Wyzwania wprowadzenia RODO dla firm prowadzących badania kliniczne
Wraz z wejściem w życie Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) w maju 2018 roku, firmy prowadzące badania kliniczne w Polsce stanęły przed koniecznością dostosowania swoich praktyk przetwarzania danych do nowych, rygorystycznych wymogów. RODO wprowadza szereg obowiązków i ograniczeń, które muszą być spełnione, aby legalnie przetwarzać dane osobowe uczestników badań klinicznych.
Zgodnie z informacjami opublikowanymi przez kancelarię prawną ZFLegal, podmioty prowadzące badania kliniczne w Polsce muszą być przygotowane na stosowanie RODO w wielu obszarach swojej działalności. Dotyczy to m.in. prowadzenia rejestru czynności przetwarzania, powołania inspektora ochrony danych, przeprowadzenia oceny skutków dla ochrony danych (DPIA) oraz realizowania praw uczestników badań w wymaganych terminach.
Szczególne wyzwania wiążą się z określeniem ról i odpowiedzialności poszczególnych podmiotów zaangażowanych w badania kliniczne – sponsorów, ośrodków badawczych oraz badaczy. Niejasności w tym zakresie mogą prowadzić do sporów o to, kto ponosi odpowiedzialność za naruszenia RODO i związane z tym wysokie kary administracyjne.
Poniżej przedstawiamy praktyczne wskazówki, na co powinny zwrócić szczególną uwagę firmy prowadzące badania kliniczne, aby skutecznie wdrożyć wymagania RODO.
Ocena skutków dla ochrony danych (DPIA)
Jednym z kluczowych obowiązków nałożonych przez RODO na podmioty przetwarzające dane osobowe jest przeprowadzenie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA).
Zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych (GIODO), podmioty prowadzące badania kliniczne powinny dokonać takiej oceny, ponieważ monitorowanie danych dotyczących zdrowia pacjentów uczestniczących w badaniach uzasadnia przeprowadzenie procedury DPIA.
Dokument DPIA powinien zawierać co najmniej:
* systematyczny opis planowanych operacji przetwarzania i celów przetwarzania,
* ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów,
* ocenę ryzyka naruszenia praw i wolności uczestników badania klinicznego,
* środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia i środki bezpieczeństwa.
Podmioty przetwarzające dane osobowe powinny przygotować dokument DPIA przed rozpoczęciem przetwarzania danych osobowych, a więc do 25 maja 2018 roku. Dlatego ważne jest, aby firmy prowadzące badania kliniczne niezwłocznie podjęły kroki w celu wykonania tej oceny.
Role i odpowiedzialność w przetwarzaniu danych
Kluczowym wyzwaniem jest określenie ról i zakresu odpowiedzialności poszczególnych podmiotów zaangażowanych w badania kliniczne – sponsorów, ośrodków badawczych oraz badaczy – w kontekście przetwarzania danych osobowych uczestników.
Zgodnie z interpretacjami ekspertów, sponsor jest administratorem danych osobowych uczestników badania klinicznego. Zazwyczaj przetwarzane dane osobowe uczestnika są kodowane przez badacza w ośrodku badawczym, a sponsor otrzymuje od badacza wyłącznie informacje medyczne, rozpoznawane po kodzie.
Mimo to, sponsor wysyła do ośrodka badawczego swoich pracowników (monitorów) w celu sprawdzenia poprawności zapisów w dokumentacji badania. W trakcie monitorowania monitor ma dostęp do danych osobowych uczestników, wynikających z ich dokumentacji medycznej. Biorąc pod uwagę definicję przetwarzania danych z RODO, taka operacja może być uznana za przetwarzanie danych osobowych przez sponsora.
W tej sytuacji sponsor musi spełnić wymogi RODO, w tym zawrzeć odpowiednią umowę powierzenia danych z firmą prowadzącą badanie klinicznego w Polsce oraz wdrożyć środki techniczne i organizacyjne w zakresie zabezpieczeń danych.
Pojawiają się również wątpliwości co do roli ośrodka badawczego w przetwarzaniu danych osobowych uczestników badania klinicznego. Można rozważać, czy ośrodki działają jako samodzielni administratorzy danych, współadministratorzy lub jako procesorzy sponsora. Aby uniknąć sporów o odpowiedzialność, zasadne jest przeprowadzenie audytu w tym zakresie i zawarcie stosownych umów lub aneksów do umów o prowadzenie badań klinicznych.
Podobne wątpliwości dotyczą roli badacza, który może pełnić funkcję procesora danych osobowych zarówno wobec sponsora, jak i ośrodka badawczego. W tym przypadku konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy podmiotem prowadzącym badania kliniczne a badaczem.
Zgoda na przetwarzanie danych w badaniach naukowych
Jednym z wyjątków przewidzianych przez RODO jest możliwość przetwarzania danych osobowych w ramach badań naukowych bez dodatkowej zgody osoby, której dane dotyczą. Prowadzenie badania klinicznego traktowane jest jako badanie naukowe, co pozwala na skorzystanie z tego wyjątku.
Zgodnie z ekspertami, zgoda na udział w badaniu klinicznym powinna być jednoznaczna ze zgodą na przetwarzanie danych osobowych. Trudno znaleźć przekonujące argumenty za sensem rozdzielania tych dwóch zgód.
Ponadto, RODO pozwala na wykorzystywanie danych osobowych w innych celach niż zostały zebrane, jeśli są one przetwarzane w ramach badań naukowych. To uprawnienie może okazać się szczególnie istotne dla firm prowadzących badania nad nowymi produktami leczniczymi, gdyż może pozwolić na wykorzystanie wcześniej zebranych danych bez konieczności uzyskiwania ponownej zgody.
Warto również odnotować, że RODO przewiduje ograniczenia w stosowaniu niektórych praw osób, których dane dotyczą, takich jak prawo do bycia zapomnianym czy prawo do sprzeciwu, w przypadku przetwarzania danych do celów naukowych. Może to okazać się pomocne dla podmiotów prowadzących badania kliniczne.
Bazy danych w badaniach klinicznych
Podmioty prowadzące badania kliniczne w Polsce zazwyczaj stosują co najmniej trzy główne bazy danych:
1. Bazę uczestników badań klinicznych,
2. Bazę członków zespołów badawczych,
3. Bazę osób zgłaszających zdarzenia niepożądane.
Każda z tych baz niesie ze sobą specyficzne wyzwania związane z wdrożeniem wymagań RODO.
Baza uczestników badań klinicznych zawiera dane szczególne (wrażliwe), takie jak informacje medyczne. Przetwarzanie takich danych wymaga zastosowania bardziej rygorystycznych środków zabezpieczeń w zakresie środków technicznych i organizacyjnych.
Baza danych członków zespołów badawczych zawiera dane zwykłe, takie jak CV i informacje o doświadczeniu. Szczególnej uwagi wymaga weryfikacja, czy w podmiotach prowadzących badania kliniczne nie dochodzi do przetwarzania tych danych bez uzyskania stosownej zgody lub zawarcia umowy o współpracy.
Baza danych osób zgłaszających działania niepożądane jest prowadzona na podstawie przepisów prawa farmaceutycznego. Tutaj potencjalne problemy mogą dotyczyć braku upoważnienia sponsora dla podmiotu prowadzącego badania kliniczne w Polsce do prowadzenia tej bazy lub przetwarzania danych w szerszym zakresie niż niezbędny.
Podsumowując, firmy prowadzące badania kliniczne muszą szczegółowo przeanalizować funkcjonowanie każdej z tych baz danych i wdrożyć odpowiednie środki zapewniające zgodność z wymogami RODO.
Lekarze prowadzący działalność gospodarczą
Warto pamiętać, że od daty zastosowania RODO dane osobowe osób fizycznych prowadzących działalność gospodarczą także podlegają ochronie. Dotyczy to m.in. lekarzy zaangażowanych w prowadzenie badań klinicznych.
W stosunku do wszystkich takich osób konieczne jest pełne wdrożenie zasad określonych przez RODO, co może stanowić dodatkowe wyzwanie dla podmiotów prowadzących badania.
Przygotowanie do wdrożenia RODO – kluczowe pytania
Podsumowując powyższe informacje, autorzy z kancelarii ZFLegal wskazują, że aby ocenić stan przygotowania organizacji prowadzącej badania kliniczne do stosowania RODO, warto rozważyć następujące kluczowe pytania:
- Czy została wykonana ocena skutków dla ochrony danych osobowych (DPIA)?
- Czy zostały przygotowane umowy powierzenia przetwarzania danych z procesorami danych?
- Czy jesteście w stanie wskazać i obronić podstawę prawną dla każdego rodzaju danych i celu przetwarzania?
- Czy macie możliwość udzielenia odpowiedzi na żądania osób, których dane dotyczą, w wymaganym terminie 1 miesiąca?
- Czy została wyznaczona osoba odpowiedzialna za regularne testowanie i ocenę skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania?
Udzielenie satysfakcjonujących odpowiedzi na te pytania może pomóc firmom prowadzącym badania kliniczne w skutecznym wdrożeniu wymagań RODO i uniknięciu poważnych konsekwencji związanych z nieprzestrzeganiem przepisów.
Podsumowanie
Wprowadzenie Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) stawia przed firmami prowadzącymi badania kliniczne w Polsce szereg wyzwań. Kluczowe obszary, na które należy zwrócić szczególną uwagę, to:
- Przeprowadzenie oceny skutków dla ochrony danych osobowych (DPIA),
- Określenie ról i zakresu odpowiedzialności sponsorów, ośrodków badawczych oraz badaczy,
- Wykorzystanie wyjątków dla badań naukowych, takich jak zgoda na przetwarzanie danych,
- Dostosowanie funkcjonowania głównych baz danych w badaniach klinicznych,
- Objęcie ochroną danych osób fizycznych prowadzących działalność gospodarczą.
Systematyczne podejście do wdrażania wymagań RODO oraz ciągłe monitorowanie zmian i wytycznych organów nadzorczych może pomóc firmom prowadzącym badania kliniczne w skutecznym dostosowaniu się do nowych regulacji i uniknięciu poważnych konsekwencji prawnych.
Wdrożenie RODO to złożone wyzwanie, ale także szansa na poprawę bezpieczeństwa danych osobowych i budowanie zaufania pacjentów biorących udział w badaniach klinicznych. Dlatego firmy zajmujące się tworzeniem stron internetowych oraz pozycjonowaniem stron powinny stale śledzić aktualne trendy i wymagania w zakresie ochrony danych, aby zapewnić swoim klientom kompleksowe wsparcie w tym obszarze.
