Securitatea datelor

Scop

Scopul acestei politici este de a asigura ca toate datele personale identificabile si datele medicale sunt prelucrate sau stocate in companie in concordanta cu legislatia UE relevanta (Regulamentul 2016/679) si legislatia locala specifica.

Domeniul de aplicare

Aceasta politica se aplica tuturor angajatilor Memorial Medical Center, colaboratorilor, partenerilor contractuali, facilitatilor de prelucrare si stocare a datelor incluzand centre de date, retele si sisteme.

Politica

Pentru a proteja datele personale si datele medicale definite drept categorii de date restrictionate sau personale, urmatoarele masuri trebuie asigurate:
  • Memorial Medical Center care proceseaza si stocheaza date personale si date medicale trebuie sa se desemneze un Ofiter cu protectia datelor la nivel local, conform Regulamentului 2016/679.
  • Ca operator de date personale, compania se va asigura ca orice acces la datele personale si datele medicale este strict limitat la personale autorizate si care au o nevoie legitima de acces la aceste date pentru a-si indeplini indatoririle.
  • In cazul in care datele personale sunt necesare pentru prelucrare, acestea trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar pentru scop („minimizarea datelor”).
  • Este necesara o analiza a impactului asupra protectiei datelor (DPIA) atunci cand sunt introduse sisteme noi de prelucrare a volumelor mari de date personale sau medicale sau care pot genera un risc ridicat.
  • Toate prevederile politicilor individuale de Securitate Fizica si a Statiilor de Lucru privind limitarea accesului la informatii sunt respectate strict.
  • Datele personale identificabile si datele medicale pot fi prelucrate doar pe dispozitive detinute si administrate in totalitate de companie, si stocate in centre de date certificate in zone aflate in administrarea exclusiva a companiei.
  • Este interzisa trimiterea sau transportarea datelor personale si a datelor medicale in afara retelelor si sediilor companiei.
  • Este interzisa divulgarea de orice fel de informatie personala sau date medicale personale, incluzand imagini ale pacientilor, in orice retele sociale.
  • Testarea si dezvoltarea de programe ce proceseaza sau stocheaza date personale sau date medicale se poate face doar folosind date randomizate sau pseudonimizate.
  • Orice acces la distanta in sisteme ce proceseaza sau stocheaza date personale sau date medicale poate fi permis doar folosind autentificare multi-factor si sisteme de acces aprobate de companie, peste conexiuni securizate si criptate.
  • Toate sistemele informatice folosite pentru colectarea manuala sau automata de date personale sau date medicale trebuie configurate sa:
  1. necesite consimtamintul informat al posesorului datelor ofere posesorului datelor toate informatiile relevante prinvind dreptul sau de acces, modificare sau stergere asupra datelor sale personale in sistemele companiei.
  2. sa puna in aplicare functionalitati care sa permita portabilitatea datelor personale la cererea persoanei vizate.
    Partenerii externi care nu au fost contractati ca procesatori de date personale de catre si in numele companiei nu au drept de acces la date personale sau date medicale.

Definitii

  • MEMORIAL MEDICAL CENTER sau „compania” – se refera la toate companiile si sucursalele Memorial Medical Center
    Angajati/personal Memorial Medical Center – angajati cu contract de munca, voluntari, agenti sau orice alte persoane aflate sub controlul direct al companiei
  • Date de identificare, date personale – orice informatie legata de o persona identificabila in mod unic. O persona poate fi identificata direct sau indirect, in particular prin referire la un numar de identificare sau la unul sau mai multi factori specifici identitatii sale fizice, fiziologice, mentale, economice, culturale sau sociale.
  • Date medicale – informatii despre o persoana care se refera la starea sa de sanatate fizica sau mentala, sau la serviciile medicale pe care le primeste.
  • Procesator de date personale – o persona fizica sau juridica, autoritate publica, agentie sau alta institutie ce proceseaza date personale in mod propriu sau in numele unui beneficiar.