Obecnie obowiązującymi aktami prawnymi są: Ustawa z dnia 10 maja 2018 r. o Ochronie Danych Osobowych oraz Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Stosowanie ww. aktów daje szansę na usystematyzowanie procesów dotyczących przetwarzania danych osobowych, co powinno uporządkować tę kwestię w branży badań klinicznych. Czy to pomogło?
Badania kliniczne traktowane są jako badania naukowe. Pozwala to na wykorzystanie przez podmioty prowadzące badania kliniczne niektórych wyłączeń przewidzianych przez RODO. Z jednej strony zapisy ustawy wzmacniają ochronę danych, obejmując prawo do dostępu do danych osobowych, a także ich poprawiania i wycofywania, z drugiej natomiast wprowadzają ograniczenie tych praw.
W badaniach klinicznych ochrona danych klinicznych jest ważnym elementem w związku z przetwarzaniem danych szczególnych. Rozporządzenie wskazuje katalog tych danych, a ich naruszenie może mieć poważniejsze konsekwencje niż w przypadku naruszenia zwykłych danych osobowych.
Ośrodek badań może pełnić funkcję Administratora danych i/lub Procesora, czyli podmiotu, któremu powierzono przetwarzanie danych osobowych. W stosunku do danych własnych pracowników i danych potencjalnych Uczestników wykorzystywanych na etapie rekrutacji do badania jest on Administratorem.
W myśl definicji za Administratora (art. 4 pkt 7 RODO) można uznać Sponsora badania klinicznego, który jest odpowiedzialny za podjęcie, prowadzenie i finansowanie badania klinicznego (art. 2 ust. 37a Prawa farmaceutycznego) i spełnia przesłanki z rozporządzenia unijnego. Z tego względu najsensowniejsze wydaje się przyjęcie, że Badacz/Ośrodek jest Procesorem ze strony Sponsora w zakresie przetwarzania danych osobowych uczestników badania. W zależności od tego, czy umowa pomiędzy Sponsorem a Ośrodkiem jest szczegółowa czy ogólna procesor, uzyskuje zgodę lub jedynie informuje o dalszym powierzaniu danych do pod-procesorów.
Badacz/Ośrodek w badaniach przetwarza dane osobowe na zlecenie, w imieniu i celu wyznaczonym przez administratora (art. 4 pkt 8 RODO). Do takiej interpretacji skłania się również środowisko badań klinicznych. Należy zaznaczyć, że Sponsor ma dostęp do danych medycznych pozbawionych możliwości identyfikacji. Dane pseudonimizowane są wyraźnie traktowane przez RODO jako dane osobowe, co związane jest z odwracalnością tej techniki szyfrowania. W praktyce, pomimo zapisów RODO i wielu spotkań branżowych, opinii i interpretacji, wciąż budzi wątpliwości rola ośrodka badawczego w przetwarzaniu danych osobowych pozyskiwanych w trakcie realizacji badania klinicznego. Nadal można znaleźć zapisy opinii prawnych, że ośrodki w badaniach klinicznych działają jako samodzielni Administratorzy danych osobowych.
Z naszego doświadczenia wynika, że nie ma jednej zasady. Zapisy rozporządzenia wciąż są interpretowane na różne sposoby i na podstawie rozbieżnych opinii prawnych.
Powierzenie danych często uregulowane jest zapisami w umowie głównej, a nie osobną umową, co nie zawsze właściwie reguluje ten proces. W dokumentach pojawiają się czasami zapisy sugerujące współadministrowanie danych przez Sponsora i Badacza w rozumieniu RODO. Nie jest to rekomendowany podział ze względu na rzeczywiste działania.
Ośrodek/Badacz jako Procesor
Jako Procesor Ośrodek/Badacz przetwarza dane Uczestników badań klinicznych wyłącznie na polecenie Administratora i w celu przez niego wyznaczonym. Stosujemy RODO poprzez zwrócenie szczególnej uwagi na bezpieczeństwo danych, pogłębianie świadomości personelu i tworzenie niezbędnych dokumentów, jak m.in. rejestru kategorii czynności przetwarzania. W celu potwierdzenia zgodności naszych działań z RODO, poddajemy się audytom i jednocześnie sami kontrolujemy naszych podwykonawców, przeprowadzając ich regularne audyty.
Przez odpowiednie środki techniczne i organizacyjne pomagamy Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie jej praw. Jako Procesor zapewniamy naszych Administratorów o zachowaniu tajemnicy przez osoby przez nas upoważnione do przetwarzania danych osobowych. Prowadzimy rejestr ujawnień, posiadamy instrukcje postępowania w przypadku naruszeń i incydentów, a także posiadamy formularze pozwalające na dokumentowanie potencjalnych zdarzeń. Jeszcze raz podkreślono różnicę pomiędzy zgodą na udział w badaniu klinicznym, a zgodą na przetwarzanie danych osobowych oraz aspekty ich wycofania.
Ośrodek jako Administrator
Jako Ośrodek badań klinicznych faz wczesnych prowadzimy bazę danych osobowych i medycznych (szczególnych) potencjalnych Uczestników badań oraz bazę członków zespołu badawczego i naszych pracowników, która zawiera CV i informacje o ich doświadczeniu. W stosunku do tych danych jesteśmy Administratorem. Przetwarzanie danych w tym zakresie odbywa się po wyrażeniu wyraźnej zgody osoby, której dane dotyczą lub na podstawie umów zawartych z takimi osobami i skutkuje koniecznością stosowania najwyższych środków zabezpieczeń w zakresie technicznym i organizacyjnym.
Nasz Ośrodek jako Administrator prowadzi rejestr czynności przetwarzania, jak i wcześniej wspomniany rejestr ujawnień danych osobowych. Każdy pracownik Ośrodka przechodzi gruntowne szkolenie dotyczące RODO ze szczególnym uwzględnieniem ochrony i zapewnienia integralności danych, a także reagowania na incydenty i naruszenia zgodnie z obowiązującymi instrukcjami.
Nasz Ośrodek spełnia obowiązek informacyjny wobec osób, których dane przetwarza, przed wyrażeniem przez nie zgody, poprzez udostępnianie klauzuli informacyjnej. Weryfikujemy nasze rejestry czynności i analizy ryzyka pod względem potrzeby przeprowadzenia oceny skutków dla ochrony danych i jesteśmy stale gotowi na zgłaszanie potencjalnych naruszeń do organu nadzorczego.
W styczniu 2019 r. opublikowano oficjalną Opinię nr 3/2019 Europejskiej Rady Ochrony Danych dotyczącą wzajemnych relacji pomiędzy Rozporządzeniem Parlamentu Europejskiego i Rady UE nr 536/2014 oraz Rozporządzeniem Parlamentu Europejskiego i Rady UE nr 2016/679. Opinia pozostawia wiele otwartych pytań i daje możliwość różnych interpretacji, a tym samym dalszych niejasności. Nie odnosi się ona do wielu istotnych kwestii i problemów Ośrodków prowadzących badania kliniczne, jak na przykład nie wskazuje wyraźnie administratora danych w badaniach klinicznych, czy też zasad korzystania z usług stron trzecich. W Opinii wyraźnie stwierdza się odrębność świadomej zgody na udział w badaniu klinicznym (art. 28 RBK) od zgody na przetwarzanie danych w związku z udziałem w badaniu (art. 6 ust. 1 lit. a oraz art. 9 ust. 2 lit. a RODO), która w szczególności ma zapewniać jej dobrowolność oraz realną możliwość wyboru. Jeszcze raz podkreślono różnicę na zgodę na udział w badaniu klinicznym i wycofania zgody na przetwarzanie danych. Przywołana opinia jest dobrym krokiem do zmiany i wyznacza właściwy kierunek do dalszego regulowania kwestii związanych z ochroną danych osobowych w badaniach klinicznych.
Artykuł został opracowany na podstawie własnych doświadczeń i artykułów autorstwa: Hanna Markiewicz, Michał Chodorek, Marek Świerczyński, 06.2018 i Gniewomir Wycichowski-Kuchta, Jan Pachocki, Wiktor Krzymowski, 03.2019.
Autor:
Alicja Szczygieł-Jamińska
BioResearch Group
-------------------------------------------------------------
Artykuł pochodzi z najnowszego wydania kwartalnika Biotechnologia.pl nr 4/2019.
Cały kwartalnik dostępny jest TUTAJ
KOMENTARZE