Prelucrarea datelor cu caracter personal

1. Identitatea și datele de contact ale operatorului.

Fiind o componentă intrinsecă a oricăror activități care vizează persoane fizice și cu atât mai mult a celor prin care sunt prestate servicii medicale, prelucrarea datelor cu caracter personal este efectuată de Institutul de Pneumoftiziologie „Marius Nasta” în conformitate cu prevederile Regulamentului UE nr. 679 din 2016 privind Protecţia Datelor Personale (GDPR), aplicat în România prin măsurile descrise în Legea nr. 190 din 18.07.2018.

Datele cu caracter personal sunt colectate în toate locațiile din București (https://marius-nasta.ro/contact/) în care sunt desfășurate activități cu caracter medical sau orice alt tip de activități care implică relaționare cu persoane fizice din afara personalului Institutului, iar stocarea și prelucrarea lor se face la sediul central, amplasat în str. Șoseaua Viilor nr. 90, sector 5, București, cod poștal 050159, telefon centrală 021 335 69 10, adresă email secretariat@marius-nasta.ro .

2. Datele de contact ale responsabilului cu protecția datelor.

Atât datorită caracterului special al datelor prelucrate cât și ca urmare a statutului de „autoritate sau organism public” definit prin art. 2 lit. a) din Legea 190/2018 privind aplicarea GDPR în România, prelucrarea datelor cu caracter personal se face sub coordonarea unui Responsabil cu Protecția Datelor desemnat în cadrul Institutului și care poate fi contactat pentru orice solicitare legată de prelucrarea datelor cu caracter personal prin intermediul datelor de contact prezentate la pct. 1 sau direct, prin email dpo@marius-nasta.ro.

3. Categoriile de persoane vizate și modurile de obținere a datelor

Prelucrarea datelor personale de către Institutul de Pneumoftiziologie „Marius Nasta” vizează următoarele categorii de persoane:

• persoanele fizice care beneficiază de serviciile cu caracter medical prestate în cadrul Institutului,

• persoanele fizice care candidează pentru, sau dobândesc, calitatea de angajat al Institutului de Pneumoftiziologie Marius Nasta,

• persoanele fizice care au calitatea de reprezentant al firmelor cu care există, poate exista sau este în pregătire, un parteneriat reglementat contractual,

• persoanele fizice care pot deveni, sunt sau au fost parteneri contractuali sau comerciali ai Institutului de Pneumoftiziologie „Marius Nasta”.

Datele care vizează categoriile de persoane enumerate, pot fi obținute în următoarele modalități:

• direct din mesajele (transmise telefonic, prin FAX sau email) prin care ne sunt adresate solicitări privind produsele și serviciile noastre, sau când se răspunde prin intermediul Sistemului Informatic Colaborativ pentru mediu performant de desfășurare al Achizițiilor Publice (SICAP) solicitărilor Institutului privind achiziția de servicii și produse ce ne sunt necesare desfășurării activităților curente;

• cu ocazia unor întâlniri directe, între reprezentanții Institutului de Pneumoftiziologie „Marius Nasta” și posibilii beneficiari ai activităților pe care le desfășurăm, ori potențiali parteneri contractuali sau colaboratori;

• utilizând informațiile de contact publicate în mod voit de persoanele care se încadrează în oricare din categoriile menționate mai sus, prin intermediul site-urilor INTERNET sau celor de tip social-media;

• direct de la persoanele fizice către care sunt prestate serviciile medicale, sau care vizitează site-urile Institutului de Pneumoftiziologie „Marius Nasta” ori locațiile și sediile Institutului în care sunt instalate sisteme de supraveghere video.

4. Scopul prelucrărilor, tipul datelor prelucrate, temeiul juridic și durata prelucrării datelor cu caracter personal.

• În scopul prestării serviciilor medicale către persoanele care se adresează Institutului de Pneumoftiziologie „Marius Nasta”, colectăm datele de contact și datele din documentele de identitate, la care se adaugă date privind sănătatea preexistente. În plus, pe parcursul efectuării procedurilor medicale necesare restabilirii stării de sănătate, pot fi colectate și alte date privind sănătatea, prin analize și proceduri medicale. Toate datele cu caracter medical, sunt prelucrate în baza acordurilor solicitate de la pacienți în conformitate cu Legea 95/2006 (actualizată) privind reforma în domeniul sănătății, precum și conform art. 6. al. 1 lit. (c), (d) și (e) din GDPR.

