GDPR Arad

GDPR pentru clinici stomatologice si dentisti in Arad

Cabinetele de stomatologie, radiografie dentara si dentistii in general, prin natura activitatii lor, prelucreaza datele persoanelor fizice si sunt operatori de date. 

Se aplica GDPR unui cabinet de stomatologie din Arad?

In primul randctivitatea de consult medical se adreseaza persoanelor fizice  ale caror date sunt prelucrate in vederea indeplinirii serviciilor medicale sau pentru intocmirea documentelor financiare.  Astfel, cabinetul medical prelucreaza datele consultului, dosarul pacientului, informatii privind radiografii sau lucrari medicale, programari la consultatii si eliberarea de facturi.

Pe de alta parte si angajatii cabinetului medical se supun acelorasi prelucrari de date asupra contractului de munca.

Cabinetele stomatologice pot sa prelucreze si alt gen de date: date provenite din sisteme de supraveghere, date medicale pacient (mulaj dantura etc) care la randul lor consituie date cu caracter personal.

In fine, in cursul procesarii de date au loc transferuri catre terti de genul transferurilor inspre si dinspre furnizori de servicii de radiografie dentara, furnizori de servii contabile, furnizori de servicii IT etc.

In consecinta, cabinetele de stomatologie sunt operatori de date care trebuie sa se supuna regulmentului GDPR.

Care este natura relatiei client-stomatolog din perspectiva GDPR?

Cabinetul de stomatologie prelucreaza datele clientului si hotaraste singur scopul si mijloacele prelucrarii. Din punct de vedere el este un Operator de date si are obligatia instituirii de masuri administrative, organizatorice si tehnice destinate protejarii datelor cu caracter personal prelucrate.

Ce trebuie facut pentru conformarea la regulamentul GDPR?

Pentru conformare la regulamentul GDPR cabinetul de stomatologie trebuie sa ia urmatoarele masuri:

- sa faca o analiza interna a activitatii sale si sa identifice datele pe care le prelucreaza (cartografierea datelor);

- sa realizeze o evidenta a prelucrarii de date care cuprinde datele de contact ale operatorului, tipurile de date prelucrate la nivel de fluxuri, temeiurile si scopurile prelucrarii, timpii de stocare, modurile de informare ale persoanelor vizate, modurile de exercitare a drepturilor, planul de masuri privind securizarea datelor, planul de masuri pentru reducerea la minim a datelor prelucrate;

- sa identifice transferurile de date catre terti operatori;

- sa informeze persoanele vizate despre natura prelucrarii datelor si sa le dea posibilitatea acestora sa isi exercite drepturile;

- sa stabileasca un plan de masuri organizatorice/administrative si tehnice privind conformarea practica la GDPR;

- sa faca o analiza de risc legata de prelucrarea datelor cu caracter personal.

Ce avantaje sunt daca contabilul desemneaza un responsabil cu protectia datelor (DPO) sau un consultant GDPR?

Fara indoiala cabinetul de stomatologie nu prelucreaza date pe scara larga si nu are o obligatie legala de a desemna un Responsabil cu protectia datelor. Dar cabinetul trebuie sa se conformeze regulamentului GDPR si va avea nevoie de un specialist in domeniu care sa il consileze pentru a implementa corect toate procedurile cerute de regulament, pentru a monitoriza activitatea de prelucrare a datelor, pentru a instrui personalul  si pentru a fi un punct de contact intre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) si cabinet.

Responsabilul cu protectia datelor sau consultantul GDPR este in primul rand un specialist in domeniu atat pe plan juridic cat si pe plan IT care il va consilia cabinetul de stomatologie in implementarea corecta a regulamentului GDPR. Responsabilul cu protectia datelor (DPO) are ca atributii monitorizarea respectarii regulamentului, cooperararea cu autoritatea de supraveghere precum si instruirea periodica a personalului cu privire la prelucrarea datelor cu caracter personal.

Un DPO ajuta la elaborarea planului de masuri administrative  care includ:

- definirea unei politice publice de prelucrare a datelor la nivelul societatii de stomatologie;

- stabilirea documentelor care definesc relatiile cabinetului de stomatologie cu terti operatori/clienti;

- informarea persoanelor vizate clienti sau angajati legata de prelucrarea de date cu caracter personal;

- identificarea si cartografierea datelor si fluxurilor de date din cadrul companiei;

- intocmirea dosarului de evidenta a prelucrarii de date;

- planul de raspuns la cererea de exercitare a drepturilor persoanelor vizate;

- plan de informare/instruire personal;

- plan de audit si verificari periodice.

De asemenea Responsabilul DPO ajuta la stabilirea masurilor organizatorice care includ:

- securizarea accesului la datele cu caracter personal;

- minimizarea datelor prelucrate;

- stabilirea nivelurilor de acces la datele.

Masurile tehnice pun accentul pe securizarea datelor cu caracter personal:

- securizarea colectarii, prelucrarii si stocarii datelor;

- securizarea metodelor de prelucrare digitale;

- metode de jurnalizare a prelucrarii datelor;

- stabilirea masurilor de backup/recuperare date;

- stabilirea planului de raspuns la incidente de securitate;

Dar ce fel de probleme de securitate a datelor pot sa apara? Exista un risc real?

Legal, orice prelucrare neautorizata a datelor cu caracter personal este considerata o incalcare a legii. 

Un exemplu de situatie generatoare de risc este modul de pastrare a radiografiilor dentare. De multe ori, in baza unei colaborari cabinet de radiografie - cabinet stomatologic ,  radiografiile pacientilor sunt trimise direct medicului stomatolog pe email (de foarte multe ori nesecurizat de genul gmail sau yahoo) sau pe serviciul WhatsUp. In primul rand faptul ca medicul nu are control asupra serviciului de email (recent Google si Yahoo au declarat public ca au dat posibilitatea dezvoltatorilor software sa acceseze complet toate emailurile clientilor sai)  lasa posibilitatea unor atacuri informatice prin care datele personale ale pacientilor sa fie sustrase si folosite in mod ilegal. De asemenea, stocarea radiografiilor in telefonul personal poate da nastere riscului ca acel telefon sa fie furat si toate datele pacientilor sa devina publice.

Un alt exemplu este cel legat de pastrarea datelor in documente nesupravegheate. De exemplu medicul noteaza programarea pacientilor intr-un caiet la care in anumite circumstante pot sa aibe acces si vizitatorii cabinetului medical. O persoana rau intentionata afla ca o anumita persoana este programata la o interventie medicala intr-o anumita data si foloseaste aceasta informatie pentru a-i sparge casa.

Desigur, cazurile prezentate sunt grave, dar in practica se pot regasi nenumarate cazuri in care securitatea datelor poate fi compromisa foarte usor.

Ce se riscuri/amenzi implica neimplementarea GDPR-ului?

Regulamentul GDPR are in vedere sensibilizarea operatorilor de date privind securitatea datelor pe care le prelucreaza, prelucrare care trebuie sa fie legala, echitabila si transparenta fata de persoana vizata. Prelucrarea trebuie sa se limiteze la scopul declarat, datele prelucrate trebuie sa fie reduse la minimum, pastrate si prelucrate intr-un mod care asigura securitatea inclusiv protectia la prelucrarea neautorizata sau ilegala a lor prin masuri tehnice si organizatorice adecvate.

In Romania, organismul care guverneaza respectarea regulamentului GDPR este Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP). In conformitate cu legea 190/2018 au fost stabilite normele de aplicare a regulamentului GDPR la nivelul teritorial al Romaniei.

ANSPDCP poate constata incalcarea prevederilor regulamentului GDPR si poate lua masura unei mustarari, avertisment sau a unei amenzi. In mediul privat amenda poate sa urce pana la 4% din cifra de afaceri pe ultimul an sau 20 000 000 euro.

S.C. Green IT System S.R.L. ofera servicii de implementare GDPR  si de Responsabil cu protectia datelor externalizat pe baza unui contract de prestari servicii consultanta. Ne puteti contacta pe email la office@gdprarad.ro sau direct la telefoanele 0748 309 925 sau 0742 022 586.

Paul Stoica, Responsabil cu protecția datelor
Str. Calimanesti, nr. 14
Arad, Romania
0748-309-925
0742-022-586
office@gdprarad.ro
24 X 7 online suport
TOP