1. Рекомендация Коллегии Евразийской экономической комиссии от 19.09.2023 N 25 "О Руководстве по обеспечению целостности данных и валидации компьютеризированных систем"

102. Компьютеризированные системы должны соответствовать требованиям актов органов Союза в сфере обращения лекарственных средств и применимым руководствам государств-членов, которые включают требования к валидации. Компьютеризированные системы должны быть валидированы для использования по назначению, что требует в процессе валидации понимания функций компьютеризированной системы в рамках конкретного бизнес-процесса.

103. Валидация компьютеризированной системы - это документированный процесс достижения и поддержания ее соответствия применимым Правилам GMP и пригодности для целевого использования путем реализации принципов, подходов и мероприятий жизненного цикла в рамках валидационных планов и отчетов, а также путем применения соответствующих оперативных средств контроля на протяжении всего срока службы системы.

104. Для обеспечения целостности электронных данных компьютеризированные системы должны быть валидированы на уровне, соответствующем их использованию и применению. Валидация предусматривает необходимые меры контроля для обеспечения целостности данных, включая оригинальные электронные данные и любые распечатки или отчеты в формате PDF, полученные из системы. В частности, этот подход должен обеспечить выполнение критериев ALCOA+ и надлежащее управление рисками для целостности данных на протяжении всего жизненного цикла данных. При валидации компьютеризированных систем и при последующем контроле изменений следует внедрить все необходимые средства контроля для обеспечения целостности данных и (или) подтвердить, что они имеются в наличии и возникновение ошибок в данных сведено к минимуму.

105. Мероприятия по валидации должны гарантировать, что параметры конфигурации и элементы управления для обеспечения целостности данных задействованы и управляются в вычислительной среде (включая программное обеспечение приложений и операционных систем). Указанные мероприятия включают в себя (но не ограничиваются) следующим:

а) документирование спецификаций конфигурации для коммерческих "готовых" систем, а также разработанных пользователем систем (где применимо);

б) ограничение параметров конфигурации безопасности "администраторов системы" для независимого персонала (где это технически возможно);

в) отключение параметров конфигурации, позволяющих перезаписывать и повторно обрабатывать данные без возможности отслеживания;

г) ограничение применения штампов времени и (или) даты и (или) доступа к такой возможности применения.

106. Использование валидационных данных от поставщика системы в отрыве от ее конкретных конфигурации и назначения неприемлемо. В данном случае валидационные мероприятия поставщика следует рассматривать как своего рода функциональную верификацию, которая может не соответствовать требованиям к квалификации эксплуатации.

107. Настоящее Руководство предлагает вариант интегрирования риск-ориентированного подхода к валидации компьютеризированных систем в бизнес-процессы, определяет документацию, требуемую для каждого из этапов валидации при таком подходе, и описывает ответственных участников на каждом шаге процесса валидации. В разделе VIII настоящего Руководства обобщен современный отраслевой опыт в области валидации компьютеризированных систем, основанных на оценке рисков, включая руководящие указания и методологию из руководящих принципов, соответствующих критериям PIC/S и ISPE.

Сбор (ввод) данных

108. Системы разрабатываются для правильного сбора (ввода) данных, полученных с помощью ручных или автоматизированных средств.

109. В системах для ручного ввода данных:

а) ввод данных осуществляется только авторизованными лицами, система должна регистрировать данные о входе, о лице, создающем запись, и времени и дате, когда запись была сделана;

б) данные вводятся в предусмотренном формате, который контролируется программным обеспечением;

в) мероприятия по валидации должны подтвердить, что недействительные форматы данных не принимаются системой сбора (ввода) данных;

г) все данные, введенные вручную, проверяются вторым оператором либо валидированными компьютерными системами в том случае, если эти данные могут повлиять на качество продукции или безопасность пациента;

д) изменения в записях (включая причину внесения изменений) регистрируются в виде "контрольного следа" и проверяются соответствующим авторизованным и независимым лицом в соответствии с рисками для качества продукции и безопасности пациента.

110. В системах для автоматизированного сбора данных:

а) следует провести валидацию интерфейса между исходной системой, системами сбора и регистрации данных для обеспечения точности данных;

б) данные, полученные системой, сохраняются в памяти в формате, который не подвержен манипуляциям, потерям или изменениям;

в) программное обеспечение системы должно включать в себя валидированные проверки для обеспечения полноты полученных данных, а также любых метаданных, связанных с полученными данными;

г) все необходимые изменения данных должны одобряться (разрешаться) и контролироваться в соответствии с утвержденными в регулируемой компании процедурами. Например, ручная интеграция и повторная обработка результатов лабораторных исследований должны выполняться утвержденным и контролируемым образом. Службе качества фармацевтической компании следует принять меры, обеспечивающие возможность внесения изменений в данные только в случае необходимости и только назначенными лицами.