RODO w aptece! O czym należy pamiętać rok po wprowadzeniu ustawy?

Udostępnij:

RODO obowiązuje w Polsce od 25 maja 2018 roku. Zwane jest również Ogólnym Rozporządzeniem o Ochronie Danych i wiąże wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Obowiązuje również w aptekach.

RODO wprowadziło m.in. rozszerzony obowiązek informacyjny względem osób, których dane są gromadzone, nowe procedury w zakresie ochrony danych, np. obowiązek notyfikacji naruszeń organowi nadzorczemu, oraz nowe wymogi związane z dokumentowaniem czynności przetwarzania danych.

Dane, które są najbardziej narażone na niebezpieczeństwo wykorzystania ich przez osoby nieuprawnione to tak zwane dane wrażliwe. Według ustawy RODO zaliczają się do nich dane genetyczne, dane biometryczne, dane dotyczące zdrowia (wszystkie dane informujące o przeszłym, obecnym lub przyszłym stanie zdrowia fizycznego lub psychicznego, ale także informacje o korzystaniu z usług opieki zdrowotnej), dane dotyczące seksualności lub orientacji seksualnej. Są to informacje, którymi w większości dysponuje każda apteka. Jako administrator tych danych musi zadbać o ich bezpieczeństwo.

Ocena ryzyka zabezpieczenia danych osobowych

W miejscach, gdzie przechowywane są dane osobowe, należy zwrócić szczególną uwagę na właściwe stosowanie wewnętrznych procedur. Trzeba pamiętać, że ocena ryzyka związanego z zabezpieczeniem danych osobowych nie jest czynnością jednorazową. Konieczne jest dokonywanie aktualizacji ryzyk w celu zapewnienia, że jej wyniki pozostają aktualne i uwzględnia ona nowo powstające zagrożenia, a także uwzględnienia nowych rozwiązań opracowanych w celu eliminowania i ograniczania ryzyka. Jest to szczególnie ważne w przypadku wystąpienia naruszenia ochrony danych np. włamanie do lokalu apteki lub atak hakerski. W tego typu przypadkach należy niezwłocznie zaktualizować posiadane postępowania pod kątem wystąpienia nowych ryzyk oraz powiadomić Prezesa Urzędu Ochrony Danych Osobowych o możliwości niepowołanego dostępu do informacji, których administratorem jest dana apteka.

Natomiast jeżeli w wyniku przeprowadzonej analizy okaże się, że nie istnieje niebezpieczeństwo naruszenia praw i wolności osób fizycznych, administrator nie ma obowiązku powiadamiania organu nadzorczego o naruszeniu. W takim przypadku organ nadzorczy może zwrócić się do administratora o uzasadnienie decyzji o niezgłoszeniu naruszenia. Dlatego wyniki z przeprowadzonej analizy należy udokumentować w wewnętrznej ewidencji naruszeń.

Ryzyko naruszenia praw i wolności osób fizycznych

Kiedy występuje ryzyko naruszenia praw i wolności osób fizycznych? Takie ryzyko jest wtedy, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Dane zawarte na recepcie są danymi wrażliwymi. Dlatego w przypadku nielegalnego udostępnienia danych osobowych, których administratorem jest apteka, praktycznie zawsze wystąpi szkoda. W związku z tym praktykowane niegdyś wysyłanie recept do hurtowni w celu udowodnienia zapotrzebowania na konkretny lek nie może być teraz stosowane. Na wysyłanych receptach nie mogą się znajdować dane wrażliwe. Czyli na dokumencie pozostawia się tylko takie informacje, które nie zawierają danych osobowych – recepty bez imienia, nazwiska, PESEL, dokładnego adresu zamieszkania.

Trzeba pamiętać, że dane często są przechowywane na sprzęcie używanym przez farmaceutów w aptece — na komputerach zapisane są dane osobowe oraz loginy do systemów informatycznych. W przypadku włamania do apteki i kradzież m.in. komputerów wraz z danymi pacjentów nie wystarczy tylko zawiadomić Policję. Należy także powiadomić Prezesa UODO o możliwym nielegalnym dostępie do danych osobowych – jego brak może skutkować nałożeniem sankcji w postaci kary pieniężnej, ale również wszczęciem postępowania karnego, administracyjnego i dyscyplinarnego. Oprócz tego obowiązkiem administratora danych jest dokonać analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych oraz zweryfikować procedurę bezpieczeństwa tak, aby zminimalizować ryzyko kradzieży np. przechowywanie danych osobowych w tzw. chmurze.

Apteka to nie tylko podmiot przetwarzający wrażliwe dane pacjentów, ale także zwykła firma, która przetwarza dane osobowe pracowników i kontrahentów, organizator programów lojalnościowych. Dlatego administratorzy danych w aptekach powinni zwracać szczególną uwagę na ochronę danych osobowych.

Źródła: