

8.  Svaki dobavljač aplikacije za dobrobit za koju je izdana oznaka bez naknade osigurava da aplikacija za dobrobit stavljena na tržište ili u uporabu sadržava oznaku za svaku pojedinačnu jedinicu.

9.  Svaki distributer aplikacije za dobrobit za koju je izdana oznaka stavlja oznaku na raspolaganje kupcima na prodajnom mjestu u elektroničkom obliku ▌.

Članak 31.a

Interoperabilnost aplikacija za dobrobit sa sustavima elektroničkih zdravstvenih zapisa

1.   Proizvođači aplikacija za dobrobit mogu tvrditi da postoji interoperabilnost sa sustavom elektroničkih zdravstvenih zapisa nakon što se ispune relevantni uvjeti. Ako je to slučaj, korisnici takvih aplikacija za dobrobit moraju se na odgovarajući način obavijestiti o toj interoperabilnosti i o njezinim učincima.

2.   Interoperabilnost aplikacija za dobrobit sa sustavima elektroničkih zdravstvenih zapisa ne znači automatsko dijeljenje ili prijenos svih ili dijela zdravstvenih podataka iz aplikacije za dobrobit sa sustavom elektroničkih zdravstvenih zapisa. Razmjena ili prijenos takvih podataka mogući su samo nakon privole pojedinca i u skladu s člankom 8.B ove Uredbe, a interoperabilnost je ograničena isključivo na tu svrhu. Proizvođači aplikacija za dobrobit koje tvrde da postoji interoperabilnost sa sustavom elektroničkih zdravstvenih zapisa osiguravaju da korisnik može odabrati koje kategorije zdravstvenih podataka iz aplikacije za dobrobit želi unijeti u sustav elektroničkih zdravstvenih zapisa te okolnosti tog dijeljenja ili prijenosa.

Odjeljak 5.a

Registracija sustava elektroničkih zdravstvenih zapisa i aplikacija za dobrobit

Članak 32.

Baza podataka EU-a za registraciju sustava elektroničkih zdravstvenih zapisa i aplikacije za dobrobit

1.  Komisija uspostavlja i vodi javno dostupnu bazu podataka s informacijama o sustavima elektroničkih zdravstvenih zapisa za koje je izdana EU izjava o sukladnosti u skladu s člankom 26. i o aplikacijama za dobrobit za koje je izdana oznaka u skladu s člankom 31.

2.  Prije nego što se sustav elektroničkih zdravstvenih zapisa iz članka 14. ili aplikacija za dobrobit iz članka 31. stavi na tržište ili u uporabu, proizvođač tog sustava elektroničkih zdravstvenih zapisa ili aplikacije za dobrobit ili, ovisno o slučaju, njegov ovlašteni zastupnik registriraju potrebne podatke u bazi podataka EU-a iz stavka 1. te navode rezultate testnog okruženja iz članka 26.a.

3.  Medicinski proizvodi, in vitro medicinski proizvodi ili visokorizični sustavi umjetne inteligencije iz članka 14. stavaka 1. i 2. ove Uredbe također se registriraju u bazi podataka uspostavljenoj u skladu s uredbama (EU) 2017/745, (EU) 2017/746 ili […] [Akt o umjetnoj inteligenciji 2021/0106(COD)], ovisno o slučaju. U takvim se slučajevima informacije prosljeđuju i u bazu podataka EU-a iz stavka 1.

4.  Komisija je ovlaštena za donošenje delegiranih akata na temelju članka 67. kako bi utvrdila popis podataka koje proizvođači sustava elektroničkih zdravstvenih zapisa i aplikacija za dobrobit moraju registrirati u skladu sa stavkom 2.

POGLAVLJE IV.

Sekundarna uporaba elektroničkih zdravstvenih podataka

Odjeljak 1.

Opći uvjeti sekundarne uporabe elektroničkih zdravstvenih podataka

Članak 32.a

Primjenjivost na vlasnike zdravstvenih podataka

Sljedeće kategorije vlasnika zdravstvenih podataka izuzimaju se od obveza kojima podliježu vlasnici zdravstvenih podataka utvrđenih u ovom poglavlju:

(a)  pojedinačni istraživači i pojedinci;

(b)  pravne osobe koje su mikropoduzeća kako je definirano u članku 2. Priloga Preporuci Komisije 2003/361/EZ.

Države članice mogu na temelju nacionalnog zakonodavstva predvidjeti da se obveze vlasnika zdravstvenih podataka utvrđene u ovom poglavlju primjenjuju na vlasnike zdravstvenih podataka iz stavka 1. koji potpadaju pod njihovu nadležnost.

Države članice mogu na temelju nacionalnog zakonodavstva predvidjeti da obveze određenih kategorija vlasnika podataka ispunjavaju subjekti za posredovanje u području zdravstvenih podataka. U tom se slučaju i dalje smatra da je podatke na raspolaganje stavilo nekoliko vlasnika podataka.

Komisiju o nacionalnom zakonodavstvu definiranom u stavcima 2., 3. i 4. ovog članka treba obavijestiti do [datum početka primjene poglavlja IV.]. Komisiju bez odgode treba obavijestiti o svim naknadnim zakonima ili izmjenama koje na njih utječu.

Članak 33.

Minimalne kategorije elektroničkih podataka za sekundarnu uporabu

1.  Vlasnici zdravstvenih podataka stavljaju na raspolaganje sljedeće kategorije elektroničkih podataka za sekundarnu uporabu u skladu s odredbama ovog poglavlja:

(a)  elektroničke zdravstvene podatke iz elektroničkih zdravstvenih zapisa;

(b)  podatke o čimbenicima koji utječu na zdravlje, uključujući socioekonomske, okolišne i bihevioralne odrednice zdravlja;

(ba)   objedinjene podatke o zdravstvenim potrebama, resursima dodijeljenima za zdravstvenu zaštitu, pružanju zdravstvene zaštite i pristupu toj zaštiti, zdravstvenim rashodima i financiranju;

(c)  ▌podatke o patogenima koji utječu na zdravlje ljudi;

(d)  administrativne podatke povezane sa zdravstvenom zaštitom, uključujući podatke o izdavanju lijekova, zahtjevima za naknadu i naknadi troškova;

(e)  genetske, epigenomske i genomske ▌podatke koji se odnose na ljude;

(ea)   druge molekularne podatke koji se odnose na ljude, kao što su proteomski, transkriptomski, metabolomski, lipidomski i drugi -omski podaci;

(f)  automatski generirane elektroničke osobne zdravstvene podatke ▌, putem medicinskih proizvoda;

(fa)   podatke iz aplikacija za dobrobit;

(g)  podatke o profesionalnom statusu, specijalizaciji i ustanovi zdravstvenih stručnjaka uključenih u liječenje pojedinca;

(h)  registre zdravstvenih podataka ▌stanovništva (registri javnog zdravlja);

(i)  ▌podatke iz medicinskih registara i registara smrtnosti;

(j)  ▌podatke iz kliničkih ispitivanja, kliničkih studija i kliničkih istraživanja koji podliježu Uredbi (EU) 536/2014, Uredbi [SOHO], Uredbi (EU) 2017/745 odnosno Uredbi (EU) 2017/746;

(k)  druge zdravstvene podatke iz medicinskih proizvoda ▌;

(ka)   podatke iz medicinskih registara za lijekove i medicinske proizvode;

(l)  podatke iz kohortnih studija, upitnika i anketa povezanih sa zdravljem, nakon prve objave rezultata;

(m)  ▌zdravstvene podatke iz biobanaka i povezanih baza podataka.

▌

6.  Ako tijelo javnog sektora dobije podatke tijekom izvanrednog stanja kako je definirano u članku 15. točki (a) ili (b) Uredbe (EU) 2023/2854, u skladu s pravilima utvrđenima u toj uredbi, tijelo za pristup zdravstvenim podacima može mu pružiti tehničku podršku za obradu podataka ili njihovo objedinjavanje s drugim podacima za zajedničku analizu.

▌

8.  Države članice mogu na temelju nacionalnog prava predvidjeti da se dodatne kategorije elektroničkih zdravstvenih podataka stavljaju na raspolaganje za sekundarnu uporabu na temelju ove Uredbe.

8.a   Države članice mogu utvrditi pravila za obradu i uporabu elektroničkih zdravstvenih podataka koji sadržavaju razna poboljšanja u vezi s obradom elektroničkih zdravstvenih podataka na temelju dozvole za podatke u skladu s člankom 46., kao što su ispravci, bilješke i obogaćivanje.

8.b   Države članice mogu na nacionalnoj razini uvesti strože mjere i dodatne zaštitne mjere s ciljem zaštite osjetljivosti i vrijednosti podataka obuhvaćenih člankom 33. stavkom 1. točkama (e), (fa), (m) i (ea). Države članice obavješćuju Komisiju o tim pravilima i mjerama te je bez odgode obavješćuju o svim naknadnim izmjenama koje se na njih odnose.

Članak 33.a

Prava intelektualnog vlasništva i poslovne tajne

Elektronički zdravstveni podaci zaštićeni pravima intelektualnog vlasništva, poslovnom tajnom i/ili obuhvaćeni regulatornim pravom na zaštitu podataka iz članka 10. stavka 1. Direktive 2001/83/EZ ili članka 14. stavka 11. Uredbe (EZ) 726/2004 stavljaju se na raspolaganje za sekundarnu uporabu u skladu s načelima utvrđenima u ovoj Uredbi. U tom pogledu primjenjuje se sljedeće:

(a)   vlasnici zdravstvenih podataka obavješćuju tijelo za pristup zdravstvenim podacima i identificiraju sve elektroničke zdravstvene podatke koji sadržavaju informacije ili sadržaj zaštićen pravima intelektualnog vlasništva ili poslovnom tajnom i/ili obuhvaćen regulatornim pravom na zaštitu podataka iz članka 10. stavka 1. Direktive 2001/83/EZ ili članka 14. stavka 11. Uredbe (EZ) 726/2004. U njima se navodi o kojim je dijelovima skupova podataka riječ i obrazlaže zašto je za te podatke potrebna posebna zaštita koja se na njih odnosi. Te se informacije navode kada se tijelu za pristup zdravstvenim podacima šalju opisi skupova podataka na temelju članka 41. stavka 2. za skupove podataka koje posjeduje ili najkasnije nakon zahtjeva tijela za pristup zdravstvenim podacima;

(b)   tijela za pristup zdravstvenim podacima poduzimaju sve posebne odgovarajuće i razmjerne mjere, uključujući pravne, organizacijske i tehničke mjere, koje smatraju potrebnima za očuvanje zaštite prava intelektualnog vlasništva, poslovne tajne i/ili regulatornih prava na zaštitu podataka iz članka 10. stavka 1. Direktive 2001/83/EZ ili članka 14. stavka 11. Uredbe (EZ) 726/2004. Tijelo za pristup zdravstvenim podacima utvrđuje nužnost i primjerenost takvih mjera;

(c)   pri izdavanju dozvola za podatke tijela za pristup zdravstvenim podacima mogu pristup određenim elektroničkim zdravstvenim podacima uvjetovati pravnim, organizacijskim i tehničkim mjerama. Takve mjere mogu uključivati ugovorne aranžmane između vlasnika i korisnika zdravstvenih podataka radi razmjene podataka koji sadržavaju informacije ili sadržaj zaštićen pravima intelektualnog vlasništva ili poslovnom tajnom. Komisija za takve aranžmane izrađuje i preporučuje neobvezujući model ugovornih odredbi;

(d)   ako odobravanje pristupa elektroničkim zdravstvenim podacima u sekundarne svrhe predstavlja ozbiljan rizik od povrede prava intelektualnog vlasništva, poslovne tajne i/ili regulatornih prava na zaštitu podataka iz članka 10. stavka 1. Direktive 2001/83/EZ ili članka 14. stavka 11. Uredbe (EZ) 726/2004 koji se ne može riješiti na zadovoljavajući način, tijelo za pristup zdravstvenim podacima u tom pogledu korisniku zdravstvenih podataka odbija pristup. Tijelo za pristup zdravstvenim podacima o odbijanju obavješćuje korisnika zdravstvenih podataka i objašnjava zašto se pristup ne može odobriti. Vlasnici i korisnici zdravstvenih podataka imaju pravo podnijeti pritužbu u skladu s člankom 38.b.

Članak 34.

Svrhe u koje se elektronički zdravstveni podaci mogu obrađivati za sekundarnu uporabu

1.  Tijela za pristup zdravstvenim podacima pružaju korisniku zdravstvenih podataka pristup elektroničkim zdravstvenim podacima iz članka 33. za sekundarnu uporabu samo ako je obrada podataka koju provodi korisnik podataka nužna u jednu od sljedećih svrha:

(a)  javni interes u području javnog zdravlja i zdravlja na radu, kao što su aktivnosti za zaštitu od ozbiljnih prekograničnih prijetnji zdravlju i nadzor javnog zdravlja ili aktivnosti za osiguravanje visoke razine kvalitete i sigurnosti zdravstvene zaštite, uključujući sigurnost pacijenata, te lijekova ili medicinskih proizvoda;

(b)  aktivnosti oblikovanja politika i regulatorne aktivnosti za pružanje potpore tijelima javnog sektora ili institucijama, agencijama i tijelima Unije, uključujući regulatorna tijela, u zdravstvenom sektoru ili sektoru skrbi u izvršavanju njihovih zadaća utvrđenih u okviru njihovih ovlasti;

(c)  statistika, kao što je službena statistika na nacionalnoj i višenacionalnoj razini te na razini Unije kako je definirano u Uredbi (EU) br. 223/2009(33) koja se odnosi na zdravstveni sektor ili sektor skrbi;

(d)  aktivnosti obrazovanja ili poučavanja u zdravstvenom sektoru ili sektoru skrbi na razini strukovnog ili visokog obrazovanja;

(e)  znanstvena istraživanja povezana sa zdravstvenim sektorom ili sektorom skrbi, ▌kojima se doprinosi javnom zdravlju ili ocjeni zdravstvenih tehnologija ili osigurava visoka razina kvalitete i sigurnosti zdravstvene zaštite, lijekova ili medicinskih proizvoda, u korist krajnjih korisnika, kao što su pacijenti, zdravstveni stručnjaci i administrativni radnici u zdravstvu, uključujući:

i.  aktivnosti razvoja i inovacija povezane s proizvodima ili uslugama;

ii.  učenje, testiranje i ocjenjivanje algoritama, među ostalim u medicinskim proizvodima, in vitro dijagnostičkim medicinskim proizvodima, sustavima umjetne inteligencije i aplikacijama za digitalno zdravstvo ▌;

▌

(h)  poboljšanje pružanja skrbi, optimizacija liječenja i osiguravanje zdravstvene zaštite na temelju elektroničkih zdravstvenih podataka drugih pojedinaca.

2.  Pristup elektroničkim zdravstvenim podacima u svrhe iz stavka 1. točaka od (a) do (c) rezerviran je za tijela javnog sektora te institucije, tijela, urede i agencije Unije koji obavljaju zadaće koje su im dodijeljene pravom Unije ili nacionalnim pravom, među ostalim ako obradu podataka za obavljanje tih zadaća provodi treća strana u ime tog tijela javnog sektora ili institucija, agencija i tijela Unije.

▌

Članak 35.

Zabranjena sekundarna uporaba elektroničkih zdravstvenih podataka

Korisnici zdravstvenih podataka obrađuju elektroničke zdravstvene podatke za sekundarnu uporabu isključivo na temelju i u skladu sa svrhama utvrđenima u dozvoli za podatke prema članku 46. ili zahtjevima za podatke prema članku 47.

Posebno se zabranjuje ▌traženje pristupa elektroničkim zdravstvenim podacima i obrada takvih podataka dobivenih na temelju dozvole za podatke izdane u skladu s člankom 46. ili zahtjeva za podatke odobrenog u skladu s člankom 47. u sljedeće svrhe:

(a)  donošenje odluka štetnih za pojedinca ili skupinu pojedinaca na temelju njihovih elektroničkih zdravstvenih podataka; da bi se smatrale „odlukama”, moraju proizvoditi pravne, socijalne ili gospodarske učinke ili na sličan način znatno utjecati na te pojedince;

(b)  donošenje odluka u odnosu na pojedinca ili skupine pojedinaca u vezi s poslovnim ponudama ili nuđenjem nepovoljnijih uvjeta u pružanju robe ili usluga, uključujući odluke kojima ih se isključuje iz pogodnosti ugovora o osiguranju ili kreditu ili kojima se mijenjaju njihovi doprinosi i premije osiguranja ili uvjeti zajma, ili donošenje bilo kakvih drugih odluka kojima se pojedinac ili skupine pojedinaca diskriminiraju na temelju dobivenih zdravstvenih podataka;

(c)  aktivnosti oglašavanja ili marketinga ▌;

▌

(e)  razvoj proizvoda ili usluga koji mogu štetiti pojedincima, javnom zdravlju ili društvima u cjelini, uključujući, ali ne ograničavajući se na nedopuštene droge, alkoholna pića, duhanske i nikotinske proizvode, oružje ili proizvode ili usluge koji su oblikovani ili izmijenjeni na način da stvaraju ovisnost ili koji su u suprotnosti s javnim redom ili uzrokuju rizik za ljudsko zdravlje;

(eb)   aktivnosti koje su u suprotnosti s etičkim odredbama iz nacionalnog prava.

Odjeljak 2.

Upravljanje i mehanizmi za sekundarnu uporabu elektroničkih zdravstvenih podataka

Članak 36.

Tijela za pristup zdravstvenim podacima

1.  Države članice imenuju jedno ili više tijela za pristup zdravstvenim podacima koja su nadležna za izvršavanje zadaća iz članaka 37., 38. i 39. Države članice mogu osnovati jedno ili više novih tijela javnog sektora ili se osloniti na postojeća tijela javnog sektora ili na interne službe tijela javnog sektora koji ispunjavaju uvjete utvrđene u ovom članku. Zadaće utvrđene u članku 37. mogu se podijeliti na različita tijela za pristup zdravstvenim podacima. Ako država članica imenuje više tijela za pristup zdravstvenim podacima, mora imenovati jedno tijelo za pristup zdravstvenim podacima koje će imati ulogu koordinatora i koordinirati zadaće s drugim tijelima za pristup zdravstvenim podacima, i unutar te države članice i u odnosu na tijela za pristup zdravstvenim podacima iz drugih država članica.

Svako tijelo za pristup zdravstvenim podacima doprinosi dosljednoj primjeni ove Uredbe u cijeloj Uniji. U tu svrhu tijela za pristup zdravstvenim podacima surađuju međusobno i s Komisijom te, kad je riječ o spornim pitanjima u vezi sa zaštitom podataka, s relevantnim nadzornim tijelima.

2.  Države članice osiguravaju da svako tijelo za pristup zdravstvenim podacima ima ljudske ▌i financijske resurse te potrebnu stručnost za obavljanje svojih zadaća i izvršavanje svojih ovlasti.

