32025R0327[1]

Az Európai Parlament és a Tanács (EU) 2025/327 rendelete (2025. február 11.) az európai egészségügyi adattérről, valamint a 2011/24/EU irányelv és az (EU) 2024/2847 rendelet módosításáról

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2025/327 RENDELETE

(2025. február 11.)

az európai egészségügyi adattérről, valamint a 2011/24/EU irányelv és az (EU) 2024/2847 rendelet módosításáról

(EGT-vonatkozású szöveg)

AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. és 114. cikkére,

tekintettel az Európai Bizottság javaslatára,

a jogalkotási aktus tervezetének a nemzeti parlamentek részére való megküldését követően,

tekintettel az Európai Gazdasági és Szociális Bizottság véleményére (1),

tekintettel a Régiók Bizottságának véleményére (2),

rendes jogalkotási eljárás keretében (3),

mivel:

(1) E rendelet célja az európai egészségügyi adattér létrehozása annak érdekében, hogy javuljon a természetes személyeknek a személyes elektronikus egészségügyi adataikhoz való hozzáférése és az azok felett gyakorolt ellenőrzése az egészségügyi ellátással összefüggésben, valamint hogy az egészségügyi és gondozási ágazatokon belül más, a társadalom javát szolgáló, elektronikus egészségügyi adatok használatával kapcsolatos célokat jobban el lehessen érni, így például a kutatás, az innováció, a szakpolitikai döntéshozatal, az egészségügyi vészhelyzetekre való felkészülés és az azokra való válaszadás - ideértve a jövőbeli járványok megelőzését és kezelését is - a betegbiztonság, a személyre szabott orvoslás, a hivatalos statisztikák vagy a szabályozási tevékenységek terén. Emellett e rendelet célja a belső piac működésének javítása azáltal, hogy e rendelet egységes jogi és technológiai keretet állapít meg különösen az elektronikus egészségügyi dokumentációs rendszereknek (a továbbiakban: EHR-rendszerek) az uniós értékeknek megfelelően történő fejlesztésére, marketingjére és használatára vonatkozóan. Az európai egészségügyi adattér kulcsfontosságú eleme lesz az erős és reziliens európai egészségügyi unió megteremtésének.

(2) A Covid19-világjárvány rávilágított arra, hogy kiemelten fontos a minőségi elektronikus egészségügyi adatokhoz kellő időben történő hozzáférés az egészségügyi veszélyekre való felkészültséghez és reagáláshoz, valamint a megelőzéshez, diagnózishoz és kezeléshez, továbbá az ilyen elektronikus egészségügyi adatok másodlagos felhasználásához. Az ilyen időben történő hozzáférés - a hatékony népegészségügyi felügyelet és nyomon követés révén - potenciálisan hozzájárulhat a jövőbeli világjárványok eredményesebb kezeléséhez, a költségek csökkentéséhez és az egészségügyi fenyegetésekre való jobb reagáláshoz, és végső soron több élet megmentéséhez. 2020-ban a Bizottság sürgős jelleggel kiigazította az (EU) 2019/1269 bizottsági végrehajtási határozattal (4) létrehozott klinikai betegmenedzsment-rendszert annak érdekében, hogy lehetővé tegye a tagállamok számára az egészségügyi szolgáltatók és a tagállamok között mozgó Covid19-betegekre vonatkozó elektronikus egészségügyi adatok megosztását az említett világjárvány csúcsidőszakában. Azonban az említett kiigazítás csak sürgősségi megoldás volt, mutatva, hogy tagállami és uniós szinten strukturális és konzisztens megközelítésre van szükség, mind az elektronikus egészségügyi adatoknak az egészségügyi ellátás rendelkezésére állásának javítása érdekében, mind az elektronikus egészségügyi adatokhoz való hozzáférés megkönnyítése érdekében a hatékony szakpolitikai válaszok biztosítása és az emberi egészség magas színvonalához való hozzájárulás céljából.

(3) A Covid19-válság megszilárdította az e-egészségügyi hálózat - a digitális egészségügyért felelős hatóságok önkéntes hálózatának - munkáját, amely a mobil eszközökre szánt kontaktkövető és kontaktfigyelmeztető alkalmazásai, valamint az uniós digitális Covid-igazolványok technikai vonatkozásai fejlesztésének fő pillérévé vált. Rámutatott arra is, hogy meg kell osztani a megtalálható, hozzáférhető, interoperábilis és újrafelhasználható (a továbbiakban: a FAIR irányelvek) elektronikus egészségügyi adatokat, és biztosítani kell, hogy az elektronikus egészségügyi adatok a lehető legnyitottabbak legyenek, tiszteletben tartva ugyanakkor az (EU) 2016/679 európai parlamenti és tanácsi rendeletben (5) meghatározott adattakarékossági elvet. Biztosítani kell az európai egészségügyi adattér, az európai nyílt tudományosadat-felhő és az európai kutatási infrastruktúrák közötti szinergiákat, és le kell vonni a tanulságokat az európai Covid19-adatplatform keretében kidolgozott adatmegosztási megoldásokból.

(4) Tekintettel a személyes elektronikus egészségügyi adatok érzékeny jellegére, e rendelet célja, hogy mind uniós, mind nemzeti szinten kielégítő biztosítékokat nyújtson az adatvédelem, a biztonság, a bizalmas jelleg és az etikus felhasználás magas szintjének biztosítása érdekében. Szükség van ilyen biztosítékokra a természetes személyek elektronikus egészségügyi adatainak az e rendeletben meghatározottak szerinti elsődleges felhasználás és másodlagos felhasználás céljából történő biztonságos kezelésébe vetett bizalom előmozdítása érdekében.

(5) A személyes elektronikus egészségügyi adatok kezelésére az (EU) 2016/679 rendelet, míg az uniós intézményekre, szervekre, hivatalokra és ügynökségekre az (EU) 2018/1725 európai parlamenti és tanácsi rendelet (6) rendelkezései vonatkoznak. Az (EU) 2016/679 rendelet rendelkezéseire való hivatkozásokat adott esetben az (EU) 2018/1725 rendelet uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó megfelelő rendelkezéseire való hivatkozásként is kell értelmezni.

(6) Egyre több, Unióban élő személy lépi át az országhatárokat munkavállalás, tanulás, rokonlátogatás céljából vagy egyéb okokból. Az egészségügyi adatok cseréjének megkönnyítése és a polgárok számára szükséges önrendelkezés biztosítása érdekében lehetővé kell tenni, hogy a polgárok egészségügyi adataikhoz olyan elektronikus formátumban férjenek hozzá, amely az Unió egész területén elismerhető és elfogadható. Az ilyen személyes elektronikus egészségügyi adatok közé tartozhatnak valamely természetes személy testi vagy mentális egészségével kapcsolatos személyes adatok, többek között az egészségügyi szolgáltatások nyújtásával kapcsolatos személyes adatok is, amelyek az említett természetes személy egészségi állapotára vonatkozó információkat, illetve a természetes személy örökölt vagy megszerzett genetikai jellemzőire vonatkozó olyan személyes adatokat fednek fel, amelyek egyedi információt nyújtanak az adott természetes személy fiziológiájáról vagy egészségi állapotáról, és amelyek különösen a szóban forgó természetes személyből vett biológiai minta elemzéséből származnak, valamint az egészséget meghatározó olyan adatok is, mint a viselkedés, a környezeti és a fizikai hatások, az orvosi ellátás, valamint a szociális vagy iskolázottsági tényezők. Az elektronikus egészségügyi adatok olyan adatokat is magukban foglalnak, amelyeket eredetileg kutatási, statisztikai, egészségügyifenyegetés-értékelési, szakpolitikai döntéshozatali vagy szabályozási célból gyűjtöttek, és amelyek az e rendeletben meghatározott szabályoknak megfelelően tehetők hozzáférhetővé. Az elektronikus egészségügyi adatok az említett valamennyi adatkategóriából állnak, függetlenül attól, hogy az ilyen adatokat az érintett vagy más természetes vagy jogi személyek, így például egészségügyi szakemberek szolgáltatják, vagy egy természetes személy egészségével vagy jóllétével kapcsolatban kezelik, és tartalmazniuk kell a kikövetkeztetett és származtatott adatokat is, mint például diagnosztika, tesztek és orvosi vizsgálatok, valamint az automatizált eszközökkel észlelt és rögzített adatok.

(7) Az egészségügyi rendszerekben a személyes elektronikus egészségügyi adatokat általában elektronikus egészségügyi dokumentációkban gyűjtik, amelyek jellemzően a természetes személyek kórtörténetét, diagnózisait és kezelését, gyógyszereit, allergiáit és védőoltásait, valamint radiológiai leleteit, laboratóriumi eredményeit és más orvosi adatait tartalmazzák, amelyek az egészségügyi rendszer különböző szereplői - így például a háziorvosok, kórházak, gyógyszertárak vagy ápolási szolgáltatások - között oszlanak meg. Annak érdekében, hogy a természetes személyek vagy az egészségügyi szakemberek hozzáférhessenek az elektronikus egészségügyi adatokhoz, azokat megoszthassák és módosíthassák, egyes tagállamok már meghozták a szükséges jogi és műszaki intézkedéseket, és központi infrastruktúrákat hoztak létre, amelyek összekapcsolják az egészségügyi szolgáltatók és a természetes személyek által használt EHR-rendszereket. Emellett egyes tagállamok támogatást nyújtanak állami és magán egészségügyi szolgáltatóknak ahhoz, hogy személyes elektronikus egészségügyi adattereket hozzanak létre a különböző egészségügyi szolgáltatók közötti interoperabilitás lehetővé tétele érdekében. Több tagállam elektronikus egészségügyiadat-hozzáférési szolgáltatásokat is támogat vagy biztosít a betegek és az egészségügyi szakemberek számára, például beteg- vagy egészségügyiszakember-portálok révén. Az említett tagállamok annak biztosítására is hoztak intézkedéseket, hogy az EHR-rendszerek vagy a jólléti alkalmazások képesek legyenek elektronikus egészségügyi adatokat továbbítani a központi EHR-rendszeren keresztül, például tanúsítási rendszer biztosítása révén. Azonban nem minden tagállam hozott létre ilyen rendszereket, és azon tagállamok, amelyek létrehozták azokat, ezt széttagolt módon tették. A személyes elektronikus egészségügyi adatok Unión belüli szabad áramlásának megkönnyítése és a határokon átnyúló egészségügyi ellátásban részesülő betegeket érintő negatív következmények elkerülése érdekében uniós fellépésre van szükség annak biztosítása érdekében, hogy az egyének jobb hozzáférést kapjanak személyes elektronikus egészségügyi adataikhoz, és hogy felhatalmazással rendelkezzenek az említett adatok megosztására. E tekintetben megfelelő uniós és nemzeti szintű intézkedést kell hozni a széttagoltság, a heterogenitás és a megosztottság csökkentésére, valamint egy felhasználóbarát és intuitív rendszer létrehozására minden tagállamban. Az egészségügyi ágazatban minden digitális átalakulásnak inkluzivitásra kell törekednie, és azon természetes személyek javát is szolgálnia kell, akik korlátozott képességgel rendelkeznek a digitális szolgáltatásokhoz való hozzáférés és azok felhasználása tekintetében, ideértve a fogyatékossággal élő személyeket is.

(8) Az (EU) 2016/679 rendelet különös rendelkezéseket állapít meg a természetes személyeknek a személyes adataik kezelésével kapcsolatos jogaira vonatkozóan. Az európai egészségügyi adattér az említett jogokra épül, és néhányat közülük kiegészít, amennyiben azok személyes elektronikus egészségügyi adatokra vonatkoznak. Az említett jogok alkalmazandók függetlenül a személyes elektronikus egészségügyi adatok kezelése szerinti tagállamtól, az egészségügyi szolgáltató típusától, az említett adatok forrásaitól vagy a természetes személy biztosítási helye szerinti tagállamtól. Az e rendelet szerinti, a személyes elektronikus egészségügyi adatok elsődleges felhasználásával kapcsolatos jogok és szabályok az említett adatok valamennyi kategóriájára vonatkoznak, függetlenül attól, hogy azokat milyen módon gyűjtötték, vagy azokat ki szolgáltatta, függetlenül az (EU) 2016/679 rendelet szerinti adatkezelés jogalapjától vagy az adatkezelő köz- vagy magánszervezetként betöltött jogállásától. Az e rendeletben előírt személyes elektronikus egészségügyi adatokhoz való hozzáférésre és azok hordozhatóságára vonatkozó további jogok nem sérthetik az (EU) 2016/679 rendelet által létrehozott hozzáférési és hordozhatósági jogokat. A természetes személyeket az említett rendeletben meghatározott feltételek mellett továbbra is megilletik azok a jogok.

(9) Míg az (EU) 2016/679 rendelet által biztosított jogok továbbra is alkalmazandók, az egészségügyi ágazatban tovább kell bővíteni a természetes személyeknek az (EU) 2016/679 rendeletben megállapított adathozzáférési jogát. Az említett rendelet értelmében az adatkezelőknek nem kell azonnali hozzáférést biztosítaniuk. Az egészségügyi adatokhoz való hozzáférés jogának végrehajtása számos helyen még mindig gyakran a kért egészségügyi adatok papíralapú vagy beszkennelt dokumentumok formájában történő rendelkezésre bocsátásával történik, ami időigényes az adatkezelő, így például egy kórház vagy más, hozzáférést biztosító egészségügyi szolgáltató számára. Az említett helyzet lassítja a természetes személyeknek az egészségügyi adatokhoz történő hozzáférését, és negatív hatással lehet rájuk, ha az egészségi állapotukkal összefüggő sürgető körülmények miatt azonnal szükségük van az ilyen hozzáférésre. Ezért hatékonyabb módot kell biztosítani a természetes személyek számára a személyes elektronikus egészségügyi adataikhoz való hozzáférésre. Biztosítani kell számukra azt a jogot, hogy - egy elektronikus egészségügyiadat-hozzáférési szolgáltatáson keresztül - ingyenes és azonnali hozzáféréssel rendelkezzenek - tiszteletben tartva ugyanakkor a technológiai megvalósíthatóságot is - a személyes elektronikus egészségügyi adatok meghatározott elsőbbségi kategóriáihoz, így például a betegösszefoglalóhoz. Az említett jogot a személyes elektronikus egészségügyi adatok kezelése szerinti tagállamtól, az egészségügyi szolgáltató típusától, az említett adatok forrásaitól vagy a természetes személy biztosítási helye szerinti tagállamtól függetlenül kell alkalmazni. Az e rendeletben megállapított, említett kiegészítő jog hatálya és gyakorlásának feltételei bizonyos módokon eltérnek az (EU) 2016/679 rendelet szerinti egészségügyi adatokhoz való hozzáférési jogtól, amely kiterjed az adatkezelő birtokában lévő valamennyi személyes adatra, és amelyet az egyéni adatkezelővel szemben gyakorolnak, akinek legfeljebb egy hónapon belül válaszolnia kell a kérelemre. A személyes elektronikus egészségügyi adatokhoz való, e rendelet szerinti hozzáférési jogot az e rendelet hatálya alá tartozó adatkategóriákra kell korlátozni, azt egy elektronikus egészségügyiadat-hozzáférési szolgáltatáson keresztül kell gyakorolni, és arra azonnali választ kell adni. Az (EU) 2016/679 rendelet szerinti jogokat továbbra is alkalmazni kell, lehetővé téve természetes személyek számára, hogy a mindkét jogi keret szerinti jogaikat élvezzék, különösen az elektronikus egészségügyi adatok papíralapú másolatának megszerzéséhez való jogot.

(10) Figyelembe kell venni, hogy a természetes személyek személyes elektronikus egészségügyi adataik bizonyos típusaihoz való azonnali hozzáférése a természetes személyek biztonságára nézve káros vagy etikátlan lehet. Például etikátlan lehet, ha a beteget elektronikus csatornán keresztül tájékoztatják egy gyógyíthatatlan betegség diagnózisáról, amely valószínűleg halálos lehet, ahelyett, hogy az említett információt először a beteggel folytatott konzultáció során közölnék. Ezért ilyen helyzetekben lehetővé kell tenni a személyes elektronikus egészségügyi adatokhoz való hozzáférés biztosításának korlátozott ideig való késleltetését, például addig, amikor az egészségügyi szakember el tudja magyarázni a helyzetet a betegnek. Lehetővé kell tenni a tagállamok számára, hogy megállapíthassanak ilyen kivételt, amennyiben az - az (EU) 2016/679 rendelet 23. cikkében lehetővé tett korlátozásokkal összhangban - egy demokratikus társadalomban szükséges és arányos intézkedésnek minősül.

(11) Ez a rendelet nem érinti a személyes elektronikus egészségügyi adatok első nyilvántartásba vételére vonatkozó tagállami hatásköröket, így például a genetikai adatok nyilvántartásának a természetes személy hozzájárulásához vagy egyéb biztosítékokhoz kötését. A tagállamok előírhatják, hogy az adatokat e rendelet alkalmazása előtt elektronikus formátumban bocsássák rendelkezésre. Ez nem érinti az e rendelet alkalmazását követően nyilvántartásba vett személyes elektronikus egészségügyi adatok elektronikus formátumban történő rendelkezésre bocsátására vonatkozó kötelezettséget.

(12) A számukra elérhető információk kiegészítése érdekében, lehetővé kell tenni a természetes személyek számára, hogy elektronikus egészségügyi adatokkal egészítsék ki az elektronikus egészségügyi dokumentációjukat, vagy további információkat tároljanak külön személyes egészségügyi dokumentációjukban, amelyhez egészségügyi szakemberek hozzáférhetnek. Előfordulhat, hogy a természetes személyek által megadott információk nem annyira megbízhatóak, mint az egészségügyi szakemberek által megadott és ellenőrzött elektronikus egészségügyi adatok és nem rendelkeznek ugyanolyan klinikai értékkel vagy jogi érvényességgel, mint egy egészségügyi szakember által szolgáltatott információk. Ezért a természetes személyek által az elektronikus egészségügyi dokumentációjukba bevitt adatoknak egyértelműen megkülönböztethetőeknek kell lenniük az egészségügyi szakemberek által szolgáltatott adatoktól. A természetes személyek említett lehetősége arra, hogy személyes elektronikus egészségügyi adatokat vigyenek be és egészítsenek ki, nem jogosíthatja fel őket az egészségügyi szakemberek által szolgáltatott személyes elektronikus egészségügyi adatok megváltoztatására.

(13) A természetes személyek számára annak lehetővé tétele, hogy könnyebben és gyorsabban férjenek hozzá személyes elektronikus egészségügyi adataikhoz, lehetővé fogja tenni számukra, hogy észleljék az esetleges hibákat, így például a helytelen információkat vagy a tévesen hozzájuk rendelt személyes egészségügyi dokumentációt. Ilyen esetekben a természetes személyek számára lehetővé kell tenni, hogy azonnal és díjmentesen online kérhessék a helytelen személyes elektronikus egészségügyi adatok helyesbítését egy elektronikus egészségügyiadat-hozzáférési szolgáltatáson keresztül. Az ilyen helyesbítési kérelmeket azután a releváns adatkezelőknek kell elbírálniuk, összhangban az (EU) 2016/679 rendelettel, szükség esetén a releváns képzettséggel rendelkező és a természetes személyek kezeléséért felelős egészségügyi szakemberek bevonásával.

(14) Az (EU) 2016/679 rendelet értelmében az adathordozhatósághoz való jog csak a hozzájárulás vagy szerződés alapján kezelt és az érintett által az adatkezelőnek szolgáltatott adatokra korlátozódik. Emellett az említett rendelet értelmében a természetes személyeknek csak akkor van joguk ahhoz, hogy a személyes adatokat közvetlenül egyik adatkezelőtől egy másikhoz továbbíttassák, amennyiben ez technikailag megvalósítható. A (EU) 2016/679 rendelet azonban nem ír elő kötelezettséget arra vonatkozóan, hogy az említett közvetlen továbbítást technikailag megvalósíthatóvá kell tenni. Az adathordozhatósághoz való jogot e rendelet alapján ki kell egészíteni, ezáltal lehetővé téve a természetes személyek számára, hogy személyes elektronikus egészségügyi adataik legalább bizonyos kiemelt kategóriáihoz hozzáférést biztosítsanak a választásuk szerinti egészségügyi szakembereknek, ilyen egészségügyi adatokat megosszanak ilyen egészségügyi szakemberekkel, és ilyen egészségügyi adatokat letöltsenek. Emellett a természetes személyeknek jogot kell biztosítani arra, hogy felkérjenek egy egészségügyi szolgáltatót arra, hogy elektronikus egészségügyi adataik egy részét továbbítsa egy egyértelműen azonosított címzettnek a társadalombiztosítási vagy megtérítési szolgáltatások ágazatában. Az ilyen továbbítás csak egyirányú lehet.

(15) Az e rendeletben meghatározott keret az (EU) 2016/679 rendeletben megállapított, adathordozhatósághoz való jogra épül annak biztosításával, hogy a természetes személyek érintettként továbbíthassák személyes elektronikus egészségügyi adataikat - ideértve a kikövetkeztethető adatokat is - az elektronikus egészségügyi dokumentáció európai csereformátumában, függetlenül az elektronikus egészségügyi adatok kezelésének jogalapjától. Az egészségügyi szakembereknek tartózkodniuk kell attól, hogy akadályozzák a természetes személyek jogainak alkalmazását, például azáltal, hogy megtagadják a más tagállamból származó és az elektronikus egészségügyi dokumentáció interoperábilis és megbízható európai csereformátumában szolgáltatott személyes elektronikus egészségügyi adatok figyelembevételét.

(16) Az egészségügyi szolgáltatók vagy más egyének elektronikus egészségügyi dokumentációhoz való hozzáférésének átláthatónak kell lennie az érintett természetes személyek számára. Az elektronikus egészségügyiadat-hozzáférési szolgáltatásoknak részletes tájékoztatást kell nyújtaniuk az adatokhoz való hozzáférésről, így például arról, hogy mikor és mely szervezet vagy természetes személy fért hozzá az adatokhoz, és mely adatokhoz fértek hozzá. A természetes személyek számára azt is lehetővé kell tenni, hogy lehetővé tegyék vagy letiltsák a velük kapcsolatos személyes elektronikus egészségügyi adataikhoz az egészségügyi szakemberek hozzáférését biztosító szolgáltatásokon keresztül történő hozzáférésre vonatkozó automatikus értesítéseket.

(17) Előfordulhat, hogy a természetes személyek nem akarnak hozzáférést biztosítani a személyes elektronikus egészségügyi adataik egyes részeihez, míg más részekhez lehetővé teszik a hozzáférést. Ez különösen releváns lehet olyan érzékeny egészségügyi problémák esetében, mint például a mentális vagy szexuális egészséggel kapcsolatos problémák, az érzékeny eljárások, például az abortusz, vagy az olyan konkrét gyógyszerekkel kapcsolatos adatok, amelyek más érzékeny problémákat fedhetnek fel. Támogatni kell ezért a személyes elektronikus egészségügyi adatok ilyen szelektív megosztását, és olyan korlátozásokkal kell azt végrehajtani, amelyeket az érintett természetes személy azonos módon határoz meg az adott tagállamon belül és a határokon átnyúló adatmegosztás tekintetében. Az említett korlátozásoknak kellő részletességet kell lehetővé tenniük ahhoz, hogy korlátozzák az adatkészletek egyes részeit, így például a betegösszefoglalók összetevőit. A korlátozások meghatározása előtt a természetes személyeket tájékoztatni kell az egészségügyi adatokhoz való hozzáférés korlátozásával járó betegbiztonsági kockázatokról. Tekintve, hogy a korlátozott személyes elektronikus egészségügyi adatok elérhetetlensége hatással lehet a természetes személy számára biztosított egészségügyi szolgáltatások nyújtására vagy minőségére, a természetes személyt terheli felelősség azért, ha az egészségügyi szolgáltató az egészségügyi szolgáltatások nyújtásakor nem veheti figyelembe az adatokat. A személyes elektronikus egészségügyi adatokhoz való hozzáférésre vonatkozó korlátozások életveszélyes következményekkel járhatnak, ezért vészhelyzetben a létfontosságú érdekek védelme érdekében lehetővé kell tenni az ezen adatokhoz való hozzáférést. A tagállamok nemzeti jogukban konkrétabb jogi rendelkezéseket írhatnak elő a természetes személyek által a személyes elektronikus egészségügyi adataik egy része tekintetében bevezetett korlátozások mechanizmusaira vonatkozóan, különös tekintettel az orvosi felelősségre azon esetekben, ahol az érintett természetes személy korlátozásokat vezetett be.

(18) Emellett, mivel a tagállamok eltérő érzékenységet mutatnak a betegek egészségügyi adataik feletti ellenőrzésének mértékével kapcsolatban, a tagállamok számára lehetővé kell tenni, hogy biztosítsák a kifogásoláshoz való abszolút jogot az eredeti adatkezelőtől eltérő bármely személynek a személyes elektronikus egészségügyi adataikhoz való hozzáférésével szemben, annak lehetősége nélkül, hogy az említett kifogásolást vészhelyzetben felülbírálják. Ilyen esetben a tagállamoknak meg kell állapítaniuk az ilyen kifogásolási mechanizmusokra vonatkozó szabályokat és konkrét biztosítékokat. Az említett szabályok és konkrét biztosítékok a személyes elektronikus egészségügyi adatok meghatározott kategóriáira, például a genetikai adatokra is vonatkozhatnak. A kifogásolási jog azt jelenti, hogy az azzal élő természetes személlyel kapcsolatos személyes elektronikus egészségügyi adatokat az európai egészségügyi adattér keretében létrehozott szolgáltatásokon keresztül nem teszik hozzáférhetővé a kezelést nyújtó egészségügyi szolgáltató kivételével. A tagállamok előírhatják a személyes elektronikus egészségügyi adatoknak az egészségügyi szolgáltatásokat nyújtó egészségügyi szolgáltató által használt és kizárólag az említett egészségügyi szolgáltató számára hozzáférhető EHR-rendszerben történő nyilvántartásba vételét és tárolását. Ha egy természetes személy élt a kifogásolási jogával, az egészségügyi szolgáltatók továbbra is dokumentálják az alkalmazandó szabályoknak megfelelően nyújtott kezelést, és hozzáférhetnek az általuk nyilvántartott adatokhoz. A kifogásolási joggal élő természetes személyek számára lehetővé kell tenni, hogy döntésüket megváltoztassák. Ilyen esetekben előfordulhat, hogy a kifogásolás időtartama alatt keletkezett személyes elektronikus egészségügyi adatok nem érhetők el a hozzáférési szolgáltatásokon és az Egészségem@EU-n (MyHealth@EU) keresztül.

(19) Az egészségügyi szakembereknek a betegek egészségügyi dokumentációjához időben történő és teljeskörű hozzáférése alapvető fontosságú az ellátás folyamatosságának biztosítása, a párhuzamosságok és hibák elkerülése, valamint a költségek csökkentése érdekében. Azonban az interoperabilitás hiánya miatt az egészségügyi szakemberek sok esetben nem férhetnek hozzá a betegeik teljes egészségügyi dokumentációjához, és nem tudnak optimális orvosi döntéseket hozni diagnózisuk és kezelésük tekintetében, ami jelentős költségekkel jár mind az egészségügyi rendszerek, mind a természetes személyek számára, és rosszabb egészségügyi eredményekhez vezethet a természetes személyek számára. Az interoperábilis formátumban rendelkezésre bocsátott és az egészségügyi szolgáltatók között továbbítható elektronikus egészségügyi adatok csökkenthetik az egészségügyi szakemberekre nehezedő, az egészségügyi adatok elektronikus rendszerek közötti manuális bevitelével vagy másolásával összefüggő adminisztratív terheket is. Ezért az egészségügyi szakemberek számára megfelelő elektronikus eszközöket - így például megfelelő elektronikus eszközöket és egészségügyi szakmai portálokat vagy az egészségügyi szakemberek hozzáférését biztosító egyéb szolgáltatásokat - kell biztosítani ahhoz, hogy feladataik ellátásához személyes elektronikus egészségügyi adatokat használhassanak fel. Mivel nehéz előzetesen kimerítően meghatározni, hogy a kiemelt kategóriákba tartozó meglévő adatok közül melyek relevánsak orvosi szempontból egy adott ellátási időszakban, az egészségügyi szakembereknek széles körű adathozzáféréssel kell rendelkezniük. A betegeikkel kapcsolatos adatokhoz való hozzáférés során az egészségügyi szakembereknek meg kell felelniük az alkalmazandó jognak, magatartási kódexeknek, etikai iránymutatásoknak vagy az etikus magatartásra irányadó egyéb rendelkezéseknek az információk megosztása vagy az azokhoz való hozzáférés tekintetében, különösen életveszélyes vagy szélsőséges helyzetekben. Az (EU) 2016/679 rendelettel összhangban az egészségügyi szolgáltatóknak a személyes elektronikus egészségügyi adatokhoz való hozzáférés során az adattakarékosság elvét kell követniük, a hozzáférés tárgyát képező adatokat az adott szolgáltatáshoz feltétlenül szükséges és indokolt adatokra korlátozva. Az egészségügyi szakemberek hozzáférését biztosító szolgáltatások biztosítása az e rendelet által kijelölt közérdekű feladat, és az ilyen feladat ellátásához az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének e) pontjában említettek szerinti személyesadat-kezelésre van szükség. E rendelet - az (EU) 2016/679 rendelet 9. cikke (2) bekezdésének h) pontjával összhangban - feltételeket és biztosítékokat ír elő az elektronikus egészségügyi adatoknak az egészségügyi szakemberek hozzáférését biztosító szolgáltatás által történő kezelésére vonatkozóan, például a személyes elektronikus egészségügyi adatokhoz való hozzáférés naplózására vonatkozó részletes rendelkezéseket, és amelyek az érintettek számára átláthatóságot biztosítanak. Azonban e rendelet nem sértheti az egészségügyi adatok egészségügyi ellátás nyújtása keretében történő kezelésére vonatkozó nemzeti jogot, beleértve azon nemzeti jogot is, amelyek meghatározzák az elektronikus egészségügyi adatok különböző kategóriáinak kezelésére jogosult egészségügyi szakemberek kategóriáit.

(20) Az e rendelet alapján létrehozott kiegészítő hozzáférési és hordozhatósági jogok gyakorlásának megkönnyítése érdekében a tagállamoknak létre kell hozniuk egy vagy több elektronikus egészségügyiadat-hozzáférési szolgáltatást. Az említett szolgáltatások nemzeti, regionális vagy helyi szinten, vagy egészségügyi szolgáltatók által nyújthatók online betegportál, mobileszközökre szánt alkalmazás formájában vagy más módon. Akadálymentes módon kell megtervezni azokat, különös tekintettel a fogyatékossággal élő személyekre. Jelentős közérdek ilyen szolgáltatást nyújtani annak lehetővé tétele érdekében, hogy a természetes személyek könnyen hozzáférjenek személyes elektronikus egészségügyi adataikhoz. A személyes elektronikus egészségügyi adatoknak az említett szolgáltatásokon keresztül történő kezelésére az e rendelet által az (EU) 2016/679 rendelet 6. cikk (1) bekezdésének e) pontja és 9. cikke (2) bekezdésének g) pontja értelmében kijelölt feladat ellátásához van szükség. E rendelet meghatározza az elektronikus egészségügyi adatoknak az elektronikus egészségügyiadat-hozzáférési szolgáltatások keretében történő kezeléséhez szükséges feltételeket és biztosítékokat, így például az ilyen szolgáltatásokhoz hozzáférő természetes személyek elektronikus azonosítását.

(21) Lehetővé kell tenni a természetes személyek számára, hogy választásuk szerinti más természetes személyeknek - így például hozzátartozóiknak vagy más közeli természetes személyeknek -meghatalmazást adjanak, képessé téve az ilyen választásuk szerinti személyeket arra, hogy hozzáférjenek vagy ellenőrizzék a hozzáférést az engedélyt adó természetes személyek személyes elektronikus egészségügyi adataihoz, vagy a nevükben digitális egészségügyi szolgáltatásokat vegyenek igénybe. Az ilyen meghatalmazások az ilyen meghatalmazással rendelkező természetes személyek általi más felhasználásra is hasznosak lehetnek. A tagállamoknak létre kell hozniuk az ilyen meghatalmazások lehetővé tételét és végrehajtását szolgáló proxy szolgáltatásokat, és azokat a személyes elektronikus egészségügyiadat-hozzáférési szolgáltatásokhoz kell kapcsolni, így például betegportálokhoz vagy mobil eszközökre szánt betegoldali alkalmazásokhoz. Az említett proxy szolgáltatásoknak azt is lehetővé kell tenniük a gondviselők számára, hogy eltartott családtagjaik - ideértve a kiskorúakat is - nevében eljárjanak; ilyen helyzetekben az engedélyek lehetnek automatikusak. Az említett proxy szolgáltatások mellett a tagállamoknak olyan, megfelelően képzett személyzet által biztosítandó, könnyen hozzáférhető támogató szolgáltatásokat is létre kell hozniuk, amely személyzet segítséget nyújt a természetes személyeknek a jogaik gyakorlása során. Azon esetek figyelembevétele érdekében, amelyekben az eltartott személyek bizonyos személyes elektronikus egészségügyi adatainak a gondviselőik számára történő megjelenítése ellentétes lehet az eltartottak - ideértve a kiskorúakat is - érdekeivel vagy akaratával, a tagállamok számára lehetővé kell tenni, hogy a nemzeti jogban korlátozásokat és biztosítékokat írjanak elő, valamint mechanizmusokat azok technikai megvalósításához. A személyes elektronikus egészségügyiadat-hozzáférési szolgáltatásoknak - így például a betegportáloknak vagy a mobil eszközökre szánt betegoldali alkalmazásoknak - élniük kell az ilyen meghatalmazásokkal, és ezáltal lehetővé kell tenniük a meghatalmazással rendelkező természetes személyek számára, hogy hozzáférjenek a meghatalmazás hatálya alá tartozó személyes elektronikus egészségügyi adatokhoz. Annak érdekében, hogy horizontális megoldást nyújtsanak fokozott felhasználóbarát megoldással, a digitális proxy megoldásokat össze kell hangolni a 910/2014/EU európai parlamenti és tanácsi rendelettel (7) és az európai digitális személyiadat-tárca műszaki előírásaival. Az említett összehangolás hozzájárulna mind az adminisztratív, mind a pénzügyi terhek csökkentéséhez a tagállamok számára azáltal, hogy Unió-szerte csökkenti a nem interoperábilis párhuzamos rendszerek kialakításának kockázatát.

(22) Egyes tagállamokban az egészségügyi ellátást alapellátást biztosító csoportok nyújtják, amelyek az alapellátásra koncentráló egészségügyi szakemberek - így például a háziorvosok - csoportjai, akik az alapellátási tevékenységüket az általuk kidolgozott egészségügyi terv alapján végzik. Több tagállamban más típusú egészségügyi csoportok is léteznek egyéb gondozási célokra. Az egészségügyi adatoknak az európai egészségügyi adattérben történő elsődleges felhasználásával összefüggésben az ilyen csoportokhoz tartozó egészségügyi szakemberek számára hozzáférést kell biztosítani.

(23) Az (EU) 2016/679 rendelet alapján létrehozott felügyeleti hatóságok rendelkeznek hatáskörrel e rendelet alkalmazásának ellenőrzésére és érvényesítésére, különösen a személyes elektronikus egészségügyi adatok kezelésének ellenőrzése és az érintett természetes személyek által benyújtott panaszok kezelése terén. E rendelet a természetes személyek számára további jogokat állapít meg az elsődleges használatra vonatkozóan, amelyek túlmutatnak az (EU) 2016/679 rendeletben rögzített hozzáférési és hordozhatósági jogokon, és kiegészítik azokat. Mivel az említett további jogokat is érvényesíteniük kell az (EU) 2016/679 rendelet alapján létrehozott felügyeleti hatóságoknak, a tagállamoknak biztosítaniuk kell, hogy az említett felügyeleti hatóságok rendelkezzenek az említett további feladatok hatékony ellátásához szükséges emberi erőforrásokkal, helyiségekkel és infrastruktúrával. Az e rendeletnek megfelelően a személyes elektronikus egészségügyi adatok elsődleges felhasználás céljából történő kezelésének ellenőrzéséért és végrehajtásáért felelős felügyeleti hatóságnak vagy hatóságoknak hatáskörrel kell rendelkezniük közigazgatási bírságok kiszabására. Dánia jogrendszere nem teszi lehetővé az e rendeletben meghatározott közigazgatási bírságok kiszabását. A közigazgatási bírságokra vonatkozó szabályok oly módon alkalmazhatók, hogy Dániában a bírságokat az illetékes nemzeti bíróságok büntetőjogi szankcióként szabják ki, feltéve, hogy a szabályok ilyen alkalmazása a felügyeleti hatóságok által kiszabott közigazgatási bírságokkal azonos joghatással jár. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

(24) A tagállamoknak törekedniük kell arra, hogy e rendelet alkalmazása során betartsák az etikai elveket, így például az e-egészségügyi hálózat által 2022. január 26-án elfogadott, a digitális egészségügyre vonatkozó európai etikai elveket, továbbá az egészségügyi szakember és a beteg közötti bizalmasság elvét. Elismerve az etikai elvek fontosságát, a digitális egészségügyre vonatkozó európai etikai elvek iránymutatást nyújtanak a gyakorló szakemberek, a kutatók, az innovátorok, a szakpolitikai döntéshozók és a szabályozók számára.

(25) Az elektronikus egészségügyi adatok különböző kategóriáinak relevanciája a különböző egészségügyi forgatókönyvek szempontjából változhat. A különböző kategóriák a szabványosítás tekintetében is eltérő érettségi szintet értek el, ezért a cseréjükre szolgáló mechanizmusok végrehajtása a kategóriától függően lehet bonyolultabb vagy kevésbé bonyolult. Ezért az interoperabilitást és az adatmegosztást fokozatosan kell fejleszteni, és az elektronikus egészségügyi adatok bizonyos kategóriáit rangsorolni kell. Az elektronikus egészségügyi adatok olyan kategóriáit, mint például a betegösszefoglalókat, az elektronikus orvosi rendelvényeket és gyógyszerkiadásokat, az orvosi képalkotási vizsgálatokat és a kapcsolódó képalkotási jelentéseket, az orvosi vizsgálati eredményeket, így például a laboratóriumi eredményeket és a kapcsolódó jelentéseket, valamint a záró dokumentumokat az e-egészségügyi hálózat az egészségügyi helyzetek többsége szempontjából a legrelevánsabbnak minősítette, és azokat a hozzáférés és a továbbítás tekintetében a tagállamoknak elsőbbségi kategóriáknak kell tekinteniük. Amennyiben az ilyen elsőbbségi adatkategóriák elektronikus egészségügyi adatok csoportjait képviselik, e rendelet mind a csoportok egészére, mind az említett csoportokban foglalt egyedi adatbejegyzésekre alkalmazandó. Például - mivel az oltási státusz a betegösszefoglaló része - a betegösszefoglalóhoz kapcsolódó jogokat és követelményeket az ilyen oltási státuszra is alkalmazni kell, még akkor is, ha azt a teljes betegösszefoglalótól elkülönítve kezelik. Amennyiben egészségügyi ellátás céljából elektronikus egészségügyi adatok további kategóriáinak cseréjére vonatkozó igényeket azonosítanak, az említett további kategóriákhoz való hozzáférést és azok megosztását lehetővé kell tenni e rendelet alapján. A további kategóriákat először tagállami szinten kell végrehajtani, és e rendeletben rendelkezni kell az ilyen adatkategóriáknak határokon átnyúló helyzetekben az együttműködő tagállamok közötti önkéntes alapon történő megosztásáról. Különös figyelmet kell fordítani a szomszédos tagállamok határ menti régióiban folytatott adatcserére, ahol a határokon átnyúló egészségügyi szolgáltatások nyújtása gyakoribb, és még gyorsabb eljárásokat igényel, mint általában az Unió egészében.

(26) A személyes egészségügyi és genetikai adatok elektronikus formátumban való rendelkezésre állásának szintje tagállamonként eltérő. Az európai egészségügyi adattérnek meg kell könnyítenie a természetes személyek számára ezen adatok elektronikus formátumban történő rendelkezésre bocsátását, továbbá a személyes elektronikus egészségügyi adataikhoz való hozzáférés és azok megosztása feletti jobb ellenőrzést. Ez hozzájárulna azon célkitűzés eléréséhez is, hogy 2030-ra az uniós polgárok 100 %-a hozzáférjen elektronikus egészségügyi dokumentációjához, amint azt az (EU) 2022/2481 európai parlamenti és tanácsi határozat (8) említi. Az elektronikus egészségügyi adatok hozzáférhetővé és továbbíthatóvá tétele érdekében az ilyen adatokhoz az elektronikus egészségügyi dokumentáció interoperábilis, közös európai formátumában kell hozzáférni, és azokat az említett formátumban kell továbbítani legalább az elektronikus egészségügyi adatok bizonyos kategóriái esetében, mint például a betegösszefoglalók, az elektronikus orvosi rendelvények és gyógyszerkiadások, az orvosi képalkotási vizsgálatok és a kapcsolódó képalkotási jelentések, az orvosi vizsgálati eredmények és a záró dokumentumok, átmeneti időszakokra vonatkozóan. Amennyiben a személyes elektronikus egészségügyi adatokat természetes személy bocsátja az egészségügyi szolgáltató vagy gyógyszertár rendelkezésére, vagy azokat egy másik adatkezelő az elektronikus egészségügyi dokumentáció európai csereformátumában továbbítja, az említett formátumot el kell fogadni, és a címzettnek képesnek kell lennie az adatok olvasására és használatára az egészségügyi ellátás nyújtása vagy gyógyszer kiadása céljából, ezáltal támogatva az egészségügyi szolgáltatások nyújtását vagy az elektronikus orvosi rendelvény kiadását. Az elektronikus egészségügyi dokumentáció európai csereformátumát úgy kell kialakítani, hogy a lehetőségekhez mérten megkönnyítse az említett formátum használatával közölt elektronikus egészségügyi adatoknak az Unió hivatalos nyelveire történő lefordítását. Az (EU) 2019/243 bizottsági ajánlás (9) hozza létre az elektronikus egészségügyi dokumentáció közös európai csereformátumának alapjait. Az európai egészségügyi adattér interoperabilitásának hozzá kell járulnia ahhoz, hogy magas színvonalú európai egészségügyi adatkészletek létezzenek. Az elektronikus egészségügyi dokumentáció európai csereformátuma használatának uniós és nemzeti szinten elterjedtebbnek kell lennie. Az elektronikus egészségügyi dokumentáció európai csereformátuma a használatát illetően eltérő profilokkal rendelkezhet az EHR-rendszerek szintjén és az Egészségem@EU-ban (MyHealth@EU) a digitális egészségügyért felelős nemzeti kapcsolattartó pontok szintjén a határokon átnyúló adatcsere vonatkozásában.

(27) Bár az EHR-rendszerek széles körben elterjedtek, az egészségügyi adatok digitalizálásának szintje az adatkategóriáktól és az egészségügyi adatokat elektronikus formátumban regisztráló egészségügyi szolgáltatók lefedettségétől függően tagállamonként eltérő. Az érintetteknek az elektronikus egészségügyi adatokhoz való hozzáféréshez és az ezen adatok cseréjéhez fűződő jogának érvényesítését a további széttagoltság elkerülése érdekében szükséges uniós fellépéssel támogatni. Az egészségügyi ellátás magas színvonalához és folyamatosságához való hozzájárulás érdekében az egészségügyi adatok bizonyos kategóriáit szisztematikusan és egyedi adatminőségi követelményeknek megfelelően elektronikus formátumban kell regisztrálni. Az elektronikus egészségügyi dokumentáció európai csereformátumának kell az elektronikus egészségügyi adatok nyilvántartásba vételével és cseréjével kapcsolatos előírások alapját képeznie.

(28) A távorvoslás egyre fontosabb eszközzé válik, amely hozzáférést biztosíthat a betegek számára az ellátáshoz, és kezelheti az egyenlőtlenségeket. Alkalmas arra, hogy csökkentse az egészségügyi egyenlőtlenségeket, és előmozdítsa az uniós polgárok határokon átnyúló szabad mozgását. A digitális és egyéb technológiai eszközök megkönnyíthetik az ellátás nyújtását a távoli régiókban. Amennyiben egészségügyi szolgáltatások fizikai nyújtását digitális szolgáltatások kísérik, a digitális szolgáltatásnak az általános ellátás részét kell képeznie. Az Európai Unió működéséről szóló szerződés (EUMSZ) 168. cikke értelmében a tagállamok felelősek egészségügyi politikájukért, különösen az egészségügyi szolgáltatások és az orvosi ellátás megszervezéséért és biztosításáért, beleértve az olyan tevékenységek szabályozását is, mint az online gyógyszertárak, a távorvoslás és egyéb olyan szolgáltatások, amelyeket a nemzeti jogszabályaikkal összhangban nyújtanak, és amelyek számára térítést nyújtanak. A különböző egészségügyi politikák azonban nem képezhetnek akadályokat az elektronikus egészségügyi adatok szabad áramlásának a határokon átnyúló egészségügyi ellátással - például a távorvoslással és az online gyógyszertári szolgáltatásokkal - összefüggésben.

(29) A 910/2014/EU rendelet megállapítja azon feltételeket, amelyek mellett a tagállamok a határokon átnyúló helyzetekben természetes személyek azonosítását egy másik tagállam által kibocsátott azonosító eszközzel végzik, és meghatározza az ilyen elektronikus azonosító eszközök kölcsönös elismerésére vonatkozó szabályokat. Az európai egészségügyi adattér az elektronikus egészségügyi adatokhoz való biztonságos hozzáférést ír elő, többek között határokon átnyúló helyzetekben is. Az egészségügyiadat-hozzáférési szolgáltatásoknak és a távorvoslási szolgáltatásoknak lehetővé kell tenniük a természetes személyek számára, hogy gyakorolják jogaikat a biztosítás helye szerinti tagállamtól függetlenül, és ezért támogatniuk kell a természetes személyek azonosítását a 910/2014/EU rendelet alapján elismert bármely elektronikus azonosító eszköz használatával. Tekintve a személyazonosság-megfeleltetésre vonatkozó kihívások lehetőségét határokon átnyúló helyzetekben, szükséges lehet, hogy az ellátás helye szerinti tagállamok kiegészítő hozzáférési mechanizmusokat - így például tokeneket vagy kódokat - biztosítsanak a más tagállamokból érkező és egészségügyi ellátásban részesülő természetes személyek számára. A Bizottságot fel kell hatalmazni arra, hogy végrehajtási jogi aktusokat fogadjon el a természetes személyek és az egészségügyi szakemberek interoperábilis, határokon átnyúló azonosítására és hitelesítésére vonatkozóan, beleértve az annak biztosításához szükséges kiegészítő mechanizmusokat is, hogy a természetes személyek határokon átnyúló helyzetekben gyakorolhassák a személyes elektronikus egészségügyi adatokkal kapcsolatos jogaikat.

(30) A tagállamoknak külön szervezetként vagy már meglévő hatóságok részeként releváns digitális egészségügyi hatóságokat kell kijelölniük az egészségügyi adatokhoz való elektronikus hozzáférésre és azok továbbítására, valamint a természetes személyek és az egészségügyi szakemberek jogainak érvényesítésére vonatkozó szabványok megtervezése és végrehajtása céljából. A digitális egészségügyi hatóság személyzete nem rendelkezhet pénzügyi vagy egyéb érdekeltséggel olyan iparágakban vagy gazdasági tevékenységekben, amely befolyásolhatja pártatlanságát. A legtöbb tagállamban már léteznek digitális egészségügyi hatóságok, amelyek az elektronikus egészségügyi dokumentációkkal, az interoperabilitással, a biztonsággal vagy a szabványosítással foglalkoznak. Feladataik ellátása során a digitális egészségügyi hatóságoknak együtt kell működniük különösen az (EU) 2016/679 rendelet alapján létrehozott felügyeleti hatóságokkal és a 910/2014/EU rendelet alapján létrehozott felügyeleti szervekkel. A digitális egészségügyi hatóságok együttműködhetnek az (EU) 2024/1689 európai parlamenti és tanácsi rendelettel (10) létrehozott Mesterséges Intelligenciával Foglalkozó Európai Testülettel, az (EU) 2017/745 európai parlamenti és tanácsi rendelettel létrehozott (11) orvostechnikai eszközökkel foglalkozó koordinációs csoporttal, az (EU) 2022/868 európai parlamenti és tanácsi rendelet (12) alapján létrehozott Európai Adatinnovációs Testülettel és az (EU) 2023/2854 európai parlamenti és tanácsi rendelet (13) szerinti illetékes hatóságokkal is. A tagállamoknak meg kell könnyíteniük a nemzeti szereplők részvételét az uniós szintű együttműködésben, be kell csatornázzák a szakértelmet és tanácsot kell adjanak az európai egészségügyi adattér céljainak eléréséhez szükséges megoldások kidolgozásához.

(31) Bármely egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslat sérelme nélkül, bármely természetes vagy jogi személy jogosult a hatékony bírósági jogorvoslatra egy digitális egészségügyi hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben, vagy amennyiben egy digitális egészségügyi hatóság nem kezeli a panaszt, vagy három hónapon belül nem tájékoztatja a természetes vagy jogi személyt a benyújtott panasz előrehaladásáról vagy eredményéről. A digitális egészségügyi hatósággal szembeni eljárást a digitális egészségügyi hatóság székhelye szerinti tagállamok bíróságai előtt kell megindítani.

(32) A digitális egészségügyi hatóságoknak megfelelő műszaki készségekkel kell rendelkezniük, lehetőség szerint azáltal, hogy összehozzák különböző szervezetek szakértőit. A digitális egészségügyi hatóságok tevékenységeit hatékonyságuk biztosítása érdekében alaposan meg kell tervezni és nyomon kell követni. A digitális egészségügyi hatóságoknak nemzeti, regionális és helyi technikai megoldások - így például nemzeti elektronikus egészségügyi dokumentációval kapcsolatos közvetítő megoldások és betegportálok - létrehozásával meg kell hozniuk a természetes személyek jogainak biztosításához szükséges intézkedéseket. E szükséges intézkedések meghozatala során a digitális egészségügyi hatóságoknak közös szabványokat és előírásokat kell alkalmazniuk az ilyen megoldásoknál, elő kell mozdítaniuk a szabványoknak és előírásoknak a közbeszerzések során történő alkalmazását, és egyéb innovatív eszközöket kell alkalmazniuk, ideértve az európai egészségügyi adattér interoperabilitási és biztonsági követelményeinek megfelelő megoldások megtérítését is. A tagállamoknak biztosítaniuk kell, hogy megfelelő képzési kezdeményezésekre kerüljön sor. Így különösen, az egészségügyi szakembereket tájékoztatni és képezni kell az e rendelet szerinti jogaik és kötelezettségeik tekintetében. Feladataik ellátása érdekében a digitális egészségügyi hatóságoknak uniós és nemzeti szinten együtt kell működniük más szervezetekkel, többek között biztosítókkal, egészségügyi szolgáltatókkal, egészségügyi szakemberekkel, EHR-rendszerek és jólléti alkalmazások gyártóival, valamint egészségügyi vagy információtechnológiai ágazatbeli egyéb érdekelt felekkel, megtérítési rendszereket kezelő szervezetekkel, egészségügyitechnológia-értékelő szervekkel, gyógyszerszabályozó hatóságokkal és ügynökségekkel, orvostechnikai eszközökkel foglalkozó hatóságokkal, beszerzőkkel és kiberbiztonsági vagy elektronikus azonosításért felelős hatóságokkal.

(33) Az elektronikus egészségügyi adatokhoz való hozzáférés és azok továbbítása a határokon átnyúló egészségügyi helyzetekben releváns, mivel elősegítheti az egészségügyi ellátás folyamatosságát, amikor a természetes személyek más tagállamba utaznak vagy tartózkodási helyet váltanak. Az ellátás folyamatossága és a személyes elektronikus egészségügyi adatokhoz való gyors hozzáférés még fontosabb a határ menti régiók lakosai számára, akik gyakran lépik át a határt, hogy egészségügyi ellátásban részesüljenek. Számos határ menti régióban előfordulhat, hogy egyes szakosodott egészségügyi szolgáltatások a határon túl közelebb érhetőek el, mint ugyanazon tagállamban. Infrastruktúrára van szükség a személyes elektronikus egészségügyi adatok határokon átnyúló továbbításához azokban a helyzetekben, amikor egy természetes személy egy másik tagállamban letelepedett egészségügyi szolgáltató szolgáltatásait veszi igénybe. Fontolóra kell venni az ilyen infrastruktúra fokozatos bővítését és finanszírozását. A 2011/24/EU európai parlamenti és tanácsi irányelvben (14) meghatározott célkitűzések elérését célzó intézkedések részeként létrehozták az e célra szolgáló önkéntes infrastruktúrát, az Egészségem@EU-t (MyHealth@EU). Az Egészségem@EU-n (MyHealth@EU) keresztül a tagállamok megkezdték a természetes személyek részére azon lehetőség biztosítását, hogy külföldi utazásaik során megoszthassák személyes elektronikus egészségügyi adataikat az egészségügyi szolgáltatókkal. Az említett tapasztalatokra építve, kötelezővé kell tenni a tagállamok részvételét az e rendelettel létrehozott Egészségem@EU-ban (MyHealth@EU). Az Egészségem@EU-ra (MyHealth@EU) vonatkozó műszaki előírásoknak lehetővé kell tenniük az elektronikus egészségügyi adatok kiemelt kategóriáinak, valamint az elektronikus egészségügyi dokumentáció európai csereformátuma által támogatott további kategóriák megosztását. Az említett előírásokat végrehajtási jogi aktusok útján kell meghatározni, és azoknak az elektronikus egészségügyi dokumentáció európai csereformátumára vonatkozó, határokon átnyúló előírásokon kell alapulniuk, kiegészíve a kiberbiztonságra, a műszaki és szemantikai interoperabilitásra, a műveletekre és a szolgáltatásirányításra vonatkozó további előírásokkal. A tagállamokat kötelezni kell az Egészségem@EU-hoz (MyHealth@EU) történő csatlakozásra, a műszaki előírásainak való megfelelésre, és arra, hogy az egészségügyi szolgáltatókat, többek között a gyógyszertárakat is csatlakoztassák ahhoz, mivel ez a természetes személyek e rendelettel megállapított azon jogának érvényesítéséhez szükséges, hogy - a természetes személyek tartózkodása szerinti tagállamtól függetlenül - hozzáférjenek személyes elektronikus egészségügyi adataikhoz és felhasználják azokat.

(34) Az Egészségem@EU (MyHealth@EU) közös infrastruktúrát biztosít a tagállamok számára a konnektivitás és az interoperabilitás hatékony és biztonságos módon történő biztosításához a határokon átnyúló egészségügyi ellátás támogatása érdekében, anélkül, hogy ez érintené a tagállamok felelősségét a személyes elektronikus egészségügyi adatok ezen infrastruktúrán keresztül történő továbbítása előtt és után. A tagállamok felelősek a digitális egészségügyért felelős nemzeti kapcsolattartó pontjaik megszervezéséért és az egészségügyi ellátás nyújtása céljából történő személyesadat-kezelésért, az említett adatoknak az Egészségem@EU-n (MyHealth@EU) keresztül történő továbbítását megelőzően és azt követően. A Bizottságnak megfelelőségi ellenőrzések révén nyomon kell követnie, hogy a digitális egészségügyért felelős nemzeti kapcsolattartó pontok megfelelnek-e a szükséges követelményeknek az Egészségem@EU (MyHealth@EU) műszaki fejlesztése tekintetében, valamint a személyes elektronikus egészségügyi adatok biztonságára, bizalmas jellegére és védelmére vonatkozó részletes szabályoknak. Egy nemzeti kapcsolattartó pont súlyos meg nem felelése esetén a Bizottság számára lehetővé kell tenni, hogy felfüggessze az adott nemzeti kapcsolattartó pont által nyújtott érintett szolgáltatásokat. A Bizottságnak a tagállamok nevében adatfeldolgozóként kell eljárnia az Egészségem@EU-n (MyHealth@EU) belül, és központi szolgáltatásokat kell nyújtania számára. Az adatvédelmi szabályoknak való megfelelés biztosítása és a személyes elektronikus egészségügyi adatok továbbítására vonatkozó kockázatkezelési keret biztosítása érdekében végrehajtási jogi aktusokban részletesen meg kell határozni a tagállamok mint közös adatkezelők konkrét felelősségeit, valamint a Bizottság mint a nevükben eljáró adatfeldolgozó kötelezettségeit. Az egyes tagállamok kizárólagos felelősséggel tartoznak az adott tagállamon belüli adatokért és szolgáltatásokért. E rendelet biztosítja a jogalapot a személyes elektronikus egészségügyi adatoknak az Egészségem@EU-ban (MyHealth@EU) történő, az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének e) pontja értelmében vett, az uniós jog által közérdekű feladatként történő kezeléséhez. Az említett adatkezelés a hivatkozott rendelet 9. cikke (2) bekezdésének h) pontjában említett egészségügyi ellátás határokon átnyúló helyzetekben történő nyújtásához szükséges.

(35) A személyes elektronikus egészségügyi adatoknak az Egészségem@EU-ban (MyHealth@EU) az elektronikus egészségügyi dokumentáció európai csereformátuma alapján történő cseréjére irányuló szolgáltatások mellett, más szolgáltatásokra vagy kiegészítő infrastruktúrákra is szükség lehet, például népegészségügyi szükséghelyzetek esetén, vagy ahol az Egészségem@EU (MyHealth@EU) architektúrája nem alkalmas egyes felhasználási esetek végrehajtására. Az ilyen felhasználási esetek közé tartozik például az oltási kártya funkcióinak támogatása, beleértve az oltási tervekre vonatkozó információk cseréjét, vagy az oltási igazolványok vagy más, egészségügyi vonatkozású igazolványok ellenőrzését. Az ilyen további felhasználási esetek fontosak volnának a népegészségügyi válságok kezelésére szolgáló további funkciók - így például a fertőző betegségek megfékezése céljából a kontaktkutatás támogatása - bevezetése szempontjából is. Az Egészségem@EU-nak (MyHealth@EU) támogatnia kell a személyes elektronikus egészségügyi adatok megosztását releváns harmadik országok digitális egészségügyért felelős nemzeti kapcsolattartó pontjaival és nemzetközi szervezetek által nemzetközi szinten létrehozott rendszerekkel az egészségügyi ellátás folytonosságához való hozzájárulás érdekében. Ez különösen releváns a szomszédos harmadik országokba, a tagjelölt országokba, valamint a társult tengerentúli országokba és területekre, illetve az ezekből utazó személyek szempontjából. A harmadik országok ilyen digitális egészségügyért felelős nemzeti kapcsolattartó pontjainak az Egészségem@EU-hoz (MyHealth@EU) történő csatlakozását és a nemzetközi szervezetek által nemzetközi szinten létrehozott digitális rendszerekkel való interoperabilitást ellenőrizni kell annak biztosítása érdekében, hogy az említett kapcsolattartó pontok és digitális rendszerek megfeleljenek az Egészségem@EU (MyHealth@EU) műszaki előírásainak, adatvédelmi szabályainak és egyéb követelményeinek. Emellett, tekintve, hogy az Egészségem@EU-hoz (MyHealth@EU) való csatlakozás személyes elektronikus egészségügyi adatok harmadik országokba történő továbbítását fogja maga után vonni - így például a betegösszefoglaló megosztását, amikor a beteg az adott harmadik országban kíván ellátást igénybe venni -, az (EU) 2016/679 rendelet V. fejezete szerinti releváns adattovábbítási eszközöknek kell rendelkezésre állniuk. A Bizottságot fel kell hatalmazni arra, hogy végrehajtási jogi aktusokat fogadjon el, hogy megkönnyítse a harmadik országok ilyen digitális egészségügyért felelős nemzeti kapcsolattartó pontjainak és a nemzetközi szervezetek által nemzetközi szinten létrehozott rendszereknek az Egészségem@EU-hoz (MyHealth@EU) történő csatlakozását. Az említett végrehajtási jogi aktusok előkészítése során figyelembe kell venni a tagállamok nemzetbiztonsági érdekeit.

