EHDS – pierwotne i wtórne wykorzystywanie danych

Spis treści:

1. EHDS, czyli nie tylko dane osobowe
2. Pierwotne wykorzystywanie danych – korzyści dla podmiotów danych
3. Wtórne wykorzystywanie danych – podstawowe założenia

Rozporządzenie w sprawie europejskiej przestrzeni danych dotyczących zdrowia to rewolucja w podejściu do danych odnoszących się do zdrowia i zarządzania nimi. Ustanawia wspólne ramy ich wykorzystywania i wymiany transgranicznej.

Podstawowym celem rozporządzenia EHDS¹ jest ustanowienie europejskiej przestrzeni danych dotyczących zdrowia (z ang. European Health Data Space), co ma²:

• poprawić dostęp osób fizycznych do ich elektronicznych danych dotyczących zdrowia i kontrolę nad nimi oraz umożliwić udostępnienie ich w ramach Unii Europejskiej na potrzeby świadczenia opieki zdrowotnej (pierwotne wykorzystywanie danych); „
• przynieść korzyści społeczeństwu w zakresie badań naukowych, innowacji, kształtowania polityki bądź gotowości na zagrożenia dla zdrowia i reagowania na nie, gwarantując bezpieczeństwo i wiarygodność przy ponownym wykorzystaniu danych dotyczących zdrowia (wtórne wykorzystywanie danych);
• stworzyć jednolity rynek systemów elektronicznej dokumentacji medycznej – wsparcie dla pierwotnego i wtórnego wykorzystania danych.

Nowe przepisy są odpowiedzią Unii Europejskiej na wyzwania, które pojawiły się w zakresie sprawnej wymiany danych dotyczących zdrowia podczas pandemii COVID-19. Choć rozporządzenie EHDS weszło w życie w marcu 2025 r., w przeważającej (najważniejszej) części zacznie obowiązywać dopiero w 2029 r. Rozłożenie w czasie ma zapewnić stopniowe i zorganizowane wdrożenie w życie nowych regulacji.

EHDS, czyli nie tylko dane osobowe

Rozporządzenie EHDS będzie miało zastosowanie do dwóch kategorii elektronicznych danych dotyczących zdrowia: elektronicznych danych osobowych i nieosobowych. Elektroniczne dane osobowe dotyczące zdrowia to dane dotyczące zdrowia i dane genetyczne przetwarzane w formie elektronicznej (art. 2 ust. 2 lit. a rozporządzenia EHDS). W zakresie rozumienia tych pojęć prawodawca unijny odwołał się do definicji zawartych w rodo. I tak:

• dane dotyczące zdrowia to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia;
• dane genetyczne to z kolei dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

Dodatkowo w ramach elektronicznych danych osobowych dotyczących zdrowia wyróżniono kategorie priorytetowe (art. 14 ust. 1 rozporządzenia EHDS), do których należą: skrócone karty zdrowia pacjenta, recepty elektroniczne, realizacja recept elektronicznych, wyniki badań obrazowych i powiązane z nimi opisy, wyniki badań medycznych, w tym wyniki badań laboratoryjnych i innych badań diagnostycznych oraz powiązane z nimi opisy i wypisy.

Natomiast elektroniczne dane nieosobowe dotyczące zdrowia obejmują inne niż osobowe dane dotyczące zdrowia, w tym:

• dane, które zostały zanonimizowane w taki sposób, że nie dotyczą już zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiot danych”);
• dane, które nigdy nie dotyczyły konkretnej osoby (art. 2 ust. 2 lit. b rozporządzenia EHDS).

Powyższe rozróżnienie ma istotne znaczenie, ponieważ (z pewnymi wyjątkami) dane osobowe będą przetwarzane w ramach mechanizmu pierwotnego wykorzystywania danych, a dane nieosobowe – w ramach wtórnego wykorzystywania danych.

Pierwotne wykorzystywanie danych – korzyści dla podmiotów danych

Podstawowe założenia

Pierwszy z mechanizmów regulowanych przez rozporządzenie EHDS, czyli pierwotne wykorzystywanie danych (z ang. primary use), jest skierowany bezpośrednio do podmiotów danych. Dzięki niemu mają one uzyskać większą kontrolę w zakresie korzystania i udostępniania danych dotyczących zdrowia. Na czym polega pierwotne wykorzystywanie danych i jakie korzyści ma przynieść dla podmiotów danych?

