Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2025/327 z 11.2.2025 r. w sprawie europejskiej przestrzeni danych dotyczących zdrowia oraz zmiany dyrektywy 2011/24/UE i rozporządzenia (UE) 2024/2847 (Dz.Urz. UE L z 2025 r. Nr 43, s. 327; dalej: EHDS) już weszło w życie, jednak pełne wdrożenie przepisów będzie realizowane stopniowo, z kluczowymi etapami począwszy od 26.3.2027 r. Wprowadzenie EHDS wiąże się z koniecznością dostosowania systemów ochrony danych w poszczególnych państwach członkowskich oraz przedefiniowania relacji pomiędzy prawami pacjentów wynikającymi z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO) a nowymi uprawnieniami nadanymi w ramach EHDS.
Prawa wynikające z EHDS a RODO
EHDS znacząco rozszerza zakres praw pacjentów do kontroli nad swoimi danymi zdrowotnymi, uzupełniając przepisy RODO. W szczególności nowe regulacje gwarantują pacjentom natychmiastowy i bezpłatny dostęp do określonych kategorii elektronicznych danych zdrowotnych, takich jak historia leczenia czy recepty elektroniczne. Rozwiązanie to stanowi istotne uzupełnienie art. 15 RODO, który przewiduje miesięczny termin na realizację prawa dostępu do danych osobowych. Jak wskazuje motyw 9 EHDS: „Taka sytuacja spowalnia dostęp osób fizycznych do danych dotyczących zdrowia i może mieć negatywny wpływ na osoby fizyczne w przypadku, gdy potrzebują one takiego dostępu natychmiast ze względu na pilne okoliczności mające związek ze stanem ich zdrowia”. Biorąc pod uwagę charakter danych oraz cel opublikowanej dyrektywy, wymóg natychmiastowego i bezpłatnego dostępu do danych elektronicznych zdaje się być uzasadniony.
Wprowadzenie EHDS nakłada także obowiązek zapewnienia pełnej interoperacyjności systemów elektronicznej dokumentacji medycznej, co umożliwia pacjentom swobodne przenoszenie danych zdrowotnych między świadczeniodawcami. W myśl przepisów RODO prawo do przenoszenia danych jest ograniczone do danych przetwarzanych na podstawie zgody lub umowy i przekazanych administratorowi przez osobę, której dane dotyczą. Ponadto osoba fizyczna ma prawo do spowodowania, by dane osobowe zostały przekazane przez jednego administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Powyższe oznacza, iż RODO nie nakłada obowiązku zapewnienia technicznej możliwości takiego bezpośredniego przekazywania danych. Sytuację tę zmienia EHDS, wskazując, iż osoba, której dane dotyczą, może wystąpić z wnioskiem do świadczeniodawcy, aby przekazał całość lub część jej elektronicznych danych osobowych dotyczących zdrowia wybranemu przez nią innemu świadczeniodawcy niezwłocznie, bezpłatnie i bez przeszkód ze strony świadczeniodawcy lub producentów systemów, z których korzysta ten świadczeniodawca.
Rozporządzenie EHDS przewiduje również mechanizmy ułatwiające sprostowanie błędów w dokumentacji medycznej, wzmacniając ochronę wynikającą z art. 16 RODO. Wprowadza ono bowiem obowiązek stosowania elektronicznych narzędzi umożliwiających pacjentom zgłaszanie nieprawidłowości w ich danych zdrowotnych oraz zapewnia, iż sprostowania będą dokonywane w sposób szybki i skuteczny. Jednym z najbardziej innowacyjnych aspektów EHDS jest także możliwość selektywnego udostępniania danych zdrowotnych, co pozwala pacjentom samodzielnie decydować, które elementy ich dokumentacji będą dostępne dla określonych podmiotów. Takie rozwiązanie rozwija zasady minimalizacji i celowości przetwarzania danych, określone w art. 5 RODO. Podkreślenia wymaga fakt, iż osoby fizyczne korzystające z prawa, o którym mowa powyżej powinny być uświadamiane, iż ograniczenie dostępu może mieć wpływ na opiekę zdrowotną świadczoną na ich rzecz. Ponadto EHDS wprowadza możliwość czasowego ograniczenia dostępu do danych w sytuacjach, w których ich natychmiastowe ujawnienie mogłoby mieć negatywne konsekwencje dla pacjenta, jak na przykład przekazanie informacji o nieuleczalnej chorobie za pośrednictwem kanału elektronicznego.