Ako je nacionalnim pravom propisano da ocjenu provode etička tijela, ta tijela stavljaju stručno znanje na raspolaganje tijelu za pristup zdravstvenim podacima. Kao alternativu države članice mogu u okviru tijela za pristup zdravstvenim podacima predvidjeti etička tijela.

Države članice također osiguravaju tehničke resurse, prostorije i infrastrukturu potrebne za djelotvorno obavljanje zadaća i izvršavanje ovlasti tijela.

2.a   Države članice osiguravaju izbjegavanje svakog sukoba interesa između različitih zadaća tijela za pristup zdravstvenim podacima. To može uključivati organizacijske zaštitne mjere kao što je funkcionalna segregacija među različitim funkcijama tijela za pristup zdravstvenim podacima, među ostalim između ocjenjivanja zahtjeva, primanja i pripreme skupova podataka, uključujući anonimizaciju, pseudonimizaciju te pružanje podataka u sigurnim okruženjima za obradu.

3.  Pri obavljanju svojih zadaća tijela za pristup zdravstvenim podacima aktivno surađuju s predstavnicima relevantnih dionika, posebno s predstavnicima pacijenata, vlasnika podataka i korisnika podataka te izbjegavaju svaki sukob interesa. ▌

3.a   Pri obavljanju svojih zadaća i izvršavanju svojih ovlasti u skladu s ovom Uredbom tijela za pristup zdravstvenim podacima izbjegavaju svaki sukob interesa. Osoblje tijela za pristup zdravstvenim podacima djeluje u javnom interesu i neovisno.

4.  Države članice obavješćuju Komisiju o identitetu tijela za pristup zdravstvenim podacima imenovanih u skladu sa stavkom 1. do datuma početka primjene ove Uredbe. Komisiju obavješćuju i o svim naknadnim izmjenama identiteta tih tijela. Komisija i države članice objavljuju te podatke.

Članak 36.s

Služba Unije za pristup podacima

1.   Komisija izvršava zadaće iz članaka 37. i 39. koje se odnose na vlasnike zdravstvenih podataka koji su institucije, tijela, uredi ili agencije Unije.

2.   Komisija osigurava da su za djelotvorno obavljanje tih zadaća i izvršavanje ovlasti dodijeljeni potrebni ljudski, tehnički i financijski resursi, prostorije i infrastruktura.

3.   Osim ako postoji izričito isključenje, upućivanja na zadaće i dužnosti tijela za pristup zdravstvenim podacima u ovoj Uredbi primjenjuju se i na Komisiju ako je riječ o vlasnicima podataka koji su institucije, tijela, uredi ili agencije Unije.

Članak 37.

Zadaće tijela za pristup zdravstvenim podacima

1.  Tijela za pristup zdravstvenim podacima izvršavaju sljedeće zadaće:

(a)  odlučuju o zahtjevima za pristup podacima u skladu s člankom 45., odobravaju i izdaju dozvole za podatke u skladu s člankom 46. radi pristupa elektroničkim zdravstvenim podacima koji su u njihovoj ▌nadležnosti u svrhu sekundarne uporabe te odlučuju o zahtjevima za podatke na temelju članka 47. u skladu s ovim poglavljem i poglavljem II. Uredbe (EU) 2022/868, uključujući:

iii.   pružanje pristupa elektroničkim zdravstvenim podacima za korisnike zdravstvenih podataka na temelju dozvole za podatke u sigurnom okruženju za obradu u skladu sa zahtjevima utvrđenima u članku 50.;

iv.   praćenje i nadzor usklađenosti korisnika i vlasnika zdravstvenih podataka sa zahtjevima utvrđenima u ovoj Uredbi;

vi.   traženje elektroničkih zdravstvenih podataka iz članka 33. od relevantnih vlasnika zdravstvenih podataka na temelju dozvole za podatke ili odobrenog zahtjeva za podatke;

(d)  obrađuju elektroničke zdravstvene podatke iz članka 33., kao što su primanje, kombiniranje, priprema i objedinjavanje potrebnih traženih podataka od vlasnika zdravstvenih podataka, pseudonimizacija ili anonimizacija podataka;

▌

(f)  poduzimaju sve potrebne mjere za očuvanje povjerljivosti prava intelektualnog vlasništva i zakonske zaštite podataka te povjerljivosti poslovnih tajni kako je predviđeno u članku 35.a te vodeći računa o relevantnim pravima kako vlasnika tako i korisnika zdravstvenih podataka;

▌

(j)  surađuju s vlasnicima podataka i nadziru ih kako bi provedba oznake kvalitete i korisnosti podataka iz članka 56. bila dosljedna i točna;

(k)  vode sustav upravljanja za evidentiranje i obradu zahtjeva za pristup podacima, zahtjeva za podatke, odluka o tim zahtjevima i izdanih dozvola za podatke te odgovora na zahtjeve za podatke, koji sadržava barem informacije o imenu podnositelja zahtjeva za pristup podacima, svrsi pristupa, datumu izdavanja i trajanju dozvole za podatke te opis zahtjeva za pristup podacima ili zahtjeva za podatke;

(l)  vode sustav informiranja javnosti radi ispunjavanja obveza utvrđenih u članku 38.;

(m)  surađuju na razini Unije i na nacionalnoj razini kako bi se utvrdili zajednički standardi, tehnički zahtjevi i odgovarajuće mjere ▌za pristup elektroničkim zdravstvenim podacima u sigurnom okruženju za obradu;

(n)  surađuju na razini Unije i nacionalnoj razini te savjetuju Komisiju o tehnikama i najboljoj praksi za sekundarnu uporabu elektroničkih zdravstvenih podataka i upravljanje njima;

(o)  olakšavaju prekogranični pristup elektroničkim zdravstvenim podacima za sekundarnu uporabu u ostalim državama članicama preko infrastrukture Zdravstveni podaci@EU (HealthData@EU) i blisko surađuju međusobno i s Komisijom;

▌

(q)  elektroničkim putem objavljuju:

i.  nacionalni katalog skupova podataka koji uključuje pojedinosti o izvoru i prirodi elektroničkih zdravstvenih podataka, u skladu s člancima 55., 56. i 58., te uvjete za stavljanje elektroničkih zdravstvenih podataka na raspolaganje. Nacionalni katalog skupova podataka stavlja se na raspolaganje i jedinstvenim informacijskim točkama na temelju članka 8. Uredbe (EU) 2022/868;

ii.  sve zahtjeve za pristup zdravstvenim podacima i zahtjeve za zdravstvene podatke bez nepotrebne odgode nakon prvog primitka;

ii.a   sve dozvole ili odobrene zahtjeve za zdravstvene podatke te odluke o odbijanju, uključujući njihova obrazloženja, u roku od 30 radnih dana od njihova izdavanja;

iii.  mjere koje se odnose na neusklađenost na temelju članka 43.;

iv.  rezultate koje su korisnici zdravstvenih podataka priopćili na temelju članka [XX.];

v.   informacijski sustav radi ispunjavanja obveza utvrđenih u članku 37.a;

vi.   informacije o povezivanju nacionalne kontaktne točke treće zemlje ili međunarodne organizacije čim ona postane ovlašteni sudionik preko infrastrukture Zdravstveni podaci@EU (HealthData@EU), elektroničkim putem, barem na lako dostupnoj internetskoj stranici ili internetskom portalu.

(r)  ispunjavaju obveze prema pojedincima u skladu s člankom 37.a;

▌

(t)  izvršavaju sve druge zadaće povezane sa stavljanjem na raspolaganje sekundarne uporabe elektroničkih zdravstvenih podataka u kontekstu ove Uredbe.

2.  U izvršavanju svojih zadaća tijela za pristup zdravstvenim podacima:

(a)  surađuju s nadzornim tijelima u skladu s Uredbom (EU) 2016/679 ▌u vezi s osobnim elektroničkim zdravstvenim podacima te s Odborom za europski prostor za zdravstvene podatke;

▌

(c)  surađuju sa svim relevantnim dionicima, među ostalim s organizacijama pacijenata, predstavnicima pojedinaca, zdravstvenim stručnjacima, istraživačima i etičkim povjerenstvima, ako je to primjenjivo u skladu s pravom Unije ili nacionalnim pravom;

(d)  surađuju s drugim nadležnim nacionalnim tijelima, uključujući nacionalna nadležna tijela koja nadziru organizacije za podatkovni altruizam na temelju Uredbe (EU) 2022/868, nadležna tijela na temelju Uredbe (EU) 2023/2854 i nacionalna nadležna tijela za uredbe (EU) 2017/745, (EU) 2017/746 i Uredbu [...] [Akt o umjetnoj inteligenciji 2021/0106(COD)], ako je primjenjivo.

3.  Tijela za pristup zdravstvenim podacima mogu pružiti pomoć tijelima javnog sektora ako ta tijela javnog sektora pristupaju elektroničkim zdravstvenim podacima na temelju članka 14. Uredbe (EU) 2023/2854.

3.a   Tijelo za pristup zdravstvenim podacima može pružiti potporu tijelu javnog sektora ako dobije podatke tijekom izvanrednog stanja kako je definirano u članku 15. točki (a) ili (b) Uredbe (EU) 2023/2854, u skladu s pravilima utvrđenima u toj uredbi, pružanjem tehničke podrške za obradu podataka ili njihovo objedinjavanje s drugim podacima za zajedničku analizu.

Članak 37.a

Obveze tijela za pristup zdravstvenim podacima prema pojedincima

1.  Tijela za pristup zdravstvenim podacima objavljuju uvjete pod kojima se elektronički zdravstveni podaci stavljaju na raspolaganje za sekundarnu uporabu te pojedincima omogućuju lako elektroničko pretraživanje i pristupačnost tih uvjeta. To uključuje informacije o:

(a)  pravnoj osnovi na temelju koje se korisniku zdravstvenih podataka odobrava pristup;

(b)  tehničkim i organizacijskim mjerama poduzetima radi zaštite prava pojedinaca;

(c)  primjenjivim pravima pojedinaca u odnosu na sekundarnu uporabu elektroničkih zdravstvenih podataka;

(d)  modalitetima na temelju kojih pojedinci mogu ostvarivati svoja prava u skladu s poglavljem III. Uredbe (EU) 2016/679;

(da)   identitetu i podacima za kontakt tijela za pristup zdravstvenim podacima;

(db)   evidenciji o tome kome je odobren pristup kojim skupovima elektroničkih zdravstvenih podataka i dozvoli u pogledu svrha njihove obrade kako je navedeno u članku 34. stavku 1.;

(e)  rezultatima ili ishodima projekata za koje su upotrijebljeni elektronički zdravstveni podaci.

2.  Ako je država članica predvidjela da se pravo na izuzimanje na temelju članka 48.a ostvaruje u tijelima za pristup zdravstvenim podacima, relevantna tijela za pristup zdravstvenim podacima pružaju javne informacije o postupku izuzimanja i olakšavaju ostvarivanje tog prava.

3.  Ako korisnik zdravstvenih podataka obavijesti tijelo za pristup zdravstvenim podacima o značajnom nalazu koji se odnosi na zdravlje pojedinca, kako je navedeno u članku 41.a stavku 5. ove Uredbe, tijelo za pristup zdravstvenim podacima ▌o tom nalazu obavješćuje vlasnika podataka. Vlasnik podataka, pod uvjetima utvrđenima nacionalnim pravom, obavješćuje pojedinca ili zdravstvenog stručnjaka koji ga liječi. Pojedinci imaju pravo zatražiti da ih se ne obavješćuje o takvim nalazima.

4.  Države članice ▌obavješćuju širu javnost o ulozi i prednostima tijela za pristup zdravstvenim podacima.

Članak 39.

Izvješćivanje koje provode tijela za pristup zdravstvenim podacima

1.  Sva tijela za pristup zdravstvenim podacima svake dvije godine objavljuju ▌izvješće o radu i stavljaju ga na raspolaganje javnosti na svojim internetskim stranicama. Ako država članica imenuje više od jednog tijela za pristup zdravstvenim podacima, za to je izvješće odgovorno koordinacijsko tijelo iz članka 37. stavka 1. i ono od drugih tijela za pristup zdravstvenim podacima traži potrebne informacije. Izvješće o radu slijedi strukturu koja je dogovorena u Odboru za europski prostor za zdravstvene podatke. Izvješće o radu sadržava barem sljedeće kategorije informacija:

(a)  informacije o podnesenim zahtjevima za pristup elektroničkim zdravstvenim podacima i zahtjevima za elektroničke zdravstvene podatke, kao što su vrste podnositelja zahtjeva, broj dodijeljenih ili odbijenih dozvola za podatke, kategorije svrha pristupa i kategorije elektroničkih zdravstvenih podataka kojima se pristupa te sažetak rezultata uporabe elektroničkih zdravstvenih podataka, ako je primjenjivo;

▌

(c)  informacije o tome ispunjavaju li korisnici i vlasnici zdravstvenih podataka regulatorne i ugovorne obveze te o broju i iznosima administrativnih novčanih kazni koje su izrekla tijela za pristup zdravstvenim podacima;

(d)  informacije o revizijama provedenima u odnosu na korisnike zdravstvenih podataka kako bi se osigurala usklađenost obrade u sigurnom okruženju za obradu na temelju članka 50. stavka 1. točke (e) ove Uredbe;

(e)  informacije o internim revizijama i revizijama trećih strana radi provjere usklađenosti sigurnih okruženja za obradu s utvrđenim normama, specifikacijama i zahtjevima, kako je navedeno u članku 50. stavku 3. ove Uredbe;

(f)  informacije o postupanju sa zahtjevima pojedinaca za ostvarivanje njihovih prava na zaštitu podataka;

(g)  opis vlastitih aktivnosti provedenih u pogledu suradnje i savjetovanja s relevantnim dionicima ▌;

▌

(i)  prihode od dozvola za podatke i zahtjeva za podatke;

▌

(k)  prosječan broj dana od podnošenja zahtjeva do pristupa podacima;

(l)  broj ▌oznaka kvalitete podataka koje su izdali vlasnici podataka, razvrstanih prema kategoriji kvalitete;

(m)  broj stručno recenziranih istraživačkih publikacija, dokumenata o politikama i regulatornih postupaka koji se temelje na podacima kojima se pristupa u okviru europskog prostora za zdravstvene podatke;

(n)  broj proizvoda i usluga u području digitalnog zdravstva, uključujući aplikacije umjetne inteligencije, razvijenih na temelju podataka kojima se pristupa u okviru europskog prostora za zdravstvene podatke.

2.  Izvješće se šalje Komisiji i Odboru za europski prostor za zdravstvene podatke u roku od šest mjeseci od datuma završetka dvogodišnjeg izvještajnog razdoblja. Izvješće mora biti dostupno na internetskoj stranici Komisije.

▌

Članak 41.

Dužnosti vlasnika zdravstvenih podataka

1.  Vlasnici zdravstvenih podataka na zahtjev tijelu za pristup zdravstvenim podacima stavljaju na raspolaganje relevantne elektroničke zdravstvene podatke na temelju članka 33. u skladu s dozvolom za podatke prema članku 46. ili zahtjevom za podatke prema članku 47.

1.b   Vlasnik zdravstvenih podataka stavlja zatražene elektroničke zdravstvene podatke iz stavka 1. na raspolaganje tijelu za pristup zdravstvenim podacima u razumnom vremenu, najkasnije tri mjeseca od primitka zahtjeva tijela za pristup zdravstvenim podacima. U opravdanim slučajevima tijelo za pristup zdravstvenim podacima može produljiti to razdoblje za najviše tri mjeseca.

1.ba  Vlasnik zdravstvenih podataka ispunjava svoje obveze prema pojedincima utvrđene u članku 35.d.

2.  Vlasnik zdravstvenih podataka dostavlja tijelu za pristup zdravstvenim podacima ▌opis skupa podataka koji posjeduje u skladu s člankom 55. Vlasnik zdravstvenih podataka najmanje jednom godišnje provjerava je li njegov opis skupa podataka u nacionalnom katalogu skupova podataka točan i ažuriran.

3.   Ako je u skladu s člankom 56. skupu podataka priložena oznaka kvalitete i korisnosti podataka, vlasnik zdravstvenih podataka tijelu za pristup zdravstvenim podacima dostavlja dostatnu dokumentaciju kako bi to tijelo moglo potvrditi točnost oznake.

▌

6.  Vlasnici neosobnih elektroničkih zdravstvenih podataka osiguravaju pristup podacima putem pouzdanih otvorenih baza podataka kako bi se svim korisnicima osigurao neograničen pristup te pohrana i čuvanje podataka. Pouzdanim otvorenim javnim bazama podataka upravlja se pouzdano, transparentno i održivo i primjenjuje se transparentan model pristupa korisnika.

Članak 41.a

Dužnosti korisnika zdravstvenih podataka

1.  Korisnici zdravstvenih podataka mogu pristupiti elektroničkim zdravstvenim podacima i obrađivati ih za sekundarnu uporabu iz članka 33. samo u skladu s dozvolom za podatke na temelju članka 46., zahtjevom za podatke na temelju članka 47. ili, u situacijama iz članka 45. stavka 3., odobrenjem relevantnog ovlaštenog sudionika za pristup podacima.

2.   Pri obradi elektroničkih zdravstvenih podataka u sigurnim okruženjima za obradu iz članka 50. korisnicima zdravstvenih podataka zabranjeno je pružanje pristupa elektroničkim zdravstvenim podacima ili njihovo stavljanje na raspolaganje na drugi način trećim stranama koje nisu navedene u dozvoli za podatke.

2.a  Korisnici zdravstvenih podataka ne smiju ponovno identificirati niti pokušati ponovno identificirati pojedince s kojima su povezani elektronički zdravstveni podaci koje su dobili na temelju dozvole za podatke, zahtjeva za podatke ili odluke ovlaštenog sudionika infrastrukture Zdravstveni podaci@EU (HealthData@EU) o odobrenju za pristup podacima.

3.   Korisnici zdravstvenih podataka objavljuju rezultate ili izlazne podatke sekundarne uporabe elektroničkih zdravstvenih podataka, uključujući informacije relevantne za pružanje zdravstvene zaštite, unutar razdoblja od 18 mjeseci nakon dovršetka obrade elektroničkih zdravstvenih podataka u sigurnom okruženju ili nakon primitka odgovora na zahtjev za podatke iz članka 47.

Tijelo za pristup zdravstvenim podacima u opravdanim slučajevima povezanima s dopuštenim svrhama obrade elektroničkih zdravstvenih podataka može produljiti to razdoblje, posebno u slučajevima kada se rezultat objavljuje u znanstvenom časopisu ili drugoj znanstvenoj publikaciji.

Ti rezultati ili izlazni podaci sadržavaju samo anonimne podatke.

Korisnici zdravstvenih podataka obavješćuju tijela za pristup zdravstvenim podacima od kojih je dobivena dozvola za podatke te im pomažu i u objavljivanju informacija povezanih s rezultatima ili izlaznim podacima korisnika zdravstvenih podataka na internetskim stranicama tijela za pristup zdravstvenim podacima. Objavljivanjem na internetskim stranicama tijela za pristup zdravstvenim podacima ne dovode se u pitanje prava objavljivanja u znanstvenom časopisu ili drugoj znanstvenoj publikaciji.

