Что необходимо знать о GDPR в 2019 / Хабр

На чтение 32 мин. Опубликовано
Содержание
  1. Основные модули gdp
  2. Что необходимо знать о gdpr в 2021
  3. 2 — создание формы для запросов на выгрузку данных
  4. E-mail рассылки и gdpr
  5. Gdpr и фз «о персональных данных». сходства и различия
  6. Валидация и квалификация аптечного склада
  7. Внедрение gdp от лидирующей консалтинговой компании
  8. Документация по валидации
  9. Задачи для дистрибьютора при сертификации
  10. На какие страны распространяется gdpr
  11. Нормативная база
  12. Предпосылки к появлению gdpr
  13. Разработка соп

Основные модули gdp

Семинар открыла Светлана Фицнер, рассказав об основных модулях GDP. Она отметила, что сертификация по GDP является добровольной инициативой дистрибьютора на пути к полному соответствию действующим Лицензионным условиям, гармонизированным с международными практиками.

Это в первую очередь подтверждение соблюдения всех законодательных актов по осуществлению оптовой торговли, правильности и эффективности функционирования системы качества дистрибьютора, правильной организации производственных процессов, надлежащей организации их документирования, а также доказательство обеспечения надлежащего качества препаратов на этапе дистрибьюции: от их получения до доставки конечному потребителю.

Сегодня является основным документом, определяющим алгоритм проведения такой сертификации. Согласно этому нормативно-правовому акту критериями сертификации на соответствие требованиям GDP является возможность предприятия:

Процедура сертификации включает такие этапы:

  • подача владельцем лицензии на заявления в Государственную службу Украины по лекарственным средствам (далее — Гослекслужба Украины);
  • подготовка к инспекции;
  • проведение инспекции;
  • составление отчета об инспекции;
  • принятие решения относительно выдачи сертификата;
  • оформление и выдача сертификата.

По мнению докладчицы, в случае принятия решения о подаче заявления на сертификацию целесообразно провести аудит с участием специалистов независимой аудиторской компанией — предаудит. При этом составляется программа аудита с определением его объектов и направлений, а сам аудит занимает не менее недели.

С. Фицнер обратила внимание слушателей на то, что при сертификации объектами инспектирования являются: система качества и документация системы качества; персонал; помещения и оборудование; поставки продукции, возвраты; проведение самоинспекций; соблюдение национального законодательства. Также во время такой проверки производится отбор образцов фармацевтической продукции для лабораторного контроля.

Что необходимо знать о gdpr в 2021

Сегодня поговорим о “великом и ужасном” GDPR (General Data Protection Regulation) или Общем регламенте по защите персональных данных. Не смотря на то, что закон был принят еще в мае 2021 года, многие компании до сих пор не выполняют всех его требований.

Что необходимо знать о GDPR в 2019 / Хабр

Мы встретились с нашим DPO (Data Protection Officer), чтобы он простым языком рассказал что такое GDPR, а также что и как должны выполнить компании во избежании крупных штрафов.
В статье присутствуют сноски, цитирующие основные определения закона.

— Что такое GDPR?

— GDPR — это международный закон ¹, распространяющийся на весь мир, хоть и был принят в ЕС. Это закон обеспечивающий защиту прав пользователей в интернете, регулирующий, в частности, передачу, обработку, хранение персональных данных каждого человека, который находится на территории ЕС, либо является гражданином ЕС.

¹ “This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not”.

— Даже если он пользуется услугами/сайтами компаний не входящих в состав ЕС?

— Да, международный статус позволяет распространять действие закона не только на территории ЕС. Если кто-то использует ресурсы доступные ему с территории ЕС или является гражданином ЕС, но находится на территории других государств он все равно попадает под действие этого закона.

— С чем было связано его принятие ?

— Принятию GDPR предшествовало много случаев злоупотребления данными, в том числе личными. Маркетологи стали “терроризировать” людей исследованиями различного рода. Стали изучать поведение и привычки человека и использовать эти знания, таким образом, делая его более беззащитным. Когда человек совершал какие-то действия на сайте, рекомендательные системы, например, провоцировали его на определенное поведение.

Facebook, в какой-то момент и вовсе стал легально продавать данные пользователей для исследований. Плюс ко всему, под защиту попали все биометрические данные, и это очень важно т.к. в ЕС введены электронные паспорта.

Что необходимо знать о GDPR в 2019 / Хабр

— Что делать компаниям из стран не входящих в ЕС для того, чтобы соответствовать требованиям этого закона?

— Необходимо соблюдать правила, которые определяет этот закон. В первую очередь, нужно уведомить пользователей о сборе информации. Это первое, с чем сталкивается посетитель ресурса. Компания должна абсолютно четко и доступно (в том числе и через дизайнерские решения) донести до пользователя чего от него хотят, какие его данные собирают, и зачем им это нужно. Если, к примеру, собираются параметры веса, то необходимо указать для чего они будут использоваться (если их реальная цель предложить препарат для похудения, так и должно быть написано).

— Данные необходимо хранить в обезличенном виде?

— Закон обязывает обезличивать данные и хранить их в разных местах. Но дело в том, что здесь две главные роли — процессор ² и контроллер ³.

Контроллер — тот, кто собирает и использует эти данные, его обязывают хранить их обезличенно и в разных местах, чтобы например злоумышленники, получив доступ к какой-то базе данных не имели возможности сопоставить эти данные с реальным человеком. Например ваши данные ФИО, адрес, номер банковской карты, рост, вес, семейное положение и т.д. Каждый пункт должен храниться в разных базах данных. В одной имя, во второй семейное положение, в третьей адрес и т.д.

Но у каждой компании есть алгоритмы которые позволяют связывать это все и использовать в своих целях. Таким образом, обеспечение хранения данных — это одно. А вот процессинг ⁴ это уже совсем другое. Там должны быть протоколы доступа к данным. Если их нет, в случае утечки это будет выяснено комиссией, и если у вас не было протоколов, комиссия решит, что храните вы хорошо, а обрабатываете не очень, и примут меры.

² “‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller”;

³ “‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law”;

⁴ “‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction”.

Что необходимо знать о GDPR в 2019 / Хабр

— Как организуется процесс перевода уже действующего сайта/бизнеса к соответствию требованиям данного закона?

— В первую очередь нужно проанализировать в каком состоянии находится сбор и обработка данных в текущий момент. Соответственно, если на текущий момент используется только один сервер, нужно разделить на несколько, чтобы невозможно было взломать все базы данных из одного источника. Защита должна стоять на входе информации, а сервер постоянно мониторится антивирусом. Желательно обеспечить вторым каналом интернет, чтобы в случае утечки по какому-либо из каналов отключить его, и произвести работы по устранению всех неполадок по другому каналу. Доступ должен осуществляться только через защищенное VPN соединение. Сейчас все основные браузеры пишут предупреждения при попытке захода на страницы без https.
Если используется https, все хорошо. К слову, Google, который длительное время игнорировал некоторые требования данного закона, учитывает наличие ssl сертификата как один из факторов ранжирования в поиске.

— Чем грозит несоблюдение требований данного закона?

— Если мы говорим о резиденте ЕС, то конечно это будут штрафные санкции, предписания, которые будут выдавать контролирующие органы после проведенного анализа и расследования. В принципе, на макроуровне это все регулируется высоким штрафом в размере 20 млн. евро, либо 4% от годового оборота. Европейский суд, который будет рассматривать дело, скорее предпочтет 4% от оборота, а не 20 млн. евро.

Что необходимо знать о GDPR в 2019 / Хабр

Но это максимум. Прошел год с момента вступления закона в силу, и уже были практические кейсы. В случаях когда утечка была минимальной и никто не пострадал, злоумышленников поймали и компании было просто вынесено предупреждение. Если же по халатности что-то не было сделано, давали штраф, от пары до сотен тысяч евро. На сегодняшний день, самый крупный штраф был выписан Google в размере 50 млн евро за продолжительное игнорирование некоторых требований закона. Особенно жестоко наказывают за потерю биометрических данных, например медицинские учреждения, об этом предупреждали сразу.

— Кто обязан соблюдать данный закон, а на кого действие не распространяется?

— Тот кто не хранит персональные данные ⁵ — те данные которые позволяют идентифицировать человека, либо определить его местоположение, например ip сюда тоже входит, но в данный момент комиссия не рассматривает ip как персональные данные. Имя и номер телефона являются персональными данными, если собираются с намерением не только связаться с человеком, но и использовать их как-то иначе. Если только для связи — данные не имеют силы и ограничений по срокам хранения т.к. эти цели не предполагают продажу товаров или прогнозирование поведения пользователя.

Про сертификаты:  Первый украинский производитель фургонов получил европейский сертификат ATP – Новости Центр – АТИ: Система грузоперевозок

Еще стоит помнить, что почта, логин или пароль, в отдельности, не являются личными данными. Только конкретно те параметры, которые позволяют персонализировать человека или определить где он, например ip mac адреса.

В постсоветском пространстве мы привыкли к тому, что “если не разрешено — значит запрещено”, в либеральных странах наоборот “что не запрещено — разрешено”. Это две совершенно разные парадигмы, и отношения к закону. И, соответственно, здесь действует презумпция невиновности — пока не доказали, ты не виновен.

⁵ “ ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person”;

— Сейчас на рассмотрение комиссии вынесен еще один закон о защите персональных данных, закон о cookies, расскажи поподробнее об этом.

— Это как раз к вопросу об ip адресах. Через ip можно определить где человек, всю конфигурацию оборудования. Но при этом надо как-то соблюдать данный закон. Сейчас ip вынесли за рамки этого закона. Но не оставляют, вопрос остается открытым, поскольку это все же требует регулирования. Уже было две его редакции, скоро будет третья. Их использование здорово подрежут. Великобритания уже начала движение в этом направлении.

Что необходимо знать о GDPR в 2019 / Хабр

Если закон примут в текущей версии, Google и ей подобные компании просто не смогут работать в ЕС. Сейчас все лоббируют смягчение этого закона. Но стоит отдать должное ЕС, они относятся с большим вниманием к людям, своим гражданам и резидентам, и они продвигают этот закон в пользу людей. Пока закон не принят, и даже не находится в последней фазе чтения. Но руководствуясь практикой, если даже его примут в 2021 году, 1-2 года обычно дается на приведение всех дел в порядок.

Сейчас весь вопрос состоит только в том, насколько глубоко компаниям позволят проникать в личную жизнь людей.

— Какой состав команды требуется для внедрения мер по соответствию сайта требованиям данного закона?

— Обычно это подразумевает частичную занятость, в редких случаях необходимо привлекать всю команду на полную ставку. Аналитик будет проводить аудит текущего положения дел в компании, а также генерировать спецификации для исполнения. Системный администратор или DevOps который будут отвечать за железо, каналы связи и другое, а программист, займется доработкой сайта.

— Что станет результатом работы команды и компании клиента?

— В первую очередь, будет изменена работа с персональными данными (процессинг): сбор, обработка, хранение будут приведены в соответствие с законом. С большой долей вероятности, в компании клиента появится новая должность — Data Protection Officer (DPO). Будет произведена работа над сайтом компании и документацией доступной пользователям (Положение о безопасности, Политика конфиденциальности, Политика обработки Cookie и т.д.). Появятся внутренние протоколы доступа и обработки персональных данных пользователей.

Узнать больше о GDPR можно перейдя по ссылке: https://www.gdpreu.org/ (ресурс доступен только на английском языке).

2 — создание формы для запросов на выгрузку данных


В соответствии с новым генеральным регламентом о защите персональных данных у пользователей есть так называемое

право на доступ

Право на доступ является краеугольным камнем системы защиты данных. Используя право, пользователи могут получить представление о том, как и для каких целей данные о них хранятся и куда передаются.

Итак, каждый пользователь имеет право получить копию своих данных и получить дополнительную информацию.

На практике right to access означает то, что пользователям предоставляется право на получение следующих данных:

  • Копии всех необработанных данных о пользователе, так называемых raw data, которыми компания располагает;
  • Дополнительная информация об источниках данных;
  • Дополнительная информация о получателях данных. К примеру, какие системы аналитики получают данные;
  • Информация о целях, для которых обрабатываются данные;
  • Информация о странах, в которых хранятся данные;
  • Информация о том, как долго данные хранятся.


Право на доступ закреплено в статье 15. Статья называется

Right of access by the data subject

Для реализации данного права на сайте следует создать форму для запросов подобной информации.

На практике многие сервисы настраивают автоматизированные системы, которые позволяют пользователю по запросу выгрузить все данные из кабинета на сайте.

Если в реализации подобное решение является дорогим, то следует создать хотя бы форму обратной связи для запросов подобной информации от пользователей.

После получения запроса на выгрузку данных, предоставление требуемых данных можно затянуть. Максимальный срок для ответа составляет 30 дней.

В ответ на запрос от пользователя следует предоставить по меньшей мере необработанные данные, в так называемом raw data формате. В ответе следует также указать:

  • Источники, используемые для сбора данных;
  • Получателей данных;
  • Как долго данные фактически хранятся, срок хранения.

Если создание формы обратной связи является сложной задачей, то в политике конфиденциальности следует прописать контактный e-mail для запросов по теме выгрузки данных.

E-mail рассылки и gdpr


В части рассылок по e-mail следует сделать следующее. Если на сайте происходит подписка на разные рассылки, то следует добавить форму с полями для подтверждения согласия

на каждую из подписок с не проставленными метками

Пользователь должен поставить отметку на форме, которой подтверждает, что со всеми условиями ознакомлен и согласен на получение писем. Запрещается делать отметку активной по умолчанию.

Не забудьте предупредить пользователя, если на проекте собираются данные о рассылке, к примеру отслеживается открытие писем. Аналогично, требуется получить разрешение, если в целях аналитики проводится отслеживания переходов по ссылкам.

Для удобства весь список запросов на разрешение можно разместить на странице настройки подписки.

В случае возникновения претензий, следует быть готовым предъявить доказуемое согласие. Механизм документирования и хранения данных в регламенте не расписан.

Как быть с текущей базой? Если на проекте есть подписчики, которые не подтвердили согласие на получение e-mail рассылок, то следует отписать пользователей и отправить запрос на подтверждение подписки через сайт. К примеру, используя pop-up.

В тексте постановления требуется получить согласие от пользователя на рассылку и не требуется упоминать названия любых постановлений.

Значит, заголовок pop-up формы активации может называться, к примеру, “Оставайтесь на связи”.

Пример текста следующий:

Мы ценим каждого нашего клиента и подписчика, поэтому хотели бы убедиться, что адрес, на который отправляем вам письма, по-прежнему актуален.

Если вы следите за нашими новостями, вам интересна информация о наших акциях, скидках и специальных предложениях, пожалуйста подтвердите свой адрес.


Названия для кнопки —

Подтвердить адрес

Как результат, соблюдение правил повысит качество базы для рассылок:

  • Сократятся затраты на рассылку незаинтересованным подписчикам;
  • Будет меньше отписок;
  • Станет меньше жалоб на спам.

