---
title: "Dane genetyczne w placówce: kiedy AI powinno zostać poza procesem?
"
description: Sprawdź, których danych genetycznych AI nie powinno dotykać, co wolno porządkować i jakie zgody, umowy oraz role zweryfikować z IOD placówki.
image: "https://ai4med.pl/img/genomika-dane-pacjenta.jpg"
date: 2026-07-10
author: Jacek Wyderka
category: Dane i bezpieczeństwo
tags: dane genetyczne, RODO, genomika, IOD, bezpieczeństwo AI
url: "https://ai4med.pl/dane-i-bezpieczenstwo/genomika-dane-pacjenta"
inLanguage: pl
---

# Dane genetyczne w placówce: kiedy AI powinno zostać poza procesem?


## Czego dowiesz się z tego artykułu?

- Dlaczego raport genetyczny opisuje nie tylko pacjenta, ale może ujawniać informacje również o jego krewnych.
- Które materiały powinny pozostać całkowicie poza zewnętrznym modelem AI, nawet jeśli usunięto z nich imię i nazwisko.
- Co AI może porządkować w warstwie administracyjnej oraz gdzie interpretację i zgodę musi zatwierdzić człowiek.
- Jak przeprowadzić pierwszy warsztat z IOD i właścicielem diagnostyki bez używania realnych danych pacjenta.

Hasło można zmienić po wycieku. Genomu nie można. Wynik badania genetycznego jest **trwałą informacją o konkretnej osobie** i może jednocześnie ujawniać **predyspozycje oraz pokrewieństwo dotyczące jej rodziny**. Dlatego nie traktowałbym go jak kolejnego PDF-u do szybkiego streszczenia.

W polskiej poradni genetycznej albo klinice współpracującej z laboratorium pokusa jest zrozumiała: model ma skrócić raport, uporządkować warianty lub streścić ankietę rodzinną przed konsultacją. **Właśnie tutaj AI często powinno zostać poza procesem.** Samo późniejsze zatwierdzenie tekstu przez lekarza nie cofa faktu, że **wrażliwy materiał trafił już do nowego dostawcy, logu albo środowiska treningowego**.

UODO przypomniał 12 czerwca 2026 r., że dane genetyczne są niezmienne, mogą mówić o rodzinie, a utrata kontroli nad nimi niesie wyjątkowo wysokie ryzyko. Moja rekomendacja dla managera jest prosta: **domyślna granica dla raportów, sekwencji i wywiadu rodzinnego powinna brzmieć „no-touch”**, dopóki IOD, właściciel diagnostyki i osoba odpowiedzialna za umowę nie potwierdzą celu, podstawy, ról i zabezpieczeń. **Neutralne metadane administracyjne można oceniać osobno**, ale nie wolno przemycać pod tą etykietą treści wyniku. To nie jest porada prawna ani kliniczna; szczegóły procesu trzeba zatwierdzić w konkretnej placówce.

## Najważniejsze

- **Usunięcie nazwiska nie anonimizuje danych genetycznych.** Sekwencja, warianty i informacje rodzinne mogą nadal umożliwiać powiązanie danych z osobą lub jej krewnymi.
- **Human-in-the-loop nie jest przepustką do każdego wejścia.** Człowiek zatwierdzający odpowiedź nie naprawi nieuprawnionego przekazania materiału do modelu.
- **Zewnętrzny model nie powinien dostawać raportu, pliku DNA/VCF ani wywiadu rodzinnego.** Najpierw trzeba zatwierdzić proces, środowisko, umowy i zakres danych.
- **AI może wspierać neutralną administrację**, na przykład status zlecenia lub kolejkę zadań, jeśli pola nie ujawniają wyniku, ryzyka ani relacji rodzinnych.
- **Pierwszym krokiem nie jest demo narzędzia**, tylko warsztat z IOD i właścicielem diagnostyki, zakończony listą zakazanych wejść oraz właścicielem każdej decyzji.

## Matryca granic dla danych genetycznych

Pierwsza decyzja dotyczy materiału, nie marki modelu. Sugeruję rozdzielić **dane genetyczne i rodzinne**, **metadane możliwe do ograniczenia** oraz **treści ogólne bez danych pacjenta**. Dopiero potem można pytać, czy jakakolwiek funkcja AI ma uzasadnione miejsce w procesie.

