Spis treści
- Pseudonimizacja danych medycznych – konieczność nowelizacji prawa dla rozwoju nauki i ochrony pacjentów. UODO apeluje o zmianę prawa do Ministra Zdrowia oraz Ministra Nauki
- Obowiązujące przepisy – bariera dla badań
- Luka prawna i niespójność systemowa
- Standardy europejskie – EHDS i RODO
- Czym jest pseudonimizacja?
- Propozycja zmian w ustawie o prawach pacjenta
- Zakaz reidentyfikacji i sankcje
- Konstytucyjny kontekst i obowiązek DPIA
- Jak jest i jak może być?
Pseudonimizacja danych medycznych – konieczność nowelizacji prawa dla rozwoju nauki i ochrony pacjentów. UODO apeluje o zmianę prawa do Ministra Zdrowia oraz Ministra Nauki
W obliczu dynamicznych zmian w europejskim prawodawstwie dotyczącym danych osobowych, Prezes Urzędu Ochrony Danych Osobowych (UODO) wystąpił do Ministra Zdrowia oraz Ministra Nauki z apelem o pilną nowelizację ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Obecne przepisy krajowe, które dopuszczają wyłącznie pełną anonimizację dokumentacji medycznej w celach naukowych, nie odpowiadają ani potrzebom środowiska badawczego, ani standardom wyznaczanym przez regulacje unijne – w szczególności RODO i EHDS.
Obowiązujące przepisy – bariera dla badań
Zgodnie z art. 26 ust. 4 ustawy o prawach pacjenta, dokumentacja medyczna może być udostępniana instytucjom naukowym wyłącznie po całkowitym usunięciu danych identyfikujących pacjenta. Dokładna treść: "4. Dokumentacja medyczna może być udostępniona także szkole wyższej lub instytutowi badawczemu do wykorzystania w celach naukowych, bez ujawniania nazwiska i innych danych umożliwiających identyfikację osoby, której dokumentacja dotyczy". Oznacza to, że dane muszą być nieodwracalnie zanonimizowane – co uniemożliwia późniejsze powiązanie wyników badań z konkretną osobą, nawet jeśli miałoby to znaczenie diagnostyczne lub terapeutyczne.
Takie podejście, choć zgodne z zasadą ochrony prywatności, znacząco ogranicza możliwości prowadzenia badań wymagających długoterminowego śledzenia danych pacjentów. W praktyce wyklucza to wiele projektów naukowych, które mogłyby przynieść realne korzyści dla zdrowia publicznego.
Luka prawna i niespójność systemowa
Prezes UODO zwraca uwagę, że inne akty prawne – jak ustawa o szkolnictwie wyższym czy ustawa o Agencji Badań Medycznych – przewidują możliwość przetwarzania danych osobowych w celach naukowych z zastosowaniem pseudonimizacji. Brakuje jednak jednoznacznego powiązania tych regulacji z ustawą o prawach pacjenta, co rodzi poważne wątpliwości interpretacyjne. W efekcie, mimo że pseudonimizacja jest uznanym i bezpiecznym mechanizmem ochrony danych, jej stosowanie w kontekście dokumentacji medycznej pozostaje w Polsce de facto niedozwolone.
Standardy europejskie – EHDS i RODO
Rozporządzenie EHDS - Rozporządzenie w sprawie europejskiej przestrzeni danych dotyczących zdrowia - weszło w życie w marcu 2025 roku, wprowadza obowiązek wtórnego wykorzystania danych zdrowotnych w celach naukowych. Co istotne, dopuszcza ono – w uzasadnionych przypadkach – udostępnianie danych w formie pseudonimizowanej, o ile nie jest możliwe osiągnięcie celu badawczego na podstawie danych zanonimizowanych.
RODO również przewiduje możliwość przetwarzania danych wrażliwych, w tym zdrowotnych, w celach naukowych – pod warunkiem zastosowania odpowiednich zabezpieczeń. Jednym z nich jest właśnie pseudonimizacja, która pozwala zachować wartość badawczą danych przy jednoczesnym ograniczeniu ryzyka naruszenia prywatności.
Czym jest pseudonimizacja?
Pseudonimizacja polega na zastąpieniu danych identyfikujących pacjenta kodem, który przechowywany jest oddzielnie i dostępny wyłącznie dla uprawnionego podmiotu. Dzięki temu odbiorca danych nie ma możliwości ustalenia tożsamości osoby, której dane dotyczą, ale możliwe jest np. śledzenie wyników badań w czasie. To rozwiązanie łączy w sobie bezpieczeństwo i funkcjonalność – pozwala chronić prywatność pacjentów, a jednocześnie umożliwia prowadzenie zaawansowanych analiz naukowych.
Propozycja zmian w ustawie o prawach pacjenta
Prezes UODO postuluje nowelizację art. 26 ustawy, tak aby dopuszczał on – w wyjątkowych przypadkach – udostępnianie dokumentacji medycznej w formie pseudonimizowanej. Warunkiem byłoby wykazanie przez wnioskodawcę, że cel badania nie może zostać osiągnięty na podstawie danych zanonimizowanych. Dodatkowo, dane pseudonimizowane mogłyby być udostępniane wyłącznie w bezpiecznym środowisku przetwarzania, które uniemożliwia ich kopiowanie czy eksport. Klucz pseudonimizacyjny pozostawałby pod kontrolą podmiotu udostępniającego dane lub zaufanej strony trzeciej.
Zakaz reidentyfikacji i sankcje
UODO podkreśla konieczność wprowadzenia jednoznacznego zakazu reidentyfikacji danych oraz sankcji za jego naruszenie. Tylko w ten sposób można zapewnić realną ochronę prywatności pacjentów. W aktach wykonawczych powinny znaleźć się szczegółowe wymagania techniczne i organizacyjne – dotyczące m.in. przechowywania kluczy, kontroli dostępu i dokumentacji operacyjnej.
Konstytucyjny kontekst i obowiązek DPIA
Każda zmiana legislacyjna musi być zgodna z art. 47 i 51 Konstytucji RP, które gwarantują prawo do prywatności i ochrony danych osobowych. Wszelkie ograniczenia muszą być proporcjonalne i wprowadzane wyłącznie ustawą. Zgodnie z RODO, konieczne będzie również przeprowadzenie oceny skutków dla ochrony danych (DPIA), która wykaże, że nowe przepisy zapewniają odpowiedni poziom zabezpieczeń.
Jak jest i jak może być?
Aktualnie regulacje są takie, że:
- Jest tylko pełna anonimizacja dokumentacji medycznej.
- Brak podstawy prawnej dla pseudonimizacji.
- Są graniczenia w prowadzeniu badań wymagających śledzenia danych w czasie.
Po zmianie może być tak:
- Możliwość pseudonimizacji w uzasadnionych przypadkach, w celach naukowych.
- Dane będą udostępniane w bezpiecznym środowisku.
- Jasne procedury i zabezpieczenia chroniące prywatność.
Podsumowując, wprowadzenie postulowanych zmian otworzyłoby nowe możliwości dla polskich uczelni i instytutów badawczych. Umożliwiłoby prowadzenie badań zgodnych z europejskimi standardami, bez kompromisów w zakresie ochrony danych osobowych.To krok nie tylko w stronę rozwoju nauki, ale także w stronę budowania zaufania pacjentów do instytucji publicznych i systemu ochrony zdrowia.
Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz. U. z 2024 r. poz. 581)
Potwierdź zapis
Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.
Coś poszło nie tak