Zgodnie z art. 54 ust. 3 pkt 2 Ustawy – Prawo farmaceutyczne „osoba dostarczająca próbkę [produktu leczniczego] prowadzi ewidencję dostarczonych próbek”. Szczegółowe wymagania odnośnie do ewidencji próbek przewiduje Rozporządzenie Ministra Zdrowia w sprawie reklamy produktów leczniczych. Brzmienie przepisów Rozporządzenia powoduje wątpliwości w zakresie praktycznego funkcjonowania elektronicznej ewidencji próbek leków.
Przepis § 15 ust. 1 Rozporządzenia przewiduje, że ewidencja próbek stanowi dowód „(…) przekazywania reklamy produktu leczniczego kierowanej do osób uprawnionych do wystawiana recept polegającej na bezpłatnym dostarczaniu jego próbek, jest ewidencja dostarczanych próbek prowadzona przez osobę (…)”, która dostarcza próbki.
W ust. 2 tego samego paragrafu sformułowane są szczegółowe wymogi odnośnie tego, jakie informacje zawierać ma ewidencja. Są to:
1. dane identyfikujące placówkę: nazwę, adres, numer telefonu placówki przyjmującej zamówienie;
2. dane dotyczące osoby dostarczającej próbkę produktu leczniczego: imię, nazwisko oraz nazwę podmiotu odpowiedzialnego;
3. dane dotyczące osoby uprawnionej do wystawiania recept: imię i nazwisko;
4. dane dotyczące dostarczanej próbki produktu leczniczego: nazwę, nazwę powszechnie stosowaną, dawkę, wielkość opakowania, postać, ilość przekazanych próbek, numer serii oraz okres ważności produktu leczniczego;
5. numer ewidencje, datę i miejsce dostarczanych próbek produktu leczniczego.§ 15 ust. 2 Rozporządzenia Ministra Zdrowia w sprawie reklamy produktów leczniczych z dnia 21 listopada 2008 r.
Szczególnej uwagi wymaga treść ust. 3, gdyż przepis ten dopuszcza możliwość różnych interpretacji. O ile nie rodzi wątpliwości stwierdzenie: „Ewidencja dostarczanych próbek produktów leczniczych jest prowadzona w formie elektronicznej (…)”, o tyle druga część tego zdania, ze względu na swój techniczny charakter, wymaga objaśnienia: „(…) przy zastosowaniu systemu komputerowego gwarantującego, że żadne zapisy nie będą usuwane, a korekty zapisów lub uzupełnienia będą dokonywane za pomocą dokumentów korygujących, opatrzonych czytelnym podpisem oraz imieniem, nazwiskiem i stanowiskiem osoby dokonującej korekty”.
Ograniczenie możliwości modyfikacji danych
Z pewnością absurdalna byłaby wykładnia, zgodnie z którą przepis ten domaga się od adresatów rzeczy niemożliwej, a więc absolutnego zabezpieczenia systemu komputerowego przed usuwaniem lub modyfikacją danych. Wymóg ten należy rozumieć jako obowiązek wykorzystania rozwiązań technicznych i proceduralnych, które zapewnią osiągnięcie wysokiego poziomu bezpieczeństwa. Można wskazać sytuacje skrajne, które z pewnością obejmuje dany przepis. Z pewnością niedopuszczalne jest prowadzenie ewidencji w postaci systemu komputerowego, w którym każdy użytkownik może wprowadzać dowolne modyfikacje. Można mieć jednak wątpliwość, czy wymagania prawne spełnia system, w którym ograniczona grupa użytkowników (np. z uprawnieniami administratora systemu) ma taką możliwość.
Zdecydowanie najmniejsze ryzyko prawne rodziłaby sytuacja, w której system ewidencji nie umożliwiałby dokonywania zmian bezpośrednio w bazie danych – tzn. nie byłoby to możliwe za pomocą dedykowanego interfejsu przeznaczonego dla użytkowników (nawet jeśli mają oni najwyższe uprawnienia w zakresie obsługi tego systemu). W takim modelu, każda zmiana byłaby rejestrowana zgodnie z treścią ust. 3. Oczywiście, obecnie wykorzystywane systemy informatyczne wymagają obsługi administratora bazy danych, który z konieczności posiada możliwość dowolnej modyfikacji danych znajdujących się w bazie (nawet jeśli te uprawnienia służyć mają jedynie do naprawy błędów lub aktualizacji systemu). Funkcjonalność ta nie powinna być oferowana bezpośrednio przez system ewidencji – obsługę bazy danych powinien zapewniać specjalny program służący tylko do tego celu. Dobrą praktyką w takim ujęciu byłoby wprowadzenie specjalnej procedury w firmie, wykluczającej bezpośrednie kontakty administratora bazy danych z osobami, które dokonują edycji danych. Mechanizm taki należałoby uznać za działanie w celu zachowania należytej staranności w zakresie implementacji przepisów przedmiotowego Rozporządzenia.
Procedura korekty zapisów lub uzupełnienia
Zgodnie z cytowanym już wyżej przepisem ust. 3, „korekty zapisów lub uzupełnienia” powinny być „dokonywane za pomocą dokumentów korygujących, opatrzonych czytelnym podpisem oraz imieniem, nazwiskiem i stanowiskiem osoby dokonującej korekty”. Dopuszczalna wydaje się interpretacja, że chodzi tu o dokumenty papierowe (wskazuje na to m.in. wymóg opatrzenia dokumentu czytelnym podpisem), podobnie uzasadnione byłoby także przyjęcie modelu elektronicznego. Poniżej przedstawiamy uwagi na temat obu tych modeli, nie przesądzając, który powinien być traktowany priorytetowo.
”Papierowy” model korekty i uzupełnień
Nie jest jasne jak w praktyce wyglądać miałoby funkcjonowanie papierowych dokumentów korygujących, pragniemy jednak przedstawić ograniczenia i wymagania, które naszym zdaniem wynikają z treści ust. 3.
Skoro system komputerowy ma gwarantować szczególny sposób zmiany, konieczne jest przyjęcie szerszego rozumienia systemu, jako obejmującego także procedury wewnątrz organizacji, mające na celu zapewnienie, że stosowne korekty zapisów i uzupełnienia ewidencji dokonywane będą na podstawie właściwych dokumentów. Przykładowa prawidłowa procedura, naszym zdaniem, wymagałaby rozdzielenia uprawnień do korekty zapisów i dodawania zapisów do bazy (uzupełnianie ewidencji) od uprawnienia do sporządzania dokumentu korygującego. Innymi słowy, przedstawiciel handlowy mógłby jedynie sporządzić dokument w formie papierowej, który przedkładałby osobie wyznaczonej do dokonywania zmian. Dokument ten, oprócz elementów formalnych określonych w ust. 3, zawierać powinien dokładną specyfikację zmian w bazie. Następnie, osoba uprawniona, po potwierdzeniu prawidłowości przedstawionego dokumentu korygującego, dokonywałaby zmiany w elektronicznym systemie ewidencji.
Innym dopuszczalnym rozwiązaniem byłoby wydzielenie bazy danych stanowiącej ewidencję próbek z bazy danych, w której gromadzone są raporty z wizyt u lekarzy. Przedstawiciel handlowy wprowadzałby wszystkie wymagane dane do bazy ogólnej, następnie dokonywałby wydruku dokumentu korygującego, który opatrywałby swoim czytelnym podpisem i przedkładałby go osobie uprawnionej, która na podstawie tego dokumentu dokonywałaby importu danych z bazy ogólnej do wydzielonej bazy ewidencyjnej. Podobnie, wszelkie korekty zapisów w bazie ogólnej, by były odzwierciedlone w bazie ewidencyjnej, musiałyby zostać zatwierdzone przez osobę uprawnioną. Rozwiązanie to ma tę zasadniczą przewagę, że automatyzuje proces wprowadzania danych, oszczędzając czas, a jednocześnie generuje odpowiedni dokument korygujący stanowiący wypełnienie wymogu określonego w ust. 3.
Poważne wątpliwości mogłoby budzić przyjęcie rozwiązania polegającego na dopuszczeniu dokonywania korekt zapisów lub uzupełnień ewidencji bezpośrednio przez osoby dokonujące raportowania (np. przedstawicieli handlowych), jeśli nie zostałby zapewniony należyty nadzór nad spełnianiem przez te osoby wymogu sporządzania dokumentów korygujących.
