23. 7. 2019
ID: 109667upozornění pro uživatele

Zpracování osobních údajů v klinických hodnoceních podle GDPR, aneb je třeba souhlasu?

Nezbytnou součástí vývoje nového léčiva je provedení jeho klinického hodnocení za účasti člověka. Protože při takovém lékařském experimentu dochází k významným zásahům do osobnostních práv, je nutné dostatečným způsobem zajistit právní regulaci takových zásahů, a to včetně ochrany osobních údajů účastníků takových klinických studií.[1]

Velmi diskutovaným problémem současnosti je aplikace obecného nařízení EU o ochraně osobních údajů (nařízení EU 2016/679; dále jen „GDPR“) na zpracování osobních údajů v rámci klinických hodnocení, neboť GDPR neobsahuje výslovná ustanovení pro tuto oblast.[2] Nejasnosti se týkají především samotného právního základu zpracování osobních údajů účastníků klinického hodnocení. Není totiž zřejmé, zda je pro takové zpracování nezbytné získat souhlas subjektu hodnocení, nebo zda lze zpracování osobních údajů odůvodnit veřejným zájmem v oblasti veřejného zdraví anebo vědeckým výzkumem. Státní ústav pro kontrolu léčiv (dále jen „SÚKL“) sice ve svém aktualizovaném pokynu KLH-22 ve verzi 4 s platností od 14. 11. 2018 upřesnil požadavky na text informací pro subjekty hodnocení, ale k žádné z variant ohledně základu pro zpracování osobních údajů se výslovně nepřiklonil.
 


Stanovisko Evropské komise

Dne 10. dubna 2019 Generální ředitelství pro zdraví a bezpečnost potravin Evropské komise (dále jen „EK“) po konzultaci s Evropským sborem pro ochranu osobních údajů[3] zveřejnilo na svých stránkách formou otázek a odpovědí dokument, jehož cílem je podat výklad ke vztahu nového nařízení č. 536/2014 o klinických hodnoceních humánních léčivých přípravků, jehož účinnost se očekává v průběhu roku 2020, a GDPR; uvedený dokument poskytuje odpověď na řadu dosud nevyjasněných otázek.  

Právní základ zpracování osobních údajů

EK předně zdůrazňuje, že informovaný souhlas k provedení klinického hodnocení nelze zaměňovat se souhlasem ke zpracování osobních údajů. Informovaný souhlas je nezbytným předpokladem pro účast subjektu hodnocení v klinickém hodnocení a předchází mu podání podrobných informací o povaze, významu, dopadech a rizicích klinického hodnocení. Informovaný souhlas slouží k zajištění ochrany práva na lidskou důstojnost a práva na nedotknutelnost fyzických osob, ale sám o sobě není právním titulem pro zpracování osobních údajů ve smyslu GDPR.

Zde je třeba připomenout, že GDPR vychází ze zásady zákonnosti, podle níž zpracování osobních údajů musí vždy probíhat na základě alespoň jednoho z právních titulů (důvodů) vyjmenovaných v čl. 6 odst. 1 GDPR. Právní titul je podmínka, bez které není zpracování v žádném případě možné, resp. je od počátku nezákonné. Souhlas se zpracováním osobních údajů je jedním z těchto titulů,[4] jehož význam se však podle GDPR podstatně změnil. Zatímco v předchozí právní úpravě i praxi se jednalo o dominantní právní titul, podle GDPR by měl být využíván spíše doplňkově, pokud správce osobních údajů nebude mít možnost využít jiného právního titulu.[5] Těmito dalšími právními tituly pro zpracování osobních údajů jsou zejména plnění smlouvy, jejíž smluvní stranou je subjekt údajů, plnění právních povinností správce osobních údajů, nebo oprávněný zájem správce osobních údajů. Vzhledem k tomu, že v rámci klinických hodnocení jsou navíc zpracovávány i zvláštní kategorie (citlivých) osobních údajů, jako jsou údaje o zdravotním stavu, musí být jejich zpracování realizováno za splnění alespoň jedné ze specifických podmínek v čl. 9 odst. 2 GDPR.

Pro účely stanovení vhodného právního titulu rozlišuje EK ve svém dokumentu mezi zpracováním osobních údajů v rámci klinických hodnocení, jehož cílem je léčebný přínos pro subjekty hodnocení, resp. ověření bezpečnosti léčivých přípravků, a zpracováním údajů, jehož účelem je výlučně dosažení vědeckých poznatků.

V případě zpracování údajů[6] s předpokládaným preventivním nebo léčebným přínosem je podle EK odpovídajícím právním titulem pro zpracování osobních údajů plnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR s tím, že pro zpracování citlivých osobních údajů je tímto právním titulem čl. 9 odst. 2 písm. i) GDPR, tedy zpracování z důvodu veřejného zájmu v oblasti veřejného zdraví. 

Pokud jde o operace zpracování, jejichž cílem je pouhé dosažení vědeckých poznatků, zastává EK stanovisko, že zpracování údajů v těchto případech již nelze podřadit pod plnění právní povinnosti zadavatelů klinických hodnocení. Podle EK však může jako právní titul pro zpracování údajů přicházet v úvahu veřejný zájem ve smyslu čl. 6 odst. 1 písm. e) ve spojení s čl. 9 odst. 2 písm. i) nebo j) GDPR, které umožňují zpracování citlivých osobních údajů z důvodu veřejného zájmu v oblasti veřejného zdraví, resp. zpracování pro účely vědeckého výzkumu. Alternativně se mohou zadavatelé klinických hodnocení odvolávat při zpracování osobních údajů pro výzkumné účely na svůj oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR, který je jedním z nejflexibilnějších právních titulů, a to případně ve spojení s čl. 9 odst. 2 písm. j) GDPR, který umožňuje zpracování citlivých osobních údajů pro vědecký výzkum.

Na druhé straně EK ve svém stanovisku dospívá k závěru, že souhlas subjektů hodnocení se zpracováním osobních údajů nebude zpravidla možné považovat za vhodný právní základ zpracování. Souhlas se zpracováním osobních údajů je v GDPR[7] definován jako svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává svolení ke zpracování svých osobních údajů. Ve vztazích mezi zadavatelem klinického hodnocení a jeho účastníkem se však projevuje výrazně slabší postavení subjektu hodnocení a nelze tak dost dobře hovořit o svobodě udíleného souhlasu. Zadavatelé klinických studií by tedy měli využívat jiného právního titulu. Nevhodnost souhlasu v těchto případech ještě více vynikne, pokud uvážíme, že souhlas se zpracováním osobních údajů musí být vždy odvolatelný.[8] Není totiž zřejmé, jak by zadavatel klinického hodnocení řešil v praxi situaci odvolání souhlasu se zpracováním osobních údajů u těch účastníků, kteří by současně neodstoupili od účasti v klinickém hodnocení.         

Zpracování osobních údajů za jiným účelem

EK se ve svém stanovisku dále zabývá tzv. druhotným zpracováním osobních údajů subjektů hodnocení, tj. zpracováním, které není předvídáno protokolem klinického hodnocení.[9] EK nejprve připomíná, že bude-li zadavatel zpracovávat osobní údaje za jiným účelem, než který je uveden v protokolu, musí mít i pro tento účel k dispozici odpovídající právní titul. V této souvislosti pak EK upozorňuje zadavatele klinických studií na možnost využití domněnky slučitelnosti obsažené v čl. 5 odst. 1 písm. b) GDPR, podle které je možné zpracovávat osobní údaje i za jiným účelem, než za kterým byly původně shromážděny, pokud se jedná o zpracování pro účely vědeckého výzkumu. V zásadě tedy bude vždy možné, aby zadavatel využil osobní údaje pro vědecké účely, neboť se bude jednat o výjimku z obecného pravidla, podle něhož mohou být osobní údaje zpracovávány pouze za tím účelem, ke kterému byly shromážděny. I v těchto případech se samozřejmě uplatní další zásady zpracování osobních údajů, jako je například zásada přesnosti osobních údajů, jejich minimalizace či omezené doby uložení.

Zpracování osobních údajů u záchranných klinických hodnocení              

EK se ve svém stanovisku rovněž věnuje zpracování osobních údajů v naléhavých situacích, kdy dotčená osoba není schopna poskytnout svůj souhlas s účastí v klinickém hodnocení (např. osoby v bezvědomí). Podle EK je i v těchto případech právním titulem ke zpracování osobních údajů veřejný zájem podle čl. 6 odst. 1 písm. e) GDPR, popř. oprávněný zájem zadavatele klinické studie ve smyslu čl. 6 odst. 1 písm. f) GDPR. Prvotní zpracování osobních údajů u těchto fyzicky nezpůsobilých osob může být také ospravedlněno ochranou jejich životně důležitých zájmů ve smyslu čl. 6 odst. 1 písm. d) GDPR ve spojení s čl. 9 odst. 2 písm. c) GDPR, který umožňuje zpracování citlivých údajů, je-li to nutné pro záchranu života či zdraví subjektu údajů.

