15.8.2009   

CS

Úřední věstník Evropské unie

C 192/6

1.

Dne 8. prosince 2008 přijala Komise návrh směrnice Evropského parlamentu a Rady o jakostních a bezpečnostních normách pro lidské orgány určené k transplantaci (dále pouze „návrh“) (1). Návrh zaslala Komise v souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 evropskému inspektorovi ochrany údajů ke konzultaci.

2.

Cílem návrhu je zajistit vysoké jakostní a bezpečnostní normy pro lidské orgány určené k transplantaci a zajistit tak vysokou úroveň ochrany lidského zdraví. V návrhu se zejména:

3.

Uskutečňování navrhovaných režimů dárcovství orgánů a transplantací vyžaduje zpracovávání osobních údajů týkajících se zdraví („údajů o zdravotním stavu“) dárců a příjemců orgánů pověřenými organizacemi a zdravotnickými pracovníky různých členských států. Tyto údaje jsou považovány za citlivé a vztahují se na ně přísnější pravidla ochrany údajů, jak stanoví článek 8 směrnice 95/46/ES o zvláštních kategoriích údajů.

4.

Přesněji řečeno, údaje o dárcích se zpracovávají v organizacích provádějících odběr, které provedou charakterizaci dárce a orgánu a určí, zda je posuzovaný orgán vhodný k transplantaci (seznam těchto údajů je uveden v příloze návrhu). Údaje o příjemcích (pacientech) se zpracovávají v transplantačních centrech, kde se provádí samotná operace. Ačkoli se údaje o dárci příjemci (a opačně) nesdělují, požaduje se, aby příslušné vnitrostátní orgány zajistily plnou sledovatelnost orgánu od dárce k příjemci (a opačně), což by mělo být možné rovněž v případě přeshraniční výměny orgánů.

5.

Evropský inspektor ochrany údajů vítá, že je v této otázce konzultován a že odkaz na tuto konzultaci je v souladu s článkem 28 nařízení (ES) č. 45/2001 uveden v preambuli návrhu.

6.

Návrh chce podpořit dárcovství orgánů a transplantační postupy, aby se tak zvýšila dostupnost orgánů a snížila úmrtnost čekatelů zařazených do pořadníků na orgány. Doplňuje stávající legislativní rámec s ohledem na používání biologického materiálu lidského původu (2). Navíc je možné jej považovat za část celkového přístupu EU ke stanovování různých typů společných norem v oblasti poskytování zdravotnických služeb v členských státech, jejichž základním cílem je podpořit přeshraniční dostupnost těchto služeb po celé Evropě (3). Evropský inspektor ochrany údajů tento přístup podporuje, jak již uvedl ve stanovisku k právům pacientů v přeshraniční zdravotní péči. Znovu však zdůrazňuje, že je v různých iniciativách v oblasti zdravotnické péče nutný dobře koordinovaný a jednotný pohled na ochranu údajů (4).

7.

V návrhu již byly zohledněny potřeby v oblasti ochrany údajů, a to jak v případě dárců, tak i v případě příjemců orgánů. Nejdůležitějším prvkem je požadavek na zachování anonymity dárců a příjemců (11. a 16. bod odůvodnění, články 10 a 17). V některých částech návrhu je možné dále najít obecné odkazy na ochranu údajů (17. bod odůvodnění, článek 16, čl. 4 odst. 3 písm. a), čl. 15 odst. 3, čl. 19 odst. 1 písm. a) a příloha), jakož i konkrétnější odkazy na potřebu spolupráce s vnitrostátními orgány pro ochranu údajů (čl. 18 písm. f) a čl. 20 odst. 2).

8.

Evropský inspektor ochrany údajů výše uvedený obsah vítá. Rád by však vyjádřil znepokojení nad některými ustanoveními, která nejsou jasně definována nebo rozpracována, a vedou tudíž k dvojznačnosti, což by mohlo ovlivnit jednotné provádění návrhu členskými státy.

9.

Konkrétněji řečeno, je nutné více ujasnit a upřesnit rozporuplné používání pojmů „sledovatelnost orgánů“ a „anonymita dárců a příjemců“. V souvislosti s tím by se měla dále zdůraznit nutnost přijmout přísnější bezpečnostní opatření, pokud jde o ochranu údajů dárců a příjemců na úrovni členských států, zaručit zvýšenou úroveň ochrany údajů v různých evropských zemích a zajistit ochranu údajů při přeshraniční výměně orgánů (v rámci Evropy nebo mimo Evropu).

