Aleksandr Sergheevici Pușkin nr. 8, sector 1, București, C.P. 011996
(+4) 0745 007 311

Cabinetele stomatologice și GDPR-ul

Aplicabilitatea Regulamentul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, cabinetelor stomatologice

 

Serviciile stomatogice se adresează exclusiv persoanelor fizice, ale caror date sunt prelucrate în vederea desfășurării activitățiilor medicale specifice.

Regulamentul definește datele cu caracter personal ca fiind “orice informații privind o persoană fizică identificată sau identificabilă (“persoana vizată”); o persoana fizică identificabilă este o persoană care poate fi  identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

Astfel, cabinetul stomatologic poate prelucra mai multe categorii de date ale pacientului, respectiv:

  1. Date de identificare:
  • nume și prenume;
  • număr de telefon/adresa de e-mail;
  • CNP (date sensibile)/serie CI;
  • adresă;

 

  1. Date de facturare:
  • IBAN

Date sensibile

 

  1. Date privind sănătatea
  • starea de sănătate (ex. starea de graviditate)
  • anumite categorii de tratamente urmate;
  • afecțiuni acute sau cronice;
  • boli infecțioase;

 

  1. Date biometrice
  • radiografii;
  • fotografii pacient;
  • amprente dentare;

 

  1. Date personale ale minorilor

Adițional acestor date, cabinetele stomatologice prelucrează date cu caracter personal ale angajaților, în virtutea relațiior de muncă. Inclusiv această categorie de date a primit o protecție sporită din punct de vedere GDPR, dat fiind raportul de subordonare existent la nivel angajat-angajator.

Mai mult, majoritatea cabinetelor stomatologice sunt dotate cu sisteme de supraveghere video (VSS).

In cazul VSS, există riscul încălcării prevederilor art. 35 din GDPR dacă nu se efectuează corespunzător evaluările impactului acestor operațiuni de prelucrare astfel încât să demonstreze următoarele:

  • faptul că interesele legitime ale angajatorului sunt temeinic justificate și prevalează asupra intereselor/drepturilor și libertăților persoanelor vizate;
  • faptul că a fost realizată informarea prealabilă, completă și explicită a persoanelor monitorizate;
  • faptul că a fost consultat reprezentantul salariaților anterior introducerii sistemelor de monitorizare;
  • alte forme mai puțin intruzive nu și-au dovedit anterior eficiența;
  • durata de stocare a acestor date nu este mai mare mare decât durata maxima prevăzută de lege.

În practica Autorității de Supraveghere a Prelucrării Datelor cu Carcater Personal există deja numeroase sancțiuni în ceea ce privește sistemele VSS. Cu titlu de exemplu:

  1. Operatorul UTTIS INDUSTRIES SRL a fost sancționat cu amenda în valoare de 834,25 lei (2.500 euro) pentru că nu a putut face dovada realizării informării persoanelor vizate cu privire la prelucrarea datelor cu caracter personal/imagini prin intermediul sistemului de supraveghere video, pe care o realiza începand din anul 2016;

 

  1. Operatorul Entirely Shipping & Trading SRL a fost sancționat cu amendă în cuantum de 893 lei, echivalentul a 5.000 euro, pentru încălcarea dispozițiilor art. 5 alin. (1) lit. c), art. 6 și art. 7 din RGPD, întrucât operatorul a prelucrat în mod excesiv datele cu caracter personal (imaginea) ale angajaților săi.

Nu în ultimul rând, în cursul procesării de date, au loc transferuri către terți, precum furnizori de servicii specifice, atât cele referitoare la angajați (medicina muncii, bonuri de masă, tichete marketing etc.) cât și cele referitoare la pacienți (servicii de furnizare radiografie dentară, furnizori de servicii contabile, furnizori de servicii IT, etc.)

În ceea ce privește aceste transferuri de date cu caracter personal, clinicile stomatologice în calitate de operatori trebuie să încheie acorduri de lucru cu furnizorii, precum și să procedeze la implementarea unor proceduri/măsuri cu privire la actualizarea/rectificarea/ștergerea datelor reprezentanților furnizorilor.

Cabinetul stomatologic este Operator în relația cu pacientul/clientul.

Conform Regulamentului, operator reprezintă “persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern”.

Furnizorul de servicii stomatologice prelucrează datele clientului și stabilește în mod independent scopul și mijloacele prelucrării datelor cu caracter personal. În virtutea acestui rol, are obligația instituirii de măsuri administrative, organizatorice și tehnice destinate protejării datelor cu caracter personal prelucrate.

 

Planul de urmat în vedere implementării măsurilor administrative, organizatorice și tehnice destinate protejării datelor cu caracter personal prelucrate

 

Pentru conformare la Regulamentul GDPR, cabinetul stomatologic trebuie să aibă în vedere următoarele operațiuni:

  • să procedeze la o analiză internă a activității sale, cu scopul de a identifica concret datele pe care le prelucrează – etapa de audit;
  • să identifice transferurile de date către terți operatori/împuterniciți;
  • să informeze persoanele vizate despre natura prelucrării datelor și să le dea posibilitatea acestora să își exercite drepturile;
  • să stabilească în concret tipul de măsuri organizatorice/administrative și tehnice de protejare a datelor cu caracter personal prelucrate, astfel încât să răspundă la exigențele impuse prin Regulament;
  • să realizeze o analiză de risc legată de prelucrarea datelor cu caracter personal.

Implicațiile legale pe care le comportă neimplementarea măsurilor GDPR- riscuri/amenzi

În România, organismul care guvernează respectarea Regulamentului GDPR este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

ANSPDCP poate constata încălcarea prevederilor regulamentului GDPR și poate lua măsura unui avertisment sau a unei amenzi:

  • Până la 10 milioane EURO sau 2% din cifra de afaceri globală din anul precedent în cazul încălcării obligațiilor operatorului și ale persoanei împuternicite referitoare la (neexhaustiv):
  • nerespectarea obligațiilor cu privire la operatorii asociați;
  • nerepectarea obligațiilor cu privire la persoana împuternicită;
  • neîntocmirea registrului activităților de prelucrare;
  • neasigurarea securității datelor și neimplementarea măsurilor tehnice și organizatorice adecvate;
  • omisiunea de a notifica ANSPDCP în cazul unui incident de securitate;
  • omisiunea de a informa persoanele vizate în cazul unui incident de securitate;
  • nerespectarea obligației de realizare a evaluării impactului asupra protecției datelor atunci când aceasta se impune.
  • Până la 20 milioane EUR sau 4% din cifra de afaceri globală a anului precedent în cazul încălcării obligațiilor referitoare, printre altele, la:
  • încălcarea principiilor prevăzute în Regulament (principiul legalității, echității și transparenței, principiul limitării scopului, principiul reducerii la minimum a datelor, principiul exactității, principiul limitării stocării, principiul integrității și confidențialității și principiul responsabilității);
  • încălcarea condițiilor privind consimțământul;
  • nerespectarea drepturilor persoanelor vizate ( dreptul la informare , dreptul de acces, dreptul la rectificare, dreptul la ștergerea datelor, dreptul la restricționarea prelucrării, dreptul la portabilitate , dreptul la opoziție, dreptul de a nu fi supus unui proces decizional automat);
  • încălcarea obligațiilor privind transferurile internaționale;
  • încălcarea obligațiilor impuse de legislația națională.

 

Notă: Potrivit unui comunicat oficial ANSPDCP, in perioada 25 mai 2018 – 24 mai 2019:

– s-au înregistrat 9439 de responsabili cu protecția datelor;

– s-au înregistrat 398 de notificări de încălcări de securitate a datelor cu caracter personal;

– s-au primit 5260 plângeri și sesizări;

– s-au efectuat 485 investigații din oficiu;

– s-au efectuat 496 investigații la plângerile persoanelor vizate.

Avocat Cătălina Nichita

Leave a Reply

Your email address will not be published. Required fields are marked *

error: Conținut protejat!!