Evropský prostor pro zdravotní data II

Jaký je vztah nařízení o evropském prostoru pro zdravotní data (EHDS) a dalších regulací, včetně GDPR?

Evropský prostor pro zdravotní data II

V předchozím díle jsme si detailně představili návrh nařízení o evropském prostoru pro zdravotní data. Nyní budeme pokračovat a zaměříme se na dosud nejasné a problematické body a také na přesahy do dalších regulací, včetně obecného nařízení o ochraně osobních údajů, GDPR.

Potenciální nedostatky a kompatibilita

Jako problematické body původního návrhu Evropské komise, které se snad během legislativního procesu podaří odstranit, lze vymezit tyto:

  • Zaprvé, a nepřekvapivě, se jedná o definiční nedostatky, např. pojem držitele dat, na kterého bude dopadat řada dalších povinnosti. Dále by hlubšímu posouzení dopadů měl být podroben seznam nepovolených účelů, kde ne vždy nutně hrozí riziko nežádoucích důsledků pro spotřebitele. Konkrétním příkladem je využití zdravotních dat pro výpočet pojištění.

  • Další zásadní oblastí je již naznačena kompatibilita s další datovou regulací. Na prvém místě je nutné důsledná návaznosti na obecné předpisy, zejména Akt o datech a DGA. Ty stanovují pouze obecné podmínky pro sekundární využití dat z veřejného sektoru, aniž by formulovaly konkrétní podmínky pro sekundární využití těchto dat. V oblasti zdravotnictví proto tyto legislativní akty doplňuje právě EHDS.

  • Vzhledem k vysoké míře citlivosti zdravotních dat je velice důležitá i dostatečná míra kybernetické ochrany. Proto je nezbytná kompatibilita s předpisy v této oblasti, obecnou NIS2, popř. CRA atd.  

  • V důsledku zvyšující se digitalizace a využívaní umělé inteligence (UI) i v sektoru zdravotnictví bude vysoce relevantní i soulad s připravovanou legislativní úpravou umělé inteligence. Klíčovými budou pravidla pro certifikace zdravotnického software podle nařízení o zdravotnických prostředcích a certifikace systémů využívajících UI podle připravovaného nařízení o umělé inteligence (AI Act).

  • A pochopitelně bude mít význam i finální znění nařízení o evropské digitální identitě, které ovlivní online i offline identifikaci fyzických osob, pacientů i zdravotnických pracovníků.

  • To nejlepší nakonec – soulad s GDPR je naprosto nepostradatelnou predispozicí pro funkčnost a důvěryhodnost EHDS rámce.

EHDS a GDPR

GDPR zakotvuje řadu práv dotčených osob, subjektů údajů. Např.  právo na přístup či přenositelnost osobních údajů. Údaje týkající se zdraví chápe „zvláštní kategorii údajů“ a dává jim zvláštní ochranu prostřednictvím přísnějších podmínek pro jejich zpracování. Na základě uvedené studie Evropská komise zjistila, že některá práva subjektu údajů nelze v praxi uplatňovat z důvodů interoperability a omezené harmonizace požadavků a technických norem. EHDS proto navazuje na GDPR navazuje a podporuje realizaci práv zakotvených v GDPR.

EHDS předpokládá další využití údajů o zdravotním stavu pro různé účely. Patří mezi ně lékařská diagnostika, poskytování zdravotní péče či léčby nebo řízení systémů a služeb zdravotní péče. Umožňuje rovněž používání elektronických zdravotních dat v oblasti veřejného zdraví ve veřejném zájmu, jako je například ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění vysokých standardů kvality a bezpečnosti v oblasti zdravotnictví a péče a v oblasti léčivých přípravků nebo zdravotnických prostředků. Slouží rovněž vědeckému nebo historickému výzkumu a statistickým účelům.

Fyzické osoby by měly být dále oprávněny vyměňovat si osobní elektronická zdravotní data a poskytovat k nim přístup zdravotnickým pracovníkům podle vlastního výběru, a to i nad rámec práva na přenositelnost podle článku 20 GDPR. Je možné, že fyzické osoby nebudou chtít konkrétní situaci umožnit přístup k některým částem svých osobních elektronických zdravotních dat, například o psychiatrické či sexuologické péči. Podle EHDS by mělo být umožněno i selektivní sdílení osobních elektronických zdravotních dat (opt-out).

