Prawo
Ochrona danych osobowych w aptece
7 minut
Obowiązek taki spoczywa na administratorze danych osobowych, którym w aptekach jest zwykle kierownik, właściciel lub osoba przez niego wyznaczona. Zgodnie z art. 36 u.o.d.o. administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki wdrożone w celu zabezpieczenia danych osobowych.
Szczegółowe wymogi w zakresie właściwego poziomu ochrony danych osobowych znajdują się w rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Na dokumentację, o której mowa w tytule ww. rozporządzenia składa się polityka bezpieczeństwa (§ 4) i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 5) wraz z załącznikami. Polityka bezpieczeństwa i instrukcja zarządzania powinny być ponadto uzupełnione o szereg innych dokumentów, np. wzór dokumentu upoważnienia do przetwarzania danych osobowych, czy też związanych z ewentualnym powierzeniem przetwarzania danych innemu podmiotowi. Zgodnie bowiem z art. 31 u.o.d.o. administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, o którym mowa w ww. przepisie może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. Wreszcie, należy zrealizować obowiązki związane z rejestracją zbioru danych osobowych w GIODO.
O ile apteki – jako podmioty wykorzystujące zbiory danych w celach usług medycznych* – zwolnione są z obowiązku zgłoszenia do rejestracji zbioru danych osobowych w zakresie przetwarzania danych związanych z realizacją recept, to należy mieć na względzie, że każdy administrator danych przetwarza także inne dane osobowe, np. swoich pracowników, kontrahentów. W zależności od tego, jakie rozwiązania organizacyjne przyjęto w aptece (np. czy wyznaczono Administratora Bezpieczeństwa Informacji), poszczególne zbiory mogą podlegać obowiązkowi zarejestrowania zbioru danych w GIODO.