Рекомендация Коллегии ЕЭК №25 о целостности данных. Разбор требований для фармпроизводителей
На GMP-инспекциях последних лет вопросы о данных зазвучали иначе. Инспектор уже не просто смотрит, есть ли журнал выпуска серии и подписан ли он. Теперь его интересует: кто имел доступ к системе, можно ли отключить аудит-трейл, кто вправе менять системное время. Многие производители оказались к этому не готовы, потому что до принятия специального руководства требования к управлению данными в ЕАЭС (Евразийском экономическом союзе) были прописаны разрозненно.
Рекомендация Коллегии Евразийской экономической комиссии от 19.09.2023 №25 «О Руководстве по обеспечению целостности данных и валидации компьютеризированных систем» (далее: Рекомендация №25) изменила ситуацию. Впервые в ЕАЭС производители получили консолидированный ответ на вопрос, что именно означает «целостность данных» в контексте надлежащей производственной практики (GMP).
В этой статье разберем, как работает Руководство, что оно требует от производителей на практике и где чаще всего возникают несоответствия.
Почему потребовалось отдельное Руководство
До принятия Рекомендации №25 основным документом по компьютеризированным системам в ЕАЭС оставалось Приложение №11 к Правилам надлежащей производственной практики (Решение Совета ЕЭК от 03.11.2016 №77, далее: Правила GMP ЕАЭС). Приложение охватывало валидацию, контрольные следы, управление доступом и архивирование, но сосредотачивалось именно на электронных системах, оставляя бумажные записи на откуп общим положениям GMP.
На практике у каждого производителя складывался свой подход: что считать «оригинальной записью», как исправлять бумажные документы, насколько подробным должен быть аудит-трейл. При наднациональных инспекциях это порождало разночтения, и инспекторы разных государств-членов оценивали одни и те же системы по-разному.
Рекомендация №25 собрала практики PIC/S (Системы сотрудничества фармацевтических инспекций), ВОЗ, британского регулятора MHRA и отраслевых организаций ISPE и PDA, адаптировав их к правовому полю ЕАЭС. Формально документ остается рекомендацией. При инспекциях его используют как прямой ориентир для оценки соответствия GMP, и это зафиксировано в тексте самого Руководства: принципы направлены на то, «чтобы инспекторы могли определять и в полной мере полагаться на точность и полноту представляемых им доказательств».
Что стоит за аббревиатурой ALCOA+
«Целостность данных» Руководство определяет как степень полноты, последовательности и точности данных на протяжении всего их жизненного цикла. В основе оценки стоит принцип ALCOA+.
Акроним ALCOA расшифровывается: Attributable (прослеживаемость), Legible (читаемость), Contemporaneous (своевременность), Original (подлинность), Accurate (точность). Символ «+» добавляет четыре требования: Complete (полнота), Consistent (последовательность), Enduring (устойчивость), Available (доступность). Принцип применяется одинаково к бумажным и электронным записям: «Принципы применимы к обоим носителям».
Разберем несколько позиций, которые чаще всего вызывают вопросы при инспекциях.
Прослеживаемость. Любая запись должна идентифицировать конкретного человека, совершившего действие, и точное время. Общие учетные данные для входа прямо запрещены: «Общие пароли… должны быть запрещены». Требование распространяется на все системы, включая лабораторные информационные системы управления (LIMS), хроматографические системы данных (CDS), а также приборы с пользовательскими настройками: карл-фишер-титраторы, УФ-спектрофотометры, рефрактометры.
Своевременность. Данные фиксируются в момент совершения действия. Восстановление записей «по памяти» в конце смены или внесение наблюдений задним числом считается нарушением. Сложнее всего с оборудованием, которое технически не сохраняет временные метки в реальном времени. В таких ситуациях Руководство допускает бумажный журнал с ручной фиксацией времени, но только при наличии документированного обоснования.
Подлинность. Для электронных данных оригиналом считается электронный файл с метаданными, а не его бумажная распечатка. Если данные первоначально получены в динамическом формате (например, хроматограмма, допускающая повторную обработку), они должны храниться именно в нём. Преобразование в PDF для «архивного хранения» без сохранения исходного электронного файла требованиям не соответствует.
Устойчивость. Данные сохраняются на протяжении всего установленного срока в надежном формате. Руководство отдельно говорит об устаревших системах: если производитель планирует вывести систему из эксплуатации, нужно заранее решить, как обеспечить доступность архивов. Обычно выбирают один из двух путей: виртуальные среды или миграцию данных в актуальные форматы.
| Критерий | Что проверяет инспектор | Типичные несоответствия |
|---|---|---|
| Attributable | Уникальные логины, подписи, временные метки | Общие пароли, работа под чужой учетной записью |
| Legible | Читаемость на протяжении срока хранения | Термобумага, выцветшие чернила |
| Contemporaneous | Совпадение времени записи и действия | Записи «по памяти», ретроспективные исправления |
| Original | Первая запись сохранена и доступна | Удаление электронного оригинала после печати |
| Accurate | Данные отражают реальные результаты | Пробные вколы в хроматографии без фиксации |
| Complete (+) | Все данные сохранены, включая отклонения | Удаление результатов «вне спецификации» |
| Consistent (+) | Непрерывность процесса документирования | Разрывы в хронологии записей |
| Enduring (+) | Надежный носитель на весь срок хранения | Деградирующие носители без контроля |
| Available (+) | Доступность для инспекции в любой момент | Архивы, которые невозможно открыть |
Бумажные, электронные и гибридные записи
Руководство детально регламентирует работу с бумажными записями, и это выгодно отличает его от предшественника. Производства ЕАЭС используют бумагу повсеместно, а раньше требования к ней были значительно менее конкретными, чем к электронным системам.
Для бумажных систем установлено несколько обязательных правил. Все бланки получают уникальный идентификационный номер и выдаются под контролем. Пустые поля перечеркиваются, датируются и подписываются, чтобы исключить внесение данных задним числом. Исправления вносятся одной зачеркивающей линией (так, чтобы исходная запись оставалась читаемой), с указанием причины изменения, подписью и датой.
Электронные системы Руководство разделяет на несколько типов. Для простых устройств без памяти, таких как весы или pH-метры с принтером, оригинальными записями считаются их распечатки. Системы с ограниченным объемом памяти, перезаписываемой по кругу, требуют периодического извлечения данных до перезаписи. Сложные системы с динамическими данными (LIMS, CDS) хранят информацию в электронном формате с полным контрольным следом.
Гибридные системы, где одновременно ведутся и бумажные, и электронные записи, требуют чёткого ответа на один вопрос: какая из них считается первичной при расхождении? Ответ должен быть прописан в стандартных операционных процедурах (СОП).
Инвентаризация, категоризация и валидация систем
Центральный раздел Руководства посвящен валидации компьютеризированных систем. Структура опирается на категоризацию из руководства GAMP «Надлежащая автоматизированная производственная практика», разработанного Международным обществом по фармацевтической инженерии (ISPE). В отличие от классической четырёхуровневой шкалы, Руководство использует категории 1, 3, 4 и 5; категории 2 нет.
| Категория | Тип систем | Примеры |
|---|---|---|
| 1 | Инфраструктурное ПО | Операционные системы, СУБД, антивирусы |
| 3 | Неконфигурируемые | Прошивки приборов, стандартные инструменты |
| 4 | Конфигурируемые | LIMS, ERP, CDS, SCADA, Excel с формулами |
| 5 | Пользовательские | Заказное ПО, макросы, собственные разработки |
Объем валидационной документации растет с категорией. Для систем категории 5 требуется полный жизненный цикл: спецификация требований пользователя (URS), функциональные и конфигурационные спецификации, квалификация монтажа (IQ), функционирования (OQ) и эксплуатации (PQ), матрица прослеживаемости. Для систем категории 4 (LIMS, CDS) подход схожий, с акцентом на тестирование конфигурации.
Есть обстоятельство, которое регулярно упускают. Документация поставщика не заменяет собственную валидацию. Руководство прямо указывает, что «использование валидационных данных от поставщика системы в отрыве от ее конкретной конфигурации и назначения неприемлемо». Документы поставщика рассматриваются как вспомогательный материал, который может сократить объём собственного тестирования, но не заменить его.
