Pachete
Autentificare

Intrebari Frecvente



Conform legislatiei in vigoare la acest moment nu exista nicio obligatie privind autorizarea/notificarea/instiintarea Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal cu privire la operarea datelor cu caracter personal.


Este adevarat ca potrivit legislatiei anterioare, respectiv potrivit Legii nr. 677/2001 – act iesit din vigoare la 25 mai 2018, exista obligatia operatorilor de date cu caracter personal de a notifica Autoritatea Naţionala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) cu privire la prelucrarea unor astfel de date in vedere inscrierii in Registrul Electronic de Evidenţa a Prelucrarilor de Date cu Caracter Personal. Notificarea se realiza prin completarea formularului de notificare existent pe site-ul autoritatii.

Totusi, aceasta obligatie nu a fost preluata si in cuprinsul Regulamentului 679/2016 (GDPR), astfel ca, odata cu intrarea in vigoare a acestuia, respectiv incepand cu 25 mai 2018, operatorii de date cu caracter personal nu mai au o astfel de obligatie de a notifica autoritatea cu privire la prelucrare.

In acest sens trebuie avuta in vedere  clarificarea adusa de ANSPDCP cu privire la eliminarea obligatiei operatorilor de a notifica prelucrarile de date efectuate: “in conformitate cu prevederile Regulamentului UE 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE, incepand din data de 25 mai 2018 (data aplicarii acestui act normativ european), operatorii nu vor mai avea obligatia notificarii  prelucrarilor de date. In acest context, incepand cu aceasta data,  formularul de notificare existent pe site-ul autoritatii nu va mai putea fi completat de operatori in vederea inscrierii  in registrul de evidenţa a prelucrarilor de date cu caracter personal prelucrarile efectuate de operatori. Totodata, formularele de notificare transmise de operatori anterior acestei date si nesolutionate de Autoritatea de supraveghere, nu vor mai fi inscrise in registrul de evidenţa a prelucrarilor de date cu caracter personal si nu vor mai primi raspuns din partea autoritatii. Cu toate acestea, eliminarea obligaţiei de a notifica autoritatea de supraveghere nu exonereaza operatorii  de indeplinirea obligaţiilor care le revin potrivit dispoziţiilor Regulamentului UE 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE.”

Bineinteles ca aceasta nu exclude obligatiile operatorilor de a notifica Autoritate nationala in domeniu in cazurile prevazute de lege, cum ar fi obligatia de a transmite autoritatii informarea cu privire la responsabilul cu protectia datelor (declararea DPO), precum si de a notifica autoritatea de supraveghere in cazul aparitiei unei situatii de incalcare a securitatii datelor cu caracter personal.

De asemenea, aceasta eliminare a obligatiei de a notifica autoritatea cu privire la prelucrarea datelor este justificata prin prisma noii perspective in care GDPR a reglementat acest domeniu, impunand operatorilor sa isi tina la nivel intern evidenta activitatilor de prelucrare a datelor cu caracter personal (prin completarea Registrului de evidenta a activitatilor de prelucrare).



Potrivit prevederilor GDPR, orice persoana vizata are drept de acces la datele cu caracter personal colectate care o privesc, respectiv are dreptul de a obtine de la operator, la cerere si in mod gratuit, confirmarea faptului ca acesta prelucreaza sau nu date personale care o privesc, iar in caz afirmativ sa i se comunice anumite informatii in legatura cu prelucrarea datelor (precum: scopurile in care sunt prelucrate datele, ce categorii de date ii sunt prelucrate, cui au fost transmise datele sau catre cine se intentioneaza a se transmite datele, perioada pentru care se stocheaza datele sau criteriile utilizate pentru determinarea perioadei respective, existenta dreptului de a solicita rectificarea ori stergerea datelor, sursa datelor – daca nu provin direct de la persoana vizata etc), inclusiv copii ale datelor prelucrate.


Aceste tipuri de informatii sunt mentionate in „Formularul pentru exercitarea dreptului de acces la datele cu caracter personal” – pe care persoana vizata le va bifa in functie de ceea ce doreste in mod concret sa i se comunice.


De exemplu: persoana vizata (pacientul cabinetului) poate solicita Operatorului de date cu caracter personal (cabinet / medic), accesul la datele sale privind sanatatea, cum ar fi datele din registrele medicale continand informatii precum diagnostice, rezultate ale examinarilor, evaluari ale medicilor si orice tratament sau interventie efectuata.


Este dreptul pacientului sa stie daca ii sunt prelucrate date, ce date ii sunt prelucrate, in ce scopuri, pentru ce durata, inclusiv sa solicite o copie a datelor respective.


O astfel de solicitare se va exprima prin completarea de catre persoana vizata a documentului din platforma GDPR „Formularul pentru exercitarea dreptului de acces la datele cu caracter personal”. Acest drept poate fi exercitat oricand, iar in acest sens persoana vizata nu trebuie sa prezinte nicio justificare.


Conform GDPR, Operatorul este obligat sa raspunda cererilor de exercitare a dreptului de acces la datele cu caracter personal, fara intarzieri nejustificate si cel tarziu in termen de o luna de la primirea cererii.


In ceea ce priveste cererea persoanei vizate de a i se elibera copii ale datelor cu caracter personal, GDPR prevede ca operatorul elibereaza o copie, iar pentru orice alte copii poate fi perceputa o taxa rezonabila bazata pe costurile administrative suportate legate de eliberarea copiilor. Daca cererea este formulata in format electronic, raspunsul va trebui sa fie comunicat tot electronic, cu exceptia cazului in care persoana vizata solicita transmiterea pe o alta cale.


Este recomandat:

  • A se pastra o evidenta clara a raspunsurilor date la cererile formulate de catre persoanele vizate.
  • A se obtine si pastra o confirmare de la persoana vizata ca a primit informatiile / copiile.



In acest caz nu suntem intr-o situatie de portare a datelor, astfel ca nu trebuie completat formularul privind exercitarea dreptului persoanei vizate la portabilitatea datelor.

Adeverinta / certificatul medical se elibereaza pacientului, la cererea acestuia, pentru a-l folosi potrivit intereselor sale, iar medicul va furniza aceste date pacientului in virtutea prestarii serviciului medical si a obligatiei de a furniza persoanei vizate datele medicale care o privesc. Pentru emiterea adeverintei / certificatului, recomandam pastrarea in evidentele cabinetului a unei cereri simple formulate de pacient prin care acesta solicita eliberarea actului respectiv, cu mentionarea in cerere a scopului pentru care ii este necesar.

Pentru a buna intelegere a utilizarii formularului de portabilitate, subliniem ca acesta se va completa doar in situatia in care persoana vizata solicita ca datele sale personale pe care le-a transferat operatorului intr-un format structurat, sa ii fie transmise intr-un astfel de format, persoanei vizate sau direct altui operator.
Portarea datelor consta in deplasarea, copierea sau, dupa caz, transmiterea datelor, dintr-un sistem informatic in altul si se aplica doar daca:
• Datele sunt prelucrate in baza consimtamantului persoanei vizate sau pentru executarea unui contract incheiat cu persoana vizata si
• Prelucrarea este efectuata prin mijloace automate.

Conventia privind prelucrarea datelor cu caracter personal are prevazuta ca avand durata pana la cea mai tarzie dintre urmatoarele date:

  • (i) data incetarii sau expirarii Contractului principal;
  • (ii) data incetarii ultimelor Servicii efectuate in conformitate cu Contractul principal.

Prin urmare, in cazul prelungirii contractelor nu este necesara semnarea unei noi Conventii.

In masura in care reinnoirea contractelor presupune incheierea unui nou contract (avand alt numar, alta data), va trebui actualizata si Conventia privind prelucrarea datelor cu caracter personal prin referire la noul contract de servicii ca fiind Contractul principal.


Colegiul Medicilor din Romania nu intra in categoria “furnizorilor de servicii”,  relatia medici - Colegiul Medicilor nu este una de operator – persoana imputernicita de operator din perspectiva protectiei datelor cu caracter personal. Astfel, acest raport juridic nu implica semnarea intre medic si Colegiul Medicilor a unei Conventii specifice relatiei Operator – Persoana Imputernicita de Operator (generata in platforma GDPR).

Colegiul Medicilor din Romania este un organism profesional in acest domeniu de activitate, prelucreaza datele medicilor in virtutea obligatiilor legale (inclusiv in legatura cu emiterea certificatului de libera practica, avizele periodice pe care le emite etc) si maniera in care acesta isi stabileste relatia cu medicii din perspectiva prelucrarii si protectiei datelor cu caracter personal ale medicilor tine de deciziile si actele adoptate la nivelul Colegiului, documentele din platforma GDPR nefiind destinate acestui tip de relatie.

Conform Regulamentului Uniunii Europene 679/2016 Capitolul II, Articolul 9 aliniatul (h) NU este nevoie de semnarea unui consimtamant daca „prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii, de evaluarea capacitatii de munca a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenta medicala sau sociala sau a unui tratament medical sau de gestionarea sistemelor si serviciilor de sanatate sau de asistenta sociala, in temeiul dreptului Uniunii sau al dreptului intern sau in temeiul unui contract incheiat cu un cadru medical si in cazul in care datele respective sunt prelucrate de catre un profesionist supus obligatiei de pastrare a secretului profesional sau sub responsabilitatea acestuia.”


Ca si profesionisti supusi obligatiei de pastrare a secretului profesional, medicii, farmacistii si asistentii medicali nu sunt nevoiti sa semneze un astfel de consimtamant. Acordul explicit al pacientului este necesar doar in situatia in care datele sale sunt utilizate in alte scopuri decat cele medicale (ex: scopuri de marketing si promovare, studii clinice etc.)

Operator este persoana sau personalitatea juridica, autoritatea publica, agentia sau oricare alta entitate, care stabileste scopul si mijloacele prelucrarii datelor cu caracter personal.

Exemplu: medicii functioneaza ca operatori pentru datele privitoare la sanatate. Ei prelucreaza informatia la nivelul cabinetului, cu sau fara ajutorul software-ului si comunica, la nevoie, informatiile ce tin de datele personale si medicale ale pacientului catre terti, cum ar fi: spitale, ati medici, agentia pentru protectie sociala, etc . Acestia din urma sunt, la randul lor, operatori de date cu caracter personal, de sine statatori.

Datele cu caracter personal speciale sunt acele date care privesc:

  • originea rasiala sau etnica
  • opiniile politice
  • confesiunea religioasa sau convingerile filozofice
  • apartenenta la sindicate
  • date genetice, de date biometrice pentru identificarea unica a unei persoane fizice
  • date privind sanatatea
  • date privind viata sexuala sau orientarea sexuala ale unei persoane fizice.

Datele cu caracter personal reprezinta orice informatii care se refera la o persoana fizica identificata sau identificabila (PERSOANA VIZATA), respectiv date:

  • ale persoanei: nume, prenume, CNP, amprenta, ADN, voce, imagine
  • despre persoana: varsta, sex, etnie, rasa, orientare sexuala, politica, religioasa, starea de sanatate
  • in legatura cu persoana: adresa de domiciliu, resedinta, adresa de e-mail, numarul de telefon, ocupatia, venitul
  • orice alt tip de date care se pot corela pentru a duce la identificarea unei persoane

Exemplu:
NU ESTE data cu caracter personal: Ionescu Ion din Romania.
ESTE data cu caracter personal: Ionescu Ion care lucreaza in departamentul HR de la societatea ABC SRL.