Protectia datelor cu caracter personal

  1. Pagina principala
  2. Alte informatii
  3. Protectia datelor cu caracter personal

1. INTRODUCERE 

Această Politică privind prelucrarea şi protecţia datelor cu caracter personal (denumită în continuare “Politica”) defineşte procedura de prelucrare şi protecţie a datelor cu caracter personal în SPITALUL DE PNEUMOFTIZIOLOGIE BRAILA, judetul Braila, denumită în continuare “Operator” sau “Organizatie”).

2. SCOPUL POLITICII DE PROTECȚIE A DATELOR 

Scopurile principale ale acestei Politici sunt:                                             

  • Garantarea si protejarea drepturilor fundamentale ale persoanelor fizice, in special a dreptului acestora la protectia datelor cu caracter personal. Obiectivul principal al acestei politici este de a contribui la desfasurarea activitatii organizatiei cu respectarea prevederilor legale specifice de a minimiza riscurile prin prevenirea incidentelor si in cazul improbabil al unor astfel de incidente, reducerea impactului asupra persoanelor vizate.
  • Stabilirea unei proceduri, precum şi a termenilor şi condiţiilor privind prelucrarea datelor cu caracter personal, inclusiv procedurile care vizează prevenirea încălcării legilor şi procedurilor de realizare a controlului intern în conformitate cu legislaţia aplicabilă privind datele cu caracter personal; 
  • Prezentarea personalului operatorului responsabil cu prelucrarea datelor cu caracter personal a Politicii legii aplicabile cu privire la datele cu caracter personal şi a cerinţelor Regulamentului privind prelucrarea datelor cu caracter personal; 
  • Stabilirea responsabilităţilor pentru personalul care prelucrează datele cu caracter personal în cazul nerespectării legii aplicabile privind datele cu caracter personal. 
  • Respectarea dreptului persoanelor vizate de a fi informaţi asupra modalităţii în care organizatia prelucrează datele lor cu caracter personal. 

Astfel, scopul acestei Politici este să explice care sunt datele cu caracter personal pe care le prelucrăm, de ce le prelucrăm, precum și ce facem cu acestea. Având in vedere faptul că informațiile personale aparțin fiecărui utilizator, facem tot posibilul să le stocăm în siguranță și să le prelucrăm cu atenție. Nu oferim informații unor părți terțe fără a ne îndeplini obligația prealabilă de informare. 

3. DOMENIUL DE APLICARE SI MODIFICAREA POLITICII DE PROTECTIE A DATELOR 

Această politică de protecție a datelor se aplică operatorului și angajaților acestuia. Politica privind protecția datelor se extinde la toate prelucrările de date cu caracter personal. Această politică de protecție a datelor poate fi modificată doar sub coordonarea directa a DPO (Data Protection Officer), orice modificare fiind validata de catre operator. 

4. DEFINIŢII DE BAZĂ 

În sensul prezentei Politici, se folosesc următoarele definiţii: 

Responsabil cu Protecţia Datelor (DPO) înseamnă o persoană care este responsabilă cu monitorizarea aplicării RGPD şi a altor legi aplicabile privind protecţia persoanelor vizate de prelucrarea datelor cu caracter personal şi care exercită funcţiile care îi sunt atribuite de prezenta Politică şi de altă legislaţie aplicabilă, furnizează consultanţă managementului operatorului. 

Date cu caracter personal înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă ("persoana vizată"); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale acelei persoane; 

Prelucrare înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea 

Restricţionarea prelucrării înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora; 

Creare de Profiluri înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia; 

Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal. 

Persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului; 

Destinatar înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă;

Parte terţă înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal; 

Consimţământ al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate; 

Încălcarea securităţii datelor cu caracter personal înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea; 

Date privind sănătatea înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia; 

5. PRINCIPII DE PRELUCRARE A DATELOR CU CARACTER PERSONAL 

a. Corectitudinea și legalitatea Operatorul protejeaza drepturile individuale ale persoanelor fizice (“Persoana vizata”) cu ocazia prelucrarii datelor cu caracter personal, datele cu caracter personal fiind colectate și prelucrate în mod legal și corect. “Legalitatea” – presupune identificarea bazei legale înainte de prelucrarea datelor cu caracter personal. Acestea sunt denumite adesea „condițiile de prelucrare”, de exemplu, consimțământul. “Corectitudinea” – pentru ca prelucrarea datelor să fie corectă, operatorul de date trebuie să facă anumite informații disponibile pentru Persoanele vizate. Aceasta se aplică indiferent dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse. 

b. Restricții la un anumit scop („limitări legate de scop”) Datele cu caracter personal sunt prelucrate numai în scopul definit înainte de inceperea colectarii Datelor. Modificările ulterioare ale scopului sunt posibile doar cu titlu exceptional, într-o măsură limitată și necesită o fundamentare. 

c. Transparenta Persoana vizată este informată cu privire la modul în care sunt prelucrate datele sale. În general, datele cu caracter personal sunt colectate direct de la persoana în cauză. Atunci când datele sunt colectate, Persoana vizată trebuie să fie conștientă sau să fie informată despre: 

Ø Identitatea Operatorului de Date, 

Ø Scopul prelucrării datelor, 

Ø Terțe părți sau categorii de terțe părți cărora le-ar putea fi transmise datele. 

d. Reducerea prelucrarii datelor și economia colectarii datelor („reducerea la minimum a datelor”); Înainte de prelucrarea datelor cu caracter personal, trebuie determinat dacă și în ce măsură prelucrarea datelor cu caracter personal este necesară pentru atingerea scopului pentru care este efectuată. Atunci când scopul permite acest lucru și unde cheltuielile implicate sunt proporționale cu scopul urmărit, sunt utilizate date anonime sau statistice. Datele cu caracter personal nu sunt colectate în avans și stocate în scopuri potențiale viitoare, cu excepția cazului în care acest lucru este impus sau permis de legislația in vigoare. 

e. Ștergerea Datele personale care nu mai sunt necesare după expirarea perioadelor legate de procesele legale sau de afaceri sunt șterse. În cazul în care sunt identificate indicii cu privire la existenta unor interese care necesită protejarea sau legate de importanța istorică a acestor date în cazuri individuale, este posibil ca operatorul sa păstreze datele până când interesele care merită protejate au fost clarificate în mod legal, sau arhiva corporativă a evaluat datele pentru a determina dacă trebuie păstrate în scopuri istorice/ arhivistice. Atunci cand stergerea datelor poate avea impact asupra sistemelor informatice ale operatorului, datele vor fi anonimizate ireversibil, astfel incat sa nu mai existe indicii care sa poata conduce la identificarea persoanei vizate. 

