Od prawie 5 lat każdy przedsiębiorca prowadzący aptekę zobowiązany jest do stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO”).

Dla aptek dostosowanie się do przepisów rozporządzenia wiązało się zasadniczo z przeglądem stosowanych zabezpieczeń technicznych i organizacyjnych, tj. przede wszystkim przetwarzania danych w środkach informatycznych i w sieci internetowej, dostosowaniem informacji dla pacjenta oraz de facto z niewielkim uzupełnieniem dokumentacji przetwarzania danych osobowych.

Podmiot prowadzący aptekę musi przetwarzać, co najmniej dane zawarte na receptach i zapotrzebowaniach. Z pewnością wydanie leków wymaga wykorzystania danych zawartych na recepcie i zapotrzebowaniu w celu ustalenia, jakie leki i w jakiej ilości mają być wydane, a w przypadku recepty – osoby, dla której leki są przeznaczone.

Należy podkreślić, że recepta zawiera także dane, które w myśl art. 4 pkt 15 RODO klasyfikowane są jako „dane dotyczące zdrowia”, a więc dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej ujawniające informacje o stanie jej zdrowia.

W jaki sposób apteka powinna zarządzać bezpieczeństwem przetwarzanych danych?

W celu sprawowania kontroli nad danymi osobowymi przetwarzanymi w aptece ogólnodostępnej, należy wprowadzić procedury umożliwiające monitorowanie wszelkich czynności wykonywanych na danych. Kontrola przetwarzania danych osobowych w aptece ogólnodostępnej polega przede wszystkim na:

1. Inwentaryzacji zasobów – apteka ustala jakie dane osobowe i w jaki sposób przetwarza, np. dane osobowe pacjentów zbierane w deklaracjach wyboru, dane utrwalane w dokumentacji medycznej – w wersji papierowej i elektronicznej; dane przechowywane w szafach kartotecznych, zamykanych na klucz; na serwerze, w chmurze, na zewnętrznych nośnikach danych;
2. Określeniu, jakie obowiązki, w związku z przetwarzaniem powyższych danych, nakłada na administratora danych osobowych RODO;
3. Analizie ryzyka;
4. Prowadzeniu audytów ochrony danych osobowych, podczas których sprawdzany jest niezbędny zakres zbieranych informacji, adekwatność i stosowanie procedur, środki ochrony technicznej;
5. Przegląd upoważnień dostępu do danych osobowych (w szczególności upoważnień do przetwarzania danych osobowych w formie papierowej lub elektronicznej, nadanych osobom zatrudnionym w aptece ogólnodostępnej w związku z realizacją ich obowiązków służbowych np. dostęp do określonych baz danych, aplikacji, programów, systemów informatycznych);

Podmiot prowadzący aptekę musi pamiętać o cyklicznym przeprowadzaniu analizy ryzyka, audytów bezpieczeństwa oraz przeglądów upoważnień i uprawnień. Zalecane jest, aby terminy ponownych audytów zostały zaplanowane z góry.

Bezpieczeństwo organizacyjne

• ustalenie procedur bezpieczeństwa w aptece i ich przestrzeganie,
• prowadzenie i aktualizacja rejestru czynności przetwarzania danych,
• szkolenie pracowników,
• system kontroli wewnętrznej, raportowanie naruszenia danych.

Bezpieczeństwo informatyczne

• bezpieczeństwo i nadzór systemów informatycznych w aptece oraz kontrola dostępu do danych wrażliwych,
• tworzenie kopii zapasowych,
• monitoring zabezpieczeń, audyt IT.

Bezpieczeństwo fizyczne

• zabezpieczenie pomieszczeń i lokali,
• zabezpieczenie dokumentacji papierowej,
• kontrola dostępu do pomieszczeń.

W miejscach, gdzie przechowywane są dane osobowe, należy zwrócić szczególną uwagę na właściwe stosowanie wewnętrznych procedur. Trzeba pamiętać, że ocena ryzyka związanego z zabezpieczeniem danych osobowych nie jest czynnością jednorazową. Konieczne jest dokonywanie aktualizacji ryzyk. Aktualizacja ta zapewnieni, że wyniki pozostaną aktualne i uwzględnią nowe zagrożenia, oraz nowe rozwiązania opracowane w celu eliminowania i ograniczania ryzyka.

Co robić w przypadku naruszenia ochrony danych?

W przypadku naruszenia ochrony danych osobowych:

• administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (Urząd Ochrony Danych Osobowych);
• administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze;
• jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o takim naruszeniu osobę, której dane dotyczą.

Aleksandra Gawron – aplikant adwokacki Izby Adwokackiej w Warszawie, w kręgu jej zainteresowań są w szczególności: ochrona danych osobowych oraz prawo farmaceutyczne; doradza spółkom branży medycznej, a także wspiera ich w zakresie compliance.