Revizuiri si verificari cu persoanele imputernicite in cadrul unitatilor farmaceutice

Rezumat:

• Trebuie sa aveti garantii cu privire la protectia datelor cu caracter personal garantii de la entitatile care prelucreaza date cu caracter personal pentru dumneavoastra, cum ar fi furnizorul softului de inregistrare a datelor pacientului.
• Contractele dumneavoastra existente trebuie sa fie confirme cu cerintele si principiile GDPR, in caz contrar, va trebui sa solicitati garantii (de cele mai multe ori, contractuale) in acest sens.
• De asemenea, trebuie sa fiti in masura sa oferiti, la randul dumneavoastra, garantii in cazul in care vi se cer de catre alti operatori de date cu caracter personal.

Actiune: Identificarea si listarea persoanelor imputernicite.

Spre exemplu:

Persoane imputernicite (furnizori produse si servicii)	Data asigurarilor/garantiilor solicitate	Data confirmarii primite de la persoanele imputernicite (furnizori)	Data incetarii contractului

Actiune: Luati legatura cu persoanele imputernicite pentru a verifica si a inregistra daca clauzele contractuale existente sunt suficiente pentru a constata respectarea GDPR.

Ar trebui sa utilizati numai acele persoane imputernicite care ofera garantii suficiente pentru punerea in aplicare a masurilor tehnice si organizatorice adecvate pentru a satisface cerintele GDPR, care asigura securitatea datelor, astfel incat dumneavoastra, in calitate de operator de date cu caracter personal sa puteti satisface orice drept al persoanelor vizate cu privire la datele cu caracter personal care le apartin. Trebuie sa verificati acest lucru.

Aceste persoane imputernicite ar trebui sa fie verificate de dumneavoastra prin raportare la informatiile active inregistrate de farmacie potrivit evidentelor electronice.

Ca un responsabil cu privire la protectia datelor pe care le obtineti si stocati (spre exemplu, sistemul informatic de inregistrari ale datelor pacientului) - trebuie sa identificati persoanele imputernicite cei care prelucreaza datele personale pentru dumneavoastra (in acest caz, furnizor de soft) si asigurati-va ca acestea va ofera garantii suficiente, asa cum sunt solicitate de GDPR. Alte persoane imputernicite pe care le puteti avea pot fi cele care va furnizeaza sisteme de salarizare sau orice terta parte care va transfera prescriptii medicale.

Aceste garantii sunt, de obicei, inserate intr-un contract si includ, de exemplu, instructiunile dumneavoastra documentate, ca operator de date cu caracter personal, despre cum pot fi prelucrate datele cu caracter personal si cum anume persoana imputernicita va ajuta operatorul de date pentru conformarea proprie cu responsabilitatile stabilite de Regulament.

Persoanele imputernicite nu trebuie sa angajeze o alta persoana imputernicita in prelucrarea datelor cu caracter personal fara acordul dumneavoastra prealabil specific sau fara o autorizare scrisa generala. In caz de incalcare a datelor cu caracter personal, persoanele imputernicite trebuie sa va informeze fara intarziere de la momentul constatarii incalcarii.

Relatia operator persoana imputernicita:

1. Ori de cate ori un operator de date apeleaza la un tert (persoana imputernicita) pentru prelucrarea datelor cu caracter personal (ex: furnizorul unui program de software/furnizorul unei platforme de stocare a datelor tip cloud ) este necesar incheierea unui contract scris.
2. Este important ca redactarea contractului sa fie facuta in termeni foarte clari, astfel incat ambele parti sa inteleaga responsabilitatile si limitele acestuia.
3. RGPD stabileste ce trebuie sa fie inclus in contract (a se vedea mai jos).
4. Operatorii de date cu caracter personal sunt raspunzatori pentru respectarea RGPD si trebuie sa desemneze numai persoane imputernicite care pot oferi garantii suficiente , ca vor fi indeplinite cerintele RGPD si ca vor fi respectate drepturile persoanelor vizate.
5. Persoanele imputernicite trebuie sa actioneze exclusiv la instructiunile documentate (scrise) ale operatorului. Ele vor avea totusi unele responsabilitati directe conform RGPD si pot fi supuse unei amenzi sau alte sanctiuni in cazul in care acestea nu sunt conforme.

CONTRACTUL dintre operator si persoana imputernicita:

Contractul incheiat intre operator si persoana imputernicita trebuie sa includa in mod obligatoriu urmatoarele aspecte:

• Obiectul si durata prelucrarii.
• Natura si scopul prelucrarii.
• Tipul de date cu caracter personal si categoriile de persoane vizate; si
• Obligatiile si drepturile operatorului de date.

