Blog Kancelarii Adwokackiej Smok i Partnerzy
Udostępnianie baz danych w tym danych medycznych – działanie dozwolone czy kategorycznie zakazane?
Pozyskiwanie danych osobowych jest jedynym z rodzajów przetwarzania tych danych. Zgodnie z obowiązującymi przepisami, kluczowe dla wszystkich podmiotów przetwarzających dane jest zachowanie odpowiednich standardów i obowiązujących przepisów.
Dziś chcielibyśmy pochylić się nad kwestią udostępniania danych – w tym danych medycznych, na rzecz podmiotów zewnętrznych. Bez wątpienia potrzeba dostępu i agregowanie danych medycznych stanowi istotne wyzwanie w procesie rozwoju narzędzi technologicznych w związku ze standardami prawnymi. Przede wszystkim należy podkreślić, iż nie każda dana medyczna będzie daną osobową. Dane osobowe, w tym dane wrażliwe (dane medyczne jak stan zdrowia, nałogi, przebyte schorzenia) będą danymi osobowymi, tylko i wyłącznie wówczas, kiedy uda się na ich podstawie zidentyfikować konkretną osobę.
Tworząc bazy danych osobowych w tym danych wrażliwych o charakterze medycznym, pierwszą i najważniejszą kwestią jest separacja danych w bazach. Innymi słowy utworzenie dwóch baz danych, o charakterze osobowym (takich jak imię nazwisko czy adres) oraz o charakterze medycznym. Dwie te bazy muszą funkcjonować na tyle niezależnie aby bez użycia odpowiednich narzędzi nie udało się połączyć danej osoby z konkretnym schorzeniem – a więc aby nie doszło do identyfikacji podmiotu.
Tu należy rozróżnić dwa pojęcia anonimizację – która uniemożliwia identyfikację właścicieli konkretnych informacji pozostawiając zbiór danych. Anonimizacja zakłada nieodwracalne zaszyfrowanie danych, dzięki czemu możemy mieć pewność, że dokumenty lub bazy danych po przeprowadzeniu tego procesu przestaną zawierać dane osobowe w świetle RODO. Dokumenty można więc udostępniać osobom trzecim, gdy jest to potrzebne, bez naruszenia przepisów o ochronie danych osobowych.
Oraz pseudnonimizację która jest swego rodzaju formą anonimizacji i pozwala na zaszyfrowanie danych w taki sposób, że przy użyciu odpowiednich kluczy i narzędzi, możliwe będzie połączenie danych wrażliwych z konkretnym właścicielem.
W sytuacji zatem danych pozyskiwanych przez podmioty medyczne, powinniśmy mieć do czynienia z dwoma bazami danych. Pierwsza baza gromadząca dane o charakterze osobowym, oraz druga baza gromadząca dane medyczne, które nie mają charakteru osobowego. Jednak ta sama baza danych, przy użyciu konkretnych narzędzi umożliwiających ich powiązanie z pierwszą bazą osobową tworzy już zbiór danych o charakterze osobowym, a do tego danych osobowych wrażliwych.
Aby zatem w sposób umiejętny wykorzystywać pozyskiwane dane osobowe, należy przede wszystkim pamiętać o powyższym rozróżnieniu i mieć na uwadze, że sama baza danych medycznych, bez jakichkolwiek powiązań z innymi informacjami stanowi zbiór cech, który może być wykorzystywany na przykład w celach statystycznych. Często dla przykładu wykorzystywane w artykułach medycznych, w opracowaniach medycznych. Niemniej ta sama baza danych umożliwiająca identyfikację osoby stanowi zbiór danych osobowych o przymiocie wrażliwym.
Sumując można stwierdzić, iż każdą daną możemy się posłużyć o ile robimy to umiejętnie i w sposób uniemożliwiający identyfikację. Dlatego w razie wszelkich wątpliwości dotyczących sposobu i procesu pozyskiwania danych osobowych, gromadzenia ich w bazach a potem ewentualnego wykorzystywania i agregacji, warto każdorazowo indywidualnie podejść do sprawy i zbadać procesy jakim chcemy konkretne dane poddać.
Dlatego aby odpowiedzieć sobie na pytanie, kiedy i w jakim zakresie możemy agregować konkretne dane należy każdorazowo i indywidualnie rozpatrywać zachodzące zależności. Najlepiej zatem, korzystając z pomocy ekspertów w tej dziedzinie, przeanalizować charakter planowanych operacji na danych oraz ochronę jakiej podlega konkretny działanie.
Autor: radca prawny Patrycja Szatkowska