Europejska przestrzeń danych dotyczących zdrowia (EHDS) – nowe ramy prawne przetwarzania danych zdrowotnych w Unii Europejskiej
1. Wprowadzenie
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2025/327 ustanawiające europejską przestrzeń danych dotyczących zdrowia (EHDS) stanowi jeden z najważniejszych aktów prawa unijnego ostatnich lat w obszarze ochrony danych osobowych szczególnych kategorii. Jego celem jest stworzenie jednolitych ram prawnych i technicznych dla pierwotnego oraz wtórnego wykorzystywania elektronicznych danych dotyczących zdrowia, przy jednoczesnym wzmocnieniu praw osób fizycznych oraz zapewnieniu wysokiego poziomu bezpieczeństwa i interoperacyjności systemów ochrony zdrowia w Unii Europejskiej
rozporządzenie dane dotyczące z…
.
Rozporządzenie to uzupełnia i konkretyzuje regulacje RODO (rozporządzenia 2016/679), nie zastępując ich, lecz tworząc wyspecjalizowany reżim prawny dla sektora zdrowia.
2. Zakres i istota nowych regulacji
2.1. Europejska przestrzeń danych dotyczących zdrowia
EHDS została zaprojektowana jako infrastruktura prawno-techniczna umożliwiająca:
- osobom fizycznym pełną kontrolę nad ich elektronicznymi danymi zdrowotnymi,
- świadczeniodawcom dostęp do danych niezbędnych do zapewnienia ciągłości opieki,
- wykorzystanie danych zdrowotnych do celów badań naukowych, innowacji, polityki zdrowotnej i reagowania kryzysowego.
Rozporządzenie obejmuje bardzo szeroką definicję elektronicznych danych dotyczących zdrowia, w tym dane kliniczne, genetyczne, dane diagnostyczne, laboratoryjne, dane obrazowe, informacje o lekach, szczepieniach, a także dane wywnioskowane i pochodne
rozporządzenie dane dotyczące z…
.
2.2. Pierwotne i wtórne wykorzystywanie danych
Nowością o fundamentalnym znaczeniu jest wyraźne rozróżnienie:
- pierwotnego wykorzystywania danych – na potrzeby opieki zdrowotnej,
- wtórnego wykorzystywania danych – m.in. do badań naukowych, statystyki publicznej, kształtowania polityk zdrowotnych czy innowacji.
W obu przypadkach rozporządzenie przewiduje odrębne warunki dostępu, zabezpieczenia oraz mechanizmy nadzorcze, co znacząco zwiększa poziom formalizacji przetwarzania danych zdrowotnych.
3. Najważniejsze zmiany względem dotychczasowego stanu prawnego
3.1. Wzmocnienie praw pacjentów
Rozporządzenie znacząco rozszerza prawa osób, których dane dotyczą, w szczególności poprzez:
- prawo natychmiastowego i bezpłatnego dostępu do priorytetowych kategorii danych zdrowotnych w formie elektronicznej,
- prawo do przenoszenia danych w europejskim formacie wymiany elektronicznej dokumentacji medycznej,
- prawo do ograniczania dostępu do wybranych kategorii danych (np. zdrowie psychiczne, dane genetyczne),
- możliwość ustanawiania pełnomocników do zarządzania dostępem do danych.
Są to rozwiązania wykraczające poza klasyczne prawo dostępu z art. 15 RODO, które w sektorze zdrowia okazywało się niewystarczające.
3.2. Obowiązkowa interoperacyjność systemów EDM
EHDS wprowadza obowiązek stosowania wspólnych standardów interoperacyjnych dla systemów elektronicznej dokumentacji medycznej (EDM). Świadczeniodawcy i producenci systemów IT w ochronie zdrowia muszą zapewnić kompatybilność swoich rozwiązań z europejskim formatem wymiany danych, co stanowi istotne wyzwanie organizacyjne i finansowe
rozporządzenie dane dotyczące z…
.
4. Nowe obowiązki i obszary szczególnego ryzyka
4.1. Podmioty zobowiązane do zachowania szczególnej staranności
Szczególnym reżimem odpowiedzialności objęte są:
- świadczeniodawcy opieki zdrowotnej (publiczni i prywatni),
- organy administracji zdrowotnej,
- dostawcy systemów EDM i aplikacji zdrowotnych,
- organy ds. e-zdrowia wyznaczane przez państwa członkowskie,
- podmioty prowadzące badania naukowe z wykorzystaniem danych zdrowotnych.
Podmioty te muszą stosować nie tylko RODO, ale również szczegółowe wymogi EHDS, w tym dotyczące rejestrowania dostępu do danych, minimalizacji przetwarzania i transparentności.
4.2. Na co należy uważać w praktyce stosowania rozporządzenia
Najistotniejsze obszary ryzyka obejmują:
- nieuprawniony dostęp do danych zdrowotnych w ramach interoperacyjnych systemów,
- błędną ocenę podstaw prawnych wtórnego wykorzystywania danych,
- niewłaściwe wdrożenie mechanizmów ograniczeń dostępu ustanawianych przez pacjentów,
- niedostateczne zabezpieczenia cyberbezpieczeństwa,
- brak odpowiednich szkoleń personelu medycznego.
Rozporządzenie kładzie szczególny nacisk na zasadę minimalizacji danych oraz rozliczalność administratorów, co oznacza konieczność dokumentowania decyzji dotyczących dostępu i przetwarzania danych.
5. Nadzór i sankcje
Egzekwowanie przepisów EHDS powierzono w znacznej mierze:
- organom nadzorczym ds. ochrony danych osobowych,
- nowym lub istniejącym organom ds. e-zdrowia.
Organy te uzyskały kompetencje do nakładania administracyjnych kar pieniężnych, które – analogicznie do RODO – muszą być skuteczne, proporcjonalne i odstraszające
rozporządzenie dane dotyczące z…
.
6. Wnioski
Rozporządzenie 2025/327 ustanawia nową jakość w regulacji przetwarzania danych zdrowotnych w Unii Europejskiej. EHDS nie tylko wzmacnia pozycję pacjentów, ale również nakłada daleko idące obowiązki na administratorów i podmioty przetwarzające dane zdrowotne. Szczególną uwagę należy poświęcić interoperacyjności systemów, bezpieczeństwu danych oraz prawidłowemu rozróżnianiu pierwotnego i wtórnego wykorzystywania danych.
Z perspektywy praktyki stosowania prawa można spodziewać się, że EHDS – podobnie jak RODO – stanie się jednym z kluczowych punktów odniesienia w orzecznictwie i działalności organów nadzorczych w nadchodzących latach.
Źródło: Urząd Ochrony Danych Osobowych – „Informacja nt. rozporządzenia dot. EHDS” (strona UODO); Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2025/327 (EUR-Lex)
