RECEPTIONER MEDICAL

PROTECTIA DATELOR CU CARACTER

PERSONAL
 Regulamentul nr. 679/2016 privind protecţia persoanelor
fizice în ceea ce priveşte prelucrarea datelor cu caracter
personal şi privind libera circulaţie a acestor date şi de
abrogare a Directivei 95/46/CE (Regulamentul general
privind protecţia datelor)

 Comisia Europeană a semnalat, în anul 2012, necesitatea

actualizării cadrului normativ european aplicabil în
domeniul protecţiei datelor şi a propus noi reguli utilizând
ca instrument normativ regulamentul.Regulamentul (UE)
2016/679 a intrat în vigoare pe 25 mai 2016, iar prevederile
lui vor fi aplicabile începând cu data de 25 mai 2018.
Regulamentul stabileşte un set unic de reguli, direct aplicabile în toate statele
membre ale Uniunii, destinat protejării mai eficiente a vieţii private a
persoanelor fizice de pe teritoriul Uniunii Europene.

R e g u l ame nt u l acce nt ue a z ă responsabilitatea operatorilor care p r e l u

creazădatepersonale,simplificând,în acelaşi timp,
formalităţile administrative pe care aceştia trebuie să le parcurgă.

Domeniul de aplicare:
 este direct aplicabil în toate statele member UE
 protejează drepturile tuturor persoanelor fizice aflate pe teritoriul UE,
indiferent de situarea geografică a operatorului de date
 extinde sfera de aplicare şi asupra operatorilor de date stabiliţi în afara UE,
în măsura în care bunurile şi/sau serviciile acestora sunt adresate (şi)
persoanelor aflate pe teritoriul UE
 Excepţii:

 prevederile Regulamentului nu vor fi aplicabile prelucrărilor efectuate în scopul

prevenirii, cercetării şi urmăririi penale a infractorului sau executarea sancţiunii
penale. În cazul acestora vor fi aplicabile prevederile unei reglementări naţionale
în aplicabilitatea Directivei (UE) 2016/680, (care face parte din acelaşi „pachet
legislativ” cu Regulamentul UE 2016/679).
 Regulamentul nu va fi aplicabil activităţilor aflate în afara dreptului Uniunii – aici se
încadrează şi prelucrările de date referitoare la securitatea naţională a statelor
membre şi relaţiile externe.
 Regulamentul nu va fi aplicabil prelucrărilor de date efectuate de o persoană
fizică în cadrul unei activităţi exclusiv personale.
 „Date cu caracter personal” înseamna orice informatii privind o persoana fizica
identificata sau identificabila („persoana vizata”); o persoana fizica identificabila
este o persoana care poate fi identificata, direct sau indirect, în special prin referire
la un element de identificare, cum ar fi un nume, un numar de identificare, date de
localizare, un identificator online, sau la unul sau mai multe elemente specifice,
proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau
sociale.
 „Categorii speciale de date cu caracter personal” (date sensibile) sunt acele date
care dezvaluie originea rasiala sau etnica, opiniile politice, confesiunea religioasa
sau convingerile filozofice sau apartenenta la sindicate si prelucrarea de date
genetice, de date barometrice pentru identificarea unica a unei persoane fizice, de
date privind sanatatea sau de date privind viata sexuala sau orientarea sexuala ale
unei persoane fizice;
 „Prelucrare” inseamna orice operatiune sau set de operatiuni efectuate asupra
datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu
sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea,
organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea,
consultarea, utilizarea, divulgarea prin transmitere,diseminarea sau punerea la
dispozitie în orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau
distrugerea;
 „Consimtamant” al persoanei vizate inseamna orice manifestare de vointa libera,
specifica, informata si lipsita de ambiguitate a persoanei vizate prin care aceasta
accepta, printr-o declaratie sau printr-o actiune fara echivoc, ca datele cu
caracter personal care o privesc sa fie prelucrate;
 „Autoritatea de supraveghere a prelucrarii datelor cu caracter personal” este o
autoritate publica independenta care, potrivit legii, are atributii referitoare la
supravegherea respectarii legislatiei protectiei datelor cu caracter personal. In
Romania, aceasta autoritatea de supraveghere a prelucrarii datelor cu caracter
personal este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu
Caracter Personal (ANSPDCP).
 Datele colectate

Datele colectate de la pacient sunt următoarele:

 Nume, prenume - pentru adresare, contact, transmitere de raportori;
 CNP - pentru identificare, transmitere de raportori;
 Adresa de e-mail - pentru transmiterea rezultatelor, comunicări, informaţii, contract;
factură, notificări de plată, informări;
 Număr de telefon - pentru transmiterea de comunicări, informări;
 Adresă domiciliu - pentru corespondenţă, transmiterea de comunicări;
 Număr card de sanatate - pentru identificare, transmitere de raportori, semnare servicii
medicale;
 Diagnostice medicale - transmitere de raportori, emitere documente medicale;
 Categorie socială - pentru certificarea calitatii de asigurat in sistemul asigurărilor sociale de
sanatate, raportare;
 Date genetice -
 Date biometrice: inaltime, greutate, sex;
 Produsul biologic prelevat sau autorecoltat;
 Date privind starea de sănătate;
 Semnătura.
 Scopul în care vor fi colectate datele personale:
Datele care fac obiectul unui regulament vor fi utilizate strict în următoarele scopuri:
 Prestarea de servicii medicale in interesul persoanei vizate (subiectului);
 Prestarea de servicii precum efectuarea programărilor, recoltarea, păstrare şi folosirea
probelor, efectuarea buletinelor de analize şi s testelor solicitate, a consilierii pre şi/sau
post testare (după caz), comunicarea rezultatelor, raportarea rezultatelor în cazul
valorilor critice;
 Transmiterea de către operator a datelor subiectului către terţii:
 Casa Naţionala de Asigurări de Sanatate, Casa Judeţeană de Asigurări de Sanatate,
Casa Asigurărilor de Sănătate a Apărării, Ordinii Publice, Siguranţei Naţionale şi Autorităţii
Judecătoreşti, Direcţia de Sanatate Publica in scopul: decontare servicii medicale,
statistica medicala in temeiul dreptului Uniunii Europene sau al dreptului intern
 Laboratoare de analize medicale subcontractante UE şi NON UE (SUA)
 Medicul prescriptor
 Transmiterea prin SMS de notificări
 Efectuarea de apeluri de transmitere de informaţii legate de starea de sanatate a
persoanei vizate, programări pentru servicii medicale
 Statistica medicala:
 Cercetare medicala
Tipurile de surse din care se pot primi date cu caracter personal
Desi sursa principala de informații este pacientul sau
apartinatorul, în momentul în care acestia aleg sa accesati
serviciile unitatii medicale, atat prin intermediul telefonului sau a
mediului online pentru a efectua o programare, cat si cand se
beneficiaza de prestarea propriu-zisa a serviciilor medicale,
unitatea medicala poate obtine date cu caracter personal si din
urmatoarele surse:
 Angajatorul, in cadrul serviciilor de medicina muncii, atat la
momentul incheierii unui nou contract de munca cat si pe
parcursul acestuia;
 Asiguratorul, in cadrul asigurarilor medicale de sanatate, atat
private cat si de stat;
 Furnizorul de abonamente medicale, în cazul beneficiarilor de
astfel de abonamente.
 Drepturile pacientului
1. dreptul de a fi informat cu privire la scopul în care se
prelucrează datele, destinatarii, perioada de stocare, dacă
se fac transferuri de date;
2. dreptul de acces - Reprezintă dreptul de a obţine o
confirmare de la operator cu privire la prelucrarea datelor
personale precum şi accesul la acestea;
3. dreptul la rectificare - Este dreptul de a obţine de la
operator corectarea, fără întârzieri nejustificate a datelor
personale incorecte sau incomplete;
4. dreptul de portabilitate a datelor - este dreptul de a primi
datele personale într-un format structurat, şi de a le
transmite altui operator ;
5. dreptul de opoziţie - este dreptul de a vă opune prelucrării
datelor personale care vă privesc (cu excepţiile prezăzute de
Regulament);
6. dreptul la ştergerea datelor/dreptul de a fi uitat. Constă în
dreptul de a cere operatorului ştergerea datelor colectate, fără
întârzieri nejustificate, atunci când nu mai sunt necesare pentru
îndeplinirea scopurilor pentru care au fost colectate, în cazul
retragerii consimţământului
7. dreptul la restricţionarea prelucrării. Poate fi exercitat în
situaţia în care constataţi că datele nu sunt exacte, că
prelucrarea nu este legală, ş.a.
 Valabilitate

 Datele pacientului vor fi păstrate atâta timp cât se impune, în strict acord cu
scopurile prelucrării, în temeiul şi termenele prevăzute de cadrul legal specific
activităţii operatorului de date.

 NU UITATI: Utilizarea datelor din bazele de date, pentru folosire /

publicare se face cu acordul managerului unitatii sanitare!

 Nu se divulga datele cu caracter personal fara un temei si un

scop definit. In anumite situatii, este posibil sa se divulge datele
personale urmatoarelor categorii de entitati, dar nu inainte ca
unitatea medicale sa se asigure ca partenerii sai au luat masurile
necesare de securitate pentru protectia acestora:
 Angajator- in legatura cu evaluarea capacitatii de munca pentru scopuri legate de
medicina muncii, dar numai in limita informatiilor stabilite prin dispozitiile legale, fiind
excluse informatiile cu privire rezultatul investigatiilor medicale realizate.
 Medicii colaboratori si alti furnizori de servicii medicale - fiecare dintre acestia fiind
obligati prin lege sau printr-un contract de colaborare sa pastreze confidentialitatea
datelor pacientului.
 Partenerii – furnizorii de servicii medicale specializate (subcontractori), prin
intermediul unor sisteme electronice de comunicatie securizate, prestatori de servicii
medicale, spitale sau laboratoare medicale, prestatori servicii de citologie cu care
se colaborareaza in vederea acoperirii unei arii cat mai largi de servicii medicale.
 Firme de contabilitate – pentru pastrarea evidentelor contabile lunare, trimestriale si
anuale, audituri si raportari specifice activitatii.
 Imputernicitilor pentru suportul IT
 Furnizorilor platformelor de programare si de evidenta specifice activitatii medicale;
 Firmelor de arhivare colaboratoare
 Firmelor de auditare externa si certificare in domeniul managementului calitatii si
Organizatiei Nationale de Acreditare
 Autoritati publice centrale si locale;
Temeiul in baza caruia se prelucreaza datele cu caracter personal
 Se prelucreaza datele personale (altele decat cele sensibile), in principal pentru
a putea incheia un contract cu pacientul sau apartinatorii , la cererea lui, sau
pentru a executa un contract incheiat cu pacientul sau apartinatorii (exista
obligativitatea prestarii serviciile unitatii medicale).
 Contractele respective nu este obligatoriu sa fie scrise, prin furnizarea datelor in
urma unei programari telefonice, reiese faptul ca se acorda consimtamantul,
actiune care obliga unitatea medicala sa respecte la randul ei executia
contractului.
 Pentru comunicarile de marketing, se solicita consimtamantul explicit pentru
folosirea datelor pacientului in acest scop.
 Se pot prelucra datele pentru indeplinirea obligatiilor unitatii medicale de
arhivare, a obligatiilor de a comunica unor autoritati publice, la cerere, anumite
informatii sau a altor obligatii legale.
 Uneori datorita specificului activitatii unitatii medicale, ea este nevoita sa
prelucreze date personale sensibile, cum sunt si datele privind sanatatea
pacientului sau a apartinatorilor. In acest sens, se pot prelucra categorii speciale
de date cu caracter personal in urmatoarele scopuri:
1. Cand prelucrarea este necesara in scopuri legate de
medicina preventiva sau a muncii, de evaluare a capacitatii
de munca a angajatului, de stabilirea unui diagnostic
medical, de furnizarea de asistenta medicala sau sociala sau
a unui tratament medical sau de gestionarea sistemelor si
serviciilor de sanatate sau de asistenta sociala;

2. Cand prelucrarea este necesara din motive de interes public

in domeniul sanatatii publice;

3. In situatii de urgenta medicala sau alte situatii in care

pacientul se poate afla in incapacitate (fizica sau juridica) de a
consimti la prelucrare, in scopul protejarii intereselor lui vitale;
 Pe langa obligativitatea de a prelucra corespunzator date cu
caracter personal conform Regulamentului UE 679/2016, unitatii
medicale ii revine in continuare obligatia de a respecta cu strictete
pastrarea secretului profesional (inclusiv a secretului medical) pe
care aceasta o are fata de pacienti.
 Continutul politicii de confidentialitate este realizat in concordanta
cu legislatia in vigoare, are rol informativ si nu afecteaza drepturile
pe le ofera aceasta. Prin documentul publicat privind protectia
datelor cu character personal se doreste sa se ofere o imagine
clara asupra felului in care se prelucreaza datele cu caracter
personal si asupra drepturilor care le are pacientul sau apartinatorul
acestuia.
 In ceea ce priveste prelucrarea datelor cu caracter personal ale
copiilor, acestia trebuie sa aiba cel putin 16 ani pentru a-si acorda
consimtamantul, in cazul copiilor mai mici de 16 ani fiind nevoie de
consimtamantul titularului raspunderii parintesti asupra acestuia.
Informaţii care se furnizează în cazul în care datele cu caracter personal sunt colectate
de la persoana vizată
(1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt
colectate de la aceasta, operatorul, în momentul obţinerii acestor date cu caracter
personal, furnizează persoanei vizate toate informaţiile următoare:
a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului
acestuia;
b) datele de contact ale responsabilului cu protecţia datelor, după caz;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul
juridic al prelucrării;
d) în cazul în care prelucrarea se face în temeiul articolului 6 alineatul (1) litera (f),
interesele legitime urmărite de operator sau de o parte terţă;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către
o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei decizii a
Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la articolul 46
sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile
adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul
în care acestea au fost puse la dispoziţie
Operatorul furnizează persoanei vizate următoarele informaţii suplimentare necesare
pentru a asigura o prelucrare echitabilă şi transparentă:
a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru
nu este posibil, criteriile utilizate pentru a stabili această perioadă;
b) existenţa dreptului de a solicita operatorului, în ceea ce priveşte datele cu caracter
personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ştergerea
acestora sau restricţionarea prelucrării sau a dreptului de a se opune prelucrării, precum şi
a dreptului la portabilitatea datelor;
c) atunci când prelucrarea se bazează pe articolul 6 alineatul (1) litera (a) sau pe articolul
9 alineatul (2) litera (a), existenţa dreptului de a retrage consimţământul în orice moment,
fără a afecta legalitatea prelucrării efectuate pe baza consimţământului înainte de
retragerea acestuia;
d) dreptul de a depune o plângere în faţa unei autorităţi de supraveghere;
e) dacă furnizarea de date cu caracter personal reprezintă o obligaţie legală sau
contractuală sau o obligaţie necesară pentru încheierea unui contract, precum şi dacă
persoana vizată este obligată să furnizeze aceste date cu caracter personal şi care sunt
eventualele consecinţe ale nerespectării acestei obligaţii;
f) existenţa unui proces decizional automatizat incluzând crearea de profiluri, menţionat la
articolul 22 alineatele (1) şi (4), precum şi, cel puţin în cazurile respective, informaţii
pertinente privind logica utilizată şi privind importanţa şi consecinţele preconizate ale unei
astfel de prelucrări pentru persoana vizată.
Informaţii care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute
de la persoana vizată

În cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată,

operatorul furnizează persoanei vizate următoarele informaţii:

a) identitatea şi datele de contact ale operatorului şi, după caz, ale reprezentantului
acestuia;
b) datele de contact ale responsabilului cu protecţia datelor, după caz;
c) scopurile în care sunt prelucrate datele cu caracter personal, precum şi temeiul juridic al
prelucrării;
d) categoriile de date cu caracter personal vizate;
e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
f) dacă este cazul, intenţia operatorului de a transfera date cu caracter personal către un
destinatar dintr-o ţară terţă sau o organizaţie internaţională şi existenţa sau absenţa unei
decizii a Comisiei privind caracterul adecvat sau, în cazul transferurilor menţionate la
articolul 46 sau 47 sau la articolul 49 alineatul (1) al doilea paragraf, o trimitere la garanţiile
adecvate sau corespunzătoare şi la mijloacele de a obţine o copie a acestora, în cazul în
care acestea au fost puse la dispoziţie.
 OBLIGATII MF :

 Sa aiba consimtamantul scris al personalului ce lucreaza in unitatea medicala

 Sa aiba implementate masuri pentru protectia datelor inclusiv instruirea personalului
angajat
 Sa informeze pacientii prin AFISARE la loc accesibil ca la nivelul cabinetului sunt
implementate masuri de protectie a datelor.

NU intra in OBLIGATIILE MF :

 Obtinerea unui acord scris al pacientului in vederea colectarii datelor personale.

 Angajarea unui ofiter de date.

Sursa: SOCIETATEA NAŢIONALĂ DE MEDICINA FAMILIEI