- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Uporaba UI pri obdelavi zdravstvenih podatkov
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Uporaba UI pri obdelavi zdravstvenih podatkov
Datum
16.12.2024
Številka
07120-1/2024/441
Kategorije
Umetna indeligenca
Pri Informacijskem pooblaščencu (IP) smo dne 19. 11. 2024 prejeli vaše zaprosilo za mnenje glede uporabe umetne inteligence pri digitalizaciji zdravstva. Umetno inteligenco želite uporabiti v treh primerih:
1.slikovno gradivo, ki nastane za diagnostiko s pomočjo posveta preko rešitve Telekap, se posreduje ponudniku, ki z analizo slikovnega materiala označi kandidate za določeno vrsto obravnave (napotitev v UKC, terapevtski poseg znotraj lokalne bolnišnice);
2.pri skeniranju papirne dokumentacije kartonov družinskih zdravnikov (celotni karton) se posamezen dokument opremi s pomočjo UI z metapodatki: identifikator pacienta, njegovo ime, zdravnik, vrsta zdravstvene dejavnosti, datum obravnave, izvajalec zdravstvene dejavnosti, pri tem se bi skeniranje izvajalo dalj časa in bi se lahko v posameznem zavodu izvajalo npr. za vse kartone, ki se v fizični obliki pošljejo medicini dela, skenirani dokumenti se bi nato hranili v Centralnem registru podatkov o pacientih (CRPP);
3.pri obdelavi pdf dokumentacije v CRPP (tipično več dokumentov na pacienta) se izdela »povzetek« diagnoz, alergij, zdravil, problemov pacienta, odstopajočih laboratorijskih rezultatov.
Zanima vas, ali oz. pod katerimi pogoji bi bila obdelava zdravstvenih podatkov v navedenih primerih skladna s Splošno uredbo in ZVOP-2. Predvsem vas zanima, ali bi lahko zdravstvene podatke v katerikoli fazi obdelave lahko obdelovali izven ozemlja Republike Slovenije.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
1.Vsaka obdelava osebnih podatkov, ne glede na to, ali se podatki obdelujejo v okviru UI sistemov ali pa je za njihovo obdelavo uporablja kakšno drugo, manj sofisticirano orodje, mora izpolnjevati vse zahteve iz Splošne uredbe in ZVOP-2.
2.Glede na predvideni namen uporabe UI sistemov kot ga opisujete v zaprosilu za mnenje, gre za prenos pooblastil za obdelavo osebnih podatkov na sistemski ravni in ne za posamične primere, zato so tudi tveganja sistemska in resnejša, četudi prihaja le do kratkotrajne obdelave izven Republike Slovenije. Vprašanja dopustnosti tovrstne obdelave osebnih podatkov zato ni mogoče presojati izven poznavanja širšega delovanja sistema in namenov obdelave.
O b r a z l o ž i t e v:
IP uvodoma pojasnjuje, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka nima zakonskih pooblastil za presojo zakonitosti konkretnih obdelav osebnih podatkov in morebitnih kršitev pravic posameznikov, na katere se podatki nanašajo. Obenem IP tudi niso znane podrobnosti konkretnih tehnoloških rešitev, ki bi bile uporabljene v primerih, navedenih v zaprosilu za mnenje, zato podajamo zgolj splošna pojasnila in pravna izhodišča v zvezi z vašim dopisom.
Splošno glede umetne inteligence in varstva osebnih podatkov
Splošna uredba je tehnološko nevtralna, kar pomeni, da se uporablja ne glede na uporabljeno tehnologijo, če gre za obdelavo osebnih podatkov. Zato IP izpostavlja, da mora vsaka obdelava osebnih podatkov, ne glede na to, ali se podatki obdelujejo v okviru UI sistemov ali pa je za njihovo obdelavo uporablja kakšno drugo, manj sofisticirano orodje, izpolnjevati vse zahteve iz Splošne uredbe in ZVOP-2.
