A GDPR egyik legfontosabb újítása, hogy az érintettek számára új és erősebb jogokat biztosít a személyes adataik kezelésével kapcsolatban. Ez mindenképpen előrelépés az állampolgárok számára, azonban egyben óriási kihívást is jelent a rendelet hatálya alá tartozó szervezeteknek és vállalkozásoknak, így a gyógyszertáraknak is. A GDPR által támasztott követelmények könnyebb alkalmazhatósága miatt a következő időszakban egy cikksorozat keretén belül szeretnénk áttekintést nyújtani azokról a jogokról, melyeket a gyógyszertáraknak is biztosítaniuk kell az érintettek részére.
A GDPR alapján az érintetteket a következő alapvető jogok illetik meg:
- az érintett hozzáférési joga;
- a helyesbítéshez való jog;
- a törléshez való jog;
- az adatkezelés korlátozásához való jog;
- az adathordozhatósághoz való jog;
- a tiltakozáshoz való jog;
- az automatizált döntéshozatallal és a profilalkotással kapcsolatos jogok.
A rendelet alapján ahhoz, hogy valaki élni tudjon a számára biztosított jogokkal, kérelmet kell benyújtania az adatkezelőnek, azaz esetünkben a gyógyszertárnak. A gyógyszertárnak a lehető legrövidebb időn belül választ kell adnia a kérelemben foglaltakra. Ha nem tudja azonnal teljesíteni a kérést, akkor is legfeljebb egy hónapon belül intézkedni kell.
Ha egyszerre túl sok kérelmet kell feldolgozni, vagy egy kérelemhez olyan sok intézkedést kell hozni, hogy a gyógyszertár nem tudja tartani az egy hónapos határidőt, akkor azt egy alkalommal még meg lehet hosszabbítani további két hónappal. Azonban ilyen esetekben is egy hónapon belül tájékoztatni kell a beteget arról, hogy miért és meddig hosszabbítottuk meg a kérelem teljesítésének határidejét.
Alapvető elvárás a gyógyszertárakkal szemben, hogy tömören, átláthatóan és érthetően fogalmazzák meg az általuk adott tájékoztatásokat. A betegeknek adott válaszainkban ezért mindig világosan és közérthetően kell fogalmaznunk. Emellett alapszabály az is, hogy ha az érintett elektronikus úton küldte meg nekünk a kérelmet, akkor a tájékoztatást is lehetőség szerint ugyanúgy elektronikus úton kell megküldeni. Természetesen, ha a beteg másként kéri, akkor annak eleget kell tenni.
Az érintett hozzáférési joga
A GDPR-ban lefektetett hozzáférési jog azt jelenti, hogy a betegek tájékoztatást kérhetnek a velük kapcsolatos adatkezelésről, és igény szerint akár másolatot is kérhetnek a gyógyszertár által kezelt személyes adataikról. Mindenkinek jogában áll tudni, hogy az adott gyógyszertárban vajon kezelnek-e róla személyes adatot, vagy sem. Ha ténylegesen történik adatkezelés vele kapcsolatban, akkor arról is kérhet tájékoztatást, hogy ez milyen körülmények között történik. Ezekben az esetekben a következőket kell megadnia a gyógyszertárnak:
Az adatkezelés célja
A gyógyszertárnak meg kell tudni mondania, hogy a különböző személyes adatokat milyen céllal kezeli. Az egészségügyi adatokra például a vényköteles és a támogatott készítmények kiadása miatt van szükség, de más okból is kezelhet személyes adatot a gyógyszertár. Az egészségpénztári elszámolásokhoz szükség van a névre és a lakcímre, de a honlapok és webshopok üzemeltetéséhez is kellenek bizonyos adatok.
A személyes adatok köre
Értelemszerűen minden gyógyszertárnak tisztában kell lennie azzal, hogy milyen személyes adatokat kezel, és kérés esetén erről tájékoztatnia is tudni kell a betegeket.
Az adatok tárolásának ideje
A tárolt személyes adatok listája mellett fel kell sorolni azt is, hogy meddig őrizzük meg azokat. A vényeket és a rajta szereplő adatokat például a hatályos rendelkezések alapján öt évig kell megőrizni, és azután megsemmisíteni. Egy másik példa, hogy a hírlevelünkre feliratkozott felhasználók email címét addig használhatjuk, amíg vissza nem vonja a hozzájárulását a használatához. Ha nem tudunk konkrét időtartamot megadni, akkor azt kell megadni, hogy mi alapján határozzuk meg az adatok megőrzésének idejét.
A személyes adatok továbbítása
A GDPR előírása alapján a gyógyszertáraknak pontosan nyomon kell követniük azt, hogy mi történik az egyes betegek személyes adataival. Ehhez hozzátartozik az is, hogy rögzítenünk kell, kinek továbbítottuk vagy fogjuk továbbítani az adatokat.
Néhány példa a gyakorlatból:
- A beteg kérheti a gyógyszertártól, hogy a TAJ száma alapján gyűjtsük ki neki, hogy milyen gyógyszereket és milyen jogcímeken váltott ki nálunk egy adott időszakban.
- Ehhez kapcsolódóan meg kell tudni mondani, hogy melyik vényeket küldtük már meg a társadalombiztosítási támogatás elszámolása miatt a Nemzeti Egészségbiztosítási Alapkezelő (NEAK) részére, és melyeket fogjuk csak ezután megküldeni.
- Az egészségpénztári kártyával történő vásárlások után az egészségpénztárak felé állítjuk ki a számlát. Ez előző ponthoz hasonlóan itt arról kell tudnunk információt adni, hogy melyik vásárlás adatait küldtük már meg, és melyiket fogjuk megküldeni a pénztár részére.
- A tisztifőgyógyszerészek az ellenőrzéseik során, vagy panaszügyek miatt bekérhetnek vényeket a gyógyszertáraktól. A beteg kérésére a gyógyszertárnak meg kell tudni mondania, hogy az ő vényét beküldték-e ellenőrzésre az Országos Gyógyszerészeti és Élelmiszer-egészségügyi Intézet (OGYÉI) részére.
Ez természetesen csak néhány példa, de ez is jól mutatja, hogy mennyire pontosan kell nyomon követni a gyógyszertárban azt, hogy mi történik a ránk bízott személyes adatokkal.
Tájékoztatás az érintettek jogairól
Az érintetteket tájékoztatni kell arról, hogy a saját személyes adataikkal kapcsolatban milyen jogokkal élhetnek, és hogyan tudják azokat gyakorolni. Erről egy korábbi bejegyzésünkben már írtunk részletesebben.
Automatikus döntéshozatal és profilalkotás
A GDPR alapján tájékoztatást kell adni arról, ha a gyógyszertár a tevékenysége során automatizált döntéshozatalt alkalmaz, vagy profilt alkot a vele kapcsolatba kerülő betegekről. Ez jelenleg még nem egy elterjedt gyakorlat a hazai gyógyszerellátásban, de az internetes gyógyszerkereskedelem térnyerésével valószínűleg előbb vagy utóbb meg fog jelenni. Ha ez bekövetkezik, akkor értelemszerűen erről is tájékoztatni kell majd a betegeket.
A panaszügyintézés lehetősége
Tájékoztatni kell a beteget arról is, hogy ha nem elégedett az ügyintézéssel, akkor melyik felügyeleti szervhez fordulhat majd panasszal. Hazánkban jelenleg ezt a feladatot a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) látja el, így az ő adataikat kell megadni.
Nemzeti Adatvédelmi és Információszabadság Hatóság
1125 Budapest, Szilágyi Erzsébet fasor 22/c
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
web: http://www.naih.hu
e-mail: ugyfelszolgalat@naih.hu
Fontos, hogy az adatkezeléssel kapcsolatos információkat, illetőleg tájékoztatást és intézkedést díjmentesen kell biztosítani. Az érintett kérésére a gyógyszertárnak a személyes adatok másolatát is rendelkezésre kell bocsátania. Az adatszolgáltatásért csak akkor lehet reális mértékű ellentételezést kérni, ha további másolatokra van szükség.
Mindazonáltal a jogaik gyakorlásával az érintettek sem élhetnek vissza. A visszaélés elkerülése érdekében a GDPR biztosítja az adatkezelő számára, hogy amennyiben a kérelem egyértelműen megalapozatlan, vagy – különösen ismétlődő jellege miatt – túlzó, akkor a gyógyszertár ésszerű mértékű díjat számíthat fel. Szélsőséges esetben akár az intézkedést is meg lehet tagadni, azonban nem árt észben tartani, hogy a kérelem megalapozatlan vagy túlzó jellegét minden esetben a gyógyszertárnak kell bizonyítania.