do ministra zdrowia
w sprawie poziomu ochrony danych pacjenta w kontekście projektu utworzenia centralnej elektronicznej rejestracji medycznej
Zgłaszający: Janusz Cieszyński
Data wpływu: 09-06-2025
Szanowna Pani Minister,
projekt ustawy przewidujący utworzenie centralnej elektronicznej rejestracji medycznej budzi poważne wątpliwości Prezesa Urzędu Ochrony Danych Osobowych (UODO) w zakresie ochrony danych osobowych. Planowany system ma przetwarzać szeroki zakres wrażliwych danych, w tym dane dotyczące zdrowia, dane biometryczne oraz wykorzystywać boty głosowe do automatyzacji połączeń telefonicznych.
Prezes UODO Mirosław Wróblewski podkreślił, że “Zautomatyzowane przetwarzanie danych biometrycznych - jak głos, który może ujawnić stan emocjonalny, choroby, wiek czy płeć - jest wyjątkowo inwazyjną formą przetwarzania danych osobowych, obarczoną bardzo wysokim ryzykiem naruszenia praw i wolności osób nagrywanych”. Dodatkowo zwrócił uwagę, że projekt nie określa konkretnie, jakie dane będą przetwarzane, co stwarza ryzyko nadmiernego wykorzystywania danych. W ocenie Prezesa UODO "projektodawca nie wykazał niezbędności przetwarzania wszystkich kategorii danych, w szczególności danych biometrycznych, dla realizacji zakładanego celu, ani zgodności z przepisami RODO. Szczególnie niepokojące jest to, że w analizie dołączonej do projektu oszacowano ryzyko jako niskie i nie przewidziano żadnych gwarancji ochrony danych, podczas gdy zdaniem Prezesa UODO przetwarzanie danych “z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.
W związku z powyższym proszę o odpowiedź na następujące pytania:
Jak ministerstwo odnosi się do analiz i wniosków Prezesa Urzędu Ochrony Danych Osobowych?
Czy ministerstwo planuje wprowadzenie dodatkowych zabezpieczeń dla danych biometrycznych przetwarzanych przez voiceboty w ramach centralnej elektronicznej rejestracji medycznej?
W jaki sposób zostanie zapewniona zgodność planowanego systemu z wymogami rozporządzenia o Sztucznej Inteligencji (AI Act), w szczególności w zakresie oceny skutków dla praw podstawowych?
Jakie konkretne kategorie danych będą przetwarzane w systemie i czy została przeprowadzona analiza niezbędności przetwarzania każdej z tych kategorii?
Czy ministerstwo przewiduje możliwość rezygnacji przez pacjentów z korzystania z voicebotów na rzecz tradycyjnych form rejestracji telefonicznej? Czy planowane jest utrzymanie tradycyjnych form rejestracji (telefoniczne z obsługą ludzką, bezpośrednio w placówkach) jako stałej alternatywy dla pacjentów, którzy nie mogą korzystać z systemu cyfrowego?
W jaki sposób zostanie zapewniona realizacja praw pacjentów wynikających z RODO, w tym prawa do sprostowania, dostępu i usunięcia danych?
Czy planowane jest przeprowadzenie ponownej, bardziej szczegółowej oceny skutków dla ochrony danych (DPIA) z uwzględnieniem wszystkich zidentyfikowanych zagrożeń?
Jakie alternatywne rozwiązania technologiczne rozważało ministerstwo w celu ograniczenia ryzyka naruszenia prywatności przy jednoczesnym osiągnięciu celów projektu?
Na jakiej technologii będzie opierało się rozwiązanie botów głosowych? Już teraz są one stosowane m.in. w bankach i często są źródłem frustracji klientów z powodu niezrozumienia przedmiotu sprawy, co często kończy się koniecznością połączenia z konsultantem.
Jakie konkretne rozwiązania przewiduje ministerstwo dla seniorów z ograniczonymi kompetencjami cyfrowymi, aby zapewnić im równy dostęp do rejestracji medycznej w nowym systemie?
Z wyrazami szacunku
Janusz Cieszyński