Wraz z wejściem w życie nowych wymogów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) oraz wysokich kar finansowych wrażliwość na wymogi prawne w tym zakresie jeszcze wzrosła. Pracy zarówno z wdrażaniem nowych wymogów, jak i później utrzymania zgodności z nimi, nie jest mało, gdyż procesów, w których przetwarzane są dane osobowe, jest kilkanaście do kilkudziesięciu. Jak w każdej firmie będą to procesy administracyjnie, m.in. związane z zatrudnianiem pracowników, monitorowaniem pracowników, współpracą z dostawcami i klientami. Kluczowymi jednak obszarami będą badania kliniczne oraz pharmacovigilance, gdzie przetwarzane są duże wolumeny informacji o stanie zdrowia pacjentów. Dane pacjentów mogą pojawiać się również w działaniach marketingowych, jednak w tym obszarze więcej aktywności jest podejmowanych w relacji z przedstawicielami zawodów medycznych. O ile w zakresie realizacji umów zawartych z lekarzami i pielęgniarkami kwestie danych osobowych są raczej uporządkowane, o tyle bardzo często zupełnie „nietknięte” pozostają relacje sprzedażowo-marketingowe, jakie firmy farmaceutyczne nawiązują z lekarzami. W dalszej części artykułu przybliżone zostaną najczęstsze błędy i problemy interpretacyjne występujące w branży farmaceutycznej.

Działania niepożądane

Obowiązek zgłaszania działań niepożądanych dotychczas spoczywał na lekarzu, lekarzu dentyście, farmaceucie, pielęgniarce i położnej. Prawo farmaceutyczne umożliwiło również zgłaszanie działań niepożądanych bezpośrednio przez inne osoby, w szczególności pacjentów.

W ramach zgłaszania działań niepożądanych produktów leczniczych dochodzi do przetwarzania danych osobowych, zarówno danych zdrowotnych pacjentów (jeżeli możliwa jest identyfikacja pacjenta), czyli tzw. danych szczególnych kategorii oraz danych zwykłych osób zgłaszających działania niepożądane. RODO wskazuje, że podmioty przetwarzające dane osobowe występują w dwóch rolach: administratora danych lub podmiotu przetwarzającego (tzw. procesor). Powyższe rozróżnienie ma podstawowe znaczenie dla zakresu obowiązków określonych w RODO. Jednym z nich jest konieczność poinformowania osoby zgłaszającej działanie niepożądane m.in. o tym kto jest administratorem jej danych. W świetle przepisów Prawa farmaceutycznego odpowiedź wydaje się prosta. Obowiązek monitorowania działań niepożądanych produktów leczniczych został nałożony na podmiot odpowiedzialny i urzędy rejestracyjne. Rola prezesa Urzędu nie budzi wątpliwości w świetle przepisów Prawa farmaceutycznego. Jeśli chodzi o podmiot odpowiedzialny, to na terenie Polski monitorowanie działań niepożądanych najczęściej jest realizowane bądź przez lokalne spółki córki zagranicznego podmiotu odpowiedzialnego, pełniące z reguły funkcję przedstawiciela podmiotu odpowiedzialnego bądź przez wyspecjalizowane podmioty zewnętrzne (outsourcing pharmacovigilance). Wyjaśnienia wymaga więc pełniona przez nie rola tj. wskazanie czy są administratorem danych, czy też podmiotem przetwarzającym dane na zlecenie zagranicznego podmiotu odpowiedzialnego.

Należy rozważyć co najmniej 2 modele:

•    podmiot odpowiedzialny, jego przedstawiciel bądź inny podmiot są współadministratorami danych osobowych;

•    podmiot odpowiedzialny jest administratorem danych, a jego przedstawiciel bądź inny podmiot są podmiotami przetwarzającymi (procesorami).

Odnosząc się do pierwszego z modeli, jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami (art. 26 RODO). Z definicji wynika, że aby mówić o współadministratorach, muszą być spełnione równocześnie trzy warunki: 1) podmiot lub podmioty muszą być administratorami danych osobowych; 2) muszą wspólnie ustalić cele przetwarzania danych; 3) muszą wspólnie ustalić sposoby (techniczne i organizacyjne) przetwarzania danych osobowych¹.

