Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Cz. 1 Badania kliniczne w świetle RODO

Cz. 1 Badania kliniczne w świetle RODO

04.06.2018
Autor: Hanna Markiewicz - Michał Chodorek - Marek Świerczyński
analizy

Rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych osobowych (RODO) wymaga ustalenia zasad przetwarzania danych osobowych uczestników badań klinicznych oraz badaczy i innych członków zespołów badawczych. W niniejszym artykule przedstawiamy podstawowe zagadnienia związane z tematyką przetwarzania danych w badaniach klinicznych, natomiast w kolejnym uzasadnimy interpretację przepisów RODO ułatwiającą prowadzenie badań klinicznych w Polsce.

Problematyczne badania kliniczne

Do tej pory stosowanie przepisów o ochronie danych osobowych do badań klinicznych przysparzało licznych problemów interpretacyjnych, co wielokrotnie podnoszono w doktrynie[1]. Nie ulega jednak wątpliwości, że jedną z istotnych barier dla rozwoju tego sektora w Polsce było właśnie krajowe prawo ochrony danych osobowych, a w szczególności archaiczna już ustawa o ochronie danych osobowych z 1997 r., niejednokrotnie poddawana błędnej wykładni przez organy nadzorcze. Mowa również o rozporządzeniach z 2004 i 2008 r. szczegółowo określających zasady rejestracji zbiorów danych czy wymogi dotyczące środków techniczno-organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych[2], a także innych ustawach szczególnych, które odnoszą się do zasad przetwarzania danych osobowych, m.in. o ustawie o prawach pacjenta.

Niestety stosunkowo nowe sektorowe prawo Unii Europejskiej również nie okazało się pomocne w omawianym zakresie. W rozporządzeniu Parlamentu Europejskiego i Rady (UE) Nr 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE zabrakło określenia szczegółowych zasad przetwarzania danych osobowych uczestników badań, co należy uznać za istotną wadę tej regulacji. Poza jedną wskazówką pojawia się tam tylko odesłanie w art. 93 do przepisów nieaktualnej już dyrektywy 95/46/WE do przetwarzania danych osobowych, które odbywa się w państwach członkowskich – a więc do aktu, który został już zastąpiony przez RODO.

Kliniczne = naukowe

Należy zauważyć, że unijne przepisy regulujące badania kliniczne pomimo swojej lakoniczności w zakresie ochrony danych osobowych wypełniają jednakże jedno podstawowe zadanie. Z jednej strony wzmacniają ich ochronę, obejmując prawo do dostępu do danych osobowych, a także ich poprawiania i wycofywania, z drugiej natomiast wprowadzają ograniczenie tych praw. Ten celowy zabieg umożliwia zachowanie równowagi pomiędzy wiarygodnością danych z badań klinicznych wykorzystywanych do celów naukowych, jak i bezpieczeństwem uczestników badań klinicznych. Jednym z kluczowych rozwiązań zachowania właściwego balansu jest zastrzeżenie, że wycofanie świadomej zgody nie może mieć wpływu na wyniki przeprowadzonych już działań, takich jak przechowywanie i wykorzystywanie danych uzyskanych w oparciu o świadomą zgodę przed jej wycofaniem.

W RODO wzmocnienie ochrony danych wyrażone jest w zamkniętym katalogu przesłanek legalności przetwarzania danych zwykłych (art. 6) oraz szczególnych kategorii danych (art. 9). Wyróżnienie tej drugiej kategorii w postaci danych sensytywnych (wrażliwych), do których zaliczają się dane dotyczące zdrowia, ma znaczenie z uwagi na zawężenie podstaw dopuszczalnego przetwarzania danych oraz zakaz przetwarzania danych tego rodzaju, chyba że wykazano konkretną podstawę ich przetwarzania (art. 9 ust. 2 lit. a-j RODO). Jest to o tyle istotne, że w zbiorach danych osobowych dotyczących badań klinicznych przetwarzane są przede wszystkim dane sensytywne w rozumieniu RODO. Szczególną podstawą prawną, która umożliwia ich przetwarzanie, jest natomiast prowadzenie badań naukowych, do których kategorii zaliczają się również badania kliniczne.

Kto jest kim?

Zgodnie z RODO, podmioty przetwarzające dane osobowe mogą występować wyłącznie w dwóch rolach:

administratora danych lub
podmiotu, któremu powierzono przetwarzanie danych osobowych (tzw. procesora).

Zawarta w rozporządzeniu definicja legalna administratora danych (art. 4 pkt 7 RODO) stanowi, że jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W praktyce administratorem danych jest podmiot, który samodzielnie bądź za pomocą innych podmiotów przetwarza dane osobowe na własne potrzeby. Za administratora danych osobowych należy zatem uznać sponsora badania klinicznego, który będąc osobą odpowiedzialną za podjęcie, prowadzenie i finansowanie badania klinicznego (art. 2 ust. 37a Prawa farmaceutycznego), spełnia przesłanki z rozporządzenia unijnego. Z kolei podmiotem, który w badaniach klinicznych przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO), a więc procesorem, będzie badacz.

Powyższe rozróżnienie ma podstawowe znaczenie dla wyznaczenia zakresu obowiązków mających na celu ochronę danych, które powinien spełnić sponsor, gdyż jako administrator danych jest nie tylko głównym adresatem prawnych obciążeń wynikających z RODO, ale również decyzji wydawanych przez organ nadzorczy (docelowo – Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych). W relacji do sponsora podmiot przetwarzający działa zaś tylko na jego rzecz.

