23.9.2009   

SL

Uradni list Evropske unije

C 229/19


Mnenje Evropskega nadzornika za varstvo podatkov o predlogu uredbe Evropskega parlamenta in Sveta o spremembi Uredbe (ES) št. 726/2004 o postopkih Skupnosti za pridobitev dovoljenja za promet in nadzor zdravil za humano in veterinarsko uporabo ter o ustanovitvi Evropske agencije za zdravila, kar zadeva farmakovigilanco zdravil za humano uporabo ter o predlogu direktive Evropskega parlamenta in Sveta o spremembi Direktive 2001/83/ES o zakoniku Skupnosti o zdravilih za uporabo v humani medicini glede farmakoviligance

2009/C 229/04

EVROPSKI NADZORNIK ZA VARSTVO PODATKOV JE –

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti in zlasti člena 286 Pogodbe,

ob upoštevanju Listine Evropske unije o temeljnih pravicah in zlasti člena 8 Listine,

ob upoštevanju Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (1),

ob upoštevanju Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (2) ter zlasti člena 41 Uredbe –

SPREJEL NASLEDNJE MNENJE:

I.   UVOD

Predlogi za spremembo sedanjega sistema farmakovigilance

1.

Komisija je 10. decembra 2008 sprejela dva predloga o spremembi Uredbe (ES) št.726/2004 oziroma Direktive 2001/83/ES (3). Uredba (ES) št. 726/2004 Evropskega parlamenta in Sveta (4) določa postopke Skupnosti za pridobitev dovoljenja za promet in nadzor zdravil za humano in veterinarsko uporabo ter o ustanovitvi Evropske agencije za zdravila (v nadaljnjem besedilu: EMEA). V Direktivi 2001/83/ES Evropskega parlamenta in Sveta (5) so določeni predpisi o zakoniku Skupnosti o zdravilih za uporabo v humani medicini, ki obravnavajo posebne procese na ravni držav članic. Predlagane spremembe se navezujejo na dele v obeh instrumentih o farmakovigilanci zdravil za humano uporabo.

2.

Farmakovigilanca je opredeljena kot znanost in dejavnosti, povezane z odkrivanjem, ocenjevanjem, razumevanjem in preprečevanjem neželenih učinkov zdravil (6). Sistem farmakovigilance, ki je trenutno vzpostavljen v Evropi omogoča, da bolniki in zdravstveni delavci poročajo o neželenih učinkih zdravil ustreznim javnim in zasebnim organom na nacionalni in evropski ravni. Evropsko bazo podatkov (EudraVigilance) upravlja EMEA kot osrednja točka za upravljanje in poročanje o domnevnih neželenih učinkih zdravil.

3.

Farmakovigilanca se smatra za potreben dodatek sistemu Skupnosti za dovoljenje za promet zdravil iz leta 1965, ko je bila sprejeta Direktiva Sveta 65/65/EGS (7).

4.

Kot je razvidno iz obrazložitvenih memorandumov in ocene učinka, predložene predlogom, ima sedanji sistem farmakovigilance več pomanjkljivosti, vključno s pomanjkanjem jasnosti glede vlog in odgovornosti raznih vpletenih akterjev in kompliciranih postopkov za poročanje o neželenih učinkih zdravil; poleg tega je treba zagotoviti večjo preglednost in boljše obveščanje na področju varnosti zdravil ter racionalizirati načrtovanje obvladovanja tveganja za zdravila.

5.

Splošni namen dveh predlogov je odpraviti te pomanjkljivosti in izboljšati in okrepiti sistem farmakovigilance Skupnosti s splošnim ciljem boljše zaščite javnega zdravja, izboljšanjem pravilnega delovanja notranjega trga in poenostavitve sedanjih pravil in postopkov (8).

Osebni podatki in farmakovigilanca ter posvetovanje z ENVP

6.

Skupno delovanje sedanjega sistema farmakovigilance temelji na obdelavi osebnih podatkov. Ti podatki so sestavni del poročanja o neželenih učinkih zdravil in se lahko štejejo za podatke, ki se nanašajo na zdravje (zdravstveni podatki) zadevnih oseb, saj razkrivajo informacije o uporabi zdravil in povezanih zdravstvenih problemih. Za obdelavo takih podatkov veljajo stroga pravila o varstvu podatkov iz člena 10 Uredbe (ES) št. 45/2001 in člena 8 Direktive 95/46/ES (9). Pomen varstva takih podatkov je zadnje čase večkrat poudarilo Evropsko sodišče za človekove pravice v smislu člena 8 Evropske konvencije o človekovih pravicah: „Varstvo osebnih podatkov, zlasti medicinskih, je temeljnega pomena za uveljavitev pravice določene osebe do spoštovanja njene zasebnosti in družinskega življenja, kar zagotavlja člen 8 Konvencije“ (10).

7.

Kljub temu ni v sedanjem besedilu Uredbe (ES) št. 726/2004 in Direktive 2001/83/ES nobenega navajanja varstva podatkov, razen ene posebne navedbe v uredbi, ki bo omenjena v spodnji točki 21 in naprej.

8.

Evropski nadzornik za varstvo podatkov (ENVP) obžaluje, da vidiki varstva podatkov niso upoštevani v predlaganih spremembah in da z njim ni bilo opravljeno formalno posvetovanje glede obeh predlogov za spremembe, kakor določa člen 28(2) Uredbe (ES) št. 45/2001. Sedanje mnenje zato temelji na členu 41(2) iste uredbe. ENVP predlaga, da se navedba tega mnenja vključi v preambulo obeh predlogov.

9.

ENVP ugotavlja, da varstvo podatkov sicer ni ustrezno upoštevano niti v sedanjem pravne okviru farmakovigilance niti v predlogih, vendar pa praktična uporaba osrednjega sistema Skupnosti EudraVigilance očitno sproža vprašanja varstva podatkov. V ta namen je EMEA o sedanjem sistemu EudraVigilance junija 2008 obvestila ENVP zaradi predhodnega preverjanja na podlagi člena 27 Uredbe (ES) št. 45/2001.

10.

Sedanje mnenje in sklepi ENVP o predhodnem preverjanju (objava katerih se pričakuje letos) se bodo do neke mere gotovo prekrivali. Vendar je usmerjenost obeh instrumentov različna: medtem ko se to mnenje osredotoča na splošen pravni okvir, ki podpira sistem, kakor izhaja iz Uredbe (ES) št. 726/2004 in Direktive 2001/83/ES ter predlagane spremembe, gre pri predhodnem preverjanju za podrobno analizo varstva podatkov, katere glavno vprašanje je, kako so sedanja pravila nadalje opredeljena v naslednjih instrumentih (npr. sklepih in smernicah), ki jih izda EMEA ali Komisija in EMEA skupaj, ter kako sistem EudraVigilance deluje v praksi.

11.

To mnenje se bo začelo s poenostavljeno razlago sistema farmakovigilance v EU, kakor izhaja iz Uredbe (ES) št. 726/2004 in Direktive 2001/83/ES v sedanjem stanju. Nato se bo analizirala potreba po obdelovanju osebnih podatkov v smislu farmakovigilance. Po tem bodo obravnavani predlogi Komisije za izboljšanje sedanjega in predvidenega pravnega okvira, pripravila pa se bodo priporočila o tem, kako zagotoviti in izboljšati standarde varstva podatkov.

II.   SISTEM FARMAKOVIGILANCE EU: OBDELAVA OSEBNIH PODATKOV IN VPRAŠANJA VARSTVA PODATKOV

Akterji, vključeni v zbiranje in razširjanje informacij

12.

V zbiranje in razširjanje informacij o neželenih učinkih zdravil v Evropski uniji je vključenih več akterjev. Na nacionalni ravni sta dva glavna akterja imetnik dovoljenja za promet (podjetja, ki imajo dovoljenja za dajanje zdravil v promet) in pristojni nacionalni organi (organi, pristojni za dovoljenja za promet). Pristojni nacionalni organi izdajo dovoljenje za proizvode prek nacionalnih postopkov, med drugim „postopka z medsebojnim priznavanjem“ in „decentraliziranim postopkom“ (11). Za proizvode, ki imajo dovoljenja prek tako imenovanega „centraliziranega postopka“, je lahko pristojni organ tudi Evropska komisija. Pomemben dodaten akter na evropski ravni je EMEA. Ena od nalog te agencije je zagotoviti razširjanje informacij o neželenih učinkih zdravil v Skupnosti s pomočjo baze podatkov, ki je prej navedena baza podatkov EudraVigilance.

Zbiranje in shranjevanje osebnih podatkov na nacionalni ravni

13.

Direktiva 2001/83/ES v splošnem govori o odgovornosti držav članic za upravljanje s sistemom farmakovigilance, v katerem se zbirajo informacije, ki so „uporabne za nadzor zdravil“ (člen 102). Na podlagi členov 103 in 104 Direktive 2001/83/ES (glej tudi člena 23 in 24 Uredbe (ES) št. 726/2004), morajo imeti imetniki dovoljenja za promet vzpostavljen svoj lasten sistem farmakovigilance, da prevzamejo pristojnost in odgovornost za svoje proizvode v prometu in da zagotovijo, da se lahko po potrebi sprejmejo ustrezni ukrepi. Informacije se zbirajo pri zdravstvenih delavcih ali neposredno pri bolnikih. Imetnik dovoljenja za promet mora vse informacije, pomembne za razmerje med tveganjem in koristmi zdravila, elektronsko posredovati pristojnemu organu.

14.

V Direktivi 2001/83/ES sami ni zelo natančno določeno, kakšne vrste informacij o neželenih učinkih je treba zbirati na nacionalni ravni, kako jih je treba hraniti ali kako sporočati. Člena 104 in 106 navajata le „poročila“, ki jih je treba pripraviti. Podrobnejša pravila o teh poročilih so na voljo v smernicah, ki jih določi Komisija po posvetovanju z EMEA, državami članicami in zainteresiranimi skupinami, na podlagi člena 106. V teh smernicah o farmakovigilanci za zdravila za uporabo v humani medicini (v nadaljnjem besedilu: „smernice“) se navajajo tako imenovana „varnostna poročila o posameznih primerih“ (v nadaljnjem besedilu: „ICSR“), ki so poročila o neželenih učinkih zdravil v zvezi s posameznim pacientom (12). V skladu s smernicami je en element podatkov, ki je mora biti vključen v ICSR, „določljiv bolnik“ (13). Navedeno je, da se lahko bolnika določi z začetnicami, številko pacienta, datumom rojstva, težo, višino in spolom, bolnišnično evidenčno številko, informacijami o zdravstveni anamnezi bolnika, informacijami o starših bolnika (14).

15.

S poudarjanjem določljivosti bolnika sodi obdelava takih informacij jasno v okvir predpisov o varstvu podatkov iz Direktive 95/46/ES. Čeprav bolnik ni naveden poimensko, ga ali jo je mogoče določiti s sestavljanjem različnih informacij (npr. bolnica, datum rojstva, začetnice) in pod določenimi pogoji (npr. v zaprtih skupnostih ali majhnih krajih). Zato je načeloma treba informacije, ki se obdelujejo v kontekstu farmakovigilance, šteti za informacije o določljivi fizični osebi v smislu člena 2(a) Direktive 95/46/ES (15). Čeprav tako v uredbi kot v direktivi to ni jasno navedeno, je pa priznano v smernicah, kjer je navedeno, da „naj bodo informacije čim bolj popolne, ob upoštevanju zakonodaje EU o varovanju podatkov“ (16).

