Pseudonimizacja danych w badaniach klinicznych i jej konsekwencje dla sponsorów
Standardową praktyką w badaniach klinicznych jest to, że sponsor, czyli podmiot odpowiedzialny za podjęcie badania klinicznego, zarządzanie nim oraz organizację jego finansowania, nie ma dostępu do danych pozwalających na identyfikację uczestników badania. Zwykle dane uczestników badania klinicznego trafiają do sponsora w postaci spseudonimizowanej. Dlatego czasem sponsorzy wychodzą z założenia, że skoro przetwarzają jedynie spseudonimizowane dane uczestników badań klinicznych, to nie podlegają RODO. Nic bardziej mylnego. Na dodatek pseudonimizacja niesie dodatkowe wyzwania dla sponsorów jako administratorów danych.
Dane spseudonimizowane to dane osobowe podlegające RODO
Zwykle dane osobowe uczestników badania klinicznego, zanim trafią do sponsora, poddawane są pseudonimizacji – przez (głównego) badacza lub zaufany podmiot trzeci zatrudniony przez sponsora (np. podmiot prowadzący badania naukowe na zlecenie – ang. contract research organisation, CRO).
RODO definiuje pseudonimizację jako przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji (klucza), pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO). W najprostszej formie pseudonimizacja może polegać na zastąpieniu imienia i nazwiska identyfikatorem pacjenta (uczestnika badania). W przypadku badań klinicznych klucz pozwalający na odwrócenie pseudonimizacji znajduje się zwykle w posiadaniu (głównego) badacza lub zaufanego podmiotu trzeciego. Należy podkreślić, że dane spseudonimizowane stanowią dane osobowe i podlegają ochronie przewidzianej w RODO. Motyw 26 RODO stanowi, że spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej (dane osobowe). Przetwarzanie przez sponsora spseudonimizowanych danych osobowych uczestników badań klinicznych podlega zatem przepisom RODO.
Pseudonimizacji nie należy mylić z anonimizacją, czyli przetworzeniem danych osobowych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Jest to istotne rozróżnienie, gdyż:
- pseudonimizacja jest procesem odwracalnym (stąd dane spseudonimizowane kwalifikuje się jako dane osobowe),
- anonimizacja jako proces nieodwracalny powoduje, że dane zanonimizowane nie stanowią danych osobowych i nie podlegają ochronie przewidzianej w RODO1.
Co do zasady w praktyce badań klinicznych dane uczestników nie są poddawane anonimizacji. W wyjątkowych sytuacjach konieczne może się bowiem okazać ujawnienie tożsamości uczestnika badania (np. w przypadku zagrożenia dla zdrowia, życia i bezpieczeństwa tej osoby, lub gdy jest to niezbędne do zapewnienia jej odpowiedniej opieki zdrowotnej). Gdyby dane uczestnika badania zostały zanonimizowane, nie byłoby to możliwe. Pseudonimizacja – dzięki swojej odwracalności – pełni zatem dodatkową rolę, gwarantując odpowiednie bezpieczeństwo uczestnikom badania.
Pseudonimizacja i prawa podmiotów danych (uczestników badania)
Pseudonimizacja niesie określone konsekwencje dla sponsora, który jest administratorem danych osobowych uczestników zarządzanego przez siebie badania klinicznego. Skoro nie ma on dostępu do danych umożliwiających identyfikację uczestników badań klinicznych, może mieć kłopot z realizacją praw takich osób wynikających z RODO (np. prawa dostępu do danych, ich usunięcia, sprostowania czy ograniczenia przetwarzania). W takiej sytuacji sponsor nie jest bowiem w stanie samodzielnie zidentyfikować osoby występującej z żądaniem realizacji praw z RODO i stwierdzić, czy rzeczywiście przetwarza dane tej osoby. Mamy więc do czynienia z nietypową na gruncie RODO sytuacją, w której administrator, którym jest sponsor, nie jest w stanie zrealizować samodzielnie praw podmiotu danych i spełnić swoich obowiązków wynikających z RODO.
Dodatkowe informacje pozwalające zidentyfikować uczestnika badania („klucz”), czyli odwrócić proces pseudonimizacji, znajdują się zwykle w posiadaniu badacza, ośrodka lub zaufanego podmiotu trzeciego. Tylko posiadając te dodatkowe dane można zidentyfikować uczestnika badania i zrealizować jego prawa jako podmiotu danych.
Co może zrobić sponsor?
Z tego względu tak istotne jest, by już na etapie zbierania świadomej zgody w rozumieniu rozporządzenia w sprawie badań klinicznych badacz przekazał uczestnikom badania (osobom, których dane dotyczą) odpowiednią klauzulę informacyjną sponsora. Taka klauzula oprócz informacji wymaganych na podstawie RODO (odpowiednio art. 13 lub art. 14 RODO) powinna wskazywać, że:
- sponsor, pomimo że przetwarza dane osobowe uczestników badania klinicznego w roli administratora, nie ma dostępu do danych identyfikujących poszczególnych uczestników badania (tj. przetwarza dane spseudonimizowane),
- takie dane identyfikujące posiada wyłącznie badacz/ośrodek/podmiot trzeci i z nim w pierwszej kolejności podmiot danych musi kontaktować się w sprawie realizacji swoich praw.
W tym przypadku warto uregulować umownie kwestię pomocy w realizacji praw podmiotów danych (uczestników badania) (np. w umowie trójstronnej między sponsorem, badaczem i ośrodkiem). Należy jednak pamiętać, że to na sponsorze – jako na administratorze danych – spoczywa obowiązek realizacji praw podmiotów danych.
Jeśli pomimo przekazania odpowiednich informacji w klauzuli informacyjnej uczestnicy badania nadal kontaktują się ze sponsorem, powinien on poinformować ich w każdym przypadku, że powinni oni w pierwszej kolejności skontaktować się z badaczem (ośrodkiem/podmiotem trzecim), który posiada pełne dane identyfikujące uczestników badania pozwalające na realizację ich praw jako podmiotów danych.
Iga Małobęcka-Szwast, radca prawny, praktyka nowych technologii kancelarii Wardyński i Wspólnicy
[1] Szerzej na ten temat zob. Opinia Grupy Roboczej Art. 29 nr 05/2014 w sprawie technik anonimizacji przyjęta w dniu 10 kwietnia 2014 r., WP216, dostępna pod adresem: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_pl.pdf.