f. Precizia faptică; actualizarea datelor („exactitate”) Datele cu caracter personal trebuie să fie corecte, complete și, dacă este necesar, să fie actualizate. Operatorul ia măsuri adecvate pentru a se asigura că datele eronate sau incomplete sunt șterse, corectate, completate sau actualizate. 

g. Confidențialitatea și securitatea datelor („integritate și confidențialitate”). Datele cu caracter personal sunt supuse obligatiilor legale de pastrare a secretului datelor. Acestea trebuie să fie tratate ca fiind confidențiale de fiecare angajat al Operatorului și sunt asigurate măsuri organizatorice și tehnice adecvate pentru a preveni accesul neautorizat, prelucrarea sau distribuția ilegală, precum și pierderea accidentală, modificarea sau distrugerea. 

h. Principiul răspunderii conform GDPR care include prevederi care promovează răspunderea și guvernanța. Acestea completează cerințele de transparență ale GDPR. Principiul răspunderii din Articolul 5 (2) din GDPR vă solicită să demonstrați că respectați principiile și specifică explicit că aceasta este responsabilitatea operatorului care va dovedi conformitatea cu principiile de protecția datelor prin implementarea politicilor de protecția datelor, respectarea codurilor de conduită, implementarea unor măsuri tehnice și organizaționale, precum și adoptarea unor tehnici precum protecția datelor prin design, DPIA, procedura de notificare a încălcării și planuri de răspuns la incidente. 

6. TEMEIURILE PRELUCRARII DATELOR 

Colectarea, prelucrarea și utilizarea datelor cu caracter personal este permisă numai în temeiurile enumerate mai jos: 

a. Date despre persoane vizate, furnizori si parteneri 

a.1. Prelucrarea datelor pentru executarea unui contract Datele personale ale persoanelor de contact si reprezentantilor persoanelor vizate, furnizorilor și partenerilor pot fi procesate pentru a stabili, executa și inceta un contract. Înainte de semnarea contractului - în timpul fazei de inițiere a contractului - datele personale pot fi prelucrate pentru a pregăti ofertele sau comenzile de cumpărare sau pentru a îndeplini alte cerințe din perspectiva care se referă la încheierea contractului. Persoanele de contact pot fi contactate în timpul procesului de pregătire a contractului, utilizând doar informațiile pe care acestea le-au furnizat pentru contactare. Orice restricții solicitate de persoanele de contact respective trebuie să fie respectate. 

a.2 Consimțământul ca temei al prelucrarii datelor Atunci cand este necesar consimtamantul persoanelor vizate, Datele pot fi prelucrate după primirea acordului persoanei vizate. Consimtamantul trebuie obținut în scris sau în format electronic în scopul documentării. În anumite circumstanțe, cum ar fi conversațiile telefonice, consimțământul poate fi dat verbal. Este obligatorie documentarea acordarii consimțământului. 

a.3. Prelucrarea datelor în conformitate cu obligatia legală Prelucrarea datelor cu caracter personal este permisă și în cazul în care legislația aplicabila solicită, impune sau permite acest lucru. Tipul și amploarea procesării datelor trebuie să fie necesare pentru activitatea legală de prelucrare a datelor și trebuie să respecte dispozițiile legale relevante. 

a.4. Prelucrarea datelor în conformitate cu interesele legitime Datele cu caracter personal pot fi procesate și în cazul în care acest lucru este necesar pentru un interes legitim al operatorului. Interesele legitime sunt în general de natură juridică (de exemplu, colectarea creanțelor restante) sau comerciale (de exemplu, evitarea încălcărilor contractului). Datele cu caracter personal nu pot fi prelucrate în scopul unui interes legitim dacă, în cazuri individuale, există dovezi conform cărora interesele persoanei vizate merită protecție și că aceasta are prioritate. Înainte de prelucrarea datelor, este necesar să se determine dacă există interese care merită protejate. 

a.5. Prelucrarea datelor sensibile Operatorul nu prelucrează nicio informaţie referitoare la rasă, naţiune, opinii politice, credinţe religioase sau filosofice, intimitate, viaţă privată. Datele cu caracter personale sensibile pot fi prelucrate numai dacă legea impune acest lucru sau dacă persoana vizată și-a dat consimțământul în mod expres. Aceste date pot fi, de asemenea, prelucrate dacă o asemenea prelucrare este obligatorie pentru recunoașterea, exercitarea sau apărarea drepturilor legale referitoare la persoana vizată. Dacă în cadrul operatorului există planuri de prelucrare a datelor extrem de sensibile, DPO trebuie informat în prealabil in scris. 

b. Datele angajatului/viitorilor angajati 

b.1. Prelucrarea datelor pentru relația de muncă În relațiile de muncă, datele cu caracter personal pot fi prelucrate, dacă este necesar, pentru inițierea, executarea și încetarea contractului de muncă. La inițierea unui raport de muncă, datele personale ale solicitanților vor fi procesate. În cazul în care candidatul este respins, datele sale trebuie șterse în conformitate cu perioada de păstrare necesară, cu excepția cazului în care solicitantul a fost de acord să rămână la dosar pentru un viitor proces de selecție pentru o perioadă de 3 luni de la data aplicării. În raportul de muncă existent, prelucrarea datelor trebuie să se refere întotdeauna la scopul contractului de muncă dacă nu se aplică niciuna dintre următoarele circumstanțe pentru prelucrarea datelor autorizate. Dacă în timpul procedurii de solicitare ar trebui să fie necesară colectarea de informații despre un solicitant de la o terță parte, trebuie respectate cerințele legilor naționale corespunzătoare. În caz de îndoială, trebuie obținut un acord de la persoana vizată. Trebuie să existe o autorizație legală pentru prelucrarea datelor cu caracter personal care au legătură cu relația de muncă, dar care nu a făcut parte inițial din executarea contractului de muncă. Acestea pot include cerințe legale, reglementări colective cu reprezentanții angajaților, consimțământul angajatului sau interesul legitim al companiei. 

b.2. Prelucrarea datelor în conformitate cu obligatia legală Prelucrarea datelor personale ale angajaților este permisă și în cazul în care legislația națională solicita si impune acest lucru. Tipul și amploarea procesării datelor trebuie să fie necesare pentru activitatea legală de prelucrare a datelor și trebuie să respecte dispozițiile legale relevante. Dacă există o anumită flexibilitate juridică, trebuie luate în considerare interesele angajatului care merită protejate. 

b.3. Consimțământul la prelucrarea datelor Acolo unde este necesar, Datele angajatului pot fi prelucrate după consimțământul persoanei în cauză. Declarațiile de consimțământ trebuie prezentate în mod voluntar. Acordul involuntar este nul. Declarația de consințământ trebuie obținută în scris sau în format electronic și va fi păstrată de operator. În anumite circumstanțe, consimțământul poate fi dat verbal, caz în care trebuie să fie documentat ulterior corespunzător. În cazul furnizării informate și voluntare de date de către partea relevantă, se poate presupune existența unui acord, dacă legislația națională nu solicită consimțământul expres. Prin „consimțământ” se intelege ca persoana vizata si-a dat acordul pentru prelucrarea datelor cu caracter personal cu privire la propria persoana. Persoana vizată își poate retrage consimțământul în orice moment prin trimiterea unui cereri care nu trebuie sa fie motivate la adresa fizica sau electronica a operatorului; 

b.4. Prelucrarea datelor în baza unui interes legitim Datele personale pot fi procesate și în cazul în care este necesar să se impună un interes legitim al operatorului. Interesele legitime sunt în general de natură juridică (de exemplu, depunerea, aplicarea sau apărarea împotriva unor actiuni legale) sau financiare (de exemplu, evaluarea unei achizitii). Datele cu caracter personal nu pot fi prelucrate pe baza unui interes legitim dacă, în cazuri individuale, există dovezi că interesele angajatului merită protecție. Înainte de procesarea datelor, trebuie să se determine dacă există interese care merită protejate. Măsurile de control care necesită prelucrarea datelor angajatului pot fi luate numai dacă există o obligație legală in acest sens sau dacă există un motiv legitim. Chiar dacă există un motiv legitim, trebuie examinată și proporționalitatea măsurii de control. Interesele justificate ale operatorului (de exemplu, respectarea dispozițiilor legale și a reglementarilor interne ale organizatiei) trebuie să fie cântărite in raport cu interesele angajatului care trebuie protejate si care pot fi afectate de măsura de control ce urmeaza a fi adoptata. Interesul legitim al organizatiei și orice interese ale angajatului care merită protejat trebuie să fie identificate și documentate înainte de luarea oricăror măsuri. În plus, trebuie luate în considerare orice cerințe suplimentare din legislația națională (de exemplu, drepturile de co-decizie pentru reprezentanții angajaților și drepturile de informare ale persoanelor vizate). 

b.5. Prelucrarea datelor personale sensibile Datele personale sensibile pot fi procesate numai în anumite condiții. Datele personale sensibile sunt date despre originea rasială și etnică, convingerile politice, convingerile religioase sau filozofice, calitatea de membru al unei uniuni/formatiuni și sănătatea și viața sexuală a persoanei vizate. În conformitate cu legislația națională, alte categorii de date pot fi considerate sensibile sau conținutul categoriilor de date poate fi completat diferit. Mai mult, datele care se referă la o infracțiune pot fi procesate numai în conformitate cu cerințele speciale din legislația națională. Prelucrarea trebuie permisă în mod expres sau prescrisă de legislația națională. În plus, prelucrarea poate fi permisă dacă este necesar ca autoritatea responsabilă să își îndeplinească drepturile și obligațiile în domeniul dreptului muncii. Angajatul poate, de asemenea, să consimtă în mod expres prelucrarea. Dacă există planuri de prelucrare a datelor personale sensibile, DPO trebuie informat în prealabil in scris. 

b.6. Telecomunicații și internet Echipamentele telefonice, adresele de e-mail, intranetul și internetul împreună cu rețelele sociale interne sunt furnizate de organizatie în primul rând pentru misiuni legate de muncă. Ele sunt un instrument și o resursă a organizatiei. Acestea pot fi utilizate în cadrul reglementărilor legale aplicabile și al politicilor interne ale organizatiei. În cazul utilizării autorizate în scopuri personale, legile privind secretul telecomunicațiilor și legile naționale privind telecomunicațiile trebuie să fie respectate, dacă este cazul. Pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor, operatorul poate implementa măsuri de protecție automate, inclusiv analiza traficului, în vederea detectării vectorilor sau modelelor de atac și prevenirii acestora, ca și în cazul răspunsului la incidentele de securitate informatică. Pentru asigurarea unui grad ridicat al securității informatice și în vederea soluționării incidentelor de securitate informatică, utilizarea echipamentelor telefonice, a adreselor de e-mail, a rețelelor intranet / internet și a rețelelor sociale interne poate fi înregistrată pentru o perioadă temporară. Evaluările acestor date si identificarea/profilarea unei anumite persoane poate fi făcuta doar într-un caz concret și justificat de încălcări suspectate a legilor in vigoare sau politicilor operatorului. Evaluările pot fi efectuate numai de către departamentele de investigare ale DPO, asigurându-se, în același timp, respectarea principiului proporționalității. Operatorul nu va prelucra date cu caracter personal în absența unuia dintre motivele de mai sus. Aceeași regulă se aplică, de asemenea, în cazul în care scopul colectării, prelucrării și utilizării datelor cu caracter personal trebuie să fie modificat față de scopul inițial. 

7. SCOPURILE PRELUCRARII DATELOR CU CARACTER PERSONAL

Operatorul prelucreaza date cu character personal in urmatoarele situatii:

  • Atunci cand persoana vizata transmite orice formular, document sau informatie cu privire la interactiunile si/sau tranzactiile sale cu organizatia;
  • Atunci cand persoana vizata incheie un contract, inclusiv de munca cu organizatia;
  • Atunci cand o persoana vizata interactioneaza cu personalul organizatiei, de exemplu prin telefon, fax, adresa, e-mail, sau intalniri in persoana;
  • Atunci cand o persoana vizata solicita sa fie contactata de catre organizatie, sa fie inclusa intr-un email, sau alte lista cu date de corespondenta, ori atunci cand persoana vizata raspunde la solicitarea organizatiei pentru furnizarea de date cu character personal suplimentare;
  • Atunci cand persoana vizata interactioneaza cu organizatia prin intermediul platformelor on-line;
  • Atunci cand organizatia actioneaza in vederea prevenirii sau investigarii unei suspiciuni de frauda, activitati ilegale, omisiuni sau a unui comportament referitor la relatia unei persoane vizate cu organizatia;
  • Atunci cand organizatia respecta ori actioneaza conform unei solicitari a oricarei autoritati sau alte institutii publice competente sau cand raspunde solicitarilor de informatii din partea acestora;
  • Atunci cand organizatia efectueaza raportarea fiscala, financiara, de reglementare, de management, de gestionare a riscurilor (inclusiv monitorizarea expunerii la risc) si de audit;
  • Atunci cand organizatia cauta informatii despre o persoana vizata sau primeste datele cu caracter personal ale persoanei vizate de la un tert si utilizeaza aceste date in legatura cu relatia persoanei vizate cu organizatia;
  • Atunci cand o persoana vizata trimite datele sale cu character personal ori datele cu caracter personal ale unei terte persoane (de exemplu, informatii despre membrii familiei si/sau angajati) catre organizatie, indifferent de motiv;

Toate activitatile mai sus mentionate sunt etichetate drept scopurile prelucrarii si sunt listate in evidentele de prelucrare ale organizatiei.

