Notă de informare privind protecția datelor personale

Pe scurt

Cine colectează și procesează datele?

Telios Care S.A. (cu rolul de Operator de Date Personale) și personalul medical și specialist angajat și colaborator (cu rolul de Persoane Împuternicite).

Ce date? De ce?

Date personale pentru identificarea pacientului și date medicale pentru efectuarea consilierii medicale. 

Cum vor fi folosite datele și de către cine? Vor fi implicați terți?

Datele sunt folosite exclusiv pentru identificarea pacientului în sistem și efectuarea consilierii medicale.

Doctori și personal medical intern și extern cu aviz de practică vor avea acces la date pentru a efectua serviciul. 

Personalul medical extern cu aviz de practică va avea acces la datele personale și medicale doar pe perioada deciderii de preluare a consilierii și pe perioada efectuării consilierii.

Personalul non-medical extern (nutriționiști, antrenori fitness, psihologi etc.) vor avea acces doar la datele personale și acele date medicale pe care decide pacientul să le comunice pe perioada consultului. Accesul se oferă doar pe perioada deciderii de preluare a consilierii și pe perioada efectuării consilierii.

Personalul medical intern Telios Care S.A., cu aviz de practică, vor avea tot timpul acces la fișele pacienților activi.

Ce opțiuni au persoanele și ce pot face dacă au întrebări sau nemulțumiri?

Pentru orice întrebări și plângeri pacienții se pot adresa prin email la acting-dpo@telios.ro sau telefonic la numărul centralizat folosit pentru efectuarea consilierii.

În detaliu

Cine colectează și procesează datele?

1. Procesarea Datelor cu caracter personal

1.1 Telios Care S.A. va procesa datele cu caracter personal în concordanță cu Legile privind protecția datelor cu caracter personal aplicabile, cu cerințele GDPR direct incidente furnizării serviciilor de către Telios Care S.A.

1.2 În concordanță cu prevederile art. 28 din GDPR, obiectul și durata Procesării, natura și scopul Procesării, tipurile de Date cu caracter personal și categoriile Persoanelor Vizate de procesarea datelor se regăsesc reglementate în Secțiunea 2 a acestei Note de Informare (intitulată 2. Detaliile procesării datelor personale ale pacienților). Procesarea datelor cu caracter personal de către Telios Care S.A. este în legătură directă cu prestarea serviciilor obiectului de activitate de consiliere medicală.

Ce date? De ce?

2. Detaliile procesării datelor personale ale pacienților

Activitățile efectuate în cadrul procesării datelor cu caracter personal și medical:

  • Colectare – DA
  • Înregistrare – DA
  • Divulgare – NU
  • Ștergere – NU*
  • Alterare – NU
  • Modificare – NU
  • Utilizare – DA

* Datele sunt Arhivate în loc de a fi șterse atunci când pacienții părăsesc sistemul. Aceasta este necesară întrucât prevederile legale în domeniul sănătății impun păstrarea înregistrărilor cu caracter medical ale pacienților. Datele sunt stocate până la 5 de ani de la data ultimei consultări a pacientului.

Datele personale ale Pacientului sunt folosite pentru a furniza servicii de consiliere medicală și pentru identificarea pacientului.

Categoriile de date cu caracter personal care vor fi procesate:

  • Date de identificare – DA
  • Date fiziologice – DA
  • Date medicale sensibile – DA
  • Date privind locul de muncă – DA

Categoriile de activtăți medicale care fac scopul procesării datelor:

  • Medicină preventivă – DA
  • Medicină curativă – DA
  • Medicina muncii – NU 

3. Drepturile persoanelor vizate de procesarea datelor

3.1 Operatorul Telios Care S.A., în limita prevederilor legale aplicabile, va răspunde cu promptitudine Pacientului dacă va primi o solicitare privind exercitarea de către acesta a dreptului său de acces, de rectificare, de restricționare a procesării, de ștergere („dreptul de a fi uitat”), de portabilitate a datelor obiect al Procesării sau dreptul de a se opune prelucrării datelor.

3.2 Operatorul Telios Care S.A. nu va folosi datele personale în vederea trimiterii de materiale în scopuri publicitare ori în scopuri de marketing.

4. Stocarea datelor

4.1 Când un pacient al Telios Care S.A. își va pierde această calitate, Telios Care S.A. va arhiva datele pacientului și le va face indisponibile în mediul său de lucru. Datele arhivate nu vor fi folosite de personalul Telios Care S.A. și nu vor fi accesibile acestuia, cu excepția situațiilor impuse de lege în scopul dovedirii raporturilor de natură medicală anterioare. Datele arhivate vor fi păstrate timp de 5 de ani de la ultima consiliere și cât timp societatea este în ființă.

4.2 La solicitarea sau cu acordul pacientului, dacă acesta va face dovada identității sale, Telios Care S.A. va importa datele arhivate în mediul său de lucru și va reactiva contul său atunci când pacientul va obține din nou accesul la serviciile Telios Care prin intermediul unui alt angajator sau a unei alte forme de raport contractual.

Cum vor fi folosite datele și de către cine? Vor fi implicați terți?

5. Personalul

5.1 Telios Care S.A. se va asigura că personalul său care procesează date cu caracter personal este informat despre natura confidențială a acestor date, că a primit instructaj corespunzător responsabilităților care îi revin și că este obligat din punct de vedere contractual să păstreze confidențialitatea datelor, precum și că această obligație supraviețuiește momentului încetării contractului.

5.2 Telios Care S.A. va lua măsuri rezonabile pentru a asigura că personalul care procesează datele cu caracter personal oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate acestei sarcini.

5.3 Telios Care S.A. se va asigura că accesul Grupului Telios Care la datele cu caracter personal este limitat la acel personal care necesită un asemenea acces în scopul îndeplinirii serviciilor.

5.4 Telios Care S.A. se va asigura că accesul la datele cu caracter medical este limitat la personalul medical care necesită un asemenea acces în scopul îndeplinirii serviciilor.

5.5 Responsabilul cu protecția datelor. Membrii Grupului Telios Care au desemnat o persoană responsabilă cu protecția datelor în temeiul prevederilor legale privind protecția datelor cu caracter personal. Persoana astfel desemnată poate fi contactată la adresa de e-mail: acting-dpo@telios.ro.

Ce opțiuni au persoanele și ce pot face dacă au intrebări sau nemulțumiri?

6. Persoana împuternicită de operator

6.1 Persoanele afiliate cu Telios Care S.A. sunt considerate Persoane Împuternicite de Operator, iar Telios Care sau entitățile afiliate cu Telios Care vor transfera date către terțe persoane împuternicite ale altor Operatori în scopul prestării Serviciilor. Orice asemenea persoane împuternicite vor avea dreptul să obțină date cu caracter personal numai pentru a presta serviciile pe care s-au obligat a le presta față de Telios Care S.A. și, totodată, le va fi interzis să folosească astfel de date în orice alte scopuri.

6.2 Telios Care S.A. răspunde pentru acțiunile sau omisiunile propriilor Persoane Împuternicite în aceeași măsură în care ar fi răspunzătoare dacă ar presta ea însăși serviciile fiecărei Persoane Împuternicite în mod direct în temeiul DPA, dacă nu se prevede altfel în Contract.

6.3 Telios Care S.A. și entitățile afiliate cu Telios Care sunt în raporturi contractuale cu fiecare Persoană Împuternicită, raporturi care cuprind obligații privind protecția datelor cu caracter personal, iar aceste obligații nu sunt mai puțin protective decât prevederile prezentei Note de Informare și îndeplinesc cerințele articolului 28 alin. 3 din GDPR sau oricare alte prevederi legale echivalente, cu limitările impuse de natura Serviciilor prestate de asemenea persoane împuternicite.

6.4  Telios Care S.A. și  fiecare Afiliat al Telios Care S.A. va numi o Persoană împuternicită de Operator în concordanță cu prevederile prezentei Secțiuni (5). Lista Persoanelor Subîmputernicite de Operatorul Telios Care în legătură cu prestarea Serviciilor sale se regăsește pe siteul telios.ro, și va fi prezentată la cerere și pe email. Pacientul poate cere oricând consultarea listei tuturor Persoanelor Împuternicite ale căror servicii au fost utilizate la orice moment în timp.

