Farmakovigilance z pohledu ochrany osobních údajů JUDr. Klára Novotná, Ph.D., Head Data Privacy CEE, Novartis 24.. 209, Courtyard by Marriott Prague City, Praha Farmakovigilance Farmakovigilance sledování bezpečnosti léčivých přípravků po uvedení na trh Farmakovigilanční systém Farmakovigilanční systém může obsahovat osobní údaje!!! 2
Právní rámec nařízení (EU) 206/679 zákon č. 0/2000 Sb., o ochraně osobních údajů zákon č. 378/2007 Sb., zákon o léčivech vyhláška č. 228/2008 Sb., o registracích léčivých přípravků 3 Základní povinnosti zpracování OÚ podle GDPR Základní zásady zpracování (čl. 5) Práva subjektu údajů Informační povinnost (čl. 3 a 4) Povinnosti správce Další pravidla (čl. 88) Souhlas - pokud není jiný pr. titul (čl. 7) Posouzení vlivu na ochranu osobních údajů (čl. 35) 4 2
Zákonnost zpracování čl. 6, čl. 9 zákonná povinnost správce plnění ze smlouvy ochrana oprávněných zájmů ochrana životně důležitých zájmů subjektu údajů splnění úkolu prováděného ve veřejném zájmu souhlas 5 Jaká data zpracováváme? tzv. adverse event information iniciály datum narození věk a pohlaví (postačí sdělení alespoň jednoho z uvedených údajů) Identifikační údaje oznamovatele jméno a příjmení (lékař, pacient, třetí osoba) kontaktní údaje (telefon, e-mail, facebook účet,...) 6 3
Kdo jsme? Správce (čl. 4 odst. 7 GDPR) Držitel rozhodnutí o registraci Společní správci čl. 24 Společný správce Zpracovatel (čl. 4 odst. 8 GDPR)? Subjekt, kterého správce pověřil zpracováním osobních údajů ( provozovatel farmakovigilančního systému, subjekt podílející se na zpracování tzv. advers events, mateřská společnost provozující jednotný systém) 7 Zpracováváme samostně? Ujednání společných správců (čl. 26 GDPR) Smlouva o zpracování osobních údajů (čl. 28 odst. 3 GDPR) Předmět doba trvání zpracování Účel zpracování Rozsah osobních údajů Kategorie subjektu údajů Povinnosti a práva správce Povinnost mlčenlivosti Povinnost přijmout opatření dle čl. 32 zabezpečení zpracování atd. Revize stávajích smluv?? 8 4
Interní procesy pro plnění povinností dle GDPR Jaké povinnosti? Informační povinost Povinnost vést záznamy o činnostech zpracování. Vyřizování žádostí či jiná komunikace se subjektem údajů. Posouzení vlivu na ochranu osobních údajů Ohlašování případu porušení zabezpečení osobních údajů. Komunikace s dozorovým úřadem. Co musí obsahovat? Jak zajistit informařní povinnost Jak postupovat při výkonu práv subjektů údajů Jak zajistit informovanost DPO Bezpečnostní opatření - propojení oddělení informační bezpečnosti a DPO Osvědčení, kodexy, záznamy o činnostech, podmínky zpracování. PPP!!! 9 9 Business Use Only Informační povinnost Náležitosti (čl. 3 odst. GDPR) Totožost správce případného zástupce (kontaktní údaje) Kontaktní údaje DPO (pověřence pro ochranu osobních údajů) Účel zpracování Právní základ pro zpracování Příjemce, kategorie příjemců Úmysl předávat osobní údaje do třetích zemí Doba zpracování a existence práv Forma Písemně (web, písemný dokument) Ústně 0 5
Povinnost vést záznamy o činnostech zpracování Podstatné náležitosti rozdílné pro správce nebo zpracovatele (čl. 30) Povinnost atualizovat Dostupnost Role DPO Business Use Only Zajistit výkon práv subjektu údajů Jaká práva? - na přístup k osobním údajům - na opravu a výmaz - na omezení zpracování - vznést námitku a automatizované individuální rozhodování - na přenositelnost - podat stížnost u dozorového úřadu Kontakt pro příjem žádostí (data.privacy@..., osobni.udaje@... ) Evidence přijetí a vyřízení žádostí (lhůta pro vyřízení). Používání vzorových dokumentů v případě uplatnění: práva na informace práva na přenositelnost práva na přístup k osobním údajům práva na opravu Pravidla pro identifikaci subjektu údajů. 2 6
Data Breach Jeden informační kanál pro hlášení podezření (e-mail, telefonní číslo, kontaktní osoba uvedená ve smlouvě o zpracování osobních údajů). Tým lidí (DPO, IT, Security), vzájemná zastupitelnost 24/7. Informovat DPO Informovat vedení společnosti Správce oznamuje dozorovému úřadu. Identifikovat rozsah dotčených subjektů údajů. Vést záznamy o každém případu. Použít vzor oznámení Počítat hodiny!!! Připravit interní i externí komunikaci 3 Business Use Only Příklad poučení o zpracování osobních údajů Společnost XY s.r.o., IČ..., se sídlem... (dále jen Správce ) zpracovává za účelem plnění zákonné povinnosti oznamování nežádoucích účinků léků držitelem rozhodnutí o registraci léčivého přípravku, tzv. farmakovogilance, osobní údaje oznamovatelů nežádoucích účinků (dále jen Subjekt údajů ), a to v rozsahu jméno, příjmení, kontaktní údaje (dále jen Osobní údaje ). Právní základ zpracování Právním základem pro zpracovávání Osobních údajů Oznamovatele je právní povinnost Správce uvedená v příslušných právních předpisech zejm. zákona č. 387/ 2007 Sb., o léčivech, dále vyhl. č. 228/2008 Sb., o registraci léčivých přípravků. Doba zpracování Osobní údaje bude zpracovávat po dobu...let. Práva subjektu údajů Subjekt údajů má právo požadovat od Správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, jakož i práva podat stížnost u dozorového úřadu, kterým je... Zmocněnec pro ochranu osobních údajů Správce jmenoval svého zmocněnce pro ochranu osobních údajů, kterého může Subjekt údajů kdykoliv kontaktovat písemně na adrese: Společnost XZ, Zmocněnec pro ochranu osobních údajů, ulice... nebo prostřednictvím e-mailové komunikace na adresu: zmocněnec@.... Cz Zpracovatelé a příjemci Správce pověřil zpracováním Osobních údajů následující zpracovatelé.... Správce předává Osobní údaje následujícím příjemcům:... Předávání osobních údajů do třetích zemí Správce nezamýšlí předávat Osobní údaje do třetích zemí. 4 7
Otázky z praxe Musíme sbírat souhlas? Musíme dělat posouzení vlivu na ochranu osobních údajů? Jak realizovat výkon práv subjektů údajů? Je nutné požadavky GDPR aplikovat zpětně? 5 Doporučení ÚOOÚ EDPB (WP 29) SÚKL Nové znění 0 6 8
Děkuji za pozornost 7 9