Pierwotne wykorzystywanie elektronicznych danych dotyczących zdrowia
Dzięki centralnej unijnej platformie e-zdrowia łączącej krajowe punkty kontaktowe w infrastrukturę MyHealth@EU i sprawnie działającym krajowym organom ds. e-zdrowia wszyscy obywatele Unii do 2030 r. mają uzyskać dostęp do swojej elektronicznej dokumentacji medycznej.
Rodzaje elektronicznych danych dotyczących zdrowia
Projekt rozporządzenia o europejskiej przestrzeni danych dotyczących zdrowia dzieli elektroniczne dane dotyczące zdrowia na osobowe i nieosobowe.
Elektroniczne dane osobowe dotyczące zdrowia obejmują:
- dane osobowe o zdrowiu fizycznym i psychicznym osoby fizycznej, włączając w to informacje o korzystaniu z usług opieki zdrowotnej, co daje obraz stanu zdrowia danej osoby,
- dane genetyczne o dziedziczonych lub nabytych cechach genetycznych osoby fizycznej, ujawniające niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby, wynikające w szczególności z analizy próbki biologicznej od niej pozyskanej,
- dane, w tym te pozyskiwane z aplikacji wspierających dobrostan, dotyczące zachowania, wpływu środowiska, czynników fizycznych, czynników społecznych, opieki medycznej, edukacji, czyli czynników warunkujących zdrowie,
- dane przetwarzane w związku z udzielaniem świadczeń zdrowotnych, np. obrazy i wyniki badań obrazowych.
Powyższe dane mają być przetwarzane w formie elektronicznej.
Dane z dwóch pierwszych grup są danymi osobowymi w rozumieniu RODO i poddane są jego regulacjom w zakresie ochrony praw osób fizycznych w związku z przetwarzaniem danych oraz regulacjom przyszłego rozporządzenia. Dane z pozostałych grup mają związek ze zdrowiem i dlatego ich wykorzystywanie ma się odbywać zgodnie z przepisami projektu rozporządzenia.
Elektroniczne dane nieosobowe dotyczące zdrowia to, wg definicji zawartej w projekcie rozporządzenia, dane dotyczące zdrowia i dane genetyczne w formacie elektronicznym, które nie wchodzą w zakres pojęcia danych osobowych ujętych w art. 4 (1) RODO. Są to więc dane, nawet wrażliwe, które nie identyfikują ani nie umożliwiają identyfikacji konkretnej osoby fizycznej, której dane dotyczą, ale podlegają reżimowi projektu rozporządzenia.
Projekt rozporządzenia wyodrębnia kategorię priorytetowych elektronicznych danych osobowych dotyczących zdrowia z uwagi na ich znaczenie dla sprawowania opieki zdrowotnej. Zalicza do nich sześć rodzajów danych, a mianowicie: skróconą kartę pacjenta, e-receptę, realizację e-recept, badania obrazowe i wyniki badań obrazowych, wyniki badań laboratoryjnych, wypisy. Bliższą charakterystykę poszczególnych kategorii określa załącznik nr 1 do rozporządzenia. Państwa członkowskie powinny potraktować priorytetowo wdrożenie dostępu dla uprawnionych osób fizycznych i podmiotów do tych kategorii elektronicznych danych osobowych dotyczących zdrowia do pierwotnego wykorzystywania oraz w celu umożliwienia korzystania z nich w innych państwach członkowskich.
Z czasem lista kategorii takich danych będzie się poszerzać w miarę wzrastania technicznych możliwości ich wymiany między państwami członkowskimi.
Dostęp do elektronicznych danych dotyczących zdrowia
Prawo dostępu do elektronicznych danych osobowych dotyczących zdrowia mają osoby fizyczne, których dane dotyczą. Projekt rozporządzenia wymaga, aby państwa zapewniły taki dostęp w formacie łatwym do przeczytania, skonsolidowanym i dostępnym. Osoby fizyczne uprawnione do takiego dostępu mogłyby uzupełniać swoje elektroniczne dane dotyczące zdrowia, dokonywać ich sprostowań, udzielać dostępu do swoich danych podmiotom z sektora opieki zdrowotnej lub ograniczyć taki dostęp, a także mieć prawo żądania przekazania swoich danych dotyczących zdrowia wybranemu odbiorcy danych, również za granicę. Efektywne respektowanie praw osób, których dane dotyczą, zależy od stopnia zaawansowania wdrożenia europejskiego formatu wymiany elektronicznej dokumentacji medycznej.
Warto wspomnieć, że projekt rozporządzenia nie zapomina o osobach wykluczonych cyfrowo z różnych przyczyn. Osoby takie mogłyby korzystać ze swoich praw w odniesieniu do elektronicznych danych dotyczących zdrowia przez pełnomocnika. Każde państwo obowiązane jest ustanowić usługę pełnomocnictwa, z której będą korzystać też np. opiekunowie nieletnich.
Projekt rozporządzenia zapewnia również usługę dostępu pracownikom służby zdrowia w odniesieniu do elektronicznych danych dotyczących zdrowia osób fizycznych, które leczą, w szczególności dostępu do danych priorytetowych, niezależnie od państwa pochodzenia leczonej osoby fizycznej i państwa ubezpieczenia tej osoby. Na pracownikach służby zdrowia spoczywa z kolei obowiązek aktualizacji przedmiotowych danych o informacje dotyczące udzielonych leczonej osobie świadczeń zdrowotnych, tj. wprowadzenia takich informacji do elektronicznej dokumentacji medycznej.
