Wstęp
Niejednokrotnie do celów badań klinicznych lub naukowych niebędących badaniami klinicznymi korzysta się z surowicy, wydzielin, wydalin, tkanek pobieranych będących pozostałością po próbkach pobranych na cele rutynowych badań diagnostycznych. Oczywiście możliwość dodatkowego wykorzystania do innych celów niż diagnostyka pacjenta, pozostałości próbki musi być poprzedzona zgodą pacjenta udzieloną w sposób świadomy i dobrowolny.
Powstaje zatem pytanie czy, a jeśli tak to na jakich zasadach takie próbki mogą być transportowane do państw trzecich. Materiał biologiczny co do zasady może być transportowany do państw trzecich jedynie pod pewnymi warunkami.
Należy pamiętać, że materiał biologiczny jest jednym z rodzajów danych osobowych w dodatku danych wrażliwych, a zatem należy zastosować szczególne procedury dotyczące przekazywania danych osobowych do państw trzecich. Po drugie transport materiału biologicznego za każdym razem musi się odbywać z zapewnieniem bezpieczeństwa nie tylko osób uczestniczących w procesie, ale również populacji.
Dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), zaś możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Natomiast dane genetyczne oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej Mogą to być fragmenty kodu genetycznego połączone z innymi danymi medycznymi lub innymi danymi, które dotyczą danej osoby. Możliwość identyfikacji danej osoby musi być możliwa biorąc pod uwagę wszelkie obiektywne czynniki, prawdopodobieństwo identyfikacji oraz rozwój technologiczny. W przypadku weryfikacji czy ma się do czynienia z danymi osobowymi zawsze należy rozważyć istnienie możliwości identyfikacji osoby fizycznej nie tylko na chwilę obecną, ale też wziąć pod uwagę inne czynniki, takie jak kierunek rozwoju nauki, technologii.
Materiał biologiczny
W pierwszej kolejności należy ustalić, kiedy mamy do czynienia z materiałem biologicznym. Materiał biologiczny to komórki, tkanki, narządy lub ich części, wydzieliny, wydaliny, płyny ustrojowe pochodzące od człowieka pobrane dla celów profilaktycznych, diagnostycznych, leczniczych, sanitarno-epidemiologicznych i oceny zgodności tkankowej "in vitro". Regulacje prawa polskiego odnoszące się do materiału biologicznego w postaci tkanek ludzkich zawarte są w nielicznych aktach prawnych. Wśród nich należy wymienić ustawę z dnia 1 lipca 2005 r. o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów. Ustawa określa ona zasady testowania, przetwarzania, przechowywania i dystrybucji komórek i tkanek ludzkich. I tak dystrybucja oznacza transport i dostarczenie komórek, tkanek lub narządów przeznaczonych do zastosowania u ludzi, zaś przetwarzanie obejmuje wszelkie czynności związane z przygotowaniem, transportowaniem, konserwowaniem i pakowaniem komórek, tkanek lub narządów przeznaczonych do stosowania u ludzi.
Co do zasady każdy materiał biologiczny należy traktować jako towar potencjalnie niebezpieczny. Próbki podczas transportu podlegać więc będą dużo bardziej restrykcyjnym przepisom.
Transport próbek diagnostycznych
Transport próbek diagnostycznych w przypadku towaru niebezpiecznego regulowany jest umowami międzynarodowymi. W zależności od sposobu transportu podstawą prawną będą Umowa europejska dotycząca międzynarodowego przewozu drogowego towarów niebezpiecznych” (powszechnie znana jako ADR), Umowa europejska dotycząca międzynarodowego przewozu śródlądowymi drogami wodnymi towarów niebezpiecznych (powszechnie znana jako ADN), Regulamin międzynarodowego przewozu kolejami towarów niebezpiecznych powszechnie znany jako RID).
ADR definiuje pojęcie towarów niebezpiecznych, dla potrzeb tego dokumentu jako takie materiały i przedmioty, których międzynarodowy przewóz drogowy jest zabroniony lub dozwolony pod pewnymi warunkami. Warunki te określone są w załącznikach A i B do umowy, będących jej integralnymi elementami. Wykaz towarów niebezpiecznych znajduje się w Tabeli A załącznika A. Próbki diagnostyczne lub próbki kliniczne zostały zakwalifikowane w tej tabeli pod numerem UN 3373 i podlegają instrukcji pakowania P 650.
Przekazywanie danych osobowych w formie próbki diagnostycznej do państw trzecich
Aby przekazać dane osobowe do państwa trzeciego należy dokonać wyboru procedury zgodnej z prawem i dopełnić wszelkich formalności wynikających z przepisów prawa. Etap udostępniania próbek, a zarazem danych osobowych wymaga także wypracowania i przestrzegania odpowiednich reguł dotyczących podmiotów, które mogą ubiegać się o dostęp oraz zasad na jakich próbki i dane są udostępniane. Szczególnie dotyczy to udostępniania zasobów podmiotom zagranicznym. W pierwszej kolejności należy ustalić do jakiego państwa planowany jest transfer danych. Mając na uwadze konkretne państwa można podzielić je na Państwa, które Komisja Europejska uznała za bezpieczne oraz takie, które takiej decyzji o bezpieczeństwie nie uzyskały.
Przed transferem danych do innego państwa, należy upewnić się, czy odbiorca danych znajduje się w państwie trzecim.
Państwo trzecie w rozumieniu RODO to państwo spoza Europejskiego Obszaru Gospodarczego. Na podstawie art. 45 RODO Komisja Europejska ocenia stopień ochrony danych osobowych podczas transferu do państwa trzeciego uwzględniając, m.in. praworządność, poszanowanie dla praw człowieka w państwie trzecim, a także obecność niezależnego organu nadzorczego oraz zobowiązania międzynarodowe, w szczególności w dziedzinie ochrony danych osobowych. Gdy Komisja Europejska uzna, że poziom ochrony jest odpowiedni, może przyjąć decyzję, zgodnie z którą transfery danych to tego państwa mogą odbywać się bez specjalnego zezwolenia.
W praktyce oznacza to, że jakiekolwiek transfery danych osobowych wewnątrz EOG, nie wymagają żadnych dodatkowych działań. W każdym z państw EOG Rozporządzenie działa bezpośrednio, tak samo jak w Polsce.
Państwa uznane przez KE za bezpieczne
Po ustaleniu, że wobec Państwa, do którego chcemy przekazać dane została wydana decyzja o tym, że Państwo jest bezpieczne należy poznać dokładnie decyzję, na podstawie której zamierzamy przekazywać dane. Nie zawsze decyzje obejmują wszystkie przypadki transferu danych.
Schemat postępowania w przypadku ustaleniu, że istnieje decyzja w sprawie uznania państwo trzecie za bezpieczne można przedstawić następująco:
Należy upewnić się czy odbiorca znajduje się w państwie trzecim.
Wybór mechanizmu transferu danych do państwa trzeciego – należy sprawdzić czy Komisja Europejska (KE) wydała decyzję potwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony.
Po ustaleniu, że państwo jest bezpieczne dane można przekazywać do firmy z siedzibą w tym państwie trzecim praktycznie bez obowiązku stosowania przez eksportera żadnych dodatkowych zabezpieczeń lub spełnienia dodatkowych warunków. W szczególności nie wymaga zezwolenia właściwego organu nadzoru ani wdrożenia szczególnych zabezpieczeń. Decyzje Komisji publikowane są w Dzienniku Urzędowym Unii Europejskiej.
Należy poznać szczegóły decyzji Komisji odnośnie do konkretnego kraju. Nie we wszystkich przypadkach decyzje obejmują wszystkie przypadki transferu danych.
Osoba, której dane dotyczą jest w tym wypadku szczególnie chroniona i należy uzyskać zgodę na przetwarzanie danych osobowych.
Państwa nieuznane przez KE za bezpieczne
Schemat postępowania w przypadku ustalenia, że nie istnieje decyzja w sprawie uznania państwa trzeciego za bezpieczne można przedstawić następująco:
Należy upewnić się, czy odbiorca znajduje się w państwie trzecim.
Wybór mechanizmu transferu danych do państwa trzeciego – należy sprawdzić czy Komisja Europejska (KE) wydała decyzję potwierdzającą, że państwo trzecie zapewnia odpowiedni stopień ochrony.