Iz zaprosila za mnenje izhaja, da bo v obdelavo osebnih podatkov v vseh navedenih primerih vključenih več akterjev, zato je ključno, da pravilno presodite, kakšno vlogo (upravljavec, obdelovalec ali skupni upravljavec) – in s tem tudi odgovornosti – imajo te organizacije v okviru varstva osebnih podatkov.
Osebni podatki se lahko obdelujejo le, če za njihovo obdelavo obstaja pravna podlaga iz 6. člena Splošne uredbe, v primeru zdravstvenih podatkov kot ene izmed kategorij občutljivih podatkov pa tudi ena izmed izjem za obdelavo tovrstnih podatkov iz 9. člena Splošne uredbe. Ker gre za obdelavo osebnih podatkov s strani upravljavca v javnem sektorju, pride v poštev le omejen nabor pravnih podlag iz 6. člena; upravljavec se na primer ne more sklicevati na zakoniti interes, sklicevanje na privolitev pa je omejeno na primere, ki jih določa zakon ali če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.
Posebej v zvezi s prvim primerom IP izpostavlja, da gre morda za primer avtomatiziranega sprejemanja odločitev v skladu z 22. členom Splošne uredbe, ki je praviloma prepovedano, razen če je podana ena izmed izjem iz 22(2) člena Splošne uredbe. Avtomatizirano sprejemanje posameznih odločitev, ki temelji na obdelavi občutljivih podatkov je podvrženo še nadaljnjim omejitvam in sicer je dopustno le v primeru, če se uporablja 9(2)(a) ali 9(2)(g) Splošne uredbe in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.
Pri obdelavi osebnih podatkov morajo biti upoštevana tudi vsa temeljna načela iz 5. člena Splošne uredbe, posameznikom pa morajo biti zagotovljene vse pravice, ki jim pripadajo na podlagi Splošne uredbe. Zagotovljena mora biti ustrezna raven varnosti osebnih podatkov.
Upravljavci si lahko pri identifikaciji in upravljanju s tveganji, ki jih prinašajo sistemi UI, pomagajo tako, da pripravijo oceno učinka v zvezi z varstvom podatkom, ki je pomembno orodje za uspešno implementacijo načela odgovornosti in vgrajenega varstva osebnih podatkov. V skladu s 35. členom Splošne uredbe je ocena učinkov obvezna, če bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov. Glede na navedene kriterije iz Splošne uredbe in opis predlaganih obdelav osebnih podatkov iz zaprosila za mnenje, je najverjetneje priprava ocene učinka v vseh treh primerih obdelav podatkov, obvezna.
Več o umetni inteligenci in obdelavi osebnih podatkov si lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/umetna-inteligenca-in-varstvo-osebnih-podatkov.
Hramba zdravstvenih podatkov izven ozemlja Republike Slovenije
V skladu s četrtim odstavkom 23. člena ZVOP-2, zbirk osebnih podatkov iz 1. točke prvega odstavka 23. člena ni dovoljeno hraniti izven ozemlja Republike Slovenije. Zbirke osebnih podatkov iz navedenega člena so vse tiste zbirke, v katerih se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc. Mednje torej sodijo tudi zdravstvene evidence.
Iz obrazložitve predloga ZVOP-2 k četrtemu odstavku 23. člena ZVOP-2 izhaja, da »za določene najpomembnejše zbirke osebnih podatkov javnega sektorja Republike Slovenije ni dovoljena hramba izven Republike Slovenije. V tem primeru gre zlasti za ti. državotvorne zbirke (iz javnega sektorja) in bistven javni interes, in se pravila prostega pretoka osebnih podatkov na področju njihove hrambe ne morejo uporabljati«. Navedena zahteva je predvidoma nastala kot odziv na nekatere varnostne incidente iz drugih držav, kjer so se tudi t. i. državotvorne zbirke v celoti znašle v zasebnih, komercialnih rokah in tako bistveno ogrozile varnostne in druge interese teh držav.
Kot je IP že zapisal v mnenju št. 07121-1/2024/1263 z dne 17. 10. 2024, je treba to določbo razlagati tako, da ne pomeni prepovedi vsakega prenosa podatkov o zdravju čez meje Republike Slovenije, saj bi to v praksi povzročilo nemalo zelo resnih težav (npr. pri uveljavljanju zdravstvenih storitev ali zdravstvenega zavarovanja v tujini itd.), temveč je po mnenju IP to določbo treba razlagati predvsem v smislu, da ni dopustno celotne baze podatkov o zdravju hraniti izven ozemlja Republike Slovenije, posamezni dostopi in prenosi osebnih podatkov čez meje Republike Slovenije pa niso prepovedani s to določbo. Glede na predvideni namen uporabe UI sistemov kot ga opisujete v zaprosilu za mnenje, gre za prenos pooblastil za obdelavo osebnih podatkov na sistemski ravni in ne za posamične primere, zato so tudi tveganja sistemska in resnejša, četudi prihaja le do kratkotrajne obdelave izven Republike Slovenije. Vprašanja dopustnosti tovrstne obdelave osebnih podatkov zato ni mogoče presojati izven poznavanja širšega delovanja sistema in namenov obdelave. Kot smo že izpostavili zgoraj, vam svetujemo, da pred uvedbo takega sistema izdelate predhodno oceno učinkov in v njej natančno opredelite tveganja, ki iz takšne obdelave podatkov izhajajo in ukrepe, s katerimi nameravate tveganja odpraviti oziroma zmanjšati.
Obveznosti na podlagi Akta o umetni inteligenci
IP dodatno opozarja, da je 1. avgusta 2024 začela veljati Uredba (EU) 2024/1689 Evropskega parlamenta in Sveta z dne 13. junija 2024 o določitvi harmoniziranih pravil o umetni inteligenci in spremembi uredb (ES) št. 300/2008, (EU) št. 167/2013, (EU) št. 168/2013, (EU) 2018/858, (EU) 2018/1139 in (EU) 2019/2144 ter direktiv 2014/90/EU, (EU) 2016/797 in (EU) 2020/1828 (Akt o umetni inteligenci).
Akt o umetni inteligenci se ne bo začel uporabljati takoj, temveč bodo v prehodnem obdobju, ki bo trajalo do leta 2027, njegove določbe začele veljati postopoma:
2. februar 2025: začetek uporabe Poglavja I (Splošne določbe in definicije) in II (Prepovedane prakse)
2. avgust 2025: začetek uporabe Poglavja III, oddelek 4, Poglavja V (Modeli UI za splošne namene), Poglavja VII (Upravljanje) in Poglavja XII (Kazni) ter člena 78, razen člena 101
2. avgust 2026: začetek uporabe vseh ostalih določb, z izjemo člena 6(1)
2. avgust 2027: začetek uporabe člena 6(1) in ustreznih obveznosti v skladu s tem členom.
Prve določbe bodo stopile v veljavo že v začetku februarja 2025, zato vam svetujemo, da podrobno preučite tudi določbe navedenega akta in ocenite, ali orodja, ki jih nameravate uporabiti pri digitalizaciji zdravstva, ustrezajo definiciji sistema UI, saj bodo morala v tem primeru izpolnjevati tudi zahteve Akta o umetni inteligenci.
V skladu definicijo sistema UI iz 3(1) člena Akta o umetni inteligenci je sistem UI sistem temelječ na napravah, ki je zasnovan za delovanje z različnimi stopnjami avtonomije in lahko po uvedbi izkaže prilagodljivost ter za eksplicitne ali implicitne cilje iz prejetih vhodnih podatkov sklepa, kako ustvariti izhodne podatke, kot so napovedi, vsebine, priporočila ali odločitve, ki lahko vplivajo na fizična ali virtualna okolja.
V upanju, da ste dobili odgovor na vaša vprašanja, vas lepo pozdravljamo.
Pripravila:
dr. Pika Šarf, Svetovalka IP za varstvo osebnih podatkov
dr. Jelena Virant Burnik, informacijska pooblaščenka