Ukoliko vršite klinička istraživanja u Srbiji, morate imenovati Predstavnika za zaštitu podataka i/ili Lice za zaštitu podataka (DPO)

Ukoliko vršite klinička istraživanja u Srbiji, morate imenovati Predstavnika za zaštitu podataka i/ili Lice za zaštitu podataka (DPO)

Kliničko istraživanje predstavlja oblast koja zahteva intenzivnu obradu podataka, uključujući prikupljanje, skladištenje i analiziranje posebnih vrsta podataka o ličnosti – osetljivih podataka, kao što su zdravstveni podaci. U Srbiji, postoje strogi pravni okviri koji regulišu rukovanje takvim podacima kako bi se obezbedila zaštita privatnosti i prava pojedinaca. Za stručna lica u oblasti kliničkih istraživanja – bilo da su to sponzori, istraživači ili timovi za regulatorna pitanja – razumevanje i usklađivanje sa ovim zahtevima nije samo zakonska obaveza, već i temelj etičkih praksi prilikom istraživanja.

Jedan od ključnih aspekata usklađivanja sa zakonom je imenovanje Predstavnika za zaštitu podataka i/ili Lice za zaštitu podataka (DPO). Ovaj blog daje pregled zakonskih obaveza, uloga i praktičnih koraka za imenovanje stručnih lica kako bi se obezbedila usklađenost sa Zakonom o zaštiti podataka o ličnosti u Srbiji.

Zakonske obaveze organizacija koje se bave kliničkim istraživanjima u Srbiji

Zakon o zaštiti podataka o ličnosti u Srbiji (koji je koncipiran prema Opštoj uredbi o zaštiti podataka EU, GDPR) nameće nekoliko obaveza organizacijama koje obrađuju podatke o ličnosti, posebno osetljive podatke koji se koriste u kliničkim istraživanjima. Ove obaveze uključuju:

• Minimizacija podataka: Prikupljanje samo onih podataka koji su neophodni za istraživanje.
• Pravni osnov za obradu: Obezbeđivanje saglasnosti ili drugog zakonitog osnova za obradu podataka.
• Transparentnost: Obaveštavanje učesnika o tome kako će njihovi podaci biti korišćeni.
• Specijalne kategorije podataka: Primena dodatnih zaštita prilikom obrade osetljivih podataka, kao što su genetski ili podaci o zdravlju.

Dve uloge su posebno relevantne za organizacije koje se bave kliničkim istraživanjima, kako bi bile u skladu sa ovim obavezama:

1. Predstavnik za zaštitu podataka: Obavezan za organizacije koje nemaju ni ogranak, ni predstavništvo u Srbiji, ali aktivno obrađuju lične podatke državljana Republike Srbije.
2. Lice za zaštitu podataka (DPO): Obavezno za organizacije gde je obrada podataka osnovna aktivnost i uključuje obradu velikih količina osetljivih podataka.

Ako vršite klinička istraživanja u Srbiji, moraćete da imenujete lice za barem jednu od ove dve uloge!

Ovaj blog će objasniti specifične okolnosti u kojima je svaka od ovih uloga obavezna za klinička istraživanja. Za širi pregled o tome kada je potrebno imenovati Lice za zaštitu podataka ili Predstavnika za zaštitu podataka u Srbiji, pronađite u našem blogu: Ko je DPO, a ko Predstavnik za Srbiju?

1. Lice za zaštitu podataka (DPO)

Bilo da ste domaća ili inostrana kompanija koja sprovodi klinička istraživanja u Srbiji, morate imenovati Lice za zaštitu podataka (DPO) ako:

a) osnovne aktivnosti vašeg istraživanja uključuju obimno, redovno i sistematsko praćenje učesnika istraživanja (lica čiji se podaci obrađuju); ili
b) osnovne aktivnosti vašeg istraživanja uključuju obimnu obradu osetljivih podataka, kao što su zdravstveni ili genetski podaci.

U kliničkim istraživanjima, barem jedan od ovih uslova biće uvek ispunjen, jer istraživanje obično uključuje sistematsko praćenje učesnika i obradu osetljivih podataka koji se odnose na zdravlje. To znači da je imenovanje Lica za zaštitu podataka (DPO) ključno za obezbeđivanje usklađenosti sa propisima o zaštiti podataka.

Grupa organizacija koja je uključena u istraživački proces može imenovati jedno Lice za zaštitu podataka, pod uslovom da je ovaj predstavnik jednako dostupan svim članovima grupe. Ova opcija je posebno poželjna ukoliko su budžeti istraživanja ograničeni.

