Politica de confidentialitate

[vc_row][vc_column][vc_column_text]

1. INTRODUCERE

Această Politică privind  prelucrarea şi protecţia datelor cu caracter personal și a categoriilor speciale de date cu caracter personal defineşte procedura de prelucrare şi protecţie a acestor date de către CARDIO MED S.R.L., cu sediul în municipiul Târgu Mureș, Str. 22 Decembrie 1989, nr. 76, ap. 1, județul Mureș, înregistrată la Registrul Comerţului sub nr. J26/621/1999, CUI 12205417, şi stabileşte procedurile care vizează prevenirea şi evidențierea oricăror încălcări ale legii aplicabile cu privire la datele cu caracter personal.

Această Politică a fost elaborată în conformitate cu legislaţia României şi a Uniunii Europene, în special cu următoarele documente:

• Regulamentul General de Protecţia Datelor (RGPD), adoptat de Parlamentul European şi de Consiliul European la 27 Aprilie 2016;
• Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).

CARDIO MED SRL   acționează în calitate de operator care stabilește, conform GDPR, scopurile și mijloacele de prelucrare a datelor cu caracter personal și a categoriilor speciale de date cu caracter personal în cadrul societății.

Această Politică are rolul de a vă informa cu privire la:

• activităţile de prelucrare a datelor cu caracter personal ale dumneavoastră, în calitate de pacient/client, angajat al societății, candidat la ocuparea unui post in cadrul societății, partener de afaceri, colaborator.
• prelucrările datelor cu caracter personal în vederea desfăşurării activităţilor specifice societății noastre, conform obiectului de activitate.

CARDIO MED SRL poate actualiza, la nevoie,  prezenta Politică, caz în care va informa persoanele vizate prin intermediul site-ului www.cardiomedtgm.ro

 

2. DEFINIȚII DE BAZĂ

În sensul prezentei Politici, se folosesc următoarele definiţii:

Responsabil cu Protecţia Datelor (DPO) înseamnă o persoană care este responsabilă cu monitorizarea aplicării GDPR şi a altor legi aplicabile privind protecţia persoanelor vizate de prelucrarea datelor cu caracter personal şi care exercită funcţiile care îi sunt atribuite de prezenta Politică şi de altă legislaţie aplicabilă, furnizează consultanţă managementului SIG TOURISM SRL cu privire la protecţia datelor cu caracter personal.

Date cu caracter personal înseamnă orice informaţii privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identităţii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale ale acelei persoane;

Prelucrare înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea;

Restricţionarea prelucrării înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;

Creare de Profiluri înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanţa la locul de muncă, situaţia economică, sănătatea, preferinţele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;

Operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal. In sensul prezentei Politici, prin operator de înţelege SIG TOURISM SRL;

Persoană împuternicită de operator înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

Destinatar înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terţă;

Parte terţă înseamnă o persoană fizică sau juridică, autoritate publică, agenţie sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator şi persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;

Consimţământ al persoanei vizate înseamnă orice manifestare de voinţă liberă, specifică, informată şi lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declaraţie sau printr-o acţiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

Încălcarea securităţii datelor cu caracter personal înseamnă o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;

Date privind sănătatea înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia;

Prelucrarea transfrontalieră înseamnă fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puţin două state membre; sau fie prelucrarea datelor cu caracter personal care are loc în contextul activităţilor unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre.

 

3. SCOPURILE ȘI TEMEIUL LEGAL PENTRU CARE PRELUCRĂM DATELE DUMNEAVOASTRĂ CU CARACTER PERSONAL.

a). În vederea îndeplinirii activităţilor specifice:

• În scopul prestării serviciilor medicale solicitate de către Pacienţi/Clienţi:
• În scopul raportării serviciilor medicale efectuate către instituţiile prevăzute de lege, spre decontarea acestor servicii;
• În scopul îndeplinirii responsabilităţilor legale de transmitere a datelor (individuale sau statistice) către instituţiile publice reglementate de lege;
• În scopul prelucrărilor statistice ale acestor date, statistici necesare pentru a putea răspunde diferitelor solicitări primite de la instituţii publice şi necesare pentru realizarea indicatorilor de management pentru îmbunătăţirea sau menţinerea standardelor de calitate;
• În scopul îmbunătăţirii serviciilor (cum ar fi chestionarul de evaluare a satisfacţiei), gestionării solicitărilor/ reclamaţiilor primite din partea dumneavoastră şi prezentarea analizelor necesare – în contextul prelucrărilor de date ale pacienţilor/clienţilor sau ale angajaţilor;
• În scopul realizării serviciilor medicale, gestionării sistemelor şi serviciilor de sănătate de către societate;
• În scopuri de recrutare – în contextul prelucrării datelor candidaţilor pentru angajare;
• În scopul gestionării programărilor, reclamaţiilor, sugestiilor sau a oricăror solicitări telefonice;
• În scopul identificării persoanelor responsabile în cazul unor evenimente ce fac obiectul unei anchete interne sau externe – în contextul prelucrării datelor tuturor persoanelor care pătrund în incinta spitalului;
• În scop de promovare în mediul online sau în mass-media – în contextul prelucrării datelor tuturor persoanelor care pătrund în incinta punctelor de lucru ale societății.

 

Temeiul juridic al acestor activităţi de prelucrare: Ordinul nr. 1782/2006 – ANEXA Nr. 6 , ANEXA Nr. 7, Ordinul MS CNAS nr. 1123/849/2016 – ANEXA Nr. 2, Ordin MS nr. 1501/2016, Ordin nr. 52/2002, Legea nr. 333/2003 modificată și completată, Legea nr. 46/2003 modificată și completată, Ordin nr. 1410/2016, Ordin MS nr. 1502/2016, actualizate.

        b). În vederea încheierii şi executării contractelor, pentru următoarele scopuri:

• În vederea încheierii şi executării contractelor de muncă;
• Executarea contractelor privind furnizarea de asistenţă medicală, încheiate cu Pacienţiisocietății;
• În vederea încheierii contractelor – în contextul prelucrărilor de date pentru programările telefonice solicitate de pacienţi/aparținători sau prin alte mijloace de comunicare la distanţă;

Temeiul juridic al acestor activităţi de prelucrare: Legea nr. 53/2003 Codul muncii, Legea nr. 153/2017, HG . 286/2011, Ordin MS 1470/2011, Ordin MS 869/2015, Legea nr. 78/2014, actualizate.

 

4. CATEGORII DE DATE CU CARACTER PERSONAL PRELUCRATE

a). În cazul Pacienţilor/Clienţilor – în funcţie de interacţiunea dumneavoastră cu CARDIO MED SRL:

– pentru serviciile medicale acordate (internare, investigaţii şi rezultate clinice şi paraclinice, consultaţii, eliberare reţete, concedii medicale, scrisoare medicala, bilet de externare, bilet de internare, programare):

• date de identificare – nume, prenume, CNP, seria şi numărul actului de identitate;
• setul minim de date la nivel pacient -reglementate prin Ordinul nr. 1782/2006 anexele 6 şi 7;
• datele şi informaţiile medicale -reglementate prin ordinul nr. 1123/849/2016 anexa 2;
• datele de contact, număr de telefon şi/sau adresă de e-mail -reglementate prin Ordinul nr. 1501/2016;

În funcţie de serviciul medical efectuat, categoriile de date colectate pot fi diferite.

b). În cazul persoanelor care contactează CARDIO MED prin intermediul Compartimentului Secretariat și Recepție pentru programări, solicitări, reclamaţii, etc., în contextul:

• programărilor pentru serviciile medicale decontate de CAS, sunt prelucrate următoarele date cu caracter personal: nume, prenume, CNP, calitatea de asigurat, informaţii privind trimiterea medicală, data naşterii, numărul de telefon, adresă de e-mail;
• programărilor telefonice ale Pacienţilor direct plătitori, sunt prelucrate următoarele date cu caracter personal: nume, prenume, informaţii privind trimiterea medicală, număr de telefon, adresă de e-mail;
• solicitărilor, reclamaţiilor şi a sugestiilor telefonice, precum şi cele transmise prin alte mijloace de comunicare la distanţă sunt prelucrate următoarele date cu caracter personal: nume, prenume, adresă de domiciliu, telefon, adresă e-mail.

1. c) În cazul angajaţilor, a candidaţilor pentru angajare:

• conform Codului Muncii, Legea 53/2003, sunt prelucrate următoarele date cu caracter personal ale angajaţilor: Nume, Prenume, CNP, data naşterii, sexul, seria şi numărul actului de identitate, adresă domiciliu, cetăţenie, carte de muncă, adeverinţe de vechime, profesia, funcţii ocupate, nivelul instruirii/studii finalizate, diplome obţinute, date contact – număr de telefon, adresă de e-mail, semnătura, date furnizate prin CV (care poate să includă, printre altele, următoarele date în plus faţă de cele menţionate anterior, respectiv: imagine, formare profesională, informaţii privind ultimul loc de muncă).
• conform specificului activității societății, mai sunt prelucrate și: Codul de parafă, funcţia, specialitatea medicală, data început specialitate, competenţe, date legate de semnătură electronică;

d). În cazul tuturor persoanelor care pătrund în incinta Punctelor de Lucru

• imagini video înregistrate de sistemul de supraveghere marcat corespunzător la locul fiecărei camere de luat vederi;
• fotografii sau înregistrări, utilizate numai cu consimţământul persoanelor fotografiate sau înregistrate;

 

  5. DESTINATARII DATELOR CU CARACTER PERSONAL

Pentru îndeplinirea scopurilor de prelucrare, CARDIO MED SRL poate să dezvăluie anumite categorii de date cu caracter personal către următoarele categorii de destinatari: persoana vizată şi/sau reprezentanţii săi legali, reprezentanţii societății, partenerii contractuali pentru servicii externalizate și furnizori software, care asigură la rândul lor confidenţialitatea datelor fără a le folosi în alte scopuri în afara celor care fac obiectul contractelor dintre ei şi societate, autorităţi judecătoreşti sau alte autorităţi publice.

În vederea conformării cu obligaţiile legale aplicabile de transmitere a datelor (individuale sau statistice) societatea transmite anumite seturi de date prelucrate către: Casa de Asigurări de Sănătate – C.A.S., Direcţia de Sănătate Publică – D.S.P., Dosarul Electronic de Sănătate – D.E.S., Şcoala Naţională de Sănătate Publică, Management şi Perfecţionare în Domeniul Sanitar Bucureşti – S.N.S.P.M.P.D.S.B., Autoritatea Naţionala de Management al Calităţii în Sănătate – A.N.M.C.S., Inspectoratul Teritorial de Muncă – I.T.M., Agenţia Naţională de Administrare Fiscală – A.N.A.F. etc.

 

6. PRINCIPII PRIVIND PRELUCRAREA DATELOR CU CARACTER PERSONAL

 

• Corectitudinea și legalitatea

CARDIO MED SRL protejeaza drepturile individuale ale persoanelor fizice (Persoana vizată) cu ocazia prelucrarii datelor cu caracter personal, acestea fiind colectate și prelucrate în mod legal și corect.

Legalitatea – presupune identificarea bazei legale înainte de prelucrarea datelor cu caracter personal. Acestea sunt denumite adesea „condițiile de prelucrare”, de exemplu, consimțământul.

Corectitudinea – pentru ca prelucrarea datelor să fie corectă, operatorul de date trebuie să facă anumite informații disponibile pentru Persoanele vizate. Aceasta se aplică indiferent dacă datele cu caracter personal au fost obținute direct de la persoanele vizate sau din alte surse.

• Restricții la un anumit scop (limitări legate de scop)

Datele cu caracter personal sunt prelucrate numai în scopul definit înainte de inceperea colectarii Datelor. Modificările ulterioare ale scopului sunt posibile doar cu titlu exceptional, într-o măsură limitată și necesită o fundamentare.

• Transparența

Persoana vizată este informată cu privire la modul în care sunt prelucrate datele sale. În general, datele cu caracter personal sunt colectate direct de la persoana în cauză. Atunci când datele sunt colectate, Persoana vizată trebuie să fie conștientă sau să fie informată despre:

• Identitatea Operatorului de Date,
• Scopul prelucrării datelor,
• Terțe părți sau categorii de terțe părți cărora le-ar putea fi transmise datele.
• Reducerea prelucrării datelor și economia colectării datelor („reducerea la minimum a datelor”);

Înainte de prelucrarea datelor cu caracter personal, trebuie determinat dacă și în ce măsură prelucrarea datelor cu caracter personal este necesară pentru atingerea scopului pentru care este efectuată. Atunci când scopul permite acest lucru și unde cheltuielile implicate sunt proporționale cu scopul urmărit, sunt utilizate date anonime sau statistice. Datele cu caracter personal nu sunt colectate în avans și stocate în scopuri potențiale viitoare, cu excepția cazului în care acest lucru este impus sau permis de legislația in vigoare.

• Ștergerea

Datele personale care nu mai sunt necesare după expirarea perioadelor legate de procesele legale sau de afaceri sunt șterse. În cazul în care sunt identificate indicii cu privire la existenta unor interese care necesită protejarea sau legate de importanța istorică a acestor date în cazuri individuale, este posibil ca CARDIO MED SRL sa păstreze datele până când interesele care merită protejate au fost clarificate în mod legal, sau arhiva corporativă a evaluat datele pentru a determina dacă trebuie păstrate în scopuri istorice/arhivistice/statistice. Atunci cand stergerea datelor poate avea impact asupra sistemelor informatice ale CARDIO MED SRL, datele vor fi anonimizate ireversibil, astfel incat sa nu mai existe indicii care sa poata conduce la identificarea persoanei vizate.

• Precizia faptică; actualizarea datelor („exactitate”)

Datele cu caracter personal trebuie să fie corecte, complete și, dacă este necesar, să fie actualizate. CARDIO MED SRL  ia măsuri adecvate pentru a se asigura că datele eronate sau incomplete sunt șterse, corectate, completate sau actualizate.

• Confidențialitatea și securitatea datelor („integritate și confidențialitate”).

Datele cu caracter personal sunt supuse obligatiilor legale de pastrare a secretului datelor. Acestea trebuie să fie tratate ca fiind confidențiale de fiecare angajat al CARDIO MED SRL și sunt asigurate măsuri organizatorice și tehnice adecvate pentru a preveni accesul neautorizat, prelucrarea sau distribuția ilegală, precum și pierderea accidentală, modificarea sau distrugerea.

• Principiul răspunderii, conform GDPR

GDPR include prevederi care promovează răspunderea și guvernanța. Acestea completează cerințele de transparență ale GDPR. Principiul răspunderii din Articolul 5 (2) din GDPR NE solicită să demonstrăm că respectăm principiile și specifică explicit că aceasta este responsabilitatea noastră.

CARDIO MED SRL va dovedi conformitatea cu principiile de protecția datelor prin implementarea politicilor de protecția datelor, respectarea codurilor de conduită, implementarea unor măsuri tehnice și organizaționale, a Procedurii de notificare a încălcării protecției datelor cu caracter personal și a Planului de răspuns la incidente de securitate.

• Responsabilitate

CARDIO MED SRL, în calitate de Operator de date, a dat dovadă de responsabilitate în stabilirea scopurilor și mijloacelor de prelucrare a datelor cu caracter personal, în conformitate cu obiectul său de activitate, putând astfel să demonstreze conformitatea cu principiile GDPR, enunțate mai sus.

 

7. DREPTURILE DUMNEAVOASTRĂ

Aceste drepturi sunt următoarele:

Dreptul de a primi informații cu privire la prelucrarea datelor și o copie a datelor procesate, vă permite să obțineți confirmarea faptului că datele dumneavoastră personale sunt prelucrate de către noi şi, dacă este afirmativ, care sunt detaliile relevante ale acestor activități de prelucrare.

Dreptul de a solicita rectificarea datelor inexacte sau completarea datelor incomplete, vă permite să rectificați datele dumneavoastră personale dacă sunt incorecte.

Dreptul de a solicita ștergerea datelor cu caracter personal și, în cazul în care datele cu caracter personal au fost făcute publice, transmiterea informațiilor referitoare la solicitarea de ștergere către alți operatori, vă permite să obțineți ștergerea datelor dumneavoastră personale în anumite cazuri, ca de exemplu:

• dacă datele nu mai sunt necesare în legătură cu scopurile pentru care au fost colectate;
• dacă procesarea s-a bazat pe consimțământul dumneavoastră și dacă v-ați retras consimțământul, sau acesta a expirat sau în cazul în care nu mai există un temei juridic pentru procesarea datelor dumneavoastră personale;
• o instanță sau o autoritate de reglementare a decis că datele dumneavoastră cu caracter personal în cauză trebuie șterse;
• dacă se dovedește că datele dumneavoastră personale au fost prelucrate în mod ilegal.

 

La rândul nostru, avem dreptul să refuzăm solicitarea dumneavoastră de ștergere a datelor cu caracter personal dacă este necesar să le prelucrăm:

• pentru exercitarea dreptului la liberă exprimare și informare;
• pentru a respecta o obligație legală de prelucrare, pentru a îndeplini o sarcină executată în interes public sau în cadrul exercitării unei autorități oficiale cu care suntem învestiţi;
• pentru motive de interes public în domeniul sănătății publice;
• pentru constatarea, exercitarea sau apărarea unui drept în instanță.

 

Dreptul de a solicita restricționarea prelucrării datelor, vă permite să obțineți restricția de procesare a datelor dumneavoastră cu caracter personal în anumite cazuri, de exemplu, atunci când contestați acuratețea datelor dumneavoastră cu caracter personal, pentru o perioadă care ne permite să verificăm această acuratețe.

Dreptul la portabilitatea datelor, vă permite să primiți datele cu caracter personal pe care ni le-ați furnizat, într-un format structurat, utilizat în mod obișnuit și lizibil, sau să transmiteți aceste date unui alt operator de date.

Dreptul de a vă opune prelucrării datelor cu intenția de a înceta prelucrarea, vă permite să obiectați la procesarea ulterioară a datelor dumneavoastră cu caracter personal, în condițiile și în limitele stabilite de lege.

Dreptul de a vă retrage oricând un consimțământ dat în vederea opririi unei prelucrări a datelor care se bazează pe consimțământul dvs. Retragerea nu va afecta legalitatea prelucrării pe baza consimțământului acordat înainte de retragere.

Dreptul de a depune o plângere la o autoritate de supraveghere dacă considerați că prelucrarea datelor este o încălcare a GDPR.

Puteti depune plângere în special la autoritatea de supraveghere din statul membru al Uniunii Europene:

• în care aveti reședința obișnuită;
• în care se află locul dumneavostra de muncă;
• în care a avut loc presupusa încălcare a drepturilor dumneavostra cu privire la protecția datelor.

 

În România, autoritatea de supraveghere a prelucrării datelor cu caracter personal este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

Detaliile de contact ale ANSPDCP sunt următoarele:

• Adresă: Bulevardul General Gheorghe Magheru nr. 28-30, Sector 1, București, România, cod poștal 010336
• Număr de telefon (fix): 031 805 92 11
• Număr de fax: 031 805 96 02
• Adresă de email: anspdcp@dataprotection.ro
• Website: http://www.dataprotection.ro/

Ca si persoană vizată, puteți contacta responsabilul nostru pentru protecția datelor – DPO office@aurariskprotection.com, tel. 0758393518 în orice moment și în mod gratuit, cu o notificare, sau utilizând următoarele date de contact: e-mail: contact@cardiomedtgm.ro în vederea exercitării drepturilor dvs. în conformitate cu GDPR, .

De asemenea, aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în calitatea sa de autoritate publică centrală autonomă, cu competență generală în domeniul protecției datelor personale, la adresa de e-mail: anspdcp@dataprotection.ro.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_empty_space height=”64px”][/vc_column][/vc_row]

Politica de confidentialitate