1 dzień temu
W związku z planowaną reformą Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, wystosował do Ministra Zdrowia pismo z 30.4.2025 r. (DPNT.401.101.2025), w którym odnosi się do zagrożeń związanych z przetwarzaniem danych osobowych w projektowanym systemie centralnej rejestracji medycznej, o którym mowa w projekcie ustawy o zmianie ustawy o świadczeniach opieki zdrowotnej finansowanej ze środków publicznych i niektórych innych ustaw (UD169). Prezes UODO ujawnia szereg istotnych problemów prawnych związanych z ochroną danych osobowych oraz przetwarzaniem danych szczególnych kategorii, w tym danych biometrycznych i danych dotyczących zdrowia.
Zakres przetwarzanych danych osobowych i dane szczególnych kategorii
Projekt przewiduje centralizację danych osobowych w ww. systemie, którego celem jest obsługa procesu rejestracji pacjentów w sposób zautomatyzowany i jednolity w skali kraju. Brakuje jednak precyzyjnych zapisów wskazujących, jakie konkretnie dane będą przetwarzane oraz w jakim zakresie. Prezes UODO podkreśla, iż w kontekście danych dotyczących zdrowia oraz możliwości identyfikacji głosu osoby kontaktującej się z rejestracją, system ten może prowadzić do przetwarzania danych szczególnych kategorii w rozumieniu art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej RODO). Organ nadzorczy sygnalizuje, iż tego rodzaju dane podlegają wzmożonej ochronie, a ich przetwarzanie wymaga spełnienia warunków przewidzianych w ust. 2 i 3 art. 9 RODO, co nie zostało wystarczająco uregulowane w przedstawionym projekcie. W szczególności brak jest wskazania podstawy prawnej, która w sposób jasny i jednoznaczny uprawniałaby do tak szerokiego zakresu przetwarzania danych.
Przetwarzanie danych biometrycznych
W piśmie DPNT.401.101.2025 Prezes UODO zwraca uwagę na fakt, iż wykorzystanie technologii umożliwiających rozpoznawanie i analizę głosu może prowadzić do przetwarzania danych biometrycznych, o ile są one wykorzystywane do jednoznacznej identyfikacji osoby fizycznej. Dane te, ze względu na swoją unikalność i trwałość, są uznawane za szczególnie wrażliwe, a ich przetwarzanie powinno odbywać się jedynie w przypadku istnienia wyraźnie określonej podstawy prawnej oraz przy zastosowaniu wysokiego poziomu środków zabezpieczających. Organ ostrzega przed ryzykiem związanym z tym, iż analiza głosu może ujawniać nie tylko tożsamość osoby, ale także jej stan zdrowia lub emocjonalny, a choćby wiek czy płeć. Konsekwencje nieprawidłowego przetwarzania tego rodzaju danych mogą prowadzić do naruszenia godności, prywatności i autonomii informacyjnej jednostki.
W tym kontekście istotne jest także zagadnienie przejrzystości przetwarzania – osoby, których dane mają być przetwarzane, powinny być w pełni świadome, w jaki sposób ich głos jest wykorzystywany, tj. czy podlega analizie biometrycznej i w jakim celu. Niezbędne jest zatem nie tylko zapewnienie zgodności z RODO, ale także adekwatne poinformowanie pacjentów oraz umożliwienie im realizacji praw, takich jak prawo do sprzeciwu czy prawo dostępu do informacji o operacjach przetwarzania.
Konieczność oceny skutków dla ochrony danych (DPIA)
W ocenie organu nadzorczego projektowane rozwiązanie powinno zostać poprzedzone przeprowadzeniem oceny skutków dla ochrony danych osobowych, zgodnie z art. 35 RODO. Jest to obowiązek, który ciąży na administratorze danych w przypadku przetwarzania, które może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, w szczególności, gdy dotyczy to danych wrażliwych i odbywa się przy użyciu nowych technologii. W przypadku planowanego systemu centralnej elektronicznej rejestracji, zautomatyzowane przetwarzanie głosu oraz danych dotyczących zdrowia wyczerpuje przesłanki z art. 35 ust. 3 lit. a) i b) RODO, co czyni DPIA obowiązkowym elementem przygotowania regulacji. Brak takiej analizy może skutkować nie tylko naruszeniem prawa, ale również ograniczeniem zaufania społecznego do instytucji publicznych.
