Scop
Scopul acestei politici este de a asigura că toate datele personale identificabile și datele medicale sunt prelucrate
sau stocate în Companie în concordanţă cu legislaţia UE relevantă (Regulamentul 2016/679) și legislaţia locală
specifică.
Domeniul de aplicare
Această politică se aplică tuturor angajaţilor MEDICAL ON GROUP ROMANIA, colaboratorilor, partenerilor contractuali, facilităţilor de
prelucrare și stocare a datelor incluzând centre de date, reţele și sisteme.
Politica
Pentru a proteja datele personale și datele medicale definite drept categorii de date Restricţionate sau Personale,
următoarele măsuri trebuie asigurate:
• Toate companiile MEDICAL ON GROUP ROMANIA care procesează și stochează date personale și date medicale trebuie să se desemneze un Ofiter cu protectia datelor la nivel local, conform Regulamentului 2016/679.
• Ca operator de date personale, Compania se va asigura că orice acces la datele personale și datele medicale este strict limitat la personale autorizate și care au o nevoie legitimă de acces la aceste date pentru a-și îndeplini îndatoririle.
• În cazul în care datele personale sunt necesare pentru prelucrare, acestea trebuie să fie adecvate, relevante și limitate la ceea ce este necesar pentru scop („minimizarea datelor”).
• Este necesară o analiză a impactului asupra protecției datelor (DPIA) atunci când sunt introduse sisteme noi de prelucrare a volumelor mari de date personale sau medicale sau care pot genera un risc ridicat.
• Toate prevederile politicilor individuale de Securitate Fizică și a Staţiilor de Lucru privind limitarea accesului la informaţii sunt respectate strict.
• Datele personale identificabile și datele medicale pot fi prelucrate doar pe dispozitive deţinute și administrate în totalitate de Companie, și stocate în centre de date certificate în zone aflate în administrarea exclusivă a Companiei.
• Este interzisă trimiterea sau transportarea datelor personale și a datelor medicale în afara reţelelor și sediilor Companiei
• Este interzisă divulgarea de orice fel de informaţie personală sau date medicale personale, incluzând imagini ale pacienţilor, în orice reţele sociale.
• Testarea și dezvoltarea de programe ce procesează sau stochează date personale sau date medicale se poate face doar folosind date randomizate sau pseudonimizate.
• Orice acces la distanţă în sisteme ce procesează sau stochează date personale sau date medicale poate fi permis doar folosind autentificare multi-factor și sisteme de acces aprobate de Companie, peste conexiuni securizate și criptate.
• Toate sistemele informatice folosite pentru colectarea manuală sau automată de date personale sau date medicale trebuie configurate să:
• necesite consimţămîntul informat al posesorului datelor ofere posesorului datelor toate informaţiile relevante prinvind dreptul său de acces, modificare sau stergere asupra datelor sale personale în sistemele Companiei.
• să pună în aplicare funcționalități care să permită portabilitatea datelor personale la cererea persoanei vizate
• Partenerii externi care nu au fost contractaţi ca procesatori de date personale de către și în numele Companiei nu au drept de acces la date personale sau date medicale.
Definiţii
• MEDICAL ON GROUP ROMANIA sau „Compania” se referă la toate companiile și sucursalele MEDICAL ON GROUP ROMANIA
• Angajaţi/personal MEDICAL ON GROUP ROMANIA – angajaţi cu contract de muncă, voluntari, agenţi sau orice alte persoane aflate sub controlul direct al Companiei
• Date de identificare, date personale – orice informaţie legată de o personă identificabilă în mod unic. O personă poate fi identificată direct sau indirect, în particular prin referire la un număr de identificare sau la unul sau mai mulţi factori specifici identităţii sale fizice, fiziologice, mentale, economice, culturale sau sociale.
• Date medicale – inormaţii despre o persoană care se referă la starea sa de sănătate fizică sau mentală, sau la serviciile medicale pe care le primeste.
• Procesator de date personale – o personă fizică sau juridică, autoritate publică, agenţie sau altă instituţie ce procesează date personale în mod propriu sau în numele unui beneficiar.