PHARMA NEWS - odborný časopis

PHARMA NEWS - odborný časopis

GDPR - jsou osobní údaje vašich pacientů vaše?



GDPR – jsou osobní údaje vašich pacientů vaše?

Připravili jsme pro vás odpovědi na několik důležitých otázek, které se týkají každodenní praxe lékáren v souvislosti se zavedením GDPR. Není to raketová věda, stačí znát význam základních pojmů.

Je lékárna správcem osobních údajů?

Ano. Každá lékárna, resp. její provozovatel, je správcem osobních údajů. 

Správce musí mít zpracovanou dokumentaci ke všem osobním údajům, se kterými pracuje. Jaké osobní údaje zpracovává, k jakému účelu, z jakého právního titulu, jak jsou data technicky zabezpečena, kdo k nim má přístup. Vše musí být popsáno a doloženo.

Jaké osobní údaje lékárna zpracovává?

Jsou tři základní okruhy osobních údajů. Osobní údaje zaměstnanců, osobní údaje dodavatelů a odběratelů a osobní údaje pacientů (klientů).

Co to je účel zpracování a právní titul? 

Každé zpracovávání osobních údajů musí mít svůj jasně daný účel, tomu odpovídající právní titul neboli důvod a rozsah – jen to, co je potřeba.

Například právním titulem (důvodem) zpracovávání osobních údajů zaměstnance je plnění pracovní smlouvy, doložení vzdělání potřebného pro výkon povolání, plnění zákonných povinností zaměstnavatele vůči státu, sociální a zdravotní pojištění atp. Takže jméno, příjmení, rodné číslo, adresa, číslo účtu, doklad o vzdělání. Bez těchto údajů nelze v lékárně nikoho zaměstnat. Otisky prstů nebo krevní skupina k účelu zaměstnání už potřeba nejsou.

Právním titulem zpracovávání osobních údajů pacientů je poskytování zdravotní služby podle zákona – výdej léčivých přípravků a zdravotnických prostředků. Tomuto účelu musí odpovídat rozsah a způsob zpracování osobních údajů. Týká se to čísla pojištěnce v počítačovém systému, údajů na lékařském předpisu - pokud se jedná o nehrazený léčivý přípravek a tuto dokumentaci je nutné uchovávat 
5 let, údaje v opiátové knize, případně další zdravotnická dokumentace, kterou lékárna vede.

Jaká jsou specifika zdravotnictví?

Specifikum zdravotnictví je v tom, že práva subjektů údajů (pacientů) jsou modifikována. Například právo na výmaz (být zapomenut) se nevztahuje na zdravotní dokumentaci zpracovávanou a uchovávanou na základě zákona. Pokud tedy pacient prohlásí, že chce být „zapomenut“, abyste vymazali všechny jeho osobní údaje, tak smažete data ve věrnostním systému, ale rozhodně nebudete mazat záznam v opiátové knize. V souvislosti s výdejem léčivých přípravků můžete pacienty kontaktovat.

Jak je to s věrnostními systémy?

K jakémukoliv využití osobních údajů nad rámec poskytování zdravotnických služeb musí dát subjekt údajů (pacient, klient) souhlas v souladu s GDPR, který obsahuje: jaké osobní údaje budou zpracovávány, za jakým účelem, komu se souhlas uděluje (správce), na jak dlouhou dobu (podle účelu), upozornění na práva (vzít souhlas zpět, být zapomenut…).

Může lékárna fungovat bez souhlasu pacientů se zpracováním osobních údajů?

Jistě. Pokud nebude s pacienty komunikovat, obejde se i bez souhlasu. Otázka je, jak taková lékárna obstojí v konkurenci. Pokud nebudete s pacienty komunikovat vy, bude to dělat někdo jiný.

Dbejte na to, abyste byli správcem osobních údajů svých pacientů. 

Provozování moderního věrnostního systému je často mimo možnosti běžné lékárny. Proto může jeho provoz svěřit externí firmě nebo síti, které je členem. Pacient udělí souhlas se zpracováním a využitím jeho osobních údajů, dostává nabídky, sbírá bodíky, vše je zdánlivě v pořádku.

Pokud však pacient udělí souhlas pouze někomu jinému, například pouze síti, jejímž jste členem a lékárna není správcem dat, můžete se změnou sítě o data vašich pacientů snadno přijít. Zkontrolujte si, jestli je vaše lékárna správcem „komerčních“ dat nebo pouze zpracovatelem a sběračem pro někoho jiného. Zjistíte to snadno na formuláři, kterým pacient souhlas uděluje. Tento drobný detail rozhoduje o tom, jestli jsou data vašich pacientů k dispozici vám, nebo někomu jinému. Nenechte si své pacienty vzít.

Vyberte si takového partnera, který zajistí, že v každém případě budete moci data svých pacientů používat.

Jak implementovat NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY 2016/679 je název příručky, kterou vydalo Ministerstvo zdravotnictví ve spolupráci s ÚZIS pro oblast zdravotnictví.

Informace, praktické návody, tabulky a postupy naleznete ve zmíněném dokumentu na stránkách Ministerstva zdravotnictví ČR. Na www.mzcr.cz – legislativa – Implementace GDPR.

Celý odkaz:
https://www.mzcr.cz/Legislativa/Soubor.ashx?souborID=32093&typ=application/pdf&nazev=GDPR_20180102_metodika_implementace_ve_zdravotnictvi.pdf

NmViZmI0N