Díl II: Zákonné tituly zpracování osobních údajů pro vědecké a výzkumné účely ve zdravotnictví

První díl článku naleznete pod tímto odkazem.

1. Zákonné tituly zpracování dle GDPR a plnění informační povinnosti

Aby bylo zpracování osobních údajů získaných ze ZD pro výzkum zákonné, musí FN vždy identifikovat zákonný titul podle GDPR pro běžné osobní údaje (čl. 6 GDPR) i zvláštní kategorie – v kontextu posuzované problematiky jde konkrétně o údaje vypovídající o zdravotním stavu či genetické údaje (čl. 9 GDPR). Dále musí FN jakožto správce splnit i svou informační povinnost vůči subjektům údajů (čl. 13 nebo 14 GDPR), ledaže by se uplatnila výjimka.

Otázkou volby vhodného zákonného titulu, případně možného souběhu více titulů zpracování (a otázkou, zda je takový souběh vůbec přípustný), se toto stanovisko podrobně nezabývá, a to s ohledem na rozsah a složitost této problematiky (je tématem pro samostatné stanovisko). Je však namístě upozornit, že v současné době existuje možnost využít jak souhlasový, tak bezsouhlasový režim zpracování osobních údajů, přičemž každá z těchto variant s sebou nese své výhody, rizika i důsledky z hlediska práv subjektů údajů a právní jistoty a povinností správce. Bezsouhlasový režim zpracování zdravotních údajů je cesta nová, a z hlediska rizik dosud nepokrytá dostupnou a ustálenou judikaturou soudů (a proto s sebou nese pro správce významně vyšší míru aplikačního rizika).

1.1. Zákonné tituly dle čl. 6

• souhlas subjektu údajů [čl. 6 odst. 1 písm. a) GDPR]: v kontextu výzkumu jde o souhlas pacienta [nutno odlišit od tzv. informovaného souhlasu (IS) s poskytnutím zdravotní služby ve smyslu ZZS nebo s účastí ve výzkumu, což je ryze medicínský institut], který však musí splňovat též požadavky GDPR (souhlas musí být svobodný, konkrétní, informovaný, jednoznačný). Tento právní titul se používá hlavně u klinických studií – pacient podepisuje souhlas s účastí ve studii, který obvykle zahrnuje i souhlas se zpracováním jeho údajů. Výhodou je jasné vyjádření vůle pacienta; nevýhodou pak to, že souhlas lze kdykoli odvolat, což může ohrozit i samotnou studii. EDPB navíc upozorňuje na případy, kdy souhlas není považován za vhodný právní základ – např. u vztahu lékař-pacient je jistá mocenská nerovnováha, pacient může cítit tlak, aby souhlasil (souhlas pak striktně vzato není plně dobrovolný);
• plnění právní povinnosti [čl. 6 odst. 1 písm. c) GDPR]: tento zákonný titul lze uplatnit pouze tehdy, pokud přímo z právního předpisu vyplývá povinnost správce zpracovávat konkrétní osobní údaje. Typicky se uplatní v případech, kdy je poskytovateli ZS výslovně uloženo zpracovávat nebo poskytovat data – např. v rámci povinného hlášení do národních zdravotních registrů (§ 70–73 ZZS) nebo při statistických zjišťováních podle § 74 a násl. ZZS. V případě výzkumného zpracování osobních údajů se tento titul obvykle neuplatní, neboť relevantní právní předpisy (např. § 55b ZZS) poskytovateli zpravidla umožňují výzkumné zpracování v obecné rovině, ale neukládají mu je jako povinnost. Ustanovení § 55b ZZS sice výslovně zmiňuje možnost využít údaje ze zdravotnické dokumentace pro výzkum (za podmínky anonymizace), avšak nejde o povinnost, nýbrž o oprávnění. Tento právní titul by mohl být relevantní pouze ve výjimečných situacích, kdy je výzkumná činnost nařízena příslušným orgánem veřejné moci na základě zákona – např. v rámci krizového opatření, epidemiologického šetření nebo v režimu mimořádného opatření orgánu ochrany veřejného zdraví. K datu vypracování tohoto stanoviska není dosud použitelný právní rámec pro sekundární využití dat podle EHDS, jehož účinnost v této oblasti nastane až v roce 2029. Není tedy v tuto chvíli možné dovozovat právní povinnost poskytnout údaje pro výzkumné účely podle EHDS;
• oprávněný zájem správce [čl. 6 odst. 1 písm. f) GDPR]: u soukromoprávních subjektů (nestátní zdravotnická zařízení, výzkumné společnosti) může sloužit jako titul s tím, že vědecký výzkum lze považovat za oprávněný zájem. Je však nutno provést balanční test, zda zájem na výzkumu převažuje nad právy subjektů. V případě anonymizace dat lze argumentovat, že dopad na subjekty údajů je minimální (osobní údaje jsou použity jen po nezbytně dlouhou dobu do anonymizace). GDPR však v případě zvláštních kategorií údajů (zdravotních) vyžaduje i tak splnění podmínek čl. 9 – tj. samotný oprávněný zájem nestačí, musí existovat výjimka pro citlivé údaje [viz níže čl. 9(2)(j)].  U veřejnoprávních subjektů při plnění jejich úkolů není oprávněný zájem podle našeho názoru nejvhodnějším titulem zpracování – např. FN by primárně měla místo písm. f) spíše použít písm. e) (veřejný zájem) citovaného ustanovení (čl. 9 odst. 2 GDPR), pokud jde o výzkum v rámci její působnosti, jak již bylo analyzováno v předchozím textu;
• úkol prováděný ve veřejném zájmu nebo výkon veřejné moci [čl. 6 odst. 1 písm. e) GDPR]: U FN a univerzit je to často nejvhodnější zákonný titul. Vědecký výzkum zejména ve fakultních nemocnicích lze chápat jako veřejný zájem (podpora znalostí, inovací ve zdravotnictví). Tento zájem je obvykle stanoven zákonem – jak jsme analyzovali výše, výzkum je zakotven v zřizovacích listinách a obecně podporován i celospolečenským zájmem na pokroku medicíny. GDPR vyžaduje, aby u písm. e) byl výkon veřejného zájmu ukotven v právu Unie nebo členského státu. V našem případě lze jako podklad práva citovat právě § 55b ZZS a zřizovací listinu podle §§ 2 a 4, 111 téhož zákona – tyto akty definují, že nemocnice může zpracovávat údaje k výzkumu. Stejně tak čl. 89 GDPR a národní adaptace (ZoZOÚ) dávají jasně najevo, že výzkum je činnost veřejného zájmu. Subjekt údajů má obecně právo vznést námitku proti zpracování osobních údajů pro účely vědeckého výzkumu podle čl. 21 odst. 6 GDPR, avšak toto právo nelze uplatnit, pokud je správce schopen prokázat, že takové zpracování je nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu. Tato skutečnost odstraňuje riziko, že pacient vysloví  nesouhlas s využitím svých dat pro výzkum – právně nemocnice nemusí takové námitce vyhovět, pokud postupuje dle čl. 6(1)(e) a čl. 9(2)(j) a dodržuje záruky (byť z etického hlediska by se námitky měly posuzovat citlivě, a pokud pacient explicitně nechce, je vhodné jeho osobní údaje  vyloučit, i když to není právní povinnost). Uplatnění titulu veřejného zájmu však vyžaduje, aby nemocnice měla interně zdokumentováno, jaký veřejný zájem sleduje (např. zlepšení diagnostiky dané nemoci na základě analýzy historických dat) a proč je zpracování nezbytné. Poznámka na okraj, EHDS umožňuje v budoucnu tzv. „opt-out“ pacienta pro sekundární využití dat.  To však jde  tematicky nad rámec  tohoto bodu i stanoviska, přesto  se dále v textu okrajově věnujeme i některým aspektům EHDS.[1] 

