23.9.2009   

SK

Úradný vestník Európskej únie

C 229/19

1.

Komisia 10. decembra 2008 prijala v súvislosti so zmenou a doplnením nariadenia (ES) č. 726/2004 a smernice 2001/83/ES (3) dva návrhy. Nariadenie Európskeho parlamentu a Rady (ES) č. 726/2004 stanovuje postupy Spoločenstva pri povoľovaní liekov na humánne použitie a na veterinárne použitie a pri vykonávaní dozoru nad týmito liekmi a zriaďuje Európsku agentúru pre lieky (ďalej len „EMEA“) (4). Smernica Európskeho parlamentu a Rady 2001/83/ES obsahuje pravidlá zákonníka Spoločenstva o liekoch na humánne použitie, ktoré sa zaoberajú konkrétnymi postupmi na úrovni členských štátov (5). Navrhované zmeny a doplnenia súvisia s tými časťami v oboch uvedených nástrojoch, ktoré sa týkajú farmakovigilancie v súvislosti s liekmi na humánne použitie.

2.

Farmakovigilancia sa môže definovať ako veda a aktivity súvisiace so zisťovaním, hodnotením, pochopením nežiaducich účinkov liekov a s prevenciou pred nimi (6). Systém farmakovigilancie v súčasnosti platný v Európe umožňuje, aby pacienti a odborný zdravotnícky personál oznamovali nežiaduce účinky liekov príslušným verejným a súkromným orgánom na vnútroštátnej a európskej úrovni. EMEA spravuje celoeurópsku databázu (databáza EudraVigilance) ako centralizované miesto pre riadenie a hlásenie podozrivých nežiaducich účinkov liekov.

3.

Farmakovigilancia sa považuje za nevyhnutný doplnok systému udeľovania povolení pre lieky v Spoločenstve, ktorý má počiatky v roku 1965, kedy bola prijatá smernica Rady 65/65/EHS (7).

4.

Ako vyplýva z dôvodovej správy a z hodnotenia vplyvu pripojených k návrhom, súčasný farmakovigilančný systém má celý rad nedostatkov vrátane nejednoznačnosti, pokiaľ ide o úlohy a zodpovednosti jednotlivých zúčastnených subjektov, zložité postupy hlásenia nežiaducich účinkov liekov, potrebu posilniť transparentnosť a poskytovanie informácií o bezpečnosti liekov a potrebu racionalizácie plánovania riadení rizík spojených s liekmi.

5.

Všeobecným zámerom týchto dvoch návrhov je napraviť tieto nedostatky a zlepšiť a posilniť farmakovigilačný systém Spoločenstva v záujme dosiahnutia celkového cieľu, ktorým je lepšia ochrana verejného zdravia, zaručenie riadneho fungovania vnútorného trhu a zjednodušenie existujúcich pravidiel a postupov (8).

6.

Celkové spravovanie súčasného farmakovigilančného systému spočíva na spracovaní osobných údajov. Tieto údaje sú obsiahnuté v hláseniach o nežiaducich účinkoch liekov a môžu sa považovať za údaje súvisiace so zdravím („údaje o zdravotnom stave“) dotknutých osôb, keďže poskytujú informácie o užívaní liekov a s tým spojených zdravotných problémov. Spracovanie takýchto údajov podlieha prísnym pravidlám o ochrane údajov stanoveným v článku 10 nariadenia (ES) č. 45/2001 a v článku 8 smernice 95/46/ES (9). Dôležitosť ochrany týchto údajov v súvislosti s článkom 8 Európskeho dohovoru o ľudských právach nedávno opakovane zdôraznil Európsky súd pre ľudské práva: „Ochrana osobných, osobitne lekárskych údajov má pre každého zásadný význam pri využívaní práv na rešpektovanie súkromného a rodinného života tak, ako to zaručuje článok 8 dohovoru“ (10).

7.

V súčasnom znení nariadenia (ES) č. 726/2004 a smernice 2001/83/ES sa však napriek tomu nenachádza žiadny odkaz na ochranu údajov, okrem jedného konkrétneho odkazu v nariadení, o ktorom sa bude hovoriť v bode 21 a ďalších.

8.

Európsky dozorný úradník pre ochranu údajov (EDPS) s ľútosťou konštatuje, že v navrhovaných zmenách a doplneniach sa neuvažuje o aspektoch ochrany údajov a že napriek ustanoveniam článku 28 ods. 2 nariadenia (ES) č. 45/2001, sa s ním pri žiadnom z týchto dvoch návrhov na zmeny a doplnenia neuskutočnili formálne konzultácie. Súčasné stanovisko sa preto zakladá na článku 41 ods. 2 toho istého nariadenia. EDPS odporúča, aby sa odkaz na toto stanovisko uviedol v preambule oboch návrhov.

9.

EDPS konštatuje, že aj keď sa ochrana údajov neberie dostatočne do úvahy v súčasnom právnom rámci pre farmakovigilanciu ani v návrhoch, praktické používanie centrálneho systému EudraVigilance Spoločenstva jasne otvára otázky ochrany údajov. EMEA preto v júni 2008 na základe článku 27 nariadenia (ES) č. 45/2001 oznámila európskemu úradníkovi pre ochranu údajov súčasný systém EudraVigilance na predbežnú kontrolu.

