Udostępnianie pacjentom ich surowych danych genetycznych

Administratorzy – stosownie do art. 15 ust. 3 RODO – mają obowiązek dostarczenia osobie, której dane dotyczą, kopii przetwarzanych danych osobowych. Spełnienie tego obowiązku przez podmioty z sektora opieki zdrowotnej może polegać m.in. na wydaniu pacjentowi kopii informacji, niezależnie od tego, czy stanowią one część jego dokumentacji medycznej.

Pewien podmiot leczniczy, który wykonał badania genetyczne, nie chciał udostępnić pacjentowi jego surowych danych genetycznych. Tymczasem pacjent ten chciał przekazać  je do reanalizy w innym ośrodku. Spotkawszy się z odmową, zwrócił się o pomoc do Rzecznika Praw Pacjenta.

Ten zaś, powołując się na obowiązujące przepisy i zawarte porozumienie o współpracy, poprosił Urząd Ochrony Danych Osobowych o opinię, czy dane takie stanowią część dokumentacji medycznej
i czy muszą podlegać udostępnieniu.

W odpowiedzi organ nadzorczy przekazał wskazówki co do wzajemnej relacji uprawnień pacjenta (podmiotu danych) określonych w art. 15 RODO i jego prawa do pozyskania kopii dokumentacji medycznej, o którym mowa w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.

Zaznaczył, że art. 4 pkt 13 ogólnego rozporządzenia o ochronie danych (RODO) definiuje „dane genetyczne” jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej.

Zakres tego pojęcia obejmuje dane konkretnych osób o różnym charakterze i jest szeroki.

W motywie 34 RODO doprecyzowano, że dane genetyczne należy zdefiniować jako dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, uzyskane z analizy próbki biologicznej danej osoby fizycznej, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy innych elementów umożliwiających pozyskanie równoważnych informacji.

Dodatkowo z motywu 35 powołanego rozporządzenia wynika, że do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Do danych takich należą

• informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej,

• numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych;

• informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych;

• oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Należy także pamiętać, że dane genetyczne należą do danych szczególnych kategorii. Zgodnie z art. 9 ust. 1 RODO ich przetwarzanie jest co do zasady zabronione, chyba że podmiot wykonujący operacje na nich spełnia jedną z przesłanek przewidzianych w ust. 2 tego przepisu. Wówczas to ona będzie podstawą uprawniającą do przetwarzania takich danych. Jednocześnie stosownie do art. 9 ust. 4 RODO państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym  ograniczenia w odniesieniu do przetwarzania m.in. danych genetycznych.

Biorąc to pod uwagę UODO uznał, że surowe dane genetyczne pacjentów będą podlegały ochronie wynikającej z przepisów RODO, o ile będą pochodzić z analizy próbki biologicznej, na podstawie której będzie można uznać, że dotyczy konkretnej osoby.

Oceniając obowiązek udostępnienia pacjentom surowych danych genetycznych należy wskazać, że uregulowane w art. 15 RODO prawo dostępu osoby do dotyczących jej danych nie jest ograniczone tym, czy dane te zostały włączone do dokumentacji medycznej, o której mowa w art. 25 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Określone w art. 26 tej ustawy zasady udostępniania dokumentacji medycznej nie wyłączają także uprawnienia osób, których dane dotyczą, do uzyskania od administratora na podstawie art. 15 ust. 1 RODO potwierdzenia, czy przetwarza on dane osobowe tej osoby, a jeżeli ma to miejsce, uprawnienia do uzyskania dostępu do nich oraz do informacji określonych w tym przepisie. W wytycznych Europejskiej Rady Ochrony Danych 01/2022 w sprawie praw osób, których dane dotyczą – Prawo dostępu podkreślono, że zakres prawa dostępu określa zakres pojęcia danych osobowych w rozumieniu art. 4 pkt 1 RODO.

Stosownie do art. 15 ust. 3 RODO administrator ma też obowiązek dostarczenia osobie, której dane dotyczą, kopii danych osobowych podlegających przetwarzaniu.