Kad god korisnici zdravstvenih podataka koriste elektroničke zdravstvene podatke u skladu s ovim poglavljem, dužni su navesti izvore elektroničkih zdravstvenih podataka i činjenicu da su elektronički zdravstveni podaci dobiveni u okviru europskog prostora za zdravstvene podatke.

4.   Ne dovodeći u pitanje stavak 2., korisnici zdravstvenih podataka obavješćuju tijelo za pristup zdravstvenim podacima o svim značajnim nalazima povezanim sa zdravljem pojedinca čiji su podaci uključeni u skup podataka.

5.   Korisnici zdravstvenih podataka surađuju s tijelom za pristup zdravstvenim podacima kada to tijelo obavlja svoje zadaće.

Članak 42.

Naknade

1.  Tijela za pristup zdravstvenim podacima, uključujući europske usluge pristupa ili pouzdane vlasnike podataka iz članka 49. mogu naplaćivati naknade za stavljanje elektroničkih zdravstvenih podataka na raspolaganje za sekundarnu uporabu.

Takve su naknade ▌razmjerne trošku stavljanja podataka na raspolaganje i njima se ne ograničava tržišno natjecanje.

Takvim se naknadama obuhvaćaju svi troškovi ili dio troškova povezanih s ▌postupkom ▌za ocjenu zahtjeva za pristup podacima ili zahtjeva za podatke, dodjeljivanje, odbijanje ili izmjenu dozvole za podatke na temelju članaka 45. i 46. ili odgovaranje na zahtjev za podatke u skladu s člankom 47., uključujući troškove povezane s konsolidacijom, pripremom, anonimizacijom, pseudonimizacijom i pružanjem elektroničkih zdravstvenih podataka.

Države članice mogu utvrditi smanjene naknade za određene vrste korisnika podataka koji se nalaze u Uniji, kao što su tijela javnog sektora ili institucije, uredi, agencije i tijela Unije sa zakonskim mandatom u području javnog zdravlja, sveučilišni istraživači ili mikropoduzeća.

2.  Naknade mogu uključivati nadoknadu za troškove koje vlasnik zdravstvenih podataka snosi za sastavljanje i pripremu elektroničkih zdravstvenih podataka koji se stavljaju na raspolaganje za sekundarnu uporabu. Vlasnik zdravstvenih podataka tijelu za pristup zdravstvenim podacima dostavlja procjenu takvih troškova. Ako je vlasnik zdravstvenih podataka tijelo javnog sektora, ne primjenjuje se članak 6. Uredbe (EU) 2022/868 ▌. Dio naknada povezanih s troškovima vlasnika zdravstvenih podataka plaća se vlasniku zdravstvenih podataka.

▌

4.  Sve naknade koje tijela za pristup zdravstvenim podacima ili vlasnici zdravstvenih podataka naplaćuju korisnicima zdravstvenih podataka u skladu s ovim člankom moraju biti transparentne i nediskriminirajuće.

5.  Ako se vlasnici podataka i korisnici podataka ne dogovore o visini naknada u roku od mjesec dana od izdavanja dozvole za podatke, tijelo za pristup zdravstvenim podacima može utvrditi naknade razmjerno troškovima stavljanja elektroničkih zdravstvenih podataka na raspolaganje za sekundarnu uporabu. Vlasnik podataka ili korisnik podataka imaju pristup tijelima za rješavanje sporova osnovanima u skladu s člankom 10. Uredbe (EU) 2023/2854 ako se ne slažu s naknadom koju je utvrdilo tijelo za pristup zdravstvenim podacima.

5.a   Prije izdavanja dozvole za podatke u skladu s člankom 46. ili davanja odgovora na zahtjev za podatke u skladu s člankom 47. tijelo za pristup zdravstvenim podacima obavješćuje podnositelja zahtjeva o očekivanim naknadama. Podnositelja zahtjeva obavješćuje se o mogućnosti povlačenja zahtjeva. Ako podnositelj zahtjeva povuče svoj zahtjev, podnositelju zahtjeva naplaćuju se samo već nastali troškovi.

6.  Komisija provedbenim aktima utvrđuje načela ▌za politike naknada i strukture naknada, uključujući odbitke za subjekte navedene u stavku 1. drugom podstavku kako bi se pružila potpora usklađenosti i transparentnosti među državama članicama. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

Članak 43.

Provedba od strane tijela za pristup zdravstvenim podacima

▌

2.  Pri obavljanju svojih zadaća praćenja i nadzora, kako je navedeno u članku 37. stavku 1. točki (ra), tijela za pristup zdravstvenim podacima imaju pravo zatražiti i primiti sve potrebne informacije od vlasnika zdravstvenih podataka i korisnika zdravstvenih podataka radi provjere usklađenosti s ovim poglavljem.

3.  Ako tijela za pristup zdravstvenim podacima utvrde da korisnik ili vlasnik zdravstvenih podataka ne ispunjava zahtjeve iz ovog poglavlja, o tim nalazima odmah obavješćuju korisnika ili vlasnika zdravstvenih podataka i poduzimaju odgovarajuće mjere. Tijelo za pristup zdravstvenim podacima predmetnom korisniku ili vlasniku zdravstvenih podataka daje priliku da se očituje u razumnom roku koji ne smije biti dulji od četiri tjedna.

Ako se otkrivena neusklađenost odnosi na moguće kršenje Uredbe (EU) 2016/679, tijelo za pristup zdravstvenim podacima odmah obavješćuje nadzorna tijela iz te uredbe i pruža im sve relevantne informacije o toj neusklađenosti.

4.  Kad je riječ o neusklađenosti na strani korisnika zdravstvenih podataka, tijela za pristup zdravstvenim podacima ovlaštena su opozvati dozvolu za podatke izdanu u skladu s člankom 46. i bez nepotrebne odgode zaustaviti predmetnu obradu elektroničkih zdravstvenih podataka koju provodi korisnik zdravstvenih podataka te poduzimaju odgovarajuće i proporcionalne mjere kako bi korisnici zdravstvenih podataka obrađivali podatke u skladu s odgovarajućim zahtjevima.

U okviru takvih mjera tijela za pristup zdravstvenim podacima mogu i prema potrebi onemogućiti ili pokrenuti postupke kako bi se u skladu s nacionalnim pravom korisniku zdravstvenih podataka onemogućio pristup elektroničkim zdravstvenim podacima u okviru europskog prostora za zdravstvene podatke u kontekstu sekundarne uporabe na najviše pet godina.

5.  Kad je riječ o neusklađenosti na strani vlasnika zdravstvenih podataka, ako vlasnici zdravstvenih podataka tijelima za pristup zdravstvenim podacima uskrate elektroničke zdravstvene podatke s očitom namjerom da ometaju uporabu elektroničkih zdravstvenih podataka ili ako ne poštuju rokove utvrđene u članku 41. stavku 1.b, tijelo za pristup zdravstvenim podacima ovlašteno je za svaki dan kašnjenja vlasniku zdravstvenih podataka izreći transparentnu i proporcionalnu periodičnu novčanu kaznu. Iznos novčanih kazni utvrđuje tijelo za pristup zdravstvenim podacima u skladu s nacionalnim pravom. Ako vlasnik zdravstvenih podataka opetovano krši obvezu ▌suradnje s tijelom za pristup zdravstvenim podacima, to tijelo može isključiti vlasnika zdravstvenih podataka ili pokrenuti postupke u skladu nacionalnim pravom kako bi ga se isključilo iz podnošenja zahtjeva za pristup informacijama u skladu s poglavljem IV. na najviše pet godina, pri čemu je i dalje obvezno omogućiti pristup podacima u skladu s poglavljem IV., ako je primjenjivo.

6.  Tijelo za pristup zdravstvenim podacima bez odgode obavješćuje dotičnog korisnika ili vlasnika zdravstvenih podataka o mjerama uvedenima u skladu sa stavcima 4. i 5. i razlozima na kojima se one temelje te korisniku ili vlasniku zdravstvenih podataka određuje razuman rok za usklađivanje s mjerama.

7.  O svim ▌mjerama koje je uvelo tijelo za pristup zdravstvenim podacima u skladu sa stavkom 4. obavješćuju se druga tijela za pristup zdravstvenim podacima s pomoću alata iz stavka 8. Tijela za pristup zdravstvenim podacima te informacije stavljaju na raspolaganje na svojim internetskim stranicama.

8.  Komisija provedbenim aktom utvrđuje arhitekturu informatičkog alata čiji je cilj poduprijeti mjere iz ovog članka povezane s neusklađenosti i učiniti ih transparentnima drugim tijelima za pristup zdravstvenim podacima, posebno periodične novčane kazne, opozive dozvola za podatke i isključenja, kao dio infrastrukture Zdravstveni podaci@EU (HealthData@EU). Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

▌

10.  Nakon tri godine od početka primjene poglavlja 4. Komisija u bliskoj suradnji s Odborom za europski prostor za zdravstvene podatke izdaje smjernice o provedbenim mjerama, uključujući periodične novčane kazne i druge mjere koje primjenjuju tijela za pristup zdravstvenim podacima.

Članak 43.a

Opći uvjeti za izricanje upravnih novčanih kazni od strane tijela za pristup zdravstvenim podacima

1.   Svako tijelo za pristup zdravstvenim podacima osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja iz stavaka 4. i 5. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće.

2.   Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 43. stavaka 4. i 5., ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:

(a)   naravi, težini i trajanju kršenja;

(b)   jesu li druga nadležna tijela već primijenila određene sankcije ili upravne novčane kazne za isto kršenje;

(c)   ima li kršenje obilježje namjere ili nepažnje;

(d)   svim djelovanjima koje vlasnik ili korisnik zdravstvenih podataka poduzme kako bi ublažio prouzročenu štetu;

(e)   stupnju odgovornosti korisnika zdravstvenih podataka, uzimajući u obzir tehničke i organizacijske mjere koje provodi u skladu s člankom 45. stavkom 2. točkama (e) i (f) te člankom 45. stavkom 4. ove Uredbe;

(f)   svim relevantnim prethodnim kršenjima od strane vlasnika ili korisnika zdravstvenih podataka;

(g)   stupnju suradnje s tijelom za pristup zdravstvenim podacima kako bi se otklonilo kršenje i ublažile moguće štetne posljedice tog kršenja;

(h)   načinu na koji je tijelo za pristup zdravstvenim podacima doznalo za kršenje, osobito je li, i u kojoj mjeri, korisnik zdravstvenih podataka izvijestio o kršenju;

(i)   ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 43. stavaka 4. i 5., o poštovanju tih mjera;

(j)   svim ostalim otegotnim ili olakotnim čimbenicima primjenjivima na okolnosti slučaja, kao što su financijska korist ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.

3.   Ako vlasnik ili korisnik zdravstvenih podataka za iste ili povezane dozvole za zdravstvene podatke ili zahtjeve za zdravstvene podatke namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe, ukupan iznos upravne novčane kazne ne smije biti viši od iznosa utvrđenog za najteže kršenje.

4.   U skladu sa stavkom 2., za kršenja obveza vlasnika zdravstvenih podataka ili korisnika zdravstvenih podataka u skladu s člankom 41. i člankom 41.a stavcima 1., 4., 5. i 7., izriču se upravne novčane kazne u iznosu do 10 000 000 EUR ili, u slučaju poduzeća, do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu ako je taj iznos veći.

5.   Za kršenja sljedećih odredaba u skladu sa stavkom 2. izriču se upravne novčane kazne u iznosu do 20 000 000 EUR ili, u slučaju poduzeća, do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu ako je taj iznos veći:

(a)   korisnici zdravstvenih podataka koji obrađuju elektroničke zdravstvene podatke dobivene na temelju dozvole za podatke izdane u skladu s člankom 46. ove Uredbe za potrebe iz članka 35.;

(b)   korisnici zdravstvenih podataka koji izdvajaju osobne elektroničke zdravstvene podatke iz sigurnih okruženja za obradu;

(c)   korisnici zdravstvenih podataka koji ponovno identificiraju ili pokušavaju ponovno identificirati pojedince s kojima su povezani elektronički zdravstveni podaci koje su dobili na temelju dozvole ili zahtjeva za podatke u skladu s člankom 41.a stavkom 3.;

(d)   neusklađenost s provedbenim mjerama tijela za pristup zdravstvenim podacima u skladu s člankom 43.

6.   Ne dovodeći u pitanje korektivne ovlasti tijela za pristup zdravstvenim podacima iz članka 43., svaka država članica može utvrditi pravila o tome mogu li se i u kojoj mjeri tijelima javne vlasti ili tijelima s poslovnim nastanom u toj državi članici izreći upravne novčane kazne.

7.   Na izvršavanje ovlasti tijela za pristup zdravstvenim podacima na temelju ovog članka primjenjuju se odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući djelotvoran pravni lijek i zakonito postupanje.

8.  Ako pravnim sustavom države članice nisu predviđene upravne novčane kazne, ovaj se članak može primjenjivati tako da se, u skladu s nacionalnim pravnim okvirom, osigurava da su ta pravna sredstva učinkovita i imaju jednak učinak kao i upravne novčane kazne koje izriču tijela za pristup zdravstvenim podacima. U svakom slučaju, novčane kazne koje se izriču učinkovite su, proporcionalne i odvraćajuće. Te države članice obavješćuju Komisiju o odredbama svojih zakona koje donesu u skladu s ovim stavkom do... [datum početka primjene poglavlja iz ove Uredbe] i, bez odgode, o svim naknadnim izmjenama zakona ili izmjeni koja na njih utječe.

Članak 43.b

Odnos s nadzornim tijelima za zaštitu podataka

Nadzorno tijelo ili tijela odgovorna za praćenje i provedbu primjene Uredbe (EU) 2016/679 odgovorna su i za praćenje i provedbu prava na prigovor na obradu osobnih elektroničkih zdravstvenih podataka za sekundarnu uporabu u skladu s člankom 48.a. Mjerodavne odredbe Uredbe (EU) 2016/679 primjenjuju se mutatis mutandis. Nadležna su za izricanje upravnih novčanih kazni do iznosa iz članka 83. stavka 5. te uredbe. Ta nadzorna tijela i tijela za pristup zdravstvenim podacima iz članka 36. ove Uredbe dužna su prema potrebi surađivati na provedbi ove Uredbe u okviru svojih nadležnosti.

Odjeljak 3.

Pristup elektroničkim zdravstvenim podacima za sekundarnu uporabu

Članak 44.

Smanjenje količine podataka i ograničenje svrhe

1.  Tijelo za pristup zdravstvenim podacima osigurava da se pristup daje samo traženim elektroničkim zdravstvenim podacima koji su adekvatni, relevantni i ograničeni na ono što je potrebno u vezi sa svrhom obrade koju je korisnik zdravstvenih podataka naveo u zahtjevu za pristup podacima i u skladu s dodijeljenom dozvolom za podatke.

2.  Tijela za pristup zdravstvenim podacima pružaju elektroničke zdravstvene podatke u anonimiziranom obliku ako se svrha obrade koju provodi korisnik zdravstvenih podataka može postići takvim podacima, uzimajući u obzir informacije koje je dostavio korisnik zdravstvenih podataka.

3.  Ako korisnik zdravstvenih podataka dokaže da se svrha obrade ▌ne može postići anonimiziranim podacima, u skladu s člankom 46. stavkom 1. točkom c, tijela za pristup zdravstvenim podacima omogućuju pristup elektroničkim zdravstvenim podacima u pseudonimiziranom obliku. Informacije potrebne za poništavanje pseudonimizacije dostupne su samo tijelu za pristup zdravstvenim podacima ili tijelu koje djeluje kao pouzdana treća strana u skladu s nacionalnim pravom.

Članak 45.

Zahtjevi za pristup podacima

1.  Pojedinac ili pravna osoba tijelu za pristup zdravstvenim podacima može podnijeti zahtjev za pristup podacima u svrhe iz članka 34.

2.  Zahtjev za pristup podacima uključuje:

(-a)   identitet podnositelja zahtjeva za pristup zdravstvenim podacima, opis profesionalnih funkcija i djelovanja, uključujući identitet pojedinaca koji će imati pristup elektroničkim zdravstvenim podacima, ako je izdana dozvola za podatke; popis pojedinaca može se ažurirati i u tom se slučaju o tome obavješćuje tijelo za pristup zdravstvenim podacima;

(a)  za koju se svrhu iz članka 34. stavka 1. traži pristup;

(ab)  detaljno objašnjenje predviđene uporabe i očekivane koristi povezane s uporabom elektroničkih zdravstvenih podataka te načina na koji ta korist doprinosi svrhama iz točke (a);

(b)  opis zatraženih elektroničkih zdravstvenih podataka, uključujući njihov opseg i vremenski okvir, format i, po mogućnosti, izvore podataka, uključujući zemljopisnu pokrivenost ako se podaci traže od vlasnika zdravstvenih podataka u nekoliko država članica ili od ovlaštenih sudionika iz članka 52.;

(c)  opis trebaju li elektronički zdravstveni podaci biti dostupni u pseudonimiziranom ili anonimiziranom obliku, a u slučaju pseudonimiziranog oblika objašnjenje zašto se obrada ne može nastaviti upotrebom anonimiziranih podataka;

(ea)   ako podnositelj zahtjeva namjerava unijeti skupove podataka koje već posjeduje u sigurno okruženje za obradu, opis tih skupova podataka;

(f)  opis zaštitnih mjera, razmjernih rizicima, planiranih za sprečavanje zlouporabe elektroničkih zdravstvenih podataka te za zaštitu prava i interesa dotičnih vlasnika zdravstvenih podataka i pojedinaca, među ostalim za sprečavanje svake ponovne identifikacije pojedinaca u skupu podataka;

(g)  opravdani pokazatelj razdoblja tijekom kojeg su elektronički zdravstveni podaci potrebni za obradu u sigurnom okruženju za obradu;

(h)  opis alata i računalnih resursa potrebnih za sigurno okruženje;

(ha)   ako je primjenjivo, informacije o procjeni etičkih aspekata obrade, pribavljene u skladu s nacionalnim pravom, a koje mogu poslužiti kao zamjena za njegovu vlastitu procjenu etičnosti;

(hb)   ako podnositelj zahtjeva želi iskoristiti iznimku na temelju članka 48.a stavka 3., objašnjenja koja se zahtijevaju nacionalnim pravom u skladu s tim člankom.

