BREXIT - oczami ekspertów

Na rynku wyrobów medycznych, bez wątpienia sporo się dzieje. Długo wyczekiwane rozporządzenia Parlamentu Europejskiego i Rady (2017/745, 2017/746) narzucają wiele zmian i wymuszają częstokroć nowe podejście względem wyrobów medycznych i wyrobów do diagnostyki in vitro. Dla wielu producentów są to dość rewolucyjne zmiany, które dodatkowo przebiegają w atmosferze obaw jakie niesie ze sobą Brexit. Wstępnie zakładany okres przejściowy, trwający do końca grudnia 2020 roku, niestety jest coraz mniej prawdopodobny i realnym scenariuszem powoli staje się „no-deal” Brexit wyznaczony na 30 marca 2019 roku. Oczywiście, skutki głosowania Brytyjczyków za opuszczeniem Unii Europejskiej odczują nie tylko rezydenci wyspy, ale również m.in. producenci dostarczający swoje wyroby do Wielkiej Brytanii.

Z jakim scenariuszem zatem należy liczyć się w najbliższej przyszłości?
Sytuacja producentów wyrobów medycznych posiadających adres rejestrowy na terenie Wielkiej Brytanii

Po 29 marca 2019 roku Wielka Brytania stanie się państwem trzecim, traktowanym na równi z takimi krajami jak Stany Zjednoczone, Brazylia czy Chiny. Bez szczegółowych umów partnerskich, producenci wyrobów medycznych będą zmuszeni radzić sobie samodzielnie chcąc wprowadzać wyroby medyczne na rynek Unii. Certyfikaty CE wydane przez brytyjskie jednostki notyfikowane stracą ważność, zatem w przypadku planowanego wprowadzania brytyjskich wyrobów na rynek Unii koniecznością staje się migracja certyfikatów do ich europejskich odpowiedników np. BSI Group The Netherlands B.V. czy INTERTEK SEMKO AB. Inną alternatywą jest certyfikacja w niezależnej jednostce notyfikowanej posiadającej swoją siedzibę w UE.

Zgodnie z komunikatem Prezesa URPL wydanym w dniu 1 marca 2019 certyfikaty wydane przez brytyjskie jednostki notyfikowane, których notyfikację w zakresie dotyczącym tego certyfikatu cofnięto, pozostaje ważny przez okres dwunastu miesięcy od dnia cofnięcia notyfikacji, jeżeli inna odpowiednia jednostka notyfikowana potwierdzi na piśmie, że przejmie bezpośrednią odpowiedzialność za wyroby objęte zakresem certyfikatu zgodności i że w terminie dwunastu miesięcy od dnia cofnięcia notyfikacji ukończy certyfikację tych wyrobów. Należy jednak pamiętać o tym, że art. 34 ust. 5 ustawy o wyrobach medycznych, do której nawiązuje komunikat Prezesa URPL, jest regulacją wyłącznie krajową i nie stanowi transpozycji ww. dyrektyw, czego konsekwencją może być brak jego uznania w innych państwach członkowskich.

Utrata członkostwa Wielkiej Brytanii wiąże się nie tylko z koniecznością ubiegania o nowe certyfikaty, ale także z powołaniem autoryzowanego przedstawiciela mającego siedzibę na terenie jednego z państw członkowskich Unii. Brytyjscy producenci, z którymi miałam okazję rozmawiać, zgodnie potwierdzali swoje przygotowanie do tego kroku i zdecydowali się otworzyć oddział swojej firmy na terenie UE lub prowadzili zaawansowane rozmowy z podmiotami mającymi przyjąć rolę autoryzowanego przedstawiciela. Choć certyfikaty wydane przez brytyjskie jednostki notyfikowane stracą ważność na terenie UE, Wielka Brytania zamierza nadal przez określony czas uznawać oznakowanie CE na wyrobach medycznych. Podobnie wygląda sytuacja z wyrobami, których wytwórcy zdecydują się na migrację certyfikatu do unijnej jednostki notyfikowanej. MHRA (Medicines and Healthcare products Regulatory Agency) sprawująca nadzór nad brytyjskim rynkiem leków i wyrobów medycznych będzie akceptowała certyfikaty potwierdzające zgodność z Dyrektywami (MDD, IVD, AIMD) a wytwórcy będą mogli nadal umieszczać swoje urządzenia na rynku brytyjskim, ponieważ ich znak CE pozostaje ważny w UE.