10.

Toto stanovisko se bude výše uvedenými otázkami zabývat ještě podrobněji s cílem zlepšit stávající obsah v souvislosti s ochranou údajů, a to co do jasnosti i do soudržnosti.

11.

Podle čl. 2 písm. a) směrnice 95/46/ES o ochraně osobních údajů se pod pojmem „osobní údaje“ rozumí: „veškeré informace o identifikované nebo identifikovatelné osobě; identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity“.

12.

Biologický materiál lidského původu, jako jsou orgány, tkáně, buňky nebo krev, je možné definovat jako materiál, který je možné získat z lidského těla. Je sporné, zda je možné tento materiál jako takový považovat za osobní údaje. Tento materiál však může být nesporně použit jako zdroj osobních informací o jeho původci. Biologický materiál se často zpracovává právě kvůli získání těchto informací. A i když to není účelem, bývají k biologickému materiálu takto získané informace přiloženy. V takovýchto situacích platí pravidla směrnice 95/46/ES (5). To znamená, pokud je původce biologického materiálu identifikovaná nebo identifikovatelná (fyzická) osoba.

13.

Jak určit, zda je osoba identifikovatelná, se vysvětluje ve 26. bodě odůvodnění směrnice 95/46/ES: „je třeba brát v úvahu všechny prostředky, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou pro identifikaci dané osoby“. V tomtéž bodě odůvodnění se dále vysvětluje, že pravidla stanovená ve směrnici 95/46/ES neplatí, jestliže se informace týkají osoby, která není nebo již není identifikovatelná: takové údaje se považují za anonymní.

14.

V doporučení (2006) 4 se Rada Evropy zabývá konkrétní otázkou identifikovatelnosti biologického materiálu, přičemž se rozlišuje mezi identifikovatelným a neidentifikovatelným materiálem (6).

15.

Podle uvedeného doporučení je identifikovatelný biologický materiál„takový biologický materiál, který sám nebo spolu s doprovodnými údaji umožňuje identifikaci příslušných osob, a to buď přímou, nebo za použití kódu“ (7). V případě druhé možnosti nemá mít uživatel biologického materiálu přístup ani ke kódu („kódovanému materiálu“), ani ke kódu, který je ve správě třetí strany („související anonymizovaný materiál“). Pracovní skupina článku 29 ve stanovisku 4/2007 o pojetí osobních údajů (dále jen „pracovní skupina podle článku 29“) používá pojem vysledovatelné pseudonymizované údaje, kterým označuje nepřímo identifikovatelné informace o jednotlivcích, které je ještě možné za předem stanovených podmínek použít ke zpětnému vyhledávání a k identifikaci jednotlivců (8). Jako příklad toho, kdy jsou osobní údaje vyjádřeny kódem, přičemž klíč, který v sobě skrývá vztah mezi kódem a společnými identifikátory jednotlivce, se uchovává odděleně, se uvádějí údaje kódované s využitím klíče. Jestliže jsou použité kódy pro každou konkrétní osobu jedinečné, je možná identifikace pomocí kódovacího klíče.

16.

Doporučení se vztahuje rovněž na neidentifikovatelný biologický materiál (neboli „nesouvisející anonymizovaný biologický materiál“), jakožto na „takový biologický materiál, který sám nebo spolu s doprovodnými údaji za přiměřeného úsilí neumožňuje identifikaci dotyčných osob“ (9). Takový materiál se bude považovat za anonymní údaj podle směrnice 95/46/ES.

17.

Z uvedeného vyplývá, že se směrnice 95/46/ES vztahuje na sběr, skladování a zpracovávání identifikovatelných orgánů a na následné získávání informací z těchto orgánů, dokud trvá možnost identifikace osoby za pomoci všech prostředků, které mohou být rozumně použity. Jak se ukáže, stálá sledovatelnost orgánů, jak se předpokládá v navrhované směrnici, zachová možnost identifikace osob v průběhu celého procesu.

18.

Sledovatelností biologického materiálu se rozumí možnost zpětně dohledat původce materiálu a tak jej identifikovat. Jinými slovy, kdykoli je možná sledovatelnost původce biologického materiálu, ať již přímo nebo nepřímo, je možné jej považovat za identifikovatelný a opačně. Pojmy „sledovatelnost“ a „identifikovatelnost“ jsou tudíž spolu v zásadě pevně propojené. Sledovatelnost a anonymita údajů se naopak vylučují. Tyto pojmy jsou protichůdné. Je-li určitá informace skutečně anonymní, není možné jednotlivce identifikovat a zpětně dohledat.

19.

Pokud jde o současný návrh, je sledovatelnost povinným požadavkem, který má být stanoven v rámci národních programů jakosti v jednotlivých členských státech, a to pro obě strany, jak pro dárce, tak i pro příjemce. To znamená, že informace o orgánech jsou identifikovatelné, zatímco informace o dárcích a příjemcích jsou důvěrné. To je rovněž součástí definice sledovatelnosti v článku 3 návrhu: „schopnost příslušného orgánu lokalizovat a identifikovat orgán v každé fázi postupu od darování po transplantaci nebo likvidaci, přičemž tento orgán je za okolností uvedených v této směrnici oprávněn identifikovat dárce a organizaci provádějící odběr, identifikovat příjemce v transplantačním centru, lokalizovat a identifikovat všechny příslušné jiné než osobní údaje týkající se produktů a materiálů přicházejících do styku s orgánem“.

20.

Článek 10 návrhu o sledovatelnosti navíc v prvním odstavci stanoví: „Členské státy zajistí, aby všechny orgány odebrané a přidělené na jejich území mohly být vysledovány od dárce k příjemci a opačně, v zájmu zabezpečení zdraví dárců a příjemců.“ V odstavci 3 téhož článku se uvádí: „Členské státy zajistí, aby a) příslušné orgány nebo jiné subjekty podílející se na postupu od darování po transplantaci nebo likvidaci uchovávaly údaje potřebné k zajištění sledovatelnosti ve všech fázích postupu od darování po transplantaci nebo likvidaci, v souladu s národními programy jakosti; b) údaje požadované pro plnou sledovatelnost byly uchovávány po dobu nejméně 30 let od darování. Tyto údaje lze uchovávat v elektronické podobě.“

21.

Ačkoli proces sledovatelnosti podléhá prováděcím opatřením (viz článek 25 návrhu), jeví se jako nejpravděpodobnější řešení režim nepřímé identifikace dárců a příjemců, který by se měl buď řídit podle směrnice 2004/23/ES (10) o tkáních a buňkách a podle evropského identifikačního kódu, nebo by s nimi aspoň měl být interoperabilní (11). V takovém případě se zpracování týkající se dárců a příjemců v kontextu návrhu týká souvisejícího anonymizovaného biologického materiálů nebo, použijeme-li terminologii z oblasti ochrany údajů, vysledovatelných pseudonymizovaných údajů (viz výše uvedený bod 15), k nimž se vztahují ustanovení směrnice 95/46/ES.

22.

Je však třeba poukázat na to, že navzdory jasným požadavkům na sledovatelnost a identifikovatelnost se v některých částech návrhu v souvislosti s údaji o dárcích a příjemcích používá pojem „anonymita“ nebo „anonymní údaje“. Toto je, jak vyplývá z předchozích bodů, neslučitelné a nesmírně matoucí (12).

23.

Přesněji řečeno, v čl. 10 odst. 2 návrhu, který stanoví nezbytnost identifikačního systému dárců, se uvádí: „Členské státy zajistí provádění identifikačního systému dárců, jehož prostřednictvím lze identifikovat každé darování a každý s tím spojený orgán. Členské státy zajistí, aby tento identifikační systém dárců byl navrhován v souladu s cílem nesbírat, nezpracovávat ani nevyužívat žádné osobní údaje nebo co nejméně osobních údajů. Využije se zejména možnosti použít pseudonym nebo neuvádět jména jedinců.“. (13) Evropský inspektor ochrany údajů je toho názoru, že podtržená slova v tomto odstavci jsou v rozporu s pojmem sledovatelnost, protože není možné mít sledovatelné a identifikovatelné údaje, pokud jsou dárci a příjemci anonymizováni. Kromě toho stojí za povšimnutí, že se tento odstavec vztahuje k identifikaci dárců, přičemž identifikace příjemců (která je rovněž součástí procesu) není zmíněna vůbec.

24.

Výše uvedený rozpor je ještě zjevnější v článku 17 o anonymizaci dárců a příjemců, ve kterém se uvádí: „Členské státy přijmou veškerá nezbytná opatření, aby zajistily anonymizaci všech osobních údajů dárců a příjemců zpracovávaných v rámci oblasti působnosti této směrnice, tak aby nemohla být zjištěna totožnost ani dárce ani příjemce“. Tento článek je v naprostém rozporu s články návrhu věnovanými sledovatelnosti.

25.

Evropský inspektor ochrany údajů se domnívá, že pojem anonymita se zřejmě používá ke zdůraznění potřeby větší důvěrnosti  (14) údajů dárců a příjemců, což znamená, že informace jsou dostupné pouze osobám oprávněným k přístupu. Evropský inspektor ochrany údajů předpokládá, že se anonymizace konkrétněji využívá tak, aby implikovala nepřímé identifikační schéma používané pro dárce a příjemce (15), což může být rovněž matoucí vzhledem k tomu, jakým způsobem je tento pojem používán ve směrnici 2004/23/ES o tkáních a buňkách. Jak již bylo uvedeno dříve, anonymita tady není pro tento účel vyhovující pojem.

26.

Jako příklad toho, jak je možné v procesu transplantace přistupovat k ochraně údajů i ke sledovatelnosti, je možné nalézt v dodatkovém protokolu k Úmluvě o lidských právech a biomedicíně Rady Evropy (16). Tady se místo pojmu anonymita používá pojem důvěrnost. Konkrétněji se v čl. 23 odst. 1 tohoto protokolu uvádí, že „veškeré osobní údaje týkající se osoby, které byly orgány nebo tkáně odebrány, a údaje týkající se příjemce se považují za důvěrné. Tyto údaje je možné sbírat, zpracovávat a sdělovat pouze v souladu s pravidly o profesní důvěrnosti a ochraně osobních údajů.“ Odstavec 2 téhož článku pokračuje takto: „ustanovení odstavce 1 se interpretuje, aniž jsou dotčena ustanovení umožňujcí, s výhradou vhodných ochranných opatření, sběr, zpracovávání a sdělování nutných informací o osobě, jíž byly orgány nebo tkáně odebrány, nebo o příjemci či příjemcích orgánů a tkání, pokud je to nutné z lékařského hlediska, včetně sledovatelnosti, jak je stanoveno v článku 3 tohoto protokolu.“

27.

Na základě uvedených skutečností evropský inspektor ochrany údajů doporučuje změnit znění určitých částí návrhu s cílem vyhnout se nejednoznačnosti a výslovně zohlednit skutečnost, že údaje nejsou anonymní, ale že by se při jejich zpracování měla uplatňovat přísná pravidla důvěrnosti a bezpečnosti. Konkrétně navrhuje evropský inspektor ochrany údajů tyto změny:

28.

Evropský inspektor ochrany údajů navíc navrhuje dále se zabývat potřebou zvýšené ochrany údajů o dárcích a příjemcích prostřednictvím využití přísných bezpečnostních opatření na vnitrostátní i na přeshraniční úrovni; jeho návrhu jsou věnovány následující části tohoto stanoviska.

29.

Jak vyplývá z návrhu, zpracování osobních údajů týkajících se dárců a příjemců se uskutečňuje hlavně na vnitrostátní úrovni, tj. ve střediscích členských států, kde dochází k odběru a k transplantaci. Právě na této úrovni se také vede registr živých dárců. Ačkoli dosud nebyly definovány mechanismy sledovatelnosti, je možné očekávat, že se nějaká aktivita v oblasti kodifikace objeví i na vnitrostátní úrovni, a to i v případě, že se používá evropský systém kódování, protože identifikace dárců a příjemců je možná pouze prostřednictvím příslušných vnitrostátních orgánů.

30.

Nesmírně důležité je provádět politiku v oblasti bezpečnosti informací založenou na přísných a rozumných bezpečnostních opatřeních na úrovni příslušných vnitrostátních služeb, zejména s cílem vyhovět požadavkům na důvěrnost v případě dárců a příjemců uvedeným v návrhu a zabezpečit integritu  (17), vymezení odpovědnosti  (18) a dostupnost  (19) těchto údajů. V tomto ohledu by měla politika v oblasti bezpečnosti informací zahrnovat rovněž prvky fyzické a logické bezpečnosti zaměřené mimo jiné i na kontrolu vkládání, zaznamenávání, předávání a sdělování údajů a na přístup k nim, jakož i na nosiče údajů a kontrolu jejich uchovávání.

31.

Pokud jde o důvěrnost, mohou lékařské údaje o příjemcích (20) i údaje používané pro charakteristiku a ověřování dárců (rovněž ve vztahu k „širší skupině dárců“ (21)) odhalovat o těchto osobách citlivé osobní informace, které mohou ovlivnit rovněž jejich sociální, profesionální a osobní život. Dále je velmi důležitá ochrana údajů pro identifikaci dárců, protože by se žijící dárcové nebo osoby, které daly souhlas s tím, že po smrti darují jeden či více svých orgánů, mohly stát oběťmi obchodování s lidskými orgány a tkáněmi, pokud by tato skutečnost vyšla najevo. Integrita údajů týkajících se orgánů je rovněž velmi zásadní, protože i sebemenší chyba v předávaných informacích může příjemce ohrozit na životě. Totéž platí i o přesnosti údajů o zdravotním stavu dárců před transplantací, protože na základě těchto údajů se zjišťuje, zda je příslušný orgán vhodný či nikoli. Pokud jde o vymezení odpovědnosti, jelikož je do celkového schématu dárcovství a transplantací zahrnuto mnoho různých organizací, měl by existovat způsob, jak by si všechny subjekty byly vědomy odpovědnosti za své aktivity a dokázaly za ně přijmout odpovědnost, například v případě, kdy se údaje pro identifikaci dárců dostanou do rukou neoprávněných osob, nebo kdy nejsou lékařské údaje týkající se orgánů přesné. V neposlední řadě, jelikož je celý systém založen na předávání údajů týkajících se orgánů a na mechanismu sledovatelnosti od dárce k příjemci, měly by tyto údaje být v případě potřeby bez prodlení k dispozici oprávněným osobám (jinak by nedostupnost poškozovala bezproblémové fungování systému).

32.

V tomto ohledu by měly být zavedeny příslušné mechanismy udílení oprávnění, které by navazovaly na konkrétní politiky v oblasti kontroly přístupu, a to jak u vnitrostátních databází, tak i v případě přeshraničních výměn orgánů. Tyto politiky by měly být nejprve definovány v organizační rovině, zejména pokud jde o přesné identifikační postupy u dárců i příjemců (například kdo má přístup k jakým informacím a za jakých okolností). Tímto způsobem budou stanovena práva přístupu spolu se scénáři přístupu, kdy lze tato práva uplatňovat (např. okolnosti a postup pro zpřístupňování údajů organizací provádějící odběr příslušnému orgánu, určité případy, kdy je třeba příjemci zpřístupnit identitu dárce, pokud takové situace nastanou, a postupy, jak to provést, atd.). Aby tyto politiky byly účinné, měla by se na osoby provádějící zpracování vztahovat zvláštní pravidla důvěrnosti.

33.

Jakmile budou tyto politiky stanoveny, mohou se provádět na technické úrovni, tj. pokud jde o kontrolu přístupu uživatele do systému a o žádosti na základě předem definovaných přístupových práv. K tomu je možné využívat vyzkoušené technologie jako šifrování a digitální certifikáty  (22) (např. založené na schématech infrastruktury veřejných klíčů) (23). K omezení přístupových práv uživatele na základě úlohy v procesu lze využít rovněž ověřovací mechanismy založené na úlohách (např. možnost měnit lékařské údaje příjemců a dárců ve vnitrostátních databázích by měli mít pouze lékaři).

34.

Kontrola přístupu by měla být doplněna o možnost zaznamenávání činnosti uživatelů (např. přístup k lékařským údajům pro čtení a psaní), zejména pokud se používají elektronické systémy. Měla by se rovněž zavést fyzická a logická bezpečnostní opatření, aby se zajistilo plné fungování databází dárců a orgánů jakožto ústřední prvek navrhovaného systému v oblasti dárcovství a transplantací. Za základní kámen systému by se měla považovat dostupnost údajů. V tomto ohledu by měla politika v oblasti bezpečnosti informací vycházet z řádné analýzy a posouzení rizika a měla by rovněž zahrnovat prvky, jako jsou mimořádné události a řízení kontinuity provozu. Všechny tyto prvky by se měly udržovat a zlepšovat za pomoci pravidelného procesu monitorování a přezkumu. Účinnost a systém mohou zlepšit rovněž nezávislé audity, při nichž by se věnovala zvláštní pozornost používání pseudonymů, sledovatelnosti a postupům při předávání údajů.

