GDPR pentru farmacii

Bună ziua,

întrebarea pe care o adresați are un spectru foarte larg de răspuns și nu poate fi și unul specific sau precis, pentru că ține foarte mult de particularitățile farmaciei: Vorbim de o farmacie dintr-un lanț național de farmacii sau vorbim despre o farmacie de cartier? ar fi o primă întrebare care ar ajuta pt a da un răspuns cât mai precis.

mai apoi este foarte important să înțelegeți că GDPR-ul nu este un standard care să poată fi acoperit printr-un set de documente pe care le întocmim, le semnăm, le punem într-un biblioraft și am terminat treaba. Documentele pot fi folositoare pe alocuri, sau pot să încurce uneori (ex. consimțământul cerut pt prelucrarea datelor angajaților – date cu privire la salarizare spre exemplu). De ce nu este suficient să avem documente? Ei bine să ne imaginăm că farmacia dumneavoastră folosește un card de fidelitate, iar fiecare client este înregistrat și cu emailul în baza dumneavoastră de date. Pentru că este pandemie vă hotărâți să faceți o campanie de promovare a dezinfectantelor pentru mâini, luați emailurile din baza de date și le trimiteți informări. Unul din clienți este nemulțumit, de newsletter-ul primit, se adresează prin plângere ANSPDCP (autoritatea de supraveghere), aceasta vine în control, constată ce s-a întâmplat și vă aplică o amendă de 3-5-10.000 euro sau mai mult. Astfel, ce vedem? Am avut o situație în fapt care s-a petrecut, pt care puteam să avem documente – cum ar fi o politica de prelucrare a datelor, dar am folosit emailul într-un alt scop decât cel care a fost colectat inițial, fapt care a atras o sancțiune. Pentru a evita o astfel de situație era nevoie de mai mult decât un document… era nevoie de o instruire, de o evidență a activităților de prelucrare (în care să identificăm această prelucrare și temeiul legal), să identificăm riscul (analiză de risc, dacă este cazul) și să luăm măsuri tehnice și organizatorice de protejare a vieții private.

Pot, în practică, exista zeci, sute de astfel de cazuri, scurgeri de baze de date (un angajat copiază baza de date pe email în ultima zi de lucru), ștergeri – pierderi de date, atacuri informatice, supravegheri CCTV neconforme, păstrarea de documente mai mult timp de cât necesar, lipsa de răspuns pt persoanele vizate care își exercită drepturi etc.

Acoperirea formală, cu documente (deși prezentă în practică), nu reduce riscurile la care farmacia dumneavoastră este expusă, deoarece situațiile zilnice, care în fapt s-au petrecut (nu ce este declarat la nivel de document) vor atrage sancțiuni dacă se constată încălcări ale standardului.

Astfel, pentru a vă oferi o direcție însă (pt mai multe detalii vă putem sta la dispoziție, telefonic), **pașii de urmat**, în linii foarte mari, pentru conformare ar fi:

1. Evaluarea inițială a situației din companie
2. Cartografierea – evidența prelucrărilor de date – puternic recomandată pt a vedea ce date avem. Identificarea temeiurilor legale.
3. Analiza activităților pt diverse componente de activitate: ex. management, contracte (CIM, CCM, prestări servicii, închiriere spații, mentenanță, SSM, SU – pt toate clauze pe protecția datelor), administrativ, marketing, programare etc.
4. Realizarea de politici și proceduri (ex. politică prelucrare date, politică cookies, politică supraveghere video, procedură de răspuns la solicitările de drept de acces etc)
5. Evaluarea riscurilor / analize de impact: măsuri pt diminuarea discurilor identificate
6. Evaluarea infrastructurii IT, a website-ului, a softurilor și aplicațiilor care prelucrează date cu caracter personal și adaptarea acestora, dacă este cazul etc.
7. Instruirea personalului cu privire la protecția datelor, pe specificul companiei
8. Numire DPO, dacă este cazul, constituire comisie de lucru (ex. cazul lanțurilor de farmacii mari)
9. Monitorizare constantă, adaptare – ex. cazul achiziționarea de noi softuri, dezvoltarea de noi softuri, noi instrumente de lucru etc.

Mult succes! Dacă considerați că vă putem ajuta, vă stăm la dispoziție!

Va multumesc pt raspuns!

De fapt lantul de farmacii este la nivel judetean,nu utilizeaza vanzarea online, anumite puncte de lucru sunt supravegheate video.