Daria S

Daria S Student Uniwersytet
Warszawski

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Dzień dobry,

Nie mam jasności w kwestii tego, czy można w aptekach i firmach farmaceutycznych powołać ABIego z zewnatrz, tzn outsourcować tę usługę.Z tego co wytyczytałam, obecnie nie ma określonych ram prawnych outsourcingu w usługach medycznych. Czy to znaczy że nie ma przeszkod by powołać ABIego z zewnatrz? W sektorze farmaceutycznym mamy dostęp do danych wrazliwych, wiec nie wiem czy to nie stoi na przeszkodzie.
Tomasz Korolko

Tomasz Korolko Radca prawny.
Prowadzi bloga Dane
osobowe w firmie.

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Na gruncie ustawy o ochronie danych osobowych nie ma znaczenia jakie dane są przetwarzane - ABI zawsze może być z zewnątrz.

Odrębną kwestią jest natomiast prawo farmaceutyczne - postaram się jutro sprawdzić czy nie ma żadnych ograniczeń w tym zakresie (ale nie sądzę, żeby były).
Daria S

Daria S Student Uniwersytet
Warszawski

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Dziękuję bardzo za odpowiedź. Właśnie zastanawiam się, czy ewentualne obostrzenia nie będą wynikały z tego, że dane wrazliwe są objęte tajemnicą aptekarską ?(art. 21 pkt ustawy z dnia 19 kwietnia 1991 r. o izbach aptekarskich). Jak Państwo sądzicie? Outsourcujac ABI, zapewniamy mu dostęp do tych danych..
Daria S

Daria S Student Uniwersytet
Warszawski

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Moje watpliwosci budzi tez fragment tego artykulu: http://blog.dzp.pl/pharma/powierzenie-przechowywania-d...

"Obecnie prawo nie zabrania outsourcowania dokumentacji medycznej – na gruncie obowiązujących przepisów możliwe jest w naszej ocenie powierzenie przechowywania dokumentacji medycznej zewnętrznej firmie, pod warunkiem, że ta ostatnia nie będzie miała do niej żadnego wglądu, co można osiągnąć poprzez szyfrowanie tej dokumentacji.:
Tomasz Korolko

Tomasz Korolko Radca prawny.
Prowadzi bloga Dane
osobowe w firmie.

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Kwestia powierzenia przechowywania dokumentacji medycznej to inny temat. Tam mamy do czynienia z instytucją powierzenia przetwarzania danych osobowych (art. 31 ustawy o ochronie danych osobowych). Wątpliwości, jakie się z tym wiążą, to pytanie, czy z uwagi na tajemnicę lekarską, można na podstawie art. 31 ustawy o ochronie danych osobowych powierzyć przechowanie dokumentacji medycznej (a więc przetwarzanie zawartych w nich danych) innemu podmiotowi. Kilka lat temu GIODO stanął na stanowisku, że tajemnica lekarska to ochrona dalej idąca niż ta w ustawie o ochronie danych osobowych, a zatem - na podstawie art. 5 - przepis o powierzeniu przetwarzania danych osobowych nie powinien mieć zastosowania, a w konsekwencji takie powierzenie nie powinno być możliwe.

Natomiast w Pani przypadku, problem jest trochę inny, ponieważ w przypadku ABI dane osobowe nie są nigdzie przekazywane. Są one w dalszym ciągu przetwarzane wyłącznie przez administratora danych (nie ma powierzenia przetwarzania), a ABI to jedynie funkcja w ramach struktury organizacyjnej administratora danych.