35.

Evropský inspektor ochrany údajů by byl rád, kdyby se v kontextu navrhované směrnice kladl větší důraz na potřebu takových opatření.

36.

V článku 16 návrhu věnovanému ochraně osobních údajů, důvěrnosti a bezpečnosti zpracování se uvádí: „Členské státy zajistí plné a účinné dodržování základního práva na ochranu osobních údajů při všech činnostech souvisejících s transplantací orgánů v souladu s předpisy Společenství o ochraně osobních údajů, jako je směrnice 95/46/ES a zejména čl. 8 odst. 3, články 16, 17 a čl. 28 odst. 2 uvedené směrnice.“ Evropský inspektor ochrany údajů doporučuje, aby byl k tomuto článku doplněn ještě druhý odstavec, v němž by se popisovaly základní zásady zajišťování bezpečnosti na úrovni členských států, včetně minimálního odkazu na tyto body:

37.

Evropský inspektor ochrany údajů doporučuje, aby se výše uvedené prvky začlenily do článku 16 a pak aby se dále upřesnily v rámci prováděcích opatření článku 25, zejména odst. 1 písm. a), b) a c).

38.

Přeshraniční výměna orgánů bude v praxi vždy zahrnovat zpracování osobních údajů, protože orgány (i když se použije kódování) zůstávají prostřednictvím příslušných vnitrostátních orgánů (nepřímo) identifikovatelné.

39.

Evropský inspektor ochrany údajů již vyjádřil své stanovisko ohledně potřeb v oblasti bezpečnosti, pokud jde o ochranu osobních údajů v přeshraniční zdravotní péči v rámci Evropy, v němž zdůraznil mimo jiné potřebu harmonizace politik v oblasti bezpečnosti informací mezi členskými státy, aby tak bylo dosaženo rozumné úrovně ochrany údajů (24). Doporučil, aby byl tento prvek uveden rovněž v současném návrhu, konkrétněji v 17. bodě odůvodnění, ve kterém je zmíněno ustanovení směrnice 95/46/ES o bezpečnosti zpracování.

40.

V tomto konkrétním případě je významným parametrem pro zajištění bezpečnosti přeshraniční výměny údajů mechanismus sledovatelnosti, který má být zaveden. Za tímto účelem je třeba kromě bezpečnostních opatření uplatňovaných na úrovni členských států věnovat zvláštní pozornost možnostem používání pseudonymů k identifikaci dárců a příjemců (např. typu kodifikace, možnosti dvojí kodifikace atd.) a zachování interoperability se systémy identifikace tkáně a buněk.

41.

Evropský inspektor ochrany údajů doporučuje, aby byl k tomuto bodu uveden konkrétní odkaz v článku 25 navrhované směrnice věnovaném prováděcím opatřením, tím že by se změnil odst. 1 písm. b) takto: „postupy pro zajištění plné sledovatelnosti orgánů, včetně požadavků na označování, při současném zajištění důvěrného charakteru dárců a příjemců v průběhu celého procesu sledovatelnosti a zachování interoperability se systémem identifikace tkání a buněk.“

42.

Ještě důležitější jsou potřeby v oblasti bezpečnosti při výměně údajů se třetími zeměmi, kde není pokaždé možné zaručit odpovídající úroveň ochrany údajů. Zvláštní režim pro předávání osobních údajů třetím zemím je stanoven v článcích 25 a 26 směrnice 95/46/ES. Evropský inspektor ochrany údajů si je vědom skutečnosti, že požadavky na ochranu údajů by neměly bránit rychlému a účelnému předávání orgánů, což je v rámci systému dárcovství orgánů nutné a někdy to může být dokonce otázka života a smrti. Měly by se tedy prověřit možnosti předávání navzdory nedostatečnému zajištění odpovídající úrovně ochrany údajů ve třetích zemích obecně. Je třeba mít na paměti, že vzhledem k nepřímé povaze identifikace jednotlivců na přeshraniční úrovni a vzhledem ke skutečnosti, že nad systémem vykonávají celkový dohled příslušné vnitrostátní orgány, hrozí s největší pravděpodobností menší rizika než na vnitrostátní úrovni (25).