Konieczne jest również podkreślenie, że znane badaczowi (jako podmiotowi przetwarzającemu) dane pacjentów pozbawione są funkcji identyfikacyjnej dla sponsora (np. przez posłużenie się jedynie inicjałami czy przy użyciu innych metod pseudonimizacji danych). Zatem do przetwarzania danych osobowych dochodzi tylko i wyłącznie w taki sposób, aby nie można było przypisać ich konkretnej osobie bez użycia dodatkowych informacji. Należy przy tym jednak zastrzec, że takie dodatkowe informacje w ramach badania klinicznego są przechowywane osobno (w dokumentacji badania prowadzonej przez badacza).

Rozliczalność sponsora

RODO wprowadza szereg zasad warunkujących legalność przetwarzania danych.
W kontekście badań klinicznych w szczególności istotne jest zachowanie zgodności z regułą minimalizacji przetwarzanych danych (zapewnienie, że dane osobowe są przetwarzane jedynie w niezbędnym zakresie, nie dłużej niż przez czas wymagany do osiągnięcia celów w związku z którymi są przetwarzane), regułą poufności informacji przetwarzanych (zapewnienie, że dane osobowe są udostępniane jedynie osobom upoważnionym), regułą rozliczalności (zapewnienie, że osoby upoważnione mają dostęp do danych tylko wtedy, gdy istnieje taka potrzeba oraz istnieje możliwość identyfikacji takiej osoby) oraz regułą integralności przetwarzanych informacji (zapewnienie dokładności i kompletności oraz nienaruszalności danych osobowych, tj. ochrony przed nieuprawnionym ich zmienianiem bądź zniszczeniem). Oczywiście zasady te muszą uwzględniać specyfikę badań klinicznych, które są prowadzone w interesie publicznym.

Z praktycznego punktu widzenia najistotniejszą z powyżej przedstawionych zasad RODO jest zasada rozliczalności, którą odnosimy do administratora danych. W przypadku prowadzenia badań klinicznych – w razie potencjalnej kontroli – to na sponsorze będzie spoczywał obowiązek udowodnienia, że dane osobowe pacjentów są przetwarzane zgodnie z prawem, a przyjęte przez sponsora środki techniczne i organizacyjne uniemożliwiają ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Powyższe wynika z faktu, że to sponsor decyduje o celu i sposobach przetwarzania danych, zaś badacz pozostaje tylko podmiotem przetwarzającym dane.

Podsumowując, RODO wprowadza wiele obostrzeń w dziedzinie przetwarzania danych w badaniach klinicznych, które nie stoją w sprzeczności z poprzednim stanem prawnym, jednakże w związku z większą szczegółowością przepisów unijnych i brakiem regulacji sektorowych budzą jeszcze więcej wątpliwości interpretacyjnych. Powstają nowe pytania o faktyczną realizację obowiązków administratora, w tym obowiązku informacyjnego. W doktrynie pojawiają się również wątpliwości odnośnie klasyfikacji sponsora jako administratora w związku z faktyczną pseudonimizacją danych uczestników badania (realny dostęp do wszystkich danych pacjentów mają bowiem tylko badacz i ośrodek badawczy), czy też obligatoryjnego charakteru dobrowolności zgody przewidzianej w nowym rozporządzeniu unijnym. W następnym artykule przeprowadzimy analizę przepisów RODO, mającą na celu ułatwienie prowadzenia badań i wyjaśnienie wątpliwych kwestii w tej materii.

Autor

Hanna Markiewicz - Michał Chodorek - Marek Świerczyński

Hanna Markiewicz – prawnik, KRK Kieszkowska Rutkowska Kolasiński, doktorant prawa ALK. Doradza spółkom z branży life sciences w zakresie prawa IT/IP, prawa ochrony zdrowia oraz odpowiedzialności za produkt. Aktualnie pisze pracę doktorską na temat dostępności treści cyfrowych w Internecie dla osób z niepełnosprawnościami zgodnie z obowiązującym prawem krajowym i międzynarodowym. Ekspertka Fundacji im. Lesława Pagi w zakresie ochrony zdrowia, laureatka naukowych programów grantowych (Narodowego Centrum Nauki, Narodowego Banku Polskiego, Fundacji im. Lesława Pagi).

Michał Chodorek – adwokat, KRK Kieszkowska Rutkowska Kolasiński. Specjalizuje się w ochronie danych osobowych, prawie własności intelektualnej (w szczególności e-commerce, prawie autorskim i prawie znaków towarowych) a także w prawie nieuczciwej konkurencji. Jego doświadczenie obejmuje ocenę zgodności z prawem celów, zakresu i sposobów przetwarzania danych osobowych. Doradza przy transakcjach dotyczących praw własności intelektualnej oraz reprezentacje klientów w postępowaniach cywilnych i karnych.

dr hab. Marek Świerczyński - adwokat, KRK Kieszkowska Rutkowska Kolasiński. Doradza przedsiębiorcom w zakresie danych osobowych, prawa własności intelektualnej, handlu elektronicznego, prawa farmaceutycznego oraz prawa prywatnego międzynarodowego. Ekspert Rady Europy w zakresie dowodów elektronicznych. Członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Pełni funkcję arbitra w Sądzie Polubownym ds. Domen Internetowych. Autor licznych publikacji naukowych.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>