Durata prelucrării acestui tip de date, este reglementată prin Nomenclatorul Arhivistic aprobat de Arhivele Naționale în conformitate cu Legea Arhivelor Naționale nr. 16/1996 (actualizată), și poate varia între o perioadă de 3 ani pentru cotoarele biletelor de trimitere/internare/analize sau registrele de investigații medicale și 30 de ani pentru datele stocate în foile de observație clinică sau documente cu caracter similar medicale. Ulterior, o parte din aceste documente sunt transferate către Arhivele Naționale, pentru păstrarea acestora conform termenelor stabilite prin Anexa 6 a Legii 16/1996.

• Pe parcursul desfășurării activităților curente, fie cu caracter medical, fie cu caracter logistic-administrativ, reprezentații Institutului pot colecta, accesa și utiliza date cu caracter personal ale unor persoane fizice cu care vor relaționa în funcție de necesități (aparținători, reprezentanți ai unor parteneri contractuali, colaboratori, etc.). În acest scop, sunt colectate datele de contact de tip nume, prenume, nr. de telefon, adresă poștală, adresă de email, prelucrarea lor fiind efectuată atât în baza  acordului dat de aceste persoane, în condițiile prevăzute prin art. 6. al. (1) lit. a) și art. 7 din GDPR, cât și în baza art. 6. al. (1) lit. (f) din GDPR, atunci când astfel de date sunt colectate din surse publice.

Durata prelucrării acestor date va fi identică cu durata în care Institutul de Penumoftiziologie „Marius Nasta” își păstrează neschimbat statutul juridic existent la data colectării datelor. Această perioadă poate fi însă restricționată la cererea oricărei persoane vizate, adresată conform detaliilor de la pct. 10 din această informare.

• În scopul încheierii și desfășurării unor activități reglementate contractual, sunt prelucrate datele de identitate de tip nume, prenume, nr. de telefon, adresă poștală, adresă de email, informații din documentele de identitate (CNP, serie și număr, etc.) ale persoanelor care au calitatea de parte contractuală sau reprezentant al acesteia. Aceste date sunt prelucrate în baza art. 6 al. (1) lit. b) din GDPR, durata prelucrării fiind de 3 ani (de la data încetării lor) pentru contractele comerciale uzuale, 10 ani pentru datele colectate din contractele cu caracter financiar-contabil sau de aprovizionare, sau 75 de ani pentru datele constituite în dosarele de personal întocmite conform obligațiilor legale, pe parcursul derulării Contractelor Individuale de Muncă.

• În scopul optimizării conținutului paginilor web gestionate de Institutul de Pneumoftiziologie „Marius Nasta” conform intereselor și particularitățile tehnice de accesare a acestora de către vizitatori, sunt colectate date cu caracter anonim de tip adresă IP, tip platforma hardware-software folosită pentru accesare, paginile cel mai des vizitate, etc. Prelucrarea acestor date se face anonim (fără identificarea persoanelor vizate), în temeiul art. 6. al. (1) lit. (f) din GDPR pentru o perioadă de maxim 3 ani de la data obținerii lor.

• În scopul respectării obligațiilor impuse prin Legea 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecției persoanelor, colectăm prin sistemele de supraveghere video și date cu caracter biometric (foto/video). De regulă, sistemele de supraveghere video sunt instalate astfel încât sa fie monitorizat accesul spre zonele și încăperile în care sunt concentrate bunuri patrimoniale sau cu importanță deosebită, deținute de Institut: depozite de materiale sau medicamente, casierii, arhive, servere și baze de date, etc. Zonele în care sunt instalate camere de supraveghere video sunt marcate corespunzător, astfel încât persoanele care doresc să se opună acestui tip de prelucrare a datelor, să le poată evita.

