Jeszcze jakiś czas temu NFT było nadzwyczaj popularnym tematem, w którego promocję zaangażowane były gwiazdy światowego formatu. Na dzień dzisiejszy (raczej) można stwierdzić, iż wielki szał sprzedaży cyfrowych obrazków, grafik czy gifów minął, a bańka NFT pękła. Jednakże, pojawia się zasadnicze pytanie, czy potencjał wykorzystania tej technologii zmalał? Czym jest NFT? NFT („non-fungible token”), w tłumaczeniu na język polski, jest to tzw. „niewymienialny token” będący unikalnym elementem kodu blockchain, charakteryzujący się tym, że nie można go wymienić na inny. Inaczej mówiąc, NFT to unikalny kod w łańcuchu bloków, stanowiący zapis własności dowolnego towaru cyfrowego lub fizycznego, a zarazem potwierdzający, że […]
RODO a badania kliniczne
15 lipca 2021 | Aleksandra Ziętek
W dzisiejszym artykule poruszymy kwestię określania roli (administratora lub podmiotu przetwarzającego) w ramach badań klinicznych. W praktyce naszego Zespołu RODOkompasu często spotykamy się z różnymi koncepcjami przy ustalaniu roli podmiotów występujących w badaniach klinicznych. W szczególności różne podejście, nierzadko zaskakujące, występuje po stronie Sponsora. Kto zatem jest administratorem danych w ramach badań klinicznych, a kto podmiotem przetwarzającym?
Podmioty w badaniach klinicznych:
Na samym wstępie warto wskazać, jakie podmioty występują w ramach badań klinicznych (dalej także: BK). Wyróżnić można trzy podstawowe strony:
- SPONSOR– podmiot, który zleca (inicjuje) wykonanie danego badania klinicznego (najczęściej koncerny farmaceutyczne);
- OŚRODEK BADAWCZY– podmiot, w którym prowadzone są badania kliniczne (najczęściej jest to szpital, biorący udział w badaniu klinicznym)
- BADACZ– osoba z kwalifikacjami zawodowymi, przeprowadzająca badanie kliniczne.
To jednak nie wszystkie podmioty, które mogą brać udział w przeprowadzeniu badania klinicznego. Jeżeli bowiem Sponsor ma siedzibę poza Unią Europejską, to musi on działać na terenie UE przez swojego przedstawiciela. Czasami Sponsor działa także przez podmioty, którym zleca organizację danego badania klinicznego – Contract Research Organization (w skrócie: CRO). Po stronie Sponsora (lub z ramienia CRO) występuje także Monitor- podmiot zajmujący się kontrolą ośrodka i badacza w ramach BK. Po drugiej stronie badania klinicznego także występują dodatkowe podmioty, chociażby w ramach zespołu badawczego.
Dziś skupimy się na podstawowym problemie- czyli relacji pomiędzy trzema głównymi stornami badania klinicznego: Sponsorem, Ośrodkiem badawczym i Badaczem. Jaka zatem jest ich rola w przetwarzaniu danych osobowych uczestników badania (osób które zgodziły się na uczestnictwo w BK)?
ADO czy procesor?
Z doświadczenia dostrzegamy, że co Sponsor(zwłaszcza z siedzibą za granicą), to inne podejście do ochrony danych osobowych i roli, jaką przyszło mu spełniać w ramach jego udziału w badaniach klinicznych. Rzeczą bowiem oczywistą jest to, że badania kliniczne oznaczają przetwarzanie danych szczególnej kategorii dotyczących zdrowia. Biorąc pod uwagę, że udział w BK jest dobrowolny i jest czymś ponad udzielanymi świadczeniami zdrowotnymi w ramach opieki szpitalnej, określenie roli w tym procesie jest szczególnie ważne.
Wyjść należy od definicji administratora oraz podmiotu przetwarzającego. Zgodnie z definicją zawartą w art. 4 RODO:
- ,,administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
- ,,podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
Analiza oraz praktyka utwierdza nas w przekonaniu, że w ramach badań klinicznych administratorem danych osobowych jest Sponsor konkretnego badania. To on bowiem ustala sposoby i cele przetwarzania, opisane między innymi w protokole badania czy w dokumentacji towarzyszącej temu procesowi. Ośrodek badawczy oraz badacz występują w tej relacji w roli podmiotu przetwarzającego, ponieważ realizując badania kliniczne wykorzystują oni dane osobowe na zlecenie Sponsora. Dochodzi więc do powierzenia danych w ramach zlecenia przeprowadzenia badania klinicznego, nie zaś do ich udostępnienia, a umowy o badania kliniczne powinny być rozszerzane o kwestie powierzenia danych z art. 28 RODO.
Zdarza się że Sponsorzy idą w zaparte, twierdząc, że w ramach badań klinicznych badacz i ośrodek badawczy są odrębnymi administratorami. Co więcej, Sponsorzy wychodzą z założenia, że nie mają dostępu do danych, otrzymując jedynie spseudonimizowane protokoły i wyniki badań, przez co przerzucają rolę administratora na pozostałe podmioty uczestniczące w badaniu. Niemniej jednak nadal są to operacje na danych osobowych zlecone przez Sponsora. Biorąc zatem pod uwagę, kto tak naprawdę wyznacza zakres i cele przetwarzania danych osobowych uczestników badania oraz finalną możliwość dostępu Sponsora do danych niespseudonimizowanych w ramach monitoringu badania klinicznego, role nie powinny budzić wątpliwości:
- Sponsor- administrator
- Ośrodek badawczy oraz Badacz- podmiot przetwarzający
Koncepcja nakładania się ról:
Postrzeganie roli Badacza i Ośrodka badawczego przez część Sponsorów jako odrębnych administratorów nie jest całkowicie bezzasadne. Nadal bowiem pełnią oni rolę odrębnych administratorów danych. Niemniej jednak dotyczy to przetwarzania danych pacjentów w związku z wykonywaną działalnością leczniczą i udzielanymi świadczeniami zdrowotnymi. Badacz i Ośrodek badawczy są zatem odrębnymi od Sponsora administratorami danych, ale w innym zakresie i celach.
Nie ma to jednak znaczenia dla roli tych podmiotów w ramach badań klinicznych, gdzie na rzecz, zlecenie i w zakresie ustalonym przez dokumentację Sponsora przetwarzane są dane uczestników badania, za ich zgodą.
Zjawisko to nazywane jest „nakładaniem się ról”. Pojęcie to jest używane w sytuacji, gdy dany podmiot jest zarówno administratorem (tu Badacz i Ośrodek badawczy w ramach świadczeń zdrowotnych) i podmiotem przetwarzającym (tu Badacz i Ośrodek badawczy w ramach badania klinicznego). RODO nie wyklucza bowiem pełnienia tych dwóch ról w zakresie tych samych danych, ale w ramach innych operacji i celów przetwarzania .
W zakresie leczenia pacjenta oczywistym jest, że sposoby i cele przetwarzania danych zawartych w dokumentacji medycznej wyznacza dany lekarz czy placówka medyczna. Przy badaniach klinicznych to Sponsor inicjuje ich przeprowadzenie, określa co ma być zawarte w dokumentacji badania- a zatem wyznacza sposoby i cele przetwarzania danych osobowych uczestników badania.
Praktyka coraz częściej pokazuje, iż początkowa koncepcja odrębnych administratorów ustępuje miejsca (właściwej) relacji, w której Sponsor administruje danymi, a pozostałe strony badania klinicznego przetwarzają je na rzecz i polecenie Sponsora. Koncepcja nakładania się ról, co warto podkreślić, nie odnosi się jedynie do badań klinicznych. Występuje ona bowiem chociażby przy agencjach rekrutacyjnych czy przy podmiotach rozwijających algorytmy.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.