Krajowe Centrum Bioetyki Udostępnianie danych osobowych w badaniach klinicznych – granice legalności przetwarzania i konsekwencje prawno-karne naruszeń cz.1 - Kompendium Krajowego Centrum Bioetyki

1. Wprowadzenie

Badania kliniczne stanowią jeden z kluczowych elementów rozwoju współczesnej medycyny, umożliwiając ocenę skuteczności i bezpieczeństwa nowych produktów leczniczych. Realizacja badania klinicznego wiąże się z przetwarzaniem danych osobowych uczestników lub potencjalnych uczestników, w tym danych o szczególnym charakterze tj. danych o stanie zdrowia, które – zgodnie z art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (dalej: RODO) – stanowią szczególną kategorię danych wymagającą podwyższonego poziomu ochrony prawnej.

W praktyce badań klinicznych powstaje złożony system przepływu informacji, obejmujący w szczególności sponsorów, ośrodki badawcze, badaczy, członków zespołu badawczego, lekarzy pierwszego kontaktu (w niektórych przypadkach) podmioty przetwarzające, organy nadzorcze oraz instytucje publikujące wyniki badań. Celem niniejszego opracowania jest analiza:

1. kto i w jakim zakresie otrzymuje dane osobowe uczestników badań klinicznych,
2. jakie są podstawy prawne i cele przetwarzania danych osobowych,
3. konsekwencje prawno-karne –udostępniania danych w zakresie szerszym niż jest to dopuszczalne w obowiązujących ramach prawnych.

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady UE nr 536/2014 z dnia  16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE (dalej – rozporządzenie 536/2014), przez badanie kliniczne rozumiemy badanie biomedyczne spełniające którykolwiek z następujących warunków:

a) przydział uczestnika do danej strategii terapeutycznej ustalany jest z góry i odbywa się w sposób niestanowiący standardowej praktyki klinicznej zainteresowanego państwa członkowskiego;

b) decyzja o przepisaniu badanego produktu leczniczego jest podejmowana łącznie z decyzją o włączeniu uczestnika do badania biomedycznego;

c) lub  oprócz standardowej praktyki klinicznej u uczestników wykonuje się dodatkowe procedury diagnostyczne lub procedury monitorowania;

Natomiast badanie biomedyczne oznacza każde badanie dotyczące ludzi, mające na celu:

a) odkrycie lub potwierdzenie klinicznych, farmakologicznych lub innych farmakodynamicznych skutków jednego lub większej liczby produktów leczniczych;

b) stwierdzenie wszelkich działań niepożądanych jednego lub większej liczby produktów leczniczych;

c) lub zbadanie wchłaniania, dystrybucji, metabolizmu i wydalania jednego lub większej liczby produktów leczniczych; mające na celu upewnienie się co do bezpieczeństwa lub skuteczności tych produktów leczniczych.

Ustawa z dnia 5 grudnia 1996 o zawodzie lekarza i lekarza dentysty (dalej jako ust. o zaw.lek) reguluje zasady prowadzenie eksperymentu medycznego, który dzieli na eksperyment leczniczy i badawczy. Zgodnie z art. 29b tej ustawy, eksperyment medyczny który jest jednocześnie badaniem klinicznym, należy do niego stosować przepisy ustawy o badaniach klinicznych. 

2. Podstawy prawne przetwarzania danych w badaniach klinicznych

2.1. Regulacje unijne

Podstawowym aktem prawnym regulującym przetwarzanie danych osobowych jest Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 (dalej jako RODO). W kontekście badań klinicznych kluczowe znaczenie mają następujące przepisy:

• art. 6 ust. 1 RODO – ogólne podstawy legalności przetwarzania danych osobowych,
• art. 9 ust. 2 RODO – przesłanki dopuszczalności przetwarzania danych szczególnych kategorii,
• art. 89 RODO – przetwarzanie do celów naukowych,
• zasady przetwarzania danych z art. 5 RODO (w szczególności: minimalizacji, ograniczenia celu, integralności i poufności).

Zasady przetwarzania danych osobowych na podstawie jednej z przesłanek wynikających z art. 6 ust. 1 RODO

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W szczególności w badaniach klinicznych zastosowanie mają:

• art. 6 ust. 1 lit. c RODO – dotyczący wypełnienie nałożonych obowiązków prawnych, m. in. przepisy o archiwizacji, prowadzeniu dokumentacji medycznej, obowiązki wynikające  z rozporządzenia nr 536/2014, ustawy o badaniach klinicznych produktów leczniczych stosowanych u ludzi oraz przepisów dotyczących farmakoterapii;
• art. 6 ust. 1 lit. f RODO – realizacja uzasadnionego interesu administratora;
• art. 6 ust. 1 lit. e RODO – przesłanka, na podstawie której mogą się oprzeć podmioty realizujące zadania w interesie publicznym lub w ramach sprawowania władzy publicznej (np. podmiot publiczny);

Natomiast warunkiem dopuszczalności przetwarzania danych medycznych z art. 9 ust. 2 RODO:

1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (nie ma związku z uczestnikiem badania klinicznego);
3.  przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody (ma zastosowanie  gdy przetwarzania danych nie da się oprzeć na innej podstawie prawnej oraz gdy osoba której to dotyczy nie jest w stanie wyrazić zgody z uwagi na jej stan fizyczny lub prawny);
4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą (nie ma zastosowania w badaniach klinicznych);
5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (nie ma zastosowania w badaniach klinicznych);
6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (w przypadku roszczeń sądowych);
7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą (niezbędność przewarzania do wykonywania zadania realizowanego w interesie publicznym, zasadniczo nie będzie miało zastosowania w badaniach klinicznych);
8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; ( nie ma zastosowania w badaniach klinicznych);
9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

W szczególności w badaniach klinicznych zastosowanie mają:

• art. 9 ust. 2 lit. i RODO – realizacja zadań związanych z interesem publicznym w dziedzinie zdrowia publicznego; w szczególności w zakresie zapewnienia wysokich standardów jakości i bezpieczeństwa produktów leczniczych, monitorowania bezpieczeństwa terapii. Zadania te są określone w ustawie o zdrowiu publicznym art. 2.

Zadania z zakresu zdrowia publicznego obejmują:

1) monitorowanie i ocenę stanu zdrowia społeczeństwa, zagrożeń zdrowia oraz jakości życia związanej ze zdrowiem społeczeństwa;

2) edukację zdrowotną dostosowaną do potrzeb różnych grup społeczeństwa, w szczególności dzieci, młodzieży i osób starszych;

3) promocję zdrowia;

3a) kreowanie postaw zdrowotnych i społecznych sprzyjających profilaktyce zachowań ryzykownych;

3b) zapobieganie uzależnieniom oraz skutkom zdrowotnym i społecznym wynikającym z uzależnień;

 4) profilaktykę chorób;

5) działania w celu rozpoznawania, eliminowania lub ograniczania zagrożeń i szkód dla zdrowia fizycznego i psychicznego w środowisku zamieszkania, nauki, pracy i rekreacji;

6) analizę adekwatności i efektywności udzielanych świadczeń opieki zdrowotnej w odniesieniu do rozpoznanych potrzeb zdrowotnych społeczeństwa;

7) inicjowanie i prowadzenie: a) działalności naukowej w zakresie zdrowia publicznego, b) współpracy międzynarodowej dotyczącej działalności naukowej w zakresie zdrowia publicznego;

8) rozwój kadr uczestniczących w realizacji zadań z zakresu zdrowia publicznego;

9) ograniczanie nierówności w zdrowiu wynikających z uwarunkowań społeczno- -ekonomicznych;

10) działania w obszarze aktywności fizycznej.

• art. 9 ust. 2 lit. j RODO – przetwarzanie danych osobowych niezbędne do celów badań naukowych;

Kolejnym aktem prawnym są przepisy Rozporządzenia nr 536/2014 który określa m.in. wymogi w zakresie przejrzystości, raportowania i nadzoru.

