• Date medicale (date cu caracter personal sensibile), cum ar fi: diagnostice, simptome, boli, rezultate analize și medicamente, grupă sangvină, orice alte informații medicale, tratamente prescrise sau administrate, informații privitoare la medicul sau medicii dvs. curanți, recomandări medicale, date din dosarul medical din spital, inclusiv date despre istoricul medical al dvs. sau al altor membri ai familiei dumneavoastră, date biometrice, orice alte informaţii pe care ni le oferiţi cu privire la membrii familiei dumneavoastră şi la relaţiile dumneavoastră de rudenie.
• Date personale, cum ar fi: nume, prenume, sex, data naşterii/vârsta, cetăţenie, înregistrări video ale actelor medicale prestate de noi sau puse la dispoziția noastră de către dvs. în scopul prestațiilor solicitate, cod numeric personal (CNP), restul informațiilor din actul dumneavoastră de identitate (inclusiv data emiterii, data expirării actului, locul nașterii).
• Detalii de contact, cum ar fi: adresă de domiciliu/reședință, număr de telefon mobil/fix, număr de fax, adresă de email.
• Detalii de plată, cum ar fi: adresă de facturare, numărul contului bancar sau al cardului bancar/cod IBAN, numele şi prenumele titularului contului bancar sau al cardului bancar (poate fi altul decât dumneavoastră dacă altcineva a efectuat plata unei facturi în numele și pentru dumneavoastră), data de la care cardul bancar este valabil, data expirării cardului bancar.
• Detalii profesionale, cum ar fi: angajator, poziție, marca angajat, număr de identificare.
• Detalii referitoare la asigurări, cum ar fi: calitatea de asigurat/neasigurat, asigurator (în cazul asigurărilor private).
• Alte informații (pot include date sensibile), cum ar fi: orice opinii și sesizări pe care ni le transmiteți sau orice opinii pe care le postaţi public despre noi pe rețelele de socializare sau pe alte canale publice.
• Date privitoare la raporturile dvs. cu noi, respectiv: evidențe ale interacțiunilor dumneavoastră cu noi, detalii referitoare la istoricul serviciilor accesate de dumneavoastră la noi.
• Detalii privind adresa de IP sau alte date tehnice: tipul de browser, adresa locației, felul/tipul terminalului utilizat (date aferente accesării site-urilor web sau alte aplicații pe care le utilizăm activ). Scopurile includ evaluarea capacității de muncă (angajare), diagnostic medical, asistență medicală/socială, tratament și gestionarea serviciilor de sănătate.

• Colectare – DA
• Înregistrare – DA
• Divulgare – NU
• Ștergere – NU
• Alterare – NU
• Modificare – NU
• Utilizare – NU

• Date de identificare – DA
• Date fiziologice – DA
• Date medicale sensibile – DA
• Date privind locul de muncă – DA

• Medicină preventivă – DA
• Medicină curativă – DA
• Medicina muncii – DA
• Date privind locul de muncă – DA

• Accesul la date
• Rectificarea datelor
• Restricționarea procesării
• Ștergerea datelor („dreptul de a fi uitat”), prin accesarea acestui link: Ștergerea contului
• Portabilitatea datelor
• Opoziția față de prelucrarea datelor

• Când un pacient își pierde calitatea de utilizator al serviciului, datele sale sunt arhivate și devin indisponibile în mediul activ de lucru. Acestea nu sunt accesibile personalului operatorului, cu excepția cazurilor impuse de lege pentru dovedirea raporturilor medicale anterioare.
• Perioada de arhivare: conform legilației în vigoare, de la ultima consultație și atât timp cât DirectDoc S.R.L. este activă.
• Dacă pacientul revine în sistem printr-un nou angajator sau altă formă contractuală, datele arhivate pot fi reactivate la solicitarea acestuia, cu dovada identității.

• Datele sunt utilizate exclusiv pentru identificarea pacientului în sistem și pentru furnizarea serviciilor de consiliere medicală.

Cine poate avea acces la date?