Contractul incheiat intre operator si persoana imputernicita trebuie sa includa urmatoarele clauze obligatorii:

• Persoana imputernicita trebuie sa actioneze numai pe baza instructiunilor operatorului (cu exceptia cazului in care legea o obliga sa actioneze in lipsa unor instructiuni).
• Persoana imputernicita trebuie sa se asigure ca personalul care se ocupa de prelucrarea datelor respecta confidentialitatea (ex: prin incheierea unei clauze de confidentialitate sau includerea unei astfel de clauze in statutul persoanei imputernicite).
• Persoana imputernicita trebuie sa ia masurile corespunzatoare pentru a asigura securitatea prelucrarii.
• Persoana imputernicita are permisiunea de a angaja un sub-contractant persoana imputernicita cu acordul prealabil al operatorului si in baza unui contract scris (ex: in cazul utilizarii unei platforme informatice diferite de cea nationala pusa la dispozitie de CNAS, furnizorul de servicii IT va reprezenta un sub-contractant, fiind necesar un acord prealabil al CNAS).
• Persoana imputernicita trebuie sa asiste operatorul de date in furnizarea accesului persoanelor vizate la datele lor, precum si sa permita persoanelor interesate sa-si exercite drepturile lor in conformitate RGPD.
• Persoana imputernicita trebuie sa asiste operatorul de date in indeplinirea obligatiilor sale potrivit RGPD in legatura cu securitatea prelucrarii, notificarea incalcarilor si evaluarile de impact.
• Persoana imputernicita trebuie sa stearga sau sa predea toate datele personale operatorului, asa cum a solicitat la incheierea contractului.
• Persoana imputernicita trebuie sa prezinte audituri si inspectii, si sa furnizeze operatorului orice informatii are nevoie pentru a se asigura ca atat el, in calitate de operator, cat si persoana imputernicita indeplinesc obligatiile din articolul 28 RGPD, si trebuie sa anunte imediat operatorul daca se vede pus in situatia de a face ceva ce incalca RGPD sau alte reglementari in materie.

Ca o chestiune de buna practica, contractele:

• trebuie sa prevada ca nicio clauza contractuala nu poate deroga de la prevederile legale ce stabilesc raspunderea persoanei imputernicite conform RGPD; si
• reflecta orice indemnizatie convenita.

Responsabilitatile persoanei imputernicite. Limite:

In plus fata de articolul 28 alin. (3) din Regulament privind obligatiile contractuale, persoana imputernicita are urmatoarele atributii directe sub imperiul RGPD. Persoana imputernicita trebuie sa:

• actioneze numai in baza instructiunilor operatorului (articolul 29);
• nu apeleze la un sub-contractant persoana imputernicita fara autorizarea prealabila scrisa a operatorului (articolul 28 alin. (2);
• coopereze cu autoritatile de supraveghere in conformitate cu articolul 31;
• asigure securitatea prelucrarilor sale in conformitate cu articolul 32;
• tina o evidenta a activitatilor sale de prelucrare in conformitate cu articolul 30 alin. (2) RGPD;
• notifice orice incalcari de date cu caracter personal operatorului in conformitate cu articolul 33 RGPD;
• angajeze un responsabil cu protectia datelor daca este necesar in conformitate cu articolul 37 RGPD; si
• in cazul in care sediul persoanei imputernicite nu se afla pe teritoriul UE, obligatia de a numi (in scris) un reprezentant in cadrul Uniunii Europene.

O persoana imputernicita, de asemenea, ar trebui sa fie constienta de faptul ca:

• ar putea fi supuse investigatiilor si masurilor corective care intra in competenta autoritatilor de supraveghere in temeiul articolului 58 din RGPD;
• in cazul in care nu reuseste sa indeplineasca obligatiile sale, poate fi supusa unei amenzi administrative in conformitate cu articolul 83 din RGPD;
• in cazul in care nu reuseste sa isi indeplineasca obligatiile poate fi supusa unei sanctiuni diferite stabilite prin reglementarile nationale in conformitate cu articolul 84 din RGPD; si
• in cazul in care nu reuseste sa isi indeplineasca obligatiile sale ar putea fi obligata sa plateasca despagubiri catre persoana vizata pagubita in conformitate cu articolul 82 din RGPD.

Important! Sunteti susceptibil de a fi o persoana imputernicita pentru alti operatori de date cu caracter personal, caz in care s-ar putea sa fiti nevoit sa oferiti informatii si asigurarile/garantiile aferente pentru operatorii in cauza.

Actiune: Raspundeti oricarei solicitari pe care o primiti de la cei pentru care prelucrati date cu caracter personal, respectiv, daca va cere sa confirmati respectarea GDPR.