Есть способ схитрить и увеличить количество подписок. Пользователи не любят рассматривать условия и правила, а также делать выбор. Поэтому можно создать блок с текстом “Отказ от получения рассылки” и поставить не проставленную отметку. Если пользователь не проставил галочку, значит согласился на рассылку.

Gdpr и фз «о персональных данных». сходства и различия

Согласно статье 3 российского Федерального закона «О персональных данных», персональные данные — это любая информация, прямо или косвенно позволяющая определить физическое лицо. В GDРR имеется аналогичное определение, но вместо слова «определить» в нем используется «идентифицировать».

В европейском законе более подробно описывается информация, относящаяся к персональным данным:

  • имя;
  • идентификационный номер;
  • данные о местоположении;
  • онлайн-идентификатор;
  • комбинация идентификаторов/показателей. К онлайн-идентификаторами относятся IP-адреса, файлы cookie и т.п.

В российском ФЗ содержится понятие «обезличенных данных». Это анонимизированные персональные данные. Их гражданско-правовой оборот допускается для коммерческих целей и продажи третьим лицам. В законе прописано, что при статистических, исследовательских и аналитических целях согласие субъекта на их обработку не требуется.

Понятие согласия возникает при обработке персональных данных, несовместимой с целями их сбора. Однако и в этом случае обработка информации без согласия субъекта допускается при его участии в судопроизводстве, для исполнения полномочий власти, исполнения договора, для защиты жизни, здоровья или иных жизненно важных интересов субъекта, прав и законных интересов оператора или третьих лиц.

И российский ФЗ, и GDPR описывают согласие субъекта на обработку его данных. В обоих случаях документы подчеркивают принципы конкретности, информированности и сознательности. Но GDPR обязывает, чтобы согласие было вынесено отдельно от других условий и соглашений и включало все цели обработки.

Валидация и квалификация аптечного склада

Второй блок семинара, посвященный валидации аптечного склада, провел Артем Макогон, начав свое выступление с рассмотрения понятия «валидация». Согласно Руководству по GMP ЕС, это действия, которые в соответствии с принципами GMP доказывают, что определенная методика, процесс, оборудование, сырье, деятельность или система действительно приводят к ожидаемым результатам. Существуют такие виды валидации: перспективная; сопутствующая; ретроспективная; повторная.

Частными случаями валидации, определение которых приводится в Руководстве по GMP ЕС, являются:

  • квалификация — действия, подтверждающие, что конкретное оборудование работает правильно и действительно приводит к ожидаемым результатам;
  • валидация методик — документальное подтверждение того, что утвержденная методика контроля пригодна для применения при производстве и контроле качества лекарственных средств;
  • валидация очистки — документальное подтверждение того, что утвержденная процедура очистки обеспечивает такой уровень чистоты оборудования, который необходим для производства лекарственных средств;
  • валидация процесса — документальное подтверждение того, что процесс, выполняемый в рамках установленных параметров, протекает эффективно и с воспроизводимыми параметрами, в ходе которого производится лекарственное средство, удовлетворяющее всем заданным требованиям к его качеству.
Про сертификаты:  Подарочная карта Рив Гош

Что касается квалификации, докладчик подробно рассмотрел такие ее виды:

  • квалификация проекта (design qualification — DQ) — документальное подтверждение того, что проект (склада, помещения, камеры и т.д.) выполнен в соответствии с заданием на проектирование, требованиями надлежащих практик и их предполагаемым использованием;
  • квалификация монтажа (installation qualification — IQ) — документальное подтверждение того, что монтаж помещений, систем и оборудования (установленных или измененных) выполнен в соответствии с проектом и другой технической документацией;
  • квалификация функционирования (operational qualification — OQ) — документальное подтверждение того, что помещения, системы и оборудование (установленные или измененные) функционируют в соответствии с предъявляемыми требованиями во всех режимах работы;
  • квалификация эксплуатации (performance qualification — PQ) — документальное подтверждение того, что помещения, системы и оборудование в комплексе работают эффективно и с воспроизводимыми показателями в соответствии с промышленным регламентом, технологическими инструкциями и спецификацией на продукт.

Внедрение gdp от лидирующей консалтинговой компании

Какие действия необходимо предпринять, чтобы пройти сертификацию на соответствие требованиям GDP? Сертификация по GDP проводится независимыми органами по сертификации после того, как система полностью разработана и внедрена. Порядок и этапы сертификации необходимо уточнять у конкретного органа, с которым Вы планируете работать.

Что предлагает ИнтерКонсалт:

  1. внедрение стандарта GDP с последующим сопровождением при сертификации;
  2. проведение предварительного аудита с подробным отчетом (в случае самостоятельного внедрения GDP);
  3. помощь в выборе органа по сертификации;
  4. комплекс услуг по сопровождению при сертификации по GDP.

Обратите внимание! Согласно международным стандартам (например, стандарту ISO 17021), этапы внедрения и дальнейшей сертификации должны быть полностью независимыми друг от друга. Если Вам предлагают и внедрение, и сертификацию в одном месте, либо аффилированными структурами, то это является прямым нарушением международных правил.