Acest tip de date sunt prelucrate conform prevederilor art. 6 al. (1) lit. (c) GDPR,. Durata de păstrare a acestor date, este de maxim 30 de zile de la data colectării (înregistrării) lor, cu excepția situațiilor când acestea sunt utilizate pentru exercitarea sau apărarea unor drepturi în instanță, situație în care datele vor fi prelucrate până la finalizarea acțiunii judecătorești și expirarea termenelor de prescripție specifice.

5. Obligația de furnizare a datelor.

Cu excepția situațiilor impuse prin lege sau prin reglementările contractelor în care sunteți parte, nu există nicio obligație să ne furnizați datele cu caracter personal pe care vi le solicităm. În  situațiile în care refuzați furnizarea unora din datele pe care vi le solicită personalul medical al Institutului de Pneumoftiziologie „Marius Nasta”, sau refuzați efectuarea unor proceduri medicale prin care ar putea fi colectate astfel de date, vă rugăm să țineți cont că în lipsa unor soluții alternative care să ofere rezultate echivalente, ne va fi imposibil să prestăm activitățile sau să vă furnizăm serviciile pentru care ați intrat în contact cu Institutul, în special cele cu caracter medical, și care cel mai adesea pot depinde de furnizarea sau colectarea acestor date.

6. Interesele legitime.

Atunci când datele cu caracter personal sunt prelucrate în baza art. 6 al. (1) lit. f) din GDPR, interesele legitime în legătură cu care putem efectua astfel de prelucrări, pot fi:

• identificarea și contactarea unor potențiali colaboratori, prestatori de servicii sau a unor candidați pentru ocuparea unor posturi vacante;

• efectuarea unor cercetări sau studii medicale – caz în care datele vor fi prelucrate numai după o anonimizare ireversibilă a acestora;

• optimizarea conținuturilor web sau a paginilor social-media gestionate de Institutul de Pneumoftiziologie „Marius Nasta”;

7. Securitatea datelor cu caracter personal prelucrate

Institutul de Pneumoftiziologie „Marius Nasta” este înscris în Registrul Național al Operatorilor de Servicii Esențiale, având obligația legală de a pune în aplicare prevederile Legii nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.

Astfel, prelucrarea tuturor datelor deținute de Institut, inclusiv a celor cu caracter personal, se face asigurând confidențialitatea, integritatea și disponibilitatea acestora, fiind astfel respectată inclusiv obligația impusă prin art. 32 din GDPR.

Pentru asigurarea securității datelor prelucrate, sunt elaborate politici de securitate care descriu modul (procedurile) de utilizare a sistemelor informatice, astfel încât prelucrarea tuturor datelor deținute de Institut să se facă asigurând managementul continuu al tuturor componentelor specifice securității cibernetice:

• Protecția fizică a spațiilor în care sunt utilizate sau amplasate sistemele electronice utilizate pentru prelucrarea datelor;

• Protecția accesului la sistemele informatice, prin politici de gestionare a identității și autentificării personalului autorizat să utilizeze aceste sisteme;

• Protecția datelor prelucrate prin controlul transferurilor de date în/din afara sistemului informatic și alocarea accesului la date în limita atribuțiilor funcționale;

• Asigurarea integrității datelor prin protecția sistemelor și dispozitivelor împotriva erorilor funcționale;

• Asigurarea disponibilității datelor, prin politici de back-up a datelor efectuate în timp real sau planificat.

8. Datele prelucrate în colaborare cu terțe părți.

În marea majoritate a situațiilor, activitățile care necesită prelucrarea datelor cu caracter personal se face prin mijloace și resurse proprii.

În situații particulare și numai în legătură cu scopurile în care au fost colectate, datele personale prelucrate de Institutul de Pneumoftiziologie „Marius Nasta” pot fi puse la dispoziția unor parteneri sau prestatori specializați în furnizarea unor servicii conexe sau complementare activităților pe care le desfășurăm.

De asemenea, pot exista și situații în care prestatori ai unor servicii specifice, pot prelucra incidental date cu caracter personal pe parcursul furnizării serviciilor care fac obiectul unor contracte de achiziții publice.