• Medici, personal medical intern și extern cu aviz de practică, care sunt obligați prin lege sau contract să păstreze confidențialitatea.
• Personal medical extern cu aviz de practică, care are acces doar pe perioada preluării și efectuării consilierii.
• Personal non-medical extern (nutriționiști, antrenori fitness, psihologi etc.) – acces doar la datele personale și la cele medicale pe care pacientul alege să le comunice, doar pe perioada consultului.
• Personalul medical intern al DirectDoc S.R.L., , dedicat platformei DirectDoc, care are acces la fișele pacienților activi (acces limitat).
• Angajatorul pentru evaluarea capacității de muncă în scopuri legale de medicina muncii, fără acces la rezultatele investigațiilor medicale.
• DirectDoc S.R.L. pentru motive legitime legate de activitatea noastră (inclusiv serviciile medicale pe care le prestăm și operarea website-ului nostru, rețele sociale), potrivit legislației aplicabile.
• Autorități publice din orice domeniu, din România sau din străinătate (în special autorități publice în domeniul sănătății din România: Casa Națională de Asigurări de Sănătate, Ministerul Sănătății și altele) – la cererea acestora sau din inițiativa noastră, în acord cu legislația aplicabilă.
• Asigurători din România sau din alte state în legătură cu serviciile de care ați beneficiat în clinicile noastre, contabili, auditori, avocați și alți consultanți profesionali externi ai noștri sau ai unei alte companii asociate, din România – aceștia vor fi obligați prin lege sau prin contractul încheiat cu noi sau cu altă companie din grupul nostru să păstreze confidențialitatea datelor dumneavoastră.
• Persoane fizice sau juridice care acționează ca persoane împuternicite pentru DirectDoc S.R.L. , ca prestatori de servicii în diverse domenii (servicii de operare soft-uri medicale, servicii de plată, servicii de recuperare de creanțe, servicii de arhivare sau distrugere de documente etc.), vor trebui să respecte cerințele legislației care vă protejează drepturile.
• Orice persoană, agenție sau instanță din România sau din alt stat în măsura necesară pentru constatarea, exercitarea sau apărarea unui drept al nostru în instanță.
• Orice achizitori sau posibili achizitori relevanți din sectorul medical sau din alte sectoare, din România sau din alt stat – în situația în care vindem sau transferăm toate sau o parte dintre părțile noastre sociale, activele noastre sau afacerea noastră (inclusiv în cazul reorganizării, dizolvării sau lichidării noastre) – aceștia vor fi ținuți de o obligație de confidențialitate.
• Partenerii/colaboratorii noștri , cu care ne aflăm în relații contractuale – furnizori de servicii de marketing, asigurători.
• Dacă prelucrarea datelor dumneavoastră cu caracter personal se va face prin intermediul unei persoane fizice sau juridice, ne vom asigura că aceasta a încheiat un act scris cu noi prin care își asumă, printre alte obligații pe care legislația protecției datelor cu caracter personal le prevede, obligațiile de a: (i) prelucra datele cu caracter personal numai potrivit instrucțiunilor noastre scrise, furnizate în prealabil și de a; (ii) implementa efectiv măsuri pentru protejarea confidențialității și asigurarea securității datelor cu caracter personal.
• Ne vom asigura, de asemenea, că actul scris dintre noi și persoana împuternicită prevede cel puțin toate obligațiile prevăzute de legislația aplicabilă privind protecția datelor cu caracter personal.
• DirectDoc S.R.L. se va asigura că personalul său care procesează date cu caracter personal este informat despre natura confidențială a acestor date, că a primit instructaj corespunzător responsabilităților care îi revin și că este obligat din punct de vedere contractual să păstreze confidențialitatea datelor, precum și că această obligație subzistă și după momentul încetării contractului.
• DirectDoc S.R.L. va lua măsuri rezonabile pentru a se asigura că personalul care procesează datele cu caracter personal oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate acestei sarcini.
• DirectDoc S.R.L. se va asigura că accesul la datele cu caracter personal este limitat la acel personal care necesită un asemenea acces în scopul îndeplinirii serviciilor.
• DirectDoc S.R.L se va asigura că accesul la datele cu caracter medical este limitat la personalul medical/non medical care necesită un asemenea acces în scopul îndeplinirii serviciilor.
• Persoanele afiliate cu DirectDoc S.R.L. sunt considerate persoane împuternicite de operator, iar operatorul sau entitățile afiliate cu acesta vor transfera date către terțe persoane împuternicite ale altor Operatori, doar în scopul prestării serviciilor. Orice asemenea persoane împuternicite vor avea dreptul să obțină date cu caracter personal numai pentru a presta serviciile pe care s-au obligat să le furnizeze față de operator și, totodată, le va fi interzis să folosească astfel de date în orice alte scopuri.
• DirectDoc S.R.L. și entitățile afiliate cu aceasta sunt în raporturi contractuale cu fiecare persoană împuternicită, raporturi care cuprind obligații privind protecția datelor cu caracter personal, iar aceste obligații nu sunt mai puțin protective decât prevederile acestei Politici de confidențialitate și îndeplinesc cerințele articolului 28 alin. 3 din GDPR sau oricare alte prevederi legale echivalente, cu limitările impuse de natura serviciilor prestate de asemenea persoane împuternicite.
• DirectDoc S.R.L. și fiecare afiliat va numi o persoană împuternicită de operator în concordanță cu prevederile prezentei secțiuni. Lista persoanelor subîmputernicite de operator în legătură cu prestarea serviciilor sale se regăsește pe site (la momemntul logării în aplicație) și va putea fi prezentată la cerere și pe email. Pacientul poate cere oricând consultarea listei tuturor persoanelor împuternicite ale căror servicii au fost utilizate la orice moment în timp.

