Ovaj se članak usredotočuje na upravljanje i provedbu EHDS-a; za opći pregled EHDS-a pogledajte naš prvi blog u ovoj seriji.
1: Upravljanje
EHDS uspostavlja novo neovisno savjetodavno i regulatorno tijelo, Odbor za europski prostor za zdravstvene podatke (EHDS odbor) kako bi se olakšala razmjena informacija i suradnja između država članica i s Europskom komisijom (čl. 92. EHDS).
Odbor ima široku nadležnost, iako savjetodavnu. U pogledu sekundarne upotrebe zdravstvenih podataka, na primjer, pomoći će državama članicama u koordinaciji njihovih tijela za pristup zdravstvenim podacima (HDABs), razmjenjivati najbolje prakse koje pomažu Komisiji u pripremi sekundarnog zakonodavstva i dijeliti informacije o identificiranim rizicima i incidentima u vezi sa sekundarnom upotrebom zdravstvenih podataka.
Odbor EHDS-a sastojat će se od dva predstavnika po državi članici, od kojih će jedan biti imenovan za primarnu uporabu (zdravstvena skrb), a drugi za sekundarnu uporabu (znanstveno istraživanje). Njime će supredsjedati jedan predstavnik Europske komisije i jedan predstavnik država članica. Odbor također može angažirati vanjske stručnjake.
Uz Odbor EHDS-a, EHDS stvara "forum dionika" putem kojeg relevantni dionici mogu savjetovati Odbor EHDS-a pružajući praktična stajališta o svojim sektorima (čl. 93. EHDS-a). Forum zainteresiranih strana sastojat će se od, ali ne ograničavajući se na, predstavnika farmaceutske industrije, zdravstvenih djelatnika, potrošača, pacijenata i znanstvenih istraživača. Komercijalni i nekomercijalni interesi morat će biti jednako zastupljeni. Članove će imenovati Europska komisija nakon otvorenog poziva za prijavu interesa.
2: Nadzor usklađenosti
EHDS sadrži poseban odjeljak o provedbi u vezi sa sekundarnom upotrebom zdravstvenih podataka (čl. 63. EHDS). Provedba se prvenstveno pripisuje tijelima za pristup zdravstvenim podatcima (Health Data Access Bodies, HDAB) svake države članice, koji mora nadzirati usklađenost nositelja podataka i korisnika podataka i može od njih zatražiti informacije prema potrebi za provjeru takve usklađenosti. Osim toga, pojedinci imaju pravo podnijeti pritužbu (pojedinačnu ili zajedničku) HDAB-u.
Konkretno, HDAB ima ovlasti:
- oduzeti dozvolu korisniku zdravstvenih podataka i isključiti korisnika podataka iz EHDS-a do pet godina;
- novčano kazniti posjednika podataka koji odbije dijeliti podatke, s periodičnim plaćanjem kazne (čiji će iznos biti utvrđen prema nacionalnom pravu) i, u slučaju opetovanih kršenja,
- isključiti vlasnika podataka iz pristupa EHDS podacima kao korisnika podataka, dok mora dijeliti pristup kao posjedniku podataka;
- obavijestiti druge HDAB-ove o takvim mjerama – Komisija će u tu svrhu uspostaviti informatički alat; i
- obavijestiti tijela za zaštitu podataka o svakom mogućem kršenju GDPR-a.
Uz to, HDAB može izreći upravnu novčanu kaznu korisnicima i nositeljima podataka (čl. 64. EHDS). Jezik kazni u EHDS-u prilično je sličan onom iz GDPR-a, a isto tako i potencijalne kazne.
Manji prekršaji mogu biti predmet novčane kazne do 10 milijuna eura ili, u slučaju poduzeća, 2 % ukupnog svjetskog godišnjeg prometa prethodne financijske godine. Neki prekršaji, međutim, mogu podlijegati novčanoj kazni do 20 milijuna eura ili, u slučaju poduzeća, 4% ukupnog svjetskog godišnjeg prometa prethodne financijske godine.
Prekršaji koji podliježu ovim povećanim kaznama uključuju:
- korisnik podataka koji koristi podatke u zabranjene svrhe;
- korisnik podataka koji izvlači osobne podatke (umjesto anonimnih podataka) iz sigurnog okruženja za obradu HDAB-a – vjerojatno zaobilazeći zaštitu koju je uspostavio HDAB;
- korisnik podataka koji pokušava ponovno identificirati pojedince; i
- korisnik podataka ili posjednik podataka koji se ne pridržava HDAB-ovih mjera provedbe.
Kao iznimka od gore navedenog, tijela za zaštitu podataka odgovorna su za provođenje EHDS opt-out pojedinaca, u skladu s odredbama o provedbi GDPR-a (čl. 65 EHDS).
Konačno, pojedinci imaju pravo na naknadu materijalne ili nematerijalne štete koju su pretrpjeli kao posljedicu kršenja EHDS-a od strane digitalnog zdravstvenog tijela, tijela za pristup zdravstvenim podacima, posjednika zdravstvenih podataka ili korisnika zdravstvenih podataka, u skladu s nacionalnim pravom i pravom Unije (čl. 100. EHDS-a).
Oni također imaju pravo ovlastiti neprofitnu organizaciju sa statutarnim ciljevima koji su u javnom interesu, osnovanu u skladu sa zakonom države članice i aktivnu na području zaštite podataka, da podnese žalbu u njihovo ime. Te bi organizacije bile iste kao one koje mogu predstavljati pojedince prema GDPR-u (čl. 101. EHDS). Prema Uvodnoj izjavi 101. EHDS-a, koncept štete treba tumačiti široko u svjetlu sudske prakse Suda EU.
3: Rokovi provedbe
EHDS je golemi pothvat za čiju će provedbu trebati neko vrijeme, kako za regulirane tvrtke tako i za državna tijela. U ovoj seriji postova na blogu usredotočili smo se na sekundarnu upotrebu zdravstvenih podataka, ali EHDS također sadrži važna poglavlja o elektroničkim zdravstvenim zapisima i prekograničnoj zdravstvenoj skrbi, što će također zahtijevati mnogo truda i financiranja od država članica. Kao rezultat toga, rokovi za provedbu EHDS-a prilično su dugi (čl. 105. EHDS-a).
Konkretno u odnosu na sekundarnu upotrebu, obveze EHDS-a počet će se primjenjivati četiri godine nakon njegovog stupanja na snagu (tj. 26. ožujka 2029.), osim za neke kategorije podataka, kao što su podaci kliničkih ispitivanja i ljudski genetski podaci, za koje se razdoblje odgode provedbe umjesto toga produžuje na šest godina (tj. 26. ožujka 2031.).
Sposobnost Europske komisije da prizna trećim zemljama, poput Ujedinjenog Kraljevstva i Švicarske, sudjelovanje u EHDS-u čak je odgođena za deset godina – iako to automatski ne isključuje korisnike podataka iz trećih zemalja iz sudjelovanja u EU EHDS-u (pogledajte naš post na blogu o korisnicima podataka ovdje).
Zaključno, vremena ima, no ne previše za usklađenost sa svim zahtjevima, jer ipak je regulative jako puno.