În toate aceste situații, accesarea datelor cu caracter personal de către o terță parte, se va face numai în baza unui angajament legal prin care persoana juridică respectivă va fi împuternicită de Institutul de Pneumoftiziologie „Marius Nasta” să acceseze aceste date, numai în măsura în care are capacitatea tehnică și organizatorică să își asume conform art. 26 sau art. 28 din GDPR, obligația de a respecta normele de drept intern în materie, precum și de a asigura un nivel de protecție și securitate a datelor în condiții cel puțin echivalente cu cele asigurate în cadrul Institutului.

În site-ul marius-nasta.ro, pot exista legături către formulare de colectare a datelor, gestionate de terțe părți (cum sunt, de exemplu, formularele de feedback adresate pacienților, gestionate de Ministerul Sănătății din România). Datele completate prin aceste formulare, vor fi prelucrate conform detaliilor și informațiilor care trebuie oferite de aceste instituții sau parteneri contractuali. Institutul de Pneumoftiziologie „Marius Nasta” nu are acces la datele completate prin aceste formulare, întrucât acestea vor fi stocate direct în bazele de date ale partenerilor, iar aceste date nu sunt prelucrate în calitate de persoane juridice împuternicite de Institut. Puteți urmări cu ușurință dacă un formular accesat prin intermediul site-ului marius-nasta.ro trimite datele către Institut – urmând să fie prelucrate conform detaliilor din această pagină – sau direct, către o terță parte, fără implicarea Institutului de Pneumoftiziologie „Marius Nasta”, acest lucru fiind indicat de adresa web a formularului, care, în cazul unor terțe părți, se modifică din https://mariu-nasta.ro/… în altă adresă web care nu mai conține denumirea „marius-nasta.ro” ci o altă denumire, conform domeniului web gestionat de acea instituție sau partener.

9. Transferul datelor către o țară terță sau o organizație internațională din afara Uniunii Europene

Transferurile de date cu caracter personal în afara României, se fac doar în situații particulare, de exemplu atunci când contractele încheiate între Institutul de Pneumoftiziologie „Marius Nasta” și parteneri externi, impun astfel de transferuri (pentru perfecționare sau formare profesională, cercetare, etc.) sau în vederea protejării intereselor vitale ale pacienților noșțri, ori la cererea acestora.

Dacă transferul datelor trebuie efectuat în afara Uniunii Europene și implicit, în afara jurisdicției GDPR, atunci transferul se va efectua doar în conformitate cu prevederile art. 49 al. (1) lit. (a) – (d) și lit. (e) din GDPR.

10. Drepturile persoanelor vizate prin prelucrare.

Pentru toate categoriile de persoane fizice vizate prin prelucrarea datelor cu caracter personal enumerate la pct.3, Institutul de Pneumoftiziologie „Marius Nasta” asigură exercitarea tuturor drepturilor legale, după cum urmează:

• Dreptul de acces la datele cu caracter personal, în baza căruia persoanele fizice vizate prin prelucrarea datelor pot oricând să solicite Institutului de Pneumoftiziologie „Marius Nasta” o confirmare a faptului că se prelucrează sau nu date cu caracter personal care le privesc și, în caz afirmativ, acces la datele respective. Datele pot fi obținute în mod gratuit odată pe an, începând cu a doua solicitare din același an calendaristic, fiind percepută o taxă egală cu contravaloarea costurilor administrative.  

• Dreptul de rectificare sau de ștergere. Persoanele fizice ale căror date sunt prelucrate de Institutul de Pneumoftiziologie Marius Nasta, au dreptul de a obține fără întârzieri nejustificate, rectificarea datelor cu caracter personal care o privesc și despre care persoanele în cauză, constată că sunt inexacte. Ținându-se seama de scopurile în care au fost prelucrate datele, persoana vizată are dreptul de a obține completarea datelor cu caracter personal care sunt incomplete, inclusiv prin furnizarea unei declarații suplimentare. De asemenea, persoanele fizice vizate prin prelucrarea datelor, au dreptul de a obține din partea Institutului de Pneumoftiziologie „Marius Nasta” ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, în condițiile prevăzute prin art.17 al. (1) din GDPR și numai atunci când nu sunt aplicabile prevederile art. 17 al. (3) din GDPR, care permit respingerea unei astfel de solicitări în măsura în care prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare și la informare, pentru respectarea unor obligații legale ale Institutului, pentru îndeplinirea unei activități executate în interes public sau în domeniul sănătății publice, în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.

