Evropský prostor pro zdravotní data na obzoru
Pro občany EU okamžitý a bezplatný přístup k údajům o svém zdravotním stavu v rámci celé EU a jejich efektivní kontrola, snadné a bezpečné sdílení dat z jednotlivých systémů mezi zdravotníky a využívání dat pro účely výzkumu, inovací a tvorbu politik. Toto jsou ve stručnosti základní teze tzv. Evropského prostoru pro zdravotní data, který by měl být zřízen na základě návrhu nařízení Evropského parlamentu a Rady (EU), který v květnu tohoto roku předložila Evropská komise. Je přitom zřejmé, že se tento nový a převratný koncept neobejde bez silné ochrany osobních údajů.
V následujícím článku proto vyložíme hlavní myšlenky tohoto návrhu nařízení a zároveň představíme společné stanovisko k návrhu vydané 14. července 2022 dvěma nejvýznamnějšími nezávislými institucemi v oblasti ochrany osobních údajů v EU – Evropského sboru pro ochranu osobních údajů (EDPB) a Evropského inspektora ochrany údajů (EDPS).
Úvodem
Koncept Evropského prostoru pro zdravotní data má být jedním z pilířů tzv. Evropské zdravotní unie, jakožto formy úzké spolupráce mezi členskými státy EU v oblasti zdravotnictví, a zároveň je součástí širšího plánu na vznik jednotného evropského prostoru pro sdílení dat. V rámci Evropské zdravotní unie by se členské země EU měly společně připravovat na zdravotní krize a společně na ně reagovat s cílem lépe ochránit zdraví občanů EU, zajistit lepší připravenost států na pandemie včetně jejich prevence a zvýšit odolnost evropských systémů zdravotní péče[1].
Spolupráce členských států v oblasti zdravotnictví a sdílení zdravotnických dat není přitom úplnou novinkou. Stačí připomenout zavedení přeshraničních služeb v rámci tzv. infrastruktury digitálních zdravotnických služeb (eHDSI)[2], díky níž dochází v rámci EU u dobrovolně zapojených států k výměně elektronických lékařských receptů (ePrescription) a informací o vydaných lécích (eDispensation), brzy také ke sdílení digitálního pacientského souhrnu. Tím se samozřejmě elektronizace zdravotnictví nezastavila a i v České republice jde o poměrně aktuální téma zejména v souvislosti s nabytím účinnosti zákona č. 325/2021 Sb. , o elektronizaci zdravotnictví[3].
Je zřejmé, že údaje o zdravotním stavu mají významný potenciál pro budoucí přeshraniční využití, což ukázala i pandemie COVID-19. V květnu tohoto roku proto Evropská komise předložila návrh nařízení, kterým se zřizuje evropský prostor pro zdravotní data[4] (the European Health Data Space, tzv. „EHDS“).
Co bude zahrnovat Evropský prostor pro zdravotní data
EHDS by měl vytvořit společný prostor, ve kterém by měli jednotlivci jednoduše kontrolovat svoje elektronická zdravotní data, zejména zlepšením jejich přístupu k elektronickým datům na vnitrostátní i evropské úrovni. Jedná se zejména o data pro účely poskytování zdravotních služeb pro posouzení, udržení nebo obnovení zdravotního stavu fyzické osoby - pacienta (tzv. primární použití elektronických zdravotních dat). Konkrétně jsou to ta data, která spadají do následujících kategorií: pacientské souhrny, elektronické lékařské předpisy, elektronická dispenzace, lékařské snímky a zprávy o snímcích, laboratorní výsledky a propouštěcí zprávy.
V současné době je právo na přístup ke zdravotním datům v mnoha zemích ztíženo např. tím, že je pacientovi zpřístupněn pouze spis v listinné či v lepším případě naskenované podobě, což bývá mnohdy zdlouhavé a nepraktické. Zároveň to může narušit závažným způsobem včasný přístup pacienta k zdravotním datům s mnohdy neblahými důsledky. Možnost okamžitého a bezplatného přístupu k elektronickým datům včetně práva na elektronickou kopii dle návrhu nařízení o EHDS by mohlo v tomto směru výrazněji přispět ke zlepšení stávající situace, i když povinnost členským státům elektronizovat zdravotní údaje návrh nařízení nestanoví. Členské státy si zároveň mohou stanovit výjimky, kdy by okamžité sdělení zdravotního údaje mohlo být nepatřičné, neetické či škodlivé z hlediska bezpečnosti osob (např. sdělení diagnózy by mohlo vést ke zhoršení zdravotního stavu). Taková data by mohla být sdělována pacientovi s určitým časovým odstupem. Zároveň by mohl pacient povolit či omezit přístup k zdravotním datům i dalším osobám a přitom kontrolovat předávání, resp. sdílení jeho dat.
EHDS by měl zároveň umožnit využívání údajů o zdravotním stavu pro účely výzkumu, inovací, vzdělávání, provádění činností z důvodu veřejného zájmu (např. při ochraně před vážnými přeshraničními hrozbami), tvorby politik, statistik a regulační činnosti osobám se zvláštním povolením, a to důvěryhodnou a zabezpečenou cestou zachovávající soukromí osob (tzv. sekundární využití elektronických zdravotních dat). Může se přitom jednat jak o údaje, které byly původně shromážděny pro primární užití, tak o údaje sesbírané pouze pro sekundární využití. Výslovně je přitom zakázáno tato data používat pro účely přijetí rozhodnutí poškozující fyzickou osobu, vylučující osobu z plnění pojistné smlouvy či dalších příspěvků, pro reklamní nebo marketingovou činnost, pro zpřístupnění třetím stranám či pro vývoj výrobků či služeb poškozujících jednotlivce či společnost obecně.
Základem pro využívání zdravotních dat bude nová přeshraniční infrastruktura, která by měla být vystavěna na stávající dobrovolné platformě MyHealth@EU, a jež by umožnila výměnu elektronických dat z různých decentralizovaných databází či systémů elektronických zdravotních dat. Nejde tedy o vytvoření jedné centrální databáze EU.
Tyto decentralizované databáze a systémy zdravotních dat přitom mohou být jak veřejnoprávní, tak soukromoprávní. Lze si pod tím představit různé systémy elektronických zdravotních záznamů, jež se zpracovávají pro účely zdravotní péče (tzv. systémy EHR), pro sekundární využití zdravotních dat pak budou muset dotčené subjekty poskytnout data např. i z veřejných zdravotních registrů, lékařských registrů či data z klinických hodnocení, průzkumů a dotazníků, elektronická zdravotní data týkající se zdravotnických prostředků, z registrů léčivých přípravků a zdravotnických prostředků, ale i data z různých wellness aplikací či jiných digitálních zdravotních aplikací (pod tím si lze představit např. aplikace na sledování váhy, životní pohody, jídelníčku apod.).
EHDS vytváří pro takové využití zdravotních dat složitý právní rámec, který se dotkne i všech výrobců a poskytovatelů různých zdravotních systémů (systémů EHR), neboť budou vázáni závaznými normami na interoperabilitu a bezpečnost systémů a prostřednictvím povinné autocertifikace budou prokazovat právě soulad systému s právními předpisy. Návrh nařízení proto blíže rozvíjí pravidla a požadavky jak obecného nařízení o ochraně osobních údajů (GDPR), tak i celé řady stávajících i budoucích evropských předpisů[5] a přidává další vrstvu do již tak složitého systému pravidel.
Vzhledem k tomu, že zdravotní údaje patří mezi tzv. zvláštní kategorii osobních údajů[6], jak ji vymezuje článek 9 GDPR, je zřejmé, že vzhledem k jejich vysoké citlivosti bude muset být zásadním a rozhodujícím atributem EHDS právě zajištění důvěryhodnosti a bezpečnosti celého systému pro zpracování a silnou ochranu elektronických zdravotních údajů.
Společné stanovisko Evropského sboru pro ochranu osobních údajů a Evropského inspektora ochrany údajů k návrhu nařízení
Návrh nařízení o EHDS byl v rámci připomínkového řízení obratem předložen také v úvodu zmíněným institucím pro ochranu osobních údajů EDPB a EDPS, které k němu dne 14.7.2022 vydaly společné stanovisko[7]. Obě tyto instituce sice vnímají přínos EHDS z hlediska veřejného zájmu i zájmu jednotlivců jako pacientů, nicméně přece jen k němu zaujaly poměrně kritický postoj.
Zdůraznily především, že návrh nařízení obsahuje jakousi nadstavbu k některým právům subjektů údajů již obsažených v GDPR, kdy návrh dokonce může oslabovat ochranu práva na soukromí a ochranu dat, zejména co se týče kategorií dat a účelů pro tzv. sekundární použití dat. Rozhodně nedoporučují rozšiřovat seznam výjimek z práv subjektů údajů dle GDPR, což může vést k oslabení účinnosti kontroly subjektu údajů nad jeho zdravotními daty. Dále uvádějí, že definice některých práv jednotlivců v návrhu nařízení nejsou konsistentní s definicemi uvedenými v GDPR, kdy důsledkem může být právní nejistota. Zároveň poznamenávají, že především souhra a kompatibilita tohoto nařízení s GDPR a dalšími právními předpisy EU i jednotlivých členských států EU by měla být naprosto jasná.
Obě instituce se shodly také na tom, že by data z wellness a jiných digitálních aplikací neměla být používána pro sekundární využití zdravotních dat (např. k výzkumům), a když, tak jen s předchozím souhlasem subjektu údajů, přičemž doplnili, že takové zpracování může spadat také pod stávající směrnici Evropského parlamentu a Rady 2002/58/ES (e-Privacy směrnici). U těchto aplikací se jedná přitom o úplně jinou kvalitu dat než jsou klasické zdravotní záznamy a může jít o data navýsost citlivá vzhledem k tomu, že reálně odráží každodenní život jednotlivce.
Výše uvedené instituce dále zdůraznily, že je u EHDS nutné plně zajistit účinný dohled nezávislými orgány pro ochranu osobních údajů (tedy EDPB a EDPS) a rovněž , že by měla být data uchovávána v rámci EHP s tím, že by jejich případné přenosy do třetích zemí musely splňovaly požadavky GDPR.
U sekundárního použití zdravotních dat pak dle jejich názoru návrh nařízení postrádá řádné vymezení jednotlivých konkrétních účelů, pro které by měly být zdravotní údaje dále zpracovávány a vidí nejasnost i ve vztahu k účelům, pro které GDPR stanoví výjimkou z jinak obecného zákazu zpracování zvláštní kategorie osobních údajů (čl. 9 GDPR).
V neposlední řadě je dle názoru obou evropských institucí pro ochranu osobních údajů potřeba návrh nařízení koncipovat tak, aby byly jasně vymezené úkoly a pravomoci nových veřejných orgánů, a to i s ohledem na pravomoci vnitrostátních dozorových orgánů, EDPB a EDPS. Zejména považují za nutné zajistit, aby se jednotlivé pravomoci nepřekrývaly, byly jasně specifikovány oblasti spolupráce a aby dozorové orgány členských států zůstaly jedinými příslušnými orgány pro otázky v souvislosti s ochranou osobních údajů a zároveň jediným kontaktním místem pro jednotlivce v této oblasti.
Závěrem lze shrnout, že návrh nařízení o Evropském prostoru pro zdravotní data čeká ještě poměrně dlouhá cesta v rámci legislativního procesu EU, která nebude rozhodně jednoduchá s ohledem na citlivost tématu zdravotních údajů i na poměrně zásadní připomínky Evropského sboru pro ochranu osobních údajů a Evropského inspektora ochrany údajů (a jistě v budoucnu i dalších orgánů). Nicméně kostky byly vrženy a Evropský prostor pro zdravotní data je zase o krok blíže ke své realizaci.
Mgr. Lenka Hanková,
advokátka / Senior Associate
Platnéřská 2
110 00 Praha 1
Tel.: +420 236 163 710
E-mail: lenka.hankova@roedl.com
[3] První část zákona č. 325/2021 Sb. , o elektronizaci zdravotnictví nabyla účinnosti 1. 1. 2022, další části nabydou účinnosti v průběhu let 2023 a 2024 a v plném znění by pak měl zákon nabýt účinnosti 1. 1. 2026.
[5] EHDS vychází z právních předpisů, například z nařízení (EU) 2016/679 obecné nařízení o ochraně osobních údajů – GDPR (viz zde), nařízení (EU) 2017/745 o zdravotnických prostředcích (viz zde), nařízení (EU) 2017/746 o diagnostických zdravotnických prostředcích in vitro (viz zde), navrhovaného aktu o umělé inteligenci (viz zde), navrhovaného aktu o správě dat (viz zde), navrhovaného aktu o datech (viz zde), směrnice 2016/1148 o bezpečnosti sítí a informačních systémů (viz zde) a směrnice o přeshraniční zdravotní péči (viz zde).
[6] Do zvláštní kategorie osobních údajů spadají dle článku 9 odst. 1 GDPR: osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a genetické údaje, biometrické údaje za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