3.  Ako podnositelj zahtjeva za podatke traži pristup elektroničkim zdravstvenim podacima od vlasnika zdravstvenih podataka s poslovnim nastanom u više od jedne države članice ili od relevantnih ovlaštenih sudionika iz članka 52., podnositelj zahtjeva podnosi jedan zahtjev za pristup podacima putem ▌tijela za pristup zdravstvenim podacima u glavnom poslovnom nastanu podnositelja zahtjeva ili jednog od tih vlasnika podataka ili putem usluga koje pruža Komisija u prekograničnoj infrastrukturi HealthData@EU iz članka 52. Zahtjev se automatski prosljeđuje ovlaštenim sudionicima i tijelima za pristup zdravstvenim podacima država članica u kojima vlasnici zdravstvenih podataka utvrđeni u zahtjevu za pristup podacima imaju poslovni nastan.

4.  Ako podnositelj zahtjeva želi pristupiti osobnim elektroničkim zdravstvenim podacima u pseudonimiziranom obliku, zajedno sa zahtjevom za pristup podacima dostavlja sljedeće dodatne informacije:

(a)  opis načina na koji bi obrada bila u skladu s primjenjivim pravom Unije i nacionalnim pravom u području zaštite podataka i privatnosti, posebno s Uredbom (EU) 2016/679 i, osobito, s člankom 6. stavkom 1. Uredbe (EU) 2016/679;

▌

5.  ▌Tijela javnog sektora te institucije, tijela, uredi i agencije Unije pružaju informacije jednake onima koje se traže na temelju članka 45. stavka 2., osim za točku (g), i članka 45. stavka 4., u kojem slučaju dostavljaju informacije o razdoblju u kojem se elektroničkim zdravstvenim podacima može pristupiti, učestalosti tog pristupa ili učestalosti ažuriranja podataka.

▌

Članak 46.

Dozvola za podatke

1.  Tijela za pristup zdravstvenim podacima odlučuju odobriti pristup elektroničkim zdravstvenim podacima samo ako su ispunjeni sljedeći kumulativni kriteriji:

(a)   svrha opisana u zahtjevu za pristup podacima odgovara jednoj ili više svrha navedenih u članku 34. stavku 1. ove Uredbe;

(b)   traženi podaci nužni su, primjereni i razmjerni svrsi ili svrhama opisanima u zahtjevu za pristup zdravstvenim podacima, uzimajući u obzir odredbe o smanjenju količine podataka i ograničenju svrhe iz članka 44.;

(c)   obrada je u skladu s člankom 6. stavkom 1. Uredbe (EU) 2016/679, a posebno s obzirom na to da u slučaju pseudonimiziranih podataka postoji dostatno obrazloženje da se svrha ne može postići anonimiziranim podacima;

(e)   podnositelj zahtjeva kvalificiran je u odnosu na predviđene svrhe uporabe podataka i ima odgovarajuće stručno znanje, uključujući stručne kvalifikacije u područjima zdravstvene zaštite, skrbi, javnog zdravlja, istraživanja, u skladu s etičkom praksom i primjenjivim zakonima i propisima;

(f)   podnositelj zahtjeva dokazuje da ima dostatne tehničke i organizacijske mjere za sprečavanje zlouporabe elektroničkih zdravstvenih podataka te za zaštitu prava i interesa dotičnih vlasnika podataka i pojedinaca;

(g)   informacije o procjeni etičkih aspekata obrade, ako je primjenjivo, u skladu su s nacionalnim pravom;

(h)   ako podnositelj zahtjeva želi iskoristiti iznimku na temelju članka 48.a stavka 3., objašnjenja koja se zahtijevaju nacionalnim pravom donesenim u skladu s tim člankom.

(ha)  podnositelj zahtjeva ispunjava sve ostale zahtjeve iz ovog poglavlja.

1.a  Tijelo za pristup zdravstvenim podacima uzima u obzir i sljedeće rizike:

(a)   rizici za nacionalnu obranu, sigurnost, javnu sigurnost i javni poredak;

(c)   rizik od ugrožavanja povjerljivih podataka u vladinim bazama podataka regulatornih tijela;

2.  Ako tijelo za pristup zdravstvenim podacima u svojoj procjeni zaključi da su zahtjevi iz stavka 1. ispunjeni i da su rizici iz stavka 1.a dostatno ublaženi, tijelo za pristup zdravstvenim podacima izdaje dozvolu za podatke. Tijela za pristup zdravstvenim podacima odbijaju sve zahtjeve koji ▌ne ispunjavaju uvjete iz ovog poglavlja.

Ako zahtjevi za izdavanje dozvole za podatke nisu ispunjeni, ali su ispunjeni zahtjevi za pružanje odgovora u anonimnom statističkom formatu u skladu s člankom 47., tijelo za pristup zdravstvenim podacima može odlučiti dati odgovor u anonimnom statističkom formatu u skladu s člankom 47. ako se tim pristupom ublažavaju rizici i ako se na taj način može ispuniti svrha zahtjeva za pristup podacima, pod uvjetom da podnositelj zahtjeva za zdravstvene podatke pristane na tu promjenu postupka.

3.  Odstupajući od Uredbe (EU) 2022/868 tijelo za pristup zdravstvenim podacima izdaje ili odbija izdati dozvolu za podatke u roku od tri mjeseca od primitka cjelovitog zahtjeva za pristup podacima. Ako tijelo za pristup zdravstvenim podacima utvrdi da je zahtjev za pristup podacima nepotpun, o tome obavješćuje podnositelja zahtjeva za pristup zdravstvenim podacima i omogućuje mu da upotpuni svoj zahtjev. Ako podnositelj zahtjeva za pristup zdravstvenim podacima ne ispuni taj zahtjev u roku od četiri tjedna, dozvola se neće izdati. Tijelo za pristup zdravstvenim podacima prema potrebi može rok za odgovor na zahtjev za pristup podacima produljiti za još tri mjeseca, uzimajući u obzir hitnost i složenost zahtjeva te količinu zahtjeva podnesenih na donošenje odluke. U tim slučajevima tijelo za pristup zdravstvenim podacima što prije obavješćuje podnositelja zahtjeva o tome da treba više vremena za razmatranje zahtjeva i navodi razloge kašnjenja. ▌

3.a   Pri obradi zahtjeva za prekogranični pristup elektroničkim zdravstvenim podacima iz članka 45. stavka 3. tijela za pristup zdravstvenim podacima i relevantni ovlašteni sudionici infrastrukture Zdravstveni podaci@EU (Health DataEU) iz članka 52. i dalje su odgovorni za donošenje odluka o odobravanju ili odbijanju pristupa elektroničkim zdravstvenim podacima u okviru svoje nadležnosti u skladu sa zahtjevima u ovom poglavlju.

Dotična tijela za pristup zdravstvenim podacima i ovlašteni sudionici međusobno se obavješćuju o svojim odlukama i mogu uzeti u obzir informacije pri odlučivanju o odobravanju ili odbijanju pristupa elektroničkim zdravstvenim podacima.

Dozvolu za podatke koju je izdalo jedno tijelo za pristup zdravstvenim podacima može priznati drugo tijelo za pristup zdravstvenim podacima.

3.b   Države članice predviđaju ubrzani postupak podnošenja zahtjeva za tijela javnog sektora te institucije, tijela, urede i agencije Unije koji imaju pravni mandat u području javnog zdravlja ako se obrada podataka provodi u svrhe iz članka 34. stavka 1. točaka (a), (b) i (c). U okviru ubrzanog postupka tijelo za pristup zdravstvenim podacima izdaje ili odbija izdati dozvolu za podatke u roku od dva mjeseca od primitka potpunog zahtjeva za pristup podacima.

Tijelo za pristup zdravstvenim podacima može prema potrebi produljiti rok za odgovor na zahtjev za pristup podacima za još jedan mjesec.

4.  Nakon izdavanja dozvole za podatke tijelo za pristup zdravstvenim podacima odmah od vlasnika zdravstvenih podataka traži elektroničke zdravstvene podatke. Tijelo za pristup zdravstvenim podacima stavlja na raspolaganje elektroničke zdravstvene podatke korisniku zdravstvenih podataka u roku od dva mjeseca nakon što ih primi od vlasnika zdravstvenih podataka, osim ako navede da će podatke dostaviti u dulje utvrđenom roku.

4.a   U situacijama iz stavka 3.a dotična tijela za pristup zdravstvenim podacima i ovlašteni sudionici koji su izdali dozvolu za podatke mogu odlučiti da omoguće pristup elektroničkim zdravstvenim podacima u sigurnom okruženju za obradu koje osigurava Komisija kako je navedeno u članku 52. stavku 10.

5.  Ako tijelo za pristup zdravstvenim podacima odbije izdati dozvolu za podatke, podnositelju zahtjeva za pristup zdravstvenim podacima dostavlja obrazloženje odbijanja.

6.  Ako tijelo za pristup zdravstvenim podacima izda dozvolu za podatke, u toj dozvoli utvrđuje opće uvjete koji se primjenjuju na korisnika zdravstvenih podataka. Dozvola za podatke sadržava sljedeće:

(a)  kategorije, specifikaciju i format elektroničkih zdravstvenih podataka kojima se pristupa i koji su obuhvaćeni dozvolom za podatke, uključujući njihove izvore te hoće li se elektroničkim zdravstvenim podacima pristupiti u pseudonimiziranom formatu u sigurnom okruženju za obradu;

(b)  detaljan opis svrhe u koju se podaci stavljaju na raspolaganje;

(ba)   ako je podnesen zahtjev za izuzeće na temelju članka 48.a stavka 3., informacije o tome je li odobren ili nije i razlog za tu odluku;

(baa)   identitet ovlaštenih osoba, posebno identitet glavnog istraživača, koji će imati pravo pristupa elektroničkim zdravstvenim podacima u sigurnom okruženju za obradu;

(c)  trajanje dozvole za podatke;

(d)  informacije o tehničkim značajkama i alatima dostupnima korisniku zdravstvenih podataka u sigurnom okruženju za obradu;

(e)  naknade koje plaća korisnik zdravstvenih podataka;

(f)  svi dodatni posebni uvjeti u izdanoj dozvoli za podatke.

7.  Korisnici podataka imaju pravo pristupa elektroničkim zdravstvenim podacima u sigurnom okruženju za obradu i njihove obrade u skladu s dozvolom za podatke koja im je izdana na temelju ove Uredbe.

▌

9.  Dozvola za podatke izdaje se na razdoblje potrebno da bi se ispunile zatražene svrhe, koje ne smije biti dulje od deset godina. Trajanje se može jednom produljiti na zahtjev korisnika zdravstvenih podataka za razdoblje od najviše deset godina ako je to opravdano na temelju argumenata i dokumenata, i ako je zahtjev podnesen mjesec dana prije isteka dozvole za podatke. ▌Tijelo za pristup zdravstvenim podacima može naplatiti veću naknadu kako bi se uzeli u obzir troškovi i rizici pohrane elektroničkih zdravstvenih podataka tijekom duljeg razdoblja koje premašuje prvo razdoblje. Kako bi se smanjili ti troškovi i naknade, tijelo za pristup zdravstvenim podacima može predložiti korisniku zdravstvenih podataka i da se skup podataka pohrani u sustavu pohrane smanjenih kapaciteta. Takvi smanjeni kapaciteti ne utječu na sigurnost obrađenog skupa podataka. Elektronički zdravstveni podaci u sigurnom okruženju za obradu brišu se u roku od šest mjeseci nakon isteka dozvole za podatke. Tijelo za pristup zdravstvenim podacima na zahtjev korisnika zdravstvenih podataka može pohraniti formulu za stvaranje traženog skupa podataka.

10.  Ako je potrebno ažurirati dozvolu za podatke, korisnik zdravstvenih podataka podnosi zahtjev za izmjenu dozvole za podatke.

▌

13.  Komisija može provedbenim aktom utvrditi logotip kojim se ističe doprinos europskog prostora za zdravstvene podatke. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 68. stavka 2.

▌

Članak 47.

Zahtjev za zdravstvene podatke

1.  Podnositelj zahtjeva za pristup može podnijeti zahtjev za zdravstvene podatke u svrhe iz članka 34. u cilju dobivanja odgovora samo u anonimiziranom statističkom formatu. Tijelo za pristup zdravstvenim podacima ne odgovara na zahtjev za zdravstvene podatke u bilo kojem drugom formatu, a korisnik zdravstvenih podataka nema pristup elektroničkim zdravstvenim podacima koji se upotrebljavaju za pružanje tog odgovora.

2.  Zahtjev za zdravstvene podatke iz stavka 1. uključuje sljedeće informacije:

(a)  opis identiteta, profesionalne funkcije i djelatnosti podnositelja zahtjeva;

(b)  detaljno objašnjenje predviđene uporabe elektroničkih zdravstvenih podataka, među ostalim u koju se svrhu iz članka 34. stavka 1. traži pristup;

(ba)   opis traženih elektroničkih zdravstvenih podataka, njihov format i izvore podataka, ako je to moguće;

(bb)   opis sadržaja statističkih podataka;

(bd)   opis planiranih zaštitnih mjera za sprečavanje bilo kakve zlouporabe elektroničkih zdravstvenih podataka;

(be)   opis načina na koji bi obrada bila u skladu s člankom 6. stavkom 1. Uredbe (EU) 2016/679 ili člankom 5. stavkom 1. i člankom 10. stavkom 2. Uredbe (EU) 2018/1725;

(bf)   ako podnositelj zahtjeva želi iskoristiti iznimku na temelju članka 48.a stavka 3., objašnjenja koja se zahtijevaju nacionalnim pravom u skladu s tim člankom.

2.a   Tijelo za pristup zdravstvenim podacima procjenjuje je li zahtjev potpun i uzima u obzir rizike navedene u članku 46. stavku 1.a.

3.  ▌Tijelo za pristup zdravstvenim podacima procjenjuje zahtjev za zdravstvene podatke u roku od tri mjeseca i, ako je moguće, u roku od tri mjeseca dostavlja rezultat korisniku zdravstvenih podataka.

Članak 47.a

Predlošci za potporu pristupu elektroničkim zdravstvenim podacima za sekundarnu uporabu

Komisija provedbenim aktima utvrđuje predloške za zahtjev za pristup podacima iz članka 45., dozvolu za podatke iz članka 46. i zahtjev za podatke iz članka 47.

▌

Članak 48.a

Pravo na izuzeće od obrade osobnih elektroničkih zdravstvenih podataka za sekundarnu uporabu

1.  Pojedinci imaju pravo u bilo kojem trenutku i bez navođenja razloga na izuzeće od obrade osobnih elektroničkih zdravstvenih podataka koji se na njih odnose za sekundarnu uporabu u skladu s ovom Uredbom. Ostvarivanje tog prava reverzibilno je.

2.  Države članice omogućuju pristupačan i lako razumljiv mehanizam izuzeća za izvršenje tog prava, pri čemu se pojedincima nudi mogućnost da izričito navedu svoju želju da se njihovi osobni elektronički zdravstveni podaci ne obrađuju za sekundarnu uporabu.

2.a   Nakon što se pojedinac odluči za izuzeće i ako se osobni elektronički zdravstveni podaci koji se na njega odnose mogu utvrditi u skupu podataka, osobni elektronički zdravstveni podaci koji se na njega odnose ne stavljaju se na raspolaganje niti se na drugi način obrađuju u skladu s dozvolama za podatke na temelju članka 46. ili zahtjevima za podatke u skladu s člankom 47. koji su odobreni nakon što je pojedinac odabrao izuzeće. To ne utječe na obradu osobnih elektroničkih zdravstvenih podataka koji se odnose na tog pojedinca za sekundarnu uporabu na temelju dozvola za podatke ili zahtjeva za podatke koji su odobreni prije nego što je pojedinac odabrao izuzeće.

3.   Države članice mogu nacionalnim pravom uspostaviti mehanizam za stavljanje na raspolaganje podataka u pogledu kojih je iskorišteno izuzeće navedeno u stavku 1., pod sljedećim uvjetima:

(a)   zahtjev za pristup podacima podnosi tijelo javnog sektora ili institucija, tijelo, ured ili agencija Unije, koji su ovlašteni za obavljanje zadaća u području javnog zdravlja, ili drugi subjekt koji je ovlašten za obavljanje javnih zadaća u području javnog zdravlja ili djeluje u ime javnog tijela ili na zahtjev tog tijela, po potrebi u jednu od sljedećih svrha:

i.  svrhe iz članka 34. stavka 1. točaka od (a) do (c);

ii.  znanstvena istraživanja iz važnih razloga od javnog interesa;

(b)  podaci se ne mogu pravodobno i učinkovito dobiti alternativnim sredstvima pod jednakim uvjetima;

(c)  podnositelj zahtjeva dostavio je obrazloženje iz članka 46. stavka 1. točke (h) ili članka 47. stavka 2. točke (be).

Uvjeti navedeni u točkama (a), (b) i (c) kumulativno se ispunjavaju.

Nacionalno pravo kojim se predviđa takav mehanizam sadržava posebne i prikladne mjere za zaštitu temeljnih prava i osobnih podataka pojedinaca.

Ako je država članica u svojem nacionalnom pravu odlučila predvidjeti mogućnost traženja pristupa podacima u pogledu kojih je iskorišteno izuzeće iz ovog stavka i ti su kriteriji ispunjeni, podaci za koje je izvršeno izuzeće u skladu sa stavkom 1. mogu se uključiti pri obavljanju zadaća iz članka 37. stavka 1. točke (a) podtočaka iii. i vi. te točke (d).

4.  Izuzećima iz stavka 3. poštuju se temeljna prava i slobode te su nužna i razmjerna mjera u demokratskom društvu kojom se ispunjava javni interes u području legitimnih znanstvenih i društvenih ciljeva.

5.  Svaka obrada u skladu s iznimkom iz stavka 3. mora biti u skladu sa zahtjevima iz ovog poglavlja, posebno sa zabranom ponovne identifikacije, uključujući pokušaje, u skladu s člankom 41. stavkom 2.a. Svaka zakonodavna mjera iz stavka 3. sadržava posebne odredbe o sigurnosti i zaštiti prava pojedinaca.

6.  Države članice bez odgode obavješćuju Komisiju o svojim zakonskim odredbama koje donesu u skladu sa stavkom 3. ovog članka kao i o svim naknadnim izmjenama koje na njih utječu.

7.  Ako svrhe u koje vlasnik zdravstvenih podataka obrađuje osobne elektroničke zdravstvene podatke ne zahtijevaju ili više ne zahtijevaju identifikaciju ispitanika od strane voditelja obrade, vlasnik zdravstvenih podataka nije obvezan čuvati, prikupljati ili obrađivati dodatne informacije kako bi identificirao ispitanika isključivo u svrhu poštovanja prava na izuzeće na temelju ovog članka.

Članak 49.

Pojednostavnjeni postupak za pristup pouzdanog vlasnika zdravstvenih podataka elektroničkim zdravstvenim podacima

1.  Ako tijelo za pristup zdravstvenim podacima zaprimi zahtjev za pristup podacima u skladu s člankom 45. ili zahtjev za podatke u skladu s člankom 47., koji obuhvaća samo elektroničke zdravstvene podatke u posjedu pouzdanog vlasnika zdravstvenih podataka imenovanog u skladu sa stavkom 2., primjenjuje se postupak iz stavaka od 3. do 6.