Warto dodać, iż prawa wynikające z EHDS nie będą miały wpływu na RODO, jak wskazuje Unijny prawodawca prawa wynikające z rozporządzenia ochrony danych powinny przez cały czas mieć zastosowanie, tak aby umożliwiać osobom fizycznym korzystanie z praw wynikających z obu aktów prawnych, w szczególności prawo do uzyskania papierowej kopii elektronicznych danych dotyczących zdrowia czy prawa do przenoszenia danych.
Wpływ EHDS na RODO
Europejska Przestrzeń Danych Zdrowotnych wprowadza dodatkowe mechanizmy ochrony danych osobowych, które nie zastępują RODO, ale je uzupełniają. Nowe regulacje będą wymagały od administratorów danych wdrożenia rozwiązań technicznych umożliwiających natychmiastowy dostęp pacjentów do elektronicznych danych dotyczących zdrowia oraz zapewnienie pełnej interoperacyjności systemów EDM. Oprócz tego EHDS wzmacnia rolę organów nadzorczych, które zyskują nowe uprawnienia związane z egzekwowaniem przepisów dotyczących ochrony danych zdrowotnych oraz ich wymiany na poziomie krajowym i transgranicznym. Organy ochrony danych osobowych, takie jak Prezes Urzędu Ochrony Danych Osobowych (PUODO), uzyskają nowe uprawnienia w zakresie monitorowania zgodności z EHDS. Wśród ich kompetencji znajdzie się możliwość nakładania sankcji administracyjnych na podmioty, które nie dostosują się do nowych regulacji, kontrolowanie interoperacyjności systemów EDM oraz kooperacja z instytucjami europejskimi zajmującymi się ochroną danych zdrowotnych. Unijny akt nakłada również nowe standardy bezpieczeństwa, wymagające od administratorów danych wdrożenia skuteczniejszych środków ochrony danych przed nieuprawnionym dostępem, cyberatakami i naruszeniami.
Konieczność dostosowania przepisów krajowych
Wprowadzenie EHDS pociągnie za sobą istotne zmiany w polskim prawie regulującym zakres danych osobowych, w szczególności dotyczących dokumentacji medycznej. Niezbędne będzie znowelizowanie wielu ustaw takich jak ustawy z 28.4.2011 r. o systemie informacji w ochronie zdrowia (t.j. Dz.U. z 2025 r. poz. 302) czy ustawy z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz.U. z 2024 r. poz. 581). Działania te mają zapewnić dostosowania się do nowych wymagań dotyczących interoperacyjności systemów EDM oraz transgranicznej wymiany danych zdrowotnych, a co za tym idzie, uwzględnić konieczność zapewnienia pacjentom elektronicznych narzędzi do zarządzania ich dokumentacją oraz wprowadzenie mechanizmów selektywnego udostępniania danych.
Okres wdrożenia EHDS
Przepisy EHDS zostaną wdrożone stopniowo, aby umożliwić państwom członkowskim dostosowanie się do nowych wymogów. Pierwsze zobowiązania wejdą w życie w ciągu 12–24 miesięcy od przyjęcia rozporządzenia, natomiast pełne wdrożenie EHDS na poziomie unijnym ma nastąpić do 2030 r. – do tego czasu ma być osiągnięty cel, jakim jest „zapewnienie 100 % obywateli Unii dostępu do ich elektronicznej dokumentacji medycznej”.
Podsumowanie
EHDS wprowadza kompleksowe zmiany w zakresie ochrony danych zdrowotnych, wzmacniając prawa pacjentów oraz nakładając nowe obowiązki na administratorów danych. Jego wpływ na RODO jest znaczący, ale komplementarny, ponieważ nowe regulacje rozwijają istniejące już mechanizmy ochrony danych osobowych. Państwa członkowskie, w tym Polska, będą musiały dostosować krajowe przepisy, aby zapewnić pełną zgodność z EHDS, ponadto organy nadzorcze uzyskają dodatkowe kompetencje do egzekwowania przestrzegania nowych regulacji.