OPERATOR DE DATE
Persoana fizică sau juridică care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal.
Exemplu: spital, clinică, altă formă de exercitare a profesiei
PERSOANA VIZATĂ
Persoana fizică ale cărei date sunt prelucrate (colectate, înregistrate, comunicate etc.)
Exemplu: pacient, aparținător sau chiar angajatul unui operator de date.
DATE CU CARACTER PERSONAL
Orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”).
Exemplu: nume, prenume, CNP, date referitoare la starea de sănătate ș.a.
PERSOANA ÎMPUTERNICITĂ
Persoana fizică sau juridică ce prelucrează date cu caracter personal în numele operatorului.
Exemplu: furnizor de servicii de curierat, furnizor de servicii de securitate informatică, etc.
PRELUCRARE DE DATE
Orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal.
Exemplu: colectare, stocare, ștergere, transmitere, divulgare / punere la dispoziție, etc.
TEMEI LEGAL
Baza juridică ce justifică prelucrarea datelor cu caracter personal în conformitate cu legislația.
Exemplu: obligație legală, executare contract, consimțământ, inters vital, etc.
INCIDENT / BREȘĂ DE SECURITATE
O încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal.
Exemplu: s-a pierdut o foaie de observație, o persoană a primit în mod neautorizat datele medicale ale altei persoane, etc.
CALITATEA MEDICULUI – ANGAJAT
MEDICUL ESTE PERSOANĂ VIZATĂ CÂND:
Este angajat în cadrul unei unități medicale și propriile date sunt prelucrate.
Exemplu: în cadrul proceselor de salarizare îi sunt prelucrate date precum contul bancar, etc.
Este medicul angajat o persoană împuternicită a operatorului (spital / clinică)?
Angajații operatorului de date NU sunt considerați persoane împuternicite. Atâta timp cât o persoană acționează în cadrul atribuțiilor sale de serviciu, aceasta acționează ca un reprezentant (agent) al operatorului de date.
Cu alte cuvinte, RGPD îi va considera ca făcând parte din entitatea operatorului de date şi nu ca o parte separată care este angajată să prelucreze date în numele operatorului de date.
Exemplu: Consulturile medicale pe care un medic le face, tratamentele pe care le administrează sau alte asemenea, fac parte din sarcinile medicului care acționează în calitate de parte a spitalului în oferirea de servicii medicale.
Drepturile medicului în calitatea sa de angajat:
- beneficiază de toate drepturile unei persoane vizate în relație cu angajatorul
Responsabilitățile medicului (semnează CIM):
- îndeplinirea obligațiilor conform CCM, CIM, fișa postului, etc.
- respectarea politicilor și procedurilor interne care impun obligații specifice protecției datelor
Răspunderea medicului:
- ca regulă generală, răspunde strict în baza dreptului muncii pentru nerespectarea obligațiilor de mai sus
- răspunde când își depășește sfera atribuțiilor de serviciu și devine operator de date
- operatorul (spital / clinică) poartă răspunderea principală pentru încălcările protecției datelor, cel mai adesea
CALITATEA MEDICULUI ADMINISTRATOR AL PERSOANEI JURIDICE (SRL, PFI, PFA)
MEDICUL ESTE OPERATOR DE DATE CÂND:
- Înființează o persoană juridică / devine administratorul unei persoane juridice care oferă servicii medicale și prelucrează orice fel de date ale angajaților, pacienților, colaboratorilor, etc.
Își depășește sfera atribuțiilor de serviciu (în calitate de angajat) și prelucrează date în scopuri și cu mijloace proprii.
Exemplu: fotografiază analizele medicale și le postează pe blogul propriu ca informații referitoare la “studiul de caz” dat.
Drepturile medicului în calitatea sa de administrator:
- limitate (puține) întrucât RGPD protejează persoanele fizice și datele acestora de identificare, nu ale persoanelor juridice
Responsabilitățile medicului (semnează contracte cu furnizori de servicii):
- să implementeze politici, proceduri specifice protecției datelor (ex. plan de reacție la incidente)
- să ia măsuri tehnice și organizatorice specifice protecției datelor (ex. instruirea personalului)
Răspunderea medicului:
- răspunde în baza legii (RGPD)
MEDICUL ESTE OPERATOR ASOCIAT CÂND:
Colaborează cu un operator de date (ex. clinică) dar are un nivel de control asupra scopului și mijloacelor de prelucrare a datelor. Exemplu: o clinică medicală colaborează cu un medic radiolog care își desfășoară activitatea prin intermediul propriului SRL/PFI/PFA și are propriul său echipament de diagnosticare prin imagistică.
Drepturile medicului în calitatea sa de operator asociat:
- limitate (puține) întrucât RGPD protejează persoanele fizice și datele acestora de identificare, nu ale persoanelor juridice
Responsabilitățile medicului:
- să implementeze propriile politici, proceduri specifice prin care să protejeze datele care ajung în sfera proprie de activitate
Răspunderea medicului:
- răspunde în baza legii (RGPD)
- răspunde conform contractului dintre părți
MEDICUL ESTE PERSOANĂ ÎMPUTERNICITĂ CÂND:
Medicul se folosește de bazele de date, infrastructura sau mijloacele puse la dispoziție de unitatea medicală și acționează în numele ei, urmând instrucțiunile acesteia.
Exemplu: o clinică medicală contractează serviciile unui medic specialist pentru a oferi evaluări și tratamente specifice pacienților săi.
Drepturile medicului în calitatea sa de persoană împuternicită:
- limitate (puține) întrucât RGPD protejează persoanele fizice și datele acestora de identificare, nu ale persoanelor juridice
Responsabilitățile medicului (semnează contracte de servicii):
- să implementeze propriile politici, proceduri specifice prin care să ofere un nivel asemănător de protecție a datelor precum cel al operatorului
Răspunderea medicului:
- răspunde în baza legii (RGPD)
- răspunde conform contractului dintre părți