Podle GDPR je právo na přenositelnost omezené pouze na osobní údaje zpracovávané na základě souhlasu nebo smlouvy. To vylučuje údaje zpracovávané podle jiného právního základu, například je-li zpracování nezbytné k plnění právní povinnosti, pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Týká se to pouze údajů, které subjekt údajů poskytl správci, s výjimkou mnoha odvozených nebo nepřímých údajů, například diagnostiky nebo testů. EHDS předpokládá existenci dalších ustanovení na podporu interoperability a posílení práva fyzických osob na přenositelnost dat ve zdravotnictví.

A konečně, podle GDPR má fyzická osoba právo na to, aby osobní údaje byly přímo předány jedním správcem údajů jinému správci, pouze je-li to technicky proveditelné. GDPR však neukládá povinnost učinit toto přímé předání technicky proveditelným. Všechny tyto skutečnosti omezují přenositelnost údajů a mohou omezit její přínosy pro poskytování vysoce kvalitních, bezpečných a účinných zdravotnických služeb fyzickým osobám. Praktické problémy s přenosem dat v oblasti zdravotnictví by mělo minimalizovat zavedení EHR.

Silnou provázanost EHDS s GDPR lze dovodit i z plánovaného rozšíření kompetenci národních dohledových orgánů (a tedy v ČR Úřadu pro ochranu osobních údajů), resp. jejich spolupráce s nově ustanoveným orgánem pro digitální zdravotnictví.

K návrhu EHDS se vyjádřili i Evropský sbor pro ochranu osobních údajů a Evropský inspektor ochrany údajů. Ve společném stanovisku vyjadřují podporu EHDS, ale vyzývají Evropskou komisi k jasnému vymezení vztahu k GDPR, kompatibilitě práv subjektů údajů v obou předpisech a vzhledem k velkým objemům dat a jejich citlivému charakteru také k zavedení povinnosti uchování těchto dat na území EU, resp. EHP. Taktéž varují před možným nežádoucím překrýváním povinností dohledových orgánů.

Další osud sdílení zdravotních dat v EU

Povede-li se ve finální verzi nařízení EHDS odstranit alespoň hlavní nedostatky a zajistit praktickou rovinu fungování, má tento předpis velký potenciál usnadnit sdílení zdravotních údajů mezi členskými státy a podpořit efektivnější poskytování zdravotní péče. A také usnadnit vývoj inovativních léčebných postupů a služeb, např. poskytování individuálnějších zdravotních plánů se zaměřením na životní styl, pravidelné kontroly a včasnou diagnostiku. To může vést k lepším výsledkům u pacientů, jakož i ke zvýšení efektivity a úsporám nákladů systémů zdravotní péče.

Z dlouhodobějšího hlediska je relevantní také potenciál finanční úspory. Očekává se, že celkové ekonomické přínosy sdílení zdravotních dat v rámci EHDS budou v průběhu deseti let vyšší než 11 miliard EUR.

Momentálně se návrhem Evropské komise zabývají jak Evropský parlament, tak Rada. Koncem roku 2023 započaly trialogy. Délku a intenzitu dalšího vyjednávání však mohou prodloužit brzké volby do Evropského parlamentu.

Je důležité rovněž zmínit, že nařízení o EHDS bude ještě doplněno prováděcími akty Evropské komise, např. k technickému fungování sdílení dat, poplatkům, kategorizaci zdravotních data apod. Ty samozřejmě mohou být vydány až po finálním schválení nařízení.

Implementace této ambiciózní úpravy však bude nákladná a složitá. Ať už z technického hlediska standardizace a interoperability, kvůli odlišné národní zdravotnické taxonomii, požadavkům GDPR, tak z hlediska zajištění důvěryhodnosti ve vztahu k subjektům osobních údajů. S tématem EHDS se proto na webu GDPR.cz rozhodně nesetkáváme naposledy.

Loading...