1.a   Države članice mogu uspostaviti postupak kojim vlasnici zdravstvenih podataka mogu podnijeti zahtjev za imenovanje kao pouzdani vlasnik zdravstvenih podataka ako vlasnik zdravstvenih podataka ispunjava sljedeće uvjete:

(a)  može omogućiti pristup zdravstvenim podacima putem sigurnog okruženja za obradu koje je u skladu s člankom 50.;

(b)  ima potrebno stručno znanje za procjenu zahtjeva za pristup podacima i zahtjeva za podatke;

(c)  pruža potrebna jamstva kako bi se osigurala usklađenost s ovom Uredbom.

Države članice imenuju pouzdane pojedinačne vlasnike podataka nakon što relevantno tijelo za pristup zdravstvenim podacima procijeni te uvjete.

Države članice uspostavljaju postupak za redovito preispitivanje ispunjava li pouzdani vlasnik zdravstvenih podataka i dalje te uvjete.

Tijela za pristup zdravstvenim podacima navode pouzdane pojedinačne vlasnike podataka u katalogu skupova podataka iz članka 55.

2.  ▌Zahtjevi za pristup podacima i zahtjevi za podatke iz stavka 1. podnose se tijelu za pristup ▌zdravstvenim podacima, koje ih može proslijediti relevantnom pouzdanom vlasniku zdravstvenih podataka.

3.  Pouzdani vlasnik zdravstvenih podataka procjenjuje zahtjev za pristup podacima ili zahtjev za podatke prema kriterijima navedenima u članku 46. stavcima 1. i 1.a ili članku 47. stavcima 2. i 2.a, kako je primjenjivo.

4.  Pouzdani vlasnik zdravstvenih podataka dostavlja svoju procjenu, uz prijedlog odluke, tijelu za pristup ▌zdravstvenim podacima u roku od dva mjeseca nakon primitka zahtjeva tijela za pristup zdravstvenim podacima. U roku od dva mjeseca od primitka procjene tijelo za pristup zdravstvenim podacima donosi odluku o zahtjevu za pristup podacima ili zahtjevu za podatke u skladu s ovim člankom. Prijedlog koji je podnio pouzdani vlasnik podataka ne obvezuje tijelo za pristup zdravstvenim podacima.

5.  Nakon što tijelo za pristup zdravstvenim podacima odluči izdati dozvolu za podatke ili odobriti zahtjev za podatke, pouzdani vlasnik zdravstvenih podataka obavlja zadaće iz članka 37. stavka 1. točke (d) i članka 37. stavka 1. točke iii.

5.a   Služba Unije za pristup zdravstvenim podacima može imenovati vlasnike zdravstvenih podataka koji su institucije, tijela ili agencije Unije koji ispunjavaju kriterije iz stavka 1. kao pouzdani vlasnici zdravstvenih podataka. Ako to učini, stavci od 2. do 5. primjenjuju se mutatis mutandis.

Članak 50.

Sigurno okruženje za obradu

1.  Tijela za pristup zdravstvenim podacima omogućuju pristup elektroničkim zdravstvenim podacima u skladu s dozvolom za podatke samo u sigurnom okruženju za obradu, uz tehničke i organizacijske mjere te zahtjeve u pogledu sigurnosti i interoperabilnosti. Konkretno, sigurno okruženje za obradu u skladu je sa sljedećim sigurnosnim mjerama, kojima je cilj:

(a)  omogućiti pristup sigurnom okruženju za obradu samo ovlaštenim pojedincima navedenima u odgovarajućoj dozvoli za podatke;

(b)  najsuvremenijim tehničkim i organizacijskim sredstvima smanjiti na najmanju moguću mjeru rizik od neovlaštenog čitanja, kopiranja, mijenjanja ili preuzimanja elektroničkih zdravstvenih podataka pohranjenih u sigurnom okruženju za obradu;

(c)  omogućiti unos elektroničkih zdravstvenih podataka i pregled, izmjenu ili brisanje elektroničkih zdravstvenih podataka pohranjenih u sigurnom okruženju za obradu samo ograničenom broju ovlaštenih pojedinaca čiji se identitet može utvrditi;

(d)  omogućiti korisnicima zdravstvenih podataka pristup samo onim elektroničkim zdravstvenim podacima koji su obuhvaćeni njihovim dozvolama za podatke, isključivo s pomoću pojedinačnih i jedinstvenih korisničkih identiteta i povjerljivih načina pristupa;

(e)  voditi utvrdive evidencije pristupa sigurnom okruženju za obradu i aktivnosti u njemu u razdoblju potrebnom za provjeru i reviziju svih postupaka obrade u tom okruženju; Evidencije o pristupu trebala bi se čuvati najmanje jednu godinu;

(f)  osigurati usklađenost i pratiti sigurnosne mjere iz ovog članka kako bi se ublažile moguće sigurnosne prijetnje.

2.  Tijela za pristup zdravstvenim podacima omogućuju vlasnicima zdravstvenih podataka da učitavaju elektroničke zdravstvene podatke od vlasnika zdravstvenih podataka u formatu određenom u dozvoli za zdravstvene podatke, a korisnicima zdravstvenih podataka omogućuju da im pristupe u sigurnom okruženju za obradu.

Tijela za pristup zdravstvenim podacima osiguravaju da korisnici zdravstvenih podataka mogu preuzeti samo neosobne elektroničke zdravstvene podatke, uključujući elektroničke zdravstvene podatke u anonimiziranom statističkom formatu iz sigurnog okruženja za obradu.

3.  Tijela za pristup zdravstvenim podacima osiguravaju redovite revizije, uključujući one trećih strana, sigurnih okruženja za obradu i poduzimaju korektivne mjere za sve nedostatke, rizike ili ranjivosti utvrđene u sigurnim okruženjima za obradu.

3.a   Ako priznate organizacije za podatkovni altruizam u okviru poglavlja IV. Uredbe (EU) 2022/868 obrađuju osobne elektroničke zdravstvene podatke u sigurnom okruženju za obradu, takva okruženja moraju biti u skladu sa sigurnosnim mjerama utvrđenima u točkama od (a) do (f) u stavku 1. ovog članka.

4.  Komisija provedbenim aktima utvrđuje tehničke i organizacijske zahtjeve, zahtjeve u pogledu sigurnosti informacija, povjerljivosti i zaštite podataka te zahtjeve u pogledu interoperabilnosti za sigurna okruženja za obradu, uključujući tehničke značajke i alate dostupne korisniku zdravstvenih podataka u sigurnom okruženju za obradu. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

Članak 51.

Vođenje obrade

1.  Vlasnik zdravstvenih podataka smatra se voditeljem obrade za otkrivanje zatraženih osobnih elektroničkih zdravstvenih podataka tijelu za pristup zdravstvenim podacima u skladu s člankom 41. stavcima 1. i 1.a. Tijelo za pristup zdravstvenim podacima smatra se voditeljem obrade osobnih elektroničkih zdravstvenih podataka kada ispunjava svoje zadaće u skladu s ovom Uredbom. Neovisno o prethodnoj rečenici, smatra se da tijelo za pristup zdravstvenim podacima kao izvršitelj obrade u ime korisnika zdravstvenih podataka djeluje kao voditelj obrade za obradu na temelju dozvole za podatke u sigurnom okruženju za obradu pri pružanju podataka putem takvog okruženja, kao i za obradu u pogledu generiranja odgovora na zahtjev za podatke u skladu s člankom 46.

1.a   U situacijama iz članka 49., pouzdani vlasnik zdravstvenih podataka smatra se voditeljem obrade za obradu osobnih elektroničkih zdravstvenih podataka povezanih s pružanjem elektroničkih zdravstvenih podataka korisniku zdravstvenih podataka na temelju dozvole za podatke ili zahtjeva za podatke. Smatra se da pouzdani vlasnik zdravstvenih podataka djeluje kao izvršitelj obrade za korisnika zdravstvenih podataka pri pružanju podataka putem sigurnog okruženja za obradu.

2.  Komisija može provedbenim aktima utvrditi predložak za sporazume između voditelja obrade i izvršitelja obrade u situaciji iz članka 51. stavaka 1. i 1.a. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

Odjeljak 4.

Prekogranična infrastruktura za sekundarnu uporabu elektroničkih zdravstvenih podataka ▌

Članak 52.

▌Zdravstveni podaci@EU (HealthData@EU)▌

1.  Svaka država članica određuje jednu nacionalnu kontaktnu točku za sekundarnu uporabu elektroničkih zdravstvenih podataka. Nacionalna kontaktna točka organizacijski je i tehnički pristupnik koji omogućuje i nadležan je za stavljanje elektroničkih zdravstvenih podataka na raspolaganje za sekundarnu uporabu u prekograničnom kontekstu. Svaka država članica obavještava Komisiju o imenu i podacima za kontakt nacionalne kontaktne točke do datuma početka primjene ove Uredbe. Nacionalna kontaktna točka može biti koordinacijsko tijelo za pristup zdravstvenim podacima u skladu s člankom 36. Komisija i države članice objavljuju te podatke.

1.a   Služba Unije za pristup podacima djeluje kao kontaktna točka institucija, tijela, ureda i agencija Unije za sekundarnu uporabu elektroničkih zdravstvenih podataka i odgovorna je za stavljanje elektroničkih zdravstvenih podataka na raspolaganje za sekundarnu uporabu.

2.  Nacionalne kontaktne točke iz stavka 1. i kontaktna točka iz stavka 1.a povezuju se s prekograničnom infrastrukturom za sekundarnu uporabu elektroničkih zdravstvenih podataka (Zdravstveni podaci@EU (HealthData@EU)). Nacionalne kontaktne točke i kontaktna točka iz stavka 1.a olakšavaju prekogranični pristup elektroničkim zdravstvenim podacima za sekundarnu uporabu različitim ovlaštenim sudionicima u infrastrukturi. Nacionalne kontaktne točke blisko surađuju međusobno i s Komisijom.

▌

4.  Istraživačke infrastrukture povezane sa zdravljem ili slične strukture čije se funkcioniranje temelji na pravu Unije i kojima se podupire uporaba elektroničkih zdravstvenih podataka u svrhu istraživanja, oblikovanja politika, statistike, sigurnosti pacijenata ili u regulatorne svrhe mogu postati ovlašteni sudionici infrastrukture Zdravstveni podaci@EU (HealthData@EU) i povezati se s njom.

5.  Treće zemlje ili međunarodne organizacije mogu postati ovlašteni sudionici ako poštuju pravila iz poglavlja IV. ove Uredbe, ako korisnicima podataka u Uniji pod jednakim uvjetima omogućuju pristup elektroničkim zdravstvenim podacima koji su dostupni njihovim tijelima za pristup zdravstvenim podacima, u skladu s poglavljem V. Uredbe (EU) 2016/679. Komisija može donijeti provedbene akte kojima se utvrđuje da su nacionalna kontaktna točka treće zemlje ili sustav uspostavljen na međunarodnoj razini u skladu sa zahtjevima infrastrukture Zdravstveni podaci@EU (HealthData@EU) za potrebe sekundarne uporabe zdravstvenih podataka, da su u skladu s poglavljem IV. ove Uredbe i da korisnicima zdravstvenih podataka u Uniji pod jednakim uvjetima omogućuju pristup elektroničkim zdravstvenim podacima kojima imaju pristup. Usklađenost s tim pravnim, organizacijskim, tehničkim i sigurnosnim zahtjevima, među ostalim sa standardima za sigurna okruženja za obradu u skladu s člankom 50., provjerava se pod kontrolom Komisije. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2. Komisija objavljuje popis provedbenih akata donesenih u skladu s ovim stavkom.

6.  Sve nacionalne kontaktne točke i svi ovlašteni sudionici stječu potrebnu tehničku sposobnost za povezivanje s infrastrukturom Zdravstveni podaci@EU (HealthData@EU) i sudjelovanje u njoj. Oni moraju poštovati zahtjeve i tehničke specifikacije potrebne za upravljanje prekograničnom infrastrukturom i za mogućnost da se ▌povežu unutar te infrastrukture.

▌

8.  Države članice i Komisija uspostavljaju infrastrukturu Zdravstveni podaci@EU (HealthData@EU) kako bi podržale i olakšale prekogranični pristup elektroničkim zdravstvenim podacima za sekundarnu uporabu te povezale nacionalne kontaktne točke za sekundarnu uporabu elektroničkih zdravstvenih podataka▌ i ovlaštene sudionike u toj infrastrukturi kao i središnju platformu iz stavka 9.

9.  Komisija razvija i uvodi središnju platformu za infrastrukturu Zdravstveni podaci@EU (HealthData@EU) te upravlja njome tako što pruža usluge informacijske tehnologije potrebne da bi se podržalo i olakšalo razmjenu informacija među tijelima za pristup zdravstvenim podacima u okviru prekogranične infrastrukture za sekundarnu uporabu elektroničkih zdravstvenih podataka. Komisija obrađuje elektroničke zdravstvene podatke u ime ▌voditelja obrade samo kao izvršitelj obrade.

10.  Ako to zatraže dvije ili više nacionalnih kontaktnih točaka u toj infrastrukturi, Komisija može omogućiti sigurno okruženje za obradu podataka iz više država članica u skladu sa zahtjevima iz članka 50. Ako dvije ili više nacionalnih kontaktnih točaka ili ovlaštenih sudionika stavljaju elektroničke zdravstvene podatke u sigurno okruženje za obradu kojim upravlja Komisija, ona su zajednički voditelji obrade, a Komisija je izvršitelj obrade u svrhu obrade podataka u tom okruženju.

11.  Nacionalne kontaktne točke djeluju kao zajednički voditelji obrade u postupcima obrade u koje su uključeni i koji se provode u infrastrukturi Zdravstveni podaci@EU (HealthData@EU), a Komisija djeluje kao njihov izvršitelj obrade, bez utjecaja na zadaće tijela za pristup zdravstvenim podacima prije i nakon tih postupaka obrade.

12.  Države članice i Komisija nastoje osigurati interoperabilnost infrastrukture Zdravstveni podaci@EU (HealthData@EU) s drugim relevantnim zajedničkim europskim podatkovnim prostorima kako je navedeno u Uredbi (EU) 2022/868 i Uredbi EU(2022) 2854.

13.  Komisija provedbenim aktima utvrđuje:

(a)  zahtjeve, tehničke specifikacije, informatičku arhitekturu infrastrukture Zdravstveni podaci@EU (HealthData@EU), kojom se osigurava najsuvremenija sigurnost podataka, povjerljivost i zaštita elektroničkih podataka u prekograničnoj infrastrukturi;

(aa)   uvjete i provjere usklađenosti ▌kako bi se priključilo na infrastrukturu Zdravstveni podaci@EU (HealthData@EU) i ostalo povezano s njom te uvjete za privremenu nepovezanost ili konačno isključenje iz infrastrukture Zdravstveni podaci@EU (HealthData@EU), uključujući posebne odredbe za teške povrede dužnosti ili opetovana kršenja;

(b)  minimalne kriterije koje nacionalne kontaktne točke i ovlašteni sudionici infrastrukture moraju ispuniti;

(c)  odgovornosti ▌voditelja obrade i jednog ili više izvršitelja obrade koji sudjeluju u prekograničnim infrastrukturama;

(d)  odgovornosti ▌voditelja obrade i jednog ili više izvršitelja obrade za sigurno okruženje kojim upravlja Komisija;

(e)  zajedničke specifikacije za interoperabilnost i arhitekturu infrastrukture Zdravstveni podaci@EU (HealthData@EU) i drugih zajedničkih europskih podatkovnih prostora.

Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

14.  Nakon pozitivnog ishoda provjere usklađenosti Komisija može u okviru provedbenih akata donijeti odluke o povezivanju pojedinačnih ovlaštenih sudionika na odgovarajuću infrastrukturu. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

Članak 53.

Pristup prekograničnim registrima ili bazama zdravstvenih podataka za sekundarnu uporabu

1.  U slučaju prekograničnih registara i baza podataka tijelo za pristup zdravstvenim podacima pri kojem je vlasnik zdravstvenih podataka registriran za poseban registar ili bazu podataka nadležno je za odlučivanje o zahtjevima za pristup podacima kako bi se omogućio pristup elektroničkim zdravstvenim podacima na temelju dozvole za podatke. Ako takvi registri ili baze podataka imaju zajedničke voditelje obrade, tijelo za pristup zdravstvenim podacima koje je dužno odlučiti o zahtjevima za pristup podacima kako bi se omogućio pristup elektroničkim zdravstvenim podacima jest tijelo u državi članici u kojoj jedan od zajedničkih voditelja obrade ima poslovni nastan.

2.  Ako se registri ili baze podataka iz više država članica organiziraju u jedinstvenu mrežu registara ili baza podataka na razini Unije, povezani registri mogu imenovati koordinatora kako bi se osiguralo pružanje podataka iz mreže registara za sekundarnu uporabu. Tijelo za pristup zdravstvenim podacima države članice u kojoj se nalazi koordinator mreže nadležno je za odlučivanje o zahtjevima za pristup podacima kako bi se mreži registara ili baza podataka omogućio pristup elektroničkim zdravstvenim podacima.

▌

Odjeljak 5.

Kvaliteta i korisnost zdravstvenih podataka za sekundarnu uporabu

Članak 55.

Opis skupa podataka i katalog skupova podataka

1.  Tijelo za pristup zdravstvenim podacima preko javno dostupnog i standardiziranog strojno čitljivog kataloga skupova podataka pruža informacije, u obliku metapodataka, o dostupnim skupovima podataka i njihovim značajkama. Opis svakog skupa podataka uključuje informacije o izvoru, opsegu, glavnim značajkama, prirodi elektroničkih zdravstvenih podataka i uvjetima za stavljanje elektroničkih zdravstvenih podataka na raspolaganje.

1a.   Opisi skupova podataka u nacionalnom katalogu skupova podataka država članica dostupni su barem na jednom službenom jeziku Unije. Katalog skupova podataka za institucije Unije koji osigurava služba Unije za pristup podacima dostupan je na svim službenim jezicima Unije.

1b.   Katalog skupova podataka stavlja se na raspolaganje i jedinstvenim informacijskim točkama na temelju članka 8. Uredbe (EU) 2022/868.

2.  Komisija provedbenim aktima utvrđuje minimalne ▌elemente koje vlasnici zdravstvenih podataka moraju navesti za skupove podataka i njihove značajke. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

Članak 56.

Oznaka kvalitete i korisnosti podataka

1.  Skupovi podataka koje su na raspolaganje stavila tijela za pristup zdravstvenim podacima mogu nositi Unijinu oznaku kvalitete i korisnosti podataka koju primjenjuju vlasnici zdravstvenih podataka.

2.  Skupovi podataka s elektroničkim zdravstvenim podacima koji se prikupljaju i obrađuju uz potporu financijskih sredstava Unije ili nacionalnih javnih sredstava nose oznaku kvalitete i korisnosti podataka u skladu s elementima utvrđenima u stavku 3.