Poniższa matryca nie zastępuje analizy prawnej ani oceny klinicznej. Jest **kartą zatrzymania dla managera**: jeśli zespół nie potrafi jednoznacznie przypisać wiersza, materiał nie trafia do AI. Wyjątek dla specjalistycznego systemu będącego częścią zatwierdzonego procesu diagnostycznego wymaga **osobnej oceny przeznaczenia, umów, zabezpieczeń i odpowiedzialności** — nie wolno przenosić tej zgody na publiczny chatbot lub inne narzędzie.

| Materiał | Ryzyko / granica dla AI | Co wolno porządkować | Kto zatwierdza |
| --- | --- | --- | --- |
| Surowa sekwencja i pliki FASTQ, BAM lub VCF | No-touch poza zatwierdzonym środowiskiem diagnostycznym; nie wysyłać do zewnętrznego modelu | Wyłącznie techniczny status pliku w systemie przeznaczonym do tego procesu, bez kopiowania zawartości | Właściciel diagnostyki, IOD i osoba odpowiedzialna za bezpieczeństwo środowiska |
| Raport genetyczny z wariantami i opisem ryzyka | Nie streszczać ani nie interpretować w ogólnym narzędziu AI | Status „wynik dostępny”, termin konsultacji i przypisanie zadania, o ile pola nie odsłaniają treści wyniku | Lekarz lub diagnosta laboratoryjny zatwierdza część kliniczną; IOD zatwierdza proces danych |
| Wywiad rodzinny, rodowód i ankieta o chorobach krewnych | No-touch dla zewnętrznego modelu; materiał dotyczy także innych osób | Sam fakt kompletności formularza, jeśli nie ujawnia chorób, relacji ani danych krewnych | Uprawniony personel medyczny oraz IOD |
| Identyfikator próbki, kod zlecenia i status transportu | Możliwe tylko po minimalizacji i w zatwierdzonym narzędziu; kod może nadal być daną osobową | Kolejka, opóźnienie, brak załącznika, zadanie dla pracownika | Właściciel procesu i IOD określają dopuszczalne pola |
| Zagregowane statystyki procesu | Nie zakładać automatycznie anonimowości; małe grupy i rzadkie warianty zwiększają ryzyko identyfikacji | Wolumen zleceń, czas obiegu i braki administracyjne po udokumentowanej ocenie ryzyka | Manager procesu z IOD |
| Ogólna procedura bez danych pacjenta | Może być materiałem do porządkowania lub redakcji w zatwierdzonym środowisku | Instrukcja ról, neutralna checklista i materiały szkoleniowe | Właściciel procedury, a przy treści medycznej także osoba uprawniona klinicznie |

Najczęstszy skrót myślowy brzmi: „usunę nazwisko i wkleję resztę”. Przy genomice to słaby test. **Pseudonimizacja nie jest tym samym co anonimizacja**, a UODO zwraca uwagę, że ponowna identyfikacja danych genetycznych staje się coraz trudniejszym problemem w świecie AI. Hash kodu zlecenia albo zamiana nazwiska na inicjały nie usuwa sekwencji, rzadkiego wariantu ani rodzinnego kontekstu.

Jeśli placówka dopiero buduje rejestr procesów, warto zacząć od [rejestru danych przed pilotażem AI](/dane-i-bezpieczenstwo/rejestr-danych-ai). **Genomika wymaga jednak ostrzejszej wersji tej karty**: nie tylko „kto ma dostęp”, lecz także „czy ten materiał w ogóle może wejść do modelu” oraz „czy informacja dotyczy osób, które nie są bezpośrednim pacjentem”.

## Jak wygląda to w poradni genetycznej

> **Przykład modelowy** — scenariusz nie zawiera danych realnego pacjenta ani gwarantowanego wyniku. Pokazuje sposób podziału odpowiedzialności w polskiej placówce.

Poradnia współpracuje z zewnętrznym laboratorium. Koordynator otrzymuje raport oraz ankietę rodzinną i chce skrócić czas przygotowania konsultacji. Najszybszy pomysł to wgranie obu dokumentów do ogólnego asystenta AI z poleceniem: „streść najważniejsze ryzyka”. **To nie jest neutralne streszczenie dokumentu.** Model dostałby treść genetyczną pacjenta, informacje o krewnych i prośbę o interpretację o znaczeniu klinicznym.

Bezpieczniejszy podział zaczyna się wcześniej. Raport pozostaje w **zatwierdzonym systemie przeznaczonym do dokumentacji i diagnostyki**, a lekarz lub diagnosta pracuje na źródłowym materiale. Koordynator może widzieć **ograniczony status administracyjny**: wynik wpłynął, konsultacja wymaga przydzielenia, formularz jest niekompletny. Nie widzi i nie przekazuje do modelu wariantów, opisu ryzyka ani drzewa rodzinnego.

AI może pomóc przygotować ogólną instrukcję obiegu dokumentu albo neutralny wzór zadania dla zespołu, ale bez raportu i bez danych osoby. **Lekarz interpretuje znaczenie kliniczne**, **IOD ocenia cel i zakres przetwarzania**, a manager pilnuje umów, uprawnień i logów. To realny human-in-the-loop: człowiek nie tylko klika „zatwierdź”, lecz decyduje, czy automatyzacja w ogóle może dotknąć danego etapu.

## Gdzie człowiek zatrzymuje automatyzację

Przy danych genetycznych kontrola człowieka powinna działać w trzech momentach. **Przed uruchomieniem** trzeba zatwierdzić cel, zakres pól, środowisko i role dostawców. **W trakcie działania** personel musi widzieć, jakie dane weszły do procesu, kto miał dostęp i gdzie powstał log. **Na końcu** uprawniona osoba medyczna zatwierdza interpretację oraz komunikację z pacjentem.

1. **Przed wejściem danych:** system lub procedura blokuje raporty, surowe pliki i wywiady rodzinne w kanałach niezatwierdzonych przez placówkę.
2. **Przy wyjątku:** pracownik nie „anonimizuje na szybko”, tylko eskaluje sprawę do właściciela diagnostyki i IOD.
3. **Przy wyniku klinicznym:** lekarz albo diagnosta opiera się na zweryfikowanym materiale źródłowym i odpowiada za interpretację; model nie stawia diagnozy ani nie proponuje samodzielnie leczenia.
4. **Przy zmianie narzędzia:** manager ponownie sprawdza regulamin, podwykonawców, retencję, trening modeli, lokalizację przetwarzania i możliwość usunięcia danych.

Jeżeli AI ma wpływać na interpretację wariantu, priorytetyzację przypadków albo informację kierowaną do pacjenta, nie jest to już zwykłe wsparcie administracyjne. **Taki zakres wymaga osobnego projektu klinicznego i technicznego**, w tym sprawdzenia deklarowanego przeznaczenia narzędzia, podstaw prawnych, jakości i odpowiedzialności. Ja bym nie rozszerzał pilotażu administracyjnego na ten obszar jednym aneksem do procedury.

Praktyczny opis punktów zatrzymania znajdziesz też w materiale o [human-in-the-loop w placówce medycznej](/dane-i-bezpieczenstwo/kontrola-czlowieka-ai). W genomice dodaj jedną ważną zasadę: **czasem najlepszą decyzją człowieka jest niewpuszczenie danych do automatyzacji**, a nie późniejsze poprawienie odpowiedzi.

## Pytania do IOD, dostawcy i właściciela diagnostyki

Rozmowa z dostawcą nie powinna zaczynać się od dokładności modelu. Najpierw potrzebujesz odpowiedzi, **kto określa cel i sposób przetwarzania**, **jakie podmioty zobaczą dane** oraz **czy materiał będzie używany poza usługą placówki**. Brak precyzyjnej odpowiedzi oznacza zatrzymanie procesu, nie „warunek do uzupełnienia po wdrożeniu”.

Te pytania warto zamknąć na piśmie. Sama zgoda pacjenta nie jest uniwersalnym rozwiązaniem; UODO wskazuje, że przy genomice opieranie się wyłącznie na zgodzie może być niewystarczające, między innymi ze względu na jej odwołalność i znaczenie danych dla krewnych. **IOD powinien potwierdzić właściwą podstawę i warunek dla szczególnej kategorii danych**, a **prawnik lub osoba odpowiedzialna za zgodność powinna ocenić umowy** dla konkretnego procesu.

1. **Jaki dokładnie jest cel?** Czy chodzi o administracyjny status zlecenia, analizę techniczną, interpretację kliniczną, badanie naukowe czy rozwój modelu? Każdy cel wymaga osobnej oceny.
2. **Kto jest administratorem, podmiotem przetwarzającym i dalszym podmiotem?** Poproś o pełną listę ról, podwykonawców oraz wskazanie, kto faktycznie określa cel i sposób użycia danych.
3. **Co dopuszcza umowa?** Sprawdź powierzenie przetwarzania, poufność, środki bezpieczeństwa, prawo do audytu, zasady incydentów, usuwanie po zakończeniu usługi i odpowiedzialność za podwykonawców.
4. **Czy dane służą do trenowania lub ulepszania modelu?** Odpowiedź ma obejmować wejścia, wyjścia, telemetrię, logi, kopie zapasowe oraz możliwość trwałego wyłączenia wtórnego wykorzystania.
5. **Gdzie dane są przetwarzane i jak długo pozostają?** Ustal lokalizację, transfery, retencję, backupy, klucze szyfrujące i sposób potwierdzenia usunięcia.
6. **Jak placówka realizuje przejrzystość i prawa osoby?** Sprawdź obowiązek informacyjny, konsekwencje wycofania zgody, źródła danych o krewnych oraz sposób obsługi żądania dostępu, ograniczenia lub usunięcia tam, gdzie ma zastosowanie.
7. **Czy potrzebna jest ocena skutków i kto akceptuje ryzyko resztkowe?** IOD powinien ocenić, czy charakter, skala i technologia procesu wymagają DPIA; decyzja oraz zabezpieczenia muszą być udokumentowane.
8. **Kto odpowiada klinicznie?** Jeżeli narzędzie klasyfikuje warianty, priorytetyzuje przypadki lub wpływa na treść dla pacjenta, właściciel diagnostyki powinien potwierdzić przeznaczenie, walidację, nadzór i zasady zatrzymania.

## Czego nie wolno wklejać do zewnętrznego modelu

Metryką gotowości nie jest liczba dobrych odpowiedzi AI. Jest nią **kompletna, zrozumiała dla zespołu lista zakazanych wejść** oraz techniczne lub proceduralne blokady, które utrudniają ich użycie. Lista powinna obejmować format pliku, treść skopiowaną do okna czatu, zdjęcie ekranu i tekst przepisany ręcznie — **zmiana kanału nie zmienia charakteru danych**.

Do zewnętrznego, niezatwierdzonego modelu nie wklejamy ani nie przesyłamy:

- **surowych sekwencji oraz plików FASTQ, BAM, CRAM i VCF**;
- **raportów genetycznych, tabel wariantów i opisów patogeniczności**;
- **wyników badań, skanów dokumentacji i kart konsultacji genetycznej**;
- **wywiadów rodzinnych, rodowodów, informacji o chorobach krewnych i stopniu pokrewieństwa**;
- **próśb o wyliczenie ryzyka, interpretację wariantu, diagnozę, kwalifikację lub rekomendację leczenia dla konkretnej osoby**;
- **danych osoby z kodem próbki, numerem zlecenia, identyfikatorem EDM lub innym kluczem umożliwiającym powiązanie**;
- **zestawień łączących dane genetyczne z wiekiem, miejscem leczenia, rzadką chorobą lub innymi cechami zwiększającymi ryzyko identyfikacji**;
- **informacji genetycznych osoby zmarłej, jeśli mogą ujawniać dane lub ryzyko dotyczące żyjących krewnych**;
- **materiałów do „anonimizacji przez AI”**, jeśli model miałby najpierw zobaczyć pełną treść;
- **realnych danych testowych, przykładów szkoleniowych i zgłoszeń błędów wysyłanych do dostawcy**, dopóki zatwierdzony proces nie określa zakresu, celu i zabezpieczeń.

Tę listę należy wpisać do polityki AI, szkolenia personelu i instrukcji zgłaszania wyjątków. **Pracownik powinien wiedzieć, dokąd eskalować dokument**, a nie tylko czego nie wolno zrobić. Jeżeli placówka może wdrożyć filtr załączników, ograniczenie kopiowania albo zatwierdzony kanał wsparcia, procedura zyskuje **realne zabezpieczenie zamiast samego zakazu na slajdzie**.

Test procesu wykonuj na syntetycznych nazwach statusów i pustych formularzach, bez sekwencji, wariantów oraz historii rodzinnej. Nie próbuj udowadniać bezpieczeństwa przez wgranie „jednego przykładu”. **Zero realnych danych genetycznych w teście** jest sensowniejszą metryką niż liczba wygenerowanych podsumowań.

## Kiedy granica jest ważniejsza od wygody

**To ma sens, gdy…** AI porządkuje wyłącznie **neutralne zadania administracyjne lub ogólne procedury**, a placówka ma zatwierdzony cel, minimalny zakres pól, jasne role, umowy, retencję i ścieżkę eskalacji. Treść genetyczna pozostaje w przeznaczonym do tego środowisku, a **człowiek zatwierdza każdą decyzję kliniczną**.

**To nie ma sensu, gdy…** zespół zaczyna od usunięcia nazwiska z raportu i zakłada, że reszta jest anonimowa, albo dostawca nie odpowiada wprost na pytania o trening, logi i podwykonawców. **Późniejsza kontrola lekarza nie cofnie nieuprawnionego wejścia**, a wygodne streszczenie nie uzasadnia utraty kontroli nad danymi pacjenta i jego rodziny.

