Каква е защита на личните данни при клинични изпитвания

В областта на клиничните изпитвания в началото на 2022 г. започна да се прилага Регламент (ЕС) 536/2014 г. относно клиничните изпитвания на лекарствени продукти за хуманна употреба, чиито разпоредби са в тясно взаимодействие с правилата на GDPR. Как двата регламента се съотнасят помежду си? На този въпрос отговор дават Европейската комисия (ЕК) и Европейският комитет по защита на данните (ЕКЗД). Те също така насочват участващите в изпитванията страни (спонсор, център за провеждане на клиничното изпитване, главен изследовател и др.) относно основанието за обработване на лични данни на пациентите в различни хипотези.

Защита на пациента при клиничните изпитвания

Както Регламентът относно клиничните изпитвания, така и GDPR са насочени към засилване защитата на правата на пациентите, но от различни гледни точки. Регламентът относно клиничните изпитвания цели получаване на надеждни и устойчиви данни при клиничното изпитване, като се дава защита на правата, безопасността, достойнството и благосъстоянието на лицата. От друга страна, GDPR обезпечава защитата на личните им данни.

В Регламента относно клиничните изпитвания централно място заема въпросът за информираното съгласие на пациента, с което той свободно и доброволно изразява желанието си за участие след подробно информиране за всички аспекти на клиничното изпитване. Това съгласие е условие за включване в клинично изпитване, но то не трябва да се бърка със съгласието като основание за обработване на лични данни по смисъла на GDPR, каквото невинаги е необходимо, защото данните може да бъдат обработвани на друго основание (например законово изискване).

На какви основания се обработват данните на пациентите?

Обемът от данни, обработвани в хода на клинично изпитване, ЕК разделя на две групи - данни за първична и вторична употреба.

При първичното използване се касае за обработване на данни във връзка с конкретен протокол за изпитване от началото до заличаването му, а основанието за обработване на лични данни най-често е законово задължение (например докладване, архивиране, оповестяване и др.), както и обществен интерес в областта на общественото здраве.

При вторичното използване на данните от клинични изпитвания извън протокола на клиничното изпитване за научни цели е възможно да се позовем на съвместимост на целите и да не се търси ново правно основание. Други възможности са съгласие, обществен или легитимен интерес.

В случай че е необходимо да бъде събрано съгласие по GDPR, препоръчително е то да бъде във формуляр, отделен от този на информираното съгласие по Регламента за клиничните изпитвания, за да има яснота за пациента, че се касае за два различни документа, които имат свой собствен "живот" и могат да бъдат оттеглени от пациента в различен момент и с различни последици за дейностите по клиничното изпитване.

По принцип данните на пациентите в клиничното изпитване са "кодирани" (т.е. псевдонимизирани) като мярка за тяхната защита. Въпреки това такива данни продължават да са лични и за тях се прилага GDPR.

В някои случаи данните на пациентите са анонимизирани (т.е. пациентът изобщо не може да бъде идентифициран) и съответно не представляват лични данни. GDPR не се отнася за обработването на такава анонимна информация, включително за статистически или изследователски цели.

Какви са ролите и отговорностите на участващите страни

Друг дискусионен въпрос, който в практиката често е повод за дълги преговори, е този за ролите на участващите страни в клиничните изпитвания по смисъла на GDPR, а именно дали са администратори, обработващи или съвместни администратори. Определянето на тези роли има значение от гледна точка на отговорностите, които те имат спрямо пациентите. В България Комисията за защита на личните данни е приела, че спонсорът и лечебното заведение са съвместни администратори, т.е. отговарят заедно за законосъобразното обработване на данните на пациентите.

Според насоките, дадени от ЕКЗД, спонсорът и изследователят могат да се определят като съвместни администратори или като администратор и обработващ, в зависимост от конкретния случай.

Практически насоки относно защитата на личните данни при клинични изпитвания

GDPR вменява множество задължения за администраторите и обработващите лични данни, които са валидни за всички дейности по обработване на данни, включително информиране на субектите, водене на регистри на дейностите по обработване, прилагане на подходящи технически и организационни мерки за сигурност на данните, информиране за инциденти и т.н. В контекста на клинични изпитвания трябва да се отчитат и съответните специфики. Така например според Регламента относно клиничните изпитвания спонсорът и изследователят архивират съдържанието на основното досие на клиничното изпитване за срок най-малко 25 години след края на клиничното изпитване. Този срок за съхранение трябва да бъде съобразен, включително да залегне в регистрите на дейностите по обработване.

Предвид специалния характер на обработваните данни при клинични изпитвания (здравна информация), трябва да се преценява и необходимостта от извършване и документиране на оценка на въздействието върху защитата на данните.

Трансгранични отношения при клинични изпитвания

Спонсор в САЩ и изследовател в България - в кои случаи говорим за трансфер на лични данни? Изследовател съхранява данни от клинични изпитвания в облак, поддържан от доставчик от Израел - има ли трансфер? Във всички случаи на предаване на лични данни към страни извън ЕС/ЕИП се касае за трансфер на данни към трети държави, който се осъществява само при спазване на определени допълнителни изисквания на GDPR, за да се осигури необходимото ниво на защита на данните.

В контекста на трансгранични отношения при клинични изпитвания е важно да се идентифицират всички случаи на трансфер и приложимите гаранции за защита на данните. При липса на подходящи гаранции предаването би могло да се основе на съгласие на субекта (пациента), което ще е отделно от съгласията, разгледани по-горе.

Нови предизвикателства: защита на личните данни при използване на изкуствен интелект и съвременни технологии

Технологиите са неизменна част от дейността на съвременните компании - тенденция, която наблюдаваме и в сферата на клиничните изпитвания. Например новата единна европейска Информационна система за клинични изпитвания (CTIS) предполага обработване на огромен обем лични данни на участници от всички държави членки, които предвид чувствителния си характер изискват засилени мерки за сигурност.

Използването на изкуствен интелект, което добива все по-голяма популярност, също би могло да намери приложение при клинични изпитвания - например при подбор на участници, анализ на медицински досиета и генериране на списък с подходящи пациенти, анализ на информация в социални мрежи и идентифициране на региони, в които е разпространено дадено заболяване, и т.н. При внедряване на такива технологии обаче следва винаги да се отчитат специфичните рискове от гледна точка на защита на личните данни и правата на субектите, например във връзка с автоматизираното вземане на индивидуални решения. Нещо повече - преценката не трябва да е последваща, а да предхожда използването на технологията и да се базира на оценка на въздействието.

В заключение, съобразяването с новите регулации изисква комплексен подход и експертиза в различни области. В съвременния свят данните са ценен актив и предизвикателствата при тяхната защита са много, но полагането на усилия в тази посока представлява едновременно и добра възможност за компаниите да оптимизират своята дейност.

Статията е обект на авторско право. Тя има информативен характер, изразява мнение на авторите и не следва да се приема като препоръка за предприемане на определени действия или правен съвет.