OPERATOR DE DATE 

Persoana fizică sau juridică care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal.

Exemplu: spital, clinică, altă formă de exercitare a profesiei

PERSOANA VIZATĂ 

Persoana fizică ale cărei date sunt prelucrate (colectate, înregistrate, comunicate etc.)

Exemplu: pacient, aparținător sau chiar angajatul unui operator de date.

DATE CU CARACTER PERSONAL 

Orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).

Exemplu: nume, prenume, CNP, date referitoare la starea de sănătate ș.a.

PERSOANA ÎMPUTERNICITĂ 

Persoana fizică sau juridică ce prelucrează date cu caracter personal în numele operatorului.

Exemplu: furnizor de servicii de curierat, furnizor de servicii de securitate informatică, etc.

PRELUCRARE DE DATE 

Orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal.

Exemplu: colectare, stocare, ștergere, transmitere, divulgare / punere la dispoziție, etc.

TEMEI LEGAL 

Baza juridică ce justifică prelucrarea datelor cu caracter personal în conformitate cu legislația.

Exemplu: obligație legală, executare contract, consimțământ, inters vital, etc.

INCIDENT / BREȘĂ DE SECURITATE 

O încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal.

Exemplu: s-a pierdut o foaie de observație, o persoană a primit în mod neautorizat datele medicale ale altei persoane, etc.

CALITATEA MEDICULUI – ANGAJAT

MEDICUL ESTE PERSOANĂ VIZATĂ CÂND: 

Este angajat în cadrul unei unități medicale și propriile date sunt prelucrate.

Exemplu: în cadrul proceselor de salarizare îi sunt prelucrate date precum contul bancar, etc. 

Este medicul angajat o persoană împuternicită a operatorului (spital / clinică)?

Angajații operatorului de date NU sunt considerați persoane împuternicite. Atâta timp cât o persoană acționează în cadrul atribuțiilor sale de serviciu, aceasta acționează ca un reprezentant (agent) al operatorului de date. 

Cu alte cuvinte, RGPD îi va considera ca făcând parte din entitatea operatorului de date şi nu ca o parte separată care este angajată să prelucreze date în numele operatorului de date. 

Exemplu: Consulturile medicale pe care un medic le face, tratamentele pe care le administrează sau alte asemenea, fac parte din sarcinile medicului care acționează în calitate de parte a spitalului în oferirea de servicii medicale.

Drepturile medicului în calitatea sa de angajat: 

  • beneficiază de toate drepturile unei persoane vizate în relație cu angajatorul 

Responsabilitățile medicului (semnează CIM): 

  • îndeplinirea obligațiilor conform CCM, CIM, fișa postului, etc.
  • respectarea politicilor și procedurilor interne care impun obligații specifice protecției datelor

Răspunderea medicului:

  • ca regulă generală, răspunde strict în baza dreptului muncii pentru nerespectarea obligațiilor de mai sus 
  • răspunde când își depășește sfera atribuțiilor de serviciu și devine operator de date
  • operatorul (spital / clinică) poartă răspunderea principală pentru încălcările protecției datelor, cel mai adesea

CALITATEA MEDICULUI ADMINISTRATOR AL PERSOANEI JURIDICE (SRL, PFI, PFA)

MEDICUL ESTE OPERATOR DE DATE CÂND:

  • Înființează o persoană juridică / devine administratorul unei persoane juridice care oferă servicii medicale și prelucrează orice fel de date ale angajaților, pacienților, colaboratorilor, etc.

Își depășește sfera atribuțiilor de serviciu (în calitate de angajat) și prelucrează date în scopuri și cu mijloace proprii.

Exemplu: fotografiază analizele medicale și le postează pe blogul propriu ca informații referitoare la “studiul de caz” dat.

Drepturile medicului în calitatea sa de administrator: 

  • limitate (puține) întrucât RGPD protejează persoanele fizice și datele acestora de identificare, nu ale persoanelor juridice 

Responsabilitățile medicului (semnează contracte cu furnizori de servicii):

  • să implementeze politici, proceduri specifice protecției datelor (ex. plan de reacție la incidente)
  • să ia măsuri tehnice și organizatorice specifice protecției datelor (ex. instruirea personalului)

Răspunderea medicului:

  • răspunde în baza legii (RGPD)

MEDICUL ESTE OPERATOR ASOCIAT CÂND:

Colaborează cu un operator de date (ex. clinică) dar are un nivel de control asupra scopului și mijloacelor de prelucrare a datelor. Exemplu: o clinică medicală colaborează cu un medic radiolog care își desfășoară activitatea prin intermediul propriului SRL/PFI/PFA și are propriul său echipament de diagnosticare prin imagistică.

Drepturile medicului în calitatea sa de operator asociat: 

  • limitate (puține) întrucât RGPD protejează persoanele fizice și datele acestora de identificare, nu ale persoanelor juridice 

Responsabilitățile medicului: 

  • să implementeze propriile politici, proceduri specifice prin care să protejeze datele care ajung în sfera proprie de activitate 

Răspunderea medicului: 

  • răspunde în baza legii (RGPD) 
  • răspunde conform contractului dintre părți

MEDICUL ESTE PERSOANĂ ÎMPUTERNICITĂ CÂND:

Medicul se folosește de bazele de date, infrastructura sau mijloacele puse la dispoziție de unitatea medicală și acționează în numele ei, urmând instrucțiunile  acesteia. 

Exemplu: o clinică medicală contractează serviciile unui medic specialist pentru a oferi evaluări și tratamente specifice pacienților săi.

Drepturile medicului în calitatea sa de persoană împuternicită: 

  • limitate (puține) întrucât RGPD protejează persoanele fizice și datele acestora de identificare, nu ale persoanelor juridice 

Responsabilitățile medicului (semnează contracte de servicii):

  • să implementeze propriile politici, proceduri specifice prin care să ofere un nivel asemănător de protecție a datelor precum cel al operatorului 

Răspunderea medicului:

  • răspunde în baza legii (RGPD) 
  • răspunde conform contractului dintre părți

MEDIC – ANGAJAT

PERSOANĂ VIZATĂ 

  • semnează Contract individual de muncă 
  • respectă politici și proceduri interne ale angajatorului 
  • răspunde conform CIM

OPERATOR DE DATE

  • acționează dincolo de atribuțiile de serviciu 
  • răspunde în baza legii (RGPD)

MEDIC – ADMINISTRATOR

OPERATOR DE DATE 

  • semnează contracte cu furnizori de servicii 
  • implementează politici și proceduri interne 
  • instruiește personalul pv protecția datelor 
  • răspunde conform legii (RGPD)

OPERATOR ASOCIAT 

  • semnează contract de servicii medicale cu altă clinică 
  • utilizează aparatura medicală proprie 
  • stabilește propriile politici și proceduri 
  • răspunde conform legii și conform contract de servicii

PERSOANĂ ÎMPUTERNICITĂ 

  • semnează contract de servicii medicale cu altă clinică 
  • utilizează aparatura medicală a clinicii 
  • respectă politicile și procedurile interne 
  • răspunde conform legii și conform contract de servicii