W związku z zapytaniami o stosowanie RODO w Aptece i wyznaczanie Inspektora Ochrony Danych ponownie przedstawiam informację prawną w sprawie powołania IOD. Poniżej przedstawiam obowiązujące w tym zakresie terminy.

 1. podmioty, które przed 25 maja 2018 r. nie powołały Administratora Bezpieczeństwa Informacji (ABI) oraz podmioty przetwarzające dane, zobowiązane do wyznaczenia IOD, miały czas do 31 lipca 2018 r., aby go wyznaczyć oraz powiadomić o tym Prezesa UODO - procedura https://www.biznes.gov.pl/pl/firma/obowiazki-przedsiebiorcy/chce-chronic-dane-osobowe/proc_871-zawiadomienie-o-wyznaczeniu-nowego-iod

2. podmioty, które 25 maja 2018 r. zdecydowały, by ich dotychczasowy ABI został inspektorem ochrony danych, mają czas do 1 września 2018 r., aby go wyznaczyć oraz powiadomić o tym Prezesa UODO.

Zgodnie z moją informacją przedsiębiorcy prowadzący jedną aptekę nie powinni mieć obowiązku powoływania Inspektora Ochrony Danych, natomiast podmioty, które miały przed wejściem w życie ustawy o RODO powołanego Administratora Ochrony Informacji (na pewno nie są to przedsiębiorcy prowadzący jedną aptekę), mają obowiązek powołać IOD do 1 września 2018 r.

Przypominam, że brak Inspektora Ochrony Danych Osobowych nie zwalnia z obowiązku przestrzegania RODO, a za stosowanie przepisów o ochronie danych osobowych odpowiada przedsiębiorca.

Krystian Szulc
Radca prawny Śląskiej Izby Aptekarskiej

***

Informacja prawna sporządzona dla Śląskiej Izby Aptekarskiej w Katowicach w sprawie:

Obowiązek wyznaczenia inspektora ochrony danych osobowych w aptece

W opracowaniu przyjęto co do zasady prowadzenie jednej apteki przez farmaceutę, ewentualnie maksymalnie 4 aptek zgodnie z ustawą prawo farmaceutyczne.

Niniejsza informacja w żadnym razie nie stanowi podstawy do powoływania się na jej treść w sprawach związanych ze stosowaniem rozporządzenia RODO i ustawy o ochronie danych osobowych.
Jest to stanowisko autora i może służyć, jako pomoc w stosowaniu przepisów rozporządzenia i UODO w aptece. Decyzja należy do Przedsiębiorcy.

Podstawy prawne:
1. rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 dalej RODO)
2. Ustawa prawo farmaceutyczne t.j. Dz. U. 2017 poz. 2211 ze zm.
3. Ustawa o refundacji leków (…) t.j. Dz. U. 2017 poz 1844 ze zm.
4. Ustawa o ochronie danych osobowych Dz. U. 2018 poz. 1000
5. Wytyczne dotyczące inspektorów ochrony danych (DPO) Grupy roboczej art. 29 ds. Ochrony Danych przyjęte w dniu 13 grudnia 2016 r. https://giodo.gov.pl/pl/456/9694
6. Kodeks Cywilny

Zgodnie z RODO obowiązek taki istnieje jeżeli spełnione są następujące warunki:

artykuł 37

Wyznaczenie inspektora ochrony danych
1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Jak wynika z informacji na stronie UODO (prace grupy art. 29 https://giodo.gov.pl/pl/456/9694), w szczególności wytycznych z 13.12.2016 r. https://giodo.gov.pl/pl/456/9694 w których wskazano, że „W sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO, GR Art. 29 zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia DPO, celem wykazania, iż stosowne czynniki zostały uwzględnione.
W sytuacji, w której podmiot dobrowolnie decyduje się na wyznaczenie DPO, wymagania wskazane w artykule 37 i 39 stosuje się odpowiednio do jego wyznaczenia, statusu i zadań, tak jakby wyznaczenie było obowiązkowe.” Str. 5 zaleceń.

Należy rozważyć, czy w aptece będzie ustanowiony IOD (inspektor ochrony danych) i w przypadku jeżeli mając na względzie art. 37 ust. 1 p. b oraz c RODO, nie będziemy ustanawiać Inspektora, sporządzić analizę dokumentującą taką decyzję.
W analizie należy wskazać, że pomimo, iż apteka na pewno przetwarza dane osobowe, w tym o stanie zdrowia (pośrednio pozyskane z recept), to mając na względzie stanowisko „grupy roboczej art. 29” nie zachodzi przesłanka „dużej skali” o której mowa w art.,37 ust. 1 p. b oraz c.

W zakresie wyjaśnienia pojęcia dużej skali” grupa wskazała, że „W każdym razie, GR Art. 29 zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:
- Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
- Zakres przetwarzanych danych osobowych;
- Okres, przez jaki dane są przetwarzane;
- Zakres geograficzny przetwarzania danych osobowych.

Do przykładów „przetwarzania na dużą skalę” zaliczyć można:
- Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
- Przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’);
- Przetwarzanie danych geolokalizacyjnych w czasie rzeczywistym przed wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
- Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
- Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
- Przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przykłady przetwarzania niemieszczącego się w definicji „dużej skali”:
- Przetwarzanie danych pacjentów – klientów, dokonywane przez pojedynczego lekarza;
- Przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.”

Proszę zwrócić uwagę na punkt o przetwarzaniu danych pacjentów przez pojedynczego lekarza - wyrażam pogląd, że ma on też zastosowanie do pojedynczego aptekarza. Nie zajmuję stanowiska, co do większej ilości prowadzonych aptek.
Dodatkowo wyrażam pogląd, że jedna apteka nie przetwarza danych znaczącej grupy społecznej, czy to kraju, czy np.: województwa.
Z podanych w wytycznych przykładów na skalę działania np.: banki, ubezpieczyciele należy wyprowadzić wniosek, że ma to byś skala ponad lokalna, nie przesądzając o tym co jest skalą lokalną.

Przypominam - administratorem danych osobowych jest podmiot prowadzący aptekę. Decyzja o powoływaniu lub nie Inspektora Ochrony Danych to jego suwerenna decyzja.

Wyrażam pogląd, że dokumentowanie wewnętrznej procedury przeprowadzonej przez administratora (podmiot prowadzący aptekę) w celu ustalenia, czy ma on obowiązek powoływania IOD powinno być przeprowadzone z uwzględnieniem następujących okoliczności:

1. Apteka jako placówka ochrony zdrowia publicznego zgodnie art. 86 w związku z art. 88 oraz 94a i nast. prawa farm. (Dz. U. z 2018 r.  poz. 2211 ze zm.) administruje danymi pacjentów tylko w związku z obowiązkami wynikającymi z prawa farmaceutycznego i w interesie pacjenta.

2. Apteka na podstawie umowy zawartej na podstawie art. 41 ustawy o refundacji leków, środków spożywczych specjalnego przeznaczenia żywieniowego … art. 43 i nast. ustawy przetwarza dane pacjentów i osób wystawiających recepty w zakresie leków refundowanych. Przetwarzanie to jest uregulowane ustawowo (apteka ma obowiązek), jest dokonywane na potrzeby NFZ i w sposób, w jaki ustaw i NFZ to wskazuje. Portal do kontaktów z apteką jest organizowany przez NFZ, a apteka ma obowiązek z tego portalu korzystać.

3. Apteka korzysta z przetwarzanych danych w przypadku konieczności kontaktu z pacjentem w związku z realizacją recept mającej miejsce w danej aptece (np.: potwierdzenie prawidłowości wydanych produktów leczniczych).

4. Apteka nie wykorzystuje gromadzonych i przetwarzanych danych dla celów własnych, w szczególności dla celów prowadzenia działalności zarobkowej lub marketingowej.

5. Apteka udostępnia pozyskane dane osobowe tylko uprawnionym instytucją zgodnie z obowiązującym prawem na ich żądanie, np.: inspekcja farmaceutyczna, prokuratura.

6. Apteka przechowuje dane tylko w zakresie oraz w czasie jakim jest do tego prawnie zobowiązana na podstawie przepisów wskazanych ustaw.

7. W aptece zostały wdrożone procedury ogólne RODO i UODO mające na celu takie zorganizowanie pracy apteki, aby dane osobowe pacjentów były należycie chronione i nie było możliwości ich nieuprawnionego udostępnienia.

8. Skala działalności apteki w zakresie przetwarzania danych nie powinna być uznana za „dużą skalę” art. 37 ust. 1 p. b RODO i wytycznych grupy roboczej art. 29.

Biorąc pod uwagę trwające prace nad wdrożeniem systemów:
1. Zintegrowane Systemu Monitorowania Obrotu Produktami Leczniczymi,
2. E-recepty,
3. Krajowej Organizacji Weryfikacji Leków
wyrażam pogląd, że podmioty wprowadzające te systemy będą miały prawny obowiązek zadbać o przestrzeganie przepisów RODO i UODO z własnej inicjatywy i we własnym zakresie, a nie zostanie to wpisane jako dodatkowe obowiązki apteki.

Na zakończenie zwracam uwagę, że jeżeli organ (UODO) stwierdzi naruszenie obowiązku powołania IOD przez Administratora, może skutkować nałożeniem kary do 10.000.000 EUR zgodnie z art. 83 ust. 4a rozporządzenia. Ale jest to górna granica, nie określono dolnej. Należy mieć nadzieję, że Prezes UODO będzie stosował go elastycznie.


Krystian Szulc
Radca prawny Śląskiej Izby Aptekarskiej