10.

Predkladané stanovisko a závery EDPS o predbežnej kontrole (ktorej uverejnenie sa očakáva v priebehu tohto roka) sa nevyhnutne budú v určitých veciach prelínať. Oba dokumenty sa však zameriavajú na niečo iné: zatiaľ čo sa toto stanovisko sústredí na všeobecný právny rámec podporujúci systém, ako to vyplýva z nariadenia (ES) č. 726/2004 a smernice 2001/83/ES a z navrhovaných zmien a doplnení k nim, predbežná kontrola predstavuje podrobnú analýzu ochrany údajov, ktorá sa sústreďuje na to, ako sa súčasné pravidlá ďalej zapracovávajú do následných nástrojov (napríklad do rozhodnutí a usmernení), ktoré vydáva EMEA alebo Komisia a EMEA spoločne a na to, ako systém EudraVigilance funguje v praxi.

11.

V tomto stanovisku sa v prvej časti uvádza zjednodušené vysvetlenie farmakovigilančného systému v EÚ tak, ako vyplýva z nariadenia (ES) č. 726/2004 a smernice 2001/83/ES v ich súčasnom stave. Následne sa analyzuje potreba spracovania osobných údajov v kontexte farmakovigilancie. Potom sa bude hovoriť o návrhoch Komisie na zlepšenie súčasného a predpokladaného právneho rámca a uvedú sa odporúčania o tom, ako zabezpečiť a zlepšiť normy ochrany údajov.

12.

Na zbere a šírení informácií o nežiaducich účinkoch liekov sa v Európskej únii zúčastňuje niekoľko subjektov. Na národnej úrovni sú dvoma hlavnými subjektami držitelia povolenia na uvedenie na trh (spoločnosti, ktoré majú povolenie uvádzať na trh lieky) a príslušné vnútroštátne orgány (orgány zodpovedné za udelenie tohto povolenia). Príslušné vnútroštátne orgány povoľujú lieky na základe vnútroštátnych postupov, medzi ktoré patrí postup vzájomného uznávania a decentralizovaný postup (11). Aj Európska komisia môže konať ako príslušný orgán, pokiaľ ide o lieky, ktoré sú povolené prostredníctvom takzvaného centralizovaného postupu. Ďalším dôležitým subjektom na európskej úrovni je EMEA. Jednou z úloh tejto agentúry je zabezpečovať šírenie informácií o nežiaducich reakciách na lieky povolené v Spoločenstve prostredníctvom databázy, ktorou je už spomenutá databáza EudraVigilance,.

13.

V smernici 2001/83/ES sa vo všeobecnosti hovorí o zodpovednosti členských štátov spravovať farmakovigilančný systém, v ktorom sa zhromažďujú informácie „užitočné pre dozor nad liekmi“ (článok 102). Na základe článku 103 a 104 smernice 2001/83/ES [pozri aj článok 23 a 24 nariadenia (ES) č. 726/2004] musia mať držitelia povolenia na uvedenie na trh zavedený vlastný farmakovigilančný systém, aby mohli prevziať zodpovednosť a záväzky za svoje produkty na trhu a zabezpečiť, aby sa podľa potreby mohli prijať primerané opatrenia. Informácie sa zbierajú od odborného zdravotníckeho personálu alebo priamo od pacientov. Držitelia povolenia na uvedenie na trh musia príslušnému orgánu elektronicky nahlasovať všetky informácie dôležité pre pomer rizika a prínosu lieku.

14.

Samotná smernica 2001/83/ES nie je veľmi presná, pokiaľ ide o to, aký druh informácií o nežiaducich účinkoch by sa mal na vnútroštátnej úrovni zbierať, ako by sa tieto informácie mali uchovávať alebo oznamovať. Článok 104 a 106 odkazuje len na „správy“, ktoré sa majú pripravovať. Podrobnejšie pravidlá o týchto správach je možné nájsť v pokynoch, ktoré po porade s EMEA, členskými štátmi a zainteresovanými stranami vypracovala na základe článku 106 Komisia. V týchto pokynoch o farmakovigilancii pre oblasť liekov na humánne použitie, (ďalej len: „pokyny“) je uvedený odkaz na takzvané „bezpečnostné správy jednotlivých prípadov“ (ďalej len: „ICSR“), čo sú správy o nežiaducich účinkoch liekov na konkrétneho pacienta (12). Z týchto pokynov vyplýva, že jednou z minimálnych informácií požadovaných v ICSR je „identifikovateľný pacient“ (13). Uvádza sa, že pacient sa môže dať identifikovať pomocou iniciálok, čísla pacienta, dátumu narodenia, váhy, výšky a pohlavia, registračného čísla, ktoré mu pridelila nemocnica, svojej anamnézy alebo informácií o svojich rodičoch (14).

15.

Zdôrazňovaním identifikateľnosti pacienta sa spracovanie týchto informácií jasne približuje k obsahu pravidiel o ochrane údajov stanovených v smernici 95/46/ES. Aj keď sa pacient nespomína menom, je za určitých podmienok (napríklad v malých komunitách alebo malých mestách) možná jeho identifikácia, keď sa príslušné informácie pospájajú (napríklad nemocnica, dátum narodenia, iniciálky). Informácie spracúvané v súvislosti s farmakovigilanciou by sa preto mali v zásade považovať za údaje súvisiace s identifikovateľnými fyzickými osobami v zmysle článku 2 písm. a) smernice 95/46/ES (15). Aj keď toto nie je jasné ani v nariadení ani v smernici, uznáva sa to v pokynoch, kde sa uvádza, že informácie by mali byť čo najúplnejšie pri zohľadnení právnych predpisov EÚ o ochrane údajov (16).

16.

Musí sa zdôrazniť, že napriek pokynom, nie je oznamovanie nežiaducich účinkov na vnútroštátnej úrovni ešte ani zďaleka jednotné. Táto otázka sa ďalej rozoberá v bodoch 24 a 25.

17.

Vo farmakovigilančnom systéme EÚ zohráva kľúčovú úlohu databáza EudraVigilance, ktorú spravuje EMEA. Ako sa už uviedlo, EudraVigilance je centralizovanou sieťou na spracovanie údajov a riadiacim systémom pre oznamovanie a hodnotenie podozrivých nežiaducich reakcií počas vývoja liekov a po povolení na ich uvedenie na trh v rámci Európskeho spoločenstva a krajín, ktoré sú súčasťou Európskeho hospodárskeho priestoru. Právny základ pre databázu EudraVigilance je uvedený v článku 57 ods. 1 písm. d) nariadenia (ES) č. 726/2004.

18.

Súčasnú databázu EudraVigilance tvoria dve časti, konkrétne 1) informácie získané z klinických pokusov (ktoré sa robia pred tým, ako sa liek uvedie na trh, s názvom obdobie „pred udelením povolenia“) a 2) informácie pochádzajúce zo správ o nežiaducich účinkoch (zhromaždené potom, s názvom obdobie „po udelení povolenia“). Toto stanovisko kladie dôraz na obdobie „po udelení povolenia“, keďže navrhované zmeny a doplnenia sa sústreďujú na túto časť.

19.

Databáza EudraVigilance obsahuje údaje o pacientoch vyplývajúce z ICSR. EMEA dostáva ICSR od príslušných vnútroštátnych orgánov [pozri článok 102 smernice 2001/83/ES a článok 22 nariadenia (ES) č. 726/2004] a v niektorých prípadoch priamo od držiteľov povolení na uvedenie na trh [pozri článok 104 smernice 2001/83/ES a článok 24 nariadenia (ES) č. 726/2004].

20.

Toto stanovisko kladie dôraz na spracovanie osobných informácií o pacientoch. Malo by sa však poznamenať, že databáza EudraVigilance obsahuje aj osobné informácie o ľuďoch pracujúcich pre vnútroštátne príslušné orgány alebo pre držiteľov povolení na uvedenie na trh, keď do tejto databázy poskytujú informácie. V systéme sa uchováva celé meno, adresa, kontaktné údaje, identifikačné údaje dokumentu týchto ľudí. Ďalšou kategóriou osobných informácií sú údaje o takzvaných osobách zodpovedných za farmakovigilanciu, ktorých menujú držitelia povolenia na uvedenie na trh na základe uvedenom v článku 103 smernice 2001/83/ES. Je zrejmé, že práva a povinnosti vyplývajúce z nariadenia (ES) č. 45/2001 sa v plnej miere uplatňujú na spracovanie týchto informácií.

21.

V článku 57 ods. 1 písm. d) nariadenia (ES) č. 726/2004 sa uvádza, že databáza by mala byť stále prístupná pre všetky členské štáty. Zdravotnícki pracovníci, držitelia povolení na uvedenie na trh a verejnosť musia mať okrem toho primerané úrovne prístupu do tejto databázy, pričom bude zaručená ochrana osobných údajov. Ako už bolo uvedené v bode 7, toto je jediné ustanovenie v oboch predpisoch, nariadení aj smernici 2001/83/ES, v ktorom sa uvádza odkaz na ochranu údajov.

22.

Článok 57 ods. 1 písm. d) viedol k tomuto postupu v súvislosti s prístupom. Keď EMEA dostane ICSR, vloží ju priamo do centrálnej databázy EudraVigilance (EudraVigilance Gateway), ku ktorej má úplný prístup EMEA, vnútroštátne príslušné orgány, ako aj Komisia. Potom, čo EMEA validuje ICSR (skontroluje pravosť a jedinečnosť), sa informácie z ICSR prenesú do skutočnej databázy. EMEA, vnútroštátne príslušné orgány a Komisia majú do databázy úplný prístup, pričom držitelia povolení na uvedenie na trh majú do nej prístup s určitými obmedzeniami, konkrétne majú prístup len k tým údajom, ktoré sami poskytli EMEA. Súhrnné informácie o ICSR sa nakoniec vkladajú na internetovú stránku EudraVigilance, ku ktorej má prístup široká verejnosť vrátane odborného zdravotníckeho personálu.

23.

EMEA 19. decembra 2008 uverejnila na svojej internetovej stránke na verejnú diskusiu návrh politiky prístupu (17). V tomto dokumente je uvádza, ako EMEA očakáva vykonávanie článku 57 ods. 1 písm. d) nariadenia (ES) č. 726/2004. EDPS sa k tejto otázke stručne vráti v bode 48 a ďalších bodoch.

24.

Hodnotenie vplyvu, ktoré urobila Komisia, odhaľuje celý rad nedostatkov súčasného farmakovigilančného systému Spoločenstva, ktorý sa považuje za zložitý a nejasný. Zložitý systém zberu údajov, uchovávania a zasielania rôznymi subjektami na vnútroštátnej aj európskej úrovni sa uvádza ako jeden z najväčších nedostatkov. Táto situácia sa ešte ďalej komplikuje tým, že smernica 2001/83/ES sa v členských štátoch vykonáva rôznymi spôsobmi (18). V dôsledku toho sa vnútroštátne príslušné orgány aj EMEA často stretávajú s prípadmi neúplnými alebo duplicitnými hláseniami o nežiaducich reakciách na lieky (19).

25.

Je to kvôli tomu, že aj keď je obsah ICSR popísaný v uvedených pokynoch, rozhodnutie o tom, ako sa tieto hlásenia budú podávať na vnútroštátnej úrovni, sa ponecháva na členské štáty. Toto zahŕňa tak komunikačné prostriedky, ktoré pri hlásení vnútroštátnym príslušným orgánom používajú držitelia povolení na uvedenie na trh, ako aj skutočné informácie zahrnuté v hláseniach (na hlásenia sa v Európe nepoužíva žiadna štandardizovaná forma). Okrem toho, niektoré vnútroštátne príslušné orgány môžu na prijateľnosť hlásení uplatňovať špecifické kritériá kvality (v závislosti od obsahu hlásení, miery úplnosti, atď.), zatiaľ čo v iných krajinách to tak nemusí byť. Je zrejmé, že prístup použitý pre hlásenia a hodnotenie kvality ICSR na vnútroštátnej úrovni má priamy vplyv na spôsob, akým sa dávajú hlásenia agentúre EMEA, t.j. do databázy EudraVigilance.

26.

EDPS by chcel zdôrazniť, že uvedené nedostatky nevedú len k praktickým nepríjemnostiam, ale predstavujú aj značnú hrozbu pre ochranu údajov o zdravotnom stave občanov. Aj keď, ako bolo uvedené v predošlých odsekoch, údaje o zdravotnom stave sa spracovávajú v niekoľkých etapách farmakovigilančného operačného procesu, v súčasnosti neexistujú žiadne ustanovenia na ochranu týchto údajov. Jedinou výnimkou je všeobecný odkaz na ochranu údajov v článku 57 ods. 1 písm. d) nariadenia (ES) č.726/2004, ktorý sa vzťahuje len na poslednú etapu spracovania údajov, konkrétne na dostupnosť údajov v databáze EudraVigilance. Okrem toho, nejasnosti v súvislosti s úlohami a zodpovednosťami rôznych subjektov zapojených do spracovávania údajov, ako aj chýbajúce konkrétne normy na samotné spracovanie ohrozujú dôverný charakter, integritu spracovávaných osobných údajov a zodpovednosť za ne.

27.

EDPS chce preto zdôrazniť, že aj chýbajúca dôkladná analýza ochrany údajov, premietnutá do právneho rámca, ktorý predstavuje základ farmakovigilančného systému v EÚ, sa musí považovať za jeden z nedostatkov súčasného systému. Zmeny a doplnenia súčasných právnych predpisov by tento nedostatok mali napraviť.

28.

EDPS by ako vec predbežného a všeobecného záujmu chcel otvoriť otázku, či je spracovanie údajov o zdravotnom stave identifikovateľných fyzických osôb skutočne nevyhnutné vo všetkých etapách farmakovigilančného systému (na vnútroštátnej, ako aj na európskej úrovni).

29.

Ako už bolo vysvetlené, v ICSR sa pacient nespomína menom a ako taký sa nedá identifikovať. V určitých prípadoch, ak by sa pospájali rôzne informácie uvedené v ICSR, by sa však pacient mohol dať identifikovať. Ako v niektorých prípadoch vyplýva z pokynov, pacient dostáva konkrétne číslo, z čoho vyplýva, že systém ako celok umožňuje vysledovať dotknutú osobu. Ani smernica ani nariadenie však neuvádzajú odkaz na sledovateľnosť osôb ako súčasť účelu farmakovigilančného systému.

30.

EDPS preto nalieha na zákonodarcu, aby upresnil, či sledovateľnosť skutočne slúži na rôznych úrovniach spracovania na účely farmakovigilancie, konkrétnejšie v rámci databázy EudraVigilance.

31.

V tomto ohľade je poučné porovnanie s predpokladaným systémom pre darcovstvo orgánov a transplantácie (20). V súvislosti s transplantáciou orgánov je mimoriadne dôležité vysledovať orgán späť k jeho darcovi, ako aj recipienta orgánu, najmä v prípadoch vážnych nežiaducich situácií alebo reakcií.

32.

V kontexte farmakovigilancie však EDPS nemá dostatočné dôkazy, aby dospel k záveru, že sledovateľnosť je v skutočnosti vždy potrebná. Farmakovigilancia sa týka hlásenia nežiaducich účinkov liekov, ktoré užíva (najviac) neznámy počet ľudí a ktoré bude aj (najviac) neznámy počet ľudí užívať. Preto existuje – v každom prípade v období „po udelení povolenia“ – menej automatické a menej individuálne prepojenie medzi informáciami o nežiaducich účinkoch a dotknutou osobou ako v prípade informácií o orgánoch a osobách zúčastňujúcich sa na transplantácii konkrétneho orgánu. Je zrejmé, že pacienti, ktorí užili určitý liek a nahlásili nežiaduce účinky, majú záujem dozvedieť sa výsledky každého ďalšieho posúdenia. Z tohto však nevyplýva, že nahlásené informácie by počas celého farmakovigilančného procesu mali byť v každom prípade prepojené s touto konkrétnou osobou. V mnohých prípadoch by malo stačiť prepojiť informácie o nežiaducich účinkoch so samotným liekom, čím sa umožní, aby príslušné subjekty, možno prostredníctvom odborného zdravotníckeho personálu, vo všeobecnosti informovali pacientov o dôsledkoch určitého lieku, ktorý užívajú alebo užívali.

33.

Ak sa v konečnom dôsledku predpokladá sledovateľnosť, EDPS by chcel pripomenúť analýzu uvedenú v jeho stanovisku k návrhu Komisie pre smernicu o normách kvality a bezpečnosti ľudských orgánov určených na transplantáciu. V tomto stanovisku vysvetlil vzťah medzi sledovateľnosťou, identifikovateľnosťou, anonymitou a dôverným charakterom údajov. Identifikovateľnosť je pojem, ktorý je v právnych predpisoch o ochrane údajov kľúčový (21). Pravidlá o ochrane údajov sa vzťahujú na údaje o osobách, ktoré sú identifikované alebo identifikovateľné (22). Sledovanie údajov až ku konkrétnej osobe sa môže postaviť do jednej rady spolu s identifikovateľnosťou. Protikladom identifikovateľnosti, a teda sledovateľnosti, je v právnych predpisoch týkajúcich sa ochrany údajov anonymita. Údaje sa považujú za anonymné len vtedy, keď nie je možné identifikovať (alebo spätne vysledovať) osobu, na ktorú sa vzťahujú údaje. Pojem „anonymita“ znamená preto niečo iné, než to, čo sa pod týmto slovom chápe v bežnom živote, konkrétne to, že z údajov ako takých sa nedá identifikovať jednotlivec, napríklad preto, že jeho meno bolo vymazané. V takýchto situáciách sa hovorí o dôvernom charaktere údajov, čo znamená, že informácie sú (v plnom rozsahu) k dispozícii len tým, ktorí majú povolenie na prístup. Zatiaľ čo sledovateľnosť a anonymita nemôžu existovať spoločne, sledovateľnosť a dôverný charakter môžu.

34.

Zachovanie identifikovateľnosti pacientov počas celého farmakovigilančného procesu by sa okrem sledovateľnosti mohlo odôvodniť aj dobrým fungovaním systému. EDPS chápe, že vtedy, keď sa informácie vzťahujú na identifikovateľného a preto jedinečného človeka, relevantné príslušné orgány (t.j. príslušné vnútroštátne orgány a EMEA) môžu ľahšie monitorovať a kontrolovať obsah ICSR (napr. aby zabránili duplicite). Aj keď EDPS chápe, že takýto kontrolný mechanizmus je potrebný, nie je presvedčený, že toto samé o sebe by odôvodnilo zachovávanie identifikovateľných údajov vo všetkých etapách farmakovigilančného procesu a najmä v databáze EudraVigilance. Lepším štruktúrovaním a koordináciou systému hlásenia, napríklad prostredníctvom decentralizovaného systému, ako sa uvádza v bode 42 a ďalších, by sa duplicite mohlo vyhnúť už na vnútroštátnej úrovni.

35.

EDPS uznáva, že za osobitných okolností je nemožné anonymizovať údaje. Napríklad vtedy, keď určité lieky užíva len veľmi malá skupina ľudí. V takýchto prípadoch by mali existovať osobitné záruky, aby sa splnili povinnosti vyplývajúce z právnych predpisov o ochrane údajov.

36.