(36) Az elektronikus egészségügyi adatok gördülékeny megosztása és a természetes személyek és az egészségügyi szakemberek jogai tiszteletben tartásának biztosítása érdekében a belső piacon forgalmazott EHR-rendszerek számára lehetővé kell tenni kiváló minőségű elektronikus egészségügyi adatok biztonságos módon történő tárolását és továbbítását. Az európai egészségügyi adattér egyik kulcsfontosságú célkitűzése az elektronikus egészségügyi adatok Unión belüli biztonságos és szabad áramlásának biztosítása. E célból és a piac széttagoltságának leküzdése érdekében létre kell hozni az elektronikus egészségügyi adatok egy vagy több elsőbbségi kategóriáját kezelő EHR-rendszerek kötelező megfelelőségi önértékelési rendszerét, biztosítva ugyanakkor az arányos megközelítést. Az önértékelés révén az EHR-rendszerek bizonyítani fogják, hogy megfelelnek az e rendelet által harmonizált két kötelező EHR-szoftverösszetevő - nevezetesen az EHR-rendszerek európai interoperabilitási szoftverösszetevője és az EHR-rendszerek európai naplózási szoftverösszetevője (a továbbiakban: az EHR-rendszerek harmonizált szoftverösszetevői) - által a személyes elektronikus egészségügyi adatok közlése céljából megállapított, az interoperabilitásra, a biztonságra és naplózásra vonatkozó követelményeknek. Az EHR-rendszerek harmonizált szoftverösszetevői főleg az adatok átalakítását érintik, bár közvetett követelmények szükségességét vonhatják maguk után az EHR-rendszerekben való adatnyilvántartásra és adatmegjelenítésre vonatkozóan. Az EHR-rendszerek harmonizált szoftverösszetevőire vonatkozó műszaki előírásokat kell meghatározni végrehajtási jogi aktusok útján, és azoknak az elektronikus egészségügyi dokumentáció európai csereformátumán kell alapulniuk. Az EHR-rendszerek harmonizált szoftverösszetevőit úgy kell megtervezni, hogy újrafelhasználhatók legyenek, és egy nagyobb szoftverrendszeren belül zökkenőmentesen integrálódjanak más összetevőkkel. Az EHR-rendszerek harmonizált szoftverösszetevői biztonsági követelményeinek ki kell terjedniük az EHR-rendszerekre jellemző elemekre, mivel az általánosabb biztonsági tulajdonságokat más mechanizmusoknak, így például a 2024/2847 európai parlamenti és tanácsi rendelet (15) szerinti mechanizmusoknak kell támogatniuk. Az említett folyamat támogatása érdekében európai digitális tesztelési környezeteket kell létrehozni, hogy automatizált eszközöket biztosítsanak annak vizsgálatára, az EHR-rendszer harmonizált szoftverösszetevői megfelelnek-e az e rendeletben meghatározott követelményeknek. E célból a Bizottságot végrehajtási hatáskörökkel kell felruházni az említett környezetekre vonatkozó egységes előírások meghatározása céljából. A Bizottságnak ki kell fejlesztenie a tesztelési környezetekhez szükséges szoftvert, és azt nyílt forráskóddal kell rendelkezésre bocsátania. A digitális tesztelési környezetek működtetéséért a tagállamok felelősek, mivel közelebb állnak a gyártókhoz, és jobb helyzetben vannak ahhoz, hogy támogassák őket. A gyártóknak az említett digitális tesztelési környezeteket kell használniuk termékeik tesztelésére, mielőtt forgalomba hoznák azokat, miközben továbbra is teljeskörű felelősséget kell vállalniuk termékeik megfelelőségéért. A vizsgálat eredményeinek a termék műszaki dokumentációjának részévé kell válniuk. Amennyiben az EHR-rendszer vagy annak bármely része megfelel az európai szabványoknak vagy egységes előírásoknak, a releváns európai szabványok és egységes előírások jegyzékét is fel kell tüntetni a műszaki dokumentációban. Az EHR-rendszerek összehasonlíthatóságának támogatása érdekében a Bizottságnak egységes sablont kell készítenie az ilyen rendszereket kísérő műszaki dokumentációhoz.

(37) Az EHR-rendszerekhez mellékelni kell egy olyan adatlapot, amely tartalmazza a hivatásos felhasználóknak szóló információkat, és egy egyértelmű és teljes használati utasítást, többek között a fogyatékossággal élő személyek számára hozzáférhető formátumban. Ha az EHR-rendszert nem kíséri ilyen adatlap, az érintett EHR-rendszer gyártójától, meghatalmazott képviselőjétől és valamennyi más releváns gazdasági szereplőtől meg kell követelni, hogy csatolják az említett adatlapot és az említett használati utasítást az EHR-rendszerhez.

(38) Míg a gyártó által kifejezetten az elektronikus egészségügyi adatok egy vagy több konkrét kategóriájának kezelésére szánt EHR-rendszerekre kötelező öntanúsítást kell alkalmazni, az általános célú szoftver még akkor sem tekinthető EHR-rendszernek, ha egészségügyi környezetben használják, és ezért nem írható elő, hogy megfeleljen e rendeletnek. Ez olyan esetekre vonatkozik, mint például: az azon jelentések megírására használt szövegfeldolgozó szoftverek, amelyek azután az írott elektronikus egészségügyi dokumentációk részévé válnak, az általános célú köztesszoftverek vagy az adattárolási megoldások részeként használt adatbáziskezelő szoftverek.

(39) E rendelet kötelező megfelelőségi önértékelési rendszert ír elő a harmonizált EHR-rendszerek elemeire vonatkozóan annak biztosítására, hogy az uniós piacon forgalomba hozott EHR-rendszerek képesek legyenek az elektronikus egészségügyi dokumentáció európai csereformátumában történő adatmegosztásra, és hogy rendelkezzenek az előírt naplózási képességekkel. Az említett kötelező megfelelőségi önértékelésnek - amelyre a gyártó által biztosított EU-megfelelőségi nyilatkozat formájában kerülne sor - biztosítania kell, hogy az említett követelményeket arányos módon teljesítsék, elkerülve ugyanakkor a tagállamokra és a gyártókra háruló indokolatlan terhet.

(40) A gyártóknak az EHR-rendszer kísérő dokumentumain és adott esetben a csomagolásán CE-megfelelőségi jelölést kell elhelyezniük, amely jelzi, hogy az EHR-rendszer megfelel e rendeletnek, és - az e rendelet által nem szabályozott szempontok tekintetében - az egyéb alkalmazandó uniós jognak, amely szintén előírja az ilyen jelölés elhelyezését. A tagállamok a meglévő mechanizmusokra támaszkodva biztosítják a releváns uniós jog szerinti CE-megfelelőségi jelölésre vonatkozó rendelkezések helyes alkalmazását, és az említett jelölés helytelen használata esetén megfelelő intézkedést hoznak.

(41) A tagállamoknak továbbra is hatáskörrel kell rendelkezniük arra, hogy meghatározzák az EHR-rendszerek bármely más összetevőjével kapcsolatos követelményeket, valamint az egészségügyi szolgáltatóknak a saját nemzeti infrastruktúrájukhoz való csatlakozására vonatkozó feltételeket, amelyek nemzeti szinten harmadik fél általi értékelés tárgyát képezhetik. Az EHR-rendszerek, a digitális egészségügyi termékek és a kapcsolódó szolgáltatások belső piaca zavartalan működésének megkönnyítése érdekében a lehető legnagyobb átláthatóságot kell biztosítani az EHR-rendszerekre vonatkozó követelményeket és az EHR-rendszerek harmonizált szoftverösszetevőitől eltérő szempontokkal kapcsolatos megfelelőségértékelésükre vonatkozó rendelkezéseket megállapító nemzeti jog tekintetében. Ezért a tagállamoknak tájékoztatniuk kell a Bizottságot az említett nemzeti követelményekről, hogy az rendelkezzen az annak biztosításához szükséges információkkal, hogy a nemzeti követelmények ne befolyásolják hátrányosan az EHR-rendszerek harmonizált szoftverösszetevőit.

(42) Az EHR-rendszerek bizonyos szoftverösszetevői az (EU) 2017/745 rendelet szerinti orvostechnikai eszközöknek, vagy az (EU) 2017/746 európai parlamenti és tanácsi rendelet (16) szerinti in vitro diagnosztikai orvostechnikai eszközöknek minősülhetnek. Az orvostechnikai eszköz, az in vitro diagnosztikai eszköz, vagy a nagy kockázatúnak tekintett mesterségesintelligencia-rendszer (a továbbiakban: a nagy kockázatú MI-rendszer) fogalommeghatározásába tartozó szoftvert vagy szoftvermodulokat - az esettől függően - az (EU) 2017/745, az (EU) 2017/746 és az (EU) 2024/1689 rendelettel összhangban kell tanúsítani. Míg az ilyen termékeknek meg kell felelniük az említett termékekre irányadó vonatkozó rendeletek szerinti követelményeknek, a tagállamoknak megfelelő intézkedéseket kell hozniuk annak biztosítására, hogy a vonatkozó megfelelőségértékelésre közös vagy összehangolt eljárás keretében kerüljön sor a gyártók és más gazdasági szereplők adminisztratív terheinek korlátozása érdekében. E rendelet interoperabilitásra vonatkozó alapvető követelményeit csak annyiban kell alkalmazni, amennyiben az EHR-rendszer részeként feldolgozandó elektronikus egészségügyi adatokat szolgáltató orvostechnikai eszköz, in vitro diagnosztikai eszköz, vagy nagy kockázatú MI-rendszer gyártója az ilyen EHR-rendszerekkel való interoperabilitást állítja. Ilyen esetben az említett orvostechnikai eszközökre, in vitro diagnosztikai eszközökre és nagy kockázatú MI-rendszerekre az EHR-rendszerekkel kapcsolatos egységes előírásokra vonatkozó rendelkezéseket kell alkalmazni.

(43) Az interoperabilitás és a biztonság további támogatása érdekében a tagállamok az egészségügyi szolgáltatások szervezésével, nyújtásával vagy finanszírozásával összefüggésben különös szabályokat tarthatnak fenn vagy határozhatnak meg az EHR-rendszerek nemzeti szintű beszerzésére, megtérítésére, vagy finanszírozására vonatkozóan. Az ilyen különös szabályok nem akadályozhatják az EHR-rendszerek Unión belüli szabad mozgását. Néhány tagállam bevezette az EHR-rendszerek kötelező tanúsítását vagy a nemzeti digitális egészségügyi szolgáltatásokhoz való csatlakozásuk kötelező interoperabilitási tesztelését. Az ilyen követelmények többnyire az egészségügyi szolgáltatók és a nemzeti vagy regionális hatóságok által szervezett közbeszerzésekben is megjelennek. Az EHR-rendszerek uniós szintű kötelező tanúsításának meg kell határoznia a nemzeti szintű közbeszerzési eljárások során használható alapkövetelményeket.

(44) Annak biztosítása érdekében, hogy a betegek ténylegesen gyakorolhassák az e rendelet szerinti jogaikat, azon egészségügyi szolgáltatóknak, amelyek "házon belül" fejlesztenek ki és használnak EHR-rendszert belső tevékenységeik elvégzésére anélkül, hogy azt fizetés vagy díjazás ellenében forgalomba hoznák, e rendeletnek is meg kell felelniük. Ezzel összefüggésben az ilyen egészségügyi szolgáltatóknak meg kell felelniük a gyártókra alkalmazandó valamennyi követelménynek az ilyen EHR-rendszerek tekintetében, amelyeket "házon belül" fejlesztenek ki, és amelyeket az ilyen egészségügyi szolgáltatók helyeznek üzembe. Azonban tekintve, hogy az egészségügyi szolgáltatóknak további időre lehet szükségük az e rendeletnek való megfelelésre való felkészüléshez, az említett követelmények csak egy meghosszabbított átmeneti időszakot követően alkalmazandók az ilyen rendszerekre.

(45) A kötelezettségek olyan, egyértelmű és arányos elosztásáról kell rendelkezni, amely megfelel az egyes gazdasági szereplők által az EHR-rendszerek ellátási és forgalmazási folyamatában betöltött szerepnek. A gazdasági szereplőknek az ilyen folyamatban betöltött szerepükkel kapcsolatban felelniük kell a megfelelésért, és biztosítaniuk kell, hogy csak olyan EHR-rendszereket forgalmazzanak, amelyek megfelelnek a releváns követelményeknek.

(46) Az interoperabilitásra és biztonságra vonatkozó alapvető követelményeknek való megfelelést az EHR-rendszerek gyártóinak az egységes előírások végrehajtásával kell igazolniuk. E célból a Bizottságra végrehajtási hatásköröket kell ruházni az adatkészletekre, a kódolási rendszerekre, az adatcserére vonatkozó műszaki előírásokra, szabványokra, előírásokra és profilokra, valamint a betegbiztonsággal és a személyes adatok biztonságával, bizalmas jellegével, integritásával és védelmével kapcsolatos követelményekre és elvekre, továbbá az azonosítás kezelésével és az elektronikus azonosítás használatával kapcsolatos előírásokra és követelményekre vonatkozó egységes előírások meghatározása céljából. A digitális egészségügyi hatóságoknak hozzá kell járulniuk az ilyen egységes előírások kidolgozásához. Az említett egységes előírásoknak adott esetben az EHR-rendszerek harmonizált szoftverösszetevőire vonatkozó, meglévő harmonizált szabványokon kell alapulniuk, és összeegyeztethetőnek kell lenniük az ágazati jogszabályokkal. Amennyiben az egységes előírások különösen fontosak az EHR-rendszerekre vonatkozó személyes adatvédelmi követelmények szempontjából, azok elfogadása előtt az (EU) 2018/1725 rendelet 42. cikke (2) bekezdése alapján konzultálni kell az Európai Adatvédelmi Testülettel és az európai adatvédelmi biztossal.

(47) Annak biztosítása érdekében, hogy az e rendeletben meghatározott követelmények és kötelezettségek megfelelő és hatékony végrehajtására kerüljön sor, az (EU) 2019/1020 európai parlamenti és tanácsi rendeletben (17) meghatározott piacfelügyeleti és termékmegfelelési rendszer alkalmazandó. A nemzeti szinten meghatározott szervezettől függően, ilyen piacfelügyeleti tevékenységeket az e rendelet II. fejezetének megfelelő végrehajtását biztosító digitális egészségügyi hatóságok vagy az EHR-rendszerekért felelős külön piacfelügyeleti hatóság végezhetnek. Miközben a digitális egészségügyi hatóságoknak a piacfelügyeleti hatóságként történő kijelölése jelentős gyakorlati előnyökkel járhat az egészségügy és az ellátás megvalósítása szempontjából, el kell kerülni bármely összeférhetetlenséget, például a különböző feladatok elkülönítésével.

(48) A piacfelügyeleti hatóságok személyzete nem rendelkezhet olyan közvetlen vagy közvetett gazdasági, pénzügyi vagy személyes érdekeltséggel, amely veszélyeztethetné függetlenségét és különösen nem lehet olyan helyzetben, amely akár közvetlenül, akár közvetve befolyásolhatná szakmai magatartása pártatlanságát. A tagállamoknak meg kell határozniuk és közzé kell tenniük a piacfelügyeleti hatóságokra vonatkozó kiválasztási eljárást. Biztosítaniuk kell, hogy az eljárás átlátható legyen, és ne tegyen lehetővé összeférhetetlenséget.

(49) A jólléti alkalmazások - ideértve a mobil eszközökre szánt alkalmazásokat is - felhasználóit tájékoztatni kell arról, hogy az ilyen alkalmazások képesek-e csatlakozni az EHR-rendszerekhez vagy a nemzeti elektronikus egészségügyi megoldásokhoz és adatokat szolgáltatni számukra azokban az esetekben, amikor a jólléti alkalmazások által előállított adatok egészségügyi ellátási célokból hasznosak. Az említett alkalmazások azon képessége, hogy interoperábilis formátumban exportáljanak adatokat, adathordozhatósági célokból is releváns. Adott esetben a felhasználókat tájékoztatni kell arról, hogy az ilyen alkalmazások megfelelnek-e az interoperabilitási és biztonsági követelményeknek. Tekintettel azonban a jólléti alkalmazások nagy számára és a sok ilyen alkalmazás által előállított adatoknak az egészségügyi ellátási célok szempontjából korlátozott relevanciájára, egy ezen alkalmazásokra vonatkozó tanúsítási rendszer nem volna arányos. Ezért létre kell hozni egy kötelező címkézési rendszert azon jólléti alkalmazások számára, amelyek tekintetében az EHR-rendszerekkel való interoperabilitást állítják, megfelelő mechanizmusként ahhoz, hogy a jólléti alkalmazások felhasználói számára átláthatóságot biztosítsanak az e rendelet szerinti követelményeknek való megfelelés tekintetében, ezáltal támogatva a felhasználókat abban, hogy magas szintű interoperabilitási és biztonsági követelményekkel rendelkező, megfelelő jólléti alkalmazásokat válasszanak. A Bizottságnak - végrehajtási jogi aktusok révén - kell meghatároznia az ilyen címke formátumára és tartalmára vonatkozó részleteket.

(50) A tagállamok továbbra is szabadon szabályozhatják a jólléti alkalmazások használatának egyéb szempontjait, feltéve, hogy a vonatkozó szabályok megfelelnek az uniós jognak.

(51) A tanúsított EHR-rendszerekre és a címkézett jólléti alkalmazásokra vonatkozó információk terjesztésére azért van szükség, hogy az ilyen termékek beszerzői és felhasználói saját egyedi igényeiknek megfelelő, interoperábilis megoldásokat találjanak. Ezért uniós szinten létre kell hozni az (EU) 2017/745 és az (EU) 2024/1689 rendelet hatálya alá nem tartozó interoperábilis EHR-rendszerek és jólléti alkalmazások adatbázisát, hasonlóan az (EU) 2017/745 rendelettel létrehozott, az orvostechnikai eszközök európai adatbázisához (Eudamed). Az EHR-rendszerek és a jólléti alkalmazások nyilvántartására szolgáló uniós adatbázis célkitűzései az általános átláthatóság fokozása, a többszörös jelentéstételi követelmények elkerülése, valamint az információáramlás egyszerűsítése és megkönnyítése. Az orvostechnikai eszközök és az MI-rendszerek esetében a regisztrációt az (EU) 2017/745, illetve az (EU) 2024/1689 rendelet alapján létrehozott, meglévő adatbázisokban fenn kell tartani, de a beszerzők tájékoztatása érdekében a gyártóknak jelezniük kell az interoperabilitási követelményeknek való megfelelést, amennyiben ilyen megfelelésre hivatkoznak.

(52) A meglévő szerződéses vagy egyéb mechanizmusok akadályozása vagy felváltása nélkül e rendelet célja, hogy Unió-szerte közös mechanizmust hozzon létre az elektronikus egészségügyi adatokhoz másodlagos felhasználás céljából történő hozzáférés céljából. Az említett mechanizmus keretében az egészségügyiadat-birtokosoknak adatengedély vagy egészségügyiadat-igénylés alapján rendelkezésre kell bocsátaniuk a birtokukban lévő adatokat. A másodlagos felhasználásra szánt elektronikus egészségügyi adatok kezelése céljából az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének a), c), e) vagy f) pontjában - összefüggésben annak 9. cikke (2) bekezdésével - említett valamelyik jogalapra van szükség. Ennek megfelelően e rendelet jogalapot biztosít a személyes elektronikus egészségügyi adatok másodlagos felhasználásához, ideértve a különleges adatkategóriák kezelését lehetővé tevő, az (EU) 2016/679 rendelet 9. cikke (2) bekezdésének g)- j) pontja értelmében megkívánt biztosítékokat is, a következők tekintetében: jogszerű célok, az egészségügyi adatokhoz való hozzáférésnek az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek bevonásával történő biztosítására vonatkozó megbízható irányítás, és a biztonságos adatkezelési környezetben történő adatkezelés, valamint az adatengedélyben meghatározott adatkezelésre vonatkozó rendelkezések. Következésképpen a tagállamok az (EU) 2016/679 rendelet 9. cikkének (4) bekezdése alapján a továbbiakban nem tarthatnak fenn vagy vezethetnek be újabb feltételeket, beleértve a természetes személyek hozzájárulását kérő korlátozásokat és különös rendelkezéseket a személyes elektronikus egészségügyi adatok e rendelet szerinti másodlagos felhasználása tekintetében, bizonyos adatok érzékenységének és értékének védelmét célzó szigorúbb intézkedések és kiegészítő nemzeti szintű biztosítékok bevezetése kivételével, az e rendeletben meghatározottak szerint. Az egészségügyiadat-kérelmezőknek bizonyítaniuk kell az (EU) 2016/679 rendelet 6. cikkében említett jogalapot is, amely lehetővé teszi számukra, hogy e rendelet értelmében elektronikus egészségügyi adatokhoz hozzáférést kérjenek, és teljesíteniük kell a IV. fejezetben meghatározott feltételeket. Emellett az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek értékelnie kell az egészségügyiadat-kérelmező által benyújtott információkat, amelyek alapján adatengedélyt adhat a személyes elektronikus egészségügyi adatok e rendelet szerinti olyan kezelésére, amelynek teljesítenie kell az e rendelet IV. fejezetében meghatározott követelményeket és feltételeket. Az egészségügyiadat-birtokosok birtokában lévő elektronikus egészségügyi adatok kezelése tekintetében e rendelet - az említett rendelet 9. cikke (2) bekezdésének i) és j) pontjával összhangban - az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének c) pontja értelmében vett jogi kötelezettséget teremt az egészségügyiadat-birtokos számára, hogy tegye elérhetővé a személyes elektronikus egészségügyi adatokat az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek számára, míg az eredeti adatkezelés céljára - például az egészségügyi ellátás nyújtására - vonatkozó jogalap nem változik. E rendelet az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének e) pontja értelmében vett közérdekű feladatokat is ruház az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervekre, és adott esetben megfelel az említett rendelet 9. cikke (2) bekezdésének g-j) pontjában foglalt követelményeknek. Ha az egészségügyiadat-felhasználó az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének e) vagy f) pontjában meghatározott jogalapra támaszkodik, e rendeletnek rendelkeznie kell az (EU) 2016/679 rendelet 9. cikkének (2) bekezdése alapján megkövetelt biztosítékokról.

(53) A másodlagos felhasználás céljából használt elektronikus egészségügyi adatok nagy társadalmi hasznokkal járhatnak. Ösztönözni kell a valós adatok és valós bizonyítékok - köztük a betegek által jelentett eredmények - felhasználását tényeken alapuló szabályozási és szakpolitikai célokra, valamint kutatásra, egészségügyi technológiaértékelésre és klinikai célokra. A valós adatok és a valós bizonyítékok kiegészíthetik a jelenleg rendelkezésre álló egészségügyi adatokat. Az említett cél elérése érdekében fontos, hogy az e rendelet alapján másodlagos felhasználásra rendelkezésre bocsátott adatkészletek a lehető legteljesebbek legyenek. E rendelet biztosítja az említett előnyök megvalósításával kapcsolatos bizonyos kockázatok csökkentéséhez szükséges biztosítékokat. Az elektronikus egészségügyi adatok másodlagos felhasználása álnevesített vagy anonimizált adatokon alapul az érintettek azonosításának kizárása érdekében.

(54) Annak érdekében, hogy egyensúlyban legyen az egészségügyi adatfelhasználók azon igénye, hogy kimerítő és reprezentatív adatkészletekkel rendelkezzenek, a természetes személyeknek a különösen érzékenynek tekintett személyes elektronikus egészségügyi adataikkal kapcsolatos autonómiára irányuló igényével, a természetes személyeknek beleszólást kell kapniuk személyes elektronikus egészségügyi adataik e rendelet szerinti másodlagos felhasználás céljából történő kezelésébe, az azzal szembeni kifogásoláshoz való jog formájában, hogy az említett adatokat másodlagos felhasználásra rendelkezésre bocsássák. Az említett kifogásolási jog gyakorlásához könnyen érthető és hozzáférhető, felhasználóbarát mechanizmust kell biztosítani. Ezen kívül, elengedhetetlen, hogy a természetes személyek elegendő és teljeskörű tájékoztatást kapjanak a kifogásolási jogukról, beleértve az említett jog gyakorlása során felmerülő előnyöket és hátrányokat is. A természetes személyektől nem követelhető meg, hogy megindokolják a kifogásolást, és lehetőséget kell biztosítani számukra, hogy döntésüket bármikor újragondolják. Azonban bizonyos, a közérdekhez szorosan kapcsolódó célok - így például a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelemre irányuló tevékenységek vagy a fontos közérdeken alapuló tudományos kutatás - tekintetében helyénvaló lehetőséget biztosítani a tagállamok számára, hogy nemzeti körülményeikre tekintettel, olyan mechanizmust hozzanak létre, amely hozzáférést biztosít azon természetes személyek személyes elektronikus egészségügyi adataihoz, akik éltek a kifogásolás jogával, annak biztosítása érdekében, hogy az említett helyzetekben teljes adatkészletek álljanak rendelkezésre. Az ilyen mechanizmusoknak meg kell felelniük a másodlagos felhasználásra vonatkozóan e rendelet alapján megállapított követelményeknek. A fontos közérdekű okokból végzett tudományos kutatás magában foglalhatja például a kielégítetlen egészségügyi szükségletekkel - többek között a ritka betegségekkel vagy az újonnan megjelenő egészségügyi veszélyekkel - foglalkozó kutatást. Az ilyen felülbírálatokra vonatkozó szabályoknak tiszteletben kell tartaniuk az alapvető jogok és szabadságok lényegét, és egy demokratikus társadalomban szükséges és arányos intézkedésnek kell lenniük ahhoz, hogy a jogos tudományos és társadalmi célkitűzések területén érvényesüljön a közérdek. Az ilyen felülbírálatok csak olyan egészségügyiadat-felhasználók számára lehetnek elérhetőek, amelyek közszférabeli szervezetek, vagy releváns uniós intézmények, szervek, hivatalok vagy ügynökségek, amelyeket a közegészségügy területén feladatok ellátásával bíztak meg, vagy egy másik szervezet számára, amelyet a közegészségügy területén közfeladatok ellátásával bíztak meg, vagy amely valamely hatóság nevében vagy megbízásából jár el, és csak akkor, ha az adatok nem szerezhetők be alternatív módon, időben és hatékonyan. Az említett egészségügyiadat-felhasználóknak meg kell indokolniuk, hogy a felülbírálat alkalmazása valamely egyedi egészségügyiadat-hozzáférés iránti kérelemhez vagy egészségügyiadat-igényléshez szükséges. Ilyen felülbírálat alkalmazása esetén továbbra is alkalmazni kell a IV. fejezet szerinti biztosítékokat, különösen az érintett természetes személyek újbóli azonosításának vagy az újbóli azonosítására irányuló kísérleteknek a tilalmát.

(55) Az európai egészségügyi adattérrel összefüggésben már léteznek elektronikus egészségügyi adatok, és azokat többek között egészségügyi szolgáltatók, szakmai szövetségek, közintézmények, szabályozók, kutatók és biztosítók gyűjtik a tevékenységeik során. Az említett adatokat másodlagos felhasználás céljából is rendelkezésre kell bocsátani, azaz azon céloktól eltérő célokból történő adatkezelés céljából, amely célokból azokat gyűjtötték vagy előállították, azonban számos ilyen adatot nem bocsátanak rendelkezésre ilyen célokból történő adatkezelés céljából. Ez korlátozza a kutatók, az innovátorok, a szakpolitikai döntéshozók, a szabályozók és az orvosok azon képességét, hogy az említett adatokat eltérő célokra használják fel, beleértve a kutatást, az innovációt, a szakpolitikai döntéshozatalt, a szabályozási célokat, a betegbiztonságot vagy a személyre szabott orvoslást. A másodlagos felhasználásból származó előnyök teljeskörű kiaknázása érdekében valamennyi egészségügyiadat-birtokosnak hozzá kell járulnia ezen erőfeszítéshez, hogy a birtokukban lévő elektronikus egészségügyi adatok különböző kategóriáit másodlagos használatra elérhetővé tegyék, feltéve, hogy az ilyen erőfeszítésre mindenkor hatékony és biztonságos folyamatok révén, a szakmai kötelezettségek, így például a titoktartási kötelezettségek kellő tiszteletben tartásával kerül sor.

(56) A másodlagos felhasználás céljából feldolgozható elektronikus egészségügyi adatok kategóriáinak eléggé tágnak és rugalmasnak kell lenniük ahhoz, hogy kielégítsék az egészségügyiadat-felhasználók változó igényeit, ugyanakkor továbbra is az egészséggel kapcsolatos vagy az egészséget köztudottan befolyásolni képes adatokra kell korlátozódniuk. Ide tartozhatnak továbbá az egészségügyi rendszerből származó releváns adatok - például elektronikus egészségügyi dokumentációk, biztosítási igények adatai, gyógyszerkiadási adatok, betegségnyilvántartásokból származó adatok vagy genomikai adatok -, valamint az egészségre hatást gyakorló adatok - például a különböző szerek fogyasztására, a társadalmi-gazdasági státuszra vagy viselkedésre vonatkozó adatok -, továbbá a környezeti tényezőkre - így például a szennyezésre, sugárzásra vagy bizonyos vegyi anyagok használatára - vonatkozó adatok. A másodlagos felhasználásra szánt elektronikus egészségügyi adatok kategóriáiba tartozik néhány olyan adatkategória, amelyeket eredetileg más célokból - így például kutatás, statisztikák, betegbiztonság, szabályozási tevékenységek vagy szakpolitikai döntéshozatal céljából - gyűjtöttek, ilyenek például a szakpolitikai döntéshozatali nyilvántartások, vagy a gyógyszerek vagy az orvostechnikai eszközök mellékhatásaira vonatkozó nyilvántartások. Olyan európai adatbázisok, amelyek megkönnyítik az adatok felhasználását vagy újbóli felhasználását, rendelkezésre állnak egyes területeken, így például a rák (az európai rákinformációs rendszer) vagy a ritka betegségek (például a ritka betegségek európai platformja és az európai referenciahálózat-nyilvántartások) területén. A másodlagos felhasználás céljából kezelhető elektronikus egészségügyi adatok kategóriáiba tartozhatnak az orvostechnikai eszközökből automatikusan generált adatok és a személyek által generált adatok is, így például a jólléti alkalmazásokból származó adatok. A klinikai vizsgálatokra vonatkozó adatokat is fel kell venni a másodlagos felhasználásra szánt elektronikus egészségügyi adatok kategóriáiba, amikor a klinikai vizsgálat véget ért, anélkül, hogy ez érintené a folyamatban lévő vizsgálatok megbízói közötti önkéntes adatmegosztást. A másodlagos felhasználásra szánt elektronikus egészségügyi adatokat lehetőleg strukturált elektronikus formátumban kell rendelkezésre bocsátani, ami megkönnyíti a számítógépes rendszerek általi kezelésüket. Strukturált elektronikus formátumok például: a relációs adatbázisban szereplő rekordok, az XML-dokumentumok vagy a CSV-fájlok, valamint a számítógéppel olvasható fájlok formájában rendelkezésre bocsátott szabad szöveg, hangfelvételek, videók és képek.

(57) Az e rendelet alapján rendelkezésre bocsátott adatkészletekhez hozzáféréssel rendelkező egészségügyiadat-felhasználók különböző korrekciókkal, magyarázatokkal és egyéb javításokkal gazdagíthatják az említett adatkészletekben szerepkő adatokat - például a hiányzó vagy hiányos adatok kiegészítése útján -, ezáltal javítva az adatkészletekben szereplő adatok pontosságát, teljességét vagy minőségét. Az egészségügyiadat-felhasználókat ösztönözni kell arra, hogy jelentsék az adatkészletekben előforduló kritikus hibákat az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek. Az eredeti adatbázis fejlesztésének és a gazdagított adatkészlet további felhasználásának támogatása érdekében lehetővé kell tenni a tagállamok számára, hogy olyan szabályokat állapítsanak meg az elektronikus egyészségügyi adatok kezelésére és felhasználására vonatkozóan, amelyek az említett adatok kezelésével kapcsolatos fejlesztéseket tartalmaznak. A fejlesztésen átesett adatkészletet - a fejlesztések leírásával együtt - díjmentesen az eredeti egészségügyiadat-birtokos rendelkezésére kell bocsátani. Az egészségügyiadat-birtokosnak rendelkezésre kell bocsátania az új adatkészletet, kivéve, ha az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv számára indokolással ellátott értesítést nyújt, amennyiben nem így jár el, például olyan esetekben, amelyekben az egészségügyiadat-felhasználó általi adatgazdagítás rossz minőségű. Biztosítani kell, hogy nem személyes elektronikus egészségügyi adatok álljanak rendelkezésre másodlagos felhasználás céljából. Így különösen, a kórokozók genomikai adatai jelentős értéket képviselnek az emberi egészség szempontjából, amint ez a Covid19-világjárvány idején is megmutatkozott, amelynek során az ilyen adatokhoz való időben történő hozzáférés és azok megosztása elengedhetetlennek bizonyult a felderítési eszközök, az egészségügyi ellenintézkedések és a közegészségügyi veszélyekre való reagálás gyors fejlesztéséhez. A kórokozók genomikájára irányuló erőfeszítésekből származó legnagyobb előny akkor fog megvalósulni, ha a közegészségügyi és a kutatási folyamatok megosztják az adatkészleteket, és egymás tájékoztatása és fejlesztése érdekében kölcsönösen együttműködnek.

(58) A személyes elektronikus egészségügyi adatok másodlagos felhasználása hatékonyságának növelése és az e rendelet által kínált lehetőségek teljeskörű kihasználása érdekében a IV. fejezetben leírt elektronikus egészségügyi adatok európai egészségügyi adattérben való rendelkezésre állásának oly módon kell megvalósulnia, hogy az adatok a lehető legnagyobb mértékben hozzáférhetőek, kiváló minőségűek, készek és alkalmasak legyenek a tudományos, innovatív és társadalmi érték és minőség teremtésére. Olyan módon kell elvégezni az európai egészségügyi adattér végrehajtásával kapcsolatos munkát és az adatkészlet további javítását, amely előnyben részesíti azon adatkészleteket, amelyek a leginkább alkalmasak ilyen érték és minőség létrehozására.

(59) A köz- vagy magánjogi szervezetek az elektronikus egészségügyi adatok kutatási, hivatalos vagy nem hivatalos statisztikai, vagy más hasonló célokra történő gyűjtése és kezelése céljából gyakran részesülnek közfinanszírozásban nemzeti vagy uniós alapokból, többek között olyan területeken, ahol az ilyen adatok gyűjtése széttagolt vagy nehéz, mint például a ritka betegségekkel vagy a rákkal kapcsolatban. Az egészségügyiadat-birtokosok által uniós vagy nemzeti közfinanszírozás támogatásával gyűjtött és kezelt ilyen adatokat az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek rendelkezésére kell bocsátani a közberuházások hatásának maximalizálása, valamint a kutatás, az innováció, a betegbiztonság vagy a szakpolitikai döntéshozatal támogatása érdekében, a társadalom javára. Egyes tagállamokban a magánjogi szervezetek - köztük a magán egészségügyi szolgáltatók és a szakmai szövetségek - kulcsszerepet töltenek be az egészségügyi ágazatban. Az ilyen szolgáltatók birtokában lévő egészségügyi adatokat másodlagos felhasználás céljából szintén hozzáférhetővé kell tenni. A másodlagos felhasználással összefüggésben ezért az egészségügyiadat-birtokosoknak olyan szervezeteknek kell lenniük, amelyek egészségügyi szolgáltatók vagy gondozási szolgáltatók, vagy az egészségügyi vagy gondozási ágazattal kapcsolatos kutatást végeznek, vagy az egészségügyi vagy gondozási ágazatoknak szánt termékeket vagy szolgáltatásokat fejlesztenek. Az ilyen szervezetek lehetnek államiak, nonprofitok vagy magánkézben lévők. E fogalommeghatározással összhangban az ápolóotthonokat, a napközi otthonokat, a fogyatékossággal élő személyek számára szolgáltatásokat nyújtó szervezeteket, az ellátáshoz kapcsolódó üzleti és technológiai tevékenységeket - így például ortopédiát - folytató szervezeteket és a gondozási szolgáltatásokat nyújtó vállalatokat egészségügyiadat-birtokosoknak kell tekinteni. A jólléti alkalmazásokat fejlesztő jogi személyeket is egészségügyiadat-birtokosoknak kell tekinteni. Az egészségügyi és egészségügyi ellátási adatok említett kategóriáit feldolgozó uniós intézményeket, szerveket, hivatalokat vagy ügynökségeket, valamint a halandósági nyilvántartásokat is egészségügyiadat-birtokosoknak kell tekinteni. Az aránytalan terhek elkerülése érdekében a természetes személyeket és a mikrovállalkozásokat főszabályként mentesíteni kell az egészségügyiadat-birtokosokra vonatkozó kötelezettségek alól. A tagállamok számára azonban lehetővé kell tenni, hogy nemzeti jogukban kiterjesszék az egészségügyiadat-birtokosok kötelezettségeit a természetes személyekre és a mikrovállalkozásokra. Az adminisztratív terhek csökkentése érdekében, valamint az eredményesség és a hatékonyság elvének fényében a tagállamok számára lehetővé kell tenni, hogy nemzeti jogukban előírják, hogy egészségügyiadat-közvetítő szervezetek lássák el az egészségügyiadat-birtokosok bizonyos kategóriáinak feladatait. Az ilyen egészségügyiadat-közvetítő szervezeteknek olyan jogi személyeknek kell lenniük, amelyek képesek kezelni, rendelkezésre bocsátani, nyilvántartani, hozzáférést biztosítani vagy korlátozni, és megosztani az egészségügyiadat-birtokosok által szolgáltatott, másodlagos felhasználásra szánt elektronikus egészségügyi adatokat. Az ilyen egészségügyiadat-közvetítő szervezetek az (EU) 2022/868 rendelet 10. cikkében említett adatközvetítő szolgáltatások feladataitól eltérő feladatokat látnak el.

(60) A szellemitulajdon-jogok vagy üzleti titkok által védett elektronikus egészségügyi adatok, beleértve a klinikai vizsgálatokra és kutatásokra vonatkozó adatokat is, nagyon hasznosak lehetnek a másodlagos felhasználás szempontjából, és előmozdíthatják az innovációt az Unión belül az uniós betegek javára. Az e területen való folyamatos uniós vezető szerep ösztönzése érdekében fontos ösztönözni a klinikai vizsgálatoknak és a klinikai kutatási adatoknak az európai egészségügyi adattéren keresztül, másodlagos felhasználás céljából történő megosztását. A klinikai vizsgálati adatokat a lehetőségekhez mérten rendelkezésre kell bocsátani, ugyanakkor minden szükséges intézkedést meg kell tenni a szellemi tulajdonjogok és üzleti titkok védelme érdekében. Ez a rendelet nem használható fel az ilyen védelem csökkentésére vagy megkerülésére, és összhangban kell állnia az uniós jogban meghatározott releváns átláthatósági rendelkezésekkel, többek között a klinikai vizsgálatokra vonatkozó adatok tekintetében. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek értékelniük kell, hogy miként lehet megőrizni az ilyen védelmet, a lehetőségekhez mérten lehetővé téve ugyanakkor az egészségügyiadat-felhasználók számára az ilyen adatokhoz való hozzáférést. Ha az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv nem képes hozzáférést biztosítani az ilyen adatokhoz, tájékoztatnia kell az egészségügyiadat-felhasználót, és ki kell fejtenie, hogy miért nem lehetséges az ilyen hozzáférés biztosítása. A szellemitulajdon-jogok vagy az üzleti titkok megőrzését célzó jogi, szervezeti és technikai intézkedések magukban foglalhatják az elektronikus egészségügyi adatokhoz való hozzáférésre vonatkozó közös szerződéses megállapodásokat, az adatengedélyen belül az ilyen jogokkal kapcsolatos konkrét kötelezettségeket, az adatok előzetes feldolgozását olyan származtatott adatok előállítása céljából, amelyek védik az üzleti titkot, de továbbra is hasznosak az egészségügyiadat-felhasználó számára vagy a biztonságos adatkezelési környezet konfigurációja számára, hogy az ilyen adatok az egészségügyiadat-felhasználó számára ne legyenek hozzáférhetők.

(61) Az egészségügyi adatoknak az európai egészségügyi adattér keretében történő másodlagos felhasználásának lehetővé kell tennie az állami, magán és nonprofit szervezetek, valamint az egyéni kutatók számára, hogy az e rendeletben meghatározott célokkal összhangban kutatás, innováció, szakpolitikai döntéshozatal, oktatási tevékenységek, betegbiztonság, szabályozási tevékenységek vagy személyre szabott orvoslás céljából hozzáférjenek az egészségügyi adatokhoz. Az adatokhoz másodlagos felhasználás céljából való hozzáférésnek hozzá kell járulnia a társadalom általános érdekeihez. Így különösen, az egészségügyi adatok kutatási és fejlesztési célokra történő másodlagos felhasználásának a társadalom javát kell szolgálnia az uniós polgárok számára megfizethető és méltányos árú új gyógyszerek, orvostechnikai eszközök, egészségügyi termékek és szolgáltatások formájában, valamint javítania kell az ilyen termékekhez és szolgáltatásokhoz való hozzáférést és azok elérhetőségét valamennyi tagállamban. Az e rendelettel összefüggésben jogszerű hozzáférést élvező tevékenységek közé tartozhat az elektronikus egészségügyi adatok közszférabeli szervezet által végzett közfeladatok ellátása céljából történő felhasználása, ideértve az egészségügyi felügyeleti, tervezési és jelentéstételi kötelezettségeket, az egészségpolitikai döntéshozatalt, valamint a betegbiztonságnak, az ellátás minőségének és az egészségügyi rendszerek fenntarthatóságának biztosítását. Előfordulhat, hogy a közszférabeli szervezeteknek, valamint az uniós intézményeknek, szerveknek, hivataloknak és ügynökségeknek szükségük van arra, hogy - az e rendeletben előírtak szerint - hosszabb ideig rendszeresen hozzáférjenek az elektronikus egészségügyi adatokhoz, többek között megbízatásuk teljesítése érdekében. A közszférabeli szervezetek az ilyen kutatási tevékenységeket harmadik felek - köztük alvállalkozók - igénybevételével is végezhetik, amennyiben a közszférabeli szervezet folyamatosan ellátja e tevékenységek felügyeletét. Az adatszolgáltatásnak támogatnia kell a tudományos kutatáshoz kapcsolódó tevékenységeket is. A tudományos kutatási célok fogalmát tágan kell értelmezni, beleértve a technológiai fejlesztést és demonstrációt, az alapkutatást, az alkalmazott kutatást és a magánfinanszírozású kutatást is. A tudományos kutatással kapcsolatos tevékenységek magukban foglalják az innovációs tevékenységeket is, így például az egészségügyi ellátásban vagy a természetes személyek gondozásában használható MI-algoritmusok képzését, valamint a meglévő algoritmusok és termékek ilyen célú értékelését és továbbfejlesztését. Szükséges, hogy az európai egészségügyi adattér hozzájáruljon az alapkutatáshoz is, és bár lehet, hogy a végfelhasználók és a betegek számára az alapkutatás haszna kevésbé közvetlenül jelentkezik, az ilyen kutatás hosszú távon alapvető fontosságú a társadalmi előnyök szempontjából. Néhány esetben egyes természetes személyek adatai - így például egy bizonyos betegségben szenvedő természetes személyek genomikai adatai - támogathatják más természetes személyek diagnózisát vagy kezelését. A közszférabeli szerveknek túl kell lépniük az (EU) 2023/2854 rendelet V. fejezetében foglalt "rendkívüli igény" körén. Azonban lehetővé kell tenni az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek számára, hogy az adatok kezelésekor vagy összekapcsolásakor támogatást nyújtsanak a közszférabeli szerveknek. Ez a rendelet csatornát biztosít a közszférabeli szervezetek számára ahhoz, hogy hozzáférjenek a törvény által rájuk ruházott feladatok ellátásához szükséges információkhoz, de nem terjeszti ki az ilyen közszférabeli szervezetek megbízatását.

(62) Meg kell tiltani minden arra irányuló kísérletet, hogy az elektronikus egészségügyi adatokat a természetes személyre nézve hátrányos intézkedésekre használják fel, így például a biztosítási díjak emelésére, a természetes személyre nézve foglalkoztatása, nyugdíja vagy banki tevékenysége, - beleértve a jelzáloghitelezést - tekintetében potenciálisan káros tevékenységek végzésére, termékek vagy kezelések reklámozására, az egyéni döntéshozatal automatizálására, természetes személyek újbóli azonosítására vagy káros termékek kifejlesztésére. Ez a tilalom a nemzeti jog szerinti etikai rendelkezésekkel ellentétes tevékenységekre is vonatkozik - a személyes adatok kezeléséhez való hozzájárulással kapcsolatos etikai rendelkezések és a kifogásolási joggal kapcsolatos etikai rendelkezések kivételével - mivel az uniós jog elsőbbségének általános elve értelmében e rendelet elsőbbséget élvez a nemzeti joggal szemben. Szintén meg kell tiltani az elektronikus egészségügyi adatokhoz való hozzáférés biztosítását vagy egyéb módon történő rendelkezésre bocsátását az adatengedélyben nem említett harmadik felek számára. Az adatengedélyben fel kell tüntetni azon felhatalmazott személyek személyazonosságát, különösen a kutatásvezető személyazonosságát, akik e rendelet szerint jogosultak lesznek hozzáférni az elektronikus egészségügyi adatokhoz a biztonságos adatkezelési környezetben. A kutatásvezetők az elektronikus egészségügyi adatokhoz való hozzáférés kérelmezéséért és a kért adatoknak az egészségügyiadat-felhasználó nevében a biztonságos adatkezelési környezetben történő kezeléséért felelős fő személyek.

(63) E rendelet nem hoz létre felhatalmazást az egészségügyi adatok bűnüldözési célú másodlagos felhasználására. A bűncselekmények megelőzése, nyomozása, felderítése és a büntetőeljárás lefolytatása, vagy a büntetőjogi szankciók illetékes hatóságok általi végrehajtása nem szerepelhet az e rendelet hatálya alá tartozó másodlagos felhasználási célok között. Ezért a bíróságok és az igazságszolgáltatási rendszer más szervezetei nem tekinthetők adatfelhasználónak az egészségügyi adatok e rendelet szerinti másodlagos felhasználása során. Emellett a bíróságok és az igazságszolgáltatási rendszer más szervezetei nem tartozhatnak az egészségügyiadat-birtokosok fogalommeghatározása alá, és ezért nem lehetnek az egészségügyiadat-birtokosokra vonatkozó, e rendelet szerinti kötelezettségek címzettjei. Továbbá, e rendelet nem érinti a bűncselekmények megelőzésére, kivizsgálására, felderítésére és büntetőeljárás alá vonására hatáskörrel rendelkező hatóságoknak az elektronikus egészségügyi adatok megszerzésére vonatkozó hatáskörét. Hasonlóképpen, a bírósági eljárások céljából a bíróságok birtokában lévő elektronikus egészségügyi adatok is kívül esnek e rendelet hatályán.

(64) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes egy vagy több szerv létrehozása, amelyek a tagállamokban az elektronikus egészségügyi adatokhoz való hozzáférést támogatják, alapvető fontosságú az egészségügyi vonatkozású adatok másodlagos felhasználásának előmozdításához. A tagállamoknak ezért létre kell hozniuk egy vagy több, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet, hogy figyelembe vegyék többek között az alkotmányos, szervezeti és közigazgatási struktúrájukat. Azonban az említett egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek egyikét koordinátorként kell kijelölni abban az esetben, ha egynél több egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv létezik. Amennyiben egy tagállam több egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet hoz létre, nemzeti szinten szabályokat kell megállapítania, hogy biztosítsa az említett szerveknek az Európai Egészségügyi Adattér Testületben való koordinált részvételét. Az említett tagállamnak ki kell jelölnie különösen egy olyan, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet, hogy az említett szervek hatékony részvétele érdekében egyedüli kapcsolattartó pontként működjön, és biztosítsa a gyors és zökkenőmentes együttműködést az egészségügyi adatokhoz való hozzáférés tekintetében illetékes más szervekkel, az Európai Egészségügyi Adattér Testülettel és a Bizottsággal. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek szervezetileg és méretükben eltérőek lehetnek, egy erre a célra létrehozott, teljes jogú szervezettől egy meglévő szervezeten belüli egységig vagy szervezeti egységig. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveket nem szabad befolyásolni a másodlagos felhasználásra szánt elektronikus adatokhoz való hozzáférésre vonatkozó döntéseikben, és el kell kerülniük minden összeférhetetlenséget. Ezért minden egyes egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv irányító és döntéshozó szervei tagjainak és személyzetének tartózkodniuk kell minden olyan tevékenységtől, amely összeegyeztethetetlen feladataikkal, és nem folytathatnak összeegyeztethetetlen foglalkozást. Azonban az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek függetlensége nem jelentheti azt, hogy a pénzügyi kiadásaik tekintetében ne lehetnének ellenőrzési vagy nyomonkövetési mechanizmusoknak vagy bírósági felülvizsgálatnak alávetve. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes minden egyes szerv számára biztosítani kell a feladatai - beleértve az Unióban az egészségügyi adatokhoz való hozzáférés tekintetében illetékes más szervekkel való együttműködéshez kapcsolódó feladatokat is - hatékony ellátásához szükséges pénzügyi, technikai és személyzeti forrásokat, helyiségeket és infrastruktúrát. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek irányító és döntéshozó szervei tagjainak és személyzetének rendelkezniük kell a szükséges képesítésekkel, tapasztalattal és készségekkel. Az egyes egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek külön, nyilvános, éves költségvetéssel rendelkeznek, amely az állami vagy nemzeti költségvetés részét képezheti. Az egészségügyi adatokhoz való jobb hozzáférés lehetővé tétele érdekében, és kiegészítve az (EU) 2022/868 rendelet 7. cikkének (2) bekezdését, a tagállamoknak az egészségügyi adatokhoz való hozzáférésre és azok másodlagos felhasználására vonatkozó döntések meghozatalára irányuló hatásköröket kell ruházniuk az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervekre. Ez magában foglalhatja a tagállamok által az (EU) 2022/868 rendelet 7. cikkének (1) bekezdése alapján kijelölt illetékes szervek új feladatokkal való megbízását, vagy az egészségügyi adatokhoz való hozzáféréssel kapcsolatos feladatokért felelős meglévő vagy új ágazati szervek kijelölését.

(65) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek nyomon kell követniük az e rendelet IV. fejezetének alkalmazását, és hozzá kell járulniuk annak Unió-szerte történő következetes alkalmazásához. E célból az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek együttműködnek egymással és a Bizottsággal. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek együtt kell működniük az érdekelt felekkel, köztük a betegképviseleti szervezetekkel is. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek támogatniuk kell a 2003/361/EK (18) bizottsági ajánlással összhangban kisvállalkozásoknak minősülő egészségügyiadat-birtokosokat, különösen az orvosokat és a gyógyszertárakat. Mivel az egészségügyi adatok másodlagos felhasználása magában foglalja a személyes egészségügyi adatok kezelését, az (EU) 2016/679 és az (EU) 2018/1725 rendelet releváns rendelkezései alkalmazandók, és az említett rendelkezések érvényesítése tekintetében az említett rendeletek szerinti felügyeleti hatóságok továbbra is az egyedüli illetékes hatóságok. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek tájékoztatniuk kell az adatvédelmi hatóságokat a kiszabott szankciókról és a másodlagos felhasználás céljából történő adatkezeléssel kapcsolatos esetleges kérdésekről, és meg kell osztaniuk egymással a rendelkezésükre álló bármely releváns információt a vonatkozó szabályok végrehajtásának biztosítása érdekében. Az egészségügyi adatok eredményes másodlagos felhasználásának biztosításához szükséges feladatok mellett az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek törekednie kell a további egészségügyi adatkészletek elérhetőségének bővítésére, valamint a közös szabványok kidolgozásának előmozdítására. Olyan legkorszerűbb, tesztelt technikákat kell alkalmazniuk, amelyek biztosítják, hogy az elektronikus egészségügyi adatokat oly módon kezelik, amely megóvja az adatokban foglalt azon információk titkosságát, amelyek másodlagos felhasználása megengedett, beleértve a személyes adatok álnevesítését, anonimizálását, általánosítását, elrejtését és randomizálását lehetővé tevő technikákat. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek adatkészleteket készíthetnek a kiadott adatengedélyhez kapcsolódó adatfelhasználói követelményeknek megfelelően. E tekintetben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek határokon átnyúlóan együttműködnek a legjobb gyakorlatok és technikák kidolgozásáért és cseréjéért. Ez magában foglalja a mikroadatkészletek álnevesítésére és anonimizálására vonatkozó szabályokat is. Adott esetben a Bizottságnak - az elektronikus egészségügyi adatok álnevesítésére és anonimizálására szolgáló, egységes folyamatra vonatkozóan - meg kell határoznia az eljárásokat és a követelményeket, valamint technikai eszközöket kell biztosítania.

(66) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek biztosítaniuk kell a másodlagos felhasználás átláthatóságát azáltal, hogy nyilvános tájékoztatást nyújtanak a kiadott adatengedélyekről és azok indokolásáról, a természetes személyek jogainak védelme érdekében hozott intézkedésekről, arról, hogy a természetes személyek hogyan gyakorolhatják a másodlagos felhasználással kapcsolatos jogaikat, valamint a másodlagos felhasználás eredményeiről, többek között tudományos publikációkra mutató linkek révén. Adott esetben a másodlagos felhasználás eredményeire vonatkozó, említett információknak tartalmazniuk kell az egészségügyiadat-felhasználó által benyújtandó, laikusoknak szóló összefoglalót is. Az említett átláthatósági követelmények kiegészítik az (EU) 2016/679 rendelet 14. cikkében meghatározott kötelezettségeket. Az említett rendelet 14. cikkének (5) bekezdésében előírt kivételek alkalmazhatók. Amennyiben valóban ilyen kivételek alkalmazandók, az e rendeletben megállapított átláthatósági kötelezettségeknek hozzá kell járulniuk az (EU) 2016/679 rendelet 14. cikkének (2) bekezdésében említett tisztességes és átlátható adatkezelés biztosításához, például az adatkezelés céljára és a kezelt adatkategóriákra vonatkozó információk nyújtása révén, lehetővé téve ezáltal a természetes személyek számára annak megértését, hogy adataikat az adatengedélyek alapján másodlagos felhasználás céljából rendelkezésre bocsátják-e.

(67) A természetes személyeket az egészségügyiadat-birtokosokon keresztül tájékoztatni kell az egészségügyiadat-felhasználók által az egészségükkel kapcsolatban tett jelentős megállapításokról. A természetes személyeknek jogukban áll kérni, hogy az ilyen megállapításokról ne tájékoztassák őket. A tagállamok feltételeket határozhatnak meg az egészségügyiadat-birtokosok által az érintett természetes személyek számára történő ilyen tájékoztatás megadásának módjára vonatkozóan és a tájékoztatás-nem-kéréshez való jog gyakorlására vonatkozóan. Lehetővé kell tenni a tagállamok számára, hogy az (EU) 2016/679 rendelet 23. cikke (1) bekezdésének i) pontjával összhangban korlátozzák a természetes személyek tájékoztatására vonatkozó kötelezettség hatályát - valahányszor a védelmük érdekében a betegbiztonság és az etika alapján ez szükséges - azáltal, hogy késleltetik a tájékoztatásuk közlését mindaddig, amíg egy egészségügyi szakember tudja közölni és elmagyarázni az érintett természetes személy számára azon információkat, amelyek potenciálisan hatást gyakorolhatnak az egészségükre.

(68) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek - az átláthatóság előmozdítása érdekében - kétévente tevékenységi jelentést is közzé kell tenniük, amelyben áttekintést nyújtanak tevékenységeikről. Amennyiben egy tagállam egynél több, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet jelölt ki, a koordináló szervnek kell kétévente közös jelentést készítenie és közzétennie. A tevékenységi jelentéseknek az Európai Egészségügyi Adattér Testületben elfogadott struktúrát kell követniük, és áttekintést kell nyújtaniuk a tevékenységekről, beleértve az alkalmazásokkal kapcsolatos döntésekre, az ellenőrzésekre és a releváns érdekelt felekkel való együttműködésre vonatkozó információkat is. Az ilyen érdekelt felek közé tartozhatnak természetes személyek, betegképviseleti szervezetek, egészségügyi szakemberek, kutatók és etikai bizottságok képviselői.

(69) A másodlagos felhasználás támogatásának érdekében az egészségügyiadat-birtokosoknak tartózkodniuk kell a következőktől: az adatok visszatartása, az olyan indokolatlan díjak kiszabása, amelyek nem átláthatóak és nem arányosak az adatok rendelkezésre bocsátásának költségeivel és adott esetben az adatgyűjtés határköltségeivel, annak előírása az egészségügyi adatfelhasználók számára, hogy közösen tegyék közzé a kutatást vagy más olyan gyakorlatok, amelyek eltántoríthatják az egészségügyi adatfelhasználókat az adatok kérelmezésétől. Amennyiben az egészségügyiadat-birtokos közszférabeli szervezet, a díjaknak az adatbirtokos költségeihez kapcsolódó része nem fedezheti az adatok kezdeti gyűjtésének költségeit. Amennyiben az adatengedély megadásához etikai jóváhagyásra van szükség, az etikai jóváhagyáshoz kapcsolódó értékelésnek a saját érdemein kell alapulnia.