Pierwotne wykorzystywanie to przetwarzanie elektronicznych danych dotyczących zdrowia na potrzeby świadczenia opieki zdrowotnej w celu oceny, utrzymania lub poprawy stanu zdrowia osoby fizycznej, której dane te dotyczą, łącznie z przepisywaniem, wydawaniem i udostępnianiem produktów leczniczych i wyrobów medycznych, a także na potrzeby odpowiednich usług społecznych, administracyjnych lub usług w zakresie zwrotu kosztów (art. 2 ust. 2 lit. d rozporządzenia EHDS). Wykorzystywanie pierwotne danych oznacza w szczególności, że:

pracownicy służby zdrowia będą mogli uzyskać dostęp w niezbędnym zakresie do elektronicznych danych osobowych dotyczących zdrowia (co najmniej w zakresie kategorii priorytetowych) osoby podlegającej leczeniu – niezależnie od państwa ubezpieczenia i państwa leczenia; „

świadczeniodawcy będą zobowiązani do rejestrowania w systemie EDM (elektroniczna dokumentacja medyczna) elektronicznych danych osobowych dotyczących zdrowia (co najmniej w zakresie kategorii priorytetowych), a także do ich aktualizacji o informacje dotyczące udzielonej opieki zdrowotnej.

Uprawnienia podmiotów danych

W związku z pierwotnym wykorzystywaniem elektronicznych danych osobowych dotyczących zdrowia podmioty danych uzyskają dodatkowe uprawnienia. Wiele z opisanych niżej praw znanych jest już chociażby z przepisów rodo, natomiast rozporządzenie EHDS wprowadza dodatkowe wymogi dotyczące ich realizacji, zwłaszcza w zakresie terminu, w którym można z nich korzystać.

1. Prawo dostępu – osoby fizyczne uzyskają prawo dostępu do danych należących do kategorii priorytetowych niezwłocznie (z uwzględnieniem kwestii technologicznych) po ich zarejestrowaniu w systemie EDM, bezpłatnie oraz w łatwej do odczytu, skonsolidowanej i dostępnej formie.
2. Prawo uzyskania kopii – osoby fizyczne (w tym ich przedstawiciele) będą miały możliwość bezpłatnego pobrania elektronicznej kopii danych należących do kategorii priorytetowych.
3. Prawo wprowadzenia informacji – osoby fizyczne uzyskają możliwość elektronicznego wprowadzenia do EDM dodatkowych informacji, które zostaną w specjalny sposób oznaczone, nie będzie możliwa natomiast zmiana informacji wprowadzonych do EDM przez pracowników służby zdrowia.
4. Prawo sprostowania danych – możliwe będzie także złożenie przez osobę fizyczną online wniosku o sprostowanie jej elektronicznych danych osobowych.
5. Prawo do przenoszenia danych – osoby fizyczne będą mogły przede wszystkim:
   • samodzielnie udzielić dostępu;
   • zwrócić się do świadczeniodawcy o przekazanie całości lub części elektronicznych danych osobowych dotyczących zdrowia innemu świadczeniodawcy;
   • zwrócić się do świadczeniodawcy o przekazanie części elektronicznych danych osobowych wybranemu odbiorcy z sektora zabezpieczenia społecznego lub usług w zakresie zwrotu kosztów – niezwłocznie, bezpłatnie i bez przeszkód.
6. Prawo ograniczenia dostępu – osoba fizyczna będzie miała możliwość ograniczenia dostępu pracowników służby zdrowia i świadczeniodawców do całości lub części danych, a fakt ten nie będzie widoczny dla świadczeniodawców.
7. Prawo uzyskania informacji o dostępie do danych – osoba fizyczna będzie miała prawo uzyskania nieodpłatnie i niezwłocznie informacji o każdym uzyskaniu dostępu do jej danych (np. za pośrednictwem automatycznych powiadomień), a informacje te muszą być dostępne przez co najmniej 3 lata od chwili uzyskania dostępu.
8. Dodatkowo rozporządzenie EHDS przewiduje możliwość wprowadzenia przez poszczególne państwa członkowskie prawa do wyłączenia dostępu do danych w ramach pierwotnego wykorzystywania, a prawo to powinno być odwracalne.

Wtórne wykorzystywanie danych – podstawowe założenia

Cele wtórnego wykorzystywania

Zgodnie z art. 2 ust. 2 lit. e rozporządzenia EHDS wtórne wykorzystywanie (z ang. secondary use) oznacza przetwarzanie elektronicznych danych dotyczących zdrowia do następujących celów, innych niż pierwotne cele, do których je zgromadzono lub wytworzono:

• ze względów związanych z interesem publicznym w dziedzinach zdrowia publicznego lub ochrony zdrowia w miejscu pracy (np. ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, nadzór nad zdrowiem publicznym, zapewnienie wysokiego poziomu jakości i bezpieczeństwa opieki zdrowotnej);
• kształtowanie polityki i działań regulacyjnych;
• na potrzeby statystyki (tworzenie na poziomie krajowym, wielonarodowym i unijnym statystyki publicznej dotyczącej sektorów ochrony zdrowia lub opieki zdrowotnej);
• działalność edukacyjna lub dydaktyczna w sektorze ochrony zdrowia i opieki na poziomie kształcenia zawodowego lub szkolnictwa wyższego;
• badania naukowe dotyczące sektora ochrony zdrowia i opieki; „
• usprawnienie zapewniania opieki, optymalizacji leczenia i świadczenia opieki zdrowotnej na podstawie elektronicznych danych dotyczących zdrowia innych osób fizycznych.