Sytuacja producentów wyrobów medycznych posiadających adres rejestrowy na terenie Unii Europejskiej i certyfikat wydany przez unijną jednostkę notyfikowaną

Producenci posiadający siedzibę poza Wielką Brytanią (zarówno w UE, jak i poza UE ), muszą wyznaczyć osobę odpowiedzialną w Zjednoczonym Królestwie (UK REP), której adres rejestrowy znajduje się na terenie Wielkiej Brytanii. Rola i zadania UK REP są podobne do zadań europejskiego autoryzowanego przedstawiciela. Na razie nie jest wymagane oznaczanie UK REP na etykiecie urządzenia. Producenci z Wielkiej Brytanii lub ich UK REP muszą zarejestrować swoje urządzenia w MHRA. Ramy czasowe dla tej rejestracji wyglądają następująco:

• Do 4 miesięcy po Brexicie - dla urządzeń klasy III, implantowane urządzenia klasy IIb, aktywne urządzenia do implantacji i urządzenia IVD z listy A;
• Do 8 miesięcy o Brexicie - w przypadku wyrobów nieimplantowanych klasy llb, urządzeń klasy II, urządzeń IVD z listy B oraz samokontrolujących urządzeń IVD;
• Do 12 miesięcy po Brexicie - dla pozostałych urządzeń (klasa I i certyfikowane wyroby IVD).

Rejestracja może początkowo odbywać się na poziomie globalnego nazewnictwa urządzeń medycznych (GMDN), umożliwiając rejestrację grup produktów w jednym rekordzie (z wyjątkiem wyrobów klasy III). W chwili obecnej zastosowanie mają także MDR i IVDR. MHRA będzie odzwierciedlać Eudamed i będzie wymagać od producentów rejestracji w tej bazie danych. Nie jest jasne, czy będzie to proces w pełni zsynchronizowany z implementacją Eudamed. Proces przystosowania do nowej rzeczywistości z pewnością nie będzie łatwy. Należy bowiem pamiętać, że wszelkie komplikacje i opóźnienia w dostawach będą miały wpływ nie tylko na płynność procesów biznesowych, ale także na zdrowie i bezpieczeństwo pacjentów. Warto również zauważyć, że Brexit będzie miał istotny wpływ na zróżnicowane warianty dostarczania wyrobów spoza UE, certyfikowanych przez brytyjskie jednostki notyfikowane czy posiadających autoryzowanych przedstawicieli w Wielkiej Brytanii, którzy nie będą mogli pełnić tej roli dla rynku unijnego. Szczegółowy opis scenariuszy, pytań i odpowiedzi dotyczących wyrobów już wprowadzonych do obrotu oraz wprowadzanych po 29 marca 2019 roku na rynek UE został opublikowany 1 lutego 2019 roku przez Komisję Europejską.

Rozmawiałem jakiś czasu temu z klientem, który przygotowywał swój zakład produkcyjny do wdrożenia systemu zarządzania bezpieczeństwem żywności. Zastanawialiśmy się wspólnie, który spośród standardów rekomendowanych przed organizację GFSI (https://www.mygfsi.com/) byłby najlepszym wyborem.

W pewnym momencie klient zaczął kwestionować sens wdrażania BRC FOOD. Powodem wątpliwości był oczywiście BREXIT. Postanowiłem przyjrzeć się tematowi bliżej. Zacząłem szukać w Internecie oświadczeń, deklaracji, które poruszałyby tę kwestię.

Dominują komentarze, w których British Retail Consortium ostrzega przed pustymi półkami w angielskich sklepach. Sporo uwag dotyczy tego, że biznes nie może sobie pozwolić na niepewność, a taki właśnie stan wprowadza BREXIT do stosunków handlowych Anglii oraz Zjednoczonej Europy. Przeszukując internet znajdziemy również listy BRC do Premier Theresy May. Nigdzie nie znajdujemy informacji, że Brexit może spowodować utratę zaufania do rodziny standardów BRC. Co więcej, w wyszukiwarce „Google” słowo Brexit pojawia się w prawie każdej konfiguracji. Analizuje się wpływ wyjścia z Unii na NATO, funta, półki sklepowe, losy londyńskiego CITY, emigrację. Ani słowa o wpływie Brexitu na certyfikację.

Proponuję zatem przyjrzeć się kilku faktom oraz rozprawić się przy okazji z kilkoma mitami. Być może ułatwi nam to uniknięcie spekulacji w tym temacie.

British Retailer Consortium jest organizacją brytyjską. Powyższe zdanie celowo nawiązuje do słynnej frazy Julesa Micheleta, francuskiego historyka, który serię swoich wykładów o Wielkiej Brytanii rozpoczynał słowami: „Panie i Panowie, Anglia jest wyspą”. Wypowiedź Micheleta zwracała uwagę na niby bardzo oczywistą kwestię, ale zarazem mającą ogromne implikacje dla prowadzenia chociażby polityki międzynarodowej tego Państwa.

Wróćmy jednak do bezpieczeństwa żywności. British Retailer Consortium jest faktycznie – jak sama nazwa wskazuje – brytyjską organizacją, ale samo BRC nie jest standardem brytyjskim. Jeśli chodzi o zakres oddziaływania, jest to standard globalny. Błędem jest łączenie BRC tylko z Anglią, błędem jest utożsamianie rodziny standardów BRC z TESCO. Kolejnym błędem jest często spotykane stwierdzenie, że BRC nie ma przyszłości w naszym kraju, ponieważ pozycja TESCO w Polsce słabnie. Dość powiedzieć, że dzisiaj na całym świecie jest wystawionych ponad 20 000 certyfikatów BRC, z czego w Polsce mamy ok. 800 certyfikatów tylko w standardzie BRC FOOD. Standard ten doskonale integruje się z siostrzanym IFS FOOD, dzięki czemu wielu producentów przeprowadza łączone audyty na zgodność zarówno z IFS, jak i BRC. Organizacja ta ściśle współpracuje z amerykańską siecią COSTCO czy brytyjską ASDA. Certyfikaty BRC są rekomendowane przez organizację GFSI. Producenci, którzy stawiają sobie pytanie: „co, jeśli nie BRC”, nie mają zbytnio dużego wyboru. Pozostaje bardzo dobry standard IFS oraz FSSC, które nie zostało nawet oficjalnie przetłumaczone na język polski. Pracujemy w przypadku FSSC tylko na angielskich dokumentach, co może nie jest przeszkodą dyskwalifikującą ten standard, ale w wielu przypadkach nie zachęca do niego rodzimych producentów. Producenci opakowań również nie mają realnej alternatywy do BRC Packaging. Trudno za taką alternatywę uznać IFS PacSecure.

Warto zatem pamiętać, że mamy po pierwsze do czynienia ze standardem globalnym, a po drugie działalność naszych producentów już dawno przekroczyła granice kraju czy regionu.

W tym kontekście nie należy spodziewać się szczególnie dużego wpływu Brexitu na losy organizacji BRC czy ilość wystawionych przez nią certyfikatów w naszym kraju.

Zaryzykowałbym stwierdzenie, że obecnie największe zagrożenie dla BRC stanowi nie Brexit, ale kolejna podwyżka opłaty za każdą certyfikowaną lokalizację. Wkrótce firma certyfikująca dwie lokalizacje będzie płaciła przynajmniej 1000 funtów rocznie. Nie jest to może duża kwota w odniesieniu do przychodu firm. Niemniej jednak zawsze pojawia się pytanie, gdzie jest granica cierpliwości rodzimych producentów.

Alternatywy

Zastanawiając się nad wpływem Brexitu na warunki przetwarzania danych osobowych w relacjach Europejski Obszar Gospodarczy – Zjednoczone Królestwo, mamy do wyboru dwie alternatywy: wyjście Wielkiej Brytanii z Unii z porozumieniem lub bez: tzw. twardy Brexit. W pierwszym przypadku transfer danych będzie częścią porozumienia i będzie opierał się na ułatwionych zasadach, co raczej nie powinno dziwić, gdyż brytyjski standard ochrony danych osobowych jest już teraz spójny z RODO, a zgodna z RODO brytyjska ustawa Data Protection Act z 2018 roku pozostanie obowiązującym aktem prawnym.

Państwo trzecie

W drugim przypadku tzw. no-deal Brexit Wielka Brytania od 30 marca 2019 stanie się państwem trzecim w rozumieniu Rozporządzenia Ogólnego (RODO). Ponieważ czasu pozostało niewiele, w celu zachowania legalności przekazywania danych osobowych z Unii do Zjednoczonego Królestwa, warto być gotowym na dzień 30 marca 2019 z wdrożonymi rozwiązaniami, na wypadek twardego Brexitu. Pomimo deklaracji rządu brytyjskiego, że nie widzi przeszkód w przepływie danych z Wielkiej Brytanii do Unii , od 30 marca 2019 przekazywanie danych osobowych w drugą stronę – z Unii do Wielkiej Brytanii będzie możliwe tylko w sytuacji, gdy administrator i podmiot przetwarzający spełnią wymagania zawarte w rozdziale V RODO Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych.

Celem tych wymagań jest zapewnienie, że przy przekazywaniu danych poza EOG, nie zostanie obniżony standard ochrony danych określony przez RODO. Wymagania te, zawarte w art. 46 RODO, w skrócie obejmują:

1. Odpowiedni stopień ochrony stwierdzony przez Komisję w formie decyzji w sprawie adekwatności - w chwili obecnej takie decyzje obejmują: Andorę, Argentynę, Izrael, Wyspę Man, Szwajcarię, Kanadę (z ograniczeniami), Jersey, Guernsey, Nową Zelandię, Stany Zjednoczone (w ramach Privacy Shield), Urugwaj, Wyspy Faro, Japonię – decyzja z 23 stycznia 2019 – pierwsza „po rządami” RODO. Rozmowy ten temat prowadzone są z Koreą Południową, jednak działania wobec Zjednoczonego Królestwa nie mogą rozpocząć się formalnie zanim nie stanie się ono państwem trzecim, w takim razie, wobec braku takiej decyzji w stosunku do Wielkiej Brytanii na dzień 30 marca 2019, pozostają kolejne rozwiązania;
2. Standardowe klauzule ochrony danych, przyjęte przez Komisję lub przez organ nadzorczy i zatwierdzone przez Komisję. Gotowe do użycia klauzule przyjęte m.in. w: decyzji komisji z dnia 27 grudnia 2004 - administrator z EOG i administrator z państwa trzeciego czy w Decyzji Komisji z dnia 5 lutego 2010 r – administrator z EOG i podmiot przetwarzający z państwa trzeciego – dostępne są na stronach komisji . Klauzule mogą być przyjmowane bez zmian, a ze względu na krótki czas, jaki pozostał do 30 marca, mogą być stosowane wg EROD jak gotowe do użycia narzędzia. Pamiętajmy, że są to rozwiązania szablonowe i schematyczne i prawdopodobnie nie uwzględniają wielu możliwych ewentualności i okoliczności związanych z przetwarzaniem i transferem, a zmiany w treści standardowych klauzul wymagają zatwierdzenia przez organ nadzorczy.
3. Siążące reguły korporacyjne, o których mówi artykuł 47 RODO – czyli zasady obejmujące zgodnie z Art. 4 ust.20 „polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą”. Wiążące reguły korporacyjne, które zostały przyjęte na podstawie wcześniej obowiązującej dyrektywy dalej mogą obowiązywać, należy je jednak zaktualizować. W przypadku braku takiego narzędzia do tej pory, należy pamiętać, że zgodnie z art. 56 ustawy o ochronie danych osobowych to organ nadzorczy, czyli w przypadku polski PUODO w drodze decyzji zatwierdza wiążące reguły korporacyjne.
4. Zatwierdzone kodeksy postępowania „wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą” oraz zatwierdzone mechanizmy certyfikacji „wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą”: są to nowe mechanizmy i wymagają jeszcze doprecyzowania w zakresie stosowania. 
   
   RODO w swojej nazwie mówi zarówno o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych, jak i o swobodnym przepływie tych danych, dlatego też przewidziano:
   
   
   
5. Wyjątki w szczególnych sytuacjach – jak sama nazwa wskazuje, artykuł 49 RODO, został przewidziany do stosowania w wyjątkowych sytuacjach, kiedy nie można wykorzystać żadnego z wcześniej wskazanych rozwiązań. Artykuł ten przewiduje możliwość przekazywania danych do państw trzecich bez zachowania zasady odpowiedniego stopnia bezpieczeństwa, określając, że jednorazowy lub wielokrotny transfer danych osobowych do państwa trzeciego może nastąpić pod warunkiem, że:
   1. osoba, której dane dotyczą, została poinformowana o ewentualnym ryzyku, z jakim może się dla niej wiązać przekazanie i udzieliła wyraźnej zgody;
   2. przekazanie jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem lub do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą;
   3. przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;
   4. przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;
   5. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
   6. transfer następuje z rejestru publicznego

Podsumowując:

W pierwszym kroku do osiągnięcia zgodności transferu danych osobowych do Wielkiej Brytanii, należy zinwentaryzować swoje procesy biznesowe pod kątem identyfikacji tych procesów i czynności przetwarzania, które obejmują transfer danych osobowych. Następnym działaniem powinien być wybór i wdrożenie właściwego instrumentu zabezpieczającego z zakresu wymienionego w art. 46 RODO (opisane powyżej w tekście). W następnej kolejności pozostaje już tylko zaktualizowanie dokumentacji d wymagań RODO np.: polityki, klauzule informacyjne, rejestr czynności i rejestr kategorii czynności oraz inne dokumenty, które będą wymagały dostosowania i aktualizacji. Ostatnim krokiem będzie zapewnienie wdrożenia odpowiednich instrumentów do stosowania od 30 marca 2019. Jak widać – proces nie jest przesadnie trudny, wymaga jednak