ΕΟΦ: Οδηγίες για τη τήρηση των προσωπικών δεδομένων!
Αυστηρούς όρους στην τήρηση των προσωπικών δεδομένων στις κλινικές δοκιμές, ορίζει ο Εθνικός Οργανισμός Φαρμάκων (ΕΟΦ). Εν όψει της άμεσης εφαρμογής και στη χώρα μας του νέου Γενικού Κανονισμού για την Προστασία Προσωπικών Δεδομένων της ΕΕ, από 25.5.2018, η ΕΕΔ διευκρινίζει τα εξής:
1. Ως προς την ενημέρωση και συγκατάθεση των ασθενών Το αίτημα για συγκατάθεση στη συλλογή και επεξεργασία προσωπικών δεδομένων του ασθενούς πρέπει να είναι σαφώς διακριτό από τα άλλα θέματα που καλύπτει η συγκατάθεση, σε κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή, απλή και ευσύνοπτη διατύπωση.
2. Ως προς τη διαβίβαση δεδομένων ασθενών σε τρίτες χώρες
I. Εάν η χώρα στην οποία πρόκειται να διαβιβασθούν τα δεδομένα ασθενών δεν εξασφαλίζει νομοθετικά επίπεδο προστασίας όμοιο με αυτό της ΕΕ, ο Κανονισμός προβλέπει εναλλακτικούς τρόπους προστασίας των δεδομένων, αρκούμενος ιδίως σε εταιρικούς κανόνες ή ακόμη και σε σχετική συμβατική πρόβλεψη την οποία έχουν καταρτίσει ο χορηγός με τον φορέα της χώρας όπου θα διαβιβασθούν τα δεδομένα των ασθενών (άρθ. 46 παρ. 3 α). Εάν ούτε τέτοια συμβατική δέσμευση υπάρχει, ο Κανονισμός δέχεται εξαιρετικά ως εγγύηση και την απλή προηγούμενη συναίνεση για τη διαβίβαση δεδομένων του ίδιου του ασθενούς, εφ’ όσον ο ασθενής έχει ενημερωθεί ειδικά για το ότι στην τρίτη χώρα δεν ισχύουν οι εγγυήσεις προστασίας της ΕΕ (άρθ. 49 παρ. 1 α). Η ανυπαρξία σύμβασης αιτιολογείται ειδικά και τότε μόνο επιτρέπεται η συναίνεση του ασθενούς με τους παρακάτω όρους. 2
II. Σύμφωνα με τα παραπάνω, από την ημερομηνία εφαρμογής του Κανονισμού, το αίτημα διαβίβασης δεδομένων σε τρίτη χώρα, υποβάλλεται στην ΕΕΔ, με την αντίστοιχη τεκμηρίωση, ήτοι επίσημη βεβαίωση που αναφέρει α) τον αριθμό της σύμβασης με τον αποδέκτη των δεδομένων στην τρίτη χώρα και β) ότι, από τη σύμβαση αυτή προκύπτει η τήρηση των εγγυήσεων προστασίας των δεδομένων προσωπικού χαρακτήρα που προβλέπει ο Κανονισμός της EE. Αν δεν υπάρχει τέτοια σύμβαση, ο αιτών αναφέρει τον λόγο και μπορεί να προβλέψει ειδική συναίνεση του ασθενούς για τη διαβίβαση των δεδομένων, υπό τον όρο στο έντυπο της συναίνεσης να υπάρχει ρητή πληροφόρηση ότι στην τρίτη χώρα (η οποία πρέπει να ονομάζεται) δεν ισχύουν οι εγγυήσεις προστασίας της ΕΕ. Έγκριση υπό επιφύλαξη στο θέμα των διαβιβάσεων σε τρίτες χώρες, δεν νοείται.
3. Όροι για επεξεργασία προσωπικών δεδομένων για ερευνητικούς σκοπούς
Η επεξεργασία υπόκειται σε εγγυήσεις που διασφαλίζουν ότι έχουν θεσπιστεί τα τεχνικά και οργανωτικά μέτρα, ιδίως ως προς την τήρηση της αρχής της ελαχιστοποίησης των δεδομένων. Τα εν λόγω μέτρα μπορούν να περιλαμβάνουν τη χρήση ψευδωνύμων, ή μεθόδους που αποκλείουν εντελώς την ταυτοποίηση των ασθενών, αν η ταυτοποίηση αυτή δεν είναι αναγκαία για τους σκοπούς της συγκεκριμένης επεξεργασίας.
4. Υποχρεώσεις προς την Αρχή Προστασίας Δεδομένων Έως τις 25.5.2018 ισχύει η ήδη αναρτημένη ανακοίνωση της ΕΕΔ, που αφορά τη γνωστοποίηση και αδειοδότηση από την Αρχή. Από 25.5.2018, διαφαίνεται προοπτική κατάργησης της υποχρέωσης γνωστοποίησης και αδειοδότησης της επεξεργασίας ευαίσθητων προσωπικών δεδομένων υπό το καθεστώς του Γενικού Κανονισμού. Σχετική είναι η εισαγωγική σκέψη 89 Καν., κατά την οποία γενικές υποχρεώσεις γνωστοποίησης θα πρέπει να καταργηθούν και να αντικατασταθούν με αποτελεσματικές διαδικασίες και μηχανισμούς.