16.

Poudariti je treba, da je kljub smernicam poročanje o neželenih učinkih zdravil na nacionalni ravni daleč od enotnega. O tem bo potekala nadaljnja razprava v točkah 24 in 25.

Baza podatkov EudraVigilance

17.

Pomembno vlogo v sistemu farmakovigilance EU ima baza podatkov EudraVigilance, ki jo vzdržuje EMEA. Kot rečeno, je EudraVigilance osrednje omrežje za obdelavo podatkov in upravljavski sistem za poročanje in oceno domnevnih neželenih učinkov med razvojem zdravil in po njihovi odobritvi za promet v Evropski skupnosti in državah, ki so del Evropskega gospodarskega prostora. Pravna podlaga za bazo podatkov EudraVigilance je v členu 57(1)(d) Uredbe (ES) št. 726/2004.

18.

Trenutno bazo podatkov EudraVigilance sestavljata dva oddelka, in sicer (1) informacije iz kliničnih preizkušanj (ki so opravljena, preden se zdravilo da v promet, in se zato imenuje obdobje „pred registracijo“) in (2) informacije, ki izhajajo iz poročil o neželenih učinkih (zbrane naknadno, zato se to imenuje obdobje „po registraciji“). Poudarek tega mnenja je na obdobju „po registraciji“, saj so predlagane spremembe osredotočene na ta del.

19.

Baza podatkov EudraVigilance vsebuje podatke o bolnikih iz ICSR. EMEA dobi ICSR od nacionalnih pristojnih organov (glej člen 102 Direktive 2001/83/ES in člen 22 Uredbe (ES) št. 726/2004) in v nekaterih primerih neposredno od imetnikov dovoljenja za promet (glej člen 104 Direktive 2001/83/ES in člen 24 Uredbe (ES) št. 726/2004).

20.

Poudarek tega mnenja je na obdelavi osebnih informacij o bolnikih. Opozoriti velja, da baza podatkov EudraVigilance vsebuje tudi osebne informacije o osebah, ki delajo za nacionalne pristojne organe ali imetnike dovoljenja za promet, ko le-ti posredujejo informacije v bazo podatkov. Polno ime, naslov, kontaktni podatki in podrobnosti osebnega dokumenta teh oseb se hranijo v sistemu. Še druga kategorija osebnih informacij so podatki o tako imenovanih usposobljenih osebah, ki so odgovorne za farmakovigilanco, katere imenuje imetnik dovoljenja za promet na podlagi člena 103 Direktive 2001/83/ES. Seveda se pravice in obveznosti, ki izhajajo iz Uredbe (ES) št. 45/2001, v celoti uporabljajo pri obdelavi teh informacij.

Dostop do baze podatkov EudraVigilance

21.

Člen 57(1)(d) Uredbe (ES) št.726/2004 navaja, da bi morala biti baza podatkov stalno na voljo vsem državam članicam. Zdravstveni delavci, imetniki dovoljenja za promet in javnost morajo poleg tega imeti ustrezen dostop do teh baz podatkov, pri čemer mora biti zagotovljeno varstvo osebnih podatkov. Kot navedeno v točki 7, je to edina določba tako v uredbi kot v Direktivi 2001/83/ES, ki omenja varstvo podatkov.

22.

Na podlagi člena 57(1)(d) je bila opredeljena naslednja ureditev o dostopu. Ko EMEA prejme ICSR, se nemudoma vstavi v prehod EudraVigilance, do katerega imajo EMEA, pristojni nacionalni organi ter Komisija neomejen dostop. Ko EMEA potrdi ICSR (preveri izvirnost in edinstvenost), se informacije prenesejo iz ICSR v dejansko bazo podatkov. EMEA, pristojni nacionalni organi ter Komisija imajo popoln dostop do baze podatkov, medtem ko imajo imetniki dovoljenja za promet dostop le do baze podatkov, za katero se uporabljajo določene omejitve, in sicer dostop le do podatkov, ki so jih sami posredovali EMEA. Združene informacije o ICSR se končno vnesejo na spletno stran EudraVigilance, do katere ima dostop širša javnost, vključno z zdravstvenimi delavci.

23.

EMEA je 19. decembra 2008 objavila osnutek politike o dostopu na svoji spletni strani za javno posvetovanje (17). Dokument kaže, kako namerava EMEA izvajati člen 57(1)(d) Uredbe (ES) št. 726/2004. ENVP bo to temo na kratko obravnaval od točke 48 naprej.

Pomanjkljivosti sedanjega sistema in pomanjkanje zaščitnih ukrepov za varstvo podatkov

24.

Ocena učinka Komisije kaže več pomanjkljivosti trenutnega sistema farmakovigilance EU, ki naj bi bil kompleksen in nejasen. Zapleten sistem zbiranja podatkov, shranjevanja in izmenjave s strani različnih akterjev na nacionalni in evropski ravni je predstavljen kot ena od glavnih pomanjkljivosti. To še dodatno otežuje dejstvo, da se Direktiva 2001/83/ES v državah članicah ne izvaja dosledno (18). Posledično se pristojni nacionalni organi ter EMEA pogosto soočajo z nepopolnim ali podvojenim poročanjem o neželenih učinkih zdravil (19).

25.

Razlog za to je dejstvo, da je v navedenih smernicah sicer zagotovljen opis vsebine ICSR, vendar je državam članicam vseeno prepuščeno, da se same odločijo, kako se bodo ta poročila izvajala na nacionalni ravni. To vključuje tako komunikacijska sredstva, ki jih uporabljajo za poročanje imetniki dovoljenja za promet pristojnim nacionalnim organom, kakor tudi dejanske informacije, vključene v poročila (za poročanje znotraj Evrope se ne uporablja standardizirana oblika). Poleg tega lahko nekateri pristojni nacionalni organi uporabijo posebna merila kakovosti za sprejemljivost poročil (odvisno od vsebine, stopnje celovitosti itd.), nekateri pa ne. Jasno je, da ima pristop, ki se na nacionalni ravni uporablja za poročanje in ocenjevanje kakovosti ICSR, neposreden učinek na način, kako se to poročanje opravlja nasproti EMEA, to je v bazi podatkov EudraVigilance.

26.

ENVP bi želel poudariti, da navedene pomanjkljivosti ne povzročijo le praktičnih neprijetnosti, ampak predstavljajo tudi precejšnjo nevarnost za varovanje zdravstvenih podatkov državljanov. Čeprav se, kot je razvidno iz prejšnjega odstavka, podatkki obdelujejo na več ravneh operativnega procesa farmakovigilance, trenutno ne obstajajo določbe za varovanje navedenih podatkov. Edina izjema je splošna navedba varstva podatkov v členu 57(1)(d) Uredbe (ES) št. 726/2004, ki se nanaša le na zadnjo stopnjo obdelave podatkov, in sicer dostopnost podatkov iz baze podatkov EudraVigilance. Poleg tega pomanjkanje jasnosti glede vloge in odgovornosti raznih akterjev, vključenih v obdelavo, in pomanjkanje posebnih standardov za obdelavo samo ogroža zaupnost in celovitost osebnih podatkov ter odgovornost glede njihove obdelave.

27.

ENVP zato želi, da se odsotnost temeljite analize varstva podatkov, ki se odraža v pravnem okviru, ki je podlaga za sistem farmakovigilance v EU, obravnava kot ena od pomanjkljivosti trenutnega sistema. To pomanjkljivost je treba popraviti s spremembami sedanje zakonodaje.

III.   FARMAKOVIGILANCA IN POTREBA PO OSEBNIH PODATKIH

28.

Kot predhodno in splošno skrb želi ENVP izpostaviti vprašanje, ali je obdelava zdravstvenih podatkov o določljivih fizičnih osebah dejansko potrebna na vseh stopnjah sistema farmakovigilance (na nacionalni in evropski ravni).

29.

Kot je navedeno v ICSR, bolnik ni omenjen po imenu in kot tak ni določen. Vendar je lahko bolnik v nekaterih primerih še vedno določljiv s kombinacijo različnih informacij v ICSR. Kot izhaja iz smernic, se v nekaterih primerih navede posebna številka bolnika, kar nakazuje, da sistem kot celota omogoča sledljivost zadevne osebe. Vendar niti direktiva niti uredba ne navajata sledljivosti oseb kot dela namena sistema farmakovigilance.

30.

ENVP zato poziva zakonodajalca, da pojasni, ali je sledljivost res namen farmakovigilance na različnih ravneh obdelave in natančneje v okviru baze podatkov EudraVigilance.

31.

V tem smislu je poučno narediti primerjavo s predvideno ureditvijo darovanja in presajanja organov (20). V smislu presaditve organov je sledljivost organa do darovalca ter prejemnika organa bistvenega pomena, zlasti v primerih resnih neželenih dogodkov ali reakcij.

32.

Vendar ENVP v smislu farmakovigilance nima zadostnih dokazov, da bi zaključil, da je sledljivost dejansko vedno potrebna. Pri farmakovigilanci gre za poročanje o neželenih učinkih zdravil, ki jih uporablja (večinoma) neznano število ljudi in jih bo uporabljalo (večinoma) neznano število ljudi. Zato je – vsaj v obdobju „po registraciji“ – manj samodejna in individualna povezava med informacijami o neželenem učinku in zadevno osebo, kakor je to v primeru informacij o organih in posameznikih, vključenih v presaditev določenega organa. Jasno je, da bolnike, ki so uporabljali določeno zdravilo in so poročali o neželenih učinkih, zanima izid vsake nadaljnje ocene. To pa ne pomeni, da je treba sporočeno informacijo v vsakem primeru povezovati s to specifično osebo vseskozi postopek farmakovigilance. V več primerih bi moralo biti dovolj, da se poveže informacija o neželenih učinkih z zdravilom samim, kar vpletenim akterjem omogoča, da morda prek zdravstvenih delavcev obvestijo bolnike na splošno o posledicah jemanja določenega zdravila.

33.

Če je sledljivost vendarle predvidena, želi ENVP opozoriti na analizo, ki jo je vključil v svoje mnenje o predlogu Komisije za direktivo o standardih kakovosti in varnosti človeških organov, namenjenih za presaditev. V tem mnenju je razložil razmerje med sledljivostjo, določljivostjo, anonimnostjo in zaupnostjo podatkov. Določljivost je izraz, ki je bistvenega pomena za zakonodajo o varovanju podatkov (21). Pravila o varstvu podatkov se uporabljajo za podatke o osebah, ki so določene ali določljive (22). Sledljivost podatkov do določene osebe se lahko uskladi z določljivostjo. V zakonodaji o varstvu podatkov je anonimnost nasprotje določljivosti in tako sledljivosti. Le če je nemogoče določiti (ali izslediti) osebo, na katero se podatki nanašajo, se šteje, da so podatki anonimni. Pojem „anonimnosti“ se zato razlikuje od tega, kot se običajno razume v vsakdanjem življenju, namreč da se posameznik ne more določiti iz podatkov samih, ker je npr. odstranjeno njegovo ime. V takih situacijah gre bolj za navajanje zaupnosti podatkov, kar pomeni, da so informacije (v celoti) na voljo le tistim, ki imajo dovoljenje za dostop. Medtem ko sledljivost in anonimnost ne moreta soobstajati, sledljivost in tajnost lahko.

