Branża farmaceutyczna dostosowuje się do RODO

Hanna Markiewicz, prawnik Kancelaria KRK Kieszkowska Rutkowska Kolasiński

Wielkimi krokami zbliża się ważna dla małego i dużego biznesu data, również farmaceutycznego. Od 25 maja 2018 r. zaczną być stosowane przepisy europejskiego Rozporządzenia o Ochronie Danych Osobowych (RODO). Jeśli Twoja apteka nie rozpoczęła przygotowań dostosowawczych do nowych wymogów, teraz jest ostatni dzwonek.

Ubiegłoroczne wejście w życie RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, spowodowało, że wszystkich przedsiębiorców czekają liczne nowe obowiązki. Aktualnym wyzwaniem jest dostosowanie się do nowych wymogów prawnych, bowiem już od maja 2018 roku przedsiębiorcy wejdą w reżim nowej odpowiedzialności.

Sektor ochrony zdrowia charakteryzuje w tym zakresie dużo większe ryzyko w związku z wyjątkową wrażliwością przetwarzanych danych. Należy bowiem pamiętać, że w świetle prawa dane o stanie zdrowia są danymi osobowymi należącymi do szczególnie chronionych, tzw. danych sensytywnych.

RODO: zachowaj czujność

Podstawowym celem rozporządzenia jest kompleksowe ujednolicenie i usprawnienie zasad przetwarzania danych osobowych na terenie Unii Europejskiej. Co najistotniejsze, RODO ma zwrócić uwagę samych przedsiębiorców na rosnącą liczbę danych i powszechność ich przetwarzania w codziennej działalności biznesowej. Wzmaga to czujność w tym zakresie, a docelowo ma doprowadzić do twórczej interpretacji przepisów, uwzględniającej specyfikę danej działalności, co ma kluczowe znaczenie właśnie dla przedsiębiorstw z sektora ochrony zdrowia.

Rozporządzenia nie bagatelizują najwięksi gracze. Na konferencji International Association of Privacy Professionals (IAPP) w 2016 r. wskazano, że koncerny farmaceutyczne przeznaczają na cel dostosowania się do nowych wymogów w zakresie przetwarzania danych osobowych około 3-4 miliardów dolarów. Na razie z hasłem RODO wielu przedsiębiorców kojarzy jedynie dodatkowe obciążenia w postaci koszto- i czasochłonnej reorganizacji prawno-logistycznej firmy. Przeprowadzając jednak procesy wdrażające, należy pamiętać, że w ogólnym rozrachunku poczynione zmiany mają przyczynić się do bezpieczeństwa i wygody realizacji obowiązków w danym profilu działalności.

Wpływ RODO na każdy obszar działalności aptek i hurtowni

Unijne rozporządzenie bezpośrednio wiąże każdego przedsiębiorcę, który w dowolny sposób przetwarza dane osobowe (np. pracowników czy klientów), a zatem oddziałuje również na przedsiębiorstwa farmaceutyczne, w tym apteki i hurtownie. RODO będzie miało wpływ na prawie każdy obszar ich działalności, m.in. sprzedaż i dystrybucję farmaceutyków, marketing, kontakt z klientami, dostawcami i podwykonawcami, bieżącą obsługę związaną z zawieraniem kontraktów czy reklamacjami. Szczególnie dużo obowiązków spadnie na apteki, które dodatkowo prowadzą działalność e-commerce, a więc sprzedaż internetową.

RODO zakłada przede wszystkim konieczność uwzględnienia kwestii dotyczących przetwarzania danych osobowych w każdym momencie działalności firmy, łącznie z planowaniem rozwiązań biznesowych i informatycznych (zasada privacy by design i privacy by default). W tym względzie znacząco rozszerza się rola administratorów danych osobowych, zobowiązanych do wdrożenia na każdym etapie procesu właściwych zabezpieczeń i środków techniczno-organizacyjnych.

Należy jednak zaznaczyć, że nie będą one już dostosowaniem się do sztywnych wytycznych krajowego rozporządzenia, ale owocem oceny samego przedsiębiorcy w tym zakresie. Oznacza to, że prowadząc firmę, trzeba będzie samodzielnie oceniać i dostosowywać środki do celu w postaci odpowiedniego zabezpieczenia przetwarzanych danych.

Przepisy unijne wskazują ponadto cały szereg nowych procedur, które przedsiębiorcy powinni opracować w kwestiach m.in. sposobu realizacji nowych praw osób, których dane są przetwarzane (np. prawa do bycia zapomnianym), współpracy z organem nadzoru – prezesem Urzędu Ochrony Danych Osobowych (zastępującym Generalnego Inspektora Ochrony Danych Osobowych) czy też zarządzania ryzykiem. Dla branży farmaceutycznej szczególnie istotne jest dostosowanie z wyprzedzeniem systemów nadzoru nad bezpieczeństwem stosowania produktów leczniczych (pharmacovigilance) oraz zarządzania danymi ze zdarzeń niepożądanych - ze względu na ich liczbę i sensytywność. Podobnie przedstawia się kwestia analizy dotychczasowych procesów marketingowych oraz reklamy produktu leczniczego.

Wysokie kary za niedopełnienie obowiązków narzuconych przez RODO

Pozostało już niewiele czasu, aby gruntownie przeanalizować funkcjonowanie nawet małego przedsiębiorstwa farmaceutycznego pod kątem RODO. Stawka jest duża, gdyż naruszenie przepisów może skutkować nałożeniem wysokich kar finansowych – aż do 20 milionów euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa.

Warto również zwrócić uwagę na nowe środki cywilnoprawne, w tym możliwość dochodzenia roszczeń przed sądem przez każdą osobę, której prawa przysługujące na mocy RODO zostały naruszone. W zakresie działalności aptek stwarza to ryzyko wejścia na drogę sądową z klientem, którego dane o stanie zdrowia (np. informacje o wstydliwej chorobie) ujawniono osobom postronnym przy zwykłym procesie sprzedaży leku. Polecane dla każdego przedsiębiorcy są m.in. przeszkolenie pracowników i przeprowadzenie audytu prawnego pod kątem przepisów RODO.

Warto pamiętać, że RODO skłania nie do jednorazowego dostosowania się do nowych regulacji, a raczej do włączenia się w ciągły proces monitorowania i kontroli przetwarzania danych jako podstawowego obowiązku przedsiębiorstwa działającego w erze Big Data.

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Wszelkie prawa w tym Autora, Wydawcy i Producenta bazy danych zastrzeżone. Jakiekolwiek dalsze rozpowszechnianie artykułów zabronione.

Komentarze