23.9.2009   

BG

Официален вестник на Европейския съюз

C 229/19


Становище на Европейския надзорен орган по защита на данните относно предложението за регламент на Европейския парламент и на Съвета за изменение по отношение на фармакологичната бдителност за лекарствените продукти за хуманна употреба на Регламент (ЕО) № 726/2004 за установяване на процедури на Общността за разрешаване и контрол на лекарствени продукти за хуманна и ветеринарна употреба и за създаване на Европейска агенция по лекарствата, и относно предложението за директива на Европейския парламент и на Съвета за изменение по отношение на фармакологичната бдителност на Директива 2001/83/ЕО за утвърждаване на кодекс на Общността относно лекарствени продукти за хуманна употреба

2009/C 229/04

ЕВРОПЕЙСКИЯТ НАДЗОРЕН ОРГАН ПО ЗАЩИТА НА ДАННИТЕ,

като взе предвид Договора за създаване на Европейската общност, и по-специално член 286 от него,

като взе предвид Хартата на основните права на Европейския съюз, и по-специално член 8 от нея,

като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (1),

като взе предвид Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 г. относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни (2), и по-специално член 41 от него,

ПРИЕ СЛЕДНОТО СТАНОВИЩЕ:

I.   ВЪВЕДЕНИЕ

Предложения за изменение на съществуващата система за фармакологична бдителност

1.

На 10 декември 2008 г. Комисията прие две предложения за изменение съответно на Регламент (ЕО) № 726/2004 и на Директива 2001/83/ЕО (3). С Регламент (ЕО) № 726/2004 на Европейския парламент и на Съвета (4) се установяват процедури на Общността за разрешаване и контрол на лекарствени продукти за хуманна и ветеринарна употреба и се създава Европейска агенция по лекарствата („EMEA“). В Директива 2001/83/ЕО на Европейския парламент и на Съвета (5) се съдържат правилата за кодекс на Общността относно лекарствени продукти за хуманна употреба, отнасящи се до специфични процеси на равнището на държавите-членки. Предложените изменения се отнасят до части на двата правни инструмента, касаещи фармакологичната бдителност по отношение на лекарствени продукти за хуманна употреба.

2.

Фармакологичната бдителност може да се определи като науката и дейностите, свързани с откриването, оценката, разбирането и предотвратяването на нежелани ефекти, причинени от лекарствени продукти (6). Съществуващата понастоящем в Европа система за фармакологична бдителност дава възможност на пациенти и здравни специалисти да съобщават за нежелани лекарствени реакции на съответните заинтересовани публични и частни органи на национално и европейско равнище. ЕМЕА оперира EudraVigilance — база данни, обхващаща цяла Европа, която играе ролята на централизирано звено за управление и сигнализиране при съмнение за нежелани лекарствени реакции.

3.

На фармакологичната бдителност се гледа като на необходимо допълнение към системата на Общността за разрешаване на лекарствени продукти, която датира от 1965 г., когато бе приета Директива 65/65/ЕИО на Съвета (7).

4.

Както следва от обяснителните меморандуми и оценката на въздействието, приложени към предложенията, съществуващата система за фармакологична бдителност страда от редица слабости, в т.ч. липса на яснота по отношение на ролите и отговорностите на различните участници, сложни процедури за докладване на нежелани лекарствени реакции, необходимост от укрепване на прозрачността и комуникациите в областта на безопасността на лекарствата, както и необходимост от рационализиране на планирането на управлението на лекарствения риск.

5.

Най-общото предназначение на двете предложения е да се преодолеят тези слабости и да се подобри и укрепи система за фармакологична бдителност на Общността с крайна цел по-добро опазване на общественото здраве, осигуряване на добро функциониране на вътрешния пазар и опростяване на съществуващите правила и процедури (8).

Лични данни при фармакологичната бдителност и допитване до ЕНОЗД

6.

Функционирането на системата за фармакологична бдителност като цяло почива на обработката на лични данни. Тези данни са част от сигнализирането за нежелани лекарствени реакции и могат да се считат за данни, отнасящи се до здравето („здравни данни“) на засегнатите лица, тъй като разкриват информация за употребата на лекарства и свързаните с нея здравни проблеми. Обработката на такива данни е подчинена на стриктни правила за защита на данните, изложени в член 10 от Регламент (ЕО) № 45/2001 и член 8 от Директива 95/46/ЕО (9). Значението на защитата на такива данни напоследък бе изтъквана неведнъж от Европейския съд по правата на човека в контекста на член 8 от Европейската конвенция за правата на човека: „Защитата на личните данни, и по-специално на медицинските данни, е от основополагащо значение за възможността дадено лице да упражнява правото си да се зачита личния му и семеен живот, гарантирано в член 8 от Конвенцията“ (10).

7.

Въпреки това, в сегашните текстове на Регламент (ЕО) № 726/2004 и Директива 2001/83/ЕО не е включено позоваване на защитата на данни, като се изключи едно специфично позоваване в регламента, което ще бъде обсъдено по-долу, в точка 21, и по-нататък.

8.

Европейският надзорен орган по защита на данните („ЕНОЗД“) изразява съжаление, че въпросите на защитата на данните не са взети предвид в предлаганите изменения и че до него не е направено официално допитване по двете предложения за изменения, както се предвижда в член 28, параграф 2 от Регламент (ЕО) № 45/2001. Ето защо за основание на настоящото становище служи член 41, параграф 2 от същия регламент. ЕНОЗД препоръчва да се включи позоваване на настоящото становище в преамбюлите на двете предложения.

9.

ЕНОЗД отбелязва, че макар и защитата на данни да не е взета предвид в достатъчна степен нито в съществуващата правна рамка за фармакологична бдителност, нито в предложенията, практическото прилагане на системата на Общността EudraVigilance несъмнено повдига въпроси, отнасящи се до защитата на данни. Във връзка с това, през юни 2008 г. ЕНОЗД бе уведомен от ЕМЕА за сегашната система EudraVigilance с оглед извършване на предварителна проверка на основание член 27 от Регламент (ЕО) № 45/2001.

10.

Настоящото становище и заключенията на ЕНОЗД относно извършената предварителна проверка (чието публикуване се очаква по-късно тази година) по необходимост се застъпват. Фокусът на двата инструмента, обаче, е различен: докато настоящото становище е съсредоточено върху залегналата в системата обща правна рамка, произтичаща от Регламент (ЕО) № 726/2004 и Директива 2001/83/ЕО, и върху предлаганите изменения в нея, предварителната проверка представлява подробен анализ на защитата на данни, проследяващ по-нататъшното развитие на съществуващите правила в последващите правни инструменти (като решения и насоки), издадени от ЕМЕА или съвместно от Комисията и ЕМЕА, и начина на функциониране на практика на системата EudraVigilance.

11.

По-нататък в настоящото становище ще последва, най-напред, опростено обяснение на системата за фармакологична бдителност в ЕС, произтичаща от Регламент (ЕО) № 726/2004 и Директива 2001/83/ЕО в сегашния им вид. После ще бъде анализирана необходимостта от обработка на личните данни в контекста на фармакологичната бдителност. След това ще бъдат обсъдени предложенията на Комисията за подобряване на съществуващата и предвидената правна рамка и ще бъдат направени препоръки как да се гарантират и усъвършенстват стандартите за защита на данните.

II.   СИСТЕМАТА ЗА ФАРМАКОЛОГИЧНА БДИТЕЛНОСТ НА ЕС: ОБРАБОТКА НА ЛИЧНИТЕ ДАННИ И СЪОБРАЖЕНИЯ ЗА ЗАЩИТА НА ДАННИТЕ

Участници в събирането и разпространението на информацията

12.

Има няколко участници в събирането и разпространението на информация за нежеланите ефекти на лекарствените продукти в Европейския съюз. На национално ниво двата основни участници са титулярите на разрешение за търговия (компании, които имат разрешение да пускат лекарствени продукти на пазара) и компетентните органи на държавите-членки (органите, отговарящи за издаване на разрешения за търговия). Компетентните органи на държавите-членки дават разрешения за продукти чрез национални процедури, които включват „процедура на взаимно признаване“ и „децентрализирана процедура“ (11). Европейската комисия също може да играе ролята на компетентен орган по отношение на продукти, разрешени по т.нар. „централизирана процедура“. Друг важен участник на европейско равнище е ЕМЕА. Една от задачите на тази агенция е да осигури разпространението на информация за нежелани реакции спрямо лекарствените продукти, разрешени в Общността, посредством база данни, а именно споменатата по-горе база данни EudraVigilance.

Събиране и съхраняване на лични данни на национално равнище

13.

В Директива 2001/83/ЕО фигурират общи формулировки за отговорността на държавите-членки по отношение на функционирането на система за фармакологична бдителност, в която се събира информация, „необходима за контрола над лекарствените продукти“ (член 102). Съгласно членове 103 и 104 от Директива 2001/83/ЕО (вж. също така членове 23 и 24 от Регламент (ЕО) № 726/2004) титулярите на разрешение за търговия трябва да имат собствена система за фармакологична бдителност, за да могат да поемат отговорността и задълженията за пуснатите от тях на пазара продукти и да осигурят при нужда предприемане на подходящи действия. Информацията се събира от здравните специалисти или направо от пациентите. Цялата информация от значение за баланса между риска и ползите от даден лекарствен продукт трябва да се съобщава по електронен път на компетентния орган от титулярите на разрешение за търговия.

14.

В самата Директива 2001/83/ЕО не се посочва много точно какъв вид информация за нежелани ефекти следва да се събира на национално равнище и как следва тя да се съхранява или съобщава. В членове 104 и 106 се споменава само, че тя трябва да се „докладва“. По-подробни правила за тези доклади могат да се намерят в насоките, изготвени от Комисията след консултация с ЕМЕА, държавите-членки и заинтересованите страни в съответствие с член 106. В тези Насоки за фармакологична бдителност по отношение на лекарствените продукти за хуманна употреба (наричани по-нататък „Насоките“) се споменават т.нар. „доклади за безопасност, отнасящи се до отделни случаи“ (наричани по-нататък „доклади за безопасност“), които представляват доклади за нежеланите ефекти от лекарствени продукти, проявяващи се при конкретен пациент (12). От Насоките следва, че един елемент от минималната информация, която се изисква в докладите за безопасност, е „пациент, подлежащ на идентификация“ (13). Посочва се, че един пациент може да бъде идентифициран чрез инициали, номер на пациент, дата на раждане, тегло, височина и пол, болничен регистрационен номер, информация за медицинската история на пациента, информация за родителите на пациента (14).

15.

Поради това, че ударението се поставя върху възможността за идентифициране на пациента, обработката на такава информация очевидно попада в приложното поле на правилата за защита на данните, установени с Директива 95/46/ЕО. Действително, въпреки че пациентът не се споменава по име, възможно е чрез съпоставяне на различни данни (напр. болница, дата на раждане, инициали) и при определени условия (напр. в малки общности или населени места) пациентът да бъде идентифициран. Ето защо обработената в контекста на фармакологичната бдителност информация следва по принцип да се разглежда като отнасяща се до подлежащо на идентификация лице по смисъла на член 2, буква а) от Директива 95/46/ЕО (15). Въпреки че това не е пояснено нито в регламента, нито в директивата, то се отчита в Насоките, където се посочва, че „информацията следва да бъде възможно най-пълна, като се вземе предвид законодателството на ЕС в областта на защитата на данни“ (16).

16.

Трябва да се подчертае, че независимо от Насоките, докладването за нежеланите ефекти на национално равнище далече не е еднородно. Това ще бъде разгледано допълнително в точки 24 и 25 по-долу.

База данни EudraVigilance

17.

Решаваща роля в системата за фармакологична бдителност на ЕС играе базата данни EudraVigilance, която се поддържа от ЕМЕА. Както вече бе посочено, EudraVigilance е централизирана мрежа за обработка на данни и система за управление на докладването и оценяването при съмнение за нежелани реакции по време на разработката и след разрешението за пускане на пазара на лекарствени продукти в рамките на Европейската общност и държавите от Европейското икономическо пространство. Правното основание на базата данни EudraVigilance може да се намери в член 57, параграф 1, буква г) от Регламент (ЕО) № 726/2004.

18.

Съществуващата база данни EudraVigilance се състои от две отделения, а именно 1) информация, произтичаща от клинични изследвания (състояли се преди лекарството да бъде пуснато на пазара, поради което се описва като принадлежаща към „предразрешителния“ период) и 2) информация, получена от доклади за нежелани ефекти (събрана впоследствие, поради което се описва като принадлежаща към „следразрешителния“ период). Ударението в настоящото становище е поставено върху този „следразрешителен“ период, тъй като предлаганите изменения се отнасят предимно до тази част.

19.

В базата данни EudraVigilance се съдържат данни за пациенти, произхождащи от докладите за безопасност. Доклади за безопасност се предоставят на ЕМЕА от компетентните органи на държавите-членки (вж. член 102 от Директива 2001/83/ЕО и член 22 от Регламент (ЕО) № 726/2004), а в някои случаи направо от титулярите на разрешение за търговия (вж. член 104 от Директива 2001/83/ЕО и член 24 от Регламент (ЕО) № 726/2004).

20.

В настоящото становище ударението се поставя върху обработката на личните данни на пациентите. Следва да се отбележи, обаче, че в базата данни EudraVigilance се съдържа също така информация от личен характер за хората, работещи в компетентния орган на съответната държава-членка, или за титулярите на разрешение за търговия, когато те предоставят информация на базата данни. В системата се съхраняват цялото име, адресните данни, информацията за контакти и данните от документа за самоличност на тези лица. Друга категория информация от личен характер са данните за т.нар. квалифицирани лица, отговорни за фармакологичния контрол, които се назначават от титулярите на разрешение за търговия в съответствие с посоченото в член 103 от Директива 2001/83/ЕО. Очевидно правата и задълженията, произтичащи от Регламент (ЕО) № 45/2001, са напълно приложими към обработката на тази информация.

Достъп до базата данни EudraVigilance

21.

В член 57, параграф 1, буква г) от Регламент (ЕО) № 726/2004 се посочва, че държавите-членки следва да имат постоянен достъп до базата данни. Освен това здравните специалисти, титулярите на разрешения за търговия и обществеността трябва да имат достъп на съответното ниво до тази база данни при гарантирана защита на личната информация. Както бе посочено по-горе в точка 7, това е единствената разпоредба както в регламента, така и в Директива 2001/83/ЕО, в която има позоваване на защитата на данни.

22.

С член 57, параграф 1, буква г) бе установен описаният по-долу режим на достъп. След като ЕМЕА получи доклад за безопасност, той се въвежда направо в портала на EudraVigilance, до който имат пълен достъп ЕМЕА, компетентните органи на държавите-членки и Комисията. След като докладът за безопасност бъде валидиран (премине проверка за автентичност и уникалност) от ЕМЕА, информацията от доклада за безопасност се прехвърля в самата база данни. ЕМЕА, компетентните органи на държавите-членки и Комисията имат пълен достъп до базата данни, докато достъпът на титулярите на разрешение за търговия до базата данни подлежи на известни ограничения, а именно сведен е единствено до данните, които те самите са предали на ЕМЕА. Накрая натрупаната за докладите за безопасност информация се поставя на уебсайта на EudraVigilance, до който има достъп широката общественост, в т.ч. и здравните специалисти.

23.

На 19 декември 2008 г. ЕМЕА публикува на уебсайта си проект за политика за достъп с цел допитване до общественото мнение (17). В документа е показано как ЕМЕА възнамерява да прилага член 57, параграф 1, буква г) от Регламент (ЕО) № 726/2004. ЕНОЗД отново ще се спре на въпроса по-надолу, от точка 48 нататък.

Слабости на съществуващата система и липса на гаранции за защита на данните

24.

Оценката на въздействието на Комисията посочва редица слабости в съществуващата система за фармакологична бдителност на ЕС, която се преценява като сложна и неясна. Сложната система за набиране, съхранение и обмен на данни от различните участници на национално и европейско равнище се счита за един от основните недостатъци. Това положение се усложнява допълнително от факта, че съществуват различия в начините на прилагане на Директива 2001/83/ЕО в държавите-членки (18). Вследствие на това, компетентните органи на държавите-членки, както и ЕМЕА, често са изправени пред непълни или дублиращи се доклади за случаи на нежелани лекарствени реакции (19).

25.

Това се дължи на факта, че макар и във вече споменатите насоки да е включено описание на съдържанието на докладите за безопасност, на държавите-членки е оставена възможност сами да решават по какъв начин да се изготвят тези доклади на национално равнище. Това важи както за средствата за съобщаване, прилагани за изготвяне на докладите от титулярите на разрешение за търговия до компетентните органи на държавите-членки, така и за същинската информация, включена в докладите (няма стандартизиран формуляр за докладване в рамките на Европа). Освен това, някои от компетентните органи на държавите-членки прилагат специфични качествени критерии за определяне на приемливостта на докладите (в зависимост от съдържанието, степента на пълнота и т.н.), докато в други държави случаят не винаги е такъв. Очевидно е, че използваният на национално равнище подход към докладването и качествената оценка на докладите за безопасност се отразява пряко на начина, по който се изготвят докладите до ЕМЕА, а следователно и на базата данни EudraVigilance.

26.

ЕНОЗД би искал да подчертае, че посочените по-горе слабости водят не само до практически неудобства, но също така представляват значителна заплаха за защитата на здравните данни на гражданите. Въпреки че обработката на здравните данни, както бе посочено в предходните параграфи, се извършва на няколко етапа при прилагане на процеса на фармакологична бдителност, понастоящем не съществуват разпоредби за защита на тези данни. Единственото изключение е общото позоваване на защитата на данни в член 57, параграф 1, буква г) от Регламент (ЕО) № 726/2004, което се отнася единствено до последния етап на обработката на данни, а именно достъпността на данните, съдържащи се в базата данни EudraVigilance. Нещо повече, липсата на яснота по отношение на ролите и отговорностите на различните участници в обработката на данни, както и липсата на конкретни стандарти за самата обработка, поставят под заплаха поверителността, а също така и интегритета и отчитането на обработваните лични данни.

27.

Ето защо ЕНОЗД би искал да подчертае, че отсъствието на цялостен анализ на защитата на данните, проличаващо в правната рамка, която служи за основа на системата за фармакологична бдителност в ЕС, трябва също да се разглежда като слабост на съществуващата система. Тази слабост следва да бъде преодоляна чрез изменение на съществуващото законодателство.

III.   ФАРМАКОЛОГИЧНАТА БДИТЕЛНОСТ И НЕОБХОДИМОСТТА ОТ ЛИЧНИ ДАННИ

28.

Като предварителен въпрос от общ характер ЕНОЗД желае да повдигне въпроса дали обработката на здравни данни на подлежащи на идентификация физически лица е действително необходима на всички нива на системата за фармакологична бдителност (както на национално, така и на европейско равнище).

29.

Както бе обяснено по-горе, в докладите за безопасност пациентът не се споменава по име и не е идентифициран като такъв. В определени случаи, обаче, би било възможно да се идентифицира пациентът чрез съпоставяне на различни данни от докладите за безопасност. В съответствие с Насоките, в някои случаи на пациента се определя конкретен номер, което означава, че системата като цяло дава възможност за проследяване на съответното лице. Нито в директивата, нито в регламента, обаче, се споменава възможността за проследяване на лица като част от целта на системата за фармакологична бдителност.

30.

Ето защо ЕНОЗД приканва настойчиво законодателя да поясни дали възможността за проследяване е действително предвидена като една от целите на фармакологичната бдителност на различните нива на обработка и по-специално в рамките на базата данни EudraVigilance.

31.

В това отношение е полезно да се направи сравнение с предвидения режим за даряване на органи и трансплантация (20). В контекста на трансплантацията на органи възможността за проследяване на органа до дарителя, както и получателя на органа, е от първостепенно значение, особено в случай на сериозни неблагоприятни събития или нежелани реакции.

32.

В контекста на фармакологичната бдителност, обаче, ЕНОЗД не разполага с достатъчно доказателства, за да заключи, че винаги има действителна нужда от възможност за проследяване. Смисълът на фармакологичната бдителност е да се докладва за нежелани ефекти от лекарствени продукти, които се използват от (до голяма степен) неизвестен брой хора и ще се използват от (до голяма степен) неизвестен брой хора. Връзката, съществуваща между информацията за нежеланите ефекти и съответното лице, е следователно — във всеки случай по време на „следразрешителния“ период — по-малко автоматична и индивидуална, отколкото в случая с информацията за органите и лицата, участващи в трансплантацията на конкретен орган. Очевидно е, че пациентите, използвали даден лекарствен продукт и съобщили за нежелани ефекти, са заинтересовани да научат за резултатите от по-нататъшната оценка. Това обаче не означава, че съобщената информация следва във всеки случай да се свързва с конкретно лице по време на целия процес на фармакологична бдителност. В много от случаите би следвало да е достатъчно да се направи връзка между информацията за нежеланите ефекти и самия лекарствен продукт, което да даде възможност на участниците, евентуално чрез здравните специалисти, да информират пациентите като цяло за последствията от вземане или невземане на определен лекарствени продукт.

33.

Ако все пак бъде предвидена възможност за проследяване, ЕНОЗД желае да припомни извършения от него анализ в становището му по предложението на Комисията за директива относно стандартите за качество и безопасност на човешките органи, предназначени за трансплантация. В това становище той обяснява връзката между възможност за проследяване, възможност за идентификация, анонимност и поверителност на данните. Възможността за идентификация е понятие, което е от решаващо значение за законодателството в областта на защитата на данни (21). Правилата за защита на данните се прилагат за данни, отнасящи се до лица, които са идентифицирани или подлежат на идентификация (22). Възможността за проследяване на данните до определено лице може да се приравни към възможността за идентификация. В законодателството за защита на данните анонимността е понятие, противоположно на възможността за идентификация, а следователно и на възможността за проследяване. Данните се считат за анонимни единствено ако е невъзможно да се идентифицира (или проследи в обратен ред) лицето, до което се отнасят. Понятието „анонимност“, следователно, е различно от това, което като правило се разбира в ежедневието, а именно, че едно лице не може да бъде идентифицирано въз основа на данните като такива, напр. защото името му е било премахнато. В такива ситуации се говори по-скоро за поверителност на данните, което означава, че информацията е единствено (напълно) достъпна за тези, които имат право на достъп. Докато възможността за проследяване и анонимността не могат да съществуват едновременно, възможността за проследяване и поверителността могат.

34.

Освен възможността за проследяване, друго оправдание за поддържане на възможността за идентифициране на пациентите по време на целия процес на фармакологична бдителност би могло да бъде доброто функциониране на системата. ЕНОЗД разбира, че когато информацията се отнася до подлежащо на идентификация и следователно уникално лице, за съответните компетентни органи (т.е. компетентните органи на държавите-членки и ЕМЕА) е по-лесно да наблюдават и контролират съдържанието на докладите за безопасност (т.е. да проверяват дали има дублиращи се доклади). Въпреки че ЕНОЗД вижда необходимостта от такъв контролен механизъм, той не е убеден, че това само по себе си би оправдало съхраняването на данните в подлежащ на идентификация вид на всички етапи на процеса на фармакологична бдителност, и по-специално в базата данни EudraVigilance. Чрез по-добро структуриране и координиране на системата за докладване, напр. чрез децентрализирана система, каквато се разглежда по-долу, в точка 42 и по-нататък, дублирането би могло да се избегна още на национално равнище.

35.

ЕНОЗД отчита, че при определени обстоятелства не е възможно данните да останат анонимни. Такъв е например случаят, когато дадени лекарствени продукти се използват от много ограничена група лица. За такива случаи следва да се осигурят конкретни гаранции, така че да се спазват задълженията, произтичащи от законодателството за защита на данните.

36.

В заключение, ЕНОЗД има сериозни съмнения дали възможността за проследяване или използването на данни за подлежащи на идентификация пациенти са необходими на всеки етап от процеса на фармакологична бдителност. ЕНОЗД осъзнава факта, че може да се окаже невъзможно да се изключи обработката на подлежащи на идентификация данни на всеки етап, особено на национално равнище, където на практика се извършва събирането на информация за нежеланите ефекти. Правилата за защита на данните, обаче, изискват обработката на здравните данни да се извършва само когато това е действително необходимо. Ето защо използването на подлежащи на идентификация данни следва да бъде намалено във възможно най-голяма степен и да бъде предотвратено или прекратено на възможно най-ранен етап в случаите, когато се счете, че то не е необходимо. Поради тази причина ЕНОЗД настойчиво приканва законодателя да преразгледа необходимостта от използване на такава информация както на европейско, така и на национално равнище.

37.

Отбелязва се, че в случай на действителна необходимост от обработка на подлежащи на идентификация данни или когато данните не могат да останат анонимни (вж. точка 35 по-горе), следва да се проучат техническите възможности за непряко идентифициране на субектите на данните, напр. като се използват механизми за псевдонимизация (23).

38.

Ето защо ЕНОЗД препоръчва в Регламент (ЕО) № 726/2004 и Директива 2001/83/ЕО да се включи нов член, който да гласи, че разпоредбите на Регламент (ЕО) № 726/2004 и Директива 2001/83/ЕО не засягат правата и задълженията, произтичащи от разпоредбите съответно на Регламент (ЕО) № 45/2001 и Директива 95/46/ЕО, с конкретно позоваване съответно на член 10 от Регламент (ЕО) № 45/2001 и член 8 от Директива 95/46/ЕО. Към горното следва да се добави, че подлежащите на идентификация здравни данни се обработват само при реална необходимост, като заинтересованите страни следва да правят оценка на тази необходимост на всеки отделен етап от процеса на фармакологична бдителност.

IV.   ПОДРОБЕН АНАЛИЗ НА ПРЕДЛОЖЕНИЕТО

39.

Въпреки че защитата на данните почти не е взета предвид в предлаганите изменения, един по-подробен анализ на предложението е все пак полезен, тъй като демонстрира, че някои от предвидените промени увеличават последиците и произтичащите рискове за защитата на данните.

40.

Общата цел на двете предложения е да се направят правилата по-последователни, да се даде яснота по отношение на отговорностите, да се опрости системата за докладване и да се укрепи базата данни EudraVigilance (24).

Яснота по отношение на отговорностите

41.

Очевиден е опитът на Комисията да внесе повече яснота по отношение на отговорностите, като предложи съществуващите разпоредби да се изменят по такъв начин, че в самото законодателството да е казано по-определено кой какво следва да прави. Естествено, с внасянето на яснота по отношение на участниците и съответните им задължения във връзка с докладването на нежеланите ефекти се увеличава прозрачността на системата и по тази причина, от гледна точка на защитата на данните, то представлява положително развитие. Пациентите следва да са в състояние да разберат в общи линии от законодателството как, кога и от кого се обработват личните им данни. Предлаганата яснота по отношение на правата и задълженията, обаче, следва изрично да се постави във връзка с правата и задълженията, произтичащи от законодателството за защита на данните.

Опростяване на системата за докладване

42.

Опростяването на системата за докладване следва да се постигне чрез използване на национални уеб портали за безопасност на лекарствата, свързани с европейския уеб портал за безопасност на лекарствата (вж. новопредложения член 106 от Директива 2001/83/ЕО, както и член 26 от Регламент (ЕО) № 726/2004). Националните уеб портали ще съдържат достъпни за обществеността формуляри за докладване от здравни специалисти и пациенти при съмнение за нежелани реакции (вж. новопредложения член 106, параграф 3 от Директива 2001/83/ЕО, както и член 25 от Регламент (ЕО) № 726/2004). Европейският уеб портал ще съдържа и информация как да се докладва, в т.ч. и стандартни формуляри за докладване по интернет от пациенти и здравни специалисти.

