Wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia
Uregulowanie wtórnego wykorzystywania danych dotyczących zdrowia otwiera wiele możliwości badawczych i analitycznych, czego skutkiem może być przyśpieszenie postępu nauki, wprowadzenie nowych produktów i wyrobów oraz innowacji cyfrowych w sektorze ochrony zdrowia, a także ulepszenie systemu ochrony zdrowia.
Kategorie danych elektronicznych do wtórnego wykorzystywania
Elektroniczne dane osobowe dotyczące zdrowia zgromadzone w kontekście pierwotnego wykorzystywania mogą być wtórnie wykorzystane w zakresie i na zasadach określonych w projekcie rozporządzenia o europejskiej przestrzeni danych dotyczących zdrowia. Przedmiotem wtórnego wykorzystywania mogą być też elektroniczne dane nieosobowe dotyczące zdrowia, takie jak dane zgromadzone dla świadczenia szeroko rozumianej opieki zdrowotnej, w celach statystycznych czy bezpieczeństwa.
Projekt rozporządzenia zawiera listę piętnastu kategorii danych elektronicznych, które posiadacze danych mogą udostępniać do wtórnego wykorzystywania. Niektóre z tych kategorii zdefiniowane są jednoznacznie, jak np. elektroniczna dokumentacja medyczna. Inne są opisane w ogólny sposób, pozwalający różnie interpretować granice lub obszar danej kategorii. Przykładem mogą być „dane mające wpływ na zdrowie, w tym społeczne, środowiskowe i behawioralne czynniki warunkujące zdrowie” czy „dane elektroniczne dotyczące statusu ubezpieczenia, statusu zatrudnienia, wykształcenia, stylu życia, dobrostanu i zachowania mające znaczenie dla zdrowia”. W ten sposób Komisja – chcąc udostępnić jak najwięcej danych do wtórnego wykorzystywania – umożliwia włączanie nowych rodzajów danych do poszczególnych kategorii.
Wyliczone w projekcie kategorie danych określone są jako minimalne (minimum categories) w sensie ilościowym. Ich ilość może się zwiększać dzięki mechanizmowi przewidzianemu w projekcie. Krajowe organy ds. dostępu do danych dotyczących zdrowia będą mogły udzielać dostępu do dodatkowych kategorii elektronicznych danych dotyczących zdrowia, które im powierzono zgodnie z prawem danego kraju lub na podstawie dobrowolnej współpracy z posiadaczami danych, przede wszystkim z podmiotami prywatnymi w sektorze ochrony zdrowia.
Co jest dozwolone
Wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia może odbywać się wyłącznie w celach określonych w projekcie rozporządzenia. Lista celów jest listą zamkniętą. Oznacza to, że dostęp do elektronicznych danych można uzyskać tylko wtedy, jeśli zamierzonym celem wnioskodawcy jest realizacja jednego (lub kilku) z ośmiu celów wymienionych w rozporządzeniu.
Pierwsze miejsce na liście zajmują działania podejmowane w ogólnym interesie społeczeństwa, jak nadzór nad zdrowiem publicznym, ochrona przed transgranicznymi zagrożeniami zdrowotnymi, zapewnienie bezpieczeństwa i wysokiej jakości opieki zdrowotnej, wypełnianie obowiązków statystycznych, również na poziomie międzynarodowym. Dostępu do elektronicznych danych dotyczących zdrowia w celu ich przetwarzania ze względów związanych z interesem publicznym udziela się wyłącznie organom sektora publicznego i instytucjom, organom, urzędom i agencjom Unii, które wykonują zadania powierzane im na mocy prawa Unii lub prawa krajowego.
Druga grupa celów obejmuje działania edukacyjne i dydaktyczne, badania naukowe, działalność w zakresie rozwoju i innowacji podejmowane w sektorze ochrony zdrowia i opieki zdrowotnej.
Jako odrębny cel wymienione są działania w zakresie trenowania, testowania i oceny algorytmów używanych w wyrobach medycznych, systemach sztucznej inteligencji czy w aplikacjach z zakresu e-zdrowia.
Szczególnym celem uzasadniającym dostęp do elektronicznych danych dotyczących zdrowia jest ich wtórne wykorzystanie w indywidualnej opiece zdrowotnej, czyli w leczeniu osób fizycznych w oparciu o dane dotyczące zdrowia (np. informacje genomowe) innych osób.
Co jest zakazane
Wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia, które są szczególną kategorią danych osobowych, nie może mieć szkodliwych skutków dla osób fizycznych. Dlatego projekt rozporządzenia zakazuje ubiegania się o dostęp do danych i ich przetwarzania, jeżeli jego celem miałoby być wywoływanie niekorzystnych skutków prawnych lub podobnego znaczącego wpływu na osobę fizyczną na podstawie jej elektronicznych danych, pogorszenie warunków lub wyłączenie ubezpieczenia takiej osoby, a także prowadzenie działań reklamowych, umożliwienie dostępu do danych osobom trzecim bez wymaganego zezwolenia lub nawet wytwarzanie produktów (np. środków odurzających) lub świadczenie usług szkodliwych dla osób fizycznych i ogółu społeczeństwa.
Zezwolenie na dostęp do danych
Wtórne wykorzystywanie danych jest możliwe na podstawie zezwolenia na dostęp do danych. Jest to decyzja administracyjna wydawana przez organ ds. dostępu do danych dotyczących zdrowia, zezwalająca na przetwarzanie danych określonych w zezwoleniu na warunkach określonych w rozporządzeniu. Elektroniczne dane dotyczące zdrowia przekazywane są w formie zanonimizowanej, chyba że szczególne dopuszczalne cele przetwarzania wymagają formy spseudonimizowanej. Zezwolenie ma określony okres obowiązywania. Projekt rozporządzenia dopuszcza maksymalny okres 5-letni, który może być jednorazowo przedłużony o kolejne 5 lat. Dostęp do danych może być odpłatny.
Ważnym elementem zezwolenia są informacje na temat właściwości technicznych i narzędzi dostępnych dla użytkownika danych w celu pobrania danych z bezpiecznego środowiska przetwarzania. Dostęp do elektronicznych danych dotyczących zdrowia jest możliwy wyłącznie za pośrednictwem bezpiecznego środowiska przetwarzania, w którym organ ds. dostępu do danych stosuje określone w rozporządzeniu środki z zakresu bezpieczeństwa.
Dane dotyczące zdrowia pozyskiwane altruistycznie
Projekt rozporządzenia uwzględnia również altruistyczne podejście do danych dotyczących zdrowia. Altruizm danych został zdefiniowany w rozporządzeniu (UE) 2022/868 z 30 maja 2022 r. w sprawie europejskiego zarządzania danymi (Data Governance Act) jako dobrowolne dzielenie się danymi na podstawie wyrażonej przez osoby, których dane dotyczą, zgody na przetwarzanie dotyczących ich danych osobowych lub na podstawie udzielonego przez posiadaczy danych pozwolenia na wykorzystywanie ich danych nieosobowych, bez żądania ani otrzymania wynagrodzenia, do celów leżących w interesie ogólnym, określonych w prawie krajowym, takich jak opieka zdrowotna, zwalczanie zmian klimatu, itp. lub do celów badań naukowych leżących w interesie ogólnym.
Takim gromadzeniem danych w celach leżących w interesie ogólnym mogą zajmować się podmioty prowadzące działalność niekomercyjną w krajach, które przyjmą krajowe polityki w zakresie altruizmu danych.
Projekt rozporządzenia dopuszcza przetwarzanie elektronicznych danych osobowych dotyczących zdrowia przez organizacje altruizmu w bezpiecznym środowisku przetwarzania, spełniającym wymogi ustanowione w rozporządzeniu. Zobowiązuje też organy ds. dostępu do danych dotyczących zdrowia do współpracy z organami do spraw rejestracji organizacji altruizmu danych w zakresie monitorowania ich działalności.
Transgraniczna infrastruktura cyfrowa do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia
Przewidziana w projekcie rozporządzenia infrastruktura cyfrowa do wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia jest skonstruowana podobnie jak przy pierwotnym wykorzystywaniu takich danych. Nosi ona nazwę HealthData@EU (DaneZdrowotne@UE). Tworzy ją podstawowa platforma, utworzona i obsługiwana przez Komisję, oraz połączone z nią krajowe punkty kontaktowe, którymi mogą być krajowe organy ds. dostępu do danych dotyczących zdrowia. Możliwe jest też dołączenie punktu kontaktowego państwa trzeciego.
Upoważnionymi uczestnikami infrastruktury są również instytucje, urzędy, organy i agencje Unii zaangażowane w badania naukowe, politykę zdrowotną lub analizę. Mogą nimi być też inne struktury badawcze, głównie te zajmujące się zdrowiem, których funkcjonowanie opiera się na prawie Unii i które wspierają wykorzystywanie elektronicznych danych dotyczących zdrowia w ogólnym interesie społeczeństwa. Upoważnieni uczestnicy są współadministratorami operacji przetwarzania, a Komisja ma status procesora.
Projekt rozporządzenia ustanawia zasady udzielania dostępu do transgranicznych rejestrów i baz danych, które doprecyzowane zostaną w aktach wykonawczych Komisji. Transgraniczna infrastruktura upraszcza też procedurę w przypadku ubiegania się o dostęp do elektronicznych danych dotyczących zdrowia z więcej niż jednego państwa. Umożliwia bowiem złożenie jednego wniosku o dostęp do danych w organie ds. dostępu do danych dotyczących zdrowia w wybranym państwie, a organ ten powiadamia odnośne organy w pozostałych państwach i upoważnionych uczestników infrastruktury HealthData@EU (DaneZdrowotne@UE).
dr Ewa Butkiewicz, radca prawny, praktyka life science i postępowań regulacyjnych kancelarii Wardyński i Wspólnicy