数据保护第一部分。了解GDPR对临床试验的影响

因为 花了 影响 2018 年 5 月 25 日，欧盟的 一般数据保护条例 一直在重塑包括临床研究在内的各行业部门处理数据的方式。GDPR 的目标是加强和规范整个欧盟的个人数据保护，包括在欧盟内部处理的前欧盟数据。[1] 虽然该法规旨在涵盖欧盟境内的个人数据，但欧洲以外的实体（包括合同研究组织）如果处理欧盟的个人数据，仍可能受到新要求的影响。

GDPR 包含 中的一些条款给制药 临床试验行业提出了独特的挑战。遗憾的是，目前还没有针对 CRO 的 也没有判例法指导 CRO 进行官方 解释。在本系列博客中，我们将重点介绍法规的定义、与 GDPR 与临床试验专业人员相关的 GDPR 的关键方面，并就 CRO 如何实现 GDPR 合规提供见解。 CRO 如何在整个临床试验过程中实现数据处理的合规性。 临床试验过程中数据处理的合规性。

GDPR 概述

GDPR 将个人数据定义为与已识别或可识别的在世个人有关的任何信息。 可识别的在世个人相关的任何信息。这些数据包括 IP 地址、基因数据和生物识别数据。此外，还包括 此外，收集在一起可识别特定个人的信息碎片也构成个人数据。 也构成个人数据[2]。

与 与被其取代的第 95/46/EC 号数据保护指令相比，GDPR 包含以下主要变化：

• 扩大 扩大了地域范围，将非欧盟国家的公司也包括在内
• 重大 对违规行为处以重罚，罚金最高可达上一年全球收入的 4% 或 2,000 万欧元，以数额较高者为准 或 2,000 万欧元，以金额较高者为准，视违规严重程度而定 视违规严重程度而定
• 扩大 数据主体的权利，包括事先同意、使用透明通俗的语言 数据可携带性，以及访问权、更正权、限制权、反对权和被遗忘权 被遗忘的权利
• 纳入 设计隐私
• 需要 影响评估的必要性。与风险评估类似，影响评估应 涵盖数据的用途、管理方式和需要采取的行动
• 导言 数据保护官是一个组织内的指定人员，他已在 在特定地区的相关数据保护机构注册的人员 特定地区

GDPR 定义了两类数据处理者：

1. 数据 数据控制者决定 处理个人数据的目的和方式。从法律上讲，GDPR 中的大部分 GDPR 中的大部分义务都由控制者承担。
2. 数据 处理者 根据数据控制者的指示处理个人数据。虽然数据处理者 根据 GDPR 的规定，数据处理者的义务比数据控制者少，但在实践中，CRO 等组织 在实践中，CRO 等组织会履行数据控制者的部分义务，只要他们是处理个人数据的一方。 处理个人数据。

数据控制者的义务

根据 根据 GDPR，数据控制者必须

• 保持 保存所有数据处理记录，包括数据处理、使用和/或传播的方式，以及遵守原则的证据、 数据的处理、使用和/或传播，以及遵守以下原则的证据 GDPR
• 提供 在隐私通知中向个人提供信息，以透明的方式说明 收集数据的内容和原因
• 确保 确保在下列情况下创建获取、存储和管理同意的机制 需要征得同意时
• 将 在研究中融入隐私设计，默认提供隐私，即 隐私是默认选项
• 利用数据保护影响评估来确定 确保个人数据安全所需的技术和组织措施
• 确保 建立机制，以实现数据主体的访问权、更正权、反对权和被遗忘权、 反对和被遗忘的权利
• 识别 发现数据泄露，并在发现后 72 小时内通知有关当局 如果认为数据泄露可能对个人的权利和自由造成高风险，则在发现数据泄露的 72 小时内通知有关当局。 个人的权利和自由。数据控制者还负责 通知受影响的个人，不得无故拖延，除非出现例外情况 触发

所有组织的义务 处理个人数据

不同于 与之前的规定不同，根据之前的规定，数据控制者（即赞助商）对确保其数据处理做法符合规定负全部责任。 负责确保其数据处理行为合规、 GDPR 将责任分散给了数据处理者。数据 数据处理者的一个主要责任是确保他们实施适当的技术和组织措施 组织措施，使数据处理符合 的要求，并确保 保护主体的权利。

根据 根据 GDPR，所有处理个人数据的组织都必须

• 创建处理记录，记录 公司如何处理个人数据
• 确保 确保其数据保护官精通监督隐私 管理，并将主动审查与个人数据处理有关的技术系统和举措 与个人数据处理有关的技术系统和举措
• 制定并实施相关政策和标准 概述数据安全措施，以便公司的质量和管理机构能够衡量和监控这些措施的实施情况。 公司可以衡量和监控公司对这些措施的执行情况 措施
• 为员工提供适当的培训 根据数据处理风险
• 提高供应商管理能力，以 确保第三方供应商具备必要的资质和安全措施 措施
• 更新数据控制者与数据处理者之间的合同 更新数据控制者和数据处理者之间的合同，以确保符合 GDPR 第 28 条的要求
• 实施适当的传输机制，以便 在欧洲经济区以外传输个人数据
• 实施适当的系统，监控和 实施适当的系统来监控和检测数据泄露，并制定适当的升级和报告计划 遵守 GDPR 第 33 条规定的 72 小时内报告数据泄露的强制性要求 要求
• 确保任何直接营销都符合 符合 GDPR 和 ePrivacy 要求
• 跟踪 跟踪个人数据何时不再有效，并提供证据证明这些数据已 适当归档

³根据 GDPR，CRO 和其他临床试验提供商既是数据处理者，也是数据控制者。从研究参与者的角度来看，CRO 是数据处理者。从其员工的角度来看，CRO 是数据控制者。因此，CRO 必须掌握 GDPR 的一些细微差别，这些将在随后的博客中讨论。

数据保护第二部分：确保研究启动时遵守GDPR的规定

数据保护第三部分：临床试验招募的关键考虑因素

注意：本资料仅供参考，不用于提供法律建议。如果您不确定 GDPR 是否适用于某一特定研究或情景，我们建议您咨询法律顾问以获得指导。

[1]2016 年 4 月 27 日欧洲议会和欧盟理事会第（EU）2016/679 号条例（GDPR）。见https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN。

[2]欧盟委员会。What is personal data?见https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en。