(EU) 2025/327Nařízení Evropského parlamentu a Rady (EU) 2025/327 ze dne 11. února 2025 o evropském prostoru pro zdravotní údaje a o změně směrnice 2011/24/EU a nařízení (EU) 2024/2847 (Text s významem pro EHP)

(1)

Cílem tohoto nařízení je zřídit evropský prostor pro zdravotní údaje (anglicky: European Health Data Space, dále jen „EHDS“) k zlepšení přístupu fyzických osob k jejich osobním elektronickým zdravotním údajům a kontroly nad nimi v souvislosti se zdravotní péčí, jakož i k lepšímu dosažení dalších účelů v oblasti zdravotní péče a pečovatelství, zahrnujících využití elektronických zdravotních údajů, které mají přínos pro společnost, například výzkum, inovace, tvorba politik, připravenost a reakce na zdravotní hrozby, včetně prevence a řešení budoucích pandemií, bezpečnost pacientů, personalizovaná medicína, oficiální statistiky nebo regulační činnosti. Kromě toho je cílem tohoto nařízení zlepšit fungování vnitřního trhu stanovením jednotného právního a technického rámce, zejména pro vývoj systémů elektronických zdravotních záznamů (anglicky: electronic health record systems, dále jen „systémy EHR“), jejich nabízení a používání v souladu s hodnotami Unie. EHDS bude klíčovým prvkem při vytváření silné a odolné evropské zdravotní unie.

(2)

Pandemie onemocnění COVID-19 upozornila na potřebu včasného přístupu ke kvalitním elektronickým zdravotním údajům za účelem připravenosti na zdravotní hrozby a možnosti na ně reagovat, jakož i za účelem prevence, diagnostiky a léčby a sekundárního využití těchto elektronických zdravotních údajů. Takový včasný přístup by mohl prostřednictvím účinného dohledu a monitorování v oblasti veřejného zdraví potenciálně přispět k účinnějšímu zvládání budoucích pandemií, snížení nákladů a ke zlepšení reakce na zdravotní hrozby a v konečném důsledku by mohl pomoci zachránit více životů. V roce 2020 Komise urychleně upravila svůj systém správy klinických údajů pacientů zřízený prováděcím rozhodnutím Komise (EU) 2019/1269 (4), aby členským státům umožnila sdílet elektronické zdravotní údaje pacientů s onemocněním COVID-19, kteří se během vrcholu pandemie přesouvali mezi poskytovateli zdravotní péče a členskými státy. Tato úprava však byla pouze nouzovým řešením, které ukázalo na potřebu strukturálního a konzistentního přístupu na úrovni členských států a Unie, a to jak v zájmu zlepšení dostupnosti elektronických zdravotních údajů pro poskytování zdravotní péče, tak usnadnění přístupu k nim, aby bylo možné účinně směřovat politické reakce a přispět k vysokým standardům v oblasti lidského zdraví.

(3)

Krize COVID-19 pevně upevnila práci sítě pro elektronické zdravotnictví, což je dobrovolná síť orgánů odpovědných za digitální zdravotnictví, jakožto hlavního pilíře pro vývoj aplikací pro mobilní zařízení sloužících k vysledování kontaktů a poskytnutí varování těmto kontaktům a pro vývoj technických aspektů digitálních certifikátů EU COVID. Krize rovněž upozornila na potřebu sdílení elektronických zdravotních údajů, které jsou dohledatelné, přístupné, interoperabilní a znovupoužitelné (dále jen „zásady FAIR“), a zajištění toho, aby elektronické zdravotní údaje byly co nejvíce otevřené při současném dodržení zásady minimalizace údajů stanovené v nařízení Evropského parlamentu a Rady (EU) 2016/679 (5). Měla by být zajištěna součinnost mezi EHDS, evropským cloudem pro otevřenou vědu a evropskými výzkumnými infrastrukturami a měly by být využity poznatky získané z řešení pro sdílení dat vyvinutých v rámci evropské datové platformy COVID-19.

(4)

Vzhledem k citlivosti osobních elektronických zdravotních údajů toto nařízení usiluje o to, aby na úrovni Unie i na národní úrovni poskytlo dostatečné záruky, pokud jde o zajištění vysoké míry ochrany údajů a jejich bezpečnosti, důvěrnosti a etického využívání. Tyto záruky jsou nezbytné k podpoře důvěry v bezpečné zpracování elektronických zdravotních údajů fyzických osob za účelem jejich primárního i sekundárního využití, jak je definováno tímto nařízením.

(5)

Na zpracování osobních elektronických zdravotních údajů se vztahují ustanovení nařízení (EU) 2016/679 a v případě orgánů, institucí a jiných subjektů Unie nařízení Evropského parlamentu a Rady (EU) 2018/1725 (6). Odkazy na ustanovení nařízení (EU) 2016/679 by měly být v příslušných případech ve vztahu orgánům, institucím a jiným subjektům Unie chápány rovněž jako odkazy na odpovídající ustanovení nařízení (EU) 2018/1725.

(6)

Stále více osob žijících v Unii překračuje státní hranice, aby mohli pracovat, studovat, navštěvovat příbuzné nebo z jiných důvodů. V zájmu usnadnění výměny zdravotních údajů a v souladu s potřebou posílit postavení občanů by občané měli mít přístup ke svým zdravotním údajům v elektronickém formátu, který bude možné uznávat a přijímat v celé Unii. Tyto osobní elektronické zdravotní údaje by mohly obsahovat osobní údaje, které se týkají fyzického nebo duševního zdraví dané fyzické osoby, včetně těch souvisejících s poskytováním služeb zdravotní péče, které poskytnou informace o zdravotním stavu této fyzické osoby, osobní údaje týkající se zděděných nebo získaných genetických znaků dané fyzické osoby, které poskytují jedinečné informace o fyziologii nebo zdravotním stavu této fyzické osoby a které vyplývají zejména z analýzy biologického vzorku této fyzické osoby, jakož i údaje o faktorech ovlivňujících zdraví, jako je například chování, vliv životního prostředí a fyzikální vlivy, zdravotní péče a sociální nebo vzdělávací faktory. Elektronické zdravotní údaje rovněž zahrnují údaje, které byly původně shromážděny pro účely výzkumu, statistiky, posuzování zdravotních hrozeb, tvorby politik nebo regulace, a mělo by být možné je zpřístupnit v souladu s pravidly stanovenými v tomto nařízení. Elektronické zdravotní údaje zahrnují všechny kategorie těchto údajů bez ohledu na skutečnost, zda tyto údaje poskytuje subjekt údajů nebo jiné fyzické či právnické osoby, například zdravotničtí pracovníci, nebo zda jsou tyto údaje zpracovávány v souvislosti se zdravím nebo kvalitou života fyzické osoby, a měly by rovněž zahrnovat vyvozené a odvozené údaje, jako například diagnostiku, testy a lékařské prohlídky, jakož i údaje pozorované a zaznamenané automatizovaně.

(7)

Ve zdravotnických systémech se osobní elektronické zdravotní údaje obvykle shromažďují v elektronických zdravotních záznamech, které často obsahují anamnézu, diagnózu a léčbu fyzické osoby, léky, alergie a očkování, jakož i radiologické snímky, laboratorní výsledky a další zdravotní údaje, rozptýlené mezi různými subjekty zdravotnického systému, jako jsou praktičtí lékaři, nemocnice, lékárny nebo pečovatelské služby. Některé členské státy přijaly nezbytná právní a technická opatření a zřídily centralizované infrastruktury propojující systémy EHR používané poskytovateli zdravotní péče a fyzickými osobami s cílem umožnit, aby fyzické osoby nebo zdravotničtí pracovníci měli k elektronickým zdravotním údajům přístup a mohli je sdílet a měnit. Kromě toho některé členské státy poskytují podporu veřejným a soukromým poskytovatelům zdravotní péče ke zřízení datových prostor pro osobní elektronické zdravotní údaje s cílem umožnit interoperabilitu mezi různými poskytovateli zdravotní péče. Několik členských států rovněž podpořilo nebo poskytlo služby přístupu k elektronickým zdravotním údajům pro pacienty a zdravotnické pracovníky, například prostřednictvím portálů pacientů nebo portálů zdravotnických pracovníků. Tyto členské státy rovněž přijaly opatření k zajištění toho, aby systémy EHR nebo aplikace v oblasti zdravého životního stylu (anglicky: wellness applications) mohly přenášet elektronické zdravotní údaje do centrálního systému EHR, například zajištěním systému certifikace. Takové systémy však nezavedly všechny členské státy, a v těch, v nichž zavedeny byly, je jejich používání roztříštěné. Aby se usnadnil volný pohyb osobních elektronických zdravotních údajů v rámci Unie a zabránilo se negativním důsledkům pro pacienty využívající zdravotní péči v přeshraničním kontextu, je třeba přijmout na úrovni Unie opatření k tomu, aby se zlepšil přístup fyzických osob k jejich osobním elektronickým zdravotním údajům a umožnilo se jim tyto údaje sdílet. V tomto ohledu by měla být na úrovni Unie a na vnitrostátní úrovni přijata vhodná opatření k tomu, aby se snížila roztříštěnost, heterogenita a rozdíly, a tak bylo ve všech členských státech dosaženo systému, který je intuitivní a uživatelsky vstřícný. Každá digitální transformace v oblasti zdravotní péče by měla usilovat o to, aby byla inkluzivní a byla přínosem také pro fyzické osoby s omezenou možností přístupu k digitálním službám a jejich využívání, včetně osob se zdravotním postižením.

(8)

Nařízení (EU) 2016/679 obsahuje zvláštní ustanovení týkající se práv fyzických osob v souvislosti se zpracováním jejich osobních údajů. EHDS z těchto práv vychází a některá z nich doplňuje, pokud se uplatní na osobní elektronické zdravotní údaje. Tato práva jsou uplatňována bez ohledu na členský stát, v němž jsou osobní elektronické zdravotní údaje zpracovávány, typ poskytovatele zdravotní péče, zdroje těchto údajů nebo členský stát, v němž je fyzická osoba pojištěna. Práva a pravidla týkající se primárního využití osobních elektronických zdravotních údajů podle tohoto nařízení se týkají všech kategorií těchto údajů bez ohledu na to, jak byly shromážděny nebo kdo je poskytl, na právní důvod pro zpracování podle nařízení (EU) 2016/679 nebo na postavení správce údajů jako veřejné nebo soukromé organizace. Dodatečnými právy na přístup a přenositelnost osobních elektronických zdravotních údajů stanovenými v tomto nařízení by neměla být dotčena práva na přístup a přenositelnost stanovená nařízením (EU) 2016/679. Fyzické osoby těchto práv nadále požívají za podmínek stanovených v uvedeném nařízení.

(9)

I když práva přiznaná nařízením (EU) 2016/679 by se měla uplatnit i nadále, právo fyzické osoby na přístup k údajům stanovené v nařízení (EU) 2016/679 by mělo být v oblasti zdravotní péče dále doplněno. Podle uvedeného nařízení nemusí správci údajů poskytnout přístup okamžitě. Právo na přístup ke zdravotním údajům je dosud mnohde běžně realizováno prostřednictvím poskytnutí požadovaných zdravotních údajů v tištěné podobě nebo v podobě naskenovaných dokumentů, což je pro správce, jako je nemocnice nebo jiný poskytovatel zdravotní péče, který přístup poskytuje, časově náročné. Tím je zpomalován přístup fyzických osob ke zdravotním údajům a může to na ně mít negativní dopad, pokud takový přístup potřebují okamžitě z důvodu naléhavých okolností, které souvisejí s jejich zdravotním stavem. Je proto nezbytné poskytnout fyzickým osobám účinnější způsob přístupu k jejich vlastním osobním elektronickým zdravotním údajům. Při respektování potřeby technické proveditelnosti by měly mít prostřednictvím služby přístupu k elektronickým zdravotním údajům právo na bezplatný a okamžitý přístup ke konkrétním prioritním kategoriím osobních elektronických zdravotních údajů, jako je pacientský souhrn. Toto právo by se mělo uplatnit bez ohledu na členský stát, v němž jsou osobní elektronické zdravotní údaje zpracovávány, typ poskytovatele zdravotní péče, zdroje těchto údajů nebo členský stát, v němž je fyzická osoba pojištěna. Rozsah tohoto doplňkového práva stanoveného tímto nařízením a podmínky pro jeho výkon se určitým způsobem liší od práva na přístup k osobním údajům podle nařízení (EU) 2016/679, které se vztahuje na veškeré osobní údaje v držení správce a je uplatňováno vůči konkrétnímu správci, který má následně až jeden měsíc na to, aby na žádost odpověděl. Právo na přístup k osobním elektronickým zdravotním údajům podle tohoto nařízení by mělo být omezeno na kategorie údajů spadající do oblasti jeho působnosti, mělo by být vykonáváno prostřednictvím služby přístupu k elektronickým zdravotním údajům a mělo by zahrnovat okamžitou odpověď. Práva podle nařízení (EU) 2016/679 by měla uplatnit i nadále, aby tak fyzické osoby mohly požívat svých práv podle obou právních rámců, zejména práva získat tištěnou kopii elektronických zdravotních údajů.

(10)

Je třeba vzít v úvahu, že okamžitý přístup fyzických osob k určitým kategoriím jejich osobních elektronických zdravotních údajů by mohl být škodlivý z hlediska bezpečnosti těchto fyzických osob nebo neetický. Například by mohlo být neetické informovat pacienta o diagnóze nevyléčitelné nemoci, která je pravděpodobně smrtelná, elektronickou cestou namísto toho, aby byly tyto informace nejprve poskytnuty při konzultaci s tímto pacientem. Proto by mělo být možné v takových situacích poskytnutí přístupu k osobním elektronickým zdravotním údajům po omezenou dobu odložit, například do okamžiku, kdy zdravotnický pracovník může pacientovi situaci vysvětlit. Členské státy by měly mít možnost zavést takovou výjimku, pokud představuje nezbytné a přiměřené opatření v demokratické společnosti v souladu s omezeními stanovenými v článku 23 nařízení (EU) 2016/679.

(11)

Tímto nařízením nejsou dotčeny pravomoci členských států týkající se prvotního zaznamenání osobních elektronických zdravotních údajů, jako je podmínění zaznamenání genetických údajů souhlasem fyzické osoby nebo jinými zárukami. Členské státy mohou požadovat, aby údaje byly zpřístupněny v elektronické podobě přede dnem použitelnosti tohoto nařízení. Tím by neměla být dotčena povinnost zpřístupnit osobní elektronické údaje zaznamenané po dni použitelnosti tohoto nařízení v elektronické podobě.

(12)

Aby bylo možné doplnit informace, které mají fyzické osoby k dispozici, měly by tyto osoby mít možnost doplňovat do svých systémů EHR elektronické zdravotní údaje nebo uchovávat další informace ve svých samostatných osobních zdravotních záznamech, k nimž by mohli mít přístup zdravotničtí pracovníci. Informace zadané fyzickými osobami však nemusí být stejně spolehlivé jako elektronické zdravotní údaje zadané a ověřené zdravotnickými pracovníky, a nemají stejnou klinickou nebo právní hodnotu jako informace poskytnuté zdravotnickými pracovníky. Údaje, které fyzické osoby doplní do svého systému EHR, by proto měly být jasně odlišitelné od údajů poskytnutých zdravotními pracovníky. Tato možnost fyzických osob přidávat a doplňovat osobní elektronické zdravotní údaje by tyto osoby neměla opravňovat ke změně osobních elektronických zdravotních údajů poskytnutých zdravotnickými pracovníky.

(13)

Získají-li fyzické osoby snazší a rychlejší přístup ke svým osobním elektronickým zdravotním údajům, budou moci odhalit případné chyby, například nesprávné informace nebo nesprávně přiřazené záznamy o pacientech. V takových případech by fyzické osoby měly mít možnost požádat online prostřednictvím služby přístupu k osobním zdravotním údajům o okamžitou a bezplatnou opravu nesprávných osobních elektronických zdravotních údajů. Těmito žádostmi o opravu údajů by se měli zabývat příslušní správci v souladu s nařízením (EU) 2016/679, a pokud je třeba, i se zapojením zdravotnických pracovníků s příslušnou specializací, kteří jsou odpovědní za léčbu dotčené fyzické osoby.

(14)

Podle nařízení (EU) 2016/679 je právo na přenositelnost údajů omezeno na údaje zpracovávané na základě souhlasu nebo smlouvy, které jsou poskytnuté správci subjektem údajů. Současně, podle uvedeného nařízení mají fyzické osoby právo na to, aby osobní údaje byly přímo předány jedním správcem údajů jinému správci pouze tehdy, je-li to technicky proveditelné. Nařízení (EU) 2016/679 však neukládá povinnost učinit toto přímé předání technicky proveditelným. Právo na přenositelnost údajů by mělo být tímto nařízením doplněno tak, aby fyzické osoby byly oprávněny k poskytování přístupu zdravotnickým pracovníkům, které si sami zvolí, alespoň k prioritním kategoriím svých osobních elektronických zdravotních údajů, k výměně těchto údajů s těmito zdravotnickými pracovníky a k stahování těchto zdravotních údajů. Kromě toho by fyzické osoby měly mít právo požádat poskytovatele zdravotní péče, aby předal část jejich elektronických zdravotních údajů přesně určenému příjemci v oblasti služeb sociálního zabezpečení nebo úhradových služeb. Takový přenos by měl být pouze jednosměrný.

(15)

Rámec stanovený tímto nařízením by měl vycházet z práva na přenositelnost údajů stanoveného v nařízení (EU) 2016/679 tím, že zajistí, aby fyzické osoby jakožto subjekty údajů mohly předávat své osobní elektronické zdravotní údaje, včetně vyvozených údajů, v evropském formátu pro výměnu elektronických zdravotních záznamů bez ohledu na právní základ pro zpracování elektronických zdravotních údajů. Zdravotničtí pracovníci by neměli bránit uplatňování práv fyzických osob, například odmítnutím zohlednit osobní elektronické zdravotní údaje pocházející z jiného členského státu, které jsou poskytnuté prostřednictvím interoperabilního a spolehlivého evropského formátu pro výměnu elektronických zdravotních záznamů.

(16)

Přístup poskytovatelů zdravotní péče nebo jiných osob k elektronickým zdravotním záznamům by měl být pro dotčené fyzické osoby transparentní. Služby přístupu k elektronickým zdravotním údajům by měly poskytovat podrobné informace o přístupu k údajům, například o tom, kdy a který subjekt nebo fyzická osoba využil přístup k údajům a o jaké údaje se jedná. Fyzické osoby by rovněž měly mít možnost povolit nebo zablokovat automatická oznámení týkající se přístupu k osobním elektronickým zdravotním údajům, které se jich týkají, prostřednictvím služeb přístupu pro zdravotnické pracovníky.