Organy do spraw e-zdrowia
Projekt rozporządzenia zobowiązuje każde państwo członkowskie do powołania organu ds. e-zdrowia (o ile taki organ jeszcze w danym państwie nie działa). Ma on być odpowiedzialny za wdrożenie regulacji w zakresie dostępu do elektronicznych danych dotyczących zdrowia i ich wymiany oraz egzekwowanie praw dostępu do danych dotyczących zdrowia osób fizycznych i personelu medycznego. Państwowe organy ds. e-zdrowia mają podejmować rozmaite działania w kierunku realizacji zamierzeń i celów wskazanych w projekcie rozporządzenia. Lista zadań tych organów zamieszczona w projekcie rozporządzenia może być uzupełniana na mocy aktów delegowanych Komisji.
Ciekawą kompetencją przyznaną organowi ds. e-zdrowia jest uprawnienie do rozpatrywania skarg wniesionych przez osoby fizyczne lub prawne. Projekt nie ogranicza przedmiotu takich skarg, a więc należy sądzić, że mogą one dotyczyć wszelkich kwestii wiążących się z pierwotnym wykorzystywaniem danych dotyczących zdrowia, regulowanych przez przyszłe rozporządzenie. Organ ma wyłączną kompetencję do przeprowadzenia postępowania w sprawie poruszonej w skardze i podjęcia decyzji. Projekt rozporządzenia nie ustanawia żadnego trybu odwoławczego od decyzji tego organu. Należy oczekiwać, że przepisy szczegółowe dotyczące postępowania skargowego zostaną doprecyzowane przez regulacje wewnątrzkrajowe.
Transgraniczna infrastruktura cyfrowa do pierwotnego wykorzystywania elektronicznych danych dotyczących zdrowia
Jednym z założeń nowego rozporządzenia jest ustanowienie jednolitych w całej Unii praw osób fizycznych do dostępu do danych dotyczących zdrowia i możliwości ich transgranicznej wymiany dla celów pierwotnego wykorzystywania (więcej na ten temat piszemy w artykule Europejska przestrzeń danych dotyczących zdrowia). Warunkiem realizacji tego założenia jest zbudowanie infrastruktury cyfrowej z udziałem wszystkich państw Unii, koordynowanej i zarządzanej na szczeblu unijnym. Temu ma służyć centralna platforma e-zdrowia, ustanawiana i finansowana przez Komisję, „świadcząca usługi wspierające i ułatwiające wymianę elektronicznych danych dotyczących zdrowia między krajowymi punktami kontaktowymi ds. e-zdrowia”. Każde państwo ma obowiązek wyznaczyć taki punkt kontaktowy (może on funkcjonować w ramach organu ds. e-zdrowia) i poprzez ten punkt kontaktowy uczestniczyć w infrastrukturze pod nazwą MyHealth@EU (MojeZdrowie@EU).
Krajowy punkt kontaktowy ds. e-zdrowia jest definiowany jako organizacyjna i techniczna bramka umożliwiająca świadczenie transgranicznych usług informacyjnych, tzn. wymianę elektronicznych danych osobowych dotyczących zdrowia z takimi punktami w innych państwach, z wykorzystaniem europejskiego formatu wymiany elektronicznej dokumentacji medycznej. Obowiązkiem każdego państwa członkowskiego jest doprowadzenie do połączenia wszystkich świadczeniodawców z krajowym punktem kontaktowym ds. e-zdrowia, co umożliwi im wymianę – w obu kierunkach – elektronicznych danych dotyczących zdrowia z krajowym punktem kontaktowym ds. e-zdrowia. Podobnie apteki krajowe, również internetowe, mają mieć dostęp poprzez MyHealth@EU do recept elektronicznych przekazywanych z innych państw członkowskich. Ich realizację mają zgłaszać państwu, w którym recepta była wystawiona, także przez MyHealth@EU.
Krajowe punkty kontaktowe ds. e-zdrowia mają status współadministratora elektronicznych danych dotyczących zdrowia, przekazywanych przez MyHealth@EU, w związku z operacją przetwarzania, w której biorą udział. Komisja działa jako procesor. Szczegóły funkcjonowania infrastruktury, zwłaszcza sposoby zapewnienia bezpieczeństwa i poufności przekazywanych elektronicznych danych dotyczących zdrowia będą zawarte w aktach wykonawczych Komisji.
Infrastruktura MyHealth@EU może być używana do świadczenia dodatkowych usług przez państwa członkowskie, np. telemedycznych, opieki zdrowotnej, ale też wspierających zdrowie publiczne. Do funkcjonowania na MyHealth@EU może być dopuszczony punkt kontaktowy państwa trzeciego, jeśli spełnia wymogi tej infrastruktury, a grupa ds. współadministracji infrastruktury MyHealth@EU wyda stosowną decyzję. Pozwoli to poszerzyć pierwotne wykorzystywanie elektronicznych danych dotyczących zdrowia, w tym wymianę takich danych, poza obszar państw członkowskich, co może nie być bez znaczenia np. w sytuacji epidemii.
dr Ewa Butkiewicz, radca prawny, praktyka life science i postępowań regulacyjnych kancelarii Wardyński i Wspólnicy