GDPR

Prezentare generală

Noile legi privind confidențialitatea și cele mai bune practici cu Clinica Vasculara Venart SRL

Din 25mai, 2018, General Data Protection Regulation (GDPR) intră în vigoare, deschizând o nouă eră a protecției datelor și a vieții private pentru toată lumea. Deși cu siguranță ați auzit și ați citit o mulțime de informații despre GDPR, poate fi dificil să înțelegeți exact ce înseamnă pentru afacerea dvs., în termeni practici, șice ar trebui să faceți pentru a fi conformi cu regulile noi.

La Venart, ne angajăm să respectăm cele mai bune practici în materie de securitate și confidențialitate. Ne străduim să oferim același nivel de protecție tuturor utilizatorilor și clienților, fără distincție de locație sau cetățenie. Și aplicăm acele bune practici pentru toate datele, nu doar pentru datele personale.

Ce trebuiesăn știi despre GDPR

Dacă poți, cel mai bun mod de a înțelege GDRP este să Citiți textul Oficial.

Este un pic lung (99 de articole pe 88 de pagini), dar destul de ușor de citit pentru non experți.

Este o Reglementare, care își propune să armonizeze și modernizeze legislația existentă în materie de confidențialitate, cum ar fi Directiva UE privind confidențialitatea datelor pe care o înlocuiește. Aceasta stabilește norme pentru protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și libera circulație a datelor cu caracter personal în Europa.

Este o Reglementare, nu o Directivă, prin urmare aplicabilă imediat în toate statele membre ale UE, fără a necesita transpunerea în dreptul intern al fiecărei țări. Țările UE au o marjă limitată de interpretare pentru punctele mai fine, dar regulile fundamentale vor fi la fel pentru toată lumea, peste tot în UE.

GDPR de asemenea aduce legislația către următorul mileniu, luând în considerare rețelele sociale, cloud computing, criminalitatea cibernetică și provocările majore pe care le provoacă în ceea ce privește confidențialitatea și securitatea datelor cu caracter personal.

Pe scurt: Nu te panica!

GDPR nu este o legislație nouă și revoluționară și, în esență, este un lucru bun pentru cetățeni și întreprinderi.

Este Pozitiv!

Vrem să subliniem că GDPR poate fi grozav pentru tine și clienții tăi. Respectarea GDPR poate reprezenta inițial multă muncă, dar noile reguli prezintă avantaje:

• Încredere crescută din partea clienților și utilizatorilor dvs.
• Simplificare: aceleași reguli sunt aplicate în toate țările din UE
• Raționalizarea și centralizarea proceselor dumneavoastră organizaționale

Scopul GDPR este de a oferi persoanelor fizice mai multă supraveghere asupra datelor lor personale. Dacă compania dumneavoastră pune în aplicare strategiile și sistemele corecte, va fi mai ușor de gestionat, mai sigur și mai sigur pentru anii următori.

Care sunt riscurile dacă nu sunteți conformi?

Pedeapsa maximă pentru nerespectare este o amendă administrativă de 20 de milioane de euro sau 4% din cifra de afaceri anuală globală, oricare dintre acestea este mai mare. Pentru încălcările mai mici se aplică un maxim mai mic de 10 milioane de euro sau 2% din cifra de afaceri anuală globală.

Aceste maxime sunt menite să fie descurajante pentru companii de toate dimensiunile, dar GDPR cere, de asemenea, ca amenzile să fie menținute proporționale.

Autoritățile de supraveghere (cunoscute și sub numele de autorități de protecție a datelor: APD) trebuie să țină seama de circumstanțele fiecărui caz, inclusiv de natura, gravitatea și durata încălcării. Aceste APD au, de asemenea, competențe pentru a investiga și impune acțiuni corective, care includ limitarea activităților infracționale, fără a impune neapărat o amendă.

Un alt risc dacă nu te conformezi este pierderea încrederii clienților și potențialilor tăi, cărora le pasă de modul în care le procesezi datele!

