Artykuł ukazał się w Magazynie ODO
Autor: Piotr Wenski
Po ponad czterech latach od rozpoczęcia stosowania RODO[1], cały czas istnieje wiele obszarów, w których rynek nie wypracował jak dotąd jednolitego podejścia w zakresie roli podmiotów uczestniczących w procesie przetwarzania danych osobowych. Jednym z takich obszarów są badania kliniczne. Celem niniejszego artykułu jest przedstawienie specyfiki przetwarzania danych osobowych w tym obszarze, ze szczególnym uwzględnieniem ról, jakie pełnią poszczególne podmioty zaangażowane w ten proces oraz podstaw prawnych przetwarzania danych osobowych.
- Badanie kliniczne
Zgodnie z definicją legalną, jaką posłużył się ustawodawca w art. 2 pkt. 2 ustawy Prawo farmaceutyczne[2], badaniem klinicznym jest „(…) każde badanie prowadzone z udziałem ludzi w celu odkrycia lub potwierdzenia klinicznych, farmakologicznych, w tym farmakodynamicznych skutków działania jednego lub wielu badanych produktów leczniczych, lub w celu zidentyfikowania działań niepożądanych jednego lub większej liczby badanych produktów leczniczych, lub śledzenia wchłaniania, dystrybucji, metabolizmu i wydalania jednego lub większej liczby badanych produktów leczniczych, mając na względzie ich bezpieczeństwo i skuteczność”. W dużym uproszczeniu można powiedzieć, że badanie kliniczne jest procesem mającym potwierdzić skuteczność i bezpieczeństwo danego produktu leczniczego przed dopuszczeniem takiego produktu (tj. leku) do obrotu. Przeprowadzenie badania klinicznego stanowi jednocześnie warunek tego, aby do takiego dopuszczenia w ogóle doszło.
W toku badania klinicznego dochodzi do przetwarzania danych osobowych uczestników badania, w tym danych szczególnej kategorii – danych o stanie zdrowia. Nie będzie nadużyciem stwierdzenie, że przetwarzanie danych wrażliwych stanowi samą istotę badania klinicznego – chodzi w nim przecież o monitorowanie wpływu, jaki na pacjenta wywiera określony produkt leczniczy.
- Zaangażowane podmioty
W przeprowadzenie badania klinicznego zaangażowanych jest szereg podmiotów. Po pierwsze, jest to sponsor badania (zazwyczaj innowacyjna firma farmaceutyczna), określająca cel takiego badania i podejmująca decyzję o jego rozpoczęciu, wybierająca głównego badacza i ośrodek badawczy, jak również zapewniająca odpowiednie monitorowanie badania klinicznego, w tym ewentualnych działań niepożądanych. Co ważne, sponsor co do zasady nie otrzymuje danych osobowych uczestników badania w formie pozwalającej na ich identyfikację. Dane te są poddane pseudonimizacji, co oczywiście nie powoduje, że tracą one charakter danych osobowych. Sponsor w toku badania współpracuje z szeregiem podmiotów, w tym z podmiotami wspierającymi go w rozliczaniu kosztów badania lub świadczącymi usługi diagnostyczne. Kluczowym partnerem angażowanym przez sponsora do badania klinicznego są jednak tzw. CRO (ang. Contract Research Organisations). Przedstawiciele CRO stanowią swego rodzaju pomost pomiędzy sponsorem, a ośrodkiem i badaczem prowadzącym badanie kliniczne, zajmując się m.in weryfikacją dokumentacji medycznej u źródła, tj. w ośrodku badawczym.
Żadne badanie kliniczne nie byłoby jednak możliwe bez udziału ośrodka badawczego oraz głównego badacza[3]. Głównymi zadaniami badacza (w praktyce wysoce wykwalifikowanego lekarza mającego duże doświadczenie w obszarze badań klinicznych) jest prowadzenie badania klinicznego zgodnie z protokołem badania, rekrutacja i włączenie do badania jego uczestników, jak również prowadzenie dokumentacji związanej z badaniem klinicznym. Rysunek nr 1 i Rysunek nr 2 obrazują przykładowe modele współpracy pomiędzy podmiotami zaangażowanymi w przeprowadzenie badania klinicznego, bez udziału oraz z udziałem CRO.
