Politica de confidenţialitate
Informaţii generale
În calitate de operator de date cu caracter personal, Spitalul Județean de Urgență Buzău (denumit în continuare Spitalul) urmăreşte în permanenţă şi se asigură că prelucrarea datelor cu caracter personal respectă cu stricteţe principiile şi legislaţia privind protecţia datelor cu caracter personal, în particular prevederile Regulamentului (UE) 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (in continuare „GDPR”) şi Legii nr. 677/2001 privind protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi liberă circulaţie a acestor date.
Această Politică privind confidenţialitatea este valabilă începând cu data de 25 mai 2018 şi are rolul de a vă informa cu privire la:
- activităţile de prelucrare a datelor cu caracter personal ale dumneavoastră, în calitate de pacient/client, angajat al spitalului, candidat al unui post in cadrul spitalului sau voluntar.
- prelucrările datelor cu caracter personal în vederea desfăşurării activităţilor specifice conform celor descrise mai jos.
Spitalul poate actualiza prezenta Politică privind confidenţialitatea ulterior, caz în care va informa persoanele vizate prin intermediul site-ului sau alte mijloace furnizate de dumneavoastră privind orice modificări înainte ca acestea să devină aplicabile.
Definiţii
„Date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
„Categorii speciale de date cu caracter personal” înseamnă orice date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice.
„Date statistice“ înseamnă un cumul de date de la un număr mai mare de persoane adunate într-un raport/situaţie/analiză, lipsindu-le astfel de caracterul personal - devenind anonime.
„Prelucrare” (şi derivatele sale, incluzând fără limitare ”a prelucra”) înseamnă orice operaţiune sau set de operaţiuni efectuate asupra Datelor cu Caracter Personal, incluzând fără limitare colectarea, înregistrarea, păstrarea, modificarea, utilizarea, dezvăluirea, accesul, raportarea, transferul sau distrugerea acestora.
„Persoană vizată” înseamnă orice persoană ale cărei date sunt prelucrate.
„Pacient/Client“ înseamnă pacienţii/clienţii care se prezintă în Spitalul Județean de Urgență Buzău, fie pacienţii care solicită efectuarea unor servicii medicale decontate de către Casa de Asigurări de Sănătate („CAS”) sau în regim de urgenţă, fie direct plătitori pentru servicii medicale la cerere.
„Angajat” - orice persoană care se află în relaţie contractuală/ este angajat al spitalului.
„Candidat” - orice persoană care se înscrie la un concurs de angajare pentru ocuparea unui post în cadrul spitalului.
„Voluntar” - orice persoană care desfăşoară activităţi de voluntariat în baza unui contract în cadrul spitalului.
Categoriile de Date cu Caracter Personal prelucrate
Categoriile de Date cu Caracter Personal prelucrate depind de contextul interacţiunilor şi raporturilor pe care dumneavoastră le aveţi cu Spitalul care prelucrează următoarele Categorii de Date cu Caracter Personal:- În cazul Pacienţilor/Clienţilor - în funcţie de interacţiunea dumneavoastră cu Spitalul:
- În cazul serviciilor medicale acordate (de exemplu, internare, investigaţii şi rezultate clinice şi paraclinice, consultaţii, eliberare reţete, concedii medicale, scrisoare medicala, bilet de externare, bilet de trimitere, bilet de internare, programare):
- date de identificare - Nume, Prenume, CNP, seria şi numărul actului de identitate;
- setul minim de date la nivel pacient reglementate prin Ordinul nr. 1782/2006 anexele 6 şi 7;
- datele şi informaţiile medicale reglementate prin ordinul nr. 1123/849/2016 anexa 2;
- datele de contact - număr de telefon şi/sau adresă de e-mail reglementate prin Ordinul nr. 1501/2016;
- În cazul Chestionarelor de Evaluare a Satisfacţiei, sex şi vârstă.
În funcţie de serviciul medical efectuat, categoriile de date colectate pot fi diferite;
Notă: Datele prelucrate care se încadrează într-una dintre ipotezele reglementate de lege sunt anexate prezentei politici de confidenţialitate.Cu privire la detalierea prelucrării de date aparţinând Pacienţilor/Clienţilor, realizate de Spitalul Judeţean de Urgenţă Buzău în cadrul actului medical, prin sisteme manuale şi automate, inclusiv pentru îmbunătățirea calităţii serviciilor noastre, mai multe informaţii au fost furnizate şi sunt disponibile persoanelor vizate prin Nota de informare privind prelucrarea de date.
- În cazul serviciilor medicale acordate (de exemplu, internare, investigaţii şi rezultate clinice şi paraclinice, consultaţii, eliberare reţete, concedii medicale, scrisoare medicala, bilet de externare, bilet de trimitere, bilet de internare, programare):
- În cazul angajaţilor, a candidaţilor pentru angajare şi a voluntarilor:
- Conform Codului Muncii, Legea 53/2003, sunt prelucrate următoarele Date cu Caracter Personal ale angajaţilor: Nume, Prenume, CNP, data naşterii, sexul, seria şi numărul actului de identitate, adresă domiciliu, cetăţenie, carte de munca adeverinţe de vechime, profesia, funcţii ocupate, nivelul instruirii/studii finalizate, diplome obţinute, date contact - număr de telefon, adresă de e-mail, semnătura, date furnizate prin CV (care poate să includă, printre altele, următoarele date în plus faţă de cele menţionate anterior, respectiv: imagine, formare profesională, informaţii privind actualul loc de muncă).
- Conform specificului activității spitalului de servicii medicale, mai sunt prelucrate si: Codul de parafă, funcţie, specialitate medicală, data început specialitate, competenţe, date legate de semnătură electronică;
- În cazul persoanelor care contactează Spitalul Judeţean de Urgenta Buzău prin intermediul biroului de internări, secretariatului sau fişierului pentru programări, solicitări, reclamaţii, etc., al altor numere de telefon afişate pe site sau prin alte mijloace de comunicare la distanţă, aparţinând spitalului, în contextul:
- Programărilor pentru serviciile medicale decontate de CAS, sunt prelucrate următoarele Date cu Caracter Personal: nume, prenume, CNP, calitatea de asigurat, informaţii privind trimiterea medicală, data naşterii, numărul de telefon, adresă de e-mail;
- Programărilor telefonice ale Pacienţilor direct plătitori, sunt prelucrate Următoarele Date cu Caracter Personal: nume, prenume, informaţii privind trimiterea medicală, număr de telefon, adresă de e-mail;
- Solicitărilor, reclamaţiilor şi a sugestiilor telefonice, precum şi cele transmise prin alte mijloace de comunicare la distanţă sunt prelucrate următoarele Date cu Caracter Personal: nume, prenume, adresă de domiciliu, telefon, adresă e-mail.
- În cazul tuturor persoanelor care pătrund în incinta spitalului sau a structurilor exterioare:
- imagini video înregistrate de sistemul de supraveghere internă marcat corespunzător la locul fiecărei camere de luat vederi;
- fotografii sau înregistrări utilizate numai cu consimţământul persoanelor fotografiate sau înregistrate;
- În cazul Pacienţilor/Clienţilor - în funcţie de interacţiunea dumneavoastră cu Spitalul:
Scopurile şi temeiurile Prelucrărilor de Date cu Caracter Personal
Datele cu Caracter Personal cu privire la categoriile de persoane vizate menţionate la secţiunea III de mai sus, prelucrate cu respectarea condiţiilor legale, prin natura activităţii spitalului, pot fi prelucrate de către spital direct şi/sau prin intermediul împuterniciţilor, în următoarele scopuri:
- În vederea îndeplinirii activităţilor specifice:
1.1 În scopul prestării serviciilor medicale solicitate de către Pacienţi/Clienţi:
1.2 În scopul raportării serviciilor medicale efectuate către instituţiile prevăzute de lege, spre decontarea acestor servicii;
1.3 În scopul îndeplinirii responsabilităţilor legale de transmitere a datelor (individuale sau statistice) către instituţiile publice reglementate de lege;
1.4 În scopul prelucrărilor statistice ale acestor date, statistici necesare pentru a putea răspunde diferitelor solicitări primite de la instituţii publice şi necesare pentru realizarea indicatorilor de management pentru îmbunătăţirea sau menţinerea standardelor de calitate;
1.5 În scopul îmbunătăţirii serviciilor (cum ar fi chestionarul de evaluare a satisfacţiei), gestionării solicitărilor/reclamaţiilor primite din partea dumneavoastră şi prezentarea analizelor necesare - în contextul prelucrărilor de date ale pacienţilor/clienţilor sau ale angajaţilor;
1.6 În scopul realizării serviciilor medicale, gestionării sistemelor şi serviciilor de sănătate de către spital;
1.7 În scopuri de recrutare - în contextul prelucrării datelor candidaţilor pentru angajare;
1.8 În scopul gestionării programărilor, reclamaţiilor, sugestiilor sau a oricăror solicitări telefonice;
1.9 În scopul identificării persoanelor responsabile în cazul unor evenimente ce fac obiectul unei anchete interne sau externe - în contextul prelucrării datelor tuturor persoanelor care pătrund în incinta spitalului;
1.10 În scop de promovare în mediul online sau în mass-media - în contextul prelucrării datelor tuturor persoanelor care pătrund în incinta spitalului.Temeiul juridic al acestor activităţi de prelucrare: Ordinul nr. 1782/2006 - ANEXA Nr. 6 , ANEXA Nr. 7, Ordinul MS CNAS nr. 1123/849/2016 - ANEXA Nr. 2, Ordin MS nr. 1501/2016, Ordin nr. 52/2002, Legea nr. 333/2003 modificată și completată, Legea nr. 46/2003 modificată și completată, Ordin nr. 1410/2016, Ordin MS nr. 1502/2016, actualizate.
- În vederea încheierii şi executării contractelor, pentru următoarele scopuri:
2.1 În vederea încheierii şi executării contractelor de muncă;
2.2 Executarea contractelor privind furnizarea de asistenţă medicală, încheiate cu Pacienţii spitalului;
2.3 În vederea încheierii contractelor - în contextul prelucrărilor de date pentru programările telefonice solicitate de pacienţi sau prin alte mijloace de comunicare la distanţă;
Temeiul juridic al acestor activităţi de prelucrare: Legea nr. 53/2003 Codul muncii, Legea nr. 153/2017, HG . 286/2011, Ordin MS 1470/2011, Ordin MS 869/2015, Legea nr. 78/2014, actualizate.
- În vederea îndeplinirii activităţilor specifice:
Destinatarii Datelor cu Caracter Personal
Pentru îndeplinirea scopurilor de prelucrare, spitalul poate să dezvăluie anumite categorii de Date cu Caracter Personal către următoarele categorii de destinatari: persoana vizată şi/sau reprezentanţii săi legali, reprezentanţii spitalului, partenerii contractuali pentru servicii externalizate și furnizori software care asigură la rândul lor confidenţialitatea datelor fără a le folosi în alte scopuri în afara celor care fac obiectul contractelor dintre ei şi spital, autorităţi judecătoreşti sau alte autorităţi publice de orice tip.
În vederea conformării cu obligaţiile legale aplicabile de transmitere a datelor (individuale sau statistice) spitalul transmite anumite seturi de date prelucrate către: Casa de Asigurări de Sănătate - C.A.S., Direcţia de Sănătate Publică - D.S.P., Dosarul Electronic de Sănătate - D.E.S., Şcoala Naţională de Sănătate Publică, Management şi Perfecţionare în Domeniul Sanitar Bucureşti - S.N.S.P.M.P.D.S.B., Autoritatea Naţionala de Management al Calităţii în Sănătate - A.N.M.C.S., Inspectoratul Teritorial de Muncă - I.T.M., Agenţia Naţională de Administrare Fiscală - A.N.A.F. etc.
Durata prelucrării Datelor cu Caracter Personal
Spitalul va prelucra Datele dumneavoastră cu Caracter Personal, pe durata necesară realizării scopurilor de prelucrare şi ulterior în conformitate cu politicile noastre interne, precum şi în vederea conformării cu obligaţiile aplicabile, inclusiv, dar fără limitare la, dispoziţiile referitoare la obligaţia de arhivare.Este posibil ca, în urma îndeplinirii termenelor legale de arhivare, spitalul să dispună anonimizarea datelor, lipsindu-le astfel de caracterul personal şi să continue prelucrarea datelor anonime pentru scopuri statistice.
Transferul Datelor cu Caracter Personal
Datele cu Caracter personal furnizate către Spitalul Judeţean de Urgenţă Buzău nu sunt transferate în afara Spaţiul Economic European.
Securitatea Datelor cu Caracter Personal
Spitalul acordă o importanţă deosebită confidenţialităţii şi securităţii Datelor dumneavoastră cu Caracter Personal şi înţelege să asigure siguranţa acestora pe parcursul activităţilor de prelucrare din prezenta Politică de confidenţialitate. În acest sens, spitalul implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscurilor asociate tipurilor de date prelucrate si operaţiunilor de prelucrare.
Furnizarea Datelor cu Caracter Personal
Furnizarea Datelor cu Caracter Personal poate fi o obligaţie contractuală sau o obligaţie necesară pentru încheierea/executarea unui contract sau acordarea unor servicii, poate fi necesară pentru a putea beneficia de serviciile puse la dispoziţie de către spital. În unele cazuri, refuzul furnizării Datelor cu Caracter Personal poate avea drept consecinţă imposibilitatea beneficierii de serviciile puse la dispoziţia dumneavoastră, cu excepţia situaţiilor de urgenţă în care viaţa pacientului este pusă în pericol.Cu toate că spitalul cere acordul pentru prelucrarea anumitor Date cu Caracter Personal, este posibil ca acest acord să nu fie întotdeauna necesar conform legii. În astfel de situaţii, Titularul poate utiliza alte temeiuri pentru prelucrarea datelor, cum ar fi prestarea serviciilor medicale, executarea contractelor sau interesul legitim.
Drepturile Persoanei Vizate
În ceea ce priveşte prelucrările Datelor cu Caracter Personal indicate în prezenta Politică de confidenţialitate, fiecare persoană vizată beneficiază de următoarele drepturi, conform prevederilor legale aplicabile:
- dreptul la informare - dreptul de a primi un conţinut minim de informaţii cu privire la activităţile de prelucrare efectuate de către spital, în conformitate cu cerinţele legale;
- dreptul de acces la date - dreptul de a obţine de la operatorul de date cu caracter personal, la cerere şi în condiţiile stabilite de legislaţie, confirmarea faptului că datele care o privesc sunt sau nu prelucrate de către operatorul de date cu caracter personal, precum şi detalii privind activităţile de prelucrare;
- dreptul de intervenţie asupra datelor - dreptul de a obţine de la operatorul de date cu caracter personal, la cerere şi în mod gratuit:
- după caz, rectificarea, actualizarea, blocarea sau ştergerea datelor a căror prelucrare nu este conformă legii, în special a datelor incomplete sau inexacte;
- după caz, transformarea în date anonime a datelor a căror prelucrare nu este conformă legii; (III) notificarea către terţii cărora le-au fost dezvăluite datele, a oricărei operaţiuni efectuate conform lit. (I) sau lit. (II), dacă o asemenea notificare nu se dovedeşte imposibilă sau nu presupune un efort disproporţionat faţă de interesul legitim care ar putea fi lezat;
- dreptul de opoziţie - dreptul de a se opune în orice moment, din motive întemeiate şi legitime legate de situaţia sa particulară, ca date care o vizează să facă obiectul unei prelucrări, cu excepția cazurilor în care există dispoziţii legale contrare; În ceea ce priveşte activităţile de promovare, persoanele vizate au dreptul de a se opune acestei prelucrări în orice moment.
- dreptul de a nu fi supus unei decizii individuale automate - dreptul de a obţine intervenţia umană cu privire la o asemenea decizie, dreptul de a exprima punctul de vedere privind o asemenea decizie şi de a contesta decizia;
- dreptul de a se adresa justiţiei pentru apărarea oricăror drepturi garantate de legislaţia în materie, fără a se aduce atingere posibilităţii de a se adresa o plângere Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Începând cu data de 25 mai 2018, când Regulamentul General privind Protecţia Datelor (Regulamentul European nr. 679/2016 sau GDPR) devine aplicabil, persoanele vizate beneficiază şi de următoarele drepturi:
- dreptul la restricţionarea prelucrării în măsura în care sunt îndeplinite condiţiile prevăzute de lege;
- dreptul la portabilitatea datelor, respectiv (I) dreptul de a primi datele cu caracter personal într-o modalitate structurată, folosită în mod obişnuit şi într-un format uşor de citit, precum şi (II) dreptul ca aceste date să fie transmise de către Spitalul Judeţean de Urgenţă Buzău către alt operator de date, în măsura în care sunt îndeplinite condiţiile prevăzute de lege;
- dreptul de a-şi retrage consimţământul atunci când există o prelucrare care se bazează pe acesta;
- dreptul la ştergerea datelor („dreptul de a fi uitat”) în măsura în care sunt îndeplinite condiţiile prevăzute de lege;
- Adresa: Bd. Stadionului, nr. 7, oraşul Buzău, judeţul Buzău
- gdpr@spitalulbuzau.ro