Conformitate GDPR
Cum îndeplinește platforma cerințele europene de protecție a datelor.
Ce Este GDPR
GDPR (Regulamentul General privind Protecția Datelor) este legea europeană de protecție a datelor. Se aplică oricărei platforme care procesează date cu caracter personal ale persoanelor din UE — indiferent unde se află platforma. Guvernează datele cu caracter personal — orice date care pot identifica o persoană, inclusiv nume, e-mailuri, numere de telefon, adrese IP și informații de sănătate.
Amenzile pentru încălcări pot ajunge la 4% din venitul anual global sau 20 de milioane de euro, oricare este mai mare.
Cum Se Aplică Platformei
Roluri și responsabilități
| Parte | Rol GDPR | Obligații Cheie |
|---|---|---|
| RestartiX | Persoană Împuternicită de Operator | Procesează datele numai conform instrucțiunilor clinicilor. Semnează un APD cu fiecare clinică. Menține un Registru al Activităților de Prelucrare. Raportează breșele clinicilor în 72 de ore. |
| Fiecare clinică | Operator de Date | Are o bază legală pentru fiecare tip de date colectat. Publică o politică de confidențialitate. Răspunde la solicitările drepturilor pacienților. Raportează breșele autorității de supraveghere. |
| Pacientul | Persoana Vizată | Are drepturi executorii asupra datelor sale (consultați Drepturile Pacientului). |
Documente necesare
| Document | Cine Are Nevoie | Scop |
|---|---|---|
| Acord de Prelucrare a Datelor (APD) | RestartiX + fiecare clinică | Contract legal care definește ce date sunt procesate și cum |
| Lista sub-procesatorilor | RestartiX (public) | Listează toate terțele părți care procesează date (Clerk, AWS, Daily.co) |
| Politica de Confidențialitate | Fiecare clinică | Informează pacienții ce date sunt colectate și de ce |
| Evaluarea Impactului asupra Protecției Datelor (DPIA) | RestartiX | Evaluare obligatorie de risc pentru procesarea datelor de sănătate |
| Registrul Activităților de Prelucrare (ROPA) | RestartiX + fiecare clinică | Inventar formal al tuturor prelucrărilor de date — disponibil autorităților de reglementare |
Cum Suportă Platforma GDPR
Gestionarea consimțământului
- Consimțământul este colectat per-clinică prin formulare de blocare — pacienții trebuie să semneze înainte de a continua
- Fiecare consimțământ înregistrează: cine a semnat, când, de unde și în baza cărei versiuni a politicii
- Consimțământul poate fi retras oricând — retragerea intră în vigoare imediat și este înregistrată în jurnalul de audit
- Consimțământul dat la o clinică nu se extinde la alta
Minimizarea datelor
- Platforma stochează numai ce este definit explicit în formulare și câmpuri
- Fără colectare implicită de date, fără pixeli de urmărire, fără analiză ascunsă
- Datele de analiză sunt pseudoanonimizate — fără identificatori direcți ai pacienților
Notificarea breșelor
- Monitorizarea automată detectează tipare de acces neobișnuite
- O procedură documentată asigură notificarea în 72 de ore:
- Detectare și evaluare inițială (în 12 ore)
- Clasificarea severității
- Notificarea clinicilor afectate și a autorității de supraveghere (în 72 de ore)
- Notificarea pacienților afectați dacă riscul este ridicat
- Documentare și revizuire post-incident
Transferuri transfrontaliere de date
Dacă orice sub-procesator transferă date în afara UE (AWS, Clerk, Daily.co), platforma menține Clauze Contractuale Standard (SCC-uri) pentru fiecare transfer, conform cerințelor post-Schrems II.
Când GDPR și Retenția în Healthcare Intră în Conflict
GDPR acordă pacienților dreptul de a șterge datele lor, dar reglementările de sănătate cer menținerea evidențelor medicale pentru perioade minime. Acestea pot intra în conflict:
| Situație | Ce Facem |
|---|---|
| Pacientul solicită ștergerea tuturor datelor | Înregistrările medicale sunt anonimizate (toate informațiile de identificare sunt eliminate), dar structura înregistrării este păstrată. GDPR permite explicit acest lucru conform Art. 17(3)(c) când retenția este necesară pentru obligații legale. |
| Jurnalele de audit conțin PII | Jurnalele sunt reținute pentru perioada necesară, dar PII este redactat când un pacient este anonimizat. |
| Înregistrările de consimțământ | Niciodată șterse — servesc ca dovadă legală conform tuturor legilor aplicabile. |
Pentru dezvoltatori
Detalii tehnice — implementarea GDPR, logica de anonimizare, schema de urmărire a consimțământului și endpoint-urile de export de date — sunt disponibile în referința Conformitate GDPR.