Φαρμακοεπαγρύπνηση και Προστασία Προσωπικών Δεδομένων Από τη θεωρία στην πράξη Στέλλα Κορούλη Τοπική Υπεύθυνη Φαρμακοεπαγρύπνησης Roche (HELLAS) AE Ευτυχία Αυγοκλούρη Healthcare Compliance Contact/ Data Privacy Coordinator Roche (HELLAS) AE
Lorem ipsum dolor sit amet, consectetur adipiscing elit, consectetur adipiscing Γενικές Πληροφορίες GDPR σε ισχύ από 25-Μαϊ-2018 σε αντικατάσταση της Οδηγίας 95/46/EC Αρχές που διέπουν την επεξεργασία των δεδομένων Εφαρμογή σε όλες τις εταιρίες που επεξεργάζονται προσωπικά δεδομένα (ΠΔ) ατόμων που κατοικούν στην Ευρωπαϊκή Ένωση, ανεξάρτητα από την τοποθεσία της εταιρίας Επικαιροποίηση εσωτερικών διαδικασιών για την προστασία ΠΔ
Νομιμότητα της επεξεργασίας - Άρθρο 6 του Κανονισμού Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις: 1. το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων του για έναν ή περισσότερους συγκεκριμένους σκοπούς Η 2. η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης Η 3. Η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπεύθυνου επεξεργασίας Η 4. η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου Η 5. η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας Η 6. η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων
GDPR & EU Regulation No 1235/2010 σύμφωνα με το άρθρο 9 (θ) του Κανονισμού GDPR η επεξεργασία «ευαίσθητων» προσωπικών δεδομένων επιτρέπεται εάν: «...η επεξεργασία είναι απαραίτητη για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προιόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτου μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου» σύμφωνα με την παράγραφο (23) του Κανονισμού EU Regulation No 1235/2010: «...ο σκοπός προστασίας της δημόσιας υγείας συνιστά ουσιαστικό δημόσιο συμφέρον και συνεπώς η επεξεργασία προσωπικών δεδομένων μπορεί να αιτιολογηθεί εάν τα ταυτοποιήσιμα δεδομένα υγείας τυγχάνουν επεξεργασίας μόνο όταν είναι απαραίτητο και εφόσον τα εμπλεκόμενα μέρη κρίνουν ότι υφίσταται τέτοια ανάγκη σε κάθε φάση της διαδικασίας φαρμακοεπαγρύπνησης»
Δικαιώματα Υποκειμένων των Δεδομένων Διαφανής ενημέρωση Πρόσβαση στα δεδομένα Διόρθωση των δεδομένων Διαγραφή των δεδομένων Περιορισμός της επεξεργασίας Αντίταξη στην επεξεργασία Φορητότητα των δεδομένων Ανάκληση συγκατάθεσης Υποβολή καταγγελίας σε εποπτική αρχή Μη αυτοματοποιημένη λήψη απόφασης
Φαρμακοεπαγρύπνηση (ΦΕ) & GDPR (1) Ειδική Οδηγία για ΦΕ & ΙΠ Υποχρέωση ενημέρωσης των Υποκειμένων των Δεδομένων για τα δικαιώματά τους σχετικά με την επεξεργασία ΠΔ Για τους σκοπούς επεξεργασίας αυθόρμητων αναφορών ανεπιθύμητων ενεργειών δεν υπάρχει ανάγκη συγκατάθεσης Εσωτερικές Ενέργειες Διαχείριση κλήσεων τηλεφωνικού κέντρου Διαχείριση ΠΔ ασθενών Διαχείριση ΠΔ επαγγελματιών υγείας Ενημέρωση disclaimers (εταιρικά portals, προφορικά, σε γραπτές επικοινωνίες)
ΦΕ & GDPR (2) Άλλες διαδικασίες ΦΕ σε συμμόρφωση με GDPR Αποστολή επιστολών «Αγαπητέ Επαγγελματία Υγείας» & Εκπαιδευτικών Υλικών Συνεργασία με Προμηθευτές & τρίτα μέρη Εταιρικά portals Εσωτερικές Ενέργειες Ενημερωτική συνοδευτική επιστολή Προσαρμογή συμβολαίων Privacy Policy, cookies, IP addresses
Διδάγματα από τη μέχρι τώρα εμπειρία
Ευχαριστούμε!
ΦΑΡΜΑΚΟΕΠΑΓΡΥΠΝΗΣΗ ΚΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ- OI YΠΟΧΡΕΩΣΕΙΣ ΤΟΥ CRO Κωνσταντίνα Πατέλη Δικηγόρος, LLM Legal Advisor Zeincro Hellas A.E.
Δραστηριότητες Φαρμακοεπαγρύπνησης (ΦΕ): Υπεύθυνος επεξεργασίας / Εκτελών την επεξεργασία Lorem ipsum dolor sit amet, consectetur adipiscing elit, consectetur adipiscing Υπεύθυνος επεξεργασίας: Κάτοχος αδείας κυκλοφορίας φαρμάκων (ΚΑΚ) Καθορίζει τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων στο quisπλαίσιο nostrud exercitation των δραστηριοτήτων ullamco laboris nisi ut aliquipφε. ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum Έχει την πλήρη ευθύνη για το σύνολο των δραστηριοτήτων στη ΦΕ. Εκτελών την επεξεργασία: Τρίτος π.χ. συμβεβλημένος ερευνητικός οργανισμός-cro στον οποίο έχει αναθέσει ο ΚΑΚ μέρος των δραστηριοτήτων της ΦΕ. Επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του ΚΑΚ. Ακολουθεί τις οδηγίες του ΚΑΚ ως προς το πώς θα γίνει η επεξεργασία των προσωπικών δεδομένων/δεν έχει μεγάλο περιθώριο αυτονομίας. Ελέγχεται από τον ΚΑΚ ως προς την εκπλήρωση των καθηκόντων που του έχει αναθέσει.