Органы, предлагающие и внедрение, и сертификацию «в одном пакете» имеют крайне низкую репутацию и могут быть включены в черные списки в
некоторых компаниях. Есть общее понимание, особенно среди ведущих компаний, что репутация органа по сертификации крайне важна и связана с «качеством» выданного сертификата и, следовательно, с уровнем доверия к нему.

Рассматривая органы по сертификации, обращайте внимание на несколько факторов, а именно:

  • непредвзятость и независимость аудиторов, т.е. отсутствие какой-либо связи между процессом консалтинга и последующим сертификационным аудитом;
  • уровень подготовки и опыт аудиторов;
  • отраслевую специализацию конкретного органа.

Компания «ИнтерКонсалт», являясь полностью независимой от какого-либо органа по сертификации, сотрудничает с ведущими международными
органами и имеет подписанные соглашения о взаимодействии.

Подробнее о порядке сертификации можно прочитать ЗДЕСЬ.

Документация по валидации

В рамках семинара А. Макогон уделил внимание валидационной документации, к которой относятся: основной план валидации, протоколы по валидации/квалификации, методики проведения валидационных испытаний, отчеты по валидации/квалификации.

Основной план валидации (validation master plan) — это документ, который описывает философию, стратегию и методологию предприятия по проведению валидации.

В протоколе валидации (validation protocol) описывается порядок действий при проведении валидации, которые следует выполнить для проведения испытаний, а также устанавливаются подлежащие оценке конкретные параметры, приемлемые значения каждого из параметров, критерии оценки, методы измерений и измерительное оборудование, включая сведения о его точности, поверке и калибровке.

Отчет по валидации включает результаты проведенной валидации, а также исходную информацию об объекте валидации, анализ полученных данных, предложения по проведению повторной проверки и выводы.

К критическим объектам, подлежащим валидации, эксперт отнес системы, помещения и оборудование, параметры которых оказывают прямое воздействие на продукцию (аптечные склады, холодильное и морозильное оборудование, термоконтейнеры, компьютеризированные системы и т.д.); системы, помещения и оборудование, параметры которых оказывают прямое воздействие на системы с прямым воздействием (система вентиляции, окружающая среда); системы и оборудование, не оказывающие воздействие на продукцию (система водопровода, канализации, электроснабжения).

Все изменения, которые могут повлиять на качество продукции или воспроизводимость процесса, должны быть задокументированы и утверждены. Необходимо оценить возможное влияние изменения технических средств, систем и оборудования на продукцию, в том числе провести анализ рисков. Следует определить необходимость и объем ревалидации.

Следует проводить периодическую оценку технических средств, систем, оборудования и процессов, включая очистку, для подтверждения того, что они остаются в валидированном состоянии. Если в технические средства, системы, оборудование и процессы не было внесено значимых изменений, то для ревалидации необходимо провести проверку, которая бы подтверждала их соответствие установленным требованиям.

Что касается реквалификации, то сроки проведения плановой реквалификации должны основываться на анализе рисков с учетом сезонного колебания температуры, данных об аномальных температурах, надежности систем охлаждения, достаточности мониторинга и т.д.

Плановую реквалификацию аптечного склада рекомендуется проводить ежеквартально (весна, лето, осень, зима) на протяжении минимум 1 года. При наличии должным образом задокументированного обоснования и с учетом результатов анализа рисков возможно проведение реквалификации 2 раза в год (лето, зима).

Плановую реквалификацию холодильного оборудования рекомендуется проводить 1 раз 6 мес в случае, если как минимум 1 стена холодильной камеры является внешней стеной здания и подвержена влиянию сезонного колебания температуры наружного воздуха, или функциональные узлы и/или блоки системы охлаждения установлены снаружи здания и подвержены влиянию сезонного колебания температуры наружного воздуха.

Внеплановую реквалификацию необходимо проводить на основании результатов мониторинга, системы контроля изменений, с учетом анализа рисков выявленных изменений.

В ходе мероприятия прозвучали ответы на многие вопросы, связанные с практическими аспектами валидации (квалификации) аптечного склада.

В рамках презентации А. Макогон дал рекомендации относительно объема валидации компании-дистрибьютора, разработки плана и протокола валидации, составления отчета по квалификации аптечного склада, разработки плана действий специалистов в случае выявления несоответствий и отклонений параметров от установленных, а также привел практический пример построения температурной карты склада.

Отдельное внимание было уделено составлению отчета по валидации, в частности, обработке, интерпретации и представлению данных по валидации, а также практическому применению полученных результатов. Присутствующие смогли ознакомиться с примером отчета по валидации (квалификации) аптечного склада.

В заключительной части семинара С. Фицнер рассмотрела вопросы организации валидации и квалификации на предприятии, продемонстрировав слушателям примерную структуру СОП по валидации. Также была освещена организация рутинного мониторинга по результатам проведенной квалификации.

Согласно Руководству СТ-Н МОЗУ 42-5.1:2021 «Лекарственные средства. Надлежащая практика хранения», зафиксированные данные мониторинга температуры и, при необходимости, относительной влажности воздуха, должны быть доступными для проверки. Оборудование, которое используется для мониторинга, необходимо подвергать проверке с определенной периодичностью, а результаты проверок следует протоколировать и хранить как минимум 1 год после окончания срока годности материалов и продукции, которые находились на хранении, если другое не будет определено действующим законодательством.

Мониторинг условий хранения препаратов необходим как доказательство того, что в любой момент, в любой точке хранения температура (при необходимости — относительная влажность) соответствует установленным значениям. Для определения порядка проведения мониторинга условий хранения препаратов на различных объектах мониторинга необходимо разработать СОП.

Объектами валидации склада, а, следовательно, объектами мониторинга являются:

  • помещения для хранения препаратов с условиями хранения 15–25 °С (до 25 °С);
  • холодильные камеры для хранения лекарственных средств с условиями хранения 2–8 °С;
  • холодильные камеры для хранения лекарственных средств с условиями хранения 8–15 °С;
  • термоконтейнеры для транспортирования лекарственных средств в условиях режимов 2–8 °С и 8–15 °С;
  • автотранспортные средства для режима транспортирования 8–15 °С и 15–25 °С (до 25 °С).

Слушатели рассмотрели примерный перечень СОП по мониторингу, который описывает все действия по проведению мониторинга различных объектов:

  • «Мониторинг условий хранения для помещений с режимом хранения лекарственных средств 15–25 °С»;
  • «Мониторинг условий транспортирования в термоконтейнерах лекарственных средств в режиме 2–8 °С и 8–15 °С»;
  • «Мониторинг условий хранения для помещения с режимом хранения лекарственных средств 2–8 °С и 8–15 °С (холодильные камеры)».

Докладчица также уделила внимание требованиям к приборам для контроля условий хранения, фиксирующим показания температуры и относительной влажности (даталогерры, например, электронные регистраторы температуры и влажности DТ-172). Эти устройства используют в случаях, когда необходимо фиксирование как температуры, так и относительной влажности: помещения для хранения препаратов с условиями хранения 15–25 °С (до 25 °С) и холодильные камеры с условиями хранения 8–15 °С.

Для некоторых объектов мониторинга обязательно фиксирование только температуры, которое проводится с применением электронных регистраторов температуры — термотестеров. Это холодильные камеры с условиями хранения 2–8 °С, термоконтейнеры для транспортирования лекарственных средств в условиях 2–8 °С и 8–15 °С, транспортные средства для режима транспортирования 8–15 °С и 15–25 °С.

Лимиты температуры и влажности для разных режимов хранения указаны в Руководстве 42-3.3:2004 «Лекарственные средства. Испытания стабильности» и приложении Руководства СТ-Н МОЗУ 42-5.1:2021 «Лекарственные средства. Надлежащая практика хранения».

В завершение С. Фицнер предложила присутствующим решить тестовые задания, которые они смогут использовать в дальнейшем в качестве опросника для подготовки к проверкам.

Хочется отметить, что материал подавался не только в виде лекций — значительная часть времени была посвящена ответам на многочисленные вопросы участников семинара.

И в заключение напомним, что по состоянию на 22 августа 2021 г. согласно данным Гослекслужбы Украины сертификаты GDP получили только 2 отечественные дистрибьюторские компании — ООО «Фалби» и ООО «БаДМ». Проведение подобных мероприятий способствует повышению информированности субъектов рынка относительно данного вопроса. Надеемся, что уже в ближайшем будущем количество дистрибьюторов, имеющих сертификаты GDP, увеличится.

Задачи для дистрибьютора при сертификации

Определяя направления для подготовки к аудиту, субъект хозяйственной деятельности должен быть готов в любой момент доказать представителю регуляторного органа, что на этапе дистрибьюции лекарственное средство не претерпело изменений, которые бы негативно сказались на его качестве, и потому является без­опасным для потребителя.

Все производственные процессы должны осуществляться в соответствии с прописанными процедурами, которые, в свою очередь, строго регламентированы нормативными законодательными актами на каждом этапе обращения препарата. При этом все процессы должны быть задокументированы, а протоколы, подтверждающие их выполнение, — изложены четко, однозначно и доступно.

Вся необходимая документация для подтверждения правильности осуществления процессов и отслеживания движения лекарственных средств на этапе дистрибьюции надлежащим образом оформляется и архивируется. Должна быть предусмотрена возможность отслеживания и выявления некачественных, фальсифицированных, незарегистрированных препаратов.

Про сертификаты:  Сертификация в Системе ГОСТ Р услуг общественного питания

Дистрибьютор также должен представить доказательства надлежащих условий хранения, которые соответствуют требованиям GDP, GSP, Лицензионным условиям и другим нормативным актам, а именно: предъявить документы, которые подтверждают надлежащие условия хранения (соблюдение необходимой температуры и влажности) за любой день в течение 2 лет до подачи заявления на сертификацию; подтвердить соблюдение условий хранения на этапе транспортирования (особенно это актуально для наемного транспорта), а также действенность системы изъятия из продажи и помещения в карантин препаратов ненадлежащего качества.

На предприятии должна быть создана и эффективно функционировать система обеспечения качества. Кроме того, следует разработать и постоянно актуализировать руководство по качеству, а политика руководства в плане обеспечения надлежащего качества должна определяться и направляться согласно международному стандарту ISO 9001.

Система ІТ должна обеспечить надлежащую электронную информационно-техническую обработку производственных процессов. Особое внимание уделяя тем из них, которые путем блокирования по электронной базе не позволяют попасть в продажу препаратам ненадлежащего качества или по каким-либо причинам запрещенным к реализации.

Следует подтвердить соответствие условий хранения результатами валидационных исследований с последующим подтверждением с помощью данных сплошного мониторинга температуры и влажности (при необходимости), а также наличие обученного и квалифицированного персонала, имеющего опыт работы и способного выполнять поставленные производственные задачи в соответствии с прописанными процедурами.

С. Фицнер акцентировала внимание слушателей на том, что на предприятии должны быть прописаны и утверждены стандартные операционные процедуры (СОП) на все производственные процессы, которые могут повлиять на качество лекарственного средства и качество дистрибьюторской деятельности, система качества должна обеспечивать поставки продукции заказчикам в оговоренный срок и без изменения ее качества.

Дистрибьютор, желающий сертифицироваться, также должен:

Докладчица отметила, что ключевым документом при сертификации является регламент склада, который разрабатывается на предприятии и определяет политику в сфере обеспечения надлежащего качества препаратов на этапе дистрибьюции. В нем должны быть установлены требования к:

На какие страны распространяется gdpr

На какие страны распространяется GDPR

Действует ли GDPR в России, Украине, Белоруссии и Казахстане? Постановление усиливает и стандартизирует защиту персональных данных всех лиц в Европейском Союзе.

Действует ли GDPR в России? Да, GDPR распространяется на Россию.

GDPR также распространяется на Украину, Белоруссию и Казахстан и в принципе вообще на все страны мира. Почему? Причина в следующем — постановление GDPR направлено и на экспорт данных из Европейского союза.

Важный нюанс в GDPR, которому не было уделено должного внимания, связан с географическим охватом закона.

Чтобы быстро подвести итог: статья 3 GDPR гласит, что если вы собираете личные данные или информацию о поведении кого-либо в стране Европейского союза, то вся работа с данными должна проводится в соответствии с требованиями GDPR.

Есть единственное исключение — GDPR не будет применяться в случае, когда данные о резидентах Европейского союза собираются в момент нахождения резидентов за пределами стран союза.

Исключение будет, если резидент союза находится физически за пределами союза на момент сбора данных.

Итак, GDPR является непосредственно обязательным к исполнению. Это применимо не только к странам Европейского союза, но также к любому юридическому лицу, обрабатывающему персональные данные резидентов.

Если утрировать, то можно привести следующий пример:

  • Вы создали компанию и собираете данные о посетителях используя любые системы аналитики: Piwik, Yandex.Метрику или прочее;
  • На сайт зашел, к примеру, резидент Польши;
  • Правоохранительные органы получили претензию и зафиксировали факт нарушения GDPR;
  • Ответственных лиц добавили в специальный список;
  • По прилету в Европу владелец сайта будет арестован, пойдет под суд и будет обязан выплатить штраф.

В первую очередь усилия по защите персональных данных резидентов Европейского союза будут направлены к большим компаниям.

Но ведь конкурентам ничего не мешает подать претензию в органы Европейского союза и создать проблемы для своих визави.

Для подачи претензии достаточно обычной мелочи. К примеру, если на русском или украинском сайте зарегистрируется резидент Европейского союза и система обработки данных будет не соответствовать требованиям GDPR, то у владельца сайта или компании могут быть проблемы. К примеру, финансовые потери по причине штрафов.

Нормативная база

В Российской Федерации получение сертификата GMP осуществляется на основании действующей нормативной базы, включающей следующие основные правовые акты:

  • национальный стандарт РФ ГОСТ Р 52249-2009, устанавливающий правила изготовления и контроля качества лекарственных препаратов;
  • постановление Правительства от 5 июня 2008 года N 438 с рядом изменений, внесенных за последние годы, которое утверждает полномочия Министерства промышленности и торговли в этой области;
  • постановление Правительства от 3 декабря 2021 года N 1314, устанавливающее порядок оценки соответствия производителей требованиям стандарта надлежащей практики;
  • приказ Минпромторга от 14 июня 2021 года N 916, утверждающий правила применения надлежащей производственной практики в соответствии с актуальным стандартом;
  • приказ Минпромторга от 26 мая 2021 года N 1714, определяющий административный регламент предоставления государственной услуги по выдаче документации, подтверждающей соответствие изготовителя установленным нормам надлежащей производственной практики;
  • приказ Минпромторга России от 17.12.2021 N 4119, утверждающий правила ведения реестра сведений о том, какие лекарства имеют сертификат качества GMP в России.

При этом необходимо принимать во внимание, что в настоящий момент наша страна вместе с другими государствами, входящими в состав Евразийского экономического союза, находится на этапе становления общего рынка, объединяющего фармацевтическое и косметическое производство в границах Союза.