- Role w procesie przetwarzania
Po przedstawieniu podmiotów zaangażowanych w przeprowadzenie badania klinicznego, należy zastanowić się nad tym, jakie pełnią one role z punktu widzenia prawa ochrony danych osobowych. Należy przy tym odnotować, że o ile rola CRO i innych podmiotów angażowanych do badania przez sponsora jest dosyć jasna (są to podmioty przetwarzające sponsora), to największe kontrowersje dotyczą relacji pomiędzy sponsorem, a ośrodkiem i badaczem. Praktyka rynkowa proponuje tutaj zasadniczo trzy podejścia.
Po pierwsze, możliwym jest uznanie, że sponsor badania oraz ośrodek badawczy / badacz są współadministratorami danych osobowych uczestników badania, przy założeniu, że podmioty te wspólnie określają kształt protokołu badania. W kontekście orzecznictwa TSUE proponującego szerokie rozumienie pojęcia współadministrowania[4], jasnym jest, że współpadministratorzy mogą być zaangażowani wyłącznie w część procesu przetwarzania i mogą realizować różne cele. Jako współadministratorów zdaje się widzieć sponsora oraz ośrodek badawczy także Europejska Rada Ochrony Danych Osobowych, w jednym z przykładów powołanych w opinii nr 7/2020 ws. pojęć administratora i podmiotu przetwarzającego[5]. W ocenie autora, posłużenie się przez EROD takim przykładem nie zamyka jednak dyskusji na temat ról obu podmiotów – przykład wskazany przez EROD jest wyjątkowo lakoniczny, nie zawiera uzasadnienia i nie odnosi się do szeregu okoliczności, w tym np. tego, co EROD rozumie przez pojęcie „świadczeniodawcy opieki zdrowotnej / prowadzącego badanie”). Co ważne, model współadministrowania w obszarze badań klinicznych zasadniczo nie przyjął się w praktyce państw EU – jest często spotykany wyłącznie w Niemczech oraz w Austrii, w innych jurysdykcjach należy raczej do wyjątków.
Po drugie, można spotkać się z poglądem, że badacz i ośrodek badawczy działają jako podmioty przetwarzające sponsora badania klinicznego – firmy farmaceutycznej. Na poparcie takiej tezy wskazuje się na konieczność rozdzielenia dwóch odmiennych celów przetwarzania, jakimi mają być – w myśl tej koncepcji – prowadzenie procesu leczenia pacjenta (tutaj badacz i ośrodek mieliby działać jako samodzielni administratorzy danych osobowych) oraz prowadzenie badania klinicznego (tutaj mieliby działać jako podmioty przetwarzające sponsora). Takie stanowisko dominuje np. we Francji, ale można je spotkać także w argumentacji polskich ośrodków klinicznych.
W ocenie autora nie jest to stanowisko słuszne, gdyż prowadzi do sztucznego rozbicia celów przetwarzania. W praktyce nie można stwierdzić, że wykonując w istocie te same czynności, badacz raz zakłada „czapkę” administratora, a raz podmiotu przetwarzającego. Należy zwrócić uwagę, że prowadzenie badania klinicznego stanowi przecież element procesu leczenia pacjenta. Ponadto, podkreślenia wymaga, że sponsor ma bardzo ograniczone możliwości wpływu na czynności przetwarzania realizowane przez badacza i ośrodek. W szczególności, nie jest w stanie nakazać usunięcia danych ani wydawać wiążących poleceń dotyczących innego postępowania z danymi pacjenta. Nie ma także żadnego wpływu na wdrożone przez ośrodek i badacza środki techniczne i organizacyjne zapewniające poufność, dostępność i integralność danych. Wreszcie, sposób postępowania ośrodka i badacza z danymi osobowymi pacjenta jest bardzo ściśle regulowany przez przepisy prawa – ustawy Prawo farmaceutyczne, ustawy o zawodzie lekarza i lekarza dentysty[6], rozporządzenia Ministra Zdrowia ws. dobrej praktyki klinicznej[7], a od niedawna także Rozporządzenia CTR[8].
