REGULAMENT INTERN CU PRIVIRE LA PROTECTIA DATELOR CU CARACTER PERSONAL

Număr registru general: 2822 din data: 07.02.2020

OBIECT-OBIECTIV

Prezentul regulament stabileste normele referitoare la protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal, precum si nomele referitoare la libera circulatie a datelor cu caracter personal.

 DOMENIUL DE APLICARE

Prezentul regulament se aplica prelucrarii datelor cu caracter personal, efectuata total sau partial prin mijloace automatizate precum si prelucrarii prin alte mijloace decat cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidenta a datelor.

Spitalul Orasenesc ,,Sfantul Stefan ,, Rovinari, În conformitate cu prevederile Regulamentului UE 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, începând din data de 25 mai 2018 (data aplicării acestui act normativ european), operatorii nu vor mai avea obligația notificării  prelucrărilor de date.

În acest context, începând cu această dată,  formularul de notificare existent pe site-ul autorității nu va mai putea fi completat de operatori în vederea înscrierii  în registrul de evidenţă a prelucrărilor de date cu caracter personal prelucrările efectuate de operatori.

Prin intermediul Compartimentului  Statistica prelucreaza datele pacientilor cu caracter personal: codul numeric personal, seria si numarul actului de identitate, date privind starea de sanatate s.a., prin mijloace automatizate /manual avand ca scop ”servicii de sanatate”.

Totodata spitalul prelucreaza datele cu caracter personal ivite in legatura cu aparitia raporturilor de munca /serviciu ale angajatilor, prin Serviciul RUONS, precum si date ale persoanelor angajate la furnizori de servicii sau bunuri cu care spitalul se afla in relatie contractuala.

  DEFINITII

> Date cu caracter personal = inseamna orice infonnatii privind o persoana fizica identificata sau identificabila (o persoana vizata); o persoana identificabila este o persoana care poate fi identificata, direct sau indirect, in special prin referire la un element de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identitatii sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

> Prelucrare = inseamna orice operatiune sau set de operatiuni efectuate asupra datelor cu caracter personal sau asupra datelor cu caracter personal, cu sau fara utilizarea de mijloace automatizate;

  Date privind sanatatea = inseamna date cu caracter personal legate de sanatatea fizica sau mentala a unei persoane fizice, inclusiv prestarea de servicii de asistenta medicala, care dezvaluie informatii despre starea de sanatate a acesteia;

  ORGANIZAREA MASURILOR DE PROTECTIE A DATELOR MEDICALE CU CARACTER PERSONAL

> Documentatia medicala, inclusiv fisele medicale ale pacientilor inregistrati in cadrul spitalului, inclusiv alte formulare si registre care contin date cu caracter personal si medical se considera purtatoare de date cu caracter personal.

> Aceasta documentatie urmeaza a fi pastrata de angajatii institutiei in birouri si spatii special destinate (arhiva, statistica, birouri medici si asistente medicale, laboratoare)

> Fisele medicale dupa externarea  pacientilor sunt pastrate in arhiva spitalului in conformitate cu cerintele nomenclatorului arhivistic / legislatia in vigoare >  fiselor medicale in alte sectii se asigura numai prin personalul medical si auxiliar medical responsabil

> Nu se permite eliberare a fiselor medicale in original pacientilor (reprezentantilor

> In scopul evitarii divulgarii datelor cu caracter personal si medical se cere obligatoriu stabiliłea identitatii persoanei care receptioneaza fisele medicale prin verificarea actului de identitate ,legitimatiei de serviciu /etc

> Nu se permit discutii prin telefon referitor la datele cu caracter personal si medical > Filmarile realizate prin camerele de supraveghere montate in incinta spitalului sunt pastrate si utilizate doar in scopul asigurarii securitatii pacientilor si personalului angajat.

  CONSIMTAMANTUL LA PRELUCRAREA DATELOR CU CARACTER PERSONAL SI MEDICAL

Datele personale ale pacientilor sunt prelucrate de catre spital, in conformitate cu prevederile Regulamentului UE 679/2016 si actele normative in vigoare din domeniul sanatatii, in scopul efectuarii de servicii medicale.

