Prelucrarea datelor medicale ale pacienților
Cuprins
1. Cine prelucrează datele
Med Connect Systems S.R.L. furnizează platforma tehnică MedConnect instituțiilor medicale (spitale, clinici, cabinete) — care la rândul lor sunt operatori principali ai datelor dumneavoastră medicale.
În relația cu pacienții, Med Connect Systems S.R.L. acționează în calitate de persoană împuternicită (procesator de date) pentru instituția medicală, conform contractelor de prelucrare conforme art. 28 GDPR.
În cazul în care vă creați cont personal direct cu MedConnect, devenim operator doar pentru datele acelui cont, sub controlul dumneavoastră direct.
2. Ce date colectăm
Prelucrăm următoarele categorii de date:
- Date de identificare: nume, prenume, CNP (stocat exclusiv sub formă de hash criptografic), data nașterii, sex.
- Date de contact: adresă email, telefon (opțional, dacă alegeți să le furnizați).
- Date medicale: imagistică (CT, RMN, ecografie, radiografie, mamografie etc.), analize de laborator, rapoarte medicale, externări, prescripții, scrisori medicale, alergii, antecedente, tratamente curente — încărcate de unitățile medicale partenere, de medicii curanți sau direct de către dumneavoastră.
- Date tehnice: adresă IP, log-uri de acces, tip dispozitiv — strict pentru securitate și audit.
Conform GDPR, datele medicale sunt date sensibile și beneficiază de protecție specială.
3. De ce le colectăm
Datele dumneavoastră medicale sunt prelucrate exclusiv pentru:
- Furnizarea îngrijirii medicale — accesul medicilor curanți la istoricul dumneavoastră pentru diagnostic și tratament corect.
- Continuitatea îngrijirii — disponibilitatea dosarului dumneavoastră în diferite unități medicale partenere unde vă tratați (cu acordul dumneavoastră).
- Siguranța dumneavoastră — detectarea automată a alergiilor și a interacțiunilor medicamentoase periculoase înainte de prescripție.
- Acces propriu — disponibilitatea istoricului dumneavoastră complet, prin contul personal MedConnect.
- Conformitate legală — îndeplinirea obligațiilor stabilite de legislația sanitară (păstrarea documentelor medicale).
Nu folosim datele dumneavoastră medicale în scopuri comerciale, de profilare publicitară sau de antrenare AI generală. Modelele AI clinice folosite pentru structurarea documentelor sunt aplicate doar la cererea instituției medicale, în beneficiul îngrijirii dumneavoastră.
4. Temeiul legal
Prelucrarea datelor medicale se realizează în baza:
- Consimțământului explicit al pacientului — pentru introducerea în platformă și partajarea cu unități medicale partenere (art. 9 alin. 2 lit. a GDPR).
- Necesității scopurilor de medicină preventivă, diagnostic și tratament — sub responsabilitatea profesioniștilor obligați la secret profesional (art. 9 alin. 2 lit. h GDPR).
- Interesului vital — în situații de urgență când persoana nu este capabilă să își exprime consimțământul (art. 9 alin. 2 lit. c GDPR).
- Obligației legale — pentru păstrarea documentelor medicale conform reglementărilor sanitare.
5. Cine are acces la datele dumneavoastră
Accesul la datele dumneavoastră medicale este strict controlat și auditat:
- Dumneavoastră — întotdeauna și complet, prin contul personal MedConnect (dacă alegeți să-l activați).
- Medicii curanți din instituția unde vă tratați — în limitele rolului și ale principiului „nevoie de a cunoaște".
- Medici din alte instituții partenere — DOAR cu acordul dumneavoastră explicit, revocabil în orice moment.
- Personalul tehnic Med Connect Systems — exclusiv pentru mentenanță tehnică, sub obligație contractuală de confidențialitate și fără acces la conținutul medical decât în situații de incident, cu autorizare.
- Autorități publice — exclusiv în cazurile prevăzute expres de lege (urgență medicală, ordin judecătoresc, expertiză medico-legală).
Datele dumneavoastră NU sunt vândute, partajate cu companii de asigurări fără acordul dumneavoastră expres, sau folosite în scopuri comerciale.
6. Cât timp păstrăm datele
Datele medicale sunt păstrate conform legislației sanitare în vigoare:
- Documente medicale (rapoarte, imagistică, analize): minimum 30 de ani conform reglementărilor sanitare române și UE.
- Loguri de audit (cine a accesat ce și când): minimum 10 ani pentru protecția pacientului și a profesioniștilor medicali.
- Datele dumneavoastră de cont personal: pe toată durata existenței contului, plus 36 de luni după închidere pentru gestionarea solicitărilor ulterioare.
După expirarea termenelor legale, datele sunt șterse sau anonimizate ireversibil.
7. Drepturile dumneavoastră
Beneficiați de drepturile complete prevăzute de GDPR pentru date sensibile:
- Acces complet — puteți vedea oricând ce date avem despre dumneavoastră și cine le-a accesat.
- Rectificare — puteți cere corectarea datelor incorecte.
- Ștergere — puteți cere ștergerea datelor, cu excepția cazurilor în care legea ne obligă să le păstrăm (ex.: durata minimă legală pentru dosare medicale).
- Restricționare — puteți cere oprirea temporară a anumitor prelucrări.
- Portabilitate — puteți primi datele într-un format standardizat (HL7 FHIR), citibil de orice alt sistem medical compatibil. Pregătit pentru European Health Data Space.
- Opoziție — vă puteți opune anumitor prelucrări bazate pe interes legitim.
- Retragerea consimțământului — pentru orice partajare cu instituții partenere, oricând, dintr-o singură interfață.
- Plângere la autoritate — la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (dataprotection.ro).
8. Securitatea datelor
Datele dumneavoastră medicale sunt protejate prin:
- Criptare end-to-end: TLS 1.3 pentru transfer, AES-256 pentru stocare.
- CNP stocat ca hash: identificatorul național nu există niciodată în clar pe serverele noastre.
- Stocare exclusiv în UE: infrastructură europeană, sub jurisdicție GDPR.
- Audit imutabil: fiecare acces la datele dumneavoastră este înregistrat și nu poate fi șters retroactiv. Dumneavoastră vedeți cine a accesat ce și când.
- Aliniere ISO 27001: standarde internaționale de securitate a informației.
- Multi-Factor Authentication obligatorie pentru medici și pentru contul dumneavoastră personal.
- Verificare explicită a identității la fiecare upload de document — fără atribuiri greșite.
9. Date privind minorii
Datele medicale ale minorilor sunt prelucrate doar cu acordul reprezentantului legal (părinte sau tutore). Reprezentantul legal poate gestiona dosarul minorului din propriul cont MedConnect, prin profil familial dedicat.
La împlinirea vârstei majoratului, accesul reprezentantului încetează automat. Persoana devine titulara unică a contului propriu.
10. Cum ne contactați
Pentru orice solicitare privind datele dumneavoastră medicale:
- Operator tehnic: Med Connect Systems S.R.L.
- Email GDPR: office@med-connect.ro
- Adresă: București, România
- Web: med-connect.ro
Pentru solicitări specifice unei instituții medicale (acordul pentru o anumită clinică, ștergere date din relația cu un anumit spital), vă recomandăm să contactați direct și operatorul principal — instituția medicală respectivă.