În concluzie, multe APD au sugerat că nu vor impune amenzi pană în 2018, dar se așteaptă ca întreprinderile să demonstreze că lucrează pentru a se conforma.

Principiile GDPR

Domeniul Aplicabil

Regulamentul se aplică oricărei prelucrări de date personale de orice organizație:

1. Dacă organizația de control sau procesare este localizată în UE
2. Dacă organizația nu este în UE, dar prelucrarea implică date cu caracter personal ale persoanelor vizate situate în UE și este legată de oferte comerciale sau de monitorizare a comportamentului.

Prin urmare, domeniul de aplicare include companiile din afara UE, ceea ce nu era cazul cu legislația mai veche.

Roluri

Regulamentul distinge două tipuri principale de entități:

• Operator de date: orice entitate care stabilește scopurile și mijloacele a prelucrării datelor cu caracter personal, singuri sau împreună. Ca regulă generală, fiecare organizație este un operator pentru propriile date.
• Procesator de date: orice entitate care prelucrează date în numele unui operator de date.

Date Personale

GDPR oferă o definiție largă a datelor cu caracter personal: orice informație referitoare la o persoană fizică identificată sau identificabilă. O persoană identificabilă este una care poate fi identificată, direct sau indirect,prin numele lor, e-mailuri, numere de telefon, informații biometrice, date de locație, date financiare etc. Identificatorii online (adrese IP, ID-uri dispozitive, …) sunt, de asemenea, în domeniu.

Acest lucru se aplică și în contexte de afaceri: info@clinica-vasculara.ro nu este considerat personal, dar dan.stoica@clinica-vasculara.ro este, deoarece poate fi folosit pentru a identifica o persoană fizică în cadrul unei companii.

GDPR necesită, de asemenea, un nivel mai ridicat de protecție pentru datele sensibile, care include categorii specifice de date cu caracter personal, cum ar fi informații despre sănătate, genetice, rasiale sau religie.

Principiile de Procesare a Datelor

Pentru a fi conforme, activitățile de prelucrare trebuie să respecte următoarele reguli:

(toate listate în Articolul 5 al GDPR)

1. Legalitate, corectitudine și transparență: pentru a colecta date trebuie să ai o bază legală, un scop clar, și trebuie să informezi persoana vizată:
   • Aveți o politică de confidențialitate simplă și clară și faceți referire la ea oriunde colectați date.
   • Verificați temeiul legal pentru fiecare dintre activitățile dvs. de prelucrare a datelor
2. Limitarea scopului: odată colectat într-un scop, solicitați permisiunea dacă doriți să îl utilizați în alt scop.
   e.g. – Nu puteți decide să vindeți datele clienților dvs. dacă nu au fost colectate în acest scop.
3. Minimalizare: trebuie să colectezi doar datele care sunt necesare scopului tău
4. Precizie: ar trebui să se ia măsuri rezonabile pentru a se asigura că datele sunt actualizate, în funcție de scopul urmărit
   e.g. – Asigurați-vă că gestionați e-mailurile respinse și corectați sau ștergeți adresele.
5. Limitarea stocării: datele cu caracter personal ar trebui păstrate numai pe durata necesară pentru a-și îndeplini scopul principal.
   Definiți termenele de ștergere sau de revizuire a datelor cu caracter personal pe care le prelucrați, în funcție de scopul acestora.
6. Integritate și Confidențialitate: Procesatorii de date trebuie să implementeze măsuri adecvate de control al accesului, securitate și prevenire a pierderii datelor, în conformitate cu tipurile și amploarea datelor care sunt prelucrate.
   e.g. – Asigurați-vă că sistemul dvs. de rezervă funcționează, aveți controale de securitate adecvate, utilizați criptarea pentru a proteja datele sensibile, cum ar fi parolele, …
7. Responsabilitate: controlorii de date sunt responsabili și trebuie să poată demonstra conformitatea cu toate principiile de prelucrare de mai sus.
   • Stabiliți și mențineți o referință de cartografiere a datelor pentru organizația dvs., care să descrie conformitatea activităților dvs. de prelucrare
   • Informați-vă clienții prin intermediul unei politici de confidențialitate clare

