Cz. 2 O przetwarzaniu danych w badaniu klinicznym w praktyce

  • 11.06.2018

  • Autor: Hanna Markiewicz - Michał Chodorek - Marek Świerczyński

  • analizy

badania a rodo

Poprzednio opisywaliśmy podstawowe zasady przetwarzania danych osobowych w badaniach klinicznych w świetle przepisów unijnego Ogólnego rozporządzenia o ochronie danych osobowych (RODO). Na łamach niniejszego artykułu przeanalizujemy prawne aspekty przetwarzania danych uczestnika badania oraz badaczy i innych członków zespołu badawczego.

Świadoma zgoda

Jedna z głównych zasad przeprowadzania badań klinicznych wyrażona jest w prawie uczestnika badania klinicznego do zapewnienia jego integralności fizycznej i psychicznej, prywatności oraz ochrony danych osobowych (art. 37b ust. 2 pkt 3 Prawa farmaceutycznego). Funkcję wypełniającą te przesłanki, jak również legalizującą sam proces badań klinicznych, pełni tzw. świadoma zgoda na udział w badaniu, udzielona przez uczestnika po poinformowaniu go o istocie, znaczeniu, skutkach i ryzyku badania klinicznego (art. 2 pkt 40a Prawa farmaceutycznego). Zasadnicze pytanie, które pojawia się w związku z RODO, dotyczy implikacji udzielenia świadomej zgody, a dokładniej kwestii objęcia jej zakresem również zgody na przetwarzanie danych osobowych, jako że proces badania klinicznego w sposób oczywisty obejmuje przetwarzanie danych dotyczących zdrowia pacjenta. Wejście w życie RODO poddaje natomiast w wątpliwość dotychczasową praktykę zbierania oddzielnej zgody na przetwarzanie danych w ramach tych badań.

Należy podkreślić, że nowe rozporządzenie unijne wskazuje także inne podstawy przetwarzania danych osobowych, które mogą znaleźć zastosowanie również w przypadku badań klinicznych i przetwarzania danych wrażliwych. Kluczową naszym zdaniem (na co powoływaliśmy się w poprzednim artykule) jest podstawa przetwarzania odwołująca się do prowadzenia badań naukowych (art. 9 ust. 2 lit. j RODO). W świetle tej interpretacji udzielenie zgody na udział w badaniu klinicznym będzie obejmować zgodę na przetwarzanie danych uczestnika. Jedyną istotną przeszkodą w zastosowaniu polityki wyłączenia dodatkowych zgód na przetwarzanie danych w badaniu klinicznym jest krajowe prawo sektorowe, którego przepisy wciąż pozostają niedostosowane do RODO.

Dobra Praktyka Kliniczna a RODO

Kluczowym dla badań klinicznych aktem jest, m.in. rozporządzenie Ministra Zdrowia z dnia
2 maja 2012 r. w sprawie Dobrej Praktyki Klinicznej (Dz. U. poz. 489), które do obowiązków badacza zalicza konieczność zapewnienia ochrony danych uczestników badania klinicznego uzyskanych w związku z tym badaniem (w §4 pkt 11). Rozporządzenie ws. Dobrej Praktyki Klinicznej wskazuje również w §7 na konieczność:

  • wyrażenia pisemnej zgody na dostęp badacza do dokumentacji medycznej uczestnika badania klinicznego wytworzonej przed rozpoczęciem badania (pkt 12);
  • wyrażenia zgody na przetwarzanie danych osobowych uczestnika badania klinicznego związanych z jego udziałem w badaniu klinicznym (pkt 13).

Przewidziane w pkt 13 zabezpieczenie w postaci zgody na przetwarzanie danych osobowych uczestnika wydaje się w tym wypadku nadmierne, bowiem przesłanka legalizująca przetwarzanie w ramach badań naukowych obecna była  także w nieaktualnej już ustawie o ochronie danych  osobowych z 1997 r. (art. 27 ust. 2 pkt 9 ustawy o ochronie danych osobowych). Niemniej jednak taki stan prawny wpisuje się w dotychczasową praktykę zbierania zgód „na zapas”, od której kategorycznie odchodzi RODO. Nowe unijne rozporządzenie narzuca pojęciu zgody dużo bardziej rygorystyczny charakter, wiążąc je z szeregiem nowych obowiązków po stronie administratora, przede wszystkim z odpowiednim zarządzaniem zebranymi zgodami i realizowaniem praw osób, których dane dotyczą.

