Prawo dotyczące dokumentacji medycznej wymaga zmiany

Prezes UODO Mirosław Wróblewski wystąpił do minister zdrowia Jolanty Sobierańskiej-Grendy oraz ministra nauki i szkolnictwa wyższego Marcina Kulaska o uwzględnienie w prawie krajowym rozwiązań dla ochrony danych osobowych dotyczących udostępniania dokumentacji medycznej w celach naukowych.

Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski na podstawie odebranych sygnałów od środowisk medycznych i naukowych, a także Agencji Badań Medycznych, sygnałów o problemach wokół stosowania i wykładni przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawy Prawo o szkolnictwie wyższym i nauce w kontekście wykorzystywania zasobów danych medycznych w celach naukowych.

W opinii Prezesa UODO zmiany w prawie krajowym są konieczne przede wszystkim ze względu na konieczność realizacji prawa UE, w tym rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia (EHDS), a także aktu o zarządzaniu danymi oraz aktu w sprawie sztucznej inteligencji. Podstawą przetwarzania danych w stopniu niezbędnym do prowadzenia badań naukowych może być art. 9 ust 2. lit. j rozporządzenia 2016/679 (RODO) w związku z art. 26 ust. 4 ustawy o prawach pacjenta i RPP oraz w związku z art. 469b ust. 2–4 ustawy Prawo o szkolnictwie wyższym i nauce. Jednakże aktualne, niespójne ze sobą regulacje krajowe budzą wątpliwości interpretacyjne. Ponadto ich zakres nie odpowiada potrzebom celów badań naukowych i świadczeń leczniczych.

Zgodnie z obowiązującymi przepisami (art. 26 ustawy o prawach pacjenta i RPP) nie jest dopuszczalne udostępnianie danych osobowych z dokumentacji medycznej w sposób umożliwiający ustalenie tożsamości osoby, której dokumentacja dotyczy. Zatem udostępnienie takiej dokumentacji może nastąpić w celach naukowych i badawczych pod warunkiem anonimizacji danych osobowych z dokumentacji. Dane medyczne zawierają dane osobowe szczególnej kategorii (wg definicji z art. 9 RODO), często ujawniają również wiele innych informacji, poza tymi o stanie zdrowia. Co więcej, dane tego typu mogą zawierać informacje o osobach trzecich.

Prezes UODO podkreśla, że anonimizacja danych medycznych musi być przeprowadzona w sposób zapewniający nieodwracalność tego procesu i jego realizację z poszanowaniem zasady poufności i integralności.

Jednak w toku rozwoju nauk medycznych i powstawania nowych rozwiązań technologicznych przedstawiciele licznych środowisk wskazują potrzebę pozyskiwania danych z dokumentacji medycznej do wykorzystania w celach naukowych w sposób uniemożliwiający identyfikację pacjenta po stronie odbiorcy danych, ale w postaci spseudonimizowanej, tj. zaszyfrowania danych.

Europejska Rada Ochrony Danych (EROD) wskazuje, że dane spseudonimizowane, które można przypisać osobie fizycznej za pomocą dodatkowych informacji, należy uznawać za dane osobowe – nawet jeśli dodatkowe informacje przechowywane przez administratora który dokonał pseudonimizacji zostały usunięte. Zdaniem EROD dane spseudonimizowane stają się anonimowe tylko wtedy, gdy spełnione są warunki anonimowości.

Pseudonimizacja danych stanowi więc formę zabezpieczenia praw i wolności podmiotów danych w kontekście przetwarzania danych osobowych w celach badań naukowych i powinna być ujęta w przepisach prawa regulujących ten obszar przetwarzania danych.

Ustawodawca nie przewidział jednak adekwatnych regulacji dotyczących pseudonimizacji, umożliwił jedynie anonimizację w trakcie udostępniania dokumentacji medycznej w celach naukowych (art. 26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). Obecne przepisy nie przewidują wyjątków w zakresie udostępniania danych medycznych w celach naukowych, pozwalając na udostępnianie wyłącznie danych nieosobowych. Powoduje to, że wynik badań naukowych - w ramach których np. uzyskuje się informacje, które mogłyby być  istotne z punktu widzenia leczenia konkretnego pacjenta – nie może być powiązany z konkretną osobą, a zatem nie może być wykorzystany w celu uwzględnienia informacji w planie leczenia danej osoby.

Tymczasem przepisy RODO dopuszczają przetwarzanie danych osobowych do celów naukowych po spełnieniu odpowiednich warunków po ich anonimizacji, jak i pseudonimizacji. Także przepisy rozporządzenia EHDS  (art. 66 ust. 2 i 3 i motyw 72) przewidują możliwość udostępniania danych zdrowotnych w celu wtórnego wykorzystania w postaci zanonimizowanej, zaś w pewnych przypadkach, ograniczonych do sytuacji wyraźnie uzasadnionych, danych również w postaci spseudonimizowanej. Na znaczenie procesów anonimizacji i pseudonimizacji wskazują też akt ws. sztucznej inteligencji oraz akt o zarządzaniu danymi.

W tym obszarze konieczne są właściwe przepisy krajowe. Skoro bowiem aktualne regulacje dają możliwość udostępniana w celach naukowych jedynie nieosobowych danych zdrowotnych, to dla udostępniania w celach naukowych danych medycznych osobowych (w formacie spseudonimizowanym) potrzeba określenia właściwej podstawy prawnej zapewniającej bezpieczeństwo danych osobowych, stosownie do wymogów RODO i EHDS.

Realizacja zasady zgodności z prawem, rzetelności i przejrzystości wymaga od prawodawcy krajowego wdrożenia unijnych przepisów dotyczących wtórnego wykorzystywania danych zdrowotnych poprzez stworzenie adekwatnych rozwiązań prawnych, które w sposób jasny i precyzyjny będą wskazywały na gwarancje ochrony danych osobowych dot. zdrowia, w tym wymagające zachowania tajemnicy zawodowej. Ponadto rozwiązania te powinny odpowiadać porządkowi konstytucyjnemu RP (art. 47 oraz art. 51 w zw. z art. 31 ust. 3).

Prezes Urzędu Ochrony Danych Osobowych podkreśla przy okazji, że wdrożenie EHDS wymaga również dokonania przeglądu ustaw prawa krajowego w szerszym zakresie. Standardów wymaganych przepisami unijnymi mogą nie spełniać ustawy: o systemie informacji w ochronie zdrowia, o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.

Dodatkowo, projektowanie regulacji prawnych w tym obszarze wymaga przeprowadzenia oceny skutków dla ochrony danych, która pomoże sprawdzić, czy rozwiązania zawarte w projektach będą zgodne z przepisami RODO, a także pozwoli wyważyć ryzyka naruszenia praw i wolności osób fizycznych, oraz zapewnić właściwe środki gwarantujące bezpieczeństwo tych praw i wolności.

W przypadku podjęcia prac legislacyjnych nad powyższymi zagadnieniami prezes UODO, Mirosław Wróblewski deklaruje wsparcie eksperckie Urzędu Ochrony Danych Osobowych.

 DPNT.413.39.2025