Apteki ogólnodostępne należą do podmiotów przetwarzających dane osobowe o szczególnie wrażliwym charakterze. Dane dotyczące zdrowia pacjentów, realizacji recept, wyrobów medycznych, a także dane pracownicze oraz dane związane z realizacją obowiązków publicznoprawnych, sytuują apteki w grupie administratorów danych o podwyższonym ryzyku naruszenia praw i wolności osób fizycznych.

W tym kontekście kluczową rolę odgrywa Inspektor Ochrony Danych (IOD), którego pozycja oraz zakres zadań w ostatnim czasie stały się przedmiotem wyraźnego doprecyzowania przez Prezesa Urzędu Ochrony Danych Osobowych.

Specyfika przetwarzania danych w aptekach

Apteki przetwarzają szeroki katalog danych osobowych, w tym dane szczególnych kategorii. Obejmuje to m.in. informacje o stanie zdrowia pacjentów wynikające z recept, historię realizacji świadczeń farmaceutycznych, dane dotyczące refundacji, a także dane związane z programami opieki farmaceutycznej. Przetwarzanie to odbywa się zarówno w systemach informatycznych (systemy apteczne, e-recepta, ZSMOPL), jak i w formie papierowej. Dodatkowo apteki – jako pracodawcy – przetwarzają dane pracowników i współpracowników, a coraz częściej także dane pozyskiwane w ramach monitoringu wizyjnego czy systemów zabezpieczenia mienia. Skala i charakter tych procesów powodują, że w większości przypadków apteki są zobowiązane do wyznaczenia Inspektora Ochrony Danych.

IOD – doradca, a nie wykonawca

W ostatnich stanowiskach i komunikatach Prezes UODO wyraźnie podkreślił, że rola Inspektora Ochrony Danych ma charakter doradczy i nadzorczy, a nie operacyjny czy wykonawczy. Jest to szczególnie istotne w praktyce funkcjonowania aptek, gdzie IOD bywa błędnie postrzegany jako osoba „od RODO”, odpowiedzialna za faktyczne wdrażanie procedur, prowadzenie dokumentacji czy obsługę incydentów.

Zgodnie z art. 39 RODO, do zadań IOD należy w szczególności:

• informowanie administratora oraz pracowników o obowiązkach wynikających z RODO i innych przepisów o ochronie danych,
• doradzanie w zakresie oceny skutków dla ochrony danych (DPIA),
• monitorowanie przestrzegania przepisów oraz polityk administratora,
• współpraca z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego.

UODO konsekwentnie wskazuje, że IOD nie może przejmować odpowiedzialności administratora danych ani zastępować go w podejmowaniu decyzji dotyczących celów i sposobów przetwarzania danych. W realiach apteki oznacza to, że to właściciel apteki lub podmiot prowadzący sieć aptek ponosi odpowiedzialność za zgodność przetwarzania danych z prawem, natomiast IOD wspiera go przez rekomendacje, opinie i sygnalizowanie ryzyk.

Znaczenie niezależności IOD w aptece

Szczególne znaczenie, na co zwraca uwagę UODO, ma zachowanie niezależności Inspektora Ochrony Danych. W aptekach, zwłaszcza mniejszych, często dochodzi do łączenia funkcji IOD z innymi obowiązkami – np. kierownika apteki, specjalisty IT czy osoby odpowiedzialnej za compliance. Takie rozwiązania mogą prowadzić do konfliktu interesów, który podważa realną możliwość wykonywania przez IOD jego ustawowych zadań.

UODO wskazuje, że IOD nie powinien:

• samodzielnie decydować o wdrożeniu konkretnych rozwiązań organizacyjnych lub technicznych,
• odpowiadać za bezpieczeństwo systemów IT,
• pełnić funkcji, w ramach których sam ocenia swoje własne działania.

W kontekście aptek oznacza to konieczność jasnego rozdzielenia odpowiedzialności między administratorem danych a Inspektorem Ochrony Danych, również na poziomie dokumentacyjnym i organizacyjnym.

Praktyczne znaczenie roli doradczej IOD

Akcentowanie przez UODO doradczej funkcji IOD ma istotne znaczenie praktyczne. W aptekach IOD powinien być włączany w procesy decyzyjne na etapie planowania, np. przy wdrażaniu nowych usług farmaceutycznych, systemów informatycznych, form monitoringu czy współpracy z podmiotami zewnętrznymi. Jego rola polega na identyfikacji ryzyk, wskazywaniu zgodnych z prawem rozwiązań oraz dokumentowaniu rekomendacji.

Jednocześnie administrator danych powinien być świadomy, że brak realizacji zaleceń IOD nie zwalnia go z odpowiedzialności, ale może mieć znaczenie przy ocenie należytej staranności w razie kontroli lub postępowania przed UODO.

adw. Aleksandra Marcinkowska – w kręgu jej zainteresowań są w szczególności: ochrona danych osobowych oraz prawo farmaceutyczne; doradza spółkom branży medycznej, a także wspiera ich w zakresie compliance.