Hogyan vezessük be a GDPR-t a gyógyszertárban három lépésben?

Annak ellenére, hogy a személyes adatok védelmére hivatott GDPR május 25-én hatályba lépett, nagyon sok vállalkozás nem teljesítette határidőre az előírt feltételeket. A lemaradással egyébként nincsenek egyedül, a kormányzat is csak május 29-én nyújtotta be az Országgyűlésnek azt a módosító javaslatot, amely kijelöli a GDPR ellenőrzésére jogosult hatóságot. Ennek ellenére nem érdemes tovább várni, és minél előbb el kell kezdeni a szükséges adatvédelmi lépéseket. Az alábbi összeállítással ehhez szeretnénk egy kis segítséget nyújtani.

1. lépés: az adatkezelési nyilvántartás elkészítése

Az talán már senkinek nem jelent újdonságot, hogy minden gyógyszertár adatkezelőnek számít. Az adatkezelő első feladata, hogy pontosan felmérje a rendelkezésére álló adatok körét, és azokról nyilvántartást készítsen. Az adatkezelési nyilvántartásban fel kell sorolni az összes olyan személyes adatot, amelyet a gyógyszertár valamilyen okból kezel, és ki kell egészíteni az előírt adatkezelésre vonatkozó információkkal.

Az adatkezelő neve és elérhetősége: mivel a gyógyszertár minden esetben adatkezelő, ezért annak nevét és elérhetőségeit minden esetben meg kell adni.

A közös adatkezelő neve és elérhetősége: közös adatkezelőkről akkor beszélünk, ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg. Például több gyógyszertárnak van közös honlapja, vagy több gyógyszertár működtet közösen egy törzsvásárlói kártyarendszert. Ilyen esetekben a közös adatkezelő nevét és elérhetőségét is fel kell tüntetni.

Az adatvédelmi tisztviselő neve és elérhetősége: a GDPR rendelkezései alapján minden gyógyszertárnak rendelkeznie kell adatvédelmi tisztviselővel, így ezt a részt kötelező kitölteni.
Az adatvédelmi tisztviselő ellenőrzi az adatvédelmi tevékenység jogszerűségét, szakmai tanácsot ad, és szükség esetén kapcsolatot tart az adatvédelmi felügyeletet ellátó hatósággal.

Az érintettek kategóriái: meg kell határozni azokat a csoportokat, akiknek a személyes adatait kezelni fogjuk. Ilyen kategóriák lehetnek például:
• a gyógyszertár munkavállalói,
• a gyógyszertár betegei,
• a törzsvásárlói kártyatulajdonosok köre,
• a gyógyszertár honlapját felkereső felhasználók köre.

A személyes adatok kategóriái: meg kell adni, hogy az előzőleg felsorolt csoportoknak milyen személyes adatait kezeli a gyógyszertár. Jellemző adat lehet a név, a lakcím, a születési hely és idő, a TAJ szám, az adószám. De ide lehet sorolni az arcképet (kamerarendszer esetében), az email címet (hírlevél feliratkozásnál), vagy az IP címet is (honlap használatánál).

Az adatkezelés céljai: pontosan le kell írni, hogy mire használjuk a személyes adatokat. Az adatkezelés célja lehet például
• a munkabér elszámolás elkészítése a munkavállalónak,
• a kiváltott gyógyszer társadalombiztosítási támogatásának igénylése,
• marketing célú üzenetek továbbítása a törzsvásárlóknak,
• a felhasználói élmény javítása a honlap látogatóinak.

A címzettek kategóriái: címzettnek azokat nevezzük, akiknek a gyógyszertár valamilyen okból elküldi a személyes adatokat. A munkavállalók adatainak címzettje lehet a könyvelés, a betegek adatainak pedig a NEAK (az elszámolás miatt), és az EESZT is (a vényadatok rögzítése miatt).

A személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk: a gyógyszertárak jellemzően nem továbbítanak adatokat ilyen címzetteknek, de ha mégis, akkor azt a nyilvántartásban fel kell tüntetni.

A különböző adatkategóriák törlésére előirányzott határidők: bele kell írni a nyilvántartásba, hogy az egyes adatokat meddig őrizzük meg. Például a vényeken található személyes adatokat a jogszabályi előírás alapján a gyógyszertár öt évig őrzi meg.

Az adatvédelem technikai és szervezési intézkedések általános leírása: ha lehetséges, röviden le kell írnunk, hogy hogyan védjük az összegyűjtött személyes adatokat. Például zárható szekrényben tartjuk a papírokat, titkosítjuk a digitális adatokat, vagy jelszóval védjük a hozzáférést.

Az adatkezelési nyilvántartást írásban kell vezetni, de ez jelenthet elektronikus formátumot is. Azaz, ha szeretnénk, akkor írhatjuk egy elektronikus táblázatba is, és nem szükséges feltétlenül kinyomtatni. Arra viszont fel kell készülni, hogy ellenőrzés esetén az adatvédelmi hatóság részére ezt a nyilvántartást be kell tudnunk mutatni.

2. lépés: az adatkezelési szabályzat elkészítése

Miután felmértük, hogy mekkora adatvagyonnal rendelkezünk, és elkészítettük az adatvédelmi nyilvántartást, akkor a következő lépésben le kell írnunk, hogy hogyan fogunk gondoskodni a kezelt adatok védelméről. Egy vagy több különálló szabályzatban pontosan meg kell határozni, hogy ki, mikor, miért és mit tehet meg a személyes adatokkal.

Tisztában kell lennünk például azzal, hogy mik a követendő lépések, ha az érintettek szeretnék érvényesíteni az adatvédelemmel kapcsolatos jogaikat. Le kell írni, hogy mit teszünk, ha adatvédelmi incidens történik, és hogy hogyan vezetjük a kötelező nyilvántartásokat. Ezeket a szabályzatokat nem csak el kell készíteni, hanem a megfelelő munkatársakkal meg is kell ismertetni, hogy pontosan tisztában legyenek a feladataikkal.

Az elkészült szabályzatok alapján fogjuk tudni tájékoztatni az érintetteket is arról, hogy hogyan teszünk eleget az adatvédelmi előírásoknak.

3. lépés: az érintettek tájékoztatása

A gyógyszertárak a személyes adatokat jellemzően az érintettektől gyűjtik, ezért a GDPR előírásai alapján az adatok megszerzése során tájékoztatást kell adni az adatkezelésről. A tájékoztatásnak tömörnek, átláthatónak és érthetőnek kell lennie, a szövegét világosan és közérthetően kell megfogalmazni. Olyan formában kell elérhetővé tenni, hogy az érintettek könnyen hozzáférjenek. Emiatt célszerű az érintett személyek különböző csoportjainak különböző tájékoztatókat készíteni. Például külön a munkavállalóknak, a betegeknek, és külön a honlap látogatóinak.

A tájékoztatóban az alábbi információkat kell megadni:
• az adatkezelő neve és elérhetősége;
• az adatvédelmi tisztviselő neve és elérhetősége;
• az adatok kezelésének célja;
• az adatok tárolásának időtartama, vagy ha ez nem lehetséges, akkor az időtartam meghatározásának szempontjai;
• a személyes adatok címzettjei, illetve a címzettek kategóriái;
• az adatkezelés jogalapja (mi alapján kezeli a gyógyszertár az adott adatot);
• ha az adatkezelés az adatkezelő vagy harmadik fél jogos érdekein alapul, akkor az érdekek felsorolása.

Emellett tájékoztatni kell az érintetteket arról, hogy
• a személyes adatot az érintett jogszabály vagy szerződéses kötelezettség alapján adta-e meg, köteles-e megadni, és mi történik, ha nem adja meg;
• az érintettek hogyan gyakorolhatják a jogaikat;
• a személyes adatokat továbbítják-e harmadik országba vagy nemzetközi szervezet részére;
• az érintettek bármikor visszavonhatják a hozzájárulásukat az adataik felhasználásához;
• hogyan lehet panaszt benyújtani a felügyeleti hatósághoz;
• történik-e automatizált döntéshozatal illetve profilalkotás, és hogy ezeknek milyen következménye lehet.

Az adatvédelmi tájékoztatást elérhetővé kell tenni mindenki számára, akit érint. Ez azt jelenti, hogy közölni kell a munkavállalóval, vagy ki kell tenni a gyógyszertár officinájába, illetve elérhetővé kell tenni a gyógyszertár honlapján.

Természetesen az adatvédelemmel kapcsolatos feladataink itt nem érnek véget. Számos elvégzendő lépésről még nem ejtettünk szót (például az adatvédelmi tisztviselő kijelöléséről), de a legfontosabb feladatokat igyekeztünk összefoglalni ebben a rövid áttekintésben. Emellett arról sem szabad megfeledkeznünk, hogy az adatvédelemmel folyamatosan foglalkoznunk kell. Minden egyes alkalommal, amikor változás történik a gyógyszertár működésében, akkor újra és újra meg kell ismételnünk az itt felsorolt lépéseket, hogy naprakészek legyünk az adatvédelemben.