Jelikož jsme zaznamenali nejen z pozice řad naší konkurence poněkud hysterické zprávy o chystaných překotných změnách v souvislosti se začátkem platnosti nařízení EU 2016/679 General Data Protection Regulation (GDPR) k termínu 2018/05 a jeho fatálního dopadu na české lékárny, dovolujeme si vám poskytnout následující informace.

Celý problém je aktuálně ve fázi, kdy přesné metodiky, výklady a prováděcí předpisy (pro nás zajímavá bude ta pro oblast zdravotnictví resp. lékárenství), prozatím nejsou k dispozici. Nemyslíme si, že jsme schopni vlastními silami toto nařízení EU přesně rozklíčovat a z obecných teoretických definic definovat konkrétní fyzická pravidla pro lékárenský segment, které převezme celý státní sektor či kontrolní orgány a prohlásí je za jediné správné. Není toho podle našeho názoru momentálně schopen ani nikdo jiný a pokud si to myslí, tak se výrazně plete. Proto se také domníváme, že aktuálně je jakékoliv školení či seminář pro naše zákazníky v tomto předčasné a odehrávalo by se celé pouze v rovině teorie a bylo by uvozeno větší či menší měrou pravděpodobnosti, případně nejistoty u téměř každé vyřčené věty. Co již nyní možné je, je vyjmenovat a upozornit na obecná pravidla a problémy, kterých se platnost GDPR bude v lékárnách v ČR týkat:

  • rozšíření definice osobních dat oproti stávajícím pravidlům v ČR (ÚOOÚ zůstává v ČR regulátorem pravidel, jen se změní ty pravidla) o další údaje (např. email, IP adresa atp. se stane „chráněným údajem“)
  • nutnost informovanosti občana s tím co, proč, jak a na jakou dobu o něm uchovávám jeho osobní data ve svém systému (týká se i zaměstnanců nikoliv jen zákazníků) a zajištění jeho souhlasu s tímto, pokud data nebudou shromažďovaná na základě (ve prospěch) jiného právního předpisu… domnívám se např., že běžný zákazník lékárny (recepty) nebude muset lékárně poskytovat žádný souhlas, v systému vedený klient (RČ, jméno atp. + výdeje k tomu) nebo případně zákazník objednávající na eshopu v lékárně (uchování adresy v systému) ale již ano
  • povinnost zabezpečení evidovaných osobních dat (šifrování…)
  • zajištění přístupu občana k uchovávaným datům, s možností jejich úpravy / validace, případně odstranění
  • zajištění a kontrola přístupů k evidovaným údajům (přihlášený uživatel v systému)
  • kontrola a evidence o předání evidovaných údajů 3. osobám (exporty, komunikace)
  • pro společnosti, které vzhledem k povaze její činnosti shromažďují osobní údaje (o hranicích a přesných pravidlech, jak velké společnosti a čím přesně se zabývající do této povinnosti budou padat a jak velké a čím přesně se zabývající již nikoliv, můžeme aktuálně opět jen diskutovat), vyvstane povinnost jmenovat „GDPR komisaře“ čili „osobu pověřence na ochranu dat“ což je jakýsi auditor ochrany osobních údajů, s přesným popisem postupů a ochrany dat („vnitřní směrnice a pravidla společnosti“ pro evidenci a práci s osobními údaji)
  • zajistit případné nahlášení při zjištění bezpečnostního incidentu ohledně úniku dat nebo porušení zabezpečení
  • pokuta za nedodržení pravidel GDPR je až 4% z ročního obratu (max. 20 mil EUR)
  • celý proces bude také kromě jiných opatření jistě znamenat u společností jejichž téma je práce s, případně využívání, evidence či shromažďování osobních údajů, zpracovat „vnitřní směrnice a postupy práce s osobními údaji“ a vynucovat jejich dodržování

Celou problematiku pečlivě sledujeme a v okamžiku rozjasnění pravidel vás budeme informovat o doporučených postupech, případně nutných změnách v chování a evidenci dat v lékárnách.