Zgoda – nie tylko informacyjnie

Warto podkreślić, że samo zebranie zgody nie gwarantuje bezpieczeństwa danych, które powinno być zapewnione przez administratora w każdym wypadku i bez względu na przyjętą podstawę przetwarzania. Niestety do tej pory formularz zgody niejednokrotnie spełniał funkcję głównie informacyjną. Wraz z RODO traktowanie zgody jako formy zabezpieczenia interesów administratora poprzez automatyczną legalizację jego działań powinno ulec zmianie ze względu na znaczące rozszerzenie jego obowiązków, solidarną odpowiedzialność administratora i procesora oraz znacznie wyższe sankcje za naruszenie przepisów.

Wymierny skutek odnośnie zmiany przyjmowanej wykładni przepisów może przynieść wymóg dotyczący spełniania obowiązku informacyjnego – obecny przy każdej przesłance przetwarzania. Odnosi się to również do badań klinicznych, bowiem uczestnik badań powinien zostać w jasny sposób poinformowany o podstawie przetwarzania jego danych wrażliwych oraz możliwości wyrażenia sprzeciwu. Wypełnienie obowiązku informacyjnego powinno nastąpić przed rozpoczęciem przetwarzania danych, a zatem najbardziej naturalny będzie moment zbierania zgody na udział w badaniu. Dodatkowy obowiązek wprowadzany przez RODO nie wydaje się dotkliwy, biorąc pod uwagę wykorzystywany do tej pory rozbudowany formularz świadomej zgody przekazywany pacjentowi przez badacza.

Obowiązek informacyjny a pseudonimizacja

Uczestnika badania klinicznego należy poinformować o tym, kto jest administratorem jego danych, jak i o odbiorcach jego danych osobowych. Nie wykluczamy przy tym możliwości przyjęcia w praktyce liberalnej interpretacji polegającej na tym, że wystarczające w przypadku tej pierwszej opcji jest tylko wyjaśnienie, kto jest sponsorem badania – mając na uwadze wątpliwości dotyczące uznania sponsora za faktycznego administratora w związku z przetwarzaniem przez niego danych podlegających pseudonimizacji.

Na wymóg pseudonimizacji wyraźnie wskazuje §7 pkt 14 rozporządzenia ws. Dobrej Praktyki Klinicznej mówiący o konieczności zachowania poufności tej części dokumentacji badania klinicznego, która pozwoliłaby na identyfikację uczestnika badania klinicznego i wyłączenia danych osobowych z ewentualnej publikacji wyników badania klinicznego. Warto podkreślić, że kwestie zachowania poufności są poważnie traktowane przez badaczy, a uczestnikowi badania klinicznego nadaje się konkretny numer bądź oznaczenie inicjałami, aby dane osobowe nie były identyfikowalne poza ośrodkiem. Ze względu na racjonalność gospodarowania danymi oraz w związku z brakiem realnej potrzeby szerszego dostępu do szczegółowych danych medycznych dla osób postronnych – do sponsora badania trafiają głównie dane podległe pseudonimizacji.

Należy jednakże podkreślić, że dane spseudonimizowane są wyraźnie traktowane przez RODO jako dane osobowe, co związane jest z odwracalnością tej techniki szyfrowania. Pomimo faktu, że sam sponsor nie przetwarza, co do zasady, danych w formie odszyfrowanej, to i tak decyduje o sposobach i celach przetwarzania informacji w postaci danych osobowych. Nie można również kategorycznie wykluczyć, że w praktyce nie mógłby otrzymać danych odszyfrowanych, zwłaszcza w przypadku poinformowania go o ciężkim zdarzeniu niepożądanym uczestnika badania czy też za pośrednictwem monitora badania.

Dane badaczy i innych członków zespołu

Należy pamiętać, że badania kliniczne nie wiążą się tylko z przetwarzaniem danych pacjentów, ale również badaczy i innych członków zespołu. Wyjaśnienia wymagają wzajemne role pełnione przez sponsora i badacza w świetle przepisów o ochronie danych osobowych. Sponsor, będąc administratorem danych osobowych badaczy na podstawie umowy o przeprowadzenie badania klinicznego, posiada podstawę do przetwarzania danych osobowych badacza, ze względu na realizację łączącej ich umowy o prowadzenie badania klinicznego (art. 6 ust. 1 pkt b RODO). Powstaje ponadto pytanie, czy współbadacze oraz inne osoby wchodzące w skład zespołu powinny udzielać zgody na przetwarzanie ich danych osobowych w odrębnym formularzu w sytuacji, gdy sponsor nie zawrze z nimi odrębnych umów (wtedy podstawą przetwarzania danych jest realizacja tych umów). Uważamy, że podstawą przetwarzania ich danych może być prawnie uzasadniony interes administratora danych, co oznaczałoby, że udzielenie przez nich zgody nie będzie potrzebne ani celowe.

Rozpoczęcie stosowania RODO daje szansę na usprawnienie i usystematyzowanie wielu procesów, którym towarzyszy przetwarzanie danych osobowych, co powinno przynieść rezultat w postaci uporządkowania tej materii w branży badań klinicznych. Jest to pożądany efekt z uwagi na sensytywność przetwarzanych danych. Największe znaczenie będzie miał w tym zakresie czynnik ludzki, a dokładniej praktyka urzędów – zarówno PUODO (GIODO), jak i regulatorów w postaci Urzędu Rejestracji Produktów Leczniczych czy Ministerstwa Zdrowia, które – jak pokazuje nasze doświadczenie – opierają się w największym stopniu na ustawach branżowych. Wydaje się zatem, że rewolucja w badaniach klinicznych może nadejść dopiero wraz ze zmianą przepisów krajowych, uwzględniających nową unijną politykę w zakresie ochrony danych osobowych oraz prowadzenia badań klinicznych.

krk logo

Autor

Hanna Markiewicz - Michał Chodorek - Marek Świerczyński

Hanna Markiewicz – prawnik, KRK Kieszkowska Rutkowska Kolasiński, doktorant prawa ALK. Doradza spółkom z branży life sciences w zakresie prawa IT/IP, prawa ochrony zdrowia oraz odpowiedzialności za produkt. Aktualnie pisze pracę doktorską na temat dostępności treści cyfrowych w Internecie dla osób z niepełnosprawnościami zgodnie z obowiązującym prawem krajowym i międzynarodowym. Ekspertka Fundacji im. Lesława Pagi w zakresie ochrony zdrowia, laureatka naukowych programów grantowych (Narodowego Centrum Nauki, Narodowego Banku Polskiego, Fundacji im. Lesława Pagi).

Michał Chodorek – adwokat, KRK Kieszkowska Rutkowska Kolasiński. Specjalizuje się w ochronie danych osobowych, prawie własności intelektualnej (w szczególności e-commerce, prawie autorskim i prawie znaków towarowych) a także w prawie nieuczciwej konkurencji. Jego doświadczenie obejmuje ocenę zgodności z prawem celów, zakresu i sposobów przetwarzania danych osobowych. Doradza przy transakcjach dotyczących praw własności intelektualnej oraz reprezentacje klientów w postępowaniach cywilnych i karnych.

dr hab. Marek Świerczyński - adwokat, KRK Kieszkowska Rutkowska Kolasiński. Doradza przedsiębiorcom w zakresie danych osobowych, prawa własności intelektualnej, handlu elektronicznego, prawa farmaceutycznego oraz prawa prywatnego międzynarodowego. Ekspert Rady Europy w zakresie dowodów elektronicznych. Członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Pełni funkcję arbitra w Sądzie Polubownym ds. Domen Internetowych. Autor licznych publikacji naukowych.