Это предполагает в том числе введение в действие единых требований к качеству и безопасности таких продуктов. В соответствии с принятым в мире порядком они реализуются в форме внедрения стандартов надлежащей производственной практики. Применение таких стандартов регулируется следующими нормативными документами:

  • Решение Совета ЕЭК от 3 ноября 2021 года N 77, утверждающее правила надлежащей производственной практики в границах ЕАЭС;
  • Приказ Минпромторга от 4 сентября 2020 года N 2945, которым введен административный регламент предоставления госуслуги по выдаче документации, подтверждающей соответствие производств установленным правилам.

Обратите внимание!

Для полноценного применения разработанного административного регламента необходимо решение Правительства о порядке реализации некоторых процедур, связанных с проведением фармацевтических инспекций. Приказ № 2945 вступит в силу только после принятия соответствующего постановления: пока этого не произошло.

Предпосылки к появлению gdpr

GDPR

Согласно исследованиям, во всех развитых странах доля интернет-пользователей продолжает расти. В ряде стран по количеству аудитории интернет обгоняет телевидение и прочие источники информации.

Процесс выглядит следующим образом:

  • В интернет начинают инвестировать мировые лидеры из разных отраслей. Как результат, растет конкуренция за пользователя;
  • Растет цена за клик, за привлечения пользователя;
  • Появляются так называемые data driven технологии. Одним из ветвлений является data driven маркетинг. Data driven маркетинг основан на данных о пользователях. В data driven маркетинге не используются ни интуиция, ни личный опыт. Data driven маркетинг является процессом изучения и анализа данных, основанным на цифрах;
  • Для эффективной работы технологии data driven проводится сбор и обработка гигантских объемов данных о пользователях. Data driven технологии обуславливают появление и динамический рост технологий связанных с big data;
  • Уполномоченные ведомства принимают постановление по регуляции интернета, использованию информации о пользователях.


Итак, data driven маркетинг позволяет:

  • Улучшать качество обслуживания клиентов посредством создания более персонализированных предложений;
  • Повысить показатель конверсии, улучшив обработку лидов;
  • Проводить исследования рынка;
  • Проводить всестороннее изучение предпочтений аудитории;
  • Уменьшать цену за клик путем повышения точности таргетинга.

Ввиду высокой эффективности data driven маркетинга, бизнес начал накапливать данные про пользователей.

В результате уполномоченные ведомства Европейского союза обеспокоились подобными процессами и, как следствие, разработали Генеральный регламент о защите персональных данных. На английском языке постановление называется General Data Protection Regulation, аббревиатура — GDPR.

Разработка соп

Согласно Руководству СТ-Н МОЗУ 42-5.0:2008 «Лекарственные средства. Надлежащая практика дистрибьюции» любые работы, которые могут повлиять на качество препарата или дистрибьюторской деятельности, должны быть описаны в СОП. Это получение лекарственных средств и их проверка, проведение входного контроля; хранение продукции, регистрация условий хранения; очищение и обслуживание помещений (включая борьбу с паразитами, вредными насекомыми и животными); возврат и отзыв продукции; перемещение продукции в карантин и возврат в продажу (при разрешении); обращение с продукцией, требующей особых условий хранения (карантинной, возвратной, фальсификатом) и другие процессы, которые прямо или косвенно влияют на качество лекарственных средств.

СОП — внутренний документ, детально описывающий и регламентирующий четкую последовательность выполнения каких-либо действий системы качества. Общие СОП описывают процессы и процедуры, относящиеся к общим областям действия или нескольким подразделениям. Специальные СОП охватывают 1–2 подразделения и относятся к определенной узкой сфере деятельности.

На семинаре были даны рекомендации по разработке этих документов. Так, СОП должен составляться компетентными сотрудниками, быть оформлен по единому шаблону, после чего его рассматривают профильные подразделения.

Язык изложения СОП и количество таковых не регламентируются: их должно быть не слишком мало и не слишком много. Однако имеющиеся документы должны охватывать выполнение всех операционных процедур, так или иначе влияющих на качество препаратов. Описание методик должно быть унифицировано и приведено к единому знаменателю.

Особое значение имеет согласованность изложенных методик и их логическая связь. Документ не должен быть слишком объемным и поэтому недоступным для восприятия. Излагать методики следует четко, однозначно, с детальным описанием действий, без использования неопределенных слов (если, возможно, должно быть). Также желательно использовать небольшие предложения, при этом избегать дублирования других СОП.

Как отметила докладчица, СОП приемлема, если отражает: кто, где, когда, как, для чего и в какой последовательности выполняет операционную процедуру, с помощью каких инструментов, приспособлений и каких данных; каким образом протоколируется и регистрируется ее выполнение.

Существуют определенные этапы разработки и применения СОП: разработка проекта; его согласование; утверждение проекта генеральным директором или директором по качеству; обращение СОП на предприятии; контроль и внесение изменений в СОП при любых изменениях в ходе выполнения операционной процедуры.

В ходе семинара были детально рассмотрены основные разделы СОП, а также присутствующие получили практические советы по составлению такого документа.

gdpr переведенные документы Перевод перевод на русский Русский
Оцените статью
Мой сертификат
Добавить комментарий

© 2024 Мой сертификат