prelucrarea datelor În domeniul medical din … · persoanei vizate în domeniul ocupării forței...

www.dataprotection.ro ANSPDCP 6 Martie 2018

AUTORITATEA NAȚIONALĂ DE SUPRAVEGHERE

A PRELUCRĂRII DATELOR CU CARACTER PERSONAL

PRELUCRAREA DATELOR ÎN

DOMENIUL MEDICAL DIN

PERSPECTIVA

REGULAMENTULUI GENERAL

PRIVIND PROTECȚIA DATELOR

(RGPD)

București, 6 Martie 2018

http://www.dataprotection.ro/


Aplicabilitate materială

Se aplică: Prelucrărilor de date cu caracter personal efectuate prin mijloace automatizate, mixte sau neautomatizate

• prelucrări efectuate de o persoană fizică încadrul unei activități exclusiv personale saudomestice

• prelucrări realizate de autoritățile competenteîn scopul prevenirii și combaterii infracțiunilor –Directiva 2016/680

• activități care nu intră sub incidența dreptuluiUE

• activități care intră sub incidența cap. 2 titlul Vdin Tratatul UE (controlul la frontiere, dreptul deazil și imigrarea)

Excepții



Aplicabilitate teritorială

RGPD este aplicabil:

• Prelucrărilor efectuate de un operator sau împuternicit cu sediul în UE

• Prelucrărilor de date personale ale unor persoane aflate în UE, efectuate de un operator sau împuternicit care nu e stabilit în UE, dacă :

• se oferă bunuri sau servicii către persoane aflate în UE

• se monitorizează comportamentul persoanelor din UE



Datele cu caracter special – Art. 4

„date privind sănătatea” - date cu caracter personal legate desănătatea fizică sau mentală a unei persoane fizice, inclusivprestarea de servicii de asistență medicală, care dezvăluieinformații despre starea de sănătate a acesteia

„date biometrice” - date cu caracter personal care rezultă în urmaunor tehnici de prelucrare specifice referitoare la caracteristicilefizice, fiziologice sau comportamentale ale unei persoane fizicecare permit sau confirmă identificarea unică a respectiveipersoane, cum ar fi imaginile faciale sau datele dactiloscopice

„date genetice” - datele cu caracter personal referitoare lacaracteristicile genetice moștenite sau dobândite ale uneipersoane fizice, care oferă informații unice privind fiziologia sausănătatea persoanei respective și care rezultă în special în urmaunei analize a unei mostre de material biologic recoltate de lapersoana în cauză



PRELUCRAREA CATEGORIILOR

SPECIALE DE DATE

• - ARTICOLELE 9 ŞI 10 – RGPD

• date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate

• date genetice, date biometrice

• date privind sănătatea

• date privind viața sexuală sau orientarea sexuală

• date referitoare la condamnări penale și infracțiuni




SPECIALE DE DATE

• Condiții• consimțământul explicit al P.V.

• îndeplinirea obligațiilor și exercitarea unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale

• protejarea intereselor vitale ale persoanei vizate ,altă persoană fizică

• în cadrul activităților lor legitime și cu garanții adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical

• date făcute publice în mod manifest de către persoana vizată;

• constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;

• interes public major




SPECIALE DE DATE• Condiții• în scopuri legate de medicina preventivă sau a muncii, de evaluarea

capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială

• din motive de interes public în domeniul sănătății publice -protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale

• în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

• date referitoare la condamnări penale și infracțiuni - numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate



Capitolul III – Drepturile persoanei vizate

• Sunt consolidate drepturile prevăzute de Directiva 95/46/CE

• Sporirea Transparenței

• Stabilirea modalității de exercitare a drepturilor

• Sunt introduse drepturi noi



Transparența (Art. 12)

• Măsuri pentru a informa persoanele vizate (art. 13-14, art. 15-22 & 34)

- scris, electronic, verbal

• Modalități de exercitare a drepturilor (proceduri, formulare-tip)

- în scris, în format electronic, răspuns max.1 lună, prelungire 2 luni

- gratuitatea furnizării informațiilor

- refuz sau taxă pt. cereri vădit nefondate, excesive, repetitive

• Informații concise și ușor accesibile

• Limbaj clar și simplu



Informare (art. 12) Informare (art. 13, 14)

Acces (art. 13) Acces (art. 15)

Intervenție (art. 14) Rectificare (art. 16, 19)

Ștergere (art. 17, 19)

Restricționare (art. 18, 19)

Portabilitate (art. 20)

Opoziție (art. 15) Opoziție (art. 21)

Decizii automate individuale (art. 17) Decizii automate, profilare (art. 22)

Restricții (art. 16) Restricții (art. 23)

