GDPR

1. INFORMAȚII PRELIMINARE

CENTRU MEDICAL ASTECO, cu sediul în Cluj-Napoca, str. Constantin Brâncuşi nr. 105 | Cluj-Napoca, str. Ştefan Luchian nr. 2, adresa e-mail office@astecomedical.ro, adresă web www.astecomedical.ro, telefon: 0364.26.00.34, 0751.631.688, în calitate de operator de date vă informează prin prezenta, despre prelucrarea datelor dumneavoastră cu caracter personal și drepturile pe care le aveți în conformitate cu Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (GDPR) și legislația națională (Legea nr. 190/2018) privind protecția și securitatea datelor cu caracter personal, atunci când vă adresați CENTRULUI MEDICAL ASTECO sau interacționați cu site-ul nostru.

2. TERMENI ȘI DEFINIȚII

2.1. „GDPR”, „RGPD” sau „Regulamentul” – REGULAMENT (UE) 2016/679 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);

2.2. „Date cu caracter personal” – orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

2.3. „Operator” – persoana fizică sau juridică, autoritate publică, agenție sau alt organism care, singur sau împreuna cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

2.4. “Destinatar” – orice persoană fizică sau juridică, de drept privat ori de drept public, inclusiv autoritățile publice, instituțiile și structurile teritoriale ale acestora, căreia îi sunt dezvăluite date, indiferent dacă este sau nu terț; autoritățile publice cărora li se comunică date în cadrul unei competențe speciale de anchetă nu vor fi considerate destinatari.

2.5. „Persoană vizată” – reprezintă orice persoană fizică identificată sau identificabilă ale cărei date sunt prelucrate de către operator,

2.6. „Consimțământ”- orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

2.7.  „Prelucrare” – orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

2.8. “Date anonime” – date care, datorită originii sau modalității specifice de prelucrare, nu pot fi asociate cu o persoană identificată sau identificabilă;

2.9. “Pseudonimizarea” – prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

2.10. “Sistem de evidență a datelor” – orice set structurat de date cu caracter personal/special, accesibilă potrivit unor criterii determinate, indiferent dacă această structură este organizată în mod centralizat ori descentralizat sau este repartizată după criterii funcționale ori geografice;

2.11. “Stocarea” – păstrarea pe orice fel de suport a datelor cu caracter personal/special culese;

2.12. Autoritatea Națională de Supraveghere a Protecției Datelor cu Caracter Personal (ANSPDCP) – autoritate publică centrală autonomă cu competență generală în domeniul protecției datelor personale.

Noțiunile și termenii din prezenta politică ce nu au fost definiți mai sus se vor interpreta în conformitate cu GDPR și cu legislația specifică în domeniul protecției datelor cu caracter personal și a vieții private.

3. ROLUL POLITICII

Prezenta politica are rolul de a crea cadrul adecvat modului de acțiune în cadrul CENTRULUI MEDICAL ASTECO, în calitate de operator de date și/sau împuternicit al operatorului de date, pentru a realiza prelucrarea datelor cu character personal cu respectarea confidențialității și a securității datelor potrivit standardelor prevăzute de GDPR și legislația în vigoare.

În cadrul CENTRULUI MEDICAL ASTECO, se vor prelucra, în principal, date cu character personal ale pacienților pentru realizarea obiectului contractului de prestări servicii medicale sau pentru prestarea efectivă a serviciilor medicale, în scopul îndeplinirii unor obligații legale ale operatorului, în vederea stabilirii diagnosticelor medicale, în scopuri de medicină preventivă, de administrare de îngrijiri și tratamente medicale, pentru gestionarea serviciilor de sănătate, în interes legitim în cazuri documentate.

De asemenea, se vor prelucra datele cu character personal ale propriilor angajați/colaboratori externi, în conformitate cu prevederile legale și atribuțiile funcționale. Scopul principal al prelucrării datelor cu character personal în cadrul CENTRULUI MEDICAL ASTECOeste îndeplinirea atribuțiilor legale de ocrotire a sănătății așa cu sunt prevăzute acestea de către Constituția României și legislația în vigoare.

Prezenta politică de prelucrare are în vedere efectul său extensiv, atât asupra CENTRULUI MEDICAL ASTECO, în calitate de operator de date sau împuternicit, cât și asupra tuturor celor care stabilesc raporturi administrative, contractuale sau de altă natură cu CENTRU MEDICAL ASTECO, fie în calitate de operatori independenți/operatori asociați sau împuterniciți ai operatorului de date și descrie modul în care datele cu caracter personal trebuie prelucrate în conformitate cu GDPR, principiile de prelucrare a datelor cu caracter personal, drepturile persoanelor vizate, precum și responsabilitățile angajaților implicați în procesul de prelucrare a datelor cu caracter personal.

4. OBIECTIVELE POLITICII

• Conformitatea cu GDPR și bunele practici în materie de protecție a datelor cu caracter personal;
• Protecția drepturilor persoanelor vizate (pacienților și angajaților proprii, precum și a oricăror persoane fizice);
• Transparența privind modul în care sunt protejate datele cu caracter personal;
• Protecție împotriva riscurilor de încălcare a securității datelor cu caracter personal.

5. PRINCIPII PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

Datele cu caracter personal colectate vor fi:

• Prelucrate în mod legal, echitabil și transparent, respectând principiile de legalitate, echitate și transparență;
• Colectate în scopuri determinate, explicite și legitime și nu vor fi prelucrate ulterior într-un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibila cu scopurile inițiale;
• Adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (reducerea la minimum a datelor);
• Exacte și, în cazul în care este necesar, să fie actualizate; se vor lua toate măsurile necesare pentru a ne asigura că datele cu caracter personal/special care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere;
• Păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal/special pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în lege în vederea garantării drepturilor și a libertăților persoanei vizate;
• Prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal/special, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

6. TIPURI DE DATE CU CARACTER PERSONAL PRELUCRATE

In sensul REGULAMENTULUI nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date: „date cu caracter personal“ înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).

Datele cu caracter personal vizate: date de identificare (nume, prenume CNP, CI, numărul cardului de sănătate, număr foaie de observaţie, număr set analize etc.); date de contact (adresă de corespondență fizică, adresă e-mail, număr de telefon, etc.), identificator online, unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Datele cu caracter personal din categoriile speciale de date, având legătură cu starea de sănătate a persoanei vizate, sunt date care dezvăluie informații despre starea de sănătate fizică sau mentală, trecută, prezentă sau viitoare a persoanei vizate, informații despre persoana fizică adunate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale, informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv din date genetice și eșantioane de material biologic.

Date speciale sunt și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in GDPR ,,Orice ființă umană are dreptul la viață, la libertate și la securitatea persoanei sale“ Art. 3, Declarația Universală a Drepturilor Omului.

7. TEMEIUL JURIDIC AL PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

Temeiurile în baza căruia CENTRU MEDICAL ASTECO prelucrează datele cu caracter personal sunt, după caz:

• În vederea îndeplinirii unei obligații legale care îi revineCENTRULUI MEDICAL ASTECO;
• Încheierea/executarea contractelor încheiate între CENTRU MEDICAL ASTECO și persoana vizată;
• Necesitatea de a prelucra datele pentru îndeplinirea unei sarcini care serveşte unui interes public;
• Pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
• Interesul legitim al CENTRULUI MEDICAL ASTECO și/sau al unor terți;
• Consimțământul persoanelor vizate pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice.

Astfel, informațiile sunt prelucrate în mod legal în conformitate cu:

• Legea 95/2006 — Privind reforma în domeniul sănătății cu modificările şi completările ulterioare;
• Legea nr. 629/2001 pentru aprobarea Ordonanței Guvernului nr.124/ 1998 privind organizarea şi funcționarea cabinetelor medicale;
• Ordinul nr. 1301 din 20 iulie 2007 (actualizat) pentru aprobarea Normelor privind funcționarea laboratoarelor de analize medicale;
• Legea nr. 82/1991 Legea contabilității (republicată), modificată şi completată;
• Legea Nr. 46 din 21 ianuarie 2003 – Legea drepturilor pacientului;
• OMS 1501/2016, OMS 44/2010 și OMS 482/2007;
• Regulamentul UE 679/ 2016;
• Obligațiile referitoare la angajați sunt prevăzute, în principal, în Codul Muncii.

8. SCOPUL PRELUCRĂRII DATELOR CU CARACTER PERSONAL

CENTRU MEDICAL ASTECO colectează date personale doar în scopuri determinate, explicite și legitime. Datele colectate sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate. Prelucrarea se face în mod legal, echitabil și transparent față de persoana vizată. Datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere.

• Prestarea serviciilor medicale; înregistrarea/identifiarea serviciilor medicale prestate; programări; informări cu privire la rezultatele serviciilor prestate, implementarea sau schimbarea procedurilor operaționale sau a sistemelor care au un impact asupra modalității de desfășurare a activității medicale;
• Înregistrarea în documentele specifice unității medicale și domeniului de activitate;
• Comunicarea telefonică, prin e-mail sau poștă a rezultatelor investigațiilor medicale;
• Verificarea asiguratului pe Platforma Informatică a Asigurărilor de Sănătate;
• Prelucrare anonimizată a datelor cu caracter personal în studii de cercetare ştiinţifică și analiză statistică;
• Gestionarea securității IT; realizarea auditurilor de securitate asupra rețelelor IT, emiterea de rapoarte catre instituțiile abilitate sau repararea unor erori de sistem;
• Supravegherea spațiilor prin intermediul sistemului CCTV;
• Îndeplinirea obligațiilor legale cu privire la arhivare, sănătate, securitate, ținerea evidențelor și a altor obligații prevăzute de legislația în vigoare;
• Gestiunea financiară; eliberarea bonurilor, a facturilor și a chitanțelor; transmiterea de notificări; elaborarea de rapoarte financiare/ operaționale, a rapoartelor de activitate şi emiterea situațiilor financiare/ cu privire la contracte;
• Soluționarea disputelor. Formularea de cereri și de apărări înaintea autorităților publice și a altor entități care soluționează dispute.

9. SURSA DATELOR CU CARACTER PERSONAL

Cele mai multe informații sunt furnizate direct de către dumneavoastră prin intermediul documentelor de înscriere și al altor documente justificative.

10. MĂSURI DE PROTECȚIE ȘI SECURITATEA DATELOR

La nivelul CENTRULUI MEDICAL ASTECO sunt implementate măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel înalt de securitate și protecție a datelor cu caracter personal. Acesta utilizează metode și tehnologii de securitate, împreună cu politici aplicate salariaților și proceduri de lucru, inclusiv de control şi audit, pentru a proteja datele cu caracter personal colectate conform prevederilor legale în vigoare.

Totodată, informațiile colectate și păstrate atât în formă scrisă cât și cele în format electronic sunt deținute/păstrate în locații sigure, cu un nivel de securitate adecvat și cu accesul permis doar personalului autorizat.

Operatorul se obligă pentru scopurile specificate, pentru protejarea și asigurarea informațiilor procesate împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii, accesului neautorizat sau oricărei alte forme de prelucrare ilegală. Măsurile organizatorice şi tehnice sunt orientate pe: Identificarea şi autentificarea utilizatorului; Tipul de acces; colectarea datelor; execuţia copiilor de siguranţă; instruirea personalului; sistemele de telecomunicații; folosirea computerelor; imprimarea datelor.

De asemenea, punem în vedere furnizorilor de servicii și partenerilor comerciali, faptul că trebuie să asigure măsuri tehnice și organizatorice, de securitate a datelor personale ce le prelucrează, în baza relației comerciale cu Operatorul.

11. PERIOADA DE STOCARE ȘI TRANSFERUL DATELOR CU CARACTER PERSONAL

Datele cu caracter personal procesate de către Operator vor fi stocate cât este necesar pentru realizarea scopului în care au fost colectate sau pânâ la împlinirea termenului legal prevăzut de lege. Periodic vor fi reevaluate datele, urmând a se stabili necesitatea păstrarării sau distrugerii acestor date, în funcție de relevanța, corectitudinea, actualitatea lor, protejarea intereselor Operatorului, formularea unor acțiuni în instanță, prezentarea ca probe în cazul unor controale autorizate sau in comisiile disciplinare etc.

Revizuim în fiecare an datele colectate, analizând în ce măsură păstrarea lor este necesară scopurilor menționate, intereselor dumneavoastră legitime sau îndeplinirii obligațiilor legale de către societate. Datele care nu mai sunt necesare vor fi șterse. Datele dumneavoastră cu caracter personal vor putea fi, după caz, transmise unor colaboratori externi spitalului sau unor entități terțe, după cum urmează: transmiterea de informații către serviciile externe de contabilitate, arhivare, resurse umane, protecția muncii, medicina muncii.

Nu se efectuează alte transferuri de date cu caracter personal către alți destinatari, cu excepția cazului în care deținem obligația aceasta prin lege (de exemplu: prelucrări efectuate de serviciile financiare și fiscale, de poliție, justiție, securitate socială și alte instituții abilitate).

Nu utilizăm datele cu caracter personal pentru prelucrare automatizată și nici pentru realizarea de profile. Nu luăm niciodată decizii automate cu privire la dumneavoastră. Utilizăm mijloace tehnice adecvate pentru stocarea datelor în condiții de securitate. Nu prelucrăm date în scopuri secundare incompatibile cu scopurile pentru care le-am colectat.

Pentru datele procesate în baza unei obligații legale, se vor respecta termenele din actele normative (ex: statele de plată se vor păstra pentru 50 de ani, dosarele de personal 75 de ani, iar actele contabile între 5 si 10 ani).

Periodic se va analiza oportunitatea păstrării datelor deținute și concordanța cu obligația legală a păstrării acestora, urmând a lua măsuri de distrugere a acestora, atunci când se impune (ex: cele păstrate în format letric prin mijloace ce asigură distrugerea irecuperabilă: ardere, tocare; iar cele în format electronic sau digitalprin mijloace tehnice specific).

12. SITE-UL WWW.ASTECOMEDICAL.RO UTILIZEAZĂ COOKIE-URI

Cookie-urile sunt fișiere de mici dimensiuni, alcătuite în general din texte și cifre, care la accesarea unui site sunt salvate în browserul utilizat de către computer, telefon, tabletă sau orice alt dispozitiv prin care se accesează online site-ul respectiv. La fiecare accesare ulterioară a site-ului, browserul trimite către serverul site-ului web acest fișier, permitînd astfel identificarea unui vizitator care a revenit pe site.

Cookie-urile ajută aplicațiile web să ofere răspunsuri personalizate, dar, în același timp, nu oferă acces decât la acele informații pe care doriți dumneavoastră să le împărtășiți. Puteți seta navigatorul astfel încât să vă informeze în legătură cu prezența cookies-urilor.

13. DREPTURILE PERSOANEI VIZATE

Orice persoana vizată își poate exercita următoarele drepturi, așa cum sunt prevăzute de către GDPR:

• Dreptul de acces – persoana vizată are dreptul de a obține din parteaCENTRULUI MEDICAL ASTECO, în calitatea sa de operator, o confirmare prin care să specifice dacă sunt sau nu prelucrate date cu caracter personal care o privesc;
• Dreptul la rectificarea datelor -persoana vizată are dreptul de a obține, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare;
• Dreptul la ștergerea datelor – (dreptul de a fi uitat) presupune dreptul de a solicita ștergerea datelor cu caracter personal, fără întârzieri nejustificate. Dreptul de a solicita stergerea datelor va fi aplicabil în anumite circumstanțe, precum ar fi:  – când datele personale nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate/prelucrate sau când datele personale au fost prelucrate ilegal;
• Dreptul la restricționarea prelucrării – persoana vizată are dreptul de a obține din partea CENTRULUI MEDICAL ASTECO restricționarea prelucrării în cazul în care: contestă exactitatea datelor, pentru o perioadă care îi permite operatorului să verifice exactitatea datelor; prelucrarea este ilegală, iar persoana vizată se opune ștergerii datelor cu caracter personal, solicitând în schimb restricționarea utilizării lor;
• Dreptul la opoziție – presupune că, în orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții;
• Dreptul la portabilitatea datelor – presupune că persoana vizată are dreptul de a primi datele cu caracter personal care o privesc și pe care le-a furnizat operatorului, într-un format structurat, utilizat în mod curent și care poate fi citit automat și are dreptul de a transmite aceste date altui operator în cazul în care prelucrarea se bazează pe consimțământ sau pe un contract și numai dacă aceasta a fost realizată prin mijloace automate;
• Dreptul de a nu face obiectul unui proces decizional automatizat – persoana vizată are dreptul de a nu face obiectul unei decizii bazată exclusiv pe prelucrare automată, inclusiv creare de profiluri, care produc efecte juridice care privesc persoana vizată sau o afectează în mod similar intr-o măsură semnificativă;
• Dreptul de retragere a consimțământului – Consimțământul poate fi retras oricând. Retragerea consimțământului nu afectează legalitatea prelucrării pe baza consimțământului inainte de retragerea acestuia;
• Dreptul de a se adresa sau de a  depune plângere la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, sediu: București, Bdul Gen. Gheorghe Magheru nr. 28-30, sector 1, CP 010336; Telefon: +40.318.05.92.11, Fax: +40.318.05.96.02 email: anspdcp@dataprotection.ro, website: dataprotection.ro) în cazul în care persoana vizată consideră că prelucrarea datelor sale este făcută cu încălcarea GDPR;

Pentru exercitarea drepturilor menționate la punctele de mai sus, sau pentru orice întrebări despre modul în care datele persoanelor vizate sunt utilizate sau dacă sunt necesare lămuriri suplimentare în legătură cu orice aspect ce ține de prelucrarea datelor, persoanele vizate se pot adresa responsabilului cu protecția datelor cu caracter personaldin cadrul CENTRULUI MEDICAL ASTECO, prin email la adresa de poștă electronică office@astecomedical.ro, prin poștă la adresa Centrului, Cluj-Napoca, str. Constantin Brâncuşi nr. 105 | Cluj-Napoca, str. Ştefan Luchian nr. 2sau depunând personal o notificare semnată olograf la sediul CENTRULUI MEDICAL ASTECO– Cluj-Napoca.

14. REFERINȚE:

• Autoritatea Natională de Supravegherea Prelucrării Datelor cu Caracter Personal– http://www.dataprotection.ro/
• Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal
• Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE – https://eur-lex.europa.eu/legal-content/RO/TXT/?uri=CELEX%3A32016R0679