Po ustaleniu, że państwo nie należy do państw uznanych za bezpieczne musimy wybrać sposób przekazywania danych zgodnie z art. 46 Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych:
a) Standardowe klauzule ochrony danych (ang. standard contractual clauses, SCC), podobnie jak wiążące reguły korporacyjne, należą do instrumentów prawnych mogących zapewnić odpowiednie zabezpieczenie danych osobowych w transferach poza Europejski Obszar Gospodarczy (EOG), bez konieczności specjalnych zezwoleń. Stanowią one jeden z najczęściej używanych instrumentów do transferu danych w sytuacji braku decyzji Komisji Europejskiej o odpowiednim poziomie ochrony. Obowiązujące klauzule muszą być przyjęte oraz stosowane w całości. Nie ma możliwości wyboru pojedynczych postanowień lub mieszania postanowień z różnych zestawów klauzul. W razie konieczności, wdrożone mogą zostać dodatkowe środki uzupełniające w celu zapewnienia odpowiedniego stopnia ochrony danych podczas transferów do państw trzecich.
Nie ma potrzeby stosowania klauzul umownych podczas transferów na terenie EOG, gdyż zarówno administratorzy jak i podmioty przetwarzające dane na terenie EOG są objęci przepisami RODO, które gwarantują odpowiedni poziom ochrony danych osobowych
b) Wiążące reguły korporacyjne, czyli tzw. BCR’y (Binding Corporate Rules), to rozwiązanie umożliwiające legalny transfer w ramach grup przedsiębiorstw lub przedsiębiorców prowadzących wspólną działalność gospodarczą. Polega ono na tym, że międzynarodowe koncerny tworzą wspólne polityki ochrony danych osobowych. W tych dokumentach regulują wszystkie podstawowe zasady i prawa gwarantujące odpowiednie zabezpieczenia. Następnie te procedury wdrażane są we wszystkich spółkach z grupy, zarówno tych z obszaru EOG, jak i z państw trzecich.
c) Zatwierdzone kodeksy postępowania – są to kodeksy postępowania, które mają pomóc we właściwym stosowaniu RODO. Opracowywane są przez zrzeszenia i inne podmioty reprezentujące określone kategorie przedsiębiorców. Zastosowanie tego mechanizmu polega na zaakceptowaniu i przyjęciu takiego kodeksu przez podmiot z państwa trzeciego będący odbiorcą danych. Kodeks postępowania może być uznany za „odpowiednie zabezpieczenie wtedy, gdy zostanie zatwierdzony przez właściwy organ nadzoru. Obecnie w Polsce formalnie zatwierdzonym przez Prezesa Urzędu Ochrony Danych Osobowych jest m.in. Kodeks postępowania dla sektora ochrony zdrowia (Polska Federacja Szpitali).
d) Zatwierdzony mechanizm certyfikacji – czyli uzyskanie przez odbiorcę danych w państwie trzecim certyfikacji, która świadczy o zgodności podjętych środków przetwarzania z RODO. Europrivacy jest pierwszym mechanizmem certyfikacji, który wykazuje zgodność z ogólnym rozporządzeniem o ochronie danych (RODO). W Polsce certyfikacji będą dokonywały akredytowane podmioty certyfikujące posiadające akredytacje udzielane przez Polskie Centrum Akredytacji (PCA). Akredytacja będzie odbywała się na podstawie normy ISO/IEC 17065/2012 oraz dodatkowych wymogów.
e) Klauzule umowne między podmiotem przekazującym dane a odbiorcą danych w państwie trzecim –polega na zawarciu w umowie odpowiednich klauzul umownych które zapewnią bezpieczeństwo danych osobowych oraz skuteczną realizację praw podmiotów danych. Transfer danych z wykorzystaniem tego mechanizmu wymaga dodatkowego zezwolenia właściwego organu nadzoru
4. W przypadku nieznalezienia przesłanki do przetwarzania zgodnie z art. 46-47 RODO należy ustalić, czy występuje przesłanka wyjątkowa z art. 49 RODO:
a) Wyraźna zgoda podmiotu danych
b) Umowa podmiotu danych z administratorem. Administrator może wyjątkowo zalegalizować transfer, jeżeli przekazanie danych jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub podjęcia kroków przed jej zawarciem, na żądanie podmiotu danych
c) Umowa w interesie podmiotu danych. Administrator może przekazać dane do państwa trzeciego, jeżeli jest to niezbędne do zawarcia lub wykonania umowy, zawartej w interesie osoby, której dane dotyczą.
