1

Organizare și legislație
profesională
 2
Domenii de vulnerabilitate
identificate
 Malpraxis individual:
 Consimțământul informat
 Confidențialitatea
 Accesul pacientului la informațiile medicale personale
 Accesul pacienților la tratament - Discriminarea
 Accesul media
 Dreptul la a doua opinie
 Limitarea la propria specialitate
 3

Regulamentul (UE) 2016/679 privind protecția

persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a
acestor date.
 4
Fundamentarea apariției
Regulamentului (UE) 2016/679
 Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu
caracter personal este un drept fundamental

 Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii

Europene

 Articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii

Europene (TFUE) prevede dreptul oricărei persoane la protecţia datelor cu
caracter personal care o privesc.
 5
Carta drepturilor fundamentale a
Uniunii Europene

Articolul 8
Protecția datelor cu caracter personal
 (1)   Orice persoană are dreptul la protecția datelor cu caracter personal care o
privesc.
 (2)   Asemenea date trebuie tratate în mod corect, în scopurile precizate și pe baza
consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de
lege. Orice persoană are dreptul de acces la datele colectate care o privesc, precum și
dreptul de a obține rectificarea acestora.
 (3)   Respectarea acestor norme se supune controlului unei autorități independente.
 6
Tratatul privind funcţionarea
Uniunii Europene (TFUE)

Articolul 16

 (1) Orice persoană are dreptul la protecția datelor cu caracter personal care o privesc.

 (2) Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară,

stabilesc normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, precum și de către statele
membre în exercitarea activităților care fac parte din domeniul de aplicare a dreptului Uniunii, precum
și normele privind libera circulație a acestor date. Respectarea acestor norme face obiectul controlului
unor autorități independente.
 Regulamentul (UE) 2016/679 privind protecția 7
persoanelor fizice în ceea ce privește prelucrarea
datelor cu caracter personal și libera circulație a
acestor date
✔ PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE
✔ având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 16,
✔ având în vedere propunerea Comisiei Europene, după transmiterea proiectului de act legislativ către
parlamentele naţionale,
✔ având în vedere avizul Comitetului Economic şi Social European (1 ), ( 1 )JO C 229, 31.7.2012, p. 90.
✔ având în vedere avizul Comitetului Regiunilor (2 ), ( 2 )JO C 391, 18.12.2012, p. 127.
✔ hotărând în conformitate cu procedura legislativă ordinară (3 ),
✔ ( 3 )Poziţia Parlamentului European din 12 martie 2014 (nepublicată încă în Jurnalul Oficial) şi Poziţia în
primă lectură a Consiliului din 8 aprilie 2016 (nepublicată încă în Jurnalul Oficial).
✔ Poziţia Parlamentului European din 14 aprilie 2016.
 8
Regulamentul (UE) 2016/679

Este transmis statelor membre pentru:

 Analiză
 Promovare
 Propuneri de modificare
 Adaptarea legislației naționale la noul regulament
 9
Când se aplică Regulamentul general privind protecția
datelor?

 GDPR se aplică în cazul în care:

 societatea procesează date cu caracter personal și are sediul în UE, indiferent
de locul în care se desfă șoară prelucrarea efectivă a datelor
 societatea are sediul în afara UE, dar procesează date cu caracter personal în
contextul furniză rii de bunuri sau servicii că tre cetă țeni din UE sau
monitorizează comportamentul cetă țenilor din UE
 Societățile din afara UE care procesează date cu caracter personal ale cetă țenilor
europeni trebuie să desemneze un reprezentant în UE.
 10
Când nu se aplică Regulamentul general
privind protecția datelor?

 GDPR nu se aplică în cazul în care:

 datele se referă la o persoană decedată
 datele se referă la o persoană juridică
 procesarea datelor este realizată de o persoană care acționează în
scopuri aflate în afara activită ții sale comerciale sau profesionale
 11
Categorii speciale de date

Nu puteți procesa date care se referă la:

• originea rasială sau etnică
• orientarea sexuală
• opiniile politice
• convingerile religioase sau filosofice
• apartenența sindicală
• datele genetice, biometrice sau medicale, cu excepția unor cazuri specifice (de exemplu, câ nd persoana și-a
dat consimță mâ ntul explicit sau câ nd procesarea este necesară din motive care țin de un interes public
major, definit de legislația europeană sau națională )
• datele personale referitoare la infracțiuni sau condamnă ri penale, cu excepția cazului în care acest lucru
este autorizat de legislația națională sau europeană
 12
Date privind sănătatea

Art. 9: Prelucrarea de categorii speciale de date cu caracter personal

(2)Alineatul (1) nu se aplică în următoarele situaţii:

a)persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu
caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care
dreptul Uniunii sau dreptul intern prevede ca interdicţia prevăzută la alineatul (1) să nu
poată fi ridicată prin consimţământul persoanei vizate;
 13
Date privind sănătatea

Art. 9: Prelucrarea de categorii speciale de date cu caracter personal

(2)Alineatul (1) nu se aplică în următoarele situaţii:

h)prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacităţii de muncă a
angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament
medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau
al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical şi sub rezerva respectării condiţiilor şi
garanţiilor prevăzute la alineatul (3);
 14
Date privind sănătatea

Conform Regulamentului, datele privind sănătate nu pot fi prelucrate.

 De la aceasta regulă generală sunt menționate mai multe excepții, de exemplu:
 atunci când persoana vizată și-a dat consimțământul
 pentru furnizarea de asistență medicală de către un profesionist supus obligației profesionale de
păstrare a secretului profesional

Articolul 9, alin. 1, 2 lit. a, h

 15
Cine prelucrează datele cu caracter
personal?

 Pe durata prelucrării, datele cu caracter personal pot ajunge la mai multe societăți sau organizații.

 În acest proces, apar două entități importante:

• operatorul de date - decide în ce scop vor fi procesate datele cu caracter personal
• persoana împuternicită de operatorul de date - deține și procesează date în numele operatorului de date
 16
Cine monitorizează modul în care sunt
procesate datele în cadrul unei companii?

 Responsabilul cu protecția datelor (RPD), care este posibil să fi fost desemnat de asociație,
monitorizează modul în care se procesează datele cu caracter personal și îi informează pe angajații care
prelucrează date cu caracter personal în legă tură cu obligațiile care le revin.

 Responsabilul cu protecția datelor cooperează și cu Autoritatea pentru protecția datelor (APD), servind ca
punct de contact în relația cu aceasta și cu cetă țenii.
 17
Când ar trebui să desemnați un
responsabil cu protecția datelor?

 Societatea dumneavoastră are obligația de a numi un responsabil cu protecția datelor atunci când:

• monitorizează cetățeni periodic sau sistematic ori prelucrează categorii speciale de date

• prelucrează date ca activitate principală

• prelucrează date pe scară largă

 18
Când ar trebui să desemnați un
responsabil cu protecția datelor?

 De exemplu, dacă prelucrați date cu caracter personal pentru a trimite, prin intermediul motoarelor de
căutare, mesaje publicitare bazate pe comportamentul on-line al utilizatorilor, aveți obligația de a desemna
un responsabil cu protecția datelor.

 În cazul în care trimiteți materiale promoționale o dată pe an doar clienților dumneavoastră, această
obligație nu se aplică.

 Dacă sunteți medic și colectați date privind sănătatea pacienților nu veți avea probabil nevoie de un
responsabil cu protecția datelor. Însă, dacă prelucrați date personale referitoare la genetică și sănătate în
numele unui spital, desemnarea unui responsabil cu protecția datelor va fi obligatorie.
 19
Transferul de date în afara UE

 Când datele personale sunt transferate în afara UE, protecția oferită de GDPR ar trebui să „călătorească"
împreună cu ele. Aceasta înseamnă că dacă exportați date în străinătate, societatea dumneavoastră
trebuie să se asigure că cel puțin una dintre prevederile următoare este pusă în aplicare:

• protecția oferită de țara din afara UE este considerată adecvată de că tre UE

• compania dumneavoastră ia mă surile necesare pentru a oferi protecția adecvată , de exemplu prin includerea
de clauze specifice în contractul convenit cu importatorul de date din afara UE

• compania dumneavoastră se bazează pe derogă ri specifice care permit transferul, cum ar fi consimță mâ ntul
persoanei
 20
Când este permisă prelucrarea
datelor?