43.

ЕНОЗД иска да подчертае, че макар и използването на тези уеб портали и стандартизирани формуляри да има за резултат повишаване на ефективността на системата за докладване, то същевременно увеличава и рисковете за защитата на данните на системата. ЕНОЗД приканва настойчиво законодателя да подчини разработката на такава системата за докладване на изискванията на законодателството за защита на данните. Както бе посочено, това означава, че необходимостта от обработка на личните данни следва внимателно да се прецени с оглед на всеки етап на процеса. Това следва да бъде отразено в начина на организиране на докладването на национално равнище, както и на предаване на информация на ЕМЕА и на базата данни EudraVigilance. В по-широк смисъл, ЕНОЗД препоръчва настойчиво да се разработят стандартни формуляри на национално равнище, които да не позволяват разнородни практики да водят до различни нива на защита на данните.

44.

Изглежда, че според предвижданата система пациентите ще могат да изпращат сигнали направо на ЕМЕА или евентуално дори направо в самата база данни EudraVigilance. Това би означавало, че при сегашното приложение на базата данни EudraVigilance, информацията ще постъпва направо в портала на ЕМЕА, до който, както бе посочено в точки 21—22 по-горе, Комисията и компетентните органи на държавите-членки имат пълен достъп.

45.

Най-общо казано, ЕНОЗД застъпва настойчиво възгледа за децентрализирана система за докладване. Постъпването на информация в европейския уеб портал следва да се координира, като се използват националните уеб портали, за които отговорност носят компетентните органи на държавите-членки. Непрякото докладване от страна на пациенти, т.е. чрез здравните специалисти (независимо дали то става чрез уеб портали или не), следва също да се използва и е за предпочитане пред възможността за пряко докладване от страна на пациентите, особено направо в базата данни EudraVigilance.

46.

Във всеки случай система за докладване чрез уеб портали изисква строги правила за сигурност. В това отношение ЕНОЗД би желал да се позове на споменатото по-горе свое становище по предложението за директивата относно трансграничното медицинско обслужване, особено в частта му, отнасяща се до сигурността на данните в държавите-членки и неприкосновеността на личните данни в приложенията за електронно здравеопазване (25). Още в това становище ЕНОЗД изтъква, че неприкосновеността на личния живот и сигурността следва да бъдат част от разработката и осъществяването на всяко приложение за електронно здравеопазване („защита на личния живот още при проектирането на продукта“) (26). Същото съображение важи и за предвидените уеб портали.

47.

Ето защо ЕНОЗД би препоръчал в новопредложените членове 25 и 26 от Регламент (ЕО) № 726/2004 и член 106 от Директива 2001/83/ЕО, които се отнасят до разработването на система за докладване на нежеланите ефекти чрез използване на уеб портали, да се включи задължение за въвеждане на необходимите мерки за защита на неприкосновеността на личния живот и мерки за сигурност. Принципите на поверителност, интегритет, отчитане и наличност на данните биха могли също така да се споменат като главни цели на сигурността, които следва да се гарантират на едно и също ниво от всички държави-членки. Освен това би могло да се включи използването на подходящи технически стандарти и средства, като криптиране и удостоверяване на цифров подпис.

Укрепване на базата данни EudraVigilance: подобряване на достъпа

48.

Новопредложеният член 24 от Регламент (ЕО) № 726/2004 се отнася до базата данни EudraVigilance. Този член пояснява, че укрепването на базата данни означава увеличаване на ползването ѝ от различните участници, що се отнася до предоставянето и достъпа до информация за и от базата данни. Особен интерес представляват два параграфа от член 24.

49.

Член 24, параграф 2 се отнася до достъпността на базата данни. Той заменя сегашния член 57, параграф 1, буква г) от Регламент (ЕО) № 726/2004 , който вече бе обсъден като единствената разпоредба, в която понастоящем се споменава защитата на данни. Позоваването на защитата на данни се запазва, но броят на участниците, до които се отнася, е намален. Там, където в съществуващия текст се посочва, че на здравните специалисти, на титулярите на разрешение за търговия и на Комисията се предоставя съответното ниво на достъп до базата данни, при защита на личните данни, сега Комисията предлага да се извадят титулярите на разрешение за търговия от този списък и да им се даде достъп „в степен, необходима за спазването на техните задължения за фармакологична бдителност“, без въобще да се споменава за защита на данните. Причините за това не са ясни.

50.

Освен това, в член 24, параграф 3 се излагат правилата за достъп до докладите за безопасност. Може да се поиска достъп за обществеността, който се предоставя в рамките на 90 дена, „освен ако разкриването на информацията би изложило на риск анонимността на обектите на доклада“. ЕНОЗД подкрепя идеята, залегнала в основата на тази разпоредба, а именно че може да се разкриват единствено анонимни данни. Както обаче вече бе обяснено, ЕНОЗД иска да подчертае, че под анонимност трябва да се разбира пълната невъзможност за идентифициране на лицето, съобщило за нежеланите ефекти (вж. също така точка 33).

51.

Достъпността на данните, съдържащи се в базата данни EudraVigilance, следва като цяло да се преразгледа в светлината на правилата за защита на данните. Това има и преки последствия за споменатия по-горе в точка 23 проект за политика за достъп, публикуван от ЕМЕА през декември 2008 г. (27). Доколкото информацията в базата данни EudraVigilance по необходимост се отнася до подлежащи на идентификация физически лица, достъпът до тази база данни следва да се ограничи във възможно най-голяма степен.