  SECURITATEA DATELOR CU CARACTER PERSONAL SI  MEDICAL DE CATRE ANGAJATII SPITALULUI

> Sefii de sectie/compartimente organizeaza masuri de instruire a persoanelor din subordine privind protectia datelor cu caracter personal avand ca referinta prevederile prezentului Regulament

> Totii salariatii spitalului efectueaza prelucrarea datelor cu caracter personal conform atributiilor functionale

> Nu se admite prelucrarea datelor cu caracter personal in alte scopuri decat in scopul exercitarii obligatiunilor functionale

> Nu se admite divulgarea datelor medicale cu caracter personal persoanelor terte prin telefon sau prin comunicare directa fara stabilirea identitatii persoanei si a temeiului legal al solicitarii

> Nu se admite divulgarea datelor medicale cu caracter personal in discutii intre salariati, cu exceptia cazurilor de necesitate de serviciu

> Personalul medical este obligat sa explice pacientilor, solicitantilor motivele nedivulgarii datelor medicale cu caracter personal sau refuzul eliberarii unor documente medicale, etc.

> Computerele, serverele, alte terminale de acces sunt amplasate in locuri cu acces limitat pentru persoane straine

> Sefii de servicii, personalul medical la locul de munca trebuie sa organizeze plasarea dispozitivelor electronice si a documentelor in format scris ce contin date cu caracter personal astfel incat sa raspunda necesitatii asigurarii securitatii acestora contra accesului neautorizat, furturilor, incendiilor, inundatiilor si altor posibile riscuri.

  SECURITATEA DATELOR CU CARACTER PERSONAL/MEDICAL, PRELUCRAREA ACESTORA IN MOD MANUAL ( PE SUPORT DE HÂRTIE IN CADRUL SPITALULUI)

> Fisele medicale din cadrul spitalului (FOGG, formulare, registre) se considera purtatoare de date cu caracter personal

> FOCG a tuturor pacientilor inregistrati in cadrul spitalului sunt pastrate pana la arhivare in cadrul Compartimentului Statistica

> Acordarea asistentei medicale prevede prelucrarea datelor cu caracter personal > Datele cu caracter personal a beneficiarilor de servicii prestate in spital sunt prelucrate in scopul efectuarii de servicii medicale.

> Refuzul pacientului privind furnizare datelor cu camcter personal nu va afecta calitatea ingrijirilor si tratamentul de care beneficiaza in cadiul spitalului, in situatia in care prelucrarea este necesara pentru prevenirea unui pericol iminent.

> Infołmatiile inregistrate cu privire la datele cu caracter personal ale pacientilor sunt destinate utilizarii de catre operator si sunt comunicate numai umatorilor destinatari:

  MNISTERUL SANATATII, DIRECTIA DE SANATATE PUBLICA A JUDETULUI   GORJ,CASA DE ASIGURARI DE SANATATE         

GORJ, S.N.S.P.M.S

• Organe competente (instante judecatoresti), organe de cercetare

(Parchet, Politie)

  SISTEMUL INFORMATIONAL DE PRELUCRARE A DATELOR CU CARACTER PERSONAL DIN CADRUL SPITALULUI

> Datele cu caracter personal ce se prelucreaza sunt urmatoarele:

•             Nume, Prenume

•             Data si locul nasterii

•             CNP

•             Sexul

•             Adresa, domiciliu, resedinta

  Date privind sanatatea

> Sistemul infołmational de prelucrare a datelor cu caracter personal din cadiul spitalului este alcatuit din unnatoarele elemente (mijloace tehnice si soft)

> Statie de lucru

> Servere

> Mijloace de stocare mobile (CD / DVD / stick USB)

Toti utilizatorii / administratorii aplicatiei informatice ce prelucreaza datele cu caracter personal ale pacientilor au un indentificator unic (D-ul utilizatorului), pentru a preveni accesul neautorizat.

  Administrarea identificatorilor utilizatorilor include:   identificarea univoca (irepetitiva) a fiecarui utilizator   verificarea autenticitatii fiecarui utilizator   garantarea factorului ca D-ul utilizatomlui este eliberat unei persoane determinate complet   dezactivarea contului de utilizator dupa o perioada inactiva stabilita in tim

Reguli de asigurare a securitatii informationale

Regulile de asigurare a securitatii informationale in cazul alegerii si folosirii parolei include:

Pastrarea confidentialitatii parolelor

Interzicerea inscrierii parolelor pe suport de hałtie, in cazul in care nu se asigura securitatea pastrarii acestora

Modificarea parolelor de fiecare data cand sunt prezente indiciile eventualei compromiteri a sistemului sau parolei

Este asigurata posibilitatea utilizatorilor de a alege si schimba parolele individuale

Este asigurata blocarea accesului dupa tentative gresite de autentificare

                Inainte de acordarea accesului in sistem, utilizatorii sunt informati despre faptul ca folosirea sistemelor infonnationale de date cu caracter personal este controlata si ca utilizarea neautorizata a acestora se urmareste in conformitate cu legislatia

                Totodata se asigura protectia contra infiltrarii programelor daunatoare in softuri destinate prelucrarii datelor cu caracter personal, masura ce determina posibilitatea reinnoirii automate si la timp a mijloacelor de asigurare a protectiei contra programelor daunatoare si a virusilor . Controalele de securitate a informatiilor de date cu caracter personal se efectueaza cu regularitate cel putin o data pe an .

  REGULI CU PRIVIRE LA PROTECȚIA DATELOR CU CARACTER PERSONAL IN CADRUL SERVICIULUI RUONS

                Aceste reguli se refera la stabilirea masurilor telefonice si organizatorice necesare pentru asigurarea sanatatii, confidentialitatii si integritatii datelor cu caracter personal in cadrul Serviciului RUONS, respecdv orice informatie referitoare la angajati, reflectata in sistemul informational, in dosałul personal, fisa personala, contractul individual de munca, acte aditionale la CM, diverse legistre specifice Serviciului

RUONS

                Colectarea si prelucrarea datelor personale ale salariatului poate fi efectuata exclusiv in scopul angajarii, instruirii, avansarii in serviciu, atestarii, perfectionarii, furnizarii datelor catre: Colegiul Medicilor, ITM, Casa de PENSII, Directia de Sanatate si Asistenta Medicala

GORJ, Consiliul Judetan , Ministerul Sanatatii, Directia de Sanatate Publica;

                Serviciului RUONS este obligat sa utilizeze datele cu caracter personal ale salariatilor numai in limitele competentelor functionale doar in timpul orelor de program.

                Serviciului RUONS are obligatia sa excluda sau sa rectifice la solicitarea salariatului datele personale incorecte sau incomplete si informatiile care se pastreaza nelegitim

                Serviciului RUONS nu are dreptul sa obtina si sa prelucreze date referitoare la convingerile politice, religioase, la viata privata.

  Serviciului RUONS nu are dreptul sa obtina si sa prelucreze date privind apartenenta salariatului la asociatii religioase, partide si alte organizatii social politice

                Serviciului RUONS  sa  nu comunice unor terti datele personale ale salariatilor fara acordul scris al acestuia cu exceptia cazurilor prevazute de lege si respectand ierarhizarea de subordonare a spitalului (M.s, D.S.P., D.S.A.M., C.J.  , C.A.S GORJ, Finante, Pensii, I.T.M.

Ordinul Asistentilor Medicali, Colegiul Medicilor etc)

                Serviciului RUONS trebuie/poate sa permita accesul la datele personale ale salariatului doar persoanelor imputemicite necesare exercitarii unor atributii de serviciu (manager, director medical, director financiar contabil, sindicat si altor persoane in confonnitate cu legislatia in vigoare)

                Serviciului RUONS are obligatia sa previna persoanele, care in exercitiul functiunii solicita si primesc date cu caracter personal ale salariatilor ca poarta raspundere in conformitate cu legislatia pentru divulgarea lor, luandu-se in consideratie prejudiciul adus prin acestea salariatului.

                De comun acord cu serviciul IT, Serviciului RUONS, trebuie sa asigure protectia datelor cu caracter personal in procesul exploatarii sistemului informational, prevenirea scurgerii informatiei, distrugerii, modificarii, copierii acestora.

                Nu se admite in cadrul Serviciului RUONS accesul neautorizat al persoanelor straine la datele cu caracter personal ale salariatiilor               Predarea datelor cu caracter personal de catre Serviciului RUONS in arhiva institutiei se face confonn nomenclatomlui arhivistic aprobat.

                SECURITATEA SERVICIULUI RUONS:

                Dulapurile cu dosarele salariatilor permanent inchise   La finele zilei de munca se incuie usile si ferestrele                  Nu se admite accesul persoanelor straine la computer

  Respectarea cerintelor si asigurarea securitatii contra incendiilor si altor posibile riscuri

Salariatul are dreptul privind asigurarea protectiei datelor sale personale care se pastreaza in cadrul Serviciului RUONS:

                De a primi informatia deplina despłe datele sale personale si modul de prelucrare a acestora

                De a avea acces liber si gratuit la datele sale personale, inclusiv dreptul la o copie de pe orice act juridic care contine datele personale

  De a cere excluderea sau rectificarea datelor personale incorecte sau incomplete, a infołmatiilor care se pastreaza nelegitim

  De a ataca in instanta de judecata orice actiune sau inactiune ilegala a angajatorului cu privire la obtinerea, pastrarea, prelucrarea si protectia datelor personale ale salariatului.

                Personalul Serviciului RUONS si alte persoane care in exercitiul functiunii au luat cunostinta de datele cu caracter personal, poarta raspundere in conformitate cu legislatia in vigoare, pentu divulgarea acestor date, lundu-se in considerare prejudiciul adus de acestea subiectului de date.

  REGULAMENTUL PRIVIND ASIGURAREA SECURITATII DATELOR CU CARACTER PERSONAL AL PACIENTULUI IN CADRUL SPITALULUI

Regulamentul are scopul de a asigura nivelul corespunzator al protectiei datelor cu caracter personal ale persoanelor ce beneficiaza de servicii medicale prin aplicarea corespunzatoare a legislatiei in vigoare cu privire la prtectia datelor.

Scopul prelucrarii datelor cu caracter personal in cadrul spitalului este prestarea serviciilor medicale acordate pacientilor. Toate fisele din ambulatoriu, camera de garda, a pacientilor internati pe sectiile spitalului, inclusiv alte formulare si registre, fise pe suport de hartie, note la cazurile de deces, certificate extrase, trimiteri la investigatii, care contin date cu caracter personal, se considera purtatoare de date cu caracter personal.

Pentru realizarea scopului de prestare a serviciilor medicale, medicii si asistentele medicale din spital sunt in drept de a solicita de la persoana ce se adreseaza pentru acordarea asistentei medicale la spital date cu caracter personal necesare furnizarii serviciilor medicale.

Pentru respectarea confidentia}itatii datelor cu caracter pcrsona}q personalul medical va respecta cu strictete urmatoarele reguli:

                Toate documentele medicale ce contin date cu caracter medical si personal umeaza a fi pastrate in locuri special destinate in dulapuri care se incuie.

  Nu se admite divulgarea datelor cu caracter personal in discutii intre salariati cu exceptia cazurilor de necesitate de serviciu.

                Acordarea asistentei medicale este initiata la etapa de programare a pacientului si prevede prelucrarea datelor cu caracter personal   Datele cu caracter personal a persoanelor ce beneficiaza de servicii medicale in cadiul spitalului sunt prelucrate (preluate, prelucrate, stocate), in conformitate cu prevederile Regulamentului UE 679/2016 si actele normative in vigoare din domeniul sanatatii, in scopul efectuarii de servicii medicale.

• DREPTURILE PERSOANELOR VIZATE

DREPTUL LA INFORMARE — dreptul de a fi informat cu privire la prelucrarea și protejarea datelor cu caracter personal de către Spitalul Orasenesc Rovinari

DREPTUL DE ACCES LA DATE – dreptul de a obține de la Spitalul Orasenesc Rovinari   confirmarea faptului că datele cu caracter personal sunt / nu sunt prelucrate de către acesta.

DREPTUL LA RECTIFICARE — dreptul de a obține rectificarea datelor incorecte, precum și completarea datelor incomplete

DREPTUL LA ȘTERGERE — dreptul de a obține, în măsura în care sunt îndeplinite condițiile legale, ștergerea datelor cu caracter personal

DREPTUL LA PORTABILITATEA DATELOR – dreptul de a primi datele cu caracter personal într-o modalitate structurată, folosită în mod obișnuit și într-un format ușor de citit, precum și dreptul ca aceste date să fie transmise de către spital către alt operator de date, în măsura în care sunt îndeplinite condițiile legale

DREPTUL LA OPOZIȚIE — dreptul de a se opune din motive întemeiate și legitime legate de situația particulară ca datele cu cancter personal să facă obiectul unei prelucrări, în măsura în care sunt îndeplinite condițiile legale

DREPTUL DE A NU FI SUPUS UNEI DECIZII INDIVIDUALE – dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă

DREPTUL DE A SE ADRESA JUSTIȚIEI SAU AUTORITĂȚII NAȚIONALE DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL dreptul de a se A.N.S.P.D.C.P. sau justiției pentru apărarea oricăror drepturi garantate de legislația în domeniul protecției datelor cu caracter personal care au fost încălcate

Persoanele interesate își pot exercita drepturile menționate mai sus in conditiile prevazute de Regulamentul U.E. nr. 679/2016, printr-o cerere scrisa, semnata si datata, depusa la Secretariatul Spitalului Orasenesc Rovinari.

 Intocmit,

RESPONSABIL PROTECȚIA DATELOR

EC. FILIPESCU ADINA