• Dreptul de restricționare a prelucrării. Persoanele fizice vizate prin prelucrarea datelor, au dreptul de a obține din partea Institutului de Pneumoftiziologie „Marius Nasta” restricționarea prelucrării datelor personale, când se contestă exactitatea datelor – pentru o perioadă care să permită verificarea și corectarea acestora, când se consideră că scopurile în care au fost colectate nu mai justifică prelucrarea lor sau când se contestă legitimitatea prelucrării lor.

• Dreptul de a se opune prelucrării. Persoanele fizice vizate prin prelucrarea datelor de către Institutul de Pneumoftiziologie „Marius Nasta”, au dreptul de a se opune, din motive legate de situații particulare în care se pot afla la un moment dat, prelucrării în scopuri de marketing, creării de profiluri, sau de a face obiectul unei decizii bazate exclusiv pe prelucrarea automată și prin care se produc efecte juridice care privesc persoana vizată sau o afectează în mod similar, într-o măsură semnificativă.

În ceea ce privește prelucrarea datelor anonime preluate automat în momentul accesării serviciilor noastre online, vă puteți opune oricând acestui tip de prelucrare, prin activarea setărilor de confidențialitate ale browser-ului utilizat de dvs., sau prin alegerea unor aplicații care oferă facilități de navigare anonimă pe web.

• Dreptul la portabilitatea datelor. Atunci când datele personale au fost furnizate într-un  format structurat, utilizat în mod curent și care poate fi citit automat prin intermediul sistemelor informatice, persoana fizică vizată prin acest tip de prelucrare, are dreptul, în cazurile prevăzute de art. 20 din GDPR, de a solicita transmiterea acestor date altui operator, fără obstacole din partea Institutului de Pneumoftiziologie „Marius Nasta”.

• Dreptul de a retrage consimțământul în orice moment, ceea ce nu va afecta însă legalitatea prelucrării efectuate pe baza consimțământului, înainte de retragerea acestuia.

Exercitarea oricăruia din drepturile enumerate, se poate face prin adresarea unei solicitări prin intermediul datelor de contact prezentate la pct. 1, sau direct, Responsabilului cu Protecția Datelor cu Caracter Personal, către adresa de email dpo@marius-nasta.ro sau în scris, pe adresa sediului Institutului de Penumoftiziologie „Marius Nasta”, str. Șoseaua Viilor nr. 90, sector 5, București, cod poștal 050159.

La orice solicitare, veți primi un răspuns în termen de maxim 30 de zile, cu detalii privind modul de soluționare a acesteia. Iar atunci când considerați că răspunsul formulat nu este în conformitate cu prevederile legale sau vă sunt încălcate drepturile privind prelucrarea datelor cu caracter personal, aveți inclusiv dreptul de a depune o plângere:

• Dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, se poate exercita oricân o persoană fizică vizată prin prelucrarea datelor cu caracter personal de către Institutul de Pneumoftiziologie „Marius Nasta” consideră că i-au fost încălcate drepturile sale. Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal poate fi contactată la tel. +40.318.059.211, email anspdcp@dataprotection.ro sau prin intermediul site-ului www.dataprotection.ro.

Ultima actualizare: iunie 2021.

Întrucât informațiile din această pagină web pot fi modificate în funcție de evoluția legislației care reglementează prelucrarea datelor cu caracter personal ori de modificarea procedurilor interne utilizate pentru prelucrarea acestui tip de date, vă rugăm să consultați aceste informații ori de câte ori doriți detalii despre modul în care sunt colectate și prelucrate datele dumneavoastră cu caracter personal.