Informację tę – niezależnie od sposobu jej przekazania, zgodnie z art. 96b ust. 3 wydaje tylko osoba, która wystawiała receptę. Zatem, jeżeli receptę dla konkretnego pacjenta wystawił lekarz, to tylko ten lekarz jest osobą uprawnioną do przekazywania pacjentowi informacji zawierającej m.in. 4-cyfrowy kod dostępu zawarty na e-recepcie.
W przypadku udzielania świadczeń zdrowotnych w ramach telemedycyny – z punktu widzenia ochrony danych osobowych, istotne jest właściwe zidentyfikowanie pacjenta. Niewłaściwa identyfikacja pacjenta może prowadzić do udostępnienia informacji osobie nieuprawnionej, która – jeśli dodatkowo dysponowałaby numerem PESEL pacjenta – mogłaby zrealizować receptę, podszywając się pod pacjenta. Potwierdzanie tożsamości rozmówcy powinno odbywać się przy zastosowaniu wdrożonych zasad zapewniających maksymalny poziom ochrony danych osobowych tak, aby udzielone informacje zostały przekazane wyłącznie osobie uprawnionej do uzyskania takich informacji.
Choć obowiązujące przepisy nie wskazują, aby placówka medyczna dysponowała prawem do ustnego informowania pacjenta o 4-cyfrowym kodzie podczas rozmowy telefonicznej, to w wyjątkowych sytuacjach, po zweryfikowaniu tożsamości osoby dzwoniącej, osoba wystawiająca receptę mogłaby przekazać pacjentowi 4-cyfrowy kod dostępu. Istotne w takich przypadkach jest prawidłowe uwierzytelnienie osoby-pacjenta, z którym prowadzona jest rozmowa telefoniczna (np. poprzez numer PESEL pacjenta, powód wizyty lekarskiej, datę i godzinę wizyty itd.).
Nie oznacza to jednak, że udostępnianie tych informacji w ww. formie powinno stać się powszechną praktyką, pozwalającą na każdorazowe udostępnianie danych osobowych pacjentów przez podmioty udzielające świadczeń zdrowotnych. W przypadku wątpliwości odnośnie do tożsamości osoby dzwoniącej w celu uzyskania informacji dotyczących pacjenta – w sytuacjach zwyczajnych powinno się odmówić udzielenia informacji.
Realizacja e-recepty
Farmaceuci podczas realizacji e-recepty powinni mieć również na względzie zasady przetwarzania danych osobowych (m.in. zasadę minimalizacji danych) i pamiętać, że do tego celu nie jest potrzebne okazanie, a tym bardziej kopiowanie (skanowanie) dowodu osobistego pacjenta. Zgodnie bowiem z przepisami Prawa farmaceutycznego w tym celu wystarczy okazanie przez pacjenta wydruku informacyjnego lub przestawienie przez niego określonych danych zawartych w recepcje np. 4-cyfrowego kodu dostępu (znajdującego się na wydruku informacyjnym albo w otrzymanym przez pacjenta SMS) oraz numeru PESEL. Ewentualnie skopiowanie dowodu osobistego prowadziłoby do pozyskiwania przez aptekę danych wykraczających poza, przewidziany przedmiotowymi przepisami, zakres niezbędny do realizacji recepty np. wizerunku pacjenta z naruszeniem zasad celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO.
Podkreślić warto, że apteki nie mogą przechowywać udostępnionych przez pacjentów wydruków informacyjnych. Dlatego po odczytaniu z takiego wydruku danych wymaganych do realizacji recepty farmaceuta powinien zwrócić go pacjentowi. Pamiętać przy tym trzeba, że wydruków informacyjnych nie można utożsamiać z przechowywaną w systemie informatycznym e-receptą, do której będzie miał zastosowanie okres retencji tego rodzaju dokumentów wskazany w obowiązujących przepisach.