top of page

Politică de confidențialitate

Cine suntem:

În conformitate cu prevederile Regulamentului General privind Protecția Datelor (GDPR), cu aplicabilitate din 25 mai 2018, Radvision Diagnostic S.R.L are obligația de a prelucra datele cu caracter personal (astfel cum acestea sunt definite de legislația în vigoare) în condiții de siguranță, pentru scopurile specificate în prezenta politica adoptata in acest sens, în contextul furnizării serviciilor ce fac obiectul de activitate al societatii.

Site-ul www.radvision.ro aparține S.C Radvision Diagnostic S.R.L,

Politica site-ului web www.radvision.ro, precum si orice alte documente la care se face referire in continutul acestei politici se refera la modalitatea in care se colecteza, proceseaza și utilizeaza datele dumneavoastră personale, in conformitate cu prevederile Regulamentului (UE) nr. 679/2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul General  pentru protecția datelor)

.

Pct.1. Datele de identificare ale Operatorului:

Radvision Diagnostic S.R.L., persoana juridica romana, cu sediul  in Timisoara, Str. Calea Sagului nr. 49-51, Camera 1, ap. 42, inmatriculata la Oficiul Registrului Comertului Timis, sub nr.  J/35/2145/2021, avand CUI 44343710, adresă e-mail radvisiondiagnostic@gmail.com, Tel: +40 744 409 029

Pct.2 Politica aplicata de catre Radvision Diagnostic SRL cu privire la protectia datelor cu caracter personal:

Definitii:

 „date cu caracter personal” înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

 „prelucrare” înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;

„restricţionarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

 „pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informaţii suplimentare, cu condiţia ca aceste informaţii suplimentare să fie stocate separat şi să facă obiectul unor măsuri de natură tehnică şi organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;

„sistem de evidenţă a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcţionale sau geografice;

 „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile şi mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

 „persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

„destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă. Cu toate acestea, autorităţile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autorităţile publice respective respectă normele aplicabile în materie de protecţie a datelor, în conformitate cu scopurile prelucrării;

 „parte terţă” înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

 „încălcarea securităţii datelor cu caracter personal” înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

„date genetice” înseamnă datele cu caracter personal referitoare la caracteristicile genetice moştenite sau dobândite ale unei persoane fizice, care oferă informaţii unice privind fiziologia sau sănătatea persoanei respective şi care rezultă în special în urma unei analize a unei mostre de material biologic recoltate de la persoana în cauză;

 „date biometrice” înseamnă o date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice;

„date privind sănătatea” înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;

„reprezentant” înseamnă o persoană fizică sau juridică stabilită în Uniune, desemnată în scris de către operator sau persoana împuternicită de operator în temeiul articolului 27 din Regulamentului (UE) nr. 679/2016, care reprezintă operatorul sau persoana împuternicită în ceea ce priveşte obligaţiile lor respective care le revin în temeiul prezentului regulament;

„reguli corporatiste obligatorii” înseamnă politicile în materie de protecţie a datelor cu caracter personal care trebuie respectate de un operator sau de o persoană împuternicită de operator stabilită pe teritoriul unui stat membru, în ceea ce priveşte transferurile sau seturile de transferuri de date cu caracter personal către un operator sau o persoană împuternicită de operator în una sau mai multe ţări terţe în cadrul unui grup de întreprinderi sau al unui grup de întreprinderi implicate într-o activitate economică comună;

 „autoritate de supraveghere” înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 51 din  Regulamentului (UE) nr. 679/2016;

„autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece:

(a)operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorităţii de supraveghere respective;

(b)persoanele vizate care îşi au reşedinţa în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau

(c)la autoritatea de supraveghere respectivă a fost depusă o plângere;

   “categorii de destinatari’’ inseamna autoritaţi publice centrale/locale;-instituţii de   invaţamant şi  educaţie; – societaţi bancare; – societaţi de asigurare şi reasigurare.

