POLITICA DE CONFIDENȚIALITATE ȘI SECURITATE A PRELUCĂRII DATELOR CU CARACTER PERSONAL

Dragi pacienți, stimați vizitatori,

Suntem ferm angajați în protejarea datelor cu caracter personal. Vă rugăm să parcurgeți cu atenție această politică de confidențialitate, care conține informații importante cu privire la protecția datelor cu caracter personal, motivele și modul în care colectăm și utilizăm datele cu caracter personal și vă oferă informații referitoare la drepturile dumneavoastră.

Utilizarea datelor cu caracter personal pe care ni le-ați transmis se face potrivit acestei politici de confidențialitate sau potrivit informării pe care ați avut-o la dispoziție în momentul colectării lor sau înscrierii pe site.

Securitatea tuturor datelor este un aspect foarte important. De aceea, serverul https://digestmed.ro/ se află în Uniunea Europeană, iar împuterniciții noștri cu privire la suportul tehnic, hardware și software, se află în Uniunea Europeană.

Procedurile noastre cu privire la protecția datelor cu caracter personal, măsurile organizatorice și tehnice, sunt structurate în scopul de a asigura confidențialitate și securitatea datelor cu caracter personal și a tuturor informațiilor aflate în grija noastră. Verificăm periodic caracterul adecvat al măsurilor implementate.

Prezenta politică de securitate a fost creată având în vedere:

Faptul că DigestMed SRL, persoană juridică română, cu sediul social în București, Str. Veteranilor nr. 11A, et. 1, Sector 6, înregistrată la Registrul Comerțului sub nr. J40/13549/2015, cod unic de înregistrare (CUI) 35200141, legal reprezentată prin Elena Aureliana Ciupercă, în calitate de administrator (denumită în continuare DigestMedsau “Noi”) desfășoară o activitate care presupune procesarea unor categorii de date cu caracter personal, intrarea în vigoare începând cu data de 25 mai 2018 a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare “GDPR”), obligația impusă de GDPR de a asigura măsuri de securitate tehnice și organizatorice adecvate tuturor activităților de procesare a datelor cu caracter personal; dedicarea noastră în vederea asigurării celor mai înalte standarde de securitate, având în vedere datele sensibile prelucrate.

  1. ANGAJAMENT

DigestMed prelucrează date cu caracter personal în scopuri legitime, cu respectarea tuturor principiilor impuse de GDPR și de practicile comerciale etice. Protejarea siguranței și securității datelor personale este importantă pentru DigestMed și această politică descrie cadrul organizatoric implementat pentru asigurarea conformității prelucrării.

Obiectivul principal al acestei Politici de Confidențialitate si Securitate este de a contribui la desfășurarea activității societății cu respectarea prevederilor legale specifice si de a minimiza riscurile prin prevenirea incidentelor si, in cazul improbabil al unor astfel de incidente, reducerea impactului lor asupra persoanei vizate.

Ne propunem să avem o relație bazată pe încredere, transparentă, buna-credință și etică în relația cu toți pacienții, partenerii, colaboratorii și angajații noștri.

  1. DEFINIȚII, SEMNIFICAȚII ȘI TERMENI UTILIZAȚI

“Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

„Prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

„Pseudonimizare” înseamnă prelucrarea datelor cu caracter personal într-un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile.

„Operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern.

„Persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului.

„Parte terță” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal.

„Destinatar” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării.

„Consimțământ” al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

„Restricționarea prelucrării” înseamnă marcarea datelor cu caracter personal stocate cu scopul de a limita prelucrarea viitoare a acestora.

  1. PRINCIPIILE POLITICII DE SECURITATE

DigestMed procesează datele cu caracter personal cu care vine în contact cu respectarea următoarelor principii:

  • Protejarea drepturilor și libertăților fundamentale ale persoanelor vizate;
  • Legalitate, echitate și transparență – datele cu caracter personal sunt prelucrate cu bună credință și în conformitate cu dispozițiile legale în vigoare, într-un mod echitabil și transparent față de persoana vizată;
  • Scopuri determinate, explicite și legitime – Prelucrarea datelor cu caracter personal de către DigestMed se face în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într-un mod incompatibil cu aceste scopuri;
  • Temei legal – DigestMed se va asigura că orice procesare a datelor cu caracter personal va avea un temei bine determinat, precum prevederi legale, consimțământul persoanei vizate, executarea contractelor, interesul legitim al DigestMed (care nu va contraveni intereselor superioare ale persoanei vizate);
  • Limitare prin raportare la scop – DigestMed procesează datele cu caracter personal numai dacă sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate;
  • Limitare prin raportare la timp – DigestMed păstrează datele persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele;
  • Exactitate și acuratețe – DigestMed procesează date cu caracter personal într-un mod precis și ia măsuri rezonabile pentru a se asigura că datele inexacte de care ia cunoștință sunt șterse sau rectificate;
  • Securitate – DigestMed este dedicată asigurării securității tuturor datelor cu caracter personal pe care le prelucrează și face demersuri constante pentru a atinge acest scop, inclusiv prin instruirea angajaților, colaboratorilor și partenerilor săi.
  1. CATEGORII DE PERSOANE VIZATE

DigestMed procesează date cu caracter personal ale următoarelor categorii de persoane vizate:

– Persoane fizice;

– Angajații/colaboratorii proprii;

– Angajații/colaboratorii partenerilor comerciali;

– După caz, alte persoane fizice care interacționează cu societatea în cursul activității acesteia.

  1. DATELE COLECTATE

În funcție de specificul fiecărei relații, DigestMed poate procesa următoarele categorii de date cu privire la persoanele vizate:

  • Nume și prenume;
  • Date de contact: telefon, adresă de e-mail;
  • Date de identificare, conform cărții de identitate / pașaportului;
  • Date privind studiile;
  • Date profesionale: loc de muncă, poziție, vechime, experiență profesională;
  • Date furnizate direct prin e-mail sau prin alte modalități de către persoanele vizate;
  • Date colectate despre angajați și familiile acestora, în scopul respectării contractului de muncă și a prevederilor legale în domeniul muncii;
  • Date de localizare prin sisteme GPS;
  • Imagine și voce.

Datele cu caracter personale menționați mai sus au caracter exemplificativ. Aceste date pot fi colectate din următoarele surse:

  • De la pacienții DigestMed în momentul în care doresc să acceseze serviciile noastre;
  • Din contracte și documente auxiliare acestora, inclusiv în executarea relațiilor de muncă/colaborare;
  • ca urmare a furnizării acestora direct de către persoana vizată – cu obținerea consimțământului în cazurile prevăzute de lege; în unele cazuri, prin faptul că persoana vizată ne transmite anumite informații de bună voie către noi prin orice canal de comunicare, vom procesa datele primite în scopul de a răspunde la solicitarea respectivă;
  • ca urmare a interacțiunii angajaților noștri cu persoanele vizate (e.g. cărți de vizită); – din surse publice;
  • ca urmare a înscrierii pe site în sectiunea “Înscriere la newsletter”.
  1. SCOPURILE ȘI TEMEIURILE PRELUCRĂRII

DigestMed este o clinică medicală privată ce are ca obiect principal de activitate diagnosticarea și tratarea bolilor aparatului digestiv și își desfășoară activitatea medicală în România la cele mai noi standarde internaționale.

Astfel, colectăm date cu caracter personal în următoarele scopuri:

  1. Prestarea de servicii medicale către dumneavoastră;
  2. Comunicări de marketing, precum: noutăți privind serviciile medicale disponibile, oferte de servicii medicale, sfaturi medicale de interes, lansare evenimente fizice sau online, abonare la newsletter;
  3. Gestiunea financiară, precum: eliberarea bonurilor, a facturilor şi a chitanţelor; primirea plăţilor – inclusiv înregistrarea plăților efectuate de altă persoana în numele dumneavoastră; recuperarea debitelor (inclusiv prin intermediul companiilor specializate în recuperarea de creanţe); restituirea unor sume de bani; transmiterea de notificări; trimiterea în instanţă; elaborarea de rapoarte financiare/ operaţionale, a rapoartelor de activitate şi emiterea situaţiilor financiare/ cu privire la contracte;
  4. Soluţionarea disputelor: formularea de cereri şi de apărări înaintea autorităţilor publice şi a altor entităţi care soluţionează dispute;
  5. Sondaje: realizarea de sondaje şi adresarea de întrebări cu scopul de a obţine opinia dumneavoastră cu privire la serviciile DigestMed;
  6. Îmbunătăţirea produselor şi a serviciilor. Identificarea potenţialelor probleme cu privire la serviciile noastre existente în vedere îmbunătățirii acestora; testarea îmbunătăţirilor realizate asupra serviciilor noastre sau a noilor noastre servicii; soluţionarea sesizărilor dumneavoastră.

Colectăm date cu caracter personal în următoarele temeiuri:

  1. Consimțământul persoanelor vizate;
  2. Executarea contractelor. În executarea contractelor cu furnizorii/partenerii/colaboratorii noștri putem să procesăm date cu caracter ale reprezentanților sau ale clienților acestora, în funcție de specificul fiecărui contract în parte;
  3. d) Îndeplinirea unor obligații legale;
  4. Îndeplinirea intereselor legitime ale DigestMed care nu se vor opune drepturilor superioare ale persoanei vizate.
  1. DESTINATARI

DigestMed nu transferă date cu caracter personal către destinatari din afara spațiului Uniunii Europene.

DigestMed nu vinde, nu oferă și nu pune la dispoziția terților în interes comercial datele cu caracter personal pe care le prelucrează.  DigestMed poate avea anumite relații cu parteneri și colaboratori, situație în care este posibil ca anumite date să fie transferate către și de la aceștia.

Informațiile persoanelor vizate pot fi stocate într-o bază de date din Uniunea Europeana (UE).

DigestMed își asumă respectarea confidențialității informațiilor personale procesate. DigestMed, direct sau prin împuterniciții săi, va procesa datele în calitate de operator de date cu caracter personal, iar aceste date pot fi accesibile și folosite numai de către angajații/colaboratorii DigestMed, direct sau prin împuterniciții acestora, precum și de către partenerii contractuali ai DigestMed, direct sau prin împuterniciții acesteia.

În cazul în care se solicită DigestMed dezvăluirea informațiilor persoanelor vizate printr-un ordin judecătoresc sau pentru a se conforma altor cerințe legale sau de reglementare, societatea va da curs acestor solicitări în conformitate cu prevederile legale în vigoare.

  1. DREPTURILE PERSOANELOR VIZATE

Conform GDPR, toate persoanele fizice cărora le prelucram date cu caracter personal au drepturi specifice, printre care menționăm:

  1. Dreptul de acces la date: aveţi dreptul de a obţine accesul la datele dumneavoastră pe care le prelucrăm sau le controlăm sau la copii ale acestora; aveţi, de asemenea, dreptul de a obţine de la noi informaţii cu privire la natura, prelucrarea şi divulgarea acestor date.
  2. Dreptul la rectificarea datelor: aveţi dreptul de a obţine rectificarea inexactităţilor datelor dumneavoastră pe care le prelucrăm sau le controlăm.
  3. Dreptul la ştergerea datelor: aveţi dreptul de a obţine de la noi ştergerea datelor dumneavoastră pe care le prelucrăm sau le controlăm.
  4. Dreptul la restricţionarea prelucrării datelor: aveţi dreptul de a restricţiona prelucrarea datelor dumneavoastră pe care le prelucrăm sau le controlăm.
  5. Dreptul de a obiecta: aveţi dreptul de a obiecta la prelucrarea datelor dumneavoastră de către noi sau în numele nostru.
  6. Dreptul la portabilitatea datelor: aveţi dreptul de a obţine transferul către un alt operator al datelor dumneavoastră pe care le prelucrăm sau le controlăm.
  7. Dreptul la retragerea consimţământului: în situaţiile în care prelucrăm datele în temeiul consimţământului dumneavoastră, aveţi dreptul de a vă retrage consimţământul; puteți face aceasta în orice moment, cel puţin la fel de uşor cum ni l-aţi acordat; retragerea consimțământului nu va afecta legalitatea prelucrării datelor dumneavoastră pe care am realizat-o înainte de retragere.
  8. Dreptul de a depune o plângere la autoritatea de supraveghere: aveţi dreptul de a depune o plângere la autoritatea de supraveghere a prelucrării datelor cu caracter personal cu privire la prelucrarea datelor dumneavoastră de către noi sau în numele nostru.
  1. SECURITATEA DATELOR COLECTATE

În conformitate cu prevederile legale în vigoare și cu stadiul actual al tehnologiei, DigestMed a implementat măsuri tehnice și organizatorice adecvate pentru asigurarea securității datelor cu caracter personal în decursul activității noastre, conform regulilor detaliate mai jos.

În activitatea noastră urmărim în primul rând prevenirea oricăror incidente de securitate, precum acces neautorizat la date, scurgeri de informații, ștergere accidentală a datelor și altele asemenea, întreaga structură a prelucrărilor de date fiind construită în jurul principiului prevenției.

Totuși, având în vedere că în societatea informațională securitatea prelucrărilor nu poate fi 100% garantată, DigestMed a luat, de asemenea, măsuri ca, în cazul improbabil în care apar incidente de securitate, întinderea și gravitatea acestora să fie diminuate.

Având în vedere că unele dintre informațiile colectate pot avea caracter sensibil, ne asumăm impunerea unor standarde suplimentare de securitate pentru aceste informații.

  1. REGULI GENERALE

Pentru a asigura protecția adecvată a datelor cu caracter personal la care DigestMed are acces, am implementat măsuri organizatorice și tehnice, precum:

  1. semnarea unor documente suplimentare cu angajații, colaboratorii și partenerii noștri pentru asigurarea confidențialității datelor cu caracter personal la care au acces cel puțin la un nivel similar cu cel impus de compania noastră;
  2. implementarea unor măsuri de securitate fizice cu privire la documentele care conțin date cu caracter personal, cum ar fi, de exemplu, stocarea documentelor în dulapuri închise cu cheie la care are acces doar personalul autorizat, implementarea unor sisteme de acces restricționat (de exemplu, chei) exclusiv pentru persoanele care justifică un interes pentru accesul respectivelor date;
  3. implementarea unor măsuri de securitate în ceea ce privește sistemele informatice, cum ar fi, de exemplu, asigurarea că toate echipamentele noastre dispun de programe de securitate corespunzătoare, asigurarea unor copii de rezervă etc;
  4. implementarea unor programe de instruire a personalului cu privire la cerințele GDPR.
  1. REGULI SPECIFICE

DigestMed a implementat următoarele reguli specifice pentru protecția datelor cu caracter personal:

  1. Reguli de securitate tehnică
  1. Interzicerea folosirii de către utilizatorii de sisteme a unor programe software nelicențiate sau care provin din surse nesigure.
  2. Implementarea unui sistem de autentificare bazat pe user și parole securizate, unice pentru fiecare utilizator autorizat; astfel, pe de o parte se împiedică accesul terților la terminale/bazele de date și, pe de altă parte, la introducerea greșită a userului/parolei de un anumit număr de ori, sistemul se blochează automat, conform procedurilor tehnice interne.
  3. Implementarea unor măsuri de securitate adecvate ale echipamentelor IT și software-ului utilizat în activitatea noastră, după cum urmează:
  4. informarea utilizatorilor în privința pericolului privind virușii informatici; implementarea unor software-uri de protecție adecvate pe terminalele utilizate, precum programe antivirus și informarea salariaților asupra obligativității de scanare periodică a sistemelor pentru prevenirea oricăror programe neautorizate (e.g. malware, phishing) sau, după caz, implementarea unor sisteme automate de devirusare și de securitate a sistemelor informatice;
  5. dezactivarea pe cât posibil tastei “Print screen”, atunci când sunt afișate pe monitor date cu caracter personal, limitându-se astfel posibilitatea de scoatere la imprimantă a acestora de către alți utilizatori decât aceia autorizați în acest sens;
  6. limitarea drepturilor de printare (imprimare), prin implementarea unor sisteme bazate pe user/parolă;
  7. monitorizarea accesului la baza de date și logarea (autentificarea) accesului și a parcursului utilizatorului;
  8. verificarea efectivă a existenței consimțământului dumneavoastră prin solicitarea unei acțiuni în sensul consimțământului, constând în bifarea activă, și nu pasivă, a rubricii prin care îl acordați.
  9. schimbarea periodică a parolelor de acces la baza de date și la sistemele informatice;
  10. obligația angajaților de a securiza accesul în terminalele proprii atunci când nu le utilizează și de a închide terminalele la finalul programului de muncă;
  11. limitarea drepturilor de acces la bazele de date de la distanță (i.e. din afara firmei) / cu utilizarea altor dispozitive decât cele puse la dispoziție de societate;
  12. interzicerea utilizării unor rețele publice (cu acces deschis) de conexiune la internet.

      B. Reguli de securitate organizatorică

  1. Limitarea numărului de destinatari/utilizatori care au acces la datele cu caracter personal și corelarea drepturilor de acces cu necesitatea justificată de fiecare utilizator – e.g. prin împărțirea pe arii geografice a informațiilor despre persoanele vizate, prin transmiterea către împuterniciți doar a datelor necesare pentru executarea contractului etc.
  2. Introducerea unor condiții și obligații de confidențialitate și protecție a datelor cu caracter personal suplimentare pentru angajați, colaboratori, furnizori și parteneri.
  3. Introducerea unor reguli specifice privind copierea și diseminarea documentelor pentru a preveni răspândirea și accesul unor persoane neautorizate la datele cu caracter personal.
  4. Introducerea unor reguli prin care angajații, colaboratorii și partenerii noștri au acces numai la acele date cu caracter personal necesare îndeplinirii fișei postului său, după caz, a obligațiilor asumate față de DigestMed.
  5. Instalarea unor sisteme de asigurare a securității fizice a documentelor care cuprind date cu caracter personal, precum dulapuri închise sub cheie;
  6. Realizarea unor copii de siguranță a datelor stocate;
  7. Restricționarea accesului persoanelor neautorizate în spatiile unde sunt stocate datele cu caracter personal sau echipamentele pe care acestea sunt stocate, decât cu asigurarea unor condiții de confidențialitate corespunzătoare;
  8. Interzicerea copierii datelor cu caracter personal pe medii de stocare mobile, fără acordul prealabil al conducerii societății, cu excepția situației când aceasta este necesară pentru îndeplinirea unor obligații asumate contractual față de clienți;
  9. Asigurarea instruirii periodice a personalului cu privire la cerințele GDPR, precum și cele de securitate și riscurile privind datele cu caracter personal.
  10. Desemnarea unei persoane responsabile cu protecția datelor cu caracter personal.
  1. DISPOZIȚII FINALE

Pentru mai multe detalii, informații și solicitări, orice persoană interesată se poate adresa printr-un e-mail la adresa contact@digestmed.ro, prin telefon la numărul 0743344378 sau direct la sediul nostru din Str. Veteranilor nr. 11A, et. 1, Sector 6, București. În acest sens este împuternicită ca ofițer responsabil cu protecția datelor, ________________. Pentru exercitarea anumitor drepturi ne rezervăm dreptul de a solicita ca cererea să fie depusă în scris, semnată de persoana vizată și ca solicitantul să prezinte dovezi suficiente de identificare cu persoana vizată (care exercită dreptul conferit de lege).

Datele cu caracter personal vor putea fi dezvăluite fără consimțământul dumneavoastră în caz de litigii/dispute privind fraudele la plata către următorii destinatari: Băncile sau furnizorii de servicii de plată implicate în plățile online, Organismele Internaționale de Carduri și Furnizori de servicii/produse, respectiv conform Legii, către instituțiile abilitate.

În conformitate cu dispozițiile Legii nr. 677/200, aveți următoarele drepturi:

1)  Dreptul la informare (art. 12)

2)  Dreptul la acces la date (art. 13) – dreptul de a obține, la cerere și în mod gratuit, pentru o solicitare pe an, confirmarea ca datele care o privesc sunt sau nu sunt prelucrate de operatorul de date.

3)  Dreptul la intervenție (art. 14) – dreptul de a solicita operatorului de date, printr-o cerere scrisă și în mod gratuit, următoarele:

  1. rectificarea, actualizarea, blocarea sau ștergerea datelor incomplete, inexacte sau prelucrarilor nelegale;
  2. transformarea datelor personale nelegale în date anonime;
  3. notificarea tertilor cu privire la operațiunile prevăzute la lit. a) și b).

4)  Dreptul la opoziție (art. 15) – dreptul de a se opune, în mod gratuit și printr-o cerere scrisă, din motive întemeiate și legitime legate de situația sa particulară, ca datele care o vizează să facă obiectul unei prelucrări.

5)  Dreptul de a se adresa justitiei (art. 18) – dreptul de a se adresa justitiei pentru apărarea drepturilor garantate de lege și care au fost încălcate.

6)  Dreptul de a face plângere la autoritatea de supraveghere (art. 25).