Z powyższych powodów, najwięcej argumentów przemawia za uznaniem sponsora badania klinicznego, ośrodka oraz głównego badacza, za samodzielnych, niezależnych administratorów danych osobowych i w konsekwencji potraktowania przepływów danych osobowych pomiędzy tymi podmiotami jako odbywających na zasadzie udostępnienia danych. Każdy z podmiotów realizuje
w procesie przetwarzania własne cele (wynikające w dużej mierze z przepisów prawa adresowanych odrębnie i niezależnie do każdego z podmiotów), legitymuje się własnymi podstawami prawnymi do przetwarzania danych, samodzielnie decyzje o wdrożonych środkach technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz realizuje inne obowiązki wynikające z RODO, w szczególności przeprowadza ocenę ryzyka oraz ocenę skutków dla ochrony danych (DPIA)[9].
- Podstawa prawna przetwarzania
Niezależnie od kwestii ról w procesie przetwarzania danych osobowych, jakie pełnią poszczególne zaangażowane w ten proces podmioty, kontrowersje wzbudza również podstawa prawna przetwarzania danych osobowych, jaką legitymuje się sponsor badania. Można powiedzieć, że obserwujemy właśnie istotną zmianę w podejściu rynku (a także ustawodawcy) do tej problematyki.
Warto w tym kontekście odnotować brzmienie § 3 ust. 2 Rozporządzenia Ministra Zdrowia z dnia 12 października 2018 r. w sprawie wzorów dokumentów przedkładanych w związku z badaniem klinicznym produktu leczniczego oraz opłat za złożenie wniosku o rozpoczęcie badania klinicznego, który wśród dokumentów, jakie sponsor badania klinicznego ma obowiązek przedłożyć komisji bioetycznej przed rozpoczęciem badania klinicznego[10]. Wśród takich dokumentów, ustawodawca wprost wymienił „wzór formularza zgody na przetwarzanie danych osobowych uczestnika badania klinicznego związanych z jego udziałem w badaniu klinicznym”. Z uwagi na takie brzmienie przepisu, większość sponsorów badań klinicznych w Polsce siłą rzeczy opierała przetwarzanie danych osobowych uczestników badania na ich zgodzie i oświadczenia o wyrażeniu takiej zgody od nich pozyskiwała.
Niezależnie, zarówno Europejska Rada Ochrony Danych Osobowych[11], doktryna prawa[12], jak i rynek, zaczęli zauważać, że zgoda uczestnika nie wydaje się być w tym procesie podstawą właściwą (chociażby z uwagi na nierównowagę występującą w relacji uczestnik badania – sponsor), a na pewno nie jedyną możliwą do przyjęcia. Wskazywano – w ocenie autora słusznie – że podstawą prawną mogącą znaleźć w tej sytuacji zastosowanie, jest art. 9 ust. 2 lit. j RODO wskazujący, że przetwarzanie danych szczególnej kategorii jest dopuszczalne jeżeli „przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą”.
Alternatywnie, wydaje się, że oprzeć można się również na art. 9 ust. 2 lit. j RODO dopuszczającym takie przetwarzanie jeżeli „jest ono niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową”.
Z satysfakcją należy odnotować, że głosy te zauważył także polski ustawodawca, który w uzasadnieniu projektu nowej krajowej ustawy o badaniach klinicznych produktów leczniczych stosowanych u ludzi wskazał co następuje: „Pomimo, iż dotychczas przetwarzanie danych osobowych uczestników badania opierało się na ich wyraźnej zgodzie, zarówno przepisy rozporządzenia RODO, jak też wydana na ich podstawie opinia Europejskiej Rady ds. Ochrony Danych Osobowych, wskazują na możliwość zastosowania innych podstaw prawnych przetwarzania danych osobowych – w szczególności w postaci podstawy wskazanej w art. 9 ust. 2 lit. j rozporządzenia RODO (przetwarzanie jest niezbędne do celów badań naukowych), które pozwalają na zachowanie większej spójności z zasadami prowadzenia badań klinicznych. Stosowanie podstawy prawnej dotyczącej niezbędności przetwarzania do celów badań naukowych, jako podstawy prawnej przetwarzania danych uczestników badania wydaje się być właściwym stanowiskiem”[13].
