E-recepta to elektroniczny dokument, który ma z czasem zastąpić tradycyjną, papierową receptę. Do korzystania z E-recepty niezbędnym jest jednak posiadanie konta pacjenta. Aby zrealizować E-receptę niezbędny jest dodatkowo czterocyfrowy kod, który pacjent otrzymuje e-mailem lub SMS-em. Można zatem uznać, że zestawienie wszystkich danych w związku z realizacją elektronicznej recepty powoduje, że kod staje się daną osobową. Co jednak w sytuacji gdy nam zaginie ? Kto jest uprawniony do przetwarzania tych danych i przekazania kodu niezbędnego do realizacji elektronicznej recepty ?

Kod dostępu jako dana osobowa

Zgodnie z  Prawem farmaceutycznym (art. 96b) osoba wystawiająca receptę udziela pacjentowi informację o wystawionej e-recepcie zawierającą min. 4-cyfrowy kod dostępu.

Kod może być wysyłany na wskazany przez pacjenta w systemie informacji o ochronie zdrowia adres e-mail lub wiadomość SMS na numer telefonu. Poprzez zestawienie i przypisanie kodu do konkretnego pacjenta i jego recepty, kod staje się daną osobową a w związku z tym jego przetwarzanie podlega takim samym obowiązkom w zakresie bezpieczeństwa jak imię i nazwisko, pesel oraz pozostałe dane pacjenta.

Droga elektroniczna jest jedyna ? Ależ nie !

Pacjent może otrzymać receptę również w postaci wydruku w 3 przypadkach:

• braku wskazania adresu e-mail,

• brak wskazania numeru telefonu,

• na żądanie pacjenta albo w innej uzgodnionej postaci zawierającej co najmniej klucz dostępu do recepty lub pakietu recept lub kod dostępu oraz nazwę produktu leczniczego – w przypadku udzielania świadczenia zdrowotnego w miejscu wezwania lub badania za pośrednictwem systemów teleinformatycznych lub systemów łączności i braku możliwości przekazania informacji w postaci wydruku (ust. 2 pkt 3).

Zatem na podstawie obowiązujących przepisów tę informację pacjent otrzymuje – poza wydrukiem, również na swoje żądanie.

W każdym innym przypadku pacjent może zgłosić się do miejsca, w którym była wystawiana recepta z prośbą o ponowny wydruk.

Kto jest upoważniony do wydania ?

Przepisy w tym zakresie są jasne. Informację w zakresie e-recepty, niezależnie od sposobu jej przekazania (SMS, mail, wydruk), zgodnie z art. 96b ust. 3 wydaje tylko osoba, która wystawiała receptę. Zatem, jeżeli receptę dla konkretnego pacjenta wystawił lekarz, to tylko ten lekarz jest osobą uprawnioną do przekazywania pacjentowi informacji zawierającej m.in. 4-cyfrowy kod dostępu zawarty na e-recepcie.

Na każdym etapie, a w szczególności w przypadku udzielania świadczeń zdrowotnych w ramach telemedycyny – z punktu widzenia ochrony danych osobowych, niezwykle ważnym jest właściwe zidentyfikowanie pacjenta. Problemy i błędy w tym zakresie mogą doprowadzić do naruszenia RODO- chociażby poprzez udostępnienie informacji o pacjencie osobie która nie jest do tego uprawniona. Co istotne, jeżeli osoba nieuprawniona dysponuje danymi identyfikacyjnymi i uzyska (chociażby telefonicznie) informacje o  kodzie do e-recepty może bez problemu podając w aptece znany jej PESEL i 4-cyfrowy kod zrealizować receptę (nawet nie posiadając fizycznie recepty). Tym samym identyfikacja i świadomość w tym zakresie jest niezwykle istotna, w szczególności po stronie lekarzy i farmaceutów.

Potwierdzanie tożsamości rozmówcy powinno odbywać się przy zastosowaniu  wdrożonych zasad zapewniających maksymalny poziom ochrony danych osobowych tak, by udzielone informacje zostały przekazane wyłącznie osobie uprawnionej do uzyskania takich informacji.

Oczywiście nie ma co rodzić absurdów. W wyjątkowych (nie powinno być to bowiem zasadą)sytuacjach, po zweryfikowaniu tożsamości osoby dzwoniącej, osoba wystawiająca receptę mogłaby przekazać pacjentowi 4-cyfrowy kod dostępu także telefoniczne. Istotne w takich przypadkach jest prawidłowe uwierzytelnienie osoby-pacjenta, z którym prowadzona jest rozmowa telefonicznej, poprzez większą ilość informacji (np. poprzez jednocześnie numer PESEL pacjenta, powód wizyty lekarskiej, datę i godzinę wizyty itd.). Rzecz jasna w przypadku  jakichkolwiek wątpliwości odnośnie do tożsamości osoby dzwoniącej w celu uzyskania informacji dotyczących pacjenta (w tym samego kodu do e-recepty). W większości sytuacjach powinno się  jednak odmówić udzielenia informacji w tej formie i poprosić o osobiste stawiennictwo w placówce medycznej.

Realizacja e-recepty

Farmaceuci podczas realizacji e-recepty powinni mieć również na względzie zasady przetwarzania danych osobowych (m.in. zasadę minimalizacji danych). Dla przykładu pamiętać powinno o tym, że do realizacji e-recepty nie jest potrzebne okazanie, a tym bardziej kopiowanie (skanowanie) dowodu osobistego pacjenta.

Zgodnie bowiem z przepisami Prawa farmaceutycznego w tym celu wystarczy okazanie przez pacjenta wydruku informacyjnego lub przestawienie przez niego określonych danych zawartych w recepcje np. 4-cyfrowego kodu dostępu (znajdującego się na wydruku informacyjnym albo w otrzymanym przez pacjenta SMS) oraz numeru PESEL. Ewentualna jakakolwiek nadmiarowość w zbieraniu danych wykraczających poza, przewidziany przedmiotowymi przepisami, zakres niezbędny do realizacji recepty wiąże się z naruszeniem zasad celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO.

Podkreślić warto, że apteki nie mogą przechowywać udostępnionych przez pacjentów wydruków informacyjnych. Dlatego po odczytaniu z takiego wydruku danych wymaganych do realizacji recepty farmaceuta powinien zwrócić go pacjentowi. Oczywiście nie oznacza to, że nie można przechowywać w systemie informatycznym apteki e-recepty.  Do tego bowiem apteka jest uprawniona.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.