DREPTURILE PERSOANELOR VIZATE pe care institutia RADVISION DIAGNOSTIC S.R.L se obliga să le respecte:

  • Dreptul la informare şi acces;                

  • Dreptul la rectificare;

  • Dreptul la ştergerea datelor;

  • Dreptul la restricţionarea prelucrarii;

  • Dreptul la portabilitatea datelor;

  • Dreptul la opoziţie;

Prin adoptarea prezentei politici, RADVISION DIAGNOSTIC S.R.L asigura respectarea urmatoarelor principii:

  • confidentialitatea din momentul colectarii si pe toata durata prelucrarii si arhivarii ulterioare;

  • garantia ca va notifica Autoritatea in situatia incalcarii securitatii datelor;

  • evaluarea impactului asupra vietii private pentru prelucrari cu risc ridicat, daca va fi cazul;

  • implementarea masurilor tehnice si organizatorice adecvate pentru prevenirea oricarei ingerinte neautorizate sau accesului la operatiunile de prelucrarea a datelor;

  • prin masurile adoptate, oferirea garantiilor ca datele personale nu sunt accesibile, fara interventia persoanei, de persoane neautorizate;

  • punerea in aplicare a masurilor adoptate pentru oferirea garantiei ca normele privind protectia datelor sunt respectate.

Prelucrarea datelor cu caracter personal se realizeaza cu respectarea prevederilor legale, respectiv urmare a consimtamantului persoanei vizate.

Prin adoptarea prezentei politici, RADVISION DIAGNOSTIC S.R.L asigura respectarea urmatoarelor principii:

  • confidentialitatea din momentul colectarii si pe toata durata prelucrarii si arhivarii ulterioare;

  • garantia ca va notifica Autoritatea in situatia incalcarii securitatii datelor;

  • evaluarea impactului asupra vietii private pentru prelucrari cu risc ridicat, daca va fi cazul;

  • implementarea masurilor tehnice si organizatorice adecvate pentru prevenirea oricarei ingerinte neautorizate sau accesului la operatiunile de prelucrarea a datelor;

  • prin masurile adoptate, oferirea garantiilor ca datele personale nu sunt accesibile, fara interventia persoanei, de persoane neautorizate;

  • punerea in aplicare a masurilor adoptate pentru oferirea garantiei ca normele privind protectia datelor sunt respectate.

Prelucrarea datelor cu caracter personal se realizeaza cu respectarea prevederilor legale, respectiv urmare a consimtamantului persoanei vizate.

 DREPTURILE PERSOANELOR VIZATE pe care institutia RADVISION DIAGNOSTIC S.R.L se obliga să le respecte:

  • Dreptul la informare şi acces;                

  • Dreptul la rectificare;

  • Dreptul la ştergerea datelor;

  • Dreptul la restricţionarea prelucrarii;

  • Dreptul la portabilitatea datelor;

  • Dreptul la opoziţie;

 

Dreptul la informare si acces

In institutia RADVISION DIAGNOSTIC S.R.L se colecteaza date cu caracter personal de la persoanele vizate in urmatoarele situatii:

  • Angajatii si colaboratorii care sunt informati privind prelucrarea datelor si, in acelasi timp, isi exprima acordul pentru acest proces, temeiul juridic de prelucrare fiind contractul de munca respectiv contractul de colaborare/prestari servicii;

  • Numele, prenumele, CNP ul, analizele si datele medicale ale pacientilor, a caror analize / investigatii sunt interpretate de catre RADVISION DIAGNOSTIC S.R.L, in baza contractului de colaborare cu institutiile medicale (Operatori de date cu caracter personal care au contactul direct cu pacientii). Temeiul juridic al colectarii acestor date il reprezinta contractul.

  • Persoane in procesul de recrutare/angajare in cadrul unitatii care sunt informate privind prelucrarea datelor si, in acelasi timp, isi exprima acordul pentru acest proces.

 

Dreptul la rectificarea datelor

RADVISION DIAGNOSTIC S.R.L asigura respectarea dreptului persoanei vizate de a obtine fara intarzieri nejustificate rectificarea datelor cu caracter personal inexacte care o privesc. De asemenea, in corelatie cu scopurile in care au fost colectate si prelucrate datele, RADVISION DIAGNOSTIC S.R.L asigura respectarea dreptului persoanei vizata de a obtine completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declaratii suplimentare.

 

Dreptul la stergerea datelor  ,,dreptul de a fi uitat”

Pacientii unitatii medicale cu care societatea noastra are raport de colaborare, pacienti  a caror investigatii sunt interpretate de catre RADVISION DIAGNOSTIC S.R.L si care sunt informati privind colectarea si prelucrarea datelor si, in acelasi timp, isi exprima acordul pentru acest proces, nu beneficiaza de dreptul la stergerea datelor.

Pe de alta parte, in situatia persoanelor angrenate in procesul de recrutare/angajare in cadrul institutiei si care sunt informate privind colectarea si prelucrarea datelor si, in acelasi timp, isi exprima acordul pentru acest proces, se va  proceda astfel:

La solicitarea persoanei vizate de stergere a datelor sale de identificare, institutia va invoca necesitatea pastrarii acestora pentru respectarea legislatiei muncii. In acest context, se impune pastrarea datelor personale cu incidenta in arhivarea dosarului de personal, atat pe perioada derularii contractului individual de munca cat si pe perioada arhivarii dosarului de personal (50 de ani, 10 ani, respectiv 5 ani in functie de specifiul fiecarui act in parte). De asemenea, datele care nu mai trebuie pastrate, precum numarul de telefon, emailul, imaginea angajatului, pot fi sterse la simpla cerere a acestuia.

 

Dreptul la restrictionarea prelucrarii

RADVISION DIAGNOSTIC S.R.L asigura dreptul persoanei vizate privind restrictionarea prelucrarii, respectiv limitarea acesteia (cu exceptia stocarii propriu-zise) strict la prelucrarile cu care persoana vizata este de acord si /sau strict la prelucrarile necesare conform legislatiei muncii.

Restrictionarea se aplica atunci cand:

  • persoana vizata contesta exactitatea datelor, pentru o perioada care ii permite societatii sa verifice exactitatea datelor;

  • prelucrarea este ilegala iar persoana vizata se opune stergerii datelor solicitand restrictionarea;

 

Dreptul la portabilitatea datelor

RADVISION DIAGNOSTIC S.R.L asigura persoanei vizate dreptul la portabilitatea datelor.

Astfel, unitatea sanitara asigura (i) furnizarea datelor primite de la persoana vizata intr-un format accesibil la cererea acesteia si (ii) transmiterea unor astfel de date catre alti operatori la cererea persoanei vizate, incidenta cand urmatoarele conditii cumulative sunt indeplinite:

  • prelucrarea se bazeaza pe consimtamant sau este necesara pentru executarea unui contract la care persoana vizata este parte sau pentru a face demersuri la cererea persoanei vizate inainte de incheierea unui contract; si

  • este  realizata prin mijloace automate (nu in forma fizica / hartie, ci prin orice mijloace automatizate).

 

Dreptul de opozitie la prelucrarea datelor

RADVISION DIAGNOSTIC S.R.L respecta dreptul persoanelor vizate de a se opune oricand la prelucrarea datelor lor cu caracter personal:

  • din motive legate de situatia particulara in care se afla;

  • fara motive si justificare,  in cazul prelucrarii datelor in scopuri de marketing direct;

RADVISION DIAGNOSTIC S.R.L nu mai poate prelucra datele cu caracter personal in cazul opunerii, cu exceptia cazului in care demonstreaza ca are motive legitime (de exemplu prevederile in materia dreptului muncii) si imperioase care justifica prelucrarea si care prevaleaza asupra intereselor, drepturilor si libertatilor persoanei vizate sau ca scopul prelucrarii este constatarea, exercitarea sau apararea unui drept in instanta.

MODALITATEA DE RASPUNS

RADVISION DIAGNOSTIC S.R.L raspunde solicitarilor de informare ale persoanei vizate in termen de 15 zile, cu posibilitatea extinderii acestei perioade pentru solicitari deosebit de complexe, prin intermediul persoanei mandate de catre societate in acest sens. 

 MODALITATEA DE INFORMARE A PERSOANEI VIZATE

  • informarea persoanei vizate se face la momentul colectarii datelor direct de la aceasta;

  • informarea persoanei vizate include informatii privind scopul colectarii si al prelucrarii datelor  precum si drepturile de care dispune aceasta;

  • in acelasi timp cu informarea persoanei vizate se solicita si consimtamantul acesteia pentru prelucrarea datelor cu caracter personal.

IDENTIFICAREA DATELOR CU CARACTER PERSONAL CARE SE PRELUCREAZA, A DURATEI PENTRU CARE SE PRELUCREAZA SI A SCOPULUI IN CARE SE PRELUCREAZA . MODALITATE DE PRELUCRARE

1. Datele care se prelucreaza:

Datele cu caracter personal sunt prelucrate de către RADVISION DIAGNOSTIC S.R.L in scopuri legitime, dupa cum urmeaza:

1.1. Prelucrarea datelor cu caracter personal in vederea realizării obiectului contractelor de prestari servicii incheiate de societate cu unitatile medicale: interpretarea rezultatelor investigatiilor imagistice ale pacientilor.

1.2. Prelucrarea datelor cu caracter personal în scopul soluționării cererilor și adreselor instituțiilor publice conform competentelor legale ale acestora.

1.3. Prelucrarea datelor în scopul desfășurării activităților de angajare pentru ocuparea posturilor vacante și gestionarea dosarelor în diferitele etape ale procedurilor de selecție, în vederea ocuparii postului vacant.

1.4. Prelucrarea datelor cu caracter personal pentru promovarea serviciilor prin utilizarea imaginilor/fotografiilor angajatilor (cu titlu de exemplu dar fara a ne limita la : website, Facebook, etc.) cu acordul liber exprimat de persoana vizată, în prealabil.

2. Durata prelucrarii datelor

În cadrul scopurilor legate de activitatea RADVISION DIAGNOSTIC S.R.L, datele cu caracter personal vor fi stocate pe o perioadă limitată de timp într-un loc sigur şi în conformitate cu condiţiile şi prevederile legale, astfel:

2.1. Datele care sunt necesare în scopuri legate de dosarele de personal- pe o perioada de timp necesară în vederea îndeplinirii obligaţiilor legale prevăzute de legislaţia aplicabilă;

2.2. Datele legate de plăți/facturare vor fi stocate pe o perioadă de 10ani, conform prevederilor legale incidente; 

2.3. Datele privind supravegherea video pentru asigurarea securității bunurilor și persoanelor se vor stoca pe o perioadă de 30 de zile calendaristice;

3. Necesitatea prelucrării datelor cu caracter personal

Datele colectate si prelucrate sunt in acord cu scopurile declarate de catre RADVISION DIAGNOSTIC S.R.L, furnizarea si acordul pentru prelucrare fiind obligatorii pentru ca persoana vizata sa poata beneficia de servicii prestate. 

4. Persoanele împuternicite/Destinatari

Datele cu caracter personal colectate in institutie pot fi prelucrare doar de catre RADVISION DIAGNOSTIC S.R.L, persoana imputernicita de aceasta si autoritati ale statului pe baza competentelor acestora prevazute de legea aplicabila.

In etapa de selectie de forta de munca se prelucreaza urmatoarele date cu caracter personal: numele si prenumele, domiciliul, data nasterii- daca aceasta este trecuta in CV si imaginea candidatului daca ea apare inserata in CV-ul transmis, formarea  profesionala, iar in etapa de interviu se va  crea un profil  pe baza informatiilor detaliate in cuprinsul CV-ului transmis catre institutie.

Datele se prelucreaza in vederea selectiei persoanei vizate pentru ocuparea unui loc de munca in cadrul institutiei.  Aceste date /notitele aferente vor fie gestionate in format electronic de catre responsabilul de proces.

 In functie de modalitatea in care se depune CV-ul de catre aplicanti, se procedeaza la prezentarea notei de informare si la luarea consimtamantului persoanei vizate, in vederea prelucrarii datelor sale cu caracter personal astfel:

  • Daca persoana vizata a aplicat CV-ul  pe siturile de profil, aceasta a luat la cunostinta si, si-a dat consimtamantul in vederea prelucrarii datelor sale cu caracter personal in momentul aplicarii.

  • Daca persoana vizata aplica spontan CV-ul prin diverse canale de comunicare, aceasta va primi informarea si va semna consimtamantul cu privire la prelucrarea datelor cu caracter personal in momentul interviului.

La aceste date au acces toti angajatii care participa la interviu: persoana de la Resurse Umane, persoana din cadrul sectiei unde urmeaza a se face angajarea, etc, toate aceste persoane avand obligatia de a pastra confidentialitatea datelor cu caracter personal ale candidatilor.

La momentul angajarii sunt prelucrate urmatoarele date cu caracter personal: numele si prenumele, domiciliul, data nasterii,  date de stare civila, cetatenie, poza din CI, CNP-ul, seria si numarul de CI, data eliberarii si a expirarii CI si organul emitent, solicitand spre pastrare si o copie a CI, semnatura, date ce sunt prelucrate in vederea redactarii si inregistrarii contractului individual de munca. Se vor prelucra, de asemenea date cu privire la religie in vederea acordarii a doua zile libere pentru fiecare din cele 3 sarbatori religioase declarate astfel de culte religioase legale, altele decat cele crestine, pentru personele apartinand acestora, conform art. 139 din Legea nr. 53 / 2003 (Codul muncii). Aceste date sunt prelucrate strict pentru ca persoana sa beneficieze de aceste drepturi consfintite de dreptul muncii. Aceste date vor fi prelucrate in temeiul legii. Potrivit art.16 din Codul Muncii, contractul individual de munca se incheie in baza consimţamantului parţilor, in forma scrisa, in limba romana, anterior inceperii activitaţii de catre salariat. Obligaţia de incheiere a contractului individual de munca in forma scrisa revine angajatorului. Anterior inceperii activitaţii, contractul individual de munca se inregistreaza in registrul general de evidenţa al salariaţilor, care se transmite Inspectoratului Teritorial de Munca. Aceste date vor fi pastrate pe toata perioada derularii contractului individual de munca, iar la incetarea contractului vor fi mentinute doar in scopul arhivarii si pastrarii pentru o perioada de 50 de ani, conform legislatiei in vigoare (anexa 6 din Legea 16/1996, privind arhivele nationale).

Odata cu angajarea,  se prelucreaza in plus, imaginea persoanei vizate, care va fi strict pentru interactiunea cu toti angajatii, la aceasta avand acces toti angajatii, contul bancar necesar pentru virarea drepturilor banesti, un email personalizat creat de catre organizatie pentru fiecare angajat, daca va fi cazul, – activ pe toata perioada derularii contractului individual de munca, precum si emailul  personal detinut de angajat, in vederea comunicarii de documente personale, pe perioada suspendarii contractului de munca sau imediat dupa incetarea contractului de munca.

Prelucram datele de nastere ale copiilor minori ai angajatilor din certificatul de nastere (nume, prenume, data nastere, date parinti) in temeiul legislatiei romanesti, in vederea beneficierii de deducerile personale aferente, in vederea obtinerii de anumite beneficii oferite de legislatia in vigoare sau de alte acorduri colective la nasterea copilului si in vederea beneficierii de servicii medicale pentru minor, ca si apartinator al salariatului. De asemenea, se vor prelucra datele sotului/sotiei in vederea beneficierii de deducerile antementionate si/sau de serviciile medicale oferite de catre institutie familiei, ca si apartinatori, daca se solicita acest lucru si daca politica societatii o prevede. Aceste date sunt prelucrate pe perioada valabilitatii contractului individual de munca, urmand ca la momentul incetarii contractului individual de munca al angajatului sa fie sterse. Angajatul este totodata informat despre dreptul sau de a-si retrage consimtamantul pentru prelucrarea acestor date, daca ele au fost prelucrate pentru acordarea de beneficii copiilor sau soției (de exemplu asigurare medicala suplimentara, etc.).

Institutia poate folosi imagini cu angajatii  in scop publicitar (spre ex website). Institutia solicita ca angajatul sa bifeze daca isi da sau nu consimtamantul in acest sens, fiind totodata informat despre dreptul sau de a-si retrage consimtamantul.

Pentru legala prelucrare a acestor date, angajatul este informat in calitate de persoana vizata de prelucrarea datelor cu caracter personal asupra scopului prelucrarii, duratei prelucrarii, datelor prelucrate, transmiterii datelor personale catre destinatari, fiind mentionati in mod expres destinatarii, despre transferul de date intr-un stat non UE si garantiile suficiente oferite pentru ca acest transfer sa fie unul sigur.

Se vor transmite datele personale ale angajatilor catre urmatorii destinatari: autoritatile statului roman (Ministerul Finantelor publice, Ministerul Muncii si al Protectiei Sociale, Inspectoratul Teritorial de Munca etc), transmitere ce se face in temeiul legislatiei romanesti.

Se utilizeaza datele cu caracter personal pentru prelucrare automatizata, prin mijloace tehnice pentru stocarea datelor in conditii de securitate, datele in format electronic fiind stocate pe servere securizate.

Instituirea de obligatii clare de prelucrare a datelor cu caracter personal fiecarui angajat implicat in acest proces de prelucrare. Alinierea tuturor documentelor interne la prevederile RGDP.

In cadrul institutiei exista formulare/anexe care se dau spre semnare fiecarui angajat pentru acoperirea cerintelor imperative prevazute de normele europene referitoare la protectia datelor si confidentialitatea acestora.

Stabilirea modului de acces in baza de date a persoanelor autorizate sa prelucreze date cu caracter personal si instituirea de masuri privind asigrarea confidentialitatii datelor.

Persoanele care au drept atributii de lucru prelucrarea datelor cu caracter personal ale angajatilor, au acces la baza de date pe baza de user si parola, individuale. Toate datele sensibile referitoare la interpretarea diagnosticului pacientilor, obiect al contractului de prestari servicii cu institutiile medicale, sunt arhivate si pastrate corespunzator conform cerintelor legii.

 

Politici de arhivare

Scopul politicilor de arhivare va fi acela de a asigura un flux corespunzator al dosarelor sau datelor inactive. Arhivarea documentelor de personal si a celor contabile se face cu respectarea termenelor din legislatia in materie. Un dosar de personal devine inactiv atunci cand a incetat contractul individual de munca al persoanei angajate.

Verificarea masurilor de securitate de IT existente si imbunatatirea acestora, astfel incat sa asigure o protectie adecvata prelucrarii si transmiterii datelor cu caracter personal- Societatea a semnat contracte de colaborare cu entitati specializate in acest domeniu care asigura protectia masurilor de securitate de IT.

Procedura notificarii Autoritatii de supraveghere si a persoanelor vizate  in caz de incident

Art. 33 din Regulament reglementeaza obligatia operatorului de a notifica bresele de securitate catre autoritatea de supraveghere a prelucrarii datelor cu caracter personal.  Societatea noastra va notifica autoritatea de supraveghere cu privire la orice bresa de securitate va aparea, daca situatia o va impune, ori de cate ori va fi necesr, astfel cum prevede regulamentul. Conform art. 32 din Regulament, nu este obligatorie notificarea daca respectiva bresa nu este susceptibila sa genereze un risc pentru drepturile si libertatile persoanelor vizate. Scopul notificarii autoritatii este ca aceasta sa poata interveni pentru limitarea riscurilor asupra drepturilor si libertatilor persoanelor vizate.

In cazurile in care notificarea autoritatii este obligatorie, aceasta trebuie facuta „fara intarziere”, de principiu nu mai tarziu de 72 de ore de la data la care operatorul a luat la cunostinta de existenta bresei.

Continutul minim al notificarii este reglementat de art. 33 din Regulament. La pregatirea notificarii, societatea va  proteja confidentialitatea informatiilor oferite de persoanele vizate, sens in care va oferi autoritatii detalii despre categoriile si numarul persoanelor afectate, fara insa a compromite confidentialitatea datelor primite de la acestea. In anumite situatii, este posibil ca nu toate datele sa fie de la inceput la dispozitia operatorului, unele amanunte devenind disponibile pe masura ce operatorul investigheaza bresa. Pentru aceste situatii, Regulamentul (art. 33 alin. (4)) si A29 GL recunosc posibilitatea notificarii etapizate, in care operatorul transmite autoritatii de supraveghere datele relevante pe masura ce acestea devin disponibile.

Art. 34 din Regulament reglementeaza obligatia operatorului de a informa persoanele vizate cu privire la bresele de securitate. Scopul informarii este ca persoanele vizate sa isi poata lua masuri de protectie.

Informarea persoanelor vizate este obligatorie numai daca incidentul de securitate este susceptibil sa genereze un risc ridicat pentru drepturile si libertatile persoanelor vizate. Daca notificarea autoritatii de supraveghere este obligatorie ori de cate ori exista un risc privind drepturile si libertatile persoanelor vizate, informarea persoanelor vizate este obligatorie atunci cand exista un risc ridicat pentru drepturile si libertatile acestora.

In situatia de fata, orice angajat al societatii care sesizeaza existenta unei brese de securitate va raporta imediat acest aspect persoanei mandate cu protectia datelor cu caracter personal care va aprecia daca este necesara sau nu notificarea autoritatii de supraveghere si respectiv notificarea persoanelor vizate. In vederea notificarii autoritatii de supraveghere nationale se va folosi formularul de notificare disponibil la urmatorul link: http://www.dataprotection.ro/- formular bresa RGDP.

bottom of page