СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. №НДМСПО–01-190/2019г.
гр. София, 10.06.2019г.
ОТНОСНО: Определяне на фигурите „администратор” и „обработващ” при провеждане на клинични изпитвания.
Комисията за защита на личните данни (КЗЛД, Комисията) в състав– председател: Венцислав Караджов и членове: Цанко Цолов, Цветелин Софрониев, Мария Матева и Веселин Целков, на заседание, проведено на 29.05.2019г., разгледа искане за становище (вх.№НДМСПО-01-190/22.04.2019г.) от „С.Б.” ЕООД („С.”), ЕИК ******, в което се поставят въпроси, касаещи определянето на правните фигури „администратор” и „обработващ” при провеждане на клинични изпитвания.
Дружеството е установено на територията на Република България, като за част от своята дейност има качеството на „възложител” по смисъла на §1, т.8 от Допълнителните разпоредби на Закона за лекарствените продукти в хуманната медицина (ЗЛПХМ) и участва в инициираните от него клинични изпитвания.
Като възложител, С. може да има взаимоотношения с лечебни заведения за болнична помощ, центрове за психично здраве, центрове за кожновенерически заболявания, комплексни онкологични центрове, диализни центрове, диагностично-консултативни центрове, медицински центрове, дентални центрове и медико-дентални центрове, както и в индивидуални и групови практики за първична и специализирана медицинска помощ, получили разрешение за дейност/удостоверение за регистрация по реда на Закона за лечебните заведения, където С. провежда инициираните клинични изпитвания.
Дружеството осъществява също така взаимоотношения и с другите лица в клиничните изпитвания, а именно с главния изследовател и изследователите, както и членовете на екипа на изследователя – колаборатори, наблюдатели и одитори на изпитването. При осъществяване на дейностите по клинични изпитвания категориите лица, чиито лични данни се обработват, са:
– Участниците в клиничното изпитване – по смисъла на §1, т.78 от ДР на ЗЛПХМ, като се обработват данни за самоличността и здравословното състояние на лицето, получени при извършване на лечебните дейности по клиничното изследване, съдържащи се в медицинските картони на пациентите, участници по изпитването и необходими за извършване на клиничното изпитване;
– Изследователите – по смисъла на §1, т.21 от ДР на ЗЛПХМ, както и членовете на изследователския екип, като се обработват данни за самоличността им и необходими за изпълнение на задълженията им по клиничното изпитване;
– Наблюдателите и одиторите, назначени от С. за осъществяване на наблюдение на дейността и последваща проверка при извършване на клиничните изпитвания, като се обработват данни за самоличността им при изпълнение на договорните задължения.
Най-голям дял клинични изпитвания С. провежда в лечебни заведения за болнична помощ, където дейностите по клиничното изпитване се извършват в специализираните клиники от лекари със съответната специалност, които се явяват изследователи по изпитването. Същите лекари са и служители на съответното лечебно заведение.
За уреждане на взаимоотношенията с лечебните заведения, С. сключва писмен договор, където е предвидено, че лечебното заведение осигурява квалифициран и инструктиран персонал и подходящо оборудване, които да са налични за изпитването и разрешава извършването на мониторинг и одит на изпитването.
От друга страна, дружеството сключва писмени договори с главните изследователи по проучванията за уреждане на правата и задълженията по възложеното клинично проучване. С. предоставя информация на лечебното заведение за лицата, изследователи по клиничното изпитване, както и кои са лицата включени в екипа им.
Въз основа на горепосоченото, дружеството поставя следните въпроси:
1. Дали при извършване на клиничното изпитване лечебното заведение обработва лични данни на участниците в клиничното проучване за целите на изпитването.
2. В случай, че лечебното заведение обработва лични данни на участниците в клиничното проучване, в какво качество (администратор или обработващ) лечебното заведение обработва личните данни за целите на провеждане на клиничното изпитване.
3. Счита ли се за обработване на лични данни, както от възложителя, така и от лечебното заведение действието, при което възложителят информира лечебното заведение относно изследователите и техните екипи, включени в изследването, доколкото същите са служители на лечебното заведение и същото вече разполага с техните лични данни.
Правен анализ:
Познаването на фигурите на „администратор” и „обработващ” е ключово за правилното прилагане на действащото законодателство в областта на защитата на личните данни и неприкосновеността на личността. Общият регламент относно защитата на данните (Регламент(ЕС)2016/679) предвиди идентични легалните дефиниции с тези по отменената Директива 95/46/ЕО, но въпреки това фигурата на обработващия претърпя съществена правна метаморфоза, като за нея се предвидиха редица задължения, които не съществуваха до този момент.
Съгласно легалната дефиниция, визирана в чл.4, т.7 Регламент(ЕС) 2016/679 „администратор” означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
Качеството администратор е пряко следствие от обстоятелството, че конкретно лице е избрало да обработва лични данни за свои цели или за цели, които са регламентирани с нормативен акт. При това положение, извън случаите, когато това е законово определено, администраторът сам взема решение относно необходимостта от събиране на лични данни, категориите лични данни, дали те да бъдат променяни в хода на обработването, къде и как тези данни да бъдат използвани и с каква цел, дали данните да бъдат разкрити на трети страни и кои да бъдат те, както и за колко време те ще бъдат съхранявани, и кога и по какъв начин да бъдат унищожени.
В допълнение, Регламентът вменява на администратора определен кръг от задължения. Той трябва да предприеме подходящи технически и организационни мерки, свързани със сигурността на данните, като вземе предвид естеството, обхвата, контекста и целите на обработването на данните, както и съществуващите рискове за правата и свободите на субектите на данните. Освен това, съгласно разпоредбата на чл.30, §1 от Регламент(ЕС)2016/679, администраторът поддържа регистър на дейностите по обработване, за които отговаря. Този ангажимент произтича от принципа за отчетност и необходимостта администраторът във всеки един момент да бъде способен да докаже, че спазва изискванията, залегнали в регламента.