RODO nie wskazuje co oznacza wspólne ustalanie takich celów. W tym zakresie wypowiedziała się jednak Grupa Robocza, która w opinii z 1/2010 wskazała, że sam fakt, że w procesie przetwarzania danych osobowych współpracują różne podmioty, nie oznacza, że są one wspólnymi administratorami we wszystkich przypadkach, ponieważ wymianę danych między dwiema stronami przy braku wspólnych celów lub sposobów przetwarzania w ramach wspólnej grupy operacji należy uważać wyłącznie za przekazywanie danych pomiędzy dwoma oddzielnymi administratorami danych. Należy jednak zawsze badać skalę mikro- i makroprzetwarzania. Możliwe jest, że w skali mikro poszczególne operacje przetwarzania danych realizowane przez podmioty współpracujące ze sobą w procesie obsługi działań niepożądanych mogą wydawać się niepowiązane, ponieważ każdy z nich może mieć inny cel. Jednak w skali makro możliwe byłoby uznanie operacji przetwarzania danych za „grupę operacji” służących jednemu celowi lub wykorzystujących wspólnie określone sposoby przetwarzania danych. Przyjmując, że poszczególne cele przetwarzania danych osobowych w procesie w skali mikro realizowane przez podmiot odpowiedzialny, jego przedstawiciela bądź inny podmiot służą wspólnemu celowi całego procesu, dopuszczalne jest przyjęcie, że między tymi podmiotami zachodzi stosunek współadministrowania.

W drugim z potencjalnych modeli to podmiot odpowiedzialny należałoby uznać za jedynego administratora danych, jego przedstawiciel bądź inny podmiot będą podmiotami przetwarzającymi (art. 4 pkt 8 RODO). Obecnie jest to pogląd dominujący, choć z uwagi na charakter danych, do których ma dostęp podmiot odpowiedzialny, może budzić wątpliwości. Za uznaniem go za administratora danych przemawia jednak to, że jest on odpowiedzialny za system pharmacovigilance. Jeśli uznać, że podmiot odpowiedzialny jest administratorem danych, to jego przedstawiciela bądź inny podmiot realizujący te zadania można uznać za podmioty przetwarzające, które przetwarzają dane na udokumentowane polecenie administratora.

Badania kliniczne w ramach grupy kapitałowej

W badaniach klinicznych istotne jest rozróżnienie kwestii przetwarzania danych uczestników badania oraz danych badacza i członków zespołów badawczego. 

W stosunku do danych uczestników badań klinicznych zawsze administratorem danych jest spółka będąca sponsorem badania, czyli podmiot odpowiedzialny za podjęcie, prowadzenie i finansowanie badania klinicznego.

W przypadku danych uczestników badań klinicznych prowadzonych w ramach grupy kapitałowej należy ustalić, jaka jest rola pozostałych spółek zaangażowanych w realizację badania:

•    czy administratorem tych danych jest spółka dominująca a spółki zależne, w których zlokalizowane są centra usług wspólnych są podmiotami przetwarzającymi,

•    czy też poszczególne spółki są administratorami danych uczestników badania,

•    czy dochodzi tutaj do współadministrowania danymi (do wejścia w życie RODO model współadministrowania nie był zgodny z polskim prawem – jest więc to całkowita nowość w naszym porządku prawnym).

RODO dopuszcza różne modele przetwarzania danych – wszystko zależy od przyjętych w danej grupie zasad współpracy, podziału obowiązków oraz faktycznych uprawnień do podejmowania decyzji. Kolejnymi podmiotami przetwarzającymi dane uczestników badaniach klinicznych są badacz oraz ośrodek. Najczęściej badaczowi przypisywana jest rola podmiotu przetwarzającego na podstawie zawartej umowy powierzenia, natomiast ośrodek jest odrębnym administratorem. Na nim, jako na podmiocie prowadzącym działalność leczniczą, spoczywa bowiem obowiązek prowadzenia dokumentacji medycznej uczestników badania. Na rynku można spotkać się
z innymi modelami przetwarzania danych, a każdy przypadek należy analizować z osobna.

Sytuacja jest równie niejednoznaczna w przypadku danych badaczy oraz członków zespołu badawczego, zwłaszcza w badaniach prowadzonych w ramach grupy kapitałowej. Najczęściej stroną umowy zawieranej z badaczem i jego zespołem nie jest sponsor, a spółka lokalna. W takim modelu zarówno spółka lokalna, jak i sponsor pełnią role administratorów danych, gdyż każdy z nich przetwarza te dane we własnych celach. Stosowany jest również model współadministrowania.

Bazy danych lekarzy i aptek kupione od zewnętrznych dostawców

Większość firm farmaceutycznych w ramach realizacji swoich działań marketingowo-sprzedażowych korzysta z baz danych lekarzy i aptek, które są dostarczane przez zewnętrzne podmioty wyspecjalizowane w prowadzeniu i bieżącym aktualizowaniu tych baz. Z baz danych można korzystać zarówno poprzez aplikacje dostarczaną przez dostawcę bazy, jak i poprzez importowanie i synchronizację bazy do własnego rozwiązania informatycznego, np. Veeva. Powszechnie stosowany jest model, w którym dostawca bazy jest administratorem danych, natomiast firma farmaceutyczna z niej korzystająca – podmiotem przetwarzającym. Taka interpretacja bywa niejednokrotnie błędna, gdyż firmy farmaceutyczne korzystając z bazy w celu realizacji działań marketingowych, w stosunku do lekarzy czy aptek stają się administratorem ich danych zgromadzanych w bazie. Dzieje się tak, gdyż firmy przetwarzają te dane w celu realizacji własnych celów biznesowych oraz samodzielnie decydują o sposobie ich przetwarzania. W konsekwencji na firmie farmaceutycznej spoczywa wiele obowiązków wynikających z RODO, przykładowo spełnienie obowiązku informacyjnego wobec danych osób (lekarzy czy aptek prowadzonych przez osoby fizyczne prowadzące działalność gospodarczą). Należy zatem pamiętać, aby przy zakupie usługi dostępu do bazy ocenić swoją rolę w stosunku do rekordów zgromadzonych w bazie.

Powołanie Inspektora Ochrony Danych

Firmy z branży farmaceutycznej w większości są zobowiązane do wyznaczenia Inspektora Ochrony Danych (IOD). Jego rolą jest monitorowanie zgodności z przepisami prawa i bezpieczeństwa przetwarzania danych oraz pełnienie funkcji punktu kontaktowego, zarówno dla prezesa Urzędu Ochrony Danych Osobowych, jak i osób, których dane są przetwarzane. W zależności od wielkości i charakteru podmiotu, jego roli w grupie kapitałowej, przyjmowane są różne modele. Jeśli firma nie należy do grupy kapitałowej, musi wyznaczyć IOD samodzielnie. W przypadku grup kapitałowych funkcjonujących w jednym kraju czy też na rynkach globalnych, spółki należące do grupy mogą wyznaczyć jednego IOD, który będzie pełnił tę rolę dla wielu spółek. IOD może zostać wyznaczony dla wszystkich podmiotów w grupie lub dla kilku podmiotów np. należących do regionu EMEA. Zdarza się, że w przypadku powołania IOD dla wielu spółek i zlokalizowanego w innym kraju, lokalnie spółki powołują osobę wspierającą IOD. Nazywana jest ona różnie – Privacy Coordinator czy Privacy Steward. Lokalne wsparcie jest w praktyce bardzo przydatne z kilku powodów, przede wszystkim jednak znajomość lokalnej spółki, lokalnych wymogów prawa oraz lokalnego języka, którym komunikują się z firmą osoby, których dane są przetwarzane, i prezes Urzędu Ochrony Danych Osobowych. Niezależnie od przyjętego modelu ulokowania IOD w organizacji i ilości podmiotów, nad którymi sprawuje opiekę, funkcje IOD może pełnić osoba wewnątrz organizacji lub spoza organizacji w modelu outsourcingu. Z opinii klientów firmy Audytel S.A. wynika, iż głównymi korzyściami płynącymi z modelu outsourcingu jest obniżenie kosztów w porównaniu z zatrudnieniem wykwalifikowanej osoby na etacie, branżowe doświadczanie IOD w zakresie ochrony danych osobowych oraz pewność ciągłości usługi wsparcia.

Wymagania wprowadzone przez RODO nie zawsze dają się jednoznacznie interpretować, możliwe jest też stosowanie różnorodnych modeli w zależności od specyfiki działalności podmiotu i jego pozycji w strukturze grupy kapitałowej. W celu prawidłowej implementacji RODO niezbędna jest każdorazowa analiza prowadzonych działań, w szczególności ustalenie roli spółki i w konsekwencji określenie jej obowiązków wynikających z przetwarzania danych osobowych.

przypis

¹  A. Buczyńska-Borowy, Współadministratorzy i proces współadministrowania, ABI Expert 2017 Nr 2, s. 44.
 

Artykuł został również opublikowany w nr 2/2019 magazynu Przemysł Farmaceutyczny.