Uznałem, że warto, aby co pewien czas na blogu pojawiał się wpis, w którym będę omawiać bardziej szczegółowo wybrane zagadnienie z RODO w kontekście działalności firm z konkretnych sektorów. Informacje zawarte w takich wpisach będą jednak z całą pewnością przydatne również dla innych firm, ponieważ takie odniesienie do realiów pozwoli im lepiej zrozumieć funkcjonowanie wybranych przepisów RODO w praktyce.

Dzisiejszy wpis dedykowany jest dla firm farmaceutycznych. Na przykładzie realizowanych przez nie obowiązków w ramach Pharmacovigilance (w skrócie PV), tj. monitorowania bezpieczeństwa produktów leczniczych, omówię, jak powinno wyglądać podejście firmy do prawa do bycia zapomnianym. Ponieważ obowiązek zapewnienia bezpieczeństwa produktu dotyczy nie tylko leków, ale także wyrobów medycznych, kosmetyków oraz suplementów diety, ten post może być pomocny również dla wytwórców tych produktów.

Skąd się wzięło prawo do bycia zapomnianym?

Na początek jednak kilka słów o samym prawie, które w ostatnim czasie zyskuje coraz większy rozgłos. Jeżeli korzystasz z usług firmy Google, to może zainteresuje Cię fakt, że właśnie z tym amerykańskim gigantem technologicznym ma związek obecna regulacja RODO w tym zakresie. W 2012 roku Trybunał Sprawiedliwości UE wydał wyrok w sprawie Google vs. Agencia Española de Protección de Datos (AEPD), czyli hiszpańskiemu GIODO, w którym uznał zasadność żądania usunięcia danych konkretnej osoby fizycznej z wyników wyszukiwania w znanej chyba każdemu z nas internetowej wyszukiwarce firmy Google.

Cała sprawa została zapoczątkowana przez obywatela Hiszpanii, któremu nie podobało się, że po wpisaniu jego imienia i nazwiska w wyszukiwarce Google pojawiał się link do dwóch stron dziennika „La Vanguardia” z ogłoszeniem o licytacji jego nieruchomości w związku z niezapłaceniem należności na rzecz tamtejszego ZUS. Postępowanie to zostało jednak całkowicie zakończone i informacja ta nie miała już żadnego znaczenia, przy czym jej obecność w wynikach wyszukiwania Google stawiała wspomnianego Hiszpana w niekorzystnym świetle.

Google sprawę przed TSUE przegrał i skarżący zrealizował swój cel w postaci usunięcia spornych linków z wyszukiwarki Google, niemniej zyskał przy okazji dużo większy rozgłos w związku z byciem stroną w sprawie przed Trybunałem. W oznaczeniach wyroków TSUE imiona i nazwiska stron postępowania są podawane do publicznej wiadomości. Same zaś wyroki można znaleźć w Internecie. Takie ot paradoksy europejskiego systemu ochrony danych osobowych… 😉

Na czym polega prawo do bycia zapomnianym zgodnie z RODO?

Prawo do bycia zapomnianym to nic innego jak uprawnienie do żądania usunięcia danych osobowych, których administrator, w danych okolicznościach, nie powinien już dłużej przetwarzać.

Od dnia 25 maja 2018 r., każdy administrator powinien liczyć się z możliwością otrzymania żądania usunięcia danych osobowych na podstawie RODO. Co prawda RODO określa przypadki, w których prawo do bycia zapomnianym nie przysługuje, ale do firm mogą wpływać również żądania niezasadne. W mojej ocenie, żadnego zgłoszenia nie należy lekceważyć, ale je przyjąć i rozpoznać. W interesie administratora jest właściwie ustalić, kiedy ma obowiązek, a kiedy nie musi usuwać danych osobowych. Najczęściej będzie to można stwierdzić dopiero po analizie merytorycznej konkretnego zgłoszenia z żądaniem usunięcia danych osobowych.

W przypadku zasadnego zgłoszenia żądania realizacji prawa do bycia zapomnianym, dane osobowe w zakresie objętym żądaniem powinny zostać usunięte zarówno z systemu informatycznego, jak i dokumentacji papierowej, czyli z akt, teczek i segregatorów.

Jak RODO traktuje przetwarzanie danych osobowych z obszaru PV?

Przetwarzanie danych osobowych w związku ze zgłoszeniami działań niepożądanych produktów leczniczych jest realizowane w ramach interesu publicznego. W art. 17 ust. 3 lit c) RODO przewidziano specjalne wyłączenie spod obowiązku realizacji prawa do bycia zapomnianym w zakresie, w którym przetwarzanie jest niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, w tym zapewnienie wysokich standardów bezpieczeństwa i jakości produktów leczniczych lub wyrobów medycznych.

Realizowane przez firmy farmaceutyczne obowiązki z zakresu PV wynikają zarówno z przepisów prawa UE, krajowych ustaw, jak i wytycznych Europejskiej Agencji Leków (EMA). W Unii Europejskiej od lat zresztą przywiązuje się szczególną wagę do zapewnienia bezpieczeństwa produktów leczniczych. Dopuszczenie leków do obrotu jest ściśle regulowaną procedurą, zaś sam preparat musi przejść pozytywnie badania kliniczne.

Niezależnie jednak, czy podstawą przetwarzania danych osobowych jest wykonywanie zadań w interesie publicznym czy inny przypadek dopuszczający przetwarzanie danych bez zgody osoby, której dane dotyczą, mogą zaistnieć sytuacje, w których żądanie do usunięcia danych będzie jednak podlegało uwzględnieniu. W szczególności, mam tutaj na myśli przypadek, w którym firma zrealizowała już cel, który uzasadniał fakt przetwarzania, lecz nie usunęła jeszcze danych osobowych.

Jak długo można przetwarzać dane osobowe ze zgłoszeń PV?

Nowym elementem klauzul informacyjnych podawanych przy zbieraniu danych osobowych będzie przekazywanie informacji o okresie przechowywania danych. Jeżeli dokładne ustalenie długości tego okresu nie będzie możliwe, administrator będzie musiał podać kryteria jego ustalania. Żądanie do usunięcia danych może podlegać uwzględnieniu, w szczególności gdy firma będzie przetwarzać dane osobowe dłużej niż sama wcześniej zadeklarowała to w klauzuli informacyjnej.

Ustalenie okresu przechowywania danych może być w praktyce pewnym wyzwaniem dla administratora. Tylko w niektórych przypadkach przepisy prawa określają, przez jak długi okres dane osobowe można przechowywać.  Z kolei w samym RODO znajdziemy tylko ogólne wytyczne, ale już nie konkretne okresy przechowywania danych. Oznacza to, że w większości przypadków, to sam administrator będzie musiał ustalić właściwe okresy, przy czym powinien zrobić to na tyle umiejętnie, aby nie narazić się przy okazji na zarzut niezgodności z RODO.

Ponieważ właściwa ocena zgłoszeń działań niepożądanych często wymaga podjęcia przez firmę farmaceutyczną dalszych działań, związanych np. z koniecznością uzupełnienia informacji zawartych w zgłoszeniu, na których przebieg i tempo realizacji może nie mieć wpływu, precyzyjne określenie okresu przechowywania danych może być problematyczne. W tym konkretnym przypadku usprawiedliwione wydaje się zatem odwołanie w klauzuli informacyjnej do kryteriów ustalania okresu, przez który dane osobowe zbierane w związku ze zgłoszeniami PV będą przechowywane.

Na zakończenie warto wskazać, że prawo do bycia zapomnianym nie będzie mieć zastosowania również w kilku innych przypadkach, np. w zakresie, w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony przed roszczeniami.