System Informowania o Ciężkich Działaniach Niepożądanych Spowodowanych Stosowaniem Produktów Kosmetycznych
Ustawodawca uregulował kwestie przetwarzania i ochrony danych osobowych osób zgłaszających działania niepożądane do SICDN. Ustawa wskazuje wprost, że dane osobowe będą przetwarzane przez ośrodek w celu wykonywania obowiązków wynikających z art. 23 ust. 2-4 Rozporządzenia, tj. obowiązku zgłoszenia ciężkich działań niepożądanych właściwemu organowi państwa członkowskiego, w którym wystąpiło to działanie, przez: osobę odpowiedzialną, dystrybutora, użytkownika końcowego lub pracownika służby zdrowia.
Ośrodek informuje GIS o zgłoszeniu ciężkiego działania niepożądanego, przekazując informacje wskazane odpowiednio w art. 9 ust. 4 Ustawy lub art. 23 ust. 1 lit. C Rozporządzenie. Co istotne, ośrodek administrujący nie może powierzać innym podmiotom przetwarzania danych zawartych w systemie. Dane osobowe są przechowywane w ośrodku w warunkach uniemożliwiających dostęp do nich osób nieupoważnionych, nie dłużej niż rok od zakończenia weryfikacji zgłoszenia działania niepożądanego. Po zaprzestaniu przetwarzania danych, ośrodek administrujący przekazuje je ostatecznie Głównemu Inspektorowi Sanitarnemu.
Ustawa określa precyzyjnie zasady przetwarzania danych osobowych uzyskanych przez osobę odpowiedzialną lub dystrybutora w przypadku zgłoszenia działań niepożądanych przez użytkownika końcowego. Są to dane osobowe ściśle określone w art. 9 ust. 2 pkt 2-4 Ustawy.
Należy wspomnieć, iż na etapie legislacyjnym konsultacji publicznych, jedną z najbardziej krytykowanych i budzących zastrzeżenia wśród przedstawicieli branży kosmetycznej koncepcji przedstawionych w projekcie Ustawy był zakaz powierzenia przetwarzania danych. Zgodnie z propozycją twórców projektu Ustawy osoba odpowiedzialna lub dystrybutor nie mieli mieć możliwości powierzania przetwarzania danych. Rozwiązanie to pozostawało jednak w sprzeczności z powszechnie stosowaną w tym względzie praktyką. Wprowadzenie planowanego zakazu utrudniałoby np. dokonywanie przez klientów zgłoszeń działań niepożądanych za pośrednictwem formularzy internetowych bądź infolinii.
Ustawa ostatecznie wprowadza następujące zasady przetwarzania danych osobowych w ramach SICDN:
- W przypadku zgłoszenia działania niepożądanego przez użytkownika końcowego do osoby odpowiedzialnej lub dystrybutora, osoba odpowiedzialna lub dystrybutor przetwarza te dane osobowe, jako ich administrator;
- Dane osobowe są przechowywane przez osobę odpowiedzialną lub dystrybutora nie dłużej niż rok od zakończenia weryfikacji zgłoszenia działania niepożądanego.
- Dane osobowe są przechowywane przez osobę odpowiedzialną lub dystrybutora w warunkach uniemożliwiających dostęp do nich osób innych niż wyznaczone.
- Osoba odpowiedzialna lub dystrybutor są obowiązani do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą.
- Osoba odpowiedzialna lub dystrybutor oraz osoby zatrudnione w tych podmiotach lub wykonujące czynności w ramach powierzenia przetwarzania danych są obowiązane do zachowania w tajemnicy informacji związanych z danymi.
Komentarze