5. Μη εμπορικές μελέτες (π.χ. επιστημονικών εταιρειών) με επεξεργασία δεδομένων στην Ελλάδα Δεν υπάρχει κάποια διαφοροποίηση. Ισχύει το άρθρο 89 του Κανονισμού. Σύμφωνα με εισαγωγική σκέψη 159 του Κανονισμού, η επιστημονική έρευνα πρέπει να ερμηνεύεται διασταλτικά και περιλαμβάνει επίσης μελέτες που πραγματοποιούνται για σκοπούς δημοσίου συμφέροντος στον τομέα πχ της δημόσιας υγείας. 3
6. Τι ισχύει για ασθενείς σε μελέτες εν εξελίξει. Οι υπεύθυνοι επεξεργασίας που ήδη επεξεργάζονται προσωπικά δεδομένα δεν απαιτείται να ανανεώσουν συνολικά όλες τις υπάρχουσες συγκαταθέσεις ενόψει του Γενικού Κανονισμού. Σύμφωνα με την εισαγωγική πρόταση 171 Καν., επεξεργασία που βρίσκεται ήδη σε εξέλιξη κατά την ημερομηνία εφαρμογής, θα πρέπει να εναρμονιστεί με τον παρόντα Κανονισμό εντός δύο ετών από την έναρξη ισχύος του παρόντος Κανονισμού. Όταν η επεξεργασία βασίζεται σε συγκατάθεση δυνάμει της οδηγίας 95/46/EΚ, δεν είναι αναγκαία νέα συγκατάθεση του υποκειμένου των δεδομένων, εάν ο τρόπος με τον οποίο έχει δοθεί η συγκατάθεση είναι σύμφωνος με τους όρους του Κανονισμού. Εγκρίσεις εποπτικών αρχών που εκδόθηκαν βάσει της οδηγίας 95/46/ΕΚ παραμένουν σε ισχύ μέχρι την τροποποίηση, αντικατάσταση ή κατάργησή τους. Επομένως, οι υπεύθυνοι επεξεργασίας θα πρέπει να επισκοπήσουν τις διαδικασίες επεξεργασίας και τα αρχεία τους, πριν από τις 25.5.2018 και να διασφαλίσουν ότι οι υφιστάμενες συγκαταθέσεις πληρούν τις προϋποθέσεις του νέου Κανονισμού, άλλως θα πρέπει να λαμβάνουν συγκατάθεση συμβατή με τους όρους του.
7. Η ελάχιστη πληροφόρηση των υποκειμένων των προσωπικών δεδομένων πρέπει να περιλαμβάνει ρητά:
την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας,
Τα στοιχεία επικοινωνίας του Υπεύθυνου Προστασίας Δεδομένων (DPO) του χορηγού,
τους σκοπούς της επεξεργασίας, για τους οποίους προορίζονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και τη νομική βάση για την επεξεργασία,
τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,
την πρόθεση του υπευθύνου επεξεργασίας να διαβιβάσει δεδομένα προσωπικού χαρακτήρα σε τρίτη χώρα ή διεθνή οργανισμό
το χρονικό διάστημα, για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα, ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω διάστημα,
την κατοχύρωση των δικαιωμάτων α) πρόσβασης, β) διόρθωσης, γ) διαγραφής, δ) περιορισμού της επεξεργασίας, ε) εναντίωσης στην επεξεργασία, στ) δυνατότητας μεταφοράς των δεδομένων
την ανακοίνωση παραβίασης στο υποκείμενο των δεδομένων,
όταν η επεξεργασία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο α) ή στο άρθρο 9 παράγραφος 2 στοιχείο α), την ύπαρξη του δικαιώματος να ανακαλέσει τη συγκατάθεσή του οποτεδήποτε, χωρίς να θιγεί η νομιμότητα της επεξεργασίας που βασίστηκε στη συγκατάθεση πριν από την ανάκλησή της,
το δικαίωμα υποβολής καταγγελίας στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ),
την ύπαρξη αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που αναφέρεται στο άρθρο 22 παράγραφοι 1 και 4 και, τουλάχιστον στις περιπτώσεις αυτές, σημαντικές πληροφορίες σχετικά με 4 τη λογική που ακολουθείται, καθώς και τη σημασία και τις προβλεπόμενες συνέπειες της εν λόγω επεξεργασίας για το υποκείμενο των δεδομένων (παρ. 2).
Η ΕΕΔ υπογραμμίζει ότι ο Κανονισμός έχει άμεση εφαρμογή, η οποία δεν εξαρτάται από τη θέσπιση εθνικής νομοθεσίας.
Εφ’ όσον πάντως θεσπισθεί στο μέλλον τέτοια νομοθεσία, η ΕΕΔ θα ενημερώσει εγκαίρως τους χορηγούς, για τυχόν πρόσθετες απαιτήσεις