43.

Proto je evropský inspektor ochrany údajů toho názoru, že příslušný orgán, který je odpovědný za povolení těchto předávání, by měl konzultovat vnitrostátní orgán pro ochranu údajů, aby s ohledem na možná omezení uvedená v článku 26 směrnice 95/46/ES vypracoval potřebný rámec pro bezpečné, ale zároveň i rychlé a účelné předávání údajů o orgánech do třetích zemí a ze třetích zemí. Evropský inspektor ochrany údajů doporučuje, aby byl odkaz na tento bod uveden v článku 21 věnovaném výměně orgánů se třetími zeměmi nebo v příslušném 15. bodě odůvodnění.

44.

Na závěr evropský inspektor ochrany údajů naléhavě vyzývá zákonodárce, aby s ohledem na článek 25 ve všech případech, kdy se jedná o prováděcí opatření mající vliv na ochranu a bezpečnost údajů, zajistil, aby byly konzultovány všechny příslušné zúčastněné strany včetně evropského inspektora ochrany údajů a pracovní skupiny podle článku 29.

45.

Evropský inspektor ochrany údajů vzal na vědomí iniciativu v oblasti zajištění vysokých jakostních a bezpečnostních norem pro lidské orgány určené k transplantaci, kterou je možné považovat za součást celkového přístupu ES ke stanovení společných norem na podporu přeshraniční dostupnosti služeb zdravotní péče v Evropě.

46.

Tento návrh již uvážil potřeby dárců a příjemců orgánů v oblasti ochrany údajů, zejména požadavek na zachování důvěrnosti, pokud jde o jejich totožnost. Evropský inspektor ochrany údajů však vyslovuje politování nad tím, že některé z těchto ustanovení jsou vágní, nejednoznačná nebo obecná, a z toho důvodu doporučuje řadu změn, aby se zlepšil současný obsah návrhu, pokud jde o ochranu údajů.

47.

Evropský inspektor ochrany údajů v prvé řadě upozorňuje na stávající rozpor mezi pojmy sledovatelnost a anonymita používanými v uvedeném návrhu. S ohledem na to doporučuje konkrétní změny formulací určitých částí návrhu (zejména v 16. bodě odůvodnění, čl. 10 odst. 2 a v článku 17) s cílem vyhnout se nejednoznačnosti a výslovně zohlednit skutečnost, že údaje nejsou anonymní, ale že by se při jejich zpracování měla uplatňovat přísná pravidla důvěrnosti a bezpečnosti.

48.

Navíc doporučuje, aby se více zdůraznila potřeba přijmout výrazná bezpečnostní opatření na vnitrostátní úrovni. Za tímto účelem by bylo možné doplnit v článku 16 druhý odstavec, v němž by byly popsány základní zásady pro zajištění bezpečnosti na úrovni členských států, a dále upřesnit tyto zásady jako součást prováděcích opatření čl. 25 odst. 1. K navrhovaným zásadám bezpečnosti patří:

49.

Pokud jde o přeshraniční výměnu orgánů, evropský inspektor ochrany údajů doporučuje, aby byla v 17. bodě odůvodnění uvedena potřeba harmonizace politik členských států v oblasti bezpečnosti informací. Navíc by se měla zvláštní pozornost věnovat možnostem používání pseudonymů pro identifikaci dárců a příjemců a zachování interoperability se systémem identifikace tkání a buněk. Evropský inspektor ochrany údajů doporučuje, aby byl na tento bod zvláštní odkaz v čl. 25 odst. 1 písm. b) návrhu.

50.

Ohledně výměny orgánů se třetími zeměmi evropský inspektor ochrany údajů doporučuje, aby bylo v článku 21 nebo v příslušném 15. bodě odůvodnění návrhu uvedeno, že příslušný orgán bude konzultovat vnitrostátní orgán pro ochranu údajů za účelem vytvoření nezbytného rámce pro bezpečné, ale i rychlé a účelné předávání údajů o orgánech třetím zemím a ze třetích zemí.

51.

V neposlední řadě evropský inspektor ochrany údajů doporučuje, aby ve všech případech, kdy se provádějí opatření mající vliv na ochranu a bezpečnost údajů, byly konzultovány všechny příslušné zúčastněné strany včetně evropského inspektora ochrany údajů a pracovní skupiny podle článku 29.