22 Sierpnia 2018

Podstawy przetwarzania danych w aptece

O ile zakup leków bez recepty nie będzie się wiązał w większości przypadków z koniecznością przetwarzania danych osobowych, o tyle w przypadku leków na receptę lub realizacji przez aptekę zapotrzebowań od podmiotów wykonujących działalność leczniczą, zaistnieje konieczność przetwarzania danych. Wśród informacji, które znajdują się na recepcie będą nie tylko dane lekarza, który ją wystawił, lecz również dane pacjenta zaliczane do tzw. szczególnej kategorii danych (przykładowo informacje o korzystaniu z usług opieki zdrowotnej1) . Podstawą prawną ich przetwarzania będzie art. 9 ust. 2 lit. h) RODO, zgodnie z którym dozwolone jest przetwarzanie szczególnych kategorii danych osobowych, jeśli to przetwarzanie jest niezbędne do celów zapewnienia opieki zdrowotnej czy leczenia2 . Ponadto, pozostałe dane pacjenta, które nie zostaną zakwalifikowane jako dane dotyczące zdrowia, mogą być przetwarzane przez aptekę na podstawie art. 6 ust. 1 b) RODO - gdyż są niezbędne do wykonania umowy sprzedaży leku3 . Podstawą przetwarzania danych lekarza znajdujących się na recepcie będzie natomiast uzasadniony interes administratora (art. 6 ust. 1 f) RODO4).
Ponadto apteki będą przetwarzać dane zawarte w zapotrzebowaniu od podmiotu wykonującego działalność leczniczą. Wśród tych danych znajdują się między innymi: imię, nazwisko i identyfikator osoby uprawnionej do wystawiania recept oraz jej podpis, a także imię, nazwisko, funkcja i podpis kierownika podmiotu wykonującego działalność leczniczą5 . Ponieważ nie jest możliwe wydanie produktu leczniczego, środka spożywczego specjalnego przeznaczenia żywieniowego lub wyrobu medycznego bez podania tych danych, również w tym zakresie podstawą ich przetwarzania będzie niezbędność do wykonania umowy, a więc art. 6 ust. 1 b) RODO.
Jeśli klient będzie chciał zapłacić za zakupy kartą, podstawą przetwarzania jego danych będzie znowu art. 6 ust. 1 b) RODO, czyli niezbędność do wykonania umowy sprzedaży leku. Na takiej samej podstawie będą przetwarzane dane klientów w przypadku sprzedaży internetowej z tym zastrzeżeniem, że chodzi tutaj tylko o dane niezbędne, a więc imię, nazwisko, dane kontaktowe i adres dostawy. Natomiast pozyskiwanie jakichkolwiek dodatkowych informacji będzie wymagało dodatkowej podstawy prawnej. Przykładowo, aby móc wysyłać klientom newsletter na wskazany adres email, niezbędne będzie wcześniejsze uzyskanie ich zgody zgodnie z art. 6 ust. 1 a) RODO 6.
W niektórych aptekach zamontowane są kamery, które mają służyć bezpieczeństwu pracowników i klientów, jak również ochronie mienia. W takiej sytuacji podstawą przetwarzania danych zawartych w nagraniach będzie uzasadniony interes administratora. Tutaj jednak należy być ostrożnym i pamiętać m.in. o ograniczeniach wynikających z przepisów prawa pracy, które stawiają pracodawcom chcącym stosować monitoring szereg wymogów7.
Niekiedy dane osobowe związane ze świadczeniem usług farmaceutycznych muszą być przetwarzane przez kilka lat po ich wykonaniu z uwagi na obowiązki nałożone na aptekę przepisami prawa. Podstawą przetwarzania będzie w takiej sytuacji art. 6 ust. 1 c) RODO, czyli niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze. Jako przykład można podać obowiązek wynikający z ustawy o refundacji leków, wyrobów medycznych, środków spożywczych specjalnego przeznaczenia, z której wynika, że apteka ma obowiązek przechowywać recepty na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego, wyroby medyczne wraz z otaksowaniem przez okres 5 lat, liczonych od zakończenia roku kalendarzowego, w którym nastąpiła refundacja8 .
Niezależnie od powyższego, apteka będzie również przetwarzać dane swoich pracowników i osób zatrudnionych na podstawie umów cywilnoprawnych. Podstawą prawną przetwarzania będzie wtedy art. 6 ust. 1 b) RODO – niezbędność do wykonania umowy, a czasem również art. 6 ust. 1 f) RODO, czyli uzasadniony interes administratora. Ponadto, ponieważ na aptece będą ciążyć również dodatkowe obowiązki (np. podatkowe), związane z zabezpieczeniem społecznym czy obowiązki w zakresie bezpieczeństwa i higieny pracy, podstawą przetwarzania będzie niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze – art. 6 ust. 1 c) RODO.
Jeśli chodzi o przetwarzanie danych personelu dostawców i innych kontrahentów apteki, w szczególności pracowników hurtowni, w których zamawiane są leki, firm ochroniarskich czy sprzątających, podstawą będą uzasadnione interesy apteki, jako administratora związane z nawiązaniem i realizacją współpracy z tymi kontrahentami, czyli art. 6 ust 1 f) RODO.  

Radca Prawny Ewa Kuczyńska, Kancelaria Prawna GFP Legal
PP-MCM-POL-0144/08/2018

 

  1Informacje, które muszą znaleźć się na recepcie wymienia art. 96 a ustawy z dnia 6 września 2001 Prawo farmaceutyczne (Dz.U. Nr 126, poz. 1381 z późniejszymi zmianami).
  2Art. 9 ust. 2 h) RODO: Ust. 1 nie ma zastosowania, jeśli spełniony jest jeden z poniższych warunków: h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3.  
  3Art. 6 ust. 1 b) RODO – Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy
  4Art. 6 ust. 1 f) RODO - Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. 
  5Art. 96 ust. 2 ustawy z dnia 6 września 2001 Prawo farmaceutyczne (Dz.U. Nr 126, poz. 1381 z późniejszymi zmianami).
  6Art. 6 ust. 1 a) RODO - Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. 
  7  Art. 222 Kodeksu pracy z dnia 26 czerwca 1974 r. (Dz.U. Nr 24, poz. 141 z późniejszymi zmianami)
  8 Art. 43 ust. 1 pkt. 7 Ustawy o refundacji leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych z dnia 12 maja 2011 r. (Dz.U. Nr 122, poz. 696)

 

 

Czytaj w dziale aktualności i lifestyle:

news box image

24 Października 2018

Zabezpieczenie danych osobowych w aptece

news box image

24 Października 2018

Przyszłość opieki farmaceutycznej

news box image

06 Sierpnia 2018

Kolorystyka i oświetlenie apteki