roen
Programare online
   Medicina Maritima
facebook1   tweet   IN   G+

 Str. Tepes Voda nr. 24, Constanta

0341-455.455; 0772-166.088

Protectia Datelor cu Caracter Personal / Terms & Conditions

Terms & Conditions

Actualizare informatii: 25.05.2018

---

ROMANA: Introducere

Regulamentul (UE) 2016/679 care conține Regulamentul general privind protecția datelor ("GDPR" sau "regulamentele") va intra în vigoare la 25 mai 2018 și va avea un efect direct în UE / SEE. Prin urmare, nu va fi nevoie ca legislația internă din România să pună în aplicare GDPR. Există, de asemenea, un proiect de lege privind protecția datelor care în prezent trece prin Parlament, care va completa dispozițiile GDPR. Nu este încă cunoscut când va fi adoptat acest proiect de lege.

Această orientare generală intenționează să ofere doar o scurtă introducere în GDPR, relevantă pentru Clinica Doctor 3D. Impactul regulamentului va fi cel mai adesea resimțit în revendicările privind vătămările corporale și bolile sau alte cazuri care implică date provenite de la persoane fizice sau fizice. Datele provenite de la o persoană juridică care nu conține informații personale sau informații care altfel nu au legătură cu persoane fizice nu sunt afectate.

Scopul general al regulamentului este înlocuirea Directivei 95/46 / CE și consolidarea și armonizarea procedurilor UE / SEE privind colectarea, stocarea, prelucrarea, accesul, utilizarea, transferul și ștergerea datelor cu caracter personal. Prin stabilirea responsabilităților pentru "controlorii" și "prelucrătorii" datelor cu caracter personal, regulamentul urmărește să ofere persoanelor fizice același nivel de drepturi aplicabile din punct de vedere juridic în întreaga UE / SEE și un cadru de supraveghere și executare care să asigure conformitatea.

Scopul GDPR este de a proteja persoanele fizice în ceea ce privește prelucrarea datelor. Regulamentul se aplică persoanelor din UE / SEE care pot deține astfel de date, dar și celor din afara UE / SEE care pot oferi bunuri sau servicii persoanelor fizice din zona respectivă sau pot trimite date cu caracter personal organizațiilor din UE / SEE, sau să trimită date cu caracter personal destinatarilor din cadrul UE / SEE. Deoarece Clinica Doctor 3D operează în cadrul UE / SEE, se va aplica GDPR. În mod similar, regulamentul se va aplica angajaților și furnizorilor de servicii terțe care își desfășoară activitatea în UE / SEE sau care oferă bunuri sau servicii persoanelor fizice din zona respectivă, precum și datelor cu caracter personal deținute în UE / SEE aparținând persoanelor care se află în afara teritoriului UE / SEE.

Sancțiuni pentru încălcare

Nivelul amenzilor administrative în cadrul noului regim este substanțial mai ridicat decât în ​​cadrul vechii legislații. Cuantumul amenzii va depinde de o serie de factori în fiecare caz în parte, incluzând, dar fără a se limita la natura și durata încălcării și orice acțiuni întreprinse pentru a reduce daunele suferite de persoana vizată. Cu toate acestea, trebuie remarcat faptul că sancțiunile pentru încălcarea GDPR, în ceea ce privește anumite dispoziții, pot fi de până la 20 milioane EUR sau, în cazul unei întreprinderi, până la 4% din cifra de afaceri anuală globală a an, oricare dintre acestea este mai mare.

Definiții relevante

  • "Date personale" înseamnă orice informație referitoare la un subiect de date;
  • "Persoană de date" înseamnă o persoană fizică sau o persoană fizică identificabilă sau identificabilă. Aceasta este o persoană care poate fi identificată, direct sau indirect, prin referire la un identificator cum ar fi un nume, un număr de identificare, date despre locație, un identificator online sau unul sau mai mulți factori specifici fizic, fiziologic, genetic, mental, economic , identitatea culturală sau socială a acelei persoane fizice.
  • "Controlor" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu alții, stabilește scopurile și mijloacele de prelucrare a datelor relevante.
  • "Procesor" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează date cu caracter personal în numele operatorului.
  • "Prelucrare" înseamnă orice operațiune sau set de operațiuni care se efectuează pe date cu caracter personal sau pe seturi de date cu caracter personal, fie prin mijloace automate sau manuale, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Unele cerințe relevante ale GDPR.

  • Principii de prelucrare a datelor cu caracter personal;
  • Drepturile persoanei vizate;
  • Responsabilitățile controlorului și procesorului;
  • Obligația de a notifica autoritățile de protecție a datelor;
  • Numirea responsabilului cu protecția datelor; și
  • Transferul de date cu caracter personal către țări terțe.

Principii de prelucrare a datelor cu caracter personal
Principiile de prelucrare a datelor cu caracter personal pot fi rezumate după cum urmează:

  • Legitimitatea - datele cu caracter personal trebuie prelucrate numai atunci când există un temei juridic pentru aceasta, cum ar fi consimțământul, prin contract sau în cazul în care există o obligație legală sau când este necesar pentru a proteja interesele vitale ale persoanei vizate , sau în cazul în care este pentru interesele legitime ale operatorului.
  • Corectitudinea - persoanele implicate în prelucrarea datelor cu caracter personal ar trebui să furnizeze persoanei vizate informații suficiente cu privire la prelucrare și drepturile persoanelor vizate.
  • Transparența - informațiile trebuie furnizate într-o manieră concisă și ușor de înțeles.
  • Limitarea scopului - datele cu caracter personal ar trebui colectate și prelucrate numai în scopuri specificate, explicite și legitime și nu ar trebui prelucrate din motive independente de aceste scopuri.
  • Minimizarea datelor - datele personale trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile pentru care au fost colectate și prelucrate.
  • Precizie - datele personale trebuie să fie corecte și actualizate.
  • Limitarea stocării - datele cu caracter personal ar trebui să fie păstrate într-o formă care să permită identificarea persoanelor vizate pentru o perioadă care să nu depășească durata necesară.
  • Securitate - prin utilizarea unor măsuri adecvate, datele personale ar trebui să fie asigurate pentru a proteja împotriva prelucrării neautorizate sau ilegale, pierderii accidentale, distrugerii sau deteriorării.

Date personale
Prelucrarea datelor cu caracter personal este interzisă, cu excepția cazului în care se aplică condiții specifice, cum ar fi consimțământul expres sau în cazul în care prelucrarea este o consecință necesară a înființării, exercitării sau apărării cererilor de despăgubire sau ori de câte ori instanțele judecătorești acționează în calitatea lor judiciară.
Cerințe specifice mai stricte se aplică datelor personale sensibile. Acestea includ date precum rasa, originea etnică, afilierea religioasă și politică, precum și informații privind sănătatea și medicul despre persoana vizată.

Drepturile persoanei vizate

Mai jos este un rezumat al unora dintre drepturile pe care persoana vizată le are, inclusiv dreptul de a solicita informații.

  • Transparență și informații - trebuie luate măsuri pentru a furniza informațiile solicitate persoanei vizate, inclusiv detaliile controlorului (controlorilor) și scopul prelucrării datelor cu caracter personal relevante. Aceasta include consilierea persoanei vizate a oricărei terțe părți căreia îi vor fi dezvăluite datele cu caracter personal.
  • Dreptul de acces - persoana vizată are dreptul de a solicita o confirmare a faptului dacă datele cu caracter personal sunt prelucrate și în ce scop și că există dreptul de a solicita accesul la acestea.
  • Dreptul de a rectifica - persoana vizată are dreptul de a rectifica informațiile inexacte.
  • Dreptul de a fi uitat - persoana vizată are dreptul să solicite ștergerea datelor sale cu caracter personal, fără întârzieri nejustificate, dacă se aplică anumite condiții.
  • Dreptul de a restricționa prelucrarea - persoana vizată are dreptul de a obține de la operator o restricție privind prelucrarea, atunci când, de exemplu, acuratețea datelor cu caracter personal este contestată de persoana vizată.

Responsabilitățile controlorului, controlorului (procesorilor) comun și procesorului
Controlerul și controlerul comun

Controlorul și controlorul comun sunt obligați să pună în aplicare măsuri adecvate pentru prelucrarea datelor cu caracter personal în conformitate cu regulamentul. Aceasta include stabilirea și punerea în aplicare a unei "politici de protecție a datelor" și a altor cerințe specifice, cum ar fi:

  • Numai datele necesare scopului - procedurile trebuie să asigure prelucrarea numai a datelor personale necesare pentru acest scop.
  • Procesor - procedurile trebuie să asigure că procesorul a implementat măsuri conforme.
  • Controlorul și controlorul comun sunt responsabile de demonstrarea conformității cu regulamentul.

Procesorul

Procesorul trebuie să ofere operatorului garanții privind măsurile tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele prezentului regulament și să asigure protecția drepturilor persoanei vizate. Trebuie încheiat un contract separat sau un acord care să respecte cerințe specifice între operatorul de procesare și operatorul de procesare.

Atât controlerul, cât și procesorul sunt responsabili pentru următoarele:

  • Trebuie să fie păstrat înregistrările înregistrărilor procesării - procesării și acestea trebuie să fie disponibile pentru inspecție de către autoritatea de supraveghere.
  • Securitatea procesării - ar trebui stabilite măsuri de securitate adecvate.

Ofițer de protecție a datelor

În anumite situații, inclusiv în cazul în care datele cu caracter personal sunt prelucrate pe o scară largă, există o obligație de numire a unui responsabil cu protecția datelor ("DPO"). RPD are responsabilități specifice, inclusiv monitorizarea respectării regulamentului, de a raporta și de a oferi consultanță internă. Clinica Doctor 3D a desemnat un DPO.

Transferul datelor către o țară terță

Cu excepția cazului în care există o bază legală valabilă sau o derogare permisă în temeiul GDPR pentru transferul de date către o țară terță, cu alte cuvinte, în afara UE / SEE, situație care poate fi cazul în cazul în care transferul este necesar (de exemplu, în conformitate cu o obligație legală) pentru a introduce o cerere de asigurare, de exemplu o cerere de vătămare corporală, atunci transferul de date către o țară terță impune fie Comisiei UE să fi decis că țara terță relevantă a stabilit niveluri adecvate de protecție, fie că operatorul sau operatorul din a treia țara a stabilit sau va stabili niveluri adecvate de securitate.

În anumite circumstanțe, utilizarea clauzelor modelului standard al UE poate fi adecvată.

Ce înseamnă regulamentul pentru Clinica Doctor 3D și ce măsuri ar trebui luate?

Unele dintre acțiunile pe care Clinica Doctor 3D le-au luat sau sunt în curs de luare ca răspuns la GDPR sunt următoarele:

  • Se creează și se implementează o politică de protecție a datelor;
  • A fost desemnat un RPD;
  • Procedurile și procesele scrise interne sunt actualizate pentru a include, de exemplu, o revizuire periodică pentru a asigura eliminarea datelor cu caracter personal inutile;
  • Se vor emite notificări de confidențialitate standard pentru persoanele vizate care oferă detalii cu privire la drepturile care decurg din GDPR și vor fi emise atunci când este necesar;
  • Siguranța și integritatea sistemelor informatice și de comunicații au fost verificate în ceea ce privește ambele sisteme care conțin date cu caracter personal și sisteme care conțin date personale sensibile.

Impact suplimentar:

  • Actualizarea sau adoptarea și implementarea unei politici de protecție a datelor;
  • Organizațiile care gestionează date pe scară largă ar trebui să ia în considerare numirea unui RPD;
  • Stabilirea rutinelor pentru a se asigura că persoanele vizate primesc informații adecvate privind prelucrarea datelor cu caracter personal și drepturile lor;
  • Cu excepția cazului în care există un alt temei juridic pe care să se poată păstra în continuare, datele cu caracter personal care nu mai sunt necesare ar trebui eliminate;
  • Securitatea ar trebui îmbunătățită pentru comunicările cu terțe părți relevante pentru datele personale sensibile definite (de exemplu, datele medicale și medicale) și
  • Ar trebui stabilite verificări suplimentare pentru a se asigura că datele cu caracter personal sunt transferate în țări terțe numai atunci când sunt permise (de exemplu, când există un temei juridic sau există un acord separat).

Această circulară nu trebuie interpretată ca furnizând consultanță juridică. Membrii ar trebui să solicite consultanță independentă din partea autorităților lor locale de protecție a datelor atunci când efectuează schimbări în rutinele de lucru în vederea asigurării respectării reglementărilor GDPR.

Orice întrebări sau comentarii pot fi direcționate către DPO.



ENGLISH: Introduction

Regulation (EU) 2016/679 containing the General Data Protection Regulation (the "GDPR” or “Regulations") will come into force on 25 May 2018 and such will have direct effect in the EU/EEA. Therefore there will be no need for domestic legislation in ROMANIA to give effect to the GDPR. There is however also a Data Protection Bill currently going through Parliament, which will supplement the provisions of the GDPR. It is not yet known when this Bill will be enacted.

This general guidance intends only to provide a brief introduction to the GDPR, as relevant to the Clinica Doctor 3D. The impact of the Regulation will most often be felt in claims relating to personal injury and illness or other cases involving data originating from natural persons, or individuals. Data originating from a legal entity that does not contain personal information, or information otherwise not related to natural persons is unaffected.

The broad intention of the Regulation is to replace Directive 95/46/EC and strengthen and harmonise EU/EEA procedures concerning the collection, storage, processing, access, use, transfer and erasure of personal data. By establishing responsibilities for "controllers" and "processors" of personal data, the Regulation aims to provide natural persons with the same level of legally enforceable rights throughout the EU/EEA, and a supervisory and enforcement framework to ensure compliance.

The aim of the GDPR is to protect natural persons in relation to the processing of data. The Regulation applies to those within the EU/EEA which may hold such data, but also to those outside the EU/EEA which may offer goods or services to natural persons within that area, or send personal data to organisations within the EU/EEA, or send personal data to recipients within the EU/EEA. Because Clinica Doctor 3D operates within the EU/EEA, the GDPR will apply to it. Similarly, the Regulation will apply to employies, and third-party service providers operating within the EU/EEA or offering goods or services to natural persons within that area, and to personal data held within the EU/EEA belonging to individuals who are outside the EU/EEA.

Penalties for infringement

The level of administrative fines under the new regime is substantially higher than under the old legislation. The amount of a fine will depend on a number of factors in each individual case, including, but not limited to, the nature and duration of the infringement, and any actions taken to mitigate damage suffered by the Data Subject. It is, however, worth noting that the penalties for infringements of the GDPR, in relation to certain provisions, can be up to €20 million or in the case of an undertaking, up to 4% of the worldwide annual turnover of the preceding financial year, whichever is higher.

Relevant definitions  

  • "Personal Data" means any information relating to a Data Subject;
  • "Data Subject" means an identified or identifiable living natural person or individual. This is someone who can be identified, directly or indirectly, by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
  • "Controller" means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of the relevant data.
  • "Processor" means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.
  • "Processing" means any operation or set of operations which is performed on personal data or on sets of personal data, whether by automated or manual means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

Some relevant requirements of the GDPR.

  • Principles for processing personal data;
  • Rights of the data subject;
  • Responsibilities of the controller and processor;
  • Duty to notify Data Protection Authorities;
  • Appointment of Data Protection Officer; and
  • Transfer of personal data to third countries.

Principles for processing personal data

The principles for processing personal data can be summarised as follows:

  • Lawfulness - personal data should be processed only when there is a legal basis for doing so, such as consent, by contract, or where there is a legal obligation, or where it is necessary in order to protect the vital interests of the data subject, or where it is for the legitimate interests of the controller.
  • Fairness - those involved in processing personal data should provide the data subject with sufficient information about the processing and the data subject's rights.
  • Transparency - information should be provided in a concise and readily understandable manner.
  • Purpose limitation - personal data should only be collected and processed for specified, explicit and legitimate purposes and it should not be processed for reasons unconnected with these purposes.
  • Data minimisation - personal data should be adequate, relevant and limited to what is necessary for the purposes for which it has been collected and processed.
  • Accuracy - personal data should be accurate and up-to-date.
  • Storage limitation - personal data should be kept in a form permitting identification of data subjects for no longer than is necessary.
  • Security -  using appropriate measures, personal data should be secured to protect against unauthorised or unlawful processing, accidental loss, destruction or damage.

Personal data

Processing of personal data is prohibited unless specific conditions apply, such as express consent or where processing is a necessary consequence of the establishment, exercise or defence of legal claims, or wherever courts are acting in their judicial capacity.

Specific, stricter requirements apply to sensitive personal data. This includes data such as race, ethnic background, religious and political affiliations, and health and medical information about a data subject.  

Rights of the data subject  

Below is a summary of some of the rights which the data subject has, including the right to request information.

  • Transparency and information - steps should be taken to provide the required information to the data subject, including details of the controller(s) and the purpose of processing the relevant personal data . This includes advising the data subject of any third parties to whom the personal data will be disclosed.
  • Right of access - the data subject has a right to require a confirmation of whether personal data is being processed, and for what purpose, and that there is a right to request access to it.
  • Right to rectify - the data subject has a right to rectify inaccurate information.
  • Right to be forgotten - the data subject has a right to request that his or her personal data is erased, without undue delay, if certain conditions apply.
  • Right to restrict processing - the data subject has a right to obtain from the controller restriction of processing where, for example, the accuracy of the personal data is contested by the data subject.

Responsibilities of the controller, joint controller(s) and processor

The controller and joint controller

The controller and joint controller are required to implement appropriate measures for the processing of personal data in accordance with the Regulation. This includes establishing and implementing a 'data protection policy' and other specific requirements, such as:

  • Only data necessary for the purpose - procedures must ensure that only personal data necessary for the purpose is processed.
  • Processor - procedures must ensure that the processor has implemented compliant measures.
  • The controller and joint controller are responsible for demonstrating compliance with the Regulation.

The processor

The processor must provide guarantees to the controller of appropriate technical and organisational measures so that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject. A separate contract or agreement complying with specific requirements should be concluded between the controller and the processor.

Both controller and processor are responsible for the following:

  • Record of processing - processing records should be maintained and these should be available for inspection by the supervisory authority.
  • Security of processing - appropriate security measures should be established .

Data Protection Officer

In certain circumstances, including where personal data is processed on a large scale , there is a duty to appoint a Data Protection Officer (“DPO”) . The DPO has specific responsibilities, including the monitoring of compliance with the Regulation, to report and to give internal advice. The Clinica Doctor 3D has appointed a DPO.

Transfer of data to a third country

Unless there is a valid legal basis  or permitted derogation under the GDPR for transferring data to a third country, in other words outside the EU/EEA, which may be the case where the transfer is necessary (such as in accordance with a legal obligation) to bring an insurance claim, for example a personal injury claim, then a transfer of data to a third country requires either the EU Commission to have decided that the relevant third country has established adequate levels of protection or that the controller or processor in the third country has established or will establish appropriate levels of security.

In some circumstances, the use of the EU Standard Model Clauses may be appropriate.

What does the Regulation mean for the Clinica Doctor 3D and what measures ought to be taken?

Some of the actions Clinica Doctor 3D has taken, or is in the process of taking, in response to the GDPR are as follows:

  • A Data Protection Policy is being established and implemented;
  • A DPO has been appointed;
  • Internal written procedures and processes are being updated to include, for example, a regular review to ensure that unnecessary personal data is deleted;
  • Standard privacy notices to data subjects giving details of rights under the GDPR will be issued when required, and
  • The security and integrity of IT and communication systems have been verified, in relation to both systems containing personal data and systems containing sensitive personal data.

Further impact:

  • Updating or adoption and implementation of a Data Protection Policy;
  • Organisations handling data on a large-scale ought to consider the appointment of a DPO;
  • Establish routines to ensure that data subjects receive appropriate information about processing of personal data and their rights;
  • Unless there is another legal basis upon which to continue to store it, personal data which is no longer necessary should be deleted;
  • Security should be enhanced for communications with third parties relevant to sensitive personal data as defined (e.g. health and medical data), and
  • Additional checks should be established to ensure that personal data is transferred to third countries only when permitted (e.g. when there is a legal basis or a separate agreement exists).

This circular should not be construed as providing legal advice. Members should seek independent advice from their local Data Protection Authorities, when making changes in working routines with a view to ensuring compliance with the GDPR regulations.

Any questions or comments can be directed to the DPO.

Pentru imbunatatirea experientei de navigare, website-ul https://www.doctor3d.ro utilizeaza cookie-uri