(70) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek számára lehetővé kell tenni, hogy a feladataikkal összefüggésben az (EU) 2022/868 rendelet által megállapított horizontális szabályok figyelembevételével díjat számíthassanak fel. Az ilyen díj kiszabása során figyelembe vehetik a kis- és középvállalkozások (kkv-k), az egyéni kutatók vagy a közszférabeli szervezetek helyzetét és érdekeit. Így különösen, a tagállamok a joghatóságuk alá tartozó, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek tekintetében olyan politikákat hozhatnak létre, amelyek csökkentett díj felszámítását teszik lehetővé az egészségügyi adatfelhasználók bizonyos kategóriái számára. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek számára lehetővé kell tenni, hogy működésük költségeit arányos, indokolt és átlátható módon megállapított díjakkal fedezzék. Ez egyes egészségügyiadat-felhasználók számára magasabb díjakat eredményezhet, ha az egészségügyiadat-hozzáférés iránti kérelmeik és egészségügyiadat-igényléseik kezelése több munkát igényel. Az egészségügyiadat-birtokosok számára lehetővé kell tenni, hogy az adatok rendelkezésre bocsátásáért olyan díjakat is kérhessenek, amelyek tükrözik a költségeiket. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek kell dönteniük az ilyen díjak összegéről, amely magában foglalhatja az egészségügyiadat-birtokosok által kért díjakat is. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv egyetlen számlán kell, hogy felszámítsa az ilyen díjakat az egészségügyiadat-felhasználónak. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek ezután továbbítania kell a befizetett díjak releváns részét az egészségügyiadat-birtokos számára. A díjpolitikákra és -struktúrára vonatkozó harmonizált megközelítés biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni. Az e rendelet alapján felszámított díjakra az (EU) 2023/2854 rendelet 10. cikkét kell alkalmazni.

(71) A másodlagos felhasználásra vonatkozó szabályok érvényesítésének megerősítése érdekében megfelelő intézkedéseket kell kilátásba helyezni, amelyek az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek által meghatározott közigazgatási bírságokhoz vagy végrehajtási intézkedésekhez, vagy az európai egészségügyi adattérből való ideiglenes vagy végleges kizáráshoz vezethetnek azon egészségügyiadat-felhasználók vagy egészségügyiadat-birtokosok esetében, akik nem felelnek meg a kötelezettségeiknek. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveket fel kell hatalmazni arra, hogy ellenőrizzék az egészségügyiadat-felhasználók és az egészségügyiadat-birtokosok megfelelését, és lehetőséget adjanak számukra arra, hogy válaszoljanak bármely megállapításra, és orvosoljanak bármely jogsértést. Az egyes esetekre vonatkozó közigazgatási bírság vagy végrehajtási intézkedés összegéről való döntéskor az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek figyelembe kell venniük az e rendeletben meghatározott költségréseket és kritériumokat, biztosítva, hogy az említett bírságok vagy intézkedések arányosak legyenek.

(72) Tekintettel az elektronikus egészségügyi adatok érzékenységére, az adattakarékosság elvének alkalmazásával csökkenteni kell a természetes személyek magánéletét érintő kockázatokat. Ezért a nem személyes elektronikus egészségügyi adatokat minden olyan esetben lehetővé kell tenni, amikor ez elegendő. Ha az adatfelhasználónak személyes elektronikus egészségügyi adatokat kell használnia, adatigénylésében egyértelműen meg kell adnia az említett típusú adatok felhasználásának indoklását, és az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek értékelnie kell, hogy az említett indokolás érvényes-e. A személyes elektronikus egészségügyi adatokat csak álnevesített formátumban szabad rendelkezésre bocsátani. Figyelembe véve az adatkezelés konkrét céljait, a személyes elektronikus egészségügyi adatokat a lehető leghamarabb álnevesíteni vagy anonimizálni kell az adatok másodlagos felhasználás céljából történő rendelkezésre bocsátásának folyamata során. Az álnevesítést és az anonimizálást az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek vagy az egészségügyiadat-birtokosok végezhetik el. Adatkezelőként az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és az egészségügyiadat-birtokosok az említett feladatokat átruházhatják az adatfeldolgozókra. Az álnevesített vagy anonimizált adatkészlethez való hozzáférés biztosításakor az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek a legkorszerűbb anonimizálási vagy álnevesítési technológiát és szabványokat kell alkalmaznia, a lehető legnagyobb mértékben biztosítva, hogy az egészségügyiadat-felhasználók által ne lehessen újra azonosítani a természetes személyeket. Az adatok álnevesítésére vagy anonimizálására vonatkozó ilyen technológiát és szabványokat tovább kell fejleszteni. Az egészségügyiadat-felhasználók nem kísérelhetik meg a természetes személyek újbóli azonosítását az e rendelet alapján rendelkezésre bocsátott adatkészletből, és amennyiben ezt teszik, az e rendeletben megállapított közigazgatási bírságokkal és végrehajtási intézkedésekkel vagy - ha a nemzeti jog így rendelkezik - lehetséges büntetőjogi szankciókkal sújthatók. Ezenkívül az egészségügyiadat-kérelmező számára lehetővé kell tenni, hogy választ kérhessen valamely egészségügyiadat-igénylésre anonimizált statisztikai formátumban. Ilyen esetekben az egészségügyiadat-felhasználó csak a nem személyes adatokat fogja kezelni, és az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv marad az egészségügyiadat-igénylésre történő válaszadáshoz szükséges személyes adatok tekintetében az egyedüli adatkezelő.

(73) Annak biztosítása érdekében, hogy az egészségügyi adatokhoz való hozzáférés tekintetében illetékes valamennyi szerv hasonló módon adjon ki adatengedélyeket, létre kell hozni az adatengedélyek kiadására vonatkozó egységes közös eljárást, amely a különböző tagállamokban a hasonló adatigénylésekre vonatkozik. Az egészségügyiadat-kérelmezőnek az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek rendelkezésére kell bocsátania több olyan információt, amely segítheti a szervet az egészségügyiadat-hozzáférés iránti kérelem értékelésében és annak eldöntésében, hogy az egészségügyiadat-kérelmező kaphat-e adatengedélyt, továbbá koherenciát kell biztosítani a különböző egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek között. Az egészségügyiadat-hozzáférés iránti kérelem részeként szolgáltatott információknak az e rendeletben meghatározott követelményeket kell követniük annak érdekében, hogy lehetővé tegyék azok alapos értékelését, mivel adatengedély csak akkor adható ki, ha az e rendeletben meghatározott valamennyi szükséges feltétel teljesül. Emellett adott esetben tartalmaznia kell az egészségügyiadat-kérelmező nyilatkozatát arról, hogy a kért egészségügyi adatok tervezett felhasználása nem jár a megbélyegzés vagy a méltóságbeli sérelemokozás kockázatával azon egyénekre, sem azon csoportokra nézve, amelyekre a kért adatkészlet vonatkozik. A nemzeti jog alapján etikai értékelés is kérhető. Ebben az esetben a meglévő etikai szervek számára lehetővé kell tenni, hogy az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv számára ilyen értékeléseket végezzenek. A tagállamok meglévő etikai szerveinek e célból az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv rendelkezésére kell bocsátaniuk szakértelmüket. Alternatív megoldásként a tagállamok rendelkezhetnek úgy, hogy az etikai szervek az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv részét képezzék. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek és adott esetben az egészségügyiadat-birtokosoknak segíteniük kell az egészségügyiadat-felhasználókat a másodlagos felhasználás rendeltetéséhez megfelelő adatkészletek vagy adatforrások kiválasztásában. Amennyiben az egészségügyiadat-kérelmezőnek anonimizált statisztikai formátumban van szüksége adatokra, egészségügyiadat-igénylést kell benyújtania, amelyben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv számára előírja, hogy közvetlenül adja meg az eredményt. Az adatengedélynek az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv általi elutasítása nem akadályozhatja meg az egészségügyiadat-kérelmezőt abban, hogy új egészségügyiadat-hozzáférés iránti kérelmet nyújtson be. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek közötti összehangolt megközelítés biztosítása és az egészségügyiadat-kérelmezőkre háruló szükségtelen adminisztratív terhek korlátozása érdekében a Bizottságnak támogatnia kell az egészségügyiadat-hozzáférés iránti kérelmek és az egészségügyiadat-igénylések harmonizációját, többek között a releváns sablonok létrehozásával. Indokolt esetekben - így például összetett és megterhelő kérelem esetén - az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv meghosszabbíthatja az egészségügyiadat-birtokosok számára az igényelt elektronikus egészségügyi adatok számára történő rendelkezésre bocsátására szolgáló időtartamot.

(74) mivel az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek erőforrásai korlátozottak, rangsorolási szabályokat alkalmazhatnak, így például a közintézményeket előnyben részesíthetik a magánszervezetekkel szemben, de nem alkalmazhatnak megkülönböztetést az azonos prioritási kategóriába tartozó nemzeti vagy más tagállambeli szervezetek között. Az egészségügyiadat-felhasználó számára lehetővé kell tenni, hogy meghosszabbítsa az adatengedély időtartamát, például azért, hogy a tudományos publikációk bírálói számára hozzáférést biztosítson az adatkészletekhez, vagy hogy lehetővé tegye az adatkészlet további elemzését az eredeti megállapítások alapján. Ez az adatengedély módosítását tenné szükségessé, és kiegészítő díj is kiszabható. Azonban az adatengedélynek minden esetben tartalmaznia kell az adatkészlet ilyen további felhasználásait. Az egészségügyiadat-felhasználónak lehetőség szerint az eredeti egészségügyiadat-hozzáférés iránti kérelmében kell megemlítenie azokat. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek közötti összehangolt megközelítés biztosítása érdekében a Bizottságnak támogatnia kell az adatengedélyek harmonizációját.

(75) Amint azt a Covid19-válság megmutatta, a közegészségügy területén jogi megbízatással rendelkező uniós intézményeknek, szerveknek, hivataloknak és ügynökségeknek, különösen a Bizottságnak, hosszabb ideig és ismétlődő jelleggel kell hozzáférniük az egészségügyi adatokhoz. Ez nemcsak az uniós vagy a tagállami jogban válság idején előírt sajátos körülmények között fordulhat elő, hanem annak érdekében is, hogy az uniós szakpolitikákhoz rendszeresen tudományos bizonyítékokat és technikai támogatást biztosítsanak. Az ilyen adatokhoz való hozzáférést igényelhetik konkrét tagállamokban vagy az Unió egész területén is. Az ilyen uniós intézmények, szervek, hivatalok és ügynökségek számára gyorsított eljárást kell biztosítani az adatok elérhetővé tételéhez - általában kevesebb mint két hónapon belül -, lehetőséget biztosítva - összetettebb esetekben - a határidő egy hónappal való meghosszabbítására is.

(76) A tagállamok számára lehetővé kell tenni, hogy olyan megbízható egészségügyiadat-birtokosokat jelöljenek ki, akik esetében az adatengedélyezési eljárást egyszerűsített módon lehet lefolytatni annak érdekében, hogy enyhítsék az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervekre háruló adminisztratív terheket az általuk kezelt adatok iránti kérelmek feldolgozása során. A megbízható egészségügyiadat-birtokosok számára lehetővé kell tenni, hogy értékeljék az ezen egyszerűsített eljárás keretében benyújtott egészségügyiadat-hozzáférés iránti kérelmeket, figyelembe véve az általuk kezelt egészségügyi adatok típusának kezelésében szerzett szakértelmüket, és ajánlást adjanak ki az adatengedélyre vonatkozóan. Továbbra is az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek kell felelnie a végleges adatengedély kiadásáért, és rá nézve nem lehet kötelező erejű a megbízható egészségügyiadat-birtokos által adott ajánlás. Egészségügyiadat-közvetítő szervezetek nem jelölhetők ki megbízható egészségügyiadat-birtokosnak.

(77) Tekintettel az elektronikus egészségügyi adatok érzékenységére, az egészségügyi adatfelhasználók nem férhetnek hozzá korlátlanul az ilyen adatokhoz. Az igényelt elektronikus egészségügyi adatokhoz való minden másodlagos felhasználást célzó hozzáférést biztonságos adatkezelési környezetben kell biztosítani. Az elektronikus egészségügyi adatok szigorú technikai és biztonsági biztosítékainak garantálása érdekében az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek vagy adott esetben a megbízható egészségügyiadat-birtokosnak biztonságos adatkezelési környezetben kell hozzáférést biztosítania az ilyen adatokhoz, az e rendelet alapján meghatározott magas szintű technikai és biztonsági előírásoknak megfelelően. A személyes adatok ilyen biztonságos adatkezelési környezetben történő kezelésének meg kell felelnie az (EU) 2016/679 rendeletnek, ideértve - amennyiben a biztonságos adatkezelési környezetet harmadik fél kezeli - az e rendelet 28. cikkében és adott esetben az V. fejezetében foglalt követelményeket is. Az ilyen biztonságos adatkezelési környezetnek csökkentenie kell az ilyen adatkezelési tevékenységekkel kapcsolatos adatvédelmi kockázatokat, és meg kell akadályoznia, hogy az elektronikus egészségügyi adatokat közvetlenül az egészségügyi adatfelhasználóknak továbbítsák. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek vagy az ilyen szolgáltatást nyújtó egészségügyiadat-birtokosnak mindenkor ellenőrzést kell gyakorolnia az elektronikus egészségügyi adatokhoz való hozzáférés felett, és az egészségügyiadat-felhasználók számára megadott hozzáférést a kiadott adatengedély feltételeinek kell meghatározniuk. Az egészségügyiadat-felhasználók csak olyan nem személyes elektronikus egészségügyi adatokat tölthetnek le az ilyen biztonságos adatkezelési környezetből, amelyek nem tartalmaznak személyes elektronikus egészségügyi adatokat. Így az ilyen biztonságos adatkezelési környezet lényeges biztosítékot jelent a természetes személyek jogainak és szabadságainak megóvásához az elektronikus egészségügyi adataik másodlagos felhasználás céljából történő kezelésével kapcsolatban. A különböző biztonságos adatkezelési környezetek biztonságának és interoperabilitásának előmozdítása érdekében a Bizottságnak segítenie kell a tagállamokat a közös biztonsági szabványok kidolgozásában.

(78) Az (EU) 2022/868 rendelet meghatározza az adataltruizmus kezelésére vonatkozó általános szabályokat. Tekintettel arra, hogy az egészségügyi ágazat érzékeny adatokat kezel, az említett rendeletben foglalt szabálykönyv révén további kritériumokat kell meghatározni. Amennyiben az ilyen szabályok az említett ágazat számára biztonságos adatkezelési környezet használatáról rendelkeznek, az ilyen környezetnek meg kell felelnie az e rendeletben megállapított kritériumoknak. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek - az egészségügyi vagy a gondozási ágazatban működő adataltruista szervezetek tevékenységének felügyelete érdekében - együtt kell működniük az (EU) 2022/868 rendelet alapján kijelölt illetékes szervekkel.

(79) Az adatengedély vagy az egészségügyiadat-igénylés körébe tartozó elektronikus egészségügyi adatok kezelését illetően viszont az egészségügyiadat-birtokosokat, ideértve a megbízható egészségügyiadat-birtokosokat is, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveket és az egészségügyiadat-felhasználókat - közülük mindegyiket - a folyamat egy meghatározott része tekintetében és az abban betöltött szerepüknek megfelelően adatkezelőnek kell tekinteni. Az egészségügyiadat-birtokosokat adatkezelőnek kell tekinteni a kért személyes elektronikus egészségügyi adatoknak az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervvel való közlése tekintetében, míg az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet kell adatkezelőnek tekinteni a személyes elektronikus egészségügyi adatok kezelése tekintetében az adatok előkészítése és az egészségügyiadat-felhasználók számára történő rendelkezésre bocsátásuk során. Az egészségügyiadat-felhasználókat adatkezelőnek kell tekinteni a személyes elektronikus egészségügyi adatok álnevesített formában, az adatengedélyük szerinti biztonságos adatkezelési környezetben történő kezelése tekintetében. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveket az egészségügyiadat-felhasználó nevében eljáró adatfeldolgozónak kell tekinteni az egészségügyiadat-felhasználó által a biztonságos adatkezelési környezetben adatengedély alapján végzett adatkezelés tekintetében, valamint az egészségügyiadat-igénylésre történő válaszadást szolgáló adatkezelés tekintetében. Hasonlóképpen, a megbízható egészségügyiadat-birtokosokat adatkezelőnek kell tekinteni az elektronikus egészségügyi adatoknak az egészségügyiadat-felhasználó számára valamely adatengedély vagy egészségügyiadat-igénylés alapján történő szolgáltatásával kapcsolatos személyes elektronikus egészségügyi adatok kezelése tekintetében. A megbízható egészségügyiadat-birtokosokat adatfeldolgozónak kell tekinteni, amikor az egészségügyiadat-felhasználó számára biztonságos adatkezelési környezeten keresztül szolgáltat adatokat.

(80) Az elektronikus egészségügyi adatok több országra kiterjedő másodlagos felhasználására vonatkozó inkluzív és fenntartható keret kialakítása érdekében létre kell hozni egy határokon átnyúló infrastruktúrát (a továbbiakban: EgészségügyiAdatok@EU [HealthData@EU]). Az EgészségügyiAdatok@EU-nak (HealthData@EU) fel kell gyorsítania a másodlagos felhasználást, növelve ugyanakkor a jogbiztonságot, tiszteletben tartva a természetes személyek magánéletét, és biztosítva az interoperábilis jelleget. Az egészségügyi adatok érzékenysége miatt lehetőség szerint tiszteletben kell tartani az olyan elveket, mint a "beépített adatvédelem" és az "alapértelmezett adatvédelem", valamint azon koncepciót, hogy az adatok mozgatása helyett a kérdéseket kell az említett adatokhoz vinni. A tagállamoknak az elektronikus egészségügyi adatok másodlagos felhasználására szolgáló nemzeti kapcsolattartó pontokat kell kijelölniük, amelyek szervezeti és technikai átjáróként szolgálnak az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek számára, és az említett kapcsolattartó pontokat össze kell kapcsolniuk az EgészségügyiAdatok@EU-val (HealthData@EU). Az uniós egészségügyiadat-hozzáférési szolgáltatást is csatlakoztatni kell az EgészségügyiAdatok@EU-hoz (HealthData@EU). Emellett az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevői lehetnek a 723/2009/EK tanácsi rendelet (19) alapján európai kutatási infrastruktúráért felelős konzorciumként (ERIC), az (EU) 2022/2481 határozat alapján európai digitális infrastruktúra-konzorciumként (EDIC) létrehozott kutatási infrastruktúrák vagy más uniós jogszabályok alapján létrehozott hasonló struktúrák, valamint más típusú szervezetek, beleértve a Kutatási Infrastruktúrák Európai Stratégiai Fóruma (ESFRI) és az európai nyílt tudományosadat-felhő (EOSC) keretében egyesített infrastruktúrákat. Harmadik országok és nemzetközi szervezetek szintén lehetnek az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevői, feltéve, hogy megfelelnek az e rendeletben foglalt követelményeknek.Az "Európai adatstratégia" című, 2020. február 19-i bizottsági közlemény előmozdította a különböző közös európai adatterek összekapcsolását. Az EgészségügyiAdatok@EU-nak (HealthData@EU) ezért lehetővé kell tennie az elektronikus egészségügyi adatok különböző kategóriáinak másodlagos felhasználását, ideértve az egészségügyi adatok más adatterekből származó adatokkal - így például a környezetvédelmi, a mezőgazdasági és a szociális ágazattal kapcsolatos adatokkal - történő összekapcsolását. Az egészségügyi ágazat és az olyan ágazatok közötti interoperabilitás, mint a környezetvédelmi, a mezőgazdasági vagy a szociális ágazat, releváns lehet az egészséget befolyásoló tényezőkkel kapcsolatos további ismeretszerzés szempontjából. A Bizottság az EgészségügyiAdatok@EU)-n (HealthData@EU) belül számos szolgáltatást nyújthatna, mint például az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és az EgészségügyiAdatok@EU) (HealthData@EU) felhatalmazott résztvevői közötti, a határokon átnyúló hozzáférés iránti kérelmek kezelésével összefüggő információcsere támogatása, az infrastruktúrán keresztül elérhető elektronikus egészségügyi adatok katalógusának fenntartása, a hálózat fellelhetősége és a metaadatok lekérdezése, a konnektivitás és a megfelelési szolgáltatások. A Bizottság olyan biztonságos adatkezelési környezetet is létrehozhat, amely az adatkezelők kérésére lehetővé teszi a különböző nemzeti infrastruktúrákból származó adatok továbbítását és elemzését. Az informatikai hatékonyság, az adatcsere észszerűsítése és interoperabilitása érdekében a lehető legnagyobb mértékben fel kell használni a meglévő adatmegosztási rendszereket, így például azokat, amelyek az (EU) 2018/1724 európai parlamenti és tanácsi rendelet (20) szerinti "egyszeri adatszolgáltatás" technikai rendszerének keretében az igazolások cseréjére épülnek.

(81) Emellett, mivel az EgészségügyiAdatok@EU)-hoz (HealthData@EU) való csatlakozás a kérelmezővel vagy az egészségügyiadat-felhasználóval kapcsolatos személyes adatok harmadik országoknak történő továbbítását vonhatja maga után, az ilyen adattovábbításokhoz az (EU) 2016/679 rendelet V. fejezete szerinti releváns adattovábbítási eszközöknek kell rendelkezésre állniuk.

(82) A határokon átnyúló nyilvántartások vagy adatbázisok - így például a ritka betegségek európai referenciahálózatainak nyilvántartásai - esetében, amelyek több tagállam különböző egészségügyi szolgáltatóitól kapnak adatokat, a nyilvántartás koordinátorának helye szerinti tagállam egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerve felelős az adatokhoz való hozzáférés biztosításáért.

(83) A különböző tagállamokban a személyes elektronikus egészségügyi adatokhoz való hozzáférésre vonatkozó engedélyezési eljárás az egészségügyi adatfelhasználók számára repetitív és nehézkes lehet. Amikor csak lehetséges, az adatfelhasználók terheinek és akadályainak csökkentése érdekében szinergiákat kell kialakítani. Az említett cél elérésének egyik módja az "egyetlen kérelem" elvének ("single application" principle) betartása, amely szerint az adatfelhasználó egy kérelemmel több, különböző tagállamokban működő, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervtől vagy az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevőitől kaphat engedélyt.

(84) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek tájékoztatást kell nyújtaniuk a rendelkezésre álló adatkészletekről és azok jellemzőiről annak érdekében, hogy az egészségügyiadat-felhasználók tájékozódhassanak az adatkészlettel kapcsolatos alapvető tényekről, és értékelhessék az említett tények esetleges relevanciáját az említett felhasználók szempontjából. Emiatt minden egyes adatkészletnek tartalmaznia kell legalább az adatok forrására, jellegére és az adatok rendelkezésre bocsátásának feltételeire vonatkozó információkat. Az egészségügyiadat-birtokosnak legalább évente ellenőriznie kell, hogy a nemzeti adatkészlet-katalógusban szereplő adatkészlet-leírása pontos és naprakész legyen. Ezért létre kell hozni egy uniós adatkészlet-katalógust a következők érdekében: az európai egészségügyi adattérben rendelkezésre álló adatkészletek fellelhetőségének megkönnyítése; az egészségügyiadat-birtokosok támogatása adatkészleteik közzétételében; valamennyi érdekelt fél - köztük a lakosság, a fogyatékossággal élő személyek sajátos szükségleteit is figyelembe véve - számára tájékoztatás nyújtása az európai egészségügyi adattérben elhelyezett adatkészletekről, így például adatminőségi és -hasznossági címkékről és adatkészletre vonatkozó adatlapokról; valamint naprakész adatminőségi és -hasznossági információk biztosítása az egészségügyiadat-felhasználók számára az adatkészletekről.

(85) Az adatkészletek minőségére és hasznosságára vonatkozó információk jelentősen növelik az adatigényes kutatás és innováció eredményeinek értékét, ugyanakkor előmozdítják a tényeken alapuló szabályozási és szakpolitikai döntéshozatalt. Az adatkészletek minőségének és hasznosságának a fogyasztók megalapozott választása révén történő javítása és a kapcsolódó követelmények uniós szintű harmonizálása - figyelembe véve az adatgyűjtésre és adatcserére vonatkozó meglévő uniós és nemzetközi szabványokat, iránymutatásokat és ajánlásokat, így például a FAIR-irányelveket - előnyös az egészségügyiadat-birtokosok, az egészségügyi szakemberek, a természetes személyek és az uniós gazdaság egésze számára is. Az adatkészletek adatminőségi és -hasznossági címkéje tájékoztatná az egészségügyiadat-felhasználókat az adatkészlet minőségi és hasznossági jellemzőiről, és lehetővé tenné számukra, hogy az igényeiknek leginkább megfelelő adatkészleteket válasszák ki. Az adatminőségi és -hasznossági címke nem akadályozhatja meg, hogy az adatkészleteket az európai egészségügyi adattéren keresztül elérhetővé tegyék, de az egészségügyiadat-birtokosok és az egészségügyiadat-felhasználók közötti átláthatósági mechanizmusként kell működnie. Például egy olyan adatkészletet, amely nem felel meg az adatminőségre és -hasznosságra vonatkozó követelményeknek, a legrosszabb minőségű és legkevésbé hasznos besorolással kell megjelölni, de még így is rendelkezésre kell bocsátani. Az adatminőségi és -hasznossági keret kidolgozásakor figyelembe kell venni az (EU) 2024/1689 rendelet 10. cikke alapján létrehozott keretek által meghatározott elvárásokat és az említett rendelet IV. mellékletében meghatározott releváns technikai dokumentációt. A tagállamoknak kommunikációs tevékenységek révén fel kell hívniuk a figyelmet az adatminőségi és -hasznossági címkére. A Bizottság támogathatja az említett tevékenységeket. Az adatkészletek felhasználását a felhasználóik rangsorolhatják azok hasznossága és minősége szerint.

(86) Az uniós adatkészlet-katalógusnak a lehető legkisebbre kell csökkentenie az egészségügyiadat-birtokosokra és az egyéb adatbázis-felhasználókra háruló adminisztratív terheket, felhasználóbarátnak, akadálymentesnek és költséghatékonynak kell lennie, össze kell kapcsolnia a nemzeti adatkészlet-katalógusokat, és el kell kerülnie az adatkészletek felesleges nyilvántartásba vételét. Az uniós adatkészletek katalógusát az (EU) 2022/868 rendeletben meghatározott követelmények sérelme nélkül össze lehetne hangolni a data.europa.eu kezdeményezéssel. Biztosítani kell az uniós adatkészlet-katalógus, a nemzeti adatkészlet-katalógusok és az európai kutatási infrastruktúrákból és más releváns adatmegosztási infrastruktúrákból származó adatkészlet-katalógusok közötti interoperabilitást.

(87) A különböző szakmai szervezetek, a Bizottság és más intézmények között zajlik a különböző adatkészletek - például nyilvántartások - minimális adatmezőinek és egyéb jellemzőinek meghatározására irányuló együttműködés és munka. Ez a munka előrehaladottabb az olyan területeken, mint a rák, a ritka betegségek, a szív- és érrendszeri és a metabolikus betegségek, a kockázati tényezők értékelése és a statisztikák, és azt a strukturált adatelemekre vonatkozó új szabványok és betegségspecifikus harmonizált sablonok meghatározásakor figyelembe kell venni. Számos adatkészlet azonban nincs harmonizálva, ami problémákat keletkeztet az összehasonlíthatóság tekintetében, és megnehezíti a határokon átnyúló kutatást. Ezért az elektronikus egészségügyi adatok harmonizált kódolásának és nyilvántartásba vételének biztosítása érdekében végrehajtási jogi aktusokban részletesebb szabályokat kell meghatározni, hogy lehetővé váljon azok következetes módon történő másodlagos felhasználása. Ilyen adatkészletek lehetnek a ritka betegségek nyilvántartásából, a ritka betegségek gyógyszereire vonatkozó adatbázisokból, a rákregiszterekből és a kiemelten fontos fertőző betegségek nyilvántartásából származó adatok. A tagállamoknak törekedniük kell annak biztosítására, hogy az európai elektronikus egészségügyi rendszerek és szolgáltatások és az interoperábilis alkalmazások fenntartható gazdasági és társadalmi előnyöket nyújtsanak, a magas szintű bizalom és biztonság megteremtése, az egészségügyi ellátás folytonosságának javítása, valamint a biztonságos és jó minőségű egészségügyi ellátáshoz való hozzáférés biztosítása érdekében. A meglévő egészségügyiadat-infrastruktúrák és nyilvántartások hasznos modelleket biztosíthatnak az adatszabványok és az interoperabilitás meghatározásához és végrehajtásához, és ki kell használni azokat a folytonosság biztosítása és a meglévő szakértelem bővítése érdekében.

(88) A Bizottságnak támogatnia kell a tagállamokat az elsődleges felhasználást és a másodlagos felhasználást szolgáló digitális egészségügyi rendszerek területén a kapacitásépítésben és az eredményesség fokozásában. A tagállamokat támogatni kell, hogy megerősítsék kapacitásukat. Az uniós szintű tevékenységek, így például a teljesítményértékelés és a legjobb gyakorlatok cseréje e tekintetben releváns intézkedések. Az említett tevékenységeknek figyelembe kell venniük az érdekelt felek különböző kategóriáinak - így például a civil társadalom képviselői, a kutatók, az orvosi társaságok és a kkv-k - sajátos körülményeit.

(89) A természetes személyek és az egészségügyi szakemberek digitális egészségügyi jártasságának javítása kulcsfontosságú a bizalomhoz és a biztonsághoz, valamint az egészségügyi adatok megfelelő felhasználásához, és ezáltal kulcsfontosságú e rendelet sikeres végrehajtásához. Az egészségügyi szakemberek a digitalizációval összefüggésben mélyreható változásokkal szembesülnek, és az európai egészségügyi adattér megvalósításának részeként további digitális eszközökhöz fognak hozzájutni. Következésképpen, az egészségügyi szakembereknek fejleszteniük kell digitális egészségügyi jártasságukat és digitális kompetenciáikat, valamint a tagállamoknak lehetővé kell tenniük az egészségügyi szakemberek számára, hogy digitális jártassági tanfolyamokon vegyenek részt, hogy felkészülhessenek az EHR-rendszerekben való munkára. Az ilyen tanfolyamoknak lehetővé kell tenniük az egészségügyi szakemberek és az informatikai szolgáltatók számára, hogy megfelelő képzésben részesüljenek az új digitális infrastruktúrákkal való munka terén az egészségügyi adatok kiberbiztonságának és etikus kezelésének biztosítása érdekében. A képzéseket a releváns szakértőkkel konzultálva és együttműködve kell kidolgozni, felülvizsgálni és rendszeresen frissíteni. A digitális egészségügyi jártasság javítása alapvető fontosságú ahhoz, hogy a természetes személyek képesek legyenek valódi ellenőrzést gyakorolni egészségügyi adataik felett, és aktívan kezelni egészségüket és ellátásukat, valamint megérteni, hogy milyen következményekkel jár az ilyen adatok mind elsődleges felhasználás, mind másodlagos felhasználás céljából történő kezelése. A különböző demográfiai csoportok eltérő szintű digitális jártassággal rendelkeznek, ami hatással lehet a természetes személyek azon képességére, hogy gyakorolják az elektronikus egészségügyi adataik ellenőrzésével kapcsolatos jogaikat. A tagállamoknak - beleértve a regionális és a helyi hatóságokat - ezért támogatniuk kell a digitális egészségügyi jártasságot és a lakosság tudatosságát is, egyúttal gondoskodva arról, hogy e rendelet végrehajtása hozzájáruljon az egyenlőtlenségek csökkentéséhez, és ne alkalmazzon megkülönböztetést a lakosság digitális ismeretekkel nem rendelkező csoportjaival szemben. Különös figyelmet kell fordítani a fogyatékossággal élő személyekre és a kiszolgáltatott csoportokra, köztük a migránsokra és az idősekre is. A tagállamoknak célzott nemzeti digitális jártassági programokat kell létrehozniuk, többek között a társadalmi befogadás maximalizálása és annak biztosítása érdekében, hogy minden természetes személy ténylegesen gyakorolhassa az e rendelet szerinti jogait. A tagállamoknak betegközpontú iránymutatást is kell nyújtaniuk a természetes személyek számára az elektronikus egészségügyi dokumentációk felhasználásával és a személyes elektronikus egészségügyi adataik elsődleges felhasználásával kapcsolatban. Az iránymutatást a beteg digitális egészségügyi jártasságainak szintjéhez kell igazítani, különös figyelmet fordítva a kiszolgáltatott csoportok szükségleteire.

(90) A források felhasználásának az európai egészségügyi adattér célkitűzéseinek eléréséhez is hozzá kell járulnia. A közbeszerzésre, a pályázati felhívásokra és az uniós alapok, többek között a strukturális és kohéziós alapok elosztására vonatkozó feltételek meghatározásakor a közbeszerzőknek, a tagállamokbeli illetékes nemzeti hatóságoknak - beleértve a digitális egészségügyi hatóságokat és az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveket is - és a Bizottságnak hivatkozniuk kell az interoperabilitásra, a biztonságra és az adatminőségre vonatkozó alkalmazandó műszaki előírásokra, szabványokra és profilokra, valamint az e rendelet alapján kidolgozott egyéb követelményekre. Az uniós forrásokat átláthatóan kell elosztani a tagállamok között, figyelembe véve az egészségügyi rendszerek digitalizációjának különböző szintjeit. Az adatok másodlagos felhasználás céljából történő rendelkezésre bocsátásához további forrásokra van szükség az egészségügyi rendszerek, különösen az állami egészségügyi rendszerek számára. E többletterheket az európai egészségügyi adattér végrehajtási szakaszában kell kezelni és minimálisra csökkenteni.

(91) Az európai egészségügyi adattér végrehajtása megfelelő beruházásokat igényel a kapacitásbővítés és a képzés terén, valamint jól finanszírozott elkötelezettséget a nyilvános konzultáció és szerepvállalás iránt mind uniós, mind nemzeti szinten. E rendelet végrehajtásának gazdasági költségeit mind uniós, mind tagállami szinten fog kelleni viselni, és meg fog kelleni találni az említett teher méltányos megosztását az uniós és a nemzeti alapok között.

(92) Az elektronikus egészségügyi adatok bizonyos kategóriái különösen érzékenyek maradhatnak még akkor is, ha anonimizált formátumban vannak és így nem személyesek, amint arról az (EU) 2022/868 rendelet már kifejezetten rendelkezik. Még a legkorszerűbb anonimizálási technikák alkalmazása esetén is fennmarad a kockázat, hogy az újbóli azonosítás képessége - az észszerűen valószínűsíthetően használható eszközökön felül - is rendelkezésre áll vagy elérhetővé válik. Ilyen fennmaradó kockázat áll fenn a ritka betegségekkel - azaz az Unióban tízezer emberből legfeljebb öt embert érintő, életveszélyes vagy maradandó egészségkárosodással - kapcsolatban, ahol a korlátozott számú eset miatt csökken annak lehetősége, hogy a közzétett adatok teljes összesítésével védjék a természetes személyek magánéletét, ugyanakkor az adatok megfelelő szintű granularitásának megőrzésével azok érdemi jellegét is fenntartsák. Az ilyen fennmaradó kockázat különböző egészségügyi adatkategóriákat érinthet, és az érintettek újbóli azonosításához vezethet olyan eszközök használatával, amelyek az észszerűen valószínűsíthetően használható eszközökön felül léteznek. Az ilyen kockázat függ a granularitás szintjétől, az érintettek jellemzőinek leírásától, az érintett személyek számától - például az elektronikus egészségügyi dokumentációkban, betegségnyilvántartásokban, biobankokban található adatok vagy személyek által generált adatok esetében, ahol az azonosítási jellemzők köre szélesebb -, valamint az egyéb információkkal együtt való lehetséges kombinációtól, például nagyon kis földrajzi területeken, vagy az anonimizálás időpontjában még nem rendelkezésre álló módszerek technológiai fejlődésén keresztül. A természetes személyek ilyen újbóli azonosítása komoly aggodalomra adna okot, és valószínűleg veszélybe sodorná az e rendeletben a másodlagos felhasználásra vonatkozóan előírt szabályok elfogadását.Továbbá, az összesítési technikákat kevésbé tesztelik például az üzleti titkokat tartalmazó nem személyes adatok esetében - ez a helyzet a klinikai vizsgálatokról és klinikai kutatásokról szóló jelentéstétel során -, és az üzleti titkok megsértésének Unión kívüli érvényesítése nehezebb, ha nem áll rendelkezésre megfelelő nemzetközi védelmi norma. Ezért az említett egészségügyiadat-kategóriák esetében továbbra is fennáll az anonimizálást vagy összesítést követően az újbóli azonosítás kockázata, amelyet kezdetben nem lehet észszerűen csökkenteni. Ez vonatkozik az (EU) 2022/868 rendelet 5. cikkének (13) bekezdésében meghatározott kritériumokra. Az említett típusú egészségügyi adatok így - a harmadik országoknak történő továbbítás tekintetében - az (EU) 2022/868 rendelet 5. cikkének (13) bekezdésében meghatározott felhatalmazás hatálya alá tartoznának. Az (EU) 2022/868 rendelet 5. cikkének (13) bekezdésében meghatározott felhatalmazás alapján előírt speciális feltételeket az említett felhatalmazás alapján elfogadott felhatalmazáson alapuló jogi aktussal összefüggésben fogják részletezni, továbbá azoknak arányosaknak kell lenniük az újbóli azonosítás kockázatával, és figyelembe kell venniük a különböző adatkategóriák vagy a különböző anonimizálási vagy összesítési technikák sajátosságait.

(93) A nagy mennyiségű személyes elektronikus egészségügyi adatnak az európai egészségügyi adattér céljaira - az egészségügyiadat-hozzáférés iránti kérelmek, adatengedélyek és egészségügyiadat-igénylések kezelésével összefüggő adatkezelési tevékenységek részeként - történő kezelése nagyobb kockázattal jelent az ilyen személyes adatokhoz való jogosulatlan hozzáférésre nézve, valamint kiberbiztonsági események lehetőségét is jelenti. A személyes elektronikus egészségügyi adatok különösen érzékenyek, mivel gyakran olyan intim információnak minősülnek, amely orvosi titoktartás alá tartozik, és amely jogosulatlan harmadik fél számára történő felfedése jelentős aggodalmat okozhat. Teljes mértékben figyelembe véve az Európai Unió Bíróságának ítélkezési gyakorlatában körvonalazott elveket, ez a rendelet biztosítja az alapvető jogok, a magánélet tiszteletben tartásához való jog és az arányosság elvének teljeskörű tiszteletben tartását. A személyes elektronikus egészségügyi adatok e rendelet szerinti teljes integritásának és bizalmas jellegének biztosítása, a különösen magas szintű védelem és biztonság garantálása, valamint az említett személyes elektronikus egészségügyi adatokhoz való jogellenes hozzáférés kockázatának csökkentése érdekében e rendelet lehetővé teszi a tagállamok számára, hogy előírják, hogy a személyes elektronikus egészségügyi adatokat kizárólag az Unióban tárolják és kezeljék az e rendeletben előírt feladatok végrehajtása céljából, kivéve, ha az (EU) 2016/679 rendelet 45. cikke alapján elfogadott megfelelőségi határozat alkalmazandó.

(94) A harmadik országban letelepedett egészségügyiadat-felhasználók vagy a nemzetközi szervezetek elektronikus egészségügyi adatokhoz való hozzáférésére kizárólag a viszonosság elve alapján kerülhet sor. Elektronikus egészségügyi adatok harmadik ország rendelkezésére bocsátását csak akkor lehet lehetővé tenni, ha a Bizottság - végrehajtási jogi aktus révén - megállapította, hogy az érintett harmadik ország ugyanazon feltételek és ugyanazon biztosítékok mellett teszi lehetővé az említett harmadik országból származó elektronikus egészségügyi adatokhoz uniós szervezetek által történő hozzáférést, mint abban az esetben, ha az Unióban férnének hozzá elektronikus egészségügyi adatokhoz. A Bizottságnak nyomon kell követnie az említett harmadik országokban és a nemzetközi szervezetek tekintetében fennálló helyzetet, és el kell végeznie annak időszakos felülvizsgálatát, továbbá jegyzéket kell készítenie az említett végrehajtási jogi aktusokról. Amennyiben a Bizottság megállapítja, hogy egy harmadik ország már nem azonos feltételek mellett biztosítja a hozzáférést, a vonatkozó végrehajtási jogi aktust hatályon kívül kell helyeznie.

(95) E rendelet következetes alkalmazásának - többek között az elektronikus egészségügyi adatok határokon átnyúló interoperabilitásának - előmozdítása érdekében létre kell hozni az Európai Egészségügyi Adattér Testületet. A Bizottságnak részt kell vennie annak tevékenységeiben, és el kell látnia annak társelnökségét. Az Európai Egészségügyi Adattér Testületnek képesnek kell lennie arra, hogy az e rendelet Unió-szerte történő következetes alkalmazásával kapcsolatban írásbeli hozzájárulásokat bocsásson ki, többek között azáltal, hogy segít a tagállamoknak koordinálni az elektronikus egészségügyi adatok egészségügyi ellátás és tanúsítás céljából történő felhasználását, de a másodlagos felhasználásra vonatkozóan is, továbbá az említett tevékenységek finanszírozása révén. Ez magában foglalhatja a biztonságos adatkezelési környezetben felmerülő kockázatokra és eseményekre vonatkozó információk megosztását is. Az ilyen fajta információ megosztása nem érinti az egyéb jogi aktusok szerinti kötelezettségeket, így például az (EU) 2016/679 rendelet szerinti adatvédelmi incidensekről szóló bejelentéseket. Általában véve, az Európai Egészségügyi Adattér Testület tevékenységei nem érintik a felügyeleti hatóságoknak az (EU) 2016/679 rendelet szerinti hatáskörét. Tekintettel arra, hogy nemzeti szinten az elsődleges felhasználással foglalkozó digitális egészségügyi hatóságok eltérhetnek a másodlagos felhasználással foglalkozó, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervektől, a funkciók eltérőek, és az említett területek mindegyikén külön együttműködésre van szükség, az Európai Egészségügyi Adattér Testületnek képesnek kell lennie arra, hogy e két funkcióval foglalkozó alcsoportokat és szükség szerint egyéb alcsoportokat hozzon létre. A hatékony munkamódszer kialakítása érdekében a digitális egészségügyi hatóságoknak és az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek hálózatokat és kapcsolatokat kell létrehozniuk nemzeti szinten más szervekkel és hatóságokkal, de uniós szinten is. Ilyen szervek lehetnek az adatvédelmi hatóságok, a kiberbiztonsági, elektronikus azonosítási és szabványügyi testületek, valamint az (EU) 2022/868, az (EU) 2023/2854 és az (EU) 2024/1689 rendelet, valamint az (EU) 2019/881 európai parlamenti és tanácsi rendelet (21) szerinti szervek és szakértői csoportok. Az Európai Egészségügyi Adattér Testületnek függetlenül, a közérdek szem előtt tartásával és a magatartási kódexével összhangban kell működnie.

(96) Az Európai Egészségügyi Adattér Testület által fontosnak ítélt kérdések tárgyalásakor lehetővé kell tenni számára, hogy megfigyelőket, például az európai adatvédelmi biztost, az uniós intézmények képviselőit - beleértve az Európai Parlamentet is - és más érdekelt feleket hívjon meg.

(97) Létre kell hozni egy érdekképviseleti fórumot, amely tanácsokkal látja el az Európai Egészségügyi Adattér Testületet feladatai ellátása során azáltal, hogy kommunikálja az érdekelt feleknek az e rendelettel kapcsolatos megállapításait. Az érdekképviseleti fórumnak a beteg- és fogyasztói szervezetek, az egészségügyi szakemberek, az ipar, a tudományos kutatók és a tudományos élet képviselőiből kell állnia. Kiegyensúlyozott összetételűnek kell lennie, és a különböző releváns érdekelt felek álláspontját kell képviselnie. Mind az üzleti, mind a nem üzleti érdekeket képviselni kell.

(98) Az elsődleges felhasználásra és a másodlagos felhasználásra szolgáló, határokon átnyúló infrastruktúrák napi szintű irányítása érdekében a tagállamok képviselőiből álló irányítócsoportokat kell létrehozni. Ezen irányítócsoportoknak operatív döntéseket kell hozniuk a határokon átnyúló infrastruktúrák napi szintű technikai irányítására és műszaki fejlesztésére vonatkozóan, beleértve az infrastruktúrák műszaki változtatásait, a funkciók vagy a szolgáltatások javítását, vagy a más infrastruktúrákkal, digitális rendszerekkel vagy adatterekkel való interoperabilitás biztosítását. Tevékenységük nem terjed ki az említett infrastruktúrákat érintő végrehajtási jogi aktusok kidolgozásához való hozzájárulásra. Lehetővé kell tenni az irányítócsoportok számára, hogy megfigyelőként az EgészségügyiAdatok@EU (HealthData@EU) más felhatalmazott résztvevőinek képviselőit is meghívják az üléseikre, és feladataik ellátása során konzultálniuk kell releváns szakértőkkel.

(99) Az egyéb közigazgatási, bírósági vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül bármely természetes vagy jogi személy jogosult panaszt tenni egy digitális egészségügyi hatóságnál vagy egy, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnél, ha a természetes vagy jogi személy úgy ítéli meg, hogy az e rendelet szerinti jogai vagy érdekei sérültek. A panaszt követő vizsgálatot a konkrét esetben megfelelő mértékben kell - bírósági felülvizsgálat lehetősége mellett - lefolytatni. A digitális egészségügyi hatóságnak vagy az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek észszerű időn belül tájékoztatnia kell a természetes vagy jogi személyt a panasz előrehaladásáról és eredményéről. Ha az eset további vizsgálatot vagy egy másik digitális egészségügyi hatósággal vagy az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervvel való koordinációt tesz szükségessé, a természetes vagy jogi személy számára tájékoztatást kell adni a panasz kezelése terén elért előrehaladásról. A panaszok benyújtásának megkönnyítése érdekében minden digitális egészségügyi hatóságnak és az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek intézkedéseket kell hoznia, így például olyan panaszbenyújtási formanyomtatványt kell biztosítania, amely elektronikusan is kitölthető, anélkül, hogy kizárná más kommunikációs eszközök használatának lehetőségét. Amennyiben a panasz a természetes személyeknek a személyes adataik védelmével kapcsolatos jogait érinti, a digitális egészségügyi hatóságnak vagy az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek továbbítania kell a panaszt az (EU) 2016/679 rendelet szerinti felügyeleti hatóságoknak. A digitális egészségügyi hatóságoknak vagy az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek együtt kell működniük a panaszok kezelése és megoldása érdekében, többek között valamennyi releváns információ indokolatlan késedelem nélküli, elektronikus úton történő cseréje útján.

(100) Amennyiben egy természetes személy úgy ítéli meg, hogy az e rendelet értelmében fennálló jogait megsértették, jogában áll megbízni a nemzeti joggal összhangban létrehozott, az alapszabályában rögzített közérdekű célokat szolgáló és a személyes adatok védelmével foglalkozó nonprofit szervet, szervezetet vagy egyesületet, hogy a nevében eljárva panaszt nyújtson be.

(101) A digitális egészségügyi hatóságnak, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek, az egészségügyiadat-birtokosnak vagy az egészségügyiadat-felhasználónak meg kell térítenie minden olyan kárt, amelyet egy természetes vagy jogi személy e rendelet megsértésének eredményeként szenved el. A kár fogalmát az Európai Unió Bírósága ítélkezési gyakorlatának fényében tágan kell értelmezni, mégpedig oly módon, hogy az teljes mértékben tükrözze e rendelet célkitűzéseit. Ez nem érinti a más uniós vagy nemzeti jog megsértéséből eredő károkkal kapcsolatos esetleges kártérítési igényeket. A természetes személyeknek az elszenvedett kárért teljes és tényleges kártérítést kell kapniuk.

(102) Az e rendelet által előírt szabályok betartatásának erősítése érdekében e rendelet bármely megsértése esetén az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv által e rendelet alapján előírt megfelelő intézkedéseken felül vagy azok helyett szankciókat - ideértve a közigazgatási bírságokat is - kell kiszabni. A közigazgatási bírságokat is beleértve a szankciók kiszabására megfelelő eljárási biztosítékoknak kell vonatkozniuk, az uniós jog általános elveivel és az Európai Unió Alapjogi Chartájával összhangban, ideértve a hatékony bírói jogvédelmet és a jogszerű eljárást.

(103) Helyénvaló olyan rendelkezéseket megállapítani, amelyek lehetővé teszik az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek számára, hogy közigazgatási bírságokat szabjanak ki e rendelet bizonyos megsértései esetén, amelyek értelmében bizonyos jogsértések súlyos jogsértésnek minősülnek, mint például a természetes személyek újbóli azonosítása, a személyes elektronikus egészségügyi adatok letöltése a biztonságos adatkezelési környezeten kívül, valamint a tiltott felhasználás céljából vagy adatengedélyen kívüli felhasználás céljából történő adatkezelés. E rendeletnek meg kell határoznia az említett jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek kell megállapítania eseti alapon, a konkrét helyzet valamennyi releváns körülményét figyelembe véve, kellő figyelmet fordítva különösen a jogsértésnek és következményeinek a jellegére, súlyosságára és időtartamára, valamint az e rendelet szerinti kötelezettségeknek való megfelelés biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre. Az e rendelet szerinti közigazgatási bírságok előírása céljából a vállalkozás fogalmát az EUMSZ 101. és 102. cikkével összhangban kell értelmezni. A tagállamokra kell bízni annak eldöntését, hogy vajon és milyen mértékben alkalmazható legyen-e közigazgatási bírság a közszférabeli szervezetekkel szemben. A közigazgatási bírság kiszabása vagy a figyelmeztetés nem érinti az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek egyéb hatásköreinek vagy az e rendelet szerinti egyéb szankcióknak az alkalmazását.

(104) Annak biztosítása érdekében, hogy az európai egészségügyi adattér teljesítse célkitűzéseit, a Bizottságot fel kell hatalmazni arra, hogy az EUMSZ 290. cikkének megfelelően jogi aktusokat fogadjon el a következők tekintetében: a személyes elektronikus egészségügyi adatok kiemelt kategóriái fő jellemzőinek az I. mellékletben történő módosítása, kiegészítése vagy törlése, az EHR-rendszerek és a jólléti alkalmazások gyártói által az EHR-rendszerek és a jólléti alkalmazások nyilvántartására szolgáló uniós adatbázisba bevivendő adatok jegyzéke, valamint az adatminőségi és -hasznossági címke hatálya alá tartozó elemek módosítása, hozzáadása vagy törlése. Különösen fontos, hogy a Bizottság az előkészítő munkája során megfelelő konzultációkat folytasson, többek között szakértői szinten is, és hogy e konzultációkra a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásnak (22) megfelelően kerüljön sor. Így különösen, a felhatalmazáson alapuló jogi aktusok előkészítésében való egyenlő részvétel biztosítása érdekében az Európai Parlament és a Tanács a tagállamok szakértőivel egyidejűleg kézhez kap minden dokumentumot, és szakértőik rendszeresen részt vehetnek a Bizottság felhatalmazáson alapuló jogi aktusok előkészítésével foglalkozó szakértői csoportjainak ülésein.

(105) E rendelet végrehajtása egységes feltételeinek biztosítása érdekében a Bizottságra végrehajtási hatásköröket kell ruházni a következők tekintetében:

- a tagállamok helyettesítő szolgáltatásainak interoperabilitására vonatkozó műszaki előírások,

- a személyes elektronikus egészségügyi adatok EHR-rendszerben történő nyilvántartásba vételére vonatkozó adatminőségi követelmények,

- a személyes elektronikus egészségügyi adatok kiemelt kategóriáira vonatkozó, határokon átnyúló előírások,

- a személyes elektronikus egészségügyi adatok kategóriáira vonatkozó műszaki előírások, amelyek meghatározzák az elektronikus egészségügyi dokumentáció európai csereformátumát,

- a személyes elektronikus egészségügyi dokumentáció európai csereformátumának frissítései az egészségügyi kódrendszerek és nómenklatúrák releváns felülvizsgálatainak integrálása érdekében;

- az elektronikus egészségügyi dokumentáció európai csereformátumának a személyes elektronikus egészségügyi adatok további kategóriáira történő kiterjesztésére vonatkozó műszaki előírások,

- a természetes személyekre és egészségügyi szakemberekre vonatkozó interoperábilis, határokon átnyúló azonosítási és hitelesítési mechanizmus követelményei a 910/2014/EU rendelettel összhangban,

- a természetes személyek személyes elektronikus egészségügyi adataik elsődleges felhasználásával kapcsolatos jogainak technikai végrehajtására vonatkozó követelmények,

- az Egészségem@EU (MyHealth@EU) technikai fejlesztéséhez szükséges intézkedések, a személyes elektronikus egészségügyi adatok biztonságára, bizalmas kezelésére és védelmére vonatkozó részletes szabályok, valamint az Egészségem@EU-hoz (MyHealth@EU) való csatlakozáshoz és az ahhoz való csatlakozás fenntartásához szükséges megfelelőségi ellenőrzések feltételei,

- a kiberbiztonsággal, a műszaki interoperabilitással, a szemantikai interoperabilitással, a műveletekkel és a szolgáltatásirányítással kapcsolatos követelményekre vonatkozó szabályok a Bizottság általi adatkezeléssel és az adatkezelőkkel szembeni felelősségével kapcsolatban,

- az Egészségem@EU-n (MyHealth@EU) keresztül nyújtott kiegészítő szolgáltatások technikai vonatkozásai,

- a személyes elektronikus egészségügyi adatoknak az Egészségem@EU (MyHealth@EU) és más szolgáltatások vagy infrastruktúrák közötti cseréjének technikai vonatkozásai,

- más infrastruktúráknak, harmadik országok digitális egészségügyért felelős nemzeti kapcsolattartó pontjainak vagy nemzetközi szervezetek által nemzetközi szinten létrehozott rendszereknek a hozzákapcsolása, illetve lekapcsolása az Egészségem@EU (MyHealth@EU) központi interoperabilitási platformjához, illetve platformjáról,

- egységes előírások a II. mellékletben megállapított alapvető követelmények tekintetében,

- az európai digitális tesztelési környezetre vonatkozó egységes előírások,

- az EHR-rendszerek meg nem felelése esetén a piacfelügyeleti hatóságok által hozott nemzeti intézkedések indokolása,

- a jólléti alkalmazások címkéjének formátuma és tartalma,

- az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és a megbízható egészségügyiadat-birtokosok által az elektronikus egészségügyi adatok másodlagos felhasználás céljából történő rendelkezésre bocsátásáért felszámítható díjakra vonatkozó díjpolitikák és díjstruktúrák elvei,

- olyan informatikai eszköz architektúrája, amelynek célja az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek végrehajtási intézkedéseinek támogatása és átláthatóvá tétele,

- az európai egészségügyi adattér hozzájárulásának elismerésére szolgáló logó,

- az egészségügyiadat-hozzáférés iránti kérelem, az adatengedély és az egészségügyiadat-igénylés sablonjai,

- a biztonságos adatkezelési környezetekre vonatkozó műszaki, szervezeti, információbiztonsági, titoktartási, adatvédelmi és interoperabilitási követelmények,

- az adatkezelők és az adatfeldolgozók közötti megállapodások mintái,

- a következőkre vonatkozó határozatok: egy harmadik ország másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontjának vagy egy nemzetközi szervezetek által nemzetközi szinten létrehozott rendszernek a megfelelése az EgészségügyiAdatok@EU (HealthData@EU) követelményeinek az egészségügyi adatok másodlagos felhasználása céljából, a IV. fejezetnek való megfelelés, valamint az, hogy az említett másodlagos felhasználást szolgáló nemzeti kapcsolattartó pont vagy az említett rendszer egyenértékű hozzáférést biztosít-e az Unióban található egészségügyiadat-felhasználók számára azon elektronikus egészségügyi adatokhoz, amelyekhez hozzáféréssel rendelkezik,

- az EgészségügyiAdatok@EU (HealthData@EU) követelményei, műszaki előírásai és informatikai architektúrája; az EgészségügyiAdatok@EU-hoz (HealthData@EU) való csatlakozásra és a csatlakozás fenntartására vonatkozó feltételek és megfelelőségi ellenőrzések; a másodlagos felhasználásra kijelölt nemzeti kapcsolattartó pontok és az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevői által teljesítendő minimumkritériumok; az EgészségügyiAdatok@EU-ban (HealthData@EU) részt vevő adatkezelők és adatfeldolgozók felelőssége; az adatkezelők és -feldolgozók felelőssége a Bizottság által kezelt biztonságos adatkezelési környezet tekintetében; valamint az EgészségügyiAdatok@EU (HealthData@EU) architektúrájára és más közös európai adatterekkel való interoperabilitására vonatkozó közös előírások,

- az egyes felhatalmazott résztvevőknek az EgészségügyiAdatok@EU-hoz (HealthData@EU) történő hozzákapcsolására vonatkozó döntések,

- az egészségügyiadat-birtokosok által szolgáltatandó adatkészletekre vonatkozó minimális elemek és az említett elemek jellemzői,

- az adatminőségi és -hasznossági címke vizuális jellemzői és műszaki előírásai,

- a másodlagos felhasználásra szánt, nagy hatású adatkészletekre vonatkozó minimális előírások,

- határozatok arról, hogy egy harmadik ország lehetővé teszi-e az uniós egészségügyiadat-kérelmezők számára az elektronikus egészségügyi adatokhoz való hozzáférést az említett harmadik országban az e rendeletben előírtaknál nem szigorúbb feltételek mellett,

- az Európai Egészségügyi Adattér Testület létrehozásához és működéséhez szükséges intézkedések.

Ezeket a végrehajtási hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek (23) megfelelően kell gyakorolni.

(106) A tagállamoknak meg kell tenniük minden szükséges intézkedést az e rendeletben foglalt rendelkezések végrehajtásának biztosítása érdekében, többek között azáltal, hogy hatékony, arányos és visszatartó erejű szankciókat állapítanak meg e rendelkezések megsértésének esetére. Az egyes esetekre vonatkozó szankció mértékének meghatározásakor a tagállamoknak figyelembe kell venniük az e rendeletben meghatározott határokat és kritériumokat. A természetes személyek újbóli azonosítását e rendelet súlyos megsértésének kell tekinteni.

(107) Az európai egészségügyi adattér megvalósításához jelentős fejlesztési munkára lesz szükség a tagállamokban és a központi szolgáltatásokban. Az e tekintetben tett előrehaladás nyomon követése érdekében a Bizottságnak - e rendelet teljeskörű alkalmazásáig - évente jelentést kell készítenie az említett előrehaladásról, figyelembe véve a tagállamok által nyújtott információkat. Az említett jelentések tartalmazhatnak korrekciós intézkedésekre vonatkozó ajánlásokat, valamint az elért előrehaladás értékelését.