„Обработващ лични данни” е „физическо или юридическо лице, публичен орган, агенция или структура, която обработва лични данни от името на администратора” (чл.4, т.8 от Регламент(ЕС)2016/679).
Основната разлика между администратор и обработващ се състои в това, че вторият не действа самостоятелно, а от името на администратора на лични данни, т.е. последиците от обработването на личните данни, настъпват директно в правната сфера на администратора. Регламентът предвижда, че техните отношения се уреждат с договор или с друг правен акт съгласно правото на ЕС или правото на държава членка, който регламентира предмета и срока на действие, естеството и целта на обработването, вида лични данни и категориите субекти на данни и правата и задълженията на администратора, вкл. да извършва проверки (одити).
Общият регламент въвежда и специфични задължения за обработващия данните, които не се ограничават само и единствено до осигуряване на сигурност на данните. Така например, той е длъжен да обработва лични данни само по документирано нареждане от страна на администратора /арг. чл.28, §3, б.„а” вр. с чл.29 от Общия регламент/. В случаите, когато е необходимо включването на друг обработващ данните, това става само с изричното писмено разрешение на администратора. Подобно на администратора, съгласно чл.30, §2 от Общия регламент, обработващият също е задължен да поддържа регистър на дейностите по обработване, за които отговаря.
В допълнение, с оглед още по-голяма яснота, разпоредбата на чл.28, §10 от Общия регламент изрично предвижда, ако обработващият започне сам да определя целите и средствата на обработване, той автоматично започва да се счита за администратор.
Принципът на отчетност, визиран в чл.5, §2 от Регламент(ЕС)2016/679, изисква от участниците в търговския и гражданския оборот, вземайки предвид своята дейност, сами да определят какви са техните правоотношения във връзка с обработваните от тях лични данни– самостоятелни администратори, администратор и обработващ по смисъла на чл.28 или съвместни администратори по чл.26 от Общия регламент. Техният избор следва да гарантира не само формално, но и по същество съответствие с изискванията на Регламент(ЕС)2016/679 и съответно ефективна защита на правата на субектите на данни. Също така, следва да се има предвид, че предоставянето на услуги, при които обичайно се обменят лични данни между възложителя и изпълнителя, не води автоматично до възникване на отношения между администратор и обработващ по смисъла на чл.28 от Регламента.
По начало администраторът на лични данни може да „възлага” на обработващ дейности по обработка, за които самият той има правна възможност да извърши, но поради различни причини от организационно, техническо, финансово или друго естество е преценил, че е по-подходящо да се осъществяват от фигурата на т.нар. обработващ.
Режимът за извършване на клинични изпитвания е подробно уреден в Регламент (ЕС) 536/2014 на Европейския парламент и на Съвета относно клиничните изпитвания на лекарствени продукти за хуманна употреба и в Закона за лекарствените продукти в хуманната медицина. Нещо повече, законът изчерпателно определя функциите и задачите на всички субекти, участващи в клинично изпитване. В конкретния случай, дейността по обработване на лични данни във връзка с извършване на клинични изпитвания не би могла да се извърши „от името” на възложителя на изпитването, поради факта, че същите не могат да бъдат извършени от него, а само от оправомощена по съответния ред организация, имаща качеството „лечебно заведение”.
От друга страна и не на последно място, специалното законодателство в сферата на здравеопазването предвижда редица задължения, мерки и механизми за защита на здравната информация, съдържаща лични данни, които не могат да бъдат дерогирани с договор по смисъла на чл.28 от Регламент(ЕС)2016/679.
В конкретния казус са налице доводи за разглеждане на фигурата на съвместни администратори, съгласно която когато двама или повече администратори съвместно определят целите и средствата на обработването, те се считат за съвместни. Те следва да определят по прозрачен начин съответните си отговорности за изпълнение на задълженията си, по-специално що се отнася до упражняването на правата на субектите на данни и съответните им задължения за предоставяне на информацията, посочена в членове13 и 14, посредством договореност помежду си, освен ако и доколкото съответните отговорности на администраторите не са определени от правото на Съюза или правото на държава членка, което се прилага спрямо тях. Наред с това за субекта на данни е предвидена възможност за упражняване на своите права по отношение на всеки и срещу всеки от администраторите (чл. 26, §3 от Общия регламент)
Нещо повече, в Становище 1/2010 на Работната група по чл.29 (сега Европейски комитет по защита на данните) относно понятията „администратор“ и „обработващ” е посочено изрично, че при провеждане на клинични изпитвания участниците обработват лични данни в качеството на съвместни администратори, за което е даден и нагледен пример (стр. 30 на Становището).
С оглед на гореизложеното и на основание чл.58, §3, б. „б” от Регламент(ЕС)2016/679, Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. При провежданетo на клинични изпитвания лечебните заведения обработват личните данни на участниците в тях за целите на съответните клинични изпитвания. В тези случаи лечебните заведения и възложителят на клиничното изпитване имат качеството на съвместни администратори по смисъла на чл.26 от Регламент(ЕС)2016/679.
2. Всички действия на възложителя и на лечебното заведение, свързани с провеждането на клинично изпитване, включително обмена на информация между тях, се явяват обработване за тази конкретна цел.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: | |
| Венцислав Караджов /п/ |
Цанко Цолов /п/ | |
| Цветелин Софрониев /п/ | ||
| Мария Матева /п/ | ||
| Веселин Целков /п/ |
