Skip to main content

European Health Data Space – wybrane uwagi z perspektywy ochrony danych osobowych

By 25 stycznia, 2023Aktualności

Ten artykuł dotyczy projektu rozporządzenia ustanawiającego European Health Data Space – EHDS (Projekt) w zakresie, w którym dotyczy danych osobowych oraz prywatności. Projekt przewiduje także inne regulacje, na przykład dla aplikacji wspierających dobrostan (wellness applications), które pośrednio mogą dotyczyć prywatności. Są one poza zakresem tego artykułu. Artykuł opisuje tylko wybrane zagadnienia oraz zakłada podstawową znajomość pojęć z zakresu ochrony danych osobowych. Jest przeznaczony dla osób, które interesują się ochroną danych osobowych oraz wykorzystaniem danych w sektorze zdrowia.

European Health Data Space– o co chodzi?

Unia Europejska dąży do stworzenia jednolitego rynku danych (European data space). Projekt ma ustanowić European Health Data Space (EHDS) jako pierwszą taką przestrzeń. Dlaczego zdrowie? Komisja Europejska wskazuje na brak jednolitego wdrożenia i interpretacji RODO przez państwa członkowskie w tym sektorze. Efektem tych różnic jest znaczna niepewność prawna, co hamuje innowacje w ochronie zdrowia. Wynika to również częściowo z doświadczeń wyniesionych z okresu pandemii COVID-19. Okres ten wyraźnie pokazał, jak ważny jest dostęp do aktualnych i wiarygodnych danych. Pandemia zademonstrowała także, jak duży potencjał dla zdrowia publicznego ma ich wykorzystanie przez sektor prywatny.

Czego i kogo dotyczy European Health Data Space?

Projekt ma regulować m.in.:

  • prawa związane z danymi o zdrowiu;
  • zasady wtórnego wykorzystywania elektronicznych danych o zdrowiu;
  • systemy elektronicznej dokumentacji medycznej.

W efekcie Projekt ma dotyczyć m.in.:

  • pacjentów, świadczeniodawców i pracowników ochrony zdrowia;
  • producentów i dostawców systemów EDM;
  • administratorów danych osobowych oraz podmiotów przetwarzających, którzy wykorzystują elektroniczne dane o zdrowiu.

Jaki jest kontekst?

European Health Data Space nie powstaje w próżni. Projekt dotyczy obszarów, w których poza RODO oraz przepisami lokalnymi stosuje się m.in. unijne rozporządzenie ws. wyrobów medycznych (MDR) oraz będzie stosować się przyjęte w 2022 r. rozporządzenie ws. zarządzania danymi (DGA). Równolegle trwają prace nad rozporządzeniem ws. sztucznej inteligencji (AIA), które również będzie miało zastosowanie do EHDS. Ekosystem prawny i technologiczny, w którym funkcjonują podmioty lecznicze oraz dostawcy rozwiązań IT dla sektora zdrowia, już dziś jest złożony. Projekt może to środowisko jeszcze bardziej skomplikować. W niektórych przypadkach dla odpowiedzi na pytanie biznesowe konieczne będzie przeanalizowanie RODO, MDR, DGA, AIA oraz przepisów lokalnych.

W dalszej części artykułu przyjrzymy się niektórym rozwiązaniom Projektu z perspektywy ochrony danych osobowych.

Problematyczne definicje dotyczące European Health Data Space

Projekt wprowadza nową definicję elektronicznych danych dotyczących zdrowia (EHD). Wg proponowanej definicji EHD to osobowe EHD oraz nieosobowe EHD.

Osobowe EHD obejmują:

  • dane dotyczące zdrowia i dane genetyczne w rozumieniu RODO;
  • dane odnoszące się do czynników warunkujących zdrowie, które są przetwarzane elektronicznie
  • dane przetwarzane w związku z udzielaniem świadczeń zdrowotnych, które są przetwarzane elektronicznie.

Nieosobowe EHD obejmują nieosobowe (w sensie RODO) dane dotyczące zdrowia i dane genetyczne w formacie elektronicznym.

Co z tego wynika?

Po pierwsze, definicja osobowych EHD obejmuje dane nieosobowe (w sensie RODO). Nieosobowe EHD ograniczają się definicyjnie do danych dotyczących zdrowia i danych genetycznych. Osobowe EHD – poza danymi osobowymi w sensie RODO – obejmują także czynniki warunkujące zdrowie (determinants of health)  oraz dane przetwarzane w związku z udzielaniem świadczeń zdrowotnych (data processed in relation to the provision of healthcare services). Mogą to być dane nieosobowe (w sensie RODO), na przykład dane po anonimizacji lub dane statystyczne.

Po drugie, elementy składowe definicji osobowych EHD są bardzo szerokie i  niejasne. Motyw 5 Projektu, który odnosi się do definicji EHD, jest mało precyzyjny. Zgodnie z tym motywem za determinants of health uznaje się czynniki takie jak m.in. zachowanie, wpływ środowiska, czynniki społeczne lub czynniki związane z edukacją. Względem data processed in relation to the provision of healthcare services  motyw podpowiada, że chodzi o “dane, które zostały pierwotnie zgromadzone do celów badawczych, statystycznych, kształtowania polityki lub regulacyjnych i mogą być udostępniane zgodnie z zasadami określonymi w rozdziale IV”. Rozdział IV Projektu dotyczy wtórnego wykorzystania danych. Jest to podwójnie niejasne, ponieważ osobowe EHD to dane dotyczące zdrowia w sensie RODO, którymi są m.in. informacje zbierane podczas świadczenia opieki zdrowotnej (Motyw 5 RODO).

Proponowane rozwiązanie jest nie tylko potencjalnie mylące (osobowe EHD zawierają dane nieosobowe w sensie RODO), lecz ma także istotne konsekwencje. Projekt w wielu przepisach – np. dotyczących nowych praw – odnosi się do definicji EHD. 

Przykład

Przykładowo, jeśli pacjent skorzysta ze swojego prawa do „niezwłocznego i nieodpłatnego dostępu swoich elektronicznych danych osobowych dotyczących zdrowia (…) w łatwym do przeczytania, skonsolidowanym i dostępnym formacie”, o które dane chodzi? Czy pacjent będzie mógł w tym trybie prosić np. o dane dotyczące refundacji produktów leczniczych (dane zgromadzone do celów regulacyjnych)? Co z danymi o stężeniu benzo(a)pirenu w powietrzu (czynnik środowiskowy)? Jeśli tak, jak to prawo ma się do prawa do informacji o środowisku i jego ochronie? 

Innym przykładem może być relacja definicji EHD do definicji elektronicznej dokumentacji medycznej (EDM). Zgodnie z Projektem EDM to „zbiór elektronicznych danych dotyczących zdrowia odnoszących się do osoby fizycznej i zgromadzonych w systemie opieki zdrowotnej, przetwarzanych do celów opieki zdrowotnej”. Oznacza to, że system EDM wg Projektu powinien zawierać tylko osobowe EHD, które odnoszą się do osoby fizycznej – czyli wyłącznie osobowe EHD, które są danymi osobowymi (w sensie RODO). Osobowe EHD, które są danymi nieosobowymi (w sensie RODO) – np. przetwarzane w związku z udzielaniem świadczeń zdrowotnych – nie są objęte definicją EDM. Czy w związku z tym producent systemu IT, który wspiera system elektronicznej dokumentacji medycznej i przetwarza dane nieosobowe (w sensie RODO) związane z udzieleniem świadczeń, podlega wymaganiom Projektu? Jako ogólne oprogramowanie – nie (art. 14 ust. 2 Projektu). Natomiast wydaje się, że instrumentalnie i pośrednio – tak, ponieważ może być wykorzystany aby zrealizować prawo pacjenta do dostępu do osobowych EHD, czyli także danych nieosobowych (w sensie RODO), np. danych statystycznych, metadanych itd. Powinien zatem umożliwiać udostępnienie danych, które finalnie będą przekazane pacjentowi w „łatwym do przeczytania” formacie.

Nowe prawa

Projekt wprowadza nowe prawa względem EHD, tak jak prawo dostępu wspomniane powyżej. Temat ten zasługuje na głębszą analizę. Na potrzeby artykułu warto wskazać trzy obszary.

Po pierwsze, nowe prawa mają istnieć niezależnie od praw wynikających z RODO. Komisja wskazuje w uzasadnieniu Projektu, że były one inspirowane prawami podmiotów danych, natomiast są one prawnie niezależne od praw RODO. Niestety, w efekcie relacja pomiędzy nimi nie jest jasna. Porównajmy kluczowe elementy prawa do przenoszenia danych (art. 20 RODO) oraz bliźniaczego prawa dotyczącego EHD (art. 3 ust. 8 Projektu).

Prawo do przenoszenia danych (dane osobowe) Prawo do przenoszenia danych (EHD)
Prawo do zwrócenia się do administratora o przesłanie  innemu administratorowi, o ile jest to technicznie możliwe, danych osobowych*:

  • bez przeszkód ze strony administratora udostępniającego;
  • w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego;
  • termin wg zasad ogólnych RODO;
  • odpłatność wg zasad ogólnych RODO.

*danych przekazanych od podmiotu danych do administratora (tj. bez danych pochodnych), które są przetwarzane w zautomatyzowany sposób

Prawo do zwrócenia się do posiadacza danych (data holder)** o przekazanie EHD do wybranego odbiorcy danych (data recipient)**:

  • bez przeszkód ze strony posiadacza danych lub producentów systemów, z których korzysta ten posiadacz danych;
  • w europejskim formacie wymiany elektronicznej dokumentacji medycznej (w niektórych przypadkach)
  • niezwłocznie;
  • nieodpłatnie

**z sektora zdrowia lub zabezpieczenia społecznego

 

Jak widać, różnice są znaczne. Nie dotyczą tylko kwestii organizacyjnych (termin, odpłatność, format), lecz także zakresu danych (niektóre dane osobowe vs wszystkie EHD).

Taka propozycja regulacji rodzi także kolejne pytania, np. o podstawę przetwarzania danych dotyczących zdrowia przez odbiorcę danych (data recipient).

Po drugie, nowe prawa wykraczają poza standardy znane z RODO. Nie są to wyłącznie ich cyfrowe duplikaty w sektorze zdrowia. Przykładowo, Projekt przewiduje prawo do elektronicznego wprowadzanie swoich EHD do własnej elektronicznej dokumentacji medycznej (Art. 3 ust. 6 Projektu).

Po trzecie, z perspektywy rynku polskiego kolejny poziom złożoności tworzą przepisy lokalne. Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta zapewnia prawo dostępu do dokumentacji medycznej. Zasadą ustawową jest to, że pierwsze udostępnienie dokumentacji pacjentowi jest nieodpłatne, a kolejne mogą być płatne (Art. 28 ust. 1 i ust. 2a ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). O relacji uprawnienia do prawa dostępu określonego w RODO, które dopuszcza odpłatność (pod pewnymi warunkami), możemy znaleźć informacje w kodeksach branżowych procedowanych przez Prezesa UODO. Jeśli Projekt wejdzie w życie, polskie podmioty będą musiały uwzględnić kolejny, trzeci tryb udostępniania informacji oraz jego relacje do trybów, które istnieją dziś.

Podstawy przetwarzania

Projekt odnosi się wprost do podstaw przetwarzania w motywie 37, który stanowi swoistą mapę podstaw dla niektórych czynności przetwarzania związanych z wtórnym wykorzystaniem danych. Zgodnie z tym motywem projektowane rozporządzenie EHDS stanowi podstawę prawną do:

  • wtórnego wykorzystania danych (art. 9 ust. 2 lit. g), h), i) oraz j) RODO);
  • ujawnienia danych przez posiadacza danych (data holder) organom ds. dostępu do danych dotyczących zdrowia (art. 6 ust. 1 lit. c) RODO w zw. z art. 9 ust. 2 lit. h), i) oraz j) RODO);
  • użytkownik (data user) wnioskujący o dostęp do danych w celu wtórnego wykorzystania musi legitymować się podstawę prawną zgodnie z art. 6 ust. 1 lit. e) lub f) RODO.

Lista ta nie jest wyczerpująca i nie odpowiada na wszystkie pytania związane z Projektem (zob. uwagi dotyczące duplikatu prawa do przenoszenia danych). Z perspektywy interesariuszy zainteresowanych wtórnym wykorzystaniem danych kluczowe znaczenie ma ostatni punkt. Pozwala on na oparcie wniosku o zezwolenie na dostęp do danych (data permit) na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f) RODO).

Co z tego wynika w praktyce?

Aby móc korzystać z EHD w ramach wtórnego wykorzystania, wystarczający ma być m.in. prawnie uzasadniony interes wnioskodawcy. Dopuszczalne cele takiego wtórnego przetwarzania (tj. na które będzie można dostać zezwolenie) to między innymi:

  • działalność edukacyjna w sektorze ochrony zdrowia;
  • badania naukowe dotyczące sektora ochrony zdrowia;
  • działania badawczo-rozwojowe;
  • trenowanie, testowanie i ocena algorytmów, w tym w wyrobach medycznych, systemach AI  i aplikacjach e-zdrowia.

W efekcie rozwiązałoby to istniejący dziś problem dotyczący podstawy prawnej dla przetwarzania szczególnych kategorii danych w kontekście R&D z wykorzystaniem danych zdrowotnych. Wg Projektu podstawą taką ma być planowane rozporządzenie European Health Data Space.

 

Podsumowanie

Projekt wymaga dalszych prac i z pewnością możemy spodziewać się jego zmian. Uchybienia obecnej propozycji legislacyjnej najlepiej podsumowuje uwaga zawarta we wspólnym stanowisku EROD (Europejska Rada Ochrony Danych) oraz EIOD (Europejski Inspektor Ochrony Danych) względem Projektu: “…the provisions in this Proposal will add yet another layer to the already complex (multi-layered) collection of provisions (…) on the processing of health data (…) The interplay between those different pieces of legislation needs to be (crystal) clear.

 

Miejmy nadzieję, że poziom krystalicznej jasności zostanie osiągnięty.

***

Zachęcamy do zapoznania się z podobnymi tekstami na blogu Law4Tech.

  1. Czy powinniśmy się bać rozwoju sztucznej inteligencji?
  2. Rozporządzenie ws. sztucznej inteligencji i jego wpływ na obecne projekty
  3. Wybrane obowiązki administratora danych osobowych.