34.

Poleg sledljivosti je še en razlog, zakaj bi morali biti bolniki določljivi skozi cel postopek farmakovigilance, in to je dobro delovanje sistema. Kakor razume ENVP, je v primeru, ko se informacije navezujejo na določljivega in zato edinstvenega posameznika, za ustrezne pristojne organe (to je pristojne nacionalne organe in EMEA) lažje spremljati in nadzirati vsebino ICSR (npr. preverijo, če gre za podvajanje). Čeprav ENVP razume potrebo po takem nadzornem mehanizmu, ni prepričan, da to utemeljuje hrambo določljivosti podatkov na vseh stopnjah procesa farmakovigilance in zlasti v bazi podatkov EudraVigilance. Z boljšo strukturo in uskladitvijo sistema poročanja, na primer prek decentraliziranega sistema, kakor je navedeno v točki 42 in naprej, se lahko podvajanju izognemo že na nacionalni ravni.

35.

ENVP priznava, da je v posebnih okoliščinah nemogoče, da bi bili podatki anonimni. To je npr. v primeru, če nekatera zdravila uporablja zelo omejena skupina posameznikov. Za take primere je treba vzpostaviti posebne zaščitne ukrepe, da se izpolnijo obveznosti, ki izhajajo iz zakonodaje o varstvu podatkov.

36.

Da zaključimo, ENVP resno dvomi o tem, ali je sledljivost ali uporaba podatkov o določljivih bolnikih potrebna na vseh ravneh procesa farmakovigilance. ENVP se zaveda dejstva, da morda ni mogoče izključiti obdelave določljivih podatkov na vsaki ravni, zlasti na nacionalni ravni, kjer se dejansko zbira informacij o neželenih učinkih. Vendar pravila o varstvu podatkov zahtevajo, da se obdelava zdravstvenih podatkov izvaja le, kadar je to strogo potrebno. Uporabo določljivih podatkov je zato treba čim bolj zmanjšati in preprečiti ali prekiniti čim bolj zgodaj, v primerih, ko ta ni potrebno. ENVP zato poziva zakonodajalca, naj ponovno oceni potrebo po uporabi takih informacij na evropski in nacionalni ravni.

37.

Opozoriti velja, da je treba v primerih, ko je res treba obdelati določljive podatke ali kadar se podatkov ne da narediti anonimnih (glej točko 35), preučiti tehnične možnosti za neposredno določanje oseb, na katere se podatki nanašajo, npr. z uporabo mehanizmov pseudonimizacije (23).

38.

ENVP zato priporoča, da se v Uredbo (ES) št. 726/2004 in Direktivo 2001/83/ES vstavi nov člen, ki navaja, da določbe Uredbe (ES) št. 726/2004 in Direktive 2001/83/ES ne posegajo v pravice in obveznosti, ki izhajajo iz določbe Uredbe (ES) št. 45/2001 oz. Direktive 95/46/ES, s posebno navedbo člena 10 Uredbe (ES) št.45/2001 oz. člena 8 Direktive 95/46/ES. Temu je treba dodati, da se določljivi zdravstveni podatki lahko obdelujejo samo, ko je to nujno potrebno, udeležene strani pa bi morale to potrebo oceniti na vsaki posamezni stopnji procesa farmakovigilance;

IV.   PODROBNA ANALIZA PREDLOGA

39.

Čeprav se varstvo podatkov v predlaganih spremembah komajda upošteva, je podrobnejša analiza predloga še vedno poučna, saj kaže, da nekatere predvidene spremembe povečujejo učinek in nadaljnja tveganja za varstvo podatkov.

40.

Splošni namen teh dveh predlogov je izboljšati doslednost pravil, prinesti jasnost glede odgovornosti, poenostaviti sistem poročanja in okrepiti bazo podatkov EudraVigilance (24).

Pojasnitev pristojnosti

41.

Komisija je očitno skušala pojasniti pristojnosti s predlaganjem spremembe sedanjih določb, tako da bi zakonodaja sama bolj natančno navajala, kdo mora kaj storiti. Jasnost glede zadevnih akterjev in njihovih obveznostih glede poročanja o neželenih učinkih gotovo krepi preglednost sistema in je zato pozitiven napredek tudi z vidika varstva podatkov. Bolniki bi morali biti sposobni, da iz zakonodaje na splošno razberejo, kako, kdaj in kdo bo obdeloval njihove osebne podatke. Vendar je treba predlagano jasnost o dolžnostih in odgovornostih izrecno izraziti tudi v odnosu do tistih, ki izhajajo iz zakonodaje o varstvu podatkov.

Poenostavitev sistema poročanja

42.

Poenostavitev sistema poročanja je treba doseči z uporabo nacionalnih spletnih portalov o varnosti zdravil, ki so povezani z evropskim spletnim portalom o varnosti zdravil (glej novo predlagani člen 106 Direktive 2001/83/ES ter člen 26 Uredbe (ES) št.726/2004). Nacionalni spletni portali bodo vsebovali javnosti dostopne obrazce za poročanje o domnevno neželenih učinkih s strani zdravstvenih delavcev in bolnikov (glej novo predlagani člen 106(3) Direktive 2001/83/ES ter člen 25 Uredbe (ES) št. 726/2004). Tudi evropski spletni portal bo vseboval informacije o tem, kako poročati, vključno s standardnimi obrazci za spletne prijave bolnikov in zdravstvenih delavcev.

43.

ENVP želi poudariti, da uporaba teh spletnih portalov in standardiziranih obrazcev povečuje tveganje sistema za varstvo podatkov, čeprav se bo z njihovo uporabo izboljšala učinkovitost sistema poročanja. ENVP poziva zakonodajalca, naj za razvoj takega sistema poročanja uporabi zahteve zakonodaje o varstvu podatkov. To, kot že navedeno, pomeni, da je treba potrebnost obdelave osebnih podatkov ustrezno oceniti glede na vsako stopnjo v procesu. To bi moralo biti razvidno v načinu, kako je poročanje organizirano na nacionalni ravni, in v posredovanju informacij Evropski agenciji za zdravila ter bazi podatkov EudraVigilance. V širšem smislu ENVP močno priporoča, da se pripravijo enotni obrazci na nacionalni ravni, kar bi preprečilo odstopanja, kar bi povzročilo različne ravni varstva podatkov.

44.

Zdi se, da predvideni sistem kaže, da lahko bolniki neposredno poročajo EMEA, ali celo neposredno v samo bazo podatkov EudraVigilance. To bi pomenilo, da bi bile pri sedanji uporabi baze podatkov EudraVigilance, informacije vnesene v prehod EMEA, ki je, kot navedeno v točkah 21 in 22, v celoti dostopen Komisiji in pristojnim nacionalnim organom.

45.

V splošnem ENVP močno zagovarja decentraliziran sistem poročanja. Komuniciranje na evropskem spletnem portalu bi bilo treba usklajevati prek uporabe nacionalnih spletnih portalov, ki sodijo v okvir odgovornosti nacionalnih pristojnih organov. Posredno poročanje bolnikov, to je prek zdravstvenih delavcev (z uporabo spletnih portalov ali ne) bi bilo treba tudi uporabiti; možnosti neposrednega poročanja bolnikov bi se bilo treba odpovedati, zlasti v zvezi z bazo podatkov EudraVigilance.

46.

Za sistem poročanja prek spletnih portalov morajo v vsakem primeru veljati strogi varnostni predpisi. V zvezi s tem ENVP opozarja na že navedeno Mnenje o predlogu direktive o čezmejnem zdravstvenem varstvu, in sicer predvsem na del o varstvu podatkov v državah članicah in spoštovanje zasebnosti v aplikacijah e-zdravje (25). V tem Mnenju je ENVP že poudaril, da bi bilo treba varovanje zasebnosti in varnost upoštevati pri oblikovanju in izvajanju vseh aplikacij e-zdravje („načelo spoštovanja zasebnosti pri načrtovanju“) (26). To velja tudi za predvidene spletne portale.

47.

ENVP zato priporoča, da se v novo predlagana člena 25 in 26 Uredbe (ES) št. 726/2004 in novo predlagani člen 106 Direktive 2001/83/ES o vzpostavitvi sistema poročanja o neželenih učinkih prek spletnih portalov vključi zahteva po določitvi primernih ukrepov na področju spoštovanja zasebnosti in varstva. Načela o zaupnosti, celovitosti in razpoložljivosti podatkov ter odgovornosti pri obdelavi podatkov bi bila lahko prav tako omenjena kot ključni cilji na področju varnosti, ki bi morali biti v enaki meri zagotovljeni v vseh državah članicah. Dodatno bi se lahko vključila uporaba ustreznih tehničnih standardov in sredstev, kot sta šifriranje in overovitev digitalnega podpisa.

Okrepitev baze podatkov EudraVigilance: boljši dostop

48.

Novi predlagani člen 24 Uredbe (ES) št. 726/2004 govori o bazi podatkov EudraVigilance. V členu je pojasnjeno, da krepitev baze podatkov pomeni, da različni udeleženci intenzivneje uporabljajo bazo podatkov, kar zadeva vnos podatkov v bazo podatkov in dostop do podatkov v bazi podatkov. Posebej pomembna sta dva odstavka člena 24.

49.

V členu 24(2) je opredeljena dostopnost do baze podatkov. Ta nadomešča sedanji člen 57(1)(d) Uredbe (ES) št. 726/2004, o katerem se je razpravljalo kot o edini določbi, v kateri se trenutno omenja varstvo podatkov. Sklicevanje na varstvo podatkov je sicer ohranjeno, zmanjša pa se število akterjev, za katere se uporablja. Medtem ko je v sedanjem besedilu določeno, da je zdravstvenim delavcem, imetnikom dovoljenja za promet in javnosti v ustreznem obsegu omogočen dostop do baze podatkov, pri čemer je zagotovljeno varstvo osebnih podatkov, Komisija sedaj predlaga, da bi se s tega seznama izbrisalo imetnike dovoljenj za promet in se jim zagotovilo dostop „v ustreznem obsegu, da lahko izpolnijo svoje obveznosti v zvezi s farmakovigilanco“, pri tem pa se ne bi sklicevalo na varstvo podatkov. Razlogi za to niso jasni.

50.

V členu 24(3) so opredeljeni predpisi o dostopu do ICSR. Javnost lahko zahteva dostop, ta pa je odobren v 90 dneh, „razen če bi razkritje ogrozilo anonimnosti oseb iz poročila“. ENVP podpira idejo te določbe, v skladu s katero se lahko razkrijejo samo anonimni podatki. Vendar pa želi kljub temu poudariti, da je treba – kot je že predhodno pojasnil – izraz „anonimnost“ razumeti tako, da je osebo, ki je poročala o neželenih učinkih, popolnoma nemogoče prepoznati (glej tudi točko 33).

51.

Na splošno bi bilo treba ponovno oceniti dostopnost sistema EudraVigilance na podlagi predpisov o varstvu podatkov, kar tudi neposredno vpliva na osnutek politike dostopa, ki ga je decembra 2008 objavila Evropska agencija za zdravila in je omenjen v točki 23 (27). V primerih, ko se podatki, shranjeni v bazi podatkov EudraVigilance, avtomatsko navezujejo na določljive fizične osebe, bi moral biti dostop do teh podatkov kar najbolj omejen.

