123rf
Granice dostępu do baz danych wyznacza prawo
Autor: Marzena Sygut-Mirek
Data: 13.03.2023
Dyrektywa Parlamentu Europejskiego w sprawie ochrony danych osobowych RODO znajduje zastosowanie do przetwarzania danych, także tych niezbędnych do celów badań naukowych. Co ważne, odnosi się również do badań prowadzonych w interesie publicznym w dziedzinie zdrowia publicznego.
Rejestry danych dotyczące pacjentów są podstawą funkcjonowania systemu ochrony zdrowia. Przepływ danych pomiędzy placówkami ochrony zdrowia stanowi podstawę dobrze prowadzonego procesu terapeutycznego, a pomiędzy placówką medyczną a płatnikiem umożliwia finansowanie udzielonych świadczeń.
Nie można również zapominać, że dane pochodzące z baz stanowią źródło wiedzy na temat efektywności stosowanych terapii i mogą służyć decydentowi jako podstawa do tworzenia systemu. Co istotne, jest to również skarbnica wiedzy dla naukowców i lekarzy, którzy mając dostęp do unikatowych danych, mogą weryfikować procesy terapeutyczne u chorych czy tworzyć wytyczne postępowania w różnych dziedzinach medycznych.
„Menedżer Zdrowia” pyta adwokata Dariusza Tarabasza z Czyżewscy Kancelarii Adwokackiej, jak regulacje prawne mają się do dostępności badaczy do baz danych.
Rozmowa z ekspertem poniżej.
O czym muszą pamiętać osoby korzystające z baz danych – naukowcy, badacze, analitycy, lekarze – z punktu widzenia prawa? Gdzie czają się ewentualne pułapki prawne?
– Osoby korzystające z baz danych, w tym naukowcy, badacze, analitycy i lekarze, powinny pamiętać o tym, że tworzenie baz danych oraz sposób korzystania z informacji w nich zawartych są regulowane przepisami prawa i to zarówno na poziomie Unii Europejskiej, jak też na poziomie prawa krajowego. W pierwszej kolejności trzeba więc ustalić potrzeby, zakres oraz sposób wykorzystania danych, a następnie zweryfikować je pod kątem zgodności z prawem.
Podstawowym aktem w polskim systemie prawnym jest ustawa o ochronie baz danych [dalej „ustawa o ochronie baz danych”, Dz.U. z 2021 r. poz. 386 – wyjaśnia „Menedżer Zdrowia”], która implementowała do polskiego prawa dyrektywę UE w tym zakresie.
Pułapki prawne – albo raczej bardziej precyzyjnie kwestie często pomijane – to przede wszystkim brak uwzględnienia przepisów dotyczących danych osobowych, a także praw autorskich. Innymi słowy, często zapomina się, że bazy danych to obszar, w którym krzyżują się różne regulacje prawne. Nie można ograniczać się do analizy tylko jednego aktu prawnego.
Korzystając z baz danych, nie zapominajmy o rozporządzeniu Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego potocznie w skrócie RODO, które jako rozporządzenie UE jest stosowane bezpośrednio i wprost bez potrzeby implementacji do krajowego prawa.
Co istotne, RODO ma zastosowanie do przetwarzania danych również do celów badań naukowych (motyw 159.). Samo pojęcie badań naukowych jest przy tym rozumiane szeroko. Powinno ono obejmować także badania prowadzone w interesie publicznym w dziedzinie zdrowia publicznego.
Baza danych może nie tylko zawierać np. dane osobowe, ale też mieć cechy utworu (np. z uwagi na dobór jej elementów, oryginalny układ, porządek itd.). W takich sytuacjach należy uwzględniać przepisy prawa autorskiego. Bazy danych podlegają ochronie określonej w ustawie niezależnie od ochrony przyznanej na podstawie ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. z 2019 r. poz. 1231 oraz z 2020 r. poz. 288) bazom danych spełniającym cechy utworu (art. 1 ustawy o ochronie baz danych).
Podsumowując, bazy danych to obszar, gdzie krzyżują się różne regulacje prawne. Żeby ustalić właściwe postępowanie, trzeba często sięgnąć do różnych aktów prawnych. Zdarza się, że przepisy różnych aktów wzajemnie się wykluczają lub są ze sobą sprzeczne. Należy wtedy ustalić, który z nich stosujemy i na jakich zasadach. Służą temu specjalne zasady i normy kolizyjne. W przypadku wątpliwości warto poprosić o opinię prawnika. Najczęstszym błędem (albo źródłem błędów) jest ograniczanie analizy tylko do jednego aktu prawnego lub pomijanie tego aspektu w ogóle.
Często naukowcy czy lekarze, chcąc uzyskać tzw. indywidualne dane, czyli dane konkretnego numeru PESEL, otrzymują odpowiedź odmowną, gdyż dysponent bazy danych (np. ZUS, NFZ) powołuje się na RODO. Czy takie powoływanie się przez dysponentów baz danych pacjentów na RODO jest uzasadnione prawnie?
– Pytanie jest zbyt ogólne, aby udzielić jednoznacznej odpowiedzi. Każdy przypadek należy badać indywidualnie. RODO jest rozporządzeniem UE, a więc jest stosowane bezpośrednio i wprost bez potrzeby implementacji. Można zatem bez przeszkód powoływać się bezpośrednio na RODO. Inną sprawą jest to, czy w konkretnym przypadku jest to właściwe i zasadne. Często przepisy te są błędnie intepretowane i nadużywane. Zdarza się, że organy państwa wykorzystują przepisy RODO jako pretekst do odmowy udzielenia konkretnych informacji, które powinny być jawne i publicznie dostępne. Żeby rozstrzygnąć, czy odmowa w danym przypadku była zasadna, należałoby przeanalizować konkretną sytuację.
Co do zasady, możliwe jest wykorzystanie na potrzeby badań naukowych zbioru danych wcześniej uzyskanych na inne potrzeby. W przypadku numerów PESEL jest to problematyczne z uwagi na to, że pozwalają one jednoznacznie zidentyfikować konkretną osobę fizyczną. Bardzo często zdarza się jednak, że pełny numer PESEL wcale nie jest potrzebny. Zawiera on takie dane, jak data urodzenia. Wiek osób badanych (znajdujących się w analizowanej próbie) jest często ważną informacją dla badacza – szczególnie w przypadku szeroko pojętych nauk o zdrowiu. Nie zawsze jest więc potrzebny cały numer PESEL. Zamiast więc walczyć z organami administracji lub dysponentami baz danych typu ZUS i NFZ na polu prawnym, można zastanowić się, czego w zasadzie potrzebujemy i ominąć problem, modyfikując odpowiednio wniosek. Chodzi o to, aby osiągnąć cel w sposób zgodny z prawem i efektywny.
Czy z punktu widzenia prawa badacz, lekarz, naukowiec, analityk musi spełnić określone warunki, żeby otrzymać dostęp do baz danych pacjentów?
– Aby uzyskać dostęp do baz danych pacjentów, trzeba postępować zgodnie z prawem. Podstawowym warunkiem jest uzyskanie odpowiedniej zgody. Należy pamiętać, że przetwarzanie danych osobowych to również ich przeglądanie, a przeglądanie danych osobowych bez zgody przez osobę nieuprawnioną już nawet przez logowanie się w systemie informatycznym zawierającym dane osobowe pacjentów może być przestępstwem. Sprawy tego rodzaju trafiają na wokandy sądów. Przykładowo, Sąd Rejonowy w Toruniu – II Wydział Karny w wyroku z 23 czerwca 2022 r. (II K 1544/21) uznał tego rodzaju czyn co do zasady za wypełniający znamiona przestępstwa z art. 107 ust. 1 ustawy o ochronie danych osobowych.
