GDPR a ochrana citlivých dat ve farmacii

Podobné dokumenty
GDPR a ochrana citlivých dat ve farmacii

GDPR a ochrana citlivých dat ve farmacii

GDPR v IVF. JUDr. Ondřej Dostál, Ph.D., LL.M. Společnost medicínského práva ČLS JEP PriceWaterhouseCoopers Legal, s.r.o.

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

GDPR obecně Svaz měst a obcí

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Zásady ochrany osobních údajů

Prohlášení o ochraně osobních údajů

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

ORGANIZAČNÍ ŘÁD ŠKOLY

Oznámení o zpracování Osobních údajů

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

Obecné nařízení o ochraně osobních údajů

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Legislativní hranice identifikovatelnosti pacienta. Mgr. Konstantin Lavrushin

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Poučení zaměstnance o právní úpravě ochrany osobních údajů

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Co všechno je zpracování osobních údajů podle GDPR

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

Právní posouzení principů GDPR v rámci organizace

Nová pravidla ochrany osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

MZ A POHLED NA LÉKOVÉ INTERAKCE. PharmDr. Alena Tomášková 24. únor 2015

Zásady zpracování osobních údajů

2016 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

SLOVNÍK POJMŮ GDPR UPLATŇOVANÝCH VE SPOLEČNOSTI TECHNICKÉ SÍTĚ BRNO, A.S.

GDPR Obecné nařízení o ochraně osobních údajů

Interní směrnice o zpracování osobních údajů dle GDPR

Co je to GDPR? Co je považováno za OÚ? Co je zpracování OÚ? Kdo je subjektem OÚ?

Informace o zpracování osobních údajů v souvislosti s příměstským táborem se SPORT PARKEM LIBEREC

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

O B E C H O S T Í N Hostín 56, Byšice

Informace o zpracování osobních údajů

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Oznámení o zpracování Osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Souhlas se zpracováním osobních údajů

Informace o zpracování osobních údajů

Zásady ochrany osobních údajů pro jednotlivé subjekty

Farmakovigilance z pohledu ochrany osobních údajů

IDG Storage world, Ing. Miloš Šnytr

Právní aspekty soukromé anesteziologické praxe

Informace k ochraně osobních údajů - GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

JUDr. Alena Kučerová Úřad pro ochranu osobních údajů OCHRANA OSOBNÍCH ÚDAJŮ V PROCESU DIGITALIZACE ZDRAVOTNICKÉ DOKUMENTACE

Zásady ochrany osobních údajů pro společnost KEMPCHEN s.r.o.

Nakládání s osobními údaji

Politika ochrany osobních údajů GJŠ Zlín

Copyright Gaudens s.r.o.

Role elektronického dokumentu jako nosiče osobních údajů. Ing.Robert Piffl Mgr.Petr Habarta

Zásady ochrany osobních údajů

GDPR a zdravotnictví (Telemedicína, právní aktuality)

Záznamy o činnostech zpracování

Dobrovolný souhlas se zpracováním osobních údajů pro účely v souvislosti s příměstským táborem se SPORT PARKEM LIBEREC či jinými účely

Zásady pro zpracování osobních údajů

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

OCHRANA OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů

Seminář o GDPR

PŘÍKAZ. jako správce osobních údajů svých klientů podle čl. 4 bodu 7 nařízení (EU) 2016/679,

INFORMACE PRO KLIENTY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Prohlášení o zpracování osobních údajů a informační sdělení (GDPR)

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

Zásady zpracování osobních údajů Informace pro obchodní partnery a kontaktní osoby

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Reklamní právo v praxi. KONFERENCE DATA MARKETING Praktické tipy pro správce databází. Petr Kůta. Mgr. Libor Štajer, advokát

*UOOUX00D1JMU* PŘÍKAZ. ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ Pplk. Sochora 27, Praha 7 tel.: , fax:

Prohlášení o zpracování osobních údajů fyzických osob podle nařízení Evropského parlamentu a Rady (EU) číslo 2016/679

Informace o ochraně osobních údajů zpracovávaných společností PROFIZOO s.r.o. k jejím zákazníkům.

SD014 Informace o zpracování osobních údajů ve společnosti DOM ZO 13, s.r.o. Strana: 1/6

DOTYKAČKA OBECNÁ POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ. Zpracování osobních údajů v souladu s požadavky EU GDPR

FV systémy a jejich QM Základní dokument FV systému

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

Představení služeb Konica Minolta GDPR

Ochrana osobních údajů - GDPR

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů zákazníci

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ. Ochranu soukromí a osobních údajů pacienta považujeme za prvořadou povinnost.

Informace společnosti VR Group a.s. o zpracování osobních údajů uchazečů o zaměstnání VR Group, a.s. společnost OBSAH DOKUMENTU:

SEMINÁŘ: GDPR - NOVÉ NAŘÍZENÍ EU O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO SPORTOVNÍ SVAZY A FOTBALOVÉ KLUBY

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

Zásady pro zpracování osobních údajů

Informace o zpracování osobních údajů smluvních partnerů

Transkript:

GDPR a ochrana citlivých dat ve farmacii JUDr. Ondřej Dostál, Ph.D., LL.M. Head of Pharmaceutical and Healthcare Practice AK PriceWaterhouseCoopers Legal, s.r.o. Program Úvodem Obecné nařízení o ochraně dat: základní informace GDPR v praxi farmaceutické společnosti Reakce na hrozby Naše zkušenosti Nihil novo : 101/2000 Sb. 15 let vývoje práva lékařské mlčenlivosti, ochrany soukromí a vedení zdravotnických dokumentací Komplexní přístup v ČR (prostředí, právo, technologie), evropské a globální poznatky ke GDPR 1

Obecné nařízení o ochraně dat Základní informace Obecné nařízení o ochraně dat: forma Obecné nařízení ( GDPR ) schváleno v dubnu 2016, účinnost 25. května 2018 Nařízení není směrnice! Přímá závaznost, vymahatelnost práv, riziko trestů Přednost evropského práva před národním Výrazné doplnění stávajících národních předpisů o mlčenlivosti, zdravotnické dokumentaci a předávání dat (ZoZS, ZoL, ZoVZP, vyhlášky) 2

Obsah GDPR: Definice Osobní údaj: veškeré informace o identifikované nebo identifikovatelné fyzické osobě ( subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby Údaj o zdravotním stavu: osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu Odebraná krev? DNA vzorek? Záznamy o podání či o úhradě léků pro vzácná onemocnění? Obsah GDPR: Definice Pseudonymizace: zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě Anonymní údaj (101/2000 Sb.): takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů Pokud možno vše mimo ochrannou sféru EU anonymně či pseudonymizovaně 3

Zpracování: Obsah GDPR: Definice jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení Obsah GDPR: Definice Správce: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů Zpracovatel: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce Vztah správce-zpracovatel: Náležité smluvní podchycení Pozor na nemo plus iuris transfere potest Pozor na marketingové entity (vůči zdravotníkům i dalším klientům) 4

Zpracování údajů - principy Se souhlasem nebo zákonná licence nutno umět rozpoznat konkrétní paragraf! Pozor na smlouvy dvou o datech třetího (včetně risk-sharing, včetně povinností hlásit proti mlčenlivosti )! Svoboda uděleného souhlasu Je zřejmé, komu, v jakém rozsahu a k jakému účelu uděluji souhlas Udělení souhlasu oddělené od jiných skutečností Odvolání souhlasu stejně snadné jako udělení Souhlas se zpracováním osobních údajů nelze vázat na nesouvisející smluvní plnění Souhlas s péčí = souhlas se záznamem do ZD? Pozor - zdravotnictví je plné nesvéprávných a polosvéprávných Hromadné souhlasy se vším, a/nebo od péče neoddělitelné souhlasy Souhlasy se studií zpracovávají se OÚ? účast, rozsah, účel zpracovaných dat, nesmí být vázáno na (ne)poskytnutí péče Sankční systém Sankční systém pro mlčenlivosti Skutečně efektivní vynutitelnost Trestní, správní i občanskoprávní sankce Nejprve výtka, potom trest ale ne vždy Jednotná úroveň ochrany: německý pacient si stěžuje u německého ÚOOÚ Rizika: neziskovka může pomoci pacientům před soudem, na oznámení konkurence Vážné riziko pokut: úmysl, i u ne-zaznamenání Zkreslování výsledků léčby/studie Zastírání nepovoleného použití se vzniklými riziky Zneužití údajů pro jiný účel (nesouvisející péče či studie, nevezmeme vás, ale můžete zaplatit v jiném ZZ ) 5

Legislativní změny Úpravy platného 101/2000 Sb. Relevantní novely elektronická identifikace, kybernetická bezpečnost Zdravotnické předpisy GDPR se ZoL (378/2007) GDPR se ZoZS (372/2011 Sb.), včetně vyhlášek Termín účinnosti GDPR 25.5.2018 nedává dostatek času pro legislativní proces GDPR v praxi farmaceutické společnosti 6

Obecné pro všechny podniky Správa osobních údajů zaměstnanců Mzdové systémy, neschopenky Ochrana IT proti napadení Předávání údajů mezi českými, EU a non-eu pobočkami Speciální pro oblast farmacie: Klinický výzkum Klinický výzkum, použití, archivace Nábor a selekce pacientů, data nevybraných pacientů Komunikace se zkoušejícími lékaři, jejich osobní data Ne-právní ne-studie (varianta marketing, varianta léčba ) a platnost souhlasu pacienta s účastí 7

Konkrétní dotazy na MAH od pacientů Reporting vůči SÚKL Kontext úhrad: Zpracování farmakoekonomických dat Sledování v režimu VILP Ve vztahu poskytovatelů k pojišťovnám otázka ENP Řešení platby za efekt či jiných mechanismů dělby finančního rizika Registry se zákonnou úpravou Obecně GDPR registry aprobuje ( vědecké, statistické, historické účely ) Ale přesné vymezení účelu Ale nezbytnost zpracování osobních údajů co do rozsahu (minimalizace dat), proporcionality (nezbytnost) a doby zpracování Ochrana dat (pseudonymizace, anonymizace) Práva subjektu (vědět co se shromažďuje, žádat o opravu, napadat nepotřebnost shromažďování) Registry bez zákonné úpravy Nutný souhlas ke konkrétnímu účelu či účelům, nejde-li o statistická data 8

Kdo spravuje data? Farmafirma je zpravidla hned několik subjektů (výrobce, MAH, český distributor ) v různých jurisdikcích Souhlas daný jednomu není automaticky platný pro všechny, Vztah správce-zpracovatel, zajištění přeshraniční ochrany dat, smazání nepotřebného atd. Pozor na složité EU a non-eu struktury podniku (výrobce, importér, MAH, distributor, komisionář, marketingová agentura ) Specifické situace u cílené léčby Předání mimořádně citlivých genetických informací a/nebo vzorku po linii lékař-laboratoř-výrobce-lékař V budoucnu půjde možná o trend, nutno řádně pokrýt souhlasem pacienta již na úrovni ošetřujícího lékaře Farmakovigilance: Správa a zpracování OÚ na základě zákona (ZoL) Rozsáhle popsaná role Ústavu (aplikační přednost) Povinnosti držitele oprávnění ke správě dat Povinnosti lékařů a dalších zdravotníků vůči Ústavu, jinak mlčenlivost; vztah zdravotník-mah? Kdo spravuje data? Ústav, MAH, zdravotníci zákonné zmocnění Vztahy správce-zpracovatel, ochrana dat Otázka správnosti spravovaných informací, právo na opravu či výmaz nesprávných Neintervenční poregistrační studie bezpečnosti Souhlasy dle SÚKL tam, kde dojde k práci s OÚ Pozor na platnost souhlasu 9

93a ZoL (1) Držitel rozhodnutí o registraci je povinen zaznamenávat a na jediném místě v Evropské unii zpřístupnit veškerá hlášení podezření na nežádoucí účinky jeho registrovaných léčivých přípravků, která se vyskytnou jak v Evropské unii, tak i ve třetích zemích, o nichž se bez ohledu na jejich formu a způsob předání dozví a) od pacientů, b) od zdravotnických pracovníků, c) z lékařské literatury, kterou je povinen sledovat, d) v rámci poregistračních studií, vyjma hlášení, která se vyskytnou v rámci klinického hodnocení. 93a ZoL (4) Držitel rozhodnutí o registraci je povinen přijmout dostatečná opatření za účelem získávat přesné a ověřitelné údaje pro požadované vyhodnocení hlášení podezření na nežádoucí účinek, shromažďovat další relevantní informace v návaznosti na tato hlášení a zasílat aktualizace do databáze Eudravigilance. Držitel rozhodnutí o registraci je povinen spolupracovat s agenturou a Ústavem při identifikaci duplicitních hlášení podezření na nežádoucí účinek. 10

93b (1) Lékař, zubní lékař, farmaceut nebo jiný zdravotnický pracovník, který zaznamenal podezření na závažný nebo neočekávaný nežádoucí účinek nebo jiné skutečnosti související s použitím léčivého přípravku, které jsou závažné pro zdraví pacientů, je povinen a) toto neprodleně oznámit Ústavu, a to i tehdy, jestliže léčivý přípravek nebyl použit v souladu se souhrnem údajů o přípravku nebo byl zneužit, a b) poskytnout součinnost při ověřování skutečností souvisejících s podezřením na nežádoucí účinek a na vyžádání zpřístupnit Ústavu příslušnou dokumentaci, včetně dokumentace obsahující osobní údaje. (2) V případě, že podezření na nežádoucí účinek léčivého přípravku ohlásil pacient, je povinen poskytnout Ústavu součinnost podáním následných informací vztahujících se k zaslanému hlášení. Next steps, reakce na hrozby 11

Next steps Do května 2018 je zapotřebí Připravit technické prvky zabezpečení dat v podniku, plně kompatibilní s GDPR Vysvětlit jejich potřebnost a důležitost zaměstnancům i smluvním partnerům Zajistit bezpečnou správu, zpracování a předávání dat vůči partnerům - úřadům, pojišťovnám a dalším K tomu může přispět Kvalitní vnitřní předpis (i pro smluvní partnery) Zpracovaný srozumitelně pro zdravotníky Konzultovaný s regulátorem Připravenost na ochranu dat Je schopen náš tým připravit se na GDPR svépomocí? Osoba s právní kvalifikací s bezpečnostní/it kvalifikací se znalostí prostředí firmy s odhadem budoucích rizik s představivostí (ne nadbytečný kolega ) Problém provozní slepoty všichni to tak dělají odjakživa Edukační schopnosti vůči ostatním kolegům a vysvětlení potřebnosti Je schopen náš tým udržet trvalou připravenost? Pro GDPR nestačí procesy jednorázově zavést, ale i udržovat Soustavné technologické výzvy (a možná i právní) Zvládne tým troubleshooting vůči regulátorovi a/nebo subjektům dat? 12

Připravenost na ochranu dat: role externistů Které oblasti potřebují posílit? Věcná znalost? IT bezpečnost? Právo? Možné oblasti pomoci: Externí test odolnosti IT? Vzdělávání a implementace? Pojištění profesní odpovědnosti? Komunikace s ÚOOÚ poskytování stanovisek, povinná a nepovinná předběžná posouzení dopadu, dosažení polehčujících okolností Krizová připravenost: Rozpoznání a řešení hrozeb, hlášení regulátorům, řízení vztahů s dotčenými subjekty/poškozenými, public relations Děkuji za pozornost Ondřej Dostál AK PwC Legal, s.r.o. ondrej.dostal@pwc.com 13

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář