„Politica privind protecția datelor cu caracter personal la nivelul S.C. InterCardioDiab S.R.L.”

A. GENERALITĂȚI

Preambul

Protecția datelor cu caracter personal stă la baza unei relații de încredere, motiv pentru care S.C. InterCardioDiab S.R.L. acordă atenție sporită acestui domeniu.
Destinatarul/utilizatorul are reprezentarea faptului că utilizarea serviciilor InterCardioDiab S.R.L. presupune introducerea, colectarea, procesarea, administrarea, transferul de date cu caracter personal, astfel cum sunt definite de Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului.
Față de această împrejurare, noi, S.C. InterCardioDiab S.R.L., având sediul în mun. Suceava, str. Mihai Viteazul, nr. 26A, judeţul Suceava, codul unic de înregistrare 16388066, numărul de înregistrare în registrul comerțului J33/472/2004 și adresa de poștă electronică contact@icd.ro, prin reprezentant legal Mihai Crețeanu, luând în considerare dispozițiile Regulamentului (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE și faptul că în vederea derulării raporturilor contractuale prelucrează date cu caracter personal, adoptă și implementează proceduri clare în legătură cu acest domeniu.

Fluxul datelor

În scopul aducerii la îndeplinire a serviciilor oferite respectiv, în vederea furnizării serviciilor medicale, vom prelucra datele dumneavoastră furnizate către societatea noastră, inclusiv în faza premergătoare prezentării dumneavoastră la sediul nostru.
Vă asigurăm că nu transferăm date către părți terțe fără a avea un motiv legitim și fără a asigura conformitatea cu legislația aplicabilă în domeniu. Ne asigurăm că accesul la datele dumneavoastră de către terțe persoane se realizează în conformitate cu prevederile legale privind protecția datelor și confidențialitatea informațiilor.
Definiții
Definiția termenilor specifici utilizați în documentul intitulat „Politica privind protecția datelor la nivelul S.C. InterCardioDiab S.R.L.” preia într-o bună măsură terminologia regăsită în cuprinsul art. 4 din Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, după cum urmează:
1. „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
3. „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregis­trarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
4. „restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora;
5. „creare de profiluri” înseamnă orice formă de prelucrare automată a datelor cu caracter personal care constă în utilizarea datelor cu caracter personal pentru a evalua anumite aspecte personale referitoare la o persoană fizică, în special pentru a analiza sau prevedea aspecte privind performanța la locul de muncă, situația economică, sănătatea, preferințele personale, interesele, fiabilitatea, comportamentul, locul în care se află persoana fizică respectivă sau deplasările acesteia;
6. „sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
7. „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal;
8. „parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
9. „consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;
10. „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
11. „autoritate de supraveghere vizată” înseamnă o autoritate de supraveghere care este vizată de procesul de prelucrare a datelor cu caracter personal deoarece: (a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorității de supraveghere respective; (b) persoanele vizate care își au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare; sau (c) la autoritatea de supraveghere respectivă a fost depusă o plângere;
12. „prelucrare transfrontalieră” înseamnă: a) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre; sau b) fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre;
13. „obiecție relevantă și motivată” înseamnă o obiecție la un proiect de decizie în scopul de a stabili dacă există o încălcare a prezentului regulament sau dacă măsurile preconizate în ceea ce privește operatorul sau persoana împuternicită de operator respectă prezentul regulament, care demonstrează în mod clar importanța riscurilor pe care le prezintă proiectul de decizie în ceea ce privește drepturile și libertățile fundamentale ale persoanelor vizate și, după caz, libera circulație a datelor cu caracter personal în cadrul Uniunii.

B. SCOPUL ȘI BAZA LEGALĂ PENTRU PROCESAREA DATELOR CU CARACTER PERSONAL, PERSOANELE CE AU ACCES, DURATA PROCESĂRII ȘI TRANSFERUL

B.1. Procesăm date în momentul programării dumneavoastră, în calitate de pacient, telefonic sau online, prin intermediul website-ului https://icd.ro/programari/ sau pe pagina de Facebook a clinicii ICD

a) tipuri de date și scop: în vederea efectuării unei programări, putem procesa date precum nume, prenume, nume, prenume însoțitor, adresa de domiciliu sau reședință, adresă de poștă electronică, număr de telefon, numărul cardului de sănătate, identificatori online, înregistrările audio ale convorbirilor telefonice din Call-center
b) temeiul în drept: îl reprezintă dispozițiile art. 6 alin. 1 literele a), b), c), d) din Regulamentul (UE) 2016/679, Legea 46/2003 privind drepturile pacientului
c) acces: la aceste date au angajații societății InterCardioDiab S.R.L., cu titlul exemplificativ, (medici, asistenți, infirmiere, etc.), care și-au asumat obligații de confidențialitate în legătură cu datele cu caracter personal la care au acces în exercitarea atribuțiilor lor sau care, după caz, sunt ținuți de obligația de confidențialitate în temeiul actelor normative aplicabile, furnizorul de servicii și sisteme IT
d) durata: până la retragerea consimțământului pentru prelucrările de date personale întemeiate exclusiv pe consimțământ. Datele dumneavoastră care sunt necesare în scopuri legate de serviciile medicale vor fi stocate pe perioada de timp necesară în vederea îndeplinirii obligatiilor legale prevăzute de legislația aplicabilă care prevede stocarea documentelor medicale pentru o perioadă de până la 100 ani, conform Legii 16/1996 privind Arhivele Naționale
e) transfer: datele nu fac obiectul unui transfer transfrontalier

B.2. Procesăm date în momentul înregistrării dumneavoastră în sistemul electronic, în calitate de pacient

a) tipuri de date și scop: în vederea înregistrării în sistemul nostru electronic, putem procesa date precum nume, prenume, vârstă, cod numeric personal, sex, adresă de poștă electronică, număr de telefon, adresa de domiciliu sau reședință, loc de muncă, numărul cardului de sănătate, semnătură olografă sau electronică, înregistrările video captate de camerele de supraveghere instalate la sediile InterCardioDiab S.R.L.. Totodată, putem procesa o serie de date cu caracter personal de natură sensibilă, în principal date privind starea dumneavoastră de sănătate, precum grupă sanguină, probe recoltate, rezultatele analizelor medicale, date biometrice, date genetice, alte date cu caracter medical
b) temeiul în drept: îl reprezintă dispozițiile art. 6 alin. 1 literele a), b), c), d) din Regulamentul (UE) 2016/679, Legea 46/2003 privind drepturile pacientului
c) acces: la aceste date au angajații S.C. InterCardioDiab S.R.L., cu titlul exemplificativ, (medici, asistenți, infirmiere, etc.), care și-au asumat obligații de confidențialitate în legătură cu datele cu caracter personal la care au acces în exercitarea atribuțiilor lor sau care, după caz, sunt ținuți de obligația de confidențialitate în temeiul actelor normative aplicabile, dar și furnizorii care care ne asigură accesul la programele medicale și asistența tehnică necesară funcționării acestor programe (icMED), furnizorul care ne asigură servicii de analize medicale necesare pentru prestarea serviciilor medicale (dacă va fi cazul), cabinete medicale partenere (dacă va fi cazul)
d) durata: până la retragerea consimțământului pentru prelucrările de date personale întemeiate exclusiv pe consimțământ. Datele dumneavoastră care sunt necesare în scopuri legate de serviciile medicale vor fi stocate pe perioada de timp necesară în vederea îndeplinirii obligatiilor legale prevăzute de legislația aplicabilă care prevede stocarea documentelor medicale pentru o perioadă de până la 100 ani, conform Legii 16/1996 privind Arhivele Naționale. Datele privind supravegherea video pentru asigurarea securității bunurilor și persoanelor se vor stoca pe o perioadă de până la 30 de zile calendaristice.
e) transfer: datele nu fac obiectul unui transfer transfrontalier

B.3. Procesăm date despre care luăm la cunoștință ca urmare a furnizării serviciilor medicale, caz în care:

a) tipuri de date și scop: în vederea prestării serviciilor medicale, putem procesa date precum nume, prenume, data nașterii, adresa de domiciliu sau reședință, cod poștal, cod numeric personal, sex, adresă de poștă electronică, număr de telefon, mod de viață, simptome, istoricul medical, istoricul de ingrijire, tratament, servicii și investigații clinice, proceduri medicale efectuate
b) temeiul în drept: îl reprezintă dispozițiile art. 6 alin. 1 literele a), b), c), d) e), din Regulamentul (UE) 2016/679, Legea 46/2003 privind drepturile pacientului
c) acces: la aceste date au la aceste date au angajații S.C. InterCardioDiab S.R.L., cu titlul exemplificativ, (medici, asistenți, infirmiere, etc.), care și-au asumat obligații de confidențialitate în legătură cu datele cu caracter personal la care au acces în exercitarea atribuțiilor lor sau care, după caz, sunt ținuți de obligația de confidențialitate în temeiul actelor normative aplicabile, dar și furnizorii care care ne asigură accesul la programele medicale și asistența tehnică necesară funcționării acestor programe (icMED), furnizorul care ne asigură servicii de analize medicale necesare pentru prestarea serviciilor medicale (dacă va fi cazul), cabinete medicale partenere (dacă va fi cazul). Totodată, în scopul îndeplinirii obligațiilor legale stabilite în sarcina furnizorilor de servicii medicale de a raporta informațiile solicitate de către Ministerul Sănătății şi instituţiile subordonate, Direcţia de Sănătate Publică, Casa Națională de Asigurări de Sănătate
d) durata: până la retragerea consimțământului pentru prelucrările de date personale întemeiate exclusiv pe consimțământ. Datele dumneavoastră care sunt necesare în scopuri legate de serviciile medicale vor fi stocate pe perioada de timp necesară în vederea îndeplinirii obligatiilor legale prevăzute de legislația aplicabilă care prevede stocarea documentelor medicale pentru o perioadă de până la 100 ani, conform Legii 16/1996 privind Arhivele Naționale
e) transfer: datele nu fac obiectul unui transfer transfrontalier

B.4. Procesăm date despre care luăm la cunoștință ca urmare a întocmirea documentelor fiscale și încasarea sumelor de plată de la pacienți

a) tipuri de date și scop: în vederea executării contractului de prestarea serviciilor medicale dintre destinatarul persoană fizică și InterCardioDiab S.R.L. și a îndeplinirii unei obligații legale, putem procesa date precum nume, prenume, adresa de domiciliu sau reședință, loc de muncă, cod poștal, adresă de poștă electronică, număr de telefon, cont bancar, reprezentant legal, semnătura olografă sau electronică
b) temeiul în drept: îl reprezintă dispozițiile art. 6 alin. 1 literele a), b) și c) din Regulamentul (UE) 2016/679, Ordinul Ministrului Finanțelor Publice (OMFP) 2634/2015
c) acces: la aceste date au angajații societății, firma ce procesează plățile, firma de contabilitate, furnizorii serviciilor de marketing, furnizorii de servicii IT
d) durata: de păstrare a numelui și a adresei este cuprinsă între 5 și 10 ani, în acord cu dispozițiile OMFP 2634/2015
e) transfer: datele nu fac obiectul unui transfer transfrontalier

B.5. Comunicări comerciale

a) tipuri de date și scop: dacă în prealabil am primit consimțământul, în vederea desfășurării activităților de marketing procesăm următoarele date: nume, prenume, adresă de poștă electronică
b) temeiul în drept: îl reprezintă dispozițiile art. 6 alin. 1 litera a) din Regulamentul (UE) 2016/679
c) acces: la aceste date au administratorul și asociații societății și furnizorii serviciilor de marketing
d) durata: în vederea îndeplinirii scopului, păstrăm date de acest tip pe durata prestării serviciilor medicale sau până la retragerea consimțământului
e) transfer: datele nu fac obiectul unui transfer transfrontalier