Serija blogova vezanih uz Europski prostor zdravstvenih podataka- gdje je tu GDPR (svuda oko nas)!
Ovaj se blog fokusira na obveze korisnika podataka; za opći pregled EHDS-a pogledajte naš prvi blog u ovoj seriji.
1: Korisnici zdravstvenih podataka
Prema EHDS-u, vlasnici podataka morat će svoje elektroničke zdravstvene podatke staviti na raspolaganje tijelima za pristup javnozdravstvenim podacima (Health Data Access Bodies, HDAB-s), koja će ih zauzvrat učiniti dostupnima u sigurnom okruženju za obradu korisnicima zdravstvenih podataka koji su dobili dozvolu.
Pojam "korisnik zdravstvenih podataka" obuhvaća svaku fizičku ili pravnu osobu, uključujući tijela Unije, koja je dobila dozvolu za pristup zdravstvenim podacima za sekundarnu upotrebu (odnosno, za druge uporabe osim one za koju su podaci izvorno prikupljeni) (čl. 2. stavak 2. točka (u) EHDS).
2: Dopuštene i zabranjene uporabe
EHDS utvrđuje popis svrha za koje je dopuštena sekundarna uporaba zdravstvenih podataka (čl. 53. EHDS).
Popis svrha prilično je širok. Uključuje, između ostalog, znanstvena istraživanja povezana sa zdravljem, uključujući razvojne i inovacijske aktivnosti za proizvode i usluge te obuku, testiranje i ocjenjivanje algoritama, AI sustava i digitalnih zdravstvenih aplikacija. Prema uvodnim izjavama, "znanstveno istraživanje" mora se tumačiti na širok način:
„uključujući tehnološki razvoj i demonstracije, temeljna istraživanja, primijenjena istraživanja i privatno financirana istraživanja. Aktivnosti vezane za znanstvena istraživanja uključuju inovacijske aktivnosti kao što je obuka algoritama umjetne inteligencije koji bi se mogli koristiti u zdravstvu ili njezi fizičkih osoba, kao i evaluacija i daljnji razvoj postojećih algoritama i proizvoda za takve namjene. Neophodno je da EHDS također doprinese temeljnim istraživanjima, i, iako bi njegove koristi za krajnje korisnike i pacijente mogle biti manje izravne, da su takva fundamentalna istraživanja ključna za društvenu dobrobit na duži rok.” (Uvodna izjava 61 EHDS)
EHDS također zabranjuje određene sekundarne uporabe, kao što je korištenje podataka u marketinške svrhe ili za donošenje odluka koje štete osobi ili skupini osoba (čl. 54. EHDS). Osim toga, kada imaju pristup zdravstvenim podacima, korisnicima zdravstvenih podataka zabranjeno je pokušavati ponovno identificirati pojedince ili davati pristup trećim stranama koje nisu navedene u dozvoli za tzv. uporabu podataka (čl. 61. stavci 2. i 3. EHDS-a).
3: Dozvola
Korisnici zdravstvenih podataka koji žele pristupiti zdravstvenim podacima moraju HDAB-u podnijeti zahtjev za pristup podacima i ishoditi dopuštenje.
EHDS detaljno propisuje koje podatke mora sadržavati prijava, na primjer, popis osoba koje će imati pristup podacima, svrhe za koje će se podaci koristiti i očekivanu korist, kada je relevantno zašto su potrebni pseudonimizirani podaci (umjesto anonimnih podataka), pravni temelj iz čl. 6 GDPR-a za pristup podacima i razdoblje za koje je potreban pristup (čl. 67. EHDS).
Ako korisnik zdravstvenih podataka traži pristup zdravstvenim podacima više vlasnika podataka u različitim državama članicama, može podnijeti jedan zahtjev za pristup svom HDAB-u, koji će zatim koordinirati s ostalima. Svaki relevantni HDAB, međutim, samostalno odlučuje hoće li dati dozvolu za pristup podacima iz svoje nadležnosti (čl. 67. st. 3. EHDS).
HDAB mora odlučiti hoće li izdati dozvolu u roku od tri mjeseca, iako se to može produljiti za još tri mjeseca, ako je potrebno (čl. 68(3) EHDS).
Korisnici zdravstvenih podataka tada bi trebali dobiti pristup podacima u roku od dva mjeseca nakon dobivanja dopuštenja, iako se to razdoblje može po potrebi i produžiti (čl. 68. st. 7. EHDS-a). Korisnicima zdravstvenih podataka može se odobriti pristup traženim podacima u sigurnom okruženju obrade HDAB-a na razdoblje do deset godina, koje se može produžiti ako je opravdano (čl. 68. st. 12. EHDS-a).
4: Publikacije
Nakon što korisnik zdravstvenih podataka dobije dopuštenje i pristup traženim podacima, dužan je u roku od 18 mjeseci nakon završetka obrade u sigurnom okruženju obrade objaviti izvješće s (anonimnim) rezultatima svojih istraživanja. Korisnici zdravstvenih podataka moraju u izvješću naznačiti da su podaci dobiveni putem EHDS-a (čl. 61. st. 4. EHDS-a).
Osim navedenog, HDAB mora učiniti javno dostupnima na lako pretraživ način:
- sve prijave za pristup zdravstvenim podacima primljene od korisnika zdravstvenih podataka;
- sve dozvole za zdravstvene podatke izdane korisnicima zdravstvenih podataka; i
- rezultate koje su priopćili korisnici zdravstvenih podataka. (čl. 57(1)(j) EHDS)
Zaštita u EHDS-u za prava intelektualnog vlasništva i poslovne tajne ne odnosi se na istraživanja koja se provode na temelju podataka EHDS-a (čl. 52. EHDS-a). To znači da će istraživačke strategije koje slijede korisnici zdravstvenih podataka biti javno objavljene putem HDAB-a.
5: Korisnici podataka u trećim zemljama
Prema EHDS-u, korisnici zdravstvenih podataka iz trećih zemalja također mogu podnijeti zahtjev za pristup podacima iz HDAB-a. Međutim, to se primjenjuje samo ako njihova zemlja poslovnog nastana (i) sama sudjeluje u EHDS-u, nakon odluke Komisije kojom se utvrđuje da dotična treća zemlja pruža ekvivalentan sustav pristupa podacima i zaštite (čl. 75. stavak 5. EHDS-a), ili (ii) podnositeljima zahtjeva iz EU-a dopušta pristup svojim podacima pod sličnim uvjetima kao u EHDS-u i također podložno odluci Komisije kojom se to uspostavlja (čl. 91. EHDS-a).
6: Voditelji obrade podataka
Kada korisnici zdravstvenih podataka dobiju pristup u sigurnom okruženju obrade HDAB-a pseudonimiziranim zdravstvenim podacima, podložni su GDPR-u i kvalificiraju se kao voditelj obrade podataka za tu upotrebu (a HDAB se kvalificira kao izvršitelj obrade) (čl. 74. EHDS-a).
U tom slučaju korisnik zdravstvenih podataka također mora odrediti pravnu osnovu GDPR za njihovu obradu.
Prema uvodnim izjavama EHDS-a, odgovarajuća pravna osnova najvjerojatnije će biti legitimni interes korisnika ili javni interes (najvjerojatnije za korisnike podataka koji su javna tijela). Za obradu osjetljivih osobnih podataka (kao što su zdravstveni podaci (posebne kategorije podataka)), čl. 9 GDPR također zahtijeva od voditelja obrade podataka da pokažu da se mogu osloniti na odstupanje, često s povezanim zaštitnim mjerama.
Uvodne izjave EHDS-a navode da sam EHDS pruža zaštitne mjere navedene u čl. 9 GDPR. Iako nije posve jasno, to sugerira da svaki put kada se čl. 9 primjenjuje, odnosno članak vezan uz odstupanje, prema članku 9. stavku 2. GDPR-a to se odnosi na pravo Unije za aktiviranje odstupanja (na primjer za znanstvena istraživanja u članku 9. stavku 2. točki (j) GDPR-a), EHDS-u bi to služilo kao to pravo Unije po kojem će on postupati (Uvodna izjava 52. EHDS).
I tako smo i ovdje došli opet do primjene GDPR-a koja se isprepliće s regulativom vezanom uz EHDS te strogo treba paziti da se revidira sva dokumentacija ako se ova regulativa primjenjuje na vas.