• Dreptul de acces la date – Aveţi dreptul de a obţine accesul la datele dumneavoastră pe care le prelucrăm sau controlăm și la copii ale acestora, precum și informații despre natura, prelucrarea și divulgarea acestora.
• Dreptul la rectificarea datelor – Aveţi dreptul de a solicita corectarea datelor inexacte.
• Dreptul la ștergerea datelor („dreptul de a fi uitat”) – Aveţi dreptul de a solicita ștergerea datelor, cu excepția situațiilor în care legislația impune păstrarea acestora: aici
• Dreptul la restricționarea prelucrării – Puteți solicita restricționarea prelucrării datelor dumneavoastră.
• Dreptul de a obiecta – Aveți dreptul de a vă opune prelucrării datelor.
• Dreptul la portabilitatea datelor – Puteți solicita transferul datelor către un alt operator.
• Dreptul la retragerea consimțământuluii – Dacă prelucrarea se bazează pe consimțământ, aveți dreptul să-l retrageți în orice moment, fără a afecta legalitatea prelucrării anterioare.
• Dreptul de a depune o plângere – Aveți dreptul de a depune o plângere la autoritatea de supraveghere a protecției datelor, prin email la adresa de email office@directdoc.ro.
• Responsabilul cu protecția datelor : DirectDoc S.R.L. a desemnat o persoană responsabilă cu protecția datelor, în conformitate cu prevederile legale. Aceasta poate fi contactată la adresa de e-mail: ana.iordache@directdoc.ro.

• Luând în considerare inovațiile, costurile implementării și natura, domeniul, contextul și scopurile procesării datelor cu caracter personal, dar și riscurile inerente diversității și importanței drepturilor și libertăților persoanelor fizice, DirectDoc S.R.L. va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate proporțional cu riscul. DirectDoc S.R.L. va menține măsuri tehnice și organizatorice adecvate pentru protecția securității, confidențialității și integrității datelor cu caracter personal, măsuri care îndeplinesc cerințele impuse unui Operator GDPR, astfel cum sunt prevăzute în Art. 32 din GDPR, incluzând, după caz:
• Pseudonimizarea și criptarea datelor cu caracter personal;
• Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continuă a sistemelor și serviciilor de prelucrare;
• Capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util, în cazul unui incident fizic sau tehnic;
• Un proces de testare, evaluare și apreciere periodică a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.
• DirectDoc S.R.L. monitorizează în mod regulat conformitatea cu aceste măsuri de protecție și se angajează să nu reducă nivelul general de securitate al serviciilor furnizate.

• DirectDoc S.R.L. va notifica pacientul în cazul unei distrugeri, pierderi, alterări sau divulgări neautorizate a datelor personale cauzate din culpă sau cu intenție, precum și în cazul oricărui acces neautorizat la datele pacientului care sunt transmise, păstrate sau procesate de operator sau de împuterniciții acestuia („Încălcarea securității datelor”), dacă incidentul de securitate este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate.
• Evaluarea riscului se va face în funcție de:
  o Tipul incidentului;
  o Natura, contextul și volumul datelor afectate;
  o Posibilitatea de identificare a persoanelor vizate;
  o Consecințele incidentului asupra persoanelor vizate;
  o Circumstanțele specifice ale persoanelor vizate;
  o Circumstanțele operatorului implicat;
  o Numărul persoanelor afectate.
• DirectDoc S.R.L. va lua în considerare severitatea riscului, dar și probabilitatea producerii acestuia.
• Decizia DirectDoc S.R.L. de a notifica sau de a răspunde unei încălcări a securității datelor în conformitate cu această secțiune nu poate fi interpretată ca o recunoaștere a culpei în ceea ce privește un eventual incident de securitate

• Notificarea privind Încălcările de securitate a datelor va fi comunicată online pe site-ul DirectDoc S.R.L. sau prin e-mail către pacienții afectați, atunci când acest lucru este posibil.
• Pacientul este responsabil de menținerea corectitudinii și actualizării datelor sale de contact în sistemul de suport al DirectDoc S.R.L.
• Dacă incidentul de securitate este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate, DirectDoc S.R.L. va informa pacientul în termen de 24 de ore (de luni până vineri) și în termen de 48 de ore (în weekend sau zile de sărbătoare legală). Notificarea va include categoria datelor afectate și măsurile luate pentru remedierea incidentului.

• DirectDoc S.R.L. va returna datele pacientului către acesta și/sau va șterge (ori arhiva, pentru date medicale) datele pacientului în conformitate cu procedurile operatorului și prevederile legale în domeniul protecției datelor cu caracter personal.
• La cererea pacientului, DirectDoc S.R.L. va șterge (sau arhiva, în cazul datelor medicale) sau va returna toate datele cu caracter personal către pacient la sfârșitul prestării serviciilor și va șterge copiile existente, în conformitate cu procedurile reglementate în Art. 32 din GDPR, cu excepția situației în care prevederile legale aplicabile impun stocarea acestora.
• DirectDoc S.R.L. realizează în mod automat back-up-ul și arhivarea datelor. Periodic, se efectuează un back-up al datelor și al arhivelor de date, iar acest back-up este rescris la un interval de 4 săptămâni. DirectDoc S.R.L. își rezervă dreptul de a extinde această perioadă până la 8 săptămâni, dacă este necesar.