O praktycznych aspektach wdrożenia RODO. Dla firm prowadzących badania kliniczne słów kilka

Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (…), dalej zwane „RODO”, znajdzie zastosowanie od 25 maja 2018 r. Wraz ze zbliżaniem się tego terminu dostępnych jest coraz więcej praktycznych wskazówek jak wdrożyć zasady RODO, także w podmiotach prowadzących badania kliniczne w Polsce. O poważnych konsekwencjach niestosowania reguł RODO nie będziemy tu przypominać, poniżej zebrane zostały praktyczne wskazówki istotne dla skutecznego i efektywnego zastosowania RODO.

GIODO wskazuje, że podmioty prowadzące badania kliniczne powinny przeprowadzić ocenę skutków dla ochrony danych (DPIA)

W opublikowanym niedawno przez GIODO dokumencie „Proponowany wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych” wskazano, że monitorowanie danych dotyczących zdrowia pacjentów uzasadnia przeprowadzenie procedury DPIA (Ocenę skutków dla ochrony danych, z ang. Data Protection Impact Assessment). Zasady przeprowadzenia DPIA zostały określone w art. 35 RODO. DPIA oznacza konieczność przeprowadzenia audytu i przygotowania raportu zawierającego co najmniej systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, ocenę czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw i wolności uczestników badania klinicznego, środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia i środki bezpieczeństwa. Dokument opisujący wykonanie oceny ryzyka dla przetwarzania danych (DPIA) podmioty przetwarzające dane osobowe powinny przygotować przed rozpoczęciem przetwarzania danych osobowych, a zatem do 25 maja 2018 r. Czasu zostało już niewiele.
  Zalecenie przeprowadzenia oceny ryzyka dla przetwarzania danych skierowane jest do podmiotów prowadzących badania kliniczne, a zatem zarówno do ośrodków (publicznych szpitali i prywatnych ośrodków badań klinicznych), jak i do firm CRO oraz spółek córek koncernów farmaceutycznych (działających jako CRO). W niektórych przypadkach uzasadnione będzie wykonanie procedury DPIA przez sponsorów na poziomie europejskim i objęcie w części tej oceny także operacji przetwarzania danych osobowych w Polsce.

Badanie kliniczne jest badaniem naukowym w rozumieniu RODO

RODO przewiduje szereg wyjątków dla badań naukowych, które z uwagi na swoją specyfikę czasami muszą być prowadzone z wykorzystaniem danych osobowych. Prowadzenie badania klinicznego traktowane jest jako badanie naukowe, co pozwala na skorzystanie z niektórych wyjątków przewidzianych przez RODO przez podmioty prowadzące badania kliniczne.
  RODO przewiduje, że prowadzenie badania naukowego może uzasadniać przetwarzanie danych osobowych, bez dodatkowej zgody osoby, której dane dotyczą.

Gdyby zatem, zastosować RODO w oderwaniu od przepisów prawa farmaceutycznego, można by prowadzić badanie kliniczne i w tym celu przetwarzać dane osobowe uczestników, wyłącznie w oparciu o ICF (zgodę na udział w badaniu klinicznym), bez konieczności zbierania dodatkowej zgody na przetwarzanie danych osobowych.

Takie rozwiązanie wydaje się logiczne, gdyż trudno znaleźć przekonujące argumenty za sensem rozdzielnia zgody na udział w badaniu klinicznym i zgody na przetwarzanie danych osobowych w badaniu klinicznym.
  W innych krajach UE, zgoda na udział w badaniu jest jednoznaczna ze zgodą na przetwarzanie danych osobowych. Jako że Ministerstwo Zdrowia deklaruje obecnie chęć ułatwienia prowadzenia badań klinicznych w Polsce, to jako kolejny postulat, po likwidacji obowiązku składania zawartych umów do wniosków o pozwolenie na prowadzenie badania klinicznego, zgłaszam wniosek o likwidację obowiązku zbierania oddzielnych zgód na przetwarzanie danych osobowych uczestników badań!!!
  Należy także odnotować, że RODO pozwala w przypadku badań naukowych na wykorzystywanie danych osobowych w innych celach niż zostały zebrane. Jest to wyjątek od zasady ograniczenia celu przetwarzania danych osobowych, która oznacza, że dane mogą być przetwarzane wyłącznie w celu, w jakim zostały zebrane. To uprawnienie może okazać się szczególnie istotne dla firm prowadzących badania naukowe nad nowymi produktami leczniczym, gdyż może pozwolić na wykorzystanie wcześniej zebranych danych bez konieczności uzyskiwania ponownej zgody na analizę danych.
  Na uwagę zasługują przepisy RODO, które w przypadku przetwarzania danych osobowych w badaniach naukowych pozwalają na ograniczenia w stosowaniu przepisów o obowiązku informacyjnym, prawa do bycia zapomnianym czy prawa do sprzeciwu. Ograniczenia te mogą okazać się bardzo pomocne dla podmiotów prowadzących badania kliniczne, gdy uczestnicy badań będą chcieli w sposób nadmierny korzystać z uprawnień danych im w RODO. W przypadku przetwarzania danych do celów naukowych każde państwo członkowskie może przewidzieć wyjątki od praw osób, których dane dotyczą. Polski ustawodawca dotychczas nie za proponował żadnych dodatkowych wyjątków dla prowadzenia badań klinicznych.

