Situatii cand trebuie facuta informarea persoanelor vizate de catre unitatile medicale
Informarea persoanelor vizate (salariati, clienti, vizitatori etc.) este obligatorie ori de cate ori prelucrati date cu caracter personal care ii vizeaza. Dreptul de a fi informat se refera la obligatia de a furniza informatii corecte de prelucrare , de regula printr-o notificare. Acesta subliniaza transparenta in ceea ce priveste modul in care sunt utilizate datele cu caracter personal. Prin dreptul de a fi informat, Regulamentul stabileste informatiile care trebuie furnizate si cand trebuie subiectii prelucrarii datelor cu caracter personal sa fie informati.
Regulamentul prevede cerinte de informare mult mai detaliate in scopul transparentizarii modului in care se prelucreaza datele cu caracter personal, si aici apreciem ca vor fi multe provocari in practica pentru toti cei obligati sa-l respecte. In mod evident, trebuie avuta in vedere calitatea informarii, eficienta acesteia, intrucat trebuie in mod clar sa ne distantam de criteriul cantitativ si sa ne raportam la cel calitativ, si anume, ca mesajul sa fie foarte clar si sa ajunga la persoana vizata.
Personalul responsabil sau cu responsabilitati in prelucrarea datelor cu caracter personal ale persoanelor vizate trebuie sa fie un specialist in materia protectiei datelor cu caracter personal si, eventual, sa fi urmat cursuri de pregatire corespunzatoare, al carui contract sa includa o clauza de pastrare a secretului profesional, precum si clauze specifice protectiei datelor cu caracter personal. Ei trebuie sa fie atenti la posibilele consecinte ale prelucrarii ilegale atat pentru ei, organizatie si, desigur, intimitatea altor colegi. Fara o pregatire adecvata de manipulare a datelor cu caracter personal ale angajatilor/pacientilor, niciodata nu ar putea sa se considere ca au fost intreprinse masuri adecvate pentru respectarea vietii private a persoanelor vizate.
Principalele categorii de informatii care trebuie furnizate in situatia in care acestea au fost obtinute direct de la persoana vizata, conform art. 13 din GDPR sunt:
Regulamentul prevede cerinte de informare mult mai detaliate in scopul transparentizarii modului in care se prelucreaza datele cu caracter personal, si aici apreciem ca vor fi multe provocari in practica pentru toti cei obligati sa-l respecte. In mod evident, trebuie avuta in vedere calitatea informarii, eficienta acesteia, intrucat trebuie in mod clar sa ne distantam de criteriul cantitativ si sa ne raportam la cel calitativ, si anume, ca mesajul sa fie foarte clar si sa ajunga la persoana vizata.
Personalul responsabil sau cu responsabilitati in prelucrarea datelor cu caracter personal ale persoanelor vizate trebuie sa fie un specialist in materia protectiei datelor cu caracter personal si, eventual, sa fi urmat cursuri de pregatire corespunzatoare, al carui contract sa includa o clauza de pastrare a secretului profesional, precum si clauze specifice protectiei datelor cu caracter personal. Ei trebuie sa fie atenti la posibilele consecinte ale prelucrarii ilegale atat pentru ei, organizatie si, desigur, intimitatea altor colegi. Fara o pregatire adecvata de manipulare a datelor cu caracter personal ale angajatilor/pacientilor, niciodata nu ar putea sa se considere ca au fost intreprinse masuri adecvate pentru respectarea vietii private a persoanelor vizate.
Principalele categorii de informatii care trebuie furnizate in situatia in care acestea au fost obtinute direct de la persoana vizata, conform art. 13 din GDPR sunt:
- Identitatea si datele de contact ale operatorului si, dupa caz, ale reprezentantului acestuia
- Datele de contact ale responsabilului cu protectia datelor cu caracter personal, dupa caz, ca ofiter de protectie a datelor cu caracter personal
- Scopurile in care se doreste prelucrarea datelor cu caracter personal, precum si temeiul juridic al prelucrarii (baza legala)
- Interesele legitime pe care operatorul le urmareste (ca operator sau ca o terta parte) cu exceptiile de la art. 6 alin. (1) lit. f) din Regulament Legalitatea prelucrarii
- Care sunt destinatarii sau categoriile de destinatari ai datelor cu caracter personal
- Intentia operatorului de a transfera date cu caracter personal catre o tara terta si care sunt garantiile pe care operatorul le ofera ca transferul este perfect legal si nu lezeaza interesele persoanei vizate.
In plus, conform art. 13 alin. (2) din Regulament, ca operator trebuie sa furnizati persoanelor vizate o serie de informatii suplimentare, necesare pentru a asigura transparenta prelucrarii:
- Perioada de retinere a datelor sau criteriile folosite pentru a stabili aceasta perioada
- Dreptul la rectificare, stergere, restrictionare, obiectii
- Dreptul la portabilitatea datelor
- Dreptul de a retrage consimtamantul in orice moment, daca este cazul
- Dreptul de a depune o plangere la autoritatea de supraveghere
- Daca solicitarea face parte dintr-o cerinta sau obligatie legala sau contractuala si posibilele consecinte ale nefurnizarii
- Existenta unui proces automat de luare a deciziilor (inclusiv profilarea) si modul in care sunt luate deciziile, semnificatia si consecintele acestora.
Daca dumneavoastra, ca operator de date cu caracter personal, doriti sa prelucrati datele cu caracter personal si/intr-un alt scop decat cel pentru care acestea au fost colectate, atunci, inainte de orice prelucrare ulterioara, sunteti obligati sa furnizati persoanelor vizate toate informatiile relevante privitoare la scopul sau scopurile secundare.
In situatia in care datele personale nu v-au fost furnizate in mod direct de catre persoana vizata, conform art. 14 din Regulament, sunteti obligat sa furnizati acestuia intregul set de informatii descrise mai sus, plus urmatoarele informatii obligatorii doar pentru acest caz:
In situatia in care datele personale nu v-au fost furnizate in mod direct de catre persoana vizata, conform art. 14 din Regulament, sunteti obligat sa furnizati acestuia intregul set de informatii descrise mai sus, plus urmatoarele informatii obligatorii doar pentru acest caz:
- care sunt categoriile de date personale pe care le aveti la dispozitie;
- care este sursa publica de date cu caracter personal, dupa caz, care provine de la surse accesibile publicului.
Exceptiile de la dreptul persoanelor vizate de a fi informate sunt urmatoarele:
- daca si in masura in care persoana vizata detine deja informatiile respective (in situatiile in care informatiile au fost obtinute direct de la acesta, precum si atunci cand acestea au fost obtinute din alte surse);
- furnizarea acestor informatii se dovedeste a fi imposibila sau ar implica eforturi disproportionate, in special in cazul prelucrarii in scopuri de arhivare in interes public, in scopuri de cercetare stiintifica sau istorica ori in scopuri statistice, sub rezerva conditiilor si a garantiilor corespunzatoare (masuri tehnice si organizatorice corespunzatoare, spre exemplu, pseudonimizarea), respectarea principiului reducerii la minimum a datelor), sau in masura in care informarea persoanei vizate este susceptibila sa faca imposibila sau sa afecteze in mod grav realizarea obiectivelor prelucrarii respective;
- obtinerea sau divulgarea datelor este prevazuta in mod expres de legislatia in materie; sau
- in cazul in care datele cu caracter personal trebuie sa ramana confidentiale in temeiul unei obligatii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligatii legale de a pastra secretul.
Organizati campanii de constientizare a personalului
In cadrul acestor campanii de informare si constientizare cu privire la cerintele GDPR, ar trebui sa organizati actiuni de indrumare, sesiuni de informare, la care sa participe atat salariatii, cat si reprezentantii acestora, in vederea conformarii la cerintele legislatiei in domeniul protectiei datelor cu caracter personal.
Printre obiectivele campaniei ar putea fi incluse, spre exemplu:
In cadrul acestor campanii de informare si constientizare cu privire la cerintele GDPR, ar trebui sa organizati actiuni de indrumare, sesiuni de informare, la care sa participe atat salariatii, cat si reprezentantii acestora, in vederea conformarii la cerintele legislatiei in domeniul protectiei datelor cu caracter personal.
Printre obiectivele campaniei ar putea fi incluse, spre exemplu:
- informarea referitoare la punerea in aplicare a Regulamentului nr. 679/2016 si constientizarea personalului cu privire la initierea adaptarii contractelor individuale de munca, fise de post, acte aditionale, regulament intern, politici, proceduri etc.;
- clarificarea unor aspecte cu privire la modul de interpretare si aplicare a prevederilor legale referitoare la GDPR si a mecanismelor, masurilor tehnice si organizatorice pe care trebuie sa le instituiti;
- cresterea gradului de constientizare a consecintelor care se pot produce in situatia incalcarii prevederilor legale ale GDPR.
Desi aceste drepturi si limitarile lor pot parea greoaie, ele trebuie tratate cu mare atentie, caci abordarea lor formala sau cu neglijenta poate cauza tensionarea relatiei cu persoana vizata in cauza, ceea ce poate conduce la plangeri adresate Autoritatii, urmate de o evaluare generala a modului in care unitatea medicala se conformeaza prevederilor Regulamentului.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria GDPR pentru entitati medicale
23Feb2021
Masuri privind utilizarea e-mail-ului in unitatile medicale
de Colectivul de Specialisti Rentrop&Straton
23 Feb 2021
23Feb2021
Masuri privind utilizarea echipamentelor mobile in unitatile medicale
de Colectivul de Specialisti Rentrop&Straton
23 Feb 2021
22Feb2021
Masuri privind utilizarea internet-ului privind unitatile medicale
de Colectivul de Specialisti Rentrop&Straton
22 Feb 2021
19Feb2021
Masurile tehnice si organizatorice pe care le pot lua unitatile medicale
de Colectivul de Specialisti Rentrop&Straton
19 Feb 2021
18Feb2021
Masuri privind utilizarea dispozitivelor proprii in unitatile medicale
de Colectivul de Specialisti Rentrop&Straton
18 Feb 2021
17Feb2021
Transferul datelor de catre unitatile medicale
de Colectivul de Specialisti Rentrop&Straton
17 Feb 2021