(108) Annak felmérése érdekében, hogy ez a rendelet hatékonyan és eredményesen teljesíti-e célkitűzéseit, koherens-e és továbbra is releváns-e, valamint uniós szinten hozzáadott értéket nyújt-e, a Bizottságnak el kell végeznie e rendelet értékelését. A Bizottságnak el kell végeznie e rendelet célzott értékelését az annak hatálybalépését követő 8 évvel, és átfogó értékelését a hatálybalépését követő 10 évvel. A Bizottság minden egyes értékelést követően jelentést nyújt be a legfontosabb megállapításairól az Európai Parlamentnek és a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának.

(109) Az európai egészségügyi adattér határokon átnyúló sikeres megvalósítása érdekében az európai interoperabilitási keretet - amelynek hatályát az "Európai interoperabilitási keret - Végrehajtási stratégia" című, 2017. március 23-i bizottsági közlemény aktualizálta és kiterjesztette az új vagy felülvizsgált interoperabilitási követelmények figyelembevétele érdekében - közös hivatkozási alapnak kell tekinteni a jogi, szervezeti, szemantikai és műszaki interoperabilitás biztosítása érdekében.

(110) mivel e rendelet célkitűzéseit - nevezetesen a következőket: a természetes személyek önrendelkezésének erősítése a személyes elektronikus egészségügyi adataik feletti fokozott ellenőrzés számukra történő biztosításával, valamint a szabad mozgásuk támogatásával annak biztosítása révén, hogy az egészségügyi adataik kövessék őket, a digitális egészségügyi szolgáltatások és termékek valódi belső piacának előmozdítása, valamint a természetes személyek egészségügyi adatainak kutatási, innovációs, szakpolitikai és szabályozási tevékenységek céljára történő további felhasználására vonatkozó következetes és hatékony keret biztosítása - a tagállamok kizárólag koordinációs intézkedések révén nem tudják kielégítően megvalósítani, amint azt a 2011/24/EU irányelv digitális vonatkozásainak értékelése is mutatja, az Unió szintjén azonban a természetes személyeknek az elektronikus egészségügyi adataikkal kapcsolatos jogaira vonatkozó harmonizációs intézkedések, az elektronikus egészségügyi adatok interoperabilitása, valamint az elsődleges felhasználásra és másodlagos felhasználásra vonatkozó közös keret és biztosítékok okán e célkitűzések jobban megvalósíthatók, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az említett célkitűzések eléréséhez szükséges mértéket.

(111) A 2011/24/EU irányelv digitális vonatkozásainak értékelése azt mutatja, hogy az e-egészségügyi hálózat hatékonysága korlátozott, de azt is, hogy - amint azt a Covid19-világjárvány idején végzett munka is mutatta - a digitális egészségügy területén komoly uniós szintű munkára van lehetőség. Ezért a 2011/24/EU irányelvet ennek megfelelően módosítani kell.

(112) E rendelet kiegészíti az (EU) 2024/2847 rendeletben meghatározott alapvető kiberbiztonsági követelményeket. Az EHR-rendszereknek - amelyek az (EU) 2024/2847 rendelet értelmében digitális elemeket tartalmazó termékek - ezért szintén meg kell felelniük az említett rendeletben meghatározott alapvető kiberbiztonsági követelményeknek. Az említett EHR-rendszerek gyártóinak igazolniuk kell az e rendeletben előírt megfelelőséget. Az említett megfelelőség megkönnyítése érdekében a gyártók készíthetnek egyetlen, a mindkét jogi aktusban előírt elemeket tartalmazó műszaki dokumentációt. Lehetővé kell tenni annak igazolását, hogy az EHR-rendszerek megfelelnek az (EU) 2024/2847 rendeletben meghatározott alapvető követelményeknek, az e rendelet szerinti értékelési keretrendszer segítségével. Azonban az e rendelet szerinti megfelelőségértékelési eljárásnak a vizsgálati környezetek használatára vonatkozó részeit nem lehet alkalmazni, mivel az említett vizsgálati környezetek nem teszik lehetővé az alapvető kiberbiztonsági követelményeknek való megfelelés értékelését. Mivel az (EU) 2024/2847 rendelet nem terjed ki közvetlenül a szoftverszolgáltatásra (SaaS), az SaaS engedélyezési és szolgáltatási modelljén keresztül kínált EHR-rendszerek nem tartoznak az említett rendelet hatálya alá. Hasonlóképpen, a házon belül kifejlesztett és használt EHR-rendszerek nem tartoznak az említett rendelet hatálya alá, mivel azokat nem hozzák forgalomba.

(113) Az (EU) 2018/1725 rendelet 42. cikkének (1) és (2) bekezdésével összhangban konzultációra került sor az európai adatvédelmi biztossal és az Európai Adatvédelmi Testülettel, aki, illetve amely 2022. július 12-én nyilvánított közös véleményt.

(114) Ez a rendelet nem érintheti a versenyre vonatkozó rendelkezések, így különösen az EUMSZ 101. és 102. cikkének alkalmazását. Az e rendeletben előírt intézkedések nem alkalmazhatók a versenynek az EUMSZ-szel ellentétes korlátozására.

(115) Tekintettel a műszaki előkészítés szükségességére, e rendeletet 2027. március 26-tól kell alkalmazni. Az európai egészségügyi adattér sikeres végrehajtásának és az európai egészségügyi adatokkal kapcsolatos együttműködést szolgáló hatékony feltételek megteremtésének támogatása érdekében a végrehajtásra szakaszokban kell, hogy sor kerüljön,

ELFOGADTA EZT A RENDELETET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy és hatály

(1) E rendelet közös szabályok, szabványok és infrastruktúrák, valamint egy irányítási keret meghatározásával létrehozza az európai egészségügyi adatteret az elektronikus egészségügyi adatokhoz való hozzáférés megkönnyítése érdekében az elektronikus egészségügyi adatok elsődleges felhasználása és az említett adatok másodlagos felhasználása céljából.

(2) E rendelet:

a) meghatározza és kiegészíti a természetes személyeknek a személyes elektronikus egészségügyi adataik elsődleges felhasználásával és másodlagos felhasználásával kapcsolatban az (EU) 2016/679 rendeletben meghatározott jogait;

b) közös szabályokat állapít meg az elektronikus egészségügyi dokumentációs rendszerekre (a továbbiakban: EHR-rendszerek) vonatkozóan két kötelező összehangolt szoftverösszetevővel - nevezetesen a 2. cikk (2) bekezdésének n), illetve o) pontjában meghatározott EHR-rendszerek európai interoperabilitási szoftverösszetevőjével, illetve az EHR-rendszerek európai naplózási szoftverösszetevőjével - kapcsolatban, valamint azon jólléti alkalmazásokra vonatkozóan, amelyekről azt állítják, hogy interoperábilisak az EHR-rendszerekkel az említett két összehangolt szoftverösszetevővel kapcsolatban, az elektronikus egészségügyi adatok elsődleges felhasználása tekintetében;

c) közös szabályokat és mechanizmusokat állapít meg az elektronikus egészségügyi adatok elsődleges felhasználására és az elektronikus egészségügyi adatok másodlagos felhasználására vonatkozóan;

d) létrehoz egy határokon átnyúló infrastruktúrát, amely Unió-szerte lehetővé teszi a személyes elektronikus egészségügyi adatok elsődleges felhasználását;

e) létrehozza az elektronikus egészségügyi adatok másodlagos felhasználását szolgáló határokon átnyúló infrastruktúrát;

f) uniós és nemzeti szintű irányítási és koordinációs mechanizmusokat hoz létre mind az elektronikus egészségügyi adatok elsődleges felhasználása, mind az elektronikus egészségügyi adatok másodlagos felhasználása céljából.

(3) E rendelet nem érinti az elektronikus egészségügyi adatokhoz való hozzáférésre, és azok megosztására vagy másodlagos felhasználására vonatkozó egyéb uniós jogi aktusokat, vagy az elektronikus egészségügyi adatokkal kapcsolatos adatkezeléshez kapcsolódó uniós követelményeket, különösen a 223/2009/EK (24), az 536/2014/EU (25), az (EU) 2016/679, az (EU) 2018/1725, az (EU) 2022/868 és az (EU) 2023/2854 európai parlamenti és tanácsi rendeletet, valamint a 2002/58/EK (26) és az (EU) 2016/943 európai parlamenti és tanácsi irányelvet (27).

(4) Az (EU) 2016/679 rendelet rendelkezéseire vonatkozó, e rendeletben lévő hivatkozásokat adott esetben az (EU) 2018/1725 rendelet megfelelő rendelkezéseire való hivatkozásként is kell értelmezni, az uniós intézmények, szervek, hivatalok és ügynökségek tekintetében.

(5) E rendelet az EHR-rendszerekkel együttműködő orvostechnikai eszközök, in vitro diagnosztikai orvostechnikai eszközök és mesterséges intelligencia (MI) rendszerek biztonsága tekintetében nem érinti az (EU) 2017/745, az (EU) 2017/746 és az (EU) 2024/1689 rendeletet.

(6) E rendelet nem érinti a jelentéstétel, az információhoz való hozzáférés iránti kérelmeknek való megfelelés, vagy a jogi kötelezettségeknek való megfelelés igazolása vagy ellenőrzése céljából végzett, az elektronikus egészségügyi adatok kezelésére vonatkozó uniós vagy nemzeti jogot, sem a hivatalos dokumentumokhoz való hozzáférés megadására és azok nyilvánosságra hozatalára vonatkozó uniós vagy nemzeti jogot.

(7) E rendelet nem érinti az uniós vagy nemzeti jog azon különös rendelkezéseit, amelyek a tagállamok közszférabeli szervezetei által, az uniós intézmények, szervek, hivatalok és ügynökségek által, vagy az uniós vagy nemzeti jog alapján közérdekű feladattal megbízott magánszervezetek által végzett további adatkezelés érdekében hozzáférést biztosítanak az elektronikus egészségügyi adatokhoz ilyen feladat elvégzése céljából.

(8) E rendelet nem érinti a másodlagos felhasználásra szánt elektronikus egészségügyi adatokhoz való hozzáférést, amelyről a köz- vagy magánjogi szervezetek közötti szerződéses vagy igazgatási megállapodások keretében állapodtak meg.

(9) E rendelet nem alkalmazandó a személyes adatoknak a következő esetekben történő kezelésére:

a) az adatkezelést olyan tevékenység során végzik, amely az uniós jog hatályán kívül esik;

b) az adatkezelést az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.

2. cikk

Fogalommeghatározások

(1) E rendelet alkalmazásában:

a) a "személyes adat", az "adatkezelés", az "álnevesítés", az "adatkezelő", az "adatfeldolgozó", a "harmadik fél", az "érintett hozzájárulása", a "genetikai adat", az "egészségügyi adat", a "nemzetközi szervezet" fogalmának az (EU) 2016/679 rendelet 4. cikkének 1., 2., 5., 7., 8., 10., 11., 13., 15., illetve 26. pontjában foglalt meghatározása;

b) az "egészségügyi ellátás", "a biztosítás helye szerinti tagállam", az "ellátás helye szerinti tagállam", az "egészségügyi szakember", az "egészségügyi szolgáltató", a "gyógyszer" és a "rendelvény" fogalmának a 2011/24/EU irányelv 3. cikkének a), c), d), f), g), i), illetve k) pontjában foglalt meghatározása;

c) az "adat", a "hozzáférés", az "adataltruizmus", a "közszférabeli szervezet" és a "biztonságos adatkezelési környezet" fogalmának az (EU) 2022/868 rendelet 2. cikkének 1., 13., 16., 17., illetve 20. pontjában foglalt meghatározása;

d) a "forgalmazás", a "forgalomba hozatal", a "piacfelügyelet", a "piacfelügyeleti hatóság", a "meg nem felelés", a "gyártó", az "importőr", a "forgalmazó", a "gazdasági szereplő", a "korrekciós intézkedés", a "visszahívás" és a "forgalomból történő kivonás" fogalmának az (EU) 2019/1020 rendelet 3. cikkének 1., 2., 3., 4., 7., 8., 9., 10., 13., 16., 22., illetve 23. pontjában foglalt meghatározása;

e) az "orvostechnikai eszköz", a "rendeltetés", a "használati útmutató", a "teljesítőképesség", az "egészségügyi intézmény" és az "egységes előírások" fogalmának az (EU) 2017/745 rendelet 2. cikkének 1., 12., 14., 22., 36., illetve 71. pontjában foglalt meghatározása;

f) az "elektronikus azonosítás", és az "elektronikus azonosító eszköz" fogalmának a 910/2014/EU rendelet 3. cikkének 1., illetve 2. pontjában foglalt meghatározása;

g) az "ajánlatkérő szerv" fogalmának a 2014/24/EU európai parlamenti és tanácsi irányelv (28) 2. cikke (1) bekezdésének 1. pontjában foglalt meghatározása;

h) a "népegészség" fogalmának az 1338/2008/EK európai parlamenti és tanácsi rendelet (29) 3. cikkének c) pontjában foglalt meghatározása;

(2) Emellett e rendelet alkalmazásában:

a) "személyes elektronikus egészségügyi adat": egészségügyi adat és genetikai adat, amelyet elektronikus formában kezelnek;

b) "nem személyes elektronikus egészségügyi adat": a személyes elektronikus egészségügyi adattól eltérő elektronikus egészségügyi adat, amely magában foglalja mind az olyan adatokat, amelyeket oly módon anonimizáltak, hogy azok már nem vonatkoznak azonosított vagy azonosítható természetes személyre (a továbbiakban: az érintett), mind pedig az olyanokat, amelyek soha sem kapcsolhatók össze egy érintettel;

c) "elektronikus egészségügyi adat": személyes vagy nem személyes elektronikus egészségügyi adat;

d) "elsődleges felhasználás": az elektronikus egészségügyi adatoknak az egészségügyi ellátás nyújtása céljából történő kezelése azon természetes személy egészségi állapotának felmérése, megőrzése vagy helyreállítása érdekében, akire az említett adatok vonatkoznak, beleértve a gyógyszerek és orvostechnikai eszközök felírását, kiadását és rendelkezésre bocsátását, valamint a releváns szociális, adminisztratív vagy megtérítési szolgáltatásokat;

e) "másodlagos felhasználás": az elektronikus egészségügyi adatoknak az e rendelet IV. fejezetében meghatározott, olyan célokból történő kezelése, amelyek eltérnek azon eredeti céloktól, amelyekre azokat gyűjtötték vagy előállították;

f) "interoperabilitás": szervezetek, valamint az ugyanazon gyártótól vagy különböző gyártóktól származó szoftveralkalmazások vagy eszközök azon képessége, hogy az általuk támogatott folyamatokon keresztül együttműködjenek, ami magában foglalja az információknak és az ismereteknek az említett szervezetek, szoftveralkalmazások vagy eszközök között, az adattartalom megváltoztatása nélkül történő cseréjét;

g) "elektronikus egészségügyi adatok nyilvántartásba vétele": az egészségügyi adatok elektronikus formátumban történő rögzítése, az ilyen adatok manuális bevitele révén, az ilyen adatok eszköz által történő gyűjtése révén, vagy a nem elektronikus egészségügyi adatok elektronikus formátumúvá való átalakítása révén, EHR-rendszerben vagy jólléti alkalmazásban történő adatkezelés céljából;

h) "elektronikus egészségiügyiadat-hozzáférési szolgáltatás": olyan online szolgáltatás, mint például portál vagy mobil eszközökre szánt alkalmazás, amely lehetővé teszi, hogy nem szakmai kapacitásban eljáró természetes személyek hozzáférjenek saját elektronikus egészségügyi adataikhoz vagy azon természetes személyek elektronikus egészségügyi adataihoz, akiknek az elektronikus egészségügyi adataihoz való hozzáférésre jogilag fel vannak hatalmazva;

i) "egészségügyi szakemberek hozzáférését biztosító szolgáltatás": egy EHR-rendszer által támogatott szolgáltatás, amely lehetővé teszi az egészségügyi szakemberek számára, hogy hozzáférjenek az általuk kezelt természetes személyek adataihoz;

j) "elektronikus egészségügyi dokumentáció" vagy "EHR": valamely természetes személyre vonatkozó, az egészségügyi rendszerben gyűjtött, egészségügyi ellátás nyújtása céljából kezelt elektronikus egészségügyi adatok összessége;

k) "elektronikus egészségügyi dokumentációs rendszer" vagy "EHR-rendszer": bármely olyan rendszer, amelyben az említett rendszer szoftvere, vagy hardverének és szoftverének kombinációja lehetővé teszi a személyes elektronikus egészségügyi adatok e rendeletben létrehozott elsőbbségi kategóriáiba tartozó személyes elektronikus egészségügyi adatok tárolását, közvetítését, kivitelét, behozatalát, átalakítását, szerkesztését vagy megtekintését, és amelyet a gyártó arra szánt, hogy azt az egészségügyi szolgáltatók a betegellátás során, vagy a betegek az elektronikus egészségügyi adataikhoz való hozzáférés során használják;

l) "üzembe helyezés": az e rendelet hatálya alá tartozó EHR-rendszer első rendeltetésszerű használata az Unión belül;

m) "szoftverösszetevő": a szoftver olyan különálló része, amely meghatározott funkciót biztosít, vagy meghatározott funkciókat vagy eljárásokat hajt végre, és amely önállóan vagy más összetevőkkel együtt is működtethető;

n) "az EHR-rendszerek európai interoperabilitási szoftverösszetevője" vagy "interoperabilitási szoftverösszetevő": az EHR-rendszer olyan szoftverösszetevője, amely az e rendeletben előírt elektronikus egészségügyi dokumentáció európai csereformátumában az e rendelet alapján létrehozott elsőbbségi kategóriának elsődleges felhasználási körébe tartozó személyes elektronikus egészségügyi adatokat szolgáltat és fogad, és amely független az EHR-rendszerek európai naplózási szoftverösszetevőjétől;

o) "az EHR-rendszerek európai naplózási szoftverösszetevője" vagy "naplózási szoftverösszetevő": az EHR-rendszer olyan szoftverösszetevője, amely az egészségügyi szakembereknek vagy más személyeknek a személyes elektronikus egészségügyi adatok e rendeletben létrehozott elsőbbségi kategóriáihoz való hozzáférésével kapcsolatos naplóinformációkat nyújt az e rendelet II. mellékletének 3.2. pontjában meghatározott formátumban, és amely független az EHR-rendszerek európai interoperabilitási szoftverösszetevőjétől;

p) "CE-megfelelőségi jelölés": olyan jelölés, amellyel a gyártó a 765/2008/EK európai parlamenti és tanácsi rendeletnek (30) megfelelően jelzi, hogy az EHR-rendszer megfelel az e rendeletben és olyan más alkalmazandó uniós harmonizációs jogban meghatározott, alkalmazandó követelményeknek, amelyek a jelölés elhelyezését előírják;

q) "kockázat": az egészséget, a biztonságot vagy az információbiztonságot veszélyeztető káros hatás előfordulási valószínűségének és az ilyen káros hatás súlyossági fokának a kombinációja;

r) "súlyos esemény": a forgalmazott EHR-rendszer jellemzőinek vagy teljesítőképességének bármely olyan működési zavara vagy romlása, amely közvetlenül vagy közvetve a következők bármelyikéhez vezet, vezethetett vagy vezethet:

i. egy természetes személy halála vagy egy természetes személy egészségének károsodása;

ii. egy természetes személy jogainak súlyos sérelme;

iii. az egészségügyi ágazatban a kritikus infrastruktúra irányításának és üzemeltetésének súlyos zavara;

s) "gondozás": szakmai szolgáltatás, amelynek célja egy olyan természetes személy sajátos szükségleteinek kielégítése, akinek fogyatékossága vagy más testi vagy szellemi állapota miatt a mindennapi élet alapvető tevékenységeinek elvégzéséhez - a személyes autonómiájának támogatása érdekében - segítségre van szüksége, beleértve a megelőző és támogató intézkedéseket is;

t) "egészségügyiadat-birtokos": az egészségügyi vagy a gondozási ágazatban működő bármely természetes vagy jogi személy, hatóság, ügynökség vagy más szerv - beleértve szükség esetén a megtérítési szolgáltatásokat is -, valamint bármely természetes vagy jogi személy, aki vagy amely az egészségügyi, egészségügyi ellátási vagy gondozási ágazat számára termékeket vagy szolgáltatásokat fejleszt, jólléti alkalmazások fejlesztését vagy gyártását végzi, az egészségügyi vagy gondozási ágazathoz kapcsolódó tudományos kutatást folytat, vagy halálozási nyilvántartóként működik, továbbá bármely uniós intézmény, szerv, hivatal vagy ügynökség, amely:

i. vagy jogosult vagy köteles - az alkalmazandó uniós joggal vagy nemzeti joggal összhangban - arra, hogy adatkezelőként vagy közös adatkezelőként személyes elektronikus egészségügyi adatokat kezeljen egészségügyi ellátás vagy gondozás nyújtása céljából, vagy népegészségügyi, megtérítési, kutatási, innovációs, szakpolitikai döntéshozatali, hivatalos statisztikai vagy betegbiztonsági célokból, vagy szabályozási célokból; vagy

ii. rendelkezik a nem személyes elektronikus egészségügyi adatok rendelkezésre bocsátásának képességével a termék műszaki tervezésének és a kapcsolódó szolgáltatásoknak az ellenőrzése révén, beleértve az ilyen adatok nyilvántartásba vételét, nyújtását, az azokhoz való hozzáférés korlátozását vagy azok cseréjét;

u) "egészségügyiadat-felhasználó": olyan természetes vagy jogi személy - beleértve az uniós intézményeket, szerveket, hivatalokat vagy ügynökségeket is -, aki vagy amely adatengedély, egészségügyiadat-igénylés jóváhagyás vagy az EgészségügyiAdatok@EU (HealthData@EU) valamely felhatalmazott résztvevője általi hozzáférési jóváhagyás alapján jogszerű hozzáférést kapott másodlagos felhasználásra szánt elektronikus egészségügyi adatokhoz;

v) "adatengedély": az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv által egy adatfelhasználó részére kiadott közigazgatási határozat az adatengedélyben meghatározott egyes elektronikus egészségügyi adatoknak az adatengedélyben meghatározott másodlagos felhasználás céljából történő kezelésére vonatkozóan, az e rendelet IV. fejezetében meghatározott feltételek alapján;

w) "adatkészlet": elektronikus egészségügyi adatok strukturált gyűjteménye;

x) "a másodlagos felhasználásra jelentős hatást gyakorló adatkészlet": olyan adatkészlet, amely további felhasználása az egészségügyi kutatás szempontjából való relevanciája miatt jelentős előnyökkel jár;

y) "adatkészlet-katalógus": adatkészlet-leírások gyűjteménye, amely rendszerezett módon van elrendezve, és magában foglal egy felhasználóorientált nyilvános részt, amelyben az adatkészlet egyes paramétereire vonatkozó információk egy online portálon keresztül elektronikus úton hozzáférhetők;

z) "adatminőség": annak mértéke, hogy az elektronikus egészségügyi adatok elemei mennyire alkalmasak azok tervezett elsődleges felhasználására és másodlagos felhasználására;

aa) "adatminőségi és -hasznossági címke": az adatminőséget és az adatkészlet használati feltételeit leíró, egy skálát magában foglaló grafikus diagram;

ab) "jólléti alkalmazás": bármely olyan szoftver, vagy hardver és szoftver bármely kombinációja, amelyet a gyártó arra szánt, hogy egy természetes személy elektronikus egészségügyi adatok kezelésére - konkrétan a természetes személyek egészségére vonatkozó információk nyújtására - vagy az egészségügyi ellátástól eltérő célokra történő ellátás biztosítására használja.

II. FEJEZET

ELSŐDLEGES FELHASZNÁLÁS

1. SZAKASZ

A természetes személyeknek a személyes elektronikus egészségügyi adataik elsődleges felhasználásával kapcsolatos jogai és kapcsolódó rendelkezések

3. cikk

A természetes személyeknek a személyes elektronikus egészségügyi adataikhoz való hozzáférési joga

(1) A természetes személyek jogosultak hozzáférni legalább az olyan rájuk vonatkozó elektronikus egészségügyi adatokhoz, amelyek a 14. cikkben említett elsőbbségi kategóriákba tartoznak, és amelyeket az egészségügyi ellátás biztosítása céljából a 4. cikkben említett elektronikus egészségügyiadat-hozzáférési szolgáltatásokon keresztül kezelnek. A hozzáférést a személyes elektronikus egészségügyi adatoknak valamely EHR-rendszerben való nyilvántartásba vételét követően azonnal biztosítani kell, tiszteletben tartva ugyanakkor a technológiai megvalósíthatóság szükségességét, és ezt díjmentesen, könnyen olvasható, egységes szerkezetbe foglalt és hozzáférhető formátumban kell biztosítani.

(2) A természetes személyeknek vagy a 4. cikk (2) bekezdésében említett képviselőiknek joguk van ahhoz, hogy díjmentesen letöltsék legalább a 14. cikkben említett elsőbbségi kategóriákba tartozó, az említett természetes személyekkel kapcsolatos személyes elektronikus egészségügyi adatok elektronikus másolatát, a 4. cikkben említett elektronikus egészségügyiadat-hozzáférési szolgáltatásokon keresztül, a 15. cikkben említett elektronikus egészségügyi dokumentáció európai csereformátumában.

(3) Az (EU) 2016/679 rendelet 23. cikkével összhangban a tagállamok korlátozhatják az e cikk (1) és (2) bekezdésében foglalt jogok hatályát - különösen valahányszor az említett korlátozások a természetes személyek védelme érdekében a betegbiztonság és etikai megfontolások alapján szükségesek - azáltal, hogy korlátozott időre késleltetik a természetes személy személyes elektronikus egészségügyi adataihoz való hozzáférését mindaddig, amíg egy egészségügyi szakember képes megfelelően közölni és elmagyarázni az érintett természetes személyek számára azon információkat, amelyek jelentős hatást gyakorolhatnak az egészségükre.

4. cikk

Elektronikus egészségügyiadat-hozzáférési szolgáltatások természetes személyek és képviselőik számára

(1) A tagállamok biztosítják, hogy nemzeti, regionális vagy helyi szinten egy vagy több elektronikus egészségügyiadat-hozzáférési szolgáltatást hozzanak létre, ezáltal lehetővé téve természetes személyek számára a személyes elektronikus egészségügyi adataikhoz való hozzáférést, valamint a 3. és az 5-10. cikkben foglalt jogaik gyakorlását. Az ilyen elektronikus egészségügyiadat-hozzáférési szolgáltatások a természetes személyek és az e cikk (2) bekezdésében említett képviselőik számára díjmentesek.

(2) A tagállamok biztosítják, hogy az elektronikus egészségügyiadat-hozzáférési szolgáltatások funkciójaként hozzanak létre egy vagy több proxy szolgáltatást, amely lehetővé teszi a következőket:

a) természetes személyek meghatalmazhatnak más, választásuk szerinti természetes személyeket arra, hogy a nevükben, korlátozott vagy korlátlan időtartamra és szükség esetén kizárólag meghatározott célból hozzáférjenek személyes elektronikus egészségügyi adataikhoz vagy azok egy részéhez, és hogy az említett meghatalmazásokat kezeljék; és

b) a természetes személyek törvényes képviselői a nemzeti joggal összhangban hozzáférhetnek azon természetes személyek személyes elektronikus egészségügyi adataihoz, akiknek az ügyeit intézik.

A tagállamok szabályokat állapítanak meg az első albekezdés a) pontjában említett meghatalmazásokra, valamint a gondviselők és egyéb törvényes képviselők tevékenységeire vonatkozóan.

(3) A (2) bekezdésben említett proxy szolgáltatások átlátható és könnyen érthető módon, díjmentesen, valamint elektronikus úton vagy papíron nyújtják a meghatalmazásokat. A természetes személyeket és képviselőiket tájékoztatni kell a meghatalmazási jogaikról - beleértve azt is, hogy milyen módon gyakorolják az említett jogokat -, valamint a meghatalmazási eljárásról.

A proxy szolgáltatásoknak egyszerű panasztételi mechanizmust kell biztosítaniuk a természetes személyek számára.

(4) Az e cikk (2) bekezdésében említett proxy szolgáltatásoknak a tagállamok között interoperábilisaknak kell lenniük. A Bizottság végrehajtási jogi aktusok útján meghatározza a tagállamok proxy szolgáltatásainak interoperabilitását biztosító műszaki előírásokat. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(5) Az elektronikus egészségügyiadat-hozzáférési szolgáltatásoknak és a proxy szolgáltatásoknak könnyen hozzáférhetőnek kell lenniük a fogyatékossággal élő személyek, a veszélyeztetett csoportok és az alacsony digitális jártassággal rendelkező személyek számára.

5. cikk

A természetes személyek joga a saját elektronikus egészségügyi dokumentációjukba történő információbevitelhez

A természetes személyeknek vagy a 4. cikk (2) bekezdésében említett képviselőiknek joguk van arra, hogy - az említett cikkben foglalt elektronikus egészségügyiadat-hozzáférési szolgáltatásokon vagy az említett szolgáltatásokhoz kapcsolódó alkalmazásokon keresztül - információkat vigyenek be az említett természetes személyek elektronikus egészségügyi dokumentációjába. Az említett információknak egyértelműen megkülönböztethetőnek kell lenniük a tekintetben, hogy azokat a természetes személy vagy a képviselője vitte be. A természetes személyek vagy a 4. cikk (2) bekezdésében említett képviselőik nem lehetnek képesek arra, hogy az egészségügyi szakemberek által bevitt elektronikus egészségügyi adatokat és a kapcsolódó információkat közvetlenül megváltoztassák.

6. cikk

Természetes személyek helyesbítéshez való joga

A 4. cikkben említett elektronikus egészségügyiadat-hozzáférési szolgáltatások lehetővé teszik a természetes személyek számára, hogy egyszerűen, online kérhessék személyes elektronikus egészségügyi adataik helyesbítését az (EU) 2016/679 rendelet 16. cikkével összhangban. Az adatkezelő adott esetben egy releváns egészségügyi szakemberrel ellenőrzi a kérelemben megadott információk pontosságát.

A tagállamok azt is lehetővé tehetik a természetes személyek számára, hogy elektronikus egészségügyi adat-hozzáférési szolgáltatásokon keresztül online gyakoroljanak az (EU) 2016/679 rendelet III. fejezete szerinti egyéb jogokat.

7. cikk

A természetes személyek adathordozhatósághoz való joga

(1) A természetes személyeknek joguk van ahhoz, hogy egy egészségügyi szolgáltató számára hozzáférést biztosítsanak, vagy felkérjenek egy egészségügyi szolgáltatót arra, hogy személyes elektronikus egészségügyi adataik egészét vagy egy részét azonnal, díjmentesen és az egészségügyi szolgáltató részéről vagy az említett egészségügyi szolgáltató által használt rendszerek gyártói részéről támasztott akadály nélkül továbbítsák egy másik, választásuk szerinti egészségügyi szolgáltató számára.

(2) Amennyiben az egészségügyi szolgáltatók különböző tagállamokban találhatók, a természetes személyeknek joguk van arra, hogy a személyes elektronikus egészségügyi adataiknak a 15. cikkben említett, az elektronikus egészségügyi dokumentáció európai csereformátumában, a 23. cikkben említett határokon átnyúló infrastruktúrán keresztül történő továbbítását kérjék. A fogadó egészségügyi szolgáltatónak el kell fogadnia az ilyen adatokat, és képesnek kell lennie elolvasni azokat.

(3) A természetes személyeknek joguk van ahhoz, hogy egy egészségügyi szolgáltatót felkérjenek arra, hogy személyes elektronikus egészségügyi adataik egy részét továbbítsa egy egyértelműen azonosított címzettnek a társadalombiztosítási vagy megtérítési szolgáltatások ágazatában. Az ilyen továbbítást azonnal, díjmentesen és az egészségügyi szolgáltató részéről vagy az említett egészségügyi szolgáltató által használt rendszerek gyártói részéről támasztott akadályok nélkül kell elvégezni, és az csak egyirányú lehet.

(4) Amennyiben a természetes személyek - a 3. cikk (2) bekezdésével összhangban - letöltötték a személyes elektronikus egészségügyi adatok elsőbbségi kategóriáinak elektronikus másolatát, az említett adatokat a 15. cikkben említett, az elektronikus egészségügyi dokumentáció európai csereformátumában továbbíthatják a választásuk szerinti egészségügyi szolgáltatóknak. A fogadó egészségügyi szolgáltatónak el kell fogadnia az ilyen adatokat, és adott esetben képesnek kell lennie elolvasni azokat.

8. cikk

A hozzáférés korlátozásához való jog

A természetes személyeknek joguk van korlátozni az egészségügyi szakemberek és az egészségügyi szolgáltatók hozzáférését a 3. cikkben említettek szerinti személyes elektronikus egészségügyi adataik egészéhez vagy egy részéhez.

Az első bekezdésben említett jog gyakorlásakor a természetes személyek figyelmét fel kell hívni arra, hogy a hozzáférés korlátozása hatással lehet a számukra nyújtott egészségügyi ellátásra.

Az egészségügyi szolgáltatók számára nem látható az a tény, hogy a természetes személy az első albekezdés alapján korlátozta a hozzáférést.

A tagállamok létrehozzák az ilyen korlátozási mechanizmusokra vonatkozó szabályokat és konkrét biztosítékokat.

9. cikk

Az adatokhoz való hozzáférésre vonatkozó tájékoztatáshoz való jog

(1) A természetes személyeknek jogukban áll - többek között automatikus értesítések útján - tájékoztatást kapni a személyes elektronikus egészségügyi adataikhoz az egészségügyi ellátással összefüggésben megszerzett, az egészségügyi szakemberek hozzáférését biztosító szolgáltatáson keresztül történő bármely hozzáférésről, beleértve a 11. cikk (5) bekezdésével összhangban biztosított hozzáférést is.

(2) Az (1) bekezdésben említett tájékoztatást díjmentesen és késedelem nélkül az elektronikus egészségügyiadat-hozzáférési szolgáltatásokon keresztül kell biztosítani, és annak az adatokhoz való minden egyes hozzáférés napjától számított legalább három évig rendelkezésre kell állnia. Az említett tájékoztatás legalább a következőket foglalja magában:

a) azon egészségügyi szolgáltatóra vagy más egyénekre vonatkozó információk, akik hozzáfértek a személyes elektronikus egészségügyi adatokhoz;

b) a hozzáférés dátuma és időpontja;

c) mely személyes elektronikus egészségügyi adatokhoz fértek hozzá.

(3) A tagállamok kivételes körülmények között korlátozhatják az (1) bekezdésben említett jogot, amennyiben tényszerű jelek utalnak arra, hogy a tájékoztatás veszélyeztetné az egészségügyi szakember létfontosságú érdekeit vagy jogait, vagy a természetes személy ellátását.

10. cikk

A természetes személyek kifogásolási joga az elsődleges felhasználás során

(1) A tagállamok jogszabályai rendelkezhetnek úgy, hogy a természetes személyeknek joguk van a kifogásoláshoz a 4. és a 12. cikkben említett elektronikus egészségügyiadat-hozzáférési szolgáltatásokon keresztül egy EHR-rendszerben nyilvántartott személyes elektronikus egészségügyi adataikhoz való hozzáféréssel szemben. Ilyen esetekben a tagállamoknak biztosítaniuk kell, hogy az említett jog gyakorlása visszafordítható legyen.

(2) Ha egy tagállam biztosítja az e cikk (1) bekezdésében említett jogot, létrehozza a kifogásolási mechanizmusra vonatkozó szabályokat és konkrét biztosítékokat. Így különösen, a tagállamok biztosíthatják valamely egészségügyi szolgáltató vagy egészségügyi szakember számára, hogy hozzáférhessen a személyes elektronikus egészségügyi adatokhoz azokban az esetekben, amikor az adatkezelés az (EU) 2016/679 rendelet 9. cikke (2) bekezdésének c) pontjában említett érintett vagy más természetes személy létfontosságú érdekeinek védelme érdekében szükséges, még akkor is, ha a beteg gyakorolta a kifogásolási jogot az elsődleges felhasználás során.

11. cikk

Az egészségügyi szakemberek hozzáférése a személyes elektronikus egészségügyi adatokhoz

(1) Amennyiben az egészségügyi szakemberek elektronikus formátumban kezelnek adatokat, - a biztosítás helye szerinti tagállamtól és az ellátás helye szerinti tagállamtól függetlenül - hozzáféréssel rendelkeznek a kezelés alatt álló természetes személyek releváns és szükséges személyes elektronikus egészségügyi adataihoz a 12. cikkben említett, az egészségügyi szakemberek hozzáférését biztosító szolgáltatásokon keresztül.

(2) Amennyiben a kezelés alatt álló természetes személynek a biztosítás helye szerinti tagállama és az ilyen természetes személynek az ellátás helye szerinti tagállama eltér egymástól, a kezelés alatt álló természetes személy személyes elektronikus egészségügyi adataihoz való határokon átnyúló hozzáférést a 23. cikkben említett határokon átnyúló infrastruktúrán keresztül kell biztosítani.

(3) Az e cikk (1) és (2) bekezdésében említett hozzáférés legalább a 14. cikkben említett személyes elektronikus egészségügyi adatok elsőbbségi kategóriáit foglalja magában:

Az (EU) 2016/679 rendelet 5. cikkében előírt elvekkel összhangban a tagállamok szabályokat hoznak létre a személyes elektronikus egészségügyi adatok azon kategóriáira vonatkozóan is, amelyekhez az egészségügyi szakemberek különböző kategóriái hozzáférhetnek, illetve amelyek különböző egészségügyi feladatok ellátása során hozzáférhetőek. E szabályok figyelembe veszik az e rendelet 8. cikke szerint bevezetett korlátozások lehetőségét.

(4) A biztosítás helye szerinti tagállamtól eltérő tagállamban történő kezelés esetén a (3) bekezdésben említett szabályok az ellátás helye szerinti tagállam szabályai.

(5) Amennyiben a természetes személy a 8. cikk alapján korlátozta a személyes elektronikus egészségügyi adatokhoz való hozzáférést, az egészségügyi szolgáltatót vagy az egészségügyi szakembert nem lehet tájékoztatni az említett adatok korlátozott tartalmáról.

A 8. cikk első bekezdésétől eltérve, amennyiben az érintett létfontosságú érdekeinek védelméhez szükséges, az egészségügyi szolgáltató vagy az egészségügyi szakember számára a korlátozás alá eső elektronikus egészségügyi adatokhoz hozzáférés adható. Az ilyen eseteket egyértelmű és érthető formátumban kell naplózni, és azoknak az érintett számára könnyen hozzáférhetőnek kell lenniük.

A tagállam további biztosítékokat is nyújthat.

12. cikk

Az egészségügyi szakemberek hozzáférését biztosító szolgáltatások

Az egészségügyi ellátás nyújtása érdekében a tagállamok biztosítják, hogy az egészségügyi szakemberek az egészségügyi szakemberek hozzáférését biztosító szolgáltatásokon keresztül - határon átnyúló ellátás esetén is - díjmentesen hozzáférjenek a személyes elektronikus egészségügyi adatoknak a 14. cikkben említett elsőbbségi kategóriáihoz.

Az e cikk első bekezdésében említett szolgáltatásokhoz csak olyan egészségügyi szakemberek férhetnek hozzá, akik a 910/2014/EU rendelet 6. cikke alapján elismert elektronikus azonosító eszközzel vagy az e rendelet 36. cikkében említett egységes előírásoknak megfelelő egyéb elektronikus azonosító eszközzel rendelkeznek.

A személyes elektronikus egészségügyi adatokat az elektronikus egészségügyi dokumentációban felhasználóbarát módon kell megjeleníteni, hogy az egészségügyi szakemberek könnyen használhassák azokat.

13. cikk

Személyes elektronikus egészségügyi adatok nyilvántartásba vétele

(1) A tagállamok biztosítják, hogy amennyiben az elektronikus egészségügyi adatokat egészségügyi ellátás nyújtása céljából kezelik, az egészségügyi szolgáltatók a legalább részben vagy egészben a 14. cikkben említett személyes elektronikus egészségügyi adat elsőbbségi kategóriáiba tartozó releváns személyes elektronikus egészségügyi adatokat egy EHR-rendszerben elektronikus formátumban nyilvántartásba vegyék.

(2) Az adatok elektronikus formátumban történő kezelése során az egészségügyi szolgáltatók biztosítják, hogy a kezelésük alatt álló természetes személyek személyes elektronikus egészségügyi adatai az egészségügyi ellátással kapcsolatos információkkal frissüljenek.

(3) Amennyiben egy személyes elektronikus egészségügyi adatot az ellátás helye szerinti tagállamban vesznek nyilvántartásba, amely eltér az érintett természetes személynek a biztosítás helye szerinti tagállamától, az ellátás helye szerinti tagállam biztosítja, hogy a nyilvántartásba vételt a természetes személynek a biztosítás helye szerinti tagállamban meglévő személyazonosító adatai alapján végezzék el.

(4) 2027. március 26-ig a Bizottság végrehajtási jogi aktusok útján meghatározza a személyes elektronikus egészségügyi adatoknak - adott esetben - egy EHR-rendszerben való nyilvántartásba vételére vonatkozó adatminőségi követelményeket, beleértve a szemantikával, egységességgel, következetességgel, pontossággal és teljességgel kapcsolatban. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

A személyes elektronikus egészségügyi adatok nyilvántartásba vételekor vagy frissítésekor az elektronikus egészségügyi dokumentációknak azonosítaniuk kell az ilyen nyilvántartásba vételt vagy frissítést végző egészségügyi szakembert és egészségügyi szolgáltatót, valamint az időpontot, amikor az ilyen nyilvántartásba vételt vagy frissítést elvégezték. A tagállamok megkövetelhetik az adatnyilvántartás egyéb vonatkozásainak rögzítését is.

14. cikk

Az elsődleges felhasználásra szánt személyes elektronikus egészségügyi adatok elsőbbségi kategóriái

(1) E fejezet alkalmazásában, amennyiben az adatokat elektronikus formátumban kezelik, a személyes elektronikus egészségügyi adatok elsőbbségi kategóriái a következők:

a) betegösszefoglalók;

b) elektronikus rendelvények;

c) elektronikus gyógyszerkiadás;

d) orvosi képalkotási vizsgálatok és a vonatkozó képalkotási jelentések;

e) orvosi vizsgálati eredmények, beleértve a laboratóriumi és egyéb diagnosztikai eredményeket, és a vonatkozó jelentések; és

f) záró dokumentumok.

Az elsődleges felhasználásra szánt személyes elektronikus egészségügyi adatok elsőbbségi kategóriáinak fő jellemzőit az I. melléklet határozza meg.

A tagállamok a nemzeti jogukban rendelkezhetnek úgy, hogy a személyes elektronikus egészségügyi adatok további kategóriái is hozzáférhetőek és cserélhetőek legyenek elsődleges felhasználás céljából e fejezet alapján.

A Bizottság végrehajtási jogi aktusok útján a 15. cikk (3) bekezdése és a 23. cikk (8) bekezdése alapján határokon átnyúló előírásokat állapíthat meg a személyes elektronikus egészségügyi adatok e bekezdés harmadik albekezdésében említett kategóriáira vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(2) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el, hogy módosítsa e rendeletet azáltal, hogy - a személyes elektronikus egészségügyi adatoknak az (1) bekezdésben említett elsőbbségi kategóriái fő jellemzőinek kiegészítésén, megváltoztatásán vagy törlésén keresztül - módosítja az I. mellékletet, feltéve, hogy a módosítások célja, hogy a személyes elektronikus egészségügyi adatok elsőbbségi kategóriáit hozzáigazítsák a technikai fejlődéshez és a nemzetközi szabványokhoz. Ezen kívül, az említett jellemzők kiegészítéseinek és megváltoztatásainak ki kell elégíteniük mindkét következő kritériumot:

a) a jellemző a természetes személyeknek nyújtott egészségügyi ellátás szempontjából releváns;

b) a legfrissebb információk szerint a tagállamok többségében használják a jellemzőt.

15. cikk

Az elektronikus egészségügyi dokumentáció európai csereformátuma

(1) 2027. március 26-ig a Bizottság végrehajtási jogi aktusok útján megállapítja a személyes elektronikus egészségügyi adatoknak a 14. cikk (1) bekezdésében említett elsőbbségi kategóriáira vonatkozó műszaki előírásokat, meghatározva az elektronikus egészségügyi dokumentáció európai csereformátumát. Az ilyen formátumnak általánosan használtnak és géppel olvashatónak kell lennie, és lehetővé kell tennie a személyes elektronikus egészségügyi adatoknak a különböző szoftveralkalmazások, eszközök és egészségügyi szolgáltatók közötti továbbítását. Az ilyen formátumnak támogatnia kell a strukturált és strukturálatlan egészségügyi adatok továbbítását és a következő elemeket kell tartalmaznia:

a) elektronikus egészségügyi adatokat tartalmazó és struktúrákat meghatározó harmonizált adatkészletek, mint például a klinikai tartalom és az elektronikus egészségügyi adatok egyéb részeinek megjelenítésére szolgáló adatmezők és adatcsoportok;

b) az elektronikus egészségügyi adatokat tartalmazó adatkészletekben használandó kódrendszerek és értékek;

c) az elektronikus egészségügyi adatok cseréjére vonatkozó műszaki interoperabilitási előírások, beleértve azok tartalmi megjelenítését, szabványait és profiljait.

Az e bekezdés első albekezdésében említett végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(2) A Bizottság végrehajtási jogi aktusok révén biztosítja az elektronikus egészségügyi dokumentáció európai csereformátumának rendszeres frissítéseit az egészségügyi kódrendszerek és nómenklatúrák releváns felülvizsgálatainak integrálása érdekében. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(3) A Bizottság végrehajtási jogi aktusok révén olyan műszaki előírásokat állapíthat meg, amelyek kiterjesztik az elektronikus egészségügyi dokumentáció európai csereformátumát a személyes elektronikus egészségügyi adatoknak a 14. cikk (1) bekezdése harmadik albekezdésében említett további kategóriáira. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(4) A tagállamok biztosítják, hogy a személyes elektronikus egészségügyi adatoknak a 14. cikkben említett elsőbbségi kategóriáit az e cikk (1) bekezdésében említett, az elektronikus egészségügyi dokumentáció európai csereformátumában adják ki. Amennyiben az ilyen adatokat elsődleges felhasználás céljából automatizált eszközökkel továbbítják, a fogadó szolgáltatónak el kell fogadnia az adatok formátumát, és képesnek kell lennie elolvasnia azokat.

16. cikk

Azonosítási intézkedések

(1) Amennyiben természetes személyek a 4. cikkben említett személyes elektronikus egészségügyiadat-hozzáférési szolgáltatásokat vesznek igénybe, az említett természetes személyeknek joguk van saját maguk elektronikus azonosítására bármely, a 910/2014/EU rendelet 6. cikke alapján elismert elektronikus azonosító eszköz használatával. A tagállamok kiegészítő mechanizmusokat biztosíthatnak, hogy határokon átnyúló helyzetekben biztosítsák a megfelelő személyazonosság-megfeleltetést.

(2) A 910/2014/EU rendelettel összhangban a Bizottság végrehajtási jogi aktusok révén meghatározza a természetes személyekre és az egészségügyi szakemberekre vonatkozó interoperábilis, határokon átnyúló azonosítási és hitelesítési mechanizmusra vonatkozó követelményeket. Az említett mechanizmus megkönnyíti a személyes elektronikus egészségügyi adatok határokon átnyúló kontextusban megvalósuló továbbíthatóságát. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(3) A Bizottság a tagállamokkal együttműködve a 23. cikkben említett, határokon átnyúló digitális egészségügyi infrastruktúra részeként uniós szinten végrehajtja az e cikk (2) bekezdésében említett interoperábilis, határokon átnyúló azonosítási és hitelesítési mechanizmus által igényelt szolgáltatásokat.

(4) A tagállamok illetékes hatóságai, illetve a Bizottság - tagállami, illetve uniós szinten - végrehajtják az interoperábilis, határokon átnyúló azonosítási és hitelesítési mechanizmust.

17. cikk

A technikai végrehajtására vonatkozó követelmények

A Bizottság végrehajtási jogi aktusok révén meghatározza az e szakaszban meghatározott jogok technikai végrehajtására vonatkozó követelményeket.

Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

18. cikk

A személyes elektronikus egészségügyi adat rendelkezésre bocsátásáért járó kompenzáció

Az e fejezet alapján adatokat fogadó szolgáltatótól nem követelhető meg, hogy kompenzálja az egészségügyi szolgáltatót a személyes elektronikus egészségügyi adatok rendelkezésre bocsátásáért. Az egészségügyi szolgáltató vagy a harmadik fél nem számíthat fel az érintetteknek közvetlenül vagy közvetve díjat vagy költséget, vagy nem kérhet kompenzációt az adatok megosztásáért vagy az azokhoz való hozzáférésért.

2. SZAKASZ

Az elsődleges használatra vonatkozó irányítás

19. cikk

Digitális egészségügyi hatóságok

(1) Minden tagállam kijelöl egy vagy több digitális egészségügyi hatóságot, amely e fejezet nemzeti szintű végrehajtásáért és érvényesítéséért felel. A tagállamok 2027. március 26-ig tájékoztatják a Bizottságot a digitális egészségügyi hatóságok kilétéről. Amennyiben egy tagállam több digitális egészségügyi hatóságot jelöl ki, vagy amennyiben a digitális egészségügyi hatóság több szervezetből áll, az érintett tagállam közli a Bizottsággal az említett különféle hatóságok vagy szervezetek közötti feladatok megosztásának leírását. Amennyiben egy tagállam több digitális egészségügyi hatóságot jelöl ki, az egyik digitális egészségügyi hatóságot kijelöli, hogy koordinátorként járjon el. A Bizottság nyilvánosan hozzáférhetővé teszi az említett információkat.

(2) Minden egyes digitális egészségügyi hatóságot a következő feladatokkal és hatáskörökkel kell megbízni:

a) az e fejezetben és a III. fejezetben előírt jogok és kötelezettségek végrehajtásának biztosítása a szükséges nemzeti, regionális vagy helyi technikai megoldások elfogadása révén, valamint a releváns szabályok és mechanizmusok létrehozása révén;

b) annak biztosítása, hogy az e fejezetben és a III. fejezetben előírt jogok és kötelezettségek végrehajtására vonatkozó teljeskörű és naprakész információk könnyen rendelkezésre bocsáthatóak legyenek a természetes személyek, az egészségügyi szakemberek és az egészségügyi szolgáltatók számára;

c) az e bekezdés a) pontjában említett technikai megoldások végrehajtása során annak biztosítása, hogy az ilyen technikai megoldások megfeleljenek e fejezetnek, a III. fejezetnek és a II. mellékletnek;

d) hozzájárulás - uniós szinten - az olyan technikai megoldások kifejlesztéséhez, amelyek lehetővé teszik a természetes személyek és az egészségügyi szakemberek számára, hogy az e fejezetben meghatározott jogaikat gyakorolják és kötelezettségeiknek megfeleljenek;

e) a fogyatékossággal élő személyek számára annak megkönnyítése, hogy az (EU) 2019/882 európai parlamenti és tanácsi irányelvvel (31) összhangban gyakorolhassák az e fejezet szerinti jogaikat;

f) a digitális egészségügyért felelős nemzeti kapcsolattartó pontok felügyelete, valamint együttműködés más digitális egészségügyi hatóságokkal és a Bizottsággal az Egészségem@EU (MyHealth@EU) továbbfejlesztésében;

g) a nemzeti hatóságokkal és az érdekelt felekkel együttműködve az elektronikus egészségügyi dokumentáció európai csereformátuma nemzeti szintű végrehajtásának biztosítása;

h) hozzájárulás - uniós szinten - az elektronikus egészségügyi dokumentáció európai csereformátumának fejlesztéséhez, olyan egységes előírásoknak a 36. cikknek megfelelő kidolgozásához, amelyek a minőséggel, interoperabilitással, biztonsággal, védelemmel, a használat megkönnyítésével, a hozzáférhetőséggel, a megkülönböztetésmentességgel vagy az alapvető jogokkal kapcsolatos aggályokat kezelnek, továbbá a 49. cikkben említett, az EHR-rendszerek és a jólléti alkalmazások nyilvántartására szolgáló uniós adatbázis előírásainak kidolgozásához;

i) adott esetben piacfelügyeleti tevékenységek végzése a 43. cikkel összhangban, biztosítva ugyanakkor az összeférhetetlenség elkerülését;

j) az elsődleges felhasználásra szánt elektronikus egészségügyi adatok interoperabilitására és biztonságára vonatkozó követelmények végrehajtását szolgáló nemzeti kapacitások kiépítése, valamint részvétel az uniós szintű információcserében és kapacitásépítési tevékenységekben;

k) együttműködés a piacfelügyeleti hatóságokkal, részvétel az EHR-rendszerek jelentette kockázatok és a súlyos események kezelésével kapcsolatos tevékenységekben, és a 44. cikkel összhangban a korrekciós intézkedés végrehajtásának felügyelete;

l) együttműködés más releváns helyi, regionális, nemzeti vagy uniós szintű szervezetekkel és szervekkel az elektronikus egészségügyi adatok interoperabilitásának, hordozhatóságának és biztonságának biztosítása érdekében;

m) a 910/2014/EU és az (EU) 2016/679 rendelettel, valamint az (EU) 2022/2555 irányelvvel (32) összhangban együttműködés a felügyeleti hatóságokkal, továbbá más releváns hatóságokkal, többek között a kiberbiztonság és az elektronikus azonosítás terén illetékes hatóságokkal.

(3) Minden tagállam biztosítja, hogy minden digitális egészségügyi hatóság megkapja a feladatai és hatáskörei eredményes ellátásához szükséges emberi, műszaki és pénzügyi erőforrásokat, helyiségeket és infrastruktúrát.

(4) Feladatainak ellátása során minden egyes digitális egészségügyi hatóság kerüli az összeférhetetlenséget. A digitális egészségügyi hatóság személyzetének minden egyes tagja a köz érdekében és független módon jár el.

(5) Feladataik ellátása során a releváns digitális egészségügyi hatóságok aktívan együttműködnek és konzultálnak a releváns érdekelt felek képviselőivel - beleértve a betegek képviselőit, az egészségügyi szolgáltatókat és az egészségügyi szakemberek képviselőit, így az egészségügyi szakmai szövetségeket - valamint a fogyasztói szervezetekkel és az iparági szövetségekkel is.

20. cikk

A digitális egészségügyi hatóságok általi jelentéstétel

A 19. cikk alapján kijelölt digitális egészségügyi hatóságok kétévente tevékenységi jelentést tesznek közzé, amely átfogó áttekintést nyújt tevékenységeikről. Ha egy tagállam egynél több digitális egészségügyi hatóságot jelöl ki, ezek egyike felelős a jelentés kidolgozásáért, és e tevékenysége részeként bekéri a szükséges információkat a többi digitális egészségügyi hatóságtól. Az említett tevékenységi jelentés a 92. cikkben említett Európai Egészségügyi Adattér Testületben uniós szinten elfogadott szerkezetet követ. Az említett tevékenységi jelentés tartalmazza legalább a következőkre vonatkozó információkat:

a) az e rendelet végrehajtása érdekében tett intézkedések;

b) az elektronikus egészségügyi dokumentációjuk különféle adatkategóriáihoz hozzáféréssel rendelkező természetes személyek százalékos aránya;

c) a természetes személyektől érkező, az e rendelet szerinti jogaik gyakorlására vonatkozó megkeresések kezelése;

d) az Egészségem@EU-hoz (MyHealth@EU) csatlakozott különböző típusú egészségügyi szolgáltatók száma, beleértve a gyógyszertárakat, kórházakat és egyéb ellátási pontokat a következők szerint kifejezve:

i. abszolút értékben;

ii. az összes azonos típusú egészségügyi szolgáltató arányában; és

iii. a szolgáltatásokat igénybe venni képes természetes személyek arányában;

e) az Egészségem@EU-n (MyHealth@EU) keresztül határokon átnyúlóan megosztott, különböző kategóriákba tartozó elektronikus egészségügyi adatok mennyisége;

f) a kötelező követelményeknek való meg nem felelés eseteinek száma.

21. cikk

A digitális egészségügyi hatóságnál történő panasztételhez való jog

(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül a természetes és jogi személyeknek jogukban áll, hogy - egyénileg vagy adott esetben kollektíven - az e fejezetben meghatározott rendelkezésekkel kapcsolatban panaszt nyújtsanak be az illetékes digitális egészségügyi hatósághoz, feltéve, hogy a jogaikat vagy az érdekeiket hátrány érte.

(2) Amennyiben a panasz a természetes személyeknek az e rendelet 3. és 5-10. cikke szerinti jogaira vonatkozik, a digitális egészségügyi hatóság továbbítja a panaszt az (EU) 2016/679 rendelet szerinti illetékes felügyeleti hatóságoknak. A digitális egészségügyi hatóság az (EU) 2016/679 rendelet szerinti illetékes felügyeleti hatóság rendelkezésére bocsátja a rendelkezésére álló szükséges információkat annak érdekében, hogy megkönnyítse a panasz értékelését és kivizsgálását.

(3) Az illetékes digitális egészségügyi hatóság, amelyhez a panaszt benyújtották, a nemzeti joggal összhangban tájékoztatja a panaszost a panasz elbírálása során tett előrehaladásról, a panaszra vonatkozóan meghozott határozatról, a panasznak az (EU) 2016/679 rendelet szerinti illetékes felügyeleti hatósághoz történő esetleges utalásáról, és ilyen utalás eseteiben arról, hogy attól az időponttól kezdve az adott ügyben az említett felügyeleti hatóság az egyedüli kapcsolattartó pont a panaszos számára.

(4) Az érintett tagállamokbeli digitális egészségügyi hatóságok együttműködnek a személyes elektronikus egészségügyi adatok határokon átnyúló cseréjével és az azokhoz való hozzáféréssel kapcsolatos panaszok kezelése és megoldása érdekében, ideértve valamennyi releváns információ indokolatlan késedelem nélküli, elektronikus úton történő cseréjét is.

(5) A digitális egészségügyi hatóságok megkönnyítik a panaszok benyújtását, és könnyen hozzáférhető eszközöket biztosítanak a panaszok benyújtására.

22. cikk

Kapcsolat az (EU) 2016/679 rendelet szerinti felügyeleti hatóságokkal

Az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért és érvényesítéséért felelős felügyeleti hatóság vagy felügyeleti hatóságok illetékesek az e rendelet 3. és 5-10. cikke alkalmazásának nyomon követéséért és érvényesítéséért is. Az (EU) 2016/679 rendelet releváns rendelkezései értelemszerűen alkalmazandók. A felügyeleti hatóságokhatáskörrel rendelkeznek arra, hogy az (EU) 2016/679 rendelet 83. cikkének (5) bekezdésében említett összeg erejéig közigazgatási bírságokat szabjanak ki.

A e cikk első bekezdésében említett felügyeleti hatóságoknak és a 19. cikkben említett digitális egészségügyi hatóságoknak saját hatáskörükön belül - adott esetben - együtt kell működniük e rendelet végrehajtásában.

3. SZAKASZ

A személyes elektronikus egészségügyi adatok elsődleges felhasználására szolgáló, határokon átnyúló infrastruktúra

23. cikk

Egészségem@EU (MyHealth@EU)

(1) A Bizottság központi digitális egészségügyi interoperabilitási platformot (a továbbiakban: Egészségem@EU [MyHealth@EU]) hoz létre a személyes elektronikus egészségügyi adatoknak a tagállamok digitális egészségügyért felelős nemzeti kapcsolattartó pontjai közötti cseréjét támogató és megkönnyítő szolgáltatások nyújtására.

(2) Minden egyes tagállam kijelöl egy, a digitális egészségügyért felelős nemzeti kapcsolattartó pontot, amely szervezeti és technikai kapuként szolgál a személyes elektronikus egészségügyi adatoknak az elsődleges felhasználással összefüggésben történő, határokon átnyúló cseréjéhez kapcsolódó szolgáltatások nyújtásához. Minden egyes digitális egészségügyért felelős nemzeti kapcsolattartó pont kapcsolódik valamennyi digitális egészségügyért felelős nemzeti kapcsolattartó ponthoz a többi tagállamban és a digitális egészségügyért felelős központi interoperabilitási platformhoz az Egészségem@EU (MyHealth@EU) határokon átnyúló infrastruktúra keretében. Amennyiben a digitális egészségügyért felelős nemzeti kapcsolattartó pont több, különböző szolgáltatások végrehajtásáért felelős szervezetből álló entitás, az érintett tagállam közli a Bizottsággal a szervezetek közötti feladatmegosztás leírását. Minden egyes tagállam 2027. március 26-ig tájékoztatja a Bizottságot a nemzeti digitális egészségügyért felelős kapcsolattartó pontja kilétéről. A nemzeti digitális egészségügyért felelős kapcsolattartó pontot a 19. cikkben említett, digitális egészségügyi hatóságon belül lehet kijelölni. A tagállamok tájékoztatják a Bizottságot az említett digitális egészségügyért felelős kapcsolattartó pontok kilétének minden későbbi módosításáról. A Bizottság és a tagállamok a nyilvánosság számára elérhetővé teszik az említett információkat.

(3) Minden egyes digitális egészségügyért felelős nemzeti kapcsolattartó pont az Egészségem@EU-n (MyHealth@EU) keresztül lehetővé teszi a 14. cikk (1) bekezdésében említett személyes elektronikus egészségügyi adatoknak a többi tagállamban lévő nemzeti digitális egészségügyért felelős kapcsolattartó pontokkal történő cseréjét. Az említett adatcsere az elektronikus egészségügyi dokumentáció európai csereformátumán alapul.

Amennyiben a tagállamok a személyes elektronikus egészségügyi adatok további kategóriáiról rendelkeznek a 14. cikk (1) bekezdésének harmadik albekezdése alapján, a digitális egészségügyért felelős nemzeti kapcsolattartó pont lehetővé teszi a személyes elektronikus egészségügyi adatoknak a 14. cikk (1) bekezdésének harmadik albekezdésében említett további kategóriáinak cseréjét, amennyiben az érintett tagállam előírta a személyes elektronikus egészségügyi adatok említett további kategóriáihoz való hozzáférést és azok cseréjét a 14. cikk (1) bekezdésének harmadik albekezdésével összhangban.

(4) 2027. március 26-ig a Bizottság végrehajtási jogi aktusok útján elfogadja az Egészségem@EU (MyHealth@EU) technikai fejlesztéséhez szükséges intézkedéseket, a személyes elektronikus egészségügyi adatok biztonságára, bizalmas jellegére és védelmére vonatkozó részletes szabályokat, és az Egészségem@EU-hoz (MyHealth@EU) való csatlakozáshoz és a csatlakozás fenntartásához szükséges feltételeket és megfelelőségi ellenőrzéseket. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(5) A tagállamok biztosítják valamennyi egészségügyi szolgáltatónak a saját digitális egészségügyért felelős nemzeti kapcsolattartó pontjaihoz való kapcsolódását. A tagállamok biztosítják, hogy az összekapcsolt egészségügyi szolgáltatók képesek legyenek az elektronikus egészségügyi adatoknak a digitális egészségügyért felelős nemzeti kapcsolattartó ponttal folytatott kétirányú cseréjére.

(6) A tagállamok biztosítják, hogy a területükön működő gyógyszertárak - beleértve az online gyógyszertárakat is - a 2011/24/EU irányelv 11. cikkében meghatározott feltételek mellett más tagállamokban kiállított elektronikus rendelvényeket is kiadhassanak.

A gyógyszertárak az Egészségem@EU-n (MyHealth@EU) keresztül hozzáférnek a részükre más tagállamokból továbbított elektronikus rendelvényekhez, és elfogadják azokat, feltéve, hogy teljesülnek a 2011/24/EU irányelv 11. cikkében meghatározott feltételek.

Egy másik tagállamból származó elektronikus rendelvényen alapuló gyógyszerkiadást követően az érintett gyógyszertár az Egészségem@EU-n (MyHealth@EU) keresztül jelenti az ilyen gyógyszerkiadást azon tagállam digitális egészségügyért felelős nemzeti kapcsolattartó pontjának, amelyben az említett rendelvényt kiállították.

(7) A digitális egészségügyért felelős nemzeti kapcsolattartó pontok az Egészségem@EU-n (MyHealth@EU) keresztül közölt személyes elektronikus egészségügyi adatok közös adatkezelőiként járnak el azon adatkezelési műveletek tekintetében, amelyekben részt vesznek. A Bizottság adatfeldolgozóként jár el.

(8) A Bizottság az (EU) 2016/679 rendelet IV. fejezetével összhangban végrehajtási jogi aktusok révén szabályokat állapít meg a kiberbiztonságra, a műszaki interoperabilitásra, a szemantikus interoperabilitásra, az e cikk (7) bekezdésében említett adatfeldolgozó által végzett adatkezeléssel kapcsolatos műveletekre és szolgáltatásirányításra, valamint az adatkezelőkkel szembeni felelősségére vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(9) A digitális egészségügyért felelős nemzeti kapcsolattartó pontok teljesítik az Egészségem@EU-hoz (MyHealth@EU) való csatlakozás és a csatlakozás fenntartásának (4) bekezdésben említett végrehajtási jogi aktusokban meghatározott feltételeit. A digitális egészségügyért felelős nemzeti kapcsolattartó pontoknak az említett feltételeknek való megfelelését a Bizottság által végzett megfelelőségi ellenőrzések útján kell ellenőrizni.

24. cikk

Határokon átnyúló kiegészítő digitális egészségügyi szolgáltatások és infrastruktúrák

(1) A magas szintű bizalom és biztonság elérése, az ellátás folyamatosságának fokozása, valamint a biztonságos és magas színvonalú egészségügyi ellátáshoz való hozzáférés biztosítása érdekében a tagállamok az Egészségem@EU-n (MyHealth@EU) keresztül olyan kiegészítő szolgáltatásokat nyújthatnak, amelyek megkönnyítik a távorvoslást, a mobil egészségügyet, a természetes személyek számára az egészségügyi adataik meglévő fordításaihoz való hozzáférést, az egészségügyi vonatkozású igazolások cseréjét vagy ellenőrzését, beleértve a népegészségügyet és a népegészségügyi monitoringot vagy a digitális egészségügyi rendszereket, szolgáltatásokat és interoperábilis alkalmazásokat támogató oltásikönyv-szolgáltatásokat is. A Bizottság végrehajtási jogi aktusok révén meghatározza az ilyen kiegészítő szolgáltatások technikai vonatkozásait. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(2) A Bizottság és a tagállamok megkönnyíthetik a személyes elektronikus egészségügyi adatok más infrastruktúrákkal történő cseréjét, mint például a klinikai betegmenedzsment rendszer vagy más olyan szolgáltatások vagy infrastruktúrák az egészségügyi, gondozási vagy társadalombiztosítási területeken, amelyek az Egészségem@EU (MyHealth@EU) felhatalmazott résztvevőivé válhatnak. A Bizottság végrehajtási jogi aktusok révén meghatározza az ilyen adatcserék technikai vonatkozásait. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

Egy másik infrastruktúrának a központi digitális egészségügyi platformhoz való csatlakoztatása vagy az arról való lecsatlakoztatása a Bizottságnak egy végrehajtási jogi aktus útján elfogadott azon döntésétől függ, amely az információcseréknek az e bekezdés első albekezdésében említett technikai vonatkozásai megfelelőségi ellenőrzéseinek eredményén alapul. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(3) Egy harmadik ország digitális egészségügyért felelős nemzeti kapcsolattartó pontja vagy egy nemzetközi szervezet által nemzetközi szinten létrehozott rendszer felhatalmazott résztvevővé válhat az Egészségem@EU-ban (MyHealth@EU), feltéve, hogy a 23. cikkben említett személyes elektronikus egészségügyi adatok cseréje céljából teljesíti az Egészségem@EU (MyHealth@EU) követelményeit, hogy az Egészségem@EU-hoz (MyHealth@EU) való csatlakozásból eredő adattovábbítás megfelel az (EU) 2016/679 rendelet V. fejezetében foglalt szabályoknak, valamint hogy a jogi, szervezeti, operatív, szemantikai, technikai és kiberbiztonsági intézkedésekre vonatkozó követelmények egyenértékűek az Egészségem@EU (MyHealth@EU) szolgáltatásainak működtetése során a tagállamokra alkalmazandó követelményekkel. Az említett követelményeket a Bizottság megfelelőségi ellenőrzések útján ellenőrzi.

Az e bekezdés első albekezdésében említett megfelelőségi ellenőrzések eredménye alapján a Bizottság végrehajtási jogi aktusok révén határozhat - az esettől függően - a harmadik ország digitális egészségügyért felelős nemzeti kapcsolattartó pontjának vagy egy nemzetközi szervezet által nemzetközi szinten létrehozott rendszernek az Egészségem@EU-hoz (MyHealth@EU) való csatlakoztatásáról vagy az arról való lecsatlakoztatásáról. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

A Bizottság létrehozza és fenntartja a harmadik országok digitális egészségügyért felelős azon nemzeti kapcsolattartó pontjainak vagy a nemzetközi szervezetek által nemzetközi szinten létrehozott azon rendszereknek a jegyzékét, amelyek e bekezdés alapján az Egészségem@EU-hoz (MyHealth@EU) csatlakoznak, és az említett jegyzéket nyilvánosan hozzáférhetővé teszi.

III. FEJEZET

EHR-RENDSZEREK ÉS JÓLLÉTI ALKALMAZÁSOK

1. SZAKASZ

Az EHR-rendszerekre vonatkozó hatókör és általános rendelkezések

25. cikk

Az EHR-rendszerek harmonizált szoftverösszetevői

(1) Az e fejezetben megállapított rendelkezésekkel összhangban az EHR-rendszerek magukban foglalják az EHR-rendszerek európai interoperabilitási szoftverösszetevőjét és az EHR-rendszerek európai naplózási szoftverösszetevőjét (a továbbiakban: az EHR-rendszerek harmonizált szoftverösszetevői).

(2) Ez a fejezet nem alkalmazandó az egészségügyi környezetben használt általános célú szoftverekre.

26. cikk

Forgalomba hozatal és üzembe helyezés

(1) EHR-rendszerek csak akkor hozhatók forgalomba vagy helyezhetők üzembe, ha megfelelnek az e fejezetben megállapított rendelkezéseknek.

(2) Az Unióban gyártott és az Unióban letelepedett egészségügyi intézményekben használt EHR-rendszereket, valamint valamely, az Unióban letelepedett természetes vagy jogi személy számára az (EU) 2015/1535 európai parlamenti és tanácsi irányelv (33) 1. cikke (1) bekezdésének b) pontjában foglalt fogalommeghatározás szerint szolgáltatásként kínált EHR-rendszereket üzembe helyezettnek kell tekinteni.

(3) A tagállamok - az e rendelet által szabályozott EHR-rendszerek harmonizált szoftverösszetevőire vonatkozó szempontokkal kapcsolatos megfontolásokból - nem tilthatják meg vagy korlátozhatják az e rendeletnek megfelelő EHR-rendszerek forgalomba hozatalát.

27. cikk

Az orvostechnikai eszközökre, az in vitro diagnosztikai orvostechnikai eszközökre és az MI-rendszerekre vonatkozó Uniós joggal fennálló kapcsolat

(1) Az (EU) 2017/745 rendelet 2. cikkének 1. pontjában meghatározott orvostechnikai eszközök, illetve az (EU) 2017/746 rendelet 2. cikkének 2. pontjában meghatározott in vitro diagnosztikai orvostechnikai eszközök azon gyártóinak, amelyek azt állítják, hogy az említett orvostechnikai eszközök vagy in vitro diagnosztikai orvostechnikai eszközök interoperábilisak az EHR-rendszerek harmonizált szoftverösszetevőivel, igazolniuk kell az EHR-rendszerek európai interoperabilitási szoftverösszetevőjére és az EHR-rendszerek európai naplózási szoftverösszetevőjére vonatkozó, e rendelet II. mellékletének 2. szakaszában meghatározott alapvető interoperabilitási követelményeknek való megfelelést. Az említett orvostechnikai eszközökre és in vitro diagnosztikai orvostechnikai eszközökre e rendelet 36. cikke alkalmazandó.

(2) Az (EU) 2017/745 vagy az (EU) 2017/746 rendelet hatálya alá nem tartozó, az (EU) 2024/1689 rendelet 6. cikkével összhangban nagy kockázatúnak minősülő MI-rendszerek (a továbbiakban: nagy kockázatú MI-rendszerek) azon szolgáltatóinak, amelyek azt állítják, hogy az említett nagy kockázatú MI-rendszerek interoperábilisak az EHR-rendszerek harmonizált szoftverösszetevőivel, igazolniuk kell az EHR-rendszerek európai interoperabilitási szoftverösszetevőjére és az EHR-rendszerek európai naplózási szoftverösszetevőjére vonatkozó, e rendelet II. mellékletének 2. szakaszában meghatározott alapvető követelményeknek való megfelelést. Az említett nagy kockázatú MI-rendszerekre e rendelet 36. cikke alkalmazandó.

28. cikk

Állítások

Az EHR-rendszerekhez mellékelt adatlapon, használati útmutatóban vagy egyéb információban, valamint az EHR-rendszerek reklámanyagában tilos olyan szöveget, neveket, védjegyeket, képeket, ábrás vagy egyéb jelöléseket használni, amelyek rendeltetésük, interoperabilitásuk és biztonságosságuk tekintetében félrevezethetik az (EU) 2018/1807 európai parlamenti és tanácsi rendelet (34) 3. cikkének 8. pontjában meghatározott foglalkozásszerű felhasználót azáltal, hogy:

a) olyan funkciókat és tulajdonságokat tulajdonítanak az EHR-rendszernek, amelyekkel az nem rendelkezik;

b) a foglalkozásszerű felhasználót elmulasztják tájékoztatni az EHR-rendszer rendeltetéséhez kötődő, interoperabilitással vagy biztonsági jellemzőkkel kapcsolatban valószínűsíthetően felmerülő korlátozásokról;

c) az EHR-rendszer tekintetében más felhasználásokat sugallnak, mint amelyek a műszaki dokumentációban foglaltak szerint a rendeltetés részét képezik.

29. cikk

Beszerzés, megtérítés és finanszírozás

A tagállamok az egészségügyi szolgáltatások szervezésével, nyújtásával vagy finanszírozásával összefüggésben különös szabályokat tarthatnak fenn vagy határozhatnak meg az EHR-rendszerek beszerzésére, finanszírozására vagy megtérítésére vonatkozóan, feltéve, hogy az ilyen szabályok megfelelnek az uniós jognak, és nincsenek hatással az EHR-rendszerek harmonizált szoftverösszetevőinek működésére vagy megfelelőségére.

2. SZAKASZ

A gazdasági szereplők kötelezettségei az EHR-rendszerek tekintetében

30. cikk

Az EHR-rendszerek gyártóinak kötelezettségei

(1) Az EHR-rendszerek gyártói:

a) biztosítják, hogy EHR-rendszereik harmonizált szoftverösszetevői és maguk az EHR-rendszerek - amennyiben e fejezet követelményeket állapít meg rájuk vonatkozóan - megfelelnek a II. mellékletben meghatározott alapvető követelményeknek és a 36. cikkel összhangban az egységes előírásoknak;

b) biztosítják, hogy az EHR-rendszereik harmonizált szoftverösszetevőit ne befolyásolják hátrányosan ugyanazon EHR-rendszer más szoftverösszetevői;

c) a 37. cikkel összhangban elkészítik EHR-rendszereik műszaki dokumentációját az említett EHR-rendszerek forgalomba hozatala előtt, és azt követően naprakészen tartják azt;

d) biztosítják, hogy EHR-rendszereiket - a felhasználó számára díjmentesen - a 38. cikkben előírt adatlap, valamint egyértelmű és teljes használati útmutató kísérje;

e) a 39. cikkel összhangban EU-megfelelőségi nyilatkozatot készítenek;

f) a 41. cikkel összhangban elhelyezik a CE-megfelelőségi jelölést;

g) az EHR-rendszerben feltüntetik a nevet, a bejegyzett kereskedelmi nevet vagy a bejegyzett védjegyet, a postai címet, valamint a honlapot, az e-mail-címet vagy egyéb olyan digitális elérhetőségeket, amelyeken keresztül kapcsolatba lehet lépni velük; az elérhetőségi adatokban megjelölik azon egyedüli kapcsolattartó pontot, amelyen keresztül a gyártóval kapcsolatba lehet lépni; az elérhetőségi adatokat a felhasználók és a piacfelügyeleti hatóságok által könnyen érthető nyelven kell megadni;

h) eleget tesznek a 49. cikkben említett nyilvántartásba vételi kötelezettségeknek;

i) indokolatlan késedelem nélkül meghozzák a szükséges korrekciós intézkedéseket EHR-rendszereik tekintetében, amennyiben úgy ítélik meg, vagy okkal feltételezik, hogy az ilyen rendszerek nem vagy már nem felelnek meg a II. mellékletben meghatározott alapvető követelményeknek, vagy visszahívják vagy a forgalomból kivonják az ilyen rendszereket; az egészségügyi nyilvántartó rendszerek gyártói ezt követően tájékoztatják azon tagállamok nemzeti hatóságait, amelyekben egészségügyi nyilvántartó rendszereiket forgalmazták vagy üzembe helyezték, a következőkről: a meg nem felelés, bármely meghozott korrekciós intézkedés - beleértve a végrehajtás ütemtervét is - és azon nap, amelyen az említett EHR-rendszereik harmonizált szoftverösszetevőinek megfelelőségét biztosították, vagy azokat visszahívták vagy kivonták a forgalomból;

j) tájékoztatják az EHR-rendszereik forgalmazóit és adott esetben a meghatalmazott képviselőt, az importőröket és a felhasználókat a meg nem felelésről és az említett EHR-rendszereket érintő bármely korrekciós intézkedésről, azokvisszahívásáról vagy forgalomból történő kivonásáról;

k) tájékoztatják az EHR-rendszereik forgalmazóit és adott esetben a meghatalmazott képviselőt, az importőröket és a felhasználókat az EHR-rendszerek bármely kötelező megelőző karbantartásáról és annak gyakoriságáról;

l) kérésre az érintett tagállam hivatalos nyelvén az említett tagállambeli piacfelügyeleti hatóságok rendelkezésére bocsátanak minden olyan információt és dokumentációt, amely annak igazolásához szükséges, hogy az általuk forgalomba hozott vagy üzembe helyezett EHR-rendszer megfelel a II. mellékletben meghatározott alapvető követelményeknek;

m) a piacfelügyeleti hatóságok kérésére együttműködnek velük az annak érdekében hozott intézkedések terén, hogy biztosítsák az általuk forgalomba hozott vagy üzembe helyezett EHR-rendszereknek a II. mellékletben meghatározott alapvető követelményeknek és a 42. cikk alapján elfogadott bármely követelménynek való megfelelését az érintett tagállam hivatalos nyelvén;

n) panasztételi csatornákat hoz létre és erről folyamatosan tájékoztatja a forgalmazókat;

o) nyilvántartást vezet a panaszokról, és a nem megfelelő EHR-rendszerekről is, és erről folyamatosan tájékoztatja a forgalmazókat.

(2) Az EHR-rendszerek gyártói gondoskodnak olyan eljárások bevezetéséről, amelyek biztosítják, hogy az EHR-rendszerek harmonizált szoftverösszetevőinek kialakítása, fejlesztése és telepítése továbbra is megfeleljen a II. mellékletben meghatározott alapvető követelményeknek és a 36. cikkben említett egységes előírásoknak. Az EHR-rendszer kialakításának vagy jellemzőinek ezen EHR-rendszerek harmonizált szoftverösszetevőinek tekintetében bekövetkezett változásait kellően figyelembe kell venni és a műszaki dokumentációban meg kell jeleníteni.

(3) Az EHR-rendszerek gyártói a 37. cikkben említett műszaki dokumentációt és a 39. cikkben említett EU-megfelelőségi nyilatkozatot az EU-megfelelőségi nyilatkozat hatálya alá tartozó EHR-rendszer forgalomba hozatalát követően 10 évig megőrzik.

Az EHR-rendszerek gyártóinak indokolt kérésre a releváns hatóságok rendelkezésére kell bocsátaniuk a műszaki dokumentációban szereplő forráskódot vagy programozási logikát, ha ez a forráskód vagy programozási logika az említett hatóságok számára szükséges ahhoz, hogy ellenőrizni tudják a II. mellékletben meghatározott alapvető követelményeknek való megfelelést.

(4) Az EHR-rendszerek Unión kívül letelepedett gyártójának gondoskodnia kell arról, hogy meghatalmazott képviselője könnyen hozzáférhessen a 31. cikk (2) bekezdésében említett feladatok ellátásához szükséges dokumentációhoz.

(5) Az EHR-rendszerek gyártói valamely piacfelügyeleti hatóság indokolt kérésére annak rendelkezésére bocsátják az EHR-rendszer II. mellékletben meghatározott alapvető követelményeknek és a 36. cikkben meghatározott egységes előírásoknak való megfelelése igazolásához szükséges valamennyi információt és dokumentációt, nyomtatott vagy elektronikus formában, az említett piacfelügyeleti hatóság számára könnyen érthető nyelven. Az EHR-rendszerek gyártói együttműködnek a piacfelügyeleti hatósággal - annak kérésére - az általuk forgalomba hozott vagy üzembe helyezett EHR-rendszer által jelentett kockázatok kiküszöbölésére tett bármely korrekciós intézkedés terén.

31. cikk

Meghatalmazott képviselők

(1) Valamely EHR-rendszer Unióban való forgalmazását megelőzően az EHR-rendszer Unión kívül letelepedett gyártója írásbeli meghatalmazással kijelöl egy, az Unióban letelepedett meghatalmazott képviselőt.

(2) A meghatalmazott képviselő a gyártóval megállapodott megbízatásban meghatározott feladatokat látja el. A megbízatásnak lehetővé kell tennie a meghatalmazott képviselő számára, hogy legalább a következőket megtegye:

a) a 30. cikk (3) bekezdésében említett ideig megőrzi és a piacfelügyeleti hatóságok számára hozzáférhetővé teszi az EU-megfelelőségi nyilatkozatot és a 37. cikkben említett műszaki dokumentációt;

b) valamely piacfelügyeleti hatóságtól kapott, indokolással ellátott kérésre az érintett tagállam hatóságainak rendelkezésére bocsátja a megbízatás másolatát és minden olyan információt és dokumentációt, amely annak igazolásához szükséges, hogy az EHR-rendszer megfelel a II. mellékletben meghatározott alapvető követelményeknek, valamint a 36. cikkben említett egységes előírásoknak;

c) indokolatlan késedelem nélkül tájékoztatja a gyártót, ha a meghatalmazott képviselő okkal feltételezi, hogy az EHR-rendszer már nem felel meg a II. mellékletben meghatározott alapvető követelményeknek;

d) indokolatlan késedelem nélkül tájékoztatja a gyártót a fogyasztóktól vagy foglalkozásszerű felhasználóktól kapott bármely panaszról;

e) együttműködik a piacfelügyeleti hatóságokkal - azok kérésére - a megbízatása hatálya alá tartozó EHR-rendszerekkel kapcsolatban hozott korrekciós intézkedések terén;

f) megszünteti a megbízatást, ha a gyártó nem tesz eleget az e rendeletben foglalt kötelezettségeinek;

g) biztosítja, hogy a 37. cikkben említett műszaki dokumentációt kérésre a releváns hatóságok rendelkezésére bocsássák.

(3) A meghatalmazott képviselő változása esetén az ilyen változás részletes szabályainak legalább a következőkkel kell foglalkozniuk:

a) a távozó meghatalmazott képviselő megbízatása megszűnésének napja, valamint az új meghatalmazott képviselő megbízatása kezdetének napja;

b) a dokumentumok átadása, ideértve a titoktartási szempontokat és a tulajdonjogokat is.

(4) Amennyiben a gyártó az Unión kívül letelepedett, és nem tett eleget a 30. cikkben meghatározott kötelezettségeknek, a meghatalmazott képviselő - a gyártóval azonos alapon - egyetemleges jogi felelősséggel tartozik az e rendeletnek való meg nem felelésért.

32. cikk

Az importőrök kötelezettségei

(1) Az importőrök csak olyan EHR-rendszereket hozhatnak forgalomba az uniós piacon, amelyek megfelelnek a II. mellékletben meghatározott alapvető követelményeknek, valamint a 36. cikkben említett egységes előírásoknak.

(2) Az EHR-rendszer forgalmazása előtt az importőr biztosítja, hogy:

a) a gyártó elkészítette a 37. cikkben említett műszaki dokumentációt és az EU-megfelelőségi nyilatkozatot;

b) a gyártót azonosították és a 31. cikkel összhangban kijelöltek egy meghatalmazott képviselőt;

c) a megfelelőségértékelési eljárás befejezését követően az EHR-rendszeren fel van tüntetve a 41. cikkben említett CE-megfelelőségi jelölés;

d) az EHR-rendszert a 38. cikkben említett adatlap kíséri, világos és teljes - a karbantartásra is kiterjedő - használati útmutatóval együtt, hozzáférhető formátumokban.

(3) Az importőrök az EHR-rendszert kísérő dokumentumban feltüntetik nevüket, bejegyzett kereskedelmi nevüket vagy bejegyzett védjegyüket, postai címüket, honlapjukat, e-mail-címüket vagy egyéb digitális elérhetőségeiket, amelyeken keresztül kapcsolatba lehet lépni velük. Az elérhetőségi adatoknak meg kell jelölniük azon egyedüli kapcsolattartó pontot, amelyen keresztül a gyártóval kapcsolatba lehet lépni, és az elérhetőségi adatokat a felhasználók és a piacfelügyeleti hatóságok által könnyen érthető nyelven kell megadni. Az importőrök biztosítják, hogy bármely további címke ne rejtsen el vagy takarjon el a gyártó által megadott azon információk közül egyet sem, amelyek az EHR-rendszerhez biztosított bármely eredeti címkén megjelennek.

(4) Az importőrök biztosítják, hogy amíg az EHR-rendszer a felelősségi körükbe tartozik, az EHR-rendszert ne változtassák meg oly módon, hogy annak a II. mellékletben meghatározott alapvető követelményeknek és a 42. cikk alapján elfogadott bármely követelménynek való megfelelése veszélybe kerülne.

(5) Amennyiben az importőr úgy ítéli meg, vagy okkal feltételezi, hogy az EHR-rendszer nem vagy már nem felel meg a II. mellékletben meghatározott alapvető követelményeknek és a 42. cikk alapján elfogadott bármely követelménynek, az említett EHR-rendszert nem forgalmazhatja, vagy - ha az említett EHR-rendszer már forgalomba hozták - azt vissza kell hívnia, vagy ki kell vonnia a forgalomból - mindaddig, amíg az EHR-rendszer megfelelőségét nem biztosították. Ilyen visszahívás vagy forgalomból kivonás esetén az importőr az ilyen visszahívásról vagy forgalomból kivonásról indokolatlan késedelem nélkül tájékoztatja az ilyen EHR-rendszer gyártóját, a felhasználókat és azon tagállam piacfelügyeleti hatóságait, amelyben az EHR-rendszert forgalmazta, megadva különösen a meg nem felelésre és bármely meghozott korrekciós intézkedésre vonatkozó részleteket.

Amennyiben az importőr úgy ítéli meg, vagy okkal feltételezi, hogy egy EHR-rendszer kockázatot jelent a természetes személyek egészségére vagy biztonságára nézve, indokolatlan késedelem nélkül tájékoztatja a letelepedésének helye szerinti tagállam piacfelügyeleti hatóságait, valamint a gyártót és adott esetben a meghatalmazott képviselőt.

(6) Az importőrök a 30. cikk (3) bekezdésében említett ideig a piacfelügyeleti hatóságok számára elérhetővé teszik az EU-megfelelőségi nyilatkozat egy példányát, és biztosítják, hogy a 37. cikkben említett műszaki dokumentáció kérésre az említett hatóságok rendelkezésére bocsátható legyen.

(7) Az importőrök - az érintett tagállamok piacfelügyeleti hatóságainak indokolással ellátott kérésére - az említett hatóságok rendelkezésére bocsátják az EHR-rendszer megfelelőségének igazolásához szükséges valamennyi információt és dokumentációt. Az importőrök együttműködnek a piacfelügyeleti hatóságokkal - azok kérésére -, valamint a gyártóval és adott esetben a meghatalmazott képviselővel azon tagállam hivatalos nyelvén, ahol a piacfelügyeleti hatóság található. Az importőrök együttműködnek az említett hatóságokkal - azok kérésére - az annak érdekében hozott intézkedések terén, hogy biztosítsák az EHR-rendszereiknek a II. mellékletben meghatározott, a harmonizált szoftverösszetevőkre vonatkozó alapvető követelményeknek való megfelelését, vagy biztosítsák azon EHR-rendszerek visszahívását vagy forgalomból történő kivonását, amelyek nem felelnek meg az említett alapvető követelményeknek.

(8) Az importőrök bejelentési csatornákat hoznak létre, és biztosítják azok hozzáférhetőségét, hogy lehetővé tegyék a felhasználók számára panaszok benyújtását, továbbá nyilvántartást vezetnek a panaszokról, a meg nem felelő EHR-rendszerekről és az EHR-rendszerek visszahívásairól és forgalomból történő kivonásairól. Az importőrök ellenőrzik, hogy a 30. cikk (1) bekezdésének n) pontja alapján létrehozott panasztételi csatornák nyilvánosan hozzáférhetők-e, lehetővé téve a felhasználók számára, hogy panaszokat nyújtsanak be és közléseket kapjanak az egészségükkel és biztonságukkal, vagy a közérdek védelmének egyéb szempontjaival kapcsolatos bármely kockázatról, valamint lehetővé téve a felhasználók számára, hogy tájékoztatást kapjanak egy EHR-rendszert érintő bármely súlyos eseményről. Amennyiben ilyen panasztételi csatornákat nem hoztak létre, az importőröknek kell létrehozniuk azokat, és figyelembe kell venniük a kiszolgáltatott csoportok és a fogyatékossággal élő személyek akadálymentesítési szükségleteit.

(9) Az importőrök kivizsgálják a panaszokat és nyomon követik az általuk forgalmazott EHR-rendszert érintő biztonsági eseményekkel kapcsolatban beérkezett információkat. Az importőrök a 30. cikk (1) bekezdése o) pontjában említett nyilvántartásba vagy saját belső nyilvántartásukba nyilvántartásba veszik az említett panaszokat, az EHR-rendszerek bármely visszahívását és forgalomból történő kivonását, valamint az EHR-rendszer megfelelőségének biztosítása érdekében hozott bármely korrekciós intézkedést. Az importőrök folyamatosan és időben tájékoztatják a gyártót, a forgalmazókat és adott esetben a meghatalmazott képviselőket az elvégzett vizsgálatról és nyomon követésről, valamint a vizsgálat és a nyomon követés eredményeiről.

33. cikk

A forgalmazók kötelezettségei

(1) Az EHR-rendszer forgalmazása előtt a forgalmazó ellenőrzi, hogy:

a) a gyártó elkészítette az EU-megfelelőségi nyilatkozatot;

b) az EHR-rendszeren fel van tüntetve a CE-megfelelőségi jelölés;

c) az EHR-rendszert a 38. cikkben említett adatlap kíséri, világos és teljes használati útmutatóval együtt, hozzáférhető formátumokban;

d) adott esetben az importőr eleget tett a 32. cikk (3) bekezdésében meghatározott követelményeknek.

(2) A forgalmazók biztosítják, hogy amíg egy EHR-rendszer a felelősségi körükbe tartozik, az EHR-rendszert ne változtassák meg oly módon, hogy az veszélyeztetné a II. mellékletben meghatározott alapvető követelményeknek és a 42. cikk alapján elfogadott bármely követelménynek való megfelelését.

(3) Amennyiben a forgalmazó úgy ítéli meg, vagy okkal feltételezi, hogy az EHR-rendszer nem felel meg a II. mellékletben előírt alapvető követelményeknek és a 42. cikk alapján elfogadott bármely követelménynek, az EHR-rendszert nem forgalmazhatja mindaddig, amíg annak megfelelőségét nem biztosították. A forgalmazó indokolatlan késedelem nélkül tájékoztatja erről a gyártót vagy az importőrt, valamint azon tagállamok piacfelügyeleti hatóságait, ahol az EHR-rendszert forgalmazták vagy forgalmazni fogják. Amennyiben a forgalmazó úgy ítéli meg, vagy okkal feltételezi, hogy egy EHR-rendszer kockázatot jelent a természetes személyek egészségére vagy biztonságára, tájékoztatja a forgalmazó letelepedésének helye szerinti tagállam piacfelügyeleti hatóságait, valamint a gyártót és az importőrt.

(4) A forgalmazók valamely piacfelügyeleti hatóság indokolással ellátott kérésére az említett hatóság rendelkezésére bocsátják az EHR-rendszer megfelelőségének igazolásához szükséges valamennyi információt és dokumentációt. A hatóság kérésére együttműködnek az említett hatósággal, valamint a gyártóval, az importőrrel és adott esetben a gyártó meghatalmazott képviselőjével az annak érdekében hozott intézkedések terén, hogy biztosítsák valamely EHR-rendszernek a II. mellékletben meghatározott alapvető követelményeknek és a 42. cikk alapján elfogadott bármely követelménynek való megfelelését, vagy azt visszahívják vagy a forgalomból kivonják.

34. cikk

Azon esetek, amelyekben az EHR-rendszer gyártóinak kötelezettségei más szervezetekre vagy egyénekre is vonatkoznak

Az importőr, a forgalmazó vagy a felhasználó e rendelet alkalmazásában gyártónak minősül, és a 30. cikkben meghatározott kötelezettségek vonatkoznak rá, amennyiben:

a) a saját nevében vagy védjegye alatt forgalmaz EHR-rendszert;

b) oly módon módosít egy már forgalomba hozott EHR-rendszert, hogy az befolyásolhatja az alkalmazandó követelményeknek való megfelelést; vagy

c) oly módon módosítja az EHR-rendszert, hogy az a gyártó által bejelentett rendeltetésbeli változásokhoz vezet.

35. cikk

A gazdasági szereplők azonosítása

A gazdasági szereplők az EU-megfelelőségi nyilatkozat hatálya alá tartozó utolsó EHR-rendszer forgalomba hozatalától számított 10 évig azonosítják a piacfelügyeleti hatóságok kérésére és részére a következőket:

a) minden olyan gazdasági szereplő, amelytől EHR-rendszert szereztek be; és

b) minden olyan gazdasági szereplő, amelyet EHR-rendszerrel láttak el.

3. SZAKASZ

Az EHR-rendszerek harmonizált szoftverösszetevőinek megfelelősége

36. cikk

Egységes előírások

(1) 2027. március 26-ig a Bizottság végrehajtási jogi aktusok révén egységes előírásokat fogad el a II. mellékletben meghatározott alapvető követelmények tekintetében, beleértve egy közös mintát és az egységes előírások végrehajtására vonatkozó határidőt is. Az említett egységes előírások adott esetben figyelembe veszik az orvostechnikai eszközöknek, illetve a nagy kockázatú MI-rendszereknek a 27. cikk (1), illetve (2) bekezdésében említett sajátosságait, beleértve az egészségügyi informatika legkorszerűbb szabványait és az elektronikus egészségügyi dokumentáció európai csereformátumát. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(2) Az (1) bekezdésben említett egységes előírások a következő információkat és elemeket tartalmazzák:

a) hatályukat;

b) az EHR-rendszerekre vagy az azokban foglalt funkciók különböző kategóriáira való alkalmazhatóságukat;

c) változatukat;

d) érvényességi idejüket;

e) normatív rész;

f) magyarázó rész, beleértve a vonatkozó végrehajtási iránymutatásokat.

(3) Az (1) bekezdésben említett egységes előírások a következőkkel kapcsolatos elemeket tartalmazhatnak:

a) elektronikus egészségügyi adatokat tartalmazó és struktúrákat meghatározó adatkészletek, mint például a klinikai tartalom és az elektronikus egészségügyi adatok egyéb részeinek megjelenítésére szolgáló adatmezők és adatcsoportok;

b) az elektronikus egészségügyi adatokat tartalmazó adatkészletekben használandó kódrendszerek és értékek, kellően figyelembe véve mind a terminológiák jövőbeli potenciális harmonizációját, mind a meglévő nemzeti terminológiákkal való kompatibilitásukat;

c) az adatminőséggel kapcsolatos egyéb követelmények, mint például az elektronikus egészségügyi adatok teljessége és pontossága;

d) az elektronikus egészségügyi adatok cseréjére vonatkozó műszaki előírások, szabványok és profilok;

e) a betegbiztonságra és az elektronikus egészségügyi adatok biztonságára, bizalmas jellegére, integritására, és védelmére vonatkozó követelmények és elvek;

f) az azonosítás kezelésével és az elektronikus azonosítás használatával kapcsolatos előírások és követelmények.

(4) Azokat a 25. és a 27. cikkben említett EHR-rendszereket, orvostechnikai eszközöket, in vitro diagnosztikai orvostechnikai eszközöket és nagy kockázatú MI-rendszereket, amelyek megfelelnek az e cikk (1) bekezdésében említett egységes előírásoknak, úgy kell tekinteni, hogy megfelelnek a II. mellékletben meghatározott, említett egységes előírások vagy azok részei hatálya alá tartozó alapvető követelményeknek, és amelyek az említett egységes előírások vagy azok releváns részei hatálya alá tartoznak.

(5) Amennyiben az EHR-rendszerek interoperabilitási és biztonsági követelményeire vonatkozó egységes előírások más jogi aktusok, így például az (EU) 2017/745, az (EU) 2017/746, vagy az (EU) 2024/1689 rendelet hatálya alá tartozó orvostechnikai eszközöket, in vitro diagnosztikai orvostechnikai eszközöket vagy nagy kockázatú MI-rendszereket érintenek, ezen egységes előírások elfogadását adott esetben megelőzheti - az esettől függően - az (EU) 2017/745 rendelet 103. cikkével létrehozott orvostechnikai eszközökkel foglalkozó koordinációs csoporttal vagy az (EU) 2024/1689 rendelet 65. cikkével létrehozott Mesterséges Intelligenciával Foglalkozó Európai Testülettel, valamint az Európai Adatvédelmi Testülettel folytatott konzultáció.

(6) Amennyiben a más jogi aktusok, például az (EU) 2017/745, az (EU) 2017/746 vagy az (EU) 2024/1689 rendelet hatálya alá tartozó orvostechnikai eszközök, in vitro diagnosztikai orvostechnikai eszközök vagy nagy kockázatú MI-rendszerek interoperabilitási és biztonsági követelményeire vonatkozó egységes előírások EHR-rendszereket érintenek, a Bizottság biztosítja, hogy az említett egységes előírások elfogadását adott esetben megelőzze az Európai Egészségügyi Adattér Testülettel és az Európai Adatvédelmi Testülettel folytatott konzultáció.

37. cikk

Műszaki dokumentáció

(1) A gyártóknak az EHR-rendszer forgalomba hozatala vagy üzembe helyezése előtt műszaki dokumentációt kell készíteniük, és az említett dokumentációt naprakészen kell tartaniuk.

(2) Az e cikk (1) bekezdésében említett műszaki dokumentációnak igazolnia kell, hogy az EHR-rendszer megfelel a II. mellékletben meghatározott alapvető követelményeknek, és ellássa a piacfelügyeleti hatóságokat minden szükséges információval annak értékeléséhez, hogy az EHR-rendszer megfelel-e az említett követelményeknek. Az említett műszaki dokumentációnak legalább a III. mellékletben meghatározott elemeket tartalmaznia kell, valamint a 40. cikkben említett európai digitális tesztelési környezet eredményeire való hivatkozást.

(3) Az (1) bekezdésben említett műszaki dokumentációt az érintett tagállam valamely hivatalos nyelvén vagy az említett tagállamban könnyen érthető nyelven kell elkészíteni. Valamely tagállam piacfelügyeleti hatóságának indokolással ellátott kérését követően a gyártó biztosítja a műszaki dokumentáció releváns részeinek az említett tagállam hivatalos nyelvére történő lefordítását.

(4) Amikor a piacfelügyeleti hatóság a gyártótól kéri a műszaki dokumentációt vagy annak egy lefordított részét, a gyártónak az ilyen műszaki dokumentációt vagy fordítást a kérés napjától számított 30 napon belül rendelkezésre kell bocsátania, hacsak valamilyen komoly és közvetlen kockázat miatt nem indokolt az ennél rövidebb határidő. Ha a gyártó nem felel meg az e cikk (1), (2) és (3) bekezdésében foglalt követelményeknek, a piacfelügyeleti hatóság előírhatja, hogy a II. mellékletben meghatározott alapvető követelményeknek és a 36. cikkben említett egységes előírásoknak való megfelelés ellenőrzése érdekében meghatározott határidőn belül egy független szerv végezzen vizsgálatot a gyártó költségén.

38. cikk

Az EHR-rendszert kísérő adatlap

(1) Az EHR-rendszereket olyan adatlap kíséri, amely tömör, hiánytalan, pontos és egyértelmű, a hivatásos felhasználók számára releváns, akadálymentes és érthető információkat tartalmaz.

(2) Az (1) bekezdésben említett adatlap a következőket határozza meg:

a) a gyártó és adott esetben a meghatalmazott képviselő kiléte, bejegyzett kereskedelmi neve vagy bejegyzett névjegye, és elérhetőségei;

b) az EHR-rendszer neve és verziója, valamint kiadásának dátuma;

c) az EHR-rendszer rendeltetése;

d) az EHR-rendszer által feldolgozandó elektronikus egészségügyi adatok kategóriái;

e) az EHR-rendszer által támogatott szabványok, formátumok és előírások, valamint az említett szabványok, formátumok és előírások verziói.

(3) Az e cikk (1) bekezdésében említett adatlap EHR-rendszerhez történő csatolásának alternatívájaként a gyártók az e cikk (2) bekezdésében említett információkat bevihetik a 49. cikkben említett, az EHR-rendszerek és jólléti alkalmazások nyilvántartására szolgáló uniós adatbázisba.

39. cikk

EU-megfelelőségi nyilatkozat

(1) A 30. cikk (1) bekezdésének e) pontjában említett EU-megfelelőségi nyilatkozat rögzíti, hogy az EHR-rendszer gyártója igazolta, hogy a II. mellékletben meghatározott alapvető követelmények teljesültek.

(2) Amennyiben valamely EHR-rendszer az e rendelet hatályán kívül eső vonatkozások tekintetében olyan más uniós jogi aktusok hatálya alá tartozik, amelyek szintén EU-megfelelőségi nyilatkozatot írnak elő a gyártó számára, amelyben rögzítve van, hogy az említett jogi aktusok követelményeinek teljesítése igazolásra került, az EHR-rendszerre alkalmazandó valamennyi uniós jogi aktus vonatkozásában egyetlen EU-megfelelőségi nyilatkozatot kell elkészíteni. Az említett EU-megfelelőségi nyilatkozat tartalmazza az azon uniós jogi aktusok azonosításához szükséges valamennyi információt, amelyekhez az kapcsolódik.

(3) Az EU-megfelelőségi nyilatkozat tartalmazza a IV. mellékletben szereplő információkat; a nyilatkozatot le kell fordítani az Unió azon hivatalos nyelvére vagy nyelveire, amelye(ke)t az EHR-rendszer forgalmazásának helye szerinti tagállamok megneveznek.

(4) Amennyiben az EU-megfelelőségi nyilatkozatot digitális formátumban készítik el, azt online hozzáférhetővé kell tenni az EHR-rendszer várható élettartama alatt, de minden esetben az EHR-rendszer forgalomba hozatalától vagy üzembe helyezésétől számított legalább 10 évig.

(5) Az EU-megfelelőségi nyilatkozat elkészítésével a gyártó felelősséget vállal azért, hogy az EHR-rendszer harmonizált szoftverösszetevői a forgalomba hozatalakor vagy üzembe helyezésekor megfelel az e rendeletben meghatározott követelményeknek.

(6) A Bizottság közzéteszi az egységes standard EU-megfelelőségi nyilatkozat mintáját, és azt az Unió valamennyi hivatalos nyelvén digitális formátumban elérhetővé teszi.

40. cikk

Európai digitális tesztelési környezet

(1) A Bizottság európai digitális tesztelési környezetet alakít ki az EHR-rendszerek harmonizált szoftverösszetevőinek értékelésére. A Bizottság nyílt forráskóddal elérhetővé teszi az európai digitális tesztelési környezetet támogató szoftvert.

(2) A tagállamok digitális tesztelési környezeteket működtetnek az EHR-rendszerek harmonizált szoftverösszetevőinek értékelése céljából. Az ilyen digitális tesztelési környezeteknek meg kell felelniük az európai digitális tesztelési környezetekre vonatkozó, a (4) bekezdés alapján meghatározott egységes előírásoknak. A tagállamok tájékoztatják a Bizottságot a digitális tesztelési környezeteikről.

(3) Az EHR-rendszerek forgalomba hozatala előtt a gyártóknak az e cikk (1) és (2) bekezdésében említett digitális tesztelési környezeteket kell használniuk az EHR-rendszerek harmonizált szoftverösszetevőinek értékeléséhez. Az említett értékelés eredményeit bele kell foglalni a 37. cikkben említett műszaki dokumentációba. Azon elemekről, amelyekkel kapcsolatban az értékelés eredményei pozitívak, vélelmezni kell, hogy megfelelnek e rendeletnek.

(4) A Bizottság végrehajtási jogi aktusok révén meghatározza az európai digitális tesztelési környezetre vonatkozó egységes előírásokat. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

41. cikk

CE-megfelelőségi jelölés

(1) A CE-megfelelőségi jelölést jól láthatóan, olvashatóan és eltávolíthatatlan módon kell elhelyezni az EHR-rendszer kísérő dokumentumain és adott esetben az EHR-rendszer csomagolásán.

(2) A CE-megfelelőségi jelölést az EHR-rendszer forgalomba hozatala előtt kell elhelyezni.

(3) A CE-megfelelőségi jelölésre a 765/2008/EK rendelet 30. cikkében meghatározott általános elvek vonatkoznak.

42. cikk

Nemzeti követelmények és jelentéstétel a Bizottságnak

(1) A tagállamok elfogadhatnak az EHR-rendszerekre vonatkozó nemzeti követelményeket és a megfelelőségi értékelésükre vonatkozó rendelkezéseket az EHR-rendszerek harmonizált szoftverösszetevőitől eltérő vonatkozásokkal kapcsolatban.

(2) Az (1) bekezdésben említett nemzeti követelmények vagy rendelkezések nem befolyásolhatják hátrányosan az EHR-rendszerek harmonizált szoftverösszetevőit.

(3) Amikor a tagállamok az (1) bekezdéssel összhangban követelményeket vagy rendelkezéseket fogadnak el, erről tájékoztatják a Bizottságot.

4. SZAKASZ

Az EHR-rendszerek piacfelügyelete

43. cikk

Piacfelügyeleti hatóságok

(1) Az (EU) 2019/1020 rendeletet alkalmazni kell az EHR-rendszerekre az e fejezet hatálya alá tartozó EHR-rendszerekre alkalmazandó követelményekkel és az általuk képviselt kockázatokkal kapcsolatban.

(2) A tagállamok kijelölik az e fejezet végrehajtásáért felelős piacfelügyeleti hatóságot vagy hatóságokat. A tagállamok biztosítják a piacfelügyeleti hatóságok számára szükséges hatásköröket, valamint rendelkezésükre bocsátják az e rendelet szerinti feladataik megfelelő ellátásához szükséges humán-, pénzügyi és technikai erőforrásokat, a felszereléseket és az ismereteket. A piacfelügyeleti hatóságokat fel kell hatalmazni arra, hogy az e fejezetben meghatározott kötelezettségek végrehajtása érdekében meghozzák az (EU) 2019/1020 rendelet 16. cikkében említett piacfelügyeleti intézkedéseket. A tagállamok közlik a Bizottsággal az általuk kijelölt piacfelügyeleti hatóságok kilétét. A Bizottság és a tagállamok ezt az információt a nyilvánosság számára elérhetővé teszik.

(3) Az e cikk (2) bekezdése alapján kijelölt piacfelügyeleti hatóságok lehetnek ugyanazok a hatóságok, mint a 19. cikk alapján kijelölt digitális egészségügyi hatóságok. Amennyiben a digitális egészségügyi hatóság piacfelügyeleti hatósági feladatokat lát el, a tagállamok biztosítják az összeférhetetlenség elkerülését.

(4) A piacfelügyeleti hatóságok évente jelentést tesznek a Bizottságnak a releváns piacfelügyeleti tevékenységek eredményeiről.

(5) Amennyiben a gyártó vagy egy másik gazdasági szereplő nem működik együtt valamely piacfelügyeleti hatósággal, vagy amennyiben az általuk benyújtott információ és dokumentáció hiányos vagy helytelen, a piacfelügyeleti hatóság minden megfelelő intézkedést megtehet a releváns EHR-rendszer forgalmazásának megtiltására vagy korlátozására, vagy az ilyen EHR-rendszer piacról történő visszahívására vagy forgalomból történő kivonására mindaddig, amíg az érintett gyártó vagy gazdasági szereplő együtt nem működik, vagy teljeskörű és helyes információt nem szolgáltat.

(6) A tagállamok piacfelügyeleti hatóságai együttműködnek egymással és a Bizottsággal. A Bizottság lehetővé teszi az ilyen együttműködéshez szükséges információcsere megszervezését.

(7) A 27. cikk (1) és (2) bekezdésében említett orvostechnikai eszközök, in vitro diagnosztikai orvostechnikai eszközök és nagy kockázatú MI-rendszerek esetében a piacfelügyeletért felelős hatóságok - az esettől függően - az (EU) 2017/745 rendelet 93. cikkében, az (EU) 2017/746 rendelet 88. cikkében vagy az (EU) 2024/1689 rendelet 70. cikkében említett hatóságok.

44. cikk

Az EHR-rendszerek által jelentett kockázatok és a súlyos események kezelése

(1) Ha valamelyik tagállam piacfelügyeleti hatóságának indoka van azt feltételezni, hogy egy EHR-rendszer a természetes személyek egészségére, biztonságára vagy jogaira, vagy a személyes adatok védelmére nézve kockázatot jelent, akkor az említett piacfelügyeleti hatóság az érintett egészségügyi nyilvántartó rendszer vonatkozásában értékelést végez, amely kiterjed az ebben a fejezetben meghatározott valamennyi releváns követelményre. A gyártó, a gyártó meghatalmazott képviselője és minden más releváns gazdasági szereplő szükség szerint együttműködik e célból a piacfelügyeleti hatósággal, és megtesz minden megfelelő intézkedést annak biztosítására, hogy az érintett EHR-rendszer a forgalomba hozatalkor többé ne jelentse az említett kockázatot, vagy az EHR-rendszer észszerű időn belül történő visszahívására vagy forgalomból történő kivonására.

(2) Amennyiben valamely tagállam piacfelügyeleti hatóságai úgy ítélik meg, hogy az EHR-rendszer meg nem felelése nem korlátozódik a nemzeti területükre, tájékoztatják a Bizottságot és a többi tagállam piacfelügyeleti hatóságait az e cikk (1) bekezdésében említett értékelés eredményeiről és azon korrekciós intézkedésről, amely meghozatalát az (EU) 2019/1020 rendelet 16. cikkének (2) bekezdése alapján a gazdasági szereplőtől megkövetelték.

(3) Amennyiben a piacfelügyeleti hatóság megállapítja, hogy egy EHR-rendszer károsodást okozott a természetes személyek egészségében vagy biztonságában, vagy a közérdek védelmének bizonyos vonatkozásai tekintetében, az adatvédelmi szabályok sérelme nélkül a gyártó haladéktalanul információt és dokumentációt bocsát - az esettől függően - az érintett természetes személy vagy felhasználó, valamint - adott esetben - az említett károsodás által érintett egyéb harmadik felek rendelkezésére.

(4) Az (1) bekezdésben említett érintett gazdasági szereplő biztosítja, hogy az általa Unió-szerte forgalomba hozott valamennyi érintett EHR-rendszer tekintetében korrekciós intézkedésekre kerüljön sor.

(5) A piacfelügyeleti hatóság indokolatlan késedelem nélkül tájékoztatja a Bizottságot és más tagállamok piacfelügyeleti hatóságait vagy adott esetben az (EU) 2016/679 rendelet szerinti felügyeleti hatóságait a (2) bekezdésben említett korrekciós intézkedésről. Az említett tájékoztatás tartalmaz minden rendelkezésre álló adatot, különösen az érintett EHR-rendszer azonosításához szükséges adatokat, az EHR-rendszer származását és ellátási láncát, a felmerülő kockázat jellegét, valamint a meghozott nemzeti intézkedések jellegét és időtartamát.

(6) Amennyiben egy piacfelügyeleti hatóság valamely megállapítása vagy egy tudomására jutott súlyos esemény személyes adatok védelmére vonatkozik, az említett piacfelügyeleti hatóság indokolatlan késedelem nélkül tájékoztatja az (EU) 2016/679 rendelet szerinti illetékes felügyeleti hatóságokat, és együttműködik azokkal.

(7) A forgalomba hozott vagy üzembe helyezett EHR-rendszerek gyártói bejelentik az EHR-rendszert érintő bármely súlyos eseményt azon tagállamok piacfelügyeleti hatóságainak, ahol ilyen súlyos esemény történt, és azon tagállamok piacfelügyeleti hatóságainak, ahol ilyen EHR-rendszert hoztak forgalomba vagy helyeztek üzembe. Az említett jelentéstétel magában foglalja a gyártó által hozott vagy tervezett korrekciós intézkedés leírását is. A tagállamok rendelkezhetnek úgy is, hogy a forgalomba hozott vagy üzembe helyezett EHR-rendszerek felhasználói számára lehetővé teszik az ilyen események bejelentését.

Az e bekezdés első albekezdésében előírt jelentéstételt el kell végezni - az (EU) 2022/2555 irányelv szerinti eseménybejelentési követelmények sérelme nélkül - azt követően azonnal, hogy a gyártó megállapította az EHR-rendszer és a súlyos esemény közötti ok-okozati összefüggést vagy az ilyen összefüggés észszerű valószínűségét, és minden esetben legkésőbb három nappal azt követően, hogy a gyártó tudomást szerez az EHR-rendszert érintő súlyos eseményről.

(8) A (7) bekezdésben említett piacfelügyeleti hatóságok haladéktalanul tájékoztatják a többi piacfelügyeleti hatóságot a súlyos eseményről és a gyártó által meghozott vagy tervezett, vagy a gyártótól a súlyos esemény megismétlődése kockázatának minimalizálása érdekében elvárt korrekciós intézkedésről.

(9) Amennyiben a piacfelügyeleti hatóság feladatait nem a digitális egészségügyi hatóság látja el, a piacfelügyeleti hatóság együttműködik a digitális egészségügyi hatósággal. A piacfelügyeleti hatóság tájékoztatja a digitális egészségügyi hatóságot minden súlyos eseményről, a kockázatot - beleértve az interoperabilitással, a biztonsággal és a betegbiztonsággal kapcsolatos kockázatokat is - jelentő EHR-rendszerekről, bármely korrekciós intézkedésről, és az ilyen EHR-rendszerek esetleges visszahívásáról vagy forgalomból kivonásáról.

(10) A betegbiztonságot vagy az információbiztonságot veszélyeztető események esetén a piacfelügyeleti hatóságok azonnali intézkedést hozhatnak, és megkövetelhetik az érintett EHR-rendszer gyártójától, annak meghatalmazott képviselőjétől és - adott esetben - egyéb gazdasági szereplőktől, hogy hozzanak azonnali korrekciós intézkedést.

45. cikk

A meg nem felelés kezelése

(1) Amennyiben valamely piacfelügyeleti hatóság meg nem felelést állapít meg, előírja az érintett EHR-rendszer gyártójának, annak meghatalmazott képviselőjének és valamennyi más releváns gazdasági szereplőnek, hogy konkrét határidőn belül tegyen megfelelő korrekciós intézkedést az EHR-rendszer megfelelőségének biztosítására. A meg nem felelésre vonatkozó ilyen megállapítások közé tartoznak - de nem kizárólag - a következők:

a) az EHR-rendszer nem felel meg a II. mellékletben meghatározott alapvető követelményeknek vagy a 36. cikkben említett egységes előírásoknak;

b) a műszaki dokumentáció nem áll rendelkezésre, vagy hiányos, vagy nincs összhangban a 37. cikkel;

c) az EU-megfelelőségi nyilatkozatot nem készítették el, vagy helytelenül, nem a 39. cikkel összhangban készítették el;

d) a CE-megfelelőségi jelölést a 41. cikket megsértő módon vagy egyáltalán nem helyezték el;

e) a 49. cikk szerinti nyilvántartásba vételi kötelezettségeket nem teljesítették.

(2) Amennyiben az érintett EHR-rendszer gyártója, annak meghatalmazott képviselője vagy bármely más releváns gazdasági szereplő nem teszi meg a kellő korrekciós intézkedéseket észszerű határidőn belül, a piacfelügyeleti hatóságok meghozzák valamennyi megfelelő ideiglenes intézkedést, hogy megtiltsák vagy korlátozzák az EHR-rendszernek a tagállamuk piacán történő forgalmazását, vagy visszahívják vagy kivonják a forgalomból az EHR-rendszert.

A piacfelügyeleti hatóságoknak ezekről az ideiglenes intézkedésekről haladéktalanul tájékoztatniuk kell a Bizottságot és a többi tagállam piacfelügyeleti hatóságát. E tájékoztatásban meg kell adni valamennyi rendelkezésre álló adatot, különösen a nem megfelelő EHR-rendszer azonosításához szükséges adatokat, az EHR-rendszer származási helyét, a feltételezett meg nem felelés és a felmerülő kockázat jellegét, a piacfelügyeleti hatóságok által meghozott intézkedések jellegét és időtartamát, valamint az érintett gazdasági szereplő által felhozott érveket. Így különösen, a piacfelügyeleti hatóságok jelzik, hogy a meg nem felelés a következők egyike miatt következett-e be:

a) az EHR-rendszer nem teljesíti a II. mellékletben meghatározott alapvető követelményeket;

b) a 36. cikkben említett egységes előírásokra vonatkozó hiányosságok.

(3) Az eljárást e cikk értelmében kezdeményező piacfelügyeleti hatóságoktól eltérő piacfelügyeleti hatóságok haladéktalanul tájékoztatják a Bizottságot és a többi tagállam piacfelügyeleti hatóságait az elfogadott intézkedésekről, az érintett EHR-rendszer meg nem felelésével kapcsolatban rendelkezésükre álló bármely további információkról, és -az elfogadott nemzeti intézkedéssel való egyet nem értés esetén - a kifogásaikról;

(4) Amennyiben a (2) bekezdés második albekezdésében említett tájékoztatás kézhezvételétől számított három hónapon belül sem egy másik tagállam piacfelügyeleti hatósága, sem a Bizottság nem emel kifogást a valamely piacfelügyeleti hatóság által hozott átmeneti intézkedéssel szemben, az említett intézkedést megalapozottnak kell tekinteni.

(5) Amennyiben az (1) bekezdésben említett meg nem felelés tartósan fennáll, az érintett piacfelügyeleti hatóság minden megfelelő intézkedést megtesz, hogy megtiltsa vagy korlátozza az EHR-rendszer forgalmazását, vagy biztosítsa annak visszahívását vagy a forgalomból történő kivonását.

46. cikk

Uniós védintézkedési eljárás

(1) Amennyiben a 44. cikk (2) bekezdése és a 45. cikk (3) bekezdése szerint kifogást emelnek valamely piacfelügyeleti hatóság valamely nemzeti intézkedésével szemben, vagy ha a Bizottság úgy ítéli meg, hogy a nemzeti intézkedés ellentétes az uniós joggal, a Bizottság haladéktalanul konzultációt kezd az említett piacfelügyeleti hatósággal és az érintett gazdasági szereplőkkel, és értékeli az érintett nemzeti intézkedést. Az említett értékelés eredményei alapján a Bizottság végrehajtási határozatot fogad el arról, hogy a nemzeti intézkedés indokolt-e. Ezt a végrehajtási határozatot a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni. A Bizottság végrehajtási határozatának címzettje valamennyi tagállam, és azt haladéktalanul közli a tagállamokkal és a releváns gazdasági szereplőkkel.

(2) Ha az (1) bekezdésben említett nemzeti intézkedést a Bizottság indokoltnak ítéli, valamennyi érintett tagállam meghozza a szükséges intézkedéseket annak biztosítására, hogy a nem megfelelő EHR-rendszert kivonják a piacáról, és erről megfelelően tájékoztatja a Bizottságot.

Ha az (1) bekezdésben említett nemzeti intézkedést a Bizottság indokolatlannak ítéli, az érintett tagállam visszavonja az említett intézkedést.

5. SZAKASZ

Az interoperabilitásra vonatkozó egyéb rendelkezések

47. cikk

A jólléti alkalmazások címkézése

(1) Amennyiben egy jólléti alkalmazás gyártója az EHR-rendszerek harmonizált szoftver összetevőivel kapcsolatban valamely EHR-rendszerrel való interoperabilitást és ezért a 36. cikkben említett egységes előírásoknak és a II. mellékletben meghatározott alapvető követelményeknek való megfelelést állít, az ilyen jólléti alkalmazást olyan címkével kell ellátni, amely egyértelműen jelzi az említett előírásoknak és követelményeknek való megfelelését. Az említett címkét a jólléti alkalmazás gyártója állítja ki.

(2) Az (1) bekezdésben említett címkén a következő információkat kell feltüntetni:

a) az elektronikus egészségügyi adatok azon kategóriái, amelyek tekintetében megerősítést nyert a II. mellékletben meghatározott alapvető követelményeknek való megfelelés;

b) a megfelelés igazolásának céljából az egységes előírásokra való hivatkozás;

c) a címke érvényességi ideje.

(3) A Bizottság végrehajtási jogi aktusok útján meghatározza az első bekezdésben említett címke formátumát és tartalmát. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(4) A címkét az Unió egy vagy több hivatalos nyelvén vagy azon tagállam által meghatározott könnyen érthető nyelven kell kiállítani, ahol a jólléti alkalmazást forgalomba hozzák vagy üzembe helyezik.

(5) A címke érvényességi ideje nem haladhatja meg a három évet.

(6) Ha a jólléti alkalmazás valamely eszköz szerves részét képezi vagy annak üzembe helyezését követően valamely eszközbe lett beágyazva, a kísérő címkét maga az alkalmazás tartalmazza, vagy az eszközön kell elhelyezni. Amennyiben a jólléti alkalmazás csak szoftverből áll, a címkének digitális formátumban kell lennie, és azt meg kell mutatni magában az alkalmazásban. A címke megjelenítésére kétdimenziós (2D) vonalkód is használható.

(7) A piacfelügyeleti hatóságok ellenőrzik, hogy a jólléti alkalmazások megfelelnek-e a II. mellékletben meghatározott alapvető követelményeknek.

(8) A címkével ellátott jólléti alkalmazás valamennyi szállítója biztosítja, hogy a forgalomba hozott vagy üzembe helyezett jólléti alkalmazás esetében minden egyes egységhez díjmentesen mellékeljék a címkét.

(9) A címkével ellátott jólléti alkalmazás valamennyi forgalmazója az értékesítés helyén elektronikus formátumban a vevők rendelkezésére bocsátja a címkét.

48. cikk

A jólléti alkalmazások és az EHR-rendszerek interoperabilitása

(1) A jólléti alkalmazások gyártói a vonatkozó feltételek teljesülése után igényelhetik az EHR-rendszerrel való interoperabilitást. Ebben az esetben az ilyen jólléti alkalmazások felhasználóit megfelelően tájékoztatni kell az ilyen interoperabilitásról és annak hatásairól.

(2) A jólléti alkalmazások EHR-rendszerekkel való interoperabilitása nem jelenti a jólléti alkalmazásból származó egészségügyi adatok egészének vagy egy részének az EHR-rendszerekkel való automatikus megosztását vagy továbbítását. Az ilyen adatok megosztása vagy továbbítása csak akkor lehetséges, ha összhangban van az 5. cikkel, és miután az érintett természetes személy megadja a beleegyezését, és az interoperabilitás kizárólag az említett célokra korlátozódik. Az EHR-rendszerekkel való interoperabilitást állító jóllétialkalmazás-gyártóknak biztosítaniuk kell, hogy az érintett természetes személy kiválaszthassa, a jólléti alkalmazásból származó egészségügyi adatok mely kategóriáit illesszék be az EHR-rendszerbe, valamint az említett adatkategóriák megosztásának vagy továbbításának körülményeit.

6. SZAKASZ

Az EHR-rendszerek és a jólléti alkalmazások nyilvántartásba vétele

49. cikk

Az EHR-rendszerek és a jólléti alkalmazások nyilvántartására szolgáló uniós adatbázis

(1) A Bizottság nyilvánosan hozzáférhető uniós adatbázist hoz létre és tart fenn, amely információkat tartalmaz azokról az EHR-rendszerekről, amelyekre a 39. cikk alapján EU-megfelelőségi nyilatkozatot adtak ki, valamint azon jólléti alkalmazásokról, amelyekre a 47. cikk alapján címkét adtak ki (a továbbiakban: az EHR-rendszerek és a jólléti alkalmazások nyilvántartására szolgáló uniós adatbázis).

(2) A 26. cikkben említett EHR-rendszer vagy a 47. cikkben említett jólléti alkalmazás forgalomba hozatala vagy üzembe helyezése előtt az ilyen EHR-rendszer vagy jólléti alkalmazás gyártója vagy adott esetben meghatalmazott képviselője beviszi az e cikk negyedik bekezdésében említettek szerinti előírt adatokat az EHR-rendszerek és a jólléti alkalmazások nyilvántartására szolgáló uniós adatbázisba, beleértve - az EHR-rendszerek esetében - a 40. cikkben említett értékelés eredményeit is.

(3) Az e rendelet 27. cikkének (1) és (2) bekezdésében említett orvostechnikai eszközöket, in vitro diagnosztikai orvostechnikai eszközöket vagy nagy kockázatú MI-rendszereket is nyilvántartásba kell venni - az esettől függően - az (EU) 2017/745, az (EU) 2017/746 vagy az (EU) 2024/1689 rendelet alapján létrehozott adatbázisba. Ilyen esetekben az adatokat az EHR-rendszerek és a jólléti alkalmazások nyilvántartására szolgáló uniós adatbázisba is továbbítani kell.

(4) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el e rendelet kiegészítése érdekében azáltal, hogy megállapítja azon előírt adatok jegyzékét, amelyeket az EHR-rendszerek és a jólléti alkalmazások gyártóinak e cikk (2) bekezdése alapján be kell vinniük az EHR-rendszerek és a jólléti alkalmazások nyilvántartására szolgáló uniós adatbázisba.

IV. FEJEZET

MÁSODLAGOS FELHASZNÁLÁS

1. SZAKASZ

A másodlagos felhasználására vonatkozó általános feltételek

50. cikk

Az egészségügyiadat-birtokosokra való alkalmazhatóság

(1) Az egészségügyiadat-birtokosok következő kategóriái mentesülnek az egészségügyiadat-birtokosok e fejezetben meghatározott kötelezettségei alól:

a) természetes személyek, beleértve az egyéni kutatókat is;

b) a 2003/361/EK bizottsági ajánlás melléklete 2. cikkének (3) bekezdésében meghatározott mikrovállalkozásnak minősülő jogi személyek.

(2) A tagállamok nemzeti jogszabályban rendelkezhetnek úgy, hogy az egészségügyiadat-birtokosok e fejezetben megállapított kötelezettségei alkalmazandók az (1) bekezdésben említett azon egészségügyi adatbirtokosokra, amelyek a joghatóságuk alá tartoznak.

(3) A tagállamok nemzeti jogszabályban rendelkezhetnek úgy, hogy az egészségügyiadat-birtokosok bizonyos kategóriáinak feladatait egészségügyiadat-közvetítő szervezetek lássák el. Ebben az esetben az adatokat mégis úgy kell tekinteni, hogy több egészségügyiadat-birtokos bocsátja azokat rendelkezésre.

(4) A tagállamok 2029. március 26-ig értesítik a Bizottságot a (2) és a (3) bekezdésben említett nemzeti jogszabályról. Az ilyen jogszabályra hatással lévő minden későbbi jogszabályról vagy módosításról haladéktalanul értesíteni kell a Bizottságot.

51. cikk

A másodlagos felhasználásra szánt elektronikus egészségügyi adatok minimumkategóriái

(1) Az egészségügyiadat-birtokosok - e fejezettel összhangban - másodlagos felhasználás céljából az elektronikus egyészségügyi adatok következő kategóriáit bocsátják rendelkezésre:

a) az EHR-kből származó elektronikus egészségügyi adatok;

b) az egészséget befolyásoló tényezőkre vonatkozó adatok, beleértve az egészséget meghatározó társadalmi-gazdasági, környezeti és viselkedésbeli tényezőket;

c) összesített adatok az egészségügyi szükségletekről, az egészségügyi ellátásra elkülönített forrásokról, az egészségügyi ellátás biztosításáról és az ahhoz való hozzáférésről, az egészségügyi kiadásokról és finanszírozásról;

d) az emberi egészségre hatást gyakorló kórokozókra vonatkozó adatok;

e) az egészségügyi ellátással kapcsolatos adminisztratív adatok, beleértve a gyógyszerkiadásokra, biztosítási igényekre, megtérítési igényekre és megtérítésekre vonatkozó adatokat is;

f) emberi genetikai, epigenomikai és genomikai adatok;

g) egyéb emberi molekuláris adatok, mint például proteomikus, transzkriptomikai, metabolomikus, lipidomikai és egyéb omikus/omikai adatok;

h) orvostechnikai eszközök segítségével automatikusan generált személyes elektronikus egészségügyi adatok;

i) jólléti alkalmazásokból származó adatok;

j) a természetes személyek kezelésében részt vevő egészségügyi szakemberek szakmai státuszára, valamint szakterületére és intézményére vonatkozó adatok;

k) lakosságalapú egészségügyiadat-nyilvántartásokból, így például népegészségügyi nyilvántartásokból származó adatok;

l) orvosi nyilvántartásokból és halálozási nyilvántartásokból származó adatok;

m) az 536/2014/EU rendelet, az (EU) 2024/1938 (35) európai parlamenti és tanácsi rendelet, az (EU) 2017/745 és az (EU) 2017/746 rendelet hatálya alá tartozó klinikai vizsgálatokból és klinikai kutatásokból származó adatok;

n) az orvostechnikai eszközökből származó egyéb egészségügyi adatok;

o) gyógyszerek és orvostechnikai eszközök nyilvántartásaiból származó adatok;

p) az egészséggel kapcsolatos kutatási kohorszokból, kérdőívekből és felmérésekből származó adatok, a vonatkozó eredmények első közzétételét követően;

q) biobankokból és a kapcsolódó adatbázisokból származó adatok.

(2) A tagállamok a nemzeti jogukban rendelkezhetnek úgy, hogy az elektronikus egészségügyi adatok további kategóriái is hozzáférhetők legyenek másodlagos felhasználás céljából e rendelet alapján.

(3) A tagállamok szabályokat állapíthatnak meg az elektronikus egészségügyi adatok kezelésére és felhasználására vonatkozóan, amelyek a 68. cikk szerinti adatengedélyen alapuló, az említett adatok kezelésével kapcsolatos fejlesztéseket tartalmaznak, így például korrekciót, magyarázatot és gazdagítást.

(4) A tagállamok nemzeti szinten szigorúbb intézkedéseket és további biztosítékokat vezethetnek be az (1) bekezdés f), g), i) és q) pontjainak hatálya alá tartozó adatok érzékenységének és értékének védelme érdekében. A tagállamok értesítik a Bizottságot az említett intézkedésekről és biztosítékokról, és késedelem nélkül az azokat érintő minden későbbi módosításról.

52. cikk

A szellemitulajdon-jogok és az üzleti titkok

(1) A szellemitulajdon-jogok, üzleti titkok által védett, vagy a 2001/83/EK európai parlamenti és tanácsi irányelv (36) 10. cikkének (1) bekezdésében vagy a 726/2004/EK európai parlamenti és tanácsi rendelet (37) 14. cikkének (11) bekezdésében megállapított szabályozási adatvédelmi jog hatálya alá tartozó elektronikus egészségügyi adatokat - az e rendeletben meghatározott szabályokkal összhangban - másodlagos felhasználás céljából hozzáférhetővé kell tenni.

(2) Az egészségügyiadat-birtokosok tájékoztatják az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet minden olyan elektronikus egészségügyi adatról, amely szellemitulajdon-jogok, üzleti titkok által védett tartalmat vagy információkat tartalmaz, vagy amely a 2001/83/EK irányelv 10. cikkének (1) bekezdésében vagy a 726/2004/EK rendelet 14. cikkének (11) bekezdésében megállapított szabályozási adatvédelmi jog hatálya alá tartozik. Az egészségügyiadat-birtokosoknak azonosítaniuk kell, hogy az adatkészletek mely részei érintettek, és meg kell indokolniuk az adatok különleges védelmének szükségességét. Az egészségügyiadat-birtokosoknak az említett információkat akkor kell rendelkezésre bocsátaniuk, amikor az e rendelet 60. cikkének (3) bekezdése alapján közlik az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervvel az általuk birtokolt adatkészletek leírását, vagy legkésőbb az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervtől kapott kérést követően.

(3) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek meghoznak minden olyan konkrét megfelelő és arányos intézkedést - beleértve a jogi, szervezeti és technikai jellegű intézkedéseket is -, amelyet szükségesnek ítélnek a szellemitulajdon-jogok, az üzleti titkok vagy a 2001/83/EK irányelv 10. cikkének (1) bekezdésében vagy a 726/2004/EK rendelet 14. cikkének (11) bekezdésében megállapított szabályozási adatvédelmi jog védelme érdekében. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek felelősek maradnak annak meghatározásáért, hogy az ilyen intézkedések szükségesek és megfelelőek-e.

(4) A 68. cikkel összhangban lévő adatengedélyek kiállításakor az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek jogi, szervezeti és technikai intézkedésekhez köthetik bizonyos elektronikus egészségügyi adatokhoz való hozzáférést amelyek magukban foglalhatnak az egészségügyiadat-birtokosok és az egészségügyiadat-felhasználók közötti szerződéses megállapodásokat a szellemitulajdon-jogok vagy üzleti titkok által védett információkat vagy tartalmakat tartalmazó adatok megosztásáért. A Bizottság az ilyen megállapodásokra vonatkozóan nem kötelező érvényű szerződésifeltétel-mintákat dolgoz ki és ajánl.

(5) Amennyiben a másodlagos felhasználásra szánt elektronikus egészségügyi adatokhoz való hozzáférés biztosítása olyan súlyos kockázattal jár, amely sértené a szellemitulajdon-jogokat, üzleti titkokat vagy a 2001/83/EK irányelv 10. cikkének (1) bekezdésében vagy a 726/2004/EK rendelet 14. cikkének (11) bekezdésében megállapított szabályozási adatvédelmi jogot, és amelyet nem lehet kielégítő módon kezelni, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv megtagadja az egészségügyiadat-kérelmezőtől az ilyen adatokhoz való hozzáférést. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv tájékoztatja az egészségügyiadat-kérelmezőt, és indokolást nyújt az egészségügyiadat-kérelmezőnek az említett elutasításra vonatkozóan. Az egészségügyiadat-birtokosoknak és az egészségügyiadat-kérelmezőknek jogában áll, hogy e rendelet 81. cikkével összhangban panaszt nyújtsanak be.

53. cikk

Az elektronikus egészségügyi adatok másodlagos felhasználás céljából történő kezelésének céljai

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek csak akkor biztosítanak másodlagos felhasználás céljából hozzáférést az 51. cikkben említett elektronikus egészségügyi adatokhoz az egészségügyiadat-felhasználó számára, ha az említett egészségügyiadat-felhasználója általi adatkezelés a következő célok valamelyikéhez szükséges:

a) közérdek a népegészségügy vagy a munkahelyi egészségvédelem területén, mint például a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem, a népegészségügyi felügyelet, vagy az egészségügyi ellátás - többek között a betegbiztonság -, a gyógyszerek és az orvostechnikai eszközök magas szintű minőségének és biztonságának biztosítására irányuló tevékenységek;

b) szakpolitikai döntéshozatal és szabályozási tevékenységek az egészségügyi vagy a gondozási ágazatban működő közszférabeli szervezetek vagy uniós intézmények, szervek, hivatalok és ügynökségek - beleértve a szabályozó hatóságokat is - támogatása érdekében a megbízatásukban meghatározott feladataik ellátása terén;

c) a 223/2009/EK rendelet 3. cikkének 1. pontjában meghatározott statisztikák - mint például nemzeti, multinacionális és uniós szintű hivatalos statisztikák - összeállítása az egészségügyi vagy gondozási ágazattal kapcsolatban;

d) oktatási vagy képzési tevékenységek az egészségügyben vagy a gondozási ágazatban a szakképzés vagy a felsőoktatás szintjén;

e) az egészségügyi vagy gondozási ágazathoz kapcsolódó tudományos kutatás, amely hozzájárul a népegészségügy vagy az egészségügyi technológia értékeléseihez, vagy biztosítja az egészségügyi ellátás, a gyógyszerek vagy az orvostechnikai eszközök magas minőségi színvonalát és biztonságát, azzal a céllal, hogy a végfelhasználók, így például a betegek, az egészségügyi szakemberek és az egészségügyi adminisztrátorok javát szolgálja, ideértve a következőket:

i. termékekre vagy szolgáltatásokra vonatkozó fejlesztési és innovációs tevékenységek;

ii. algoritmusok betanítása, tesztelése és értékelése, többek között orvostechnikai eszközökben, in vitro diagnosztikai orvostechnikai eszközökben, MI-rendszerekben és digitális egészségügyi alkalmazásokban;

f) az ellátás nyújtásának, a kezelés optimalizálásának és az egészségügyi ellátás biztosításának javítása, más természetes személyek elektronikus egészségügyi adatai alapján.

(2) Az (1) bekezdés a), b) és c) pontjában említett célokból az elektronikus egészségügyi adatokhoz való hozzáférést az uniós vagy nemzeti jog által rájuk ruházott feladatokat ellátó közszférabeli szervezetek, valamint uniós intézmények, szervek, hivatalok és ügynökségek számára kell fenntartani, ideértve, amikor az adatkezelést az említett feladatok elvégzése céljából harmadik fél végzi az említett közszférabeli szervezetek vagy uniós intézmények, hivatalok, szervek és ügynökségek nevében.

54. cikk

Tiltott másodlagos felhasználás

Az egészségügyiadat-felhasználók csak a 68. cikk alapján kiállított adatengedélyben, a 69. cikk alapján jóváhagyott egészségügyiadat-igénylésekben vagy - a 67. cikk (3) bekezdésében említett helyzetekben - a 75. cikkben említett EgészségügyiAdatok@EU (HealthData@EU) releváns felhatalmazott résztvevőjétől származó adathozzáférési jóváhagyásban foglalt célok alapján és azokkal összhangban kezelhetnek elektronikus egészségügyi adatokat másodlagos felhasználás céljából.

Így különösen, tilos a 68. cikk alapján kiállított adatengedély vagy a 69. cikk alapján jóváhagyott egészségügyiadat-igénylés alapján megszerzett elektronikus egészségügyi adatokhoz való hozzáférésre és az ilyen adatok kezelésére törekedni a következő felhasználások céljából:

a) a természetes személy elektronikus egészségügyi adatai, vagy a természetes személyek egy csoportjának elektronikus egészségügyi adatai alapján a természetes személyre vagy a természetes személyek egy csoportjára hátrányos döntések meghozatala; ahhoz, hogy e pont alkalmazásában "döntésnek" minősüljenek, jogi, társadalmi vagy gazdasági hatással kell bírniuk, vagy hasonlóan jelentős mértékben hatással kell bírniuk az említett természetes személyekre;

b) természetes személlyel vagy természetes személyek egy csoportjával kapcsolatban az állásajánlatokkal, az áruk vagy szolgáltatások nyújtása során kedvezőtlenebb feltételek felajánlásával - beleértve az ilyen személyek vagy csoportok biztosítási vagy hitelszerződésből való kizárását, járulékaik és biztosítási díjaik vagy hitelfeltételeik módosítását - kapcsolatos olyan döntések meghozatala, vagy bármely más, természetes személlyel vagy természetes személyek egy csoportjával kapcsolatos olyan döntés meghozatala, amely a megszerzett egészségügyi adatok alapján velük szemben történő megkülönböztetéshez vezet;

c) reklám- vagy marketingtevékenységek folytatása;

d) olyan termékek vagy szolgáltatások kifejlesztése, amelyek kárt okozhatnak az egyéneknek, a népegészségnek vagy a társadalom egészének - így például tiltott kábítószerek, alkoholtartalmú italok, dohány- és nikotintermékek, fegyverek -, illetve olyan termékek vagy szolgáltatások, amelyek oly módon kerülnek kialakításra vagy módosításra, hogy függőséget idéznek elő, a közrenddel ellentétesek, vagy veszélyt jelentenek az emberi egészségre;

e) a nemzeti jogban meghatározott etikai rendelkezésekbe ütköző tevékenységek folytatása;

2. SZAKASZ

A másodlagos felhasználásra vonatkozó irányítás és mechanizmusok

55. cikk

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek

(1) A tagállamok kijelölnek egy vagy több, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet, amely az 57., az 58. és az 59. cikkben meghatározott feladatok és kötelezettségek elvégzéséért felel. A tagállamok létrehozhatnak egy vagy több új közszférabeli szervezetet, vagy támaszkodhatnak az e cikkben meghatározott feltételeket teljesítő, már meglévő közszférabeli szervezetekre vagy azok belső szolgálataira. Az 57. cikkben meghatározott feladatok megoszthatók az egészségügyi adatokhoz való hozzáférés tekintetében illetékes különböző szervek között. Amennyiben egy tagállam több, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet jelöl ki, kijelöl közülük egy olyan egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet, amely koordinátorként jár el, és felelős a feladatoknak az egészségügyi adatokhoz való hozzáférés tekintetében illetékes többi szervvel való koordinálásáért, mind az említett tagállam területén, mind más tagállamokban.

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes minden szerv elősegíti e rendeletnek az Unió-szerte történő egységes alkalmazását. E célból az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek együttműködnek egymással, a Bizottsággal, és adatvédelmi aggályok esetén a releváns felügyeleti hatóságokkal.

(2) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek feladatai hatékony ellátásának és hatáskörei gyakorlásának támogatása érdekében a tagállamok biztosítják, hogy minden, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv megkapja a következő elemeket:

a) a szükséges emberi, pénzügyi és műszaki erőforrásokat;

b) a szükséges szakértelmet; és

c) a szükséges helyiségeket és infrastruktúrát.

Amennyiben a nemzeti jog értelmében etikai szervek általi értékelésre van szükség, e szerveknek az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv rendelkezésére kell bocsátaniuk szakértelmüket. Alternatívaként a tagállamok rendelkezhetnek olyan etikai szervekről is, amelyek az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv részét képezik.

(3) A tagállamok biztosítják az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek az ilyen szervek különböző feladatait ellátó részei közötti összeférhetetlenség elkerülését, például olyan szervezeti biztosítékok nyújtásával, mint például az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek különböző funkcióinak elkülönítése, beleértve a kérelmek értékelését, az adatkészletek fogadását és elkészítését - például az adatkészletek álnevesítését és anonimizálását -, valamint a biztonságos adatkezelési környezetben történő adatszolgáltatást.

(4) Feladataik ellátása során az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek aktívan együttműködnek a releváns érdekelt felek képviselőivel, különösen a betegek, az egészségügyiadat-birtokosok és az egészségügyiadat-felhasználók képviselőivel, és elkerülnek bármely összeférhetetlenséget.

(5) Feladataik ellátása és hatásköreik gyakorlása során az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek el kell kerülniük bármely összeférhetetlenséget. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek személyzete a közérdeket szem előtt tartva és független módon jár el.

(6) A tagállamok 2027. március 26-ig tájékoztatják a Bizottságot az (1) bekezdés alapján kijelölt, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek kilétéről. Tájékoztatják a Bizottságot az említett szervezetek kilétének minden későbbi módosításáról is. A Bizottság és a tagállamok a nyilvánosság számára elérhetővé teszik az említett információkat.

56. cikk

Uniós egészségügyiadat-hozzáférési szolgáltatás

(1) A Bizottság látja el az 57. és az 59. cikkben meghatározott feladatokat, amennyiben az egészségügyiadat-birtokosok uniós intézmények, szervek, hivatalok vagy ügynökségek.

(2) A Bizottság biztosítja, hogy az 57. és az 59. cikkben meghatározott feladatok hatékony elvégzéséhez és a kötelességeinek gyakorlásához szükséges emberi, technikai és pénzügyi erőforrások, helyiségek és infrastruktúra rendelkezésre álljon.

(3) Kifejezett kizárás hiányában az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervekre való, a feladatok elvégzésével és a kötelességek gyakorlásával kapcsolatos, e rendeletben foglalt hivatkozásokat úgy kell értelmezni, hogy azok a Bizottságra is alkalmazandóak, amennyiben az egészségügyiadat-birtokosok uniós intézmények, szervek, hivatalok vagy ügynökségek.

57. cikk

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek feladatai

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek a következő feladatokat látják el:

a) döntenek az e rendelet 67. cikke szerinti egészségügyiadat-hozzáférés iránti kérelmekről, engedélyezik és kiállítják az e rendelet 68. cikke szerinti adatengedélyeket a hatáskörükbe tartozó elektronikus egészségügyi adatokhoz másodlagos felhasználás céljából való hozzáférés céljából, valamint döntenek az e rendelet 69. cikke alapján benyújtott egészségügyiadat-igénylésekről e fejezettel és az (EU) 2022/868 rendelet II. fejezetével összhangban, többek között a következők tekintetében:

i. a 73. cikkel összhangban biztonságos adatkezelési környezetben adatengedély alapján hozzáférést biztosítanak egészségügyiadat-felhasználók számára elektronikus egészségügyi adatokhoz;

ii. nyomon követik és felügyelik, hogy az egészségügyiadat-felhasználók és az egészségügyiadat-birtokosok megfelelnek-e az e rendeletben meghatározott követelményeknek;

iii. bekérik az 51. cikkben említett elektronikus egészségügyi adatokat a releváns egészségügyiadat-birtokosoktól valamely kiállított adatengedély vagy jóváhagyott egészségügyiadat-igénylés alapján;

b) kezelik az 51. cikkben említett elektronikus egészségügyi adatokat, így például az ilyen adatok - amennyiben egészségügyiadat-birtokosoktól kérik be - fogadása, összesítése, előkészítése és összeállítása révén, valamint az említett adatok álnevesítése vagy anonimizálása;

c) megtesznek minden szükséges intézkedést a szellemitulajdon-jogok bizalmas jellegének megőrzése érdekében, a szabályozási adatvédelem céljából, valamint az üzleti titkok bizalmas jellegének az 52. cikkben előírt megőrzése érdekében, figyelembe véve mind az egészségügyiadat-birtokos, mind az egészségügyiadat-felhasználó releváns jogait;

d) együttműködnek az egészségügyiadat-birtokosokkal és felügyelik azokat az adatminőségi és -hasznossági címkére vonatkozó, a 78. cikkben foglalt rendelkezések következetes és pontos végrehajtásának biztosítása érdekében;

e) irányítási rendszert tartanak fenn az egészségügyiadat-hozzáférés iránti kérelmek, az egészségügyiadat-igénylések, az említett kérelmekre és igénylésekre vonatkozó határozatok, valamint a kiállított adatengedélyek és a kezelt egészségügyiadat-igénylések rögzítésére és feldolgozására, információkat nyújtva legalább az egészségügyiadat-kérelmező nevéről, a hozzáférés céljáról, az adatengedély kiállításának napjáról, az adatengedély időtartamáról, valamint az egészségügyiadat-hozzáférés iránti kérelem vagy az egészségügyiadat-igénylés leírásáról;

f) nyilvános információs rendszert tartanak fenn az 58. cikkben megállapított kötelezettségek teljesítése érdekében;

g) uniós és nemzeti szinten együttműködnek az elektronikus egészségügyi adatokhoz biztonságos adatkezelési környezetben való hozzáférésre vonatkozó közös szabványok, technikai követelmények és megfelelő intézkedések megállapítása érdekében;

h) uniós és nemzeti szinten együttműködnek és tanácsot adnak a Bizottságnak az elektronikus egészségügyi adatok másodlagos felhasználására és kezelésére vonatkozó technikákkal és legjobb gyakorlatokkal kapcsolatban;

i) a 75. cikkben említett EgészségügyiAdatok@EU-n (HealthData@EU) keresztül megkönnyítik a más tagállamokban tárolt, másodlagos felhasználásra szánt elektronikus egészségügyi adatokhoz való határokon átnyúló hozzáférést, és szorosan együttműködnek egymással és a Bizottsággal;

j) elektronikus úton közzéteszik a következőket:

i. nemzeti adatkészlet-katalógus, amely a 77., a 78. és a 80. cikkel összhangban tartalmazza az elektronikus egészségügyi adatok forrására és jellegére vonatkozó információkat, valamint az elektronikus egészségügyi adatok rendelkezésre bocsátásának feltételeit;

ii. bármely egészségügyiadat-hozzáférés iránti kérelem és egészségügyiadat-igénylés az első beérkezést követő indokolatlan késedelem nélkül;

iii. valamennyi kiállított adatengedély vagy jóváhagyott egészségügyiadat-igénylés, valamint elutasító határozatok, beleértve azok indokolását is, a kiállítástól, jóváhagyástól vagy elutasítástól számított 30 munkanapon belül;

iv. a 63. cikk szerinti meg nem feleléssel kapcsolatos intézkedések;

v. az egészségügyiadat-felhasználók által a 61. cikk (4) bekezdése alapján közölt eredmények;

vi. egy információs rendszer az 58. cikkben meghatározott kötelezettségeknek való megfelelés érdekében;

vii. tájékoztatás - legalább egy könnyen hozzáférhető honlapon vagy internetes portálon - valamely harmadik állam másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontjainak vagy valamely nemzetközi szervezet által nemzetközi szinten létrehozott rendszernek az EgészségügyiAdatok@EU-hoz (HealthData@EU) való csatlakozásáról, amint a harmadik ország vagy a nemzetközi szervezet az Egészségem@EU (MyHealth@EU) felhatalmazott résztvevőjévé válik;

k) teljesítik a természetes személyekkel szembeni, 58. cikk szerinti kötelezettségeiket;

l) teljesítenek az elektronikus egészségügyi adatok e rendelettel összefüggésben történő másodlagos felhasználásának lehetővé tételével kapcsolatos bármely egyéb feladatot.

Az e bekezdés j) pontjának i. alpontjában említett nemzeti adatkészlet-katalógust az (EU) 2022/868 rendelet 8. cikke szerinti egyablakos információs pontok rendelkezésére kell bocsátani.

(2) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek feladataik ellátása során:

a) együttműködnek az (EU) 2016/679 rendelet szerinti felügyeleti hatóságokkal a személyes elektronikus egészségügyi adatok tekintetében, továbbá az Európai Egészségügyi Adattér Testülettel;

b) együttműködnek valamennyi releváns érdekelt féllel, beleértve a betegképviseleti szervezeteket, a természetes személyek képviselőit, az egészségügyi szakembereket, a kutatókat és az etikai bizottságokat, adott esetben az uniós vagy a nemzeti joggal összhangban;

c) adott esetben együttműködnek más illetékes nemzeti szervekkel, többek között az adataltruista szervezeteket az (EU) 2022/868 rendelet alapján felügyelő illetékes nemzeti hatóságokkal, az (EU) 2023/2854 rendelet szerinti illetékes hatóságokkal, valamint az (EU) 2017/745, az (EU) 2017/746 és az (EU) 2024/1689 rendelet szerinti illetékes nemzeti hatóságokkal.

(3) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek segítséget nyújthatnak a közszférabeli szervezeteknek, amennyiben ezek a közszférabeli szervezetek az (EU) 2023/2854 rendelet 14. cikkével összhangban hozzáférnek az elektronikus egészségügyi adatokhoz.

(4) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek támogatást nyújthatnak egy közszférabeli szervezetnek, amennyiben az az (EU) 2023/2854 rendelet 15. cikkének a) vagy b) pontjában említett körülmények között, az említett rendeletben meghatározott szabályokkal összhangban adatokat szerez be, technikai segítséget nyújtva az említett adatok kezeléséhez vagy közös elemzés céljából más adatokkal való összekapcsolásához.

58. cikk

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek természetes személyekkel szemben fennálló kötelezettségei

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek nyilvánosan elérhetővé, elektronikus eszköz útján könnyen kereshetővé és a természetes személyek számára hozzáférhetővé teszik azon feltételekre vonatkozó információkat, amelyek alapján az elektronikus egészségügyi adatokat másodlagos felhasználás céljából rendelkezésre bocsátják. Ezen információk a következőket fedi le:

a) az egészségügyiadat-felhasználó számára az elektronikus egészségügyi adathoz való hozzáférés megadásának jogalapja;

b) a természetes személyek jogainak védelmét szolgáló műszaki és szervezési intézkedések;

c) a természetes személyek másodlagos felhasználással kapcsolatban fennálló jogai;

d) a természetes személyek jogainak az (EU) 2016/679 rendelet III. fejezetével összhangban történő gyakorlására vonatkozó rendelkezések;

e) az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv kiléte és elérhetőségei;

f) kinek adtak hozzáférést elektronikus egészségügyi adatok adatkészleteihez, és mely adatkészletekhez adtak hozzáférést, valamint az ilyen adatok kezelésének az 53. cikk (1) bekezdése szerinti céljaira vonatkozó adatengedély részletei;

g) azon projektek eredményei vagy kimenetei, amelyekhez az elektronikus egészségügyi adatokat felhasználták.

(2) Ha egy tagállam az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveken keresztül biztosította a 71. cikk szerinti kifogásolási jogot, a releváns egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek nyilvános tájékoztatást nyújtanak a kifogásolási eljárásról, és megkönnyítik e jog gyakorlását.

(3) Amennyiben egy egészségügyiadat-felhasználó az e rendelet 61. cikkének (5) bekezdésében említettek szerint tájékoztatja az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet egy természetes személy egészségével kapcsolatos jelentős megállapításról, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv tájékoztatja az egészségügyiadat-birtokost az említett megállapításról. Az egészségügyiadat-birtokos a nemzeti jogban meghatározott feltételek mellett tájékoztatja a természetes személyeket vagy az érintett természetes személy kezelését végző egészségügyi szakembert. A természetes személyeknek joguk van kérni, hogy az ilyen megállapításokról ne tájékoztassák őket.

(4) A tagállamok tájékoztatják a széles nyilvánosságot az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek szerepéről és előnyeiről.

59. cikk

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek általi jelentéstétel

(1) Minden egyes, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv kétévente tevékenységi jelentést tesz közzé, és azt a honlapján nyilvánosan hozzáférhetővé teszi. Ha egy tagállam egynél több egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet jelöl ki, az 55. cikk (1) bekezdésében említett koordináló szerv felelős a tevékenységi jelentésért, és bekéri a szükséges információkat az egészségügyi adatokhoz való hozzáférés tekintetében illetékes többi szervtől. Az említett tevékenységi jelentés az Európai Egészségügyi Adattér Testület által a 94. cikk (2) bekezdésének d) pontja alapján elfogadott szerkezetet követi, és magában foglalja legalább a következő kategóriájú információkat:

a) a benyújtott egészségügyiadat-hozzáférés iránti kérelmekkel és egészségügyiadat-igénylésekkel kapcsolatos információk, így például az egészségügyiadat-kérelmezők típusai, a kiállított vagy elutasított adatengedélyek száma, a hozzáférési célok kategóriái és a hozzáférés tárgyát képező elektronikus egészségügyi adatok kategóriái, valamint adott esetben az elektronikus egészségügyi adatok felhasználásai eredményeinek összefoglalása;

b) a szabályozási és szerződéses kötelezettségek egészségügyiadat-felhasználók és egészségügyiadat-birtokosok általi teljesítésére vonatkozó információk, valamint az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek által kiszabott közigazgatási bírságok száma és összege;

c) az egészségügyiadat-felhasználók tekintetében végzett ellenőrzésekre vonatkozó információk az e rendelet 73. cikke (1) bekezdésének e) pontja szerinti biztonságos feldolgozási környezetben általuk történő adatkezelés megfelelőségének biztosítása érdekében;

d) a 73. cikk (3) bekezdésében említett, a biztonságos adatkezelési környezet meghatározott szabványoknak, előírásoknak és követelményeknek való megfelelésére vonatkozó, belső és harmadik fél által végzett ellenőrzésekkel kapcsolatos információk;

e) a természetes személyektől érkező, az adatvédelmi jogaik gyakorlásával kapcsolatos megkeresések kezelésére vonatkozó információk;

f) az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek releváns érdekelt felekkel való együttműködésével és a velük folytatott konzultációval kapcsolatban végzett tevékenységeinek leírása;

g) az adatengedélyekből és az egészségügyiadat-igénylésekből származó bevételek;

h) az egészségügyiadat-hozzáférés iránti kérelmek vagy az egészségügyiadat-igénylések és az adatokhoz való hozzáférés között eltelt napok átlagos száma;

i) az egészségügyiadat-birtokosok által kiállított adatminőségi címkék száma, minőségi kategóriák szerinti bontásban;

j) az európai egészségügyi adattéren keresztül hozzáférhető adatokat felhasználó, szakértők által értékelt kutatási publikációk, szakpolitikai dokumentumok és szabályozási eljárások száma;

k) az európai egészségügyi adattéren keresztül elérhető adatok felhasználásával kifejlesztett digitális egészségügyi termékek és szolgáltatások száma, beleértve az MI-alkalmazásokat is.

(2) Az (1) bekezdésben említett tevékenységi jelentést a releváns jelentéstételi időszak második évének végét követő hat hónapon belül be kell nyújtani a Bizottságnak és az Európai Egészségügyi Adattér Testületnek. A tevékenységi jelentést a Bizottság honlapján keresztül hozzáférhetővé kell tenni.

60. cikk

Az egészségügyiadat-birtokosok kötelezettségei

(1) Az egészségügyiadat-birtokosok az 51. cikkben említett releváns elektronikus egészségügyi adatokat kérésre az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv rendelkezésére bocsátják a 68. cikk alapján kiállított adatengedéllyel összhangban vagy a 69. cikk alapján jóváhagyott egészségügyiadat-igénylés nyomán.

(2) Az egészségügyiadat-birtokosok az (1) bekezdésben említett, igényelt elektronikus egészségügyi adatokat észszerű időn belül, de legkésőbb az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv megkeresésének kézhezvételétől számított három hónapon belül az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv rendelkezésére bocsátja. Indokolt esetekben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv az említett időszakot legfeljebb három hónappal meghosszabbíthatja.

(3) Az egészségügyiadat-birtokos közli az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervvel az általa a 77. cikkel összhangban tárolt adatkészlet leírását. Az egészségügyiadat-birtokos legalább évente ellenőrzi, hogy a nemzeti adatkészlet-katalógusban szereplő adatkészlet leírása pontos és naprakész legyen.

(4) Amennyiben az adatkészletet a 78. cikk alapján adatminőségi és -hasznossági címke kíséri, az egészségügyiadat-birtokos elegendő dokumentációt nyújt be az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv számára ahhoz, hogy az említett szerv ellenőrizze a címke pontosságát.

(5) A nem személyes elektronikus egészségügyi adatok egészségügyiadat-birtokosai megbízható nyílt adatbázisokon keresztül biztosítják az adatokhoz való hozzáférést annak érdekében, hogy valamennyi felhasználó számára korlátlan hozzáférést, valamint adattárolást és adatmegőrzést nyújtsanak. A megbízható, nyílt nyilvános adatbázisok szilárd, átlátható és fenntartható irányítással és átlátható felhasználói hozzáférési modellel rendelkeznek.

61. cikk

Az egészségügyiadat-felhasználók kötelezettségei

(1) Az egészségügyiadat-felhasználók az 51. cikkben említett elektronikus egészségügyi adatokhoz másodlagos felhasználás céljából csak a 68. cikk alapján kiállított adatengedéllyel, a 69. cikk alapján jóváhagyott egészségügyiadat-igényléssel, vagy - a 67. cikk (3) bekezdésében említett helyzetekben - a 75. cikkben említett EgészségügyiAdatok@EU (HealthData@EU) releváns felhatalmazott résztvevőjétől származó hozzáférési jóváhagyással férhetnek hozzá és kezelhetik azokat.

(2) Az elektronikus egészségügyi adatoknak a 73. cikkben említett biztonságos adatkezelési környezetben történő feldolgozása során az egészségügyiadat-felhasználók nem biztosíthatnak hozzáférést az elektronikus egészségügyi adatokhoz, és az említett adatokat nem bocsáthatják rendelkezésre az adatengedélyben nem említett harmadik felek számára.

(3) Az egészségügyiadat-felhasználók nem azonosíthatják újból és nem kísérelhetik meg újból azonosítani azon természetes személyeket, akikre az egészségügyiadat-felhasználók által megszerzett elektronikus egészségügyi adatok valamely adatengedély, egészségügyiadat-igénylés vagy az EgészségügyiAdatok@EU (HealthData@EU) valamely felhatalmazott résztvevője általi hozzáférési jóváhagyás alapján vonatkoznak.

(4) Az egészségügyiadat-felhasználók - az elektronikus egészségügyi adatok biztonságos feldolgozási környezetben történő kezelésének befejezését vagy a 69. cikkben említett egészségügyiadat-igénylésre adott válasz kézhezvételét követő 18 hónapon belül - nyilvánosságra hozzák a másodlagos felhasználás eredményeit vagy kimeneteit, beleértve az egészségügyi ellátás szempontjából releváns információkat is.

Az elektronikus egészségügyi adatok kezelésének engedélyezett céljaihoz kapcsolódó indokolt esetekben, az első albekezdésben említett időtartamot az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv meghosszabbíthatja, különösen olyan esetekben, amikor az eredményt tudományos folyóiratban vagy más tudományos kiadványban teszik közzé.

A másodlagos felhasználás eredményei vagy kimenetei csak anonim adatokat tartalmazhatnak.

Az egészségügyiadat-felhasználók a másodlagos felhasználás eredményeiről vagy kimeneteiről tájékoztatják az egészségügyi adatokhoz való hozzáférés tekintetében illetékes azon szerveket, amelyektől adatengedélyt szereztek, és segítik őket abban, hogy az említett információkat nyilvánosságra hozzák az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek honlapjain. Az ilyen közzététel nem érinti a tudományos folyóiratokban vagy más tudományos publikációkban való közzétételi jogokat.

Amikor az egészségügyiadat-felhasználók e fejezettel összhangban használnak fel elektronikus egészségügyi adatokat, tudomásul veszik az elektronikus egészségügyi adatok forrásait és azt a tényt, hogy az elektronikus egészségügyi adatokat az európai egészségügyi adattér keretében szerezték meg.

(5) A (2) bekezdés sérelme nélkül, az egészségügyiadat-felhasználók tájékoztatják az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet minden olyan jelentős megállapításról, amely azon természetes személy egészségével kapcsolatos, akinek az adatait az adatkészlet tartalmazza.

(6) Az egészségügyiadat-felhasználók együttműködnek az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervekkel azok feladatainak ellátása során.

62. cikk

Díjak

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek - beleértve az uniós egészségügyiadat-hozzáférési szolgáltatásokat vagy a 72. cikkben említett megbízható egészségügyiadat-birtokosokat - díjakat számíthatnak fel az elektronikus egészségügyi adatok másodlagos felhasználás céljából történő rendelkezésre bocsátásáért.

A díjaknak arányosnak kell lenniük az adatok rendelkezésre bocsátásának költségével, és nem korlátozhatják a versenyt.

A díjak fedezik az egészségügyiadat-hozzáférés iránti kérelem vagy egészségügyiadat-igénylés értékelésére, a 67. és a 68. cikk szerinti adatengedély kiállítására, elutasítására vagy módosítására, vagy a 69. cikk alapján benyújtott egészségügyiadat-igénylésre történő válaszadásra irányuló eljárással kapcsolatos költségek egészét vagy egy részét, beleértve az elektronikus egészségügyi adatok egységes szerkezetbe foglalásával, előkészítésével, álnevesítésével, anonimizálásával és rendelkezésre bocsátásával kapcsolatos költségeket.

A tagállamok csökkentett díjakat állapíthatnak meg az Unióban található egészségügyiadat-felhasználók bizonyos típusai, így például a közegészségügy területén jogi megbízatással rendelkező közszférabeli szervezetek vagy uniós intézmények, szervek, hivatalok és ügynökségek, valamint egyetemi kutatók vagy mikrovállalkozások számára.

(2) Az e cikk (1) bekezdésében említett díjak magukban foglalhatják az egészségügyiadat-birtokosnál a másodlagos felhasználásra rendelkezésre bocsátandó elektronikus egészségügyi adatok összeállításával és előkészítésével kapcsolatban felmerült költségek ellentételezését. Ilyen esetekben az egészségügyiadat-birtokos becslést nyújt be az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervhez az ilyen költségekről. Amennyiben az egészségügyiadat-birtokos közszférabeli szervezet, az (EU) 2022/868 rendelet 6. cikke nem alkalmazandó. A díjaknak az egészségügyiadat-birtokos költségeihez kapcsolódó részét az egészségügyiadat-birtokos részére ki kell fizetni.

(3) Az egészségügyiadat-felhasználóknak e cikk alapján felszámított díjaknak átláthatónak és megkülönböztetéstől mentesnek kell lenniük.

(4) Amennyiben az egészségügyiadat-birtokosok és az egészségügyiadat-felhasználók az adatengedély kiállítását követő egy hónapon belül nem egyeznek meg a díjak mértékében, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv a díjakat az elektronikus egészségügyi adatok másodlagos felhasználás céljából történő rendelkezésre bocsátásának költségével arányosan állapíthatja meg. Amennyiben az egészségügyiadat-birtokosok vagy az egészségügyiadat-felhasználók nem értenek egyet az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv által meghatározott díjjal, az (EU) 2023/2854 rendelet 10. cikkével összhangban vitarendezési testületekhez fordulhatnak.

(5) A 68. cikk szerinti adatengedély kiállítása vagy a 69. cikk alapján benyújtott egészségügyiadat-igénylésre történő válaszadás előtt az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv tájékoztatja az egészségügyiadat-kérelmezőt a becsült díjakról. Az egészségügyiadat-kérelmezőt tájékoztatni kell az egészségügyiadat-hozzáférés iránti kérelem visszavonásának lehetőségéről. Ha az egészségügyiadat-kérelmező visszavonja kérelmét vagy adatigénylését, az egészségügyiadat-kérelmezőt csak a már felmerült költségek terhelik.

(6) Az ilyen díjpolitikáknak és díjstruktúráknak a tagállamok közötti következetessége és átláthatósága támogatása érdekében a Bizottság végrehajtási jogi aktusok révén elveket állapít meg a díjpolitikákra és díjstruktúrákra vonatkozóan, beleértve az e cikk (1) bekezdésének negyedik albekezdésében említett szervezetekre vonatkozó levonásokat is. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

63. cikk

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek általi végrehajtás

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek az 57. cikk (1) bekezdése a) pontjának ii. alpontjában említett nyomonkövetési és felügyeleti feladataik ellátása során jogosultak minden szükséges információt bekérni és megkapni az egészségügyiadat-felhasználóktól és az egészségügyiadat-birtokosoktól az e fejezetnek való megfelelés ellenőrzése céljából.

(2) Amennyiben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek megállapítják, hogy az egészségügyiadat-felhasználó vagy az egészségügyiadat-birtokos nem felel meg e fejezet követelményeinek, haladéktalanul értesítik az egészségügyiadat-felhasználót vagy az egészségügyiadat-birtokost az említett megállapításokról, és megfelelő intézkedéseket hoznak. Az érintett egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv lehetőséget biztosít az érintett egészségügyiadat-felhasználó vagy egészségügyiadat-birtokos számára, hogy észszerű - négy hetet meg nem haladó - időszakon belül kinyilvánítsa véleményét.

Amennyiben a meg nem felelésre vonatkozó megállapítás az (EU) 2016/679 rendelet esetleges megsértésére vonatkozik, az érintett egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv haladéktalanul tájékoztatja az említett rendelet szerinti felügyeleti hatóságokat, és megadja számukra az említett megállapításra vonatkozó valamennyi releváns információt.

(3) Az egészségügyiadat-felhasználók általi meg nem felelést illetően az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek hatáskörrel rendelkeznek arra, hogy visszavonják a 68. cikk szerint kiállított adatengedélyt, és indokolatlan késedelem nélkül leállítsák az egészségügyiadat-felhasználó által végzett érintett elektronikus egészségügyi adatkezelési műveletet, továbbá megfelelő és arányos intézkedéseket hoznak, amelyek célja az egészségügyiadat-felhasználó általi megfelelő adatkezelés biztosítása.

Az ilyen végrehajtási intézkedések részeként az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek a nemzeti joggal összhangban adott esetben legfeljebb öt évre is kizárhatják az érintett egészségügyiadat-felhasználót az európai egészségügyi adattéren belüli elektronikus egészségügyi adatokhoz való, másodlagos felhasználás céljából történő hozzáférésből, vagy kizárásra irányuló eljárást kezdeményezhetnek.

(4) Az egészségügyiadat-birtokosok általi meg nem felelést illetően, amennyiben az egészségügyiadat-birtokos az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervektől - az elektronikus egészségügyi adatok felhasználása akadályozásának nyilvánvaló szándékával - visszatartja az elektronikus egészségügyi adatokat, vagy nem tartja be a 60. cikk (2) bekezdésében meghatározott határidőket, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv felhatalmazást kap arra, hogy a késedelem minden egyes napjára kényszerítő bírságot szabjon ki az egészségügyiadat-birtokosra, amelynek átláthatónak és arányosnak kell lennie. A pénzbírság összegét az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv állapítja meg a nemzeti joggal összhangban. Abban az esetben, ha az egészségügyiadat-birtokos ismételten megsérti az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervvel való együttműködés kötelezettségét, az említett szerv a nemzeti joggal összhangban legfeljebb öt évre kizárhatja az érintett egészségügyiadat-birtokost az e fejezet szerinti egészségügyiadat-hozzáférés iránti kérelmek benyújtásából, vagy a kizárására irányuló eljárást kezdeményezhet. Az említett kizárás időtartama alatt az egészségügyiadat-birtokos adott esetben továbbra is köteles az e fejezet alapján adatokat hozzáférhetővé tenni.

(5) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv haladéktalanul tájékoztatja az érintett egészségügyiadat-felhasználót vagy egészségügyiadat-birtokost a (3) és a (4) bekezdés alapján hozott végrehajtási intézkedésekről és az azok alapját képező indokokról, és észszerű határidőt állapít meg az egészségügyiadat-felhasználó vagy az egészségügyiadat-birtokos számára az említett intézkedéseknek való megfelelésre.

(6) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv által a (3) bekezdés alapján hozott bármely végrehajtási intézkedésről a (7) bekezdésben említett informatikai eszközön keresztül értesíteni kell az egészségügyi adatokhoz való hozzáférés tekintetében illetékes további szerveket. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek ezen információkat honlapjukon is nyilvánosan hozzáférhetővé tehetik.

(7) A Bizottság végrehajtási jogi aktusok révén meghatározza - a 75. cikkben említett EgészségügyiAdatok@EU (HealthData@EU) infrastruktúra részeként - egy olyan informatikai eszköz architektúráját, amelynek célja, hogy támogassa és átláthatóvá tegye az egészségügyi adatokhoz való hozzáférés tekintetében illetékes egyéb szervek számára az e cikkben említett végrehajtási intézkedéseket, különösen a kényszerítő bírságokat, az adatengedélyek visszavonását és a kizárásokat. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(8) A Bizottság 2032. március 26-ig - az Európai Egészségügyi Adattér Testülettel szorosan együttműködve - iránymutatásokat ad ki az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek által hozott végrehajtási intézkedésekről, ideértve a kényszerítő bírságokat és egyéb intézkedéseket.

64. cikk

A közigazgatási bírságok egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek általi kiszabására vonatkozó általános feltételek

(1) Minden egyes egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv biztosítja, hogy a közigazgatási bírságoknak a (4) és (5) bekezdésben említett jogsértések tekintetében e cikk alapján történő kiszabása minden egyes esetben hatékony, arányos és visszatartó erejű.

(2) A közigazgatási bírságokat az adott eset körülményeitől függően a 63. cikk (3) és (4) bekezdésében említett végrehajtási intézkedések mellett vagy helyett kell kiszabni. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek minden egyes esetben a következő körülmények kellő figyelembevételével döntenek a közigazgatási bírság kiszabásáról, és a közigazgatási bírság összegének megállapításáról:

a) a jogsértés jellege, súlyossága és időtartama;

b) más illetékes hatóságok kiszabtak-e már szankciót vagy közigazgatási bírságot ugyanazon jogsértés miatt;

c) a jogsértés szándékos vagy gondatlan jellege;

d) az egészségügyiadat-birtokos vagy az egészségügyiadat-felhasználó által az okozott károk enyhítése érdekében tett bármely intézkedés;

e) az egészségügyiadat-felhasználó felelősségének mértéke, figyelembe véve az említett egészségügyiadat-felhasználónak a 67. cikk (2) bekezdésének g) pontja, valamint a 67. cikk (4) bekezdése alapján végrehajtott technikai és szervezeti intézkedéseit;

f) az egészségügyiadat-birtokos vagy az egészségügyiadat-felhasználó által elkövetett bármely releváns korábbi jogsértés;

g) az egészségügyiadat-birtokosnak vagy az egészségügyiadat-felhasználónak az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervvel a jogsértés orvoslása és a jogsértés esetleges negatív hatásai enyhítése tekintetében folytatott együttműködésének mértéke;

h) az, ahogyan az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az egészségügyiadat-felhasználó bejelentette-e számára a jogsértést, és azt milyen mértékig jelentette be;

i) a 63. cikk (3) és (4) bekezdésében említett, bármely olyan végrehajtási intézkedésnek való megfelelés, amelyet az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban ugyanazon tárgy tekintetében rendeltek el;

j) az eset körülményeire alkalmazható, minden egyéb súlyosbító vagy enyhítő tényező, így például a jogsértés révén közvetlen vagy közvetett pénzügyi haszon szerzése vagy veszteség elkerülése.

(3) Ha az egészségügyiadat-birtokos vagy az egészségügyiadat-felhasználó ugyanazon vagy egy kapcsolódó adatengedély vagy egészségügyiadat-igénylés tekintetében - szándékosan vagy gondatlanságból - e rendelet több rendelkezését is megsérti, a közigazgatási bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértés tekintetében meghatározott összeget.

(4) Az e cikk (2) bekezdésével összhangban az egészségügyiadat-birtokosnak vagy az egészségügyiadat-felhasználónak a 60. cikk, valamint a 61. cikk (1), (5) és (6) bekezdése szerinti kötelezettségeinek megsértése legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, vagy vállalkozás esetében a megelőző pénzügyi évben elért teljes éves globális forgalmának legfeljebb 2 %-át kitevő összeggel sújtható, attól függően, hogy melyik a magasabb.

(5) A következők megsértése - a (2) bekezdéssel összhangban - legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, vagy vállalkozás esetében a megelőző pénzügyi évben elért teljes éves globális forgalmának legfeljebb 4 %-át kitevő összeggel sújtható, attól függően, hogy melyik a magasabb:

a) az egészségügyiadat-felhasználók a 68. cikk alapján kiállított adatengedély alapján megszerzett elektronikus egészségügyi adatokat a 54. cikkben említett célokból kezelik;

b) az egészségügyiadat-felhasználók személyes elektronikus egészségügyi adatokat nyernek ki biztonságos adatkezelési környezetekből;

c) azon természetes személyek újbóli azonosítása vagy újbóli azonosításának megkísérlése, akikre az egészségügyiadat-felhasználók által - a 61. cikk (3) bekezdése szerinti valamely adatengedély vagy egészségügyiadat-igénylés alapján - megszerzett elektronikus egészségügyi adat vonatkozik;

d) az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv által a 63. cikk (3) és (4) bekezdése alapján hozott végrehajtási intézkedéseknek való meg nem felelés.

(6) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek 63. cikk szerinti hatásköreinek sérelme nélkül, minden tagállam megállapíthatja az arra vonatkozó szabályokat, hogy közigazgatási bírság kiszabható-e és milyen mértékben az adott tagállami székhelyű hatósággal vagy közszférabeli szervezettel szemben.

(7) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek az e cikk szerinti hatásköreit megfelelő, az uniós és a nemzeti joggal összhangban álló eljárási garanciák - ideértve a hatékony bírósági jogorvoslat lehetőségét és a jogszerű eljárást - mellett kell gyakorolnia.

(8) Ha a tagállam jogrendszere nem rendelkezik közigazgatási bírságokról, e cikk olyan módon alkalmazható, hogy a nemzeti jogi keretével összhangban biztosítsa, hogy ezek a jogorvoslatok hatékonyak és az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek által kiszabott közigazgatási bírságokéval megegyező hatásúak legyenek. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. Az érintett tagállam 2029. március 26-ig értesíti a Bizottságot az e bekezdés alapján elfogadott jogszabályok rendelkezéseiről, és haladéktalanul értesíti a Bizottságot az ilyen rendelkezéseket módosító minden későbbi jogszabályról vagy az ilyen rendelkezéseket érintő módosításokról.

65. cikk

Kapcsolat az (EU) 2016/679 rendelet szerinti felügyeleti hatóságokkal

Az (EU) 2016/679 rendelet alkalmazásának nyomon követéséért és érvényesítéséért felelős felügyeleti hatóság vagy hatóságok illetékesek a másodlagos felhasználásra szánt személyes elektronikus egészségügyi adatoknak a 71. cikk szerinti kezelésével szembeni kifogásolási jog alkalmazásának nyomon követéséért és érvényesítéséért is. Az említett felügyeleti hatóságok felhatalmazással rendelkeznek arra, hogy az (EU) 2016/679 rendelet 83. cikkében említett összegig terjedő közigazgatási bírságokat szabjanak ki.

Az e cikk első bekezdésében említett felügyeleti hatóságoknak és az e rendelet 55. cikkében említett, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveknek adott esetben saját hatáskörükön belül együtt kell működniük e rendelet végrehajtásában. Az (EU) 2016/679 rendelet releváns rendelkezései értelemszerűen alkalmazandók.

3. SZAKASZ

A másodlagos felhasználásra szánt elektronikus egészségügyi adatokhoz való hozzáférés

66. cikk

Adattakarékosság és célhoz kötöttség

(1) Amennyiben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek egészségügyiadat-hozzáférés iránti kérelmet kapnak, biztosítják, hogy kizárólag a megfelelő, releváns és az egészségügyiadat-felhasználó által az egészségügyiadat-hozzáférés iránti kérelemben megjelölt adatkezelés céljával kapcsolatban szükséges mértékű elektronikus egészségügyi adatokhoz nyújtsanak hozzáférést, és összhangban a 68. cikk alapján kiállított adatengedéllyel.

(2) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek anonimizált formában bocsátják rendelkezésre az elektronikus egészségügyi adatokat, amennyiben az egészségügyiadat-felhasználó általi adatkezelés célja ilyen adatokkal is elérhető, figyelembe véve az egészségügyiadat-felhasználó által szolgáltatott információkat.

(3) Amennyiben az egészségügyiadat-felhasználó kellően igazolta, hogy az adatkezelés célja a 68. cikk (1) bekezdésének c) pontjával összhangban anonimizált adatokkal nem érhető el, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek álnevesített formátumban biztosítanak hozzáférést az elektronikus egészségügyi adatokhoz. Az álnevesítés visszafordításához szükséges információk csak az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv vagy a nemzeti joggal összhangban megbízható harmadik félként eljáró szervezet számára hozzáférhetők.

67. cikk

Egészségügyiadat-hozzáférés iránti kérelmek

(1) A természetes vagy jogi személyek az 53. cikk (1) bekezdésében említett célokra egészségügyiadat-hozzáférés iránti kérelmet nyújthatnak be valamely egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervhez.

(2) Az egészségügyiadat-hozzáférés iránti kérelem a következőket tartalmazza:

a) az egészségügyiadat-kérelmező kiléte, az említett egészségügyiadat-kérelmező szakmai funkcióinak és tevékenységeinek leírása, beleértve azon természetes személyek személyazonosságát is, akik hozzáféréssel rendelkeznének az elektronikus egészségügyi adatokhoz, ha adatengedélyt állítanának ki; az egészségügyiadat-kérelmező értesíti az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet a természetes személyek jegyzékének bármely aktualizálásáról;

b) az 53. cikk (1) bekezdésében említett azon célok, amelyekre az adatokhoz való hozzáférést kérelmezik;

c) az elektronikus egészségügyi adatok rendeltetésének és e rendeltetéshez kapcsolódó várható haszonnak a részletes magyarázata, továbbá annak részletes magyarázata, hogy a szóban forgó haszon miként járulna hozzá az 53. cikk (1) bekezdésében említett célokhoz;

d) az igényelt elektronikus egészségügyi adatok leírása, ideértve az alkalmazási körüket, időtartományukat, formátumukat, az említett adatok forrásait és, amennyiben lehetséges, a földrajzi lefedettséget, amennyiben több tagállambeli egészségügyiadat-birtokosoktól vagy a 75. cikkben említett EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevőitől kérnek ilyen adatokat;

e) olyan leírás, amely elmagyarázza, hogy az elektronikus egészségügyi adatokat álnevesített vagy anonimizált formátumban kell-e rendelkezésre bocsátani; álnevesített formátum esetén annak indokolása, hogy az adatkezelés miért nem végezhető el anonimizált adatok felhasználásával;

f) amennyiben az egészségügyiadat-kérelmező az említett egészségügyiadat-kérelmezőnek már birtokában lévő adatkészleteket be kívánja vinni a biztonságos adatkezelési környezetbe, az említett adatkészletek leírása;

g) az elektronikus egészségügyi adatokkal való visszaélés megelőzése, valamint az egészségügyiadat-birtokos és az érintett természetes személyek jogainak és érdekeinek védelme, többek között az adatkészletben szereplő természetes személyek újbóli azonosításának megakadályozása érdekében tervezett biztosítékok leírása, amelyeknek a kockázatokkal arányosnak kell lenniük;

h) az elektronikus egészségügyi adatok biztonságos adatkezelési környezetben történő kezeléséhez szükséges időtartam indokolással ellátott megjelölése;

i) a biztonságos adatkezelési környezethez szükséges eszközök és számítástechnikai erőforrások leírása;

j) adott esetben a nemzeti jog alapján előírt, az adatkezelés etikai szempontjainak bármely olyan értékelésére vonatkozó információk, amely az egészségügyiadat-kezelő saját etikai értékelésének helyettesítésére szolgálhat;

k) amennyiben az egészségügyiadat-kérelmező élni kíván a 71. cikk (4) bekezdése szerinti kivétellel, a nemzeti jog által az említett cikk alapján előírt indokolás.

(3) Amikor egynél több tagállamban letelepedett egészségügyiadat-birtokosok birtokában lévő vagy a 75. cikkben említett EgészségügyiAdatok@EU (HealthData@EU) releváns felhatalmazott résztvevőitől származó elektronikus egészségügyi adatokhoz kíván hozzáférni, az egészségügyiadat-kérelmezőnek egyetlen egészségügyiadat-hozzáférés iránti kérelmet kell benyújtania azon egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerven keresztül, amelyben az egészségügyiadat-kérelmező tevékenységi központja található, vagy azon tagállam egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervén keresztül, amelyben az említett egészségügyiadat-birtokosok egyike letelepedett, vagy a Bizottság által a 75. cikkben említett EgészségügyiAdatok@EU (HealthData@EU) keretében nyújtott szolgáltatásokon keresztül. Az egészségügyiadat-hozzáférés iránti kérelmet automatikusan továbbítani kell az EgészségügyiAdatok@EU (HealthData@EU) releváns felhatalmazott résztvevőinek és azon tagállamok egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveinek, ahol az egészségügyiadat-hozzáférés iránti kérelemben azonosított egészségügyi adatbirtokosok letelepedtek.

(4) Amikor álnevesített formátumban kíván hozzáférni a személyes elektronikus egészségügyi adatokhoz, az egészségügyiadat-kérelmezőnek - az egészségügyiadat-hozzáférés iránti kérelemmel együtt - arra vonatkozó leírást kell nyújtania, hogy az adatkezelés miként felelne meg az adatvédelemre és a magánélet védelmére vonatkozó alkalmazandó uniós és nemzeti jognak, különösen az (EU) 2016/679 rendeletnek, és még konkrétabban annak 6. cikke (1) bekezdésének.

(5) A közszférabeli szervezetek, valamint az uniós intézmények, szervek, hivatalok és ügynökségek ugyanazon információkat bocsátják rendelkezésre, mint amelyeket a (2) és a (4) bekezdés ír elő - kivéve a (2) bekezdés h) pontját -, amely esetben ehelyett azon időtartamra, amely alatt az elektronikus egészségügyi adatok hozzáférhetők, az említett hozzáférés gyakoriságára vagy az adatfrissítések gyakoriságára vonatkozóan kell információkat benyújtaniuk.

68. cikk

Adatengedély

(1) Az elektronikus egészségügyi adatokhoz való hozzáférés megadásának céljából az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek értékelik a következő kritériumok mindegyikének teljesülését:

a) az egészségügyiadat-hozzáférés iránti kérelemben megjelölt célok megfelelnek az 53. cikk (1) bekezdésében felsorolt célok közül egynek vagy többnek;

b) a kért adatok szükségesek, megfelelőek és arányosak az egészségügyi adatokhoz való hozzáférés iránti kérelemben megjelölt célok tekintetében, figyelembe véve a 66. cikkben előírt adattakarékossági és célhozkötöttségi követelményeket;

c) az adatkezelés megfelel az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének, és az álnevesített adatok esetében kellően indokolt, hogy a cél nem érhető el anonimizált adatokkal;

d) az egészségügyiadat-kérelmező képesített az adatfelhasználás tervezett céljai tekintetében, és megfelelő szakértelemmel rendelkezik, beleértve az egészségügyi ellátás, a gondozás, a népegészségügy vagy a kutatás területén szerzett szakmai képesítéseket is, összhangban az etikai gyakorlattal, valamint az alkalmazandó jogszabályokkal és szabályzatokkal;

e) az egészségügyiadat-kérelmező igazolja megfelelő technikai és szervezeti intézkedések megtételét az elektronikus egészségügyi adatokkal való visszaélés megelőzésére, valamint az egészségügyiadat-birtokos és az érintett természetes személyek jogainak és érdekeinek védelmére;

f) az adatkezelés etikai szempontjainak a 67. cikk (2) bekezdésének j) pontjában említett értékelésére vonatkozó információk adott esetben megfelelnek a nemzeti jognak;

g) amennyiben az egészségügyiadat-kérelmező élni kíván a 71. cikk (4) bekezdése szerinti kivétellel, az említett cikk alapján elfogadott nemzeti jog által előírt indokolást rendelkezésre bocsátották;

h) az egészségügyiadat-kérelmező teljesíti az e fejezetben foglalt minden egyéb követelményt.

(2) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv a következőket is figyelembe veszi:

a) a honvédelmet, a biztonságot, a közbiztonságot és a közrendet érintő kockázatok;

b) a szabályozó hatóságok kormányzati adatbázisaiban szereplő adatok bizalmas jellege veszélyeztetésének kockázata;

(3) Amennyiben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv arra a következtetésre jut, hogy az (1) bekezdésben foglalt követelmények teljesülnek, és a (2) bekezdésben említett kockázatokat kellően mérséklik, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv adatengedély kiállítása révén hozzáférést nyújt az elektronikus egészségügyi adatokhoz. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek elutasítanak minden olyan kérelmet, ahol nem teljesülnek az e fejezetben foglalt követelmények.

Amennyiben az adatengedély kiállítására vonatkozó követelmények nem teljesülnek, de a 69. cikk szerinti anonimizált statisztikai formátumban történő válaszadásra vonatkozó követelmények teljesülnek, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv dönthet úgy, hogy ilyen választ ad, feltéve, hogy az említett válasz megadása csökkentené a kockázatokat, és hogy - ha az egészségügyiadat-hozzáférés iránti kérelem célja ilyen módon teljesíthető - az egészségügyiadat-kérelmező beleegyezik abba, hogy a 69. cikk szerinti anonimizált statisztikai formátumban kapjon választ.

(4) Az (EU) 2022/868 rendelettől eltérve az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv a hiánytalan egészségügyiadat-hozzáférés iránti kérelem kézhezvételétől számított három hónapon belül kiállítja vagy elutasítja az adatengedélyt. Ha az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv megállapítja, hogy az egészségügyiadat-hozzáférés iránti kérelem hiányos, értesíti az egészségügyiadat-kérelmezőt, aki vagy amely számára lehetőséget kell biztosítani az említett kérelem kiegészítésére. Ha az egészségügyiadat-kérelmező négy héten belül nem egészíti ki az egészségügyiadat-hozzáférés iránti kérelmet, az adatengedélyt nem állítják ki.

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv szükség esetén további három hónappal meghosszabbíthatja az egészségügyiadat-hozzáférés iránti kérelemre való válaszadás határidejét, figyelembe véve az egészségügyiadat-hozzáférés iránti kérelem sürgősségét és összetettségét, valamint a határozathozatalra benyújtott egészségügyiadat-hozzáférés iránti kérelmek mennyiségét. Ilyen esetekben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv a lehető leghamarabb értesíti az egészségügyiadat-kérelmezőt arról, hogy az egészségügyiadat-hozzáférés iránti kérelem elbírálásához több időre van szükség, megjelölve a késedelem okait is.

(5) A 67. cikk (3) bekezdésében említett, az elektronikus egészségügyi adatokhoz való határokon átnyúló hozzáférés iránti kérelmek kezelése során az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és a 75. cikkben említett EgészségügyiAdatok@EU (HealthData@EU) releváns felhatalmazott résztvevői továbbra is felelősek a hatáskörükbe tartozó elektronikus egészségügyi adatokhoz való hozzáférés megadásáról vagy elutasításáról szóló döntések meghozataláért, e fejezettel összhangban.

Az érintett egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és az EgészségügyiAdatok@EU (HealthData@EU) érintett felhatalmazott résztvevői tájékoztatják egymást döntéseikről. Figyelembe vehetik ezen információkat, amikor az elektronikus egészségügyi adatokhoz való hozzáférés megadásáról vagy elutasításáról döntenek.

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes egyik szerv által kiállított adatengedélyt az egészségügyi adatokhoz való hozzáférés tekintetében illetékes többi szerv kölcsönös elismerésben részesítheti.

(6) A tagállamok gyorsított egészségügyiadat-hozzáférés iránti kérelmezési eljárást írnak elő a népegészségügy területén jogi megbízatással rendelkező közszférabeli szervezetek, valamint uniós intézmények, szervek, hivatalok és ügynökségek számára, ha az elektronikus egészségügyi adatok kezelését az 53. cikk (1) bekezdésének a), b) és c) pontjában meghatározott célokból kell végezni. Amennyiben ilyen gyorsított eljárás alkalmazandó, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv - a hiánytalan egészségügyiadat-hozzáférés iránti kérelem kézhezvételétől számított két hónapon belül - kiállítja vagy megtagadja az adatengedélyt.

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv szükség esetén további egy hónappal meghosszabbíthatja az egészségügyiadat-hozzáférés iránti kérelemre való válaszadás határidejét.

(7) Az adatengedély kiadását követően az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv haladéktalanul bekéri az elektronikus egészségügyi adatokat az egészségügyiadat-birtokostól. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv az elektronikus egészségügyi adatokat az egészségügyiadat-birtokosoktól való beérkezésüket követő két hónapon belül az egészségügyiadat-felhasználó rendelkezésére bocsátja, kivéve, ha az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv úgy rendelkezik, hogy az adatokat hosszabb meghatározott határidőn belül kell rendelkezésre bocsátani.

(8) Az e cikk (5) bekezdésének első albekezdésében említett esetekben az érintett egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevői, amelyek adatengedélyt állítottak ki, illetve hozzáférés hagytak jóvá, dönthetnek úgy, hogy a 75. cikk (9) bekezdésében említettek szerint a Bizottság által biztosított biztonságos adatkezelési környezetben biztosítanak hozzáférést az elektronikus egészségügyi adatokhoz.

(9) Amennyiben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv elutasítja az adatengedély kiállítását, az említett elutasítást meg kell indokolnia az egészségügyiadat-kérelmező számára.

(10) Amikor adatengedélyt állít ki, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv az említett adatengedélyben meghatározza az egészségügyiadat-felhasználóra alkalmazandó általános feltételeket. Az adatengedélynek a következőket kell tartalmaznia:

a) az adatengedély hatálya alá tartozó, hozzáférhető elektronikus egészségügyi adatok kategóriái, specifikációja és formátuma, beleértve azok forrásait, valamint arra vonatkozó jelzés, hogy az elektronikus egészségügyi adatokhoz álnevesített formátumban, biztonságos adatkezelési környezetben kell-e hozzáférni;

b) az elektronikus egészségügyi adatok rendelkezésre bocsátása céljának részletes leírása;

c) amennyiben a 71. cikk (4) bekezdése értelmében valamely kivétel végrehajtására vonatkozó mechanizmus van előírva és alkalmazandó, tájékoztatás arról, hogy azt alkalmazzák-e, és a kapcsolódó döntés oka;

d) azon meghatalmazott személyek személyazonossága, különösen a kutatásvezető személyazonossága, akik jogosultak hozzáférni az elektronikus egészségügyi adatokhoz a biztonságos adatkezelési környezetben;

e) az adatengedély időtartama;

f) a biztonságos adatkezelési környezetben az egészségügyiadat-felhasználó rendelkezésére álló műszaki jellemzőkre és eszközökre vonatkozó információk;

g) az egészségügyiadat-felhasználó által fizetendő díjak;

h) bármely különleges feltétel.

(11) Az egészségügyi adatfelhasználók - az e rendelet alapján számukra kiállított adatengedélynek megfelelően - biztonságos adatkezelési környezetben jogosultak az elektronikus egészségügyi adatokhoz való hozzáférésre és azok kezelésére.

(12) Az adatengedélyt a kért célok teljesítéséhez szükséges időtartamra kell kiállítani, és az említett időtartam nem haladhatja meg a 10 évet. Az említett időtartam az egészségügyiadat-felhasználó kérésére egyszer, 10 évet meg nem haladó időtartamra meghosszabbítható, az említett meghosszabbítást indokoló érvek és dokumentumok alapján, amelyeket egy hónappal az adatengedély lejárta előtt kell megadni. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv felszámíthat olyan díjakat, amelyek emelkednek az elektronikus egészségügyi adatoknak a kezdeti időtartamot meghaladó ideig történő tárolásával járó költségek és kockázatok függvényében. Az ilyen költségek és díjak csökkentése érdekében az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv azt is javasolhatja az egészségügyiadat-felhasználónak, hogy az adatkészletet csökkentett kapacitású tárolórendszerben tárolja. Az ilyen csökkentett kapacitás nem befolyásolhatja a kezelt adatkészlet biztonságát. A biztonságos adatkezelési környezetben tárolt elektronikus egészségügyi adatokat az adatengedély lejártát követő hat hónapon belül törölni kell. Az egészségügyiadat-felhasználó kérésére az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv tárolhatja az igényelt adatkészlet létrehozására vonatkozó képletet.

(13) Ha az adatengedélyt frissíteni kell, az egészségügyiadat-felhasználó az adatengedély módosítására irányuló kérelmet nyújt be.

(14) A Bizottság végrehajtási jogi aktus révén kidolgozhat egy, az európai egészségügyi adattér hozzájárulásának elismerésére szolgáló logót. Az említett végrehajtási jogi aktust a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

69. cikk

Egészségügyiadat-igénylés

(1) Az egészségügyiadat-kérelmező az 53. cikkben említett célokból egészségügyiadat-igénylést nyújthat be azzal a céllal, hogy kizárólag anonimizált statisztikai formátumban kapjon választ. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv nem válaszolhat semmilyen más formátumban az egészségügyiadat-igénylésre, és az egészségügyiadat-felhasználó nem férhet hozzá az említett válaszadáshoz használt elektronikus egészségügyi adatokhoz.

(2) Az (1) bekezdésben említett egészségügyiadat-igénylésnek a következő információkat kell tartalmaznia:

a) az egészségügyiadat-kérelmező személyazonossága, valamint az említett egészségügyiadat-kérelmező szakmai funkcióinak és tevékenységeinek leírása;

b) az elektronikus egészségügyi adatok rendeltetésének részletes magyarázata, beleértve az 53. cikk (1) bekezdésében említett azon célokat is, amelyekre az egészségügyiadat-igénylést benyújtják;

c) az igényelt elektronikus egészségügyi adatok leírása, azok formátuma és ezen adatok forrásai, amennyiben lehetséges;

d) a statisztikai tartalom leírása;

e) az igényelt elektronikus egészségügyi adatokkal való bármely visszaélés megelőzésére tervezett biztosítékok leírása;

f) annak leírása, hogy az adatkezelés hogyan felelne meg az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének vagy az (EU) 2018/1725 rendelet 5. cikke (1) bekezdésének és 10. cikke (2) bekezdésének;

g) amennyiben az egészségügyiadat-kérelmező élni kíván a 71. cikk (4) bekezdése szerinti kivétellel, a nemzeti jog által az említett cikk alapján e tekintetben előírt indokolás.

(3) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv értékeli, hogy az egészségügyiadat-igénylés hiánytalan-e, és figyelembe veszi a 68. cikk (2) bekezdésében említett kockázatokat.

(4) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv - az igénylés kézhezvételétől számított három hónapon belül - értékeli az egészségügyiadat-igénylést, és lehetőség szerint ezt követően - további három hónapon belül - megadja a választ az egészségügyiadat-felhasználó számára.

70. cikk

Minták a másodlagos felhasználásra szánt elektronikus egészségügyi adatokhoz való hozzáférés támogatására

2027. március 26-ig a Bizottság végrehajtási jogi aktusok révén meghatározza a 67., a 68., illetve a 69. cikkben említett egészségügyiadat-hozzáférés iránti kérelem, adatengedély, illetve egészségügyiadat-igénylés mintáit. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

71. cikk

A másodlagos felhasználásra szánt személyes elektronikus egészségügyi adatok kezelésével szembeni kifogásoláshoz való jog

(1) A természetes személyeknek - bármikor és anélkül, hogy meg kellene indokolniuk - joguk van kifogásolni a velük kapcsolatos személyes elektronikus egészségügyi adatok e rendelet szerinti másodlagos felhasználás céljából történő kezelését. Az említett jog gyakorlása visszafordítható.

(2) A tagállamok az első bekezdésben meghatározott jog gyakorlása érdekében hozzáférhető és könnyen érthető kifogásolási mechanizmust biztosítanak, amely szerint természetes személyek egyértelműen kimondhatják, hogy nem szeretnék, ha személyes elektronikus egészségügyi adataikat másodlagos felhasználás céljából kezelnék.

(3) Miután a természetes személyek gyakorolták a kifogásolási jogot, és amennyiben a velük kapcsolatos személyes elektronikus egészségügyi adatok azonosíthatók egy adatkészletben, az említett természetes személyekkel kapcsolatos személyes elektronikus egészségügyi adatok nem tehetők hozzáférhetővé, vagy más módon nem kezelhetők a 68. cikk alapján kiállított azon adatengedélyek vagy a 69. cikk szerinti azon egészségügyiadat-igénylések alapján, amelyeket azt követően adtak meg, illetve hagytak jóvá, hogy a természetes személy gyakorolta a kifogásolási jogot.

E bekezdés első albekezdése nem érinti az említett természetes személyekkel kapcsolatos személyes elektronikus egészségügyi adatoknak az olyan adatengedélyek, illetve egészségügyiadat-igénylések alapján történő másodlagos felhasználás céljából történő kezelését, amelyeket azt megelőzően állítottak ki, illetve hagytak jóvá, hogy a természetes személyek gyakorolták a kifogásolási jogukat.

(4) Az (1) bekezdésben biztosított kifogásolási jog alól kivételt képezve, egy tagállam a nemzeti jogában rendelkezhet olyan adatok rendelkezésre bocsátására irányuló mechanizmusról, amelyekre vonatkozóan kifogásolási jogot gyakoroltak, feltéve, hogy a következő feltételek mindegyike teljesül:

a) az egészségügyiadat-hozzáférés iránti kérelmet vagy az egészségügyiadat-igénylést a népegészségügy területén feladatok ellátásával megbízott közszférabeli szervezet vagy uniós intézmény, szerv, hivatal vagy ügynökség, vagy a népegészségügy területén közfeladatok ellátásával megbízott, vagy valamely hatóság nevében vagy megbízásából eljáró más szervezet nyújtja be, és az említett adatok kezelése a következő célok valamelyikéhez szükséges:

i. az 53. cikk (1) bekezdésének a), b) és c) pontjában említett célok;

ii. fontos közérdeken alapuló tudományos kutatás;

b) az említett adatok nem szerezhetők be alternatív módon, időben és hatékonyan, azonos feltételek mellett;

c) az egészségügyiadat-kérelmező megadta a 68. cikk (1) bekezdésének g) pontjában vagy a 69. cikk (2) bekezdésének g) pontjában említett indokolást.

Az ilyen mechanizmusról rendelkező nemzeti jognak konkrét és megfelelő intézkedéseket kell biztosítania a természetes személyek alapvető jogainak és személyes adatainak védelme érdekében.

Amennyiben egy tagállam nemzeti jogában rendelkezik az olyan adatokhoz való hozzáférés kérelmezésének lehetőségéről, amelyek tekintetében a kifogásolási jogot gyakorolták, és az e bekezdés első albekezdésében említett feltételek teljesülnek, az említett adatok az 57. cikk (1) bekezdése a) pontjának i. és iii. alpontja, valamint b) pontja szerinti feladatok ellátása során figyelembe vehetők.

(5) A kivételek végrehajtására irányuló, a (4) bekezdés alapján - az (1) bekezdés alól kivételt képezve - biztosított bármely mechanizmusra vonatkozó szabályoknak tiszteletben kell tartaniuk az alapvető jogok és szabadságok lényeges tartalmát, és egy demokratikus társadalomban szükséges és arányos intézkedésnek kell lennie ahhoz, hogy a jogos tudományos és társadalmi célkitűzések területén érvényesüljenek a közérdekű célok.

(6) A kivételek végrehajtására irányuló, e cikk (4) bekezdése alapján biztosított mechanizmussal összhangban végzett bármely adatkezelésnek meg kell felelnie e fejezet követelményeinek, különösen a természetes személyek újbóli azonosítására vagy újbóli azonosítása megkísérlésére vonatkozó tilalomnak, a 61. cikk (3) bekezdésével összhangban. Bármely olyan jogalkotási intézkedésnek, amely a nemzeti jogban biztosítja az e cikk (4) bekezdésében említettek szerinti mechanizmust, konkrét rendelkezéseket kell magában foglalnia a természetes személyek biztonságára és jogainak védelmére vonatkozóan.

(7) A tagállam haladéktalanul értesíti a Bizottságot nemzeti joga azon rendelkezéseiről, amelyeket a (4) bekezdés alapján fogad el, valamint az azokat érintő minden későbbi módosításról.

(8) Amennyiben a személyes elektronikus egészségügyi adatok valamely egészségügyiadat-birtokos általi kezelésének céljai nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az említett egészségügyiadat-birtokos nem köteles további információkat fenntartani, beszerezni vagy kezelni az érintett azonosítása érdekében, kizárólag abból a célból, hogy megfeleljen az e cikk szerinti kifogásolási jognak.

72. cikk

Egyszerűsített eljárás a megbízható egészségügyiadat-birtokos részére az elektronikus egészségügyi adatokhoz való hozzáférésre vonatkozóan

(1) Amennyiben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv olyan, a 67. cikk szerinti egészségügyiadat-hozzáférés iránti kérelmet vagy a 69. cikk szerinti egészségügyiadat-igénylést kap, amely kizárólag az e cikk (2) bekezdésével összhangban kijelölt megbízható egészségügyiadat-birtokos birtokában lévő elektronikus egészségügyi adatokra vonatkozik, az e cikk (4)-(6) bekezdésben meghatározott eljárást kell alkalmazni.

(2) A tagállamok létrehozhatnak egy olyan eljárást, amely szerint az egészségügyiadat-birtokosok kérelmezhetik megbízható egészségügyiadat-birtokoként való kijelölésüket, feltéve, hogy az egészségügyiadat-birtokosok megfelelnek a következő feltételeknek:

a) a 73. cikknek megfelelő biztonságos adatkezelési környezeten keresztül képesek biztosítani az egészségügyi adatokhoz való hozzáférést;

b) rendelkeznek az egészségügyiadat-hozzáférés iránti kérelmek és az egészségügyiadat-igénylések értékeléséhez szükséges szakértelemmel;

c) biztosítják az e rendeletnek való megfelelés biztosításához szükséges garanciákat.

A tagállamok azt követően jelölik ki a megbízható egészségügyiadat-birtokosokat, hogy az egészségügyi adatokhoz való hozzáférés tekintetében illetékes releváns szerv értékelte az említett feltételek teljesülését.

A tagállamok eljárást hoznak létre annak rendszeres felülvizsgálatára, hogy a megbízható egészségügyiadat-birtokos továbbra is teljesíti-e az említett feltételeket.

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek a 77. cikkben említett adatkészlet-katalógusban feltüntetik a megbízható egészségügyiadat-birtokosokat.

(3) Az (1) bekezdésben említett egészségügyiadat-hozzáférés iránti kérelmeket és egészségügyiadat-igényléseket az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervhez kell benyújtani, amely továbbíthatja azokat a releváns megbízható egészségügyiadat-birtokos számára.

(4) Az egészségügyiadat-hozzáférés iránti kérelemnek vagy az egészségügyiadat-igénylésnek az e cikk (3) bekezdése szerinti kézhezvételét követően, a megbízható egészségügyiadat-birtokos -esettől függően a 68. cikk (1) és (2) bekezdésében vagy a 69. cikk (2) és (3) bekezdésében felsorolt kritériumok alapján - értékeli az egészségügyiadat-hozzáférés iránti kérelmet vagy az egészségügyiadat-igénylést.

(5) A megbízható egészségügyiadat-birtokos az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervtől kapott egészségügyiadat-hozzáférés iránti kérelem vagy az egészségügyiadat-igénylés kézhezvételétől számított két hónapon belül - határozati javaslat kíséretében - benyújtja a (4) bekezdés alapján elvégzett értékelést az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervhez. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv az értékelés kézhezvételétől számított két hónapon belül határozatot hoz az egészségügyiadat-hozzáférés iránti kérelemről vagy az egészségügyiadat-igénylésről. Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet nem köti a megbízható egészségügyiadat-birtokos által benyújtott javaslat.

(6) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek az adatengedély kiállítására vagy az egészségügyiadat-igénylés jóváhagyására vonatkozó határozatát követően a megbízható egészségügyiadat-birtokos elvégzi az 57. cikk (1) bekezdésének a) pontja i. alpontjában és b) pontjában említett feladatokat.

(7) Az 56. cikkben említett uniós egészségügyiadat-hozzáférési szolgáltatás megbízható egészségügyiadat-birtokosként jelölhet ki olyan egészségügyiadat-birtokosokat, amelyek olyan uniós intézmények, szervek, hivatalok vagy ügynökségek, amelyek megfelelnek az e cikk (2) bekezdése első albekezdésének a), b) és c) pontjában meghatározott feltételeknek. Amennyiben így tesz, az e cikk (2) bekezdésének harmadik és negyedik albekezdése, valamint (3)-(6) bekezdése értelemszerűen alkalmazandó.

73. cikk

Biztonságos adatkezelési környezet

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek csak olyan biztonságos adatkezelési környezeten keresztül biztosítanak hozzáférést az adatengedély szerinti elektronikus egészségügyi adatokhoz, amelyre technikai és szervezeti intézkedések, valamint biztonsági és interoperabilitási követelmények vonatkoznak. Így különösen, a biztonságos adatkezelési környezetnek a következő biztonsági intézkedéseknek kell megfelelnie:

a) a biztonságos adatkezelési környezethez való hozzáférést a 68. cikk alapján kiadott adatengedélyben felsorolt felhatalmazott természetes személyekre korlátozzák;

b) a legkorszerűbb technikai és szervezeti intézkedésekkel minimalizálják a biztonságos adatkezelési környezetben tárolt elektronikus egészségügyi adatok jogosulatlan leolvasásának, másolásának, módosításának vagy eltávolításának kockázatát;

c) korlátozott számú, jogosult, azonosítható személyre korlátozzák az elektronikus egészségügyi adatok bevitelét és a biztonságos adatkezelési környezetben tárolt elektronikus egészségügyi adatok ellenőrzését, módosítását vagy törlését;

d) biztosítják, hogy az egészségügyiadat-felhasználók kizárólag az adatengedélyükben szereplő elektronikus egészségügyi adatokhoz férjenek hozzá, csak egyéni és egyedi felhasználói azonosítókkal és bizalmas hozzáférési módokkal;

e) azonosítható naplókat vezetnek a biztonságos adatkezelési környezethez való hozzáférésről és az abban végzett tevékenységekről az említett környezetben végzett valamennyi adatkezelési művelet ellenőrzéséhez és auditálásához szükséges ideig; a hozzáférési naplókat legalább egy évig meg kell őrizni;

f) biztosítják a megfelelést és az e bekezdésben említett biztonsági intézkedések nyomon követését a potenciális biztonsági fenyegetések mérséklése érdekében.

(2) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek biztosítják, hogy az egészségügyiadat-birtokosoktól származó, az adatengedélyben meghatározott formátumban lévő elektronikus egészségügyi adatokat az említett egészségügyiadat-birtokosok feltölthessék, és azokhoz az egészségügyiadat-felhasználó biztonságos adatkezelési környezetben férhessen hozzá.

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek felülvizsgálják a letöltési kérelemben foglalt elektronikus egészségügyi adatokat annak biztosítására, hogy az egészségügyiadat-felhasználók csak nem személyes elektronikus egészségügyi adatokat - ideértve az anonimizált statisztikai formátumban lévő elektronikus egészségügyi adatokat is - tölthessenek le a biztonságos adatkezelési környezetből.

(3) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek biztosítják a biztonságos adatkezelési környezetek - többek között harmadik felek általi - ellenőrzésének rendszeres elvégzését, és az említett ellenőrzések által a biztonságos adatkezelési környezetekben azonosított hiányosságok, kockázatok vagy sebezhetőségek tekintetében korrekciós intézkedést hoznak.

(4) Amennyiben az (EU) 2022/868 rendelet IV. fejezete szerinti elismert adataltruista szervezetek személyes elektronikus egészségügyi adatokat kezelnek biztonságos adatkezelési környezetben, e környezeteknek az e cikk (1) bekezdésének a)-f) pontjában meghatározott biztonsági intézkedéseknek is meg kell felelniük.

(5) 2027. március 26-ig a Bizottság végrehajtási jogi aktusok révén meghatározza a biztonságos adatkezelési környezetekre vonatkozó műszaki, szervezeti, információbiztonsági, bizalmassági, adatvédelmi és interoperabilitási követelményeket, többek között a biztonságos adatkezelési környezetekben az egészségügyiadat-felhasználó rendelkezésére álló műszaki jellemzők és eszközök tekintetében. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

74. cikk

Adatkezelői szerep

(1) Az egészségügyiadat-birtokost adatkezelőnek kell tekinteni a 60. cikk (1) bekezdése alapján kért személyes elektronikus egészségügyi adatoknak az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv számára történő rendelkezésre bocsátása tekintetében.

Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet adatkezelőnek kell tekinteni az e rendelet szerinti feladatainak teljesítésekor a személyes elektronikus egészségügyi adatok kezelése tekintetében.

E bekezdés második albekezdése ellenére az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervet úgy kell tekinteni, hogy - az adatkezelőként eljáró egészségügyiadat-felhasználó nevében - adatfeldolgozóként jár el a személyes elektronikus egészségügyi adatoknak biztonságos adatkezelési környezetben a 68. cikk alapján kiadott adatengedély szerinti kezelése tekintetében, amikor ilyen környezeten keresztül szolgáltat adatokat, vagy az ilyen adatoknak a 69. cikk alapján jóváhagyott egészségügyiadat-igénylés szerinti, választ generálása céljából történő kezelése tekintetében.

(2) A 72. cikk (6) bekezdésében említett helyzetekben a megbízható egészségügyiadat-birtokost adatkezelőnek kell tekinteni az elektronikus egészségügyi adatoknak az egészségügyiadat-felhasználó számára adatengedély vagy egészségügyiadat-igénylés alapján történő szolgáltatásával kapcsolatos személyes elektronikus egészségügyi adatok kezelése tekintetében. A megbízható egészségügyiadat-birtokost úgy kell tekinteni, hogy az egészségügyiadat-felhasználó nevében adatfeldolgozóként jár el, amikor biztonságos adatkezelési környezeten keresztül szolgáltat adatokat.

(3) A Bizottság végrehajtási jogi aktusok révén mintákat dolgozhat ki az adatkezelők és az adatfeldolgozók közötti megállapodásokhoz e cikk (1) és (2) bekezdése alapján. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

4. SZAKASZ

A másodlagos felhasználásra szolgáló, határokon átnyúló infrastruktúra

75. cikk

EgészségügyiAdatok@EU (HealthData@EU)

(1) Minden tagállam kijelöl egy másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontot. Az említett, másodlagos felhasználást szolgáló nemzeti kapcsolattartó pont olyan szervezeti és technikai kapu, amely lehetővé teszi és felelős a másodlagos felhasználásra szánt elektronikus egészségügyi adatok határokon átnyúló kontextusban történő rendelkezésre bocsátásáért. A másodlagos felhasználást szolgáló nemzeti kapcsolattartó pont lehet az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveket koordináló, az 55. cikk (1) bekezdésében említett szerv. Minden egyes tagállam 2027. március 26-ig tájékoztatja a Bizottságot a másodlagos felhasználást szolgáló nemzeti kapcsolattartó pont nevéről és elérhetőségéről. A Bizottság és a tagállamok az említett információkat a nyilvánosság számára elérhetővé teszik.

(2) Az uniós egészségügyiadat-hozzáférési szolgáltatás az uniós intézmények, szervek, hivatalok és ügynökségek kapcsolattartó pontjaként működik a másodlagos felhasználás tekintetében, és felelős az elektronikus egészségügyi adatok másodlagos felhasználás céljából történő rendelkezésre bocsátásáért.

(3) Az (1) bekezdésben említett másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontoknak és a (2) bekezdésben említett uniós egészségügyiadat-hozzáférési szolgáltatásnak csatlakoznia kell a másodlagos felhasználást szolgáló határokon átnyúló infrastruktúrához, nevezetesen az EgészségügyiAdatok@EU-hoz (HealthData@EU). A másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontok és az uniós egészségügyiadat-hozzáférési szolgáltatás az EgészségügyiAdatok@EU (HealthData@EU) különböző felhatalmazott résztvevői számára megkönnyítik a másodlagos felhasználásra szánt elektronikus egészségügyi adatokhoz történő, határokon átnyúló hozzáférést. A másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontok szorosan együttműködnek egymással és a Bizottsággal.

(4) Az olyan egészségügyi vonatkozású kutatási infrastruktúrák vagy hasonló infrastruktúrák, amelyek működése az uniós jogon alapul, és amelyek támogatást nyújtanak az elektronikus egészségügyi adatok kutatási, szakpolitikai döntéshozatali, statisztikai, betegbiztonsági vagy szabályozási célokra történő felhasználásához, az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevőivé válhatnak és csatlakozhatnak ahhoz.

(5) Harmadik országok vagy nemzetközi szervezetek akkor válhatnak az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevőivé, ha megfelelnek az e rendeletben foglalt szabályoknak, és egyenértékű feltételek mellett biztosítanak hozzáférést az Unióban található egészségügyi adatfelhasználók részére az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveik rendelkezésére álló elektronikus egészségügyi adatokhoz, feltéve, hogy megfelelnek az (EU) 2016/679 rendelet V. fejezetének.

A Bizottság végrehajtási jogi aktusok révén meghatározhatja, hogy egy harmadik ország másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontja vagy egy nemzetközi szervezet által nemzetközi szinten létrehozott rendszer - az egészségügyi adatok másodlagos felhasználása céljából - megfelel az EgészségügyiAdatok@EU (HealthData@EU) követelményeinek, megfelel e fejezetnek, és hozzáférést biztosít az Unióban található egészségügyiadat-felhasználók számára azon elektronikus egészségügyi adatokhoz, amelyekhez az EgészségügyiAdatok@EU (HealthData@EU) feltételeivel egyenértékű feltételek mellett fér hozzá. Az említett jogi, szervezeti, műszaki és biztonsági követelményeknek - többek között a 73. cikkben előírt, a biztonságos adatkezelési környezetre vonatkozó szabványoknak - való megfelelést a Bizottság irányítása alatt kell ellenőrizni. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni. A Bizottság nyilvánosan hozzáférhetővé teszi az e bekezdés alapján elfogadott végrehajtási jogi aktusok jegyzékét.

(6) Minden egyes másodlagos felhasználást szolgáló nemzeti kapcsolattartó pont és az EgészségügyiAdatok@EU (HealthData@EU) minden egyes felhatalmazott résztvevője megszerzi az EgészségügyiAdatok@EU-hoz (HealthData@EU) való csatlakozáshoz és az abban való részvételhez szükséges technikai képességeket. Meg kell felelniük az EgészségügyiAdatok@EU (HealthData@EU) működtetéséhez és az ahhoz való csatlakozásuk lehetővé tételéhez szükséges követelményeknek és műszaki előírásoknak.

(7) A tagállamok és a Bizottság létrehozza az EgészségügyiAdatok@EU-t (HealthData@EU), hogy támogassák és megkönnyítsék a másodlagos felhasználásra szánt elektronikus egészségügyi adatokhoz történő, határokon átnyúló hozzáférést, amely összekapcsolja a másodlagos felhasználására szolgáló nemzeti kapcsolattartó pontokat és az EgészségügyiAdatok@EU-t (HealthData@EU) felhatalmazott résztvevőit, valamint a (8) bekezdésben említett központi platformot.

(8) A Bizottság kifejleszti, telepíti és működteti az EgészségügyiAdatok@EU (HealthData@EU) központi platformját oly módon, hogy az EgészségügyiAdatok@EU (HealthData@EU) részeként biztosítja az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek közötti információcsere támogatásához és megkönnyítéséhez szükséges információtechnológiai szolgáltatásokat. A Bizottság az elektronikus egészségügyi adatokat kizárólag az adatkezelők nevében, adatfeldolgozóként kezelheti.

(9) Amennyiben két vagy több másodlagos felhasználást szolgáló nemzeti kapcsolattartó pont kéri, a Bizottság a 73. cikk követelményeinek megfelelő biztonságos adatkezelési környezetet biztosíthat az egynél több tagállamból származó adatok számára. Amennyiben két vagy több másodlagos felhasználást szolgáló nemzeti kapcsolattartó pont vagy az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevői elektronikus egészségügyi adatokat visznek be a Bizottság által kezelt biztonságos adatkezelési környezetbe, ezek közös adatkezelőnek minősülnek, a Bizottság pedig adatfeldolgozó az adott környezetben történő adatkezelés céljából.

(10) A másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontok közös adatkezelőként járnak el az EgészségügyiAdatok@EU-ban (HealthData@EU) végzett azon adatkezelési műveletek tekintetében, amelyekben eljárnak, és a Bizottság az adatfeldolgozóként jár el ezen másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontok nevében anélkül, hogy ez érintené az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek ezen adatkezelési műveleteket megelőző és azokat követő feladatait.

(11) A tagállamok és a Bizottság törekednek arra, hogy biztosítsák az EgészségügyiAdatok@EU (HealthData@EU) interoperabilitását az (EU) 2022/868 és az (EU) 2023/2854 rendeletben említett egyéb releváns közös európai adatterekkel.

(12) 2027. március 26-ig a Bizottság végrehajtási aktusok révén meghatározza a következőket:

a) az EgészségügyiAdatok@EU (HealthData@EU) követelményei, műszaki előírásai és informatikai architektúrája, amelyek biztosítják a legkorszerűbb adatbiztonságot, a bizalmas jelleget és az elektronikus egészségügyi adatok védelmét a EgészségügyiAdatok@EU-ban (HealthData@EU);

b) az EgészségügyiAdatok@EU-hoz (HealthData@EU) való csatlakozáshoz és a csatlakozás fenntartásához előírt szükséges feltételek és megfelelőségi ellenőrzések, valamint az EgészségügyiAdatok@EU-ból (HealthData@EU) való ideiglenes lecsatlakoztatás vagy végleges kizárás feltételei, beleértve a súlyos kötelességszegés vagy az ismételt jogsértés eseteire vonatkozó különleges rendelkezéseket;

c) az infrastruktúrában a másodlagos felhasználást szolgáló nemzeti kapcsolattartó pontok és az EgészségügyiAdatok@EU-hoz (HealthData@EU) felhatalmazott résztvevői által teljesítendő minimumkövetelmények;

d) az EgészségügyiAdatok@EU-ban (HealthData@EU) részt vevő adatkezelők és adatfeldolgozók felelősségei;

e) az adatkezelőknek és adatfeldolgozóknak a Bizottság által kezelt biztonságos adatkezelési környezet tekintetében fennálló felelősségei;

f) az EgészségügyiAdatok@EU (HealthData@EU) architektúrájára vonatkozó közös előírások és annak interoperabilitása más közös európai adatterekkel.

Az e bekezdés első albekezdésében említett végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

(13) Az e cikk (5) bekezdésében említett megfelelőségi ellenőrzés pozitív eredménye esetén a Bizottság végrehajtási jogi aktusok révén határozhat az egyes felhatalmazott résztvevőknek az EgészségügyiAdatok@EU-hoz (HealthData@EU) való csatlakoztatásáról. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

76. cikk

Hozzáférés a másodlagos felhasználásra szánt elektronikus egészségügyi adatok határokon átnyúló nyilvántartásaihoz vagy adatbázisaihoz

(1) A határokon átnyúló nyilvántartások és adatbázisok esetében azon egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv, amelynél az egészségügyiadat-birtokost a konkrét nyilvántartás vagy adatbázis tekintetében nyilvántartásba vették, illetékes dönteni az egészségügyiadat-hozzáférés iránti kérelmekről, hogy valamely egészségügyiadat-engedély alapján hozzáférést biztosítson elektronikus egészségügyi adatokhoz. Amennyiben az ilyen nyilvántartásoknak vagy adatbázisoknak közös adatkezelői vannak, azon elektronikus egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv, amely döntést hoz arról, hogy az egészségügyiadat-hozzáférés iránti kérelmeket elektronikus egészségügyi adatokhoz való hozzáférés biztosítására kell használni, minősül azon tagállam elektronikus egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervének, ahol a közös adatkezelők egyike letelepedett.

(2) Amennyiben több tagállam nyilvántartásai vagy adatbázisai a nyilvántartások vagy adatbázisok egyetlen uniós szintű hálózatába szerveződnek, a csatlakozott nyilvántartások vagy adatbázisok koordinátort jelölhetnek ki, hogy biztosítsák a nyilvántartások vagy adatbázisok hálózatából származó, másodlagos felhasználás céljából történő adatszolgáltatást. Azon tagállamnak az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerve, amelyben a hálózat koordinátora letelepedett, illetékes dönteni az elektronikus egészségügyi adatokhoz való hozzáférés nyilvántartások vagy adatbázisok hálózata részére történő biztosításához felhasználandó egészségügyi adathozzáférés iránti kérelmekről.

5. SZAKASZ

Az egészségügyi adatok minősége és hasznossága a másodlagos felhasználás szempontjából

77. cikk

Az adatkészlet leírása és az adatkészlet-katalógus

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek - egy nyilvánosan elérhető és szabványosított, géppel olvasható adatkészlet-katalóguson keresztül - metaadatok formájában leírást adnak a rendelkezésre álló adatkészletekről és azok jellemzőiről. Minden egyes adatkészlet leírásának tartalmaznia kell az adatkészletben szereplő elektronikus egészségügyi adatok forrására, hatályára, fő jellemzőire és jellegére, valamint az említett adatok rendelkezésre bocsátásának feltételeire vonatkozó információkat.

(2) A nemzeti adatkészlet-katalógusban szereplő adatkészlet-leírásoknak az Unió legalább egy hivatalos nyelvén rendelkezésre kell állniuk. Az uniós egészségügyiadat-hozzáférési szolgáltatás által az uniós intézmények, szervek, hivatalok és ügynökségek számára biztosított adatkészlet-katalógusnak az Unió valamennyi hivatalos nyelvén rendelkezésre kell állnia.

(3) Az adatkészlet-katalógust az (EU) 2022/868 rendelet 8. cikke alapján létrehozott vagy kijelölt egyablakos információs pontok számára is rendelkezésre kell bocsátani.

(4) 2027. március 26-ig a Bizottság végrehajtási jogi aktusok útján meghatározza az egészségügyiadat-birtokosok által az adatkészletekre vonatkozóan biztosítandó minimális elemeket és az említett elemek jellemzőit. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

78. cikk

Adatminőségi és -hasznossági címke

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveken keresztül rendelkezésre bocsátott adatkészletek rendelkezhetnek az egészségügyiadat-birtokosok által alkalmazott uniós adatminőségi és -hasznossági címkével.

(2) Az uniós vagy nemzeti közfinanszírozás támogatásával gyűjtött és kezelt elektronikus egészségügyi adatokat tartalmazó adatkészletek a (3) bekezdésben meghatározott elemekre kiterjedő adatminőségi és -hasznossági címkével rendelkeznek.

(3) Az adatminőségi és -hasznossági címke adott esetben a következő elemekre terjed ki:

a) az adatdokumentáció tekintetében: metaadatok, kiegészítő dokumentáció, a felhasznált adatszótár, formátum és szabványok, az adatok forrása és adott esetben az adatmodell;

b) a technikai minőség értékelése tekintetében: az adatok teljessége, egyedisége, pontossága, érvényessége, időszerűsége és következetessége;

c) az adatminőség-irányítási folyamatok tekintetében: az adatminőség-irányítási folyamatok érettségi szintje, beleértve a felülvizsgálati és ellenőrzési folyamatokat, valamint elfogultsági vizsgálat;

d) a lefedettség felmérése tekintetében: az időszak, a népesség lefedettsége és adott esetben a mintavételezett népesség reprezentativitása, valamint a természetes személy adatkészletben való megjelenésének átlagos időtartama;

e) a hozzáférésre és a rendelkezésre bocsátásra vonatkozó információk tekintetében: az elektronikus egészségügyi adatok gyűjtése és az adatkészlethez való hozzáadása között eltelt idő, valamint az elektronikus egészségügyi adatok megadásához szükséges idő az adatengedély kiállítását vagy az egészségügyiadat-igénylés jóváhagyása kiállítását követően;

f) az adatok módosítására vonatkozó információk tekintetében: adatok összevonása és hozzáadása egy meglévő adatkészlethez, beleértve a más adatkészletekkel való kapcsolatokat is.

(4) Amennyiben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervnek oka van feltételezni, hogy valamely adatminőségi és -hasznossági címke pontatlan lehet, értékelnie kell, hogy a címke hatálya alá tartozó adatkészlet megfelel-e a (3) bekezdésben említett, az adatminőségi és -hasznossági címke elemeinek részét képező minőségi követelményeknek, és abban az esetben, ha az adatkészlet nem felel meg a minőségi követelményeknek, visszavonja a címkét.

(5) A Bizottság felhatalmazást kap arra, hogy a 97. cikknek megfelelően felhatalmazáson alapuló jogi aktusokat fogadjon el e rendelet módosítására azáltal, hogy módosítja, kiegészíti vagy törli az e cikk (3) bekezdésében említett, az adatminőségi és -hasznossági címke hatálya alá vonandó elemeket.

(6) 2027. március 26-ig a Bizottság végrehajtási jogi aktusok útján - az e cikk (3) bekezdésében említett elemek alapján - meghatározza az adatminőségi és -hasznossági címke vizuális jellemzőit és műszaki előírásait. Ezeket a végrehajtási jogi aktusokat az e rendelet 98. cikkének (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni. Ezek a végrehajtási jogi aktusok figyelembe veszik az (EU) 2024/1689 rendelet 10. cikkében foglalt követelményeket, valamint adott esetben az említett követelményeket alátámasztó bármely elfogadott egységes előírást vagy harmonizált szabványt.

79. cikk

Uniós adatkészlet-katalógus

(1) A Bizottság uniós adatkészlet-katalógust hoz létre, amely összekapcsolja az egyes tagállamokban az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek által létrehozott nemzeti adatkészlet-katalógusokat és az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevőinek adatkészlet-katalógusait.

(2) Az uniós adatkészlet-katalógust, a nemzeti adatkészlet-katalógusokat és az EgészségügyiAdatok@EU (HealthData@EU) felhatalmazott résztvevőinek adatkészlet-katalógusait nyilvánosan hozzáférhetővé kell tenni.

80. cikk

A jelentős hatást gyakorló adatkészletekre vonatkozó minimális előírások

A Bizottság végrehajtási jogi aktusok útján meghatározhatja a másodlagos felhasználásra jelentős hatást gyakorló adatkészletekre vonatkozó minimális előírásokat, figyelembe véve a meglévő uniós infrastruktúrákat, szabványokat, iránymutatásokat és ajánlásokat. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

6. SZAKASZ

Panaszok

81. cikk

Egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervhez történő panaszbenyújtáshoz való jog

(1) Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül a természetes és jogi személyeknek jogukban áll, hogy - egyénileg vagy adott esetben kollektíven - az e fejezetben megállapított rendelkezésekkel kapcsolatban panaszt nyújtsanak be egy egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervhez, feltéve, hogy a jogaikat vagy az érdekeiket hátrány érte.

(2) Azon egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a panasz kezelése során tett előrehaladásról és a panaszra vonatkozóan meghozott határozatról.

(3) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek könnyen hozzáférhető eszközöket biztosítanak a panaszok benyújtására.

(4) Amennyiben a panasz a természetes személyeknek az e rendelet 71. cikke szerinti jogaira vonatkozik, a panaszt továbbítani kell az (EU) 2016/679 rendelet szerinti illetékes felügyeleti hatósághoz. A releváns egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv az (EU) 2016/679 rendelet szerinti, említett felügyeleti hatóság számára megadja a rendelkezésére álló szükséges információkat annak érdekében, hogy megkönnyítse a panasz értékelését és kivizsgálását.

V. FEJEZET

TOVÁBBI INTÉZKEDÉSEK

82. cikk

Kapacitásépítés

A Bizottság támogatja a tagállami kapacitásépítést szolgáló legjobb gyakorlatok és szakértelem megosztását, hogy megerősítsék az elsődleges felhasználásra és a másodlagos felhasználásra szolgáló digitális egészségügyi rendszereket, figyelembe véve az érintett érdekelt felek különböző kategóriáinak sajátos körülményeit. Az említett kapacitásépítés támogatása érdekében a Bizottság - a tagállamokkal szorosan együttműködve és konzultálva - megállapítja az elsődleges felhasználásra és a másodlagos felhasználásra vonatkozó önértékelési mutatókat.

83. cikk

Képzési programok és tájékoztatás egészségügyi szakemberek számára

(1) A tagállamok az egészségügyi szakemberek számára képzési programokat dolgoznak ki és hajtanak végre, vagy azokhoz hozzáférést biztosítanak, továbbá hozzáférést biztosítanak információkhoz, annak érdekében, hogy az egészségügyi szakemberek megértsék és hatékonyan töltsék be szerepüket az elektronikus egészségügyi adatok elsődleges felhasználásában és az azokhoz való hozzáférésben, többek között a 11., a 13. és a 16. cikkel kapcsolatban. A Bizottság e tekintetben támogatást nyújt a tagállamoknak.

(2) A képzési programoknak és információknak minden egészségügyi szakember számára hozzáférhetőnek és megfizethetőnek kell lenniük, az egészségügyi rendszerek nemzeti szintű megszervezésének sérelme nélkül.

84. cikk

A digitális egészségügyi jártasság és a digitális egészségügyhöz való hozzáférés

(1) A tagállamok előmozdítják és támogatják a digitális egészségügyi jártasságot, valamint a betegek releváns kompetenciáinak és készségeinek a fejlesztését. A Bizottság e tekintetben támogatja a tagállamokat. A figyelemfelkeltő kampányoknak vagy programoknak különösen arra kell irányulniuk, hogy tájékoztassák a betegeket és a széles nyilvánosságot az európai egészségügyi adattér keretében történő elsődleges felhasználásáról és másodlagos felhasználásáról, ideértve az azokból eredő jogokat is, valamint az elsődleges felhasználásnak és a másodlagos felhasználásnak a tudományt és a társadalmat érintő előnyeiről, kockázatairól és potenciális hasznairól.

(2) A (1) bekezdésben említett figyelemfelkeltő kampányokat és programokat az egyes csoportok igényeihez kell igazítani, és azokat ki kell dolgozni, felül kell vizsgálni, és szükség esetén naprakésszé kell tenni.

(3) A tagállamok előmozdítják a természetes személyek elektronikus egészségügyi adatainak hatékony kezeléséhez szükséges infrastruktúrához való hozzáférést, mind az elsődleges felhasználás, mind a másodlagos felhasználás tekintetében.

85. cikk

A közbeszerzésre és az uniós finanszírozásra vonatkozó további követelmények

(1) Az ajánlatkérő szerveknek - ideértve a digitális egészségügyi hatóságokat és az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerveket, valamint az uniós intézményeket, szerveket, hivatalokat vagy ügynökségeket - a közbeszerzési eljárások tekintetében, és az ajánlattételi dokumentációjuk vagy pályázati felhívásaik kidolgozásakor, valamint az uniós finanszírozás feltételeinek e rendelet tekintetében történő meghatározásakor - beleértve a strukturális és kohéziós alapokra vonatkozó előfeltételeket is - hivatkozniuk kell a 15., a 23., a 36., a 73., a 75. és a 78. cikkben említett alkalmazandó műszaki előírásokra, szabványokra és profilokra.

(2) Az Uniótól származó finanszírozás megszerzésének kritériumai figyelembe veszik a II., III. és IV. fejezet keretében kidolgozott követelményeket.

86. cikk

Személyes elektronikus egészségügyi adatok elsődleges felhasználás céljából történő tárolása

Az uniós jog általános elveivel, köztük az Európai Unió Alapjogi Chartájának 7. és 8. cikkében rögzített alapvető jogokkal összhangban a tagállamok - megfelelő technikai és szervezeti intézkedések révén - biztosítják, hogy különösen magas szintű védelem és biztonság legyen érvényben a személyes elektronikus egészségügyi adatok elsődleges felhasználás céljából történő kezelése során. E tekintetben e rendelet nem zárhatja ki - figyelembe véve a nemzeti kontextust - annak a nemzeti jog szerinti előírását, hogy - amennyiben a személyes elektronikus egészségügyi adatokat az egészségügyi szolgáltatók egészségügyi ellátás nyújtása céljából kezelik vagy az Egészségem@EU-hoz (MyHealth@EU) csatlakozott, digitális egészségügyért felelős nemzeti kapcsolattartó pontok kezelik - az e rendelet 14. cikkében említett személyes elektronikus egészségügyi adatok elsődleges felhasználás céljából történő tárolására az Unión belül kerüljön sor, az uniós jognak és a nemzetközi kötelezettségvállalásoknak megfelelően.

87. cikk

A személyes elektronikus egészségügyi adatok egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek általi tárolása és biztonságos adatkezelési környezetek

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek, a megbízható egészségügyiadat-birtokosok és az uniós egészségügyiadat-hozzáférési szolgáltatás személyes elektronikus egészségügyi adatokat tárolnak és kezelnek az Unióban, amikor a 67-72. cikkben említett álnevesítést, anonimizálást és bármely más személyesadat-kezelési műveletet végeznek, a 73. cikk és a 75. cikk (9) bekezdése értelmében vett biztonságos adatkezelési környezeteken keresztül vagy az EgészségügyiAdatok@EU-n (HealthData@EU) keresztül. Az említett követelmény alkalmazandó az említett feladatokat az ilyen szervek, adatbirtokosok vagy szolgálat nevében végző minden szervezetre.

(2) Az e cikk (1) bekezdése alól kivételt képezve, az ugyanazon bekezdésben említett adatok tárolhatók és kezelhetők valamely harmadik országban, vagy az említett harmadik országon belüli területen vagy annak egy vagy több meghatározott ágazatában, amennyiben az ilyen harmadik ország, terület vagy ágazat az (EU) 2016/679 rendelet 45. cikke alapján elfogadott megfelelőségi határozat hatálya alá tartozik.

88. cikk

Nem személyes elektronikus adatok harmadik országnak történő továbbítása

(1) Az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek által az e rendelet 68. cikke alapján kiállított adatengedély vagy az e rendelet 69. cikke alapján jóváhagyott egészségügyiadat-igénylés alapján valamely harmadik országbeli egészségügyiadat-felhasználó számára, harmadik országbeli felhatalmazott résztvevők számára vagy valamely nemzetközi szervezet számára hozzáférhetővé tett nem személyes elektronikus egészségügyi adatokat - amelyek egy természetes személynek az e rendelet 51. cikkében említett kategóriák egyikébe tartozó elektronikus egészségügyi adatain alapulnak - az (EU) 2022/868 rendelet 5. cikkének (13) bekezdése értelmében rendkívül érzékeny adatoknak kell tekinteni, amennyiben az ilyen nem személyes elektronikus adatok harmadik országokba történő továbbítása olyan eszközökkel történő újbóli azonosítás kockázatával jár, amelyek túlmutatnak azon eszközökön, amelyek felhasználása észszerűen feltételezhető, különös tekintettel az említett adatok által érintett természetes személyek korlátozott számára, azon tényre, hogy e személyek földrajzilag elszórtan helyezkednek el, vagy a közeljövőben várható technológiai fejlődésre.

(2) Az e cikk (1) bekezdésében említett adatkategóriákra vonatkozó védelmi intézkedéseket az (EU) 2022/868 rendelet 5. cikkének (13) bekezdésében említett, felhatalmazáson alapuló jogi aktus részletezi.

89. cikk

Nemzetközi kormányzati hozzáférés a nem személyes elektronikus egészségügyi adatokhoz

(1) A digitális egészségügyi hatóságok, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek, a 23. és a 75. cikkben foglalt határokon átnyúló infrastruktúrák felhatalmazott résztvevői és az egészségügyiadat-felhasználók minden észszerű technikai, jogi és szervezeti intézkedést megtesznek, beleértve a szerződéses megállapodásokat is, annak érdekében, hogy megakadályozzák az Unióban tárolt nem személyes elektronikus egészségügyi adatok harmadik országba vagy nemzetközi szervezetnek történő továbbítását, beleértve a harmadik országbeli kormányzati hozzáférést is, amennyiben az ilyen továbbítás az uniós joggal vagy a releváns tagállam nemzeti jogával ellentétes lenne.

(2) Valamely harmadik ország bíróságának bármely olyan ítélete, valamint valamely harmadik ország közigazgatási hatóságának bármely olyan határozata, amely valamely digitális egészségügyi hatóság, valamely, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv vagy egészségügyiadat-felhasználók számára az e rendelet hatálya alá tartozó, az Unióban tárolt nem személyes elektronikus egészségügyi adatok továbbítását vagy azokhoz való hozzáférés lehetővé tételét írja elő, csak akkor ismerhető el vagy hajtható végre bármely módon, ha az az adatigénylő harmadik ország és az Unió között létrejött, hatályban lévő nemzetközi megállapodáson, így például kölcsönös jogsegélyszerződésen, vagy az adatigénylő harmadik ország és egy tagállam között létrejött bármely ilyen megállapodáson alapul.

(3) A (2) bekezdésben említett nemzetközi megállapodás hiányában, amennyiben digitális egészségügyi hatóság, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv vagy egészségügyiadat-felhasználó a címzettje valamely harmadik ország bírósága által kiadott határozatnak vagy ítéletnek, vagy valamely harmadik országbeli közigazgatási hatóság határozatának, amely az e rendelet hatálya alá tartozó, az Unióban tárolt nem személyes adatok továbbítását vagy az azokhoz való hozzáférés lehetővé tételét írja elő, és az ilyen határozatnak vagy ítéletnek való megfelelés miatt a határozat vagy ítélet címzettje konfliktusba kerülne az uniós joggal vagy a releváns tagállam nemzeti jogával, az ilyen adatoknak az említett harmadik országbeli bíróság, törvényszék vagy közigazgatási hatóság számára történő továbbítására vagy azokhoz hozzáférés biztosítására csak akkor kerülhet sor, amennyiben:

a) a harmadik országbeli jogrendszer előírja az ilyen határozat vagy ítélet indokolásának és arányosságának bemutatását, valamint előírja az ilyen határozat vagy ítélet konkrét jellegét, például azáltal, hogy bizonyos gyanúsított személyekkel vagy jogsértésekkel elégséges kapcsolatot állapít meg;

b) a címzett indokolt kifogását a harmadik ország illetékes bírósága felülvizsgálhatja; és

c) a határozatot vagy az ítéletet hozó, vagy a közigazgatási hatóság határozatát felülvizsgáló, harmadik országbeli illetékes bíróság a harmadik ország nemzeti joga szerint felhatalmazással rendelkezik arra, hogy kellő mértékben figyelembe vegye az uniós jog vagy a releváns tagállam nemzeti joga által védett adatok szolgáltatójának releváns jogi érdekeit.

(4) Ha a (2) vagy (3) bekezdésben meghatározott feltételek teljesülnek, a digitális egészségügyi hatóság, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szerv vagy az adataltruista szervezet - a kérelem észszerű értelmezése alapján - rendelkezésre bocsátja a kérelem alapján engedélyezhető minimális adatmennyiséget.

(5) A digitális egészségügyi hatóságok, az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és az egészségügyiadat-felhasználók tájékoztatják az egészségügyiadat-birtokost valamely harmadik ország közigazgatási hatóságának az adataihoz való hozzáférésre irányuló kérelmének létezéséről, mielőtt teljesítenék az említett kérelmet, kivéve, ha a kérelem bűnüldözési célokat szolgál, és mindaddig, amíg a teljesítés a bűnüldözési tevékenység hatékonyságának megőrzéséhez szükséges.

90. cikk

A személyes elektronikus egészségügyi adatok harmadik ország vagy nemzetközi szervezet részére történő továbbításának további feltételei

A személyes elektronikus egészségügyi adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítását az (EU) 2016/679 rendelet V. fejezetével összhangban kell engedélyezni. A tagállamok az (EU) 2016/679 rendelet 9. cikkének (4) bekezdésével összhangban az e rendelet 24. cikkének (3) bekezdésében és 75. cikkének (5) bekezdésében és az (EU) 2016/679 rendelet V. fejezetében meghatározott követelményeken túlmenően további feltételeket tarthatnak fenn vagy vezethetnek be a személyes elektronikus egészségügyi adatokhoz való nemzetközi hozzáférésre és azok nemzetközi továbbítására vonatkozóan, beleértve a korlátozásokat is.

91. cikk

Harmadik országokból származó egészségügyiadat-hozzáférés iránti kérelmek és egészségügyiadat-igénylések

(1) A 67., a 68. és a 69. cikk sérelme nélkül az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és az uniós egészségügyiadat-hozzáférési szolgáltatás által elbírálhatónak kell tekinteni egy harmadik országban letelepedett egészségügyiadat-kérelmező által benyújtott egészségügyiadat-hozzáférés iránti kérelmeket és egészségügyiadat-igényléseket, ha az érintett harmadik ország:

a) felhatalmazott résztvevő azon az alapon, hogy rendelkezik a 75. cikk (5) bekezdésében említett végrehajtási jogi aktus hatálya alá tartozó, másodlagos felhasználást szolgáló nemzeti kapcsolattartó ponttal; vagy

b) az uniós egészségügyiadat-kérelmezők számára az említett harmadik ország elektronikus egészségügyi adataihoz való hozzáférést az e rendeletben előírtaknál nem szigorúbb feltételek mellett teszi lehetővé, és ezért az ilyen hozzáférésre az e cikk (2) bekezdésében említett valamely végrehajtási jogi aktus vonatkozik.

(2) A Bizottság végrehajtási jogi aktusok révén határozhat arról, hogy egy harmadik ország megfelel-e az e cikk (1) bekezdésének b) pontjában meghatározott követelménynek. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni. A Bizottság nyilvánosan hozzáférhetővé teszi az e bekezdés alapján elfogadott végrehajtási jogi aktusok jegyzékét.

(3) A Bizottság nyomon követi a harmadik országokban és nemzetközi szervezetekben bekövetkező azon fejleményeket, amelyek érinthetik a (2) bekezdés alapján elfogadott végrehajtási jogi aktusok alkalmazását, és biztosítja e cikk alkalmazásának időszakos felülvizsgálatát.

Amennyiben a Bizottság úgy ítéli meg, hogy egy harmadik ország már nem felel meg az e cikk (1) bekezdésének b) pontjában meghatározott követelménynek, végrehajtási jogi aktust fogad el azon harmadik országgal kapcsolatos, e cikk (2) bekezdésében említett végrehajtási jogi aktus hatályon kívül helyezéséről, amely hozzáféréssel rendelkezik. E végrehajtási jogi aktust a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

VI. FEJEZET

EURÓPAI IRÁNYÍTÁS ÉS KOORDINÁCIÓ

92. cikk

Európai Egészségügyi Adattér Testület

(1) A tagállamok és a Bizottság közötti együttműködés és információcsere megkönnyítése érdekében létrejön az Európai Egészségügyi Adattér Testület. Az Európai Egészségügyi Adattér Testület tagállamonként két képviselőből - nevezetesen egy, az elsődleges felhasználási célokért felelős képviselőből, és egy, a másodlagos felhasználási célokért felelős képviselőből - áll, akiket az egyes tagállamok jelölnek ki. Mindegyik tagállam egy szavazattal rendelkezik. Az Európai Egészségügyi Adattér Testület tagjai vállalják, hogy a közérdeket szem előtt tartva és független módon járnak el.

(2) Az Európai Egészségügyi Adattér Testület ülésein a Bizottság képviselője és a tagállamok (1) bekezdésben említett képviselőinek egyike társelnököl.

(3) A 43. cikkben említett piacfelügyeleti hatóságokat, az Európai Adatvédelmi Testületet és az európai adatvédelmi biztost, az Európai Gyógyszerügynökséget, az Európai Betegségmegelőzési és Járványvédelmi Központot és az Európai Uniós Kiberbiztonsági Ügynökséget (ENISA) meg kell hívni az üléseken való részvételre, amennyiben az Európai Egészségügyi Adattér Testület szerint ez releváns.

(4) Az Európai Egészségügyi Adattér Testület ülésein való részvételre meghívhat - a (3) bekezdésben említetteken kívül - nemzeti hatóságokat, szakértőket és megfigyelőket, valamint uniós intézményeket, szerveket, hivatalokat és ügynökségeket, továbbá kutatási infrastruktúrákat és más hasonló infrastruktúrákat is.

(5) Az Európai Egészségügyi Adattér Testület adott esetben együttműködhet külső szakértőkkel.

(6) Az elektronikus egészségügyi adatok felhasználásához kapcsolódó funkcióktól függően az Európai Egészségügyi Adattér Testület bizonyos témákat illetően olyan alcsoportokban is működhet, amelyekben a digitális egészségügyi hatóságok vagy az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek képviseltetik magukat. Az említett alcsoportok speciális szakértelemmel támogatják az Európai Egészségügyi Adattér Testületet, és szükség szerint együttes üléseket tarthatnak.

(7) Az Európai Egészségügyi Adattér Testület - a Bizottság javaslata alapján - elfogadja eljárási szabályzatát és egy magatartási kódexet. Az említett eljárási szabályzat rendelkezik az e cikk (6) bekezdésében említett alcsoportok összetételéről, szervezetéről, működéséről és együttműködéséről, valamint az Európai Egészségügyi Adattér Testületnek a 93. cikkben említett tanácsadó fórummal való együttműködéséről.

Az Európai Egészségügyi Adattér Testület amennyire csak lehetséges, konszenzussal fogad el határozatokat. Ha nem lehet konszenzust elérni, az Európai Egészségügyi Adattér Testület a tagállamok kétharmados többségével fogad el határozatokat.

(8) Az Európai Egészségügyi Adattér Testület együttműködik más releváns szervekkel, szervezetekkel és szakértőkkel, így például az (EU) 2022/868 rendelet 29. cikkével létrehozott Európai Adatinnovációs Testülettel, az (EU) 2023/2854 rendelet 37. cikkével összhangban kijelölt illetékes hatóságokkal, a 910/2014/EU rendelet 46b. cikkével összhangban kijelölt felügyeleti szervekkel, az (EU) 2016/679 rendelet 68. cikkével létrehozott Európai Adatvédelmi Testülettel, kiberbiztonsági szervekkel, többek között az ENISA-val és az európai nyílt tudományosadat-felhővel abból a célból, hogy fejlett megoldásokat érjenek el a megtalálható, hozzáférhető, interoperábilis és újrafelhasználható (FAIR) adatoknak a kutatás és innováció terén történő felhasználására.

(9) Az Európai Egészségügyi Adattér Testület munkáját a Bizottság által biztosított titkárság segíti.

(10) Az Európai Egészségügyi Adattér Testület közzéteszi az üléseinek időpontját és a megbeszéléseinek jegyzőkönyveit, valamint kétévente tevékenységi jelentést tesz közzé.

(11) A Bizottság végrehajtási jogi aktusok útján elfogadja az Európai Egészségügyi Adattér Testület létrehozásához és működéséhez szükséges intézkedéseket. Ezeket a végrehajtási jogi aktusokat a 98. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

93. cikk

Az érdekképviseleti fórum

(1) Létrejön az érdekképviseleti fórum abból a célból, hogy megkönnyítse az e rendelet végrehajtásával kapcsolatos információcserét, és előmozdítsa az érdekelt felek közötti együttműködést.

(2) Az érdekképviseleti fórum kiegyensúlyozott összetételű, és a releváns érdekelt felekből - ideértve a betegképviseleti szervezetek, az egészségügyi szakemberek, az ipar, a fogyasztói szervezetek, a tudományos kutatók és a tudományos élet képviselőit - áll, és képviseli azok álláspontját. Amennyiben az érdekképviseleti fórumban üzleti érdekeket képviselnek, az ilyen érdekek képviseletének a nagyvállalatok, a kis- és középvállalkozások és az induló innovatív vállalkozások kiegyensúlyozott kombinációján kell alapulnia. Az érdekképviseleti fórumnak a feladatai egyformán felölelik az elsődleges felhasználást és a másodlagos felhasználást.

(3) Az érdekképviseleti fórum tagjait nyilvános pályázati felhívást és átlátható kiválasztási eljárást követően a Bizottság nevezi ki. Az érdekképviseleti fórum tagjai évente érdekeltségi nyilatkozatot tesznek, amelyet nyilvánosan hozzáférhetővé kell tenni és adott esetben aktualizálni kell.

(4) Az érdekképviseleti fórum adott esetben állandó vagy ideiglenes alcsoportokat hozhat létre az e rendelet célkitűzéseivel kapcsolatos konkrét kérdések megvizsgálása céljából. Az érdekképviseleti fórum elfogadja eljárási szabályzatát.

(5) Az érdekképviseleti fórum rendszeres üléseket tart, amelyeken a Bizottság képviselője elnököl.

(6) Az érdekképviseleti fórum tevékenységeiről éves jelentést készít. Az említett jelentést nyilvánosan hozzáférhetővé kell tenni.

94. cikk

Az Európai Egészségügyi Adattér Testület feladatai

(1) Az Európai Egészségügyi Adattér Testület a következő, az elsődleges felhasználáshoz kapcsolódó feladatokat látja el a II. és a III. fejezettel összhangban:

a) segíti a tagállamokat a digitális egészségügyi hatóságok gyakorlatainak összehangolásában;

b) írásbeli hozzájárulásokat bocsát ki, és részt vesz a legjobb gyakorlatok cseréjében az e rendelet és az e rendelet alapján elfogadott, felhatalmazáson alapuló jogi aktusok és végrehajtási jogi aktusok tagállami szintű végrehajtásának koordinációjával kapcsolatos kérdésekben, beleértve a regionális és helyi szint figyelembevételét, különösen a következők tekintetében:

i. a II. és a III. fejezetben meghatározott rendelkezések;

ii. olyan online szolgáltatások kifejlesztése, amelyek megkönnyítik az egészségügyi szakemberek és természetes személyek számára az elektronikus egészségügyi adatokhoz való biztonságos hozzáférést, beleértve a biztonságos elektronikus azonosítást is;

iii. az elsődleges felhasználással kapcsolatos egyéb vonatkozások;

c) megkönnyíti a digitális egészségügyi hatóságok közötti együttműködést kapacitásépítés, a 20. cikkben említett tevékenységi jelentéstétel kereteinek kialakítása és az információcsere révén;

d) megosztja tagjai körében az EHR-rendszerek és a súlyos események jelentette kockázatokra és az ilyen kockázatok és események kezelésére vonatkozó információkat;

e) megkönnyíti az elsődleges felhasználásra vonatkozó véleménycserét a 93. cikkben említett érdekképviseleti fórummal, valamint az egészségügyi ágazat szabályozóival és szakpolitikai döntéshozóival.

(2) Az Európai Egészségügyi Adattér Testületnek a következő, a másodlagos felhasználáshoz kapcsolódó feladatai vannak a IV. fejezettel összhangban:

a) e rendelet következetes alkalmazásának biztosítása érdekében segíti a tagállamokat az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek gyakorlatainak összehangolásában a IV. fejezetben meghatározott rendelkezések végrehajtása során;

b) írásbeli hozzájárulásokat bocsát ki, és részt vesz a legjobb gyakorlatok cseréjében az e rendelet és az e rendelet alapján elfogadott, felhatalmazáson alapuló jogi aktusok és végrehajtási jogi aktusok tagállami szintű végrehajtásának koordinációjával kapcsolatos kérdésekben, különösen a következők tekintetében:

i. az elektronikus egészségügyi adatokhoz való hozzáférésre vonatkozó szabályok végrehajtása;

ii. a IV. fejezetben meghatározott követelményekre vonatkozó műszaki előírások vagy meglévő szabványok;

iii. az adatminőség és az interoperabilitás javítását előmozdító ösztönzők;

iv. az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek és az egészségügyiadat-birtokosok által felszámítandó díjakra vonatkozó szabályzatok;

v. a természetes személyek kezelésében részt vevő egészségügyi szakemberek személyes adatainak védelmét szolgáló intézkedések;

vi. a másodlagos felhasználás egyéb vonatkozásai;

c) a releváns érdekelt felekkel, köztük a betegek képviselőivel, az egészségügyi szakemberekkel és a kutatókkal konzultálva és együttműködve iránymutatásokat dolgoz ki annak érdekében, hogy segítse az egészségügyiadat-felhasználókat a 61. cikk (5) bekezdése szerinti kötelezettségeik teljesítésében és különösen annak meghatározásában, hogy megállapításaik klinikailag jelentősek-e;

d) megkönnyíti az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek közötti együttműködést a kapacitásépítés, az 59. cikk (1) bekezdésében említett tevékenységi jelentéstétel kereteinek kialakítása és az információcsere révén;

e) megosztja a másodlagos felhasználással kapcsolatos kockázatokra és eseményekre, valamint az ilyen kockázatok és események kezelésére vonatkozó információkat;

f) megkönnyíti a másodlagos felhasználással kapcsolatos véleménycserét a 93. cikkben említett érdekképviseleti fórummal, valamint az egészségügyiadat-birtokosokkal, az egészségügyiadat-felhasználókkal, az egészségügyi ágazatbeli szabályozókkal és szakpolitikai döntéshozókkal.

95. cikk

Irányítócsoportok az Egészségem@EU (MyHealth@EU) és az EgészségügyiAdatok@EU (HealthData@EU) számára

(1) E rendelet létrehozza a 23. és a 75. cikkben előírt, határokon átnyúló infrastruktúrák tekintetében az Egészségem@EU (MyHealth@EU) irányítócsoportot és az EgészségügyiAdatok@EU (HealthData@EU) irányítócsoportot (a továbbiakban: az irányítócsoportok). Mindegyik irányítócsoport tagállamonként egy-egy, a releváns nemzeti kapcsolattartó pontokból kinevezett képviselőből áll.

(2) Az irányítócsoportok operatív döntéseket hoznak az Egészségem@EU (MyHealth@EU) és az EgészségügyiAdatok@EU (HealthData@EU) fejlesztésére és működtetésére vonatkozóan.

(3) Az irányítócsoportok konszenzussal hozzák meg határozataikat. Amennyiben nem sikerül konszenzusra jutni, a határozatot a tagok kétharmadának szavazatával kell elfogadni. A határozatok elfogadásához minden tagállam egy szavazattal rendelkezik.

(4) Az irányítócsoportok eljárási szabályzatot fogadnak el, amely meghatározza az összetételüket, szervezetüket, működésüket és együttműködésüket.

(5) Más felhatalmazott résztvevőket is meghívhatók, hogy cseréljenek információt és véleményt az Egészségem@EU-val (MyHealth@EU) és az EgészségügyiAdatok@EU-val (HealthData@EU) kapcsolatos releváns kérdésekről. Amennyiben az említett felhatalmazott résztvevők meghívást kapnak, megfigyelői szerepet töltenek be.

(6) Az érdekelt felek és a releváns harmadik felek - többek között a betegek, az egészségügyi szakemberek, a fogyasztók és az ipar képviselői - meghívást kaphatnak az irányítócsoportok ülésein megfigyelőként való részvételre.

(7) Az irányítócsoportok megválasztják üléseikre az elnököket.

(8) Az irányítócsoportok munkáját a Bizottság által biztosított titkárság segíti.

96. cikk

A Bizottság szerepe és felelőssége az európai egészségügyi adattér működésével kapcsolatban

(1)

Az uniós intézmények, szervek, hivatalok vagy ügynökségek birtokában lévő elektronikus egészségügyi adatoknak az 55. cikkel, az 56. cikkel és a 75. cikk (2) bekezdésével összhangban történő rendelkezésre bocsátásában betöltött szerepén, valamint a III. fejezet - különösen a 40. cikk - szerinti feladatain túlmenően, a Bizottság - valamennyi releváns kapcsolt szervezet számára - kialakítja, fenntartja, befogadja és üzemelteti az európai egészségügyi adattér működésének támogatásához szükséges infrastruktúrákat és központi szolgáltatásokat, a következők révén:

a) interoperábilis, határokon átnyúló azonosítási és hitelesítési mechanizmus természetes személyek és egészségügyi szakemberek számára a 16. cikk (3) és (4) bekezdésével összhangban;

b) az Egészségem@EU (MyHealth@EU) digitális egészségügyi központi szolgáltatásai és infrastruktúrái a 23. cikk (1) bekezdésével összhangban;

c) a felhatalmazott résztvevőknek az Egészségem@EU-hoz (MyHealth@EU) való csatlakozására vonatkozó megfelelőségi ellenőrzések, a 23. cikk (9) bekezdésével összhangban;

d) a 24. cikk (1) bekezdésében említett határokon átnyúló kiegészítő digitális egészségügyi szolgáltatások és infrastruktúrák;

e) az EgészségügyiAdatok@EU (HealthData@EU) részeként olyan szolgáltatás, amelynek célja a 67. cikk (3) bekezdésével összhangban benyújtani a több tagállambeli egészségügyiadat-birtokosok vagy az EgészségügyiAdatok@EU (HealthData@EU) más felhatalmazott résztvevői birtokában lévő, elektronikus egészségügyi adatokhoz való hozzáférést kérő egészségügyiadat-hozzáférés iránti kérelmeket, és az egészségügyiadat-hozzáférés iránti kérelmeket automatikusan továbbítani a releváns kapcsolattartó pontokhoz;

f) az EgészségügyiAdatok@EU (HealthData@EU) központi szolgáltatásai és infrastruktúrái a 75. cikk (7) és (8) bekezdésével összhangban;

g) a 75. cikk (9) bekezdésének megfelelő biztonságos adatkezelési környezet, amelyben az egészségügyi adatokhoz való hozzáférés tekintetében illetékes szervek határozhatnak úgy, hogy a 68. cikk (8) bekezdésével összhangban adatokat bocsátanak rendelkezésre;

h) a felhatalmazott résztvevőknek az EgészségügyiAdatok@EU-hoz (HealthData@EU) való csatlakozására vonatkozó megfelelőségi ellenőrzések, a 75. cikk (5) bekezdésével összhangban;

i) a nemzeti adatkészlet-katalógusokat összekapcsoló egyesített uniós adatkészlet-katalógus a 79. cikkel összhangban;

j) titkárság az Európai Egészségügyi Adattér Testület számára, a 92. cikk (9) bekezdésével összhangban;

k) titkárság az irányítócsoportok számára, a 95. cikk (8) bekezdésével összhangban.

(2) Az e cikk (1) bekezdésében említett szolgáltatásoknak a rendelkezésre állás, a biztonság, a kapacitás, az interoperabilitás, a karbantartás, a nyomon követés és a fejlesztés tekintetében megfelelő minőségi előírásoknak kell megfelelniük az európai egészségügyi adattér hatékony működésének biztosítása érdekében. A Bizottság a 95. cikkben létrehozott releváns irányítócsoportok operatív döntéseinek megfelelően biztosítja az említett szolgáltatásokat.

(3) A Bizottság kétévente jelentést készít - és nyilvánosan közzéteszi - az európai egészségügyi adatteret támogató infrastruktúrákról és szolgáltatásokról, amelyeket az (1) bekezdéssel összhangban biztosít.

VII. FEJEZET

FELHATALMAZÁS ÉS A BIZOTTSÁGI ELJÁRÁS

97. cikk

A felhatalmazás gyakorlása

(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.

(2) A Bizottságnak a 14. cikk (2) bekezdésében, a 49. cikk (4) bekezdésében és a 78. cikk (5) bekezdésében említett, felhatalmazáson alapuló jogi aktusok elfogadására vonatkozó felhatalmazása határozatlan időre szól, 2025. március 25-től kezdődő hatállyal.

(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 14. cikk (2) bekezdésében, a 49. cikk (4) bekezdésében és a 78. cikk (5) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban foglalt elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.

(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(6) A 14. cikk (2) bekezdése, a 49. cikk (4) bekezdése vagy a 78. cikk (5) bekezdése értelmében elfogadott felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő három hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időszak lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam három hónappal meghosszabbodik.

98. cikk

A bizottsági eljárás

(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet szerinti bizottságnak minősül.

(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.

VIII. FEJEZET

EGYÉB

99. cikk

Szankciók

A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyekre nem alkalmazhatók a 63. és a 64. cikk szerinti közigazgatási bírságok, és meghoznak minden szükséges intézkedést e szabályok végrehajtására. Az előírt szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A tagállamok 2027. március 26-ig értesítik a Bizottságot az említett szabályokról és intézkedésekről, továbbá haladéktalanul értesítik a Bizottságot az azokat érintő minden későbbi módosításról.

A tagállamok adott esetben figyelembe veszik a következő, nem kimerítő és indikatív kritériumokat az e rendelet megsértése esetén alkalmazandó szankciók kiszabásakor:

a) a jogsértés jellege, súlyossága, mértéke és időtartama;

b) a jogsértő által a jogsértéssel okozott kár enyhítésére vagy orvoslására tett bármely intézkedés;

c) a jogsértő által korábban elkövetett bármely jogsértés;

d) a jogsértő által a jogsértés következtében szerzett pénzügyi előnyök vagy elkerült veszteség, amennyiben az ilyen előnyök vagy veszteség megbízható módon megállapítható;

e) az eset körülményeire alkalmazható, minden egyéb súlyosbító vagy enyhítő tényező;

f) a jogsértő által a megelőző pénzügyi évben az Unióban elért éves árbevétel.

100. cikk

A kártérítéshez való jog

Bármely természetes vagy jogi személy, aki vagy amely e rendelet megsértésének következtében vagyoni vagy nem vagyoni kárt szenved el, az uniós és a nemzeti joggal összhangban kártérítésre jogosult.

101. cikk

A természetes személy képviselete

Amennyiben valamely természetes személy úgy ítéli meg, hogy az e rendelet szerinti jogait megsértették, jogában áll megbízni egy, nemzeti jognak megfelelően létrehozott, az alapszabályában rögzített közérdekű célkitűzéseket szolgáló és a személyes adatok védelmével foglalkozó nonprofit szervet, szervezetet vagy egyesületet, hogy - a nevében eljárva - panaszt nyújtson be, vagy gyakorolja a 21. és a 81. cikkben említett jogokat.

102. cikk

Értékelés, felülvizsgálat és eredményjelentés

(1) 2033. március 26-ig a Bizottság elvégzi e rendelet célzott értékelését, és a főbb megállapításairól jelentést nyújt be az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának, adott esetben az e rendelet módosítására irányuló javaslat kíséretében. Az említett értékelés kiterjed a következőkre:

a) az EHR-rendszerek és a tagállamok által létrehozottaktól eltérő elektronikus egészségügyiadat-hozzáférési szolgáltatások közötti interoperabilitás további kiterjesztésének lehetőségei;

b) az 51. cikkben említett adatkategóriák és az 53. cikk (1) bekezdésében felsorolt célok aktualizálásának szükségessége;

c) a 71. cikkben említett, a másodlagos felhasználás céljából történő kifogásolás mechanizmusainak természetes személyek általi végrehajtása és alkalmazása, különösen az említett mechanizmusoknak a népegészségügyre, a tudományos kutatásra és az alapvető jogokra gyakorolt hatása tekintetében;

d) az 51. cikk (4) bekezdése alapján bevezetett bármely szigorúbb intézkedés alkalmazása és végrehajtása;

e) a 8. cikkben említett jog gyakorlása és végrehajtása;

f) a III. fejezetben létrehozott EHR-rendszerek tanúsítási keretrendszerének értékelése és a megfelelőségértékeléssel kapcsolatos további eszközök bevezetésének szükségessége;

g) az EHR-rendszerek belső piaca működésének értékelése;

h) a IV. fejezetben meghatározott másodlagos felhasználásra vonatkozó rendelkezések végrehajtásával járó költségek és hasznok értékelése;

i) a 62. cikkben említett díjak alkalmazása.

(2) 2035. március 26-ig a Bizottság elvégzi e rendelet átfogó értékelését, és a főbb megállapításairól jelentést nyújt be az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának, adott esetben az e rendelet módosítására vagy egyéb megfelelő intézkedésekre irányuló javaslat kíséretében. Az említett értékelés magában foglalja az 1. cikk (7) bekezdésében említett, uniós vagy nemzeti jog alapján végzett, az elektronikus egészségügyi adatokhoz további adatkezelés céljából hozzáférést biztosító rendszerek hatékonyságának és működésének értékelését, tekintettel az e rendelet végrehajtására gyakorolt hatásukra.

(3) A tagállamok a Bizottság rendelkezésére bocsátják az (1) és (2) bekezdésben említett jelentések elkészítéséhez szükséges információkat, és a Bizottság ezeket az információkat kellően figyelembe veszi az említett jelentésekben.

(4) 2025. március 25-t követően minden évben azon év végéig, amelyben e rendelet valamennyi rendelkezése - a 105. cikkben előírtak szerint - alkalmazandó, a Bizottság eredményjelentést nyújt be a Tanácsnak az e rendelet teljeskörű végrehajtására irányuló előkészületekről. Az említett eredményjelentésnek információkat kell tartalmaznia az előrehaladás mértékéről és a tagállamoknak az e rendelet végrehajtásával kapcsolatos felkészültségéről, beleértve a 105. cikkben meghatározott határidők betartása megvalósíthatóságának értékelését, továbbá ajánlásokat is tartalmazhat a tagállamok számára az e rendelet alkalmazására való felkészültség javítása érdekében.

103. cikk

A 2011/24/EU irányelv módosítása

A 2011/24/EU irányelv 14. cikkét 2031. március 26-i hatállyal el kell hagyni.

104. cikk

Az (EU) 2024/2847 rendelet módosítása

Az (EU) 2024/2847 rendelet a következőképpen módosul:

1. A 13. cikk (4) bekezdésének helyébe a következő szöveg lép:

"(4) Digitális elemeket tartalmazó termék forgalomba hozatalakor a gyártónak bele kell foglalnia az e cikk (3) bekezdésében említett kiberbiztonsági kockázatértékelést a 31. cikk és a VII. melléklet alapján előírt műszaki dokumentációba. A 12. cikkben és a 32. cikk (5a) bekezdésében említett, digitális elemeket tartalmazó olyan termékek esetében, amelyek más uniós jogi aktusok hatálya alá is tartoznak, a kiberbiztonsági kockázatértékelés az említett uniós jogi aktusokban előírt kockázatértékelés részét képezheti. Amennyiben bizonyos alapvető kiberbiztonsági követelmények nem alkalmazandók a digitális elemeket tartalmazó termékre, a gyártónak egyértelműen meg kell indokolnia ezt az említett műszaki dokumentációban."

2. A 31. cikk (3) bekezdésének helyébe a következő szöveg lép:

"(3) A 12. cikkben és a 32. cikk (5a) bekezdésében említett, digitális elemeket tartalmazó azon termékek esetében, amelyek más, műszaki dokumentációról rendelkező uniós jogi aktusok hatálya alá is tartoznak, egyetlen egységes műszaki dokumentációt kell készíteni, amely tartalmazza a VII. mellékletben említett információkat és az említett uniós jogi aktusokban előírt információkat."

3. A 32. cikk a következő bekezdéssel egészül ki:

"5a. Az (EU) 2025/327 európai parlamenti és tanácsi rendelet (*1) értelmében EHR-rendszernek minősített, digitális elemeket tartalmazó termékek gyártóinak az (EU) 2025/327 rendelet III. fejezetében előírt vonatkozó megfelelőségértékelési eljárás alkalmazásával igazolniuk kell az e rendelet I. mellékletében meghatározott alapvető követelményeknek való megfelelést.

(*1) Az Európai Parlament és a Tanács (EU) 2025/327 rendelete (2025. február 11.) az európai egészségügyi adattérről, valamint a 2011/24/EU irányelv és az (EU) 2024/2847 rendelet módosításáról (HL L, 2025/327., 2025.3.5., ELI: http://data.europa.eu/eli/reg/2025/327/oj)." "

IX. FEJEZET

KÉSLELTETETT ALKALMAZÁS, ÁTMENETI ÉS ZÁRÓ RENDELKEZÉSEK

105. cikk

Hatálybalépés és alkalmazás

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ezt a rendeletet 2027. március 26-tól kell alkalmazni.

Mindazonáltal a 3-15. cikket, a 23. cikk (2)-(6) bekezdését, a 25., 26., 27., 47., 48., és 49. cikket a következő módon kell alkalmazni:

a) 2029. március 26-tól a személyes elektronikus egészségügyi adatoknak a 14. cikk (1) bekezdése a), b) és c) pontjában említett elsőbbségi kategóriáira, valamint a gyártó által az ilyen adatkategóriák kezelésére rendelt EHR-rendszerekre;

b) 2031. március 26-tól a személyes elektronikus egészségügyi adatoknak a 14. cikk (1) bekezdése d), e) és f) pontjában említett elsőbbségi kategóriáira, valamint a gyártó által az ilyen adatkategóriák kezelésére rendelt EHR-rendszerekre;

c) az I. mellékletben foglalt személyes elektronikus egészségügyi adatok fő jellemzőinek minden egyes módosítása tekintetében a 14. cikk (2) bekezdése alapján elfogadandó valamely felhatalmazáson alapuló jogi aktusban meghatározott naptól számított egy évvel, feltéve, hogy az említett nap későbbi, mint az érintett személyes elektronikus egészségügyi adatok kategóriái tekintetében ezen albekezdés a) és b) pontjában említett alkalmazás kezdőnapja.

A III. fejezetet a 26. cikk (2) bekezdésében említett, az Unióban üzembe helyezett EHR-rendszerekre 2031. március 26-tól kell alkalmazni.

A IV. fejezetet 2029. március 26-tól kell alkalmazni. Azonban az 55. cikk (6) bekezdését, a 70. cikket, a 73. cikk (5) bekezdését, a 75. cikk (1) és (12) bekezdését, a 77. cikk (4) bekezdését és a 78. cikk (6) bekezdését 2027. március 26-tól kell alkalmazni, az 51. cikk (1) bekezdésének b), f,) g), m) és p) pontját 2031. március 26-tól kell alkalmazni, és a 75. cikk (5) bekezdését 2035. március 26-tól kell alkalmazni.

A 13. cikk (4) bekezdésében, a 15. cikk (1) bekezdésében, a 23. cikk (4) bekezdésében és a 36. cikk (1) bekezdésében említett végrehajtási jogi aktusokat az e cikk harmadik bekezdésében említett napoktól kell alkalmazni, a 14. cikk (1) bekezdésének a), b) és c) pontjában, illetve a 14. cikk (1) bekezdésének d), e) és f) pontjában említett személyes elektronikus egészségügyi adatok kategóriáitól függően.

A 70. cikkben, a 73. cikk (5) bekezdésében, a 75. cikk (12) bekezdésében, a 77. cikk (4) bekezdésében és a 78. cikk (6) bekezdésében említett végrehajtási jogi aktusokat 2029. március 26-tól kell alkalmazni.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Strasbourgban, 2025. február 11-én.

az Európai Parlament részéről

az elnök

R. METSOLA

a Tanács részéről

az elnök

A. SZŁAPKA

(1) HL C 486., 2022.12.21., 123. o.

(2) HL C 157., 2023.5.3., 64. o.

(3) Az Európai Parlament 2024. április 24-i álláspontja (a Hivatalos Lapban még nem tették közzé) és a Tanács 2025. január 21-i határozata.

(4) A Bizottság (EU) 2019/1269 végrehajtási határozata (2019. július 26.) az európai referenciahálózatok és azok tagjai létrehozására és értékelésére, valamint az e hálózatok létrehozásával és értékelésével kapcsolatos információk és tapasztalat megosztásának elősegítésére vonatkozó kritériumok megállapításáról szóló 2014/287/EU végrehajtási határozat módosításáról (HL L 200., 2019.7.29., 35. o.).

(5) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

(6) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o.).

(7) Az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (HL L 257., 2014.8.28., 73. o.).

(8) Az Európai Parlament és a Tanács (EU) 2022/2481 határozata (2022. december 14.) a digitális évtized 2030 szakpolitikai program létrehozásáról (HL L 323., 2022.12.19., 4. o.).

(9) A Bizottság (EU) 2019/243 ajánlása (2019. február 6.) az elektronikus egészségügyi dokumentáció európai csereformátumáról (HL L 39., 2019.2.11., 18. o.).

(10) Az Európai Parlament és a Tanács (EU) 2024/1689 rendelete (2024. június 13.) a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet) (HL L, 2024/1689, 2024.7.12., ELI: http://data.europa.eu/eli/reg/2024/1689/oj).

(11) Az Európai Parlament és a Tanács (EU) 2017/745 rendelete (2017. április 5.) az orvostechnikai eszközökről, a 2001/83/EK irányelv, a 178/2002/EK rendelet és az 1223/2009/EK rendelet módosításáról, valamint a 90/385/EGK és a 93/42/EGK tanácsi irányelv hatályon kívül helyezéséről (HL L 117., 2017.5.5., 1. o.).

(12) Az Európai Parlament és a Tanács (EU) 2022/868 rendelete (2022. május 30.) az európai adatkormányzásról és az (EU) 2018/1724 rendelet módosításáról (adatkormányzási rendelet) (HL L 152., 2022.6.3., 1. o.).

(13) Az Európai Parlament és a Tanács (EU) 2023/2854 rendelete (2023. december 13.) a méltányos adathozzáférésre és -felhasználásra vonatkozó harmonizált szabályokról, valamint az (EU) 2017/2394 rendelet és az (EU) 2020/1828 irányelv módosításáról (adatrendelet) (HL L, (EU) 2023/2854., 2023.12.22., ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(14) Az Európai Parlament és a Tanács 2011/24/EU irányelve (2011. március 9.) a határon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről (HL L 88., 2011.4.4., 45. o.).

(15) Az Európai Parlament és a Tanács (EU) 2024/2847 rendelete (2024. október 23.) a digitális elemeket tartalmazó termékekre vonatkozó horizontális kiberbiztonsági követelményekről, valamint a 168/2013/EU és az (EU) 2019/1020 rendelet, és az (EU) 2020/1828 irányelv módosításáról (a kiberrezilienciáról szóló rendelet) (HL L, 2024/2847, 2024.11.20., ELI: http://data.europa.eu/eli/reg/2024/2847/oj).

(16) Az Európai Parlament és a Tanács (EU) 2017/746 rendelete (2017. április 5.) az in vitro diagnosztikai orvostechnikai eszközökről, valamint a 98/79/EK irányelv és a 2010/227/EU bizottsági határozat hatályon kívül helyezéséről (HL L 117., 2017.5.5., 176. o.).

(17) Az Európai Parlament és a Tanács (EU) 2019/1020 rendelete (2019. június 20.) a piacfelügyeletről és a termékek megfelelőségéről, valamint a 2004/42/EK irányelv, továbbá a 765/2008/EK és a 305/2011/EU rendelet módosításáról (HL L 169., 2019.6.25., 1. o.).

(18) A Bizottság 2003/361/EK ajánlása (2003. május 6.) a mikro-, kis- és középvállalkozások meghatározásáról (HL L 124., 2003.5.20., 36. o.).

(19) A Tanács 723/2009/EK rendelete (2009. június 25.) az európai kutatási infrastruktúráért felelős konzorcium (ERIC) közösségi jogi keretéről (HL L 206., 2009.8.8., 1. o.).

(20) Az Európai Parlament és a Tanács (EU) 2018/1724 rendelete (2018. október 2.) az információkhoz, eljárásokhoz, valamint segítségnyújtó és problémamegoldó szolgáltatásokhoz hozzáférést biztosító egységes digitális kapu létrehozásáról, továbbá az 1024/2012/EU rendelet (HL L 295., 2018.11.21., 1. o.).

(21) Az Európai Parlament és a Tanács (EU) 2019/881 rendelete (2019. április 17.) az ENISA-ról (az Európai Uniós Kiberbiztonsági Ügynökségről) és az információs és kommunikációs technológiák kiberbiztonsági tanúsításáról, valamint az 526/2013/EU rendelet hatályon kívül helyezéséről (kiberbiztonsági jogszabály) (HL L 151., 2019.6.7., 15. o.).

(22) HL L 123., 2016.5.12., 1. o.

(23) Az Európai Parlament és a Tanács 182/2011/EU rendelete (2011. február 16.) a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmusok szabályainak és általános elveinek megállapításáról (HL L 55., 2011.2.28., 13. o.).

(24) Az Európai Parlament és a Tanács 223/2009/EK rendelete (2009. március 11.) az európai statisztikákról és a titoktartási kötelezettség hatálya alá tartozó statisztikai adatoknak az Európai Közösségek Statisztikai Hivatala részére történő továbbításáról szóló 1101/2008/EK, Euratom európai parlamenti és tanácsi rendelet, a közösségi statisztikákról szóló 322/97/EK tanácsi rendelet és az Európai Közösségek statisztikai programbizottságának létrehozásáról szóló 89/382/EGK, Euratom tanácsi határozat hatályon kívül helyezéséről (HL L 87., 2009.3.31., 164. o.).

(25) Az Európai Parlament és a Tanács 536/2014/EU rendelete (2014. április 16.) az emberi felhasználásra szánt gyógyszerek klinikai vizsgálatairól és a 2001/20/EK irányelv hatályon kívül helyezéséről (HL L 158., 2014.5.27., 1. o.).

(26) Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (Elektronikus hírközlési adatvédelmi irányelv) (HL L 201., 2002.7.31., 37. o.).

(27) Az Európai Parlament és a Tanács (EU) 2016/943 irányelve (2016. június 8.) a nem nyilvános know-how és üzleti információk (üzleti titkok) jogosulatlan megszerzésével, hasznosításával és felfedésével szembeni védelemről (HL L 157., 2016.6.15., 1. o.).

(28) Az Európai Parlament és a Tanács 2014/24/EU irányelve (2014. február 26.) a közbeszerzésről és a 2004/18/EK irányelv hatályon kívül helyezéséről (HL L 94., 2014.3.28., 65. o.).

(29) Az Európai Parlament és a Tanács 1338/2008/EK rendelete (2008. december 16.) a népegészségre és a munkahelyi egészségre és biztonságra vonatkozó közösségi statisztikáról (HL L 354., 2008.12.31., 70. o.).

(30) Az Európai Parlament és a Tanács 765/2008/EK rendelete (2008. július 9.) a termékek forgalmazása tekintetében az akkreditálás és piacfelügyelet előírásainak megállapításáról és a 339/93/EGK rendelet hatályon kívül helyezéséről (HL L 218., 2008.8.13., 30. o.).

(31) Az Európai Parlament és a Tanács (EU) 2019/882 irányelve (2019. április 17.) a termékekre és a szolgáltatásokra vonatkozó akadálymentességi követelményekről (HL L 151., 2019.6.7., 70. o.).

(32) Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) (HL L 333., 2022.12.27., 80. o.)

(33) Az Európai Parlament és a Tanács (EU) 2015/1535 irányelve (2015. szeptember 9.) a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról (HL L 241., 2015.9.17., 1. o.).

(34) Az Európai Parlament és a Tanács (EU) 2018/1807 rendelete (2018. november 14.) a nem személyes adatok Európai Unióban való szabad áramlásának keretéről (HL L 303., 2018.11.28., 59. o.).

(35) Az Európai Parlament és a Tanács (EU) 2024/1938 rendelete (2024. június 13.) az emberi felhasználásra szánt emberi eredetű anyagokra vonatkozó minőségi és biztonsági előírásokról, valamint a 2002/98/EK és a 2004/23/EK irányelv hatályon kívül helyezéséről (HL L 2024., 1938.7.17., ELI: http://data.europa.eu/eli/reg/2024/1938/oj).

(36) Az Európai Parlament és a Tanács 2001/83/EK irányelve (2001. november 6.) az emberi felhasználásra szánt gyógyszerek közösségi kódexéről (HL L 311., 2001.11.28., 67. o.).

(37) Az Európai Parlament és a Tanács 726/2004/EK rendelete (2004. március 31.) az emberi felhasználásra szánt gyógyszerek engedélyezésére és felügyeletére vonatkozó uniós eljárások meghatározásáról és az Európai Gyógyszerügynökség létrehozásáról (HL L 136., 2004.4.30., 1. o.).

I. MELLÉKLET

Az elsődleges felhasználásra szánt személyes elektronikus egészségügyi adatok elsőbbségi kategóriáinak főbb jellemzői

II. MELLÉKLET

Az EHR-rendszerek harmonizált szoftverösszetevőire és az olyan termékekre vonatkozó alapvető követelmények, amelyek tekintetében az EHR-rendszerekkel való interoperabilitást állítják

Az e mellékletben megállapított alapvető követelmények értelemszerűen alkalmazandók az EHR-rendszerekkel való interoperabilitást állító orvostechnikai eszközökre, in vitro diagnosztikai orvostechnikai eszközökre, MI-rendszerekre és jólléti alkalmazásokra.

1. Általános követelmények

1.1. Az EHR-rendszer harmonizált szoftverösszetevői elérik a gyártója által kívánt teljesítményt, és azokat oly módon kell kialakítani és gyártani, hogy rendes használati körülmények esetén alkalmasak legyenek a rendeltetésükre, és használatuk ne veszélyeztesse a betegek biztonságát.

1.2. Az EHR-rendszer harmonizált szoftverösszetevőit oly módon kell kialakítani és fejleszteni, hogy az EHR- rendszer a gyártó által adott utasítások és információk figyelembevételével szállítható és telepíthető legyen anélkül, hogy az hátrányosan befolyásolná a rendszer jellemzőit és teljesítőképességét a rendeltetésszerű használat során.

1.3. Az EHR-rendszert oly módon kell kialakítani és fejleszteni, hogy interoperabilitási, biztonsági és védelmi jellemzői - az EHR-rendszernek a II. fejezetben meghatározott rendeltetésével összhangban - fenntartsák a természetes személyek jogait.

1.4. Az olyan EHR-rendszer harmonizált szoftverösszetevőit, amelyet más termékekkel, többek között orvostechnikai eszközökkel együtt kívánnak működtetni, oly módon kell kialakítani és gyártani, hogy az interoperabilitás és a kompatibilitás megbízható és biztonságos legyen, és a személyes elektronikus egészségügyi adatok megoszthatók legyenek az eszköz és azon EHR-rendszer között, amely kapcsolódik valamely EHR-rendszer említett harmonizált szoftverösszetevőihez.

2. Az interoperabilitásra vonatkozó követelmények

2.1. Amennyiben az EHR-rendszert személyes elektronikus egészségügyi adatok tárolására vagy közvetítésére tervezték, az EHR-rendszerek európai interoperabilitási szoftverösszetevője révén olyan interfészt kell biztosítania, amely lehetővé teszi az általa az elektronikus egészségügyi dokumentáció európai csereformátumában kezelt személyes elektronikus egészségügyi adatokhoz való hozzáférést.

2.2. Amennyiben az EHR-rendszert személyes elektronikus egészségügyi adatok tárolására vagy közvetítésére tervezték, az EHR-rendszerek európai interoperabilitási szoftverösszetevője révén képesnek kell lennie arra, hogy a személyes elektronikus egészségügyi adatokat az elektronikus egészségügyi dokumentáció európai csereformátumában fogadja.

2.3. Amennyiben az EHR-rendszert úgy tervezték, hogy hozzáférést biztosítson a személyes elektronikus egészségügyi adatokhoz, képesnek kell lennie arra, hogy az EHR-rendszerek európai interoperabilitási szoftverösszetevője révén a személyes elektronikus egészségügyi adatokat az elektronikus egészségügyi dokumentáció európai csereformátumában fogadja.

2.4. A strukturált személyes elektronikus egészségügyi adatok bevitelére szolgáló funkciót is tartalmazó EHR-rendszernek lehetővé kell tennie olyan adatok bevitelét, amelyek elegendő részletességűek ahhoz, hogy lehetővé tegyék a bevitt személyes elektronikus egészségügyi adatoknak az elektronikus egészségügyi dokumentáció európai csereformátumában történő rendelkezésre bocsátását.

2.5. Az EHR-rendszerek harmonizált szoftverösszetevői nem tartalmazhatnak olyan funkciókat, amelyek tiltják, korlátozzák, vagy indokolatlan terhet jelentenek az engedélyezett hozzáférésre, a személyes elektronikus egészségügyi adatok megosztására vagy a személyes elektronikus egészségügyi adatok engedélyezett célokra történő felhasználására.

2.6. Az EHR-rendszerek harmonizált szoftverösszetevői nem tartalmazhatnak olyan jellemzőket, amelyek tiltják, korlátozzák vagy indokolatlan terhet jelentenek a személyes elektronikus egészségügyi adatok engedélyezett exportjára azzal az indokkal, hogy az EHR-rendszer helyébe egy másik termék lép.

3. A biztonságra és a naplózásra vonatkozó követelmények

3.1. Az egészségügyi szakemberek által használandó EHR-rendszer megbízható mechanizmusokat biztosít az egészségügyi szakemberek azonosítására és hitelesítésére.

3.2. Az EHR-rendszernek az egészségügyi szolgáltatók vagy más személyek személyes elektronikus egészségügyi adatokhoz való hozzáférését lehetővé tevő európai naplózási szoftverösszetevője megfelelő naplózási mechanizmusokat biztosít, amelyek minden hozzáférési eseményről vagy eseménycsoportról legalább a következő információkat rögzítik:

a) a személyes elektronikus egészségügyi adatokhoz hozzáférő egészségügyi szolgáltató vagy más személyek azonosítása;

b) a személyes elektronikus egészségügyi adatokhoz hozzáférő konkrét természetes személy vagy személyek azonosítása;

c) a hozzáfért adatok kategóriái;

d) a hozzáférés időpontja és napja;

e) az adatok eredete.

3.3. Az EHR-rendszer harmonizált szoftverösszetevői tartalmaznak a naplóadatok felülvizsgálatára és elemzésére szolgáló eszközöket vagy mechanizmusokat, vagy támogatják a külső szoftverekhez ugyanezen célokból történő csatlakozást és e szoftverek használatát.

3.4. A személyes elektronikus egészségügyi adatokat tároló EHR-rendszer harmonizált szoftverösszetevői támogatják a különböző adatmegőrzési időtartamokat és hozzáférési jogokat, amelyek figyelembe veszik az elektronikus egészségügyi adatok eredetét és kategóriáit.

III. MELLÉKLET

Műszaki dokumentáció

A 37. cikkben említett műszaki dokumentációnak legalább a következő információkat kell tartalmaznia, amennyiben azok a releváns EHR-rendszerben az EHR-rendszer harmonizált szoftverösszetevőire alkalmazandók:

1. Az EHR-rendszer részletes leírása, beleértve a következőket:

a) az EHR-rendszer rendeltetése, valamint a dátuma és verziója;

b) a személyes elektronikus egészségügyi adatok azon kategóriái, amelyek kezelésére az EHR-rendszert tervezték;

c) az EHR-rendszer hogyan működik együtt - vagy használható fel interakcióra - olyan hardverrel vagy szoftverrel, amely nem része EHR-rendszernek;

d) a releváns szoftver vagy belső vezérlőprogram verziója és a verzió frissítésével kapcsolatos bármely követelmény;

e) az EHR-rendszer valamennyi forgalombahozatali vagy üzembehelyezési formájának ismertetése;

f) azon hardver leírása, amelyen az EHR-rendszert működtetni kívánják;

g) a rendszer architektúrájának leírása, amely elmagyarázza, hogy a szoftverösszetevők hogyan épülnek egymásra, vagy épülnek be egymásba, és integrálódnak a teljes adatkezelésbe, beleértve - adott esetben - a címkézett képi ábrázolásokat (pl. diagramok és rajzok), egyértelműen megjelölve a kulcsfontosságú részeket vagy a szoftverösszetevőket, és kielégítő magyarázatot adva a rajzok és diagramok megértéséhez is;

h) az EHR-rendszerre és annak változataira vagy konfigurációira és tartozékaira vonatkozó műszaki leírások - így például jellemzők, méretek és a teljesítőképességgel kapcsolatos tulajdonságok -, amelyek általában megjelennének a felhasználó rendelkezésére bocsátott termékleírásokban - például brosúrákban, katalógusokban és hasonló kiadványokban -, beleértve az adatstruktúrák, adattárolás és az adatok bevitelének/kimenetének részletes leírását;

i) a rendszer életciklusa során a rendszert érintő bármely változás leírása;

j) használati utasítás a felhasználó számára, és adott esetben telepítési utasítások.

2. Adott esetben az EHR-rendszer teljesítményének értékelésére szolgáló rendszer részletes leírása.

3. A 36. cikkel összhangban használt minden olyan egységes előírásra való hivatkozás, amellyel kapcsolatban a megfelelőség kinyilvánításra került.

4. Az EHR-rendszernek a III. fejezetben meghatározott követelményeknek - különösen az alkalmazandó alapvető követelményeknek - való megfelelésének igazolása céljából végzett valamennyi ellenőrzés és validálási vizsgálat eredményei és kritikai elemzései.

5. A 38. cikkben említett adatlap egy példánya.

6. Az EU-megfelelőségi nyilatkozat másolata.

IV. MELLÉKLET

EU-megfelelőségi nyilatkozat

Az EHR-rendszer harmonizált szoftverösszetevőire vonatkozó EU-megfelelőségi nyilatkozatnak a következő információk mindegyikét tartalmaznia kell:

1. Az EHR-rendszer neve, verziója és az EHR-rendszer azonosítását lehetővé tevő bármely további egyértelmű hivatkozás.

2. A gyártó vagy adott esetben a gyártómeghatalmazott képviselőjének neve és címe.

3. Arra vonatkozó nyilatkozat, hogy az EU-megfelelőségi nyilatkozatot a gyártó kizárólagos felelőssége mellett adják ki.

4. Arra vonatkozó nyilatkozat, hogy a szóban forgó EHR-rendszer megfelel a III. fejezetben megállapított rendelkezéseknek, és adott esetben bármely egyéb olyan releváns uniós jognak, amely EU-megfelelőségi nyilatkozat kiállítását írja elő, kiegészítve a 40. cikkben említett tesztelési környezet eredményeivel.

5. Hivatkozások minden olyan felhasznált releváns harmonizált szabványra, amellyel kapcsolatban megfelelőségi nyilatkozat kiadására került sor.

6. Hivatkozások minden olyan felhasznált egységes előírásra, amely alapján a megfelelőséget kinyilvánították.

7. A nyilatkozat kiállításának helye és napja, az aláíró személy aláírása, neve és beosztása, valamint adott esetben azon személy megjelölése, akinek a nevében azt aláírták.

8. Adott esetben kiegészítő információk.

ELI: http://data.europa.eu/eli/reg/2025/327/oj

ISSN 1977-0731 (electronic edition)