Instytucje europejskie prowadzą prace nad stworzeniem odpowiednich warunków do szerokiej wymiany danych dotyczących zdrowia. Inicjatywa dotyczy wrażliwych danych, więc wymaga przygotowania odpowiedniego otoczenia prawnego i technologicznego.

Europejska przestrzeń danych dotyczących zdrowia jest jedną z sektorowych przestrzeni danych, które powstają obecnie w Unii Europejskiej, a jednocześnie pierwszą normowaną odrębnym aktem prawnym.

Utworzenie wspólnych europejskich przestrzeni danych w strategicznych sektorach gospodarki i dziedzinach interesu publicznego zostało zapowiedziane w „Europejskiej strategii w zakresie danych” – komunikacie Komisji Europejskiej (dalej: KE, Komisja) z 2020 r. [1] Dokument ten przedstawia plany stworzenia jednolitego rynku danych, który ma umożliwić swobodny przepływ zasobów informacji w UE, przy spełnieniu europejskich wymogów w zakresie ich bezpieczeństwa i ochrony.

Zgodnie z określoną w ww. strategii wizją utworzenie wspólnych, interoperacyjnych przestrzeni danych w wybranych sektorach ma ułatwić dzielenie się zasobami w zaufany i bezpieczny sposób.

Rozporządzenie EHDS

Aktualnie nie ma w dokumentach unijnych prawnej definicji przestrzeni danych. Opis ich elementów wspólnych można jednak znaleźć w dokumentach opublikowanych dotychczas przez Komisję [2]. Wskazano w nich dwa kluczowe, wspólne dla wszystkich przestrzeni danych elementy:

• wspólną infrastrukturę danych,
• wspólne ramy zarządzania danymi.

Wspólna infrastruktura oznacza bezpieczne i chroniące prywatność narzędzia i usługi, które pozwalają dzielić się danymi, gromadzić je, przetwarzać i udostępniać. Z kolei wspólne ramy zarządzania danymi określają w przejrzysty i uczciwy sposób prawa dostępu do danych i ich przetwarzania. Do utworzenia wspólnej europejskiej przestrzeni danych o zdrowiu, ze względu na wrażliwy charakter tych zasobów i ograniczenia prawne związane z ich przetwarzaniem, niezbędne było ustanowienie legislacji.

Rozporządzenie o europejskiej przestrzeni danych dotyczących zdrowia (European Health Data Space, dalej: rozporządzenie EHDS) [3] zostało zaproponowane przez Komisję w maju 2022 r., a porozumienie między Parlamentem Europejskim i Radą osiągnięto w kwietniu 2024 r. [4] Obecnie tekst rozporządzenia EHDS poddawany jest korekcie tłumaczy i prawników służb KE. Publikację dokumentu w Dzienniku Urzędowym UE zaplanowano na koniec 2024 lub początek 2025 r. Projektodawcy założyli, że co do zasady przepisy stosuje się po upływie dwóch lat od dnia wejścia tego rozporządzenia w życie. Od tej zasady przewiduje się wiele odstępstw – dla części przepisów przewidziano dłuższe terminy wdrożenia (maksymalnie do 10 lat), a wejście w życie niektórych z nich uwarunkowane jest uprzednim wydaniem przez Komisję aktów delegowanych i wykonawczych. Za wdrożenie rozporządzenia do polskiego porządku prawnego odpowiada Ministerstwo Zdrowia.

Cel rozporządzenia EHDS jest dwojaki: z jednej strony jest nim poprawa dostępu osób fizycznych do ich elektronicznych danych osobowych dotyczących zdrowia i uzyskanie nad nimi większej kontroli (tzw. pierwotne wykorzystywanie danych), a z drugiej – umożliwienie ponownego wykorzystywania tych informacji do celów, które mogą przynieść korzyści społeczeństwu, np.: badań, innowacji, kształtowania polityki, statystyk urzędowych lub działań regulacyjnych (tzw. wtórne wykorzystywanie danych).

Analizując rozporządzenie EHDS, warto podzielić je na trzy obszary: prawa osób fizycznych w zakresie zarządzania danymi o zdrowiu, mechanizmy dostępu i przetwarzania danych o zdrowiu przez uprawnione podmioty w kontekście ich wtórnego wykorzystania oraz systemy elektronicznej dokumentacji medycznej.

Prawa osób fizycznych

Pierwszym z trzech omawianych obszarów EHDS jest wzmocnienie praw osób fizycznych w odniesieniu do ich elektronicznych danych dotyczących zdrowia. Prawa te obejmują:

• bezpłatny dostęp
• uzyskanie kopii danych we wspólnym formacie ich wymiany
• upoważnienie do dostępu do danych; z wprowadzenie własnych informacji do własnej dokumentacji medycznej
• wystąpienie o sprostowanie danych; z przeniesienie danych do innego usługodawcy usług ochrony zdrowia lub udzielenie dostępu do danych określonemu podmiotowi opieki zdrowotnej lub opieki społecznej
• ograniczenie dostępu do niektórych kategorii danych.

Dodatkowo rozporządzenie EHDS zapewnia przejrzystość w dostępie do danych przez inne osoby, jak pracownicy służby zdrowia. Punkty dostępu do danych powinny zapewniać szczegółową informację na temat tego, kto i kiedy uzyskał dostęp do tych zasobów.

W rozporządzeniu EHDS założono, że wszystkie elektroniczne dane dotyczące zdrowia będą domyślnie dostępne do pierwotnego wykorzystania. Jeśli chodzi natomiast o prawo do sprzeciwu wobec przetwarzania tych zasobów – będzie ono uzależnione od rozwiązań krajowych wprowadzonych przez państwa członkowskie. Oznacza to, że to państwa członkowskie mogą pozwolić pacjentom na wyrażenie sprzeciwu wobec udostępnienia pracownikom służby zdrowia ich danych. Prawo do sprzeciwu nie będzie jednak obowiązywało, gdy wymaga tego żywotny interes pacjenta – wtedy pracownicy służby zdrowia będą mieć dostęp do tych informacji mimo wyrażonego wcześniej sprzeciwu. W przypadku więc, gdy państwo członkowskie nie zdecyduje się na wprowadzenie prawa do sprzeciwu, oznaczać to będzie pewną utratę kontroli pacjentów nad przetwarzaniem ich danych osobowych.

Jeśli chodzi natomiast o prawo do sprzeciwu wobec wtórnego wykorzystywania danych, obowiązuje ono we wszystkich państwach członkowskich. Osoba fizyczna może w każdej chwili i w prosty sposób sprzeciwić się przetwarzaniu dotyczących jej danych na potrzeby wtórnego wykorzystania. Państwa członkowskie mogą jednak przewidzieć w prawie krajowym mechanizmy pozwalające na wtórne wykorzystanie danych przez sektor publiczny lub podmioty, którym powierzono realizację zadania w interesie publicznym, pomimo zgłoszonego sprzeciwu. Może mieć to miejsce w sytuacji, gdy dane są niezbędne do określonych celów związanych z interesem publicznym.

Pacjenci i pracownicy służby zdrowia będą mieli dostęp do elektronicznych danych dotyczących zdrowia za pośrednictwem usług dostępu ustanowionych przez państwa członkowskie. Celem jest zapewnienie, aby każda osoba mogła otrzymać pomoc medyczną na podstawie swojej pełnej historii medycznej niezależnie od miejsca, w którym będzie ona udzielana. Nowe przepisy mają zagwarantować pacjentom dostęp do ich cyfrowych danych dotyczących zdrowia niezależnie od lokalizacji, a pracownikom służby zdrowia – w razie potrzeby – dostęp do informacji zdrowotnych pacjentów leczonych w innych państwach członkowskich.

Państwa członkowskie zobowiązane są do wyznaczenia organu ds. e-zdrowia, który będzie odpowiadał za wdrożenie i egzekwowanie przepisów w zakresie pierwotnego wykorzystania elektronicznych danych dotyczących zdrowia.

Aby umożliwić pierwotne wykorzystywanie elektronicznych danych dotyczących zdrowia, państwa członkowskie będą zobowiązane do dołączenia do infrastruktury MyHealth@EU – centralnej platformy e-zdrowia ułatwiającej transgraniczną wymianę elektronicznych danych dotyczących zdrowia. Platforma MyHealth@EU jest już operacyjna w 13 państwach członkowskich UE, w tym w Polsce (itwa.pl/yw).

Co więcej, w kontekście wykorzystania pierwotnego każde państwo członkowskie zobowiązane jest do wyznaczenia krajowego punktu kontaktowego ds. e-zdrowia. Jest to organizacyjna i techniczna brama do świadczenia usług związanych z transgraniczną wymianą danych zdrowotnych. Krajowe punkty kontaktowe będą połączone wzajemnie ze sobą oraz z platformą MyHealth@EU.

Wtórne wykorzystanie danych – mechanizmy dostępu i przetwarzania

W rozporządzeniu EHDS przewidziano rozwiązania, dzięki którym elektroniczne dane dotyczące zdrowia będzie można ponownie wykorzystywać do innych celów niż ten, do którego zostały zebrane (tzw. wtórne wykorzystywanie). Mowa o używaniu ich przez naukowców, przemysł czy organy regulacyjne. Takie rozwiązanie ma służyć większemu wykorzystaniu potencjału, jaki dane medyczne niosą za sobą dla rozwoju nauki i innowacji. Zasoby te mogą przyczynić się bowiem do opracowania nowych metod leczenia, medykamentów czy produktów leczniczych. Wtórne wykorzystanie jest jednak obwarowane określonymi wymogami i ograniczeniami – ze względu na wrażliwy charakter tych informacji.

Przede wszystkim wtórne wykorzystanie danych będzie możliwe tylko w określonych celach. Określone są również cele, w przypadku których wtórne wykorzystanie danych będzie zabronione, takie jak reklama komercyjna czy zwiększanie składek ubezpieczeniowych. W rozporządzeniu wskazano także minimalne kategorie danych, które mają podlegać udostępnieniu i wtórnemu wykorzystaniu. Zakres tych kategorii jest niezwykle szeroki – obejmuje nie tylko dane związane stricte ze zdrowiem, które pochodzą z elektronicznej dokumentacji medycznej, ale i dane z systemu opieki zdrowotnej (informacje dotyczące wydatków na opiekę zdrowotną, rejestry chorób), a także dane dotyczące wpływu na zdrowie (np. status społeczno-ekonomiczny, czynniki środowiskowe i behawioralne).

Wtórne wykorzystanie danych ma podlegać rygorystycznym wymogom z zakresu bezpieczeństwa i ochrony danych osobowych. Dostęp do danych w celu wtórnego wykorzystania będzie wymagał specjalnie uzasadnionych wniosków. Użytkownicy, którzy będą chcieli uzyskać dostęp do danych dotyczących zdrowia, by wtórnie je wykorzystać, będą musieli uzyskać zezwolenie wydane przez organ ds. dostępu do danych wyznaczony przez państwa członkowskie. Organy ds. dostępu, przed wydaniem zezwolenia, będą oceniać, czy wniosek spełnia określone w rozporządzeniu kryteria. Zezwolenie będzie określać cel i sposób wykorzystania danych. Zasoby mają być udostępniane wyłącznie w postaci zanonimizowanej lub – w sytuacji gdy cel przetwarzania będzie wymagał dostępu do danych osobowych – w formie spseudonimizowanej. Zezwolenie na dostęp do danych wydaje się na określony czas, który jest niezbędny do osiągnięcia celów, a za udostępnienie danych do wtórnego wykorzystania organy ds. dostępu do danych mogą pobierać opłaty.

Nietrudno sobie wyobrazić, że organy ds. dostępu do danych w jednym kraju mogą udzielać zezwoleń na dostęp do zasobów chętniej niż jednostki tego typu w innym państwie członkowskim. Może to doprowadzić do sytuacji, w której wnioski będą składane do określonych, wybranych organów – tych, w których uzyskanie zgody na dostęp do informacji będzie łatwiejsze niż w innym podmiocie.

Zgodnie z wymogami rozporządzenia EHDS udzielenie dostępu do danych ma się odbywać w zamkniętym, bezpiecznym środowisku przetwarzania. Zapewniona ma być przy tym przejrzystość, jeśli chodzi o przypadki wtórnego wykorzystania – organy ds. dostępu do danych będą publikować informacje dotyczące tego, komu udzielono dostępu do poszczególnych kategorii elektronicznych danych medycznych. Publiczne mają być również informacje dotyczące:

• środków podejmowanych w celu ochrony praw osób fizycznych;
• sposobu, w jaki osoby fizyczne mogą wykonywać swoje prawa w związku wykorzystaniem wtórnym;
• wyników wykorzystania wtórnego, np. linki do publikacji naukowych.

Te obowiązki związane z przejrzystością są uzupełnieniem wymogów w zakresie obowiązków informacyjnych wynikających z rodo [5], w szczególności w sytuacjach, gdy będą zastosowane wyjątki od obowiązków informacyjnych na postawie art. 14 ust. 5 tego rozporządzenia.

Każde państwo członkowskie musi powołać krajowy punkt kontaktowy ds. wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia. Punkt ten ma pełnić funkcję organizacyjnej i technicznej bramy, która umożliwia udostępnianie elektronicznych danych medycznych do wtórnego wykorzystania w kontekście transgranicznym i jest za to odpowiedzialna.

Aby umożliwić wtórne wykorzystanie danych w wymiarze transgranicznym, Komisja rozwija infrastrukturę HealthData@EU, która będzie łączyć krajowe punkty kontaktowe z centralną platformą e-zdrowia. Uczestnikiem infrastruktury HealthData@EU mogą być również państwa trzecie lub organizacje międzynarodowe, pod warunkiem przestrzegania przepisów dotyczących wtórnego wykorzystania danych i przepisów rozdz. V rodo.

Systemy elektronicznej dokumentacji medycznej

Trzeci obszar rozporządzenia EHDS to ustanowienie przepisów dotyczących wprowadzania do obrotu, udostępniania na rynku lub wprowadzania do użytkowania systemów elektronicznej dokumentacji medycznej (dalej: systemy EDM).

Systemy EDM muszą spełniać określone wymogi związane z interoperacyjnością i bezpieczeństwem – od tego zależy, czy będzie można wprowadzić je do obrotu na obszarze UE. Takie rozwiązanie pozwoli na zapewnienie kompatybilności między poszczególnymi systemami i umożliwi wymianę elektronicznych danych dotyczących zdrowia za ich pomocą.

Warto podkreślić, że ustanowiono obowiązkowy system certyfikacji własnej systemów EDM, w ramach którego należy wykazać, że są one zgodne z wymaganiami interoperacyjności i bezpieczeństwa na szczeblu unijnym. Wymogi te obowiązują wszystkie podmioty gospodarcze prowadzące działalność w całym łańcuchu wartości (tj. producentów, przedstawicieli, importerów, dystrybutorów). Za ich egzekwowanie w odniesieniu do systemów EDM odpowiadać będą organy nadzoru rynku wyznaczone przez państwa członkowskie.

W rozporządzeniu EHDS wprowadzono również możliwość dobrowolnego oznakowania aplikacji wspierających dobrostan, które są interoperacyjne z systemami EDM. Użytkownicy takich aplikacji będą mogli zdecydować się na przekazywanie danych zbieranych przez te narzędzia do systemu EDM.

Relacja z rodo

Ze względu na fakt, że na gruncie przepisów o ochronie danych osobowych dane o zdrowiu są „szczególną kategorią danych osobowych”, nie można pominąć zagadnienia wzajemnych relacji między rozporządzeniem EHDS a rodo.

Rozporządzenie EHDS zawiera ogólną normę kolizyjną, która stanowi, że nie narusza ono innych aktów prawnych Unii dotyczących przetwarzania danych w odniesieniu do elektronicznych danych dotyczących zdrowia, w tym rodo.

Według projektodawców rozporządzenie EHDS wspiera wdrażanie praw zagwarantowanych w rodo w odniesieniu do elektronicznych danych dotyczących zdrowia. Jak wskazuje KE w uzasadnieniu do wniosku, mimo zagwarantowania w rodo prawa dostępu i prawa do przekazywania danych, osoby fizyczne doświadczają trudności w korzystaniu z przysługujących im praw w zakresie danych dotyczących zdrowia. Trudności te wynikają z tego, że w niektórych państwach nie ma wymogu prowadzenia dokumentacji medycznej w formie elektronicznej, brakuje interoperacyjności systemów informatycznych w sektorze ochrony zdrowia, a także z ograniczonej harmonizacji wymogów i norm technicznych wdrażanych w państwach członkowskich. Również prawo do przenoszenia danych, jakie gwarantuje rodo, odnosi się do danych przetwarzanych na podstawie zgody lub umowy, co powoduje, że ma ograniczone zastosowanie w sektorze ochrony zdrowia. Rozporządzenie EHDS ma sprawić, że możliwa będzie pełna realizacja praw przewidzianych w rodo.

Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych wydały opinię6, w której zwracają uwagę, że regulacje zawarte w rozporządzeniu EHDS to dodanie kolejnego poziomu do bardzo złożonego zestawu przepisów (zawartych zarówno w prawie UE, jak i w prawie państw członkowskich) dotyczących przetwarzania danych dotyczących zdrowia. Mnogość tych regulacji może prowadzić do braku pewności prawnej przy ich stosowaniu w praktyce.

Odpowiednie otoczenie prawne i technologiczne

Rozporządzenie EHDS wydaje się niezwykle ambitnym przedsięwzięciem na skalę europejską, wymagającym dużych inwestycji w infrastrukturę na szczeblu unijnym oraz zmian o charakterze organizacyjnym i instytucjonalnym na szczeblu krajowym.

Ten akt prawny niesie za sobą szereg potencjalnych korzyści zarówno dla osób fizycznych, jak i całych społeczeństw. Szanse te zostaną wykorzystane pod warunkiem zbudowania takiego otoczenia prawnego i technologicznego, które zapewni zaufanie do wykorzystania tych danych. To z kolei jest zależne od istniejących gwarancji prawnych i odporności tworzonej infrastruktury na naruszenia bezpieczeństwa i wycieki danych, które w ostatnim czasie – również w sektorze ochrony zdrowia – zdarzają się nagminnie.

 

Przypisy:

1. Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów, Europejska strategia w zakresie danych, COM(2020) 66 final, itwa.pl/og [dostęp: 25.09.2024].
2. Commission staff working document on Common European Data Spaces, SWD(2022) 45 final, itwa.pl/yt [dostęp: 25.09.2024].
3. Wniosek – rozporządzenie Parlamentu Europejskiego i Rady w sprawie europejskiej przestrzeni danych dotyczących zdrowia, COM/2022/197 final, itwa.pl/yu [dostęp: 25.09.2024].
4. Tekst kompromisowy: itwa.pl/yv [dostęp: 25.09.2024].
5. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4.05.2016).
6. Wspólna opinia EROD i EIOD 03/2022 w sprawie wniosku dotyczącego rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia, itwa.pl/yx [dostęp: 25.09.2024].

---

Autor

Aleksandra Chmielecka

Autorka jest ekspertką w dziedzinie europejskich regulacji dotyczących zarządzania danymi oraz prawa ochrony danych osobowych.