W kontekście RODO branża farmaceutyczna staje w obliczu ustalenia właściwych okresów przechowywania poszczególnych kategorii danych osobowych.

Specyficzną kategorią są dane pochodzące ze zgłoszeń działań niepożądanych. Obowiązek przyjmowania i weryfikacji takich zgłoszeń nie dotyczy wyłącznie produktów leczniczych, ale także wyrobów medycznych i produktów kosmetycznych.

Wraz z początkiem roku weszła w życie nowa ustawa z dnia 4 października 2018 r. o produktach kosmetycznych, która bardziej szczegółowo uregulowała kwestie związane z wykonywaniem przez firmy farmaceutyczne, producentów i dystrybutorów kosmetyków, obowiązków dot. działań niepożądanych tej właśnie kategorii produktów.

Kto jest administratorem danych (ADO)?

Ustawa jednoznacznie określa, kto jest administratorem danych osobowych ze zgłoszeń działań niepożądanych produktów kosmetycznych. W przypadku dokonania takiego zgłoszenia przez użytkownika końcowego do osoby odpowiedzialnej lub dystrybutora kosmetyku, to osoba odpowiedzialna  lub dystrybutor będzie ich administratorem.

W świetle przepisów ustawy, podmioty te będą wykonywać własne obowiązki związane z przyjmowaniem działań niepożądanych i dlatego przysługuje im status ADO.

Jakie są obowiązki ADO w świetle nowej ustawy?

Od dnia 1 stycznia 2019 r., każda osoba odpowiedzialna lub dystrybutor produktu kosmetycznego przyjmujący zgłoszenia działań niepożądanych, mają obowiązek:

1. wskazać w ramach klauzuli informacyjnej długość okresu przechowywania danych osobowych podanych w zgłoszeniu działania niepożądanego produktu kosmetycznego (zobacz niżej),
2. zapewnić mechanizm usuwania / anonimizacji danych osobowych ze zgłoszeń działań niepożądanych po upływie dozwolonego okresu ich przechowywania.

Co istotne, jeżeli dana firma stosuje jedną klauzulę informacyjną do przyjmowania zgłoszeń działań niepożądanych produktów leczniczych, wyrobów medycznych, kosmetyków i suplementów diety, to powinna uwzględnić w niej okresy przechowywania danych osobowych pochodzących ze zgłoszeń dot. poszczególnych kategorii produktów.

Jak długo można przechowywać dane osobowe ze zgłoszeń?

Zgodnie z nową regulacją, dane osobowe ze zgłoszeń działań niepożądanych kosmetyków mogą być przetwarzane nie dłużej niż rok od zakończenia weryfikacji zgłoszenia działania niepożądanego.

Co istotne, okres przechowywania danych osobowych nie odnosi się w tym przypadku do daty pozyskania danych osobowych ze zgłoszenia działania niepożądanego (wpływu zgłoszenia), ale zakończenia jego weryfikacji. Na ustalenie długości tego okresu mogą mieć zatem wpływ okoliczności faktyczne związane z procedurą obsługi zgłoszenia.

Niewykluczone, że będą występować różne okresy przetwarzania danych osobowych w zależności od tego, na ile kompletne było pierwotne zgłoszenie.

Z praktyki firm farmaceutycznych wynika, że w wielu zgłoszeniach działań niepożądanych brakuje informacji niezbędnych do ich prawidłowej weryfikacji. W takich przypadkach, w celu prawidłowego wywiązania się z ustawowego obowiązku raportowania działań niepożądanych, firma z reguły podejmuje próbę uzyskania dodatkowych danych od osoby zgłaszającej, ewentualnie od lekarza. Nie może jednak z góry przewidzieć, czy i w jakim czasie uzyska żądane informacje.

Powyższe rozwiązanie jest korzystne dla podmiotów, do których obowiązków należy przyjmowanie i analiza zgłoszeń działań niepożądanych kosmetyków. Dozwolony okres przechowywania danych jest wydłużony o czas niezbędny do prawidłowej obsługi zgłoszenia.

Czy potrzebna jest aktualizacja wewnętrznej dokumentacji przetwarzania danych osobowych?

Jeżeli w prowadzonym przez osobę odpowiedzialną lub dystrybutora rejestrze czynności przetwarzania danych osobowych (RCPD) przy poszczególnych pozycjach rejestru wskazywane są planowane terminy usunięcia poszczególnych kategorii danych (przyjmowanie zgłoszeń działań niepożądanych powinno stanowić osobną czynność w rejestrze czynności – przyp. aut.), należy zweryfikować ich aktualność w świetle nowych przepisów.

Przypomnijmy, że w rejestrze czynności należy wskazywać planowane terminy usunięcia danych osobowych, jeżeli jest to możliwe.

Czy ADO może legalnie przetwarzać dane kontaktowe użytkownika kosmetyku, który zgłasza działanie niepożądane?

Zaletą wprowadzenia ustawy o produktach kosmetycznych w kontekście RODO jest także określenie katalogu danych osobowych, jakie można przetwarzać w związku z przyjmowaniem działań niepożądanych. Wśród nich znajdują się m.in. adres e-mail oraz numer telefonu użytkownika końcowego produktu kosmetycznego, o ile je posiada. Nie ma zatem obecnie żadnych wątpliwości, że osoba odpowiedzialna lub dystrybutor mogą przetwarzać takie dane kontaktowe.

Nowa regulacja dot. przetwarzania danych osobowych ze zgłoszeń działań niepożądanych wprowadza rozwiązania zgodne ze standardami RODO. Wyznacza ona dobry kierunek zmian dla krajowych przepisów dot. przetwarzania danych osobowych produktów leczniczych i wyrobów medycznych.