Uloga Lica za zaštitu podataka (DPO) u kliničkim istraživanjima

Lice za zaštitu podataka je odgovorno za nadgledanje ukupne strategije zaštite podataka i obezbeđivanje usklađenosti sa srpskim zakonima o zaštiti podataka o ličnosti. Njegova uloga postaje ključna u kliničkim istraživanjima zbog obimne obrade osetljivih podataka.

Odgovornosti Lica za zaštitu podataka (DPO):

• Nadzor nad usklađenošću sa zakonima o zaštiti podataka i internim politikama.
• Sprovođenje procena uticaja zaštite podataka (DPIA), posebno za istraživačke projekte koji uključuju specijalne kategorije podataka.
• Pružanje smernica o zakonskim obavezama i najboljim praksama.
• Predstavlja kontakt za nadzorne organe i učesnike istraživanja.

Uslovi i kvalifikacije:

• Temeljno poznavanje zakona i praksi zaštite podataka.
• Poznavanje etičkih implikacija obrade podataka.
• Za ovu ulogu mogu biti imenovana kako domaća, tako i strana lica. Međutim, domaća lica su često bolje upoznata sa specifičnim zakonima i regulativama o zaštiti podataka koje se primenjuju u Srbiji, što ih čini poželjnijom opcijom za obezbeđivanje usklađenosti sa lokalnim zakonskim obavezama. Takođe, imenovanje domaćeg Lica za zaštitu podataka omogućava lakšu komunikaciju sa nadzornim organima Srbije i licima čiji se podaci obrađuju, jer mogu direktno komunicirati na srpskom jeziku.
• Iako Lice za zaštitu podataka (DPO) može biti zaposleno u organizaciji koja sprovodi klinička istraživanja, većina kompanija nema interne stručnjake u oblasti zaštite podataka. U takvim slučajevima, imenovanje eksternog Lica za zaštitu podataka nije samo moguće, već često i vrlo korisno rešenje, jer obezbeđuje organizaciji specijalizovano znanje i smernice u vezi sa usklađenošću sa zakonima o zaštiti podataka. Eksterno Lice za zaštitu podataka je posebno korisno u situacijama kada interno Lice za zaštitu podataka možda ne bi bilo dovoljno objektivno ili bi moglo doći do potencijalnih sukoba interesa, čime se obezbeđuje da organizacija ima koristi od specijalizovanog znanja i nezavisnih smernica u vezi sa usklađenošću sa zakonima o zaštiti podataka.

2. Predstavnik za zaštitu podataka za Srbiju 

Ako ste već imenovali Lice za zaštitu podataka (DPO) i mislite da ste završili sa zahtevima za usklađenost, razmislite još jednom! Uloga Predstavnika za zaštitu podataka za Srbiju razlikuje se od uloge DPO-a, i vaša kompanija može biti obavezana da imenuje obe ove uloge.

Ako ste inostrana kompanija koja sprovodi klinička istraživanja u Srbiji, ali nemate registrovano sedište, predstavništvo niti ogranak u Srbiji, i dalje morate da se uskladite sa zakonima Srbije o zaštiti podataka ako ste uključeni u aktivnosti kao što su:

a) Ponuda robe ili usluga pojedincima u Srbiji, čak i ako lice čiji se podaci obrađuju nije u obavezi da plati za ove robe ili usluge; ili

b) praćenje aktivnosti lica na koje se podaci odnose, ako se aktivnosti vrše na teritoriji Republike Srbije.

U ovim slučajevima, obavezni ste da imenujete Predstavnika za zaštitu podataka u Srbiji kako biste osigurali usklađenost sa Zakonom.
Međutim, čak i ako ispunjavate gore pomenute uslove, možda nećete biti u obavezi da imenujete Predstavnika za zaštitu podataka u Srbiji ako:

a) ste državni organ; ili

b) je obrada podataka povremena, ne uključuje obimnu obradu specijalnih kategorija podataka ili podataka vezanih za krivične presude, i verovatno neće dovesti do narušavanja privatnosti. U praksi, ovo izuzimanje gotovo nikada ne važi u kliničkim istraživanjima.

