Wykorzystanie AI w placówce medycznej a RODO – największe ryzyka i najczęstsze błędy

Według danych WHO, około 74% krajów UE raportuje wykorzystanie sztucznej inteligencji w diagnostyce, a 63% stosuje chatboty w celu wsparcia komunikacji z pacjentami[1].

AI w placówce medycznej usprawnia powtarzalne, administracyjne czynności i pozwala oszczędzić czas.  Problem polega na tym, że w środowisku medycznym nawet pozornie niewinne użycie takich narzędzi może dotyczyć danych pacjentów, dokumentacji medycznej albo informacji objętych tajemnicą zawodową. W tym momencie narzędzia AI, takie jak ChatGPT, przestają być tylko edytorami tekstu czy asystentami biurowymi, ale zaczynają być elementem procesu przetwarzania danych medycznych. Gdzie powstają największe ryzyka przy wykorzystaniu AI w placówce medycznej? Jakie są najczęstsze błędy i jak ich uniknąć? Odpowiadamy.

Ochrona danych o zdrowiu

Dane dotyczące zdrowia należą do danych osobowych szczególnych kategorii, których przetwarzanie podlega podwyższonym wymogom wynikającym z RODO oraz zasadom tajemnicy lekarskiej. To oznacza, że każdy niekontrolowany przepływ takich danych – także do narzędzi AI – może mieć istotne konsekwencje.

W praktyce narzędzia AI pojawiają się dziś w różnych obszarach działalności placówek medycznych:

  • obsłudze pacjenta i komunikacji,
  • marketingu i materiałach informacyjnych,
  • administracji i back-office,
  • wsparciu pracy lekarzy i personelu.

Samo korzystanie z AI nie jest zakazane. Kluczowe są jednak zakres wykorzystania narzędzia i sposób zarządzania ryzykiem.

Z perspektywy prawa kluczowe jest to, co dzieje się z danymi, które zostały wpisane w narzędzie wykorzystujące AI. W szczególności:

  • kto jest odbiorcą danych,
  • czy są wykorzystywane do trenowania modelu,
  • gdzie są przechowywane,
  • czy placówka ma odpowiednią podstawę i dokumentację przetwarzania,
  • czy zawarto odpowiednie umowy regulujące powierzenie przetwarzania danych.

Największe ryzyka w wykorzystywaniu AI w placówce medycznej

Najmniejsze ryzyko dotyczy zastosowań niezwiązanych z danymi pacjentów i procesem leczenia – np. tworzenia neutralnych materiałów informacyjnych lub wsparcia administracyjnego.

Granica podwyższonego ryzyka przebiega tam, gdzie do narzędzia zaczynają trafiać dane identyfikujące pacjenta lub informacje dotyczące jego leczenia. Ryzyko rośnie, gdy narzędzie zaczyna przetwarzać dane medyczne albo wpływać na decyzje kliniczne.

Dane pacjentów w narzędziu AI

Najpoważniejsze ryzyko dotyczy sytuacji, w której pracownik wpisuje do narzędzia AI dane pacjenta – nawet w dobrej wierze, np. w celu poprawienia opisu lub przygotowania komunikacji kierowanej do pacjenta (np. wyjaśnień dotyczących wyników badań czy zaleceń).

Samo ograniczenie danych osobowych czy pseudonimizacja często nie rozwiązują problemu. Opis przypadku medycznego, nawet bez nazwiska, nadal może umożliwić identyfikację pacjenta. Europejskie organy ochrony danych podkreślają, że ocena, czy dane można uznać za anonimowe w kontekście AI wymaga indywidualnej analizy konkretnego przypadku. Dopiero dane anonimowe, czyli takie, których nie można w żaden sposób powiązać z konkretną osobą, nie podlegają wymaganiom RODO.

Wpływ na decyzje kliniczne

Drugim istotnym ryzykiem jest sposób wykorzystania odpowiedzi generowanych przez AI. Narzędzia takie jak ChatGPT mogą tworzyć przekonujące treści, ale nie gwarantują poprawności medycznej ani zgodności z aktualną wiedzą kliniczną. W placówce medycznej szczególnie problematyczne może być wykorzystywanie AI do:

  • formułowania zaleceń dla pacjentów,
  • interpretacji wyników badań,
  • sugerowania diagnoz,
  • wspierania decyzji terapeutycznych.

Nawet jeśli narzędzie jest traktowane jako „wsparcie”, w praktyce może wpływać na proces leczenia. To z kolei rodzi pytania o odpowiedzialność, staranność zawodową i bezpieczeństwo pacjenta. Szczególnie istotne w tym obszarze jest zapewnienie zgodności działania lekarza z nowymi przepisami Kodeksu Etyki Lekarskiej[2], w tym uzyskanie świadomej zgody pacjenta na zastosowanie sztucznej inteligencji w procesie diagnostycznym lub terapeutycznym.

RODO, AI Act i cyberbezpieczeństwo – wiele warstw jednocześnie

Korzystanie z narzędzi AI w placówce medycznej z perspektywy prawnej i technicznej trzeba oceniać równolegle w kilku obszarach, z których bardzo istotnymi są:

  • RODO – w tym zasady minimalizacji danych, ograniczenia celu, bezpieczeństwa i właściwej podstawy przetwarzania;
  • AI Act – jeżeli system AI wpływa na zdrowie pacjenta lub jest elementem wyrobu medycznego, może wchodzić w zakres regulacji o podwyższonych wymaganiach (np. systemy wysokiego ryzyka w rozumieniu AI Act)
  • cyberbezpieczeństwo –  ważne z perspektywy tego obszaru są pytania m.in. gdzie faktycznie trafiają dane, kto ma do nich dostęp, czy możliwa jest ich kontrola i usunięcie, jak wygląda integracja z systemami medycznymi.

Biorąc pod uwagę rozwój technologii i ich powszechne stosowanie, placówki medyczne nie stają już przed wyborem, czy korzystać ze sztucznej inteligencji, ale muszą się zastanowić, w jaki sposób, w jakim zakresie i jak odpowiednio zabezpieczyć ten proces od strony organizacyjnej, prawnej i technicznej.

Szkolenie: Bezpieczeństwo danych w dobie AI

Typowe błędy w wykorzystaniu AI przez placówki medyczne

W wielu placówkach medycznych widać powtarzalne problemy w obszarze wykorzystania sztucznej inteligencji.

Pierwszym z nich jest wprowadzanie ogólnego zakazu korzystania z AI bez realnego egzekwowania takich zasad. W takich przypadkach pracownicy zwykle i tak korzystają z narzędzi – często prywatnie i poza kontrolą organizacji.

Drugim problemem jest brak rozróżnienia między różnymi zastosowaniami AI. Narzędzie wykorzystywane do redagowania ogólnych treści wiąże się z zupełnie innym poziomem ryzyka niż system wspierający analizę danych medycznych.

Trzeci błąd to brak świadomości, że nawet pojedyncze użycie narzędzia może oznaczać ujawnienie danych osobowych poza organizację.

Największym ryzykiem często okazuje się więc nie sama technologia, ale brak jasnych zasad jej używania. W praktyce wskazuje to na potrzebę wdrożenia wewnętrznej polityki korzystania z narzędzi AI, która jasno określa dopuszczalne zastosowania i zasady bezpieczeństwa.

Podsumowanie

Placówka medyczna może korzystać z narzędzi AI, ale nie powinna robić tego przypadkowo. Kluczowe jest określenie granic – czy i do jakich celów AI może być używana, jakie dane nie mogą trafiać do narzędzia i kto może z niego korzystać.

Dobrze wdrożone narzędzia AI mogą realnie usprawnić funkcjonowanie placówki. Źle użyte – mogą prowadzić do naruszeń RODO, tajemnicy lekarskiej oraz problemów z bezpieczeństwem danych.

Dlatego decyzja o wykorzystaniu AI nie jest wyłącznie decyzją technologiczną i prawną. W praktyce wymaga oceny sposobu przepływu danych oraz rzeczywistych procesów organizacyjnych – a to zazwyczaj oznacza potrzebę indywidualnej analizy konkretnego modelu działania.

Wspieramy firmy z branży medycznej w ochronie danych osobowych i cyberbezpieczeństwie

FAQ


[1] https://www.who.int/europe/news/item/20-04-2026-new-who-europe-report-provides-first-ever-snapshot-of-ai-in-health-care-across-european-union-member-states

[2] Art. 12 Kodeksu Etyki Lekarskiej (załącznik do uchwały nr 5 Nadzwyczajnego XVI Krajowego Zjazdu Lekarzy z dnia 18 maja 2024 r.)

Autor :
Paweł Kaczmarek
Senior Associate Adwokat | OW Legal
Specjalizuje się w obszarze ochrony danych osobowych i bezpieczeństwa informacji, TMT, prawa konsumenckiego oraz compliance (w tym whistleblowingu).

może zainteresuje Cię również