Působnost GDPR na zadavatele usazené mimo oblast EU              

Za účelem zajištění ochrany subjektů údajů se GDPR v některých případech vztahuje i na správce, kteří nejsou usazeni na území Evropské unie, pokud je jejich činnost zacílena na fyzické osoby v EU.  Ze stanoviska vyplývá, že EK dovozuje osobní působnost GDPR i na zadavatele klinických hodnocení usazené mimo oblast EU, neboť tyto společnosti (zpravidla výrobci léčiv) při realizaci klinických hodnocení v rámci EU monitorují osoby (pacienty nebo zdravé dobrovolníky), které se nacházejí v EU, nebo případně nabízí těmto osobám zboží a služby ve smyslu čl. 3 GDPR.

Informační povinnost vůči subjektům hodnocení

Podle EK má účastník klinické studie vždy právo na informace od správce údajů, tj. zadavatele klinického hodnocení, a to v souladu s informační povinností správce obsaženou v čl. 13 GDPR. Podle tohoto článku je správce povinen sdělit subjektu údajů svou totožnost a kontaktní údaje, účel a právní základ zpracování, kategorie příjemců osobních údajů, informace o zamýšleném předávání údajů do zemí mimo EU a další informace pro zajištění transparentního zpracování.  

Na rozdíl od pokynu SÚKL označeného jako KLH-22 verze 4 však EK nestanoví požadavek, aby takové informace byly předány subjektům hodnocení ve formě samostatného dokumentu. Uvedený požadavek SÚKL je dle mého názoru výrazem přepjatého formalismu. Z žádného obecně závazného právního předpisu totiž nevyplývá povinnost zadavatele klinického hodnocení předkládat informace k ochraně osobních údajů subjektům hodnocení formou samostatného dokumentu, tedy mimo formulář informovaného souhlasu. Požadavek SÚKL obsažený v pokynu KLH-22, který není nikterak odůvodněn, tak představuje nepřípustnou libovůli. Přestože podle GDPR je správce osobních údajů, tj. i zadavatel klinické studie, povinen poskytnout informace subjektu údajů ohledně zpracování osobních údajů, které se tohoto subjektu týkají, z žádného ustanovení GDPR nevyplývá, že by tato informační povinnost měla (či snad dokonce musela) být splněna umístěním informací v samostatném dokumentu. Z GDPR pouze vyplývá, že poskytování informací musí být provedeno stručnou a srozumitelnou formou, snadno přístupným způsobem a za použití jasných a jednoduchých jazykových prostředků. Tedy tak, aby byla naplněna zásada spravedlivého a transparentního zpracování. Poskytování informací se tedy bude dít zpravidla písemně nebo jinými vhodnými prostředky (např. elektronicky). GDPR však nevylučuje ani poskytnutí informací ústně, přestože v takovém případě může být pro správce osobních údajů obtížné prokázat splnění této informační povinnosti.

S ohledem na uvedené tedy nepovažuji požadavek SÚKL na předkládání samostatného dokumentu k ochraně osobních údajů subjektům hodnocení za věcně opodstatněný. Navíc existuje reálné riziko, že etické komise,[10] které se zpravidla do nejmenších detailů přidržují doporučení obsažených v pokynech SÚKL, budou podmiňovat vydání souhlasného stanoviska ke klinickému hodnocení předložením informací ke zpracování osobních údajů ve formě samostatného dokumentu, přestože pro takový požadavek není dán žádný zákonný důvod.  

Dopad GDPR na probíhající klinická hodnocení

Pokud jde o aplikaci GDPR na klinická hodnocení, která byla zahájena před nabytím účinnosti GDPR a nebyla dosud ukončena, resp. nadále v nich dochází ke zpracování osobních údajů, nabádá EK zadavatele těchto studií k tomu, aby prověřili, zda není nezbytné poskytnout subjektům hodnocení doplňující informace v souladu s informační povinností podle GDPR. Dále stanovisko EK upozorňuje, že pokud byl u probíhajících klinických hodnocení právním základem ke zpracování osobních údajů souhlas dotčených subjektů hodnocení, je zapotřebí posoudit, zda tyto původní souhlasy odpovídají podmínkám pro udělení souhlasu obsaženým v GDPR, a případně obstarat souhlasy nové. Tato posléze uvedená doporučení EK vnímám poměrně kriticky, jako jdoucí nad rámec povinností vyplývajících z GDPR. Uvedené obecné nařízení totiž neobsahuje žádná přechodná ustanovení a podle mého názoru tak i GDPR musí s ohledem na právní jistotu dotčených subjektů fungovat na principu zpětné neúčinnosti. Jinak vyjádřeno, povinnosti plynoucí z GDPR by dle mého názoru měli správci plnit pouze ve vztahu ke zpracováním osobních údajů zahájeným až po nabytí účinnosti tohoto nařízení, tedy od 25. května 2018.

Závěr     

Publikovaný dokument EK představuje dlouho očekávanou výkladovou pomůcku pro interpretaci některých problémových otázek zpracování osobních údajů v rámci klinických studií. Pozitivně vnímám zejména stanovisko EK, podle něhož je vhodné pro zpracování osobních údajů využít jiné právní tituly, než je souhlas subjektů hodnocení. Měly by tak odpadnout neřešitelné situace v případě, kdy pacient odvolá svůj souhlas ke zpracování osobních údajů, aniž by současně odstoupil z klinické studie. I po upřesňujícím stanovisku EK však nadále zůstávají nezodpovězeny některé podstatné otázky, jako je například postavení zkoušejících lékařů[11] z hlediska GDPR, tj. zda má být na zkoušející nahlíženo jako na správce či zpracovatele osobních údajů, anebo problematika předávání osobních údajů mezi zkoušejícím a zadavatelem studie. Je tedy patrné, že výklad ochrany osobních údajů při klinickém hodnocení by měl být nadále středem pozornosti kontrolních úřadů.       

Mgr. Tomáš Fiala, Ph.D.,
advokát, člen České asociace pro soutěžní právo


Vejmelka & Wünsch, s.r.o.

Italská 27
120 00 Praha 2

Tel.:    +420 222 253 050
e-mail:    prague@vejwun.cz

______________________________________________
[1] Základní právní rámec pro realizaci klinických hodnocení tvoří zákon č. 378/2007 Sb. , o léčivech, v platném znění. Příslušná ustanovení tohoto zákona jsou pak doplněna prováděcí vyhláškou č. 226/2008 Sb. , o správné klinické praxi a bližších podmínkách klinického hodnocení léčivých přípravků.    
[2] GDPR činí odkaz na právní úpravu klinických hodnocení pouze v recitálech 156 a 161.
[3] Jedná se o nezávislý subjekt zřízený GDPR za účelem jednotného uplatňování pravidel ochrany osobních údajů v celé Evropské unii.
[4] Viz čl. 6 odst. 1 písm. a) GDPR.
[5] Tak Nulíček, M., Donát, J., Nonnemann, F., Lichnovský, B., Tomíšek, J. GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017.
[6] Například se bude jednat o zpracování osobních údajů za účelem vypracování zpráv o bezpečnosti, archivaci zdrojové dokumentace nebo zpřístupnění údajů kontrolním úřadům nebo pověřeným osobám vázaným povinnou mlčenlivostí.   
[7] Viz čl. 4 odst. 11 GDPR.
[8] Podle čl. 7 odst. 3 GDPR má subjekt údajů právo svůj souhlas kdykoli odvolat. Odvolat souhlas přitom musí být stejně snadné jako jeho poskytnutí.
[9] Protokol je dokumentem, který popisuje zejména cíl, uspořádání, metodiku a organizaci klinického hodnocení.   
[10] Etická komise je nezávislý orgán, který posuzuje klinické hodnocení po stránce vědecké, etické a lékařské. Její hlavní odpovědností je chránit práva, bezpečnost a zdraví testovaných osob. Souhlasné stanovisko etické komise je nezbytným předpokladem zahájení klinického hodnocení.  
[11] Zkoušejícím je lékař, který odpovídá za průběh klinického hodnocení v daném místě hodnocení.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz 


Mgr. Tomáš Fiala, Ph.D. (Vejmelka & Wünsch)
23. 7. 2019
pošli emailem
vytiskni článek

Další články: