Sztuczna inteligencja a dane medyczne

Dane Osobowe

Rozwój sztucznej inteligencji (AI) w medycynie przynosi ogromne korzyści, jednak wiąże się także z istotnymi wyzwaniami prawnymi. Jednym z kluczowych aspektów pozostaje ochrona danych medycznych, szczególnie w kontekście przepisów RODO oraz unijnego rozporządzenia o sztucznej inteligencji (AI Act).

W świetle RODO posługujemy się pojęciem danych dotyczących zdrowia, które oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Regulacje dotyczące AI w medycynie – AI Act

W 2024 roku Unia Europejska przyjęła Rozporządzenie Parlamentu Europejskiego i Rady (UE) o sztucznej inteligencji (AI Act), które ustanawia jednolite zasady dla projektowania, wdrażania i nadzoru nad systemami AI w UE.  Fakt, że produkt oparty na AI zostanie uznany za wyrób medyczny, może skutkować zakwalifikowaniem go jako system wysokiego ryzyka. AI Act ma bowiem zastosowanie niezależnie od innych aktów prawnych – nawet jeśli system podlega już innym zharmonizowanym przepisom sektorowym, jak np. rozporządzenia 2017/745 (MDR).

Kluczowe wymagania wynikające z AI Act dla sektora medycznego (ale nie tylko) obejmują m.in.:

  • wdrożenie systemu zarządzania jakością;
  • obowiązek zapewnienia nadzoru ludzkiego nad działaniem systemu AI;
  • wymóg przejrzystości i informowania o użyciu systemu – wdrożenie odpowiednich środków technicznych i organizacyjnych celem zapewnienia zgodności z ich przeznaczeniem;
  • jakość i adekwatność danych wykorzystywanych przez system;
  • obowiązek prowadzenia dokumentacji technicznej oraz zgłaszania incydentów związanych z działaniem systemu AI

Ochrona danych medycznych a sztuczna inteligencja

Przetwarzanie tych danych wymaga szczególnej staranności ze względu na ich wrażliwy charakter. Zgodnie z RODO dane dotyczące zdrowia należą do szczególnych kategorii danych osobowych, których przetwarzanie co do zasady jest zabronione, przy czym RODO przewiduje w tym zakresie wyjątki. W tym kontekście prawnik AI odgrywa kluczową rolę, pomagając placówkom medycznym wdrażać rozwiązania zgodne z przepisami prawa.

Systemy AI wdrażane w placówkach medycznych muszą być projektowane i stosowane przy zapewnieniu bezpieczeństwa i poufności danych pacjentów. Coraz więcej instytucji medycznych korzysta z narzędzi AI do przetwarzania danych pacjentów, co wymaga zastosowania odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie czy kontrola dostępu.

RODO a AI – aspekty prawne

RODO nakłada na administratorów danych obowiązki, w tym m.in. zasadę minimalizacji danych, zapewnienia ich odpowiedniego zabezpieczenia czy przejrzystości przetwarzania. Zgoda pacjenta na przetwarzanie danych medycznych z wykorzystaniem AI musi być wyraźna, dobrowolna, świadoma, konkretna i możliwa do wycofania.

Jednak zgoda nie jest jedyną podstawą legalności przetwarzania takich danych. Art. 9 ust. 2 RODO dopuszcza przetwarzanie danych dotyczących zdrowia m.in. w następujących przypadkach, np.: gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, lub ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, np. ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi.

Ważne jest także uwzględnienie regulacji dotyczących profilowania oraz zautomatyzowanego podejmowania decyzji, szczególnie w kontekście systemów AI wykorzystywanych do wspomagania diagnozy lub leczenia. Jeśli decyzje podejmowane są wyłącznie automatycznie i wywołują skutki prawne lub istotnie wpływają na pacjenta, stosowanie art. 22 RODO jest obligatoryjne.

Czy można przetwarzać dane medyczne przy użyciu AI?

Tak, przetwarzanie danych dotyczących zdrowia przy użyciu systemów AI jest dopuszczalne, ale tylko w granicach wyznaczonych przez RODO oraz inne obowiązujące przepisy. Kluczowe jest zapewnienie legalności, rzetelności i przejrzystości przetwarzania, a także wdrożenie odpowiednich środków bezpieczeństwa.

W przypadku gdy system AI kwalifikuje się jako narzędzie wysokiego ryzyka (co dotyczy większości systemów medycznych), niezbędne jest przeprowadzenie oceny skutków dla ochrony danych (Data Protection Impact Assessment – DPIA), zgodnie z art. 35 RODO.

Jak AI wpływa na ochronę danych pacjentów?

AI może znacznie zwiększyć efektywność procesów medycznych, umożliwiając szybszą analizę danych, ograniczenie błędów i usprawnienie zarządzania dokumentacją. Jednak równocześnie wiąże się z ryzykami, takimi jak nieautoryzowany dostęp do danych, błędy algorytmiczne czy brak przejrzystości działania.

Dlatego systemy AI powinny być nadzorowane przez człowieka (tzw. human oversight) i projektowane zgodnie z zasadą „privacy by design” oraz „privacy by default”.

Właściwe wdrożenie AI w podmiotach medycznych wymaga współpracy z ekspertami z zakresu obsługi prawnej branży IT, którzy pomogą zadbać o zgodność procesów z obowiązującymi regulacjami prawnymi.

Natalia Drążek
Natalia Drążek
starszy prawnik
natalia.drazek@lawmore.pl
573 808 067

Bądź na bieżąco ze zmianami w prawie

Zapisz się do naszego newslettera

Dziękujemy!
Rejestracja przebiegła pomyślnie.
Ups...twój mail nie może być wysłany!