Zatrzymaj projekt także wtedy, gdy nie da się wskazać właściciela procesu, podstawy przetwarzania, sposobu usunięcia danych albo osoby uprawnionej do interpretacji. **Brak odpowiedzi jest wynikiem oceny**, nie zaproszeniem do testu „na chwilę”. Przy genomice ostrożność nie jest oporem wobec technologii; jest warunkiem odpowiedzialnego użycia.

## Pierwszy krok: rozmowa bez narzędzia i bez danych

Pierwszy warsztat może trwać 45 minut i nie potrzebuje demonstracji produktu. Przy stole powinni usiąść **manager placówki, IOD oraz właściciel procesu diagnostycznego**; w razie potrzeby dołącza osoba od bezpieczeństwa albo umów. Ja zacząłbym od jednego konkretnego przepływu, na przykład odbioru wyniku z laboratorium i przygotowania konsultacji.

W czasie spotkania podejmijcie trzy decyzje:

1. **Klasyfikacja:** przypiszcie każdy dokument i pole do kategorii no-touch, możliwe po minimalizacji albo ogólna treść bez danych pacjenta.
2. **Odpowiedzialność:** wskażcie, kto zatwierdza cel, pola, umowę, dostęp, interpretację i komunikację z pacjentem.
3. **Blokada i eskalacja:** ustalcie, jak pracownik rozpoznaje zakazane wejście, gdzie je zgłasza i kto może odblokować zmianę procesu.

Po warsztacie manager powinien mieć jeden dokument: matrycę granic, listę zakazanych wejść, rejestr umów i zgód do sprawdzenia oraz terminy odpowiedzi. Proponowane metryki na start to **100% używanych narzędzi przypisanych do właściciela**, **100% istotnych umów i ról zweryfikowanych przed użyciem** oraz **zero realnych danych genetycznych w testach**. Nie są obietnicą efektu biznesowego; pokazują, czy placówka odzyskała kontrolę nad procesem.

Dopiero gdy te warunki są spełnione, warto rozważać narzędzie dla neutralnej warstwy administracyjnej. Jeśli choć jeden czerwony materiał nie ma jasnej blokady, **nie uruchamiałbym integracji**. W genomice dobra decyzja wdrożeniowa często brzmi: „tego etapu nie automatyzujemy”.

## Źródła

- [UODO — „Wrażliwe dane osobowe w dobie genomiki”](https://www.uodo.gov.pl/pl/531/4426), 12.06.2026. Oficjalna relacja z wykładu eksperckiego wyjaśnia niezmienność danych genetycznych, ich znaczenie dla krewnych, wysokie ryzyko utraty kontroli, trudność anonimizacji oraz potrzebę jasnego przypisania ról; dostęp: 2026-07-10.
- [UODO — „Czy AI to zagrożenie dla danych?” podczas AI & MEDTECH CEE 2026](https://uodo.gov.pl/pl/138/4422), 10.06.2026. Świeże stanowisko polskiego organu nadzorczego: ryzyko pojawia się, gdy organizacja traci kontrolę nad celem, zakresem i odpowiedzialnością, dlatego decyzje prawne i organizacyjne powinny poprzedzać wybór narzędzia; dostęp: 2026-07-10.
- [Pacjent.gov.pl — „Nie przekazuj AI swoich danych”](https://pacjent.gov.pl/aktualnosc/nie-przekazuj-ai-swoich-danych), opublikowano i zmodyfikowano 14.05.2026. Materiał Centrum e-Zdrowia ostrzega przed przesyłaniem wyników badań i dokumentacji z danymi osobowymi do narzędzi AI oraz przypomina, że AI nie zastępuje personelu medycznego; dostęp: 2026-07-10.
- [EUR-Lex — Rozporządzenie (UE) 2016/679 (RODO), tekst polski](https://eur-lex.europa.eu/legal-content/PL/ALL/?uri=CELEX%3A32016R0679). Źródło pierwotne dla definicji danych genetycznych w art. 4 pkt 13, zasad minimalizacji i rozliczalności oraz warunków przetwarzania szczególnych kategorii danych w art. 9; dostęp: 2026-07-10.
- Zdjęcie okładkowe: [Edward Jenner na Pexels](https://www.pexels.com/photo/two-scientists-working-inside-the-laboratory-4031694/), ID 4031694. Spokojna scena specjalistów analizujących dane w laboratorium, bez sensacyjnego kontekstu; dostęp: 2026-07-10.
