Europejska przestrzeń danych dotyczących zdrowia
Prawdziwie transgraniczna opieka medyczna w oparciu w dokumentację medyczną, do której będziemy mieć dostęp w całej Unii dzięki interoperatywnym systemom elektronicznych danych dotyczących zdrowia. Wykorzystanie potencjału takich danych dla nauki, tworzenia nowych leków i programów terapeutycznych. To tylko niektóre korzyści obiecywane przez europejską przestrzeń danych dotyczących zdrowia.
Europejska Strategia Danych
Na początku 2020 r. Komisja Europejska opublikowała Europejską Strategię Danych zakładającą utworzenie jednolitej europejskiej przestrzeni danych. Jednym z filarów Strategii jest tworzenie wspólnych europejskich przestrzeni danych w dziewięciu strategicznych sektorach gospodarki, takich jak zielony ład, energia, rolnictwo czy finanse. Pierwszym projektem jest ogłoszony na początku maja projekt rozporządzenia o europejskiej przestrzeni danych dotyczących zdrowia (European Health Data Space).
Prezentując projekt rozporządzenia, Komisja podkreślała tkwiący w danych dotyczących zdrowia potencjał, który może być należycie wykorzystany z korzyścią dla pacjentów, dla systemu opieki zdrowotnej, dla nauki oraz rozwoju nowych produktów medycznych i programów terapeutycznych dzięki digitalizacji takich danych, możliwości ich swobodnego przekazywania w Unii Europejskiej na wspólnej platformie, dzielenia się takimi danymi i ich ponownego wykorzystywania.
Cele europejskiej przestrzeni danych dotyczących zdrowia
Przepisy rozporządzenia mają służyć realizacji trzech celów, a mianowicie:
- umocnieniu pozycji osób fizycznych dzięki zwiększeniu dostępu cyfrowego do ich danych dotyczących zdrowia, kontroli nad nim i ułatwieniu swobodnego przepływu takich danych,
- określeniu standardów dla systemów elektronicznej dokumentacji medycznej zapewniających ich interoperacyjność, bezpieczeństwo i stosowanie z poszanowaniem praw osób fizycznych w odniesieniu do ich danych dotyczących zdrowia,
- stworzeniu spójnych i efektywnych ram wtórnego wykorzystywania danych osób fizycznych dotyczących zdrowia na potrzeby badań naukowych, innowacji, kształtowania polityki, statystyki publicznej, bezpieczeństwa pacjentów lub działań regulacyjnych.
Kontekst prawny
Dane dotyczące zdrowia to z natury rzeczy w przeważającej większości dane osobowe dotyczące zdrowia osób fizycznych, które są szczególną kategorią danych. Projekt rozporządzenia wspiera wdrażanie praw osób fizycznych ustanowionych w RODO, służących ochronie elektronicznych danych dotyczących zdrowia. W oparciu o przepisy RODO dotyczące danych osobowych dotyczących zdrowia projekt rozporządzenia przedstawia regulacje dla europejskiej przestrzeni danych dotyczących zdrowia, które będą mogły być swobodnie przekazywane w Unii, a także wykorzystywane w określonych celach przy zachowaniu wymaganych standardów bezpieczeństwa.
Projekt rozporządzenia uwzględnia też regulacje zawarte w szeregu innych dyrektyw i rozporządzeń europejskich mających zastosowanie do elektronicznych danych dotyczących zdrowia oraz doprecyzowuje – zgodnie z przedmiotem swojej regulacji – postanowienia nowego aktu w sprawie zarządzania danymi (Data Governance Act) czy planowanego aktu w sprawie danych (Data Act).
Wyrazem spójności z innymi przedmiotowymi europejskimi aktami prawnymi m.in. jest inkorporowanie do projektu rozporządzenia definicji w nich użytych – wszystkich (jak w przypadku RODO) lub niektórych (np. z rozporządzenia o wyrobach medycznych, dyrektywy 2011/24/UE w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej czy rozporządzenia o europejskich ramach tożsamości cyfrowej).
Przedmiot regulacji
Ponadto projekt zawiera trzydzieści nowych definicji. Niektóre z nich doprecyzowują na potrzeby tego aktu zakres pojęciowy terminów dotychczas używanych. I tak np. definicja „elektronicznych danych osobowych dotyczących zdrowia” obok danych dotyczących zdrowia i danych genetycznych w rozumieniu RODO obejmuje „dane odnoszące się do czynników warunkujących zdrowie lub dane przetwarzane w związku z udzielaniem świadczeń zdrowotnych, przetwarzane w formie elektronicznej”.
Projekt rozporządzenia zakłada, że „posiadaczem danych” (data holder) może być każda osoba fizyczna lub prawna „która jest podmiotem lub organem w sektorze ochrony zdrowia lub opieki zdrowotnej lub która prowadzi badania naukowe w odniesieniu do tych sektorów, a także instytucje, organy, urzędy i agencje Unii, które mają prawo lub obowiązek […] lub, w przypadku danych nieosobowych, poprzez kontrolę projektu technicznego produktu i powiązanych usług, możliwość udostępniania, w tym rejestracji, dostarczania, ograniczania dostępu lub wymiany niektórych danych”.
Już z tych dwóch definicji widać, że rozporządzenie ma mieć charakter wręcz uniwersalny. Obejmuje wszystkie dane elektroniczne dotyczące zdrowia, pozyskane zarówno od właścicieli danych, innych osób fizycznych lub prawnych (np. od personelu medycznego), jak i dane przetwarzane w związku z udzielaniem świadczeń zdrowotnych czy dane pozyskiwane w związku z używaniem wyrobów i urządzeń dla tzw. dobrostanu osoby fizycznej (dane pochodzące np. z wyrobów medycznych mierzących różne procesy zachodzące w organizmie osoby, która samodzielnie ich używa), a także dane będące wnioskami czy diagnozami lub obserwacjami, również takimi otrzymanymi za pomocą środków automatycznych.
Zbieranie tak określonych elektronicznych danych dotyczących zdrowia, ich przetwarzanie, udostępnianie itp. czynności wymagają zaangażowania wielu podmiotów wskazanych w definicji posiadacza, które będą zobowiązane przestrzegać postanowień nowego rozporządzenia.
Pierwotne wykorzystywanie elektronicznych danych dotyczących zdrowia
Projekt rozporządzenia dzieli wykorzystywanie elektronicznych danych dotyczących zdrowia na pierwotne i wtórne. Wykorzystanie pierwotne oznacza przetwarzanie takich danych w celu udzielania świadczeń zdrowotnych osobie fizycznej, której dane dotyczą, włączając w to udostępnianie produktów leczniczych i/lub wyrobów medycznych oraz na potrzeby usług z zakresu zabezpieczenia społecznego, usług administracyjnych lub zwrotu kosztów.
W odniesieniu do pierwotnego wykorzystania elektronicznych danych dotyczących zdrowia projekt rozporządzenia zakłada umocnienie praw osób fizycznych do takich danych i możliwość korzystania z nich niezależnie od państwa, w którym się znajdują.
W tym celu projekt rozporządzenia nakłada na państwa członkowskie obowiązkowy udział w infrastrukturze MyHealth@EU (dotychczas taki udział był dobrowolny i w ramach MyHealth@EU współpracowało 10 państw). Do MyHealth@EU państwa mają włączać świadczeniodawców i apteki. Platforma ma zapewnić wymianę elektronicznych danych osobowych dotyczących zdrowia i w ten sposób ułatwić osobom fizycznym korzystanie ze świadczeń zdrowotnych w dowolnym państwie członkowskim.
Wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia
Przedmiotem wtórnego wykorzystania elektronicznych danych dotyczących zdrowia mogą być dane wskazane enumeratywnie w projekcie rozporządzenia. Zgodnie z intencją Komisji kategorie danych są na tyle obszerne i elastyczne, że będą mogły uwzględniać zmieniające się w czasie potrzeby użytkowników danych.
Udostępnianie takich danych przez ich posiadaczy ma się odbywać na podstawie zezwolenia na dostęp do danych, czyli decyzji administracyjnej wydanej użytkownikowi danych przez organ ds. dostępu do danych dotyczących zdrowia lub przez posiadacza danych, zezwalającej na przetwarzanie danych określonych w zezwoleniu i w celu określonym w zezwoleniu na warunkach określonych w rozporządzeniu. Dopuszczalne przez rozporządzenie cele przetwarzania obejmują cele związane z interesem publicznym, badaniami naukowymi, działalnością edukacyjną, rozwojem innowacyjnych produktów i usług dla zdrowia publicznego i opieki zdrowotnej czy pracami nad systemami sztucznej inteligencji.
Szerokie wykorzystywanie przedmiotowych danych w obrębie całej Unii będzie możliwe dzięki funkcjonowaniu platformy internetowej HealthData@EU, do której będą podłączone odpowiednie organy państw członkowskich i zainteresowane podmioty, czyli posiadacze danych i ich użytkownicy.
W kolejnych artykułach bardziej szczegółowo omówimy projektowany system pierwotnego i wtórnego wykorzystania elektronicznych danych dotyczących zdrowia oraz planowane rozwiązania organizacyjne i zabezpieczenia.
dr Ewa Butkiewicz, radca prawny, praktyka life science i postępowań regulacyjnych kancelarii Wardyński i Wspólnicy