CZ

Rychlý
kontakt:

+420 23 605 1111+420 23 605 1111
Hledat
Vypnout grafiku Tisk stránky
  • Změnit
    velikost písma

GDPR

Požadavky IKEM na dokumentaci k ochraně osobních údajů při klinickém výzkumu, klinických hodnoceních a obdobných výzkumných projektech

Nemocnice IKEM se může podílet na klinických hodnoceních, klinickém výzkumu, vzniku mimozákonných registrů, výzkumných databází, biobankách a obdobných projektech pouze za předpokladu, že je předem jasně, úplně a srozumitelně doloženo, jak budou zpracovávány osobní údaje (jeho) subjektů údajů - pacientů, zdravotnických pracovníků a dalších osob.

IKEM klade důraz na legitimní zpracování údajů o zdravotním stavu, genetických údajů, laboratorních výsledků, klinických údajů, údajů o léčbě, nežádoucích účincích, biomarkerech, pseudonymizovaných identifikátorech a dalších údajů, které mohou být zpracovávány v souvislosti s výzkumem. Údaje o zdravotním stavu a genetické údaje jsou zvláštní kategorií osobních údajů podle GDPR a jejich zpracování vyžaduje zvýšenou úroveň technického a organizačního zabezpečení. GDPR současně stanoví zvláštní pravidla pro zpracování zdravotních údajů pro účely vědeckého výzkumu.

1. Předložení dokumentace před uzavřením smlouvy

Návrh smlouvy o klinickém hodnocení, výzkumné spolupráci, mimozákonném registru nebo jiném výzkumném projektu musí být předložen společně s úplnou dokumentací upravující problematiku ochrany osobních údajů. Nestačí jen smluvní ujištění, že osobní údaje budou zpracovávány v souladu s GDPR.

IKEM je oprávněn požadovat před podpisem smlouvy zejména:

  • návrh smlouvy, například Clinical Trial Agreement nebo smlouvy o výzkumné spolupráci;
  • samostatnou přílohu k ochraně osobních údajů, například Data Protection Agreement nebo GDPR Annex;
  • určení rolí všech smluvních stran podle GDPR;
  • popis účelů zpracování osobních údajů;
  • popis kategorií subjektů údajů a kategorií osobních údajů;
  • určení právních základů zpracování podle čl. 6 GDPR a výjimek pro zvláštní kategorie údajů podle čl. 9 GDPR;
  • mapu toků osobních údajů;
  • posouzení vlivu na ochranu osobních údajů, tedy DPIA podle čl. 35 GDPR;
  • popis technických a organizačních opatření;
  • seznam všech dodavatelů, poddodavatelů, CRO, laboratoří, IT systémů, eCRF systémů, hostingových služeb a dalších příjemců údajů;
  • popis případného předání nebo zpřístupnění osobních údajů mimo EU, včetně určení příjemců, zemí, účelů, rozsahu údajů a navrhovaného právního mechanismu podle GDPR;
  • vzory pacientských dokumentů, zejména informovaný souhlas, informace pro pacienta a informace o zpracování osobních údajů podle čl. 13, případně čl. 14 GDPR;

Pokud tyto dokumenty nejsou předloženy, jsou neúplné nebo neumožňují ověřit soulad projektu s GDPR a Právním řádem České republiky, IKEM není povinen smlouvu uzavřít.

2. Určení rolí společností-nemocnice-dalších institucí podle GDPR

Před zahájením výzkumného úkolu musí být stanoveno, zda smluvní strany vystupují jako samostatní správci, společní správci, zpracovatelé nebo příjemci osobních údajů.

Určení postavení smluvních stran musí odpovídat skutečnosti. Nestačí formální označení (role dle GDPR) v návrhu smlouvy. Rozhodující je zejména to, kdo určuje účely zpracování, kdo rozhoduje o prostředcích zpracování, kdo zpracovává údaje podle pokynů jiné osoby, kdo údaje pouze přijímá a kdo nese odpovědnost vůči subjektům údajů.

Správné určení rolí dle GDPR je základní podmínkou pro správnou úrpavu vzájemných práv a povinností v návrhu smlouvy, informační povinnosti vůči pacientům, výkon práv subjektů údajů, odpovědnost za bezpečnost údajů, zapojení dodavatelů a předávání údajů mimo Eu.

Pokud nejsou role stran podle GDPR řádně analyzovány a zdůvodněny, považuje IKEM návrh smlouvy za nedostatečný.

3. Informovaný souhlas pacienta není automaticky souhlasem podle GDPR

IKEM výslovně upozorňuje, že informovaný souhlas pacienta s účastí ve studii, s klinickým hodnocením, s odběrem vzorků nebo s poskytnutím zdravotní péče není automaticky souhlasem se zpracováním osobních údajů podle GDPR.

Je nutné rozlišovat souhlas podle zákona o zdravotních službách a právní základ zpracování osobních údajů dle GDPR. V klinickém výzkumu se často mohou uplatnit jiné právní základy, než souhlas podle GDPR, například splnění právní povinnosti, veřejný zájem v oblasti veřejného zdraví, vědecký výzkum nebo oprávněný zájem, vždy podle konkrétního účelu zpracování a role dané smluvní strany.

Pacientská dokumentace proto musí jasně a srozumitelně rozlišovat:

  • souhlas s účastí ve studii nebo s konkrétním zdravotním výkonem;
  • informaci o zpracování osobních údajů;
  • právní základ zpracování osobních údajů;
  • účely zpracování;
  • příjemce údajů;
  • dobu uchování údajů;
  • případné předání údajů mimo EU;
  • práva subjektu údajů podle GDPR.

4. DPIA a předchozí analýza rizik

U výzkumných úkolů, které zahrnují zpracování údajů o zdravotním stavu, genetických údajů, klinických údajů, údajů z registrů, údajů z eCRF systémů, údajů z laboratorních systémů nebo mezinárodní sdílení údajů, IKEM požaduje předložení DPIA podle čl. 35 GDPR.

DPIA musí být provedena před zahájením zpracování. Smyslem je popsat zamýšlené operace zpracování, účely zpracování, nezbytnost a přiměřenost zpracování, rizika pro práva a svobody subjektů údajů a opatření k jejich zmírnění.

Samotné tvrzení, že zadavatel nebo jiný partner má pověřence pro ochranu osobních údajů, privacy office nebo interní compliance proces, není dostačující. IKEM musí mít možnost posoudit konkrétní dokumentaci k danému projektu.

5. Pseudonymizace není totéž jako anonymizace

V klinickém výzkumu a jiných výzkumných úkolů jsou osobní údaje často označovány jako pseudonymizované nebo deidentifikované. Takové údaje však nejsou (automaticky) anonymní.

Pokud existuje reidentifikační klíč, například v IKEM, u zkoušejícího nebo u jiné oprávněné osoby, a pokud existuje reálná možnost přiřadit záznam ke konkrétnímu pacientovi, je nutné s těmito údaji zacházet jako s osobními údaji podle GDPR.

IKEM zpravidla požaduje, aby přímé identifikátory pacientů nebyly předávány zadavatelům, CRO, výzkumným společnostem, farmaceutickým společnostem, registrům nebo jiným třetím osobám, pokud to není nezbytné, výslovně odůvodněné a smluvně upravené. Reidentifikační klíč má zůstat v IKEM nebo u zkoušejícího, pokud povaha výzkumného úkolu nevyžaduje jiný (zdůvodněný) postup.

6. Předávání osobních údajů mimo Evropskou unii

Pokud má být osobní údaj předán nebo zpřístupněn mimo EU, musí být předem doložen právní mechanismus podle kapitoly V GDPR.

U států, pro které Evropská komise nevydala rozhodnutí o odpovídající úrovni ochrany, se obvykle použijí standardní smluvní doložky Evropské komise podle prováděcího rozhodnutí EK 2021/914. Správný modul doložek závisí na tom, zda jde o vztah správce–správce, správce–zpracovatel, zpracovatel–zpracovatel nebo zpracovatel–správce.

7. Technická a organizační opatření

IKEM požaduje, aby smluvní dokumentace a příslušné přílohy obsahovaly konkrétní technická a organizační opatření, nikoli pouze obecné deklarace.

Za důležitá opatření lze považovat zejména pseudonymizaci, šifrování, řízení přístupových oprávnění, 2FA ověřování, logování přístupů, kontrolu přístupů, zákaz ukládání údajů mimo (správcem) schválené informační systémy, omezení kopírování a stahování údajů, oddělení rolí, minimalizaci údajů, omezení doby uchování, bezpečné mazání, pravidla archivace a povinnost hlásit bezpečnostní incidenty bez zbytečného odkladu.

Dodavatelé, poddodavatelé a další osoby s přístupem k údajům musí být předem známi. Jejich zapojení musí být smluvně upraveno.

8. Klinická hodnocení léčivých přípravků

U klinických hodnocení humánních léčivých přípravků je nutné vzít v úvahu také evropské nařízení č. 536/2014. Toto nařízení zdůrazňuje ochranu práv, bezpečnosti, důstojnosti a dobrých životních podmínek subjektů hodnocení a spolehlivost získaných údajů.

Pokud zadavatel klinického hodnocení není usazen v Evropské unii, musí být podle čl. 74 tohoto nařízení zajištěn právní zástupce zadavatele v Eu. Jmenování CRO, administrativního kontaktu nebo DPO nenahrazuje splnění tohoto požadavku.

9. Registry, databáze a jiné výzkumné projekty

Obdobné požadavky se uplatní i na mimozákonné registry, databáze, výzkumné platformy, biobanky a další výzkumné úkoly, které nejsou upraveny zvláštním právním předpisem nebo které vznikají ad hoc na základě smluvní spolupráce.

10. Závěrečné doporučení IKEM

IKEM podporuje kvalitní klinický výzkum a spolupráci s akademickými, výzkumnými, farmaceutickými a jinými výzkumnými společnostmi. Ochrana osobních údajů pacientů a do výzkumného úkolu zapojených dalších subjektů údajů (lékařů…) je však nezbytnou podmínkou takové spolupráce.

IKEM proto očekává, že zadavatelé, výzkumné společnosti, farmaceutické společnosti, CRO, provozovatelé registrů a další instituce budou předkládat smluvní a související dokumentaci v úplné podobě. Pokud dokumentace neobsahuje řádné nastavení rolí podle GDPR, DPIA, mapu datových toků, popis technických a organizačních opatření, dokumentaci k předávání údajů a odpovídající pacientské dokumenty, nelze ji považovat za dostatečnou pro uzavření smlouvy.

Ústavní lékarna Dárcovství orgánů Kongresové centrum Český registr dárců krvetvorných buněk Transplantace ledviny Společnost pro orgánové transplantace ČLS JEP Transplantace jater Screening výdutě břišní aorty Vědecká lékařská knihovna autotransfuzní jednotka Dědičné chronické selhání ledvin Zdravotně-sociální péče v IKEM Hepatitida C Duchovní péče IKEM online Vzácná onemocnění BETA PRESERVE Hodnocení spokojenosti

© Institut klinické a experimentální medicíny 2015 - 2026. Všechna práva vyhrazena.

Created by ARSY line

Pro zaměstnance

Portál
Pošta
Intranet
PACS


Zlatokop
Vema
MIS
Varování

Zavřít