Možné technické postupy pro podporu řešení problematiky GDPR ve farmaceutickém průmyslu

Květen se rychle blíží. Tentokrát to ale není zajímavé kvůli Máchovi na Petříně nýbrž pro velkou, (nebo malou) věc jménem GDPR. Jedná se o inovaci způsobu nakládání s osobními údaji o fyzických osobách, která ale po zevrubném přečtení zase tak inovativní není, stav, který je již zavedený pouze zpřesňuje, ale zejména rozšiřuje.

 

IT může pomoci zejména v oblasti zabezpečení dat a kontroly přístupu k nim a podkladům pro reporting ať už pozitivních (nic se nestalo) nebo negativních (únik) incidentů. V případě zabezpečení a kontroly přístupu je to zejména používání cloudových služeb od ověřených dodavatelů a spolehlivých postupů pro přidělování práv, hesel a jejich periodické obměny. Systém logování přístupů usnadňuje průběžnou kontrolu, reporting a řešení případných bezpečnostních incidentů. S usnadněním postupů spojených s problematikou GDPR mohou pomoci též správně nadesignované a zabezpečené webové formuláře a nakonec nesmíme zapomínat ani na technologická řešení, jako jsou zejména firewally a antivirová řešení.

Jedna z oblastí k řešení je pro farmaceutický segment důležitá a možná do značné míra specifická, a je to problematika souhlasů s různými formami marketingových aktivit, ať už ve fyzické nebo virtuální podobě. Když už se váš firemní právník rozhodne že souhlasy sbírat potřebujete máte několik možností. Tou nejjednodušší na realizaci jsou souhlasy tištěné dopředu, vyplňované na místě zcela nebo částečně, které ale jednak požadují poměrně velký skladovací prostor a při každé změně nový podpis. Pokud se jedná o elektronická nebo semi elektronická řešení je možné tisknou např. souhlasy přímo z karty klienta s QR kódem pro zpětné načtení, nebo podepsané souhlasy skenovat pro uložení a práci s nimi v elektronické podobě. Nejelegantnějším řešením je práce v plně elektronickém módu pouze s tabletem a aplikací pro podpis elektronickou tužkou. Agenda souhlasů je také řešitelná přes webové rozhraní nebo i prostřednictvím Call centra, nahrávka souhlasu je dostatečně průkazná, jen je třeba nastavit vhodný verifikační postup.

Další z oblastí kde mohou aplikace pomoci je následná práce s osobními daty. Subjekt dat má možnost s nimi provést tyto čtyři základní úkony/práva – právo na přístup, právo na opravu, námitka proti zpracování a právo na výmaz osobních dat. Všechny tyto úkony bude moci subjekt osobních dat provádět kdykoli a s jakýmkoli typem/kategorií osobních údajů. Pro jednoduché řešení této agendy je možné nastavit webové řešení typu portál, kde po jednoznačné identifikaci bude moci uživatel tyto typy aktivit provádět. Pro tento typ správy dat je třeba provést režimové opatření a přenést a udržet data na jednom místě, a přistupovat k nim z různých aplikací. Kromě zjednodušení nakládání s daty je tento postup též metodickou ochranou proti tomu, že se při aktivitách prováděných s daty na nějaké úložiště nezapomene. Kromě toho se takto zorganizovaná databáze lépe zpracovává i chrání před nežádoucími vlivy.

Budete li uvažovat o nějakém řešení na podporu vašich aktivit v procesu postupného slaďování se s GDPR obraťte se na sého dodavatele, jistě vám nějaké řešení pomůže vybrat. Ale pamatujte že IT je jen 30 %, celé GDPR je hlavně záležitostí nastavení procesů a jejich dodržování a kontroly.

Jiří Stránský        

Business Director Pharma

Sprinx Systems, a.s