Eιδικές υποχρεώσεις του Εκτελούντος την επεξεργασία Lorem ipsum dolor sit amet, consectetur adipiscing elit, consectetur adipiscing Λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ασφαλείας προκειμένου να quis προστατεύονται nostrud exercitation ullamco ταlaboris προσωπικά nisi ut aliquip ex δεδομένα ea commodo consequat. που υπόκειται Duis aute irure dolor σε in επεξεργασία. reprehenderit in voluptate velit esse cillum Υπογραφή σύμβασης μεταξύ Υπεύθυνου επεξεργασίας και Εκτελούντος την επεξεργασία βάσει της οποίας θα καθορίζεται το αντικείμενο, η διάρκεια, οι σκοποί της quis επεξεργασίας, nostrud exercitation ullamco τοlaboris είδος nisi ut aliquip τωνex ea δεδομένων commodo consequat. επεξεργασίας Duis aute irure dolor in reprehenderit και οι in υποχρεώσεις voluptate velit esse cillum του Εκτελούντος την επεξεργασία. Yποχρέωση ορισμού DPO εφόσον η επεξεργασία των ειδικών κατηγοριών προσωπικών δεδομένων (όπως τα δεδομένα υγείας) γίνεται σε μεγάλη κλίμακα. Κριτήρια προκειμένου να προσδιοριστεί εάν η επεξεργασία διενεργείται σε μεγάλη κλίμακα αποτελούν : ο αριθμός των εμπλεκόμενων υποκειμένων των δεδομένων, ο όγκος των δεδομένων ή/και το εύρος των δεδομένων επεξεργασίας, η διάρκεια ή ο μόνιμος χαρακτήρας της δραστηριότητας επεξεργασίας δεδομένων και η γεωγραφική έκταση της δραστηριότητας επεξεργασίας.
Eιδικές υποχρεώσεις του Εκτελούντος την επεξεργασία Lorem ipsum dolor sit amet, consectetur adipiscing elit, consectetur adipiscing Τήρηση αρχείου δραστηριοτήτων επεξεργασίας, εφόσον η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων (όπως τα δεδομένα υγείας). Συνδρομή στον Υπεύθυνο επεξεργασίας αναφορικά με τη σύνταξη έκθεσης εκτίμησης dolore αντικτύπου eu fugiat nulla pariatur. (DPIA). Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum. Διαγραφή ή επιστροφή των δεδομένων στον Υπεύθυνο επεξεργασίας κατ επιλογή του μετά το πέρας της παροχής υπηρεσιών επεξεργασίας. Άμεση ενημέρωση του Υπεύθυνου επεξεργασίας μόλις υποπέσει στην αντίληψη του Εκτελούντος παραβίαση δεδομένων προσωπικού χαρακτήρα. Σε περίπτωση περαιτέρω ανάθεσης από τον Εκτελούντα την επεξεργασία μέρους των διαδικασιών της ΦΕ σε άλλον εκτελούντα την επεξεργασία (Υποεκτελούντα), οι ίδιες υποχρεώσεις που υπέχει ο Εκτελών την επεξεργασία επιβάλλονται στον Υποεκτελούντα μέσω σχετικής σύμβασης. Η περαιτέρω ανάθεση σε Υποεκτελούντα επιτρέπεται εφόσον υπάρχει προηγούμενη σχετική ειδική ή γενική άδεια του Υπεύθυνου επεξεργασίας.
Κρίσιμα σημεία στις δραστηριότητες ΦΕ Lorem ipsum dolor sit amet, consectetur adipiscing elit, consectetur adipiscing Αυξημένες απαιτήσεις ως προς την υποχρέωση ενημέρωσης του υποκειμένου των quisδεδομένων. nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum quisδυνατότητα nostrud exercitation εξαίρεσης ullamco laboris nisi από ut aliquip τηex λήψη ea commodo συγκατάθεσης consequat. Duis auteαπό irure dolor τοin υποκείμενο reprehenderit in voluptate των δεδομένων velit esse cillum για την επεξεργασία που διενεργείται στο πλαίσιο των δραστηριοτήτων ΦΕ. Ενημέρωση της αρμόδιας Εποπτικής Αρχής και των υποκειμένων των δεδομένων σε Lorem περίπτωση ipsum dolor sit amet, παραβίασης consectetur adipiscing προσωπικών elit, sed do eiusmod δεδομένων, tempor incididunt ut εφόσον labore et dolore η παραβίαση magna aliqua. Ut enim ενδέχεται ad minim veniam, να dolore προκαλέσει eu fugiat nulla pariatur. κίνδυνο Excepteur sint γιαoccaecat τα cupidatat δικαιώματα non proident, και sunt in τις culpa ελευθερίες qui officia deserunt mollit τωνanim υποκειμένων id est laborum. των δεδομένων. Εξωεδαφική εφαρμογή του GDPR: εφόσον είτε ο ΚΑΚ είτε η εταιρεία CRO είτε τα υποκείμενα των δεδομένων είναι εγκατεστημένα στην Ε.Ε. Ειδικό πλαίσιο διαβίβασης προσωπικών δεδομένων σε τρίτη χώρα ή διεθνή οργανισμό εκτός E.E./Ε.Ο.Χ.
Ευχαριστώ για την προσοχή σας