[NOA] KB Blog Articles

Sztuczna inteligencja w gabinecie a AI Act. Dane pacjenta i nowe reguły

Koniec dyżuru, dokumentacji przybywa, a narzędzie AI kusi, żeby wkleić opis pacjenta i poprosić o szybkie podsumowanie. Aplikacja proponuje rozpoznanie, zanim zdążysz wyrobić sobie własne zdanie. Producent reklamuje system, który „sam" oceni wynik badania. Wszystkie te sytuacje mają wspólny mianownik. W tle pracuje sztuczna inteligencja, a jej materiałem są dane o zdrowiu pacjenta i decyzje, które dotyczą jego życia.

O ochronie tych danych pisaliśmy przy okazji RODO. Teraz dochodzi druga warstwa, czyli AI Act, pierwsze unijne przepisy napisane wprost o sztucznej inteligencji. Brzmi to jak temat dla działu prawnego, ale to nie prawnik klika „wyślij", tylko lekarz. To jego rękami dane pacjenta opuszczają gabinet.

Granica, której nie przekraczamy

Większość z nas korzysta dziś z takich narzędzi, i dobrze. Rzecz w tym, żeby wiedzieć, gdzie przebiega granica. Jedno nie zmienia się niezależnie od przepisów. Dane identyfikujące pacjenta zostają w bezpiecznym, kontrolowanym środowisku, a do narzędzi spoza medycyny trafia wyłącznie treść pozbawiona cech, które pozwoliłyby rozpoznać konkretną osobę.

Samo skreślenie nazwiska nie wystarcza. Jeśli zostawisz rzadkie rozpoznanie, datę i małą miejscowość, pacjenta nadal da się rozpoznać, a takie informacje wciąż są danymi osobowymi. W praktyce mówimy więc raczej o pozbawieniu opisu cech identyfikujących niż o pełnej anonimizacji w sensie prawnym, bo o tę drugą, nieodwracalną, w opisie przypadku trudno. Presja czasu w gabinecie jest faktem, ale tajemnica lekarska obejmuje także to, co wpisujesz do narzędzi cyfrowych.

Czym jest AI Act i czego wymaga od narzędzi?

AI Act to unijne rozporządzenie, które porządkuje korzystanie ze sztucznej inteligencji według poziomu ryzyka. Im poważniejsze skutki może mieć dany system dla człowieka, tym surowsze wymagania wobec jego twórcy i wobec tego, kto go wdraża.

Medycyna trafia tu wysoko. Sztuczna inteligencja, która wspiera diagnostykę albo decyzję kliniczną lub jest częścią wyrobu medycznego, należy do kategorii wysokiego ryzyka. To samo prawo, które pilnuje systemów decydujących o kredycie czy zatrudnieniu, obejmuje aplikację analizującą zdjęcie rentgenowskie lub podpowiadającą rozpoznanie.

Wysokie ryzyko oznacza konkretne obowiązki, takie jak zarządzanie ryzykiem, dbałość o jakość i pochodzenie danych, dokumentacja, przejrzystość i nadzór człowieka. Większość z nich spoczywa nie na lekarzu, ale na twórcy narzędzia i na placówce, która je wdraża. Podobnie jak przy RODO, to placówka jako administrator ocenia ryzyko i zawiera umowę z dostawcą. Jeśli prowadzisz własny gabinet, część tych obowiązków placówki spoczywa wtedy na Tobie.

Jedna zasada sięga jednak wprost do gabinetu. Nadzór człowieka ma być realny. System wysokiego ryzyka powinien być zaprojektowany tak, żeby człowiek mógł go skutecznie skontrolować i w razie potrzeby odrzucić podpowiedź. To nie może być podpis pod czymś, czego nie sprawdziłeś. Sztuczna inteligencja może podpowiadać, ale gdy w grę wchodzi zdrowie, ostatnie słowo należy do lekarza. Mówi to wprost także Kodeks Etyki Lekarskiej.

Od kiedy te reguły obowiązują?

Bądźmy szczerzy, o terminy najłatwiej się potknąć. AI Act wszedł w życie w 2024 roku, ale jego przepisy zaczynają obowiązywać etapami. Zakazy najbardziej szkodliwych zastosowań ruszyły wcześniej, a pełne obowiązki dla AI w wyrobach medycznych wprowadzane są najpóźniej.

W 2026 roku UE poszła w stronę dodatkowego przesunięcia tych terminów w pakiecie „Digital Omnibus". Dla narzędzi wbudowanych w wyroby medyczne planowana data stosowania przesuwa się z 2027 na 2028 rok. Kalendarz wdrożenia wciąż się dopina, więc konkretnych dat nie traktuj jak ostatecznych.

Co z tego wynika dla lekarza? Dziś, przy danych pacjenta, najtwardsze obowiązki nie biorą się z AI Act, ale z RODO i z tajemnicy lekarskiej, o których pisaliśmy poprzednio. Warto przy tym pamiętać, że narzędzie będące wyrobem medycznym i tak musi już dziś mieć oznakowanie CE, niezależnie od kalendarza AI Act. Samo rozporządzenie o AI kształtuje przede wszystkim to, jakie narzędzia w ogóle trafią do gabinetu, i utrwala zasadę znaną już z etyki, że za decyzją stoi człowiek.

Regulacja jako fundament zaufania

Łatwo widzieć w przepisach samo obciążenie, choć działają one na korzyść obu stron. Cyfrowa medycyna opiera się na zaufaniu. Pacjent dzieli się najbardziej osobistymi informacjami w przekonaniu, że pozostaną chronione i że o jego leczeniu zdecyduje lekarz, a nie algorytm. Jasne i przewidywalne reguły, czyli to, kto odpowiada za narzędzie, jak chronione są dane i kto podejmuje decyzję, są filarem tego zaufania.

Piszemy o tym jako lekarka i prawnik, z dwóch stron tego samego problemu. Przejrzyste przepisy o bezpieczeństwie danych traktujemy nie jako przeszkodę, ale jako warunek, na którym cyfrowa medycyna może się oprzeć.

Cyfrowa medycyna opiera się na zaufaniu. Pacjent dzieli się najbardziej osobistymi informacjami w przekonaniu, że pozostaną chronione i że o jego leczeniu zdecyduje lekarz, a nie algorytm.

Trzy zasady, które warto zapamiętać

Po pierwsze, dane identyfikujące pacjenta nie opuszczają kontrolowanego środowiska, a do narzędzi spoza medycyny trafia wyłącznie treść pozbawiona cech identyfikujących.

Po drugie, AI Act zalicza medyczne zastosowania AI do wysokiego ryzyka i obciąża głównie twórców narzędzi oraz placówkę, lekarzowi zostawiając realny nadzór nad rozstrzygnięciem.

Po trzecie, obowiązki AI Act wchodzą etapami, a ich terminy się przesuwają, więc dziś przy danych pacjenta wiążą Cię w pierwszej kolejności RODO i tajemnica lekarska. Wszystkie trzy zasady stoją po stronie lekarza, bo to on pracuje najbliżej pacjenta.

Podstawa prawna (dla dociekliwych)

  • Ramy prawne dla sztucznej inteligencji tworzy AI Act, rozporządzenie (UE) 2024/1689.
  • Medyczne zastosowania AI należą do wysokiego ryzyka, art. 6 ust. 1 oraz załącznik I AI Act (AI będąca wyrobem medycznym albo jego elementem bezpieczeństwa, podlegającym ocenie zgodności).
  • Wymogi dla systemów wysokiego ryzyka to zarządzanie ryzykiem, jakość i zarządzanie danymi, dokumentacja oraz przejrzystość, art. 9-15 AI Act.
  • Nadzór człowieka nad systemem wysokiego ryzyka, art. 14 AI Act, w połączeniu z art. 12 Kodeksu Etyki Lekarskiej (ostatnie słowo należy do lekarza).
  • Obowiązki dla AI wysokiego ryzyka wprowadzane są etapami, a ich terminy były przesuwane (pakiet „Digital Omnibus", 2026). Dla AI w wyrobach medycznych (załącznik I) chodzi o okolice 2 sierpnia 2028 r., a dla AI samodzielnej (załącznik III, np. scoring kredytowy, rekrutacja) o terminy nieco wcześniejsze. Stan na dzień publikacji warto potwierdzić.
  • Przetwarzanie danych o zdrowiu w leczeniu opiera się na art. 9 ust. 2 lit. h RODO, a nie na zgodzie pacjenta; tajemnica lekarska, art. 40 ustawy o zawodach lekarza i lekarza dentysty.
  • Szersze tło tworzy Europejska Przestrzeń Danych Zdrowotnych, rozporządzenie (UE) 2025/327.

Artykuł wyraża własne doświadczenia autorów. Nie stanowi on porady prawnej i nie może być traktowany jako oficjalne stanowisko ZnanyLekarz sp. z o.o.