A na záver, EDPS má vážne pochybnosti o tom, či je sledovateľnosť potrebná v každej etape farmakovigilančného procesu alebo či je v každej etape potrebné používať údaje o identifikovateľných pacientoch. EDPS si uvedomuje skutočnosť, že nie vždy je možné vylúčiť spracovanie identifikovateľných údajov v každej etape, najmä na vnútroštátnej úrovni, kde sa informácie o nežiaducich účinkoch v skutočnosti zbierajú. Ochrana údajov si však vyžaduje, aby sa údaje o zdravotnom stave spracovávali len vtedy, keď je to skutočne nevyhnutné. Používanie identifikovateľných údajov by sa malo preto v čo najskoršej etape v prípadoch, kedy sa nepovažuje za nevyhnutné, čo najviac zredukovať, malo by sa mu predchádzať alebo by malo úplne prestať. EDPS preto nalieha na zákonodarcov, aby opätovne posúdili využívanie takýchto informácií na európskej, ako aj na vnútroštátnej úrovni.

37.

Je potrebné uviesť, že v prípadoch, kedy existuje skutočná potreba spracovať identifikovateľné údaje alebo keď sa údaje nemôžu anonymizovať (pozri bod 35), mali by sa preskúmať technické možnosti nepriamej identifikácie dotknutých osôb, napr. využívaním mechanizmov pseudonymizácie (23).

38.

EDPS preto odporúča, aby sa do nariadenia (ES) č. 726/2004 a smernice 2001/83/ES vložil nový článok, ktorý by stanovil, že ustanovenia nariadenia (ES) č. 726/2004 a smernice 2001/83/ES sa nedotýkajú práv a povinností vyplývajúcich z príslušných ustanovení nariadenia (ES) č. 45/2001 a smernice 95/46/ES s osobitnými odkazmi na článok 10 nariadenia (ES) č. 45/2001 a článok 8 smernice 95/46/EC. K tomu by sa malo dodať, že identifikovateľné údaje o zdravotnom stave sa môžu spracovávať len vtedy, keď je to skutočne nevyhnutné, a túto nevyhnutnosť by mali zainteresované strany posudzovať v každej etape farmakovigilančného procesu.

39.

Aj keď sa ochrana údajov skoro vôbec nezohľadňuje v navrhovaných zmenách a doplneniach, je podrobnejšia analýza návrhu napriek tomu poučná, keďže naznačuje, že niektorými z predpokladaných zmien sa zvyšuje účinok na ochranu údajov a jej následné riziká.

40.

Všeobecným zámerom týchto dvoch návrhov je zvýšiť konzistentnosť pravidiel, vyjasniť zodpovednosti, zjednodušiť systém hlásenia a posilniť databázu EudraVigilance (24).

41.

Je zrejmé, že Komisia sa pokúsila viac vyjasniť zodpovednosti tým, že navrhla zmeniť a doplniť súčasné ustanovenia takým spôsobom, aby samotné právne predpisy explicitnejšie vyjadrovali, kto by mal čo robiť. Samozrejme, vyjasňovanie týkajúce sa dotknutých subjektov a ich jednotlivých povinností v oblasti hlásenia nežiaducich účinkov zvyšuje transparentnosť systému a preto je aj z hľadiska ochrany údajov pozitívnym trendom. Pacienti by mali byť vo všeobecnosti schopní z právnych predpisov pochopiť, ako a kedy kto sa spracúvali ich osobné údaje a kto ich spracúval. Navrhované vyjasnenie povinností a zodpovedností by sa však malo dať aj do súvisu aj s tými povinnosťami a zodpovednosťami, ktoré vyplývajú z právnych predpisov o ochrane údajov.

42.

Zjednodušenie systému hlásenia by sa malo dosiahnuť používaním vnútroštátnych internetových portálov pre bezpečnosť liekov, ktoré sú prepojené s európskym internetovým portálom pre bezpečnosť liekov [pozri novonavrhovaný článok 106 smernice 2001/83/ES ako aj článok 26 nariadenia (ES) č. 726/2004]. Vnútroštátne portály budú obsahovať verejne dostupné formuláre hlásenia podozrivých nežiaducich reakcií pre odborný zdravotnícky personál a pacientov [pozri novo navrhovaný článok 106 ods. 3 smernice 2001/83/ES ako aj článok 25 nariadenia (ES) č. 726/2004]. Európsky portál bude obsahovať aj informácie o tom, ako podávať hlásenia vrátane štandardných formulárov pre internetové hlásenia pacientov a zdravotníckeho personálu

43.

EDPS by chcel zdôrazniť, že aj keď sa používaním týchto portálov a štandardizovaných formulárov zvýši účinnosť systému hlásenia, vzrastú zároveň aj riziká systému pre ochranu údajov. EDPS nalieha na zákonodarcu, aby bol vývoj takéhoto systému hlásenia predmetom požiadaviek zákona o ochrane údajov. Z toho vyplýva, ako už bolo uvedené, že pri každom kroku procesu by sa mala riadne posúdiť nevyhnutnosť spracovávania osobných údajov. Malo by sa to premietnuť do spôsobu organizovania hlásení na vnútroštátnej úrovni ako aj do spôsobu predkladania informácií pre EMEA a do databázy EudraVigilance. Všeobecnejšie EDPS dôrazne odporúča zostavovanie jednotných formulárov na vnútroštátnej úrovni, čím by sa predišlo rôznym praktickým postupom vedúcim k rôznym úrovniam ochrany údajov.

44.

Zdá sa, že z predpokladaného systému vyplýva, že pacienti môžu podávať hlásenia priamo EMEA alebo snáď priamo do samotnej databázy EudraVigilance. To by znamenalo, že pri súčasnom používaní databázy EudraVigilance sa informácie vložia do centrálnej databázy EMEA, ku ktorej, ako už bolo vysvetlené v bodoch 21 – 22, má v plnej miere prístup Komisia, ako aj príslušné vnútroštátne orgány.

45.

Vo všeobecnosti sa EDPS dôrazne zasadzuje za decentralizovaný systém hlásenia. Komunikácia s európskym portálom by mala byť koordinovaná vnútroštátnymi portálmi, čo patrí do právomoci príslušných vnútroštátnych orgánov. Skôr by sa malo, najmä do databázy EudraVigilance, využívať aj nepriame hlásenie zo strany pacientov, t.j. prostredníctvom odborného zdravotníckeho personálu (prípadne s použitím portálov) ako možnosť priameho hlásenia zo strany pacientov.

46.

Systém hlásenia prostredníctvom portálov vyzýva v každom prípade k prísnym bezpečnostným pravidlám. V tomto ohľade by sa EDPS chcel odvolať na svoje už spomenuté stanovisko k navrhovanej smernici pre cezhraničnú zdravotnú starostlivosť, najmä na časť o bezpečnosti údajov v členských štátoch a o súkromí v aplikáciách elektronického zdravotníctva (25). EDPS v tomto stanovisku už zdôraznil, že zachovávanie súkromia a bezpečnosť by mali byť súčasťou návrhu a zavedenia každej aplikácie elektronického zdravotníctva (privacy by design –„rešpektovanie súkromia už od návrhu systému“) (26). Rovnaká úvaha platí aj pre predpokladané portály.

47.

EDPS by preto odporučil, aby sa do novonavrhovaných článkov 25 a 26 nariadenia (ES) č. 726/2004 a do článku 106 smernice 2001/83/ES, ktoré sa zaoberajú vývojom systému hlásenia nežiaducich účinkov používaním dvojsmerných portálov, vložila povinnosť zahrnúť náležité opatrenia o zachovávaní súkromia a o bezpečnosti. Mohli by sa tiež, ako hlavné ciele bezpečnosti, spomenúť zásady zachovávania dôverného rázu, poctivosti, osobnej zodpovednosti a dostupnosti údajov, ktoré by sa mali vo všetkých členských štátoch zaručiť na rovnakej úrovni. Mohlo by sa ďalej zahrnúť použitie primeraných technických noriem a prostriedkov, ako je zakódovanie a overenie digitálneho podpisu

48.

Novonavrhovaný článok 24 nariadenia (ES) č. 726/2004 sa zaoberá databázou EudraVigilance. Tento článok hovorí jasne, že posilňovanie databázy vedie k intenzívnejšiemu využívaniu databázy zo strany rôznych zainteresovaných strán, pokiaľ ide o poskytovanie informácií do databázy a z nej a prístup do tejto databázy. Osobitne zaujímavé sú dva odseky článku 24.

49.

Článok 24 ods. 2 sa zaoberá dostupnosťou databázy. Nahrádza súčasný článok 57 ods. 1 písm. d) nariadenia (ES) č. 726/2004, o ktorom sme už uviedli, že je jediným ustanovením, ktoré v súčasnosti rieši ochranu údajov. Odkaz na ochranu údajov sa zachoval, no počet subjektov, ktoré sú predmetom tohto odkazu, sa znížil. Tam, kde súčasný text uvádza, že odbornému zdravotníckemu personálu, držiteľom povolení na uvedenie na trh a verejnosti sa poskytnú primerané úrovne prístupu k databáze, pričom sa budú chrániť osobné údaje, Komisia teraz navrhuje presunúť držiteľov povolení na uvedenie na trh z tohto zoznamu a poskytnúť im prístup „v rozsahu potrebnom na dodržiavanie svojich povinností súvisiacich s farmakovigilanciou“ bez akéhokoľvek odkazu na ochranu údajov. Dôvody tohto rozhodnutia nie sú jasné.

50.

Tretí odsek článku 24 ďalej stanovuje pravidlá prístupu k ICSR. Verejnosť môže požiadať o prístup, ktorý sa poskytne do 90 dní, „ak zverejnenie neohrozí anonymitu subjektov hlásení“. EDPS podporuje myšlienku, z ktorej toto ustanovenie vychádza, konkrétne to, že zverejniť sa môžu len anonymné údaje. Chce však zdôrazniť, ako sa už vysvetlilo, že anonymita sa musí chápať ako úplná nemožnosť identifikovať osobu, ktorá ohlásila nežiaduce účinky (pozri aj bod 33).

51.

Dostupnosť systému EudraVigilance by sa vo všeobecnosti mala opäť posudzovať na základe pravidiel o ochrane údajov. Toto má tiež priame dôsledky na návrh politiky prístupu, ktorú v decembri 2008 uverejnila EMEA a ktorá sa spomína v bode 23 (27). V tej miere, ako informácie v databáze EudraVigilance súvisia s identifikovateľnou fyzickou osobou, by mal byť prístup k týmto údajom čo najobmedzenejší.

52.

EDPS preto odporúča, aby sa do navrhovaného článku 24 ods. 2 nariadenia (ES) č. 726/2004 vložila veta o tom, že dostupnosť databázy EudraVigilance sa reguluje v súlade s právami a povinnosťami vyplývajúcimi z právnych predpisov Spoločenstva o ochrane údajov.

53.

EDPS by chcel zdôrazniť, že keď sa raz identifikovateľné údaje spracujú, strana zodpovedná za spracovanie by mala dodržiavať všetky požiadavky právnych predpisov Spoločenstva o ochrane údajov. Toto okrem iného znamená aj to, že dotknutá osoba je dobre informovaná o tom, čo sa s jej údajmi stane a kto ich bude spracovávať a má všetky ďalšie informácie potrebné na základe článku 11 nariadenia (ES) č. 45/2001 a článku 10 smernice 95/46/ES. Dotknutá osoba by mala mať aj možnosť uplatniť svoje práva na vnútroštátnej, ako aj európskej úrovni, ako je napríklad právo prístupu [článok 12 smernice 95/46/ES a článok 13 nariadenia (ES) č. 45/2001], právo namietať [článok 18 nariadenia (ES) č. 45/2001 a článok 14 smernice 95/46/ES] a tak ďalej.

54.

EDPS by preto odporúčal, aby sa do navrhovaného článku 101 smernice 2001/83/ES doplnil odsek, ktorý stanovuje, že v prípade spracovania osobných údajov bude dotknutá osoba náležite informovaná v súlade s článkom 10 smernice 95/46/ES.

55.

Otázka prístupu k informáciám iného človeka, ktoré sa nachádzajú v databáze EudraVigilance sa ani v súčasnom ani v navrhovanom právnom predpise nerieši. Je potrebné je zdôrazniť, že v prípadoch, kedy sa pociťuje potreba uchovávať osobné údaje v databáze, ako sa práve uviedlo, by mal mať dotknutý pacient možnosť uplatniť svoje práva prístupu ku svojim osobným údajom v súlade s článkom 13 nariadenia (ES) č. 45/2001. EDPS by preto odporúčal vložiť do navrhovaného článku 24 odsek o tom, že sa prijmú opatrenia na zabezpečenie toho, aby mohla dotknutá osoba uplatniť právo prístupu k osobným údajom, ktoré s ňou súvisia, ako ustanovuje článok 13 nariadenia (ES) č. 45/2001.

56.

EDPS zastáva názor, že chýbajúce náležité zhodnotenie dôsledkov farmakovigilancie v súvislosti s ochranou údajov predstavuje jeden z nedostatkov súčasného právneho rámca ustanoveného v nariadení (ES) č. 726/2004 a smernice 2001/83/ES. Súčasné zmeny a doplnenia nariadenia (ES) č. 726/2004 a smernice 2001/83/ES by sa mali považovať za príležitosť zaviesť ochranu údajov ako plnoprávny a dôležitý prvok farmakovigilancie.

57.

Všeobecnou otázkou, ktorú je v tejto súvislosti potrebné riešiť, je skutočná nevyhnutnosť spracovania osobných údajov o zdravotnom stave vo všetkých etapách farmakovigilančného procesu. Ako sa vysvetlilo v tomto stanovisku, EDPS vážne spochybňuje túto potrebu a nalieha na zákonodarcu, aby ju na rôznych úrovniach procesu opäť posúdil. Je zrejmé, že cieľ farmakovigilancie sa v mnohých prípadoch môže dosiahnuť zverejnením informácií o nežiaducich účinkoch, ktoré sú anonymné v zmysle právnych predpisov o ochrane údajov. Duplicite hlásení sa dá vyhnúť tým, že sa budú už na vnútroštátnej úrovni používať dobre štruktúrované postupy hlásenia údajov.

58.

Navrhované zmeny a doplnenia predpokladajú zjednodušený systém hlásení a posilnenie databázy EudraVigilance. EDPS vysvetlil, že tieto zmeny a doplnenia vedú k zvýšeniu rizík pre ochranu údajov najmä vtedy, keď zahŕňa priame hlásenia pacientov agentúre EMEA alebo do databázy EudraVigilance. EDPS sa v tomto ohľade dôrazne zasadzuje za decentralizovaný systém nepriameho hlásenia, pomocou ktorého sa komunikácia s európskym portálom koordinuje prostredníctvom vnútroštátnych portálov. EDPS ďalej zdôrazňuje, že zachovanie súkromia a bezpečnosť by mali byť súčasťou navrhovania a zavádzania systému hlásenia prostredníctvom používania portálov („rešpektovanie súkromia už od návrhu systému“).

59.

EDPS ďalej zdôrazňuje, že pokiaľ ide o spracovanie údajov o zdravotnom stave identifikovaných alebo identifikovateľných fyzických osôb, osoby zodpovedné za spracovanie by mali dodržiavať požiadavky právnych predpisov Spoločenstva týkajúce sa ochrany údajov.

60.

EDPS konkrétnejšie odporúča: