Politica de stocare a datelor personale

POLITICĂ  PRIVIND STOCAREA și DISTRUGREREA DATELOR CU CARACTER PERSONAL

1. Informații generale

1.1. Scop și obiective

COLUMNA MEDICAL CENTER înțelege importanța conformității cu legislația aplicabilă în domeniul protecției datelor cu caracter personal, inclusiv în ceea ce privește gestionarea retenției datelor cu caracter personal. COLUMNA MEDICAL CENTER adoptă măsuri tehnice și organizatorice adecvate pentru păstrarea datelor cu caracter personal într-un mod sigur și securizat.

Prezenta Politica stabilește principiile ce trebuie respectate în materie de stocare, arhivare și distrugere a datelor cu caracter personal, fie ca sunt detinute în format electronic sau hârtie.

1.2. Aplicabilitate și referințe

Prezenta Politică este destinată tuturor angajaților din cadrul COLUMNA MEDICAL CENTER.

Implementarea prezentei Politici este în sarcina DPO (responsabilul cu protecția datelor cu caracter personal), cu susținerea ISO (responsabilul cu securitatea informației) și a echipei dedicate.

Această Politică se aplică tuturor datelor cu caracter personal prelucrate de către COLUMNA MEDICAL CENTER, în orice format (inclusiv pe suport fizic), indiferent dacă acestea sunt utilizate la locul de muncă, stocate pe dispozitive mobile, transportate fizic sau electronic sau accesate de la distanță.

În general, nu este permisă nicio excepție de la această Politică. În cazul în care se constată necesitatea unei excepții, aceasta va fi implementată doar dacă este aprobată în prealabil de către DPO și ISO, iar managerul direct și managerul resursei pentru care este solicitată excepția vor fi informați în acest sens.

1.3. Termeni utilizați

„date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă.

„persoane vizate” înseamnă cândidații la locurile de muncă ale COLUMNA MEDICAL CENTER, actualii și foștii angajați ai COLUMNA MEDICAL CENTER, clienții, persoanele de contact ai partenerilor contractuali sau orice alte persoane fizice ale căror date cu caracter personal sunt prelucrate de către COLUMNA MEDICAL CENTER.

„prelucrăre” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal.

 „operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, determină scopurile şi mijloacele de prelucrăre a datelor cu caracter personal. În sensul acestui document,  COLUMNA MEDICAL CENTER va fi considerat operator de date.

„ANSPDCP” înseamnă Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

„GDPR” înseamnă Regulamentul nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce priveşte prelucrărea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE.

„proprietar de date” inseamna angajatul cu rol de conducere sau coordonare care este responsabil de aplicarea principiilor de stocare, arhivare și distrugere pentru datelor emise, gestionate și transmise de personalul din subordinea sa, în aria sa de activitate.

“ISO” (Information Security Officer) înseamnă Responsabilul cu securitatea informației din cadrul COLUMNA MEDICAL CENTER

„DPO” (Data Privacy Officer) înseamnă Responsabilul cu Protecția datelor cu caracter personal din cadrul COLUMNA MEDICAL CENTER

„Echipa Dedicată” înseamnă echipa/responsabilii cu gestionarea colectării, procesării, transmiterii, stocării, arhivării și ștergerii datelor personale.

„stocare” înseamnă acțiunea de păstrare a datelor cu caracter personal în scopul prelucrării lor; fiecare set de date ar trebui să aibă o perioadă de păstrare stabilită (numită și perioadă de retenție).

„distrugere” înseamnă acțiunea de distrugere a datelor cu caracter personal după finalizarea perioadei de retenție, de exemplu prin ștergere, ștergere ireversibilă, distrugerea suportului pe care datele au fost păstrate etc.

2. Principii generale

Următoarele principii trebuie respectate în activitatea de stocare, arhivare și distrugere a datelor personale:

• Colectarea, prelucrărea și stocarea datelor cu caracter personal se realizează de către personalul COLUMNA MEDICAL CENTER numai în scopul îndeplinirii atribuțiilor de serviciu, pentru îndeplinirea contractelor și cerințelor legale.
• Pentru realizarea scopurilor de prelucrăre, COLUMNA MEDICAL CENTER stochează doar datele cu caracter personal care sunt exacte, complete și necesare îndeplinirii atribuțiilor, contractelor și cerințelor legale.
• Datele personale nu trebuie păstrate pentru o perioadă mai mare decât cea strict necesară - Stocarea datelor trebuie realizată strict pe perioada necesară atingerii scopurilor în care datele au fost colectate și în care vor fi ulterior prelucrate. Regula se aplică de COLUMNA MEDICAL CENTER atunci când dispozitiile legale nu prevad un alt termen de stocare a datelor, fie el expres sau determinat în functie de anumite circumstante.
• COLUMNA MEDICAL CENTER utilizeaza sisteme de evidența, mijloace automate și neautomate de prelucrăre a datelor cu caracter personal, cu respectarea drepturilor omului și aplicarea principiilor legalității, necesității, confidențialității, proporționalității și numai dacă, prin utilizarea acestora, este asigurată protecția datelor cu caracter personal prelucrate.
• Datele personale trebuie protejate conform cerințelor de confidențialitate, integritate și disponibilitate ce li se aplică.
• Datele personale trebuie sa rămână utilizabile și accesibile în orice moment, conform nevoii operaționale.
• Unde este posibil, seturilor de date cu caracter personal li se aplică tehnici de dez-identificare a persoanelor fizice, mai ales atunci când datele sunt stocate și utilizate pentru alte scopuri decât cele inițiale.
• Se interzice colectarea și păstrarea datelor personale privind o persoană fizică exclusiv privind: origine rasială, convingeri politice sau religioase, comportament sexual sau apartenența la mișcări sau organizații.
• Datele personale bazate pe opinii, interpretări personale sau care nu provin din surse sigure nu se vor încadra în categoriile de date persoanale decât după confirmarea calității datelor.
• Personalul are obligația să verifice și să mențină calitatea datelor personale, permanent. Atunci când datele personale se dovedesc inexacte sau incomplete, COLUMNA MEDICAL CENTER are obligația să le șteargă , distrugă , modifice, actualizeze sau după caz, să le completeze.
• Comunicarea și transferul datelor personale în afara COLUMNA MEDICAL CENTER se realizează doar în măsura necesității pentru îndeplinierea atribuțiilor, contractelor sau cerințelor legale.
• Datele stocate sunt protejate conform politicilor de securitate ale COLUMNA MEDICAL CENTER prin aplicarea de controale de limitare a accesului, jurnalizare și monitorizare a accesului, realizarea de salvări periodice. Sistemele informatice sunt protejate împotriva accesului neautorizat.
• Accesul la date personale normale și speciale este strict restricționat doar utilizatorilor autorizați, conform nevoii de a utiliza și de a cunoaște.
• După finalizarea perioadei de stocare, de la caz la caz, datele se șterg sau se anonimizează de către proprietarul desemnat al datelor, conform politicii de clasificare a informațiilor.
• Cele de mai jos reprezintă linii directoare și pot sa nu fie aplicabile în toate situațiile. De la caz la caz, în functie de circumstanțe, proprietarul datelor împreună cu DPO și unde este nevoie cu ISO, vor decide perioade de retenție specifice.

3. Stocarea, arhivarea și distrugerea datelor personale

COLUMNA MEDICAL CENTER stochează, arhivează și distruge doar datele aflate în proprietatea și/sau controlul său, în conformitate cu graficul de stocare de mai jos.

Pe lângă principiile de stocare și arhivare din prezenta politică, COLUMNA MEDICAL CENTER poate reține copii ale datelor, în măsura în care acest fapt se impune în mod rezonabil, într-o formăî nearhivată, pentru:

• Îndeplinirea atribuțiilor de serviciu
• Îndeplinirea cerințelor legale sau contractuale ale COLUMNA MEDICAL CENTER
• Stabilirea, exercitarea și îndeplinirea plangerilor penale
• Monitorizarea sistemelor și infrastructurii informatice, pentru prevenirea și detectarea incidentelor de securitate IT
• Protejarea bunurilor și activelor COLUMNA MEDICAL CENTER împotriva distrugerii, accesului neautorizat
• Respectarea dreptului la proprietate asupra documentelor, analizelor, schemelor, algoritmilor, codurilor, cunoștințelor etc emise de COLUMNA MEDICAL CENTER

Pentru fiecare caz în parte, retenția trebuie identificată și stabilită în procesul de analiză a fluxurilor de date personale noi sau la modificarea prelucrărilor sau sistemelor ce le gestionează.

Exemple de prelucrări și perioade de păstrare:

• când scopul prelucrării este resurse umane, datele ar putea fi prelucrate/stocate pentru perioada derulării raporturilor de munca;
• când scopul prelucrării este reclama, marketing și publicitate, datele ar putea fi prelucrate/stocate pe perioada derulării campaniior publicitare;
• când scopul prelucrării este acela de furnizare de servicii de sănătate, datele ar putea fi prelucrate/stocate pentru perioada cât persoana fizică are calitatea de client/angajat;
• când scopul prelucrării este legat de servicii financiar-bancare, datele ar putea fi prelucrate/stocate pentru perioada cât persoana fizică are calitatea de client sau angajat, după caz.