3.  U nastavku su navedeni elementi koje oznaka kvalitete i korisnosti podataka mora obuhvaćati, ako je primjenjivo:

(a)  za dokumentaciju o podacima: metapodaci, prateća dokumentacija, ▌rječnik podataka, primijenjeni format i norme, podrijetlo i, ako je primjenjivo, podatkovni model;

(b)  za ocjenu tehničke kvalitete: potpunost, jedinstvenost, točnost, valjanost, pravodobnost i dosljednost podataka;

(c)  za postupke upravljanja kvalitetom podataka: razina zrelosti postupaka upravljanja kvalitetom podataka, uključujući postupke pregleda i revizije, ispitivanje pristranosti;

(d)  za ocjenu opsega: razdoblje, obuhvaćeno stanovništvo i, ako je primjenjivo, reprezentativnost stanovništva u uzorku i prosječni vremenski okvir u kojem se pojedinac pojavljuje u skupu podataka;

(e)  za informacije o pristupu i pružanju: vrijeme između prikupljanja elektroničkih zdravstvenih podataka i njihova dodavanja u skup podataka, vrijeme potrebno za pružanje elektroničkih zdravstvenih podataka nakon odobrenja zahtjeva za pristup elektroničkim zdravstvenim podacima;

(f)  za informacije o izmjenama podataka: spajanje skupova podataka i dodavanje podataka u postojeći skup podataka, uključujući poveznice s drugim skupovima podataka;

(fa)   ako je skupu podataka priložena oznaka kvalitete i korisnosti podataka u skladu s člankom 56., vlasnik podataka dostavlja dostatnu dokumentaciju tijelu za pristup zdravstvenim podacima kako bi to tijelo moglo potvrditi točnost oznake.

3a.   Ako tijelo za pristup zdravstvenim podacima ima razloga smatrati da postoji mogućnost da je oznaka kvalitete i korisnosti podataka netočna, procjenjuje ispunjavaju li podaci zahtjeve iz stavka 3. i opoziva oznaku u slučaju da podaci ne zadovoljavaju propisanu razinu kvalitete.

4.  Komisija je ovlaštena za donošenje delegiranih akata na temelju članka 67. radi izmjene popisa elemenata za oznaku kvalitete i korisnosti podataka. Takvim delegiranim aktima može se izmijeniti i popis utvrđen u stavku 3. dodavanjem, izmjenom ili uklanjanjem zahtjeva za oznaku kvalitete i korisnosti podataka.

5.  Komisija provedbenim aktima utvrđuje vizualna obilježja i tehničke specifikacije oznake kvalitete i korisnosti podataka na temelju elemenata iz stavka 3. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2. Tim se provedbenim aktima uzimaju u obzir zahtjevi iz članka 10. Uredbe […] [Akt o umjetnoj inteligenciji 2021/0106(COD)] te sve donesene zajedničke specifikacije ili usklađeni standardi kojima se podupiru ti zahtjevi, ako je to primjenjivo.

Članak 57.

Katalog skupova podataka EU-a

1.  Komisija uspostavlja i stavlja na raspolaganje javnosti katalog skupova podataka EU-a koji objedinjuje nacionalne kataloge skupova podataka koje su uspostavila tijela za pristup zdravstvenim podacima u svakoj državi članici, kao i kataloge skupova podataka ovlaštenih sudionika u infrastrukturi Zdravstveni podaci@EU (HealthData@EU).

2.  Katalog skupova podataka EU-a i nacionalni katalozi skupova podataka, kao i katalozi skupova podataka ovlaštenih sudionika u infrastrukturi Zdravstveni podaci@EU (HealthData@EU) javno su dostupni.

Članak 58.

Minimalne specifikacije skupa podataka

Komisija može provedbenim aktima utvrditi minimalne specifikacije za ▌skupove podataka s velikim učinkom za sekundarnu uporabu elektroničkih zdravstvenih podataka, uzimajući u obzir postojeće infrastrukture, norme, smjernice i preporuke Unije. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2.

POGLAVLJE V.

Dodatne mjere

Članak 59.

Izgradnja kapaciteta

Komisija podupire razmjenu primjera najbolje prakse i stručnog znanja kako bi se izgradili kapaciteti država članica za jačanje sustava digitalnog zdravstva za primarnu i sekundarnu uporabu elektroničkih zdravstvenih podataka, uzimajući u obzir posebne uvjete različitih kategorija uključenih dionika. Kako bi podržala izgradnju kapaciteta, Komisija u uskoj suradnji s državama članicama i uz savjetovanje s njima uspostavlja pokazatelje za samoprocjenu za primarnu i sekundarnu uporabu elektroničkih zdravstvenih podataka.

Članak 59.a

Osposobljavanje i informiranje zdravstvenih stručnjaka

1.  Države članice razvijaju i provode programe osposobljavanja za zdravstvene stručnjake ili osiguravaju pristup takvim programima kako bi oni razumjeli i djelotvorno izvršavali svoju ulogu u primarnoj uporabi elektroničkih zdravstvenih podataka i pristupu tim podacima, među ostalim u vezi s člancima 4., 7. i 9. Komisija u tom pogledu pruža potporu državama članicama.

2.  Osposobljavanje i informacije moraju biti dostupni i cjenovno pristupačni svim zdravstvenim stručnjacima, ne dovodeći u pitanje organizaciju zdravstvene zaštite na nacionalnoj razini.

Članak 59.b

Digitalna pismenost u području zdravlja i pristup digitalnom zdravstvu

1.  Države članice promiču i podupiru digitalnu pismenost u području zdravlja te relevantne kompetencije i vještine pacijenata. Komisija u tom pogledu pruža potporu državama članicama.

2.  Kampanje ili programi za podizanje svijesti posebno su usmjereni na informiranje pacijenata i šire javnosti o primarnoj i sekundarnoj uporabi elektroničkih zdravstvenih podataka u okviru europskog prostora za zdravstvene podatke, uključujući prava koja iz toga proizlaze, kao i prednosti, rizike i potencijalne koristi za znanost i društvo koje sa sobom nosi primarna i sekundarna uporaba elektroničkih zdravstvenih podataka.

3.  Kampanje i programi iz stavka 2. prilagođeni su potrebama posebnih skupina, razvijaju se i preispituju te prema potrebi ažuriraju.

4.  Države članice promiču pristup infrastrukturi potrebnoj za učinkovito upravljanje elektroničkim zdravstvenim podacima pojedinaca, kako u primarnoj tako i u sekundarnoj uporabi.

Članak 60.

Dodatni zahtjevi za javnu nabavu i financiranje sredstvima Unije

1.  U smislu članka 2. stavka 1. točke (1) Direktive 2014/24/EU javni naručitelji, ▌uključujući tijela nadležna za digitalno zdravstvo i tijela za pristup zdravstvenim podacima, te institucije, tijela, urede i agencije Unije, upućuju na primjenjive tehničke specifikacije, norme i profile iz članaka 6., 12., 23., 50., 52. i 56., ovisno o slučaju, kao smjernice za javnu nabavu i oblikovanje svoje natječajne dokumentacije ili poziva na podnošenje prijedloga te pri utvrđivanju uvjeta za financiranje sredstvima Unije u vezi s ovom Uredbom, među ostalim uvjeta koji omogućuju provedbu strukturnih i kohezijskih fondova.

2.  U kriterijima za dobivanje financijskih sredstava Unije uzimaju se u obzir zahtjevi razrađeni u okviru poglavlja II., III. i IV.

Članak 60.a

U skladu s općim načelima prava Unije, koja uključuju temeljna prava zajamčena člancima 7. i 8. Povelje, države članice odgovarajućim tehničkim i organizacijskim mjerama osiguravaju posebnu visoku razinu zaštite i sigurnosti pri obradi osobnih elektroničkih zdravstvenih podataka za primarnu uporabu. U tom pogledu ovom se Uredbom ne isključuje zahtjev propisan nacionalnim pravom, s obzirom na nacionalni kontekst, prema kojem se, ako osobne elektroničke zdravstvene podatke obrađuju pružatelji zdravstvene zaštite za pružanje zdravstvene zaštite ili nacionalna kontaktna točka za digitalno zdravstvo povezana s infrastrukturom Moje zdravlje@EU (MyHealth@EU), pohrana osobnih elektroničkih zdravstvenih podataka iz članka 5. za potrebe primarne uporabe nalazi se unutar Unije, u skladu s pravom Unije i međunarodnim obvezama.

Članak 60.aa

Pohrana osobnih elektroničkih zdravstvenih podataka pri tijelima za pristup zdravstvenim podacima i sigurna okruženja za obradu

1.   Tijela za pristup zdravstvenim podacima, pojedinačni vlasnici podataka i služba Unije za pristup podacima pohranjuju i obrađuju osobne zdravstvene elektroničke podatke u Europskoj uniji pri provedbi pseudonimizacije, anonimizacije i svih drugih postupaka obrade osobnih podataka iz članaka od 45. do 49. putem sigurnih okruženja za obradu u smislu članka 50. i članka 52. stavka 8. ili putem infrastrukture Zdravstveni podaci@EU (HealthData@EU). Taj se zahtjev primjenjuje na svaki subjekt koji te zadaće obavlja u njihovo ime.

2.   Iznimno, podaci iz stavka 1. mogu se pohraniti i obrađivati u trećoj zemlji, državnom području ili jednom ili više određenih sektora unutar te treće zemlje koji su obuhvaćeni odlukom o primjerenosti, u skladu s člankom 45. Uredbe (EU) 2016/679.

Članak 61.

Prijenos neosobnih elektroničkih podataka u treće zemlje

1.  Neosobni elektronički zdravstveni podaci koje su korisniku zdravstvenih podataka u trećoj zemlji u skladu s dozvolom za podatke iz članka 46. ili zahtjevom za podatke iz članka 47., ili ovlaštenim sudionicima u trećoj zemlji ili međunarodnoj organizaciji na raspolaganje stavila tijela za pristup zdravstvenim podacima, koji se temelje na elektroničkim zdravstvenim podacima pojedinca koji su obuhvaćeni jednom od kategorija iz članka 33. ▌ smatraju se vrlo osjetljivima u smislu članka 5. stavka 13. Uredbe (EU) 2022/868, ako je njihov prijenos trećim zemljama povezan s rizikom od utvrđivanja identiteta sredstvima koja nadilaze sredstva za koja je u razumnoj mjeri vjerojatno da će biti upotrijebljena, posebno s obzirom na ograničen broj pojedinaca povezanih s tim podacima, činjenicu da su zemljopisno raštrkani ili tehnološka postignuća u bliskoj budućnosti.

2.  Zaštitne mjere za kategorije podataka navedene u stavku 1. ▌bit će detaljno opisana u delegiranom aktu donesenom na temelju ovlaštenja iz članka 5. stavka 13. Uredbe (EU) 2022/868.

Članak 62.

Međunarodni pristup tijela vlasti neosobnim elektroničkim zdravstvenim podacima

1.  Tijela nadležna za digitalno zdravstvo, tijela za pristup zdravstvenim podacima i ovlašteni sudionici u prekograničnim infrastrukturama iz članaka 12. i 52. te korisnici zdravstvenih podataka poduzimaju sve razumne tehničke, pravne i organizacijske mjere, uključujući sklapanje ugovornih sporazuma, kako bi se spriječio ▌prijenos neosobnih elektroničkih zdravstvenih podataka pohranjenih u Uniji u treću zemlju ili međunarodnu organizaciju, uključujući pristup tijela vlasti takvim podacima u trećoj zemlji, ako bi takav prijenos bio u suprotnosti s pravom Unije ili nacionalnim pravom relevantne države članice ▌.

2.  Sve presude suda treće zemlje i sve odluke upravnog tijela treće zemlje kojima se od tijela nadležnog za digitalno zdravstvo, tijela za pristup zdravstvenim podacima ili korisnika podataka zahtijeva prijenos neosobnih elektroničkih zdravstvenih podataka pohranjenih u Uniji ili omogućivanje pristupa takvim podacima u okviru područja primjene ove Uredbe priznaju se ili su izvršive na bilo koji način samo ako se temelje na međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili bilo kojem takvom sporazumu između treće zemlje koja je podnijela zahtjev i države članice.

3.  Ako ne postoji međunarodni sporazum iz stavka 2. ovog članka, ako su tijelo nadležno za digitalno zdravstvo, tijelo za pristup zdravstvenim podacima ili korisnici podataka adresati odluke ili presude suda treće zemlje ili odluke upravnog tijela treće zemlje o prijenosu neosobnih podataka pohranjenih u Uniji ili omogućivanju pristupa takvim podacima u okviru područja primjene ove Uredbe i ako bi postupanje u skladu s takvom odlukom moglo dovesti adresata u sukob s pravom Unije ili nacionalnim pravom relevantne države članice, ti se podaci prenose tijelu treće zemlje odnosno tijelu treće zemlje omogućuje se pristup tim podacima samo:

(a)  ako je sustavom treće zemlje propisano navođenje razloga i proporcionalnosti odluke ili presude te ako je propisano da takva odluka ili presuda bude konkretna, na primjer da je u njoj uspostavljena dostatna veza s određenim osumnjičenim osobama ili povredama;

(b)  ako obrazloženi prigovor adresata podliježe preispitivanju nadležnog suda treće zemlje; i

(c)  ako je nadležni sud treće zemlje koji donosi odluku ili presudu ili preispituje odluku upravnog tijela ovlašten u skladu s pravom te treće zemlje propisno uzeti u obzir relevantne pravne interese pružatelja podataka zaštićene na temelju prava Unije ili nacionalnog prava relevantne države članice.

4.  Ako su ispunjeni uvjeti utvrđeni u stavcima 2. ili 3., tijelo nadležno za digitalno zdravstvo, tijelo za pristup zdravstvenim podacima ili tijelo za podatkovni altruizam odgovaraju na zahtjev tako što dostavljaju minimalnu dopuštenu količinu podataka na temelju razumnog tumačenja zahtjeva.

5.  Prije nego što ispune zahtjev, tijela nadležna za digitalno zdravstvo, tijela za pristup zdravstvenim podacima ili korisnici podataka obavješćuju vlasnika podataka da je upravno tijelo treće zemlje podnijelo zahtjev za pristup njegovim podacima, osim ako zahtjev služi za potrebe kaznenog progona i sve dok je to potrebno za očuvanje djelotvornosti aktivnosti kaznenog progona.

Članak 63.

Dodatni uvjeti za prijenos osobnih elektroničkih zdravstvenih podataka u treću zemlju ili međunarodnu organizaciju

▌Prijenos osobnih elektroničkih zdravstvenih podataka u treću zemlju ili međunarodnu organizaciju odobrava se u skladu s poglavljem V. Uredbe (EU) 2016/679. Države članice mogu zadržati ili uvesti dodatne uvjete za međunarodni pristup osobnim elektroničkim zdravstvenim podacima i njihov prijenos, uključujući ograničenja, u skladu s uvjetima iz članka 9. stavka 4. Uredbe (EU) 2016/679 i na temelju tih uvjeta, uz zahtjeve utvrđene u članku 13. stavku 3. i članku 52. stavku 5. ove Uredbe i zahtjeve utvrđene u poglavlju V. Uredbe (EU) 2016/679.

Članak 63.b

Zahtjevi za pristup podacima i zahtjevi za podatke koji se podnose iz trećih zemalja

1.  Ne dovodeći u pitanje članke 45., 46. i 47., kad je riječ o tijelima za pristup zdravstvenim podacima koja su imenovale države članice i služba Unije za pristup podacima, zahtjevi za pristup podacima i zahtjevi za podatke koje podnosi korisnik podataka s poslovnim nastanom u trećoj zemlji smatraju se prihvatljivima ako:

(a)  je dotična treća zemlja obuhvaćena provedbenim aktom iz članka 52. stavka 5.; or

(b)  dotična treća zemlja podnositeljima zahtjeva iz EU-a omogućuje pristup elektroničkim zdravstvenim podacima u toj trećoj zemlji pod uvjetima koji nisu restriktivniji od onih predviđenih ovom Uredbom te su stoga obuhvaćeni provedbenim aktima iz stavka 2.

Komisija može donijeti provedbene akte kojima se utvrđuje da treća zemlja ispunjava kriterije iz stavka 1. točke (b). Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 68. stavka 2. Komisija objavljuje popis provedbenih akata donesenih u skladu s ovim stavkom.

Komisija prati kretanja u trećim zemljama i međunarodnim organizacijama koja bi mogla utjecati na funkcioniranje provedbenih akata donesenih na temelju stavka 2. i osigurava periodično preispitivanje funkcioniranja ovog članka.

Ako Komisija smatra da treća zemlja više ne ispunjava uvjet iz stavka 1. točke (b), donosi provedbeni akt za uklanjanje takve treće zemlje koja ima pristup.

POGLAVLJE VI

Europsko upravljanje i koordinacija

Članak 64.

Odbor za europski prostor za zdravstvene podatke

1.  Osniva se Odbor za europski prostor za zdravstvene podatke kako bi se olakšala suradnja i razmjena informacija među državama članicama i s Komisijom. Odbor za europski prostor za zdravstvene podatke sastoji se od dva predstavnika iz svake države članice, jednog predstavnika za primarnu uporabu i jednog predstavnika za sekundarnu uporabu, koje imenuje svaka država članica. Svaka država članica ima jedan glas. Članovi Odbora za europski prostor za zdravstvene podatke obvezuju se da će djelovati u javnom interesu i neovisno.

1a.   Predstavnik Komisije i jedan od predstavnika država članica iz stavka 1. supredsjedaju sastancima Odbora za europski prostor za zdravstvene podatke.

1b.   Tijela za nadzor tržišta iz članka 28., Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka, EMA, ECDC i ENISA pozivaju se da prisustvuju sastancima ako Odbor smatra da su pitanja relevantna.

1c.   Odbor na svoje sastanke može pozvati i druga nacionalna tijela, stručnjake i promatrače te druge institucije, tijela, urede i agencije Unije, istraživačke infrastrukture i druge slične strukture.

1d.   Odbor prema potrebi može surađivati s drugim vanjskim stručnjacima.

2.  Ovisno o funkcijama povezanima s uporabom elektroničkih zdravstvenih podataka, Odbor za europski prostor za zdravstvene podatke može raditi u podskupinama za određene teme, u kojima moraju biti zastupljena tijela nadležna za digitalno zdravstvo ili tijela za pristup zdravstvenim podacima ▌. Podskupine podupiru rad Odbora za europski prostor za zdravstvene podatke pružanjem posebnog stručnog znanja. Podskupine prema potrebi mogu održavati zajedničke sastanke.

3.  Odbor za europski prostor za zdravstvene podatke donosi poslovnik i kodeks ponašanja na prijedlog Komisije. Tim poslovnikom predviđa se sastav, organizacija, funkcioniranje i suradnja podskupina te suradnja Odbora za europski prostor za zdravstvene podatke sa savjetodavnim forumom. Kad je riječ o pravilima glasovanja, Odbor za europski prostor za zdravstvene podatke odlučuje konsenzusom kad god je to moguće. Ako se konsenzus ne može postići, Odbor za europski prostor za zdravstvene podatke odlučuje dvotrećinskom većinom država članica.

