Chodzi o uporządkowanie przepisów, które dziś pozwalają wyłącznie na anonimizację danych pacjentów, pomijając coraz częściej stosowaną w Europie pseudonimizację.
Czytaj też: RODO do remontu? Nawet polski UODO przyznaje: za dużo na barkach małych firm
Gdzie tkwi problem
Obecne regulacje – przede wszystkim ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta – zakładają, że dokumentacja medyczna może być przekazana naukowcom wyłącznie w formie całkowicie zanonimizowanej, czyli pozbawionej jakichkolwiek elementów pozwalających na ustalenie tożsamości pacjenta.
Sprawdź polecane oferty
RRSO 20,77%
Takie rozwiązanie zapewnia pełną ochronę prywatności, ale jednocześnie wyklucza możliwość wykorzystania wniosków z badań w praktyce klinicznej wobec konkretnego pacjenta. Jeśli badania pozwalają np. wykryć marker choroby czy wskazać skuteczniejszą terapię, lekarze nie mogą przypisać tych wyników do danej osoby.
Środowiska medyczne i naukowe od dawna sygnalizują, że takie ograniczenie hamuje rozwój badań klinicznych i uniemożliwia pełne wykorzystanie potencjału danych medycznych. Dlatego domagają się prawnego uznania pseudonimizacji, czyli takiego przetwarzania, w którym dane są zaszyfrowane i zabezpieczone, ale mogą być – pod odpowiednimi warunkami – z powrotem przypisane do pacjenta.
Czytaj też: Bardzo fajnie to wygląda. Ekipa deregulacyjna i prezes UODO współpracują dla dobra narodu
Europa idzie krok dalej
Na poziomie unijnym rozwiązania takie przewiduje rozporządzenie w sprawie Europejskiej Przestrzeni Danych Zdrowotnych. Zakłada ono, że co do zasady dane zdrowotne powinny być udostępniane w formie zanonimizowanej, ale w ściśle określonych przypadkach dopuszczalne jest także ich pseudonimizowanie. W podobnym kierunku zmierzają też przepisy Aktu o sztucznej inteligencji i Aktu o zarządzaniu danymi.
RODO (art. 9 ust. 2 lit. j) dopuszcza wykorzystywanie danych osobowych w badaniach naukowych, o ile stosowane są odpowiednie zabezpieczenia. Europejska Rada Ochrony Danych jasno jednak stwierdza: dane spseudonimizowane wciąż pozostają danymi osobowymi, a ich ochrona musi być zagwarantowana przepisami prawa.
Polska regulacja nie nadąża
W ocenie Prezesa UODO krajowe przepisy nie odpowiadają ani realiom badań medycznych, ani wymaganiom prawa unijnego. Brak regulacji dotyczących pseudonimizacji sprawia, że Polska pozostaje w tyle za rozwiązaniami wdrażanymi w innych państwach UE. Co więcej, w razie przyjęcia EHDS w dotychczasowej formie, nasz porządek prawny będzie wymagał gruntownej rewizji – nie tylko w zakresie ustawy o prawach pacjenta, lecz także ustaw o systemie informacji w ochronie zdrowia czy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.
Co proponuje UODO
Mirosław Wróblewski podkreśla, że potrzebne są jasne, precyzyjne przepisy, które:
- pozwolą na udostępnianie danych medycznych w postaci pseudonimizowanej do celów badań,
- zapewnią pełną zgodność z RODO i EHDS,
- zagwarantują poszanowanie praw pacjenta, w tym tajemnicy zawodowej i prawa do prywatności,
- przewidzą mechanizmy kontroli i oceny ryzyka związanego z przetwarzaniem.
Prezes UODO zaznacza, że anonimizacja powinna pozostać podstawową formą udostępniania dokumentacji, ale równolegle należy stworzyć ramy dla pseudonimizacji. Dzięki temu naukowcy mogliby prowadzić badania na większą skalę, a pacjenci – w razie istotnych odkryć – skorzystaliby z nich w praktyce klinicznej.
Wdrożenie nowych przepisów nie będzie prostym zadaniem. Wymaga przeprowadzenia oceny skutków dla ochrony danych, konsultacji z ekspertami i środowiskiem naukowym, a także pogodzenia prawa unijnego z polską konstytucją (zwłaszcza art. 47 i 51 dotyczących prawa do prywatności). UODO zadeklarował jednak wsparcie eksperckie w procesie legislacyjnym.