Аудит-трейл. Система автоматически фиксирует создание, изменение и удаление записей с указанием того, кто совершил действие, что именно изменил, когда и почему. Функция контрольного следа постоянно включена и недоступна для отключения рядовым пользователям. Операторы не вправе изменять системное время.
Частота проверки аудит-трейла определяется рисками. Для данных, непосредственно влияющих на решение о выпуске серии, проверка проводится при каждом использовании этих данных.
Разделение обязанностей. Права администратора системы не предоставляются тем сотрудникам, которые создают, проверяют или утверждают данные в той же системе. На небольших предприятиях, где один IT-специалист совмещает несколько ролей, это структурное требование оказывается одним из самых трудновыполнимых.
Аутсорсинг и облачные сервисы
Регулируемая компания несет ответственность за целостность всех данных, включая данные, обработанные подрядчиками или хранящиеся в облачных сервисах. Это прямо прописано в Руководстве: «В случае передачи одного из процессов на аутсорсинг организация… несет ответственность за целостность всех сообщаемых результатов, включая результаты, представленные любой аутсорсинговой организацией».
Для контрактных лабораторий и производств потребуется соглашение по качеству с конкретными положениями о целостности данных, включая обязательство немедленно информировать заказчика о любых сбоях. Аудиты подрядчика должны охватывать оценку его систем управления данными, а не только технологических процессов.
Облачные системы в модели SaaS (программное обеспечение как услуга), PaaS (платформа как услуга) или IaaS (инфраструктура как услуга) Руководство относит к категориям 4 или 5. Регулируемая компания проводит оценку поставщика до начала эксплуатации системы, заключает соглашение об уровне обслуживания (СУО) и убеждается, что данные (включая аудит-трейлы и метаданные) будут доступны регулятору по запросу. Контракт должен регулировать и судьбу данных после прекращения сотрудничества с провайдером.
Что делать
Составьте инвентаризацию всех компьютеризированных систем. Для каждой зафиксируйте: наименование и версию, категорию по Руководству (1/3/4/5), текущий статус валидации и оценку влияния на GMP. Без этого списка оценить реальные риски невозможно.
Проведите оценку рисков целостности данных по каждому процессу. Руководство рекомендует подход DIRA (data integrity risk assessment): оценку ведут по процессам (производство, лабораторный контроль, дистрибуция), а не по системам. Для каждого процесса определяется степень влияния данных на качество продукции и уязвимость к манипуляциям. На выходе получаете приоритетный список для распределения ресурсов.
Проверьте аудит-трейлы в системах категорий 4 и 5. Убедитесь, что они включены, недоступны для отключения персоналом и содержат информацию о том, кто совершил действие, что изменил, когда и почему. Если система не поддерживает полноценный контрольный след, разработайте временную альтернативу с бумажным журналом и задокументируйте обоснование.
Устраните общие учетные записи. Каждый сотрудник должен работать под уникальным логином. Проверьте это для всех GMP-систем: хроматографических программ, pH-метров с пользовательскими настройками, электронных таблиц с расчётными формулами.
Пересмотрите договоры с подрядчиками и поставщиками облачных услуг. Включите в соглашения по качеству конкретные положения о целостности данных. Убедитесь, что контракты с IT-провайдерами обеспечивают доступ к данным и аудит-трейлам по запросу регулятора, в том числе после прекращения сотрудничества.
Производители, воспринимающие Рекомендацию №25 как очередной рамочный документ, рискуют получить предписания при следующей GMP-инспекции. Руководство детально описывает конкретные ожидания инспекторов: от формата исправлений в бумажном журнале до структуры прав доступа в LIMS. Те, кто выстроил систему под эти требования, получают заодно снижение внутренних рисков манипулирования данными.
Нормативная база:
1. Рекомендация Коллегии Евразийской экономической комиссии от 19.09.2023 №25 «О Руководстве по обеспечению целостности данных и валидации компьютеризированных систем»
2. Решение Совета Евразийской экономической комиссии от 03.11.2016 №77 «О Правилах надлежащей производственной практики Евразийского экономического союза» (Приложение №11 «Компьютеризированные системы»)