Co więcej, przetwarzanie danych do celów badań naukowych lub historycznych rodzi obowiązek odpowiedniego zabezpieczenia praw i wolności osoby, której dane dotyczą. Naukowiec, lekarz czy analityk są odpowiedzialni za bezpieczeństwo danych. W każdym przypadku sposób zabezpieczenia trzeba dostosować do ryzyka i potrzeb.
Przeczytaj także: „Bazy danych – jak zapewnić do nich dostęp użytkownikom rynku?”.
Nie można również zapominać, że dane pochodzące z baz stanowią źródło wiedzy na temat efektywności stosowanych terapii i mogą służyć decydentowi jako podstawa do tworzenia systemu. Co istotne, jest to również skarbnica wiedzy dla naukowców i lekarzy, którzy mając dostęp do unikatowych danych, mogą weryfikować procesy terapeutyczne u chorych czy tworzyć wytyczne postępowania w różnych dziedzinach medycznych.
„Menedżer Zdrowia” pyta adwokata Dariusza Tarabasza z Czyżewscy Kancelarii Adwokackiej, jak regulacje prawne mają się do dostępności badaczy do baz danych.
Rozmowa z ekspertem poniżej.
O czym muszą pamiętać osoby korzystające z baz danych – naukowcy, badacze, analitycy, lekarze – z punktu widzenia prawa? Gdzie czają się ewentualne pułapki prawne?
– Osoby korzystające z baz danych, w tym naukowcy, badacze, analitycy i lekarze, powinny pamiętać o tym, że tworzenie baz danych oraz sposób korzystania z informacji w nich zawartych są regulowane przepisami prawa i to zarówno na poziomie Unii Europejskiej, jak też na poziomie prawa krajowego. W pierwszej kolejności trzeba więc ustalić potrzeby, zakres oraz sposób wykorzystania danych, a następnie zweryfikować je pod kątem zgodności z prawem.
Podstawowym aktem w polskim systemie prawnym jest ustawa o ochronie baz danych [dalej „ustawa o ochronie baz danych”, Dz.U. z 2021 r. poz. 386 – wyjaśnia „Menedżer Zdrowia”], która implementowała do polskiego prawa dyrektywę UE w tym zakresie.
Pułapki prawne – albo raczej bardziej precyzyjnie kwestie często pomijane – to przede wszystkim brak uwzględnienia przepisów dotyczących danych osobowych, a także praw autorskich. Innymi słowy, często zapomina się, że bazy danych to obszar, w którym krzyżują się różne regulacje prawne. Nie można ograniczać się do analizy tylko jednego aktu prawnego.
Korzystając z baz danych, nie zapominajmy o rozporządzeniu Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego potocznie w skrócie RODO, które jako rozporządzenie UE jest stosowane bezpośrednio i wprost bez potrzeby implementacji do krajowego prawa.
Co istotne, RODO ma zastosowanie do przetwarzania danych również do celów badań naukowych (motyw 159.). Samo pojęcie badań naukowych jest przy tym rozumiane szeroko. Powinno ono obejmować także badania prowadzone w interesie publicznym w dziedzinie zdrowia publicznego.
Baza danych może nie tylko zawierać np. dane osobowe, ale też mieć cechy utworu (np. z uwagi na dobór jej elementów, oryginalny układ, porządek itd.). W takich sytuacjach należy uwzględniać przepisy prawa autorskiego. Bazy danych podlegają ochronie określonej w ustawie niezależnie od ochrony przyznanej na podstawie ustawy z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz.U. z 2019 r. poz. 1231 oraz z 2020 r. poz. 288) bazom danych spełniającym cechy utworu (art. 1 ustawy o ochronie baz danych).
Podsumowując, bazy danych to obszar, gdzie krzyżują się różne regulacje prawne. Żeby ustalić właściwe postępowanie, trzeba często sięgnąć do różnych aktów prawnych. Zdarza się, że przepisy różnych aktów wzajemnie się wykluczają lub są ze sobą sprzeczne. Należy wtedy ustalić, który z nich stosujemy i na jakich zasadach. Służą temu specjalne zasady i normy kolizyjne. W przypadku wątpliwości warto poprosić o opinię prawnika. Najczęstszym błędem (albo źródłem błędów) jest ograniczanie analizy tylko do jednego aktu prawnego lub pomijanie tego aspektu w ogóle.