(17)

Je možné, že fyzické osoby nebudou chtít přístup k některým částem svých osobních elektronických zdravotních údajů umožnit, zatímco k jiným částem přístup umožní. To by mohlo být důležité zejména v případech citlivých zdravotních problémů, jako jsou problémy související s duševním nebo sexuálním zdravím, citlivých zákroků, jako jsou potraty, nebo údajů o konkrétních léčivých přípravcích, které by mohly odhalit jiné citlivé záležitosti. Takové selektivní sdílení osobních elektronických zdravotních údajů by tedy mělo být podporováno a prováděno pomocí omezení stanovených dotčenou fyzickou osobou stejným způsobem pro sdílení údajů v rámci území daného členského státu i pro jejich přeshraniční sdílení. Tato omezení by měla umožňovat dostatečnou granularitu, aby bylo možné vztáhnout omezení na části datových souborů, jako jsou položky pacientských souhrnů. Před stanovením omezení by fyzické osoby měly být informovány o bezpečnostních rizicích pro pacienty, která jsou spojena s omezením přístupu ke zdravotním údajům. Vzhledem k tomu, že nedostupnost osobních elektronických zdravotních údajů podléhajících omezení může mít dopad na poskytování nebo kvalitu zdravotních služeb poskytovaných fyzické osobě, měly by fyzické osoby využívající tato omezení přístupu převzít odpovědnost za skutečnost, že poskytovatel zdravotní péče nemůže tyto údaje při poskytování zdravotních služeb vzít v úvahu. Omezení přístupu k osobním elektronickým zdravotním údajům by mohlo mít život ohrožující důsledky, a proto by přístup k těmto údajům měl být přesto umožněn, s cílem chránit životně důležité zájmy, jedná-li se o krizovou situaci. Členské státy by měly mít možnost ve vnitrostátním právu stanovit konkrétnější právní ustanovení o mechanismech omezení přístupu, která fyzické osoby uplatňují na části svých osobních elektronických zdravotních údajů, zejména pokud jde o lékařskou odpovědnost v případě, kdy omezení byla stanovena danou fyzickou osobou.

(18)

Kromě toho by vzhledem k rozdílné citlivosti, která v členských státech panuje ohledně míry kontroly pacientů nad vlastními zdravotními údaji, měly mít členské státy možnost stanovit absolutní právo odmítnout přístup k vlastním osobním elektronickým zdravotním údajům komukoli jinému, než původnímu správci, aniž by bylo možné toto odmítnutí v krizových situacích překonat. V takovém případě by členské státy měly stanovit pravidla a zvláštní záruky týkající se těchto mechanismů odmítnutí přístupu. Tato pravidla a zvláštní záruky by se rovněž mohly týkat konkrétních kategorií osobních elektronických zdravotních údajů, například genetických údajů. Právo odmítnout přístup znamená, že osobní elektronické zdravotní údaje týkající se fyzické osoby, která toto právo uplatní, nebudou zpřístupněny prostřednictvím služeb zřízených v rámci EHDS nikomu jinému než poskytovateli zdravotní péče, který léčbu poskytl. Členské státy by měly mít možnost požadovat, aby byly osobní elektronické zdravotní údaje zaznamenané a uchovávané v systému EHR používaném poskytovatelem zdravotní péče, který poskytl zdravotní služby, a přístupné pouze tomuto poskytovateli. Pokud fyzická osoba využije práva odmítnout přístup, poskytovatelé zdravotní péče budou i nadále dokumentovat poskytnutou léčbu v souladu s platnými pravidly a budou mít přístup k údajům, které zaznamenali. Fyzické osoby, které práva odmítnout přístup využily, by měly mít možnost své rozhodnutí změnit. V takových případech nemusí být osobní elektronické zdravotní údaje vytvořené během období, po které bylo odmítnutí přístupu uplatněno, dostupné prostřednictvím služeb přístupu a prostřednictvím MyHealth@EU.

(19)

Včasný a úplný přístup zdravotnických pracovníků ke zdravotní dokumentaci pacientů má zásadní význam pro zajištění kontinuity péče a pro to, aby se zabránilo zdvojování a chybám a snížily se náklady. Z důvodu nedostatečné interoperability však v mnoha případech nemají zdravotničtí pracovníci přístup k úplné zdravotní dokumentaci svých pacientů a nemohou činit optimální lékařská rozhodnutí ohledně diagnostiky a léčby, což značně zvyšuje náklady pro systémy zdravotní péče i pro fyzické osoby a může vést ke zhoršení zdravotních výsledků fyzických osob. Elektronické zdravotní údaje zpřístupněné v interoperabilním formátu, které lze předávat mezi poskytovateli zdravotní péče, mohou rovněž snížit administrativní zátěž zdravotnických pracovníků v souvislosti s ručním vkládáním nebo kopírováním zdravotních údajů mezi elektronickými systémy. Zdravotničtí pracovníci by proto měli mít k dispozici vhodné elektronické prostředky, například elektronická zařízení a portály zdravotnických pracovníků nebo jiné služby přístupu pro zdravotnické pracovníky, aby mohli při výkonu svých povinností využívat osobní elektronické zdravotní údaje. Vzhledem k tomu, že je obtížné předem vyčerpávajícím způsobem určit, které údaje ze stávajících údajů v prioritních kategoriích jsou z lékařského hlediska relevantní pro konkrétní případ péče, měli by mít zdravotničtí pracovníci k údajům široký přístup. Při přístupu k údajům týkajícím se jejich pacientů by zdravotničtí pracovníci měli dodržovat platné právní předpisy, kodexy chování, deontologické pokyny nebo jiná ustanovení upravující etické chování, pokud jde o sdílení informací nebo přístup k nim, zejména v život ohrožujících nebo extrémních situacích. V souladu s nařízením (EU) 2016/679, aby se omezil jejich přístup na to, co je relevantní pro konkrétní fázi péče, by poskytovatelé zdravotní péče měli při přístupu k osobním elektronickým zdravotním údajům dodržovat zásadu minimalizace údajů a omezit přístup na takové údaje, které jsou pro danou službu nezbytně nutné a opodstatněné. Poskytování služeb přístupu pro zdravotnické pracovníky ke službám je úkolem ve veřejném zájmu stanoveným tímto nařízením a plnění tohoto úkolu vyžaduje zpracování osobních údajů podle čl. 6 odst. 1 písm. e) nařízení (EU) 2016/679. Toto nařízení stanoví podmínky a záruky pro zpracování elektronických zdravotních údajů v rámci služby přístupu pro zdravotnické pracovníky v souladu s čl. 9 odst. 2 písm. h) nařízení (EU) 2016/679, například podrobná ustanovení týkající se evidence přístupů k osobním elektronickým údajům, jejichž cílem je zajistit transparentnost vůči subjektům údajů. Tímto nařízením by však neměly být dotčeny vnitrostátní právní předpisy týkající se zpracování zdravotních údajů za účelem poskytování zdravotní péče, včetně vnitrostátních právních předpisů, které stanoví kategorie zdravotnických pracovníků, kteří mohou zpracovávat různé kategorie elektronických zdravotních údajů.

(20)

Aby se usnadnil výkon doplňkových práv na přístup a přenositelnost stanovených tímto nařízením, měly by členské státy zřídit jednu nebo více služeb přístupu k elektronickým zdravotním údajům. Tyto služby by mohly být poskytovány na celostátní, regionální nebo místní úrovni, nebo poskytovateli zdravotní péče, prostřednictvím online portálu pacientů, aplikace pro mobilní zařízení nebo jinými prostředky. Měly by být koncipovány tak, aby byly přístupné, zejména pro osoby se zdravotním postižením. Poskytování takových služeb, které fyzickým osobám umožní snadný přístup k jejich osobním elektronickým zdravotním údajům, je významným veřejným zájmem. Zpracování osobních elektronických zdravotních údajů prostřednictvím těchto služeb je nezbytné pro plnění úkolu uloženého tímto nařízením ve smyslu čl. 6 odst. 1 písm. e) a čl. 9 odst. 2 písm. g) nařízení (EU) 2016/679. Toto nařízení stanoví nezbytné podmínky a záruky pro zpracování elektronických zdravotních údajů v rámci služeb přístupu k elektronickým zdravotním údajům, jako je elektronická identifikace fyzických osob, které k těmto službám využívají přístup.

(21)

Fyzické osoby by měly mít možnost udělit jiným fyzickým osobám podle svého výběru, jako jsou jejich příbuzní nebo jiné blízké fyzické osoby, oprávnění, kterým umožní přístup ke svým osobním elektronickým zdravotním údajům či kontrolu nad tímto přístupem nebo využívání služeb digitálního zdravotnictví jejich jménem. Tato oprávnění by mohla být vhodná i pro jiné použití fyzickými osobami, kterým toto oprávnění bylo uděleno. Za účelem umožnění a zavedení těchto oprávnění by členské státy měly zřídit služby pro zastupování, které by měly být propojeny se službami přístupu k osobním elektronickým zdravotním údajům, například s portály pacientů nebo aplikacemi pro mobilní zařízení zaměřenými na pacienty. Tyto služby pro zastupování by rovněž měly umožnit zákonným zástupcům, aby jednali jménem osob na nich závislých, včetně nezletilých osob; v takových situacích by oprávnění mohlo být automatické. Kromě těchto služeb pro zastupování by členské státy měly rovněž zavést snadno dostupné podpůrné služby pro fyzické osoby s náležitě vyškoleným personálem, který jim bude nápomocen při výkonu jejich práv. Aby se zohlednily případy, kdy by zobrazení některých osobních elektronických zdravotních údajů závislých osob jejich zákonným zástupcům mohlo být v rozporu se zájmy nebo vůlí závislých osob, včetně nezletilých osob, měly by mít členské státy možnost stanovit ve vnitrostátním právu omezení a záruky, jakož i mechanismy pro jejich technické provedení. Tato oprávnění by měla být využívána službami přístupu k osobním elektronickým zdravotním údajům, například portály pacientů nebo aplikacemi pro mobilní zařízení zaměřenými na pacienty, a umožnit tak oprávněným fyzickým osobám přístup k osobním elektronickým zdravotním údajům, které spadají do rozsahu oprávnění. Aby bylo možné poskytnout horizontální řešení se zvýšenou uživatelskou vstřícností, měla by být digitální řešení pro zastupování sladěna s nařízením Evropského parlamentu a Rady (EU) č. 910/2014 (7) a technickými specifikacemi evropské peněženky digitální identity. Toto sladění by přispělo ke snížení administrativní i finanční zátěže členských států, neboť sníží riziko rozvoje paralelních systémů, které nejsou v rámci celé Unie interoperabilní.

(22)

V některých členských státech poskytují zdravotní péči týmy pro řízení primární péče, což jsou skupiny zdravotnických pracovníků zaměřených na primární péči, jako jsou všeobecní lékaři, kteří vykonávají své činnosti primární péče na základě plánu zdravotní péče, který vypracovali. V několika členských státech existují i jiné typy zdravotnických týmů pro jiné účely péče. V souvislosti s primárním využíváním v EHDS by měl být zdravotnickým pracovníkům, kteří jsou členy těchto týmů, poskytnut přístup.

(23)

Dozorové orgány zřízené podle nařízení (EU) 2016/679 jsou způsobilé k monitorování a prosazování uplatňování uvedeného nařízení, především pokud jde o monitorování zpracování osobních elektronických zdravotních údajů a řešení jakýchkoli stížností podaných dotčenými fyzickými osobami. Toto nařízení stanoví další práva fyzických osob týkající se primárního využití, která jdou nad rámec a doplňují práva na přístup k údajům a přenositelnost údajů zakotvená v nařízení (EU) 2016/679. I tato dodatečná práva by měla být prosazována dozorovými orgány zřízenými podle nařízení (EU) 2016/679. Členské státy by měly zajistit, aby tyto dozorové orgány měly k dispozici finanční a lidské zdroje, prostory a infrastrukturu nezbytné pro účinné plnění těchto dodatečných úkolů. Dozorový orgán nebo orgány odpovědné za sledování a prosazování zpracování osobních elektronických zdravotních údajů pro primární využití v souladu s tímto nařízením by měly mít pravomoc ukládat správní pokuty. Právní systém Dánska neumožňuje uložení správních pokut v podobě stanovené tímto nařízením. Pravidla týkající se správních pokut mohou být uplatňována tak, že v Dánsku pokutu uloží příslušný vnitrostátní soud jakožto trestní sankci, pokud takové uplatnění pravidel má účinek, který je rovnocenný správním pokutám uloženým dozorovými orgány. Uložené pokuty by v každém případě měly být účinné, přiměřené a odrazující.

(24)

Členské státy by měly usilovat o to, aby byly při uplatňování tohoto nařízení dodržovány etické zásady, jako jsou evropské etické zásady pro digitální zdravotnictví přijaté sítí pro elektronické zdravotnictví dne 26. ledna 2022 a zásada důvěrnosti ve vztazích mezi zdravotnickými pracovníky a pacienty. Evropské etické zásady pro digitální zdravotnictví uznávají význam etických zásad a poskytují pokyny odborníkům, výzkumným pracovníkům, inovátorům, tvůrcům politik a regulačním orgánům.

(25)

Význam různých kategorií elektronických zdravotních údajů pro různé scénáře zdravotní péče se liší. Pokud se jedná o standardizaci, různé kategorie rovněž dosáhly rozdílné úrovně vyspělosti, a proto může být provádění mechanismů pro jejich výměnu více či méně složité, a to v závislosti na kategorii. Zlepšení interoperability a sdílení údajů by proto mělo být postupné, přičemž je třeba stanovit určité prioritní kategorie elektronických zdravotních údajů. Síť pro elektronické zdravotnictví vybrala kategorie elektronických zdravotních údajů, jako jsou pacientské souhrny, elektronické lékařské předpisy a elektronická potvrzení o výdeji léčivých přípravků, lékařské snímky a doprovodné zprávy ke snímkům, laboratorní výsledky a související zprávy a propouštěcí zprávy, jako ty nejdůležitější ve většině situací v oblasti zdravotní péče, přičemž členské státy by je měly považovat za prioritní kategorie z hlediska zavedení přístupu k nim a jejich předávání. Pokud tyto prioritní kategorie údajů představují skupiny elektronických zdravotních údajů, mělo by se toto nařízení vztahovat na tyto celé skupiny i na jednotlivé položky, které do nich spadají. Například vzhledem k tomu, že údaj o očkování je součástí pacientského souhrnu, měla by se práva a požadavky spojené s pacientským souhrnem vztahovat i na takovýto údaj o očkování, i když je zpracován odděleně od celého pacientského souhrnu. Pokud se pro účely zdravotní péče zjistí další potřeba výměny dodatečných kategorií elektronických zdravotních údajů, měl by být podle tohoto nařízení umožněn přístup k těmto dodatečným kategoriím a jejich výměna. Dodatečné kategorie by měly být nejprve zavedeny na úrovni členských států a v tomto nařízení by měla být na dobrovolném základě umožněna výměna těchto kategorií údajů v přeshraničních situacích mezi spolupracujícími členskými státy. Zvláštní pozornost by měla být věnována výměně údajů v příhraničních regionech sousedních členských států, kde je poskytování přeshraničních zdravotních služeb častější a vyžaduje ještě rychlejší postupy než obecně v celé Unii.

(26)

Míra dostupnosti osobních zdravotních a genetických údajů v elektronické podobě se v jednotlivých členských státech liší. Systém EHDS by měl usnadnit dostupnost těchto údajů v elektronické podobě pro fyzické osoby a umožnit jim lepší kontrolu nad přístupem k jejich osobním elektronickým zdravotním údajům a jejich sdílení. To by rovněž přispělo k dosažení cíle, aby 100 % občanů Unie mělo do roku 2030 přístup ke svým elektronickým zdravotním záznamům, jak je uvedeno v rozhodnutí Evropského parlamentu a Rady (EU) 2022/2481 (8). Aby byly elektronické zdravotní údaje přístupné a přenositelné, měly by být přístupné a předávané ve společném interoperabilním evropském formátu pro výměnu elektronických zdravotních záznamů, a to alespoň ve vztahu k určitým kategoriím elektronických zdravotních údajů, jako jsou například pacientské souhrny, elektronické lékařské předpisy a elektronická potvrzení o výdeji léčivých přípravků, lékařské snímky a doprovodné zprávy ke snímkům, laboratorní výsledky a propouštěcí zprávy, s výhradou přechodných období. Pokud jsou osobní elektronické zdravotní údaje zpřístupněny poskytovateli zdravotní péče nebo lékárně fyzickou osobou nebo jsou předány jiným správcem údajů v evropském formátu pro výměnu elektronických zdravotních záznamů, měl by být tento formát akceptován a příjemce by měl být schopen tyto údaje přečíst a použít je pro účely poskytování zdravotní péče nebo výdeje léčivého přípravku, čímž se podpoří poskytování služeb zdravotní péče nebo vydávání elektronických lékařských předpisů. Evropský formát pro výměnu elektronických zdravotních záznamů by měl být navržen tak, aby v co největší míře usnadnil překlad elektronických zdravotních záznamů sdělovaných jeho prostřednictvím do úředních jazyků Unie. Doporučení Komise (EU) 2019/243 (9) poskytuje základy pro tento společný evropský formát pro výměnu elektronických zdravotních záznamů. Interoperabilita systému EHDS by měla přispět k vysoké kvalitě evropských souborů zdravotních údajů. Používání evropského formátu pro výměnu elektronických zdravotních záznamů by se mělo více všeobecně rozšířit na úrovni Unie i na vnitrostátní úrovni. Evropský formát pro výměnu elektronických zdravotních záznamů by mohl umožnit různé profily pro jeho použití na úrovni systémů EHR a na úrovni národních kontaktních míst pro digitální zdravotnictví v MyHealth@EU pro přeshraniční výměnu údajů.

(27)

Zatímco systémy EHR jsou široce rozšířeny, míra digitalizace zdravotních údajů se v jednotlivých členských státech liší v závislosti na kategoriích údajů a na rozsahu poskytovatelů zdravotní péče, kteří zaznamenávají zdravotní údaje v elektronické podobě. Aby se podpořilo uplatňování práv subjektů údajů na přístup k elektronickým zdravotním údajům a jejich výměnu, je třeba přijmout opatření na úrovni Unie s cílem zabránit další roztříštěnosti. Aby se přispělo k vysoké kvalitě a kontinuitě zdravotní péče, měly by určité kategorie zdravotních údajů být systematicky zaznamenávány v elektronické podobě a v souladu se zvláštními požadavky na kvalitu dat. Základem pro specifikace týkající se zaznamenávání a výměny elektronických zdravotních údajů by měl být evropský formát pro výměnu elektronických zdravotních záznamů.

(28)

Telemedicína se stává stále důležitějším nástrojem, který může pacientům zpřístupnit péči a řešit nerovnosti. Telemedicína má potenciál snížit nerovnost v oblasti zdraví a posílit volný pohyb občanů Unie přes hranice. Digitální a další technologické nástroje mohou usnadnit poskytování péče ve vzdálených regionech. Pokud digitální služby doprovázejí fyzické poskytování zdravotní služby, měla by být daná digitální služba zahrnuta do celkového poskytování péče. Podle článku 168 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“) odpovídají členské státy za svou zdravotní politiku, zejména za organizaci zdravotnictví a poskytování zdravotní péče, včetně regulace činností, jako jsou on-line lékárny, telemedicína a další služby, které poskytují a hradí v souladu se svými vnitrostátními právními předpisy. Různé politiky v oblasti zdravotní péče by však neměly představovat překážky volného pohybu elektronických zdravotních údajů v souvislosti s přeshraniční zdravotní péčí, například telemedicíny a on-line lékáren

(29)

Nařízení (EU) č. 910/2014 stanoví podmínky, za nichž členské státy provádějí identifikaci fyzických osob v přeshraničních situacích pomocí prostředků pro elektronickou identifikaci vydaných jiným členským státem, a stanoví pravidla pro vzájemné uznávání těchto prostředků pro elektronickou identifikaci. EHDS vyžaduje bezpečný přístup k elektronickým zdravotním údajům, a to i v přeshraničních situacích. Služby přístupu k elektronickým zdravotním údajům a služby telemedicíny by měly fyzickým osobám umožnit výkon jejich práv bez ohledu na členský stát, v němž jsou pojištěny, a měly by proto podporovat identifikaci fyzických osob pomocí jakýchkoli prostředků pro elektronickou identifikaci uznaných podle nařízení (EU) č. 910/2014. Vzhledem k tomu, že v přeshraničních situacích může docházet k problémům při párování totožnosti, může být nezbytné, aby členské státy, v nichž je léčba poskytována, poskytly fyzickým osobám, které přicházejí z jiných členských států a využívají jejich zdravotní péči, doplňkové přístupové mechanismy, jako jsou tokeny nebo kódy. Komisi by měla být svěřena pravomoc přijímat prováděcí akty za účelem stanovení požadavků na interoperabilní a přeshraniční identifikaci a autentizaci fyzických osob a zdravotnických pracovníků, včetně veškerých doplňkových mechanismů, které jsou nezbytné pro zajištění toho, aby fyzické osoby mohly využívat svá práva týkající se osobních elektronických zdravotních údajů v přeshraničních situacích.

(30)

Za účelem plánování a provádění norem pro přístup k elektronickým zdravotním údajům a jejich předávání a pro prosazování práv fyzických osob a zdravotnických pracovníků by členské státy měly určit příslušné orgány pro digitální zdravotnictví, a to jako samostatné organizace nebo v rámci již existujících orgánů. Zaměstnanci orgánů pro digitální zdravotnictví by neměli mít finanční ani žádné jiné zájmy v průmyslových odvětvích nebo hospodářských činnostech, které by mohly ovlivnit jejich nestrannost. Orgány pro digitální zdravotnictví již existují ve většině členských států a zabývají se systémy EHR, interoperabilitou, bezpečností nebo standardizací. Při plnění svých úkolů by orgány pro digitální zdravotnictví měly spolupracovat zejména s dozorovými orgány zřízenými podle nařízení (EU) 2016/679 a s orgány dohledu zřízenými podle nařízení (EU) č. 910/2014. Orgány pro digitální zdravotnictví mohou rovněž spolupracovat s Evropskou radou pro umělou inteligenci zřízenou nařízením Evropského parlamentu a Rady (EU) 2024/1689 (10), Koordinační skupinou pro zdravotnické prostředky zřízenou nařízením Evropského parlamentu a Rady (EU) 2017/745 (11), Evropským sborem pro datové inovace zřízeným podle nařízení Evropského parlamentu a Rady (EU) 2022/868 (12) a příslušnými orgány podle nařízením Evropského parlamentu a Rady (EU) 2023/2854 (13). Členské státy měly usnadnit účast vnitrostátních aktérů na spolupráci na úrovni Unie, předávání odborných znalosti a poskytování poradenství při navrhování řešení nezbytných k dosažení cílů EHDS.

(31)

Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, měla by každá fyzická nebo právnická osoba mít právo na účinnou soudní ochranu proti právně závaznému rozhodnutí orgánu pro digitální zdravotnictví, které se jí týká, nebo v případech, kdy se orgán pro digitální zdravotnictví podanou stížností nezabývá nebo do tří měsíců neinformuje fyzickou nebo právnickou osobu o pokroku při řešení stížnosti nebo jeho výsledku. Řízení proti orgánu pro digitální zdravotnictví by měla být zahajována u soudů těch členských států, v nichž je dotčený orgán pro digitální zdravotnictví zřízen.

(32)

Orgány pro digitální zdravotnictví by měly mít dostatečné technické dovednosti, pokud možno díky sdružování odborníků z různých organizací. Činnosti orgánů pro digitální zdravotnictví by měly být dobře plánovány a monitorovány, aby byla zajištěna jejich účinnost. Orgány pro digitální zdravotnictví by měly přijmout nezbytná opatření na ochranu práv fyzických osob vytvořením celostátních, regionálních a místních technických řešení, například řešení týkajících se zprostředkování v rámci vnitrostátního systému EHR a portálů pacientů. Při přijímání těchto nezbytných ochranných opatření by orgány pro digitální zdravotnictví měly v těchto řešeních uplatňovat společné normy a specifikace, podporovat uplatňování norem a specifikací při zadávacích řízeních a používat další inovativní prostředky, včetně úhrady za řešení, která jsou v souladu s požadavky na interoperabilitu a bezpečnost EHDS. Členské státy by měly zajistit, aby byly podniknuty příslušné iniciativy v oblasti odborné přípravy. Zejména by měli být zdravotničtí pracovníci informováni a poučeni o svých právech a povinnostech podle tohoto nařízení. Za účelem plnění svých úkolů by orgány pro digitální zdravotnictví měly spolupracovat na unijní i vnitrostátní úrovni s dalšími subjekty, včetně pojišťoven, poskytovatelů zdravotní péče, zdravotnických pracovníků, výrobců systémů EHR a aplikací v oblasti zdravého životního stylu, jakož i dalších zúčastněných stran ze zdravotnictví nebo odvětví informačních technologií, subjektů zabývajících se systémy úhrad, orgánů pro posuzování zdravotnických technologií, regulačních orgánů a agentur pro léčivé přípravky, orgánů pro zdravotnické prostředky, zadavatelů a orgánů pro kybernetickou bezpečnost nebo elektronickou identifikaci.

(33)

Přístup k elektronickým zdravotním údajům a jejich předávání jsou relevantní v situacích přeshraniční zdravotní péče, neboť mohou podpořit kontinuitu zdravotní péče v případě, že fyzické osoby cestují do jiných členských států nebo změní své bydliště. Kontinuita péče a rychlý přístup k osobním elektronickým zdravotním údajům jsou ještě důležitější pro obyvatele příhraničních regionů, kteří za účelem získání zdravotní péče často překračují hranice. V mnoha příhraničních regionech se některé nejbližší dostupné specializované služby zdravotní péče mohou nacházet za hranicemi, a nikoli v témže členském státě. V situacích, kdy fyzická osoba využívá služeb poskytovatele zdravotní péče usazeného v jiném členském státě, je pro přeshraniční přenos osobních elektronických zdravotních údajů zapotřebí infrastruktura. Je třeba zvážit postupné rozšiřování takové infrastruktury a její financování. Za tímto účelem byla jako součást opatření k dosažení cílů stanovených ve směrnici Evropského parlamentu a Rady 2011/24/EU (14) zřízena dobrovolná infrastruktura MyHealth@EU. Prostřednictvím MyHealth@EU začaly členské státy fyzickým osobám poskytovat možnost sdílet při cestách do zahraničí své osobní elektronické zdravotní údaje s poskytovateli zdravotní péče. Na základě těchto zkušeností by se účast členských států v MyHealth@EU zřízené podle tohoto nařízení měla stát povinnou. Technické specifikace pro MyHealth@EU by měly umožnit výměnu prioritních kategorií elektronických zdravotních údajů, jakož i dalších kategorií podporovaných evropským formátem pro výměnu elektronických zdravotních záznamů. Tyto specifikace by měly být definovány prostřednictvím prováděcích aktů a měly by vycházet z přeshraničních specifikací evropského formátu pro výměnu elektronických zdravotních záznamů, doplněných dalšími specifikacemi týkajícími se kybernetické bezpečnosti, technické a sémantické interoperability, provozu a řízení služeb. Členské státy by měly být povinny se začlenit do MyHealth@EU, dodržovat její technické specifikace a propojit s ní poskytovatele zdravotní péče, včetně lékáren, neboť to je nezbytné k tomu, aby fyzické osoby mohly vykonávat svá práva podle tohoto nařízení na přístup ke svým osobním elektronickým zdravotním údajům a jejich využívání bez ohledu na to, ve kterém členském státě se fyzické osoby nacházejí.

(34)

MyHealth@EU členským státům poskytuje společnou infrastrukturu, aby bylo účinným a bezpečným způsobem zajištěno vzájemné propojení a interoperabilita za účelem podpory přeshraniční zdravotní péče, aniž by tím byly dotčeny povinnosti členských států před přenosem osobních elektronických zdravotních údajů prostřednictvím této infrastruktury nebo po něm. Členské státy odpovídají za organizaci svých národních kontaktních míst pro digitální zdravotnictví a za zpracování osobních údajů za účelem poskytování zdravotní péče před přenosem těchto údajů prostřednictvím MyHealth@EU i po něm. Komise by měla prostřednictvím kontrol souladu sledovat soulad národních kontaktních míst pro digitální zdravotnictví s nezbytnými požadavky týkajícími se technického rozvoje MyHealth@EU a rovněž s podrobnými pravidly týkajícími se bezpečnosti, důvěrnosti a ochrany osobních elektronických zdravotních údajů. V případě závažného nesouladu národního kontaktního místa pro digitální zdravotnictví by Komise měla mít možnost pozastavit služby dotčené nesouladem a poskytované tímto národním kontaktním místem pro digitální zdravotnictví. Komise by v rámci MyHealth@EU měla jménem členských států jednat jako zpracovatel a měla by ve vztahu k ní poskytovat ústřední služby. S cílem zaručit soulad s pravidly pro ochranu údajů a stanovit rámec pro řízení rizik ve vztahu k předávání osobních elektronických zdravotních údajů, by měly být prostřednictvím prováděcích aktů podrobně stanoveny zvláštní povinnosti členských států, jakožto společných správců, a povinnosti Komise, jakožto zpracovatele jednajícího jejich jménem. Každý členský stát nese odpovědnost pouze za údaje a služby na svém území. Toto nařízení poskytuje právní základ pro zpracování osobních elektronických zdravotních údajů v MyHealth@EU jako úkolu prováděného ve veřejném zájmu, který stanoví právo Unie, ve smyslu čl. 6 odst. 1 písm. e) nařízení (EU) 2016/679. Toto zpracování je nezbytné pro poskytování zdravotní péče v přeshraničních situacích, jak je uvedeno v čl. 9 odst. 2 písm. h) uvedeného nařízení.

(35)

Kromě služeb v rámci MyHealth@EU pro výměnu osobních elektronických zdravotních údajů založených na evropském formátu pro výměnu elektronických zdravotních záznamů mohou být zapotřebí další služby nebo doplňkové infrastruktury, například v případech mimořádných situací v oblasti veřejného zdraví nebo v případech, kdy architektura MyHealth@EU není pro provedení určitých případů užití vhodná. Mezi příklady takových případů použití patří podpora funkcí očkovacího průkazu, včetně výměny informací o plánech očkování, nebo ověřování certifikátů o očkování či jiných zdravotních certifikátů. Tyto další případy použití by byly rovněž důležité pro zavedení dalších funkcí za účelem řešení krizí v oblasti veřejného zdraví, například podpory vysledování kontaktů za účelem omezení šíření infekčních onemocnění. Aby se podpořila kontinuita zdravotní péče, měla by MyHealth@EU podporovat výměnu osobních elektronických zdravotních údajů s národními kontaktními místy pro digitální zdravotnictví příslušných třetích zemí a se systémy zřízenými na mezinárodní úrovni mezinárodními organizacemi. To se týká zejména osob cestujících do sousedních třetích zemí a ze sousedních třetích zemí, kandidátských zemí a přidružených zámořských zemí a území. Propojení těchto národních kontaktních míst pro digitální zdravotnictví třetích zemí na MyHealth@EU a interoperabilita s digitálními systémy zřízenými na mezinárodní úrovni mezinárodními organizacemi by měly být předmětem kontroly, která zajistí soulad kontaktních míst a digitálních systémů s technickými specifikacemi, pravidly pro ochranu údajů a dalšími požadavky MyHealth@EU. Dále vzhledem k tomu, že připojení k MyHealth@EU bude zahrnovat předávání osobních elektronických údajů třetím zemím, jako je sdílení pacientských souhrnů v případech, kdy pacienti v této třetí zemi vyhledávají péči, bude nutné, aby byly zavedeny příslušné nástroje pro předávání údajů podle kapitoly V nařízení (EU) 2016/679. Komise by měla být zmocněna k přijímání prováděcích aktů s cílem usnadnit propojení těchto národních kontaktních míst pro digitální zdravotnictví třetích zemí a systémů zřízených na mezinárodní úrovni mezinárodními organizacemi s MyHealth@EU. Při přípravě těchto prováděcích aktů by Komise měla zohlednit národní bezpečnostní zájmy členských států.

(36)

Aby se umožnila bezproblémová výměna elektronických zdravotních údajů a bylo zajištěno dodržování práv fyzických osob a zdravotnických pracovníků, měly by mít systémy EHR nabízené na vnitřním trhu možnost bezpečně ukládat a předávat vysoce kvalitní elektronické zdravotní údaje. Jedná se o klíčový cíl EHDS, jenž má zajistit bezpečný a volný pohyb elektronických zdravotních údajů v celé Unii. Za tímto účelem by měl být pro systémy EHR, které zpracovávají jednu nebo více prioritních kategorií elektronických zdravotních údajů, zaveden povinný systém vlastního posuzování shody s cílem překonat roztříštěnost trhu a zároveň zajistit přiměřený přístup. Prostřednictvím tohoto vlastního posouzení budou systémy EHR prokazovat soulad s požadavky na interoperabilitu, bezpečnost a evidenci za účelem sdělování osobních elektronických zdravotních údajů, které jsou stanoveny prostřednictvím dvou povinných komponentů EHR harmonizovaných tímto nařízením, konkrétně „evropského softwarového komponentu pro interoperabilitu v rámci systémů EHR“ a „evropského softwarového komponentu pro evidenci přístupu k údajům v rámci systémů EHR“ (dále jen „harmonizované softwarové komponenty systémů EHR“). Tyto dva harmonizované softwarové komponenty systémů EHR se týkají především transformace dat, ačkoli mohou s sebou nést potřebu nepřímých požadavků na jejich zaznamenání a prezentaci v systémech EHR. Technické specifikace pro harmonizované softwarové komponenty systémů EHR by měly být definovány prostřednictvím prováděcích aktů a měly by být založeny na používání evropského formátu pro výměnu elektronických zdravotních záznamů. Harmonizované softwarové komponenty systémů EHR by měly být navrženy tak, aby byly opětovně použitelné a bezproblémově se integrovaly s jinými komponenty v rámci většího softwarového systému. Bezpečnostní požadavky na harmonizované softwarové komponenty systémů EHR by měly zahrnovat prvky specifické pro systémy EHR, neboť obecnější bezpečnostní vlastnosti by měly být podporovány jinými mechanismy, stanovenými například nařízením Evropského parlamentu a Rady (EU) 2024/2847 (15). Na podporu tohoto procesu by měla být zřízena evropská digitální testovací prostředí poskytující automatizované prostředky k testování toho, zda harmonizované softwarové komponenty systému EHR fungují v souladu s požadavky stanovenými v tomto nařízení. Za tímto účelem by měly být Komisi svěřeny prováděcí pravomoci ke stanovení společných specifikací pro tato prostředí. Komise by měla vyvinout software nezbytný pro testovací prostředí a zpřístupnit jej jako software s otevřeným zdrojovým kódem. Testovací prostředí by měly provozovat členské státy, neboť jsou blíže výrobcům a mají lepší předpoklady k jejich podpoře. Výrobci by měli tato prostředí používat k testování svých produktů před jejich uvedením na trh, přičemž by měli i nadále nést plnou odpovědnost za soulad svých produktů s předpisy. Výsledky testu by se měly stát součástí technické dokumentace produktu. Pokud systém EHR nebo jakákoli jeho část splňuje evropské normy nebo společné specifikace, měl by v technické dokumentaci být uveden rovněž seznam příslušných evropských norem a společných specifikací. S cílem podpořit porovnatelnost by Komise měla vypracovat jednotný vzor technické dokumentace.

(37)

Systémy EHR by měly být doplněny o informační list, který obsahuje informace pro profesionální uživatele a jasný a úplný návod k použití, a to i ve formátech přístupných pro osoby se zdravotním postižením. Pokud systém EHR nedoprovází taková informace, mají výrobce daného systému EHR, jeho zplnomocněný zástupce a všechny ostatní příslušné hospodářské subjekty povinnost k systému EHR tento informační list a návod k použití připojit.

(38)

Zatímco systémy EHR zvlášť určené výrobcem k použití pro zpracovávání jedné nebo více konkrétních kategorií elektronických zdravotních údajů by měly podléhat povinné autocertifikaci, software určený k obecným účelům by neměl být považován za systém EHR, a to ani v případě, že se používá v prostředí zdravotní péče, a proto by od něj nemělo být vyžadováno, aby splňoval toto nařízení. To se týká případů, jako je software pro zpracování textů používaný pro psaní zpráv, které se pak stanou součástí písemných elektronických zdravotních záznamů, univerzálního middlewaru nebo softwaru pro správu databází, který se používá jako součást řešení pro ukládání dat.

(39)

Toto nařízení ukládá povinný systém vlastního posuzování shody pro dva harmonizované softwarové komponenty systémů EHR s cílem zajistit, aby si systémy EHR uváděné na trh Unie byly schopny vyměňovat údaje v evropském formátu pro výměnu elektronických zdravotních záznamů a aby měly požadované kapacity v oblasti vedení evidence o přístupu. Tento povinný systém vlastního posuzování shody ve formě EU prohlášení výrobce o shodě má zajistit, aby tyto požadavky byly splněny přiměřeným způsobem, aniž by členské státy a výrobci byli nepřiměřeně zatěžováni.

(40)

Výrobci by měli v průvodních dokumentech systému EHR a případně na jeho obalu připojit označení shody CE uvádějící, že systém EHR je ve shodě s tímto nařízením, a pokud jde o hlediska, na něž se toto nařízení nevztahuje, s jinými platnými právními předpisy Unie, které rovněž vyžadují připojení takového označení. Členské státy by měly vycházet ze stávajících mechanismů, aby zajistily řádné uplatňování ustanovení o označení shody CE podle příslušných právních předpisů Unie, a měly by přijmout vhodná opatření v případě nesprávného použití tohoto označení.

(41)

Členské státy by si měly i nadále ponechat pravomoc stanovit požadavky týkající se jakýchkoli jiných softwarových komponentů systémů EHR a podmínek pro připojení poskytovatelů zdravotní péče k jejich příslušným vnitrostátním infrastrukturám, které mohou podléhat posouzení třetí stranou na vnitrostátní úrovni. Aby se usnadnilo hladké fungování vnitřního trhu v případě systémů EHR, digitálních zdravotnických produktů a souvisejících služeb, měla by být zajištěna co největší transparentnost, pokud jde o vnitrostátní předpisy stanovující požadavky na systémy EHR a ustanovení o jejich posuzování shody ve vztahu k jiným aspektům, než jsou harmonizované softwarové komponenty systémů EHR. Členské státy by proto měly o těchto vnitrostátních požadavcích informovat Komisi, aby měla k dispozici informace nezbytné k zajištění toho, aby nepříznivě neovlivňovaly harmonizované softwarové komponenty systémů EHR.

(42)

Některé softwarové komponenty systémů EHR by mohly být považovány za zdravotnické prostředky podle nařízení Evropského parlamentu a Rady (EU) 2017/745 nebo diagnostické zdravotnické prostředky in vitro podle nařízení Evropského parlamentu a Rady (EU) 2017/746 (16). Software nebo moduly softwaru, který spadá do definice zdravotnického prostředku, diagnostického zdravotnického prostředku in vitro nebo systému umělé inteligence (AI) považovaný za vysoce rizikový (dále jen „vysoce rizikové systémy AI“), by měl být certifikován v souladu s nařízeními Evropského parlamentu a Rady (EU) 2017/745, (EU) 2017/746 a (EU) 2024/1689, podle toho, které z těchto nařízení se uplatní. Jelikož takovéto výrobky musí splňovat požadavky podle příslušného nařízení, kterým se tyto výrobky řídí, měly by členské státy přijmout vhodná opatření, aby zajistily, že příslušné posuzování shody bude prováděno v rámci společného nebo koordinovaného postupu, aby se tak omezila administrativní zátěž pro výrobce a další hospodářské subjekty. Základní požadavky tohoto nařízení na interoperabilitu by se měly použít pouze v rozsahu, v jakém výrobce zdravotnického prostředku, diagnostického zdravotnického prostředku in vitro nebo vysoce rizikového systému AI, který poskytuje elektronické zdravotní údaje, jež mají být zpracovány v rámci systému EHR, prohlašuje, že jsou interoperabilní. V takovém případě by se na tyto zdravotnické prostředky, diagnostické zdravotnické prostředky in vitro a vysoce rizikové systémy AI měla vztahovat ustanovení o společných specifikacích pro systémy EHR.

(43)

V zájmu další podpory interoperability a bezpečnosti by členské státy měly mít možnost zachovat nebo vymezit zvláštní pravidla pro zadávací řízení, hrazení nebo financování systémů EHR na vnitrostátní úrovni v souvislosti s organizací, poskytováním nebo financováním zdravotních služeb. Tato konkrétní pravidla by neměla bránit volnému pohybu systémů EHR v Unii. Některé členské státy zavedly povinnou certifikaci systémů EHR nebo povinné testování interoperability pro jejich připojení k vnitrostátním službám digitálního zdravotnictví. Tyto požadavky se obvykle odrážejí v zadávacích řízeních organizovaných poskytovateli zdravotní péče, vnitrostátními a regionálními orgány. Povinná certifikace systémů EHR na úrovni Unie by měla stanovit základ, který lze použít při zadávacích řízeních na vnitrostátní úrovni.

(44)

Aby bylo pacientům zaručeno účinné uplatňování jejich práv podle tohoto nařízení, měli by poskytovatelé zdravotní péče toto nařízení dodržovat i v případě, že systém EHR vyvíjejí sami a používají jej pouze pro vlastní potřeby za účelem provádění vnitřních činností, aniž by jej uvedli na trh za úplatu nebo odměnu. V této souvislosti by tito poskytovatelé zdravotní péče v případě systémů, které sami vytvoří a zavedou, měli ve vztahu k těmto systémům EHR splňovat všechny požadavky vztahující se na výrobce. Avšak vzhledem k tomu, že tito poskytovatelé zdravotní péče mohou potřebovat více času na přípravu, aby vyhověli požadavkům tohoto nařízení, měly by se tyto požadavky na tyto systémy vztahovat až po prodlouženém přechodném období.

(45)

Je nezbytné stanovit jasné a přiměřené rozdělení povinností odpovídající úloze každého hospodářského subjektu v dodavatelském a distribučním procesu systémů EHR. Hospodářské subjekty by měly odpovídat za plnění svých příslušných úloh v tomto procesu a měly by zajistit, aby na trh dodávaly pouze systémy EHR, které splňují příslušné požadavky.

(46)

Splnění základních požadavků na interoperabilitu a bezpečnost by měli výrobci systémů EHR prokázat prováděním společných specifikací. Za tímto účelem by měly být Komisi svěřeny prováděcí pravomoci ke stanovení těchto společných specifikací týkajících se datových souborů, kódovacích systémů a technických specifikací, norem a specifikací a profilů pro výměnu údajů, jakož i požadavků a zásad v oblasti bezpečnosti pacientů a bezpečnosti, důvěrnosti, integrity a ochrany osobních údajů, a specifikací a požadavků souvisejících se správou identifikace a používáním elektronické identifikace. Orgány pro digitální zdravotnictví by měly k vývoji těchto společných specifikací přispívat. Tyto společné specifikace by měly být v příslušných případech založeny na stávajících harmonizovaných normách pro harmonizované softwarové komponenty systémů EHR a měly by být slučitelné s odvětvovým právem. Pokud mají společné specifikace zvláštní význam v souvislosti s požadavky na ochranu osobních údajů vztahujícími se k systémům EHR, měly by být v souladu s čl. 42 odst. 2 nařízení (EU) 2018/1725 před přijetím konzultovány s Evropským sborem pro ochranu osobních údajů a evropským inspektorem ochrany údajů.

(47)

Aby se zajistilo náležité a účinné prosazování požadavků a povinností stanovených v tomto nařízení, měl by se použít systém dozoru nad trhem a souladu výrobků s předpisy, který zavedlo nařízení Evropského parlamentu a Rady (EU) 2019/1020 (17). V závislosti na organizaci vymezené na vnitrostátní úrovni by tyto činnosti dozoru nad trhem mohly provádět orgány pro digitální zdravotnictví zajišťující řádné provádění kapitoly II tohoto nařízení nebo samostatný orgán dozoru nad trhem odpovědný za systémy EHR. Ačkoliv určení orgánů pro digitální zdravotnictví jako orgánů dozoru nad trhem může mít významné praktické výhody pro provádění zdravotní péče, je třeba zabránit jakémukoli střetu zájmů, například oddělením různých úkolů.

(48)

Zaměstnanci orgánů dozoru nad trhem by neměli být v žádném přímém ani nepřímém hospodářském, finančním nebo osobním střetu zájmů, který by mohl ohrozit jejich nezávislost, a zejména by se neměli dostat do situace, která by mohla přímo nebo nepřímo ovlivnit nestrannost jejich profesního chování. Členské státy by měly stanovit a zveřejnit výběrové řízení pro orgány dozoru nad trhem. Měly by zajistit, aby řízení bylo transparentní a neumožňovalo střet zájmů.

(49)

Uživatelé aplikací v oblasti zdravého životního stylu, včetně aplikací pro mobilní zařízení, by měli být informováni o možnosti těchto aplikací připojit se do systémů EHR nebo do vnitrostátních elektronických zdravotních řešení a dodávat jim údaje v případech, kdy jsou údaje vytvořené aplikacemi v oblasti zdravého životního stylu užitečné pro účely zdravotní péče. Pro účely přenositelnosti údajů je rovněž důležitá možnost u těchto aplikací exportovat data v interoperabilním formátu. Uživatelé by měli být v příslušných případech informováni o tom, že tyto aplikace v oblasti zdravého životního stylu splňují požadavky na interoperabilitu a bezpečnost. Vzhledem k velkému počtu aplikací v oblasti zdravého životního stylu a omezenému významu údajů, které mnohé z nich vytvářejí, pro účely zdravotní péče, by však systém certifikace pro tyto aplikace nebyl přiměřený. Proto by měl být zaveden povinný systém označování pro aplikace v oblasti zdravého životního stylu, u nichž se udává, že jsou interoperabilní se systémem EHR, jako vhodný mechanismus, který uživatelům aplikací v oblasti zdravého životního stylu poskytne transparentnost, pokud jde o soulad s požadavky podle tohoto nařízení, a podpoří tak uživatele při výběru vhodných aplikací v oblasti zdravého životního stylu s vysokými standardy interoperability a bezpečnosti. Komise by měla prostřednictvím prováděcích aktů stanovit podrobnosti týkající se formátu a obsahu takového označení.

(50)

Členské státy by měly mít i nadále možnost regulovat jiné aspekty používání aplikací v oblasti zdravého životního stylu, pokud jsou odpovídající pravidla v souladu s právem Unie.

(51)

Šíření informací o certifikovaných systémech EHR a aplikací v oblasti zdravého životního stylu nesoucích označení je nezbytné k tomu, aby zadavatelé a uživatelé těchto produktů mohli nalézt interoperabilní řešení pro své konkrétní potřeby. Na úrovni Unie by proto měla být zřízena databáze interoperabilních systémů EHR a aplikací v oblasti zdravého životního stylu, které nespadají do oblasti působnosti nařízení (EU) 2017/745 a (EU) 2024/1689, která bude podobná Evropské databázi zdravotnických prostředků (Eudamed) zřízené nařízením (EU) 2017/745. Cílem databáze EU pro registraci interoperabilních systémů EHR a aplikace v oblasti zdravého životního stylu by mělo být zvýšení celkové transparentnosti, zamezení vícenásobným požadavkům na podávání zpráv a zefektivnění a usnadnění toku informací. V případě zdravotnických prostředků a systémů AI by registrace měla být zachována ve stávajících databázích zřízených podle nařízení (EU) 2017/745 a (EU) 2024/1689, avšak pokud výrobci prohlašují, že byly splněny požadavky na interoperabilitu, mělo by to být uvedeno, aby byly zadavatelům poskytnuty informace.

(52)

Aniž by to bránilo smluvním ujednáním nebo jiným mechanismům nebo by se tyto mechanismy nahrazovaly, má toto nařízení za cíl zavést společný mechanismus pro přístup k elektronickým zdravotním údajům pro sekundární využití v celé Unii. V rámci tohoto mechanismu by držitelé zdravotních údajů měli zpřístupnit údaje, které mají v držení, na základě povolení k údajům nebo žádosti o zdravotní údaje. Pro účely zpracování elektronických zdravotních údajů pro sekundární využití by měl být vyžadován jeden z právních základů uvedených v čl. 6 odst. 1 písm. a), c), e) nebo f) nařízení (EU) 2016/679 ve spojení s čl. 9 odst. 2 uvedeného nařízení. Toto nařízení proto stanoví právní základ pro sekundární využití osobních elektronických zdravotních údajů včetně záruk požadovaných podle čl. 9 odst. 2 písm. g) až j) nařízení (EU) 2016/679 s cílem umožnit zpracování zvláštních kategorií údajů, pokud jde o zákonné účely, důvěryhodnou správu pro poskytování přístupu ke zdravotním údajům prostřednictvím zapojení subjektů pro přístup ke zdravotním údajům a zpracování v bezpečném zpracovacím prostředí, jakož i ujednání o zpracování údajů stanovené v povolení k údajům. Členské státy by proto již neměly mít možnost ponechat v platnosti nebo zavádět další podmínky podle čl. 9 odst. 4 nařízení (EU) 2016/679, včetně omezení a zvláštních ustanovení vyžadujících souhlas fyzických osob, pokud jde o zpracování osobních elektronických zdravotních údajů pro sekundární využití podle tohoto nařízení, s výjimkou zavedení přísnějších opatření a dodatečných záruk na vnitrostátní úrovni zaměřených na ochranu citlivosti a hodnoty určitých údajů, jak je stanoveno v tomto nařízení. Žadatelé o zdravotní údaje by měli zároveň prokázat právní základ uvedený v článku 6 nařízení (EU) 2016/679, který jim umožňuje požádat o přístup k elektronickým zdravotním údajům podle tohoto nařízení, přičemž by měli splňovat podmínky stanovené v kapitole IV uvedeného nařízení. Kromě toho by měl subjekt pro přístup ke zdravotním údajům posoudit informace poskytnuté žadatelem o zdravotní údaje, a na tomto základě by měl být schopen vydat povolení k údajům za účelem zpracování osobních elektronických zdravotních údajů podle tohoto nařízení, které by mělo splňovat požadavky a podmínky stanovené v kapitole IV tohoto nařízení. Pokud jde o zpracování elektronických zdravotních údajů v držení držitelů zdravotních údajů, toto nařízení zakládá právní povinnost ve smyslu čl. 6 odst. 1 písm. c) nařízení (EU) 2016/679, v souladu s čl. 9 odst. 2 písm. i) a j) uvedeného nařízení, aby držitel zdravotních údajů zpřístupnil osobní elektronické zdravotní údaje subjektům pro přístup ke zdravotním údajům, přičemž právní základ pro účely počátečního zpracování, například poskytování zdravotní péče, není dotčen. Toto nařízení rovněž ukládá subjektům pro přístup ke zdravotním údajům úkoly ve veřejném zájmu ve smyslu čl. 6 odst. 1 písm. e) nařízení (EU) 2016/679 a splňuje požadavky čl. 9 odst. 2 písm. g) až j) uvedeného nařízení. Pokud se uživatel zdravotních údajů opírá o právní základ stanovený v čl. 6 odst. 1 písm. e) nebo f) nařízení (EU) 2016/679, mělo by toto nařízení poskytnout záruky požadované podle čl. 9 odst. 2 nařízení (EU) 2016/679.

(53)

Sekundární využití elektronických zdravotních údajů může mít velké společenské přínosy. Mělo by být podporováno využívání údajů a poznatků z reálné praxe, včetně výsledků sdělovaných pacientem, pro účely regulace a tvorby politik založených na důkazech, jakož i pro výzkum, hodnocení zdravotnických technologií a klinické cíle. Údaje a zjištění z reálné praxe mohou doplnit zdravotní údaje, které jsou v současné době k dispozici. Pro dosažení tohoto cíle je důležité, aby datové soubory zpřístupněné tímto nařízením pro sekundární využití byly co nejúplnější. Toto nařízení poskytuje nezbytné záruky ke zmírnění určitých rizik spojených s dosažením těchto přínosů. Sekundární využití elektronických zdravotních údajů je založeno na pseudonymizovaných nebo anonymizovaných údajích, aby se zabránilo identifikaci subjektů údajů.

(54)

Aby bylo možné vyvážit potřebu uživatelů zdravotních údajů mít vyčerpávající a reprezentativní datové soubory s potřebou autonomie fyzických osob ve vztahu ke svým osobním elektronickým zdravotním údajům, které jsou považovány za obzvláště citlivé, měly by mít fyzické osoby možnost rozhodnout, zda jejich osobní elektronické zdravotní údaje mohou být zpracovány pro sekundární využití podle tohoto nařízení, a to ve formě práva odmítnout, aby byly jejich osobní elektronické zdravotní údaje zpřístupněny pro sekundární využití. Měl by být poskytnut snadno srozumitelný, přístupný a uživatelsky vstřícný mechanismus na odmítnutí zpracování. Kromě toho je nezbytné poskytnout fyzickým osobám dostatečné a úplné informace o jejich právu odmítnout zpracování údajů, včetně informací o výhodách a nevýhodách spojených s uplatněním tohoto práva. Od fyzických osob by se nemělo vyžadovat, aby uváděly důvody pro odmítnutí, a měly by mít možnost svou volbu kdykoli přehodnotit. Pro určité účely se silnou vazbou na veřejný zájem, jako jsou činnosti na ochranu před vážnými přeshraničními zdravotními hrozbami nebo vědecký výzkum z důležitých důvodů veřejného zájmu, je však vhodné stanovit, že členské státy mají s ohledem na svou vnitrostátní situaci možnost zavést mechanismy pro poskytnutí přístupu k osobním elektronickým zdravotním údajům fyzických osob, které využily svého práva odmítnout zpracování svých údajů, s cílem zajistit, aby v těchto situacích mohly být zpřístupněny úplné datové soubory. Tyto mechanismy by měly splňovat požadavky stanovené pro sekundární využití podle tohoto nařízení. Vědecký výzkum z důležitých důvodů veřejného zájmu by mohl zahrnovat například výzkum zaměřený na neuspokojené léčebné potřeby, a to i v případě vzácných onemocnění, nebo na vznikající zdravotní hrozby. Pravidla pro uplatnění možnosti překonat odmítnutí by měla respektovat podstatu základních práv a svobod a být nezbytným a přiměřeným opatřením v demokratické společnosti, které slouží k naplnění veřejného zájmu ve vztahu k legitimním vědeckým a společenským cílům. Tato možnost překonat odmítnutí by měla být k dispozici pouze uživatelům zdravotních údajů, kteří jsou subjekty veřejného sektoru nebo příslušnými orgány, institucemi nebo jinými subjekty Unie, jimž byly svěřeny úkoly v oblasti veřejného zdraví, nebo jiným subjektem pověřeným plněním veřejných úkolů v oblasti veřejného zdraví nebo jednajícím jménem orgánu veřejné moci nebo jím pověřeným, a to výlučně pokud dotčené údaje nelze včas a účinným způsobem získat pomocí jiných prostředků. Tito uživatelé zdravotních údajů by měli odůvodnit, proč je překonání odmítnutí pro danou individuální žádost o přístup ke zdravotním údajům nebo žádost o zdravotní údaje nezbytné. Je-li takové překonání odmítnutí uplatněno, měli by uživatelé zdravotních údajů nadále uplatňovat záruky podle kapitoly IV, zejména zákaz opětovné identifikace dotčených fyzických osob nebo pokusů o jejich opětovnou identifikaci.

(55)

V souvislosti s EHDS již elektronické zdravotní údaje existují a jsou shromažďovány mimo jiné poskytovateli zdravotní péče, profesními sdruženími, veřejnými institucemi, regulačními orgány, výzkumnými pracovníky a pojistiteli při jejich činnosti. Tyto údaje by měly být rovněž zpřístupněny pro sekundární využití, tedy pro zpracování k jiným účelům, než pro jaké byly shromážděny nebo vytvořeny, avšak velká část těchto údajů pro zpracování k takovým účelům zpřístupněna není. To omezuje možnosti výzkumných pracovníků, inovátorů, tvůrců politik, regulačních orgánů a lékařů využívat tyto údaje k různým účelům, včetně výzkumu, inovací, tvorby politik, regulačních účelů, bezpečnosti pacientů nebo personalizované medicíny. Aby byly plně využity výhody sekundárního využití, měli by k tomuto úsilí přispět všichni držitelé zdravotních údajů tím, že zpřístupní pro sekundární využití různé kategorie elektronických zdravotních údajů, které uchovávají, za předpokladu, že toto úsilí bude vždy vynakládáno prostřednictvím účinných a bezpečných postupů a s náležitým ohledem na profesní povinnosti, například povinnost zachovávat důvěrnost.