2.2. Regulacje krajowe

Na gruncie prawa polskiego zastosowanie znajdują zastosowanie:

1. ustawa z 10 maja 2018 r. o ochronie danych osobowych:
   • art. 1 który reguluje ochronę danych osobowych osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie RODO;
   • art. 3-5 dotyczący ograniczenie niektórych obowiązków informacyjnych, gdy jest to konieczne dla realizacji zadania publicznego lub interesu publicznego. Choć są one nadrzędnie regulowane przez przepisy RODO oraz ustawę o badaniach klinicznych;
2. ustawa z 9 marca 2023 r. o badaniach klinicznych produktów leczniczych stosowanych u ludzi (Dz.U. 2023 poz. 605 z późn.zm). – wskazująca na ograniczenia stosowania przepisów RODO w przypadku realizacji badania klinicznego które jest badaniem naukowym:
   • art. 36 ust. 1 pkt 1 – realizacja obowiązków wynikających z rozporządzenia; uzyskanie zgody przez sponsora na dostęp do dokumentów źródłowych (min. dokumentacji medycznej);
   • art. 36 ust 2 pkt – obowiązki sponsora w związku z wykorzystaniem metod opartych na informatycznych systemach przechowywania danych, w tym wskazanie osób upoważnionych do ich przetwarzania;
   • art. 50 dotyczący dostępu do dokumentacji medycznej w związku z wnioskiem o wypłatę świadczenia kompensacyjnego;
   • art. 60 dotyczący przekazywania informacji do NFZ;
   • art. 62 dotyczący Inspekcji Badań Klinicznych i ich wglądu do dokumentacji medycznej;
3. ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (w zakresie regulacji związanych z dokumentacją medyczną).

2.3 Podstawy prawne przetwarzania danych osobowych wynikające z RODO

Dane osobowe zostały zdefiniowane w art. 4 ust. 1 Rodo oznaczają one informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie  identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W przypadku badań klinicznych mamy dwa rodzaje danych osobowych:

- dane zwykłe;

- dane szczególnej kategorii, zgodnie z art. 9 ust. 1 RODO, są to dane osobowe dotyczące zdrowia, dane genetyczne czy też dane dotyczące seksualności oraz dane dotyczące pochodzenia etnicznego lub rasowego.

a) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym dane o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia; Są to min: dane zbierane podczas rejestracji lub udzielania usług opieki zdrowotnej, informacje pochodzące z badań diagnostycznych, radiologicznych, informacje o chorobach, niepełnosprawnościach, ryzyku choroby, dane genetyczne i próbki biologiczne, historia choroby, szczepienia, (art.4 ust. 15 RODO);

a) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej (art. 4 ust. 13 RODO).

Trzecią kategorią przetwarzania jest dokumentacja medyczna.

Dokumentacja medyczna – zbiór dokumentów i informacji dotyczących stanu zdrowia pacjenta oraz udzielanych mu świadczeń zdrowotnych, prowadzona przez podmiot udzielający świadczeń zdrowotnych w celu diagnozowania procesu diagnostycznego, leczniczego, pielęgnacyjnego lub rehabilitacyjnego. Dokumentacja medyczna to raczej nośnik lub zbiór dokumentów, a w niej są zawarte dane medyczne. Dane medyczne w badaniu klinicznym – to informacja o zdrowiu uczestnika, mogą to być pojedyncze dane lub kompleksowe informacje.

3. Podmioty uprawnione do otrzymywania danych osobowych

3.1. Sponsor i ośrodek badawczy

Podmiotami przetwarzającymi dane osobowe, w badaniach klinicznych, przede wszystkim są: sponsor, ośrodek prowadzący badanie kliniczne oraz główny badacz. Szczegółowe kwestie dotyczące zasad administrowania, najczęściej zostają określone w umowie o badania kliniczne zawieranej pomiędzy sponsorem, ośrodkiem badawczym a badaczem. Definicje poszczególnych podmiotów zostały zawarte w rozporządzeniu nr 536/2014

- Sponsor" oznacza osobę fizyczną, przedsiębiorstwo, instytucję lub organizację, która jest odpowiedzialna za podjęcie badania klinicznego, zarządzanie nim oraz organizację jego finansowania;

- "badacz" oznacza osobę odpowiedzialną za prowadzenie badania klinicznego w ośrodku badań klinicznych;

- "główny badacz" oznacza badacza, który jest szefem zespołu badaczy prowadzącego badanie kliniczne w ośrodku badań klinicznych i który jest z tego tytułu odpowiedzialny;

- „ośrodek badawczy”- rozporządzenie 536/2014 nie definiuje tego pojęcia, najczęściej jest to szpital lub przychodnia. Należy przez to rozumieć jednostkę organizacyjną systemu ochrony zdrowia lub inną instytucję posiadają odpowiednią infrastrukturę, personel, zaplecze techniczne i materiałowe pozwalające na realizację określonej procedury badawczej. 

Administratorem danych osobowych może być sponsor badania lub ośrodek badawczy (podmiot leczniczy prowadzący badanie), ewentualnie podmioty te mogą występować jako współadministratorzy (art. 26 RODO). Zakres przetwarzanych danych obejmuje:

• dane identyfikacyjne uczestnika,
• dane kontaktowe,
• dane medyczne (wyniki badań, historia choroby),
• dane dotyczące działań niepożądanych.

Celem przetwarzania jest realizacja badania klinicznego, zapewnienie bezpieczeństwa uczestnika oraz spełnienie obowiązków regulacyjnych.

W przypadku współadministrowania – podmioty określają cele i sposoby przetwarzania , określają zakres swojej odpowiedzialności dotyczącej wypełnienia obowiązków nałożonych przez RODO.

4. Podmioty, których dane przetwarzane są w ramach uczestnictwa w badaniu klinicznym

a) uczestnik badania klinicznego – jest to osoba fizyczna która bierze udział w badaniu klinicznym, przyjmując badany produkt leczniczy albo znajdująca się w grupie kontrolnej;

- w tym szczególni uczestnicy którym mogą być osoby niezdolne do wyrażenia zgody, czyli uczestnik, który, z przyczyn innych niż nieosiągnięcie wieku, w którym w świetle prawa przysługuje zdolność do wyrażenia świadomej zgody, nie jest zdolny do wyrażenia świadomej zgody w świetle prawa zainteresowanego państwa członkowskiego;

- małoletni - uczestnik, który nie osiągnął wieku, w którym w świetle prawa zainteresowanego państwa członkowskiego jest zdolny do wyrażenia świadomej zgody;

b) inne osoby które w sposób pośredni są związani z badaniem klinicznym (np. żona/partnerka uczestnika badania która zaszła w ciążę, małoletni, dzieci nienarodzone, przedstawiciele ustawowi lub opiekunowie).

Pozostałymi podmiotami są badacze, personel zespołu badawczego czy też osoby współpracujące, jednak ich zakres praw nie będzie omawiany w ramach tego opracowania.

Autor: dr n. prawn. Katarzyna Lenczowska –Soboń, członek Naczelnej Komisji Bioetycznej do spraw Badań Klinicznych,  przedstawiciel w dyscyplinie nauk prawnych

Data publikacji: 01.04.2026

Bibliografia

Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 94/46/WE (ogólne rozporządzenie o ochronie danych) Dz.U.UE.L.2016.119.1

Rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 536/2014 z dnia  16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE, Dz.U.UE.L.2014.158.1

Ustawa z dnia 9 marca 2023 r. o badaniach klinicznych produktów leczniczych stosowanych u ludzi, Dz.U.2023 poz. 605 z późn. zm.

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U.2018 poz. 1000 z późn. zm.

Ustawa z dnia 11 września 2015 r. o zdrowiu publicznym, tj. Dz.U.2026 poz. 149.

Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, tj. Dz.U.2024 poz. 581 z późn. zm.

Ustawa z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty tj. Dz.U.2026 poz. 37

Kalinowska N., Oręziak B, Świerczyński M, Badania kliniczne w świetle RODO, PME 2018, nr 3, 4-15.;

Kazimierczak P, Komentarz do art. 36 ustawy o badaniach klinicznych E. Wasielewska (red) Ustawa o badaniach klinicznych produktów leczniczych stosowanych u ludzi. Komentarz 2023, Legalis

Liwiński P, Dane medyczne. Ochrona danych osobowych, dokumentacja medyczna, monitoring, AI,, otwarte dane, Warszawa 2025;

Prawo medyczne w pigułce, Warszawa 2025;