Wiele motywów preambuły tego aktu prawnego deklaruje zrozumienie dla potrzeby prowadzenia badań w kontekście danych osobowych, które mogą być do tego niezbędne, choćby na wstępnym etapie, kiedy to materiał do badań zaczerpnięty zostaje z dokumentacji medycznej pacjentów.
Z jednej strony dokonuje się wprawdzie operacji na danych osobowych konkretnych pacjentów, z drugiej jednak uzyskany w ten sposób materiał badawczy ma szansę wpływać na rozwój medycyny, a zatem należy wspierać tego rodzaju działania, oczywiście z poszanowaniem ochrony danych. Poniższe wskazówki bazują jednocześnie na założeniu, że w związku z badaniami naukowymi zachodzi faktycznie konieczność przetwarzania, choćby na pewnym, początkowym ich etapie, danych osobowych zawartych w dokumentacji medycznej. Motyw 26 wskazuje bowiem, że RODO nie dotyczy przetwarzania do celów naukowych informacji o charakterze anonimowym. W przypadku prowadzenia badań naukowych z wykorzystaniem jednak danych osobowych, aby być zgodnym z przepisami RODO, należy wziąć pod uwagę następujące elementy:
1. Podstawa prawna. Zawsze, gdy decydujemy się na przetwarzanie jakichkolwiek danych osobowych, aby móc to legalnie robić musimy powołać się na którąś z wymienionych w przepisach prawa przesłanek, która na to zezwala. W omawianym przypadku prowadzenia badań naukowych mamy do czynienia z informacjami dotyczącymi zdrowia, które należą do szczególnej kategorii danych tzw. danych wrażliwych (inne dane wrażliwe to również m. in. dane biometryczne, o poglądach politycznych czy dane genetyczne). Co prawda RODO, co do zasady zakazuje przetwarzania tego typu danych, ale przewiduje od tej zasady wyjątki, o których mowa w art. 9 ust 2. m.in. lit. j). Zgodnie z brzmieniem tego przepisu dane wrażliwe, czyli dotyczące zdrowia można przetwarzać, o ile ich przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Przy czym muszą być one proporcjonalne do wyznaczonego celu (czyli wspomnianych badań naukowych, bo w tym celu są przetwarzane), nie mogą naruszać istoty prawa do ochrony danych i w związku z ich przetwarzaniem należy przewidzieć odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
2. Obowiązek informacyjny. Jednym z obowiązków nałożonych przez RODO na podmioty przetwarzające dane osobowe (w tym podmioty realizujące badania naukowe) jest poinformowanie osób, których dane osobowe dotyczą m.in. o celu przetwarzania, prawach przysługujących osobie, której dane dotyczą i in. Zakres tego obowiązku określa albo art. 13 albo art. 14 RODO, w zależności od tego z jakiego źródła pozyskiwane są dane; odpowiednio bezpośrednio od osoby, której dane dotyczą – tak będzie w przypadku gdy szpital i jednostka badawcza to jedno, albo z innego źródła niż od tej osoby – tak będzie z kolei w sytuacji, gdy jednostka badawcza będzie uzyskiwać dane pacjentów np. od szpitala. W przypadku gdy dane wykorzystywane są do badań to dodatkowo ma miejsce zmiana celu przewarzania w stosunku do celu, dla jakiego dane zostały pozyskane (pierwotnym celem było bowiem leczenie pacjenta, cel w postaci badań naukowych pojawia się najczęściej później). Art. 14 ust. 4 co do zasady przewiduje, że jeśli administrator planuje dalej przetwarzać dane osobowe w innym celu, niż ten, w którym dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust.2. Można jednak uznać, że taki obowiązek nie dotyczy w przypadku badań naukowych. RODO w art. 14 ust. 5 przewiduje bowiem sytuacje, w których obowiązku informacyjnego dopełnić nie trzeba. Przepis ten przewiduje mianowicie, że nie trzeba dopełniać wspomnianego obowiązku informacyjnego jeśli udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (por. art. 14 ust. 5 lit. b RODO); W rozwinięciu tego przepisu wyjaśniono, że dotyczy to m.in. przetwarzania właśnie do celów badań naukowych. W takich przypadkach administrator zobowiązany jest podejmować odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnić informacje publicznie. Oznacza to możliwość udostępnienia ogólnego, publicznego komunikatu np. na stronie internetowej podmiotu prowadzącego badania. Warto pamiętać, że decyzję co do sposobu dopełnienia obowiązku informacyjnego, czy to wobec konkretnych osób, czy w postaci komunikatu na stronie internetowej, podejmuje sam administrator (szpital/jednostka badawcza), po analizie wspomnianego art. 14 ust 5lit.b) RODO.
3. Zabezpieczenie danych. Przy prowadzeniu badań naukowych dochodzi do przetwarzania wspomnianych danych wrażliwych, które należy odpowiednio zabezpieczyć, aby zachować ich poufność. Oznacza to takie ich przetwarzanie, by dostęp do nich był możliwy jedynie dla osób do tego upoważnionych, i by nie doszło do niekontrolowanego ich ujawnienia. Taki wymóg obowiązywał w poprzedniej ustawie o ochronie danych osobowych z 1997 r, i taki sam wprowadza RODO w art. 89. Zgodnie z jego brzmieniem przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, zgodnie z RODO. Zabezpieczenia te polegają na wdrożeniu środków technicznych i organizacyjnych zapewniających poszanowanie m.in. zasady minimalizacji danych (nakazującej przetwarzanie tylko takiej ilości danych jaka jest niezbędna do realizacji celu przetwarzania). Środki te mogą też obejmować np. pseudonimizację danych (przetwarzanie danych osobowych w taki sposób, aby nie było możliwe zidentyfikowanie, do kogo one należą, bez dostępu do innych informacji, przechowywanych bezpiecznie w innym miejscu), o ile pozwala ona realizować powyższe cele. Z kolei ocena czy jest potrzeba wydawania dodatkowego upoważnienia do przetwarzania danych osobowych dla lekarzy prowadzących badania, zależeć będzie od konkretnej sytuacji i modelu wykonywania badań naukowych. Jeśli szpital jest jednocześnie jednostką badawczą a badania naukowe prowadzą lekarze zatrudnieni przez szpital to nie ma potrzeby wydawać odrębnych upoważnień. Te, posiadane przez lekarzy powinny natomiast uwzględniać zakres dopuszczalnego przetwarzania danych. Inaczej sytuacja może wyglądać, jeśli jednostka badawcza jest odrębna od szpitala. Wówczas upoważnienia musi wydać każdy z administratorów z osobna. Trzeba mieć jednak na względzie formę zatrudnienia lekarza. Jeśli jest on pracownikiem szpitala/jednostki badawczej adekwatne jest udzielenie mu wspomnianego upoważnienia do przetwarzania danych. Jeśli natomiast lekarz rozliczałby się w formie działalności gospodarczej właściwsze może okazać się podpisanie z nim umowy o powierzeniu przetwarzania danych, o której mowa w art. 28 RODO.
4. Administrator danych – kto nim jest? Przy założeniu, że klinika działa w strukturze organizacyjnej szpitala, administratorem danych zawartych w dokumentacji medycznej wykorzystywanej na potrzeby badań naukowych jest szpital. Klinika bowiem na potrzeby prowadzonych badań wykorzystuje jedynie wyodrębnione ze szpitalnej dokumentacji dane osobowe pacjentów. W sytuacji zaś, gdy klinika nie działa w ramach struktury organizacyjnej szpitala, to będzie ona wówczas odrębnym administratorem danych przetwarzanych na potrzeby badań naukowych. W każdym przypadku wszystkie, wynikające z RODO obowiązki spoczywają na administratorze danych prowadzącym badania naukowe. W przypadku współadministrowania administratorzy mogą podzielić się obowiązkami w drodze umowy.
5. Umowa o powierzeniu przetwarzania danych. Należy rozważyć, czy w związku z prowadzeniem badań naukowych nie dochodzi do wspomnianego w pkt 3 powierzenia przetwarzania danych osobowych (tj. danych osobowych na etapie jeszcze przed ich anonimizacją) np. konsultacja wyników badań z odrębną jednostką medyczną bądź naukową, czy choćby wspomniane wykonywanie badań przez lekarza prowadzącego działalność gospodarczą. Chodzi o sytuację, w której podmiot trzeci przetwarzałby dane w imieniu administratora danych. Gdyby taka sytuacja miała miejsce konieczne stałoby się podpisanie wspomnianej umowy o powierzeniu przetwarzania danych, o której mowa w art. 28 RODO.
Podsumowując - prowadzenie badań naukowych jest ważnym elementem rozwoju medycyny. Należy natomiast pamiętać, aby w odniesieniu do danych osobowych prowadzenie tych badań było dokonywane z uwzględnieniem obowiązków wynikających z RODO.
Małgorzata Kałużyńska – Jasak, expert z M, Departament Zarządzania Danymi MC
Joanna Noga – Bogomilska, radca prawny z MC, Departament Zarządzania Danymi MC