Jednocześnie w rozporządzeniu EHDS jako niedozwolone wykorzystywanie elektronicznych danych dotyczących zdrowia wskazuje się m.in.:

• podejmowanie decyzji niekorzystnych dla osoby fizycznej lub grupy osób fizycznych;
• podejmowanie w stosunku do osoby fizycznej lub grupy osób fizycznych decyzji w odniesieniu do ofert zatrudnienia lub oferowania mniej korzystnych warunków dostarczania towarów lub świadczenia usług (np. w zakresie umów ubezpieczenia, umów kredytowych, wysokości wkładu lub składek ubezpieczeniowych, warunków kredytowania) lub też podejmowania wszelkich innych decyzji prowadzących do dyskryminacji;
• prowadzenie działań reklamowych lub marketingowych;
• opracowywanie produktów lub usług szkodliwych dla osób fizycznych, zdrowia publicznego lub ogółu społeczeństw.

Sposoby uzyskiwania dostępu

Uzyskanie dostępu do elektronicznych danych dotyczących zdrowia do celów wtórnego wykorzystywania możliwe jest na kilka sposobów:

1. Zezwolenie na dostęp do danych wydawane przez organ ds. dostępu do danych dotyczących zdrowia na podstawie wniosku o dostęp do danych, w którym określa się m.in.:
   • kategorię, specyfikę i format danych, do których ma zostać uzyskany dostęp;
   • szczegółowy opis celu, w jakim udostępnia się dane;
   • tożsamość upoważnionych osób, w tym w szczególności głównego badacza;
   • okres obowiązywania zezwolenia – który wynosi maksymalnie 10 lat, z możliwością jego jednokrotnego przedłużenia o kolejne 10 lat;
   • inne szczególne warunki.
2. Zapytanie o dane dotyczące zdrowia, na które odpowiedź wnioskodawca może uzyskać wyłącznie w zanonimizowanym formacie statystycznym. W praktyce oznacza to, że wnioskodawca nie uzyskuje dostępu do elektronicznych danych dotyczących zdrowia w pełnym zakresie.
3. Procedura uproszczona dotycząca sytuacji, w której wniosek o dostęp do danych (pkt 1) lub zapytanie o dane (pkt 2) obejmują wyłącznie elektroniczne dane dotyczące zdrowia będące w posiadaniu zaufanego posiadacza danych dotyczących zdrowia.

Prawo wyłączenia

Wtórne wykorzystywanie elektronicznych danych dotyczących zdrowia wiąże się z dodatkowym uprawnieniem przyznanym podmiotom danych (art. 71 rozporządzenia EHDS). Każda osoba fizyczna będzie miała możliwość – w formule opt-out – wyłączenia w dowolnym momencie i bez podania powodów przetwarzania ich elektronicznych danych osobowych dotyczących zdrowia do celów wtórnego wykorzystywania, a korzystanie z tego prawa będzie mogło zostać odwołane w każdym czasie.

Kary finansowe

Naruszenie przez posiadaczy lub użytkowników danych dotyczących zdrowia przepisów dotyczących wtórnego wykorzystywania danych może skutkować nałożeniem przez organ ds. dostępu do danych administracyjnych kar pieniężnych w maksymalnej wysokości:

• 10 mln euro lub w przypadku przedsiębiorstw – 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego m.in. za naruszenie obowiązku udostępnienia danych zdrowotnych albo brak współpracy z organem ds. dostępu do danych;
• 20 mln euro lub w przypadku przedsiębiorstw – 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego m.in. za niedozwolone wtórne wykorzystywanie albo deanonimizowanie lub dążenie do deanonimizacji osób fizycznych, do których należą elektroniczne dane dotyczące zdrowia.

Przypisy:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2025/327 z dnia 11 lutego 2025 r. w sprawie europejskiej przestrzeni danych dotyczących zdrowia oraz zmiany dyrektywy 2011/24/UE i rozporządzenia (UE) 2024/2847, DzUrz UE L 2025/327 z 05.03.2025.
2. Komisja Europejska, Public Health, tinyurl.com/EuropeEHDS [dostęp 29.10.2025].

Autor

Mateusz Wita

Autor jest radcą prawnym. Jako Senior Associate w Olesiński i Wspólnicy specjalizuje się w obszarze ochrony danych osobowych, prawnych aspektów cyberbezpieczeństwa, prawa e-commerce i TMT. Posiada wieloletnie doświadczenie w doradztwie dla podmiotów gospodarczy, w tym międzynarodowych grup kapitałowych.