52.

ENVP zato predlaga, da se v predlagani člen 24(2) Uredbe (ES) št. 726/2004 vključi stavek, v skladu s katerim je dostopnost do baze podatkov EudraVigilance urejena v skladu s pravili in obveznostmi, ki izhajajo iz zakonov Skupnosti o varstvu podatkov.

Pravice posameznikov, na katere se nanaša obdelava podatkov

53.

ENVP poudarja, da bi morala po obdelavi določljivih podatkov stranka, ki je pristojna za obdelavo, izpolniti vse zahteve v skladu z zakonodajo Skupnosti na področju varstva podatkov. To med drugim pomeni, da je zadevna oseba dobro poučena o uporabi podatkov in o tem, kdo jih bo obdeloval, ter da bo prejela vse dodatne informacije, ki jih je treba izdati v skladu s členom 11 Uredbe (ES) št. 45/2001 in/ali členom 10 Direktive 95/46/ES. Zadevna oseba bi morala tako imeti možnost uveljavljati svoje pravice na nacionalni in evropski ravni, kot denimo pravico do dostopa (člen 12 Direktive 95/46/ES in člen 13 Uredbe (ES) št. 45/2001), pravico do ugovora (člen 18 Uredbe (ES) št. 45/2001 in člen 14 Direktive 95/46/ES) in tako naprej.

54.

ENVP zato predlaga, da se v predlagani člen 101 Direktive 2001/83/ES doda odstavek, v skladu s katerim se v primeru obdelave osebnih podatkov zadevna oseba v skladu s členom 10 Direktive 95/46/ES ustrezno obvesti.

55.

Vprašanje dostopa do podatkov o posamezniku, ki so shranjeni v bazi podatkov EudraVigilance, ni obravnavano niti v veljavni niti v predlagani zakonodaji. Opozoriti je treba, da bi moral imeti zadevni bolnik v primerih, ko se zdi nujno, da se osebni podatki hranijo v bazi podatkov, kot je bilo pravkar navedeno, možnost uveljaviti svojo pravico do dostopa do osebnih podatkov v skladu s členom 13 Uredbe (ES) št. 45/2001. ENVP zato priporoča, da se v predlagani člen 24 doda odstavek, v skladu s katerim se sprejmejo ukrepi za zagotovitev, da lahko zadevne osebe uveljavijo pravico dostopa do osebnih podatkov, ki se nanašajo nanjo, kot je določeno v členu 13 Uredbe (ES) št. 45/2001.

V.   SKLEPI IN PRIPOROČILA

56.

Ena od pomanjkljivosti sedanjega pravnega okvira, ki temelji na Uredbi (ES) št. 726/2004 in Direktivi 2001/83/ES, je po mnenju ENVP ta, da vpliv farmakovigilance na varstvo podatkov ni ustrezno ocenjen. Predlagane spremembe Uredbe (ES) št. 726/2006 in Direktive 2001/83/ES bi morali videti kot priložnost, da bi varstvo podatkov postalo pomemben vidik farmakovigilance in njen sestavni del v pravem pomenu besede.

57.

Pri tem se zastavlja splošno vprašanje, ali je osebne zdravstvene podatke dejansko treba obdelati v vseh fazah procesa farmakovigilance. Kot je ENVP pojasnil v tem mnenju, sam resno dvomi, da je to potrebno, in od zakonodajalca zahteva, naj to ponovno preuči na različnih stopnjah procesa. Jasno je, da lahko cilj farmakovigilance v veliko primerih dosežemo z izmenjavo podatkov o neželenih učinkih, ki so anonimni v smislu predpisov s področja varstva podatkov. Dvojnemu poročanju se lahko izognemo s tem, da že na nacionalni ravni uporabljamo dobro strukturirane postopke poročanja podatkov.

58.

S predlaganimi spremembami naj bi se poenostavil sistem poročanja, baza podatkov EudraVigilance pa bi se okrepila. ENVP je pojasnil, da te spremembe povzročajo večja tveganja za varstvo podatkov, predvsem pri neposrednem poročanju pacientov Evropski agenciji za zdravila ali za bazo podatkov EudraVigilance. V zvezi s tem ENVP toplo priporoča decentraliziran in posreden sistem poročanja, v skladu s katerim bi se lahko sporočila za evropski spletni portal koordinirala s pomočjo nacionalnih spletnih portalov. Poleg tega ENVP poudarja, da bi morali biti spoštovanje zasebnosti in varnost upoštevana pri oblikovanju in izvajanju sistema poročanja prek spletnih portalov („načelo spoštovanja zasebnosti pri načrtovanju“).

59.

ENVP prav tako poudarja, da bi morala v primeru, ko se obravnavajo podatki v zvezi z zdravjem določenih ali določljivih fizičnih oseb, oseba, pristojna za tovrstno obdelavo, izpolniti vse zahteve v skladu z zakonodajo Skupnosti na področju varstva podatkov.

60.

