Nowe rozporządzenie 2016/679 w sprawie ochrony danych osobowych wejdzie w życie 25 maja 2018 roku. Do tego czasu wszystkie państwa członkowskie muszą zawiadomić Komisje Europejską o przyjętych przepisach.

Rozporządzenie zostało stworzone aby chronić prawa osób fizycznych, doprecyzować wymagania jakie mogą one stawiać podmiotom przetwarzającym ich dane. Rozporządzenie ma na celu wdrożenie spójnego, efektywnego  i wysokiego stopnia ochrony danych oraz uproszczenie przepływu tych danych w Unii.

Od początku

Nowe przepisy narzucają nam wiele nowych definicji i pojęć. ‘Dane osobowe’ należy rozumieć jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to taka, której tożsamość można ustalić w sposób bezpośredni lub pośredni, w szczególności na podstawie identyfikatora: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

                                 Jak widzimy, kod pacjenta, którym się posługujemy jest daną osobową.

Zatem pojęcie to sprecyzowano i rozbudowano wprowadzając nowe określenia, takie jak dane genetyczne, biometryczne i, co ważne, dane dotyczące zdrowia. Dane te są określane jako szczególnie wrażliwe lub należące do szczególnych kategorii danych osobowych (Art. 9) i z racji ryzyka jakie stwarza ich wypłynięcie należy zwrócić szczególną uwagę na ich ochronę podczas przetwarzania.

Samo pojęcie ‘przetwarzanie’ zostało sprecyzowane i oznacza ono jakąkolwiek operację na danych osobowych, czy to w sposób zautomatyzowany czy nie. Można podać przykład samego przeglądania danych, które jest wykonywane przez monitora na wizycie w ośrodku. Do przetwarzania danych należą także czynności takie jak organizowanie, przechowywanie, usuwanie, łączenie, dopasowywanie czy modyfikowanie danych. Wszystkie te czynności powinny być wykonywane za zgodą osoby, której dane dotyczą (wliczając w to pacjentów).

 

 

 

 

 

 

 

 

 

 

 

Zgoda na przetwarzanie danych

Powinna ona być zbierana przy podpisaniu zgody na screening, a kolejna przy podpisaniu zgody na uczestnictwo w badaniu (ang. Informed Consent Form - ICF). Dlaczego dwa razy? W pierwszym przypadku, cel zbierania danych jest inny niż w przypadku drugim (mimo, że mogą się one pokrywać z danymi, które będą zbierane w czasie badania). Dwie zgody wynikają właśnie z zasady minimalizacji danych i zbierania tych danych w konkretnych, uzasadnionych celach. Jeśli cel przetwarzania danych się zmieni, tworzy to pewien problem, ponieważ pacjent musi się na nowy cel zgodzić, mimo, że dane zostały już zebrane, ponieważ przetwarzanie danych w sposób niezgodny z wcześniej opisanymi i wyszczególnionymi celami jest niezgodne z prawem (Art. 5).

Warto tutaj zauważyć, że RODO wprowadza nowe pojęcie jakim jest ‘profilowanie’ co można odpowiada screening’owi. Według rozporządzenia profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które ma na celu ocenę czy analizę niektórych czynników dotyczących np. zdrowia, zainteresowań, zachowania, lokalizacji czy sytuacji ekonomicznej.

W badaniach profilujemy w celu oceny przesiewowej potencjalnych uczestników badania i rozpatrujemy ich włączenie do badania.

Nowe role

GIODO, wkrótce Urząd Ochrony Danych

Rozporządzenie wprowadziło rolę Organu nadzorczego w każdym państwie członkowskim, który będzie monitorował przestrzeganie RODO. W Polsce obecne GIODO od przyszłego roku przyjmie nazwę Urzędu Ochrony Danych Osobowych z prezesem na czele. Urząd będzie egzekwował kary jakie przewidziano w RODO i będzie mógł nakładać kary za nie przestrzeganie rozporządzenia. Z wypowiedzi dra Macieja Kaweckiego wynika, że to przedsiębiorcy najczęściej łamią ustawę o ochronie danych osobowych, a wynika to z faktu, że im więcej danych jest przetwarzanych tym większe prawdopodobieństwo naruszenia prawa.
 /Sygnały dnia, 28 marca 2017/

Administrator i współadministrator

Administrator danych osobowych określa cel i sposób przetwarzania danych. Jeśli ma miejsce wspólna decyzja z innym podmiotem jakie dane muszą zostać zebrane to oba te podmioty stają się współadministratorami. Taki proces powinien być udokumentowany i na umowie powinien widnieć klarowny podział, który współadministrator odpowiada za konkretne dane (gdyż to właśnie on ustalił cel w jakim są dane zbierane). Umowa ta jest niezbędna przy jakimkolwiek wycieku danych, ponieważ administrator decyduje w jaki sposób zebrane informacje mają być chronione i to on ma dokonać weryfikacji czy podmioty, którym powierza przetwarzanie danych odpowiednio je chronią.

Projektowanie badania powinno rozpocząć się od analizy jakie dane na jakim jego etapie będą potrzebne. Dotyczy to danych pacjentów, badaczy czy pracowników CRO. Mapowanie procesów pozwala na stwierdzenie jakie dane są potrzebne i w jakim celu będą one zbierane, w jaki sposób przetwarzane i przez jak długi czas. W przypadku współadministrowania mapowanie pozwala nam określić kto będzie odpowiedzialny za jakie dane i na jakim etapie badania te dane będą potrzebne.

Procesor – podmiot przetwarzający

Gdy już wiadomo kto jest administratorem danych należy podpisać umowę powierzenia z osobami, którym daje się dostęp do zbieranych informacji. Osoba posiadająca dostęp do danych osobowych poprzez podpisanie umowy powierzenia nazywana jest procesorem lub podmiotem przetwarzającym. Przykładem może być CRO, które na zlecenie sponsora wykonuje monitoring w ośrodku (przeglądanie dokumentacji), lub księgowa, która wpłaca wynagrodzenie na konto Badacza. Posiadają oni dostęp do danych osobowych, jednak to nie oni te dane zebrali i nie oni ustalali cel w jakim te dane zebrano, tak więc mimo, że posiadają dostęp, nie są administratorami a procesorami.

Inspektor Ochrony Danych

Jeśli Twoja firma przetwarza dane, zapewne posiada Administratora Danych Osobowych (ADO). Od przyszłego roku każdy, kto przetwarza dane w sposób regularny i systematycznie monitoruje osoby, których dane dotyczą, na duża skalę lub przetwarza na dużą skalę szczególne kategorie danych osobowych ma obowiązek wyznaczyć Inspektora Ochrony Danych. Inspektor ma za zadanie monitorowanie przestrzegania rozporządzenia  w przedsiębiorstwie oraz informowanie o obowiązkach jakie spoczywają na administratorach czy procesorach. IOD ma także udzielać zaleceń do co oceny skutków dla ochrony danych oraz monitorowanie jej wykonania. IOD musi oczywiście posiadać odpowiednie kwalifikacje zawodowe i posiadać odpowiednią wiedzę fachową na temat ochrony danych osobowych.

Rozporządzenie jednak nie definiuje co oznacza ‘duża skala’ przetwarzania, jednak gdy na to spojrzymy globalnie i odniesiemy się do Motywu 91 RODO i weźmiemy pod uwagę dane szczególnie wrażliwe, które są przetwarzane, wdrożenie nowych procesów do życia firmy, przygotowanie nowej, aktualnej dokumentacji
i przeszkolenie pracowników – IOD wydaje się być niezbędny.

Przedstawiciel

Administrator danych/sponsor nie mający swojego oddziału w Unii wyznacza przedstawiciela, jeśli przetwarzane są dane osób w Unii. Przedstawiciel zostaje wyznaczony na piśmie przez administratora lub podmiot przetwarzający do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z rozporzą­dzenia.

Kolejna część serii "Ochrona Danych Osobowych w Badaniach Klinicznych"

już wkrótce!


Bądź na bieżąco z nowościami, wkrótce ukaże się nowy artykuł.

Rozporządzenie nie definiuje jednak, że ma ona być pisemna, jednak Administrator powinien się z tej zgody wylegitymować, co nie daje nam złudzeń, że pacjent powinien się pozwolić na jakikolwiek dostęp badacza, monitora czy sponsora do danych osobowych na piśmie. W formularzu zgody należy zdefiniować kto będzie Administratorem danych, w jakim celu je zbiera, przez jak długi okres te dane będą przechowywane. Obowiązuje tutaj zasada ograniczonego celu lub inaczej minimalizacji danych, gdyż nie można prosić o większy zakres danych, niż ilość posiadanych celów. Innymi słowy, dane tworzą zbiory, a jeden zbiór ma jeden cel, więc ilość zbiorów danych musi odpowiadać ilości celów, dla których się je zbiera.

Motyw 33 RODO

'W momencie zbierania danych często nie da się w pełni zidentyfikować celu przetwarzania danych osobowych na potrzeby badań naukowych. Dlatego osoby, których dane dotyczą, powinny móc wyrazić zgodę na niektóre obszary badań naukowych, o ile badania te są zgodne z uznanymi normami etycznymi w zakresie badań naukowych. Osoby, których dane dotyczą, powinny móc wyrazić zgodę tylko na niektóre obszary badań lub elementy projektów badawczych, o ile umożliwia to zamierzony cel.'

Ochrona Danych osobowych w badaniach klinicznych - część I

14 czerwca 2017  |  Roma Ćwięczek

 

Wersja językowa:   EN   PL

Ostatnie posty
Please reload

Archiwum
Please reload

Tagi
Please reload

RODO

Rozporządzenie o Ochronie Danych Osobowych (ang. GDPR – General Data Protection Regulation)

Dr Maciej Kawecki 

Zastępca Dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji

Inspektor Ochrony Danych - IOD 

(ang. Data Protection Officer - DPO)