W zgłoszeniu działań niepożądanych leku przekazywane są dane osobowe osoby zgłaszającej, w tym w szczególności jej imię i nazwisko. W przypadku, gdy zgłoszenie nie jest dokonywane przez samego pacjenta (a np. przez lekarza lub rodzica małoletniego pacjenta), dodatkowo zgłoszeniu może obejmować dane osobowe pacjenta. Przede wszystkim będą to dane dotyczące stanu zdrowia, ale także dane dotyczące pochodzenia etnicznego, religii, czy życia seksualnego (tzw. „dane wrażliwe).

Co istotne, zarówno w obecnym stanie prawnym, jak i w przepisach nowego unijnego rozporządzenia o ochronie danych osobowych („GDPR”), samo zbieranie tych danych osobowych, jak i ich późniejsze przetwarzanie nie wymaga udzielania przez zgłaszającego (pacjenta) zgody na ich przetwarzanie. Obowiązek bowiem zbierania i odpowiedniego przetwarzania danych osobowych osób zgłaszających działanie niepożądane leku (i pacjentów) ciąży na firmie farmaceutycznej na podstawie przepisów Prawa farmaceutycznego (art. 36e Prawa farmaceutycznego). Stanowi to wyjątek od ogólnej zasady nakazującej uzyskiwać zgodę osoby, której dane dotyczą, na ich przetwarzanie.

Biorąc pod uwagę, iż dane osobowe zgłaszającego działanie niepożądane leku (pacjenta) są przetwarzane przez firmę farmaceutyczną bez potrzeby uzyskiwania jego zgody, uznać należy, iż osoba ta nie może żądać od firmy farmaceutycznej usunięcia jej danych osobowych, w zakresie w jakim służą one sprawowaniu przez firmę farmaceutyczną nadzoru nad bezpieczeństwem stosowania leku. W tym przypadku „prawo do bycia zapomnianym” ulega ograniczeniu. Przyjąć należy, że podobnemu ograniczeniu podlega prawo tych osób do wniesienia sprzeciwu wobec przetwarzania przez firmę farmaceutyczną ich danych osobowych, w związku ze sprawowanym przez nią nadzorem nad bezpieczeństwem farmakoterapii.
 

Firma farmaceutyczna pozyskując wraz ze zgłoszeniami działań niepożądanych leku dane osobowe zgłaszającego (pacjenta) jest zobowiązana poinformować go m.in. o swoich danych kontaktowych, celu i podstawie przetwarzania danych osobowych. Nowe przepisy wynikające z GDPR rozszerzają ten obowiązek również na informacje m.in. o zamiarze przekazania danych osobowych do państw trzecich (poza Unię Europejską), a także okresie ich przechowywania. Niezbędna, zatem okazać się może odpowiednia zmiana informacji kierowanej przez firmy farmaceutyczne do osób zgłaszających działania niepożądane (pacjentów), w tym w szczególności przyjęta polityka ochrony prywatności.
Informacja powinna zostać przygotowana oddzielnie dla zgłaszającego i pacjenta, uwzględniając sytuacje, gdy zgłoszenie działań niepożądanych leku dokonywane jest przez osobę inną niż sam pacjent.
 

Przekazywanie danych osobowych ujawnianych w zgłoszeniach działań niepożądanych pomiędzy różnymi firmami wymaga zapewnienia należytych podstaw prawnych dla podejmowania tych czynności. Przepisy GDPR nakładają nowe obowiązki na podmioty przetwarzające dane osobowe w imieniu administratora (firmy farmaceutycznej), w tym w szczególności obowiązek zachowania tajemnicy przez ich personel, jak i obowiązek prowadzenia rejestru kategorii czynności przetwarzania danych osobowych. Zapewnienie zgodności działań podejmowanych w tym zakresie z nowymi przepisami, wymagać może wprowadzenia odpowiednich zmian w umowach zawieranych przez firmy farmaceutyczne z ich kontrahentami oraz podmiotami powiązanymi.

Nowe przepisy przewidują również sytuacje, w których więcej niż jeden podmiot decyduje o przetwarzaniu danych osobowych (tzw. „współadministratorzy”), wymagając w takim wypadku wzajemnego uzgodnienia zasad realizacji spoczywających na nich obowiązków. Szczególne regulacje znajdą również zastosowanie w stosunku do podmiotów przetwarzających dane osobowe w grupie przedsiębiorstw, w tym powiązanych ze sobą firm mających swoje siedziby w Unii Europejskiej, jak i poza nią.

W przypadku przekazywania danych osobowych do podmiotów z państw spoza Unii Europejskiej, podobnie jak obecnie, niezbędne jest zapewnienie właściwych warunków ich przetwarzania w tych państwach. GDPR dopuszcza w takiej sytuacji przyjęcie przez firmy ze sobą powiązane wiążących reguł korporacyjnych, które zabezpieczą właściwe przetwarzanie przez nie danych osobowych. Reguły korporacyjne, aby mogły być stosowane, muszą zostać zatwierdzone przez organ nadzoru, którym w Polsce ma zostać Prezes Urzędu Ochrony Danych Osobowych (ma on zastąpić Generalnego Inspektora Ochrony Danych Osobowych).