d) Ważny interes publiczny
e) Ustalenie, dochodzenie lub ochrona roszczeń
f) Ochrona żywotnych interesów podmiotu danych
g) Możliwe jest również przekazywanie danych osobowych z rejestru, który służy za źródło informacji i jest ogólnodostępny dla obywateli
WAŻNE!! Aby można było skorzystać z wyjątku spełnione muszą zostać przesłanki:
– przekazanie nie jest powtarzalne;
– dotyczy tylko ograniczonej liczby podmiotów danych;
– jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą;
– administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych.
5. W przypadku niemożliwości ustalenia żadnego wyjątku z art. 49 można skorzystać z anonimizacji danych osobowych.
6. Osoba, której dane dotyczą jest w tym wypadku szczególnie chroniona. Przed zastosowaniem zgody, musimy poinformować podmiot danych o ewentualnym ryzyku, z którym ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń może się dla niej wiązać przekazanie danych.
Podsumowanie
RODO określa jednolite standardy w zakresie przepisów o ochronie danych osobowych w całej Unii Europejskiej. Zasada swobodnego transferu danych osobowych pomiędzy państwami członkowskimi UE ma sprzyjać współpracy gospodarczej w ramach Unii. Zawsze więc powinniśmy zwracać uwagę na to, kto ma być odbiorcą naszych danych osobowych i czy nasze dane nie trafią poza obszar obowiązywania RODO. Nie znaczy to, że przekazywanie danych poza obszar UE będzie niebezpieczne. Istnieje szereg regulacji umożliwiających taki transfer i zapewniających bezpieczeństwo przekazywania danych. Istotne jest zapewnienie ochrony danych osobowych bez względu na to, czy te dane są przetwarzane w państwie, gdzie obowiązuje rozporządzenie, czy w państwach, do których te dane są przekazywane.
Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej następuje, gdy administrator i podmiot przetwarzający spełnią warunki określone w przepisach RODO, w tym także warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Znając już możliwości prawne przekazywania danych osobowych poprzez transport próbek biologicznych należy pamiętać, że zawsze należy uzyskać wyraźną zgodę osoby, której dane dotyczą. Przed zastosowaniem zgody, musimy poinformować o ewentualnym ryzyku, z którym ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń może się wiązać przekazanie danych.
Podstawy prawne:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.)
Oświadczenie Rządowe z dnia 13 marca 2023 r. w sprawie wejścia w życie zmian do załączników A i B do Umowa dotycząca międzynarodowego przewozu drogowego towarów niebezpiecznych (ADR), sporządzonej w Genewie dnia 30 września 1957 r. (Dz.U. z 2023 poz. 891).
Umowa europejska dotycząca międzynarodowego przewozu śródlądowymi drogami wodnymi towarów niebezpiecznych (ADN), zawarta w Genewie Genewa dnia 26 maja 2000 r. (Dz. U. z 2010 r. Nr 235, poz. 1537).
Oświadczenie rządowe z dnia 13 marca 2023 r. w sprawie wejścia w życie zmian do Regulaminu międzynarodowego przewozu kolejami towarów niebezpiecznych (RID), stanowiącego załącznik C do Konwencji o międzynarodowym przewozie kolejami (COTIF), sporządzonej w Bernie dnia 9 maja 1980 r. (Dz. U. poz. 789).
Decyzja Wykonawcza Komisji (UE) 2021/914 na temat standardowych klauzul umownych, będąca w zgodności z wyrokiem TSUE w sprawie Schrems II (C-311/18)
Ustawa z dnia 1 lipca 2005 r. o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów (t.j. Dz. U. z 2023 r. poz. 1185).
Ustawa z dnia 9 marca 2023 r. o badaniach klinicznych produktów leczniczych stosowanych u ludzi (Dz. U. z 2023 poz. 605).