Oczywisty wydaje się obowiązek prowadzenia ewidencji dokumentów korygujących. Dobrym rozwiązaniem byłoby skanowanie papierowego dokumentu korygującego i przechowywanie jego wersji elektronicznej w komputerowym systemie ewidencji próbek, dzięki czemu możliwe byłoby łatwe odtworzenie historii korekt zapisów i uzupełnień ewidencji.
”Elektroniczny” model korekt i uzupełnień
W przypadku przyjęcia modelu „papierowego” trudno jest odpowiedzieć na pytanie, w jaki sposób system komputerowy ma „gwarantować”, że zmiany będą dokonywane w tym trybie, jeśli potwierdzone miały by być dokumentami papierowymi oraz w jaki sposób te korekty mają być dokonywane „za pomocą” dokumentów papierowych. Równie zasadną opcją wydaje się przyjęcie „elektronicznej” formy dokumentów korygująco-uzupełniających.
Dobrą praktyką w tym zakresie, która spełniałaby wymogi określone w ust. 3, byłoby wdrożenie kwalifikowanych podpisów elektronicznych dla osób uprawnionych do dokonywania korekt zapisów lub uzupełnień. Interfejs systemu ewidencji powinien wymagać autoryzacji użytkownika za pomocą podpisu elektronicznego. Zgodnie z art. 5 ust. 2 Ustawy o podpisie elektronicznym: „Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej.” Należy w szczególności zwrócić także uwagę na ust. 3 tegoż artykułu: „Bezpieczny podpis elektroniczny weryfikowany przy pomocy kwalifikowanego certyfikatu zapewnia integralność danych opatrzonych tym podpisem i jednoznaczne wskazanie kwalifikowanego certyfikatu, w ten sposób, że rozpoznawalne są wszelkie zmiany tych danych oraz zmiany wskazania kwalifikowanego certyfikatu wykorzystywanego do weryfikacji tego podpisu, dokonane po złożeniu podpisu.”
W ramach tej formy można rozważyć dwa rozwiązania szczegółowe. Pierwsze polegałoby na tym, że wszyscy użytkownicy, którzy do tej pory odpowiedzialni byli za raportowanie wizyt u lekarzy za pomocą systemu komputerowego (przedstawiciele handlowi) otrzymaliby kwalifikowane podpisy elektroniczne, za pomocą których autoryzowaliby każdą dokonaną przez siebię zmianę w bazie danych. Jest to jednak rozwiązanie niewątpliwie kosztowne.
Drugie rozwiązanie opierałoby się na wydzieleniu bazy danych, stanowiącej ewidencję przekazywanych próbek z bazy ogólnej. Przedstawiciele handlowi uzupełnialiby bazę ogólną, a każda zmiana w bazie przez nich dokonana (korekta lub uzupełnienie), która dotyczyłaby przekazywania bezpłatnych próbek, w sposób zautomatyzowany raportowana byłaby osobie odpowiedzialnej (np. za pomocą poczty elektronicznej, lub w specjalnym interfejsie), która byłaby wyposażona w kwalifikowany podpis elektroniczny i autoryzowałaby import danych z bazy ogólnej do bazy ewidencyjnej. Naszym zdaniem, jest to rozwiązanie najbardziej efektywne pod względem czasochłonności i długoterminowych kosztów obsługi (brak konieczności przechowywania papierowego archiwum).
Obowiązek udostępnienia wydruków z ewidencji
Par. 15 ust. 4 stanowi: „Na każde żądanie organów Państwowej Inspekcji Farmaceutycznej udostępnia się wydruki z ewidencji, zgodnie z zakresem określonym w żądaniu.” Z przepisu tego wynika obowiązek zapewnienia możliwości technicznej sporządzenia stosownych wydruków. Jeśli w jakichś zapisach wprowadzane były korekty lub uzupełnienia, wydaje się, że wydruk powinien zawierać pełną historię tych zmian, jak i informację o sposobie autoryzacji (jeśli wykorzystany zostałby kwalifikowany podpis elektroniczny).