Regulamentul General privind Protecția Datelor (GDPR) stabilește cadrul legal pentru protecția datelor personale în Uniunea Europeană. Clinics CRM este pe deplin angajat în respectarea acestui regulament și în protejarea drepturilor persoanelor vizate.
1. Angajamentul nostru față de GDPR
Clinics CRM a fost conceput de la început cu respectarea principiilor GDPR (Privacy by Design și Privacy by Default). Ne angajăm să:
- Prelucrăm datele personale în mod legal, echitabil și transparent
- Colectăm date doar pentru scopuri specifice, explicite și legitime
- Limităm prelucrarea la ceea ce este necesar pentru scopurile declarate
- Asigurăm acuratețea datelor și posibilitatea de rectificare
- Stocăm datele doar atât timp cât este necesar
- Implementăm măsuri adecvate de securitate
- Demonstrăm conformitatea prin documentație adecvată
2. Drepturile tale conform GDPR
În calitate de persoană vizată, ai următoarele drepturi garantate de GDPR:
2.1 Dreptul de acces (Art. 15)
Ai dreptul de a obține confirmarea că datele tale sunt prelucrate și de a primi o copie a acestor date, precum și informații despre:
- Scopurile prelucrării
- Categoriile de date prelucrate
- Destinatarii datelor
- Perioada de stocare
- Existența drepturilor tale
- Sursa datelor (dacă nu au fost colectate direct de la tine)
2.2 Dreptul la rectificare (Art. 16)
Ai dreptul de a obține rectificarea datelor inexacte și completarea datelor incomplete.
2.3 Dreptul la ștergere - Dreptul de a fi uitat (Art. 17)
Poți solicita ștergerea datelor tale în următoarele situații:
- Datele nu mai sunt necesare pentru scopul inițial
- Îți retragi consimțământul (dacă acesta era temeiul prelucrării)
- Te opui prelucrării și nu există motive legitime prevalente
- Datele au fost prelucrate ilegal
- Ștergerea este cerută de o obligație legală
Acest drept nu se aplică dacă prelucrarea este necesară pentru respectarea unei obligații legale sau pentru constatarea, exercitarea sau apărarea unui drept în instanță.
2.4 Dreptul la restricționarea prelucrării (Art. 18)
Poți cere restricționarea prelucrării dacă:
- Contești exactitatea datelor (pe perioada verificării)
- Prelucrarea este ilegală, dar nu dorești ștergerea
- Nu mai avem nevoie de date, dar tu le soliciți pentru apărarea unui drept
- Te-ai opus prelucrării (pe perioada verificării)
2.5 Dreptul la portabilitatea datelor (Art. 20)
Ai dreptul de a primi datele tale într-un format structurat, utilizat în mod curent și care poate fi citit automat (ex: JSON, CSV). Poți solicita și transmiterea directă către alt operator, dacă este fezabil tehnic.
2.6 Dreptul de opoziție (Art. 21)
Te poți opune prelucrării datelor tale în următoarele cazuri:
- Interes legitim: dacă prelucrarea se bazează pe interesul legitim al operatorului (vom continua doar dacă demonstrăm motive legitime imperioase)
- Marketing direct: ne vom opri imediat din a-ți trimite comunicări de marketing
2.7 Drepturi legate de decizii automatizate (Art. 22)
Ai dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrare automatizată, inclusiv crearea de profiluri, care produce efecte juridice sau te afectează în mod similar semnificativ.
Notă: Clinics CRM nu utilizează în prezent procese de decizie complet automatizate care să afecteze utilizatorii.
3. Cum îți exerciți drepturile
Pentru a-ți exercita oricare dintre drepturile de mai sus, ne poți contacta prin:
- Email: contact@clinicscrm.ro
- Formular online: din contul tău Clinics CRM (secțiunea Setări > Confidențialitate)
Procesul de solicitare:
- Trimite-ne o solicitare scrisă specificând dreptul pe care dorești să îl exerciți
- Te vom contacta pentru verificarea identității (dacă este necesar)
- Vom procesa solicitarea în termen de 30 de zile calendaristice
- Termenul poate fi prelungit cu încă 60 de zile pentru solicitări complexe (te vom notifica)
Cost: Exercitarea drepturilor este gratuită. Putem percepe o taxă rezonabilă doar în cazul solicitărilor repetitive, nefondate sau excesive.
4. Roluri GDPR
În funcție de context, Clinics CRM poate acționa în diferite calități conform GDPR:
4.1 Ca Operator de date
Suntem operator pentru datele utilizatorilor noștri (reprezentanții clinicilor):
- Date de cont și autentificare
- Date de facturare
- Date de comunicare și suport
- Date de utilizare a platformei
4.2 Ca Persoană împuternicită
Acționăm ca persoană împuternicită pentru datele pacienților introduse de clinici în platformă. În această calitate:
- Prelucrăm datele doar conform instrucțiunilor operatorului (clinica)
- Nu utilizăm datele în scopuri proprii
- Asigurăm confidențialitatea personalului
- Implementăm măsuri de securitate adecvate
- Asistăm operatorul în respectarea obligațiilor GDPR
- Returnăm sau ștergem datele la încetarea contractului
Un Acord de Prelucrare a Datelor (DPA) este disponibil pentru toți clienții și poate fi solicitat la contact@clinicscrm.ro.
5. Temeiurile legale ale prelucrării
Prelucrăm datele personale în baza următoarelor temeiuri legale (Art. 6 GDPR):
| Scop | Temei legal |
|---|---|
| Furnizare servicii | Executarea contractului (Art. 6.1.b) |
| Facturare | Obligație legală (Art. 6.1.c) |
| Suport tehnic | Executarea contractului (Art. 6.1.b) |
| Marketing direct | Consimțământ (Art. 6.1.a) |
| Îmbunătățire servicii | Interes legitim (Art. 6.1.f) |
| Securitate platformă | Interes legitim (Art. 6.1.f) |
6. Persoane împuternicite (Sub-procesatori)
Utilizăm următorii sub-procesatori pentru furnizarea serviciilor:
- Servicii de hosting: furnizori de cloud din UE sau cu garanții adecvate pentru transferuri internaționale
- Servicii de email: pentru comunicări tranzacționale
- Servicii de plată: procesatori de carduri conformi PCI DSS
- Servicii de analytics: Google Analytics (cu IP anonimizat)
Lista completă a sub-procesatorilor este disponibilă la cerere. Te vom notifica în avans cu privire la orice modificări ale acestei liste.
7. Măsuri de securitate (Art. 32)
Implementăm măsuri tehnice și organizatorice adecvate riscurilor identificate:
Măsuri tehnice:
- Criptare în tranzit (TLS 1.3) și în repaus (AES-256)
- Firewall și sisteme de detecție a intruziunilor
- Backup-uri regulate și redundante
- Monitorizare 24/7 a securității
- Autentificare multi-factor (MFA) disponibilă
- Control al accesului bazat pe roluri (RBAC)
- Teste de penetrare periodice
Măsuri organizatorice:
- Politici interne de securitate a datelor
- Instruirea personalului privind protecția datelor
- Acorduri de confidențialitate cu angajații
- Proceduri de gestionare a incidentelor
- Audituri periodice de conformitate
8. Notificarea incidentelor de securitate
În cazul unei încălcări a securității datelor cu caracter personal:
- Notificăm ANSPDCP în termen de 72 de ore de la constatare (dacă încălcarea este susceptibilă să genereze un risc)
- Notificăm persoanele vizate fără întârzieri nejustificate (dacă încălcarea este susceptibilă să genereze un risc ridicat)
- Documentăm toate încălcările, inclusiv faptele, efectele și măsurile de remediere
În calitate de persoană împuternicită, vom notifica operatorii (clinicile) imediat ce luăm cunoștință de un incident care afectează datele acestora.
9. Evaluarea impactului asupra protecției datelor (DPIA)
Efectuăm evaluări ale impactului asupra protecției datelor (DPIA) pentru prelucrările care sunt susceptibile să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice.
Asistăm clienții noștri (operatorii) în efectuarea propriilor DPIA atunci când utilizează platforma Clinics CRM pentru prelucrarea datelor medicale ale pacienților.
10. Autoritatea de supraveghere
Autoritatea națională competentă pentru protecția datelor în România este:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
- Adresa: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, cod poștal 010336
- Telefon: +40 318 059 211
- Email: anspdcp@dataprotection.ro
- Website: www.dataprotection.ro
Dacă consideri că drepturile tale au fost încălcate, ai dreptul de a depune o plângere la ANSPDCP. Cu toate acestea, te încurajăm să ne contactezi mai întâi pentru a încerca să rezolvăm problema direct.