Ocena skutków dla ochrony danych powinna obejmować m.in. identyfikację źródeł ryzyka, ocenę jego prawdopodobieństwa oraz potencjalnych skutków, a także wskazanie działań zaradczych, w tym procedur reakcji na incydenty i sposobów ograniczania dostępu do danych wyłącznie do niezbędnych osób. DPIA musi być również dokumentem żywym, który będzie aktualizowany na etapie eksploatacji systemu centralnej elektronicznej rejestracji, zwłaszcza w kontekście zmieniających się technologii i potencjalnych nowych zastosowań danych.
Wymogi wynikające z AIAct
Prezes UODO wskazuje ponadto, iż projektowane rozwiązanie należy analizować także w świetle rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (Dz.Urz. UE L z 2024 r. Nr 131, s. 1689; dalej: AIAct). Ze względu na fakt, iż system centralnej elektronicznej rejestracji ma wykorzystywać voiceboty do obsługi rejestracji, można go zakwalifikować jako system AI wysokiego ryzyka w rozumieniu tego aktu. W takim przypadku wymagane jest przeprowadzenie oceny skutków regulacji w zakresie praw podstawowych, zgodnie z art. 27 AIAct. Ocena ta powinna obejmować m.in. potencjalny wpływ na prawo do prywatności, niedyskryminację oraz dostęp do świadczeń zdrowotnych na równych zasadach.
Jednocześnie należy pamiętać, iż AIAct nakłada na podmioty wdrażające systemy wysokiego ryzyka obowiązki dotyczące przejrzystości, nadzoru ludzkiego, jakości danych wykorzystywanych do szkolenia modeli oraz dokumentacji procesów decyzyjnych. Projekt centralnej elektronicznej rejestracji, jeżeli miałby spełniać te wymogi, musi zostać zaprojektowany nie tylko jako system technologiczny, ale również jako system zarządzania zgodnością i etyką przetwarzania danych z wykorzystaniem sztucznej inteligencji. Warto dodać, iż niezależnie od nieobowiązujących jeszcze w pełnym zakresie przepisów wynikających z AIAct, rekomenduje się stosowanie ich w takim zakresie, aby spełnić standardy bezpieczeństwa i przejrzystości.
Wnioski i postulaty Prezesa UODO
W swoim stanowisku Prezes UODO jednoznacznie wskazuje, iż projektowane zmiany wymagają zasadniczego doprecyzowania w zakresie rodzaju i celu przetwarzanych danych osobowych. Należy jednoznacznie określić, jakie dane szczególnych kategorii będą przetwarzane, w jakim celu oraz w jakim zakresie, tak aby nie dochodziło do przetwarzania danych nadmiarowych i nieuzasadnionych. Ponadto koniecznością jest zadbanie o rzetelne przeprowadzenie kompleksowej oceny skutków dla ochrony danych (DPIA), uwzględniającej wszystkie ryzyka związane z automatyzacją obsługi, wykorzystaniem głosu oraz przetwarzaniem informacji o zdrowiu.
W projekcie powinny zostać wskazane środki techniczne i organizacyjne zapewniające bezpieczeństwo danych, w tym sposoby szyfrowania, pseudonimizacji oraz procedury kontroli dostępu. Prezes UODO akcentuje również konieczność dostosowania projektu do wymagań wynikających z AIAct, poprzez przeprowadzenie stosownej oceny skutków regulacji z punktu widzenia praw podstawowych, w tym prawa do ochrony danych, prywatności i równego traktowania. Rekomendacje te zmierzają nie tylko do zapewnienia zgodności formalnej, ale także do zagwarantowania rzeczywistej ochrony obywateli przed nadużyciami technologicznymi i administracyjnymi.
Podsumowanie
Proponowany system centralnej elektronicznej rejestracji niesie potencjał znaczącego ulepszenia dostępu do świadczeń zdrowotnych, jednak wdrażanie tego typu rozwiązań musi odbywać się w sposób respektujący podstawowe prawa obywatelskie. Stanowisko Prezesa UODO stanowi trafne przypomnienie, iż każda interwencja regulacyjna w zakresie przetwarzania danych osobowych powinna być poprzedzona staranną analizą ryzyk, oceną skutków oraz ustanowieniem adekwatnych zabezpieczeń prawnych i technicznych. W przeciwnym razie system może nie tylko nie osiągnąć zakładanych celów, ale także naruszyć zaufanie obywateli do instytucji publicznych oraz fundamenty ochrony danych osobowych w demokratycznym państwie prawa. W kontekście tak wrażliwej dziedziny, jaką jest zdrowie, należy zachować szczególną ostrożność, by technologia wspierała człowieka, a nie naruszała jego godności i autonomii.