- Podsumowanie
W obszarze badań klinicznych rynek wciąż nie wypracował jednolitego podejścia zarówno co do ról poszczególnych podmiotów zaangażowanych w ten proces z perspektywy prawa ochrony danych osobowych, jak i do określenia właściwej podstawy prawnej przetwarzania. Co ciekawe, problem ten nie dotyczy wyłącznie Polski, ale jest szeroko dyskutowany w wielu innych państwach EU. Wydaje się jednak, że najwięcej argumentów przemawia za uznaniem sponsora badania klinicznego, badacza oraz ośrodka, za niezależnych administratorów danych osobowych, jak również przyjęciem, że właściwą podstawą prawną przetwarzania danych osobowych uczestników badania jest niezbędność do celów badań naukowych. Takie rozwiązania znalazły się przykładowo w niedawno przyjętym kodeksie branżowym w Hiszpanii.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] Ustawa z dnia 6 września 2001 r. Prawo farmaceutyczne (Dz.U. 2001 nr 126, poz. 1381).
[3] Oddzielene badacza i ośrodka badawczego jest specyfiką polską. W większości państw EU wyróżnia się wyłącznie ośrodek badawczy, a badacz jest osobą działającą z upoważnienia ośrodka.
[4] Wyrok Trybunału (druga izba) z dnia 29 lipca 2019 r. Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV, (C-40/17) , Wyrok Trybunału (wielka izba) z dnia 5 czerwca 2018 r.
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16).
[5] Wytyczne Europejskiej Rady Ochrony Danych Osobowych 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO.
[6] Ustawa z dnia 5 grudnia 1996 r. o zawodzie lekarza i lekarza dentysty (Dz.U. 1997, nr 16, poz. 152).
[7] Rozporządzenie Ministra Zdrowia z dnia 2 maja 2012 r. w sprawie Dobrej Praktyki Klinicznej (Dz.U. 2012, poz. 489)
[8] Rozporządzenie Parlamentu Europejskiego i Rady UE nr 536/2014 z dnia 16 kwietnia 2014 r. sprawie badań klinicznych produktów leczniczych stosowanych u ludzi.
[9] Dodatkowych argumentów na rzecz uznania ośrodka / badacza oraz sponsora za niezależnych administratorów danych osbowych dostarcza K. Van Quathem. K. Van Quathem „The GDPR and and Clinical Trials – Are Study Sites Controllers or Processors?”, Pharm. Ind. 81, Nr. 6, 809-813 (2019).
[10] Rozporządzenie Ministra Zdrowia z dnia 12 października 2018 r. w sprawie wzorów dokumentów przedkładanych w związku z badaniem klinicznym produktu leczniczego oraz opłat za złożenie wniosku o rozpoczęcie badania klinicznego, Dz.U. 2018, poz. 1994.
[11] Opinia EROD nr 3/2019 w sprawie pytań i odpowiedzi dotyczących wzajemnych zależności między rozporządzeniem w sprawie badań klinicznych (RBK) a ogólnym rozporządzeniem o ochronie danych (RODO) (art. 70 ust. 1 lit. b)) przyjęta w dniu 23 stycznia 2019 r
[12] N. Kalinowska, B. Oręziak, M. Świerczyński, „Badania kliniczne w świetle RODO”, PME rok 2018 numer 3 str. 4
[13] Projekt ustawy o badaniach klinicznych produktów leczniczych stosowanych u ludzi, https://legislacja.rcl.gov.pl/projekt/12346302/katalog/12784810#12784810, dostęp: 17 lipca 2022 r.
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>