S obzirom na prirodu kliničkih istraživanja, koja obično uključuju obimnu obradu osetljivih podataka o zdravlju ili genetskih podataka, i sistematsko praćenje učesnika istraživanja, većina stranih subjekata koji sprovode kliničko ispitivanje će utvrditi da moraju imenovati Predstavnika za zaštitu podataka u Srbiji kako bi se uskladili sa lokalnim zakonima o zaštiti podataka. Za detaljnije informacije o propisima koji se odnose na ulogu Predstavnika za zaštitu podataka u Srbiji, uključujući specifične zahteve i zakonske obaveze povezane sa ovom ulogom, možete pogledati naš blog: „Da li vaša kompanija treba da imenuje Predstavnika za Srbiju?“

Šta je Predstavnik za zaštitu podataka?

Za strane sponzore i istraživačke organizacije (CRO) koje nemaju ni sedište, ni predstavništvo, ni ogranak u Srbiji, predstavnik deluje kao lokalni kontakt za sva pitanja u vezi sa zaštitom podataka, pomažući vam da se snalazite u lokalnim regulativama i održavate odgovarajuću usklađenost tokom kliničkih istraživanja.

Ključne odgovornosti Predstavnika za zaštitu podataka:

• Zastupanje vaše organizacije pred Poverenikom za informacije od javnog značaja i zaštitu podataka o ličnosti u Srbiji;
• Obezbeđivanje komunikacije sa učesnicima istraživanja i državnim organima;
• Kompanija može poveriti svom Predstavniku za Srbiju vođenje evidencije o aktivnostima obrade podataka.

Ko može biti imenovan za Predstavnika za zaštitu podataka u Srbiji?

• Predstavnik za zaštitu podataka može biti fizičko ili pravno lice sa sedištem u Srbiji.
• Potrebno je da Predstavnik ima neophodna stručna znanja u oblasti zakona o zaštiti podataka i kliničkih istraživanja kako bi efikasno obezbedili usklađenost. Iako ovo nije zakonska obaveza ili uslov imenovanja, snažno se preporučuje da Predstavnik ispunjava navedene uslove.

3. Zakonit osnov za obradu podataka o ličnosti u kliničkim istraživanjima i obrada osetljivih kategorija podataka o ličnosti 

Zakonski osnov

Kada sprovodite klinička istraživanja u Srbiji, ključno je razumeti pravni okvir koji se odnosi na obradu podataka. Zakon o zaštiti podataka o ličnosti u Srbiji reguliše način na koji se podaci o ličnosti prikupljaju, koriste i čuvaju unutar Republike Srbije. Takođe, važno je napomenuti da je domaći Zakon usklađen sa poznatom Opštom uredbom o zaštiti podataka EU (GDPR).

Zakon o zaštiti podataka o ličnosti u Srbiji zahteva zakonski osnov za obradu bilo kojih podataka o ličnosti. Međutim, u kontekstu kliničkih istraživanja, oslanjanje samo na jedan zakoniti osnov možda neće biti uvek dovoljno. Naime, različiti zakonski osnovi mogu se koristiti za različite aktivnosti obrade podataka tokom procesa kliničkog istraživanja, a dva glavna procesa su:

• Aktivnosti obrade podataka koje se odnose na pouzdanost i bezbednost; i
• Aktivnosti obrade podataka koje se isključivo odnose na istraživačke aktivnosti.

Generalno, najčešće korišćeni zakonski osnovi za potrebe kliničkih istraživanja su:

• Poštovanje pravnih obaveza rukovaoca: U kontekstu kliničkog istraživanja, ova zakonska obaveza proizlazi iz direktiva i regulativa koje nalažu prikupljanje podataka u cilju razvoja lekova i nadzora nad bezbednošću lekova (farmakovigilance).
• Izričit pristanak lica čiji se podaci obrađuju: Iako nije uvek praktično za sve vrste prikupljanja podataka u kliničkim istraživanjima, dobijanje izričitog pristanka učesnika jača zakonsku osnovu za obradu njihovih podataka o ličnosti.

Upotreba različitih zakonskih osnova može zavisiti od specifičnih okolnosti obrade. Ovi dodatni zakonski osnovi mogu biti:

• Javni interes: može biti ključan zakonski osnov za obradu podataka o ličnosti u kliničkim istraživanjima ako direktno podržava napredak medicinskog znanja i javnog zdravlja.
• Legitimni interes rukovaoca: Ovaj zakonski osnov može se koristiti kada je obrada ličnih podataka neophodna za legitimne interese sponzora istraživanja, pod uslovom da ti interesi pretežu nad interesima ili pravima i slobodama lica čiji se podaci obrađuju.

Posebne vrste podataka o ličnosti

Klinička istraživanja često uključuju obradu „posebnih vrsta podataka o ličnosti“, koje predstavljaju osetljive podatke kao što su informacije o zdravlju lica. Zakon o zaštiti podataka o ličnosti u Srbiji nameće strože zahteve za obradu osetljivih podataka. Međutim, postoje specifična izuzimanja koja omogućavaju obradu takvih podataka pod određenim uslovima. U kontekstu kliničkih istraživanja, sledeći izuzeci se mogu primeniti, u zavisnosti od specifičnih okolnosti:

• Izričit pristanak: Lice čiji se podaci obrađuju je dalo izričit pristanak za obradu u jednoj ili više specifičnih svrha, osim ako zakon ne predviđa da se obrada ne vrši na osnovu saglasnosti.
• Zaštita životno važnih interesa: Obrada je neophodna za zaštitu životno važnih interesa lica čiji se podaci obrađuju ili drugog fizičkog lica, kada lice čiji se podaci obrađuju fizički ili pravno nije u mogućnosti da da saglasnost.
• Javni interes u oblasti javnog zdravlja: Obrada je neophodna iz razloga javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji po zdravlje ili obezbeđivanje visokih standarda kvaliteta i bezbednosti zdravstvene zaštite i medicinskih proizvoda ili medicinskih uređaja;
• Javni interes arhiviranje, naučna ili istorijska istraživanja i statističke svrhe: Obrada je neophodna u svrhe arhiviranja u javnom interesu, za naučna ili istorijska istraživanja, ili za statističke svrhe.

Prema tome, dok je imenovanje Lica za zaštitu podataka (DPO) i/ili Predstavnika za zaštitu podataka obavezno za projekte kliničkih istraživanja u Srbiji, isto tako je važno imati sveobuhvatno razumevanje zakonskog osnova za obradu podataka i upotrebu osetljivih kategorija podataka o ličnosti. Ovo razumevanje obezbeđuje da vaše istraživanje bude u skladu sa propisima o zaštiti podataka, dok istovremeno ostvaruje svoje ciljeve.

4. Zaštita podataka kao prioritet u etičkim i zakonitim istraživanjima

Sprovođenje kliničkih istraživanja u Srbiji zahteva pažljiv pristup zaštiti podataka. Ovo nije samo formalnost; to je osnovni princip etičkih praksi u istraživanju, poverenja učesnika i celokupnog uspeha istraživanja.

Značaj zaštite podataka u kliničkim istraživanjima se ogleda u sledećem:

• Poverenje učesnika

Snažne mere zaštite podataka su ključne za izgradnju i održavanje poverenja sa učesnicima istraživanja. Kada pojedinci razumeju kako će njihovi lični podaci biti obrađeni, veća je verovatnoća da će pristati na učešće u kliničkim ispitivanjima.

• Integritet istraživanja

Snažna zaštita podataka obezbeđuje integritet istraživačkih podataka, smanjujući rizik od kršenja bezbednosti podataka, manipulacija ili zloupotrebe. Ovo je ključno za dobijanje pouzdanih i verodostojnih rezultata istraživanja.

Neusklađenost sa propisima može dovesti do ozbiljnih posledica, kao što su:

• Novčane kazne

Nepoštovanje propisa o zaštiti podataka može rezultirati značajnim novčanim kaznama (do 2 miliona dinara), što dalje može značajno uticati na budžete istraživanja i potencijalno ugroziti finansijsku održivost istraživačkih projekata.

• Kašnjenja u kliničkim ispitivanjima
  Ispitivanje od strane regulatornih tela i problemi sa neusklađenošću mogu dovesti do značajnih kašnjenja u vremenskim okvirima kliničkih ispitivanja, što može negativno uticati na napredak istraživanja.

• Ugrožavanje reputacije

Povrede zaštite podataka i neusklađenost mogu ozbiljno ugroziti reputaciju istraživačkih institucija, istraživača i sponzora, narušavajući poverenje javnosti i ometajući buduće istraživačke saradnje.

Kako bi se obezbedila zaštita podataka o ličnosti, od ključne je važnosti angažovati stručnjake specijalizovane za zaštitu podataka o ličnosti, koji mogu delovati kao Lice za zaštitu podataka (DPO) ili Predstavnici za zaštitu podataka u Srbiji. Njihova stručnost biće neprocenjiva u razvoju i implementaciji proaktivne strategije zaštite podataka, kao i u sprovođenju redovnih provera kako bi se održala kontinuirana usklađenost sa zakonima o zaštiti podataka u Srbiji (i drugih) relevantnih propisa.