autor: Piotr Kamiński
radca prawny
W rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u.o.d.o.) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Może to być zatem np. numer PESEL, czy też numer telefonu komórkowego. W aspekcie natomiast danych osobowych ujętych w treści recept, aktualne interpretacje w orzecznictwie sądowym, zarówno krajowym, jak i europejskim idą w kierunku rozszerzania zakresu informacji, które uznawane są za dane osobowe. Tym samym za daną osobową można uznać numer recepty.
Dane osobowe, np. podczas realizacji recepty, gromadzi każda apteka. Wśród tych danych znajdują się także tzw. dane sensytywne (wrażliwe), o których mowa w art. 27 u.o.d.o. Dotyczą one stanu zdrowia pacjenta (zażywanych leków) i podlegają szczególnej ochronie. Przepis określający podstawy prawne dla przetwarzania danych wrażliwych skonstruowany jest w sposób odmienny niż art. 23 u.o.d.o. dotyczący tzw. danych zwykłych. Przepis art. 27 u.o.d.o. wprowadza bowiem generalnie zakaz przetwarzania danych sensytywnych, wprowadzając od niego zamknięty katalog wyjątków. Jednym z wyjątków jest możliwość przetwarzania danych wrażliwych, jeżeli przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. Do powyższej kategorii można zaliczyć szereg wyspecjalizowanych usług farmaceutycznych, np. opiekę farmaceutyczną. Należy jednak pamiętać, iż nieprawidłowe administrowanie danymi osobowymi może skutkować odpowiedzialnością cywilną, administracyjną oraz karną.
Jakie zatem wymogi powinny spełnić apteki przetwarzające dane osobowe wrażliwe? Przede wszystkim muszą zostać stworzone pełne gwarancje ochrony danych osobowych. Dane osobowe podlegają ochronie bez względu na to, czy są przetwarzane w systemie informatycznym, czy też w kartotekach, księgach i innych zbiorach ewidencyjnych. W związku z tym apteki, tak jak inne podmioty przechowujące i przetwarzające dane osobowe, są zobowiązane do opracowania i wdrożenia polityki bezpieczeństwa wraz z odpowiednią dokumentacją.
Obowiązek taki spoczywa na administratorze danych osobowych, którym w aptekach jest zwykle kierownik, właściciel lub osoba przez niego wyznaczona. Zgodnie z art. 36 u.o.d.o. administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki wdrożone w celu zabezpieczenia danych osobowych.
Szczegółowe wymogi w zakresie właściwego poziomu ochrony danych osobowych znajdują się w rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Na dokumentację, o której mowa w tytule ww. rozporządzenia składa się polityka bezpieczeństwa (§ 4) i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 5) wraz z załącznikami. Polityka bezpieczeństwa i instrukcja zarządzania powinny być ponadto uzupełnione o szereg innych dokumentów, np. wzór dokumentu upoważnienia do przetwarzania danych osobowych, czy też związanych z ewentualnym powierzeniem przetwarzania danych innemu podmiotowi. Zgodnie bowiem z art. 31 u.o.d.o. administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, o którym mowa w ww. przepisie może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. Wreszcie, należy zrealizować obowiązki związane z rejestracją zbioru danych osobowych w GIODO.
O ile apteki – jako podmioty wykorzystujące zbiory danych w celach usług medycznych* – zwolnione są z obowiązku zgłoszenia do rejestracji zbioru danych osobowych w zakresie przetwarzania danych związanych z realizacją recept, to należy mieć na względzie, że każdy administrator danych przetwarza także inne dane osobowe, np. swoich pracowników, kontrahentów. W zależności od tego, jakie rozwiązania organizacyjne przyjęto w aptece (np. czy wyznaczono Administratora Bezpieczeństwa Informacji), poszczególne zbiory mogą podlegać obowiązkowi zarejestrowania zbioru danych w GIODO.
Niezależnie od powyższego, trzeba mieć również na uwadze, że przekazanie przez aptekarza (np. hurtowni farmaceutycznej) jakichkolwiek danych pacjenta, lekarza lub świadczeniodawcy (np. recepty lub ich kserokopii z danymi identyfikującymi) jest niezgodne z art. 103 ust. 2 pkt 4a ustawy z dnia 6 września 2001 r. Prawo farmaceutyczne i może skutkować cofnięciem przez wojewódzkiego inspektora farmaceutycznego zezwolenia na prowadzenie apteki ogólnodostępnej. Dane umożliwiające identyfikację indywidualnego pacjenta, lekarza lub świadczeniodawcy można przekazać jedynie Inspekcji Farmaceutycznej, NFZ bądź do systemu informacji medycznej, o którym mowa w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia.
Właściciel apteki musi też pamiętać o właściwym przechowywaniu recept lekarskich. Wymagania w powyższym zakresie zostały określone w rozporządzeniu MZ z dnia 8 marca 2012 r. w sprawie recept lekarskich (Rozdział 4.). Zgodnie z § 28 ww. rozporządzenia recepty oraz wystawione na ich podstawie odpisy recept są przechowywane w aptece w sposób uporządkowany, pogrupowane według daty ich realizacji.
Reasumując, zapewnienie ochrony danych osobowych w aptece wiąże się z koniecznością znajomości szeregu regulacji prawnych oraz rozwiązań z zakresu informatyki. Niemniej jednak współpraca wszystkich zainteresowanych pomiotów (właściciela apteki, obsługi informatycznej i podmiotów, którym powierzono przetwarzanie danych osobowych w określonym zakresie) powinna zapewnić właściwy poziom ochrony danych osobowych.
Przypisy:
* Zgodnie z wyrokiem Trybunału Konstytucyjnego z dnia 19 lutego 2002 r. sygn. akt U 3/01, termin „usługi medyczne o którym mowa w art. 27 ust. 2 pkt 7 u.o.d.o., obejmuje m.in. zaopatrywanie pacjentów w leki.
Zapytaj eksperta
Zapytaj eksperta