Cz. 1 Badania kliniczne w świetle RODO

  • 04.06.2018

  • Autor: Hanna Markiewicz - Michał Chodorek - Marek Świerczyński

  • analizy

Rozpoczęcie stosowania Ogólnego rozporządzenia o ochronie danych osobowych (RODO) wymaga ustalenia zasad przetwarzania danych osobowych uczestników badań klinicznych oraz badaczy i innych członków zespołów badawczych. W niniejszym artykule przedstawiamy podstawowe zagadnienia związane z tematyką przetwarzania danych w badaniach klinicznych, natomiast w kolejnym uzasadnimy interpretację przepisów RODO ułatwiającą prowadzenie badań klinicznych w Polsce.

Problematyczne badania kliniczne

Do tej pory stosowanie przepisów o ochronie danych osobowych do badań klinicznych przysparzało licznych problemów interpretacyjnych, co wielokrotnie podnoszono w doktrynie[1]. Nie ulega jednak wątpliwości, że jedną z istotnych barier dla rozwoju tego sektora w Polsce było właśnie krajowe prawo ochrony danych osobowych, a w szczególności archaiczna już ustawa o ochronie danych osobowych z 1997 r., niejednokrotnie poddawana błędnej wykładni przez organy nadzorcze. Mowa również o rozporządzeniach z  2004 i 2008 r. szczegółowo określających zasady rejestracji zbiorów danych czy wymogi dotyczące środków techniczno-organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych[2], a także innych ustawach szczególnych, które odnoszą się do zasad przetwarzania danych osobowych, m.in. o ustawie o prawach pacjenta.

Niestety stosunkowo nowe sektorowe prawo Unii Europejskiej również nie okazało się pomocne w omawianym zakresie. W rozporządzeniu Parlamentu Europejskiego i Rady (UE) Nr 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE zabrakło określenia szczegółowych zasad przetwarzania danych osobowych uczestników badań, co należy uznać za istotną wadę tej regulacji. Poza jedną wskazówką pojawia się tam tylko odesłanie w art. 93 do przepisów nieaktualnej już dyrektywy 95/46/WE do przetwarzania danych osobowych, które odbywa się w państwach członkowskich – a więc do aktu, który został już zastąpiony przez RODO.

Kliniczne = naukowe

Należy zauważyć, że unijne przepisy regulujące badania kliniczne pomimo swojej lakoniczności w zakresie ochrony danych osobowych wypełniają jednakże jedno podstawowe zadanie. Z jednej strony wzmacniają  ich ochronę, obejmując prawo do dostępu do danych osobowych, a także ich poprawiania i wycofywania, z drugiej natomiast wprowadzają ograniczenie tych praw. Ten celowy zabieg umożliwia zachowanie równowagi pomiędzy wiarygodnością danych z badań klinicznych wykorzystywanych do celów naukowych, jak i bezpieczeństwem uczestników badań klinicznych. Jednym z kluczowych rozwiązań zachowania właściwego balansu jest zastrzeżenie, że wycofanie świadomej zgody nie może mieć wpływu na wyniki przeprowadzonych już działań, takich jak przechowywanie i wykorzystywanie danych uzyskanych w oparciu o świadomą zgodę przed jej wycofaniem.

W RODO wzmocnienie ochrony danych wyrażone jest w zamkniętym katalogu przesłanek legalności przetwarzania danych zwykłych (art. 6) oraz szczególnych kategorii danych (art. 9). Wyróżnienie tej drugiej kategorii w postaci danych sensytywnych (wrażliwych), do których zaliczają się dane dotyczące zdrowia, ma znaczenie z uwagi na zawężenie podstaw dopuszczalnego przetwarzania danych oraz zakaz przetwarzania danych tego rodzaju, chyba że wykazano konkretną podstawę ich przetwarzania (art. 9 ust. 2 lit. a-j RODO). Jest to o tyle istotne, że w zbiorach danych osobowych dotyczących badań klinicznych przetwarzane są przede wszystkim dane sensytywne w rozumieniu RODO. Szczególną podstawą prawną, która umożliwia ich przetwarzanie, jest natomiast prowadzenie badań naukowych, do których kategorii zaliczają się również badania kliniczne.

Kto jest kim?

Zgodnie z RODO, podmioty przetwarzające dane osobowe mogą występować wyłącznie w dwóch rolach:

  • administratora danych lub
  • podmiotu, któremu powierzono przetwarzanie danych osobowych (tzw. procesora).

Zawarta w rozporządzeniu definicja legalna administratora danych (art. 4 pkt 7 RODO) stanowi, że jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W praktyce administratorem danych jest podmiot, który samodzielnie bądź za pomocą innych podmiotów przetwarza dane osobowe na własne potrzeby. Za administratora danych osobowych należy zatem uznać sponsora badania klinicznego, który będąc osobą odpowiedzialną za podjęcie, prowadzenie i finansowanie badania klinicznego (art. 2 ust. 37a Prawa farmaceutycznego), spełnia przesłanki z rozporządzenia unijnego. Z kolei podmiotem, który w badaniach klinicznych przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO), a więc procesorem, będzie badacz.

Powyższe rozróżnienie ma podstawowe znaczenie dla wyznaczenia zakresu obowiązków mających na celu ochronę danych, które powinien spełnić sponsor, gdyż jako administrator danych jest nie tylko głównym adresatem prawnych obciążeń wynikających z RODO, ale również decyzji wydawanych przez organ nadzorczy (docelowo – Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych). W relacji do sponsora podmiot przetwarzający działa zaś tylko na jego rzecz.

Konieczne jest również podkreślenie, że znane badaczowi (jako podmiotowi przetwarzającemu) dane pacjentów pozbawione są funkcji identyfikacyjnej dla sponsora (np. przez posłużenie się jedynie inicjałami czy przy użyciu innych metod pseudonimizacji danych). Zatem do przetwarzania danych osobowych dochodzi tylko i wyłącznie w taki sposób, aby nie można było przypisać ich konkretnej osobie bez użycia dodatkowych informacji. Należy przy tym jednak zastrzec, że takie dodatkowe informacje w ramach badania klinicznego są przechowywane osobno (w dokumentacji badania prowadzonej przez badacza).

Rozliczalność sponsora

RODO wprowadza szereg zasad warunkujących legalność przetwarzania danych.
W kontekście badań klinicznych w szczególności istotne jest zachowanie zgodności z regułą minimalizacji przetwarzanych danych (zapewnienie, że dane osobowe są przetwarzane jedynie w niezbędnym zakresie, nie dłużej niż przez czas wymagany do osiągnięcia celów w związku z którymi są przetwarzane), regułą poufności informacji przetwarzanych (zapewnienie, że dane osobowe są udostępniane jedynie osobom upoważnionym), regułą rozliczalności (zapewnienie, że osoby upoważnione mają dostęp do danych tylko wtedy, gdy istnieje taka potrzeba oraz istnieje możliwość identyfikacji takiej osoby) oraz regułą integralności przetwarzanych informacji (zapewnienie dokładności i kompletności oraz nienaruszalności danych osobowych, tj. ochrony przed nieuprawnionym ich zmienianiem bądź zniszczeniem). Oczywiście zasady te muszą uwzględniać specyfikę badań klinicznych, które są prowadzone w interesie publicznym.

Z praktycznego punktu widzenia najistotniejszą z powyżej przedstawionych zasad RODO jest zasada rozliczalności, którą odnosimy do administratora danych. W przypadku prowadzenia badań klinicznych – w razie potencjalnej kontroli – to na sponsorze będzie spoczywał obowiązek udowodnienia, że dane osobowe pacjentów są przetwarzane zgodnie z prawem, a przyjęte przez sponsora środki techniczne i organizacyjne uniemożliwiają ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Powyższe wynika z faktu, że to sponsor decyduje o celu i sposobach przetwarzania danych, zaś badacz pozostaje tylko podmiotem przetwarzającym dane.

Podsumowując, RODO wprowadza wiele obostrzeń w dziedzinie przetwarzania danych w badaniach klinicznych, które nie stoją w sprzeczności z poprzednim stanem prawnym, jednakże w związku z większą szczegółowością przepisów unijnych i brakiem regulacji sektorowych budzą jeszcze więcej wątpliwości interpretacyjnych. Powstają nowe pytania o faktyczną realizację obowiązków administratora, w tym obowiązku informacyjnego. W doktrynie pojawiają się również wątpliwości odnośnie klasyfikacji sponsora jako administratora w związku z faktyczną pseudonimizacją danych uczestników badania (realny dostęp do wszystkich danych pacjentów mają bowiem tylko badacz i ośrodek badawczy), czy też obligatoryjnego charakteru dobrowolności zgody przewidzianej w nowym rozporządzeniu unijnym. W następnym artykule przeprowadzimy analizę przepisów RODO, mającą na celu ułatwienie prowadzenia badań i wyjaśnienie wątpliwych kwestii w tej materii.

Autor

Hanna Markiewicz - Michał Chodorek - Marek Świerczyński

Hanna Markiewicz – prawnik, KRK Kieszkowska Rutkowska Kolasiński, doktorant prawa ALK. Doradza spółkom z branży life sciences w zakresie prawa IT/IP, prawa ochrony zdrowia oraz odpowiedzialności za produkt. Aktualnie pisze pracę doktorską na temat dostępności treści cyfrowych w Internecie dla osób z niepełnosprawnościami zgodnie z obowiązującym prawem krajowym i międzynarodowym. Ekspertka Fundacji im. Lesława Pagi w zakresie ochrony zdrowia, laureatka naukowych programów grantowych (Narodowego Centrum Nauki, Narodowego Banku Polskiego, Fundacji im. Lesława Pagi).

Michał Chodorek – adwokat, KRK Kieszkowska Rutkowska Kolasiński. Specjalizuje się w ochronie danych osobowych, prawie własności intelektualnej (w szczególności e-commerce, prawie autorskim i prawie znaków towarowych) a także w prawie nieuczciwej konkurencji. Jego doświadczenie obejmuje ocenę zgodności z prawem celów, zakresu i sposobów przetwarzania danych osobowych. Doradza przy transakcjach dotyczących praw własności intelektualnej oraz reprezentacje klientów w postępowaniach cywilnych i karnych.

dr hab. Marek Świerczyński - adwokat, KRK Kieszkowska Rutkowska Kolasiński. Doradza przedsiębiorcom w zakresie danych osobowych, prawa własności intelektualnej, handlu elektronicznego, prawa farmaceutycznego oraz prawa prywatnego międzynarodowego. Ekspert Rady Europy w zakresie dowodów elektronicznych. Członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Pełni funkcję arbitra w Sądzie Polubownym ds. Domen Internetowych. Autor licznych publikacji naukowych.

Z tej samej kategorii

Kategorie