Aprobarea Regulamentului de organizare şi funcţionare al Registrului Naţional al Donatorilor Voluntari de Celule Stem Hematopoietice (OMS nr. 1023/2017)

Cap. IX. („Regimul informațiilor”)

RNDVCSH își desfășoară activitatea conform principiilor confidențialității și anonimatului, în condițiile legii.

Prelucrarea datelor cu caracter personal ale donatorilor voluntari de celule stem hematopoietice se face numai în vederea atingerii scopurilor pentru care acestea au fost colectate și cu respectarea prevederilor legislației în vigoare.

În conformitate cu prevederile legale în vigoare, datele cu caracter personal ale donatorilor voluntari de celule stem hematopoietice care fac obiectul prelucrării de către Registru conform prevederilor sunt următoarele:
a) numele și prenumele;
b) cod numeric personal;
c) sex;
d) înălțime;
e) greutate;
f) etnie;
g) adresă de domiciliu;
h) număr de telefon;
i) adresă de e-mail;
j) grupă sanguină și Rh;
k) date care reflectă profilul de histocompatibilitate, și anume: genele HLA clasa I (HLA-A, HLA-B, HLA-C) și HLA clasa II (HLA-DR, HLA-DQ, HLA-DP), cu alelele corespunzătoare;
l) date care reflectă prezența markerilor infecțioși pentru infecțiile cu virusul imunodeficitar uman (HIV), virusul limfotropic al celulelor T umane I și II (Human T-cell lymphotropic virus I and II), virusul hepatitei B, virusul hepatitei C, citomegalovirusul (CMV), virusul Epstein Barr, toxoplasmoza și Treponema pallidum (sifilis).

Prin termenul informații confidențiale se înțelege, în sensul respectivului capitol:
a) datele cu caracter personal;
b) informațiile și datele tehnice cu privire la modalitățile și mijloacele de colectare, stocare, transmitere, accesare a datelor cu caracter personal;
c) informațiile și datele tehnice (ansamblu de date, metode, tehnici, procedurile) referitoare la procesul de recrutare, testare și donare a celulelor stem hematopoietice;
d) procedurile, normele, politicile interne privitoare la desfășurarea activității RNDVCSH;
e) datele personale ale salariaților;
f) salariile angajaților;
g) contractele individuale de muncă;
h) statele de salarii;
i) documentele incluse în dosarele de angajare ale salariaților (acte de identitate, diplome, carnete de muncă, adeverințe de vechime, adeverințe medicale etc.);
j) fișele medicale ale angajaților;
k) documentele administrative (notele, procesele-verbale, adrese, notificări, constatări, decizii, corespondență);
l) mecanismele de protecție și siguranță a echipamentelor și programelor de calculator deținute de RNDVCSH, metodele de lucru, algoritmii de calcul, orice element legat de tehnologiile informatice;
m) contractele la care RNDVCSH este parte și conținutul acestora;
n) alte documente/informații declarate confidențiale prin norme/proceduri/decizii sau marcate „confidențial”;
o) datele cu caracter personal, calificate astfel prin lege.

Informațiile confidențiale nu fac obiectul transmiterii sub nicio formă către un terț (persoană fizică sau juridică), copierii, multiplicării sau accesării de către terți, în afara dispozițiilor legale și a procedurilor interne.

Informațiile de interes public cu privire la activitatea RNDVCSH vor fi disponibile publicului cu titlu gratuit pe paginile de internet ale RNDVCSH.

Persoanele abilitate să facă declarații publice sau să furnizeze terților informații cu privire la activitatea RNDVCSH sunt:
– directorul general al RNDVCSH;
– persoanele desemnate de directorul general al RNDVCSH.

Managementul informației se va face în conformitate cu standardele de calitate, procedurile de asigurare internă a calității programelor de formare și Planului de securitate al RNDVCSH. Instalarea și rularea programelor informatice ale sistemului administrat de RNDVCSH pe echipamentele personalului RNDVCSH se realizează de către Compartimentul de specialitate, într-un mod securizat, cu grade diferite de lucru, acces și vizualizare, potrivit activității specifice a RNDVCSH și sferei atribuțiilor de serviciu individuale ale fiecărui angajat.

Compartimentul informatic va monitoriza modul de utilizare de către angajații RNDVCSH a programelor informatice și va raporta pe baze periodice directorului general observațiile și propunerile sale.

Accesul la calculatoarele repartizate angajaților RNDVCSH va fi restricționat cu parole, stabilite împreună cu compartimentul de specialitate al RNDVCSH.

Personalul RNDVCSH va utiliza rețeaua internă a RNDVCSH, conform gradului de acces autorizat și configurat de RNDVCSH. În rețeaua internă a RNDVCSH, personalul RNDVCSH poate stoca numai fișierele necesare îndeplinirii în bune condiții a sarcinilor de serviciu.

Serverele pe care sunt găzduite softurile de producție/test ale RNDVCSH vor fi protejate la acces fizic și de la distanță limitat și controlat și vor fi instalate în incinte adecvate tehnic și din punctul de vedere al securității.

RNDVCSH va depune toate eforturile rezonabile, pentru a proteja datele cu caracter personal sau confidențial colectate electronic, va analiza noile tehnologii în domeniu și, dacă este cazul, le va aplica în vederea upgrade-ului sistemelor sale de securitate.

Infrastructura hardware și software utilizată de RNDVCSH va fi periodic analizată.

Pe echipamentele hardware puse la dispoziție de către RNDVCSH pot fi stocate și/sau folosite numai programe pentru calculator pentru care RNDVCSH are drept de utilizare și a căror utilizare este aprobată de compartimentul de specialitate al RNDVCSH.

Pentru a asigura păstrarea în siguranță a datelor și informațiilor stocate, a fișierelor și bazelor de date, inclusiv în situația unor evenimente deosebite, precum și continuitatea desfășurării activității și eliminarea riscurilor de apariție a unor disfuncționalități ale sistemelor tehnice, RNDVCSH întocmește următoarele documente:
a) Planul de securitate;
b) Planul de continuitate operațională și recuperare în caz de dezastre.

(2) RNDVCSH actualizează periodic documentele prevăzute la alin. (1).

Planul de securitate întocmit de RNDVCSH stabilește regimul de confidențialitate, integritate și disponibilitate a informațiilor electronice și trebuie să cuprindă următoarele elemente:

a) descrierea generală a soluției tehnice utilizate, care va include echipamentele hardware și produsele software utilizate, interconectarea sistemului cu alte sisteme proprii sau aparținând terților, interconectarea sistemului cu alte rețele: internet, rețele locale, rețele de comunicație la distanță și modalitatea de conectare și utilizare a sistemului;
b) descrierea și ierarhizarea riscurilor de securitate identificate și a controalelor de securitate aplicate;
c) detalierea măsurilor de securitate implementate, cu detalii privind politica de securitate a informației conform obiectivelor stabilite de conducerea RNDVCSH, securitatea organizațională, clasificarea și controlul resurselor, securitatea personalului, securitatea fizică, managementul comunicațiilor și operării, controlul accesului, dezvoltarea și întreținerea sistemului informatic, planificarea continuității activității și conformitatea cu cerințele legale și cu reglementările RNDVCSH;
d) procedurile de administrare și operare a sistemului informatic;
e) sumar al planului de dezvoltare și îmbunătățire a sistemului de securitate;
f) instruirea personalului în legătură cu administrarea și operarea sistemului informatic;
g) suportul tehnic oferit utilizatorilor sistemului;
h) instrucțiuni de utilizare a sistemului (manualul de utilizare);
i) condițiile de utilizare a sistemului la distanță;
j) legislația și reglementările care au fost luate în considerare la implementarea funcționalităților sistemului;
k) lista persoanelor responsabile pentru fiecare operațiune.

RNDVCSH deține și utilizează în raporturile cu terții mecanisme de control, protecție și securitate a datelor, a echipamentelor informatice proprii, a conexiunilor liniilor de comunicație, inclusiv soluții de stocare, arhivare și back-up al activității proprii (baze de date, fișiere etc.), cu grade adecvate de relaționare.

RNDVCSH va implementa în relațiile cu terții seturi de cerințe care să asigure securitatea informatică a RNDVCSH și a datelor schimbate cu aceștia.

Planul de securitate și Planul de continuitate operațională și recuperare în caz de dezastre, precum și mecanismele de protecție și siguranță a echipamentelor și programelor de calculator aferente obiectului principal de activitate al RNDVCSH nu au caracter public.

Cap. X. („Dispoziții finale”)

Respectivul regulament se completează, după caz, cu dispozițiile legale în domeniu.

Modificările și, după caz, completările respectivului regulament se pot face la propunerea directorului general și se aprobă prin ordin al ministrului sănătății.

După aprobare, respectivului regulament, precum și modificările și completările ulterioare vor fi aduse la cunoștința salariaților pe bază de semnătură.