▌

5.  Odbor za europski prostor za zdravstvene podatke surađuje s drugim relevantnim tijelima, subjektima i stručnjacima, kao što su Europski odbor za inovacije u području podataka iz članka 29. Uredbe (EU) 2022/868, nadležna tijela osnovana na temelju članka 37. Uredbe (EU) 2023/2854, nadzorna tijela osnovana na temelju članka 17. Uredbe (EU) br. 910/2014, Europski odbor za zaštitu podataka iz članka 68. Uredbe (EU) 2016/679, tijela za kibersigurnost, uključujući ENISA-u, i europski oblak za otvorenu znanost, u nastojanju da se postignu napredna rješenja u pogledu uporabe vidljivih, dostupnih, interoperabilnih i ponovno upotrebljivih (FAIR) podataka u području istraživanja i inovacija.

▌

7.  Odboru za europski prostor za zdravstvene podatke pomaže tajništvo koje na raspolaganje stavlja Komisija.

7a.   Odbor za europski prostor za zdravstvene podatke objavljuje datume sastanaka i zapisnike, te svake dvije godine objavljuje izvješće o svojim aktivnostima.

8.  Komisija provedbenim aktima donosi potrebne mjere za osnivanje i operacije Odbora za europski prostor za zdravstvene podatke. Ti se provedbeni akti donose u skladu s ▌postupkom ispitivanja iz članka 68. stavka 2.

Članak 64.a

Forum dionika

1.   Ovime se osniva forum dionika u svrhu olakšavanja razmjene informacija i promicanja suradnje s dionicima u vezi s provedbom ove Uredbe.

2.   Forum dionika sastoji se od relevantnih dionika, uključujući predstavnike organizacija pacijenata, zdravstvene stručnjake, industriju, organizacije potrošača, znanstvene istraživače i akademske zajednice. Forum dionika uravnotežen je i zastupa stajališta različitih relevantnih dionika. Ako su u forumu dionika zastupljeni poslovni interesi, oni moraju biti uravnoteženi između velikih poduzeća, MSP-ova i novoosnovanih poduzeća. Isto tako, stavlja se uravnotežen naglasak na primarnu i sekundarnu uporabu elektroničkih zdravstvenih podataka.

3.   Članove foruma dionika imenuje Komisija nakon javnog poziva na iskaz interesa i transparentnog postupka odabira. Članovi foruma dionika daju godišnju izjavu o svojim interesima, koja se ažurira kad god je to relevantno i javno se objavljuje.

4.  Forum dionika može prema potrebi uspostaviti stalne ili privremene podskupine u svrhu razmatranja posebnih pitanja povezanih s ciljevima ove Uredbe. Forum dionika izrađuje svoj poslovnik.

5.   Forum dionika održava redovite sastanke, a sastancima predsjeda predstavnik Komisije.

6.   Forum dionika priprema godišnje izvješće o svojim aktivnostima. To se izvješće objavljuje.

Članak 65.

Zadaće Odbora za europski prostor za zdravstvene podatke

1.  Odbor za europski prostor za zdravstvene podatke ima sljedeće zadaće koje se odnose na primarnu uporabu elektroničkih zdravstvenih podataka u skladu s poglavljima II. i III.:

(a)  pružanje pomoći državama članicama u koordiniranju postupaka tijela nadležnih za digitalno zdravstvo;

(b)  izdavanje pisanih doprinosa i razmjena primjera najbolje prakse o pitanjima povezanima s koordinacijom provedbe ove Uredbe na razini država članica te delegiranih i provedbenih akata donesenih na temelju nje, uzimajući u obzir regionalnu i lokalnu razinu, posebno u odnosu na:

i.  odredbe iz poglavlja II. i III.;

ii.  razvoj internetskih usluga koje zdravstvenim stručnjacima i pojedincima olakšavaju siguran pristup elektroničkim zdravstvenim podacima, uključujući sigurnu elektroničku identifikaciju;

iii.  ostale aspekte primarne uporabe elektroničkih zdravstvenih podataka.

(c)  olakšavanje suradnje među tijelima nadležnima za digitalno zdravstvo izgradnjom kapaciteta, uspostavom strukture za dvogodišnje izvješćivanje o radu ▌ i razmjenom informacija;

(d)  razmjenjivanje informacija među članovima Odbora o rizicima povezanima sa sustavima elektroničkih zdravstvenih zapisa i ozbiljnim incidentima te o njihovu rješavanju;

(e)  olakšavanje razmjene mišljenja o primarnoj uporabi elektroničkih zdravstvenih podataka sa forumom dionika iz članka 64.a, kao i regulatornim tijelima i oblikovateljima politika u zdravstvenom sektoru.

2.  Odbor za europski prostor za zdravstvene podatke ima sljedeće zadaće povezane sa sekundarnom uporabom elektroničkih zdravstvenih podataka u skladu s poglavljem IV.:

(a)  pružanje pomoći državama članicama u koordiniranju postupaka tijelâ za pristup zdravstvenim podacima u provedbi odredaba iz poglavlja IV. kako bi se osigurala dosljedna primjena ove Uredbe;

(b)  izdavanje pisanih doprinosa i razmjena primjera najbolje prakse o pitanjima povezanima s koordinacijom provedbe ove Uredbe na razini država članica te delegiranih i provedbenih akata donesenih na temelju nje, posebno u odnosu na:

i.  provedbu pravila za pristup elektroničkim zdravstvenim podacima;

ii.  tehničke specifikacije ili postojeće norme u vezi sa zahtjevima utvrđenima u poglavlju IV.;

iii.  politike poticaja za promicanje kvalitete podataka i poboljšanje interoperabilnosti;

iv.  politike koje se odnose na naknade koje naplaćuju tijela za pristup zdravstvenim podacima i vlasnici zdravstvenih podataka;

v.a   mjere za zaštitu osobnih podataka zdravstvenih stručnjaka uključenih u liječenje pojedinaca;

vi.  druge aspekte sekundarne uporabe elektroničkih zdravstvenih podataka;

(ba)   Odbor za europski prostor za zdravstvene podatke uz savjetovanje i u suradnji s relevantnim dionicima, uključujući predstavnike pacijenata, zdravstvenih stručnjaka i istraživača, izrađuju smjernice kako bi se korisnicima zdravstvenih podataka pomoglo da ispune svoje obveze iz članka 41. stavka 5., posebno kako bi se utvrdilo jesu li njihovi nalazi klinički značajni.

(c)  olakšavanje suradnje među tijelima za pristup zdravstvenim podacima izgradnjom kapaciteta, uspostavom strukture za dvogodišnje izvješćivanje o radu ▌i razmjenom informacija;

(d)  razmjenjivanje informacija o rizicima i incidentima povezanima sa ▌sekundarnom uporabom elektroničkih zdravstvenih podataka te o njihovu rješavanju;

▌

(f)  olakšavanje razmjene mišljenja o sekundarnoj uporabi elektroničkih zdravstvenih podataka sa forumom dionika iz članka 64.a, kao i vlasnicima podataka, korisnicima zdravstvenih podataka, regulatornim tijelima i oblikovateljima politika u zdravstvenom sektoru.

Članak 66.

Upravljačke skupine za infrastrukture Moje zdravlje@EU (MyHealth@EU) i Zdravstveni podaci@EU (HealthData@EU)

1.  Ovime se osnivaju dvije upravljačke skupine ▌za prekogranične infrastrukture iz članaka 12. i 52.; upravljačka skupina MyHealth@EU i upravljačka skupina HealthData@EU. Svaka skupina sastoji se od po jednog predstavnika odgovarajućih nacionalnih kontaktnih točaka iz svake države članice.

1a.   Upravljačke skupine donose operativne odluke o razvoju i radu prekograničnih infrastruktura iz članaka 12. i 52.

1b.   Upravljačke skupine donose odluke konsenzusom. Ako se konsenzus ne može postići, za donošenje odluke potrebna je potpora članova koji predstavljaju dvotrećinsku većinu, pri čemu svaka država članica ima jedan glas.

2.  Sastav, organizacija, funkcioniranje i suradnja upravljačkih skupina utvrđuje se u poslovniku koji donose te skupine.

3.  Drugi ovlašteni sudionici mogu biti pozvani na razmjenu informacija i stajališta o relevantnim pitanjima povezanima s prekograničnim infrastrukturama predviđenima u člancima 12. i 52. Kada su ti sudionici pozvani, imaju ulogu promatrača.

3a.   Dionici i relevantne treće strane, uključujući predstavnike pacijenata, zdravstvenih stručnjaka, potrošača i industrije, mogu biti pozvani da prisustvuju sastancima skupina kao promatrači.

4.  Skupine biraju predsjednike za svoje sastanke.

5.  Skupinama pomaže tajništvo koje na raspolaganje stavlja Komisija.

Članak 66.a

Uloge i odgovornosti Komisije u pogledu funkcioniranja Odbora za europski prostor za zdravstvene podatke

1.   Usluge iz stavka 1. moraju ispunjavati dostatne standarde kvalitete u pogledu dostupnosti, sigurnosti, kapaciteta, interoperabilnosti, održavanja, praćenja i razvoja kako bi se osiguralo učinkovito funkcioniranje europskog prostora za zdravstvene podatke. Komisija ih osigurava u skladu s operativnim odlukama relevantnih upravljačkih skupina.

4.   Komisija objavljuje dvogodišnje javno izvješće o infrastrukturama i uslugama kojima se podupire europski prostor za zdravstvene podatke koje osigurava u skladu sa stavkom 1.

4a.   Uz svoju ulogu u stavljanju na raspolaganje elektroničkih zdravstvenih podataka u posjedu institucija, tijela ili agencija Unije, u skladu s člancima 36., 36.a i člankom 52. stavkom 1.a i svojim zadaćama iz poglavlja III., uključujući članak 26.a, Komisija svim relevantnim povezanim subjektima osigurava razvoj, održavanje, smještaj i rad infrastruktura i središnjih usluga potrebnih za potporu funkcioniranju europskog prostora za zdravstvene podatke:

(a)  interoperabilni, prekogranični mehanizam za identifikaciju i autentifikaciju za pojedince i zdravstvene stručnjake, u skladu s člankom 9. stavcima 3. i 4.;

(b)  središnje usluge i infrastrukture za digitalno zdravstvo u okviru projekta Moje zdravlje@EU (MyHealth@EU), u skladu s člankom 12. stavkom 1.;

(c)  provjere usklađenosti za povezivanje ovlaštenih sudionika na infrastrukturu Moje zdravlje@EU (MyHealth@EU), u skladu s člankom 12. stavkom 9.;

(d)  dodatne prekogranične digitalne zdravstvene usluge i infrastrukture u smislu članka 13. stavka 1. ove Uredbe;

(e)  u okviru infrastrukture Zdravstveni podaci@EU (HealthData@EU), usluga podnošenja zahtjeva za stavljanje na raspolaganje elektroničkih zdravstvenih podataka vlasnika zdravstvenih podataka u više država članica ili drugih ovlaštenih sudionika te za njihovo automatsko prosljeđivanje relevantnim kontaktnim točkama u skladu s člankom 45. stavkom 3.;

(f)  središnje usluge i infrastrukture u okviru projekta Zdravstveni podaci@EU (HealthData@EU) u skladu s člankom 52. stavcima 6. i 7.;

(g)  sigurno okruženje za obradu u skladu s člankom 52. stavkom 8., u kojem tijela za pristup zdravstvenim podacima mogu odlučiti staviti podatke na raspolaganje u skladu s člankom 46. stavkom 5.a;

(h)  provjere usklađenosti za povezivanje ovlaštenih sudionika na infrastrukturu Zdravstveni podaci@EU (HealthData@EU), u skladu s člankom 52. stavkom 12.;

(i)  objedinjeni katalog skupova podataka EU-a koji povezuje nacionalne kataloge skupova podataka, u skladu s člankom 57.;

(j)  tajništvo Odbora za europski prostor za zdravstvene podatke, u skladu s člankom 64. stavkom 7.;

(k)  tajništvo za upravljačke skupine, u skladu s člankom 66. stavkom 5.

POGLAVLJE VII.

Delegiranje ovlasti i postupak odbora

Članak 67.

Izvršavanje delegiranja ovlasti

1.  Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

2.  Ovlast za donošenje delegiranih akata iz članka 5. stavka 2., članka 32. stavka 4. i članka 56. stavka 4. dodjeljuje se Komisiji na neodređeno vrijeme od datuma stupanja na snagu ove Uredbe.

3.  Europski parlament ili Vijeće u svakom trenutku mogu opozvati ovlast za donošenje delegiranih akata iz članka 5. stavka 2., članka 32. stavka 4 i članka 56. stavka 4. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4.  Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5.  Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6.  Delegirani akt donesen na temelju članka 5. stavka 2., članka 32. stavka 4. i članka 56. stavka 4. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od tri mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za tri mjeseca na inicijativu Europskog parlamenta ili Vijeća.

Članak 68.

Postupak odbora

1.  Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.  Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Članak 68.a

Horizontalne pritužbe

1.   Ne dovodeći u pitanje nijedna druga upravna ili sudska pravna sredstva, pojedinci i pravne osobe imaju pravo pojedinačno ili, prema potrebi, kolektivno podnijeti pritužbu tijelu nadležnom za digitalno zdravstvo ako je pritužba povezana s odredbama iz poglavlja II., ili tijelu za pristup zdravstvenim podacima ako je pritužba povezana s odredbama poglavlja IV., pod uvjetom da su ugrožena njihova prava ili interesi.

2.   Tijelo nadležno za digitalno zdravstvo ili tijelo za pristup zdravstvenim podacima kojem je podnesena pritužba obavješćuje podnositelja pritužbe o tijeku postupka i donesenoj odluci u pogledu pritužbe.

3.   Tijela nadležna za digitalno zdravstvo i tijela za pristup zdravstvenim podacima osiguravaju lako dostupne alate za podnošenje pritužbi.

4.   Ako se pritužba odnosi na prava pojedinaca u skladu s člancima od 8.a do 8.f i člankom 8.h ili člankom 48.a ove Uredbe, pritužba se podnosi nadležnom nadzornom tijelu u skladu s Uredbom (EU) 2016/679. Tijelo nadležno za digitalno zdravstvo ili tijelo za pristup zdravstvenim podacima dostavlja potrebne informacije koje su mu na raspolaganju nadzornom tijelu u skladu s Uredbom (EU) 2016/679 kako bi se olakšala procjena i istraga pritužbe.

POGLAVLJE VIII.

Razno

Članak 69.

Sankcije

Države članice utvrđuju pravila o ostalim sankcijama koje se primjenjuju na kršenja ove Uredbe, posebno kršenja koja ne podliježu administrativnim novčanim kaznama u skladu s člankom 43. i 43.a, i poduzimaju sve potrebne mjere radi osiguranja njihove provedbe. Sankcije moraju biti učinkovite, proporcionalne i odvraćajuće. ▌

Države članice prema potrebi uzimaju u obzir sljedeće neiscrpne i okvirne kriterije za izricanje sankcija za kršenja ove Uredbe:

(a)   narav, težinu, opseg i trajanje kršenja;

(b)   sve mjere koje je poduzeo počinitelj kršenja kako bi ublažio ili popravio štetu prouzročenu kršenjem;

(c)   sva prethodna kršenja koja je počinitelj počinio;

(d)   financijske koristi koje je počinitelj stekao ili gubitke koje je izbjegao zbog kršenja, u mjeri u kojoj se takve koristi ili gubici mogu pouzdano utvrditi;

(e)   sve ostale otegotne ili olakotne čimbenike primjenjive na okolnosti dotičnog slučaja;

(f)   godišnji promet počinitelja u prethodnoj financijskoj godini u Uniji.

Države članice do datuma početka primjene ove Uredbe obavješćuju Komisiju o tim pravilima i mjerama te je bez odgode obavješćuju o svim naknadnim izmjenama koje na njih utječu.

Članak 69.a

Pravo na naknadu

Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu, u skladu s nacionalnim pravom i pravom Unije.

Članak 69.b

Zastupanje pojedinca

Ako pojedinac smatra da su prekršena njegova prava iz ove Uredbe, ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa i koje je aktivno u području zaštite osobnih podataka, da podnese pritužbu u njegovo ime ili ostvari prava iz članka 68.a.

Članak 70.

Evaluacija, preispitivanje i izvješće o napretku

1.  Osam godina nakon stupanja na snagu ove Uredbe Komisija provodi ciljanu evaluaciju ove Uredbe ▌te Europskom parlamentu i Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija podnosi izvješće o svojim glavnim nalazima, kojem prema potrebi prilaže prijedlog njezine izmjene. U okviru evaluacije ocjenjuje se sljedeće:

(a)  mogućnosti daljnjeg proširenja interoperabilnosti između sustava elektroničkih zdravstvenih zapisa i usluga pristupa elektroničkim zdravstvenim podacima, osim onih koje su uspostavile države članice;

(b)  potreba za ažuriranjem kategorija podataka iz članka 33. i svrha u koje se podaci upotrebljavaju iz članka 34.;

(c)  provedba i uporaba mehanizama izuzeća za sekundarnu uporabu iz članka 48.a od strane pojedinaca, posebno kad je riječ o učinku na javno zdravlje, znanstvena istraživanja i temeljna prava;

(d)  provedba i primjena strožih mjera iz članka 33. stavka 8.b;

(e)  uporaba i primjena prava iz članka 3. stavka 9.;

(f)  ocjena okvira za certifikaciju sustava elektroničkih zdravstvenih zapisa iz poglavlja III. i potreba za uvođenjem dodatnih alata za ocjenu sukladnosti te za podnošenje izvješća o glavnim nalazima;

(g)  procjena funkcioniranja unutarnjeg tržišta za sustave elektroničkih zdravstvenih zapisa;

(h)  procjena troškova i koristi provedbe odredaba za sekundarnu uporabu utvrđenih u poglavlju IV.;

(i)  kao i primjena naknada iz članka 42.;

2.  Deset godina nakon stupanja na snagu ove Uredbe Komisija provodi cjelovitu evaluaciju ove Uredbe te Europskom parlamentu i Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija podnosi izvješće o svojim glavnim nalazima, kojem prema potrebi prilaže prijedlog njezine izmjene ili drugih popratnih mjera. Ta evaluacija uključuje procjenu učinkovitosti i funkcioniranja sustava kojima se omogućuje pristup elektroničkim zdravstvenim podacima za daljnju obradu, koja se provodi na temelju prava Unije ili nacionalnog prava iz članka 1. stavka 6.a, u pogledu njihova učinka na provedbu ove Uredbe.

3.  Države članice dostavljaju Komisiji sve potrebne informacije za izradu tog izvješća, a Komisija te informacije na odgovarajući način uzima u obzir u izvješću.

