Sos. Stefan cel Mare nr. 11 Sector 2, Bucuresti      (021) 210 39 36

 

Spitalul de Pneumoftiziologie „Sf. Stefan”

 

 

POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL

 

 

Această politică poate fi actualizată oricând (fără notificare) pentru a asigura reflectarea corectă a modificărilor structurii Spitalul de Pneumoftiziologie „Sf. Stefan”

 

Scop / Prezentare generală

Spitalul de Pneumoftiziologie „Sf. Stefan” își propune să respecte toate legile și reglementările aplicabile privind protecția datelor, confidențialitatea și securitatea (denumite colectiv ca cerințe) în locațiile în care își desfășoară activitatea. Prin menținerea unui standard ridicat de protecție a datelor, Spitalul dorește să promoveze o cultură cinstită, compasiune, transparență și responsabilitate.

Obiectivul acestei politici de protecție a datelor este acela de a stabili cerințele Spitalului de Pneumoftiziologie „Sf. Stefan” referitoare la protecția datelor cu caracter personal în cazul în care acționăm în calitate de operator de date și măsurile pe care le vom lua pentru a proteja drepturile persoanelor vizate, în conformitate cu legislația din România și din UE.

În cursul activității noastre, suntem obligați să colectăm și să folosim anumite tipuri de informații despre persoane (denumite în continuare persoane vizate în conformitate cu regulamentul), inclusiv "date cu caracter personal", astfel cum sunt definite în Regulamentul general privind protecția datelor (GDPR). Aceste informații se pot referi la pacienți, utilizatori de servicii, angajați actuali, anteriori și potențiali, furnizori și alte persoane cu care personalul comunică. În plus, ocazional, personalului i se poate solicita să colecteze și să utilizeze anumite tipuri de informații personale pentru a se conforma cerințelor legislației din domeniul medical. Prezentul document stabilește asigurarea conformității cu GDPR.

Domeniul de aplicare

Această politică se aplică tuturor angajatilor Spitalului de Pneumoftiziologie „Sf. Stefan” și alte persoane sau entități cu care Spitalul colaborează, în procesul de prelucrare a datelor cu caracter personal, astfel cum sunt definite de GDPR. Această politică se aplică tuturor formelor de date, inclusiv înregistrările computerizate, manuale și CCTV referitoare la persoane.

Definiții

O listă de termeni utilizați în cadrul acestei politici este definită în Anexa A.

 Politica

Politica Spitalului de Pneumoftiziologie „Sf. Stefan” prevede ca toate datele să fie prelucrate și controlate în conformitate cu principiile GDPR și legislația relevantă din România.

 Principii de protecție a datelor

Următoarele cerințe privind protecția datelor se aplică tuturor cazurilor în care datele cu caracter personal sunt stocate, transmise, prelucrate sau manipulate în alt mod, indiferent de locația geografică.

Spitalul de Pneumoftiziologie „Sf. Stefan” va respecta următoarele principii de nivel înalt:

  • Datele personale vor fi prelucrate în mod just, legal și transparent (Principiul de legalitate, corectitudine și transparență);
  • Datele cu caracter personal vor fi obținute numai în scopuri specificate, explicite, legale și legitime și nu vor fi prelucrate în nici un fel incompatibile cu aceste scopuri (principiul limitării scopului);
  • Datele personale trebuie vor fi adecvate, relevante și limitate la ceea ce este necesar în legătură cu scopurile pentru care sunt procesate (Principiul minimizării datelor);
  • Datele personale trebuie vor fi corecte și, dacă este necesar, vor fi actualizate (Principiul acurateții)
  • Datele cu caracter personal nu se vor păstra mai mult decât este necesar pentru scopurile pentru care sunt procesate (Principiul limitării stocării datelor); Datele personale vor fi păstrate în conformitate cu politicile de păstrare a datelor din cadrul Spitalului de Pneumoftiziologie „Sf. Stefan”
  • datele personale vor fi prelucrate într-o manieră sigură, care să includă măsuri tehnice și organizatorice adecvate pentru ca:

i. să prevină și / sau să identifice accesul sau prelucrarea neautorizată sau ilegală a datelor cu caracter personal; și

ii. pentru a preveni pierderea accidentală sau distrugerea sau deteriorarea datelor personale (principiile integrității și confidențialității)

