RODO nie oznacza rewolucji dla aptek

BIKA_71_10.jpg
Rozmowa z Agnieszką Grzesiek-Kasperczyk, radcą prawnym, wspólniczką w kancelarii MyLo o tym, jak zapewnić realizację wymagań RODO w aptece.

RODO weszło w życie 25 maja br., jednak wciąż wiele firm, w tym aptek, do końca nie wie, jak sobie z tym tematem poradzić. W jaki sposób apteka powinna dostosować się do nowych przepisów?

Warto wiedzieć, że RODO nie zmienia podstawowych zasad przetwarzania danych osobowych obowiązujących w Polsce od 1997 r. (z tego roku pochodzi obecnie już nieobowiązująca ustawa o ochronie danych osobowych). To znaczy, że nie zmieniają się podstawowe możliwości przetwarzania danych osobowych przez apteki, takie jak: przetwarzanie danych pracowników, przetwarzanie danych pacjentów ujawnione na receptach, przetwarzanie danych pacjentów w celach marketingowych, przetwarzanie danych pacjentów do celów realizacji zamówienia przez aptekę internetową. W powyższych przypadkach nadal możliwe jest przetwarzanie danych osobowych w takim samym zakresie, jak miało to miejsce wcześniej. Dostosowując się do RODO, apteka powinna natomiast sprawdzić, czy przetwarzała dane osobowe rzeczywiście zgodnie z przepisami (innymi niż samo RODO).

Często zdarza się, że pracodawcy zbierają dane osobowe w zakresie nadmiarowym, tak naprawdę niepotrzebnym do samego zatrudnienia i procesów z tym związanych (przechowywanie w aktach osobowych kopii dowodów osobistych lub kopii dokumentów, takich jak akt małżeństwa czy akt urodzenia dziecka) albo przez zbyt długi czas (przechowywanie CV w skrzynce mailowej długo zakończeniu rekrutacji, choć wiadomo, że dana osoba nie zostanie zatrudniona). Z kolei w przypadku baz marketingowych często zgody nie są pozyskiwane w poprawny sposób, np. dopisywanie do bazy marketingowej każdego adresu e-mail, który w jakikolwiek sposób trafił do przedsiębiorcy albo pozyskiwanie adresów na drodze swego rodzaju wyłudzenia, np. komunikatem „Odbierz rabat” – takie sformułowanie sugeruje jednorazowe wykorzystanie danych, wyłącznie w celu przekazania kodu rabatowego, nie ma w nim natomiast mowy o zapisaniu się do newslettera – z punktu widzenia RODO będzie to więc nie w pełni świadome udzielenie zgody. Chcę przez to powiedzieć, że RODO niekoniecznie oznacza dla aptek jakąś rewolucję. Wdrożenie RODO to raczej kwestia przeprowadzenia pewnych porządków. Istotnym novum jest natomiast szeroki obowiązek informacyjny, który wprowadza RODO (w poprzedniej ustawie był on znacznie węższy i często nie był przestrzegany, ponieważ za brak jego realizacji w praktyce nie groziły żadne poważne sankcje). Realizując ten obowiązek, trzeba dostarczyć szeroką listę informacji każdej osobie, której dane zaczynamy przetwarzać.

To, co jest uwypuklone w RODO, a na co rzadko firmy zwracały uwagę przed 25 maja 2018 r., to wspomniany przeze mnie zakres i czas przetwarzania danych osobowych. RODO kładzie nacisk na tzw. zasadę minimalizacji. Chodzi o to, żeby zbierać tylko niezbędne dane do danego procesu biznesowego. Na przykład w przypadku zapisów do newslettera wystarczy zbierać adres e-mail subskrybenta. Podanie imienia nie jest konieczne do prawidłowego działania takiego procesu. Oczywiście, możemy poprosić internautę o dobrowolne podanie imienia, jeśli chce otrzymywać spersonalizowane wiadomości, jednak nie może to być w tym procesie obowiązkowe.

Zasada minimalizacji dotyczy też zakresu czasowego przetwarzania danych osobowych – nie powinniśmy ich przechowywać dłużej niż jest to konieczne. Jeśli np. Prawo farmaceutyczne nakazuje przechowywanie recept przez 5 lat, to nie ma sensu trzymać ich przez 6 lat czy dłużej. Podobnie będzie ze wspomnianymi dokumentami CV – nie ma żadnego uzasadnienia, by trzymać je dłużej niż do zakończenia konkretnej rekrutacji, chyba że prowadzimy tzw. stałą rekrutację, a kandydat wyraził zgodę na dłuższe przechowywanie jego danych właśnie do celów przyszłych rekrutacji.

Od czego właściciel apteki – jeśli jeszcze tego nie zrobił – powinien rozpocząć wdrażanie RODO?

Po pierwsze, należy spisać wszystkie procesy biznesowe, w których dochodzi do przetwarzania danych osobowych, i zastanowić się, jaka jest podstawa prawna takiego przetwarzania oraz czy zakres i czas przetwarzania nie są nadmiarowe (do tego celu m.in. służy wymagany przez RODO rejestr czynności przetwarzania. Jego wzór można znaleźć na stronie https://uodo.gov.pl/pl/123/214).

Po drugie, jeżeli dojdziemy do wniosku, że w przypadku któregoś z takich procesów nie istnieje przepis prawa nakazujący lub umożliwiający przetwarzanie danych, nie mamy takiej podstawy w zawartej umowie ani nie da się uzasadnić przetwarzania danych tzw. prawnie uzasadnionym interesem apteki – wówczas potrzebne będzie zebranie zgód na przetwarzanie danych. Będą to jednak nieliczne przypadki (głównie cele marketingowe, rekrutacja, przekazywanie danych pracownika apteki do celów współpracy z jakąś marką kosmetyczną itp.).

Dostęp możliwy dla zalogowanych użytkowników serwisu. Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę
Drukuj

Zobacz również

Archiwum