4.   Svake godine od stupanja na snagu ove Uredbe i do njezine potpune primjene, Komisija Vijeću podnosi izvješće o napretku u pogledu priprema za potpunu provedbu ove Uredbe. Izvješće sadržava informacije o stupnju napretka i spremnosti država članica, uključujući procjenu izvedivosti postizanja rokova utvrđenih u članku 72. ove Uredbe, a može sadržavati i preporuke državama članicama za poboljšanje pripravnosti za primjenu ove Uredbe.

Članak 71.

Izmjena Direktive 2011/24/EU

Članak 14. Direktive 2011/24/EU briše se s učinkom od šest godina nakon stupanja na snagu ove Uredbe.

POGLAVLJE IX.

Odgođena primjena, prijelazne i završne odredbe

Članak 72.

Stupanje na snagu i primjena

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova se Uredba primjenjuje dvije godine nakon ▌stupanja na snagu, osim ako je drukčije predviđeno u stavku 2.

Članci 2.a, 5., 6., 8.a, 8.aa, 8.b, 8.c, 8.d, 8.e, 8.f, 8.h, -9.a, -9.b, članak 12. stavak 2., članak 12. stavak 3., članak 12. stavak 5., članak 12. stavak 6., članci 13.a, 13.b, 14., ▌31., 31.a i 32. u poglavljima II. i III. primjenjuju se kako slijedi:

(a)  od četiri godine nakon datuma stupanja na snagu za kategorije osobnih elektroničkih zdravstvenih podataka iz članka 5. stavka 1. točaka (a), (b) i (c) i za sustave elektroničkih zdravstvenih zapisa koje je proizvođač namijenio za obradu takvih kategorija podataka ▌;

(b)  od šest godina nakon datuma stupanja na snagu za kategorije osobnih elektroničkih zdravstvenih podataka iz članka 5. stavka 1. točaka (d), (e) i (f) i za sustave elektroničkih zdravstvenih zapisa koje je proizvođač namijenio za obradu takvih kategorija podataka.

(c)  od jedne godine nakon datuma utvrđenog u delegiranom aktu na temelju članka 5. stavka 2. za izmjene glavnih značajki osobnih elektroničkih zdravstvenih podataka u Prilogu 1., pod uvjetom da je taj datum početka primjene kasniji od datuma početka primjene iz točaka (a) i (b) za dotične kategorije osobnih elektroničkih zdravstvenih podataka.

Provedbeni akti iz članka 2.a stavka 3., članka 6. stavka 1., članka 12. stavka 4. i članka 23. stavka 1. donose se u roku od dvije godine od datuma stupanja na snagu i primjenjuju se kako je navedeno u podstavku 1. ovog stavka.

Poglavlje III. primjenjuje se na sustave elektroničkih zdravstvenih zapisa iz članka 13.b stavka 2. počevši od šest godina nakon datuma stupanja na snagu.

Poglavlje IV. primjenjuje se počevši od četiri godine od datuma stupanja na snagu, osim članka 33. stavka 1. točaka (b), (e), (ea), (j) i (l), koji se primjenjuje počevši od šest godina nakon datuma stupanja na snagu, i članka 52. stavka 5. koji se primjenjuje počevši od 10 godina od datuma stupanja na snagu.

Provedbeni akti iz članka 48.a stavka 5., članka 50. stavka 4., članka 52. stavka 13., članka 53. stavka 3., članka 55. i članka 56. stavka 5. donose se u roku od dvije godine od datuma stupanja na snagu i primjenjuju se počevši od četiri godine od stupanja na snagu ove Uredbe.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u …,

Za Europski parlament Za Vijeće

Predsjednik Predsjednik

Prilog I.

Glavne značajke prioritetnih kategorija osobnih elektroničkih zdravstvenih podataka za primarnu uporabu

Prilog II.

Bitni zahtjevi za usklađene komponente sustava elektroničkih zdravstvenih zapisa i proizvode za koje se tvrdi da su interoperabilni s tim sustavima

Bitni zahtjevi utvrđeni u ovom Prilogu primjenjuju se mutatis mutandis na medicinske proizvode, in vitro dijagnostičke medicinske proizvode, sustave umjetne inteligencije i aplikacije za dobrobit za koje se tvrdi da su interoperabilni sa sustavima elektroničkih zdravstvenih zapisa.

1.  Opći zahtjevi

1.1.  Usklađene komponente sustava elektroničkih zdravstvenih zapisa moraju postići učinkovitost koju im je namijenio njihov proizvođač te moraju biti projektirane i proizvedene tako da u uobičajenim uvjetima uporabe odgovaraju svojoj namjeni i da njihova uporaba ne ugrožava sigurnost pacijenata.

1.2.  Usklađene komponente sustava elektroničkih zdravstvenih zapisa moraju biti projektirane i razvijene tako da se sustav može isporučiti i instalirati uzimajući u obzir upute i informacije proizvođača, a da to ne utječe negativno na njegove značajke i učinkovitost tijekom predviđene uporabe.

1.3.  Sustav elektroničkih zdravstvenih zapisa mora biti projektiran i razvijen tako da njegove značajke interoperabilnosti, sigurnosti i zaštite pridonose ostvarivanju prava pojedinaca u skladu s namjenom sustava elektroničkih zdravstvenih zapisa, kako je utvrđeno u poglavlju II. ove Uredbe.

1.4.  Usklađene komponente sustava elektroničkih zdravstvenih zapisa koji je namijenjen zajedničkom funkcioniranju s drugim proizvodima, uključujući medicinske proizvode, moraju biti projektirane i proizvedene tako da interoperabilnost i kompatibilnost budu pouzdane i sigurne te da se osobni elektronički zdravstveni podaci mogu razmjenjivati između proizvoda i sustava elektroničkih zdravstvenih zapisa u vezi s te dvije komponente.

2.  Zahtjevi u pogledu interoperabilnosti

2.1.  Ako je sustav elektroničkih zdravstvenih zapisa projektiran za pohranu osobnih elektroničkih zdravstvenih podataka ili posredovanje njima, on osigurava sučelje koje omogućuje pristup osobnim elektroničkim zdravstvenim podacima koje obrađuje u europskom formatu za razmjenu zdravstvenih zapisa s pomoću europske komponente interoperabilnosti za sustave elektroničkih zdravstvenih zapisa.

2.1a.   Ako je sustav elektroničkih zdravstvenih zapisa projektiran za pohranu osobnih elektroničkih zdravstvenih podataka ili posredovanje njima, mora moći primati osobne elektroničke zdravstvene podatke u europskom formatu za razmjenu zdravstvenih zapisa s pomoću europske komponente interoperabilnosti za sustave elektroničkih zdravstvenih zapisa.

2.1b.   Ako je sustav elektroničkih zdravstvenih zapisa projektiran tako da omogućuje pristup osobnim elektroničkim zdravstvenim podacima, on mora moći primati osobne elektroničke zdravstvene podatke u europskom formatu za razmjenu zdravstvenih zapisa s pomoću europske komponente interoperabilnosti za sustave elektroničkih zdravstvenih zapisa.

2.3.  Sustav elektroničkih zdravstvenih zapisa koji ima funkciju za unos strukturiranih osobnih elektroničkih zdravstvenih podataka mora omogućiti unos podataka s dovoljnom razinom detaljnosti da omogući pružanje unesenih osobnih elektroničkih zdravstvenih podataka u europskom formatu za razmjenu zdravstvenih zapisa.

2.4.  Usklađene komponente sustava elektroničkih zdravstvenih zapisa ne smiju uključivati značajke kojima se zabranjuje, ograničava ili nepotrebno otežava ovlašteni pristup, razmjena osobnih elektroničkih zdravstvenih podataka ili uporaba osobnih elektroničkih zdravstvenih podataka u dopuštene svrhe.

2.5.  Usklađene komponente sustava elektroničkih zdravstvenih zapisa ne smiju uključivati značajke kojima se zabranjuje, ograničava ili nepotrebno otežava ovlašteni izvoz osobnih elektroničkih zdravstvenih podataka radi zamjene sustava elektroničkih zdravstvenih zapisa drugim proizvodom.

3.  Zahtjevi u pogledu sigurnosti i evidentiranja

▌3.2.  Sustav elektroničkih zdravstvenih zapisa koji je namijenjen tomu da ga upotrebljavaju zdravstveni stručnjaci mora raspolagati pouzdanim mehanizmima za identifikaciju i autentifikaciju zdravstvenih stručnjaka ▌.

▌3.4.  Usklađena komponenta sustava elektroničkih zdravstvenih zapisa koji je projektiran tako da omogućuje pristup pružatelja zdravstvene zaštite ili drugih pojedinaca osobnim elektroničkim zdravstvenim podacima mora sadržavati dostatne mehanizme za evidentiranje barem sljedećih informacija o svakom događaju ili skupini događaja pristupa:

(a)  identifikaciji pružatelja zdravstvene zaštite ili drugih pojedinaca koji su pristupili osobnim elektroničkim zdravstvenim podacima;

(b)  identifikaciji određenog pojedinca ili pojedinaca koji su pristupili osobnim elektroničkim zdravstvenim podacima;

(c)  kategorijama podataka kojima se pristupilo;

(d)  vremenu i datumu pristupa;

(e)  izvoru ili izvorima podataka.

▌

3.6.  Usklađene komponente sustava elektroničkih zdravstvenih zapisa moraju sadržavati alate ili mehanizme za preispitivanje i analizu evidentiranih podataka ili podržavati povezivanje i uporabu vanjskog softvera u iste svrhe.

▌

3.8.  Usklađene komponente sustava elektroničkih zdravstvenih zapisa koje pohranjuju elektroničke zdravstvene podatke moraju podržavati različita razdoblja zadržavanja i prava pristupa kojima se uzimaju u obzir izvori i kategorije elektroničkih zdravstvenih podataka.

▌

Prilog III.

Tehnička dokumentacija

Tehnička dokumentacija iz članka 24. mora sadržavati barem sljedeće informacije, ovisno o tome što je primjenjivo na usklađene komponente sustava elektroničkih zdravstvenih zapisa u relevantnim sustavima elektroničkih zdravstvenih zapisa:

1.  detaljan opis sustava elektroničkih zdravstvenih zapisa, uključujući:

(a)  namjenu, datum i verziju sustava elektroničkih zdravstvenih zapisa;

(b)  kategorije osobnih elektroničkih zdravstvenih podataka za čiju je obradu sustav elektroničkih zdravstvenih zapisa osmišljen;

(c)  način na koji je sustav elektroničkih zdravstvenih zapisa u interakciji ili se može upotrijebiti za interakciju s hardverom ili softverom koji nije dio samog sustava elektroničkih zdravstvenih zapisa;

(d)  verzije relevantnog softvera ili integriranog softvera i sve zahtjeve povezane s ažuriranjem verzija;

(e)  opis svih oblika u kojima se sustav elektroničkih zdravstvenih zapisa stavlja na tržište ili u uporabu;

(f)  opis hardvera koji se planira koristiti za rad sustava elektroničkih zdravstvenih zapisa;

(g)  opis arhitekture sustava u kojem je objašnjeno kako se softverske komponente međusobno nadopunjuju ili potpomažu te kako su uključene u cjelokupnu obradu, uključujući prema potrebi označene slikovne prikaze (npr. dijagrami i crteži), koji jasno označuju ključne dijelove/komponente i sadržavaju objašnjenje koje je dovoljno za razumijevanje crteža i dijagrama;

(h)  tehničke specifikacije, kao što su značajke, dimenzije i odlike učinkovitosti, sustava elektroničkih zdravstvenih zapisa te svih inačica/konfiguracija i pribora koji bi se obično naveli u specifikaciji proizvoda stavljenoj na raspolaganje korisniku, npr. u brošurama, katalozima i sličnim publikacijama, uključujući detaljan opis struktura podataka, pohrane i ulaza/izlaza podataka;

(i)  opis svih promjena sustava tijekom njegova životnog ciklusa;

(j)  korisničke upute za uporabu i prema potrebi upute za instalaciju;

2.  prema potrebi, detaljan opis sustava za ocjenu učinkovitosti sustava elektroničkih zdravstvenih zapisa;

3.  upućivanja na sve zajedničke specifikacije primijenjene u skladu s člankom 23. u odnosu na koje se navodi sukladnost;

4.  rezultate i kritičku analizu svih testiranja u svrhu provjere i potvrđivanja provedenih radi dokazivanja sukladnosti sustava elektroničkih zdravstvenih zapisa sa zahtjevima iz poglavlja III. ove Uredbe, a posebno s primjenjivim bitnim zahtjevima.

5.  primjerak informacijskog lista iz članka 25.;

6.  primjerak EU izjave o sukladnosti.

Prilog IV.

EU izjava o sukladnosti

EU izjava o sukladnosti za usklađene komponente sustava elektroničkih zdravstvenih zapisa mora sadržavati sve sljedeće podatke:

1.  naziv sustava elektroničkih zdravstvenih zapisa, verziju i sve dodatne nedvosmislene referentne oznake koje omogućuju identifikaciju tog sustava;

2.  ime i adresu proizvođača ili, prema potrebi, njegova ovlaštenog zastupnika;

3.  izjavu da je za izdavanje EU izjave o sukladnosti odgovoran isključivo proizvođač;

4.  izjavu da je predmetni sustav elektroničkih zdravstvenih zapisa u skladu s odredbama iz poglavlja III. ove Uredbe i prema potrebi sa svim drugim relevantnim zakonodavstvom EU-a kojim je propisano izdavanje EU izjave o sukladnosti, popraćenu rezultatima iz testnog okruženja navedenog u članku 26.a.

5.  upućivanja na sve primijenjene relevantne usklađene norme u odnosu na koje se navodi sukladnost;

6.  upućivanja na sve primijenjene zajedničke specifikacije u odnosu na koje se navodi sukladnost;

7.  mjesto i datum izdavanja izjave, potpis, ime i funkciju osobe koja ju je potpisala i, ovisno o slučaju, upućivanje na osobu u čije ime je potpisana;

8.  prema potrebi dodatne informacije.

(1) *TEKST JOŠ NIJE PROŠAO PRAVNO-JEZIČNU FINALIZACIJU. (2) SL C 486, 21.12.2022., str. 123. (3) SL C 157, 3.5.2023., str. 64. (4) Stajalište Europskog parlamenta od 24. travnja 2024. (5) Provedbena odluka Komisije (EU) 2019/1269 od 26. srpnja 2019. o izmjeni Provedbene odluke 2014/287/EU o određivanju kriterija za osnivanje i ocjenjivanje europskih referentnih mreža i njihovih članova te za olakšavanje razmjene informacija i stručnih spoznaja u vezi s osnivanjem i ocjenjivanjem tih mreža (SL L 200, 29.7.2019., str. 35.). (6) Portal EOSC (eosc-portal.eu). (7) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.). (8) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.). (9) Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (SL L 257, 28.8.2014., str. 73.). (10) Preporuka Komisije (EU) 2019/243 od 6. veljače 2019. o europskom formatu za razmjenu elektroničke zdravstvene evidencije (SL L 39, 11.2.2019., str. 18.). (11) Uredba (EU) 2017/745 Europskog parlamenta i Vijeća od 5. travnja 2017. o medicinskim proizvodima, o izmjeni Direktive 2001/83/EZ, Uredbe (EZ) br. 178/2002 i Uredbe (EZ) br. 1223/2009 te o stavljanju izvan snage direktiva Vijeća 90/385/EEZ i 93/42/EEZ (SL L 117, 5.5.2017., str. 1.). (12) Uredba (EU) 2022/868 Europskog parlamenta i Vijeća od 30. svibnja 2022. o europskom upravljanju podacima i izmjeni Uredbe (EU) 2018/1724 (Akt o upravljanju podacima) (SL L 152, 3.6.2022., str. 1.). (13) Uredba (EU) 2023/2854 Europskog parlamenta i Vijeća od 13. prosinca 2023. o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu i o izmjeni Uredbe (EU) 2017/2394 i Direktive (EU) 2020/1828 (Akt o podacima) (SL L, 2023/2854, 22.12.2023., ELI: https://eur-lex.europa.eu/eli/reg/2023/2854/oj?locale=hr). (14) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.). (15) Akt o kibernetičkoj otpornosti 2022/0272(COD). (16) Uredba (EU) 2017/746 Europskog parlamenta i Vijeća od 5. travnja 2017. o in vitro dijagnostičkim medicinskim proizvodima te o stavljanju izvan snage Direktive 98/79/EZ i Odluke Komisije 2010/227/EU (SL L 117, 5.5.2017., str. 176.). (17) Uredba (EU) 2019/1020 Europskog parlamenta i Vijeća od 20. lipnja 2019. o nadzoru tržišta i sukladnosti proizvoda i o izmjeni Direktive 2004/42/EZ i uredbi (EZ) br. 765/2008 i (EU) br. 305/2011 (SL L 169, 25.6.2019., str. 1.). (18) Uredba Vijeća (EZ) br. 723/2009 od 25. lipnja 2009. o pravnom okviru Zajednice za Konzorcij europskih istraživačkih infrastruktura (ERIC) (SL L 206, 8.8.2009., str. 1.). (19) Odluka (EU) 2022/2481 Europskog parlamenta i Vijeća od 14. prosinca 2022. o uspostavi programa politike za digitalno desetljeće do 2030 (SL L 323, 19.12.2022., str. 4.). (20) Uredba (EU) 2018/1724 Europskog parlamenta i Vijeća od 2. listopada 2018. o uspostavi jedinstvenog digitalnog pristupnika za pristup informacijama, postupcima, uslugama podrške i rješavanja problema te o izmjeni Uredbe (EU) br. 1024/2012 (SL L 295, 21.11.2018., str. 1.). (21) SL L 123, 12.5.2016., str. 1. (22) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.). (23) Europska komisija, Europski okvir za interoperabilnost. (24) Uredba (EU) br. 536/2014 Europskog parlamenta i Vijeća od 16. travnja 2014. o kliničkim ispitivanjima lijekova za primjenu kod ljudi te o stavljanju izvan snage Direktive 2001/20/EZ (SL L 158, 27.5.2014., str. 1.). (25) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.). (26) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama), (SL L 201, 31.7.2002., str. 32). (27) Direktiva (EU) 2016/943 Europskog parlamenta i Vijeća od 8. lipnja 2016. o zaštiti neotkrivenih znanja i iskustva te poslovnih informacija (poslovne tajne) od nezakonitog pribavljanja, korištenja i otkrivanja (SL L 157, 15.6.2016., str. 1.). (28) Direktiva 2014/24/EU Europskog parlamenta i Vijeća od 26. veljače 2014. o javnoj nabavi i o stavljanju izvan snage Direktive 2004/18/EZ (SL L 94, 28.3.2014., str. 65.). (29) Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu (SL L 354, 31.12.2008., str. 70.). (30) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.). (31) Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća od 17. travnja 2019. o zahtjevima za pristupačnost proizvoda i usluga (Tekst značajan za EGP) (SL L 151, 7.6.2019., str. 70.). (32) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.). (33) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.).