П’ять причин чому фармкомпаніям потрібен DPO у 2024 році

Data protection officer (DPO) — це спеціаліст з захисту персональних даних, який допомагає компаніям з забезпеченням відповідності міжнародному законодавству у цій сфері. Такий спеціаліст може бути безпосереднім членом команди або зовнішнім DPO і виконувати завдання на підставі договору про надання послуг.

DPO може допомогати компаніям з налагодженням усіх процесів, пов’язаних з персональними даними, створенням і перевіркою відповідної документації, запитами клієнтів стосовно використання їх даних, оцінюванням партнерів щодо дотримання ними відповідного законодавства, належною реакцією на витік персональних даних та проведенням відповідних тренінгів для працівників. Простіше кажучи, DPO – ключова персона, яка супроводжує компанію у всіх бізнес-процесах для забезпечення дотримання законодавства у сфері захисту персональних даних.

Європейський регламент про захист персональних даних (GDPR) визначає певні випадки, коли призначення DPO є обов’язковим:

• обробка даних публічним органом;
• регулярний,  систематичний і широкомасштабний моніторинг суб’єктів; 
• широкомасштабне опрацювання спеціальних категорій даних.

При цьому треба враховувати різні аспекти, щоб визначити, чи підпадає компанія під якийсь із цих критеріїв, але можна також добровільно призначити такого спеціаліста. 

Проте важливо зазначити, що як вказано у Гайдлайні від WP29, DPO не є персонально відповідальним за невідповідність вимогам GDPR, і має виконувати свої завдання у незалежній формі,  уникаючи конфлікту інтересів.

У цій статті ми продемонструємо п’ять причин, чому фармкомпаніям варто задуматись про призначення DPO.

#1. Допомога з GDPR комплаєнсом під час виходу на нові ринки

Якщо ваша компанія планує розширювати свою діяльність на інші країни, зокрема держави-члени Європейського союзу, то DPO стане вашим незамінним помічником у забезпеченні відповідності з законодавством про захист даних.

Головним актом в ЄС про захист персональних даних є General Data Protection Regulation (GDPR). Проте часто,  окрім GDPR, також необхідно враховувати національне законодавство держав-членів у цій сфері.

Можливо, ваша компанія й вже підпадає під сферу дії GDPR,  а ви про це й не здогадуєтесь:)

Річ у тому,  що GDPR поширюється також на компанії, які зареєстровані за межами ЄС, але постачають товари чи надають послуги суб’єктам в ЄС.

Варто зазначити, що зазвичай, окрім ЄС, DPO обізнані також й в законодавстві інших регіонів — США, Бразилії,  Великої Британії та інших країн.

Тож страх перед GDPR та іншими актами не привід зупинятись у розвитку бізнесу, якщо у вас є професіонал, що допоможе налагодити комплаєнс.

#2. Підвищені вимоги до безпеки даних клієнтів 

Фармкомпанії обробляють персональні дані своїх клієнтів, серед яких є спеціальні категорії (або чутливі) дані. Відповідно до GDPR, до таких даних, зокрема, належать генетичні дані, біометричні дані та дані стосовно стану здоров’я.

До даних про здоров’я ми можемо віднести будь-які дані, що стосуються минулого, теперішнього або майбутнього фізичного чи психічного здоров’я особи (включно з наданням медичної допомоги), яка розкриває інформацію про стан здоров’я цієї особи.

Тобто це може бути будь-яка інформація про хворобу клієнта, його інвалідність,  алергічну реакцію на препарат, сам факт лікування клієнта від певної хвороби чи виписані ліки та їх дозування. Це включає інформацію отриману від лікаря, медичного девайса чи від самого клієнта. 

Клінічні випробування препаратів чи медичних девайсів і забезпечення дотримання прав пацієнтів на захист персональних даних в цьому процесі є також високоризикованою діяльністю і потребує уваги спеціалістів з приватності. Щобільше, в ЄС є додаткове регулювання захисту персональних даних у цій сфері — The Clinical Trials Regulation.

Оскільки неналежна обробка таких даних або їх розкриття третім особам становить високий ризик для людини, її прав і різних аспектів життя, GDPR встановлює особливі вимоги до захисту такої інформації. Її обробка дозволяється лише в окремо передбачених випадках за наявності визначених підстав. При цьому держави-члени можуть мати певні деталізовані умови, в тому числі обмеження, у зв’язку з опрацюванням генетичних даних, біометричних даних або даних стосовно стану здоров’я.

DPO є тим професіоналом, який моніторить законодавчі вимоги до захисту персональних даних у різних сферах і вміє їх правильно застосовувати на практиці.

#3. Складність комплаєнсу через особливості сфери

Сам процес GDPR-комплаєнсу є складним, зокрема, через необхідність створення різної документації та її постійне оновлення. Йдеться не лише про Privacy та Cookies Policies, а також про Data Retention Policy, Records of processing activities, Supplier/contractor register, Information Security Policy, проведення оцінок законних інтересів, оцінок впливу на захист персональних даних та забезпечення правильного трансферу персональних даних в інші країни.  Важливим є також належний менеджмент запитів суб’єктів і реагування на витоки персональних даних. При цьому суттєву роль відіграє відстежування змін в різних індустріях та нових регуляторних думок та штрафів. 

Проте через особливості сфери, дотримання вимог GDPR фармкомпаніями стає дещо складнішим. Окрім процесів, пов’язаних з обробкою спеціальних категорій персональних даних, фармакологія має також ряд особливостей, які потрібно враховувати.

Важливим є те, що GDPR поширюється не лише на дані, які зберігаються електронно, а також і на паперовий формат зберігання,  якщо дані належним чином структуровані. Саме тому вимоги GDPR можуть застосовуватись, наприклад, і до паперових копій рецептів на ліки, договорів чи звітів про препарати.

Не менш суттєвим аспектом є встановлення термінів зберігання персональних даних. У сфері фармакології потрібно враховувати теж особливості національного законодавства щодо зберігання даних про здоров’я.

Також варто не забувати про те, що GDPR буде поширюватись на вебсайт чи застосунок фармкомпанії, на її маркетингову діяльність і на обробку даних працівників.

Тобто GDPR – комплаєнс — це багатоаспектний процес, який охоплює усю діяльність компанії, і саме DPO є тим спеціалістом, що допоможе створити карту потоків всіх персональних даних і правильно налагодити процеси їх обробки.

#4. Вплив GDPR-комплаєнсу на репутацію компанії 

Забезпечення та підтримку GDPR-комплаєнсу можна вважати інвестицією в позитивну репутацію компанії та додатковим аспектом для приваблення клієнтів.

Зважаючи на наявність конкуренції на ринку та залучення обробки чутливих даних клієнтів, вони звертатимуть особливу увагу на обробку їх даних та радше звернуться туди, де їх дані будуть належним чином захищені. Окрім цього, партнерство з європейськими компаніями може теж вимагати підтвердження належного поводження з персональними даними.

Призначення DPO компанією (вказівка про що має бути на сайті та у політиках організації) свідчить про побудову культури приватності в компанії і є додатковою конкурентною перевагою для бізнесу. 

#5. За порушення норм GDPR передбачені штрафи

Залежно від виду порушення штраф може бути до 10-20 мільйонів євро або 2-4% обороту компанії за відповідний рік. 

Є приклади кейсів, коли штрафи були накладені на компанії, що працюють у сфері фармакології за різного виду порушення:

• У 2020 році Естонський наглядовий орган наклав штрафи по 100 тисяч € на три аптеки за те, що на їх вебсайтах треті сторони могли отримувати доступ до рецептів на ліки інших суб’єктів без їх згоди.
• У 2022 році Німецький наглядовий орган оштрафував аптеку на 6,500 € за те, що паперові копії рецептів на ліки та документи з діагнозами пацієнтів, були викинуті у сміттєві контейнери, і могли бути доступними для інших людей.
• Британський регулятор у 2019 році (коли Велика Британія ще була частиною ЄС) наклав штраф у розмірі  £275,000 (який згодом було зменшено до £92,000) за те, що фармкомпанія залишила документи з рецептами на ліки та персональними даними клієнтів у незамкнених контейнерах у задній частині своїх приміщень.
• У 2021 році Румунський наглядовий орган оштрафував SC Nobiotic Pharma SRL на 2,000 € за ненадання відповідної інформації на запит наглядового органу.

Цікавим є також звіт від Usercentrics, де було проскановано 150 найпопулярніших сайтів фармкомпаній у ЄС, та виявлено, що майже 89% з них порушують GDPR, обробляючи дані про здоров’я клієнтів (щодо покупок лікарських засобів та фармацевтичних продуктів) без їх явної згоди. 

Отже, DPO — це спеціаліст з захисту персональних даних, який допомагає компаніям з відповідністю міжнародному законодавству у цій сфері. Зважаючи на те,  що фармакологія напряму пов’язана із даними про здоров’я та має певні особливості, призначення DPO забезпечує професійний підхід до захисту персональних даних клієнтів.

Читайте детальніше про послугу DPO as a service від Legal IT Group.