Coraz więcej firm korzysta z AI w procesach BHP i HR, ale dane medyczne pracowników należą do najbardziej chronionych informacji. Wyjaśniamy, kiedy ich przetwarzanie jest legalne, a kiedy może narazić firmę na poważne konsekwencje.

Dane medyczne a sztuczna inteligencja – temat z najwyższym poziomem ryzyka

Dane medyczne pracowników to informacje szczególnie chronione. Zaliczają się do tzw. danych „biometricznych i zdrowotnych”, które podlegają najwyższemu poziomowi ochrony zgodnie z RODO. Jednocześnie firmy coraz intensywniej digitalizują procesy BHP, w tym:

• badania lekarskie,
• orzeczenia,
• zdolność do pracy,
• dokumentację powypadkową.

Włączenie AI do tych procesów może przyspieszyć pracę, ale równie łatwo doprowadzić firmę do naruszeń, które wiążą się z wysokimi karami.

Ważna informacja: W większości przypadków danych medycznych nie wolno przekazywać zewnętrznym modelom AI.

Dodatkowa informacja: Błędne przetwarzanie danych zdrowotnych to jedno z najcięższych naruszeń według UODO.

Czym właściwie są „dane medyczne pracownika”?

Są to wszystkie informacje dotyczące:

• stanu zdrowia,
• wyników badań,
• orzeczeń lekarskich,
• historii schorzeń,
• niezdolności do pracy,
• przeciwwskazań zdrowotnych.

Oraz każda informacja, z której można to wywnioskować.

Nawet zdanie typu:
„Pracownik nie może podnosić ciężarów powyżej 5 kg”
to w świetle prawa — dana medyczna.

Dlaczego AI stanowi tak duże ryzyko?

1. Dane przekazywane do AI mogą trafić poza Unię Europejską

Większość komercyjnych modeli AI działa:

• w chmurze,
• poza kontrolą firmy,
• poza terytorium UE.

To oznacza, że firma często nie ma żadnej pewności:

• gdzie dane trafią,
• jak będą przechowywane,
• kto będzie miał do nich dostęp.

2. AI może przechowywać dane mimo obietnic „niezapisywania”

Niektóre modele:

• logują zapytania,
• używają ich do trenowania modeli,
• przechowują je w pamięci cache.

To wprost narusza przepisy dotyczące danych medycznych.

3. Pracownicy wklejają dane „bo chcą szybciej”

Największe ryzyko to:

• kopiowanie orzeczeń,
• wklejanie protokołów powypadkowych,
• przesyłanie opisów zdarzeń z danymi zdrowotnymi,
• udostępnianie skanów badań.

Nieświadome działanie pracownika może stać się naruszeniem firmy.

4. Firma traci kontrolę nad danymi po ich wysłaniu

Nawet jeśli usuniesz dane z systemu, to:

• backupy mogą pozostać,
• dane mogły zostać przetworzone,
• logi mogą wciąż zawierać informacje.

Co mówią przepisy? (RODO, Kodeks pracy, UODO)

1. Dane medyczne można przetwarzać tylko w bardzo konkretnych przypadkach

W szczególności:

• do celów oceny zdolności do pracy,
• przez lekarza medycyny pracy,
• z zachowaniem tajemnicy lekarskiej,
• w zakresie określonym przepisami.

Firma nie może rozszerzać tego zakresu „bo AI ma pomóc”.

2. Przekazywanie danych medycznych do AI bez podstawy prawnej = naruszenie

Naruszenie może skutkować:

• karami finansowymi,
• obowiązkiem zgłoszenia do UODO,
• utratą zaufania pracowników,
• problemami podczas kontroli PIP.

3. Brak zabezpieczeń technicznych = naruszenie bezpieczeństwa danych

UODO ocenia:

• jakie dane wyciekły,
• w jakiej formie,
• kto miał do nich dostęp,
• jakie środki bezpieczeństwa miała firma.

AI bez nadzoru = środek nieadekwatny.

W jakich sytuacjach AI może być wykorzystana, a w jakich absolutnie nie?

AI może być używana do:

• opisów procedur BHP,
• generowania instrukcji ogólnych,
• analizowania zagrożeń bez danych osobowych,
• zadań administracyjnych bez wrażliwych danych,
• tworzenia treści edukacyjnych.

AI nie może być używana do:

1. Analizowania orzeczeń lekarskich
2. Wprowadzania danych zdrowotnych pracowników
3. Oceniania zdolności do pracy
4. Opisu wypadków zawierających dane zdrowotne
5. Przetwarzania przeciwwskazań lub ograniczeń medycznych
6. Jakichkolwiek działań obejmujących dane wrażliwe

W skrócie: AI nie wolno zbliżać do medycyny pracy.

Jak bezpiecznie zarządzać danymi medycznymi w firmie?

1. Oddzielić dane medyczne od innych danych BHP

• osobne miejsca przechowywania,
• ograniczony dostęp,
• zasada „minimalizacji”.

2. Wprowadzić politykę zakazu umieszczania danych medycznych w AI

Powinna to być jasna zasada obowiązująca wszystkich pracowników.

3. Szkolenia z cyberhigieny i RODO

Pracownicy muszą wiedzieć:

• czego nie wolno wklejać do AI,
• jak chronić dane,
• jak zgłaszać incydenty.

4. Stosować bezpieczne systemy do dokumentacji BHP

• szyfrowanie,
• kontrola dostępu,
• logowanie działań,
• brak eksportu do narzędzi publicznych.

5. Weryfikować dostawców oprogramowania

Trzeba sprawdzić:

• gdzie przechowywane są dane,
• czy są szyfrowane,
• czy podlegają UE,
• czy model AI jest izolowany.

Gdy dane medyczne „trafią” do AI – co robić?

Procedura incydentowa:

1. Zabezpieczyć komputer użytkownika
2. Ustalić, jakie dane zostały ujawnione
3. Sprawdzić, czy dane mogły opuścić UE
4. Ocenić ryzyko dla osób, których dane dotyczą
5. Zgłosić naruszenie do UODO (jeśli wymagane)
6. Poinformować pracowników (jeśli wymagane)

Im szybciej wykryjesz incydent, tym mniejsze konsekwencje.