Apteki i nielegalne udostępnianie danych osobowych z recept

9 sierpnia 2018 04:50

„Praktykowane ciągle wysyłanie np. recept do hurtowni w celu udowodnienia zapotrzebowania na konkretny lek może odbywać się tylko i wyłącznie poprzez zanonimizowanie recepty, czyli pozostawienie tylko takich informacji, które nie zawierają danych osobowych – czyli recepty bez imienia, nazwiska, PESEL, dokładny adres zamieszkania itp.” – pisze rada prawny Wielkopolskiej Okręgowej Izby Aptekarskiej.

Jak postąpić, gdy nastąpi włamanie do apteki i kradzież m.in. komputerów? (fot. Shutterstock)

W związku z funkcjonowaniem RODO radca prawny Wielkopolskiej Okręgowej Izby Aptekarskiej, Marcin Józefiak, zwraca szczególną uwagę na właściwe stosowanie wewnętrznych regulacji w aptekach, dotyczących ochrony danych osobowych.

– Proszę pamiętać o aktualizacji ryzyk związanych z zabezpieczeniem danych osobowych szczególnie w przypadku wystąpienia naruszenia ochrony danych np. włamanie do lokalu apteki lub włamanie elektroniczne. W każdym przypadku należy zaktualizować posiadane procedury pod kątem wystąpienia nowych ryzyk oraz powiadomić Prezesa Urzędu Ochrony Danych Osobowych o możliwości niepowołanego dostępu do zbioru danych prowadzonych przez firmę – pisz radca prawny.

Zgodnie z interpretacją zawartą na stronach internetowych UODO:

w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych

Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Jednakże pamiętać trzeba, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym, wnioski z przeprowadzonej analizy należy udokumentować w wewnętrznej ewidencji naruszeń.

– Ryzyko naruszenia praw i wolności osób fizycznych jest obecne, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody – pisze Marcin Józefiak.

Jednocześnie ostrzega on, że w przypadku danych osobowych gromadzonych przez apteki praktycznie zawsze wystąpi szkoda w przypadku nielegalnego udostępnienia danych osobowych, gdyż dane zawarte na recepcie są danymi wrażliwymi.

– Z tego też względu praktykowane ciągle wysyłanie np. recept do hurtowni w celu udowodnienia zapotrzebowania na konkretny lek może odbywać się tylko i wyłącznie poprzez zanonimizowanie recepty, czyli pozostawienie tylko takich informacji, które nie zawierają danych osobowych – czyli recepty bez imienia, nazwiska, PESEL, dokładny adres zamieszkania itp. – uprzedza radca prawny WOIA i podaje też inny przykład. – Następuje włamanie do apteki i kradzież m.in. komputerów. Na komputerach zapisane są dane osobowe oraz loginy do systemów informatycznych. W takim przypadku należy oprócz zawiadomienia Policji, dokonać analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych oraz powiadomić Prezesa UODO o możliwym nielegalnym dostępie do danych osobowych, zweryfikować procedurę bezpieczeństwa tak aby zminimalizować ryzyko kradzieży np. przechowywanie danych osobowych w tzw. chmurze.

Marcin Józefiak zwraca też uwagę, że pojawiły się pierwsze przypadki „fałszywych” kontroli UODO.

– Z uwagi na powyższe proszę zawsze weryfikować tożsamość kontrolera dzwoniąc pod numer 22 531-07-71 (numer Urzędu Ochrony Danych Osobowych) – pisze radca prawny. – Brak powiadomienia prezesa UODO przez administratora danych osobowych w sytuacji naruszenia ochrony danych osobowych może skutkować nałożeniem sankcji w postaci kary pieniężnej ale również wszczęciem postępowania karnego, administracyjnego i dyscyplinarnego.

Źródło: WOIA

Jak oceniasz artykuł?

Twoja ocena: Jeszcze nie oceniłeś/aś artykułu

Udostępnij tekst w mediach społecznościowych

0 komentarzy - napisz pierwszy Komentujesz jako gość [ lub zarejestruj]

Odpowiadasz:

avatar
Akceptuję regulamin dyskusji *
Komentujesz jako gość! Chcesz być informowany o nowych komentarzach w temacie? Zarejestruj się, lub jeśli już masz konto w grupie farmacja.net - .

Powiązane artykuły

Zamknięcie jednej apteki nie spowoduje upadłości całej spółki. Sąd zezwolił na cofnięcie zezwolenia… Zamknięcie jednej apteki nie spowoduje upadłości całej spółki. Sąd zezwolił na cofnięcie zezwolenia…

Naczelny Sąd Administracyjny uchylił postanowienie WSA w sprawie wstrzymania wykonania decyzji dotyc...

Toruński ślad w sprawie nielegalnego wywozu leków… Toruński ślad w sprawie nielegalnego wywozu leków…

Śledczy wzięli pod lupę grupę przestępczą mającą zajmować się nielegalnym wyprowadzeniem deficytowyc...

MZ: ograniczenie dostępności ellaOne bez recepty MZ: ograniczenie dostępności ellaOne bez recepty

Ministerstwo Zdrowia wprowadza ograniczenia w dostępności tabletek ellaOne bez recepty....