Spitalul de Pneumoftiziologie „Sf. Stefan” răspunde și poate demonstra conformitatea cu aceste principii-cheie. (Principiul responsabilității) și în plus, Spitalul va asigura că drepturile persoanelor vizate sunt protejate conform prevederilor GDPR, cu mentiunea ca disponibilitatea acestor drepturi depinde de justificarea legală a prelucrării.

  • Persoanele vizate vor putea solicita accesul la datele pe care le deținem prin intermediul unei solicitări de acces la subiect (Dreptul de acces);
  • Persoanele vizate pot solicita modificarea sau corectarea oricăror date inexacte (Dreptul la rectificare);
  • Persoanele vizate au dreptul să se opună prelucrării datelor lor, atâta timp cât sunt respectate prevederile legale in vigoare (Dreptul la restricționarea procesării);
  • Persoanele vizate pot solicita ștergerea datelor pe care le deținem cu excepția dosarelor medicale sau unde legea prevede altfel (Dreptul la ștergere - uneori denumit Dreptul de a fi uitat);
  • Persoanele vizate pot solicita ca datele lor să fie mutate în afara Spitalului, dacă sunt în format electronic (Dreptul la portabilitate de date);
  • Persoanele vizate pot obiecta împotriva unei decizii luate prin prelucrare automatizată, cu anumite excepții limitate (cum ar fi motive legitime pentru procesarea sau apărarea cererilor legale) și solicita ca orice decizie luată de procesele automatizate să aibă un element uman (Dreptul de a se opune deciziei de prelucrare automată, inclusiv profilarea)

Cerințe privind politica de procesare a datelor

   Spitalul de Pneumoftiziologie „Sf. Stefan”, în calitate de operator de date, este responsabil de conformitatea cu cerințele GPPR și poate demonstra conformitatea cu aceste cerințe GDPR.

  • Spitalul va prelucra datele personale în conformitate cu drepturile persoanelor vizate.
  • Spitalul va comunica cu persoanele vizate într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, folosind un limbaj clar.
  • Spitalul va transfera date cu caracter personal terților numai în conformitate cu această politică si cu legislatia in vigoare
  • Spitalul va realiza toate procesele de prelucrare a datelor cu caracter personal în conformitate cu condițiile legale de prelucrare bazate pe GDPR în special;

Prelucrarea categoriilor speciale de date cu caracter personal

Categoriile speciale de date sunt definite de GDPR și includ date precum originea rasială sau etnică, convingerile religioase sau filosofice, datele genetice, datele biometrice, datele de sănătate, detaliile sexului sexual și orientarea sexuală.

Prelucrarea categoriilor speciale de date cu caracter personal este legală atunci când este necesară:

(a) în scopul medicinii preventive sau profesionale,

(b) pentru evaluarea capacității de muncă a unui angajat,

(c) pentru diagnosticul medical,

(d) pentru furnizarea de îngrijiri medicale, tratament sau asistență socială,

(e) gestionarea sistemelor și serviciilor de sănătate sau de asistență socială; sau

(f) în temeiul unui contract cu un profesionist în domeniul sănătății.

Procesarea este legală atunci când este efectuată de către sau sub responsabilitatea:

(a) un medic din domeniul sănătății; sau

(b) o persoană care, în aceste circumstanțe, are o obligație de confidențialitate față de persoana vizată echivalentă cu cea care ar exista în cazul în care persoana respectivă ar fi fost un medic din domeniul sănătății.

Dacă prelucrarea datelor nu este acoperită de categoriile de mentionate anterior, Spitalul de Pneumoftiziologie „Sf. Stefan” va solicita un consimțământ explicit din partea persoanei vizate.

 Prelucrarea datelor cu caracter personal

1. Prelucrarea este necesară pentru a proteja interesele vitale ale persoanei (denumită în continuare "persoana vizată"). Acest lucru se va aplica în situații de urgență, atunci când persoanele nu pot comunica din motive medicale;

2. Prelucrarea este necesară pentru o activitate efectuată în interes public sau în exercitarea autorității publice a controlorului; pentru Spitalul de Pneumoftiziologie „Sf. Stefan” această autoritate oficială ne este conferită prin Legea nr. 95/2006 privind reforma în domeniul sănătății cu modificările si completările ulteriore; Legea nr.629/2001 pentru aprobarea Ordonantei Guvernului nr.124/1998 privind organizarea si functionarea cabinetelor medicale ; ORDINUL nr. 1.301 din 20 iulie 2007 (actualizat) pentru aprobarea Normelor privind funcționarea laboratoarelor de analize medicale; Legea nr.302/2018 privind măsurile de control al tuberculozei; Legea dreptului pacientului nr. 46/2003 cu modificările și completările ulterioare; Programul national de combatere a tuberculozei, Legea nr. 82/1991 Legea contabilitătii (republicată), modificată si completată; Legea nr. 53 / 2003 (Codul Muncii); Legea nr. 227 / 2015 (Codul fiscal); Regulamentul UE 679/2016.

(3) Prelucrarea datelor cu caracter personal este permisă atunci când este necesar pentru executarea unui contract la care persoana vizată este parte sau pentru a lua măsuri la cererea persoanei vizate înainte de a încheia un contract.

Politica de limitare a stocării datelor

 Spitalul de Pneumoftiziologie „Sf. Stefan” va șterge toate datele personale care încalcă;

  • Legea privind protecția datelor
  • Regulamentul privind protecția datelor
  • Obligațiile contractuale
  • Legislatia incidenta din domeniul medical
  • Cerințele acestei politici
  • Dacă Spitalul nu mai solicită datele

Anonimizarea și pseudonimizarea datelor

Spitalul de Pneumoftiziologie „Sf. Stefan”  își propune să anonimizeze și / sau să pseudonimeze datele cu caracter personal atunci când sunt utilizate în alte scopuri decât furnizarea directă de servicii de sănătate publică și de sănătate și asistență socială.

Securitatea informațiilor

Tot personalul Spitalului de Pneumoftiziologie „Sf. Stefan” este responsabil cu actualizarea politicilor de securitate a informațiilor în cadrul Spitalului.

Categoriile de destinatari ai datelor cu caracter personal

 

  Suntem obligaţi prin lege să raportăm anumite informaţii autorităţilor competente. Există cazuri în care trebuie să transmitem informaţii precum: accidentele, nașterile, bolile infecţioase care pot pune în pericol siguranţa altora, șamd. Destinatarii informaţiilor pot fi:

  • Ministerul Sănătaţii, Direcţia de Sănătate Publică;
  • ANAF, ITM;
  • CNAS, CJAS;
  • SNSPMS;
  • Medici trimiţatori;
  • SMURD;
  • Servicii de asistenţă socială;
  • Autorităţi locale;
  • Poliţie.

Dezvăluirea neautorizată

Toate persoanele care intră sub incidența prezentei politici au interdicția de a divulga informațiile confidențiale ale unui subiect de date (inclusiv datele cu caracter personal sau categorii speciale de date cu caracter personal), cu excepția cazului în care această politică sau baza legală permite astfel de dezvăluiri.

Toate persoanele care intră sub incidența acestei politici trebuie să raporteze toate incidentele suspectate de acces neautorizat la date cu caracter personal. Incidentele includ dezvăluirea, pierderea, distrugerea sau modificarea informațiilor personale ale pacientului și ale utilizatorilor de servicii, indiferent dacă acestea sunt pe suport de hârtie sau pe suport electronic.

Spitalul de Pneumoftiziologie „Sf. Stefan” a stabilit proceduri oficiale pentru a raporta incidente suspectate de divulgare neautorizată a datelor.

Politica privind transferul către terți, în afara țării

Spitalul de Pneumoftiziologie „Sf. Stefan” nu trebuie să transfere date cu caracter personal unei terțe părți în afara UE, indiferent dacă spitalul acționează în calitate de operator de date, cu excepția cazului în care:

  • UE recunoaște țara / teritoriul de transfer ca având un nivel adecvat de protecție juridică a persoanelor vizate referitoare la prelucrarea datelor cu caracter personal sau
  • UE recunoaște mecanismul de transfer ca furnizând o protecție adecvată în cazul în care țările / teritoriile nu dispun de o protecție juridică adecvată.
  • Consimțământul explicit al persoanei vizate este necesar pentru a permite transferul sau transferul de către terți, fiind autorizat prin lege.
  • Au fost luate toate măsurile rezonabile, adecvate și necesare pentru a menține nivelul necesar de protecție a datelor cu caracter personal.

Sub rezerva dispozițiilor de mai sus, inclusiv a oricăror aprobări necesare, Spitalul de Pneumoftiziologie „Sf. Stefan” poate transfera date cu caracter personal unei terțe părți în afara UE în cazul în care se aplică oricare dintre următoarele:

-       Transferul este necesar pentru a proteja interesele vitale ale subiectului vizat; sau

-       Persoana vizată a dat consimțământul explicit pentru transferul propus; sau

-       transferul este necesar pentru încheierea sau executarea unui contract încheiat în interesul persoanei vizate între Spital și o terță parte; sau

-       transferul este necesar sau necesar din punct de vedere juridic pentru stabilirea, exercitarea sau apărarea revendicărilor legale; sau

-       transferul este impus de lege; sau

-       transferul este realizat dintr-un registru care, în conformitate cu legile sau regulamentele, este destinat să ofere informații publicului și care este deschis consultării fie de către public în general, fie de orice persoană care poate demonstra interes legitim.

Politica privind relațiile cu terții

În cazul în care Spitalul de Pneumoftiziologie „Sf. Stefan” angajează o terță parte pentru activități de prelucrare, acest procesator de date trebuie să protejeze datele personale prin măsuri de securitate tehnice și organizatorice suficiente și să ia toate măsurile rezonabile de respectare a prevederilor GDPR.

Atunci când angajează o terță parte pentru prelucrarea datelor cu caracter personal, Spitalul de Pneumoftiziologie „Sf. Stefan” va încheia un contract scris sau echivalent care va stabili în mod clar responsabilitățile părților respective

Spitalul de Pneumoftiziologie „Sf. Stefan” se va asigura că toate relațiile cu terții sunt stabilite în mod clar, în sensul în care este nevoie de acordul Spitalului pentru ca aceștia să angajeze la randul lor mai mulți procesatori de date.

Politica de educare și conștientizare

Spitalul de Pneumoftiziologie „Sf. Stefan” va asigura că materiale de instruire pentru protecția datelor vor fi permanent disponibile tuturor persoanelor și toate persoanele vor participa la  instruiri periodice.

Executarea

Spitalul de Pneumoftiziologie „Sf. Stefan”  își rezervă dreptul de a lua măsurile pe care le consideră adecvate împotriva persoanelor care încalcă condițiile acestei politici. Personalul Spitalului de Pneumoftiziologie „Sf. Stefan”  care încalcă această politică poate face obiectul unor măsuri disciplinare conform procedurii disciplinare a Spitalului.

Atunci când o încălcare a acestei politici este comisă de contractanți, subcontractanți, furnizori autorizați de servicii comerciale terțe, Spitalul își rezervă dreptul de a remedia această încalcare prin intermediul contractelor existente.

Examinarea și actualizarea politicii

Această politică va fi revizuită și actualizată la fiecare 3 ani sau mai frecvent, dacă este necesar, pentru a se asigura că orice modificare a structurii Spitalului de Pneumoftiziologie „Sf. Stefan” și a practicilor de afaceri sunt reflectate în mod corespunzător în politică.

 Intrebări și solicitări

   Orice nelămurire sau întrebare cu privire la prelucrarea datelor Dvs. sau dacă doriți să vă exercitați drepturile legale în legătură cu datele cu caracter personal pe care le deținem se pot transmite pe adresa de e-mail dpo@pneumosfstefan.ro. În cazul în care sunt necesare informații suplimentare, vă rugăm să ne contactați la adresa de e-mail dpo@pneumosfstefan.ro.

   Totodată, aveţi posibilitatea de a vă adresa Autoritătii Nationale de Supraveghere a Prelucrării Datelor cu Caracter Personal cu sediul în Bucuresti, B-dul. G-ral. Gheorghe Magheru nr. 28-30, Sector 1.

   În acelasi timp, fără a aduce atingere posibilităţii de a se adresa cu plângere autorităţii de supraveghere, persoanele vizate au dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de Regulamentul 2016/679 care le-au fost încălcate.

  

 

Notă:

Pentru soluționarea solicitărilor referitoare la prelucrarea datelor cu caracter personal adresate Spitalului de Pneumoftiziologie „Sf. Stefan”, persoana vizată trebuie să facă dovada ca a beneficiat de serviciile Spitalului de Pneumoftiziologie „Sf. Stefan”

 

 

Anexa A

la POLITICA DE PROTECȚIE A DATELOR CU CARACTER PERSONAL

 

  • "date cu caracter personal" -  orice informatii privind o persoana fizica identificata sau identificabila ("persoana vizata"); o persoana fizica identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, cum ar fi un nume, un numar de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
  •  "prelucrare" - orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregis­ trarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
  • "restrictionarea prelucrarii" - marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
  • "creare de profiluri" - orice forma de prelucrare automata a datelor cu caracter personal care consta in utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoana fizica, in special pentru a analiza sau prevedea aspecte privind performanta la locul de munca, situatia economica, sanatatea, preferintele personale, interesele, fiabilitatea, comportamentul, locul in care se afla persoana fizica respectiva sau deplasarile acesteia;
  •  "pseudonimizare" - prelucrarea datelor cu caracter personal intr-un asemenea mod incât acestea sa nu mai poata fi atribuite unei anume persoane vizate fara a se utiliza informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie stocate separat si sa faca obiectul unor masuri de natura tehnica si organizatorica care sa asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
  • "operator" - persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern;
  • "persoana imputernicita de operator" - persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care prelucreaza datele cu caracter personal in numele operatorului;
  • "parte terta" - o persoana fizica sau juridica, autoritate publica, agentie sau organism altul decât persoana vizata, operatorul, persoana imputernicita de operator si persoanele care, sub directa autoritate a operatorului sau a persoanei imputernicite de operator, sunt autorizate sa prelucreze date cu caracter personal;
  • "consimtamânt" al persoanei vizate - orice manifestare de vointa libera, specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu caracter personal care o privesc sa fie prelucrate;
  • "incalcarea securitatii datelor cu caracter personal" - o incalcare a securitatii care duce, in mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizata a datelor cu caracter personal transmise, stocate sau prelucrate intr-un alt mod, sau la accesul neautorizat la acestea;
  • "date genetice" - datele cu caracter personal referitoare la caracteristicile genetice mostenite sau dobândite ale unei persoane fizice, care ofera informatii unice privind fiziologia sau sanatatea persoanei respective si care rezulta in special in urma unei analize a unei mostre de material biologic recoltate de la persoana in cauza;
  • "date biometrice" - date cu caracter personal care rezulta in urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirma identificarea unica a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;
  • "date privind sanatatea" - date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acestea.