Andra Z asked 4 ani ago

Buna ziua!

In situatia unei firmei de IT care face platforme de consultatii ce, apoi, sunt cumparate de alte entitati (spitale, clinici), cine ar trebui sa aiba DPO (pentru ipoteza prelucrarii curente a datelor)? Spitalul/clinica, firma de IT sau ambele?

Multumesc!

2 Answers
Ghidiu Eli Echipa answered 3 ani ago

Dacă trebuie să îndepliniți obligația de a avea un responsabil cu protecția datelor, dar nu există in cadrul firmei resurse pentru a desemna o persoana in regim full time sau part time, sau pur și simplu doriți să desemnați o persoană cu experiență, atunci puteți să externalizați tot procesul. Noi, cei de la GDPR Complet îndeplinim funcția de DPO extern, și ne ocupăm de la A la Z de tot ce înseamnă GDPR, protectia datelor și cum se prelucrează datele cu caracter personal. Mai multe detalii despre serviciul DPO externalizat, gasiti aici.

Darius Farcas answered 4 ani ago

Bună ziua,
mulțumim pentru întrebare!
De regulă spitalele au / trebuie să aibă DPO întrucât fie sunt spitale publice (instituții publice) fie sunt asimilate acestora prin natura serviciilor oferite – fiind de interes public.
În ceea ce privește firmele IT care dezvoltă astfel de platforme de consultații, pentru a răspunde trebuie să avem în vedere mai multe aspecte printre care:

  1. Ne uităm la – Art. 37: Desemnarea responsabilului cu protecţia datelor

(1)Operatorul şi persoana împuternicită de operator desemnează un responsabil cu protecţia datelor
ori de câte ori:
b)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în
operaţiuni de prelucrare care, prin natura, domeniul de aplicare şi/sau scopurile lor, necesită o
monitorizare periodică şi sistematică a persoanelor vizate pe scară largă; sau
c)activităţile principale ale operatorului sau ale persoanei împuternicite de operator constau în
prelucrarea pe scară largă a unor categorii speciale de date în temeiul articolului 9 sau a unor date cu
caracter personal referitoare la condamnări penale şi infracţiuni, menţionată la articolul 10.

  • de regulă, spre ex. dacă vorbim despre un spital regional – numărul persoanelor vizate ale căror date sunt prelucrate sunt de ordinul sutelor / miilor pe zi (ex. internări de o zi, consultații, urgențe, intervenții etc), raza geografică a acestora este destul de răspândită (ex. la spitalul municipal din Tg Mureș vin pacienți din întreaga regiune – Ms Hg Cv Ab, Sb).
  • natura datelor este dintre cele mai sensibile – date care relevă starea de sănătate etc.
  • platformele de acest tip de regulă conțin toate datele pacientului, inclusiv afecțiuni medicale, deces, cauze etc / eventual date aparținator – deci vorbim despre o monitorizare periodică, sistematică, spitalele fac diverse situații statistice pe care le raportează periodic etc.
    1. Dacă cele de mai sus sunt bifate, ne vom uita la serviciile oferite de firma de IT. Dacă aceasta doar vinde soluția și mai apoi nu va mai avea nici o legătură cu spitalul (nici măcar faptul că datele sunt stocate pe un server al firmei), atunci nu se impune obligativitatea, ÎNSĂ dacă vorbim de faptul că firma de IT (și de regulă așa se întâmplă) oferă servicii de mentenanță/intreținere etc pentru această platformă atunci prelucrează datele persoanelor vizate – pacienți, aparținători etc. chiar dacă pur și simplu doar are acces la acestea (în baza unor solicitări specifice) – ne încadrăm în prevederile mai sus indicate și există OBLIGATIVITATEA DPO-ului.

Pot exista și alte aspecte relevante, însă dacă vă putem ajuta în mod specific, ne puteți scrie pe contact@gdprcomplet.ro.
Weekend plăcut!