Dokumentacja – co z ochroną danych osobowych?

shutterstock_578134666.jpg

Prawo do prywatności i ochrony naszych danych jest zapewnione w Konstytucji. Czy w takim razie można zbierać dane wrażliwe w trakcie prowadzenia opieki farmaceutycznej? Jak w tym kontekście prowadzić dokumentację?

Ochrona danych osobowych w opiece farmaceutycznej

Szczegóły tego, na jakich zasadach dane obywatela mogą zostać przekazane, doprecyzowuje Ustawa o Ochronie Danych Osobowych. Na początek kilka informacji ogólnych:

  • Dane osobowe- Każde dane umożliwiające fizyczną identyfikację osoby. Imię, nazwisko, adres, PESEL, numer dowodu osobistego. Czasem mogą to być kombinacje wydawałoby się obojętnych informacji np. rzadkie imię i jakaś cecha fizyczna, ale pozwalająca na określenie danej osoby [4].
  • Wrażliwe dane osobowe-  Dotyczą pochodzenia etnicznego, pochodzenie rasowego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej,partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym [5].
  • Zbiór danych osobowych – „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” [5]. Zbiór danych to nie to samo co baza danych. Postaram się to wyjaśnić dalej na przykładach. 
  • Przetwarzanie danych osobowych – Jakiekolwiek działania wykonywane na danych osobowych, czyli zbieranie, utrwalanie, przechowywanie, opracowywanie,zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.[5]

Przetwarzanie danych wrażliwych jest możliwe w bardzo ograniczonej ilości przypadków m.in. kiedy reguluje to inna ustawa (gwarantując pełne bezpieczeństwo danych), czy w celu ochrony zdrowia, leczenia pacjentów i świadczenia usług medycznych [6]. W pozostałych przypadkach potrzebna jest zgoda na piśmie osoby, której dane będą zbierane. Warto zwrócić uwagę, że zbiorem danych jest już lista pacjentów objętych opieką farmaceutyczną, nie wspominając już o kartotece z dokumentacją pacjenta. W efekcie apteka i farmaceuta zajmujący się opieką, staje się administratorem danych osobowych i spoczywają na nim konkretne zobowiązania.
Oprócz zgody, taka baza musi zostać zgłoszona do Głównego Inspektora Danych Osobowych. Poza tym musi spełnić szereg wymogów oraz muszą zostać opracowane szczegółowe procedury dostępu i zabezpieczenia danych osobowych.

Co zgłaszać do GIODO

Zacznijmy od tego, co należy zgłaszać do GIODO. Większość z nas ma w głowie pojęcie “bazy danych”, a ustawa mówi o zbiorach danych, a to nie jest to samo. W związku z tym lepiej jest skupić się na tym jakie dane są zbierane i do czego służą. Kilka przykładów:

  • Dane przetwarzane w związku z realizacją recepty – ten zbiór nie wymaga zgłoszenia – wynika to z ustawy i jest niezbędne do zrealizowania uprawnień pacjenta [7].
  • Dane pracowników – ten zbiór nie wymaga zgłoszenia – wynika to z ustawy [8]. 
  • Dane niezbędne do wystawienia faktury –  ten zbiór nie wymaga zgłoszenia -wynika to z ustawy [8].
  • Dane niezbędne do wysłania paczki w ramach sprzedaży wysyłkowej – ten zbiór wymaga zgłoszenia[9]. 
  • Dane przetwarzane w trakcie przeglądu lekowego – na dzień dzisiejszy nie istnieją przepisy określające funkcjonowanie opieki farmaceutycznej i przeglądów lekowych. W trakcie całego procesu zbierane są i przetwarzane dane wrażliwe. W związku z tym farmaceuta musi uzyskać pisemną zgodę pacjenta, oraz zgłosić zbiór danych. 

Nie ma znaczenia, czy dane z powyższych zbiorów będą w jednej, czy w wielu bazach danych. Nie ma też znaczenia, w jaki sposób (analogowy czy cyfrowy), ani w ilu i jakich programach dane będą przechowywane. Ważne jest to, do czego są wykorzystywane. Może być tak, że w ramach jednej bazy danych istnieją różne zbiory danych np. dane potrzebne do wystawienia faktury i dane potrzebne do wysyłki. Pierwszy zbiór nie podlega zgłoszeniu, a drugi owszem.
W związku z powyższym, aby gromadzić dane potrzebne do prowadzenia przeglądów lekowych, farmaceuta musi mieć pisemną zgodę pacjenta. Dodatkowo powinien dokładnie poinformować o zasadach współpracy. Wynika to z obostrzeń wprowadzonych przez Ustawę Prawo Farmaceutyczne, które zakłada, że Wojewódzki Inspektor Farmaceutyczny może cofnąć zezwolenie apteki, jeśli “apteka przekazuje, z wyłączeniem Inspekcji Farmaceutycznej i Narodowego Funduszu Zdrowia, dane umożliwiające identyfikację pacjenta, lekarza lub świadczeniodawcy” [9]. Warto też wiedzieć, że o ile zgoda na zbieranie danych osobowych musi być pisemna, o tyle cofnięcie takiej zgody nie. Pacjent też musi być poinformowany, że może taką zgodę cofnąć w każdej chwili. 

Czy to wszystko?

Sama świadomość tego, co należy zgłosić to niestety dopiero początek. Oprócz tego należy też opracować politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, dopełnić obowiązku zabezpieczenia danych, prowadzenia dokumentacji, wydawania upoważnień itp. To też jest potrzebne do zgłoszenia zbioru danych, ale przede wszystkim do jego prawidłowego funkcjonowania. 
Na pocieszenie należy dodać, że takie dokumenty musi mieć opracowana każda apteka, nawet jeśli prowadzi zbiory danych niepodlegające zgłoszeniu [10]. 
 

Czy jest droga na skróty?

W pewnym sensie da się całej procedury uniknąć. Trzeba tylko znaleźć funkcjonujący program zajmujący się opieką farmaceutyczną (np. program prowadzony przez Zakład Farmacji Społecznej Collegium Medicum UJ), który ma zgłoszoną bazę danych i zajmuje się administrowaniem tych danych. W przypadku FONTiC dane zbierane i zapisywane są w formie elektronicznej na serwerze programu i w aptece de facto nie ma tych danych. Jednak żeby tak było, cała dokumentacja, wraz z naszymi notatkami na temat pacjenta, musi zostać zniszczona zaraz po wizycie pacjenta. 

To jest druga część artykułu o dokumentacji. Pierwszą znajdziesz tutaj: Dokumentacja – konieczność czy utrudnienie?

Źródła: 

  1. Ustawa z dnia 10 stycznia 2008r. o zmianie ustawy o izbach aptekarskich. (Dz.U. 2008 nr 47 poz. 273)
  2. Agnieszka Skowron “Model opieki farmaceutycznej dla polskiego systemu     zdrowotnego” 2011
  3. Konstytucja RP art 51
  4. Ustawa o ochronie danych osobowych art 7
  5. Ustawa o ochronie danych osobowych art 27 ust. 1
  6. Ustawa o ochronie danych osobowych art 27 ust. 2
  7. Ustawa o ochronie danych osobowych art 27 ust. 2 pkt 7
  8. Ustawa o ochronie danych osobowych art.23 ust.1 pkt 2
  9. Ustawa o ochronie danych osobowych art.23 ust.1 pkt 3
  10. Ustawa Prawo Farmaceutyczne art. 103
  11. Strona – Klub ABI – Społeczność Administratorów Bezpieczeństwa Informacji – http://www.klubabi.odoradca.pl/category/faq/
     
Podobał się artykuł? Podziel się!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Google+
Google+
Email this to someone
email
0 komentarzy
avatar
Komentujesz jako gość!

Brak komentarzy