Często naukowcy czy lekarze, chcąc uzyskać tzw. indywidualne dane, czyli dane konkretnego numeru PESEL, otrzymują odpowiedź odmowną, gdyż dysponent bazy danych (np. ZUS, NFZ) powołuje się na RODO. Czy takie powoływanie się przez dysponentów baz danych pacjentów na RODO jest uzasadnione prawnie?
– Pytanie jest zbyt ogólne, aby udzielić jednoznacznej odpowiedzi. Każdy przypadek należy badać indywidualnie. RODO jest rozporządzeniem UE, a więc jest stosowane bezpośrednio i wprost bez potrzeby implementacji. Można zatem bez przeszkód powoływać się bezpośrednio na RODO. Inną sprawą jest to, czy w konkretnym przypadku jest to właściwe i zasadne. Często przepisy te są błędnie intepretowane i nadużywane. Zdarza się, że organy państwa wykorzystują przepisy RODO jako pretekst do odmowy udzielenia konkretnych informacji, które powinny być jawne i publicznie dostępne. Żeby rozstrzygnąć, czy odmowa w danym przypadku była zasadna, należałoby przeanalizować konkretną sytuację.
Co do zasady, możliwe jest wykorzystanie na potrzeby badań naukowych zbioru danych wcześniej uzyskanych na inne potrzeby. W przypadku numerów PESEL jest to problematyczne z uwagi na to, że pozwalają one jednoznacznie zidentyfikować konkretną osobę fizyczną. Bardzo często zdarza się jednak, że pełny numer PESEL wcale nie jest potrzebny. Zawiera on takie dane, jak data urodzenia. Wiek osób badanych (znajdujących się w analizowanej próbie) jest często ważną informacją dla badacza – szczególnie w przypadku szeroko pojętych nauk o zdrowiu. Nie zawsze jest więc potrzebny cały numer PESEL. Zamiast więc walczyć z organami administracji lub dysponentami baz danych typu ZUS i NFZ na polu prawnym, można zastanowić się, czego w zasadzie potrzebujemy i ominąć problem, modyfikując odpowiednio wniosek. Chodzi o to, aby osiągnąć cel w sposób zgodny z prawem i efektywny.
Czy z punktu widzenia prawa badacz, lekarz, naukowiec, analityk musi spełnić określone warunki, żeby otrzymać dostęp do baz danych pacjentów?
– Aby uzyskać dostęp do baz danych pacjentów, trzeba postępować zgodnie z prawem. Podstawowym warunkiem jest uzyskanie odpowiedniej zgody. Należy pamiętać, że przetwarzanie danych osobowych to również ich przeglądanie, a przeglądanie danych osobowych bez zgody przez osobę nieuprawnioną już nawet przez logowanie się w systemie informatycznym zawierającym dane osobowe pacjentów może być przestępstwem. Sprawy tego rodzaju trafiają na wokandy sądów. Przykładowo, Sąd Rejonowy w Toruniu – II Wydział Karny w wyroku z 23 czerwca 2022 r. (II K 1544/21) uznał tego rodzaju czyn co do zasady za wypełniający znamiona przestępstwa z art. 107 ust. 1 ustawy o ochronie danych osobowych.
Co więcej, przetwarzanie danych do celów badań naukowych lub historycznych rodzi obowiązek odpowiedniego zabezpieczenia praw i wolności osoby, której dane dotyczą. Naukowiec, lekarz czy analityk są odpowiedzialni za bezpieczeństwo danych. W każdym przypadku sposób zabezpieczenia trzeba dostosować do ryzyka i potrzeb.
Przeczytaj także: „Bazy danych – jak zapewnić do nich dostęp użytkownikom rynku?”.