 Potrivit normelor UE privind protecția datelor, ar trebui să prelucrați datele în mod corect și legal, pentru
un scop specific și legitim și doar acele date care sunt necesare pentru îndeplinirea scopului respectiv.
Pentru a prelucra date cu caracter personal trebuie să îndepliniți una din următoarele condiții:
• aveți consimțământul persoanei vizate
• aveți nevoie de date personale pentru a onora o obligație contractuală față de persoana în cauză
• aveți nevoie de datele personale pentru a îndeplini o obligație legală
• aveți nevoie de datele personale pentru a proteja interesele vitale ale persoanei vizate
• prelucrați date cu caracter personal pentru a îndeplini o sarcină în interesul publicului
• acționați în interesul legitim al companiei dumneavoastră, atâta timp cât nu sunt afectate în mod serios drepturile și
libertățile fundamentale ale persoanelor ale căror date sunt prelucrate. Dacă drepturile persoanei prevalează asupra
intereselor companiei dumneavoastră, nu puteți prelucra datele cu caracter personal.
 21
Acordul față de prelucrarea datelor:
consimțământul

 GDPR prevede norme stricte pentru prelucrarea datelor pe baza consimțământului.

 Scopul acestor norme este să garanteze că persoana vizată înțelege pentru ce își acordă consimțământul.
 De aceea, consimțământul trebuie să fie acordat în mod liber, specific, informat și lipsit de ambiguitate,
prin intermediul unei cereri prezentate într-un limbaj clar și simplu.
 Consimțământul trebuie acordat printr-un act pozitiv, cum ar fi bifarea unei casete on-line sau semnarea
unui formular.
 Când o persoană își dă acordul pentru prelucrarea datelor cu caracter personal, datele respective pot fi
prelucrate doar în scopul pentru care s-a obținut consimțământul.
 De asemenea, trebuie să-i acordați persoanei respective posibilitatea de a-și retrage consimțământul.
 22
Furnizarea de informații transparente

 Trebuie să le furnizați persoanelor vizate informații clare despre entitatea care prelucrează datele
personale și scopul acestei prelucrări.
 Trebuie să indicați cel puțin:
• cine sunteți
• de ce prelucrați date cu caracter personal
• care este temeiul juridic pe care vă bazați
• cine va primi datele (dacă se aplică)
 23
Furnizarea de informații transparente

 În unele cazuri, informațiile pe care le furnizați trebuie să includă :

• datele de contact ale responsabilului cu protecția datelor (dacă există )
• ce interes legitim urmă rește societatea dumneavoastră câ nd prelucrează date în baza temeiului juridic invocat
• ce mă suri se aplică pentru transferul datelor că tre o țară din afara UE
• câ t timp vor fi stocate datele
• de ce drepturi beneficiază persoana în materie de protecție a datelor (dreptul de acces, de corectare, de ștergere, de
restricționare, de obiecție, de portabilitate etc.)
• cum poate fi retras consimță mâ ntul (câ nd acesta reprezintă temeiul juridic pentru prelucrare)
• dacă există o obligație legală sau contractuală pentru furnizarea de date
• în cazul procesului decizional automatizat, informații despre logica, semnificația și consecințele deciziei
 Trebuie să prezentați aceste informații într-un limbaj clar și simplu.
 24
Norme specifice pentru copii

Trebuie să obțineți
mai întâi
consimțământul
parental
 25
Dreptul la ștergerea datelor („dreptul
de a fi uitat")

 În anumite situații, o persoană vă poate solicita șteargă datele sale cu caracter personal, de exemplu dacă
acestea nu mai este in tratament.
 Totuși, dumneavoastră nu sunteti obligat să faceti acest lucru dacă:
• prelucrarea este necesară pentru a respecta libertatea de exprimare și informare
• trebuie să pă strați datele cu caracter personal pentru a respecta o obligație legală
• există alte motive de interes public care justifică stocarea datelor, cum ar fi cele legate de să nă tatea publică sau
de cercetarea științifică și istorică
• trebuie să stocați datele cu caracter personal pentru o eventuală acțiune în justiție
 26
Ce se întâmplă în Sănătate?

 Proiectul de Norme metodologice privind înființarea, organizarea și funcționarea

cabinetelor și unităților medicale mobile

 Legea nr. 185/2017 privind asigurarea calității în sistemul de sănătate

 Ordinul nr. 994 pentru modificarea și completarea Normelor de igienă și sănătate publică
privind mediul de viață al populației, aprobate prin Ordinul Ministrului Sănătății nr.
119/2014
 27

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și libera circulație a acestor date

intră în vigoare în România începând cu 25 mai 2018

CRIZA DE TIMP

Apar oportuniștii
 28
OFERTE - SĂNĂTATE

Sunt DATE CU CARACTER PERSONAL?

Evită AMENZI de până la 20 MIL EURO sau 4%
din CIFRA DE AFACERI GLOBALĂ  TOTAL
ANUALĂ  și respectă în ceea ce privește
prelucrarea și libera circulație a acestor date.
 29
PACHET GDPR 2 – COMPETENT
99.99 lei

Pachetul standard este cel mai popular dintre produsele noastre GDPR. El se adresează tuturor organizaţiilor mici. Pachetul cuprinde 15 documente printre care regăsim:

– Politica de Cookie;
– Declaraţia de conformitate GDPR;
– Formularul de planificare a notificărilor privind confidenţialitatea – persoana vizată (+ ghid de completare);
– Formularul de solicitare a persoanei vizate (+ ghid de completare);
– Politica de confidenţialitate pentru site;
– Adresa către operatori;
– Adresa de notificare a persoanelor vizate în privinţa incidentului de securitate;
– Confidenţialitate achiziţii online;
– Formular de notificare privind încălcarea securităţii datelor cu caracter personal;
– Model declaraţie de confidenţialitate – înscriere la newsletter;
– Model declaraţie de confidenţialitate – anchetă site;
– Model informare confidenţialitate – ocuparea forţei de muncă;
– Politica de securitate informaţională – politica de control a accesării utilizatorilor; ADAUGĂ ÎN
– Politica privind securitatea informaţională – politica privind parolele; COȘ
– Scrisoare sprijin executiv;
– Ghid general de utilizare.

Foarte important, veţi primi documentele gata completate cu datele de contact ale organizaţiei voastre pentru a vă salva şi mai mult din timpul vostru preţios.

În plus, veţi primi un scurt ghid pentru fiecare document în parte şi toate informaţiile necesare pentru a putea completa acele documente care necesită acest lucru, în cunoştinţă de cauză.
30
 31

Care sunt obligațiile

medicilor?

Obținerea
consimțământului
sau
Informarea pacientului
 32
Concluzii

În urma celor prezentate, privind confidențialitatea datelor

medicale, reținem urmatoarele aspecte:

 Puteți prelucra datele personale ale pacienților

dumneavoastră fără a fi necesar să obtineți un
consimțământ din partea acestora în acest sens, cu condiția
utilizării acestor date exclusiv în scopul furnizării
seriviciilor medicale.
 Pentru alte scopuri (de ex, marketing) este necesar acordul
persoanei vizate.
 33

“ Informarea
pacientului cu privire
la GDPR este
obligatorie?”
34
 35

✔ Documentul primit nu conține referiri la eventuale decizii ale

conducerii CMSR, care să impună medicilor membri utilizarea
acestuia în practica medicală.

✔ Prin urmare, nu există un temei al sancționării disciplinare a

medicilor stomatologi care decid să nu îl utilizeze.
 36
Informarea persoanelor vizate

Articol 13 din Regulament, care se referă la dreptul la informare al

persoanelor vizate

(1)În cazul în care datele cu caracter personal referitoare la o persoană

vizată sunt colectate de la aceasta, operatorul, în momentul obţinerii
acestor date cu caracter personal, furnizează persoanei vizate toate
informaţiile următoare.
37
 38

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în

ceea ce privește prelucrarea datelor cu caracter personal și libera
circulație a acestor date

Impact și consecințe la un an de la intrarea în vigoare

 39
AUSTRIA
Un spital din Austria a fost amendat datorită unor plângeri din partea pacienților pentru că nu
au fost informați despre cum sunt prelucrate datele lor medicale (personale).
Ce a constatat autoritatea din AUSTRIA în urma controlului efectuat?
 operatorul nu a numit niciun Responsabil cu protecția a datelor (DPO), nici nu a publicat
datele de contact ale acestuia și nici nu le-a raportat autorității de supraveghere
 operatorul a obligat persoanele vizate să își dea consimțământul pentru o prelucrare a
datelor, care nu îndeplinea criteriile prevăzute la art. 7 GDPR: Condiții privind
consimțământul
 și-a încălcat datoria de a furniza informații în conformitate cu art. 13, 14 GDPR. 
 în ciuda manipulării datelor sensibile, nicio evaluare a impactului protecției datelor, în
conformitate cu art. 35 GDPR, nu a fost efectuată. 
 40
Vulnerabilități:

Prejudiciu de imagine / reputațional și financiar pentru spital datorită:

 Prelucrării incorecte a datelor personale;
 Neasigurării unei protecții adecvate pentru stocarea și prelucrarea
datelor gestionate de angajații spitalului.
 41

Amenda:
 55.000 EURO (din care 5.000 euro costuri procedurale)
 42
Soluții:

 Numirea unui DPO (angajat din interior sau

externalizarea serviciului)
 Informarea pacienților prin aplicarea unor afișe care să
le explice într-un limbaj simplu ce se întâmplă cu datele
lor.
 Efectuarea unei analize de impact care să evidențieze
vulnerabilitățile procedurale și ale echipamentelor /
software-urilor folosite de spital.
 43
Olanda

Ingrediente: o persoană publică și mulți curioși, iar starea de sănătate a

”ajuns” în presă. Mai exact, o persoana publică foarte îndrăgită a fost internată
într-un spital, iar angajații spitalului au ”studiat” dosarul pacientului, deși nu
erau implicați direct în tratarea acestuia - nu erau medicii curanți ai
pacientului.
Ce a constatat autoritatea din OLANDA în urma controlului efectuat din
oficiu?
 Divulgarea neautorizată a datelor personale prin încălcarea confidențialității sacre
doctor - pacient (art. 5 alin. 1 lit. c și art. 32 alin.1 lit. b din GDPR);
 Impunerea unor investiții în managementul accesului la datele pacienților cu termen 2
octombrie 2019. (la fiecare 2 săptămâni peste termen se adaugă o amendă de 100.000
EURO)
 44
Vulnerabilități:

Prejudiciu de imagine / reputațional și financiar pentru spital

datorită:
 Sistemului configurat incorect pentru prelucrarea datelor personale;
 Instruirii precare a angajaților spitalului.
 45
Amenda:

 460.000 EURO
 46
Soluție:

 Informarea și pregătirea angajaților în vederea prelucrării datelor personale ale

angajaților
 Modernizarea software-ului care asigură gestionarea datelor dintr-un spital
(SIUI echivalent în România)
 47
Portugalia

Caz: Mai exact, angajații spitalului ”studiau” dosarele pacienților după bunul plac, deși nu
erau implicați direct în tratarea acestora. Accesarea datelor se efectua pe baza unor profile.
Unul dintre pacienți a făcut plângere pentru că mai mulți doctori vorbeau despre starea acestuia
de sănătate.
Ce a constatat autoritatea din Portugalia în urma controlului efectuat din oficiu?
 accesul nediscriminatoriu a unui număr excesiv de utilizatori si deci încălcarea principiilor
fundamentale de procesare (art. 5 alin.1 lit. c din GDPR). Amenda = 150.000 de euro
 încălcarea integrității și a confidențialității ca urmare a neaplicării măsurilor tehnice și
organizatorice(art. 32 alin.1 lit. b din GDPR). Amenda = 150.000 de euro
 incapacitatea de a asigura în mod constant confidențialitatea, integritatea, disponibilitatea și
securitatea sistemelor informatice, inclusiv neefectuarea analizei de risc şi respectiv neaplicarea
măsurilor adecvate nivelului de risc (art. 32 alin.1 lit. d din GDPR). Amenda = 100.000 de euro.
Autoritatea a găsit 985 de profile, iar totalul mediciilor angajați era de 296.
 48
Vulnerabilități:

Prejudiciu de imagine / reputațional și financiar pentru spital

datorită:
 Sistemului configurat incorect pentru prelucrarea datelor personale;
 Instruirii precare a angajaților spitalului.
 49
Amenda:

 400.000 EURO
 50
Marea Britanie

Caz: Documentar despre decesul prematur al copiilor. O companie TV,

a instalat camere de filmat și microfoane într-un spital din Cambridge
(UK).
Ce a constatat autoritatea din UK în urma controlului efectuat din
oficiu?
 Deși compania TV avea acordul spitalului, nu informase pacienții despre acest
lucru și nici nu obținuse consimțământul acestora (art. 7 și 13 din GDPR).
 51
Vulnerabilități:

Prejudiciu de imagine / reputațional și financiar pentru

spital datorită:
 Procedurilor care nu au fost respectate;
 Informarea incompletă și netransparentă a pacienților.
 52
Amenda:

 120.000 lire sterline

 53
Soluție:

 Informarea și pregătirea angajaților în vederea

prelucrării datelor personale ale angajaților
 Afișarea în locuri ușor accesibile (exemplu: uși de acces
pe secții / departamente și pe site) a informațiilor
personale care sunt prelucrate în acel loc.
 54

Vă mulțumesc!