ENVP natančneje priporoča:

da se v preambulo obeh predlogov vključi referenca na to mnenje,

da se tako v Uredbo (ES) št. 726/2004 kot Direktivo 2001/83/ES vključi uvodna izjava, v kateri se z navedbo zadevne zakonodaje Skupnosti opozori, kako pomembno je varstvo podatkov v okviru farmakovigilance,

da se v Uredbo (ES) št. 726/2004 in Direktivo 2001/83/ES vključi novi splošni člen, v katerem je določeno, da:

določbe Uredbe (ES) št. 726/2004 in Direktive 2001/83/ES ne posegajo v pravice in obveznosti, ki izhajajo iz Uredbe (ES) št. 45/2001 oziroma Direktive 95/46/ES, pri čemer se sklicuje predvsem na člen 10 Uredbe (ES) št. 45/2001 oziroma člen 8 Direktive 95/46/ES,

se lahko določljivi zdravstveni podatki obdelujejo samo, ko je to nujno potrebno, pri čemer bi morali udeleženci to potrebo preučiti v vsaki posamezni fazi procesa farmakovigilance,

da se v predlagani člen 24(2) Uredbe (ES) št. 726/2004 vključi stavek, v skladu s katerim je dostopnost do baze podatkov EudraVigilance urejena v skladu s pravili in obveznostmi, ki izhajajo iz zakonov Skupnosti o varstvu podatkov,

da se v predlagani člen 24 doda odstavek, v skladu s katerim se sprejmejo ukrepi za zagotovitev, da lahko zadevne osebe uveljavijo pravico dostopa do osebnih podatkov, ki se nanašajo nanjo, kot je določeno v členu 13 Uredbe (ES) št. 45/2001,

da se v predlagani člen 101 Direktive 2001/83/ES doda odstavek, v skladu s katerim se v primeru obdelave podatkov zadevna oseba v skladu s členom 10 Direktive 95/46/ES ustrezno obvesti,

da v novo predlagana člena 25 in 26 Uredbe (ES) št. 726/2004 in novo predlagani člen 106 Direktive 2001/83/ES o vzpostavitvi sistema poročanja o neželenih učinkih prek spletnih portalov vključi zahteva po proporcionalni vključitvi primernih ukrepov za varstvo podatkov in varnostnih postopkov v vseh državah članicah, pri čemer je treba upoštevati načela zaupnosti, celovitosti, razpoložljivosti in odgovornosti pri obdelavi podatkov.

V Bruslju, 22. aprila 2009

Peter HUSTINX

Evropski nadzornik za varstvo podatkov


(1)  UL L 281, 23.11.1995, str. 31.

(2)  UL L 8, 12.1.2001, str. 1.

(3)  COM(2008) 664 konč. in COM(2008) 665 konč.

(4)  UL L 136, 30.4.2004, str. 1.

(5)  UL L 311, 28.11.2001, str. 67.

(6)  Glej obrazložitvene memorandume na str. 2.

(7)  UL 22, 9.2.1965, str. 369.

(8)  Glej obrazložitvene memorandume na str. 2.

(9)  O opredelitvi zdravstvenih podatkov glej Mnenje ENVP z dne 2. decembra 2008 o predlagani direktivi o pravicah pacientov na področju čezmejnega zdravstvenega varstva, točke 15–17, na voljo na http://www.edps.europa.eu

(10)  Glej ECHR 17. julij 2008, I v. Finska (št. vl. 20511/03), odst. 8 in ECHR 25. november 2008, Armonas v. Litva (št. vl. 36919/02), odst. 40.

(11)  Glej oceno učinka str. 10.

(12)  Glej zvezek 9A Pravil, ki urejajo zdravila v Evropski skupnosti: Smernice o farmakovigilanci za zdravila za humano uporabo so na voljo na: http://ec.europa.eu/enterprise/pharmaceuticals/eudralex/vol-9/pdf/vol9a_09-2008.pdf

(13)  Glej smernice na str. 57.

(14)  Glej opombo 13.

(15)  Člen 2 (a) Direktive 95/46/ES opredeljuje „osebne podatke“ kot „katero koli informacijo v zvezi s fizično osebo, na katero se nanašajo podatki, ki je določena ali določljiva (oseba, na katero se nanašajo podatki); določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto.“ Uvodna izjava (26) nadalje določa: ... za odločitev o tem, ali je oseba določljiva ali ne, je treba upoštevati vsa sredstva, za katera se pričakuje, da jih bo uporabil bodisi upravljavec ali katera koli druga oseba za določitev take osebe; Za nadaljnje analize glej Mnenje 4/2007 Delovne skupine iz člena 29 o konceptu osebnih podatkov (dokument delovne skupine 136), sprejeto dne 20. junija 2007 in na voljo na http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm Pomembno je tudi za uredbo (ES) št. 45/2001.

(16)  Glej opombo 13.

(17)  Glej osnutek politike dostopa do EudraVigilance za zdravila za humano uporabo z dne 19. decembra 2008, na voljo na http://www.emea.europa.eu/pdfs/human/phv/18743906en.pdf

(18)  Glej oceno učinka na str. 17.

(19)  Glej oceno učinka na str. 17.

(20)  Glej predlog Komisije za Direktivo Evropskega parlamenta in Sveta o standardih kakovosti in varnosti človeških organov, namenjenih za presaditev, COM(2008) 818 konč. Glej mnenje ENVP z dne 5. marca 2009, na voljo na http://www.edps.europa.eu

(21)  Glej Mnenje ENVP, str. 11–28.

(22)  Glej člena 2(a) Direktive 95/46/ES in 3(a) Uredbe (ES) št. 45/2001 ter nadaljnjo obrazložitev v opombi 13.

(23)  Pseudonimizacija je proces, ki se lahko uporabi za prikritje identitete posameznika, na katerega se podatki nanašajo, hkrati pa so podatki sledljivi. Obstajajo različne tehnične možnosti, npr. varno vzdrževanje seznamov med resničnimi identitetami in psevdonimi, uporaba dvosmernih kriptografskih algoritmov itd.

(24)  Glej obrazložitvene memorandume na straneh 2/3.

(25)  Glej mnenje ENVOP iz opombe 7 o predlogu direktive o pravicah bolnikov na področju čezmejnega zdravstvenega varstva, točke 32–34.

(26)  Glej točko 32 tega mnenja.

(27)  Glej tudi opombo 15.