GDPR

REGULAMENT GDPR POLITICA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL LOCALMEDIC SRL

1. INTRODUCERE ȘI SCOPUL DOCUMENTULUI 

LOCALMEDIC SRL (denumită în continuare „Operatorul”) tratează cu maximă responsabilitate protecția datelor cu caracter personal și respectarea dreptului la viață privată al tuturor persoanelor cu care interacționează. Prezentul Regulament GDPR are rolul de a stabili cadrul general, complet și detaliat privind modul în care LOCALMEDIC SRL colectează, utilizează, stochează, divulgă și protejează datele cu caracter personal, în conformitate cu:

• Regulamentul (UE) 2016/679 privind protecția datelor (GDPR);
• legislația națională aplicabilă în domeniul protecției datelor;
• legislația specifică domeniului medical. Acest document este destinat informării publicului (afișare la recepție, website), dar și utilizării interne, fiind parte integrantă din documentația GDPR a Operatorului.

2. OPERATORUL DE DATE 

Operatorul: LOCALMEDIC SRL CUI: 51064505 Sediu social: București, Sector 4, Intrarea Scorușului nr. 1 E-mail: office@localmedic.ro

Responsabilul cu Protecția Datelor (DPO): În conformitate cu art. 37 din GDPR, Operatorul nu are obligația legală de a desemna un Responsabil cu Protecția Datelor (DPO), întrucât activitatea principală a acestuia nu constă în prelucrarea pe scară largă a categoriilor speciale de date, în sensul jurisprudenței CJUE și al Ghidurilor EDPB. Gestionarea conformității GDPR este asigurată intern. Pentru orice solicitări, Operatorul a desemnat un punct de contact dedicat: gdpr@localmedic.ro.

3. DEFINIȚII ȘI NOȚIUNI DE BAZĂ 

În sensul prezentului Regulament:

• date cu caracter personal – orice informație referitoare la o persoană fizică identificată sau identificabilă;
• date privind sănătatea – date referitoare la starea de sănătate fizică sau mentală a unei persoane, inclusiv istoricul medical, diagnosticul, tratamentul și investigațiile;
• prelucrare – orice operațiune sau set de operațiuni efectuate asupra datelor;
• persoană vizată – orice persoană ale cărei date sunt prelucrate (pacient, aparținător, vizitator, angajat, colaborator);
• consimțământ – manifestarea de voință liberă, specifică, informată și lipsită de ambiguitate;
• ANSPDCP – Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

4. DOMENIUL DE APLICARE MATERIAL 

Prezentul Regulament se aplică tuturor activităților de prelucrare a datelor cu caracter personal efectuate de LOCALMEDIC SRL, indiferent de forma sau mijloacele utilizate. Sunt incluse, fără a se limita la:

• prelucrările realizate prin sisteme informatice, aplicații software, website-uri și alte platforme electronice;
• prelucrările realizate în format fizic, ca parte a unor sisteme structurate de evidență;
• prelucrările realizate în cadrul relațiilor contractuale, profesionale sau administrative.

5. DOMENIUL DE APLICARE TERITORIAL 

Prezentul Regulament se aplică tuturor prelucrărilor de date realizate de LOCALMEDIC SRL, operator stabilit în Uniunea Europeană. Totodată, Regulamentul se aplică persoanelor vizate aflate pe teritoriul Uniunii Europene, indiferent de locul unde are loc efectiv prelucrarea, precum și situațiilor în care sunt oferite servicii persoanelor din UE sau este monitorizat comportamentul acestora.

6. PRINCIPIILE PRELUCRĂRII DATELOR 

LOCALMEDIC SRL prelucrează datele cu caracter personal cu respectarea strictă a următoarelor principii:

• legalitate, echitate și transparență;
• limitarea scopului;
• minimizarea datelor;
• exactitate și actualizare;
• limitarea perioadei de stocare;
• integritate și confidențialitate;
• responsabilitate și trasabilitate. Aceste principii sunt integrate în toate procesele interne ale Operatorului.

7. CATEGORII DE DATE CU CARACTER PERSONAL PRELUCRATE 

În funcție de context, LOCALMEDIC SRL poate prelucra următoarele categorii de date: 

1. Date de identificare și contact Nume, prenume, CNP, adresă, telefon, e-mail, serie și număr act de identitate. 

2. Date medicale (date sensibile) Date privind starea de sănătate, diagnosticul, investigațiile, tratamentele, recomandările medicale, istoricul medical. 

3. Date administrative și financiareDate necesare pentru facturare, evidențe contabile, documente fiscale și arhivare. 

4. Date tehnice Adrese IP, date de acces, cookies strict necesare funcționării website-ului, date de autentificare.

8. SCOPURILE PRELUCRĂRII DATELOR 

Datele cu caracter personal sunt colectate și prelucrate exclusiv pentru scopuri legitime, determinate și explicite, printre care:

• furnizarea serviciilor medicale și realizarea actului medical;
• stabilirea diagnosticului și efectuarea tratamentului;
• gestionarea programărilor și comunicarea cu pacienții;
• îndeplinirea obligațiilor legale din domeniul sănătății;
• desfășurarea activităților administrative și interne;
• colaborarea cu parteneri contractuali și furnizori;
• comunicări privind serviciile oferite;
• Gestionarea programărilor și comunicări administrative: Transmiterea de notificări de tip Reminder (prin SMS sau E-mail) pentru confirmarea programărilor, transmiterea rezultatelor analizelor sau informații privind tratamentul. Aceste comunicări nu constituie marketing, ci sunt necesare pentru buna desfășurare a actului medical și executarea contractului de prestări servicii.
• Activități de marketing și promovare comercială: Transmiterea de comunicări comerciale (ex. Newsletter, oferte speciale, campanii, felicitări) este strict distinctă de comunicările administrative și se realizează exclusiv pe baza consimțământului expres (opțional) al persoanei vizate.

Notă: Retragerea consimțământului pentru marketing nu va afecta primirea notificărilor administrative necesare actului medical (ex. confirmarea programării).

9. TEMEIUL LEGAL AL PRELUCRĂRII 

Prelucrarea datelor se realizează, după caz, în baza următoarelor temeiuri legale:

• consimțământul persoanei vizate;
• îndeplinirea unei obligații legale;
• protejarea intereselor vitale;
• interesul legitim al Operatorului;
• furnizarea de servicii medicale și de asistență medicală;
• obligațiile legale prevăzute de Legea nr. 95/2006 și Legea nr. 46/2003.

Prelucrarea datelor privind sănătatea se realizează în conformitate cu art. 9 alin. (2) lit. h din Regulamentul (UE) 2016/679, în scopul furnizării de servicii medicale, stabilirii diagnosticului și acordării tratamentului medical, cu respectarea obligațiilor legale aplicabile în domeniul sănătății.

Temeiul legal aplicabil fiecărei operațiuni de prelucrare este determinat în funcție de scopul specific al prelucrării, după cum urmează:

• pentru furnizarea serviciilor medicale și gestionarea actului medical, prelucrarea se realizează în baza obligațiilor legale aplicabile și a furnizării de servicii medicale;
• pentru datele administrative și financiare, prelucrarea se realizează în baza obligațiilor legale ale Operatorului;
• pentru activitățile de marketing și comunicare, prelucrarea se realizează exclusiv în baza consimțământului expres al persoanei vizate;
• pentru activitățile de securitate și monitorizare, prelucrarea se realizează în baza interesului legitim al Operatorului.

10. DESTINATARII DATELOR CU CARACTER PERSONAL 

Datele pot fi divulgate, strict în condițiile legii, către:

• autorități publice competente;
• CNAS și alte instituții din sistemul de sănătate;
• furnizori de servicii medicale (laboratoare, investigații);
• furnizori de servicii IT, contabilitate, arhivare;
• parteneri contractuali.

11. TRANSFERUL DATELOR ȘI LOCAȚIA STOCĂRII

1. Regula generală: LOCALMEDIC SRL prelucrează datele preponderent pe teritoriul României și al Spațiului Economic European (SEE).
2. Servicii tehnice (Cloud/Backup/E-mail): În cazul utilizării unor furnizori de servicii tehnice (ex. soluții de stocare Cloud, servicii de e-mail sau backup) care ar putea stoca date pe servere din afara SEE, transferul se realizează strict în baza unor Garanții Adecvate, cum ar fi:
   • Existența unei Decizii de Adecvare emise de Comisia Europeană pentru țara respectivă;
   • Semnarea Clauzelor Contractuale Standard (SCC) aprobate la nivelul UE.

12. DURATA STOCĂRII DATELOR 

Datele sunt stocate pe durata necesară îndeplinirii scopurilor pentru care au fost colectate sau conform termenelor prevăzute de legislația medicală, fiscală și de arhivare. La expirarea acestor termene, datele sunt șterse, anonimizate sau distruse, conform procedurilor interne.

Exemple concrete de termene de păstrare:

• Dosare medicale: Pe durata prevăzută de legislația sanitară, conform Nomenclatorului arhivistic medical și Ordinelor Ministerului Sănătății privind arhivarea documentelor medicale (care pot impune păstrarea anumitor date timp de 100 de ani);
• Documente financiar-contabile: 10 ani, conform legislației fiscale (Legea contabilității);
• Imagini CCTV: Maximum 30 de zile, după care se șterg automat;
• Acorduri de marketing: Până la retragerea consimțământului sau maximum 3 ani de la ultima interacțiune;
• Cereri diverse/Corespondență: 3 ani (termenul general de prescripție) sau conform necesității de soluționare.

13. SUPRAVEGHEREA VIDEO ȘI AUDIO 

Generalități: Operatorul utilizează sisteme de monitorizare CCTV în incintă. Detaliile complete sunt prevăzute în Regulamentul CCTV dedicat. 

Temei legal: Prelucrarea se bazează pe Interesul Legitim (Art. 6 alin. 1 lit. f GDPR) de a asigura paza și protecția persoanelor și valorilor. 

Audio: În zona Recepției, supravegherea video poate fi dublată de înregistrare audio. Înregistrarea audio, acolo unde este utilizată, are caracter strict excepțional, este limitată la zona Recepției și are ca scop exclusiv asigurarea calității serviciilor și soluționarea eventualelor reclamații. Înregistrările audio nu sunt utilizate pentru monitorizarea activității personalului și nu sunt accesate decât în situații justificate, documentate și strict necesare. 

Durata: Imaginile și înregistrările sunt stocate timp de 30 de zile, după care sunt șterse automat.

14. DREPTURILE PERSOANELOR VIZATE 

Persoanele vizate beneficiază de drepturile prevăzute de GDPR, inclusiv:

• Dreptul de acces (art. 15);
• Dreptul la rectificare (art. 16);
• Dreptul la ștergerea datelor („dreptul de a fi uitat”) (art. 17) – cu mențiunea că acest drept nu se aplică datelor medicale a căror păstrare este obligatorie prin lege pentru motive de sănătate publică sau arhivare;
• Dreptul la restricționarea prelucrării (art. 18);
• Dreptul la portabilitatea datelor (art. 20);
• Dreptul la opoziție (art. 21);
• Dreptul de a nu face obiectul unei decizii automate (art. 22) – Operatorul declară că nu utilizează procese decizionale automate și nu creează profiluri care să producă efecte juridice asupra persoanelor vizate;
• Dreptul de retragere a consimțământului (pentru prelucrările opționale);
• Dreptul de a depune plângere la ANSPDCP.

Procedura de răspuns: Orice solicitare privind exercitarea acestor drepturi se transmite electronic la gdpr@localmedic.ro. LOCALMEDIC SRL se obligă să furnizeze un răspuns în termen de 30 de zile de la primirea cererii. Acest termen poate fi prelungit cu două luni, dacă este necesar, ținând cont de complexitatea cererilor. Comunicarea răspunsului se face implicit prin e-mail, pentru a asigura rapiditatea și trasabilitatea comunicării.

15. MĂSURI DE SECURITATE 

LOCALMEDIC SRL implementează măsuri tehnice și organizatorice adecvate, inclusiv:

• controlul accesului la date;
• securizarea sistemelor informatice;
• instruirea personalului;
• politici interne de confidențialitate;
• audituri periodice.

16. INCIDENTE ȘI BREȘE DE SECURITATE 

În cazul producerii unei încălcări a securității datelor, Operatorul notifică ANSPDCP în termen de 72 de ore și persoanele vizate, dacă este cazul, conform GDPR.

17. MODIFICAREA REGULAMENTULUI 

Prezentul Regulament poate fi modificat sau actualizat periodic. Versiunea actualizată este disponibilă la recepție și pe website.

18. DISPOZIȚII FINALE 

Prezentul Regulament intră în vigoare la data publicării și se aplică tuturor prelucrărilor de date realizate de LOCALMEDIC SRL.