GDPR a ochrana citlivých dat ve farmacii JUDr. Ondřej Dostál, Ph.D., LL.M. Head of Pharmaceutical and Healthcare Practice AK PriceWaterhouseCoopers Legal, s.r.o. Program Úvodem Obecné nařízení o ochraně dat: základní informace GDPR v praxi farmaceutické společnosti Reakce na hrozby Naše zkušenosti Nihil novo : 101/2000 Sb. 15 let vývoje práva lékařské mlčenlivosti, ochrany soukromí a vedení zdravotnických dokumentací Komplexní přístup v ČR (prostředí, právo, technologie), evropské a globální poznatky ke GDPR 1
Obecné nařízení o ochraně dat Základní informace Obecné nařízení o ochraně dat: forma Obecné nařízení ( GDPR ) schváleno v dubnu 2016, účinnost 25. května 2018 Nařízení není směrnice! Přímá závaznost, vymahatelnost práv, riziko trestů Přednost evropského práva před národním Výrazné doplnění stávajících národních předpisů o mlčenlivosti, zdravotnické dokumentaci a předávání dat (ZoZS, ZoL, ZoVZP, vyhlášky) 2
Obsah GDPR: Definice Osobní údaj: veškeré informace o identifikované nebo identifikovatelné fyzické osobě ( subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby Údaj o zdravotním stavu: osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu Odebraná krev? DNA vzorek? Záznamy o podání či o úhradě léků pro vzácná onemocnění? Obsah GDPR: Definice Pseudonymizace: zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě Anonymní údaj (101/2000 Sb.): takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů Pokud možno vše mimo ochrannou sféru EU anonymně či pseudonymizovaně 3
Zpracování: Obsah GDPR: Definice jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení Obsah GDPR: Definice Správce: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů Zpracovatel: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce Vztah správce-zpracovatel: Náležité smluvní podchycení Pozor na nemo plus iuris transfere potest Pozor na marketingové entity (vůči zdravotníkům i dalším klientům) 4
Zpracování údajů - principy Se souhlasem nebo zákonná licence nutno umět rozpoznat konkrétní paragraf! Pozor na smlouvy dvou o datech třetího (včetně risk-sharing, včetně povinností hlásit proti mlčenlivosti )! Svoboda uděleného souhlasu Je zřejmé, komu, v jakém rozsahu a k jakému účelu uděluji souhlas Udělení souhlasu oddělené od jiných skutečností Odvolání souhlasu stejně snadné jako udělení Souhlas se zpracováním osobních údajů nelze vázat na nesouvisející smluvní plnění Souhlas s péčí = souhlas se záznamem do ZD? Pozor - zdravotnictví je plné nesvéprávných a polosvéprávných Hromadné souhlasy se vším, a/nebo od péče neoddělitelné souhlasy Souhlasy se studií zpracovávají se OÚ? účast, rozsah, účel zpracovaných dat, nesmí být vázáno na (ne)poskytnutí péče Sankční systém Sankční systém pro mlčenlivosti Skutečně efektivní vynutitelnost Trestní, správní i občanskoprávní sankce Nejprve výtka, potom trest ale ne vždy Jednotná úroveň ochrany: německý pacient si stěžuje u německého ÚOOÚ Rizika: neziskovka může pomoci pacientům před soudem, na oznámení konkurence Vážné riziko pokut: úmysl, i u ne-zaznamenání Zkreslování výsledků léčby/studie Zastírání nepovoleného použití se vzniklými riziky Zneužití údajů pro jiný účel (nesouvisející péče či studie, nevezmeme vás, ale můžete zaplatit v jiném ZZ ) 5
Legislativní změny Úpravy platného 101/2000 Sb. Relevantní novely elektronická identifikace, kybernetická bezpečnost Zdravotnické předpisy GDPR se ZoL (378/2007) GDPR se ZoZS (372/2011 Sb.), včetně vyhlášek Termín účinnosti GDPR 25.5.2018 nedává dostatek času pro legislativní proces GDPR v praxi farmaceutické společnosti 6
Obecné pro všechny podniky Správa osobních údajů zaměstnanců Mzdové systémy, neschopenky Ochrana IT proti napadení Předávání údajů mezi českými, EU a non-eu pobočkami Speciální pro oblast farmacie: Klinický výzkum Klinický výzkum, použití, archivace Nábor a selekce pacientů, data nevybraných pacientů Komunikace se zkoušejícími lékaři, jejich osobní data Ne-právní ne-studie (varianta marketing, varianta léčba ) a platnost souhlasu pacienta s účastí 7
Konkrétní dotazy na MAH od pacientů Reporting vůči SÚKL Kontext úhrad: Zpracování farmakoekonomických dat Sledování v režimu VILP Ve vztahu poskytovatelů k pojišťovnám otázka ENP Řešení platby za efekt či jiných mechanismů dělby finančního rizika Registry se zákonnou úpravou Obecně GDPR registry aprobuje ( vědecké, statistické, historické účely ) Ale přesné vymezení účelu Ale nezbytnost zpracování osobních údajů co do rozsahu (minimalizace dat), proporcionality (nezbytnost) a doby zpracování Ochrana dat (pseudonymizace, anonymizace) Práva subjektu (vědět co se shromažďuje, žádat o opravu, napadat nepotřebnost shromažďování) Registry bez zákonné úpravy Nutný souhlas ke konkrétnímu účelu či účelům, nejde-li o statistická data 8
Kdo spravuje data? Farmafirma je zpravidla hned několik subjektů (výrobce, MAH, český distributor ) v různých jurisdikcích Souhlas daný jednomu není automaticky platný pro všechny, Vztah správce-zpracovatel, zajištění přeshraniční ochrany dat, smazání nepotřebného atd. Pozor na složité EU a non-eu struktury podniku (výrobce, importér, MAH, distributor, komisionář, marketingová agentura ) Specifické situace u cílené léčby Předání mimořádně citlivých genetických informací a/nebo vzorku po linii lékař-laboratoř-výrobce-lékař V budoucnu půjde možná o trend, nutno řádně pokrýt souhlasem pacienta již na úrovni ošetřujícího lékaře Farmakovigilance: Správa a zpracování OÚ na základě zákona (ZoL) Rozsáhle popsaná role Ústavu (aplikační přednost) Povinnosti držitele oprávnění ke správě dat Povinnosti lékařů a dalších zdravotníků vůči Ústavu, jinak mlčenlivost; vztah zdravotník-mah? Kdo spravuje data? Ústav, MAH, zdravotníci zákonné zmocnění Vztahy správce-zpracovatel, ochrana dat Otázka správnosti spravovaných informací, právo na opravu či výmaz nesprávných Neintervenční poregistrační studie bezpečnosti Souhlasy dle SÚKL tam, kde dojde k práci s OÚ Pozor na platnost souhlasu 9
93a ZoL (1) Držitel rozhodnutí o registraci je povinen zaznamenávat a na jediném místě v Evropské unii zpřístupnit veškerá hlášení podezření na nežádoucí účinky jeho registrovaných léčivých přípravků, která se vyskytnou jak v Evropské unii, tak i ve třetích zemích, o nichž se bez ohledu na jejich formu a způsob předání dozví a) od pacientů, b) od zdravotnických pracovníků, c) z lékařské literatury, kterou je povinen sledovat, d) v rámci poregistračních studií, vyjma hlášení, která se vyskytnou v rámci klinického hodnocení. 93a ZoL (4) Držitel rozhodnutí o registraci je povinen přijmout dostatečná opatření za účelem získávat přesné a ověřitelné údaje pro požadované vyhodnocení hlášení podezření na nežádoucí účinek, shromažďovat další relevantní informace v návaznosti na tato hlášení a zasílat aktualizace do databáze Eudravigilance. Držitel rozhodnutí o registraci je povinen spolupracovat s agenturou a Ústavem při identifikaci duplicitních hlášení podezření na nežádoucí účinek. 10
93b (1) Lékař, zubní lékař, farmaceut nebo jiný zdravotnický pracovník, který zaznamenal podezření na závažný nebo neočekávaný nežádoucí účinek nebo jiné skutečnosti související s použitím léčivého přípravku, které jsou závažné pro zdraví pacientů, je povinen a) toto neprodleně oznámit Ústavu, a to i tehdy, jestliže léčivý přípravek nebyl použit v souladu se souhrnem údajů o přípravku nebo byl zneužit, a b) poskytnout součinnost při ověřování skutečností souvisejících s podezřením na nežádoucí účinek a na vyžádání zpřístupnit Ústavu příslušnou dokumentaci, včetně dokumentace obsahující osobní údaje. (2) V případě, že podezření na nežádoucí účinek léčivého přípravku ohlásil pacient, je povinen poskytnout Ústavu součinnost podáním následných informací vztahujících se k zaslanému hlášení. Next steps, reakce na hrozby 11
Next steps Do května 2018 je zapotřebí Připravit technické prvky zabezpečení dat v podniku, plně kompatibilní s GDPR Vysvětlit jejich potřebnost a důležitost zaměstnancům i smluvním partnerům Zajistit bezpečnou správu, zpracování a předávání dat vůči partnerům - úřadům, pojišťovnám a dalším K tomu může přispět Kvalitní vnitřní předpis (i pro smluvní partnery) Zpracovaný srozumitelně pro zdravotníky Konzultovaný s regulátorem Připravenost na ochranu dat Je schopen náš tým připravit se na GDPR svépomocí? Osoba s právní kvalifikací s bezpečnostní/it kvalifikací se znalostí prostředí firmy s odhadem budoucích rizik s představivostí (ne nadbytečný kolega ) Problém provozní slepoty všichni to tak dělají odjakživa Edukační schopnosti vůči ostatním kolegům a vysvětlení potřebnosti Je schopen náš tým udržet trvalou připravenost? Pro GDPR nestačí procesy jednorázově zavést, ale i udržovat Soustavné technologické výzvy (a možná i právní) Zvládne tým troubleshooting vůči regulátorovi a/nebo subjektům dat? 12
Připravenost na ochranu dat: role externistů Které oblasti potřebují posílit? Věcná znalost? IT bezpečnost? Právo? Možné oblasti pomoci: Externí test odolnosti IT? Vzdělávání a implementace? Pojištění profesní odpovědnosti? Komunikace s ÚOOÚ poskytování stanovisek, povinná a nepovinná předběžná posouzení dopadu, dosažení polehčujících okolností Krizová připravenost: Rozpoznání a řešení hrozeb, hlášení regulátorům, řízení vztahů s dotčenými subjekty/poškozenými, public relations Děkuji za pozornost Ondřej Dostál AK PwC Legal, s.r.o. ondrej.dostal@pwc.com 13