GDPR și impactul său asupra farmaciilor

Auditul intern privind protecția

datelor personale

Farm. Rodica AluașCluj-Napoca

BEST FOR YouO R G A N I C S C O M P A N Y

2

Impactul GDPR în farmaciile comunitare

Unităţile farmaceutice prelucrează date cu caracter personal obişnuite şi speciale prin natura activităţilor pecare le desfăşoară. Din acest motiv, Regulamentul are un impact semnificativ asupra activităţilor desfășurate.

Încadrarea farmaciilor

Farmacia, în cele mai multe situaţii are calitatea de operator de date cu caracter personal, spre exemplu, în relaţia cuclienţii lor, vizitatorii, furnizorii de servicii, personalul propriu.

Pe de altă parte, Farmacia va putea avea calitatea de persoană împuternicită de operator, spre exemplu, cu privire laobligaţiile legale de raportare existente potrivit legislaţiei în materie.

Nu în ultimul rând, Farmacia poate avea calitatea de operator asociat cu alt operator de date cu caracter personal înprivinţa anumitor activităţi de prelucrare a datelor cu caracter personal. Astfel, farmacia şi un alt operator pot devenioperatori asociaţi în sensul GDPR, astfel că vor stabili într-un mod transparent responsabilităţile fiecăruia în ceea cepriveşte îndeplinirea obligaţiilor care le revin în temeiul Regulamentului, în special în ceea ce priveşte exercitareadrepturilor persoanelor vizate şi îndatoririle fiecăruia de furnizare a informaţiilor obligatorii, cu excepţia cazului în careresponsabilităţile operatorilor sunt stabilite în dreptul Uniunii sau în dreptul intern care se aplică acestora.

Prin acord scris, părţile pot să desemneze un punct de contact unic pentru persoanele vizate, iar esenţa acorduluiastfel încheiat trebuie adus la cunoştinţa persoanei vizate.

BEST FOR YouO R G A N I C S C O M P A N Y

3

Impactul GDPR în farmaciile comunitare

Categoriile speciale de date cu caracter personal, inclusiv date privind sănătatea, pot fi prelucrate numai pentrumotivele specificate la articolul 9 alin. (2) din Regulament. în cazul farmaciilor, motivele sunt circumscrise in generalnecesităţii „furnizării de îngrijire a sănătăţii sau de tratament” sau „managementului sistemelor de îngrijire a sănătăţii sauservicii sau sisteme de asistenţă socială sau servicii” sau prelucrarea este „necesară din motive de sănătate publică îndomeniul sănătăţii publice”.

Baza legală privind prelucrarea

În general, farmaciile au o bază legală pentru prelucrarea datelor cu caracter personal, deoarece aceasta este necesară„pentru îndeplinirea unei sarcini efectuate în interesul public” (art. 6 alin. (1) lit. e) din Regulament).În unele circumstanţe, farmaciile ar putea, de asemenea, să spună că prelucrarea este necesară pentru „respectareaunei obligaţii legale" (pentru serviciile farmaceutice acordate potrivit contractului-cadru încheiat cu CNAS - art. 6 alin.(2) lit. c) din Regulament).Pentru serviciile acordate şi comandate la nivel local pe baza unui contract, prelucrarea poate fi necesară „pentruexecutarea unui contract” - art. 6 alin. (1) lit. b) din Regulament sau „pentru protejarea intereselor vitale ale persoaneivizate” (in cazul urgenţelor - art. 6 alin. (1) lit. d) din Regulament).

Baza legală pentru prelucrarea datelor cu caracter personal trebuie să fie înregistrată, menţionată în scris.

BEST FOR YouO R G A N I C S C O M P A N Y

4

Auditul intern - Instrument care furnizează conducerii societăţii informaţii referitoare la funcţionarea sistemului demanagement al calităţii şi la tendinţele pozitive sau negative din cadrul acestuia, dând posibilitatea de a acţiona pentrueficientizarea proceselor

AUDITUL- „Proces sistematic*, independent şi documentat în scopulobţinerii de dovezi de audit şi de evaluarea lor cu obiectivitate pentru adeterminamăsura în care sunt îndeplinite criteriile de audit“

Auditul intern

În contextul preocupărilor actuale de implementare a unor sisteme ale calităţii, potrivit standardelor din familia ISO, audituleste considerat un instrument esențial pentru realizarea obiectivelor.

Scopul principal al auditului este de a evalua non-conformităţile în raport cu reglementările în vigoare şi de a concepeacţiuni corective necesare pentru eliminarea acestor non-conformităţi.

*Sistematic înseamnă că este planificat în prealabil şi că poate fi reprodus, adică efectuat.

BEST FOR YouO R G A N I C S C O M P A N Y

5

Definirea obiectivelor auditului

Obiectivele auditului definesc ceea ce trebuie realizat prin audit și pot include următoarele:✓ determinarea gradului de conformitate cu regulamentele și legile în vigoare;✓ evaluarea capabilităţii sistemelor de management ale unităţii de a asigura conformitatea cu cerinţele statutorii,

regulatorii și contractuale;✓ evaluarea efectivităţii în atingerea anumitor obiective;✓ identificarea zonelor potrivite pentru îmbunătăţire.

Auditul intern

Criteriile auditului

Sunt folosite ca referinţe faţă de care se determină conformitatea și pot include:✓ politici și proceduri acceptabile;✓ standarde, legi și regulamente;✓ cerinţele sistemului de management organizaţional;✓ cerinţe ale industriei specifice✓ coduri de conduită a afacerilor.

Domeniul şi profunzimea auditului sunt definite astfel încât să satisfacă cerinţele referitoare la informarea conducerii organizaţiei. Sunt specificate standardele, elementele standardelor, documentele normative cu care trebuie comparat sistemul care va fi auditat.

BEST FOR YouO R G A N I C S C O M P A N Y

6

Autoinspecția în farmaciile comunitare

Autoinspecţia este un proces imparţial și detaliat, efectuat de către personal competent al farmaciei, în scopulmonitorizării conformităţii tuturor documentelor existente cu specificaţiile cerute de referenţialul ales , precum şiasupra verificării conformităţii implementării activităţilor farmaciei cu dispoziţiile existente.

Reglementarea legală privind obligativitatea efectuării autoinspecțiilor

OMS 75/2010, art.4.4.7.

Înregistrarea activităților profesionale : Personalul de specialitate din unitatea farmaceutică trebuie să păstrezeevidenţele activităţii desfăşurate astfel încât să se poată efectua orice verificare ulterioară.

Decizia nr.3/2018 CFR, anexa 4, art.II, pct.14

Fişa de atribuții profesionale a farmacistului: Stabileşte şi execută norme de autoinspecţie privind întreaga activitatedin farmacie.

BEST FOR YouO R G A N I C S C O M P A N Y

7

Audit vs. Autoinspecție

Audit vs. Autoinspecție

Din punct de vedere al auditorului, autoinspecţiile pot fi asimilate auditurilor interne.

Ca tip de audit putem avea:

1. Audit de sistemAuditul de sistem este o examinare în două etape a sistemului unei organizaţii (întreprinderi).✓ În prima etapă se verifică dacă documentele care reglementează activităţile organizaţiei satisfac cerinţele

specificate✓ În a doua etapă se examinează în mod selectiv, aleatoriu, dacă angajaţii organizaţiei efectuează munca lor pe

baza procedurilor stabilite.

Este important de remarcat faptul că auditul de sistem se referă la toate elementele standardului de referinţă alespentru auditare.

2. Audit de proces/activitate

Este examinarea cu scopul de a determina calitatea unei proceduri sau a unui proces. Asta poate însemna de exemplucompararea procesului cu procedurile sau cu instrucţiunile de lucru, cu specificaţiile, şi determinarea conformităţii.

BEST FOR YouO R G A N I C S C O M P A N Y

Autoinspecția privind conformarea la cerințele

GDPR

studiu de caz

8

BEST FOR YouO R G A N I C S C O M P A N Y

9

Stabilirea obiectivelor

1. determinarea gradului de conformitate cu regulamentele și legile în vigoare;2. evaluarea capabilităţii sistemelor de management ale farmaciei de a asigura conformitatea cu cerinţele statutorii,

regulatorii și contractuale;

Stabilirea criteriilor (1) Referenţial:Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracterpersonal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (“GDPR” sau „Regulamentul”).

Politici și proceduri :

✓ Procedurile existente, în special în ceea ce priveşte, de exemplu, cine are acces la date, de ce, cât timp vor fi deţinute✓ Politicile aplicabile personalului✓ Renegocierea termenilor cu terţii furnizori✓ Revizuirea programelor de instruire✓ Revizii şi testarea securităţii ✓ Existenţa şi instruirea unui persoane sau echipe specifice pentru a raporta şi a răspunde in cazul apariţiei unui incident.

BEST FOR YouO R G A N I C S C O M P A N Y

10

Stabilirea criteriilor (2)

Respectarea principiile prevăzute în art. 5 din Regulament:

✓ datele cu caracter personal trebuie prelucrate în mod legal, echitabil şi transparent;✓ datele cu caracter personal trebuie prelucrate pentru scopuri determinate, explicite şi legitime;✓ datele cu caracter personal trebuie să fie adecvate, relevante şi neexcesive;✓ datele cu caracter personal trebuie să fie exacte şi actualizate;✓ datele cu caracter personal trebuie să fie păstrate pe o perioadă care nu depăşeşte perioada necesară

prelucrării pentru scopul identificat;✓ datele cu caracter personal trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a

acestora.

Politici/proceduri ce ar trebui să fie implementate (exemple):

✓ Acord de confidenţialitate a personalului / act adiţional CIM privind GDPR/ fișe de post cu clauze GDPR✓ Codul de conduită pentru angajaţi în ceea ce priveşte confidenţialitatea✓ Regulament/Procedură cu privire la manipularea/gestionarea/transmiterea datelor cu caracter personal,

monitorizarea personalului care accesează datele cu caracter personal, control acces, securitate sisteme informatice✓ Procedura de audit/autoinspecţie✓ Instruiri ale personalului✓ Politică/procedură care să conţină semnăturile personalului în privinţa documentaţiei luate la cunoştinţă şi a

instruirii lor/lista separată cu aceste semnături;

BEST FOR YouO R G A N I C S C O M P A N Y

11

Desfășurarea autoinspecției

În cadrul analizei documentaţiei trebuie clarificate următoarele probleme de bază:

✓ Documentaţia corespunde cerinţelor de aspect, formă?✓ Partea profesională este satisfăcătoare şi corectă?✓ Nu există contradicţii între reglementările de la diferitele nivele?✓ Documentaţia a fost implementată în mod obligatoriu?

În afară de acestea trebuie stabilită dacă cerinţele bazei de referinţă a auditului sunt regăsite în documentaţia internă.

Tot în această etapă trebuie notate neconformităţile* găsite, normativele lipsă, respectiv acele aspecte pe care dorim să leexaminăm.

Aceste aspecte pot fi:

✓ Instrucţiunile sunt cunoscute de cei care trebuie să le utilizeze şi sunt disponibile la toate punctele de lucru?

✓ Se lucrează după acestea?

✓ Efectuarea activităţii este documentată în mod corespunzător, conform reglementărilor stabilite?

*Neconformitatea, în cazul auditului, reprezintă un termen generic care descrie abaterea unei acţiuni de la reglementările sauprocedurile care o definesc.

BEST FOR YouO R G A N I C S C O M P A N Y

12

CE FACEȚI CONCRET?

Se verifică dacă specificațiile documentelor de referință sunt implementate efectiv.

Această verificare se poate face numai prin sondaj, selectiv, aleatoriu, nu se pot de exemplu verifica din punct de vedere al aspectului toate instrucţiunile de control. Chestionarea personalului se face la locul auditului, la locurile de muncă.

Exemple de întrebări puse la locul auditului:

✓ „Ce se întâmplă dacă ...?“

✓ „Unde este acest lucru reglementat?“

✓ „Cum documentaţi acest lucru?“

✓ „Unde este indicatorul cerut de instrucţiunea XY?“

✓ „ Cum procedaţi în cazul...?”

BEST FOR YouO R G A N I C S C O M P A N Y

13

Art. 5 din RegulamentLegalitate, echitate şi transparență – un principiu esenţial, strâns asociat cu drepturile fundamentale ale omului. Datele cu caracter personal trebuie să fie

prelucrate „în mod legal, echitabil şi transparent faţă de persoana vizată.”;

Limitări legate de scop – datele personale trebuie să fie colectate în scopuri bine determinate, explicite şi legitime, iar prelucrările ulterioare nu trebuie să se

abată de la aceste scopuri. Prelucrarea ulterioara în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică/ istorică ori în scopuri statistice nu se

consideră incompatibilă de la scopurile iniţiale;

Minimizarea/Reducerea la minimum a datelor – orice colectare de date personale trebuie foarte bine analizată înainte de obţinerea efectivă a datelor, care

trebuie să fie cele mai adecvate, relevante și strict limitate la ceea ce este absolut necesar pentru scopurile în care sunt prelucrate;

Exactitatea informațiilor – datele cu caracter personal trebuie să fie exacte, şi, în cazul în care este necesar, trebuie sa fie actualizate; operatorii trebuie să ia

toate măsurile pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt şterse sau

rectificate fără întârziere;

Limitarea stocării – datele trebuie păstrate fix atât timp cat sunt necesare pentru prelucrarea asumată. Perioadele mai lungi de stocare sunt excepţii asociate cu

activităţi de prelucrare în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, conform art. 89, alin.1 din

GDPR, sub rezerva punerii în aplicare a măsurilor tehnice şi organizatorice adecvate prevăzute de GDPR în vederea garantării drepturilor şi libertăţilor persoanei

vizate;

Integritate și confidențialitate – prelucrarea datelor personale trebuie făcută în cele mai adecvate condiţii de siguranţă, care să includă „protecţia împotriva

prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice

corespunzătoare”. Nerespectarea acestui principiu expune direct la breșe de securitate și confidenţialitate şi, implicit, la penalităţile extrem de severe prevăzute de

GDPR;

Responsabilitate – Operatorul este responsabil de respectarea principiilor GDPR şi de a demonstra această respectare. GDPR impune nu numai respectarea

principiilor GDPR – de exemplu, prin documentarea deciziilor luate cu privire la o activitate de procesare, ci și să se demonstreze oricând aceasta respectare

(responsabilitate).

BEST FOR YouO R G A N I C S C O M P A N Y

14