Datele cu caracter personal pot fi prelucrate (stocate) în anumite circumstanțe chiar și după încetarea calității persoanei fizice de angajat, client, partener etc., pe perioada necesară valorificării drepturilor și obligațiilor părților, rezultate din raporturile contractuale, de regulă pe perioada termenului de prescripție atunci când există un contract între persoana fizică și COLUMNA MEDICAL CENTER sau contractul existent între COLUMNA MEDICAL CENTER și un alt operator care vizează persoana fizică.

COLUMNA MEDICAL CENTER nu va distruge datele decât dacă:

• are o obligatie legală pentru a le păstra
• are o obligatie contractualî să păstreze datele
• păstrarea datelor se impune în mod rezonabil pentru exercitarea drepturilor în instanță

COLUMNA MEDICAL CENTER nu trebuie sa arhiveze sau sa distrugă  datele decât în măsura în care DPO și Departamentul Juridic al COLUMNA MEDICAL CENTER a emis instrucțiuni clare privind această activitate.

3.1. Datele privind executarea relațiilor contractuale

Prevederile privind stocare, arhivarea și distrugerea datelor confidențiale trebuie specificate la nivelul contractului, și pot diferi de la contract la contract. COLUMNA MEDICAL CENTER  și cealalta parte trebuie să respecte deopotrivă clauzele de confidențialitate stabilite.

Atunci când COLUMNA MEDICAL CENTER actionează ca persoană împuternicită pentru un operator de date personale, sau ca operator independent în relație cu un alt operator independent, societatea trebuie să introducă la nivelul contractului clauze prin care se obligă sa șteargă  datele după finalizarea executării activităților de prelucrare, ținând cont de obligațiile legale. COLUMNA MEDICAL CENTER trebuie să respecte clauzele agreate prin contract.

Pentru fiecare contract în parte, COLUMNA MEDICAL CENTER trebuie sa păstreze un inventar al acestor obligații, datele ce trebuie șterse și respectiv termenele de ștergere pentru fiecare set de date.

Contractele se arhivează în conformitate cu procedura internă de arhivare privind activitatea juridică.

Urmatoarele categorii de date personale prelucrate de COLUMNA MEDICAL CENTER sunt sau pot face subiectul unor cerințe contractuale privind distrugerea lor:

• Informații confidențiale dezvăluite către COLUMNA MEDICAL CENTER de către o terță parte, sub incidența unui acord de nedivulgare sau în condițiile clauzelor de confidențialitate specifice
• Date personale prelucrate de COLUMNA MEDICAL CENTER, în calitate de persoană împuternicită
• Date de contact ale reprezentanților partilor, în vederea executării contractului
• Date generate de COLUMNA MEDICAL CENTER sau de persoana împuternicită, pe durata desfășurarii contractului și doar pentru scopul executării contractului
• Datele de audit, care sunt proprietare companiei, solicitate de terți autorizați în vederea executării unui contract
• Alte tipuri de date specifice, conform contractelor

3.2. Datele prelucrate pentru executarea atribuțiilor de serviciu

Datele personale, utilizate de COLUMNA MEDICAL CENTER în activitatea zilnică pentru îndeplinirea atribuțiilor, altele decât cele prelucrate pentru executarea unui contract, trebuie stocate doar pe echipamentele informatice proprietatea COLUMNA MEDICAL CENTER  și nu pe echipamentele personale (inclusiv telefoane mobile).

Documentele cu date personale și copii ale acestora nu vor fi păstrate sub nicio formă pe echipamente portabile neprotejate, precum stickuri, discuri portabile folosite pentru transferul fișierelor. Orice stocare în scop de transfer trebuie să fie temporară; documentele trebuie șterse permanent de pe echipamentul mobil  după copiere.

Datele personale și aplicațiile informatice, documentele, fișierele de lucru cu date personale ce fac obiectului activității fiecărui angajat trebuie gestionate în siguranță de fiecare utilizator, respectând politicile de securitate și nivelul de acces acordat pentru realizarea atribuțiilor de serviciu.

Este interzisă stocarea atașamentelor email sau fișierelor exportate din aplicații, ce conțin date personale, pe telefoanele mobile sau pe echipamentele care nu sunt proprietatea companiei. De exemplu, atunci când va conectați pentru a vă verifica emailul de pe un alt telefon sau laptop decât cele ale companiei, evitați sa descărcați atașamente confidențiale în general, sau despre care cunoașteti că stochează date cu caracter personal.

Periodic, conform cerințelor operaționale, datele rezultate ca urmare a îndeplinirii atribuțiilor de serviciu și salvate în bazele de date centralizate, în aplicații și pe serverele de fișiere, sunt arhivate prin procesul de backup și restaurare cu frecvența stabilită de administratorii IT (săptămânal, lunar, anual).

Bazele de date locale, registrele electronice salvate pe sistemele de lucru sau alte echipamente mobile nu sunt arhivate.

Datele stocate pe sistemele de lucru sunt criptate, pentru a reduce riscul accesului neautorizat în caz de furt.

Datele stocate pe sistemele de lucru și telefoanele mobile sunt șterse sau distruse integral și irevocabil de către Departamentul IT înainte de refolosirea sau casarea sistemelor, de exemplu atunci când utilizatorului i se schimbă sistemul de lucru sau când este alocât unui alt utilizator. Înainte de ștergere, datele existente, dacă mai sunt necesare, sunt copiate intotdeauna pe noul suport sau sistem înainte de a fi șterse irevocabil.

Documentele în format hârtie trebuie scanate cu ajutorul echipamentelor specializate, iar formatul electronic în locațiile speciale ale fiecărui departament, pe serverele de stocare partajată a fișierelor de lucru din cadrul companiei, în aplicațiile dedicate pentru aceasta, sau la furnizorii de servicii de arhivă electronică.

Documentele originale, în format hârtie, se arhivează în arhiva fizică în conformitate cu nomenclatorul de arhivare din procedura de arhivare a companiei.

O singură copie de rezerva a documentului scanat spre arhivare poate fi păstrată pe sistemul de lucru al utilizatorului ce a realizat scanarea, și doar până la obținerea garanției că documentele sunt transmise spre arhivare sunt salvate în siguranță în locația de arhivare.

3.3. Datele personale ale angajaților

Datele personale ale angajaților, precum fotografii personale, pot fi stocate doar temporar de către utilizatori și doar pe sistemele și telefoanele mobile alocate lor și nu pe serverele de fișiere sau pe alte echipamente mobile.

COLUMNA MEDICAL CENTER nu recomandă stocarea informățiilor persoanale pe sistemele proprietare ale companiei, însă nu limitează dreptul utilizatorul în acest sens. COLUMNA MEDICAL CENTER nu poate oferi asigurări privind protejarea acestor date despre care nu are cunoștință.

Pe cât posibil, datele personale ale angajaților nu vor fi introduse în clar în documente oficiale sau publice ale organizației, precum în prezentări de servicii sau produse, comunicate oficiale, anunțuri de angajare, campanii de marketing etc. despre care cunoaștem că vor fi stocate pe suporturi sau sisteme care nu sunt în proprietatea COLUMNA MEDICAL CENTER.

4. Roluri și responabilități

4.1. DPO și echipa dedicată

• Monitorizează actualizările legislative și operaționale ce pot afecta prevederile prezentei politici și ajustează politica în consecință.
• Facilitează proprietarilor de date identificarea perioadei de stocare optime.
• Menține la zi evidența prelucrării datelor, inclusiv retenția datelor.

4.2. ISO și echipa IT

• Verifică și îmbunătățesc controalele de securitate și procedurile aplicabile pentru îndeplinirea principiilor de stocare, arhivare și distrugere

4.3. Proprietarul datelor

• Se consultă permanent cu DPO și ISO în privinta perioadelor optime de utilizare, stocare, arhivare și distrugere a datelor pe care le gestionează în aria sa de activitate.
• Se asigură de informarea angajaților în privinta principiilor aplicabile în aria sa de activitate.

4.4. Angajații columna medical center

• Ințeleg și aplică prezenta politică.
• Se consultă cu proprietarul datelor, DPO si/sau ISO după caz, în situațiile neclare privind stocarea, arhivarea sau distrugerea datelor.

5. Anexe

5.1. Recomandări privind stocarea

Dispozițiile legale privind arhivarea documentelor prevăd următoarele aspecte:

• Dosarele de personal se arhivează 75 de ani de la crearea lor
• Documentele privind siguranță și integritatea națională, 100 de ani de la crearea lor
• Documentele privind actele de criminalitate, se prelucrază numai în condiții speciale
• Documentele societăților comerciale cu capital privat, 50 de ani de la crearea lor
• Documentele fiscale, 5-10 ani, conform Codului Fiscal
• Documentele notariale și judiciare, 90 de ani de la crearea lor

Exemple de categorii de date și păstrarea lor: