Aici descoperim
dreptul tehnologiei

great-ideas-concept-with-human-brain-paperclip-thinking-creativity-light-bulb-blue-background-new-ideas-concept_34936-2621.jpg

Prezentul articol are ca punct de pornire întrebarea adresată în cadrul unei platforme online cu privire la accesul în funcțiie publice al unei persoane care a fost supusă unei proceduri de internare voluntară în cadrul unei instituții medicale psihiatrice, pe fondul dezvoltării unei depresii. Această internare s-a finalizat cu ,,vindecarea” persoanei, dar datele personale au rămas stocate în cadrul dosarului electronic al pacientului. Este necesară protecția acestor date, sau acestea sunt exceptate de la protecție, reglementată prin intermediul Regulamentului privind protecția datelor cu caracter personal?

În această situație este relevantă Legea nr. 45/2019 pentru modificarea și completarea Legii nr. 95/2006 privind reforma în domeniul sănătății, care face trimitere către Regulamentului privind protecția datelor cu caracter personal, cunoscut sub denumirea de GDPR. Conform prezentei legi, precizăm următorul cadru normativ:

  • Sistemul DES (Dosar Electronic de Sănătate) este un serviciu public furnizat de CNAS, pentru toți pacienții care, potrivit prevederilor titlului VIII, sunt asigurați ai sistemului de asigurări sociale de sănătate și pentru toți furnizorii de servicii medicale pe toate tipurile de asistență medicală, indiferent dacă se află sau nu în relație contractuală cu o casă de asigurări de sănătate. Acest serviciu urmează să fie utilizat gradual de la data implementării în sistemul DES a funcționalităților specifice fiecărui tip de asistență medicală.

 

Te-ar putea interesa și:

 

  • Prelucrarea datelor cu caracter personal în cadrul DES, ca parte componentă a Platformei informatice din asigurările de sănătate, se realizează cu respectarea prevederilor Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), precum și a celorlalte prevederi legale în vigoare privind prelucrarea datelor cu caracter personal.
  • CNAS adoptă măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel corespunzător de securitate și confidențialitate a datelor, în acord cu prevederile art. 32 din Regulamentul general privind protecția datelor.
  • Datele și informațiile din DES prevăzute la alin. (2) sunt accesibile medicilor numai cu consimțământul pacienților, cu excepția datelor și informațiilor din modulul «Sumar de urgență», care sunt accesibile medicilor care își desfășoară activitatea într-o structură de urgență, respectiv camera de gardă, UPU, CPU și serviciile de ambulanță și medicilor care își desfășoară activitatea în asistență medicală primară, numai în vederea realizării actului medical, fără a fi necesar consimțământul pacientului.

KIT GDPR Premium

 

  • Consimțământul pacientului pentru vizualizarea de către medici a datelor și a informațiilor din DES se exprimă astfel: (1) înainte de prezentarea la medic de către pacient, prin configurarea drepturilor de acces la secțiunea dedicată din cadrul propriului dosar sau de către reprezentantul legal, prin configurarea drepturilor de acces în secțiunea dedicată din dosarul electronic de sănătate al pacientului pe care îl reprezintă; sau (2) la prezentarea la medic – prin utilizarea, în prezența medicului, de către pacient sau reprezentantul său legal, a matricei de securitate sau, după caz, a cardului național de asigurări sociale de sănătate și codului PIN asociat acestuia.

Ca o consecință, utilizarea sau orice altă prelucrare a datelor și informațiilor din DES de către furnizorii de servicii medicale, în alt scop decât cel prevăzut în prezentul de lege, precum și orice altă încălcare a reglementărilor legale privind protecția datelor cu caracter personal se sancționează potrivit prevederilor Regulamentului general privind protecția datelor, precum și a celorlalte prevederi legale în vigoare privind prelucrarea datelor cu caracter personal.

În cadrul prezentului articol a fost utilizată ca sursă de informare platforma online https://lege5.ro/Gratuit/gmzdgmjygy2q/legea-nr-45-2019-pentru-modificarea-si-completarea-legii-nr-95-2006-privind-reforma-in-domeniul-sanatatii.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]




Legea fundamentală a statului român conferă protecție sporită anumitor categorii de persoane. În sensul precizat, persoanele cu handicap se bucură de protecţie specială, în conformitate cu prevederile art. 50 din Constituția României. De asemenea, legea fundamentală prevede în sarcina statului realizarea unei politici naţionale de egalitate a şanselor, de prevenire şi de tratament ale handicapului, în vederea participării efective a persoanelor cu handicap în viaţa comunităţii, respectând drepturile şi îndatoririle ce revin părinţilor şi tutorilor.

 

GDPR și protecția datelor cu caracter personal ale persoanelor cu dizabilități

La intrarea în vigoare a prevederilor Regulamentului privind protecția datelor cu caracter personal, autoritățile îndreptățite să realizeze această protecție au realizat informarea persoanelor privind protecția datelor cu caracter personal inclusiv în sfera informatică. Cu titlu de exemplu este acțiunea exercitată de către Direcțiile privind protecția copilului, astfel: ,,având în vedere prevederile Regulamentului nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, precum și aceea că Direcția Generală de Asistență Socială și Protecția Copilului sector 6este operator de date cu caracter personal, nr. 5122/11537 și 13327/2007, vă prezentăm următoare informare cu privire la protecția datelor dumneavoastră cu caracter personal”

Conform exemplului anterior, direcțiile se vor ocupa de informarea și protecția datelor cu caracter personal ale persoanelor cu dizabilități. Protecția se va aplica astfel următoarelor categorii:

  1. copiii și adulții cu handicap, cetăţeni români, cetăţeni ai altor state sau apatrizi;
  2. însoţitorii și/sau asistenții maternali/personali ai persoanelor cu handicap grav;
  3. reprezentanții legali ai persoanelor cu dizabilități

 

 

În privința datelor cu caracter personal privind starea de sănătate, Regulamentul include și datele sau informațiile referitoare la handicapul persoanelor, în următorul sens, conform pct. (35) din Regulament: ,,datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menționate în Directiva 2011/24/UE a Parlamentului European și a Consiliului; un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informații rezultate din testarea sau examinarea unei părți a corpului sau a unei substanțe corporale, inclusiv din date genetice și eșantioane de material biologic; precum și orice informații privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro”

Necesitatea instituirii protecției a fost o măsură fundamentală și benefică tuturor categoriilor sociale. În sensul unei protecții temeinice, exemplificăm modalitatea în care o Direcție Generală de Asistență Socială și Protecția Copilului realizează o notă de informare cu privire la aplicarea prevederile Regulamentului. În atare direcție, Direcția precizează colectarea și prelucrarea următoarelor categorii de informații:

  1. date cu caracter personal ale copiilor și familiilor;
  2. date cu caracter personal ale persoanelor vârstnice;
  3. date cu caracter personal ale persoanelor cu dizabilități;
  4. date cu caracter personal ale altor persoane, grupuri sau comunități care interacționează cu Direcția în cauză

KIT GDPR Premium

 

Direcția în cauză precizează modalitatea în care se va realiza informarea și în care se va proceda la acordarea consimțământului în sensul prelucrării unor astfel de date. Conform Direcției Generale precizată anterior consimţământul trebuie să întrunească anumite condiții și anume, el trebuie acordat printr-o acţiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoştinţă de cauză şi clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declaraţie făcută în scris, inclusiv în format electronic, sau verbal.

Te-ar putea interesa și:

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-4.png

Răspuns:

Datele cu caracter personal trebuie prelucrate doar dacă o companie nu poate atinge scopurile în altă modalitate. Este recomandat, atunci când este posibil, să folosiți date anonime. Acolo unde datele cu caracter personal sunt necesare, acestea ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar în acest scop („principiul reducerii la minimum a datelor”).

Este responsabilitatea companiei/ organizației dvs., în calitate de operator de date, de a evalua cât de multe date cu caracter personal sunt necesare și de vă asigura că datele irelevante nu sunt colectate.

 

Exemplu:

Compania/organizația dvs.  oferă servicii de închiriere autoturisme persoanelor fizice. Pentru prestarea acestor servicii, pot fi necesare necesar numele, adresa și numărul cardului de credit al clienților și, eventual, informații dacă persoana are un handicap (deci date privind sănătatea). Prelucrarea altor date, precum originea rasială, ar însemna să prelucrăm mai multe decât este necesar, prin urmare să încălcăm principiul „reducerii la minimum a datelor”

 

Referință:

 

Sursa aici 

 

KIT GDPR Premium

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]



Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

KIT GDPR Premium

 

 

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


arhive-date-medicale-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord