Înregistrare furnizori

Politici INSP

Politică de Confidențialitate

Institutul Național de Sănătate Publică (INSP)

1. Dispoziții generale.

Prezenta Politică de Confidențialitate stabilește cadrul general privind modul în care **Institutul Național de Sănătate Publică** (denumit în continuare „INSP” sau „Operatorul”) colectează, utilizează, prelucrează, stochează, divulgă și protejează datele cu caracter personal în contextul utilizării website-urilor, platformelor informatice și aplicațiilor digitale administrate de INSP.

Politica are rolul de a asigura informarea completă, corectă și transparentă a persoanelor vizate cu privire la:

– natura datelor cu caracter personal prelucrate;
– scopurile și temeiurile juridice ale prelucrării;
– măsurile de securitate și confidențialitate aplicate;
– drepturile recunoscute persoanelor vizate în temeiul legislației aplicabile.

2. Domeniul de aplicare

Politica se aplică tuturor activităților de prelucrare a datelor cu caracter personal realizate de INSP prin intermediul:

– website-urilor oficiale;
– platformelor informatice operaționale;
– sistemelor electronice de raportare, analiză și interoperabilitate;
– aplicațiilor utilizate în cadrul atribuțiilor legale ale INSP.

Politica se aplică tuturor categoriilor de persoane vizate, inclusiv:

– utilizatori ai platformelor;
– personal medical și personal tehnic;
– reprezentanți ai instituțiilor publice;
– pacienți sau persoane ale căror date sunt prelucrate în scopuri de sănătate publică, în condițiile legii.

3. Cadrul legal

Prelucrarea datelor cu caracter personal de către INSP se realizează cu respectarea strictă a următoarelor acte normative:

– Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (GDPR);
– Legea nr. 190/2018 privind măsuri de punere în aplicare a GDPR;
– Legea nr. 506/2004 privind protecția vieții private în sectorul comunicațiilor electronice;
– legislația națională în domeniul sănătății publice;
– ordinele și reglementările Ministerului Sănătății;
– actele normative privind securitatea informațiilor și sistemele informatice publice.

4. Operatorul de date și datele de contact

Operator de date: Institutul Național de Sănătate Publică
Sediu: Str. dr. Leonte Anastasievici nr. 1-3, sector 5, cod poștal 050463, București, România
Telefon: +40 213 183 620, +40 213 183 619
Fax: +40 213 123 426
E-mail: directie.generala@insp.gov.ro

5. Definiții

În sensul politicii, termenii utilizați au semnificația prevăzută de GDPR. În completare:

-”Date cu caracter personal” – orice informații privind o persoană fizică identificată sau identificabilă;
-”Date privind sănătatea” – date cu caracter personal referitoare la starea fizică sau mentală a unei persoane;
-”Prelucrare” – orice operațiune efectuată asupra datelor, inclusiv colectare, stocare, utilizare, divulgare, ștergere.

6. Principiile prelucrării

INSP garantează că toate prelucrările de date respectă următoarele principii:

– legalitate, echitate și transparență;
– limitarea scopului;
– minimizarea datelor;
– exactitatea datelor;
– limitarea stocării;
– integritate și confidențialitate;
– responsabilitate și trasabilitate.

7. Categorii de date cu caracter personal prelucrate

7.1 Date de identificare
– nume, prenume;
– coduri de identificare profesională;
– funcție și instituție.

7.2 Date de contact
– adresă de e-mail;
– număr de telefon;
– adresă profesională.

7.3 Date tehnice și operaționale
– adresă IP;
– date de autentificare;
– jurnale de acces;
– istoricul tranzacțiilor efectuate în sistem.

7.4 Date privind sănătatea
– date medicale strict necesare îndeplinirii atribuțiilor legale ale INSP;
– date prelucrate în scopuri de sănătate publică, statistică, raportare și analiză epidemiologică.

8. Scopurile prelucrării

Datele sunt prelucrate, fără a se limita la, următoarele scopuri:

– îndeplinirea atribuțiilor legale ale INSP;
– administrarea și funcționarea platformelor informatice;
– asigurarea accesului securizat al utilizatorilor;
– monitorizarea și auditarea utilizării sistemelor;
– prevenirea accesului neautorizat și a incidentelor de securitate;
– interoperabilitatea cu alte sisteme publice;
– raportare, analiză și cercetare în domeniul sănătății publice.

9. Temeiurile juridice ale prelucrării

Prelucrarea datelor se realizează în baza:

– art. 6 alin. (1) lit. c GDPR – obligație legală;
– art. 6 alin. (1) lit. e GDPR – interes public;
– art. 6 alin. (1) lit. a GDPR – consimțământ, unde este aplicabil;
– art. 9 alin. (2) lit. h și i GDPR – date privind sănătatea.

10. Accesul utilizatorilor și controlul acestuia

Accesul la sistemele informatice este strict reglementat prin:

– politici de securitate;
– control al accesului bazat pe roluri;
– autentificare multifactor (MFA);
– validarea dispozitivelor;
– deconectare automată după perioade de inactivitate;
– jurnalizarea completă a tuturor operațiunilor.

Accesul direct la baza de date este permis exclusiv administratorului de baze de date autorizat.

11. Măsuri tehnice și organizatorice

INSP implementează măsuri adecvate pentru:

– protejarea datelor împotriva accesului neautorizat;
– prevenirea pierderii, distrugerii sau alterării accidentale;
– asigurarea disponibilității datelor;
– restabilirea rapidă a accesului la date în caz de incidente;
– menținerea confidențialității comunicațiilor.

Sistemele beneficiază de actualizări regulate de securitate.

12. Confidențialitatea comunicațiilor și interoperabilitatea

Comunicarea între aplicații este securizată prin protocoale de criptare avansate.
Tranzacțiile prin API sunt protejate, iar transferurile de date medicale se realizează, unde este aplicabil, prin standarde HL7 și FHIR, în conformitate cu strategia națională de e-sănătate.

13. Destinatarii datelor

Datele pot fi comunicate:

– autorităților publice competente;
– furnizorilor de servicii IT, în baza unor contracte de prelucrare;
– altor instituții publice, strict în limitele legii.

14. Transferuri internaționale de date

În mod obișnuit, datele nu sunt transferate în afara UE/SEE. Orice transfer se realizează numai cu garanții adecvate.

15. Durata de stocare

Datele sunt păstrate:

– pe durata necesară îndeplinirii scopurilor legale;
– conform termenelor de arhivare;
– până la ștergerea conturilor inactive sau la cerere, dacă legea permite.

16. Drepturile persoanelor vizate

Persoanele vizate beneficiază de drepturile prevăzute de GDPR, inclusiv:

– dreptul de acces;
– dreptul la rectificare;
– dreptul la ștergere;
– dreptul la restricționare;
– dreptul la opoziție;
– dreptul de a depune plângere la ANSPDCP.

17. Exercitarea drepturilor

Solicitările pot fi adresate INSP în scris, la datele de contact menționate. INSP va răspunde în termenul legal.

18. Actualizarea Politicii

Prezenta Politică poate fi modificată ori de câte ori este necesar. Versiunea actualizată va fi publicată pe website.

19. Dispoziții finale și contact

Institutul Național de Sănătate Publică
Adresa: Str. dr. Leonte Anastasievici nr. 1-3, sector 5, cod poștal 050463, București, România
Telefon secretariat: +40 213 183 620, +40 213 183 619
Fax: +40 213 123 426
E-mail: directie.generala@insp.gov.ro