Temeiuri legale pentru prelucrarea datelor cu caracter personal de catre cabinetele medicale

Prelucrarea datelor cu caracter personal se poate realiza in mod legal numai daca se bazeaza pe unul dintre temeiurile juridice prevazute la art. 6 alin. (1) din Regulament, respectiv:

1. consimtamantul persoanei vizate;
2. prelucrarea este necesara pentru incheierea sau executarea unui contract;
3. prelucrarea este necesara pentru indeplinirea unei obligatii legale;
4. prelucrare este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice;
5. prelucrare este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul;
6. prelucrare este necesara in scopul intereselor legitime urmarite de operator sau de o parte terta, cu exceptia cazului in care prevaleaza interesele sau drepturile si libertatile fundamentale ale persoanei vizate.

Sunt necesare cateva precizari privind selectarea temeiului juridic de prelucrare adecvat fiecarei categorii de prelucrare de date cu caracter personal:

1. tinand cont de scopurile urmarite prin prelucrarea datelor cu caracter personal, primul pas in evaluarea conformitatii unei prelucrari de date este determinarea temeiului juridic in baza caruia se face prelucrarea. Fara un temei juridic corect identificat, prelucrarea incalca prevederile RGPD;
2. alegerea temeiului de prelucrare trebuie facuta corect de la inceput, schimbarea ulterioara a temeiului, fara justificare adecvata, este echivalenta cu o neconformitate;
3. alegerea temeiului de prelucrare trebuie documentat (cel mai frecvent, prin evidenta activitatilor de prelucrare);
4. persoanele vizate trebuie informate cu privire la temeiul prelucrarii, ca principiu, inainte de inceperea prelucrarii.

Prelucrare bazata pe consimtamantul persoanei vizate (art. 6 alin. (1) lit. (a) din Regulament)

In lumina prevederilor Regulamentului, prelucrarea datelor in temeiul consimtamantului persoanei vizate presupune respectarea unor standarde legale specifice. A prelucra date pe baza consimtamantului inseamna a acorda persoanei vizate o libertate verosimila de decizie in ceea ce priveste prelucrarea datelor, precum si controlul ulterior al activitatilor de prelucrare indeplinite de operator/persoana imputernicita de operator. Enumeram, mai jos, cateva dintre cele mai importante reguli de obtinere si gestionare a consimtamantului:

1. Consimtamant explicit. Consimtamantul trebuie sa fie exprimat in mod explicit, intr-o maniera clara si specifica (manifestare pozitiva a consimtamantului). Utilizarea unor metode de exprimare implicita/tacita a consimtamantului (spre exemplu, casute de acord pre-bifate) nu este o practica legala. Totodata consimtamantul acordat de un pacient in vederea efectuarii tratamentului medical nu reprezinta un consimtamant exprimat in vederea prelucrarii datelor cu caracter personal.
2. Consimtamant nelegal. Furnizarea unui serviciu solicitat de/oferit persoanei vizate nu poate fi conditionata de acordarea consimtamantului acesteia pentru prelucrarea datelor cu caracter personal, intrucat consimtamantul astfel exprimat nu ar fi obtinut in mod liber.
3. Consimtamant separat. Consimtamantul trebuie solicitat (i) in mod separat de termeni, conditi ori alte documente de informare si prezentare si (ii) in mod specific pentru fiecare scop pentru care se face prelucrare pe acest temei juridic.
4. Consimtamant documentat. Consimtamantul trebuie documentat si dovada acestuia trebuie pastrata. Ca principiu, operatorul trebuie sa poata demonstra cine a dat consimtamantul, cand, prin ce metoda si ce informatii au fost furnizate cu ocazia preluarii consimtamantului.
5. Consimtamant revocabil. Persoana vizata are dreptul de a retrage consimtamantul in orice moment (forma de manifestare a dreptului de a fi uitat ), iar operatorul trebuie sa ofere un mecanism de retragere facil si sa actioneze pentru a da eficienta retragerii in cel mai scurt timp posibil. Retragerea consimtamantului nu afecteaza legalitatea prelucrarii efectuate pe baza consimtamantului inainte de retragerea acestuia.

Acest set de reguli face ca prelucrarea pe baza de consimtamant sa ridice numeroase probleme practice. De aceea, trebuie sa analizati daca intr-adevar consimtamantul este temeiul juridic adecvat prelucrarilor de date cu caracter personal pe care doriti sa le realizati sau exista un alt temei juridic mai potrivit. Determinarea este cu atat mai importanta cu cat alegerea temeiului juridic este unica si, in principiu, nu poate fi schimbata ulterior inceperii prelucrarii.

Important! In activitatea dumneavoastra, prelucrarile de date cu caracter personal avand ca baza legala consimtamantul persoanei vizate nu este cel mai recomandat/relevant temei. Aceasta intrucat, pe de-o parte, un eventual consimtamant al pacientului pentru efectuarea tratamentului medical sau pentru transmiterea istoricului medical nu poate echivala cu un consimtamant pentru prelucrarea datelor personale, iar pe de alta parte, conditiile obtinerii consimtamantului sunt numeroase (specificarea naturii prelucrarii in cadrul declaratiei, a tipului de date prelucrate, identificarea tuturor scopurilor etc.), operatorului revenindu-i sarcina de a demonstra obtinerea consimtamantului in mod liber (aspect mai greu de probat in cazul pacientilor), precum si posibilitatea persoanei vizate de a retrage consimtamantul intr-o maniera accesibila si lipsita de efort.


Totusi, daca prelucrarea datelor personale ale pacientilor este efectuata in scop de marketing (transmiterea de alerte legale/newslettere prin e-mail/colectarea activitatii online a persoanelor care va acceseaza site-ul in acelasi scop), atunci aceasta prelucrare va trebui sa aiba la baza un consimtamant obtinut in mod legal de la persoanele vizate.

Prin urmare, trebuie sa existe forme de comunicare activa in cazul in care se invoca consimtamantul persoanei vizate. In timp ce consimtamantul va poate oferi un temei in sensul prelucrarii datelor cu caracter personal, semnalam ca nu este intotdeauna posibila o asemenea ipoteza sau chiar de dorit. Daca aveti de gand sa va bazati pe consimtamantul persoanei vizate, trebuie sa va asigurati ca aceste persoane stiu exact ce fel de date veti prelucra si ca inteleg implicatiile asupra lor. Ele trebuie sa cunoasca daca este sau nu necesara prelucrarea. Nu trebuie sa conditionati furnizarea unui serviciu de obtinerea consimtamantului persoanei vizate.

Prelucrare necesara pentru incheierea si executarea unui contract (art. 6 alin. (1) lit. (b) din Regulament)

Elementul-cheie care justifica utilizarea acestui temei juridic este necesitatea incheierii sau executarii unui contract. In acest context, prelucrarea este legala daca:

1. exista un contract valabil incheiat intre operator si persoana vizata, pentru a carui executare este necesara prelucrarea de date cu caracter personal; sau
2. in faza pre-contractuala, la solicitarea persoanei vizate, este nevoie de prelucrarea anumitor date cu caracter personal in vederea incheierii contractului.

In mod contrar, prelucrarea NU se poate baza pe temeiul incheierii/executarii contractului daca:

1. trebuie prelucrate datele unei persoane, alta decat cea cu care se incheie contractul
2. in faza precontractuala, initiativa incheierii contractului apartine operatorului sau apartine unei terte persoane.

Cerinta necesitatii prelucrarii pentru incheierea sau executarea unui contract nu inseamna intotdeauna ca prelucrarea este esentiala in acest scop. Totusi, orice prelucrare trebuie sa fie limitata la si proportionala cu scopul urmarit. Cu alte cuvinte, prelucrarea datelor personale avand ca temei necesitatea incheierii unui contract va viza doar acele date personale ale persoanei vizate necesare incheierii/executarii contractului.

Prelucrarea este necesara pentru indeplinirea unei obligatii legale (art. 6 alin. (1) lit. (c) din Regulament)

Prelucrarea datelor cu caracter personal in vederea conformarii operatorului/persoanei imputernicite de operator cu una sau mai multe obligatii legale, presupune existenta unor norme legale aplicabile care sa oblige operatorul la prelucrarea datelor cu caracter personal.

De asemenea, prelucrarea impusa printr-o decizie administrativa/hotarare judecatoreasca (ele insele luate in temeiul unei abilitari legale) poate fi justificata tot prin necesitatea conformarii unei obligatii legale.

Desigur ca, in prezent, multe dintre prelucrarile de date cu caracter personal se efectueaza in cadrul programelor software, unde trebuie completate campurile obligatorii (nume, prenume, CNP etc.) Totusi este important ca furnizorii acestor platforme sa aiba softuri actualizate ce concorda cu legislatia aplicabila, astfel incat sa evitati prelucrarea unor date personale care nu sunt necesare potrivit legislatiei aplicabile, in cazul in care indeplinirea unei obligatii legale este temeiul pe care l-ati identificat.

Este important de precizat ca prelucrarea datelor cu caracter personal trebuie sa fie necesara conformarii obligatiei legale. Daca se poate asigura in mod rezonabil conformarea cu norma legala, fara respectiva prelucrare sau printr-o prelucrare mai

putin intruziva, acest temei nu va putea fi invocat pentru prelucrarea excedentara realizata, prelucrarea fiind nelegala.

De exemplu:

• obligatia transmiterii informatiilor medicale in format electronic;
• obligatia acordarii asistentei medicale/ingrijirilor de sanatate;
• facturarea lunara in vederea decontarii de catre casele de asigurari de sanatate, activitate realizata conform contractelor de furnizare de servicii medicale si sa transmita factura in format electronic la casele de asigurari de sanatate;
• raportarea in format electronic caselor de asigurari de sanatate documentele justificative privind activitatile realizate in formatul solicitat de Casa Nationala de Asigurari de Sanatate (CNAS);
• completarea/transmiterea datelor pacientului in dosarul electronic de sanatate al acestuia;
• respectarea dreptului asiguratului de a-si schimba medicul de familie dupa expirarea a cel putin 6 luni de la data inscrierii pe lista acestuia, prin punerea la dispozitia medicului la care asiguratul opteaza sa se inscrie a documentelor medicale;
• intocmirea evidentelor distincte pentru cazurile care reprezinta accidente de munca si boli profesionale si sa le comunice lunar caselor de asigurari de sanatate cu care sunt in relatie contractuala etc.

Important: Desi s-ar putea argumenta ca H.G. nr. 140/2018 pentru aprobarea pachetelor de servicii si a Contractului-cadru pentru anii 2018-2019, ce reglementeaza conditiile acordarii asistentei medicale, a medicamentelor si a dispozitivelor medicale in cadrul sistemului de asigurari sociale de sanatate pentru anii 2018-2019 reprezinta un act administrativ normativ ce nu ar putea impune obligatii legale (care sa derive din lege), totusi Hotararea Guvernamentala are la baza Legea nr. 95/2006 privind reforma in domeniul sanatatii, lege care cuprinde, la randul ei, in cadrul art. 138 alin. (1) lit. c), obligatia furnizorilor de servicii medicale sa raporteze catre CNAS si casele de asigurari de sanatate cu care se afla in relatii

contractuale a tuturor datelor mentionate in contractele incheiate cu acestia. Asadar transmiterea datelor pacientilor catre CNAS in acord cu prevederile Contractului-cadru, se va putea baza pe temeiul existentei unei obligatii legale, cata vreme aceste prelucrari sunt limitate la cele determinate de cadrul legal.

Alte exemple de obligatii legale:

• Inregistrarea si raportarea statistica a pacientilor potrivit dispozitiilor art. 138 din Legea nr. 95/2006 si in acord cu prevederile Ordinului nr. 779/2016 pentru modificarea Ordinului ministrului sanatatii si al presedintelui Casei Nationale de Asigurari de Sanatate nr. 1.782/576/2006.
• Pastrarea securizarea si asigurarea sub forma de document scris si electronic a documentatiei primare, ca sursa a acestor date, constituind arhiva furnizorului, conform Legii Arhivelor Nationale nr. 16/1996, a Ordinului nr. 871 din 19 iulie 2016 si art. 138 alin. (1) lit. d) din Legea nr. 95/2006 privind reforma in domeniul sanatatii.
• Completarea si emiterea documentelor medicale in acord cu prevederile legale aplicabile. Biletul de trimitere Ordinul nr. 511/2013; Prescriptie medicala electronica Ordinul nr. 1.566/2015 pentru modificarea si completarea OMS nr. 674/252/2012; Fisa medicala Ordinul nr. 1.706/2007; Fisa spitalizare zi (FSZ) Ordin nr. 835 din 27 martie 2018 pentru modificarea si completarea Ordinului nr. 782/576/2006.

Prelucrarea este necesara pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice (art. 6 alin. (1) lit. (d) din Regulament)

Aceasta situatie reglementata de RGPD se poate intalni in practica in activitatea cabinetelor medicale. Aceasta intrucat cabinetele medicale au obligatia legala de a prelua cazurile urgente si de a prelucra anumite date personale (inregistrare date pacient) in conformitate cu dispozitiile legale aplicabile, indiferent daca pacientul este asigurat si indiferent daca acesta se afla inregistrat in lista de pacienti ai cabinetului medical.


De asemenea, atunci cand, din cauza unei situatii de urgenta, nu se poate obtine consimtamantul adecvat al pacientului, se va putea proceda imediat la orice interventie indispensabila din punct de vedere medical in folosul sanatatii persoanei vizate, situatie in care apreciem ca temeiul legal analizat este pe deplin aplicabil pentru prelucrarea datelor personale.

Operatorii de date cu caracter personal pot alege oricare dintre temeiurile de prelucrare, niciun temei dintre cele sase prevazut de art. 6 din RGPD nefiind mai indicat sau mai intemeiat decat celalalt. Astfel, in cazul preluarii unei urgente (obligatie legala a cabinetelor), prelucrarea unor date personale (de exemplu: antecedentele medicale) va putea fi fundamentata pe aceasta baza legala, daca nu se identifica alta mai potrivita.

Totusi, cabinetelor medicale le va reveni sarcina sa decida daca si ce date cu caracter personal pot fi circumscrise acestui temei legal de prelucrare.

Totodata trebuie sa analizati daca prelucrarea datelor personale pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice este intr-adevar necesara pentru atingerea scopului urmarit. In cazul in care s-ar aprecia ca ocrotirea vietii/sanatatii unei persoane ar fi putut fi in mod rezonabil realizata si prin alte mijloace de natura sa nu aduca o atingere semnificativa dreptului la viata privata a unei persoane, nu veti putea invoca ca temei legal dispozitiile art. 6 alin. (1) lit. d) din Regulament. Printre datele personale ce pot face obiectul acestui temei de prelucrare se pot regasi numele, prenumele pacientului, CNP-ul sau domiciliul acestuia, numele si prenumele rudelor si numerele de telefon ale acestora etc.

Prelucrarea este necesara pentru indeplinirea unei sarcini care serveste unui interes public sau care rezulta din exercitarea autoritatii publice cu care este investit operatorul (art. 6 alin. (1) lit. (e) din Regulament)

Acest temei opereaza atunci cand prelucrarea datelor personale ale unei persoane este necesara pentru indeplinirea unei sarcini de interes public. Desi cabinetele


medicale nu reprezinta o autoritate publica, totusi se poate aprecia ca acestea isi desfasoara activitatea in interes public, ocrotind sanatatea si viata persoanelor fizice.

Trebuie sa analizati daca prelucrarea datelor cu caracter personal pentru indeplinirea unei sarcini care serveste unui interes public, este intr-adevar necesara pentru atingerea scopului urmarit. In cazul in care acelasi rezultat ar putea fi atins in mod rezonabil prin alte mijloace mai putin intruzive, nu veti putea invoca ca temei legal dispozitiile art. 6 alin. (1) lit. e) din Regulament.

Prelucrare necesara in scopul realizarii unui interes legitim (art. 6 alin. (1) lit. (f) din Regulament)

Interesul legitim este cel mai flexibil temei juridic de prelucrare a datelor cu caracter personal si, de aceea, utilizarea acestui temei trebuie calibrata in mod adecvat. In mod tipic, acest temei poate fi folosit doar in cazurile in care prelucrarea are un impact minimal asupra persoanelor vizate. Pentru o intemeiere a prelucrarii pe existenta unui interes legitim al operatorului, prelucrarea datelor cu caracter personal trebuie sa indeplineasca trei conditii:

1. Testul scopului legitim. Trebuie sa urmariti un interes legitim, al dumneavoastra sau al unui tert. Interesul legitim poate fi un interes comercial, profesional sau un scop mai larg, de exemplu un interes social.
2. Testul necesitatii. Prelucrarea trebuie sa fie proportionala si limitata pentru atingerea interesului legitim urmarit. Daca respectivul interes poate fi atins printr-o prelucrare mai putin intruziva/cuprinzatoare, nu poate fi utilizat acest temei.
3. Testul raportarii la interesele persoanei vizate. Ca principiu, prelucrarea trebuie sa fie previzibila pentru persoana vizata si sa nu creeze un prejudiciu/ inconvenient persoanei vizate.

Important: Nu intotdeauna interesele persoanei vizate trebuie aliniate cu cele ale operatorului. Pot exista situatii in care interesele operatorului pot prevala asupra celor ale persoanei vizate in cadrul unei prelucrari legitime.

Apreciem ca prelucrarile pe care le efectuati pot avea ca temeiuri juridice, in principal, necesitatea indeplinirii unei obligatii legale ce va revine (art. 6 alin. (1) lit. c) din Regulament), necesitatea protejarii intereselor vitale ale persoanei vizate sau ale altei persoane fizice (art. 6 alin. (1) lit. d) din Regulament) si necesitatea indeplinirii unei sarcini care serveste unui interes public (art. 6 alin. (1) lit. e) din Regulament).

Desigur ca in cazul in care veti prelucra datele cu caracter personal cu privire la propriii candidati/angajati, temeiul prelucrarii va fi acela al necesitatii incheierii/executarii unui contract la care persoana vizata este parte sau intentioneaza acest lucru (art. 6 alin. (1) lit. b) din Regulament).

In concluzie, va recomandam sa analizati, sa stabilliti si sa documentati temeiul legal ce sta la baza prelucrarii datelor cu caracter personal, in functie de particularitatile fiecarei operatiuni de prelucrare de date cu caracter personal.