52.

Ето защо ЕНОЗД препоръчва в предложения член 24, параграф 2 от Регламент (ЕО) № 726/2004 да се включи изречение, в което да се посочва, че достъпността на данните, съдържащи се в базата данни EudraVigilance, се определя в съответствие с правата и задълженията, произтичащи от общностното законодателство в областта на защитата на данни.

Права на субекта на данните

53.

ЕНОЗД иска да подчертае, че след като бъдат обработени подлежащи на идентификация данни, отговарящата за тази обработка страна следва да спазва всички изисквания на законодателството на Общността в областта на защитата на данните. Това означава, inter alia, че засегнатото лице е добре осведомено за това, какво ще се прави с данните и кой ще ги обработва, както и за всякаква по-нататъшна информация, искана на основание член 11 от Регламент (ЕО) № 45/2001 и/или член 10 от Директива 95/46/ЕО. Заинтересованото лице следва освен това да има възможност да се позовава на правата си на национално и на европейско равнище, като напр. правото на достъп (член 12 от Директива 95/46/ЕО и член 13 от Регламент (ЕО) № 45/2001), правото на възражение (член 18 от Регламент (ЕО) № 45/2001 и член 14 от Директива 95/46/ЕО) и т.н.

54.

Ето защо ЕНОЗД би препоръчал към предложения член 101 от Директива 2001/83/ЕО да се добави параграф, в който да се посочва, че в случай на обработка на личните му данни лицето бива надлежно информирано в съответствие с член 10 от Директива 95/46/ЕО.

55.

Въпросът за достъп до нечии лични данни, съдържащи се в базата данни EudraVigilance, не е уреден нито в съществуващото, нито в предлаганото законодателство. Трябва да се подчертае, че в случаите, в които се счете за необходимо да се държат лични данни в базата данни, както току-що бе споменато, следва да се даде възможност на засегнатия пациент да се позовава на правото си на достъп до личните си данни в съответствие с член 13 от Регламент (ЕО) № 45/2001. Ето защо ЕНОЗД би препоръчал към предложения член 24 да се добави параграф, в който да се посочва, че се вземат мерки, за да се гарантира на субекта на данните възможност да упражнява правото си на достъп до отнасящи се до него лични данни, както е предвидено в член 13 от Регламент (ЕО) № 45/2001.

V.   ЗАКЛЮЧЕНИЯ И ПРЕПОРЪКИ

56.

ЕНОЗД е на мнение, че липсата на цялостна оценка на последиците от фармакологичната бдителност за защитата на данните е една от слабостите на съществуващата правна рамка, създадена от Регламент (ЕО) № 726/2004 и Директива 2001/83/ЕО. Сегашното изменение на Регламент (ЕО) № 726/2004 и Директива 2001/83/ЕО следва да се разглежда като възможност за въвеждане на защитата на данни като цялостен и важен елемент от фармакологичната бдителност.

57.

Един общ въпрос, който трябва да се реши в това отношение, е дали действително има необходимост от обработка на личните данни на всички етапи от процеса на фармакологична бдителност Както се обяснява в настоящото становище, ЕНОЗД изпитва сериозни съмнения по отношение на тази необходимост и призовава настойчиво законодателя да направи преоценка на въпроса на различните нива на процеса. Очевидно е, че целта на фармакологичната бдителност в много случаи може да се постигне чрез предоставяне на информация относно нежеланите ефекти, която е анонимна по смисъла на законодателството за защита на данните. Дублирането при докладването може да се избегне чрез прилагане на добре структурирани процедури за докладване на данни още на национално равнище.

58.

В предлаганите изменения се предвиждат опростена система за докладване и укрепване на базата данни EudraVigilance. Както вече обясни ЕНОЗД, тези изменения водят до увеличаване на риска за защитата на данните, особено когато тя е свързана с пряко докладване от пациенти до ЕМЕА или направо в базата данни EudraVigilance. В това отношение ЕНОЗД се застъпва настойчиво за създаването на система за децентрализирано и непряко докладване, при която въвеждането на данни в европейския уеб портал се координира, като се използват националните уеб портали. Освен това ЕНОЗД подчертава, че неприкосновеността на личните данни и сигурността следва да бъдат част от разработката и осъществяването на системата за докладване чрез уеб портали („защита на личния живот още при проектирането на продукта“).

59.

ЕНОЗД подчертава също така, че след като се обработят здравните данни на идентифицирани и подлежащи на идентификация физически лица, отговорното за обработката лице следва да спази всички изисквания на законодателство на Общността в областта на защитата на данни.

60.

По-конкретно ЕНОЗД препоръчва:

да се включи позоваване на настоящото становище в преамбюлите на двете предложения,

да се включи както в Регламент (ЕО) № 726/2004, така и в Директива 2001/83/ЕО съображение, изтъкващо значението на защитата на данните в контекста на фармакологичната бдителност, с позоваване на свързаното с въпроса законодателство на Общността,

в Регламент (ЕО) № 726/2004 и в Директива 2001/83/ЕО да се включи нов член от общ характер, който да се посочва, че:

разпоредбите на Регламент (ЕО) № 726/2004 и Директива 2001/83/ЕО не засягат правата и задълженията, произтичащи от разпоредбите съответно на Регламент (ЕО) № 45/2001 и Директива 95/46/ЕО, с конкретно позоваване съответно на член 10 от Регламент (ЕО) № 45/2001 и член 8 от Директива 95/46/ЕО,

подлежащите на идентификация здравни данни се обработват само когато е действително необходимо, като заинтересованите страни следва да правят оценка на тази необходимост на всеки отделен етап от процеса на фармакологична бдителност,

в предложения член 24, параграф 2 от Регламент (ЕО) № 726/2004 да се включи изречение, в което да се посочва, че достъпността на данните, съдържащи се в базата данни EudraVigilance, се урежда в съответствие с правата и задълженията, произтичащи от общностното законодателство в областта на защитата на данните,

към предложения член 24 да се добави параграф, в който да се посочва, че се предприемат мерки, които гарантират на субекта на данните възможност да упражнява правото си на достъп до отнасящи се до него лични данни, както е предвидено в член 13 от Регламент (ЕО) № 45/2001,

към предложения член 101 от Директива 2001/83/ЕО да се добави параграф, в който да се посочва, че в случай на обработка на личните му данни лицето бива надлежно информирано в съответствие с член 10 от Директива 95/46/ЕО,

в новопредложените членове 25 и 26 от Регламент (ЕО) № 726/2004 и член 106 от Директива 2001/83/ЕО, които се отнасят до разработването на система за докладване на нежелани ефекти чрез използване на уеб портали, да се включи задължение за въвеждане на необходимите мерки за защита на неприкосновеността на личния живот и мерки за сигурност на едно и също ниво във всички държави-членки, като се вземат предвид основните принципи на поверителност, интегритет, отчитане и наличност на данните.

Съставено в Брюксел на 22 април 2009 година.

Peter HUSTINX

Европейски надзорен орган по защита на данните


(1)  ОВ L 281, 23.11.1995 г., стр. 31.

(2)  ОВ L 8, 12.1.2001 г., стр. 1.

(3)  COM(2008) 664 окончателен и COM(2008) 665 окончателен.

(4)  ОВ L 136, 30.4.2004 г., стр. 1.

(5)  ОВ L 311, 28.11.2001 г., стр. 67.

(6)  Вж. обяснителните меморандуми към двете предложения, стр. 3.

(7)  ОВ 22, 9.2.1965 г., стр. 369.

(8)  Вж. обяснителните меморандуми, стр. 2.

(9)  За определението на „здравни данни“ вж. Становище на ЕНОЗД от 2 декември 2008 г. относно предложението за директива на Европейския парламент и на Съвета относно прилагането на правата на пациентите при трансгранично здравно обслужване, което може да се намери на http://www.edps.europa.eu

(10)  Вж. Европейски съд по правата на човека, 17 юли 2008 г., I v. Finland (жалба № 20511/03), параграф 38 и Европейски съд по правата на човека, 25 ноември 2008 г., Armonas v. Lithuania (жалба № 36919/02), параграф 40.

(11)  Вж. оценката на въздействието, стр. 10.

(12)  Вж. том 9А от Правилата относно лекарствените продукти в Европейския съюз: Насоки за фармакологична бдителност по отношение на лекарствени продукти за хуманна употреба, които се намират на: http://ec.europa.eu/enterprise/pharmaceuticals/eudralex/vol-9/pdf/vol9a_09-2008.pdf

(13)  Вж. Насоките, стр. 57.

(14)  Вж. бележка под линия 13.

(15)  В член 2, буква а) от Директива 95/46/ЕО понятието „лични данни“ се определя като „всяка информация, свързана с идентифицирано лице или подлежащо на идентификация лице („субект на данни“); за подлежащо на идентифициране лице се смята това лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификационен номер или един или повече специфични признаци, отнасящи се до неговата физическа, физиологическа, психологическа, умствена, икономическа, културна или социална самоличност“. В съображение (26) се посочва също така: „… като имат предвид, че за да се определи дали едно лице подлежи на идентификация, следва да се разглежда съвкупността от всички средства, които биха могли да бъдат използвани разумно от администратора или от друго лице с цел идентифицирането на даденото лице“. За по-нататъшен анализ вж. работната група по член 29, Становище 4/2007 относно понятието лични данни (документ WP 136), което е прието на 20 юни 2007 г. и може да се намери на http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm Това има отношение и към Регламент (ЕО) № 45/2001.

(16)  Вж. бележка под линия 13.

(17)  Вж. проекта за политика за достъп на EudraVigilance по отношение на лекарствата за хуманна употреба от 19 декември 2008 г., който се намира на http://www.emea.europa.eu/pdfs/human/phv/18743906en.pdf

(18)  Вж. Оценката на въздействието, стр. 17.

(19)  Вж. бележка под линия 18.

(20)  Вж. предложението на Комисията за директива на Европейския парламент и на Съвета относно стандартите за качество и безопасност на човешките органи, предназначени за трансплантация, COM(2008) 818 окончателен. Вж. становището на ЕНОЗД от 5 март 2009 г., което може да се намери на http://www.edps.europa.eu

(21)  Вж. Становище на ЕНОЗД, точки 11—28.

(22)  Вж. член 2, буква а) от Директива 95/46/ЕО и член 3, буква a) от Регламент (ЕО) № 45/2001, както и по-нататъшните обяснения в бележка под линия 13.

(23)  Псевдонимизацията е процес, който може да се използва за прикриване на самоличността на субекта на данните, като същевременно се запазва възможността за проследяване на данните. Съществуват различни технически възможности за това, напр. защитена поддръжка на списъци на реалните самоличности и псевдонимите, използване на двупосочни криптографски алгоритми и т.н.

(24)  Вж. обяснителните меморандуми, стр. 2—3.

(25)  Вж. посоченото в бележка под линия 7 Становище на ЕНОЗД по предложението за директива относно правата на пациентите при трансгранично медицинско обслужване, точки 32—34.

(26)  Вж. точка 32 от становището.

(27)  Вж. също така бележка под линия 15.