在研究开始时,申办者和 CRO 必须采取一些步骤,以确保符合欧盟的《通用数据保护条例》。在这篇博文中,我们将重点介绍与研究启动相关的四条 GDPR 条款。
第 13 条1
作为数据控制者,申办者必须在收集研究参与者、主要研究者和研究人员的个人数据之前,向他们提供一份隐私通知。对于患者来说,隐私通知的形式是知情同意书。欧盟国家对 ICF 中的要求可能有不同的解释,有些国家可能有自己的模板。此外,让相应的伦理委员会批准隐私声明的语言可能是一个漫长的过程。因此,申办者应尽早开始制定隐私声明,以避免启动延误。
第二十五条1
在研究设计中必须考虑到隐私问题,项目管理计划/临床管理计划可能需要更新,以反映为降低任何已识别风险而采取的数据保护措施。
第二十七条1
根据第 27 条,在欧盟未设立机构的公司必须在欧盟保留一名数据保护代表。该代表确保公司履行合规义务,并在必要时充当数据保护监管机构的联络人。
为避免潜在的利益冲突,代表最好不是数据处理者。此外,赞助商应牢记,如果监管机构无法直接追究非欧盟公司的隐私违规行为,代表可能要承担任何处罚责任。这可能会给确定合适的代表带来挑战,而越来越多的专业公司可以提供帮助。如果赞助商的数据保护官位于欧盟,他或她也可以担任赞助商的数据保护代表。
第 28 条1
要共享个人数据,两个组织必须签订合同。如果这些组织是数据控制者和数据处理者,则合同必须包含 GDPR 第 28 条中的语言。每个组织的角色和责任都必须明确界定和理解,以便在实体间的合同中使用正确的语言。合同必须明确规定
- 处理的主题和期限
- 处理的性质和目的
- 个人数据类型
- 数据主体类别
- 数据控制者的义务和权利
GDPR 还要求将这些规定纳入数据控制者和数据处理者之间的合同中:
- 只能根据数据控制者的书面指示进行处理
- 受权处理个人数据的人员必须承诺保密或承担法定保密义务
- 数据处理者必须采取必要的安全措施
- 数据处理者必须遵守招募次级处理者的要求
- 数据处理者必须协助数据控制者履行义务,回应行使数据主体在 GDPR 下的权利的请求
- 处理服务完成后,必须删除个人数据或将其归还给数据控制者
- 必须向数据控制者提供证明数据处理者遵守这些要求所需的所有信息
- 数据处理者必须允许并协助数据控制者进行审计
在临床试验中,申办者是数据控制者,CRO 和机构/研究单位都是数据处理者。如果使用其他供应商,如实验室和患者报销服务提供商,则代表额外一层的数据处理者,通常非正式地称为子处理者。
为了遵守 GDPR,申办者与 CRO 之间的合同中必须包含第 28 条中的 "控制者对处理者 "语言。对于与多家 CRO 合作的大型制药公司或与众多制药公司合作的 CRO 来说,更新所有主服务协议是一项艰巨的任务。
医疗机构和主要研究者往往不清楚自己在 GDPR 下的角色。这是因为机构和主要研究者同时是数据处理者(代表申办者收集临床试验数据)和数据控制者(记录为研究参与者提供的医疗服务)。
因此,在研究开始时,必须确保为每个研究机构填写的临床试验协议包含所需的第 28 条语言,并确保各方理解各自的角色。如果研究机构将自己视为数据控制者,拒绝接受自己是申办者的数据处理者这一观点,则可以签订一份与控制者对处理者协议非常相似的数据共享协议,以帮助降低没有正确措辞的风险。
不应低估这些合同活动给组织带来的行政负担。这一过程非常耗时,谈判可能会很缓慢,尤其是在对意图和内容存在误解的情况下。因此,强烈建议赞助商尽早开始处理这些合同。
尽早规划 GDPR 合规
虽然 GDPR 旨在规范整个欧盟的个人数据保护,但该法规包含许多开放条款,允许成员国在某些数据保护领域引入自己的立法。因此,申办者和 CRO 需要随时了解各国的区别。这些区别不可避免地意味着申办者和 CRO 需要灵活处理关键文件。
作为实现和维护 GDPR 合规性的第一步,申办者和 CRO 应重点关注数据映射以及合同关系和技术的审核,以确定实现合规性所需的变更。在临床开发早期开始这一过程有助于确保研究启动尽可能顺利进行。
在本系列的最后一篇博文中,我们将探讨临床试验招募的主要注意事项,并讨论知情同意和数据处理的细微差别。
数据保护第一部分。了解GDPR对临床试验的影响
数据保护第三部分:临床试验招募的关键考虑因素
注意:本资料仅供参考,不用于提供法律建议。如果您不确定 GDPR 是否适用于某一特定研究或情景,我们建议您咨询法律顾问以获得指导。