Aktualności
Wytyczne instytucji europejskich w zakresie stosowania przepisów RODO do prowadzenia badań klinicznych
W związku z wejściem w życie przepisów o ogólnego rozporządzenia UE o ochronie danych („RODO”) pojawiły się wyjaśnienia instytucji europejskich analizujące wzajemne zależności między rozporządzeniem UE nr 536/2014 w sprawie badań klinicznych („CTR”) a RODO . Opinia Europejskiej Rady Ochrony Danych („EROD”) oraz odpowiedzi Dyrekcji Generalnej Komisji Europejskiej ds. Zdrowia i Bezpieczeństwa Żywności stanowią wskazówki jak interpretować przepisy RODO w zakresie ich stosowania w badaniach klinicznych. Poniżej przedstawię wykładnie dotyczące podstaw prawnych przetwarzania danych osobowych w badaniu klinicznym i wtórnego wykorzystania danych pochodzących z badań klinicznych do celów naukowych.
I. Podstawy prawne przetwarzania danych osobowych uczestników w zakresie objętym protokołem (pierwotne wykorzystanie)
Wszystkie operacje przetwarzania danych związane z konkretnym protokołem badania klinicznego w całym okresie objętym tym protokołem – od rozpoczęcia badania do usunięcia danych po zakończeniu okresu archiwizacji – należy rozumieć jako pierwotne wykorzystanie danych pochodzących z badań klinicznych. EROD uważa jednak, że nie wszystkie operacje przetwarzania odnoszące się do takiego „pierwotnego wykorzystania” danych pochodzących z badań klinicznych służą tym samym celom i podlegają tej samej podstawie prawnej.
Zdaniem EROD przy omawianiu kwestii podstawy prawnej przetwarzania danych osobowych w całym
okresie objętym badaniem klinicznym istotne jest, by rozróżnić dwie główne kategorie czynności przetwarzania. W szczególności operacje przetwarzania związane wyłącznie z działalnością badawczą należy odróżnić od operacji przetwarzania związanych z celami dotyczącymi ochrony zdrowia, ustanawiając jednocześnie normy jakości i bezpieczeństwa produktów leczniczych przez generowanie wiarygodnych i odpornych danych (cele dotyczące wiarygodności i bezpieczeństwa). Do tych dwóch głównych kategorii czynności przetwarzania mają zastosowanie różne podstawy prawne.
a) Operacje przetwarzania związane z celami dotyczącymi wiarygodności i bezpieczeństwa
Przetwarzanie danych osobowych w kontekście zgłaszania danych dotyczących bezpieczeństwa, inspekcji lub archiwizacji badań klinicznych jest niezbędne do wywiązania się z obowiązków prawnych spoczywających na sponsorze lub badaczu. Czynności przetwarzania związane z wiarygodnością i bezpieczeństwem, które wynikają bezpośrednio z obowiązków prawnych administratora podlegają podstawie prawnej określonej w art. 6 ust. 1 lit. c) w związku z art. 9 ust. 1 lit. i) RODO (przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak [...] zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych).
b) Operacje przetwarzania związane wyłącznie z działalnością badawczą
Operacje przetwarzania związane wyłącznie z działalnością badawczą w kontekście badania klinicznego nie wynikają wyłącznie z obowiązku prawnego. Według EROD przetwarzanie danych osobowych jest zgodne z prawem i podlega jednej z trzech podstaw prawnych, w zależności od wszystkich okoliczności związanych z konkretnym badaniem klinicznym:
1) zadanie realizowane w interesie publicznym na podstawie art. 6 ust. 1 lit. e) w związku z art. 9 ust. 2 lit. i) lub j) RODO; lub
2) prawnie uzasadniony interes administratora na podstawie art. 6 ust. 1 lit. f w zw. z art. 9 ust. 2 lit. j) RODO; lub
3) w określonych okolicznościach, gdy wszystkie warunki są spełnione, wyraźna zgoda osoby, której dane dotyczą, zgodnie z art. 6 ust. 1 lit. a) i art. 9 ust. 2 lit. a) RODO.
1. Interes publiczny
Art. 6 ust. 1 lit. e) RODO zezwala na przetwarzanie danych osobowych, jeżeli jest to niezbędne do wykonania zadania realizowanego w interesie publicznym, na podstawie prawa UE lub prawa krajowego. CTR określa ustawowo niektóre czynności przetwarzania, które są niezbędne do wykonania zadania realizowanego w interesie publicznym do celów określonych w zatwierdzonym protokole badania klinicznego, w tym przypadku w celu realizacji ogólnego interesu publicznego Unii w zakresie ochrony zdrowa publicznego. Dlatego w takich przypadkach prawo UE stanowi podstawę prawną przetwarzania danych osobowych zebranych w kontekście badań klinicznych. Przetwarzanie danych osobowych w kontekście badań klinicznych można zatem uznać za niezbędne do wykonania zadania realizowanego w interesie publicznym, jeżeli prowadzenie badań klinicznych bezpośrednio wchodzi w zakres misji i zadań powierzonych podmiotowi publicznemu lub prywatnemu na mocy prawa Unii lub prawa krajowego. Polskie prawo farmaceutyczne wymaga prowadzenia operacji na danych osobowych w ramach prowadzenia badania klinicznego. Zgodnie z prawem farmaceutycznym sponsor ma zapewnić ochronę danych osobowych uczestników badania. Podstawę prawną wskazaną w art. 6 uzupełnia warunek przetwarzania szczególnych kategorii danych określony w art. 9 RODO. W zależności od konkretnych okoliczności badania klinicznego i zastosowanej podstawy prawnej, jak opisano powyżej, odpowiednim warunkiem z art. 9 RODO dla wszystkich operacji przetwarzania danych wrażliwych do celów czysto badawczych mogą być „względy związane z interesem publicznym w dziedzinie zdrowia publicznego [. ..] na podstawie prawa Unii lub prawa państwa członkowskiego” (art. 9 ust. 2 lit. i)) lub „do celów naukowych zgodnie z art. 89 ust. 1 na podstawie prawa Unii lub prawa państwa członkowskiego”(art. 9 (2) (j)) RODO.
2. Prawnie uzasadniony interes
W innych sytuacjach, w których prowadzenia badań klinicznych nie można uznać za niezbędne do wykonania zadań w interesie publicznym powierzonych administratorowi przez prawo, przetwarzanie danych osobowych mogłoby być „niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią, chyba że interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, przeważają nad takimi interesami” zgodnie z art. 6 ust. 1 lit. f RODO. Podstawę prawną wskazaną w art. 6 RODO uzupełnia warunek przetwarzania szczególnych kategorii danych określony w art. 9 RODO – tak jak wskazany w punkcie poprzedzającym.
3. Zgoda wyraźna
Świadomej zgody na udział w badaniu klinicznym nie można mylić z pojęciem zgody jako podstawy prawnej przetwarzania danych osobowych zgodnie z RODO. Świadoma zgoda odpowiada przede wszystkim podstawowym wymogom etycznym dotyczącym projektów badawczych z udziałem ludzi, wynikającym z deklaracji helsińskiej. Obowiązek uzyskania świadomej zgody uczestników badania klinicznego służy przede wszystkim zapewnieniu ochrony prawa do godności ludzkiej i prawa do integralności osoby zgodnie z Kartą praw podstawowych Unii Europejskiej; nie ma on stanowić instrumentu zapewniającego przestrzeganie przepisów o ochronie danych osobowych. Zgodnie zaś z RODO zgoda musi być dobrowolna, konkretna, świadoma, jednoznaczna, a gdy zgoda jest wykorzystywana jako uzasadnienie przetwarzania szczególnych kategorii danych, takich jak dane dotyczące zdrowia, zgoda taka musi być wyraźna (art. 9 ust. 2 lit. a) RODO). Zdaniem EROD administratorzy danych powinni zwracać szczególną uwagę na warunek „dobrowolności” zgody - element ten oznacza zapewnienie osobom, których dane dotyczą, faktycznej możliwości wyboru i kontroli.
II. Wtórne wykorzystanie danych pochodzących z badań klinicznych poza protokołem do celów naukowych
Wtórne wykorzystanie zanonimizowanych danych nie jest objęte zakresem RODO. Z kolei w przypadku przetwarzania danych osobowych (w tym spseudonimizowanych) poza protokołem badania klinicznego należy wziąć pod uwagę dodatkowo wymogi prawne RODO.
Wtórne wykorzystanie danych poza protokołem badania do celów naukowych wymaga wyrażenia świadomej zgody na ten cel. Jak wskazano powyżej świadoma zgoda na udział w badaniu klinicznym nie jest równoważna zgodzie na przetwarzanie danych osobowych, o której mowa w RODO. Jeżeli sponsor lub badacz chcieliby dalej wykorzystywać zgromadzone dane osobowe do jakichkolwiek innych celów naukowych niż cele określone w protokole badania klinicznego, wymagałoby to innej szczególnej podstawy prawnej niż ta, którą zastosowano do pierwotnego celu. Wybrana podstawa prawna może, lecz nie musi się różnić od podstawy prawnej pierwotnego wykorzystania. Taką podstawą prawną dla wtórnego wykorzystania może być dodatkowa (opcjonalna) zgoda uczestnika, prawnie uzasadniony interes administratora lub zadanie realizowane w interesie publicznym.
Badania naukowe wykorzystujące dane poza protokołem badania klinicznego należy prowadzić zgodnie ze wszystkimi innymi właściwymi, mającymi zastosowanie przepisami dotyczącymi ochrony danych osobowych. W związku z tym uznaje się, że administrator nie jest zwolniony z pozostałych obowiązków wynikających z przepisów o ochronie danych, na przykład w odniesieniu do rzetelności, zgodności z prawem, konieczności i proporcjonalności, a także jakości danych.
Podsumowanie
Wskazane powyżej interpretacje EROD w zakresie stosowania przepisów RODO w badaniach klinicznych przemawiają za postulowaną nowelizacją przepisów prawa farmaceutycznego i rozporządzeń do prawa farmaceutycznego w zakresie konieczności uzyskiwania przez sponsorów oddzielnej zgody na przetwarzanie danych osobowych na potrzeby udziału w badaniu klinicznym. Przepisy RODO dopuszczają bowiem możliwość przetwarzania danych osobowych uczestników w badaniach klinicznych także na innych podstawach niż wyraźna zgoda uczestnika, co powinno znaleźć odzwierciedlenie także w polskich przepisach.
Piotr Zięcik