Bazy danych

Podmioty prowadzące badania kliniczne w Polsce zazwyczaj stosują co najmniej trzy następujące bazy danych: bazę uczestników badań klinicznych, bazę członków zespołów badawczych i bazę osób zgłaszających zdarzenia niepożądane. Poniżej, omówię kilka istotnych wskazówek do każdej z nich.

I. Baza uczestników badań klinicznych
a. Dane uczestników badania klinicznego przetwarzane w trakcie badania klinicznego są danymi szczególnymi (dawniej nazywanymi danymi wrażliwymi). Przetwarzanie danych szczególnych wg RODO jest zabronione, chyba że wystąpi jeden z wymienionych w rozporządzeniu wyjątków np. wyraźna zgoda osoby, której dane dotyczą lub przetwarzanie do celów badania naukowego. Przetwarzanie przez podmioty prowadzące badania kliniczne danych szczególnych skutkuje koniecznością wdrożenia bardziej rygorystycznych środków zabezpieczeń w zakresie środków technicznych i organizacyjnych.
b. Uznaje się, że sponsor jest administratorem danych osobowych uczestników badania klinicznego. Zazwyczaj przetwarzane dane osobowe uczestnika badania klinicznego podlegają zakodowaniu przez badacza w ośrodku badawczym i sponsor otrzymuje od badacza wyłącznie informacje medyczne dotyczące uczestnika badania rozpoznawanego tylko po kodzie. Czasami do sponsora przekazywane są inicjały, data urodzenia i płeć. Badacz nie przekazuje sponsorowi badań klinicznych danych osobowych uczestników ani nie przekazuje klucza do kodów nadanych uczestnikom badania klinicznego. Jednakże, w celu monitorowania badania, sponsor wysyła do ośrodka badawczego swoich pracowników lub osoby zatrudnione na innej podstawie niż umowa o pracę, w celu sprawdzenia poprawności zapisów w dokumentacji badania (CRF) z dokumentami źródłowymi (np. dokumentacją medyczną). W trakcie monitorowania, monitor ma dostęp do danych osobowych uczestnika badania, które wynikają z jego dokumentacji medycznej. Monitor nie utrwala danych osobowych uczestników badań klinicznych ani nie tworzy na ich podstawie bazy danych. W praktyce, monitor otrzymuje w ośrodku segregator, w którym gromadzone są wyniki badań zawierające imię i nazwisko uczestnika a także zgoda na udział w badaniu zawierająca dane osobowe uczestnika. Przyjmując definicję przetwarzania danych z RODO (przetwarzanie to także taka operacja jak organizowanie, porządkowania, przechowywanie, przeglądanie, wykorzystywanie), trudno uznać, że monitor (pracownik sponsora lub CRO) nie ma dostępu do danych osobowych uczestnika. Nie zmienia tej oceny fakt, że sponsor, za wyjątkiem monitora, ma dostęp wyłącznie do danych medycznych zebranych w trakcie badania klinicznego, w których uczestnicy badania oznaczeni są numerami kodów. Takie dane statystyczne podlegają analizie i są przesyłane czasami do krajów trzecich. Odkodowania uczestnika badań klinicznych może dokonać, na polecenie sponsora, wyłącznie badacz, który dysponuje kluczem do kodów nadanych uczestnikowi badania klinicznego. Odkodowania uczestnika badania klinicznego nie może dokonać samodzielnie sponsor.

