Zapowiedź wejścia w życie 25 maja 2018 r. unijnego rozporządzenia o ochronie danych osobowych, zwanego RODO, wywołała szereg pytań i obaw, z których część towarzyszy nam do dziś. Ponad trzy lata, które upłynęły od maja 2018 r. do dziś, pozwoliły jednak wypracować – zarówno na gruncie europejskim, jak i krajowym – szereg przydatnych wytycznych i procedur, dzięki którym urzędnicy i przedsiębiorcy nauczyli się już funkcjonować w nowej rzeczywistości prawnej. Tymczasem 26 maja 2021 r. – rok później, niż pierwotnie zakładano – zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/745 z dnia 5 kwietnia 2017 r. w sprawie wyrobów medycznych, zmiany dyrektywy 2001/83/WE, rozporządzenia (WE) nr 178/2002 i rozporządzenia (WE) nr 1223/2009 oraz uchylenia dyrektyw Rady 90/385/EWG i 93/42/EWG, zwane w skrócie rozporządzeniem MDR (MDR – Medical Device Regulation). Przy tej okazji naturalne wydaje się więc pytanie: czy wdrażanie rozporządzenia MDR będzie wymagało porównywalnych nakładów jak implementacja RODO? Żeby na nie odpowiedzieć, musimy wpierw ustalić, jakie są podobieństwa między omawianymi aktami prawnymi. Zanim to jednak nastąpi, zwróćmy uwagę za zakres stosowania obu rozporządzeń.
RODO, mówiąc w uproszczeniu, określa zasady przetwarzania danych osobowych na terenie Unii Europejskiej w związku z oferowaniem osobom fizycznym towarów i usług bądź monitorowaniem zachowania tych osób. Z kolei rozporządzenie MDR odnosi się z jednej strony do wprowadzania do obrotu, udostępniania na rynku lub wprowadzania do używania w Unii wyrobów medycznych stosowanych u ludzi oraz wyposażenia takich wyrobów, a z drugiej – do prowadzonych w Unii badań klinicznych dotyczących takich wyrobów medycznych i wyposażenia. Jego zakres stosowania jest więc węższy, ale poza tym oba akty są do siebie pod wieloma względami podobne:
| RODO | Rozporządzenie MDR |
| Określa obowiązki administratora danych osobowych i podmiotu przetwarzającego | Określa obowiązki producenta, upoważnionego przedstawiciela, importera i dystrybutora |
| W niektórych wypadkach wymaga powołania inspektora ochrony danych | Od producentów niebędących mikroprzedsiębiorstwami i małymi przedsiębiorstwami wymaga powołania w ich organizacjach osoby odpowiedzialnej za zgodność regulacyjną (pozostali producenci muszą mieć możliwość skorzystania z usług takiej osoby) |
| W niektórych wypadkach wymaga przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych | Wymaga przeprowadzenia oceny zgodności przed wprowadzeniem produktu do obrotu |
| Kładzie nacisk na przejrzyste informowanie osób, których dane dotyczą, o przysługujących im prawach i okolicznościach towarzyszących przetwarzaniu ich danych | Zakazuje wprowadzania konsumentów w błąd co do przewidzianego zastosowania, bezpieczeństwa i działania wyrobu |
| Wymaga, by komunikaty kierowane do osób, których dane dotyczą, były zrozumiałe (prosty język) | Wymaga, by instrukcja używania wyrobu została sporządzona w sposób, który gwarantuje, że będzie z łatwością zrozumiana przez przewidzianego użytkownika |
| Nakłada na administratorów i podmioty przetwarzające obowiązek zgłaszania przypadków naruszeń ochrony danych osobowych (administrator zgłasza incydent organowi nadzorczemu, a podmiot przetwarzający – administratorowi) | Nakłada na producentów obowiązek zgłaszania stwierdzonych poważnych skutków ubocznych stosowania wyrobu |
| Wymaga od administratorów prowadzenia rejestru naruszeń, w którym odnotowuje się wszelkie stwierdzone naruszenia ochrony danych osobowych oraz opisuje okoliczności naruszenia, jego skutki i podjęte działania zaradcze | W razie wystąpienia poważnego incydentu wymaga od producenta przeprowadzenia postępowania wyjaśniającego, które obejmuje ocenę ryzyka związanego z incydentem oraz zewnętrzne działania korygujące dotyczące bezpieczeństwa |
| Obliguje administratorów do stworzenia takich procedur, które zagwarantują, że dane osobowe będą przetwarzane zgodnie z zasadami RODO (zasada rozliczalności) | Obliguje producentów do stworzenia, wdrożenia i aktualizowania – w odniesieniu do każdego produktu wprowadzonego do obrotu – systemu nadzoru, będącego częścią systemu zarządzania jakością |
Analiza powyższego zestawienia prowadzi do wniosku, że oba akty prawne przewidują podobne mechanizmy, co oznacza, że implementacja rozporządzenia MDR w organizacjach będzie się odbywać w podobnym trybie jak wprowadzanie regulacji RODO. Samo wdrożenie omawianych rozporządzeń wymaga najczęściej wsparcia ze strony specjalistów zajmujących się określoną dziedziną prawa. Z kolei wdrożone w organizacji proaktywne i prewencyjne mechanizmy wprowadzane tymi regulacjami powinny być gwarancją zachowania zgodności zarówno działań wewnętrznych, jak i współpracy z podmiotami zewnętrznymi.
Joanna Czarnecka