6.5 Transferuri de date. Telios Care S.A. nu va transfera date cu caracter personal în afara spațiului UE fără aprobarea obținută separat și expres din partea pacientului.

7. Securitatea

7.1. Luând în considerare inovațiile, costurile implementării și natura, domeniul, contextul și scopurile Procesării datelor cu caracter personal, dar și riscurile inerente varietății și importanței drepturilor și libertăților persoanelor fizice, Telios Care S.A. va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate pe măsura riscului. Telios Care S.A. va menține măsuri tehnice și organizatorice adecvate pentru protecția securității, confidențialității și integrității datelor cu caracter personal, măsuri care îndeplinesc cerințele impuse unei Persoane împuternicite de Operator de GDPR, astfel cum sunt prevăzute în Art. 32 din GDPR. Telios Care S.A. monitorizează în mod regulat conformarea cu aceste măsuri de protecție. Telios Care S.A. nu va scădea nivelul total de securitate al Serviciilor pe măsura prestării acestora.

8. Încălcarea securității datelor cu caracter personal și notificarea încălcării

8.1 Telios Care S.A. va notifica Pacientul în cazul unei distrugeri, pierderi, alterări sau divulgări neautorizate produse din culpă sau cu intenție sau despre orice acces nelegal la Datele cu caracter personale ale Pacientului care sunt transmise, păstrate sau procesate în orice mod de Telios Care S.A. sau de împuterniciții acestuia („Încălcarea securității datelor”), dacă incidentul de securitate este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate. Riscul se evaluează în funcție de:

  1. tipul incidentului; 
  2. natura, contextul, volumul datelor afectate; 
  3. posibilitatea de a identifica persoanele vizate; 
  4. consecințele incidentului asupra persoanelor vizate; 
  5. circumstanțele persoanelor vizate; 
  6. circumstanțele operatorului în cauză; 
  7. numărul persoanelor afectate.

Telios Care S.A. va avea în vedere severitatea riscului, însă în același timp va ține cont de probabilitatea apariției acestuia

8.2 Alegerea Telios Care S.A. de a notifica sau de a răspunde unei Încălcări a securității datelor în temeiul prezentei Secțiuni nu poate fi interpretată și nici nu se interpretează ca o recunoaștere din partea Telios Care S.A. a unei culpe în ceea ce privește o eventuală Încălcare a securității datelor.

8.3 Notificarea Încălcărilor de securitate a datelor va fi comunicată online pe siteul Telios (www.telios.ro)  sau prin e-mail către pacienții afectați atunci când este posibil să se facă acest lucru. Pacientul este exclusiv responsabil de a se asigura că datele sale de contact aflate pe sistemul de suport al Telios Care S.A. sunt corecte și actuale. Telios Care S.A. va informa Pacientul despre încălcările securității datelor dacă incidentul de securitate este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate într-un termen de 24 ore în intervalul de L-V și 48 de ore în weekend sau în zilele de sărbătoare legală, iar informarea va include categoria datelor considerate afectate și metoda de oprire a încălcării.

9. Returnarea sau ștergerea datelor clientului

9.1 Telios Care S.A. va returna datele Pacientului către acesta și/sau va șterge (ori arhiva, pentru date medicale) datele Pacientului în concordanță cu procedurile Telios Care S.A. și cu prevederile legale în domeniul protecției datelor cu caracter personal.

9.2 La cererea Pacientului, Telios Care S.A. va șterge (sau arhiva, în privința datelor medicale) sau va returna toate datele cu caracter personal către Pacient la sfârșitul prestării Serviciilor și va șterge copiile existente, în concordanță cu procedurile reglementate în Art. 32 din GDPR, cu excepția situației în care prevederile legale aplicabile în privința protecției datelor cu caracter personal impun stocarea acestor date.

9.3 Telios Care S.A. realizează în mod automat back-up-ul și arhivarea datelor. Periodic se realizează un back-up al datelor și al arhivelor de date, iar acest back-up este rescris la un interval de 4 săptămâni. Telios Care S.A. își rezervă dreptul de a mări această perioadă până la 8 săptămâni.