Žijeme v digitální době. Na základě tlaku ze strany jednotlivců, ať už jsou jimi spotřebitelé, pacienti, či běžní uživatelé on-line služeb, a dozorových úřadů se posouvá i hranice požadavků na ochranu osobních údajů.
Rizikové oblasti zpracování dat ve zdravotnictví
Poskytovatelé zdravotních služeb a farmaceutické společnosti čelí výzvám k vytvoření robustního data protection programu, který umožní zachování vysokého standardu ochrany údajů pacientů a jejich předávání zejména v rámci
1) klinických hodnocení
2) poskytování zdravotní péče
3) výzkumných/podpůrných projektů zajišťujících pacientům doplňkové služby kombinující prvky základní lékařské péče (tj. poskytování zdravotních služeb) a podpůrného programu podpory pacientů (které označujeme např. jako Patient Support Programs; Patient Oriented Programs; Patient Oriented Research); a
4) dalších aktivit majících za cíl pracovat s aktuálními daty o zdravotním stavu pacientů, které jsou v dispozici zdravotních pojišťoven, poskytovatelů zdravotní péče a dalších subjektů.
Řada těchto činností má globální přesah a zahrnuje organizace a účastníky z mnoha států světa. Mohou tedy nastat situace, kdy je nutné kombinovat požadavky obecného nařízení (GDPR), regulace HIPAA (upravující podmínky pro nakládání s osobními údaji o zdravotním stavu občanů USA) a dalších lokálních právních předpisů.
Anonymizace a pseudonymizace údajů ve zdravotnictví
V ideálním světě je standardem a tzv. „best practise“ farmaceutických společností nemít přístup k osobním údajům pacientů, jelikož jsou s ním spojeny významné regulatorní povinnosti. Výhodou užití anonymizovaných či de-identifikovaných údajů je, že takové zpracování nespadá do působnosti obecného nařízení (GDPR) ani regulace HIPAA. Pro zapojené společnosti, jakožto potenciálního správce údajů, tím odpadá řada povinností, jako např. požadavek vyhotovit DPIA, uzavřít smlouvy o zpracování údajů s třetími stranami či plnit povinnosti správce při uplatňování práv subjektů údajů (právo na přístup, výmaz, opravu apod.).
Praxe však ukazuje, že limitace přístupu k osobním údajů či pokusy o jejich pseudonymizaci či anonymizaci nejsou dostatečným důvodem pro zbavení farmaceutických společností odpovědnosti za zpracování osobních údajů pacientů. Platí to zejména s ohledem na klinické studie a jiné výzkumné či podpůrné projekty zaměřené na pacienty, přičemž:
farmaceutická společnost tyto činnosti zpravidla iniciuje a finančně podporuje;
rovněž určuje účely a prostředky zpracování údajů z pozice správce osobních údajů;
realizace těchto činností podléhá striktní regulaci zaměřené na zajištění bezpečnosti pacientů;
takové zpracování proto může ve výsledku významně zasáhnout do soukromí pacientů či mít negativní dopad do jejich práv.
Kdo a proč odpovídá za zpracování údajů v rámci klinické studie?
Klinickou studii (hodnocení) („KS“) si pro potřeby tohoto článku můžeme stručně definovat jako proces či činnost, jejímž cílem je ověřit a prokázat účinnost a bezpečnost potenciálního léčivého přípravku. Klinická studie je vysoce regulovanou spoluprací mezi zadavatelem, farmaceutickou společností, nemocnicí / hlavním zkoušejícím, jakožto poskytovatelem zdravotní péče, a v některých případech i CRO (Clinical Research Organization) poskytující doplňkové služby managementu klinického hodnocení pro zadavatele.
Postavení zadavatele a nemocnice/hlavního zkoušejícího z pohledu GDPR není jednoznačně dána – a je jako taková předmětem mnoha výkladových diskuzí. Pokyny Evropského sboru pro ochranu osobních údajů (EDPB) 07/2020 k pojmům správce a zpracovatele v GDPR[3] uvádějí příklad, na jehož základě jsou zadavatel KS a poskytovatel zdravotní péče (zkoušející) společnými správci údajů – spolupracují-li na vypracování protokolu KS (tj. na vymezení účelu, metodiky/koncepce KS, shromažďovaných údajů, kritériích pro vyloučení/zařazení účastníků KS atd.). Pokud se hlavní zkoušející nepodílí na přípravě protokolu KS, měl by být dle pokynů považován za zpracovatele osobních údajů. Nutno dodat, že ani usazení zadavatele KS, do které jsou zahrnuti evropští pacienti, mimo EU nemá dle vodítek EDPB č. 3/2018 k místní působnosti nařízení GDPR vliv na zbavení jej postavení správce údajů v KS. CRO zpracovávající osobní údaje pro zadavatele bude pak v postavení zpracovatele údajů.
V mnoha státech EU je však z důvodu nedostatečné aktivity dozorových úřadů a Evropského sboru pro ochranu osobních údajů praxe při stanovení rolí zadavatele a poskytovatele zdravotních služeb v KS nejednotná. Obvykle je založená na faktické analýze rolí v rámci KS – ve výsledku společní či samostatní správci údajů, případně na výkladovém stanovisku místního dozorového úřadu. Případů z druhé uvedené kategorie je ovšem minimum.
Mohou být údaje o zdravotním stavu (v rámci klinické studie) doopravdy anonymizovány?
Z důvodů popsaných výše nebude na straně zadavatele klinické studie (KS) možné, aby v rámci KS přistoupil k anonymizaci osobních údajů účastníků KS. Nemohl by totiž plnit své regulatorní povinnosti vyplývající pro něj z právních předpisů upravujících realizaci KS (jako např. nařízení CTR), a s nimi související povinnosti správce vyplývající pro něj mimo jiné z obecného nařízení (GDPR).
Zadavatel KS je např. dle CTR povinen po celou dobu trvání KS (a po skončení KS po dobu požadovanou právními předpisy pro účely archivace) zpracovávat osobní údaje účastníků studie takovým způsobem, aby nedošlo k jejich neoprávněnému zveřejnění, šíření, změně nebo zničení či náhodné ztrátě. V opačném případě, kterým může být neoprávněná anonymizace údajů účastníku KS, by totiž zadavatel KS nejen nemohl dostát svým povinnostem vyplývajícím pro něj ze CTR, ale i povinností správce dle GDPR (např. řádně vyhovět právu na odvolání souhlasu – tam kde je právním základem, právu na přístup apod.).
Interakci a vzájemné působení CTR a GDPR, zejména co do právního základu pro zpracování údajů v rámci KS (primární a druhotné využití osobních údajů z KS), jeho náležitostí a uplatnění souvisejících práv popisuje blíže Stanovisko EDPB č. 3/2019. Obdobně se pak EDPB v souvislosti s onemocněním COVID-19 vyjádřil i ke zpracování osobních údajů o zdravotním stavu pro účely vědeckého výzkumu.
Anonymizace při klinické studii v praxi
Zadavatel klinické studie proto standardně přistupuje k procesu pseudonymizace údajů účastníků KS. Identifikační údaje účastníků obvykle nahrazuje jedinečným identifikátorem, který pro účely řádného vedení dokumentace KS eviduje v oddělené databázi.
Možnost úplné identifikace účastníka KS je pak standardně ponechána na straně poskytovatele zdravotních služeb (hlavního zkoušejícího), který odpovídá za vedení zdravotní dokumentace a poskytování lékařských služeb během realizace KS a je kontaktním místem pro účastníky KS v otázkách jejich zdravotního stavu, hlášení nežádoucích účinků, ukončení účasti v KS atd. Vždy však závisí na konkrétní struktuře nastavení KS a tomu odpovídajících procesů a technických a organizačních opatření pro zajištění dostatečné ochrany údajů účastníků KS.
Obecně se objevují názory, že dosáhnout úplné anonymizace osobních údajů je v podstatě nemožné. Důvodem je zejména možná kombinace a variabilita typů údajů, velikosti data setů, technik anonymizace a dodatečných informací, které mohou umožnit re-identifikaci subjektu údajů.
Pokuty za porušení GDPR při klinických studiích
Zpracování a ochrana osobních údajů při zdravotnickém výzkumu jsou zkrátka plné výzev. Ne vždy se zapojených organizacím podaří výzvám správně čelit, jak si ukážeme na příkladu z Nizozemí a z Francie:
Thin S.r.l. vs Italský dozorový úřad (Garante): Pokuta €15,000
Praktičtí lékaři v rámci spolupráce se společností Thin zadávali za úplatu osobní údaje pacientů do systému Medico 2000 provozovaným ve spolupráci se společností Thin. Funkcí systému byla domnělá úplná anonymizace vstupních údajů a následné poskytnutí anonymizovaných výstupů společnosti Thin. Dozorový úřad však ve svém šetření zjistil, že identifikační údaje pacientů byly nahrazeny tzv. ID pacienta či hash kódem, na jehož základě bylo stále možné re-identifikovat konkrétní subjekt údajů. Společnost Thin tak porušila čl. 5(1)(a), 9(2) a 13 GDPR.
Francouzský dozorový úřad (CNIL): Pokuta €1,5 mil. Pokuta byla udělena za únik informací o téměř 500 000 subjektech údajů v rámci softwarového řešení pro zdravotnické laboratoře. CNIL identifikoval porušení čl. 32 GDPR – zejména v nedostatečné implementaci technických a organizační opatřeních (jako např. uchování dat v ne-šifrované podobě, absenci existence postupů/operací pro přenos údajů či požadavku autentizace při přístupu k serverům, na nichž byly údaje hostovány).
GDPR a zdravotnictví
V jakých oblastech stále není zcela jasné, jak aplikovat GDPR či další pravidla pro ochranu osobních údajů?
Klinická hodnocení
Zadavatel klinické studie (KS) a poskytovatel zdravotních služeb (zkoušející) budou i nadále čelit nejistotě při stanovení své role v rámci zpracování údajů během realizace KS. Klíčem, jak předejít této nejistotě, je především otevřená diskuze subjektů podílejících se na realizaci KS (tj. zadavatele KS, poskytovatele zdravotních služeb a CRO) („Subjekty KS“) a jejich shoda na distribuci rolí a povinností v rámci KS.
Nedílnou součástí přípravy a realizace KS je jednoznačné určení dílčích povinností Subjektů KS ve vztahu k osobním údajům účastníků KS ve smluvní dokumentaci. Jedná se zejména o detailní vymezení procesu zpracování osobních údajů, vymezení dílčích povinností za jednotlivé fáze a operace zpracování napříč KS, jako např. sběr údajů prostřednictvím informovaných souhlasů a jejich následné zadání do systému pro management KS, přidělení ID pacienta a pseudonymizace údajů, předání zásad ochrany osobních údajů účastníkům KS a členům studijního týmu, předání a analýza údajů mezi Subjekty KS, archivaci údajů, včetně implementace příslušných technických a organizačních opatření pro zajištění jejich náležité ochrany).
Rozdělení odpovědnosti za jednotlivé operace zpracování údajů mezi Subjekty KS může významně přispět k omezení odpovědnosti za způsobenou újmu, dojde-li k porušení zabezpečení osobních údajů v důsledku zavinění pouze jednoho ze Subjektů KS (srov. čl. 82 a 83 GDPR). Zadavatelé KS by tak ve smluvní dokumentaci s CRO měli usilovat o minimální smluvní limitaci odpovědnosti za případnou újmu vzniklou v důsledku porušení právních předpisů na ochranu údajů či smlouvy o zpracování údajů ze strany CRO a alokaci odpovědnosti za zpracování údajů souvisejících přímo s poskytováním zdravotní péče, vedení zdravotní dokumentace a pseudonymizací údajů pro účely KS na stranu poskytovatele zdravotních služeb.
Výzvou pro zadavatele KS s globálním rozsahem tak je a nadále i bude přizpůsobení struktury KS, smluvní dokumentace a vztahu s poskytovatelem zdravotních služeb lokální regulaci a možným odlišným přístupům dozorových úřadů.
Anonymizace údajů (o zdravotním stavu)
Informace představující anonymizovaný výstup z osobních údajů bude vždy nezbytné podrobit detailnímu testu potenciální re-identifikace. Farmaceutický průmysl, byť vystavěn na práci s údaji, proto čelí výzvě v podobě užití minimálních dat, detailnějších dat s akceptací rizika re-indentifikace či osobních údajů zpracovávaných na příslušném právním základu. Vzhledem k různorodosti typů údajů, velikosti data setů, dalším dostupným informacím a anonymizačním technikám bude nejčastěji správce nucen zvolit „zlatou střední cestu“ a přijmout tzv. risk based approach – a tedy vyhodnotit reziduální riziko po aplikaci veškerých mitigačních opatření, včetně možné aplikace nových přístupů k anonymizaci údajů za použití umělé inteligence (AI).
