Despre unitatile farmaceutice si implementarea GDPR

Industria farmaceutica trebuie sa fie mai sarguincioasa in privinta datelor cu caracter personal fata de cerintele actuale. Sub imperiul GDPR, companiile sunt obligate sa arate modul in care acestea sunt conforme cu GDPR, nu doar sa raporteze ca prelucrarile pe care le fac sunt conforme. Aceasta responsabilitate are enorme consecinte. Pentru cei care nu sunt conformi, exista un potential de amenzi ridicate, si mai rau decat atat, exista un potential de intrerupere/suspendare a activitatii desfasurate, prin interdictia impusa de catre Autoritate in privinta anumitor prelucrari.

Ce tipuri de date cu caracter personal trebuie sa gestioneze si sa protejeze unitatile farmaceutice?

• Datele detinute in sistemele de consum/management;
• Baze de date ale pacientilor;
• Date ale angajatilor;
• Datele de card bancar/plata;
• Datele de nastere;
• Inregistrarile medicale;
• Chestionare;
• Formulare medicale de obtinere a acordului;
• Alte inregistrarile relevante/comunicatii electronice;
• Date ale personalului furnizorului etc.

Va recomandam sa efectuati un audit a datelor cu caracter personal pe care le prelucrati, pentru a defini modul in care acestea sunt folosite pentru scopuri de asistenta medicala, vanzari si marketing etc. Trebuie sa fiti pregatiti pentru a fi lipsit de scrupule cand vine vorba de stergerea datelor cu caracter personal care nu sunt relevante pentru scopul sau activitatea desfasurata. Trebuie sa aveti, de asemenea, un punct unic de acces pentru baza de date.

Urmatorul pas este definirea bazei legale pentru prelucrarea datelor cu caracter personal, de exemplu consimtamantul, interesul legitim, interesul vital, obligatia legala sau sarcina publica. Trebuie sa informati persoanele titulare ale datelor cu caracter personal pe care le detineti cu privire la temeiul legal, scopul prelucrarii si cum anume pot sa isi retraga consimtamantul, fie prin intermediul unui anunt de informare, un anunt privind protectia datelor, o notificare de modificare a termenilor si conditiilor pe un website sau alte mijloace adecvate.

Alta sarcina importanta pentru a asigura conformitatea activitatilor de prelucrare include definirea protectiei datelor cu caracter personal prelucrate de catre unitatea farmaceutica prin abordarea politicii de protectie a datelor cu caracter personal. Declaratiile necesar a fi obtinute conform GDPR si procesele trebuie sa fie documentate, iar daca este cazul sa efectuati o evaluare a impactului asupra vietii private. Spre exemplu, daca prelucrarile au la baza interesul legitim, unitatile farmaceutice trebuie sa efectueze o evaluare, care sa defineasca baza de prelucrare in conformitate cu testul necesitatii si echilibrului.

Este important pentru unitatile farmaceutice sa se asigure ca au un responsabil cu protectia datelor cu caracter personal nominalizat intr-o companie mai mica aceasta functie poate fi indeplinita de catre o persoana din conducerea entitatii sau echivalentul acesteia, dupa caz. Atentie insa la problematica conflictelor de interese, chestiune ce presupune ca atributiile realizate de conducatorul unitatii farmaceutice sa nu interfereze cu cele realizate de aceeasi persoana in privinta protectiei datelor cu caracter personal. Si acesta trebuie, de asemenea sa fie instruit, impreuna cu personalul aferent, astfel incat sa fie constienti cu privire la protectia datelor cu caracter personal. Acest lucru este absolut vital pentru asigurarea conformitatii.

Aceasta problema a personalului, cel mai mare risc in privinta protectiei datelor cu caracter personal pentru companiile farmaceutice este reprezentant de sectorul vanzarilor, respectiv, atunci cand personalul care se ocupa de vanzari din cadrul unitatii farmaceutice are acces la listele aferente bazei de date. Restrictionarea accesului la baza de date este, prin urmare, cheia pentru a minimiza o incalcare a datelor cu caracter personal. Pentru a contracara acest lucru, recomandam indicarea in scris a regulilor privind utilizarea bazei de date, inclusiv in contractele de munca/fisele de post ale angajatilor.

Unitatile farmaceutice trebuie sa pastreze inregistrari cu privire la modul in care au inteles sa se conformeze cu GDPR. De asemenea, trebuie sa fie pregatite sa raspunda in cazul in care este formulata o cerere de acces sau o plangere din partea persoanei vizate cu privire la o incalcare de GDPR.

Managementul bazelor de date este absolut esentiala. Spre exemplu, in cazul in care, de exemplu, o persoana vizata a cerut sa fie eliminata dintr-o baza de date, aceasta cerere trebuie inregistrata pentru a se asigura ca persoana nu este contactata din nou accidental.

In timp ce pasii necesari a fi implementati in scopul conformarii cu GDPR pot parea dificili, nu trebuie sa pierdeti din vedere scopul acestei noi legislatii. In cele din urma, persoanele vizate doresc mai mult control asupra datelor lor personale. Respectarea drepturilor lor in acest sens este cheia pentru construirea relatiilor de durata si de incredere, relatii care pun calitatea, inaintea cantitatii, pentru a crea o valoare autentica pentru ambele parti.