пропозиції роботи
konto usunięte
Temat: Ochrona danych osobowych w aptece
Zostałem poproszony o napisanie artykułu do FF na temat danych osobowych w aptekach- artykuł co prawda napisany dla aptekarzy ale mysle, ze warto go tutaj wkleic, moze kogos zainteresuje. Ciekawostka jest to, ze chociaz teoretycznie dzisiaj nie jest mozliwe zadne przekazywanie danych z aptek do hurtowni, to jak udowadnia PGF ze swoim DOZ'em przy odpowiednim podejsciu do tematu wolno prawie wszystko. Moim zdaniem majstersztyk. :)Dane osobowe to termin prawniczy zdefiniowany przez ustawę o ochronie danych osobowych oznaczający wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W praktyce oznacza to, że daną osobową jest nie tylko imię i nazwisko z adresem jak się powszechnie przyjęło. Może to być także przykładowo sam numer PESEL, numer telefonu komórkowego czy numer recepty KUM. Każdy z tych numerów umożliwia zidentyfikowanie konkretnej osoby. Dane osobowe gromadzi każda apteka zazwyczaj nawet nie zdając sobie z tego sprawy- są nimi dane o pacjencie wprowadzane podczas realizacji recepty, jak również dane które zbieramy na potrzeby programów lojalnościowych. Warto przy tym zaznaczyć, że dane odnośnie stanu zdrowia osoby fizycznej (którymi jest niewątpliwie wiedza odnośnie leków które dana osoba zażywa) to tzw. „dane sensytywne” podlegające szczególnej ochronie. Ustawa wprowadza też kary za nieprawidłowe administrowanie danymi osobowymi i może to być zarówno odpowiedzialność cywilna, administracyjna jak i karna.
Najwięcej wątpliwości budzą zagadnienia związane z przetwarzaniem danych na użytek programów lojalnościowych. Ograniczenia związane z ochroną danych osobowych można ominąć tylko na trzy sposoby. Pierwszym jest przetwarzanie danych w formie tradycyjnej (papierowej) bez tworzenia zbioru danych- co w praktyce oznacza, że nie wolno nam tych danych w żaden sposób sortować, wpisywać w tabele, a tym bardziej wprowadzać do komputera. Czyli sprowadza się to do tego, że dane możemy zbierać ale w żaden sposób nie można ich wykorzystać w praktyce. Drugim sposobem który raczej nie będzie miał wykorzystania w aptekach to siedziba w państwie OEG innym niż Polska w którym przepisy są bardziej liberalne w tym zakresie. Ostatnim wykluczeniem jest możliwość przetwarzania danych wyłącznie doraźnie, wyłącznie ze względów technicznych, a po ich wykorzystaniu dane takie powinny być niezwłocznie usunięte. Ten zapis w szczególności dotyczy szybkich konkursów które w praktyce kończą się zanim możliwa była by rejestracja takiej bazy.
Kolejną ważną sprawą jest to, że jako apteka nie możemy w żaden sposób przekazywać danych osobowych podmiotowi trzeciemu np. hurtowni lub producentowi. Nie wolno nam nawet zbierać ulotek z takimi danymi i przekazywać firmie trzeciej, pacjent powinien im dane takie przekazać osobiście np. wysyłając je pocztą. Legalne powinno być także wstawienie do apteki urny do której pacjenci wrzucali by ulotki ze swoimi danymi ale tylko pod warunkiem, że firma trzecia sama opróżniała by taką urnę i nie było w żadnym momencie aktu przekazania danych pacjenta przez aptekę. Sprawa ta jest o tyle ważna, że zgodnie z moją wiedzą niektóre programy lojalnościowe oferowane aptekom przez hurtownie zdają się dzisiaj łamać te zasady i mogą w ten sposób narazić aptekę na odpowiedzialność karną jeżeli ktoś doniesie o tej praktyce do urzędu.
W przypadku tych programów przekazanie hurtowni imienia nazwiska i adresu pacjenta to dopiero początek zbierania danych, ponieważ apteka rejestruje i przekazuje do hurtowni informacje na temat kwot wydanych przez pacjenta w aptece, a nawet szczegółowe informacje o tym jakie leki zostały przez niego zakupione. Teoretycznie nic takiego nie powinno mieć miejsca, jednak w praktyce dane te nie są już traktowane jako dane osobowe i nie podlegają ochronie. Wykorzystany tutaj jest „wybieg prawny” polegający na tym, że jedna firma administruje dane osobowe pacjentów, a druga (w tym przypadku apteka) zbiera informacje bazując wyłącznie na numerach kart, a nie mając dostępu do pierwszej bazy nie może powiązać ich z konkretnymi osobami tak więc de facto nie przekazuje danych osobowych. Podkreślam, że apteka nie może w żaden sposób wiązać w komputerze numeru karty z konkretnym pacjentem wiec nie może numerów tych kart rejestrować w swojej bazie.
Firmy zbierają dane nie tylko na użytek danych lojalnościowych, przekazywane są one także np. do systemów generujących statystyki czy sprawdzających recepty kradzione. Warto zwrócić uwagę na to jakie dane są przekazywane, moim zdaniem niedopuszczalne jest przekazywanie np. numeru recepty (w szczególności recept KUM) a tym bardziej numeru PESEL pacjenta, ponieważ każdy z tych numerów umożliwia identyfikacje konkretnej osoby i z tego względu sam w sobie musi być traktowany jako dana osobowa. Chroniony jest nie tylko pacjent ale także i lekarz- jego dane (numer umowy) również nie mogą być nikomu przekazane (oczywiście z wykluczeniem NFZ ). Pamiętajmy, że za przekazanie danych odpowie apteka tak więc warto dobrze przyjrzeć się tym jakie dane są wysyłane za naszym pośrednictwem ponieważ podejrzewam, że wiele aptek zupełnie nieświadomie łamie prawo. Nie twierdzę, że nie można przekazywać żadnych danych- należy tylko zadbać o to aby w żaden sposób nie dało się ich powiązać z danymi konkretnej osoby (nawet pośrednio), a również aby nie zawierały informacji o sprzedaży leków refundowanych.
Na wstępie napisałem, że wszystkie apteki przetwarzają dane osobowe nawet nie zdając sobie z tego sprawy- czy to znaczy, że każda apteka powinna zarejestrować się w GIODO? Na szczęście ustawodawca zwolnił z obowiązku rejestracji baz które są wykorzystywana w celach usług medycznych. Apteka przetwarza dane, ma do tego podstawę prawną i dlatego powinna być zwolniona z obowiązku rejestracji zbioru danych na podstawie art. 43 ust. 1 pkt 5. Jeśli apteka ma podstawę prawną do przetwarzania danych osobowych pacjentów dla własnych celów, może na podstawie art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 przetwarzać dane także dla prowadzenia marketingu bezpośredniego swoich usług. Tak więc możemy wykorzystać dane które zbieramy np. na użytek swojego własnego programu lojalnościowego. Zapis ten dotyczy wyłącznie danych zwykłych (nie sensytywnych), tak więc nie wolno nam nawet na własny użytek sprawdzać np. który pacjent korzysta z konkretnego leku aby zaproponować mu specjalną promocje. Dane możemy wykorzystać np. aby wysłać wszystkim swoim pacjentom kartkę na święta i nikt nie może nam zarzucić, że naruszamy ustawę o ochronie danych osobowych nawet jeżeli pacjent nie wyraził pisemnej zgody na wysyłanie takich rzeczy. W pełni legalne pozostają także programy hurtowni w których dane osobowe pacjentów pozostają w aptece i nie są przekazywane dalej- tutaj nie ma żadnych wątpliwości.
Tak więc reasumując apteka jako punkt świadczący usługi medyczne ma prawo do zbierania i przetwarzania danych osobowych bez konieczności ich rejestrowania w GIODO. Legalne pozostają wszystkie programu lojalnościowe i akcje marketingowe w których apteka reklamuje samą siebie przy wykorzystaniu tych danych (ale nie wolno reklamować nam np leku!). Uważać trzeba na to jakie dane przekazujemy firmie trzeciej, a w szczególności dbać o to aby przekazywane dane nie mogły być potraktowane jako dane osobowe. I na koniec warto pamiętać, że daną osobową jest nie tylko imię i nazwisko ale każda informacja, która może umożliwić identyfikacje konkretnej osoby jak np. numer recepty.