(56)

Kategorie elektronických zdravotních údajů, které lze zpracovávat pro sekundární využití, by měly být dostatečně široké a pružné, aby vyhovovaly vyvíjejícím se potřebám uživatelů zdravotních údajů, přičemž by měly nadále být omezeny na údaje týkající se zdraví nebo údaje, o nichž je známo, že ovlivňují zdraví. Mohou rovněž zahrnovat relevantní údaje ze systému zdravotní péče, například elektronické zdravotní záznamy, údaje o vznesených nárocích, údaje týkající se zdravotního pojištění, údaje týkající se výdejů léčivých přípravků, údaje z registrů nemocí nebo genomické údaje, jakož i údaje s vlivem na zdraví, například údaje o spotřebě různých látek, socioekonomickém statusu nebo chování a údaje o environmentálních faktorech, jako je znečištění, záření nebo používání určitých chemických látek. Kategorie elektronických zdravotních údajů pro sekundární využití zahrnují některé kategorie údajů, které byly původně shromažďovány pro jiné účely, jak je výzkum, statistika, bezpečnost pacientů, regulační činnosti nebo tvorba politik, například registry tvorby politik nebo registry týkající se vedlejších účinků léčivých přípravků nebo zdravotnických prostředků. V některých oblastech jsou například k dispozici evropské databáze, které usnadňují použití nebo opakované použití údajů v určitých oblastech, například u rakoviny (Evropský systém informací o rakovině) nebo vzácných onemocnění (například Evropská platforma pro registraci vzácných onemocnění a registry evropských referenčních sítí (ERN)). Kategorie elektronických zdravotních údajů, které mohou být zpracovávány pro sekundární využití, by měly rovněž zahrnovat automaticky generované údaje ze zdravotnických prostředků a údaje generované osobami, jako jsou údaje z aplikací v oblasti zdravého životního stylu. Údaje o klinických hodnoceních a klinických zkouškách by měly rovněž být zahrnuty do kategorie elektronických zdravotních údajů pro sekundární využití poté, co se dotčené hodnocení nebo zkouška ukončí, aniž by tím bylo dotčeno jakékoli dobrovolné sdílení údajů zadavateli probíhajících hodnocení a zkoušek. Elektronické zdravotní údaje pro sekundární využití by měly být zpřístupněny pokud možno ve strukturovaném elektronickém formátu, který usnadňuje jejich zpracování počítačovými systémy. Příklady strukturovaných elektronických formátů zahrnují záznamy v relační databázi, dokumenty XML nebo soubory CSV a volný text, zvukové nahrávky, videa a snímky poskytované jako počítačově čitelné soubory.

(57)

Uživatelé zdravotních údajů, kteří využívají přístup k datovým souborům poskytovaným podle tohoto nařízení, by mohli tyto datové soubory obohatit různými opravami, vysvětlivkami a dalšími vylepšeními, například doplněním chybějících nebo neúplných údajů, čímž by se zlepšila přesnost, úplnost nebo kvalita dat v datových souborech. Uživatelé zdravotních údajů by měli být vybízeni k tomu, aby subjektům pro přístup ke zdravotním údajům hlásili kritické chyby v datových souborech. Aby se podpořilo vylepšení původní databáze a další využívání obohaceného datového souboru, měly by mít členské státy možnost stanovit pravidla pro zpracování a použití elektronických zdravotních údajů obsahujících zlepšení vztahující se ke zpracování těchto údajů. Zdokonalený datový soubor by měl být bezplatně zpřístupněn původnímu držiteli zdravotních údajů spolu s popisem zlepšení. Držitel zdravotních údajů by měl nový datový soubor zpřístupnit, pokud subjektu pro přístup ke zdravotním údajům neposkytne odůvodněné oznámení, proč tak neučinil, například v případech, kdy je obohacení uživatelem zdravotních údajů nízké kvality. Mělo by být zajištěno, aby neosobní zdravotní elektronické údaje byly k dispozici pro sekundární využití. Významnou hodnotu pro lidské zdraví mají zejména genomické údaje o patogenech, jak se projevilo během pandemie COVID-19, během níž se ukázalo, že včasný přístup k těmto údajům a jejich sdílení mají zásadní význam pro rychlý rozvoj detekčních nástrojů, lékařských protiopatření a reakcí na hrozby pro veřejné zdraví. Největšího přínosu z úsilí v oblasti genomiky patogenů bude dosaženo v případě, že postupy v oblasti veřejného zdraví a výzkumu budou sdílet datové soubory a spolupracovat, aby se tak vzájemně informovaly a vylepšovaly.

(58)

V zájmu zvýšení účinnosti sekundárního využití osobních elektronických zdravotních údajů a plného využití možností, které toto nařízení nabízí, by měla být umožněna dostupnost elektronických zdravotních údajů v EHDS popsaná v kapitole IV tak, aby tyto údaje byly co nejvíce přístupné, vysoce kvalitní, připravené a vhodné pro účely vytváření vědecké, inovativní a společenské hodnoty a kvality. V rámci práce na zavádění EHDS a dalších zlepšeních datových souborů by měly být prioritou ty datové soubory, které jsou pro vytváření této hodnoty a kvality nejvhodnější.

(59)

Veřejné nebo soukromé subjekty často dostávají veřejné finanční prostředky z vnitrostátních nebo unijních finančních fondů na shromažďování a zpracování elektronických zdravotních údajů pro výzkum, oficiální nebo neoficiální statistiky nebo pro jiné podobné účely, a to i v oblastech, kde je shromažďování takových údajů roztříštěné nebo obtížné, například ve vztahu k vzácným onemocněním či rakovině. Tyto údaje, které držitelé zdravotních údajů shromažďují a zpracovávají s finanční podporou z unijních nebo vnitrostátních veřejných zdrojů, by měly být zpřístupněny subjektům pro přístup ke zdravotním údajům, aby se maximalizoval dopad veřejných investic a podpořil výzkum, inovace, bezpečnost pacientů či tvorba politik ve prospěch společnosti. V některých členských státech hrají ve zdravotnictví klíčovou úlohu soukromé subjekty, včetně soukromých poskytovatelů zdravotní péče a profesních sdružení. Zdravotní údaje uchovávané těmito poskytovateli by měly být rovněž zpřístupněny pro sekundární využití. Držiteli zdravotních údajů v souvislosti se sekundárním využitím by proto měly být subjekty, které jsou poskytovateli zdravotní péče nebo péče nebo provádějí výzkum týkající se oblasti zdravotní péče nebo pečovatelství nebo vyvíjejí produkty nebo služby určené pro tyto oblasti. Tyto subjekty mohou být veřejné, neziskové nebo soukromé. V souladu s touto definicí by za držitele zdravotních údajů měly být považovány pečovatelské domy, střediska denní péče, subjekty poskytující služby osobám se zdravotním postižením, subjekty vyvíjející obchodní a technologické činnosti související s péčí, jako jsou ortopedie, a společnosti poskytující pečovatelské služby. Držiteli zdravotních údajů by měly být rovněž právnické osoby, které vyvíjejí aplikace v oblasti zdravého životního stylu. Za držitele zdravotních údajů by měly být považovány i orgány, instituce nebo jiné subjekty Unie, které zpracovávají uvedené kategorie zdravotních údajů a údajů o zdravotní péči, jakož i rejstříky úmrtnosti. Aby se zabránilo nepřiměřené zátěži, měly by být fyzické osoby a mikropodniky od povinností držitelů zdravotních údajů v obecné rovině osvobozeny. Členské státy by však měly mít možnost rozšířit povinnosti držitelů zdravotních údajů na fyzické osoby a mikropodniky ve svých vnitrostátních právních předpisech. V zájmu snížení administrativní zátěže a s ohledem na zásady účinnosti a účelnosti by členské státy měly mít možnost ve svých vnitrostátních právních předpisech požadovat, aby subjekty pro zprostředkování zdravotních údajů plnily povinnosti určitých kategorií držitelů zdravotních údajů. Tyto subjekty pro zprostředkování zdravotních údajů by měly být právnickými osobami schopnými zpracovávat, zpřístupňovat, zaznamenávat a poskytovat, omezovat přístup k elektronickým zdravotním údajům poskytovaným držiteli zdravotních údajů a vyměňovat si tato data pro sekundární využití. Tyto subjekty pro zprostředkování zdravotních údajů plní úkoly, které se liší od úkolů služeb zprostředkování dat uvedených v nařízení (EU) 2022/868.

(60)

Elektronické zdravotní údaje chráněné právy duševního vlastnictví nebo obchodním tajemstvím, včetně údajů o klinických hodnoceních, zkouškách a studiích, mohou být velmi užitečné pro sekundární využití a mohou podpořit inovace v Unii ve prospěch pacientů v Unii. Aby se podpořilo trvalé vedoucí postavení Unie v této oblasti, je důležité podporovat sdílení údajů o klinických hodnoceních a klinických zkouškách prostřednictvím EHDS pro sekundární využití. Údaje o klinických hodnoceních a klinických zkouškách by měly být v maximální možné míře zpřístupněny a zároveň by měla být přijata veškerá nezbytná opatření na ochranu práv duševního vlastnictví a obchodního tajemství. Toto nařízení by nemělo být využíváno k omezení nebo obcházení takové ochrany a mělo by být v souladu s příslušnými ustanoveními o transparentnosti stanovenými v právních předpisech Unie, a to i pokud jde o údaje z klinických hodnocení a z klinických zkoušek. Subjekty pro přístup ke zdravotním údajům by měly posoudit, jak tuto ochranu zachovat a zároveň uživatelům zdravotních údajů v co největší míře umožnit přístup k takovým údajům. Pokud subjekt pro přístup ke zdravotním údajům není schopen přístup k takovým údajům poskytnout, měl by informovat uživatele zdravotních údajů a vysvětlit, proč takový přístup není možné poskytnout. Právní, organizační a technická opatření na ochranu práv duševního vlastnictví nebo obchodního tajemství by mohla zahrnovat společná smluvní ujednání o přístupu k elektronickým zdravotním údajům, zvláštní povinnosti týkající se těchto práv v rámci povolení k údajům, předběžné zpracování údajů za účelem vytvoření odvozených údajů, které chrání obchodní tajemství, ale jsou stále užitečné pro uživatele zdravotních údajů nebo konfiguraci bezpečného zpracovatelského prostředí, aby tyto údaje nebyly uživateli zdravotních údajů přístupné.

(61)

Sekundární využití zdravotních údajů v rámci EHDS by mělo veřejným, soukromým a neziskovým subjektům, jakož i jednotlivým výzkumným pracovníkům umožnit přístup ke zdravotním údajům za účelem výzkumu, inovací, tvorby politik, vzdělávacích činností, bezpečnosti pacientů, regulační činnosti nebo personalizované medicíny v souladu s účely stanovenými v tomto nařízení. Přístup k údajům pro sekundární využití by měl přispívat k obecnému zájmu společnosti. Zejména by sekundární využití zdravotních údajů pro účely výzkumu a vývoje mělo přispět k přínosu pro společnost v podobě nových léčivých přípravků, zdravotnických prostředků a zdravotnických výrobků a služeb za dostupné a spravedlivé ceny pro občany Unie, jakož i ke zlepšení přístupu k těmto výrobkům a službám a jejich dostupnosti ve všech členských státech. Mezi činnosti, ve vztahu k nimž existuje v souvislosti s tímto nařízením oprávněný přístup, by mohlo patřit používání elektronických zdravotních údajů pro úkoly prováděné subjekty veřejného sektoru, například výkon veřejných povinností, včetně dohledu nad veřejným zdravím, povinností v oblasti plánování a podávání zpráv, tvorby zdravotní politiky a zajištění bezpečnosti pacientů, kvality péče a udržitelnosti systémů zdravotní péče. Subjekty veřejného sektoru a orgány, instituce a jiné subjekty Unie by mohly potřebovat pravidelný přístup k elektronickým zdravotním údajům po prodlouženou dobu, a to i za účelem plnění svého mandátu, který je stanoven tímto nařízením. Subjekty veřejného sektoru by mohly tyto výzkumné činnosti provádět s využitím třetích stran, včetně subdodavatelů, pokud orgán veřejného sektoru bude nad těmito činnostmi dohlížet. Poskytování údajů by mělo rovněž podporovat činnosti související s vědeckým výzkumem. Pojem „účely vědeckého výzkumu“ by měl být vykládán v širokém smyslu a zahrnovat technologický rozvoj a demonstrace, základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů. Činnosti související s vědeckým výzkumem zahrnují inovační činnosti, jako je trénování algoritmů AI, které by mohly být použity ve zdravotní péči nebo péči o fyzické osoby, jakož i hodnocení a další vývoj stávajících algoritmů a produktů pro tyto účely. Je nezbytné, aby EHDS rovněž přispíval k základnímu výzkumu; a ačkoli jeho přínosy pro koncové uživatele a pacienty mohou být méně přímé, má tento základní výzkum v dlouhodobém horizontu zásadní význam pro dosažení společenských přínosů. V určitých případech by informace o některých fyzických osobách, například genomické informace o fyzických osobách s určitým onemocněním, mohly podpořit diagnostiku nebo léčbu jiných fyzických osob. Je třeba, aby subjekty veřejného sektoru šly nad rámec oblasti působnosti kapitoly V nařízení (EU) 2023/2854 týkající se „výjimečných potřeb“. Subjekty pro přístup ke zdravotním údajům by však měly být oprávněny poskytovat podporu subjektům veřejného sektoru při zpracování nebo propojování údajů. Toto nařízení umožňuje subjektům veřejného sektoru získat přístup k informacím, které potřebují k plnění úkolů, jež jim ukládá právo, avšak nerozšiřuje mandát těchto subjektů veřejného sektoru.

(62)

Veškeré pokusy využít elektronické zdravotní údaje pro přijetí opatření poškozujících fyzické osoby, například ke zvýšení pojistného, k činnostem, které mohou případně poškodit fyzické osoby v souvislosti se zaměstnáním, důchodem nebo bankovními službami, včetně poskytování hypoték, k propagaci produktů či způsobů léčby, k automatizaci individuálního rozhodování, opětovné identifikaci fyzických osob nebo k vývoji škodlivých produktů, by měly být zakázány. Tento zákaz by se měl vztahovat rovněž na činnosti, které jsou v rozporu s etickými ustanoveními vnitrostátního práva, s výjimkou etických ustanovení týkajících se souhlasu se zpracováním osobních údajů a etických ustanovení týkajících se práva odmítnutí zpracování, neboť toto nařízení má v souladu s obecnou zásadou přednosti práva Unie před vnitrostátním právem přednost. Mělo by být rovněž zakázáno poskytnout přístup k elektronickým zdravotním údajům nebo jinak zpřístupnit tyto údaje třetím stranám, které nejsou uvedeny v povolení k údajům. Totožnost oprávněných osob, zejména totožnost hlavního výzkumného pracovníka, které budou mít podle tohoto nařízení právo na přístup k elektronickým zdravotním údajům v bezpečném zpracovatelském prostředí, by měla být uvedena v povolení k údajům. Hlavní výzkumní pracovníci jsou hlavní osoby odpovědné za žádost o přístup k elektronickým zdravotním údajům a za zpracování požadovaných údajů v bezpečném zpracovatelském prostředí jménem uživatele zdravotních údajů.

(63)

Toto nařízení nezakládá oprávnění k sekundárnímu využití zdravotních údajů pro účely vymáhání práva. Prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkon trestů ze strany příslušných orgánů by neměly patřit k účelům sekundárního využití, na které se vztahuje toto nařízení. Soudy a jiné subjekty justičního systému by proto neměly být považovány za uživatele zdravotních údajů pro sekundární využití zdravotních údajů podle tohoto nařízení. Kromě toho by definice držitelů zdravotních údajů neměla zahrnovat soudy a další subjekty justičního systému, které by proto neměly být adresáty povinností držitelů zdravotních údajů podle tohoto nařízení. Pravomoci příslušných orgánů pro prevenci, vyšetřování, odhalování a stíhání trestných činů stanovených zákonem, jež se týkají získání elektronických zdravotních údajů, nejsou tímto nařízením dotčeny. Stejně tak do oblasti působnosti tohoto nařízení nespadají elektronické zdravotní údaje, s nimiž nakládají soudy pro účely soudních řízení.

(64)

Zřízení jednoho nebo více subjektů pro přístup ke zdravotním údajům, jež podporují přístup k elektronickým zdravotním údajům v členských státech, je zásadním prvkem podpory sekundárního využití údajů týkajících se zdraví. Členské státy by proto měly zřídit jeden nebo více subjektů pro přístup ke zdravotním údajům s cílem zohlednit mimo jiné jejich konstituční, organizační a správní strukturu. Avšak v případě, že existuje více než jeden subjekt pro přístup ke zdravotním údajům, by měl být jeden z těchto subjektů určen jako koordinátor. Pokud některý členský stát zřídí několik subjektů pro přístup k zdravotním údajům, měl by na vnitrostátní úrovni stanovit pravidla pro zajištění koordinované účasti těchto subjektů v Radě pro evropský prostor pro zdravotní údaje (dále jen „rada pro EHDS“). Tento členský stát by měl zejména určit jeden subjekt pro přístup ke zdravotním údajům, který bude fungovat jako jednotné kontaktní místo pro účinnou účast těchto orgánů a zajistí rychlou a bezproblémovou spolupráci s dalšími subjekty pro přístup ke zdravotním údajům, Radou pro EHDS a Komisí. Subjekty pro přístup ke zdravotním údajům se mohou lišit, pokud jde o organizaci a velikost, a zahrnovat jak specializovanou plnohodnotnou organizaci, tak i jednotku nebo oddělení ve stávající organizaci. Subjekty pro přístup ke zdravotním údajům by neměly být při rozhodování o přístupu k elektronickým údajům pro sekundární využití nijak ovlivňovány a měly by se vyhýbat jakémukoli střetu zájmů. Členové správních a rozhodovacích orgánů každého subjektu pro přístup ke zdravotním údajům a jeho zaměstnanci by se měli zdržet jakéhokoli jednání, které je neslučitelné s jejich povinnostmi, a neměli by vykonávat žádné povolání neslučitelné s jejich funkcí. Nezávislost subjektů pro přístup ke zdravotním údajům by však neměla znamenat, že nemohou být podrobeny kontrolním nebo monitorovacím mechanismům, pokud jde o jejich finanční výdaje, či soudnímu přezkumu. Každému subjektu pro přístup ke zdravotním údajům by měly být poskytnuty finanční, technické a lidské zdroje, prostory a infrastruktura nezbytné pro účinné plnění jeho úkolů, včetně úkolů souvisejících se spoluprací s jinými subjekty pro přístup ke zdravotním údajům v celé Unii. Členové správních a rozhodovacích orgánů subjektů pro přístup ke zdravotním údajům a jejich zaměstnanci by měli mít nezbytnou kvalifikaci, zkušenosti a dovednosti. Každý subjekt pro přístup ke zdravotním údajům by měl mít samostatný veřejný roční rozpočet, který by mohl být součástí celkového zemského nebo státního rozpočtu. S cílem umožnit lepší přístup ke zdravotním údajům a doplnit čl. 7 odst. 2 nařízení (EU) 2022/868 by členské státy měly subjektům pro přístup ke zdravotním údajům svěřit pravomoc přijímat rozhodnutí o přístupu ke zdravotním údajům a jejich sekundárním využití. Mohlo by se tak učinit přidělením nových úkolů pro příslušné subjekty určené členskými státy podle čl. 7 odst. 1 nařízení (EU) 2022/868 nebo jmenováním stávajících nebo nových odvětvových subjektů, které budou za tyto úkoly odpovědné v souvislosti s přístupem ke zdravotním údajům.

(65)

Subjekty pro přístup ke zdravotním údajům by měly sledovat uplatňování kapitoly IV tohoto nařízení a přispívat k jejímu jednotnému uplatňování v celé Unii. Za tímto účelem by subjekty pro přístup ke zdravotním údajům měly spolupracovat mezi sebou a s Komisí. Subjekty pro přístup ke zdravotním údajům by rovněž měly spolupracovat se zúčastněnými stranami, včetně organizací pacientů. Subjekty pro přístup ke zdravotním údajům by měly podporovat držitele zdravotních údajů, kteří jsou malými podniky v souladu s doporučením Komise 2003/361/ES (18), zejména lékaře a lékárny. Jelikož sekundární využití zdravotních údajů zahrnuje zpracovávání osobních údajů o zdravotním stavu, použijí se příslušná ustanovení nařízení (EU) 2016/679 a (EU) 2018/1725, přičemž jedinými orgány příslušnými k prosazování těchto ustanovení by měly být i nadále dozorové orgány podle uvedených nařízení. Subjekty pro přístup ke zdravotním údajům by měly informovat orgány pro ochranu údajů o veškerých uložených sankcích a veškerých potenciálních problémech souvisejících se zpracováním údajů pro sekundární využití, a vyměňovat si veškeré relevantní informace, které mají k dispozici, aby tak zajistily prosazování příslušných pravidel. Kromě úkolů nezbytných k zajištění účinného sekundárního využití zdravotních údajů by měl subjekt pro přístup ke zdravotním údajům usilovat o rozšíření dostupnosti dalších souborů zdravotních údajů a prosazovat rozvoj společných norem. Měl by používat vyzkoušené a nejmodernější techniky, které zajistí zpracování elektronických zdravotních údajů způsobem, který ochrání soukromý charakter informací obsažených v údajích, u nichž je povoleno sekundární využití, včetně technik pseudonymizace, anonymizace, generalizace, omezení přístupnosti a randomizace osobních údajů. Subjekty pro přístup ke zdravotním údajům mohou připravovat datové soubory pro uživatele zdravotních údajů, jak vyžaduje vydané povolení k údajům. V tomto ohledu by subjekty pro přístup ke zdravotním údajům měly v rámci přeshraniční spolupráce rozvíjet a vyměňovat si osvědčené postupy a techniky. Patří sem pravidla pro pseudonymizaci a anonymizaci souborů mikrodat. V příslušných případech by Komise měla stanovit postupy a požadavky pro jednotný postup pseudonymizace a anonymizace elektronických zdravotních údajů a poskytnout v této věci technické nástroje.

(66)

Subjekty pro přístup ke zdravotním údajům by měly zajistit, aby sekundární využití bylo transparentní, a to pomocí poskytování veřejných informací o udělených povoleních k údajům a jejich odůvodněních, opatřeních přijatých na ochranu práv fyzických osob, způsobu, jakým mohou fyzické osoby uplatňovat svá práva v souvislosti se sekundárním využitím, a o výsledcích sekundárního využití, včetně odkazů na vědecké publikace. Tyto informace o výsledcích sekundárního využití by měly ve vhodných případech zahrnovat i shrnutí pro laiky, které by měl poskytnout uživatel zdravotních údajů. Tyto požadavky týkající se transparentnosti doplňují povinnosti stanovené v článku 14 nařízení (EU) 2016/679. Je možné použít výjimky stanovené v čl. 14 odst. 5 uvedeného nařízení. Pokud se takovéto výjimky uplatňují, měly by povinnosti týkající se transparentnosti stanovené v tomto nařízení přispět k zajištění korektního a transparentního zpracování podle čl. 14 odst. 2 nařízení (EU) 2016/679, například poskytováním informací o účelu zpracování a o zpracovávaných kategoriích údajů, díky čemuž se mohou fyzické osoby dozvědět, zda jsou jejich údaje zpřístupňovány pro sekundární využití v souladu s povoleními k údajům.

(67)

Držitelé zdravotních údajů by měli fyzické osoby informovat o významných zjištěních týkajících se jejich zdraví, která učinili uživatelé zdravotních údajů. Fyzické osoby by měly mít právo požádat, aby o těchto zjištěních nebyly informovány. Členské státy by mohly stanovit opatření pro poskytování těchto informací držiteli zdravotních údajů dotčeným fyzickým osobám a pro výkon práva nebýt informován. V souladu s čl. 23 odst. 1 písm. i) nařízení (EU) 2016/679 by členské státy měly mít možnost omezit rozsah povinnosti informovat fyzické osoby, kdykoli je to nezbytné pro ochranu fyzických osob s ohledem na bezpečnost pacienta a etické důvody, a to tak, že odloží sdělení informací, které se těchto osob týkají, do doby, než zdravotnický pracovník může dotčeným fyzickým osobám sdělit a vysvětlit informace, které mohou mít dopad na jejich zdraví.

(68)

V zájmu podpory transparentnosti by subjekty pro přístup ke zdravotním údajům měly rovněž každé dva roky zveřejňovat zprávy o činnosti, v nichž poskytnou přehled svých činností. Pokud členský stát určil více než jeden subjekt pro přístup ke zdravotním údajům, měl by koordinační subjekt vypracovat a zveřejnit společnou dvouletou zprávu. Zprávy o činnosti by se měly řídit strukturou dohodnutou v Radě pro EHDS a měly by poskytovat přehled činností, včetně informací o rozhodnutích o žádostech, auditech a spolupráci s příslušnými zúčastněnými stranami. Mezi tyto zúčastněné strany mohou patřit zástupci fyzických osob, organizací pacientů, zdravotnických pracovníků, výzkumných pracovníků a etických výborů.

(69)

S cílem podpořit sekundární využití by držitelé zdravotních údajů měli upustit od zadržování údajů, požadování nedůvodných poplatků, které nejsou transparentní ani přiměřené nákladům na zpřístupnění údajů, nebo v příslušných případech mezním nákladům na shromažďování údajů, od požadavků, aby uživatelé údajů společně zveřejnili výzkum, nebo od jiných postupů, které by mohly uživatele zdravotních údajů odradit od toho, aby o údaje žádali. Pokud je držitel zdravotních údajů subjektem veřejného sektoru, neměla by část poplatků spojených s jeho náklady pokrývat náklady na prvotní sběr údajů. Je-li pro povolení k údajům nezbytný etický souhlas, mělo by hodnocení související s etickým souhlasem vycházet z jeho povahy.

(70)

Subjektům pro přístup ke zdravotním údajům by mělo být v souvislosti s jejich úkoly umožněno účtovat poplatky, a to s ohledem na horizontální pravidla stanovená v nařízení (EU) 2022/868. Tyto poplatky mohou zohledňovat situaci a zájmy malých a středních podniků, jednotlivých výzkumných pracovníků nebo subjektů veřejného sektoru. Členské státy by zejména měly mít možnost stanovit opatření pro subjekty pro přístup ke zdravotním údajům v jejich jurisdikci, které umožní, aby byly určitým kategoriím uživatelů zdravotních údajů účtovány snížené poplatky. Subjekty pro přístup ke zdravotním údajům by měly mít možnost pokrýt náklady na svou činnost pomocí poplatků stanovených přiměřeným, odůvodněným a transparentním způsobem. To by mohlo vést k vyšším poplatkům pro některé uživatele zdravotních údajů, pokud vyřízení jejich žádostí o přístup ke zdravotním údajům a žádostí o zdravotní údaje vyžaduje více práce. Držitelé zdravotních údajů by měli mít rovněž možnost požadovat poplatky za zpřístupnění údajů, které by odrážely jejich náklady. Subjekty pro přístup ke zdravotním údajům by měly rozhodnout o výši těchto poplatků, které mohou zahrnovat rovněž poplatky požadované držiteli zdravotních údajů. Subjekt pro přístup ke zdravotním údajům by měl tyto poplatky účtovat uživateli zdravotních údajů v jediné faktuře. Subjekt pro přístup ke zdravotním údajům by poté měl příslušnou část zaplacených poplatků předat držiteli zdravotních údajů. V zájmu zajištění harmonizovaného přístupu k politikám a struktuře poplatků by měly být Komisi svěřeny prováděcí pravomoci. Na poplatky účtované podle tohoto nařízení by se měl vztahovat článek 10 nařízení (EU) 2023/2854.

(71)

S cílem posílit prosazování pravidel týkajících se sekundárního využití by měla být navržena vhodná opatření, která mohou vést ke správním pokutám nebo donucovacím opatřením ze strany subjektů pro přístup ke zdravotním údajům nebo k dočasným či konečným vyloučením uživatelů zdravotních údajů nebo držitelů zdravotních údajů, kteří neplní své povinnosti, z rámce EHDS. Subjekty pro přístup ke zdravotním údajům by měly být oprávněny ověřovat soulad s předpisy uživatelů a držitelů zdravotních údajů a poskytnout jim možnost reagovat na veškerá zjištění a napravit jakékoli porušení. Při rozhodování o výši správní pokuty nebo donucovacím opatření pro každý jednotlivý případ by měly subjekty pro přístup ke zdravotním údajům zohlednit rozpětí nákladů a kritéria stanovená v tomto nařízení, aby se zajistilo, že opatření nebo pokuty budou přiměřené.

(72)

Vzhledem k citlivosti elektronických zdravotních údajů je nezbytné snížit rizika pro ochranu soukromí fyzických osob, a to uplatněním zásady minimalizace údajů. Proto by neosobní elektronické zdravotní údaje měly být zpřístupněny ve všech případech, kdy je poskytnutí těchto údajů dostačující. Pokud uživatel zdravotních údajů potřebuje využít osobní elektronické zdravotní údaje, měl by ve své žádosti jasně odůvodnit použití daného typu údajů a subjekt pro přístup ke zdravotním údajům by měl rozhodnout, zda je toto odůvodnění opodstatněné. Osobní elektronické zdravotní údaje by měly být zpřístupňovány pouze v pseudonymizovaném formátu. S ohledem na konkrétní účely zpracování by osobní elektronické zdravotní údaje měly být v procesu zpřístupňování údajů pro sekundární využití pseudonymizovány nebo anonymizovány co nejdříve. Mělo by být možné, aby pseudonymizaci a anonymizaci prováděly subjekty pro přístup ke zdravotním údajům nebo držitelé zdravotních údajů. Jako správci mohou subjekty pro přístup ke zdravotním údajům a držitelé zdravotních údajů přenést tyto úkoly na zpracovatele. Při poskytování přístupu k pseudonymizovanému nebo anonymizovanému datovému souboru by měl subjekt pro přístup ke zdravotním údajům využívat špičkové technologie a normy pseudonymizace nebo anonymizace, které v nejvyšší možné míře zajistí, aby fyzické osoby nemohly být uživateli zdravotních údajů znovu identifikovány. Tato technologie a normy pro pseudonymizaci nebo anonymizaci údajů by měly být dále rozvíjeny. Uživatelé zdravotních údajů by se neměli pokoušet opětovně identifikovat fyzické osoby z datového souboru poskytnutého podle tohoto nařízení, a pokud tak učiní, měly by podléhat správním pokutám a donucovacím opatřením stanoveným v tomto nařízení nebo možným trestním sankcím, pokud tak vnitrostátní právní předpisy stanoví. Žadatel o zdravotní údaje by kromě toho měl mít možnost požádat o to, aby byla odpověď na žádost o zdravotní údaje poskytnuta v anonymizovaném statistickém formátu. V takových případech bude uživatel zdravotních údajů zpracovávat pouze neosobní údaje a subjekt pro přístup ke zdravotním údajům zůstane jediným správcem veškerých osobních údajů, které jsou nezbytné k poskytnutí odpovědi na žádost o zdravotní údaje.

(73)

Aby se zajistilo, aby všechny subjekty pro přístup ke zdravotním údajům vydávaly povolení podobným způsobem, je nezbytné zavést standardní společný postup pro vydávání povolení k údajům, se stejnými požadavky v různých členských státech. Žadatel o zdravotní údaje by měl subjektům pro přístup ke zdravotním údajům poskytnout několik informací, které subjektu pomohou žádost o přístup ke zdravotním údajům posoudit a rozhodnout, zda žadatel o zdravotní údaje může obdržet povolení k údajům, a měl by být zajištěn ucelený přístup mezi různými subjekty pro přístup ke zdravotním údajům. Informace poskytované v žádosti o přístup ke zdravotním údajům by měly splňovat požadavky stanovené tímto nařízením, aby ji bylo možné důkladně posoudit, neboť povolení k údajům by mělo být vydáno pouze tehdy, jsou-li splněny všechny nezbytné podmínky stanovené v tomto nařízení. Kromě toho by měla žádost v relevantních případech zahrnovat prohlášení žadatele o zdravotní údaje o tom, že zamýšlené použití požadovaných zdravotních údajů nezakládá riziko stigmatizace nebo újmy důstojnosti fyzických osob nebo skupin, jichž se požadovaný datový soubor týká. Na základě vnitrostátních právních předpisů by mohlo být požadováno etické posouzení. V takovém případě by stávající orgány pro etiku měly mít možnost tato posouzení pro subjekt pro přístup ke zdravotním údajům provádět. Stávající orgány pro etiku v členských státech by za tímto účelem měly subjektu pro přístup ke zdravotním údajům poskytnout svou odbornost. Členské státy mohou eventuálně stanovit, že orgány pro etiku budou součástí subjektu pro přístup ke zdravotním údajům. Při výběru vhodných datových souborů nebo zdrojů údajů pro určený účel sekundárního využití by měl uživatelům zdravotních údajů pomáhat subjekt pro přístup ke zdravotním údajům a případně držitelé zdravotních údajů. Pokud žadatel o zdravotní údaje potřebuje údaje v anonymizovaném statistickém formátu, měl by předložit žádost o zdravotní údaje, v níž bude požadovat, aby subjekt pro přístup ke zdravotním údajům poskytl výsledek přímo. Zamítnutí povolení k údajům ze strany subjektu pro přístup ke zdravotním údajům by nemělo žadateli o zdravotní údaje bránit v předložení nové žádosti o přístup ke zdravotním údajům. V zájmu zajištění harmonizovaného přístupu mezi subjekty pro přístup ke zdravotním údajům a omezení administrativní zátěže pro žadatele o zdravotní údaje by Komise měla podporovat harmonizaci žádostí o přístup ke zdravotním údajům, jakož i žádostí o zdravotní údaje, a to i stanovením příslušných vzorů prostřednictvím prováděcích aktů. V odůvodněných případech, například v případě složité a zatěžující žádosti, by měl mít subjekt pro přístup ke zdravotním údajům, možnost prodloužit držiteli zdravotních údajů lhůtu pro zpřístupnění požadovaných elektronických zdravotních údajů.

(74)

Vzhledem k tomu, že zdroje subjektů pro přístup ke zdravotním datům jsou omezené, měly by mít tyto subjekty možnost uplatňovat pravidla určování priorit, například upřednostňovat veřejné instituce před soukromými subjekty, neměly by však v rámci stejné kategorie priorit činit žádné rozdíly mezi vnitrostátními organizacemi a organizacemi z jiných členských států. Uživatel zdravotních údajů by měl mít možnost prodloužit dobu platnosti povolení k údajům, aby například umožnil přístup k datovým souborům osobám, které provádějí přezkum vědeckých publikací, nebo aby umožnil další analýzu datového souboru na základě prvotních zjištění. To by mělo vyžadovat změnu povolení k údajům a mohlo by to být předmětem dodatečného poplatku. Ve všech případech by však povolení k údajům mělo odrážet tato dodatečná použití datového souboru. Uživatel zdravotních údajů by je měl pokud možno uvést ve své původní žádosti o přístup ke zdravotním údajům. Aby byl zajištěn harmonizovaný přístup mezi subjekty pro přístup ke zdravotním údajům, měla by Komise podporovat harmonizaci povolení k údajům.

(75)

Jak ukázala krize COVID-19, orgány, instituce a jiné subjekty Unie, se zákonným mandátem v oblasti veřejného zdraví, zejména Komise, potřebují přístup ke zdravotním údajům po delší dobu a opakovaně. Může tomu tak být nejen za zvláštních okolností stanovených právem Unie nebo vnitrostátním právem v dobách krize, ale také za účelem pravidelného poskytování faktických vědeckých poznatků a technické podpory pro politiky Unie. Přístup k těmto údajům může být vyžadován v konkrétních členských státech nebo na celém území Unie. Tyto orgány, instituce a jiné subjekty Unie by měly mít možnost využít zrychleného postupu pro zpřístupnění údajů, obvykle za méně než dva měsíce, s možností prodloužení lhůty o jeden měsíc ve složitějších případech.

(76)

Členské státy by měly mít možnost určit důvěryhodné držitele zdravotních údajů, u nichž lze postup udělování povolení k údajům provádět zjednodušeným způsobem, aby se snížila administrativní zátěž subjektů pro přístup ke zdravotním údajům při vyřizování žádostí o údaje, které zpracovávají. Důvěryhodní držitelé zdravotních údajů by měli mít možnost posuzovat žádosti o přístup ke zdravotním údajům předložené v rámci tohoto zjednodušeného postupu na základě svých odborných znalosti při nakládání s daným typem zdravotních údajů, které zpracovávají, a vydávat ohledně povolení k údajům doporučení. Odpovědným za vydání konečného povolení k údajům by měl zůstat subjekt pro přístup ke zdravotním údajům, který by neměl být doporučením důvěryhodného držitele zdravotních údajů vázán. Subjekty pro zprostředkování zdravotních údajů by neměly být označeny za důvěryhodné držitele zdravotních údajů.

(77)

Vzhledem k citlivosti elektronických zdravotních údajů by uživatelé zdravotních údajů neměli mít k těmto údajům neomezený přístup. Veškerý přístup k požadovaným elektronickým zdravotním údajům za účelem sekundárního využití by měl být zajištěn prostřednictvím bezpečného zpracovatelského prostředí. V zájmu zajištění přísných technických a bezpečnostních záruk pro elektronické zdravotní údaje by měl subjekt pro přístup ke zdravotním údajům nebo případně důvěryhodný držitel zdravotních údajů poskytnout přístup k těmto údajům v bezpečném zpracovatelském prostředí v souladu s přísnými technickými a bezpečnostními normami stanovenými podle tohoto nařízení. Zpracování osobních údajů v tomto bezpečném zpracovatelském prostředí by mělo být v souladu s nařízením (EU) 2016/679, včetně požadavků článku 28 tohoto nařízení a případně kapitoly V, pokud je bezpečné zpracovatelské prostředí spravováno třetí stranou. Toto bezpečné zpracovatelské prostředí by mělo snížit rizika pro ochranu soukromí spojená s danými činnostmi zpracování a zabránit tomu, aby elektronické zdravotní údaje byly předávány přímo uživatelům zdravotních údajů. Subjekt pro přístup ke zdravotním údajům nebo držitel zdravotních údajů poskytující tuto službu by měl mít neustále kontrolu nad přístupem k elektronickým zdravotním údajům, přičemž přístup poskytnutý uživatelům zdravotních údajů by měl být určen na základě podmínek vydaného povolení k údajům. Uživatelé zdravotních údajů by měli z takového bezpečného zpracovatelského prostředí stahovat pouze neosobní elektronické zdravotní údaje, které neobsahují žádné osobní elektronické zdravotní údaje. Toto bezpečné zpracovatelské prostředí je tak zásadní zárukou pro zachování práv a svobod fyzických osob v souvislosti se zpracováním jejich elektronických zdravotních údajů pro sekundární využití. Komise by měla být členským státům nápomocna při vytváření společných bezpečnostních norem s cílem podpořit bezpečnost a interoperabilitu různých bezpečných zpracovatelských prostředí.

(78)

Nařízení (EU) 2022/868 stanoví obecná pravidla pro řízení datového altruismu. Vzhledem k tomu, že zdravotnictví spravuje citlivé údaje, měla být prostřednictvím jednotného souboru pravidel uvedeného v uvedeném nařízení stanovena další kritéria. Pokud taková pravidla stanoví použití bezpečného zpracovatelského prostředí pro tuto oblast, mělo by toto bezpečné zpracovatelské prostředí být v souladu s kritérii stanovenými v tomto nařízení. Subjekty pro přístup ke zdravotním údajům by měly spolupracovat s příslušnými orgány určenými podle nařízení (EU) 2022/868 za účelem dohledu nad činností organizací pro datový altruismus v oblasti zdravotnictví nebo pečovatelství.

(79)

Pro zpracování elektronických zdravotních údajů v rámci povolení k údajům nebo žádosti o zdravotní údaje by měli být držitelé zdravotních údajů, včetně důvěryhodných držitelů zdravotních údajů, subjekty pro přístup ke zdravotním údajům a uživatelé zdravotních údajů všichni jednotlivě považováni za správce pro konkrétní část postupu a v souladu se svou úlohou v tomto postupu. Držitelé zdravotních údajů by měli být považováni za správce pro zpřístupňování požadovaných osobních elektronických zdravotních údajů subjektům pro přístup ke zdravotním údajům, zatímco subjekty pro přístup ke zdravotním údajům by měly být považovány za správce pro zpracování osobních elektronických zdravotních údajů při jejich přípravě a zpřístupňování uživateli zdravotních údajů. Uživatel zdravotních údajů by měl být považován za správce pro zpracování osobních elektronických zdravotních údajů v pseudonymizované podobě v bezpečném zpracovatelském prostředí v souladu s jeho povolením k údajům. Subjekty pro přístup ke zdravotním datům by měly být považovány za zpracovatele jménem uživatele zdravotních údajů pro zpracování prováděné uživatelem zdravotních údajů na základě povolení k údajům v bezpečném zpracovatelském prostředí a také pro zpracování za účelem vypracování odpovědi na žádost o zdravotní údaje. Podobně by měli být důvěryhodní držitelé zdravotních údajů považováni za správce pro zpracování osobních elektronických zdravotních údajů spojených s poskytováním elektronických zdravotních údajů uživateli zdravotních údajů na základě povolení k údajům nebo žádosti o zdravotní údaje. Důvěryhodní držitelé zdravotních údajů by měli být považováni za zpracovatele pro uživatele zdravotních údajů při poskytování údajů prostřednictvím bezpečného zpracovatelského prostředí.

(80)

V zájmu dosažení inkluzivního a udržitelného rámce pro sekundární využití v rámci více zemí by měla být zřízena přeshraniční infrastruktura (dále jen „HealthData@EU“). HealthData@EU by měla urychlit sekundární využití a zároveň zvýšit právní jistotu, respektovat ochranu soukromí fyzických osob a být interoperabilní. Vzhledem k citlivosti zdravotních údajů by měly být vždy, když je to možné, dodržovány zásady jako jsou „záměrná ochrana osobních údajů“ a „standardní ochrana osobních údajů“ a koncept „kladení otázek k údajům namísto přesunu údajů“. Členské státy by měly určit národní kontaktní místa pro sekundární využití jako organizační a technické portály pro subjekty pro přístup ke zdravotním údajům a propojit tato kontaktní místa s HealthData@EU. Rovněž služba Unie pro přístup ke zdravotním údajům by měla být propojena s HealthData@EU. Oprávněnými účastníky HealthData@EU by mohly být také výzkumné infrastruktury zřízené jako konsorcium evropské výzkumné infrastruktury (ERIC) podle nařízení Rady (ES) č. 723/2009 (19), jako konsorcium evropské digitální infrastruktury (EDIC) podle rozhodnutí (EU) 2022/2481 nebo podobné struktury zřízené podle jiných právních předpisů Unie, jakož i další typy subjektů, včetně infrastruktur v rámci Evropského strategického fóra pro výzkumné infrastruktury a infrastruktur sdružených v rámci evropského cloudu pro otevřenou vědu. Třetí země a mezinárodní organizace by se rovněž mohly stát oprávněnými účastníky HealthData@EU za předpokladu, že splňují požadavky tohoto nařízení. Sdělení Komise ze dne 19. února 2020 nazvané „Evropská strategie pro data“ podpořilo propojení různých společných evropských datových prostorů. HealthData@EU by proto měla umožnit sekundární využití různých kategorií elektronických zdravotních údajů, včetně propojení zdravotních údajů s údaji z jiných datových prostorů, například životního prostředí, zemědělství a sociální oblasti. Taková interoperabilita mezi odvětvím zdravotnictví a jinými odvětvími, jako jsou ta související s environmentální, zemědělskou nebo sociální oblastí, by mohla být důležitá pro získání dalších poznatků o faktorech ovlivňujících zdraví. Komise by mohla v rámci HealthData@EU poskytovat řadu služeb, včetně podpory výměny informací mezi subjekty pro přístup ke zdravotním údajům a oprávněnými účastníky pro vyřizování žádostí o přeshraniční přístup, vedení katalogů elektronických zdravotních údajů dostupných prostřednictvím infrastruktury, vyhledávání v síti a vyhledávání metadat a služeb v oblasti konektivity a souladu s předpisy. Komise by mohla rovněž vytvořit bezpečné zpracovatelské prostředí, které umožní na žádost správců předávání a analýzu údajů z různých vnitrostátních infrastruktur. V zájmu účinnosti informačních technologií, racionalizace a interoperability výměny údajů by měly být co nejvíce opětovně využívány stávající systémy pro sdílení dat, například systémy vytvářené pro výměnu faktických poznatků v rámci technického systému založeného na zásadě „pouze jednou“ podle nařízení Evropského parlamentu a Rady (EU) 2018/1724 (20).

(81)

Vzhledem k tomu, že připojení k HealthData@EU by mohlo zahrnovat předávání osobních údajů týkajících se žadatele nebo uživatele zdravotních údajů do třetích zemí, musí být pro toto předávání k dispozici příslušné nástroje pro předávání údajů podle kapitoly V nařízení (EU) 2016/679.

(82)

V případě přeshraničních registrů nebo databází, například registrů evropských referenčních sítí pro vzácná onemocnění, které získávají údaje od různých poskytovatelů zdravotní péče v několika členských státech, by měl být za poskytování přístupu k údajům odpovědný subjekt pro přístup ke zdravotním údajům v členském státě, kde se nachází koordinátor registru.

(83)

Povolovací postup pro získání přístupu k osobním elektronickým zdravotním údajům v různých členských státech může být pro uživatele zdravotních údajů repetitivní a těžkopádný. Kdykoli je to možné, měly by být vytvořeny synergie s cílem omezit zátěž a překážky pro uživatele zdravotních údajů. Jedním ze způsobů, jak tohoto cíle dosáhnout, je dodržovat zásadu „jediné žádosti“, podle níž může uživatel zdravotních údajů získat prostřednictvím jedné žádosti povolení od více subjektů pro přístup ke zdravotním údajům v různých členských státech nebo oprávněných účastníků HealthData@EU.

(84)

Subjekty pro přístup ke zdravotním údajům by měly poskytovat informace o dostupných datových souborech a jejich charakteristikách, aby uživatelé zdravotních údajů mohli být informováni o základních skutečnostech týkajících se datového souboru a posoudit význam, který pro ně tyto skutečnosti mohou mít. Z tohoto důvodu by každý datový soubor měl obsahovat alespoň informace týkající se zdroje a povahy údajů a podmínek pro zpřístupnění údajů. Držitel zdravotních údajů by měl alespoň jednou ročně zkontrolovat, zda je jeho popis datového souboru ve vnitrostátním katalogu datových souborů přesný a aktuální. Proto by měl být vytvořen katalog datových souborů EU, který by usnadnil nalezení datových souborů dostupných v EHDS; pomáhal držitelům zdravotních údajů při zveřejňování jejich datových souborů; poskytoval všem zúčastněným stranám včetně široké veřejnosti, s ohledem na specifické potřeby osob se zdravotním postižením, informace o datových souborech, které se nacházejí v EHDS, například označení kvality a užitné hodnoty a informační listy datových souborů; a poskytoval uživatelům zdravotních údajů aktuální informace o kvalitě dat a užitné hodnotě ve vztahu k datovým souborům.

(85)

Informace o kvalitě a užitné hodnotě datových souborů významně zvyšují hodnotu výsledků výzkumu a inovací náročných na data a zároveň podporují rozhodování v oblasti regulace a politik založené na faktických poznatcích. Zlepšení kvality a užitné hodnoty datových souborů prostřednictvím informovaného výběru zákazníků a harmonizace souvisejících požadavků na úrovni Unie při zohlednění stávajících unijních a mezinárodních norem, pokynů a doporučení pro shromažďování a výměnu dat, jako jsou zásady FAIR, má také přínos pro držitele zdravotních údajů, zdravotnické pracovníky, fyzické osoby a hospodářství Unie celkově. Označení kvality a užitné hodnoty datových souborů by uživatele zdravotních údajů informovalo o vlastnostech datového souboru z hlediska kvality a užitné hodnoty a umožnilo by jim vybrat datové soubory, které nejlépe vyhovují jejich potřebám. Označení kvality a užitné hodnoty dat by nemělo bránit tomu, aby byly datové soubory zpřístupňovány prostřednictvím EHDS, ale mělo by poskytovat mechanismus transparentnosti mezi držiteli zdravotních údajů a uživateli údajů. Například datový soubor, který nesplňuje žádný požadavek na kvalitu a užitnou hodnotu dat, by měl být označen třídou představující nejnižší kvalitu a užitnou hodnotu, ale měl by být i tak zpřístupněn. Při vypracovávání rámce kvality a užitné hodnoty dat by měla být zohledněna očekávání stanovená v rámcích vytvořených podle článku 10 nařízení (EU) 2024/1689 a příslušná technická dokumentace uvedená v příloze IV tohoto nařízení. Členské státy by měly zvyšovat informovanost o označení kvality a užitné hodnoty dat prostřednictvím komunikačních činností. Komise by mohla tyto činnosti podpořit. Při používání datových souborů by si jejich uživatelé mohli zvolit prioritní datové soubory podle jejich užitečnosti a kvality.

(86)

Katalog datových souborů EU by měl minimalizovat administrativní zátěž pro držitele údajů a další uživatele databází; být uživatelsky vstřícný, přístupný a nákladově efektivní, propojit vnitrostátní katalogy datových souborů a vyhnout se nadbytečné registraci datových souborů. Aniž by byly dotčeny požadavky stanovené v nařízení (EU) 2022/868, katalog datových souborů EU by mohl být sladěn s iniciativou data.europa.eu. Měla by být zajištěna interoperabilita mezi katalogem datových souborů EU, vnitrostátními katalogy datových souborů a katalogy datových souborů z evropských výzkumných infrastruktur a dalších příslušných infrastruktur pro sdílení dat.

(87)

Probíhá spolupráce mezi různými profesními organizacemi, Komisí a dalšími institucemi s cílem stanovit minimální datová pole a další charakteristiky různých datových souborů, například registrů. Tato práce je v některých oblastech pokročilejší, například u rakoviny, vzácných onemocnění, kardiovaskulárních a metabolických onemocnění, posuzování rizikových faktorů a statistik, a při stanovování nových norem a harmonizovaných šablon pro strukturované datové prvky u konkrétních onemocnění by měla být zohledněna. Mnoho datových souborů však není harmonizováno, což vyvolává problémy se srovnatelností a ztěžuje přeshraniční výzkum. V prováděcích aktech by proto měla být stanovena podrobnější pravidla s cílem zajistit harmonizované kódování a registraci elektronických zdravotních údajů, čímž se umožní, aby byla jednotným způsobem poskytována pro sekundární využití. Tyto datové soubory mohou zahrnovat údaje z registrů vzácných onemocnění, databází léčivých přípravků pro vzácná onemocnění, onkologických registrů a registrů vysoce významných infekčních onemocnění. Členské státy by měly usilovat o to, aby evropské elektronické zdravotnické systémy a služby a interoperabilní aplikace přinesly trvalý hospodářský a sociální přínos s cílem dosáhnout vysoké úrovně důvěry a bezpečnosti, posílit kontinuitu zdravotní péče a zajistit přístup k bezpečné a vysoce kvalitní zdravotní péči. Stávající infrastruktury a registry zdravotních údajů mohou posloužit jako vzory pro definování a provádění datových norem a interoperability a měly by být využity k zajištění kontinuity a k využití stávajících odborných znalostí.

(88)

Komise by měla podporovat členské státy při vytváření kapacit a zvyšování účinnosti v oblasti digitálních systémů zdravotní péče pro primární a sekundární využití. Členské státy by měly být podporovány v posilování svých kapacit. Relevantními opatřeními v tomto ohledu jsou činnosti na úrovni Unie, jako je referenční srovnávání a výměna osvědčených postupů. Tyto aktivity by měly zohledňovat specifické okolnosti různých kategorií zúčastněných stran, jako jsou zástupci občanské společnosti, výzkumní pracovníci, zdravotnické společnosti a malé a střední podniky.

(89)

Zlepšení gramotnosti fyzických osob i zdravotnických pracovníků v oblasti digitálního zdravotnictví má zásadní význam pro důvěru, bezpečnost a vhodné využívání zdravotních údajů, a tím i pro úspěšné uplatňování tohoto nařízení. Zdravotničtí pracovníci čelí v souvislosti s digitalizací zásadním změnám a budou jim v rámci zavádění EHDS svěřeny další digitální nástroje. Zdravotničtí pracovníci proto budou muset rozvíjet svou gramotnost v oblasti digitálního zdravotnictví a své digitální dovednosti a členské státy měly zdravotnickým pracovníkům poskytnout přístup ke kurzům digitální gramotnosti, aby se mohli na práci se systémy EHR připravit. Tyto kurzy by měly zdravotnickým pracovníkům a pracovníkům IT umožnit dostatečnou odbornou přípravu v oblasti práce s novou digitální infrastrukturou, aby byla zajištěna kybernetická bezpečnost a etická správa zdravotních údajů. Tato odborná příprava by měla být pravidelně rozvíjena, přezkoumávána a aktualizována v rámci konzultací a spolupráce s příslušnými odborníky. Zvyšování gramotnosti v oblasti digitálního zdravotnictví má zásadní význam pro to, aby fyzické osoby měly skutečnou kontrolu nad svými zdravotními údaji a aktivně řídily své zdraví a péči a aby porozuměly důsledkům správy těchto údajů pro primární i sekundární využití. Různé demografické skupiny mají různou úroveň digitální gramotnosti, což může ovlivnit schopnost fyzických osob uplatňovat svá práva na kontrolu svých elektronických zdravotních údajů. Členské státy, a to i na regionální a místní úrovni, by proto měly gramotnost v oblasti digitálního zdravotnictví a informovanost veřejnosti podporovat a zároveň zajistit, aby provádění tohoto nařízení přispívalo ke snižování nerovností a aby nediskriminovalo osoby s nedostatečnými digitálními dovednostmi. Zvláštní pozornost by měla být věnována osobám se zdravotním postižením a zranitelným skupinám obyvatel, včetně migrantů a starších osob. Členské státy by měly vytvořit cílené vnitrostátní programy digitální gramotnosti, včetně programů, jejichž cílem bude maximalizovat sociální začlenění a zajistit, aby všechny fyzické osoby mohly účinně uplatňovat svá práva podle tohoto nařízení. Členské státy by rovněž měly poskytnout fyzickým osobám pokyny zaměřené na pacienta týkající se používání elektronických zdravotních záznamů a primárního využití jejich osobních elektronických zdravotních údajů. Tyto pokyny by měly být přizpůsobeny úrovni gramotnosti daného pacienta v oblasti digitálního zdravotnictví, přičemž zvláštní pozornost by měla být věnována potřebám zranitelných skupin.

(90)

K dosažení cílů EHDS by mělo rovněž přispět využívání finančních prostředků. Zadavatelé veřejných zakázek, příslušné vnitrostátní orgány v členských státech, včetně orgánů pro digitální zdravotnictví a subjektů pro přístup ke zdravotním údajům, a Komise by měli při vymezování podmínek pro zadávání veřejných zakázek, výzev k předkládání návrhů a přidělování finančních prostředků Unie, včetně strukturálních fondů a Fondu soudržnosti, odkazovat na příslušné technické specifikace, normy a profily týkající se interoperability, bezpečnosti a kvality dat, jakož i na další požadavky vypracované podle tohoto nařízení. Finanční prostředky Unie musí být transparentně rozděleny mezi členské státy s přihlédnutím k různým úrovním digitalizace systémů zdravotní péče. Zpřístupnění údajů pro sekundární využití vyžaduje další zdroje pro systémy veřejné zdravotní péče, zejména pro veřejné systémy zdravotní péče. Tuto dodatečnou zátěž je třeba řešit a během prováděcí fáze EHDS minimalizovat.

(91)

Provádění EHDS vyžaduje odpovídající investice do zvyšování kapacity a odborné přípravy a odhodlání provádět veřejné konzultace a zapojit veřejnost, jak na úrovni Unie, tak na vnitrostátní úrovni, na což je třeba vyčlenit dostatek prostředků. Hospodářské náklady spojené s prováděním tohoto nařízení bude třeba nést na vnitrostátní úrovni i na úrovni Unie, a tato zátěž bude muset být pokryta z vnitrostátních finančních prostředků a z finančních prostředků Unie spravedlivým dílem.