Právní titul podle čl. 6 odst. 1 písm. e) (veřejný zájem) GDPR lze podle našeho názoru uplatnit pouze tehdy, je-li výzkumná činnost správci uložena právním předpisem nebo mu byla na základě zákonného zmocnění výslovně svěřena zřizovatelem. Jak již bylo shora naznačeno, u poskytovatelů zdravotních služeb, u nichž tato podmínka není splněna, je třeba volit jiný zákonný titul zpracování – zpravidla výslovný souhlas subjektu údajů nebo oprávněný zájem správce podle čl. 6 odst. 1 písm. f) GDPR, vždy ve spojení s výjimkou podle čl. 9 odst. 2 písm. j) GDPR. V těchto případech platí omezení přístupu do zdravotnické dokumentace podle § 51 a § 65 ZZS; bez zákonné opory nebo výslovného souhlasu pacienta není takový přístup přípustný.

1.2. Zákonné tituly dle čl. 9

Kromě zákonného titulu z taxativního výčtu v čl. 6 GDPR musí být v případě zpracování osobních údajů zvláštní kategorie (osobní údaje o zdravotním stavu) kumulativně splněna i některá z výjimek z generálního zákazu zpracovávat osobní údaje zvláštní kategorie zakotvená v čl. 9 odst. 2 GDPR. Zde přicházejí do úvahy následující výjimky (zákonné tituly):

• výslovný souhlas subjektu [čl. 9 odst. 2 písm. a) GDPR]: pokud byl použit souhlas dle čl. 6, musí jít zároveň o výslovný souhlas představující výjimku z generálního zákazu zpracování citlivých osobních údajů. Tento souhlas lze chápat jako tzv. „kvalifikovaný souhlas“ vyšší kategorie, který musí být doložitelný – typicky v písemné podobě (je-li pacientem udělen prostý souhlas se zpracováním osobních údajů pro účely výzkumu dle čl. 6, lze jej automaticky považovat za výslovný souhlas ve smyslu čl. 9 GDPR, je-li udělen v písemné podobě a  jsou-li splněny všechny náležitosti souhlasu, tj. je-li souhlas dostatečně konkrétní atd.). U intervenčních studií se obvykle využívá souhlasu pacienta se zpracováním jeho zdravotních údajů pro účely dané studie. Jsou zde však některá úskalí, např. odvolatelnost souhlasu, možné vynucení souhlasu a s tím související otázka dobrovolnosti, a tedy i platnosti takto získaného souhlasu;
• zpracování pro účely preventivní medicíny, lékařské diagnostiky, péče apod. [čl. 9 odst.2 písm. h) GDPR]: toto se vztahuje na poskytování zdravotní péče, nikoli na výzkum. Výzkum není zdravotní služba pro pacienta (i když může vést ke zlepšení péče a tím i jeho zdravotního stavu). Nelze tedy výzkum přímo legitimizovat jakožto součást léčby pacienta – jedině pokud by šlo o praktický klinický experiment individuálně prospěšný pro příslušného pacienta (např. genomické vyšetření, které je zároveň výzkumného charakteru a pacientovi pomůže v léčbě); 
• veřejný zájem v oblasti veřejného zdraví [čl. 9 odst. 2 písm. i) GDPR]: tento zákonný titul pokrývá např. ochranu před epidemií, zajištění vysoké úrovně kvality a bezpečnosti zdravotní péče a léčiv. Může se týkat některých výzkumů – např. farmakovigilanční studie bezpečnosti léčiv by mohly spadat pod „zajištění bezpečnosti“. Nicméně většina medicínského výzkumu spadá spíše do kategorie vědeckého výzkumu obecně, než do oblasti veřejného zdraví [písm. i) GDPR] – zde bylo myšleno spíše na státní zdravotní dozor, plošné šíření infekcí, plošné zdravotní programy atd. Pro naše účely tedy čl. 9 odst. 2 písm. i) GDPR zmiňujeme spíše okrajově. Pokud by však  FN prováděla výzkum nařízený třeba hlavním hygienikem při epidemii, mohla by operovat i s tímto právním titulem;
• vědecký výzkum, historický výzkum nebo statistické účely [čl. 9 odst. 2 písm. j) GDPR]: toto je klíčová výjimka pro zpracování zdravotních údajů bez souhlasu pro vědecké účely. Tento zákonný titul umožňuje zpracovávat citlivé osobní údaje (osobní údaje zvláštní kategorie včetně údajů o zdravotním stavu), je-li to nezbytné pro účely vědeckého výzkumu, za podmínky dodržení čl. 89 odst. 1 GDPR (přiměřené záruky, zejména pseudonymizace/anonymizace), a zpracování musí být prováděno nazákladě zákona. Zpracování musí být přiměřené vzhledem k cíli a musí respektovat podstatu práva na soukromí pacientů jakožto subjektů údajů. V ČR je oním zákonem právě kombinace ZZS a ZoZOÚ (a případně i dalších právních předpisů, viz výše). Tato výjimka pokrývá prakticky veškerý lékařský výzkum. Použití tohoto právního titulu předpokládá, že správce implementuje organizačně-technická opatření k ochraně osobních údajů (viz opět ustanovení § 16 ZoZOÚ pseudonymizace, omezení přístupu atd.). Čl. 9 odst. 2 písm. j) GDPR je tedy kompatibilní s ustanovením § 55b ZZS – FN tím de facto říká: „zpracovávám zdravotní údaje i bez souhlasu, je-li to nezbytné pro vědecký výzkum, což je  v souladu s čl. 89 odst. 1) GDPR a s národním právem, které mi to umožňuje“.

Z výše uvedeného vyplývá, že pro FN jako výzkumné pracoviště bude pro zpracování osobních údajů pacientů typická kombinace: čl. 6 odst. 1 písm. e) GDPR + čl. 9 odst. 2 písm. j) GDPR. Pro spolupracující akademické partnery (univerzity) obdobně (veřejné VŠ mají rovněž veřejný zájem na výzkumu). Pro komerční partnery se jeví vhodný spíše čl. 6 odst. 1) GDPR písm. f) ve spojení s čl. 9 odst. 2 písm. j) GDPR, případně v některých případech je lépe zvolit raději souhlas [dle čl. 6 odst. 1 písm. a) + čl. 9 odst. 2 písm. a) GDPR] z důvodu právní opatrnosti. Důležité je, že čl. 9 odst. 2 písm. j) GDPR dává možnost souhlas pacienta u  zpracování jeho zdravotních údajů nevyžadovat, ale je to podmíněno existencí zákonné garance – to je zřejmě dle dikce ZZS za použití účelového, resp. historického výkladu i úmyslem zákonodárce (důvodová zpráva k ZZS a novela ZZS samotná po věcné stránce).

1.3. Informační povinnost dle čl. 13 a 14

Je vhodné se zde také zmínit o článcích 13 a 14 GDPR – informační povinnosti vůči subjektům údajů. Při původním sběru osobních údajů od pacienta (např. při hospitalizaci) FN pacientovi sděluje informace dle čl. 13 (typicky v podobě prohlášení o zpracování osobních údajů na jejích webových stránkách). V té době je účelem primárně poskytování zdravotní péče. Pokud nemocnice hodlá údaje použít i pro výzkum, měla by to pacientovi oznámit. Ideálně již v prvotní informaci uvést například v rámci informovaného souhlasu, který podepisuje pacient při prvotním kontaktu s FN. Nemocnice však dle § 55b ZZS může legitimně zpracovávat zdravotnickou dokumentaci i pro účely vědy a výzkumu, přičemž před použitím pro výzkum mají být osobní údaje anonymizovány. Tím by byla informační povinnost pokryta od počátku (čl. 13 odst. 3 GDPR – informování o zamýšleném dalším zpracování).

V obdobném duchu hovoří i recitál 33 GDPR  dává prostor k tomu, aby subjekty údajů udělily předem svůj souhlas jen pro některé oblasti vědeckého výzkumu nebo jen pro některé části projektu, vychází tedy z předpokladu, že subjekty údajů jsou o výzkumu informovány. Jak jsme již naznačili shora, plné nahrazení souhlasu bezsouhlasovým režimem bez ingerence vůle subjektu údajů není zcela bez rizika a pravděpodobně vyvolá právní polemiky. Pokud FN při sběru údajů od pacientů předem neposkytla možnost alespoň rámcového souhlasu pro budoucí vědecký výzkum, pak nelze se odvolávat na  to, že by „subjekt údajů již informace měl“ [čl. 14 odst. 5 písm. a)] GDPR.

Pokud by data byla použita pro výzkum, aniž o tom pacient byl předem informován, uplatní se čl. 14 GDPR (informační povinnost, pokud osobní údaje nejsou získány od subjektu pro daný účel). FN by tak musela dodatečně informovat  jednotlivé pacienty o využití jejich dat pro výzkum, ledaže by se uplatnila příslušná výjimka z informační povinnosti.

Relevantní výjimky:

• nemožnost nebo nepřiměřené úsilí [čl. 14 odst. 5 písm. b) GDPR] – což by u velkých retrospektivních souborů dat mohlo být naplněno za podmínky přijetí vhodných opatření na ochranu práv subjektu údajů (a veřejně je informovat). V souladu s tím ZoZOÚ v ustanovení § 8 umožňuje zveřejnit informaci dálkově (např. na webu) namísto individuálního informování. Tento způsob ale plní pouze doplňkovou roli; nelze jej použít jako úplnou náhradu řádné informace poskytované při prvotním sběru údajů, je-li takové předběžné informování alespoň přiměřeně proveditelné. FN tak může např. na svých webových stránkách, že „v roce XXXX byly provedeny interní výzkumné studie na datech pacientů s onemocněním Y, v souladu s ustanovením § 55b ZZS…“, a nabídnout kontakt pro případné dotazy. Tímto postupem by byl naplněn ve své podstatě princip transparentnosti. Správce má navíc povinnost uchovat písemný záznam o testu proporcionality, z něhož bude patrné, proč by individuální informování subjektů údajů výzkum neúměrně zatížilo nebo přímo znemožnilo;
• ohrožení nebo zmaření účelu zpracování [čl. 14 odst. 5 písm. b) GDPR, druhá alternativa] – pokud by informování subjektů znemožnilo nebo významně ztížilo dosažení výzkumných výsledků („znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování“). To může hrát roli u zaslepených studií nebo tam, kde by hromadné „odhlášení“ pacientů ze studie vedlo k možnému zkreslení výsledků (tzv. selection bias). Každopádně bychom doporučili v praxi zahrnout informaci o možném využití dat pro výzkum už do původního poučení pacienta (Informovaného souhlasu nebo ještě lépe v jiném dokumentu – Informace o zpracování osobních údajů). Pacient pak není překvapen a nemocnice se nedostává do situace, že by musela pacienty informovat dodatečně. Samozřejmě, i když pacient souhlasit nemusí, může projevit nesouhlas – pokud by pacient vysloveně sdělil: „nepřeji si, aby má data byla použita pro výzkum“, FN by musela právně posoudit jeho žádost. Platné právní předpisy, zejména ZZS ani GDPR, v této situaci formálně nezakotvují právo pacienta na tzv. opt-out, tedy právo aktivně odmítnout sekundární využití dat. Ale z etického hlediska by bylo vhodné mu vyhovět, a jeho data ve výzkumu nevyužívat, aby nedošlo ke konfliktní situaci, v níž by se pacient cítil být zkrácen na svých právech. Samostatnou kapitolou je v tomto případě opt-out režim zakotvený v EHDS (jak již bylo řečeno shora, analýza zahrnující i EHDS není předmětem tohoto stanoviska);
• a konečně, výše zmíněná výjimka za situace, kdy subjekt údajů (pacient) již informace měl.

V případě spolupráce s externími subjekty je nutné ošetřit právně vztah správců s těmito externími subjekty včetně stanovení vzájemných rolí [zpracovatelské smlouvy dle čl. 28 GDPR, smlouvy o předání osobních údajů mezi správci nebo společnými správci (DPA – Data Protection Agreement) dle čl. 26 GDPR] a i nadále  zvážit získání souhlasu zejména u prospektivních studií (zde stále platí, že  pacient podepisuje informovaný souhlas se zařazením do studie, který zpravidla obsahuje informaci o zpracování osobních údajů a pacient podepisuje zároveň i souhlas se zpracováním osobních údajů pro účely studie), pokud data mají opustit instituci v neanonymní podobě (tím jsou myšlena i pseudonymní data). Články 13 a 14 GDPR lze naplnit způsobem, který nenaruší výzkum – typicky zveřejněním informace (např. na webu nemocnice sekce Ochrana osobních údajů – výzkumné využití dat). Z pohledu základních povinností kladených na správce je podstatné mít vše zdokumentováno, tedy jak právní základ (čl. 6 a 9 GDPR), tak i účel výzkumu, odkaz na ustanovení § 55b ZZS, provedené posouzení vlivu (DPIA), jsou-li splněny podmínky pro jeho zpracování, a mít nastavena interní pravidla, jak se data pro výzkum připravují (kdo provádí anonymizaci / pseudonymizaci, kdo schvaluje projekt, že vždy jen agregovaná/anonymní data opouštějí pracoviště atd.). Tím FN prokáže, že zpracování provádí „v souladu s právními předpisy stanovenými pro ochranu osobních údajů“ viz ustanovení § 55c ZZS.

Konkrétní volba zákonného titulu a informačního režimu vždy závisí na povaze výzkumného projektu. V následující části proto přecházíme k přehledu typových situací, v nichž jsou osobní údaje pacientů využívány pro vědecké účely.

---

[1] Další zákonné tituly obsažené v taxativním výčtu čl. 6 GDPR, jako ochrana životně důležitých zájmů [čl. 6 odst. 1 písm. d) GDPR] či plnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR, nejsou ve výzkumu relevantní – o ochranu životně důležitých zájmů by bylo možno se opřít pouze u výzkumu nutného pro záchranu života konkrétních osob, což není běžné, a smlouvu se subjektem na výzkum FN neuzavírá.

Zkratky:

AI – Umělá inteligence (Artificial Intelligence)

Citlivé údaje – Osobní údaje zvláštní kategorie ve smyslu čl. 9 GDPR

CRO – Smluvní výzkumná organizace (Contract Research Organization)

DPA – Smlouva o zpracování osobních údajů (Data Protection Agreement)

DPO – Pověřenec pro ochranu osobních údajů (Data Protection Officer)

DPIA – Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment)

EFPIA – Evropská federace farmaceutických společností a asociací (European Federation of Pharmaceutical Industries and Associations)

EHDS – Evropský prostor pro zdravotní údaje (European Health Data Space)

EDPB – Evropský sbor pro ochranu osobních údajů (European Data Protection Board)

EU – Evropská unie

FN – Fakultní nemocnice 

GCP – Správná klinická praxe (Good Clinical Practice)

GDPR – Nařízení (EU) 2016/679 o ochraně osobních údajů (General Data Protection Regulation)

IS – Informovaný souhlas (ve zdravotnickém kontextu)

MZ – Ministerstvo zdravotnictví

SÚKL – Státní ústav pro kontrolu léčiv

VŠ – Vysoká škola (v kontextu spolupracujících univerzit)

ÚOOÚ – Úřad pro ochranu osobních údajů

WP29 – Pracovní skupina podle článku 29 (předchůdce EDPB)

ZD – Zdravotnická dokumentace

ZS – Zdravotní služby

ZZS – Zákon o zdravotních službách (zákon č. 372/2011 Sb.)

ZoZOÚ – Zákon o zpracování osobních údajů (zákon č. 110/2019 Sb.)