Przyznam szczerze, że mam problem z jednoznacznym rozstrzygnięciem tej kwestii. Z jednej strony mamy nakaz zachowania w tajemnicy wiadomości dotyczące zdrowia pacjenta, uzyskane w związku z wykonywaniem zawodu (art. 21 pkt 2 ustawy o izbach aptekarskich), a z drugiej strony prawo do powołania ABI (w tym także "z zewnątrz"), którego zadaniem będzie właśnie zapewnienie, żeby te wiadomości były zachowane w tajemnicy i przetwarzane zgodnie z prawem (i ponosi nawet za to odpowiedzialność karną). W mojej ocenie, interpretacja mówiąca, że tajemnica aptekarska wyklucza możliwość powołania ABI z zewnątrz jest zbyt daleko idąca. Taka rygorystyczna interpretacja prowadziłaby do wniosku, że w ogóle jakikolwiek personel administracyjny jest wykluczony, bo nie można mu ujawnić danych pacjenta. Jeżeli na ABI zostanie powołana odpowiednia osoba (spełniająca warunki określone w ustawie) i zostaną przez administratora podjęte odpowiednie środki w celu zachowania przez ABI danych w tajemnicy (np. poprzez odpowiednie zapisy w umowie), to skłaniałbym się do uznania, że będzie to rozwiązanie zgodne z prawem. Ale podkreślam, że jest to zagadnienie, w którym możliwe są interpretacje w obie strony.
Daria S

Daria S Student Uniwersytet
Warszawski

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Panie Tomaszu dziękuję bardzo za obszerną odpowiedż. Wygląda na to, że mamy kolizje - z jednej strony prawo do wyznaczania ABI, z drugiej tajemnica aptekarska. Mam nadzieję, że dobrze skonstruowana umowa faktycznie pozwoli na outsourcowanie ABI. Co ciekawe, czytam teraz zalozenia do zmiany ustawy o prawach pacjenta i rzeczniku pacjenta( https://legislacja.rcl.gov.pl/docs//1/185992/186024/186... i nie widzę, żeby poruszane tam te kwestie:(
Tomasz Korolko

Tomasz Korolko Radca prawny.
Prowadzi bloga Dane
osobowe w firmie.

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Jeżeli chodzi o ustawę o prawach pacjenta, to w przypadku aptek dochodzi jeszcze jeden problem. W rozumieniu tej ustawy pacjent to "osoba zwracająca się o udzielenie świadczeń zdrowotnych lub korzystającą ze świadczeń zdrowotnych udzielanych przez podmiot udzielający świadczeń zdrowotnych lub osobę wykonującą zawód medyczny". Świadczenia zdrowotne to natomiast "działania służące zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich wykonywania". I teraz kolejne pytanie - czy działalność apteki mieści się w zakresie pojęcia świadczenia zdrowotnego. Moim zdaniem nie. Ale na razie nie ma to znaczenia, bo kwestia udostępniania dokumentacji medycznej nie została rozstrzygnięta.
Szymon S.

Szymon S. IOD / IBTI

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Tak sobie myślę, że ABI dane osobowe ma chronić, opiekować się nimi , zabezpieczać i traktować jak własne dziecko. Wgląd do danych, a przez to dostęp do tajemnicy lekarskiej, powinien być bardzo ograniczony. Zresztą po co ABI miałby przeglądać dane pacjentów? Rozumiem w razie incydentu bezpieczeństwa, ale tak to... why? :)Ten post został edytowany przez Autora dnia 16.07.15 o godzinie 17:18
Paweł G.

Paweł G. IOD, podmiot danych

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Daria S.:
czy ewentualne obostrzenia nie będą wynikały z tego, że dane wrazliwe
są objęte tajemnicą aptekarską? (art. 21 pkt ustawy z dnia 19 kwietnia 1991 r.
o izbach aptekarskich). Jak Państwo sądzicie? Outsourcujac ABI, zapewniamy mu
dostęp do tych danych..

Podobnie usługi informatyczne świadczone przez podmiot zewnętrzny.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Szymon S.:
Zresztą po co ABI miałby przeglądać dane pacjentów? Rozumiem w razie incydentu bezpieczeństwa,
ale tak to... why? :)

Nowo powołany ABI może przeglądać np. w celu analizy legalności, adekwatności i celowości przetwarzania oraz w celu analizy ryzyka. ABI przecież musi wiedzieć, co ma chronić i przed czym.
Daria S

Daria S Student Uniwersytet
Warszawski

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

No własnie, ABI dane pewnie będzie przegadal, tego nie da sie uniknac bo jak inaczej ma utworzyc odpowiednie zbiory itp
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Sorry, ale opisałem wiele zbiorów nie widząc ani jednego rekordu "rzeczywistego". Naprawdę, żeby opisać strukturę nie trzeba mieć dostępu do danych.
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

W pełni się zgadzam - ABI nie zawsze musi mieć dostęp do danych, aby je chronić...
Paweł G.

Paweł G. IOD, podmiot danych

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Ano nie zawsze.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Czy spec od bezpieczeństwa informacji w Coca Cola zna recepturę produktu? ;-)
Paweł G.

Paweł G. IOD, podmiot danych

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Czy można sprawdzić legalność i adekwatność przetwarzanych danych w programie kadrowo-płacowym, nie zaglądając do danych?
Szymon S.

Szymon S. IOD / IBTI

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Wszystko zależy od potrzeb i ograniczeń. Można działać na podstawie opisu/dokumentacji oprogramowania, która często opisuje jakie dane przetwarza. Można również poprosić o wydruk przetwarzanych pól bez wprowadzonych danych, często takie wydruki nie dają możliwości ingerencji użytkownika.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Szymon S.:
Wszystko zależy od potrzeb i ograniczeń.

Ano właśnie. Na przykład mam potrzebę sprawdzić, czy w programie płacowym przetwarzane są adresy zameldowania lub NIP-y pracowników albo czy w programie kadrowym przetwarzane są ich wizerunki. Jak to zrobić bez wglądu w dane?
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Dokumentacja systemu plus niezawodny phpAdmin lub podobne narzędzie (pgAdmin dla postgresowych, acces - otwarcie z shiftem) . To tam są zaszyte kategorie i rodzaje danych oraz powiązania między nimi. Większość aplikacji (jeśli nie wszystkie) pracuje na bazach danych. Więc z założenia przyjmuję, ze jeśli dana tabela zawiera określone wiersze, to dane SĄ przetwarzane. Bo co z tego, że nikt tego nie wypełnia - ma możliwość. Więc przyjmuję że te informacje są przetwarzane.

W innych przypadkach, jak nie było za bardzo jak się dobrać do bazy, prosiłem o otworzenie pustego rekordu i na nim robiłem wywiad.

Bo znowu - TO NIE SYSTEM ma układać zakres przetwarzanych danych i powiązania między nimi. Tylko ADO. I doskonale wiem, że wiele firm pracuje na starych programach kadrowych, w których nie wiadomo o co biega. Ale jakoś nie zauważyłem, aby ktoś jeździł autem, w którym nie wiadomo o co biega i gdzie zamiast linek jest sznurek do snopowiązałki. ;-)

Tą barwną (mam nadzieję) metaforą chcę pokazać jedno. To od nas zależy jakie systemy i jakie struktury będą miały bazy danych, czy dokładniej - zbiory danych oraz bazy służące do ich przetwarzania. To my mamy postawić wymagania dla systemów. Tak, jak prezes stawia wymagania dla samochodów czy biur, drukarek czy komputerów. Naprawdę nie dajmy się zepchnąć do roli łataczy.

Z drugiej strony - trzeba uważać, żeby nie przeginać. Dążenie do pozyskiwania wiedzy nadmiarowej jest w ludziach od zarania dziejów. Kto ma informację - ten ma władzę. Więc czasem spotykami ABI i ASI, co to chcą (a w ich mniemaniu - MUSZĄ) wiedzieć wszystko. Pamiętajmy, że my też jesteśmy słabym ogniwem, miejscem przetwarzania danych. Więc wszystko musi być również zgodne z dobrymi praktykami.

Jeśli już potrzeba dostępu do zbioru danych, żeby sprawdzić (np., w ramach audytu) to sorry, ale dostep określiłbym dla ABI TYLKO na czas sprawdzenia zgodności. W pozostałym czasie jest to niepotrzebne.
Szymon S.

Szymon S. IOD / IBTI

Temat: ABI w aptekach oraz firmach farmaceutycznych- outsourcing

Poprosić osobę uprawnioną o wydruk i zamazanie danych pozostawiając nazwy komórek. Po anonimizacji można patrzeć ile wlezie i oceniać czy zbierane dane są adekwatne do celu przetwarzania :)

Następna dyskusja:

outsourcing ABI




Wyślij zaproszenie do