Novodobý vývoj informačních technologií a komercializace zdravotnického výzkumu změnily způsob zpracování dat. S tím se také zněkolikanásobil objem údajů využitelných pro výzkum. Zvýšil se i počet osob, které se na výzkumech podílejí nebo z nich profitují. Roli ve výzkumech hrají kromě vědců i společnosti zabývající se analýzou dat, poskytovatelé cloudových služeb a další aktéři převážně ze soukromého sektoru. Základem pro výzkum jsou často nejen data a informace neosobní povahy, ale i osobní údaje, které s sebou nesou nemalou řadu relativně přísných pravidel pro zpracování. Na povrch tudíž vyplouvají otázky souladu užití těchto údajů pro účely výzkumu s účinnou právní úpravou. V článku se proto nejdříve zaměříme na základní právní rámec spojený se zpracováním osobních údajů pro účely vědeckého výzkumu v oblasti zdravotnictví, jakožto tzv. privilegovaného způsobu zpracování osobních údajů. Druhá část textu bude věnovaná zdánlivě banální otázce kvalifikace zpracovávaných údajů, která má ale zásadní vliv na průběh zpracování a v konečném důsledku i na samotný výzkum. V textu budeme primárně vycházet z Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („GDPR“) a zákona č. 110/2019 Sb., o zpracování osobních údajů („ZZOÚ“), neboť jde o právní nástroje, které jsou pro oblast zpracování osobních údajů v rámci České republiky nejrelevantnější.[1]

Zpracování osobních údajů pro účely vědeckého výzkumu

Pod obecný pojem „výzkum v oblasti zdravotnictví“ se může řadit velká škála různých výzkumů a studií, které se liší metodami, využívanými typy údajů a i tím, jakého účelu chtějí tyto výzkumy docílit. Zpracování osobních údajů pro účely vědeckého výzkumu, jak již bylo zmíněno výše, obecně mohou patřit mezi tzv. privilegovaná zpracování osobních údajů a mohou tak využívat řadu odklonů od obecných pravidel uvedených v GDPR.[2] Tyto aktivity mají být podle rec. 159 preambule GDPR chápány v širokém smyslu, přičemž jako příklad je explicitně zmíněn technologický vývoj, základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů, stejně jako studie prováděné ve veřejném zájmu v oblasti veřejného zdraví. Takové zpracování musí podléhat vhodným zárukám, které tkví zejména v zavedení technických a organizačních opatření.[3]  Ne všechny typy zpracování pro účely výzkumu však budou takto privilegované automaticky – bez dalšího.

Podle Evropského inspektora ochrany údajů se za privilegované může považovat zpracování osobních údajů pro účely vědeckého výzkumu. Toto ale platí jen v případě, kdy výzkum dodržuje příslušné odvětvové i etické standardy a metodiky (včetně užití informovaného souhlasu) a je pod adekvátním dohledem. Výzkum musí rovněž cílit na rozvíjení kolektivní znalosti a blaha společnosti.[4], [5] Evropský inspektor ochrany údajů dále zdůrazňuje, že například přímé spotřebitelské služby poskytující předvídání zdravotních rizikových faktorů samy o sobě nejsou výzkumem, ale strategie sběru dat na základě souhlasu, která může být následně dále použitá pro výzkum nebo jiné účely.[6]

Tento privilegovaný režim však nelze použít tak, aby se tím vyprázdnila podstata práva na ochranu údajů. Veškeré zpracování osobních údajů musí být např. založeno na jednom z právních důvodů uvedených v čl. 6 nebo v souladu s některou z výjimek dle čl. 9 GDPR.[7] Zpracování osobních údajů pro účely vědeckého výzkumu reguluje v ČR v mezích povolených GDPR ZZOÚ, který ve svém § 16 ukládá správcům povinnost dodržovat „konkrétní opatření k ochraně zájmů subjektu údajů, která odpovídají stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.“ Ustanovení § 16 obsahuje rovněž rozsáhlý demonstrativní výčet opatření, která správci mohou implementovat pro dosažení vhodné ochrany zpracování. Jedná se například o pseudonymizaci osobních údajů, šifrování osobních údajů nebo opatření zajišťující trvalou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování. Důraz na bezpečnost informačních systémů je v kontextu digitalizace, užití tzv. big data setů a možnosti výskytu citlivých údajů o to důležitější.  Jako příklad lze uvést zavedení kontroly uživatelů databází obsahujících osobní údaje a kontroly přístupu k údajům. V případě zpracování pro účely vědeckého výzkumu je možné neaplikovat čl. 15 GDPR zakotvující právo na přístup k osobním údajům a v odpovídajícím rozsahu též zásady zpracování podle čl. 5 GDPR.[8] Musí být kumulativně splněny ale dvě podmínky, přičemž tou první je nezbytnost zpracování pro účely vědeckého výzkumu a tou druhou, že by dané informování vyžadovalo nepřiměřené úsilí. V ZZOÚ je tak promítnut požadavek nezbytnosti vyplývající z čl. 89 odst. 2 GDPR.

Správci musí zvážit, zda lze (v souladu se zásadou minimalizace) dosáhnout účelu vědeckého výzkumu i bez užití údajů zvláštní kategorie. Není-li to možné, pak podle § 16 odst. 2 ZZOÚ má správce nebo zpracovatel alespoň povinnost dále tyto údaje zpracovávat v podobě, která neumožňuje identifikaci subjektu údajů (opět v případě, že mu tento postup dovoluje dosáhnout daného účelu), ledaže tomu brání oprávněné zájmy konkrétní fyzické osoby, ke které se vážou. GDPR v čl. 89 odst. 1 klade obdobný požadavek na tzv. další zpracování osobních údajů, tj. zpracování údajů, které byly původně zpracovány pro účel jiný než vědecký výzkum. Splnit tento požadavek může ale být složitější, než se na první pohled zdá. O tom bude řeč níže.

Jak je patrné, GDPR umožňuje členským státům zákonem modifikovat obecná pravidla. Při mezinárodní spolupráci v oblasti zdravotnických výzkumů, která je běžná, je tak nutné myslet i na potenciální rozdíly v úpravě zpracování údajů. Pro porovnání, zajímavý přístup k tzv. dalšímu zpracování osobních údajů pro vědecký výzkum zvolilo Finsko, které pro sekundární použití zdravotních a sociálních údajů přijalo samostatný zákon.[9] Primárním účelem tohoto zákona je usnadnit zpracování a přístup k osobním sociálním a zdravotním údajům. Kontrolu nad přístupem k data setům pro sekundární užití ve výzkumu obsahující neosobní i osobní údaje pak přiznává specializovanému orgánu.[10] 

Údaje ve středu zájmu 

Zásadním aspektem provázejícím zpracování dat a informací je jejich správná kvalifikace – a to primárně na údaje osobní a neosobní. Ta je důležitá zejména z pohledu onoho objemu povinností nebo administrativní zátěže, které se k nim, převážně jedná-li se o osobní údaje, vztahují.[11]  Pro ČR relevantní definici osobních údajů nalezneme v čl. 4 odst. 1 GDPR. Jedná se o veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Jde o značně širokou definici, která umožňuje označit jako osobní údaj všechny informace, podle nichž lze fyzickou osobu odlišit od ostatních, a to i jen v teoretické rovině.

Pro určení toho, zda se jedná o informaci o identifikovatelné osobě GDPR ve svém rec. 26 preambule volí přístup založený na posouzení rizik[12] a konstatuje že „při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby.“ V případech, kde existuje důvodné riziko identifikace, by tedy údaje měly být považovány za osobní. I neosobní údaje se v minulosti mohly vztahovat k subjektu údajů (a podléhat tak např. GDPR) s tím, že následně pak byly typicky anonymizovány. Pracovní skupina WP 29, předchůdce Evropského sboru pro ochranu osobních údajů, zastávala názor, že nemůže existovat žádné zbývající riziko identifikace údajů. Pokud existuje, údaje nelze považovat za anonymizované.[13] Proto pokud by například při spolupráci vědecká instituce předávala dalšímu aktérovi výzkumu soubor již anonymizovaných údajů, ale nevymazala by zdrojový soubor obsahující i osobní údaje, výsledný předaný datový soubor by se stále považoval za osobní údaj, i když riziko identifikace je téměř nulové. Mezi údaji, které jsou určitě osobní a určitě neosobní pak existuje šedá zóna, se kterou v praxi nastávají největší potíže. Tzv. big data – obrovské množství údajů, které jsou často využívané právě ve výzkumech – mohou usnadňovat „de-anonymizaci“ údajů prostřednictvím kombinace různých datových sad.[14] Vybraným otázkám anonymizace, pseudonymizace a souvisejícím aspektům ochrany dat se bude věnovat jeden z dalších dílů našeho seriálu. Vědecký výzkum v oblasti zdravotnictví je specifický i vyšším potenciálním výskytem zvláštních kategorií osobních údajů. Do této skupiny totiž spadají veškeré osobní údaje, které jsou svou povahou obzvláště citlivé, jako například údaje o zdravotním stavu, genetické údaje, biometrické údaje a další.[15] K výjimkám z obecného zákazu zpracování těchto zvláštních kategorií osobních údajů patří kromě jiného i zpracování pro významný veřejný zájem nebo z důvodů veřejného zájmu v oblasti veřejného zdraví, pokud je tak stanoveno právem EU nebo členského státu. Tyto právní důvody zpracování budou společně se souhlasem nejrelevantnějšími podklady po oblast vědeckých výzkumů.[16] Takové zpracování je vždy limitováno podmínkou nezbytnosti a existencí dalších záruk či opatření.

Závěrem

Informační technologie umožnily sběr a další zpracování údajů na doposud neslýchané škále, což s sebou nese i řadu právních a etických dilemat. Vždy je důležité mít na paměti proporcionalitu mezi ochranou osobních údajů a podporou zdravotnického výzkumu pro přispění k veřejnému blahu. Správci by k dosažení tohoto účelu měli zavést opatření, která dodržují zejména zásady záměrné a standardní ochrany osobních údajů a jednat v souladu s případnými kodexy chování vytvořenými pro výzkumný sektor.  Ne všechny výzkumy v oblasti zdravotnictví budou moci využívat benevolentnější režim zpracování osobních údajů. Český ZZOÚ v návaznosti na čl. 89 GDPR pro ty, kteří tento režim budou moci využívat, přehledně uvádí výčet technických a organizačních opatření, jež by měla dopomoci k adekvátní bezpečnosti tohoto zpracování a ochraně práv subjektů údajů. Neméně důležité je před využitím a kvalifikací typů údajů ve výzkumu myslet také na technologický kontext zpracování těchto údajů, který zásadním způsobem mění práci s daty.  

Veronika Šípošová

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

[1] Je důležité mít na paměti, že GDPR není jediný právní nástroj ochrany osobních údajů, ačkoliv je bezpochyby nejznámějším. Zpracování osobních údajů pro vědecké účely by mělo být v souladu i s dalšími příslušnými právními předpisy. Existuje řada právních nástrojů, které regulují specificky výzkum v oblasti zdravotnictví a jejich podmínky, a např. pro transparentnost nebo etičnost pak zasahují i do sféry zpracování osobních údajů těmito subjekty. Takové předpisy ale nejsou předmětem tohoto článku.