GDPR jogok a gyógyszertárban 1. rész – Az érintettek hozzáférési joga

A GDPR egyik legfontosabb újítása, hogy az érintettek számára új és erősebb jogokat biztosít a személyes adataik kezelésével kapcsolatban. Ez mindenképpen előrelépés az állampolgárok számára, azonban egyben óriási kihívást is jelent a rendelet hatálya alá tartozó szervezeteknek és vállalkozásoknak, így a gyógyszertáraknak is.  A GDPR által támasztott követelmények könnyebb alkalmazhatósága miatt a következő időszakban egy cikksorozat keretén belül szeretnénk áttekintést nyújtani azokról a jogokról, melyeket a gyógyszertáraknak is biztosítaniuk kell az érintettek részére. 

A GDPR alapján az érintetteket a következő alapvető jogok illetik meg:

  • az érintett hozzáférési joga;
  • a helyesbítéshez való jog;
  • a törléshez való jog;
  • az adatkezelés korlátozásához való jog;
  • az adathordozhatósághoz való jog;
  • a tiltakozáshoz való jog;
  • az automatizált döntéshozatallal és a profilalkotással kapcsolatos jogok.

A rendelet alapján ahhoz, hogy valaki élni tudjon a számára biztosított jogokkal, kérelmet kell benyújtania az adatkezelőnek, azaz esetünkben a gyógyszertárnak. A gyógyszertárnak a lehető legrövidebb időn belül választ kell adnia a kérelemben foglaltakra. Ha nem tudja azonnal teljesíteni a kérést, akkor is legfeljebb egy hónapon belül intézkedni kell.

Ha egyszerre túl sok kérelmet kell feldolgozni, vagy egy kérelemhez olyan sok intézkedést kell hozni, hogy a gyógyszertár nem tudja tartani az egy hónapos határidőt, akkor azt egy alkalommal még meg lehet hosszabbítani további két hónappal. Azonban ilyen esetekben is egy hónapon belül tájékoztatni kell a beteget arról, hogy miért és meddig hosszabbítottuk meg a kérelem teljesítésének határidejét.

Alapvető elvárás a gyógyszertárakkal szemben, hogy tömören, átláthatóan és érthetően fogalmazzák meg az általuk adott tájékoztatásokat. A betegeknek adott válaszainkban ezért mindig világosan és közérthetően kell fogalmaznunk. Emellett alapszabály az is, hogy ha az érintett elektronikus úton küldte meg nekünk a kérelmet, akkor a tájékoztatást is lehetőség szerint ugyanúgy elektronikus úton kell megküldeni. Természetesen, ha a beteg másként kéri, akkor annak eleget kell tenni.

Az érintett hozzáférési joga

A GDPR-ban lefektetett hozzáférési jog azt jelenti, hogy a betegek tájékoztatást kérhetnek a velük kapcsolatos adatkezelésről, és igény szerint akár másolatot is kérhetnek a gyógyszertár által kezelt személyes adataikról. Mindenkinek jogában áll tudni, hogy az adott gyógyszertárban vajon kezelnek-e róla személyes adatot, vagy sem. Ha ténylegesen történik adatkezelés vele kapcsolatban, akkor arról is kérhet tájékoztatást, hogy ez milyen körülmények között történik. Ezekben az esetekben a következőket kell megadnia a gyógyszertárnak:

Az adatkezelés célja

A gyógyszertárnak meg kell tudni mondania, hogy a különböző személyes adatokat milyen céllal kezeli. Az egészségügyi adatokra például a vényköteles és a támogatott készítmények kiadása miatt van szükség, de más okból is kezelhet személyes adatot a gyógyszertár. Az egészségpénztári elszámolásokhoz szükség van a névre és a lakcímre, de a honlapok és webshopok üzemeltetéséhez is kellenek bizonyos adatok.

A személyes adatok köre

Értelemszerűen minden gyógyszertárnak tisztában kell lennie azzal, hogy milyen személyes adatokat kezel, és kérés esetén erről tájékoztatnia is tudni kell a betegeket.

Az adatok tárolásának ideje

A tárolt személyes adatok listája mellett fel kell sorolni azt is, hogy meddig őrizzük meg azokat. A vényeket és a rajta szereplő adatokat például a hatályos rendelkezések alapján öt évig kell megőrizni, és azután megsemmisíteni. Egy másik példa, hogy a hírlevelünkre feliratkozott felhasználók email címét addig használhatjuk, amíg vissza nem vonja a hozzájárulását a használatához. Ha nem tudunk konkrét időtartamot megadni, akkor azt kell megadni, hogy mi alapján határozzuk meg az adatok megőrzésének idejét.

A személyes adatok továbbítása

A GDPR előírása alapján a gyógyszertáraknak pontosan nyomon kell követniük azt, hogy mi történik az egyes betegek személyes adataival. Ehhez hozzátartozik az is, hogy rögzítenünk kell, kinek továbbítottuk vagy fogjuk továbbítani az adatokat.

Néhány példa a gyakorlatból:

  • A beteg kérheti a gyógyszertártól, hogy a TAJ száma alapján gyűjtsük ki neki, hogy milyen gyógyszereket és milyen jogcímeken váltott ki nálunk egy adott időszakban.
  • Ehhez kapcsolódóan meg kell tudni mondani, hogy melyik vényeket küldtük már meg a társadalombiztosítási támogatás elszámolása miatt a Nemzeti Egészségbiztosítási Alapkezelő (NEAK) részére, és melyeket fogjuk csak ezután megküldeni.
  • Az egészségpénztári kártyával történő vásárlások után az egészségpénztárak felé állítjuk ki a számlát. Ez előző ponthoz hasonlóan itt arról kell tudnunk információt adni, hogy melyik vásárlás adatait küldtük már meg, és melyiket fogjuk megküldeni a pénztár részére.
  • A tisztifőgyógyszerészek az ellenőrzéseik során, vagy panaszügyek miatt bekérhetnek vényeket a gyógyszertáraktól. A beteg kérésére a gyógyszertárnak meg kell tudni mondania, hogy az ő vényét beküldték-e ellenőrzésre az Országos Gyógyszerészeti és Élelmiszer-egészségügyi Intézet (OGYÉI) részére.

Ez természetesen csak néhány példa, de ez is jól mutatja, hogy mennyire pontosan kell nyomon követni a gyógyszertárban azt, hogy mi történik a ránk bízott személyes adatokkal.

Tájékoztatás az érintettek jogairól

Az érintetteket tájékoztatni kell arról, hogy a saját személyes adataikkal kapcsolatban milyen jogokkal élhetnek, és hogyan tudják azokat gyakorolni. Erről egy korábbi bejegyzésünkben már írtunk részletesebben.

Automatikus döntéshozatal és profilalkotás

A GDPR alapján tájékoztatást kell adni arról, ha a gyógyszertár a tevékenysége során automatizált döntéshozatalt alkalmaz, vagy profilt alkot a vele kapcsolatba kerülő betegekről. Ez jelenleg még nem egy elterjedt gyakorlat a hazai gyógyszerellátásban, de az internetes gyógyszerkereskedelem térnyerésével valószínűleg előbb vagy utóbb meg fog jelenni. Ha ez bekövetkezik, akkor értelemszerűen erről is tájékoztatni kell majd a betegeket.

A panaszügyintézés lehetősége

Tájékoztatni kell a beteget arról is, hogy ha nem elégedett az ügyintézéssel, akkor melyik felügyeleti szervhez fordulhat majd panasszal. Hazánkban jelenleg ezt a feladatot a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) látja el, így az ő adataikat kell megadni.

Nemzeti Adatvédelmi és Információszabadság Hatóság
1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
web: http://www.naih.hu
e-mail: ugyfelszolgalat@naih.hu

Fontos, hogy az adatkezeléssel kapcsolatos információkat, illetőleg tájékoztatást és intézkedést díjmentesen kell biztosítani. Az érintett kérésére a gyógyszertárnak a személyes adatok másolatát is rendelkezésre kell bocsátania. Az adatszolgáltatásért csak akkor lehet reális mértékű ellentételezést kérni, ha további másolatokra van szükség.

Mindazonáltal a jogaik gyakorlásával az érintettek sem élhetnek vissza. A visszaélés elkerülése érdekében a GDPR biztosítja az adatkezelő számára, hogy amennyiben a kérelem egyértelműen megalapozatlan, vagy – különösen ismétlődő jellege miatt – túlzó, akkor a gyógyszertár ésszerű mértékű díjat számíthat fel. Szélsőséges esetben akár az intézkedést is meg lehet tagadni, azonban nem árt észben tartani, hogy a kérelem megalapozatlan vagy túlzó jellegét minden esetben a gyógyszertárnak kell bizonyítania.