Baza legală

Pentru a fi legal conform GDPR (primul principiu), prelucrarea datelor cu caracter personal trebuie să se bazeze pe una din cele șase baze legale posibile, conform Articolului 6 (1):

1. Consimțământ. Este valabil atunci când persoana vizată și-a dat consimțământul în mod explicit și liber după ce a fost informată în mod corespunzător, inclusiv cu un scop clar și specific. Sarcina probei pentru toate acestea revine operatorului.
2. Necessar pentru performanța unui contract, sau pentru a îndeplini cereri de la persoana vizată, în pregătirea unui contract.
3. Respectarea unei obligații legale impuse operatorului.
4. Protejând un interes vital. Când prelucrarea este necesară pentru a salva o viață.
5. Interes public sau autoritate oficială.
6. Interes Legitim. Aplicabil atunci când operatorul are un interes legitim care nu este depășit de interesele și drepturile fundamentale ale persoanei vizate.

O schimbare majoră adusă de GDPR față de reglementările anterioare privind confidențialitatea datelor sunt cerințele mai stricte pentru obținerea unui valid consimțământ.

Drepturile Subiectului Datelor

Drepturile existente de confidențialitate a datelor pentru persoane sunt extinse în continuare de GDPR. Organizațiile trebuie să fie pregătite să trateze cererile din partea persoanelor vizate în timp util (în termen de 1 lună), gratuit:

1. Dreptul la acces – Persoanele fizice au dreptul de a ști ce și cum sunt prelucrate datele lor personale, în deplină transparență;
2. Dreptul la rectificare – Persoanele fizice au dreptul de a obține corectarea sau completarea datelor lor cu caracter personal;
3. Dreptul la ștergere – Persoanele fizice au dreptul de a obține ștergerea datelor lor cu caracter personal din motive legitime (consimțământ retras, nu mai este necesar pentru scop, etc.);
4. Dreptul la restricție – Persoanele fizice pot solicita operatorului să înceteze prelucrarea datelor lor cu caracter personal, în cazul în care nu doresc sau nu pot solicita ștergerea completă;
5. Dreptul de opoziție – Persoanele fizice au dreptul de a se opune în orice moment unei anumite prelucrări a datelor lor personale, de exemplu în scopuri de marketing direct;
6. Data Portability – Individualii au dreptul de a solicita ca datele cu caracter personal deținute de un operator să le fiefurnizate lor, sau unui alt operator.

Cum ar trebui să vă pregătiți pentru GDPR

Disclaimer

Nu putem oferi consultanță juridică, această secțiune este oferită doar în scop informativ. Vă rugăm să vă adresați consilierului dvs. juridic pentru a determina exact modul în care GDPR afectează compania dvs.

Iată care sunt pașii cheie pe care îi sugerăm pentru o foaie de parcurs privind conformitatea cu GDPR:

1. Stabiliți Maparea Datelor a activităților de prelucrare a datelor ale organizației dvs.pentru a obține o imagine clară a situației. Autoritățile de protecție a datelor oferă adesea șabloane de foi de calcul pentru a ajuta în această sarcină. Pentru fiecare proces, documentați tipul de date cu caracter personal și modul în care au fost colectate; scopul, baza legală sau politica de ștergere al tratamentului; măsurile de siguranță tehnice și organizaționale implementate, și subcontractorii (prelucratorii) implicați.Va trebui să actualizați periodic această cartografiere a datelor, pe măsură ce procesele dumneavoastră evoluează.
2. Pe baza pasului 1, alege o Strategie de Remediere pentru orice prelucrare în cazul în care nu aveți un temei juridic (de exemplu, lipsa consimțământului) sau în cazul în care nu dispuneți de măsuri de securitate adecvate. Adaptați-vă procesele, procedurile interne, regulile de control al accesului, copiile de rezervă, monitorizarea etc.
3. Update and publish a clear Privacy Policy on your website. Explain what personal data you process, how you do it, and what are the rights of individuals with regard to their data.
4. Revizuiți-vă Contractele cu un consultant legal și adaptați-le la GDPR.
5. Decideți cum veți răspunde la diferitele tipuri de Solicitări Data Subject.
6. Prepare your Incident Response Procedure in case of data breach.

În funcție de situația dvs., pe listă ar putea fi adăugate și alte elemente, cum ar fi numirea unui responsabil cu protecția datelor. Consultați experții dumneavoastră interni în procesare și consilierii dumneavoastră juridici pentru a determina orice altă măsură relevantă.

Ține minte!

Stabilirea unei hărți clare a proceselor dvs. va face totul mai ușor pe drumul către conformitate!

Cum se conformează Venart cu GDPR

La Venar, implementarea celor mai bune practici de confidențialitate și securitate nu este o idee nouă. În calitate de companie medicală, revizuim și îmbunătățim constant sistemele, instrumentele și procesele noastre, pentru a menține o platformă excelentă și sigură

Documentele Noastre GDPR

Ca și Controlor de Date, activitățile noastre sunt acoperite în Politica de Confidențialitate, care a fost actualizată pentru GDPR. Această politică explică cât mai clar posibil ce date procesăm, de ce le procesăm și cum o facem. 

Ca și client al Clinica Vasculara Venart SRL nu aveți nimic de făcut pentru a accepta aceste schimbări, beneficiați deja de noile garanții, și vom considera că sunteți de acord dacă nu auzim nimic de la dvs.!

În plus față de aceste documente, am actualizat site-ul nostru web pentru a insera notificări de confidențialitate în toate locurile relevante, pentru a-i ține pe utilizatorii noștri informați în permanență.

Dreptul de Acces (Art. 15) și Dreptul la Portabilitatea Datelor (Art. 20)

Conform regulamentului GDPR, clienții au dreptul să solicite accesul la datele lor personale și să obțină o copie a acestora, precum și să ceară transferul acestor date către un alt operator de date.

Pentru a exercita aceste drepturi, vă rugăm să ne trimiteți un email la gdpr@clinica-vasculara.ro cu subiectul „Solicitare acces date” sau „Solicitare portabilitate date”. Pentru a asigura securitatea și confidențialitatea datelor dumneavoastră, vă rugăm să atașați la email o copie a unui act de identitate valid (ex: carte de identitate, pașaport).

Odată primită solicitarea, vom răspunde în termen de 30 de zile calendaristice și vă vom furniza toate datele personale pe care le deținem în legătură cu dumneavoastră sau le vom transfera conform instrucțiunilor dumneavoastră.

Dreptul de a fi uitat(Art. 17)

GDPR acordă persoanelor vizate dreptul de a solicita ștergerea datelor lor cu caracter personal, în anumite condiții, cum ar fi:

• Datele nu mai sunt necesare conform scopului;
• Ei își retrag consimțământul pentru o prelucrare pe care s-a bazat doar pe consimțământ;
• Procesarea este în acest caz ilegală.

Dacă doriți să exercitați acest drept și să solicitați ștergerea datelor personale din sistemele Venart, vă rugăm să ne trimiteți un email la gdpr@clinica-vasculara.ro cu subiectul „Solicitare ștergere date”. Pentru a valida identitatea dumneavoastră și a proteja confidențialitatea informațiilor, vă rugăm să atașați o copie a unui act de identitate valid (ex: carte de identitate, pașaport).

După primirea solicitării, vom analiza cererea dumneavoastră și, în măsura în care se aplică, vom șterge datele personale din sistemele noastre în termen de 30 de zile calendaristice, cu notificarea corespunzătoare.