(92)

Některé kategorie elektronických zdravotních údajů mohou zůstat zvláště citlivé, i když jsou v anonymizované podobě, a nejsou tedy osobní, jak je již výslovně stanoveno v nařízení (EU) 2022/868. I při použití nejmodernější techniky anonymizace, zůstává zbytkové riziko, že by mohla být nebo se stát dostupnou schopnost opětovné identifikace, a to nad rámec prostředků, u nichž je přiměřeně pravděpodobné, že budou použity. Takové zbytkové riziko existuje v souvislosti se vzácnými onemocněními, tedy život ohrožujícím nebo chronicky oslabujícím stavem, který postihuje nejvýše pět z deseti tisíc osob v Unii, kde omezený počet případů snižuje možnost plně shromažďovat zveřejněné údaje, aby bylo zachováno soukromí fyzických osob a zároveň byla zachována přiměřená úroveň podrobnosti dat, která má zůstat smysluplná. Takové zbytkové riziko se může týkat různých kategorií zdravotních údajů a může vést k opětovné identifikaci subjektů údajů za použití prostředků, které jdou nad rámec těch, u nichž je přiměřeně pravděpodobné, že budou použity. Toto riziko závisí na úrovni podrobnosti údajů a popisu vlastností subjektů údajů, počtu dotčených osob nebo, například v případech údajů obsažených v elektronických zdravotních záznamech, registrech nemocí, biobankách a osobně generovaných údajích, kde je rozsah identifikačních charakteristik širší, na možné kombinaci s dalšími informacemi, například ve velmi malých zeměpisných oblastech, nebo na technologickém vývoji metod, které v okamžiku anonymizace nebyly k dispozici. Takové riziko opětovné identifikace fyzických osob by představovalo velkou obavu a pravděpodobně by ohrozilo přijetí pravidel pro sekundární využití stanovených v tomto nařízení. Kromě toho jsou techniky shromažďování méně vyzkoušené pro neosobní údaje obsahující například obchodní tajemství, jako je tomu v případě podávání zpráv o klinických hodnoceních a klinických zkouškách, a vymáhání porušení obchodního tajemství mimo Unii je obtížnější, protože neexistuje dostatečný mezinárodní standard ochrany. Proto u těchto kategorií zdravotních údajů přetrvává riziko opětovné identifikace po anonymizaci nebo shromáždění, které nelze na počátku rozumně zmírnit. To spadá pod kritéria uvedená v čl. 5 odst. 13 nařízení (EU) 2022/868. Na tyto typy zdravotních údajů by se tedy vztahovalo zmocnění stanovené v čl. 5 odst. 13 uvedeného nařízení ve vztahu k předávání do třetích zemí. Zvláštní podmínky stanovené v rámci zmocnění stanoveného v čl. 5 odst. 13 nařízení (EU) 2022/868 budou podrobně popsány v rámci aktu v přenesené pravomoci přijatého na základě tohoto zmocnění, musí být úměrné riziku opětovné identifikace a musí zohledňovat specifika různých kategorií údajů nebo různých technik anonymizace či shromažďování.

(93)

Zpracování velkého množství osobních elektronických zdravotních údajů pro účely EHDS v rámci zpracování údajů v souvislosti s vyřizováním žádostí o přístup ke zdravotním údajům, povolení ke zdravotním údajům a žádostí o zdravotní údaje s sebou nese vyšší riziko neoprávněného přístupu k těmto osobním údajům, jakož i možnost kybernetických bezpečnostních incidentů. Osobní elektronické údaje o zdravotním stavu jsou obzvláště citlivé, neboť často obsahují informace, na které se vztahuje lékařské tajemství a jejichž zpřístupnění neoprávněným třetím stranám může způsobit hluboké nepříjemnosti. Toto nařízení plně zohledňuje zásady uvedené v judikatuře Soudního dvora Evropské unie a zajišťuje důsledné dodržování základních práv, práva na soukromí a zásady proporcionality. S cílem zajistit plnou integritu a důvěrnost osobních elektronických zdravotních údajů podle tohoto nařízení, zaručit obzvláště vysokou úroveň ochrany a bezpečnosti a snížit riziko neoprávněného přístupu k těmto osobním elektronickým zdravotním údajům umožňuje toto nařízení členským státům požadovat, aby osobní elektronické zdravotní údaje byly uchovávány a zpracovávány výhradně v Unii pro účely plnění úkolů stanovených v tomto nařízení, s výjimkou případů rozhodnutí o odpovídající ochraně přijatých podle článku 45 nařízení (EU) 2016/679.

(94)

Přístup k elektronickým zdravotním údajům pro uživatele zdravotních údajů usazené ve třetích zemích nebo pro mezinárodní organizace by měl být umožněn pouze na základě zásady reciprocity. Zpřístupnění elektronických zdravotních údajů třetí zemi by mělo být povoleno pouze tehdy, pokud Komise prostřednictvím prováděcího aktu stanoví, že daná třetí země umožňuje subjektům Unie přístup k elektronickým zdravotním údajům pocházejícím z této třetí země za stejných podmínek a se stejnými zárukami jako by tomu bylo v případě přístupu k elektronickým zdravotním údajům v Unii. Komise by měla situaci v těchto třetích zemích a mezinárodních organizacích sledovat a pravidelně přezkoumávat a vytvořit seznam těchto prováděcích aktů. Pokud Komise dospěje k závěru, že třetí země již přístup za stejných podmínek neposkytuje, měla by příslušný prováděcí akt zrušit.

(95)

S cílem podpořit jednotné uplatňování tohoto nařízení, včetně ve vztahu k přeshraniční interoperabilitě elektronických zdravotních údajů, by měla být zřízena Rada pro evropský prostor pro zdravotní údaje. Komise by se měla podílet na její činnosti a spolupředsedat jí. Rada pro EHDS by měla být schopna vydávat písemné příspěvky týkající se jednotného uplatňování tohoto nařízení v celé Unii, mimo jiné tím, že členským státům pomůže koordinovat používání elektronických zdravotních údajů pro zdravotní péči a certifikaci, ale také pokud jde o sekundární využití a financování těchto činností. To by rovněž mohlo zahrnovat sdílení informací o rizicích a incidentech v bezpečném zpracovatelském prostředí. Sdílením tohoto druhu informací nejsou dotčeny povinnosti vyplývající z jiných právních aktů, jako jsou oznámení o porušení zabezpečení osobních údajů podle nařízení (EU) 2016/679. V obecné rovině platí, že činností Rady pro EHDS nejsou dotčeny pravomoci dozorových orgánů podle nařízení (EU) 2016/679. Vzhledem k tomu, že na vnitrostátní úrovni mohou být orgány pro digitální zdravotnictví zabývající se primárním využitím jiné než subjekty pro přístup ke zdravotním údajům, které se zabývají sekundárním využitím, jsou tyto funkce odlišné a v každé z těchto oblastí je nutná zvláštní spolupráce, a proto by Rada pro EHDS měla mít možnost zřizovat podskupiny, které se budou zabývat těmito dvěma funkcemi, a podle potřeby i další podskupiny. V zájmu účinné pracovní metody by orgány pro digitální zdravotnictví a subjekty pro přístup ke zdravotním údajům měly vytvářet sítě a vazby s dalšími subjekty a orgány na vnitrostátní úrovni, ale také na úrovni Unie. Mezi tyto orgány by mohly patřit orgány pro ochranu údajů, kybernetickou bezpečnost, elektronickou identifikaci a normalizační orgány, jakož i subjekty a skupiny odborníků podle nařízení (EU) 2022/868 a (EU) 2023/2854, (EU) 2024/1689 a nařízení Evropského parlamentu a Rady (EU) 2019/881 (21). Rada pro EHDS by měla fungovat nezávisle, ve veřejném zájmu a v souladu se svým kodexem chování.

(96)

Pokud jsou projednávány otázky, které jsou Radou pro EHDS považovány za zvláště důležité, měla by mít rada možnost přizvat pozorovatele, například evropského inspektora ochrany údajů, zástupce orgánů Unie, včetně Evropského parlamentu, a další zúčastněné strany.

(97)

Mělo by být zřízeno fórum zúčastněných stran, které by Radě pro EHDS poskytovalo poradenství při plnění jejích úkolů ve formě podnětů zúčastněných stran v záležitostech týkajících se tohoto nařízení. Fórum zúčastněných stran by se mělo skládat mimo jiné ze zástupců pacientských a spotřebitelských organizací, zdravotnických pracovníků, odvětví, vědeckých výzkumných pracovníků a akademické obce. Mělo by mít vyvážené složení a prezentovat názory různých příslušných zúčastněných stran. Měly by v něm být zastoupeny obchodní i nekomerční zájmy.

(98)

Aby bylo zajištěno řádné každodenní řízení přeshraničních infrastruktur pro primární využití a sekundární využití, je nezbytné vytvořit řídící skupiny složené ze zástupců členských států. Tyto řídící skupiny by měly přijímat provozní rozhodnutí o každodenním technickém řízení přeshraničních infrastruktur a jejich technickém rozvoji, včetně technických změn infrastruktur, zlepšení funkcí nebo služeb nebo zajištění interoperability s jinými infrastrukturami, digitálními systémy nebo datovými prostory. Tyto skupiny by neměly přispívat k vypracování prováděcích aktů týkajících se uvedených infrastruktur. Řídící skupiny by rovněž měly mít možnost přizvat na svá setkání zástupce dalších oprávněných účastníků HealthData@EU jako pozorovatele a měly by při plnění svých úkolů konzultovat příslušné odborníky.

(99)

Aniž je dotčena jakákoliv jiná správní, soudní nebo mimosoudní ochrana, měla by mít každá fyzická nebo právnická osoba právo podat stížnost u orgánu pro digitální zdravotnictví nebo u subjektu pro přístup ke zdravotním údajům, pokud se daná fyzická nebo právnická osoba domnívá, že její práva nebo zájmy podle tohoto nařízení byly poškozeny. Šetření, které následuje po podání stížnosti, by mělo být provedeno v rozsahu, jenž je v daném případě přiměřený a podléhat soudnímu přezkumu. Orgán pro digitální zdravotnictví nebo subjekt pro přístup ke zdravotním údajům by měl fyzickou nebo právnickou osobu v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je-li v dané věci zapotřebí další šetření nebo koordinace s jiným orgánem pro digitální zdravotnictví nebo subjektem pro přístup ke zdravotním údajům, měla by být daná fyzická nebo právnická osoba o pokroku v řešení stížnosti informována. S cílem usnadnit podávání stížností by měl každý orgán pro digitální zdravotnictví a subjekt pro přístup ke zdravotním údajům přijmout určitá opatření, například poskytnout formulář pro podání stížnosti, který lze vyplnit i elektronicky, aniž by byla vyloučena možnost použití dalších komunikačních prostředků. Pokud se stížnost týká práv fyzických osob v souvislosti s ochranou jejich osobních údajů, měl by orgán pro digitální zdravotnictví nebo subjekt pro přístup ke zdravotním údajům předat kopii stížnosti dozorovým orgánům podle nařízení (EU) 2016/679. Orgány pro digitální zdravotnictví a subjekty pro přístup ke zdravotním údajům by měly spolupracovat, a to i formou výměny všech příslušných informací elektronickými prostředky, na vyřízení a vyřešení stížností bez zbytečného odkladu.

(100)

Pokud se fyzická osoba domnívá, že její práva podle tohoto nařízení byla porušena, měla by být oprávněna pověřit neziskový subjekt, organizaci nebo sdružení zřízené v souladu s vnitrostátním právem, jejichž statutární cíle jsou ve veřejném zájmu a jež působí v oblasti ochrany osobních údajů, aby jejím jménem podaly stížnost.

(101)

Veškerou újmu, která fyzickým nebo právnickým osobám vznikne v důsledku kroků, které jsou v rozporu s tímto nařízením, by měl nahradit orgán pro digitální zdravotnictví, subjekt pro přístup ke zdravotním údajům, držitel zdravotních údajů nebo uživatel zdravotních údajů. Výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora Evropské unie při plném zohlednění cílů tohoto nařízení. Tím nejsou dotčeny jakékoliv nároky uplatňované v případě újmy způsobené porušením jiných pravidel ustanovení práva Unie nebo vnitrostátního práva. Fyzické osoby by měly obdržet plnou a účinnou náhradu újmy, kterou utrpěly.

(102)

S cílem posílit prosazování pravidel tohoto nařízení by za jakékoliv jeho porušení měly být uloženy sankce včetně správních pokut, které by měly doplňovat nebo nahrazovat vhodná opatření uložená orgány pro digitální zdravotnictví podle tohoto nařízení. Uložení sankcí včetně správních pokut by mělo podléhat vhodným procesním zárukám v souladu s obecnými zásadami práva Unie a Listinou základních práv Evropské unie, včetně účinné právní ochrany a spravedlivého procesu.

(103)

Je vhodné stanovit, že subjekty pro přístup ke zdravotním údajům mohou ukládat správní pokuty za určitá porušení tohoto nařízení, která by měla být podle tohoto nařízení považována za závažná porušení, jako je například opětovná identifikace fyzických osob, stahování osobních elektronických zdravotních údajů mimo bezpečné zpracovatelské prostředí nebo zpracování údajů pro zakázaná použití nebo pro použití, na něž se nevztahuje povolení k údajům. V tomto nařízení by se mělo upřesnit, jaké jednání představuje porušení jeho ustanovení, jakož i maximální hranice správních pokut a kritéria pro stanovení těchto pokut, jež by měl v každém jednotlivém případě určit příslušný subjekt pro přístup ke zdravotním údajům při zohlednění všech okolností konkrétní situace s náležitým přihlédnutím zejména k povaze, závažnosti a délce trvání porušení a k jeho důsledkům a opatřením přijatým v zájmu zajištění souladu s povinnostmi vyplývajícími z tohoto nařízení a v zájmu prevence či zmírnění důsledků tohoto jednání. Pro účely ukládání správních pokut podle tohoto nařízení by měl být pojem „podnik“ chápán v souladu s články 101 a 102 Smlouvy o fungování EU. Zda a do jaké míry by se měly správní pokuty vztahovat na orgány veřejné moci, by měl určit členský stát. Uložení správní pokuty nebo varování by nemělo mít vliv na prosazování dalších pravomocí subjektů pro přístup ke zdravotním údajům nebo dalších sankcí podle tohoto nařízení.

(104)

Za účelem zajištění toho, že EHDS splní své cíle, by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování EU, pokud jde o změnu, doplnění nebo odstranění hlavních charakteristik prioritních kategorií osobních elektronických zdravotních údajů v příloze I, seznamu požadovaných údajů, které mají zadávat výrobci systémů EHR a aplikací v oblasti zdravého životního stylu do databáze EU pro registraci interoperabilních systémů EHR a aplikací v oblasti zdravého životního stylu, jakož i pokud jde o změnu, doplnění nebo odstranění prvků, na něž se má vztahovat označení kvality a užitné hodnoty dat. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (22). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci budou mít automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(105)

Za účelem zajištění jednotných podmínek k uplatňování tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci týkající se:

Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (23).

(106)

Členské státy by měly přijmout veškerá nezbytná opatření k zajištění toho, aby byla ustanovení tohoto nařízení prováděna, a to i stanovením účinných, přiměřených a odrazujících sankcí za jejich porušení. Při rozhodování o výši sankce u každého jednotlivého případu by členské státy měly zohlednit mezní hodnoty a kritéria stanovená v tomto nařízení. Opětovná identifikace fyzických osob by měla být považována za závažné porušení tohoto nařízení.

(107)

Provádění EHDS bude vyžadovat významnou vývojovou činnost ve všech členských státech a ústředních službách. Za účelem sledování pokroku dosaženého v tomto ohledu by Komise měla až do okamžiku, kdy bude toto nařízení uplatňováno v plné míře, každoročně podávat zprávu o tomto pokroku s ohledem na informace poskytnuté členskými státy. Tyto zprávy mohou obsahovat doporučení nápravy i posouzení dosaženého pokroku.

(108)

Aby bylo možné posoudit, zda toto nařízení účinně a efektivně dosahuje svých cílů, zda je soudržné a nadále relevantní a zda poskytuje přidanou hodnotu na úrovni Unie, měla by Komise provést hodnocení tohoto nařízení. Komise do osmi let od vstupu tohoto nařízení v platnost provést cílené hodnocení a do deseti let od jeho vstupu v platnost provést celkové hodnocení. Komise by měla po každém hodnocení předložit zprávu o svých hlavních zjištěních Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů.

(109)

Pro úspěšné přeshraniční provádění EHDS by měl být Evropský rámec interoperability, jehož oblast působnosti byla aktualizována a rozšířena sdělením Komise ze dne 23. března 2017 nazvaným „Evropský rámec interoperability – Strategie provádění“ s cílem zohlednit nové nebo revidované požadavky na interoperabilitu, považován za společný odkaz na zajištění právní, organizační, sémantické a technické interoperability.

(110)

Jelikož cílů tohoto nařízení, tedy posílit postavení fyzických osob prostřednictvím zvýšené kontroly jejich osobních elektronických zdravotních údajů a podpořit jejich svobodu pohybu tím, že bude zajištěno, aby je zdravotní údaje následovaly; podporovat skutečný vnitřní trh služeb digitálního zdravotnictví a produktů, a zajistit soudržný a účinný rámec pro opakované použití zdravotních dat fyzických osob pro účely výzkumu, inovací, tvorby politik a regulačních činností, nemůže být dosaženo uspokojivě členskými státy pouze prostřednictvím koordinačních opatření, jak ukazuje hodnocení digitálních aspektů směrnice 2011/24/EU, ale spíše jich z důvodů harmonizace opatření týkajících se práv fyzických osob v souvislosti s jejich elektronickými zdravotními údaji, interoperability elektronických zdravotních údajů a společného rámce a záruk pro primární a sekundární využití, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení uvedených cílů.

(111)

Hodnocení digitálních aspektů směrnice 2011/24/EU ukazuje omezenou účinnost sítě pro elektronické zdravotnictví, ale také, jak ukázala práce během pandemie COVID-19, silný potenciál pro činnost na úrovni Unie v oblasti digitálního zdravotnictví. Směrnice 2011/24/EU by proto měla být odpovídajícím způsobem změněna.

(112)

Toto nařízení doplňuje základní požadavky na kybernetickou bezpečnost stanovené v nařízení (EU) 2024/2847. Systémy EHR, které jsou produkty s digitálními prvky ve smyslu nařízení (EU) 2024/2847, by tudíž měly základní požadavky na kybernetickou bezpečnost stanovené v uvedeném nařízení rovněž splňovat. Výrobci systémů EHR by měli prokázat shodu, jak požaduje toto nařízení. Pro usnadnění souladu by mělo být výrobcům umožněno vypracovat jediný soubor technické dokumentace obsahující prvky požadované oběma právními akty. Mělo by být možné prokázat soulad systémů EHR se základními požadavky na kybernetickou bezpečnost stanovenými v nařízení (EU) 2024/2847 prostřednictvím hodnotícího rámce podle tohoto nařízení. Neměly by se však použít ty části postupu posuzování shody podle tohoto nařízení, které se týkají používání testovacího prostředí, neboť tato testovací prostředí neumožňují posouzení shody se základními požadavky na kybernetickou bezpečnost. Vzhledem k tomu, že se nařízení (EU) 2024/2847 nevztahuje přímo na software jako službu (SaaS) jako takový, nespadají systémy EHR nabízené prostřednictvím modelu poskytování licencí SaaS do oblasti působnosti uvedeného nařízení. Obdobně systémy EHR, které jsou vyvíjeny a používány interně, nespadají do oblasti působnosti uvedeného nařízení, neboť nejsou uváděny na trh.

(113)

Evropský inspektor ochrany údajů a Evropský sbor pro ochranu osobních údajů byli konzultováni v souladu s čl. 42 odst. 1 a 2 nařízení (EU) 2018/1725 a dne 12. července 2022 vydali společné stanovisko.

(114)

Tímto nařízením by nemělo být dotčeno uplatňování pravidel hospodářské soutěže, a zejména článků 101 a 102 Smlouvy o fungování EU. Opatření stanovená tímto nařízením nesmějí být využívána k omezování hospodářské soutěže v rozporu se Smlouvou o fungování EU.

(115)

Vzhledem k potřebě technické přípravy by se toto nařízení mělo použít ode dne 26. března 2027. V zájmu podpory úspěšného provádění EHDS a vytvoření účinných podmínek pro evropskou spolupráci v oblasti zdravotních údajů by se mělo provádění uskutečňovat postupně,