Listă drepturi (în prezent) Listă drepturi - 25.05.2018



Informarea persoanei vizateArt. 13

Datele sunt colectate de la persoana vizată (pv)– în momentul obținerii

• Identitate, date de contact ale operatorului

- reprezentant, responsabil cu protecția datelor

• Scopul & temeiul juridic al prelucrării

• Destinatarii

• Interesele legitime (art. 6 alin. 1 lit.f)

• Transferul datelor în afara UE

• Perioada de stocare (criterii de stabilire)

• Drepturile persoanei vizate




o Dreptul de a-și retrage consimțământul- în orice moment, fără a afecta legalitatea prelucrării

• Obligativitatea furnizării datelor și consecințele nerespectării

• Dreptul de a depune plângere la Autoritate

• Crearea de profiluri, logica utilizată, consecințe preconizate pt. pv

• Informații privind scopul secundar

• Excepție: dacă și în măsura în care pv deține deja informațiile




Datele NU sunt colectate direct de la persoana vizată:

• După obț. datelor, în max. 1 lună

• În momentul primei comunicări cu pv

• Cel târziu la data primei dezvăluiri către destinatar

• Se furnizează datele de la art. 13 și, în plus,

• Categoriile de date

• Sursa din care provin (publice, de la alt operator)

Excepții:• PV deține deja informațiile

• Imposibilitate, eforturi disproporționate

- cercet șt., ist., arhiv., statist.

• Afectează grav realizarea obiectivelor prelucrării–măsuri

• Obținerea, divulgarea - prevăzută de dr. UE, dr. intern

• Confidențialitate în temeiul resp. secretului profesional, a unei obligații legale



Decizii automate, Crearea de Profiluri

Art. 22

„creare de profiluri” - orice formă de prelucrare

automată a datelor cu caracter personal care constă în

utilizarea datelor cu caracter personal pentru a evalua

anumite aspecte personale referitoare la o persoană

fizică, în special pentru a analiza sau prevedea

aspecte privind performanța la locul de muncă, situația

economică, sănătatea, preferințele personale,

interesele, fiabilitatea, comportamentul, locul în care

se află persoana fizică respectivă sau deplasările

acesteia (art. 4 pct. 4 din RGPD)



Decizii automate, Crearea de Profiluri

Art. 22

• Persoana vizată are dreptul de a nu face obiectul unei decizii exclusiv automate, inclusiv crearea de profiluri, care produce efecte juridice sau o afectează într-o măsură semnificativă

• Excepții:

• Încheierea sau Executarea unui contract între operator și persoana vizată

• Consimțământul pv

- are dreptul la o intervenție umană, exprimarea pdv, contestarea deciziei

• Prelucrare autorizată de un act normativ al UE sau intern (care prevede garanții adecvate)

• Deciziile nu au la bază categoriile speciale de date (excepție art. 9 alin. 2 lit. a și g – consimțământul PV, interes public major, cu garanții)

Ghidul privind deciziile automate individuale și profilare -http://www.dataprotection.ro/?page=Ghiduri_ale_grupului_de_lucru_art_29_februarie_2018&lang=ro



Restricții Art. 23

• Pot fi stabilite excepții prin acte normative:

• Securitate națională

• Apărare

• Securitate publică

• Prevenirea, urmărirea infracțiunilor, executarea sancțiunilor penale

• Obiective importante de interes public general

• Protejarea independenței/procedurilor judiciare

• Prevenirea, urmărirea penală a încălcării eticii profesionale

• Exercitarea autorității oficiale – monitorizare/inspectare/reglementare legală

• Protecția persoanei vizate / drepturilor și libertățile altor persoane

• Punerea în aplicare a pretențiilor de drept civil

• Măsurile legislative – respectarea principiilor necesității și proporționalității, garanții pt. prevenirea abuzurilor



Responsabilitatea operatorului –

Cap. IV

Operatorul - trebuie să pună în aplicare măsuri tehnice și organizatorice

adecvate pentru a garanta și a fi în măsură să demonstreze că

prelucrarea respectă RGPD (art.24)

◊ Asigurarea protecției datelor din momentul conceperii și în mod

implicit (art. 25)- privacy by design / privacy by default

Operatorul, în momentul stabilirii mijloacelor de prelucrare și al

prelucrării efective, pune în aplicare măsuri tehnice și organizatorice

adecvate destinate să aplice eficient principiile de protecție a datelor și

să integreze garanțiile necesare în cadrul prelucrării



Evidențele activităților de

prelucrare (art. 30)

• Operator/Reprezentant/Împuternicit

• Operatorilor cu peste 250 de angajați

• Operatorilor cu mai puțin de 250 de angajați - prelucrare susceptibilă de riscuri

• Prelucrărilor de date speciale (art. 9, 10 din RGPD)

• Prelucrărilor care nu sunt efectuate ocazional

• În scris, inclusiv format electronic

• Prezentarea, la cererea Autorității

Desfiinţarea actualului sistem de notificare a prelucrărilor de date la ANSPDCP

CUM?

(măsuri tehnice,

organizatorice de securitate)

CINE?

(numele și coordonatele

operatorului)

DE CE?

(scopul)

CÂT?

(perioada de stocare)

CE?

(persoanele vizate/

categoriile de date)

UNDE?

(destinatarii, transferuri)



Numirea Responsabilului cu

protecția datelor (art. 37-39)

OBLIGATORIU:

• autoritățile/instituțiile publice/organisme publice (excepție: instanțele judecătorești)

• monitorizare periodică și sistematică pe scară largă a persoanelor fizice

• prelucrări pe scară largă a unor categorii speciale de date prevăzute de art. 9 și 10

(ex. origine etnică, orientare politică, religioasă, date genetice, biometrice, privind sănătate sau referitoare la infracțiuni)

• Asociațiile care reprezintă categorii de operatori (dacă dr. UE, dr. intern prevede)



Responsabilul cu protecția datelor

• angajat al operatorului/împuternicitului (conflictul de interese)

• pe baza de contract de prestări-servicii

• grup de societăți – ușor accesibil din fiecare societate

• pentru mai multe autorități – structura, dimensiunea

• răspunde direct în fața celui mai înalt nivel al conducerii

• NU poate fi demis, sancționat ptr. îndeplinirea sarcinilor

• păstrează secretul, confidențialitatea

• i se asigură resursele materiale necesare îndeplinirii sarcinilor

• este implicat corespunzător și în timp util în aspectele privind protecțiadatelor

• informează, consiliază operatorul, monitorizează aplicarea RGPD

• ține legătura cu ANSPDCP

• publicarea datelor de contact, comunicarea lor ANSPDCP



Evaluarea de impact – art. 35Având în vedere natura, domeniul de aplicare, contextul și scopurile

prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe

utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat

pentru drepturile și libertățile persoanelor fizice, operatorul efectuează,

înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare

prevăzute asupra protecției datelor cu caracter personal.

Situații:• evaluarea sistematică și cuprinzătoare a aspectelor personale prin mijloace

automate care stau la baza unei decizii care produce efecte juridice asuprapersoanei fizice (ex. crearea de profiluri)

• prelucrarea pe scară largă a unor categorii speciale de date cu caracterpersonal sau date privind condamnările penale și infracțiuni

• monitorizarea sistematică pe scară largă a unei zone accesibile publicului (ex.CCTV în piețe publice, căi publice de acces).

Consultarea ANSPDCP – când evaluarea indică un risc ridicat, riscul nu a fost

identificat sau atenuat într-o măsură suficientă

Revizuirea evaluării de impact - modificarea riscului



Încălcarea securității datelor

Art. 4 pct. 12 din RGPD

„încălcarea securității datelor cu caracter personal” - o încălcare

a securității care duce, în mod accidental sau ilegal, la distrugerea,

pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter

personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul

neautorizat la acestea

Informarea ANSPDCP – fără întârziere, cel mult 72 de ore de la data luării la cunoștință

Împuternicitul informează operatorul

Risc ridicat – informarea persoanei/persoanelor vizate fără întârzieri nejustificate

excepții: - luarea de măsuri adecvate (criptarea)

- măsuri ulterioare pt. ca riscul să nu se mai materializeze

- efort disproporționat – se efectuează informare publică



Consecințele nerespectării

RGPD

• Plângere la ANSPDCP

• Investigație (și din oficiu)

• Măsuri corective – avertizare, mustrare,

limitarea prelucrării, stergerea datelor,

rectificarea, restricționarea, retrag. certificării

• Sancțiunea amenzii - până la 10 mil. sau 20 mil. EUR (2% sau 4% din cifra de afaceri mondială totală anuală)

• Acțiune în justiție (solicitare despăgubiri)



Grupul de Lucru Articolul 29

Instrumente utile

http://ec.europa.eu/newsroom/article29/

Ghiduri de interpretare și aplicare a RGPD (asigurarea aplicării

uniforme)

• Ghidul privind responsabilul pentru protecția datelor (DPO)

• Ghidul privind evaluarea de impact

• Ghidul privind notificarea încălcărilor de securitate

• Ghid privind transparența în sensul Regulamentului 2016/67

• Ghid privind deciziile automate individuale și profilarea în sensul Regulamentului 2016/679

• Ghid privind dreptul la ”portabilitatea datelor”

• Orientări asupra Consimţământului în temeiul Regulamentului 2016/679


http://www.dataprotection.ro/servlet/ViewDocument?id=1384




AUTORITATEA NAȚIONALĂ DE SUPRAVEGHERE

A PRELUCRĂRII DATELOR CU CARACTER PERSONAL

B-dul Gheorghe Magheru

nr. 28-30

Sectorul 1

Municipiul Bucureşti

tel. +40.318.059.211

[email protected]

Mihaela Ududec


mailto:[email protected]

prelucrarea datelor În domeniul medical din … · persoanei vizate în domeniul ocupării forței...

Documents