Dane pacjentów w badaniach klinicznych – aktualne przepisy

Kategoria: Prawo
6 min. czytania

W tego typu badaniach równie ważna jest ochrona danych pacjentów biorących udział w przedsięwzięciu. Niestety podmioty prowadzące badania kliniczne w praktyce napotykają wiele trudności związanych z ochroną i przetwarzaniem danych osobowych uczestników włączanych do badania. Nie ulega jednak wątpliwości, że jedną z istotnych barier dla rozwoju tego sektora w Polsce było właśnie krajowe prawo ochrony danych osobowych, a w szczególności archaiczna już ustawa o ochronie danych osobowych z 1997 r., niejednokrotnie poddawana błędnej wykładni przez organy nadzorcze. Mowa również o rozporządzeniach z 2004 i 2008 r. szczegółowo określających zasady rejestracji zbiorów danych czy wymogi dotyczące środków techniczno-organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, a także innych ustawach szczególnych, które odnoszą się do zasad przetwarzania danych osobowych, m.in. o ustawie o prawach pacjenta.

W praktyce problemy pojawiają się przede wszystkim w zakresie ustalenia, kogo należy uznać za administratora danych, a także jak powinien być spełniany obowiązek informacyjny. Dla uczestników biorących udział w danym badaniu istotne jest także to, czy mają oni prawo wiedzieć, czy jest im podawany badany produkt leczniczy czy placebo. A przecież przepisy rozporządzenia w sprawie badań klinicznych w sposób jasny regulują materię przetwarzania danych osobowych oraz odsyłają w art. 56 do mających zastosowanie przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, a więc z mocy art. 94 ust. 2 rodo w istocie do przepisów tego rozporządzenia.

Także w przepisach Prawa farmaceutycznego Ustawodawca nakłada na podmioty prowadzące badania kliniczne obowiązek ochrony danych osobowych uczestników badania. Ustawodawca w art. 37b ust. 2 pkt 3 pf wyraźnie wskazuje, że badanie kliniczne przeprowadza się, jeżeli prawo uczestnika badania klinicznego do zapewnienia jego integralności fizycznej i psychicznej, prywatności oraz ochrony danych osobowych jest przestrzegane. Nie określono jednak warunków i zasad ochrony danych osobowych w badaniach klinicznych.

W § 7 ust. 1 pkt 13 i 14 rozporządzenia w sprawie Dobrej Praktyki Klinicznej zawarto informację o:

• konieczności wyrażenia pisemnej zgody na dostęp badacza do dokumentacji medycznej uczestnika badania klinicznego wytworzonej przed rozpoczęciem tego badania;
• konieczności wyrażenia zgody na przetwarzanie danych osobowych przez owego uczestnika związanych z jego udziałem w badaniu klinicznym;
• zachowaniu poufności tej części dokumentacji badania klinicznego, która pozwoliłaby na identyfi kację uczestnika;
• wyłączeniu danych osobowych z ewentualnej publikacji wyników badania klinicznego.

Rozporządzenie w sprawie Dobrej Praktyki Klinicznej w § 19 ust. 2 pkt 4 stanowi, że umowa dotycząca prowadzenia badania klinicznego, zawarta między sponsorem a badaczem, zobowiązuje strony w szczególności do ochrony danych osobowych uczestników badania uzyskanych w związku z jego prowadzeniem.

Ośrodki badawcze, w których są prowadzone badania kliniczne, przetwarzają dane uczestników zgodnie z przepisami o ochronie danych osobowych. Ustawodawca dopuszcza przetwarzanie danych prowadzone w celu:

• ochrony stanu zdrowia,
• świadczenia usług medycznych lub leczenia pacjentów.

Z kolei zgodnie z ustawą o ochronie danych osobowych ustawodawca legalizuje przetwarzanie danych, jeżeli jest to niezbędne do prowadzenia badań naukowych, przy czym publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone.

Ogólne rozporządzenia o ochronie danych osobowych (RODO) wymaga natomiast ustalenia zasad przetwarzania danych osobowych uczestników badań klinicznych oraz badaczy i innych członków zespołów badawczych. Unijne przepisy regulujące badania kliniczne pomimo swojej lakoniczności w zakresie ochrony danych osobowych wypełniają jednakże jedno podstawowe zadanie. Z jednej strony wzmacniają ich ochronę, obejmując prawo do dostępu do danych osobowych, a także ich poprawiania i wycofywania, z drugiej natomiast wprowadzają ograniczenie tych praw. Ten celowy zabieg umożliwia zachowanie równowagi pomiędzy wiarygodnością danych z badań klinicznych wykorzystywanych do celów naukowych, jak i bezpieczeństwem uczestników badań klinicznych. Jednym z kluczowych rozwiązań zachowania właściwego balansu jest zastrzeżenie, że wycofanie świadomej zgody nie może mieć wpływu na wyniki przeprowadzonych już działań, takich jak przechowywanie i wykorzystywanie danych uzyskanych w oparciu o świadomą zgodę przed jej wycofaniem.

W RODO wzmocnienie ochrony danych wyrażone jest w zamkniętym katalogu przesłanek legalności przetwarzania danych zwykłych (art. 6) oraz szczególnych kategorii danych (art. 9). Wyróżnienie tej drugiej kategorii w postaci danych sensytywnych (wrażliwych), do których zaliczają się dane dotyczące zdrowia, ma znaczenie z uwagi na zawężenie podstaw dopuszczalnego przetwarzania danych oraz zakaz przetwarzania danych tego rodzaju, chyba że wykazano konkretną podstawę ich przetwarzania (art. 9 ust. 2 lit. a-j RODO). Jest to o tyle istotne, że w zbiorach danych osobowych dotyczących badań klinicznych przetwarzane są przede wszystkim dane sensytywne w rozumieniu RODO. Szczególną podstawą prawną, która umożliwia ich przetwarzanie, jest natomiast prowadzenie badań naukowych, do których kategorii zaliczają się również badania kliniczne.

Warto też wspomnieć, że informacja uzyskana w związku z eksperymentem medycznym może być wykorzystana do celów naukowych, bez zgody osoby poddanej temu eksperymentowi, w sposób uniemożliwiający identyfikację tej osoby. Takie rozwiązanie ma zapewnić ochronę danych osobowych i anonimowość uczestnikowi eksperymentu medycznego, którym jest każde badanie kliniczne.

Na tym tle można uznać intuicyjnie, że administratorem danych osobowych w badaniu klinicznym powinien być sponsor tego badania. Sponsor badania klinicznego nie ma jednak dostępu do danych osobowych uczestników badania. Otrzymuje jedynie dane objęte pseudonimizacją, tj. dane uczestników w postaci nadanych im numerów lub inicjałów. Oczywiście możliwa jest identyfikacja uczestników badania po nadanych im numerach, tyle że sponsor, co do zasady, nie potrzebuje i tym samym nie przetwarza informacji w tej spersonalizowanej formie.

Niezwykle istotny w omawianej kwestii jest fakt, że Europejska Rada Ochrony Danych 2 września 2020 r. przyjęła Wytyczne 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. Jednym z obszarów, do których odnoszą się wytyczne, są badania kliniczne. Od wejścia w życie RODO pojawiały się liczne wątpliwości prawne w zakresie określenia odpowiedzialności za dane osobowe uczestników tych badań. Ze względu na mnogość i różny charakter podmiotów uczestniczących w procesie prowadzenia badania klinicznego, m.in. sponsora, badacza, ośrodek badawczy czy monitorów badania, a także skomplikowany charakter samych badań i prowadzonej w ramach nich dokumentacji, w praktyce stosowane są różne rozwiązania w tym zakresie, dochodzi do różnych sytuacji, które wymagają interpretacji obowiązujących regulacji, w tym m.in. zasad prowadzenia badań klinicznych oraz dokumentacji medycznej.

Wytyczne EROD w obecnym kształcie zawierają przykład określający role podstawowych podmiotów zaangażowanych w badania kliniczne w zakresie przetwarzania danych pacjentów. Zgodnie z nim:

• Jeżeli świadczeniodawca (badacz) i uczelnia (sponsor) decydują się wspólnie rozpocząć badanie kliniczne w tym samym celu oraz współpracują ze sobą przy opracowywaniu protokołu badania, mogą być uważani za współadministratorów w tym badaniu klinicznym.
• Zbieranie danych osobowych z dokumentacji medycznej pacjenta do celów badawczych należy odróżnić od przechowywania i wykorzystywania tych samych danych w celu opieki nad pacjentem, dla których administratorem pozostaje świadczeniodawca.
• W przypadku, gdy badacz nie uczestniczy w sporządzaniu protokołu, a protokół został opracowany wyłącznie przez sponsora, badacza należy traktować jako podmiot przetwarzający, a sponsora jako administratora w tym badaniu klinicznym.

Wytyczne EROD wpływać będą na interpretację przepisów RODO, w tym w szczególności w tak skomplikowanym obszarze przetwarzania danych jak badania kliniczne. Dlatego warto wykorzystać możliwość zgłaszania uwag do wypracowania jak najlepszych zasad ochrony danych medycznych uczestników badań.

Podsumowując, RODO wprowadza wiele obostrzeń w dziedzinie przetwarzania danych w badaniach klinicznych, które nie stoją w sprzeczności z poprzednim stanem prawnym, jednakże w związku z większą szczegółowością przepisów unijnych i brakiem regulacji sektorowych budzą jeszcze więcej wątpliwości interpretacyjnych. Powstają nowe pytania o faktyczną realizację obowiązków administratora, w tym obowiązku informacyjnego. W doktrynie pojawiają się również wątpliwości odnośnie klasyfikacji sponsora jako administratora w związku z faktyczną pseudonimizacją danych uczestników badania (realny dostęp do wszystkich danych pacjentów mają bowiem tylko badacz i ośrodek badawczy), czy też obligatoryjnego charakteru dobrowolności zgody przewidzianej w nowym rozporządzeniu unijnym. W następnym artykule przeprowadzimy analizę przepisów RODO, mającą na celu ułatwienie prowadzenia
badań i wyjaśnienie wątpliwych kwestii w tej materii.

Marzena Pytlarz
PPC Legal

Artykuł został opublikowany w kwartalniku "Świat Przemysłu Farmaceutycznego" 1/2021