Powyższe stanowisko skutkuje obowiązkiem zastosowania przez sponsora wymogów RODO, zarówno w zakresie współpracy z firmą prowadzącą badanie kliniczne w Polsce (zawarcie odpowiedniej umowy powierzenia danych), jak i wdrożenia odpowiednich środków technicznych i organizacyjnych w zakresie zabezpieczeń danych. W konsekwencji, podmioty prowadzące badania kliniczne w Polsce muszą być gotowe na stosowanie RODO np. w zakresie prowadzenia rejestru czynności przetwarzania, powołania inspektora danych osobowych, przeprowadzenia DPIA (punkt 2), gotowości do realizowania praw uczestników badań w terminie 1 miesiąca i wiele innych wynikających z RODO.

c. Pewne wątpliwości budzi rola ośrodka badawczego w przetwarzaniu danych osobowych uczestników badania klinicznego. Można znaleźć uzasadnienie do przyjęcia, że ośrodki w badaniach klinicznych działają jako samodzielni administratorzy danych osobowych w zakresie dokonywania rozliczeń finansowych kosztów udziału uczestników w badaniu klinicznych, jako współadmnistratorzy lub jako procesorzy sponsora. W celu uniknięcia sytuacji, w której sponsor będzie ponosił odpowiedzialność za działania i zaniechania ośrodka w zakresie stosowania przepisów RODO zasadne jest przeprowadzenie wewnętrznego audytu w tym zakresie, ustalenie sposobu współpracy z ośrodkami i zawarcie, w zależności od przyjętego rozwiązania prawnego, stosownych aneksów do umów o prowadzenie badań klinicznych lub zawarcie umów powierzenia przetwarzania danych osobowych. W tym miejscu warto zwrócić uwagę na okoliczność, że podmioty publiczne mają mieć ograniczoną karę administracyjną do 100.000 zł, a zatem ryzykują mniej niż podmioty prowadzące badania kliniczne (4% rocznego światowego obrotu lub 20 mln Euro). Z tego względu, w interesie podmiotów uczestniczących w prowadzeniu badań klinicznych jest rozdzielenie odpowiedzialności z tytułu przetwarzania danych między sponsorem a ośrodkiem badawczym.
d. Badacz przetwarzając dane osobowe uczestników badania klinicznego działa na zlecenie sponsora, który decyduje o zakresie i sposobie przetwarzania danych osobowych uczestnika badania. Z tego względu wydaje się, że najbardziej trafnym jest przyjęcie, że pełni on rolę procesora sponsora w zakresie przetwarzania danych osobowych uczestników badania. Powyższe skutkuje obowiązkiem zawarcia pomiędzy pomiotem prowadzącym badania kliniczne a badaczem stosownej umowy powierzenia przetwarzania danych osobowych. Badacz może jednocześnie pełnić rolę procesora danych osobowych wobec ośrodka badawczego, w szczególności w zakresie prowadzenia dokumentacji medycznej czy przetwarzania danych w celach dokonania rozliczenia finansowego.
e. W wypowiedziach osób zajmujących się przetwarzaniem danych osobowych czasami pojawia się koncepcja, że dane osobowe uczestników badania klinicznego są przetwarzane przez sponsora, ośrodek i badacza działających jako współadministratorzy w rozumieniu RODO. Taka sytuacja jest możliwa teoretycznie ale osobiście mam wątpliwości co do praktycznego zastosowania przepisów o współadministratorach. Po pierwsze, współadministratorzy muszą dokonać wspólnych uzgodnień celów i sposobu przetwarzania danych, co minimum obejmuje: (i) obowiązki w zakresie wykonywania przez uczestnika przysługujących mu praw; (ii) obowiązki informacyjne współadministratorów (art. 13 i 14 RODO). Obawiam się, że dokonanie takich uzgodnień między sponsorem, ośrodkiem i badaczem, w formie umowy, może być trudne do ustalenia, zwłaszcza z dużymi szpitalami publicznymi, które muszą zaangażować do oceny aneksu prawników, administrację i pewnie nawet organy założycielskie. Negocjacje mogą być tym trudniejsze, jeżeli ośrodki nie zgodzą się pełnić roli współadministratorów, co jest całkiem prawdopodobne, gdyż przepisy nie określają konsekwencji pełnienia takich funkcji. Po drugie, RODO nie określa zasad podziału odpowiedzialności w razie naruszenia przepisów przez jednego ze współadministratorów – czy konsekwencje w zakresie kar np. dotyczą tylko tego współadministratora czy obu? Należy pamiętać, że podmioty publiczne mają ograniczoną karę administracyjną do 100.000 zł, a zatem ryzykują mniej niż sponsor/CRO (4% światowego rocznego obrotu lub 20 mln Euro). Zgodnie z art. 82 ust. 4 RODO jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator, ponoszą oni odpowiedzialność solidarną. Przyjęcie koncepcji przetwarzania danych osobowych uczestników przez współadministratorów oznacza jednoznacznie, że ośrodek, sponsor i badacz wspólnie przetwarzają tę samą bazę danych. Art. 82 ust. 3 RODO przewiduje możliwość zwolnienia się z odpowiedzialności poprzez wykazanie braku winy za zdarzenie, które doprowadziło do szkody lub prawo regresu (ust. 5), ale ryzyko odpowiedzialności za działania innego współadministartora pozostaje. To ryzyko może być trudne do zaakceptowania przez sponsorów i CRO.

II. Baza danych członków zespołów badawczych
Baza danych członków zespołów badawczych jest bazą danych zwykłych zawierającą CV członków zespołów badawczych i informacje o ich doświadczeniu. Przetwarzanie takich danych powinno odbywać się o w oparciu o odpowiednie podstawy legalizacyjne – np. zgodę osoby, której dane dotyczą lub na podstawie umów zawartych z takimi osobami. Szczególnej uwagi wymaga sprawdzenie czy w podmiotach prowadzących badania kliniczne nie dochodzi do przetwarzania danych osobowych członków zespołów badawczych przed pozyskaniem stosownej zgody na przetwarzanie danych osobowych lub nawet bez uzyskania zgody i bez zawarcia umowy o współpracy. Powszechna jest sytuacja, gdy dochodzi do zbierania CV potencjalnych członków zespołów badawczych bez uzyskiwania zgód na przetwarzanie danych osobowych. Dość często, dane osobowe członków zespołów badawczych są przetwarzane przez CRO lub sponsora, w trakcie prowadzenia badania klinicznego, bez uzyskania zgód na przetwarzanie danych a także bez zawarcia umowy o współpracy (która zawierana jest dopiero w momencie wypłaty wynagrodzenia). Taka praktyka jest nieprawidłowa i RODO wymusi w tym zakresie daleko idące zmiany w sposobach funkcjonowania podmiotów prowadzących badania kliniczne.

III. Baza danych osób zgłaszających działania niepożądane
Baza danych osób zgłaszających działania niepożądane jest prowadzona na podstawie przepisów prawa farmaceutycznego, co stanowi podstawę legalizacyjną do przetwarzania danych osobowych niezbędnych do przyjęcia zgłoszenia działania niepożądanego. W tej bazie najczęściej nieprawidłowości dotyczą braku upoważnienia przez sponsora dla podmiotu prowadzącego badania kliniczne w Polsce do prowadzenia bazy danych, przetwarzania danych w zakresie szerszym niż niezbędny do prowadzenia danych a także zasad transferu danych osobowych poza granice UE do państw trzecich.

Badacze prowadzący działalność gospodarczą

Należy pamiętać, że od daty zastosowania RODO, dane osobowe osób fizycznych prowadzących działalność gospodarczą także podlegają ochronie w zakresie danych osobowych. W stosunku do wszystkich lekarzy prowadzących działalność gospodarczą, których dane przetwarzają podmioty prowadzące badania kliniczne konieczne jest zatem pełne wdrożenie zasad określonych przez RODO.

Ocena stanu przygotowania do RODO

Podsumowując powyższe informacje, liczę że osoby zajmujące się wdrażaniem zasad RODO w podmiotach prowadzących badania kliniczne, znajdą w nich praktyczne wskazówki. Aby uzmysłowić sobie stan przygotowania naszej organizacji prowadzącej badania kliniczne do stosowania RODO warto odpowiedzieć sobie na następujące pytania:
a. Czy została w naszej organizacji wykonana ocena skutków dla ochrony danych osobowych?
b. Czy zostały przygotowane umowy powierzenia przetwarzania danych z procesorami danych?
c. Czy jako organizacja jesteście w stanie wskazać i obronić podstawę prawną dla każdego rodzaju danych, każdego celu, w jakim dane są przetwarzane?
d. Czy jako organizacja mamy możliwość udzielenia odpowiedzi na żądania osób, których dane dotyczą w terminie 1 miesiąca?
e. Czy została wyznaczona osoba odpowiedzialna za regularne testowanie i ocenę skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania?