Dokumentacja medyczna – zmiany w prawie krajowym
| Tagi: | RODO, UODO, Urząd Ochrony Danych Osobowych, przetwarzanie danych osobowych, anonimizacja danych, pseudonimizacja danych, badania naukowe, zmiany w prawie, Mirosław Wróblewski |
Ze względu na konieczność realizacji prawa UE należy uwzględnić w prawie krajowym rozwiązania w kwestii ochrony danych osobowych dotyczących udostępniania dokumentacji medycznej w celach naukowych. Prezes UODO Mirosław Wróblewski zaapelował o zmiany w regulacjach w tym obszerze do resortów zdrowia oraz nauki i szkolnictwa wyższego.
Prezes UODO Mirosław Wróblewski wystąpił do minister zdrowia Jolanty Sobierańskiej-Grendy i do ministra nauki i szkolnictwa wyższego Marcina Kulaska o uwzględnienie w prawie krajowym rozwiązań w kwestii ochrony danych osobowych dotyczących udostępniania dokumentacji medycznej w celach naukowych.
W opinii opublikowanej na stronie internetowej Urzędu Ochrony Danych Osobowych prezes tej instytucji Mirosław Wróblewski odniósł się do sygnałów ze środowisk medycznych i naukowych, a także Agencji Badań Medycznych o problemach wokół stosowania i wykładni przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawy Prawo o szkolnictwie wyższym i nauce w kontekście wykorzystywania zasobów danych medycznych w celach naukowych.
Konieczność realizacji prawa UE
Zdaniem prezesa ze względu na konieczność realizacji prawa UE, w tym rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia (EHDS), a także aktu o zarządzaniu danymi oraz aktu w sprawie sztucznej inteligencji konieczne są zmiany w prawie krajowym.
W opinii czytamy, że podstawą przetwarzania danych w stopniu niezbędnym do prowadzenia badań naukowych może być art. 9 ust. 2 lit. j rozporządzenia 2016/679 (RODO) w związku z art. 26 ust. 4 ustawy o prawach pacjenta i RPP oraz w związku z art. 469b ust. 2-4 ustawy Prawo o szkolnictwie wyższym i nauce. Jednakże aktualne, niespójne ze sobą regulacje krajowe budzą wątpliwości interpretacyjne. Ponadto ich zakres nie odpowiada potrzebom celów badań naukowych i świadczeń leczniczych.
„Zgodnie z obowiązującymi przepisami (art. 26 ustawy o prawach pacjenta i RPP) nie jest dopuszczalne udostępnianie danych osobowych z dokumentacji medycznej w sposób umożliwiający ustalenie tożsamości osoby, której dokumentacja dotyczy. Zatem udostępnienie takiej dokumentacji może nastąpić w celach naukowych i badawczych pod warunkiem anonimizacji danych osobowych z dokumentacji” napisali autorzy komunikatu.
Prezes UODO podkreślił, że anonimizacja danych medycznych musi być przeprowadzona w sposób zapewniający nieodwracalność tego procesu i jego realizację z poszanowaniem zasady poufności i integralności.
Jednak – jak zaznaczyli autorzy – w toku rozwoju nauk medycznych i powstawania nowych rozwiązań technologicznych przedstawiciele licznych środowisk wskazują potrzebę pozyskiwania danych z dokumentacji medycznej do wykorzystania w celach naukowych w sposób uniemożliwiający identyfikację pacjenta po stronie odbiorcy danych, ale w postaci spseudonimizowanej, tj. zaszyfrowanej.
Pseudonimizacja – chroni dane czy nie?
Europejska Rada Ochrony Danych (EROD) wskazuje, że dane spseudonimizowane, które można przypisać osobie fizycznej za pomocą dodatkowych informacji, należy uznawać za dane osobowe – nawet jeśli dodatkowe informacje przechowywane przez administratora, który dokonał pseudonimizacji, zostały usunięte. Zdaniem EROD dane spseudonimizowane stają się anonimowe tylko wtedy, gdy spełnione są warunki anonimowości.
„Pseudonimizacja danych stanowi więc formę zabezpieczenia praw i wolności podmiotów danych w kontekście przetwarzania danych osobowych w celach badań naukowych i powinna być ujęta w przepisach prawa regulujących ten obszar przetwarzania danych” – ocenili autorzy.
Zaznaczyli, że ustawodawca nie przewidział jednak adekwatnych regulacji dotyczących pseudonimizacji, umożliwił jedynie anonimizację w trakcie udostępniania dokumentacji medycznej w celach naukowych.
„Obecne przepisy nie przewidują wyjątków w zakresie udostępniania danych medycznych w celach naukowych, pozwalając na udostępnianie wyłącznie danych nieosobowych. Powoduje to, że wynik badań naukowych – w ramach których np. uzyskuje się informacje, które mogłyby być istotne z punktu widzenia leczenia konkretnego pacjenta – nie może być powiązany z konkretną osobą, a zatem nie może być wykorzystany w celu uwzględnienia informacji w planie leczenia danej osoby” – zastrzegli.
Przepisy RODO dopuszczają przetwarzanie danych osobowych do celów naukowych
Dodali, że przepisy RODO dopuszczają przetwarzanie danych osobowych do celów naukowych po spełnieniu odpowiednich warunków po ich anonimizacji, jak i pseudonimizacji. Także przepisy rozporządzenia EHDS przewidują możliwość udostępniania danych zdrowotnych w celu wtórnego wykorzystania w postaci zanonimizowanej, zaś w pewnych przypadkach, ograniczonych do sytuacji wyraźnie uzasadnionych, danych również w postaci spseudonimizowanej.
Zdaniem autorów komunikatu w tym obszarze konieczne są właściwe przepisy krajowe.
„Skoro bowiem aktualne regulacje dają możliwość udostępniania w celach naukowych jedynie nieosobowych danych zdrowotnych, to dla udostępniania w celach naukowych danych medycznych osobowych (w formacie spseudonimizowanym) potrzeba określenia właściwej podstawy prawnej zapewniającej bezpieczeństwo danych osobowych, stosownie do wymogów RODO i EHDS” – ocenili.
Prezes Urzędu Ochrony Danych Osobowych podkreślił, że wdrożenie EHDS wymaga również dokonania przeglądu ustaw prawa krajowego w szerszym zakresie. Standardów wymaganych przepisami unijnymi mogą nie spełniać ustawy: o systemie informacji w ochronie zdrowia, o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.
„W przypadku podjęcia prac legislacyjnych nad powyższymi zagadnieniami prezes UODO, Mirosław Wróblewski, deklaruje wsparcie eksperckie Urzędu Ochrony Danych Osobowych” – czytamy w komunikacie.