8. PRELUCRAREA DATELOR PRIVIND CONTRACTELE 

Prelucrarea datelor în numele său înseamnă că un furnizor este angajat să proceseze date cu caracter personal, date pe care le obtine de la operator. Furnizorul poate procesa date personale numai conform instrucțiunilor operatorului. 

Operatorul trebuie să se asigure că sunt îndeplinite următoarele cerințe: 

a) Furnizorul trebuie ales pe baza capacității sale de a acoperi măsurile tehnice și organizatorice de protecție necesare. 

b) Instrucțiunile privind prelucrarea datelor și responsabilitățile furnizorului trebuie să fie documentate. 

c) Trebuie luate în considerare standardele contractuale privind protecția datelor furnizate de DPO. 

d) Înainte de începerea prelucrării datelor, operatorul trebuie să aibă încredere că furnizorul își va respecta obligațiile. Un furnizor poate documenta conformitatea cu cerințele de securitate a datelor, în special prin prezentarea unei certificări adecvate. În funcție de riscul de prelucrare a datelor, revizuirile trebuie repetate în mod regulat pe durata contractului. 

9. DREPTURILE PERSOANEI VIZATE 

Persoana vizată ale cărui date cu caracter personal sunt prelucrate de operator au următoarele drepturi:

  • Dreptul de a fi informat – să obţină de la operator următoarele informaţii: identitatea şi datele de contact ale operatorului, ale reprezentanţilor, şi ale DPO; . scopurile şi temeiul juridic al prelucrării datelor cu caracter personal, interesele legitime ale operatorului; categoriile de date cu caracter personal; destinatarii datelor cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale (dacă există) şi referirea la garanţiile şi mijloacele corespunzătoare; perioada de stocare a datelor cu caracter personal şi criteriile folosite pentru a determina acea perioadă, sub rezerva că operatorul păstrează şi prelucrează datele cu caracter personal atâta timp cât legile şi reglementările legale impun acest lucru. Prelucrarea datelor cu caracter personal încetează imediat daca nu mai există niciun motiv pentru o astfel de prelucrare; din ce sursă provin datele cu caracter personal (în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată); dacă furnizarea de date cu caracter personal este o cerinţă legală sau contractuală, sau o cerinţă necesară pentru a încheia un contract, precum şi dacă persoana vizată este obligată să furnizeze date cu caracter personal şi a posibilelor consecinţe ale neîndeplinirii de furnizare a acestor date. 
  • Dreptul de acces la datele cu caracter personal - să obţină de la operator confirmarea dacă datele cu caracter personal sunt prelucrate sau şi dreptul de a primi o copie a oricărei înregistrări care conţine datele sale cu caracter personal;
  • Dreptul la rectificare - să obţină de la operator fără întârzieri nejustificate rectificarea unor date cu caracter personal inexacte cu privire la el/ea, completarea datelor cu caracter personal incomplete, inclusiv prin furnizarea unei declaraţii suplimentare; 
  • Dreptul la ştergerea datelor (“dreptul de a fi uitat”) - să obţină de la operator ştergerea datelor cu caracter personal fără întârzieri nejustificate (dacă datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate; persoana vizată îşi retrage consimţământul; datele cu caracter personal au fost prelucrare ilegal etc.); 
  • Dreptul la restricţionarea prelucrării dacă datele cu caracter personal sunt inexacte; prelucrarea este ilegală şi persoana vizată solicită restricţionarea utilizării datelor cu caracter personal în locul ştergerii lor; datele cu caracter personal nu mai sunt necesare în scopul prelucrării, dar ele sunt solicitate pentru constatarea, exercitarea sau apărarea unui drept în instanţă; persoana vizată s-a opus prelucrării pentru intervalul de timp când se verifică dacă drepturile legitime ale operatorului prevalează asupra celor ale persoanei vizate; 
  • Dreptul la portabilitatea datelor – să primească datele cu caracter personal într-un format structurat, utilizat în mod curent şi care poate fi citit automat şi are dreptul de a transmite aceste date cu caracter personal unui alt operator fără obstacole din partea operatorului (dacă prelucrarea se bazează pe consimţământ sau pe un contract, iar prelucrarea este efectuată prin mijloace automate); 
  • Dreptul la opoziţie în orice moment al prelucrării datelor cu caracter personal (inclusiv crearea de profiluri pe baza respectivelor dispoziţii şi au fost date cu caracter personal prelucrate în scopuri de marketing direct); 
  • Dreptul la retragerea consimţământului în orice moment, fără a afecta legalitatea prelucrării bazate pe consimţământ, înainte de retragerea sa. Astfel persoana vizată înţelege şi este de acord că, în cazul retragerii, nu se poate ajunge la scopul prelucrării datelor cu caracter personal; 
  • Dreptul de a depune o plângere la o autoritate de supraveghere, Biroul Comisarului pentru protecţia Datelor cu Caracter Personal, în cazul în care persoana vizată decide că drepturile sale sunt încălcate; 
  • Dreptul la o cale de atac eficientă împotriva unei autorităţi de supraveghere, operatorului sau unui alt procesator; 
  • Dreptul la despăgubiri de la operator sau de la un alt procesator pentru prejudiciul suferit. 

10. CONFIDENȚIALITATEA PROCESĂRII 

Datele personale sunt considerate informatii confidentiale si vor fi tratate ca atare. Orice colectare, prelucrare sau utilizare neautorizată a acestor date de către angajați este interzisă. Prelucrarea datelor cu caracter personal este confidenţială. Ea va fi efectuată numai de persoanele care acţionează sub autoritatea operatorului şi numai pe baza instrucţiunilor acesteia. Orice procesare de date efectuată de un angajat, care nu a fost autorizată să fie desfasurata ca parte a îndatoririlor sale legitime, este considerate ca fiind neautorizată. Se aplică principiul “necesitatea de a cunoaște”. Angajații pot avea acces la informații personale in functie de adecvarea acestui acces la tipurile de date si de scopul determinat. Acest lucru se bazeaza pe defalcarea și separarea atentă a atributiilor angajatilor operatorului și presupune punerea în aplicare a rolurilor și responsabilităților pentru fiecare angajat. Angajaților li se interzice să utilizeze date cu caracter personal în scopuri private sau comerciale, să le dezvăluie persoanelor neautorizate sau să le pună la dispoziție în orice alt mod. Superiorii ierarhici își informează angajații la începutul relației de muncă cu privire la obligația de a proteja secretul datelor. In cazul utilizarii neautorizate a datelor personale, angajatii pot fi sanctionati in conformitate cu legislatia aplicabila si cu reglementarile in vigoare in cadrul operatorului. Obligația mentinerii confidentialitatii datelor personale rămâne în vigoare și după încheierea perioadei de angajare, sanctiunile aplicabile in caz de incalcare a obligtiei de confidentialitate fiind cele prevazute de cadrul legislativ in vigoare. 

11. SECURITATEA PRELUCRĂRII 

Datele personale sunt protejate împotriva accesului neautorizat și împotriva prelucrării sau divulgării ilegale, precum și pierderii accidentale, modificării sau distrugerii. Acest lucru se aplică indiferent dacă datele sunt prelucrate electronic, pe suport de hârtie sau prin alte mijloace. Înainte de introducerea noilor metode de prelucrare a datelor, în special a noilor sisteme informatice, sunt definite și implementate măsuri tehnice și organizatorice de protecție a datelor cu caracter personal. Aceste măsuri trebuie să se bazeze pe stadiul tehnicii, pe riscurile procesării și pe necesitatea de a proteja datele (determinate de procesul de clasificare a informațiilor). În special, structura organizatorică responsabilă se poate consulta cu Ofiterul de Securitate a Informatiei și cu DPO. Măsurile tehnice și organizatorice pentru protecția datelor personale fac parte din managementul securității informațiilor și sunt adaptate în mod continuu la evoluțiile tehnice și schimbările organizaționale. Accesul la datele cu caracter personal este oferit numai acelor angajaţi ai operatorului care au nevoie de astfel de date cu caracter personal pentru a-şi îndeplini sarcinile legate de oricare dintre scopurile prelucrării menţionate mai sus (inclusiv departamentul resurse umane, departamentul Juridic, departamentul Financiar, IT, Administrativ). Orice acces la datele cu caracter personal pentru alţi angajaţi care nu au drepturi de accesare în conformitate cu prezenta Politică este interzis. Angajaţii operatorului care au acces la datele cu caracter personal au dreptul să prelucreze numai acele date de care au nevoie pentru a-şi îndeplini responsabilităţile specifice de muncă legate de oricare dintre scopurile de prelucrare menţionate mai sus. Documentele care conţin date cu caracter personal sunt stocate în departamentele structurale ale operatorului ai căror angajaţi au acces la datele cu caracter personal legat de îndeplinirea atribuţiilor lor oficiale şi sunt responsabili de interacţiunea datele relevante ale persoanei vizate. O persoană care prelucrează date cu caracter personal în numele operatorului respectă principiile şi regulile de prelucrare a datelor cu caracter personal stabilite prin prezenta Politica. Dacă operatorul autorizează o altă persoană cu prelucrarea datelor cu caracter personal, operatorul este responsabilă faţă de persoana vizată de prelucrarea datelor cu caracter personal pentru faptele sau omisiunile acelei persoane. O persoană care prelucrează date cu caracter personal în numele operatorului este responsabilă faţă de acesta. 

Toate datele cu caracter personal trebuie să fie tratate cu cea mai înaltă securitate și trebuie păstrate: 

  • într-o cameră închisă cu cheia cu acces controlat; și/sau 
  • într-un sertar sau dulap închis cu cheia; și/sau 
  • dacă sunt computerizate, parola protejată conform cerințelor din politica de control al accesului; și/sau 
  • stocate în medii de calculator (detașabile) care sunt criptate în conformitate standardele in domeniu; 

12. CONTROLUL PROTECTIEI DATELOR 

Respectarea politicii de protecție a datelor și a legilor aplicabile privind protecția datelor este verificată în mod regulat prin intermediul auditurilor de protecție a datelor precum și al altor controale. Realizarea acestor controale este responsabilitatea DPO. Rezultatele controalelor privind protecția datelor sunt raportate managementului organizatiei. 

La cerere, rezultatele controalelor privind protecția datelor vor fi puse la dispoziția autorității responsabile de protecția datelor. 

Autoritatea responsabilă cu protecția datelor poate efectua propriile controale de conformitate cu reglementările din această politică, conform legislației naționale. 

13. REȚINEREA ȘI ELIMINAREA DATELOR 

Operatorul nu va păstra datele personale într-o formă care permite identificarea persoanelor vizate pentru o perioadă mai lungă decât este necesar, în legătură cu scopurile pentru care datele au fost colectate inițial. Operatorul poate stoca datele perioade mai lungi conform termenelor imperative de prescriptive aplicabile si cu implementarea unor măsuri tehnice și organizaționale adecvate pentru a proteja drepturile și libertățile Persoanelor vizate. Datele personale trebuie să fie eliminate în siguranță în conformitate cu al șaselea principiu al GDPR – prelucrate într-un mod adecvat pentru a menține securitatea, cu protejarea „drepturilor și libertăților” persoanelor vizate. Orice eliminare a datelor va fi efectuată în conformitate cu procedura de eliminare sigură. 

14. INCIDENTE DE PROTECȚIE A DATELOR 

Toți angajații sunt obligati să informeze imediat superiorul sau DPO cu privire la cazurile de încălcare a acestei politici de protecție a datelor sau alte reglementări privind protecția datelor cu caracter personal (incidente de protecție a datelor), indiferent dacă este vorba despre o încalcare a confidentialității, a integrității datelor sau a disponibilității acestora. 

Conducatorul structurii organizatorice este obligat să informeze imediat DPO cu privire la incidentele de protecție a datelor. 

În cazurile de: 

  • Transmitere necorespunzătoare a datelor cu caracter personal către terțe părți, 
  • Acces neadecvat la datele cu caracter personal sau 
  • Pierdere, distrugere sau alterare a datelor cu caracter personal, 

conducătorul structurii organizaționale în cauza întocmește, de urgenta, rapoartele de sesizare, conform regulilor de stabilite pentru Gestionarea Incidentelor de Securitate a Informațiilor, astfel încât să poată fi luate măsurile urgente pentru limitarea afectării titularilor de date cu caracter personal și pentru respectarea obligațiilor de raportare și notificare a incidentelor către autoritatea de supraveghere. 

15. RESPONSABILITĂȚI ȘI SANCȚIUNI 

Conducerea operatorului precum și angajații și prepușii acestora sunt responsabili de prelucrarea datelor în zona lor de responsabilitate. Prin urmare, acestia sunt obligati să se asigure că sunt îndeplinite cerințele legale pentru protecția datelor și cele conținute în politica de protecție a datelor (de exemplu, obligațiile naționale de raportare). Organele de conducere au responsabilitatea de a se asigura că există măsuri organizaționale, resurse umane și tehnice pentru ca orice prelucrare a datelor să fie efectuată în conformitate cu protecția datelor. Respectarea acestor cerințe reprezinta responsabilitatea conducatorilor de structure organizatorice. DPO este informat de îndată despre controalele efectuate de autoritățile de supraveghere cu privire la protecția a datelor. 

DPO poate efectua verificări și familiarizează angajații operatorului cu conținutul politicilor de protecție a datelor. Pentru planurile de prelucrare a datelor care pot prezenta riscuri speciale pentru drepturile individuale ale persoanelor vizate, DPO este informat înainte de începerea procesării. Acest lucru se aplică în mod obligatoriu datelor cu caracter personal sensibile. Managerul organizatiei se asigură că angajații sunt suficient de instruiți în protecția datelor. Prelucrarea necorespunzătoare a datelor cu caracter personal sau alte încălcări ale legilor privind protecția datelor pot conduce la cereri de despăgubire pentru prejudicii. Încălcările pentru care angajații individuali sunt responsabili pot conduce la sancțiuni prevazute in dreptul muncii. 

16. OFIȚERUL DE PROTECȚIA DATELOR (DPO) 

Ofiterul de Protectia Datelor (DPO) fiind independent din punct de vedere al ordinelor profesionale, isi desfasoara activitatea pentru respectarea legislatiei in vigoare privind protecția datelor. El este responsabil pentru politica de protecție a datelor și supraveghează respectarea acesteia. Ofițerul de Protectia Datelor are linie de raportare directă către managerul organizatiei. 

Orice persoană vizată poate aborda DPO, în orice moment, să ridice preocupări, să pună întrebări, să solicite informații sau să depună plângeri legate de protecția datelor sau de problemele de securitate a datelor. Dacă se solicită, preocupările și plângerile vor fi tratate în mod confidential.

Deciziile luate de Ofiterul de Protectia Datelor (DPO) pentru remedierea încălcărilor privind protecția datelor trebuie să fie susținute de conducerea organizatiei. Anchetele autorităților de supraveghere sunt întotdeauna raportate DPO. 

Datele de contact ale DPO sunt următoarele: 

SEDRYA INFORSEC SRL, Potlogi, str. Ghinesti nr.32, Jud. Dambovita, cod fiscal RO 36657002, telefon 0722974446, adresa de mail office@inforsec.ro 

 

17. RELATIA CU ANSPDCP

Persoanele vizate, din orice categorie ar face ele, pot sesiza sau face reclamatii referitoare la situatii de incalcare a cerintelor Regulamentului nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) adresate Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal care are sediul in Bucuresti, str. General Gheorghe Magheru nr. 28-30, sector 1 si poate fi contactata la telefon 0318059211 sau adresa de mail anspdcp@dataprotection.ro .


Regulamentul UE 2016/679 privind “protecția persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date (“Regulamentul”), aplicabil incepand cu data de 25 mai 2018, contine o serie de reguli care vizeaza asigurarea prelucrarii datelor cu caracter personal in conformitate cu drepturile si libertatile fundamentale ale persoanelor fizice cu scopul de a creste nivelul de protectie a datelor personale. 

Prezenta informare cuprinde detalii referitoare la aceste cerinte ale regulamentului si modalitatea in care SPITALUL DE PNEUMOFTIZIOLOGIE BRAILA prelucreaza datele cu caracter personal. 

 

SECȚIUNEA 1 – IDENTITATEA SI DATELE DE CONTACT ALE OPERATORULUI DE DATE

 

SPITALUL DE PNEUMOFTIZIOLOGIE BRAILA cu sediul social in Municipiul Braila, Strada Radu S. Campiniu, nr. 25, jud. Braila, in calitatea sa de Operator de date prelucreaza datele cu caracter personal (“date personale”) obtinute direct sau indirect de la dumneavoastra, inclusiv datele personale ale tertilor pe care le-ati furnizat in cadrul relatiilor contractuale existente cu SPITALUL, in scopurile indicate in Sectiunea 3 a acestei informari. Persoanele fizice ale caror date sunt prelucrate de catre SPITAL sunt denumite in continuare „persoane vizate”. 

 

SECȚIUNEA 2 – DETALII DE CONTACT ALE OFITERULUI RESPONSABIL PENTRU PROTECTIA DATELOR CU CARACTER PERSONAL

 

SPITALUL DE PNEUMOFTIZIOLOGIE BRAILA a numit un “Ofiter pentru Protectia Datelor” in conformitate cu cerintele Regulamentului (“DPO”), in persoana societatii SEDRYA INFORSEC SRL, cod fiscal RO36657002. În ceea ce privește toate aspectele referitoare la prelucrarea datelor dvs. personale și / sau exercitarea drepturilor prevăzute de Regulament, astfel cum sunt enumerate în Secțiunea 8 din prezenta informare, vă rugăm să adresati o solicitare prin e-mail: office@inforsec.ro

 

SECȚIUNEA 3 – CATEGORII DE DATE CU CARACTER PERSONAL, SCOPURILE SI TEMEIUL JURIDIC AL PRELUCRARII

 

Categorii de Date cu Caracter Personal 

In functie de scopul procesarii, datele cu caracter personal procesate de banca se refera la: 

✓ date cu caracter personal avand functie de identificare (nume, prenume, numele anterior, CNP, seria si numarul actului de identitate), date din continutul actelor de identitate, al pasaportului, permisului de conducere, documentelor de rezidenta fiscala furnizate bancii (cetatenie, data, locul si tara nasterii, tara de rezidenta, semnatura) precum si alte informatii pe care le mentionati in formularele/ contractele incheiate cu SPITALUL. 

✓ date de contact (adrese, numere de telefon/ fax, adrese electronice si nr. de telefon mobil) 

✓ datele din actele de stare civila si situatia familiala, profesia, ocupatia, locul de munca/ numele angajatorului, formare profesionala, natura activitatii proprii, functia publica detinuta, expunerea politica (daca este cazul) 

✓ situatia economica si financiara (venituri, relatia cu alte institutii); 

✓ date necesare pentru stabilirea credibilitatii dumneavoastra, a proprietatilor pe care le aveti, precum si situatia litigiilor; 

✓ informatiile legate de angajamentele inregistrate in conturi bilantiere si extrabilantiere (produse de tip credit, similar sau de asigurari) 

✓ informatii privind indeplinirea sau neindeplinirea angajamentelor fata de PRIMARIE 

✓ informatii rezultate in urma a inregistrarii video in cazul in care vizitati locatia noastra (unitati teritoriale sau sediu central); 

✓ date obținute din instrucțiunile de plată sau categorii speciale de date cu caracter personal asa cum sunt definite în Secțiunea 9 din prezenta informare. 

✓ orice alte informatii necesare realizarii scopurilor descrise mai jos 

 

Modalitati de procesare a datelor 

 

Procesarea datelor se refera la orice tipuri de proceduri, prelucrari si evidente ce pot fi generate in cadrul SPITALULUI sau la procesatori de date, precum colectare, stocare, arhivare, consultare, inregistrare, organizare, modificare, stergere, transmitere, combinare, restrictionare, distrugere etc. 

 

Obtinerea datelor personale 

 

SPITALUL obtine datele personale direct de la persoanele vizate (client, imputernicit, reprezentant legal etc. la momentul completarii documentelor sau formularelor solicitate sau utilizarii serviciilor SPITALULUI, prin consultarea unor surse externe (ex: pentru indeplinirea unor obligatii legale) precum baze de date ale autoritatilor/ institutiilor publice, registre publice, baze de date electronice, informatii disponibile pe internet sau furnizate de terti autorizati. 

 

Scopurile si temeiul juridic al prelucrarii 

 

Datele personale obtinute de SPITAL sunt procesate ca parte a activitatii sale, în următoarele scopuri: 

a) Furnizarea de servicii si executarea contractelor 

Punerea la dispozitie a datelor dvs. personale necesare pentru a va furniza serviciile solicitate și pentru executarea contractelor (inclusiv demersurile efectuate înainte de a încheia un contract) nu este obligatorie, insa refuzul de a furniza aceste date cu caracter personal nu permite institutiei noastre să duca la indeplinire solicitarile specifice adresate de dumneavoastra. 

b) Identificarea, contractarea si furnizare de asistenta 

Datele dumneavoastra sunt verificate in scop de identificare atunci cand solicitati informatii privind serviciile de care beneficiati sau in legatura cu contractele incheiate cu SPITALUL. Va putem contacta prin diverse canale de comunicare cu scopul de a va informa despre modalitatea de derulare a contractelor sau intelegerilor incheiate cu SPITALUL sau cu privire la neindeplinirea unor obligatii fata de SPITAL. 

c) Respectarea prevederilor legislației naționale și UE 

Prelucrarea datelor dvs. personale, pentru a respecta prevederile legale, este obligatorie și consimțământul dvs. nu este necesar. 

Prelucrarea este obligatorie, de exemplu, atunci când este impusă de reglementarile din domeniul impozitarii, prevenirii si combaterii spălarii banilor, de combatere a corupției, de prevenire a fraudei, sau de îndeplinire a instrucțiunilor sau solicitărilor autorităților. 

d) Monitorizarea video 

SPITALUL asigura monitorizarea video a splatiilor sediului, cu scopul asigurarii spatiilor, bunurilor si persoanelor, si marcheaza in mod corespunzator locatiile unde exista camere video (ex: intrarea in sediul institutiei, caile de acces din interior, perimetrul exterior al sediului). 

e) Interesul legitim al Operatorului de Date cu Caracter Personal 

Prelucrarea datelor dvs. personale este necesara in scopul realizarii unui interes legitim al SPITALULUI, spre exemplu pentru prevenirea fraudelor, mentinerea de baze de date interne pentru a putea fi utilizate de catre departamentele si structurile SPITALULUI pentru verificari cerute de legislatie, generare de rapoarte cu privire la activitatile operationale ale institutiei,  arhivarea documentelor si informatiilor care va privesc, solutionarea litigiilor, investigatiilor sau oricaror altor solicitari din partea autoritatilor, monitorizarea activitatii persoanelor vizate conform cerintelor legislative, raportarea de informatii catre autoritati, obtinerea unor imagini sau filmari video prin folosirea sistemelor de suraveghere video in scop de securitate etc, sau orice alte prelucrari necesare scopurilor ce vizeaza alte interese legitime. În acest din urmă caz, SPITALUL poate prelucra datele dvs. personale numai după ce vă informează și numai dacă se constatată că atingerea intereselor sale legitime sau a terțelor părți, nu incalcă drepturile și libertățile fundamentale care va apartin. În aceste cazuri, consimțământul dvs. nu este necesar. 

 

SECȚIUNEA 4 – OBLIGATIA DE FURNIZARE A DATELOR PERSONALE

 

Datele personale sunt furnizate catre SPITAL de catre persoanele vizate sau persoane autorizate la solicitarea serviciilor furnizate de SPITAL in cadrul documentelor specifice, iar cu privire la acestea, refuzul pentru prelucrarea datelor, exprimat la initierea relatiilor, va determina imposibilitatea SPITALULUI de a da curs solicitarilor pentru astfel de servicii. De asemenea, furnizarea periodica de date actualizate este necesara pentru derularea acestor solicitari si a indeplinirii obligatiilor legale si intereselor legitime ale SPITALULUI. 

 

SECȚIUNEA 5 - CATEGORII DE DESTINATARI CĂRORA LE POT FI COMUNICATE DATELE PERSONALE

 

Pentru atingerea scopurilor indicate mai sus, este posibil ca SPITALUL să comunice datele dvs. personale următoarelor categorii de destinatari: 

1) Institutii ale statului fata de care furnizarea datelor cu caracter personal ale persoanelor vizate reprezinta o obligatie legala. 

2) Persoane juridice care au dobandit prin contract calitatea de imputerniciti ai SPITALULUI si care prelucreaza datele cu caracter personal in urma unui acord specific.

3) Operatori asociati, care stabilesc impreuna cu SPITALUL scopurile și mijloacele de prelucrare. 

 

SECTIUNEA 6 - TRANSFERURILE DE DATE CU CARACTER PERSONAL CĂTRE ȚĂRI TERȚE SAU ORGANIZAȚII INTERNAȚIONALE IN AFARA UNIUNII EUROPENE

 

Datele dvs. personale sunt prelucrate de către SPITAL în interiorul Uniunii Europene și nu sunt divulgate in afara acestora. 

 

SECTIUNEA 7 - METODA DE PRELUCRARE ȘI PERIOADA DE PASTRARE A DATELOR PERSONALE

 

Datele dvs. personale sunt procesate folosind instrumente manuale, electronice și automate și într-un mod care să le asigure securitatea și confidențialitatea. 

Datele dvs. personale sunt păstrate, pentru o perioadă care nu depășește perioada necesară pentru atingerea scopurilor pentru care sunt prelucrate, fără a aduce atingere condițiilor de păstrare impuse de lege. În particular, datele dvs. personale sunt păstrate pe tot parcursul relatiei contractuale si dupa ce aceasta perioada s-a incheiat in vederea conformarii cu obligatiile legale aplicabile in domeniu. 

 

SECTIUNEA 8 – DREPTURILE PERSOANEI VIZATE

 

În calitatea dumneavoastră de persoană vizata aveti urmatoarele drepturi: 

1. Dreptul de acces la date 

Aveti dreptul de a obține din partea SPITALULUI o confirmare că se prelucrează sau nu datele dvs. cu caracter personal și, în caz afirmativ, aveti dreptul de acces la datele respective și la informațiile avute in vedere la art. 15 din Regulament, printre care, cu titlu de exemplu enumeram: scopurile prelucarii, categoriile de date personale avute in vedere, etc. 

În cazul în care datele cu caracter personal sunt transferate către o țară terță sau o organizație internațională, aveti dreptul să fiti informat cu privire la garanțiile adecvate referitoare la transfer. 

In cazul in care veti solicita, SPITALUL vă va furniza in mod gratuit o copie a datelor cu caracter personal care fac obiectul prelucrării. Pentru orice alte copii solicitate, institutia noastra poate percepe o taxă rezonabilă, bazată pe costurile administrative. În cazul în care cererea este transmisa în format electronic și cu excepția cazului în care persoana vizată solicită un alt format, informațiile sunt furnizate într-un format electronic utilizat în mod curent. 

2. Dreptul la rectificare 

Aveti dreptul de a obține de la SPITAL, rectificarea datelor cu caracter personal inexacte precum si, tinându-se seama de scopurile în care au fost prelucrate datele, completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare. 

3. Dreptul la ștergerea datelor 

Aveti dreptul de a obține din partea SPITALULUI ștergerea datelor dvs. cu caracter personal, în cazul în care se aplica unul dintre motivele prevazute la art. 17 din Regulament, incluzand, cu titlu de exemplu, daca datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate sau in cazul in care va retrageti consimțământul pe baza căruia are loc prelucrarea sau nu mai există niciun alt temei juridic pentru prelucrare; 

Vă informăm că SPITALUL nu vă poate șterge datele personale: dacă prelucrarea acestora este necesară, de exemplu, pentru a respecta o obligație legală, din motive de interes public, de a formula sau exercita o acțiune în instanta. 

4. Dreptul la restricționarea prelucrării 

Aveti dreptul de a obține din partea SPITALULUI restricționarea prelucrării datelor dvs. cu caracter personal, în cazul în care se aplica unul dintre motive prevazute la art. 18 din Regulament, printre care enumeram de exemplu: contestarea de catre dvs. a exactitatii datelor, solicitarea de catre dvs. a datelor cu caracter personal pentru constatarea, exercitarea sau apărarea unui drept în instanță chiar daca SPITALUL nu mai are nevoie de datele cu caracter personal în scopurile prelucrării; 

5. Dreptul la portabilitatea datelor 

In cazul in care prelucrarea datelor dvs. personale este bazata pe consimtamant sau este necesara pentru executarea unui contract sau in cadrul demersurilor facute pentru incheierea unuia iar prelucrarea se realizeaza prin mijloace automate, puteti: 

- solicita sa primiti datele dvs. cu personale furnizate de dvs. într-un format structurat, utilizat în mod curent și care poate fi citit automat (de ex: un computer and/or tableta); 

- transmite aceste date altui operator, fără obstacole din partea operatorului căruia i-au fost furnizate datele cu caracter personal. 

De asemenea, aveti dreptul de a solicita ca datele dvs. personale sa fie transmise de la SPITAL direct catre un alt operator de date indicat de dvs., in cazul in care acest lucru este posibil din punct de vedere tehnic pentru SPITAL. In acest caz, veti pune la dispozitia SPITALULUI detaliile exacte ale noului operator de date catre care intentionati transmiterea acestora si veti furniza SPITALULUI o autorizare scrisa in acest sens. 

6. Dreptul la opoziție 

În orice moment, aveti dreptul de a va opune prelucrării datelor dvs. cu caracter personal daca prelucrarea se realizeaza in scopul executarii unei sarcini îndeplinite în interes public sau este necesară în scopul interesului legitim al operatorului de date (inclusiv crearea de profiluri). 

In cazul in care veti decide exercitarea acestui drept, SPITALUL nu va mai prelucra datele cu caracter personal, cu excepția cazului în care demonstrează că are motive legitime și imperioase sau obligatii legale care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță. 

7. Procesul decizional individual automatizat, inclusiv crearea de profiluri 

Regulamentul acordă persoanei vizate dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automatizată a datelor dvs. personale, inclusiv crearea de profiluri, care pot produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă, cu excepția cazului în care decizia menționată mai sus: 

a) este necesară pentru încheierea sau executarea unui contract între persoana vizată și SPITAL; 

b) este autorizată prin dreptul Uniunii sau dreptul intern care se aplică SPITALULUI; 

c) are la bază consimțământul explicit al persoanei vizate. 

În cazurile menționate la literele (a) și (c), SPITALUL pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a-și exprima punctul de vedere și de a contesta decizia. 

8. Dreptul de a depune o plângere catre autoritatea pentru prelucrarii datelor 

Fără a aduce atingere dreptului de a face apel la orice altă instanță administrativă sau jurisdicțională, in cazul în care considerați că prelucrarea datelor dvs. personale are loc cu încălcarea Regulamentului și / sau a reglementărilor aplicabile, puteți depune o plângere la Autoritatea Nationala pentru Supravegherea Datelor cu Caracter Personal la adresa B-dul G-ral Gheorghe Magheru, nr.28-30, sector 1, cod postal 010336, Bucuresti, Romania.

Va puteți exercita în orice moment aceste drepturi prin trimiterea unei cereri scrise, datata si semnata, sau puteti adresa orice intrebari sau nelamuriri cu privire la prelucrarea datelor cu caracter personal, la adresa de e-mail office@inforsec.ro sau prin posta la sediul SPITALULUI. 

SPITALUL va gestiona si va raspunde solicitarilor dumneavoastra in legatura cu excercitarea drepturilor mentionate mai sus in mod gratuit si in termenul prevazut de legislatia in vigoare, fiind insa indreptatita sa perceapa o taxa in situatia in care solicitările dumneavoastra sunt considerate excesive sau nefondate sau poate sa refuze să dea curs solicitărilor de acest gen. 

 

SECTIUNEA 9 – PRELUCRAREA CATEGORIILOR SPECIALE DE DATE PERSONALE

 

În ceea ce privește prelucrarea categoriilor speciale de date cu caracter personal (care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice) necesare pentru a furniza servicii specifice, este necesar consimțământul explicit, fără a aduce atingere cazurilor specifice prevăzute de regulament care permit prelucrarea categoriilor speciale de date cu caracter personal, fără consimțământul explicit.