ПОЛИТИКА ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

ПОЛИТИКА ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ В МЕДИЦИНСКИ ЦЕНТЪР ПСАГБАЛ „СВЕТА СОФИЯ“ ЕАД

(Приета на 02.01.2019 г. от д-р Йован Даскалов)

Настоящата Политика за обработване на личните данни е изработена и приета от ръководството на МЕДИЦИНСКИ ЦЕНТЪР ПСАГБАЛ „СВЕТА СОФИЯ“ ЕАД (наричано за краткост „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“) съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните – ОРЗД).

ОРЗД е влязъл в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз и е задължителен в своята цялост като се прилага пряко във всички държави членки от 25 май 2018 година съгласно член 99 от ОРЗД.

Настоящата Политика за защита на личните данни се прилага за личните данни, които се събират чрез сайта, както и при предоставяне на услуги от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“.

Целта на настоящата политика е физическите лица да бъдат информирани какви лични данни се събират за тях, с каква цел, срок и какви са техните права.

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ отдава голямо значение на защитата на личните данни и се задължава да спазва действащото законодателство  за защита на личните данни.

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ ще спазва най-високи нива на поверителност на личните данни.

Настоящата Политика за защита налични данни на физически лица е приета от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“. Всички лица, които имат правни или фактически отношения с „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ и/или достъп до обработвани от него личните данни трябва да се запознаят и даспазват тази политика.

Съгласието с нея е условие за встъпване и реализиране на правоотношения с „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“. При липса на съгласие с настоящата политиката няма да имате възможност да встъпите в правоотношения с „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“.

Достъп до обработваните лични данни се предоставя само в определени от закона случай на правоимащи лица въз основа на валидно правно основание и/или предварително сключено споразумение за поверителност на данните с лица, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на ОРЗД и да осигурява защита на правата на субектите на данни и които са поели задължение за спазване на поверителност. „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ извършва проверки на спазването на поетите със споразумението задължения.

В съответствие с ОРЗД в тази политика са описани и приети и други релевантни документи, политики, практики, процеси и процедури.

Данни за Администратора:

МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ ЕАД, с ЕИК 201509714, е лечебно заведение за специализирана извънболнична медицинска помощ съгласно Закона за лечебните заведения, което предоставя здравни услуги с гарантирано качество и максимално задоволяване на здравните потребности от специализирана извънболнична медицинска помощ на населението от гр. София.

Данни за контакт:

Държава: България

Адрес: адрес гр. София 1330, район Красна поляна, ул. „Михалаки Ташев“No 2

Телефон:  (02) 4470 219

Интернет адрес: http://medicalcenter.bg/

Данни за контакт с длъжностно лице по защита на данните:

С нашето длъжностно лице по защита на данните можете да се свържете на:

Ел. поща: registratura@medicalcenter.bg

Тел: (02) 4470 219

За целите на своята дейност като лечебно заведение за специализирана извънболнична медицинска помощ и търговско дружество, „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ обработва лични данни на физически лица („субекти на данни“) в строго съответствие с ОРЗД, Закона за защита на личните данни, действащото законодателство в сферата на здравеопазването и настоящата Политика за защита на личните данни.

Съгласно ОРЗД и настоящата политика:

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„Ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

 

„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

 

„Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

 

„Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

 

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

 

„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

 

„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

 

„Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

 

„Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

 

„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

 

„Генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

 

„Биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

 

„Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

 

При обработването на личните данни „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ спазва и се ръководи от принципите залегнали в ОРЗД за: законосъобразност, добросъвестност и прозрачност; ограничение на целите; свеждане на данните до минимум; точност; ограничение на съхранението; цялостност и поверителност.

 

Информация и лични данни, които „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ събира

 

Когато използвате нашия сайт или изберете нашите услуги ние събираме информация и лични данни за вас, които в повечето случаи самите вие ни предоставяте, избирайки и съгласявайки се да ни изпратите информация за себе си. В определени случаи ние изискваме личните ви данни, за да спазим законово задължение, за сключване на договор с вас, за предприемане на стъпки по ваше искане преди сключването на договор, за защита на ваши жизненоважни интереси или на друго физическо лице, за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са ни предоставени, за целите на наши легитимни интереси или на трета страна, освен когато пред такива интереси преимущество имат вашите интереси или основни права и свободи, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

 

В зависимост от услугите, които ползвате, ние можем да събираме и обработваме следната информация за вас:

Име, ЕГН, данни по лична карта, адрес, дата на раждане, телефонен номер за контакт, електронен адрес, образователно-квалификационна степен, допълнителна квалификация и правоспособност и др.

Специалните категории лични данни, които събираме (генетични, биометрични данни,  данни за здравословното състояние или данни за сексуалния живот и сексуалната ориентация) се използват за осигуряването на здравни грижи, медицинска диагноза и лечение и при наличие на някое от условията изброени в ОРЗД:

– При наличие на изрично съгласие на лицето за обработването за една или повече конкретни цели, освен ако законодателството изключва възможността за подобно съгласие;

– За целите на превантивната или трудовата медицина, за оценка на трудоспособността на пациенти и служители, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;

– За да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

– За защита на обществения интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;

– За целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

– По причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.

С оглед на техния чувствителен характер специалните категории лични данни се ползват със засилена защита и се обработват от медицински специалисти при спазване на  задължение за професионална тайна.

 

Изброените данните се събират от:

– Пациенти, а при необходимост и на техни близки или придружители;

– Персонал, настоящи и бивши служители на дружеството, кандидати за работа и обучаеми;

– Контрагенти или потенциални контрагенти на дружеството и/или на техни служители;

– Други посетители в лечебното заведение.

 

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ обработва лични данни за следните цели:

 

(а) Предоставяне на конкретни здравни услуги – лечебно заведение за специализирана извънболнична медицинска помощ към Първа Акушеро-Гинекологична Болница. Извършват се прегледи, консултации, амбулаторни оперативни интервенции, женска консултация, всички видове клинико-лабораторни изследвания-хематологични и цитологични, биохимични, хормонални, на кръвосъсирването, на урина, ехографско изследване на бременни, ЕКГ-холтер мониториране и кожно-алергични проби, прекъсване на бременност по желание;

По отношени на услугите достъпни на сайта на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ и онлайн регистрационните  форми във връзка със записване на час за преглед, промоционални кампании, лабораторни резултати, отговори на ваши запитвания или друга кореспонденция.

(б) Изпълнение на законовите задължения на дружеството, регламентирани в Закона за здравето, Закона за здравното осигуряване, Закона за лечебните заведения, издадените подзаконови актове по прилагането им, Националния рамков договор, предоставяне на медико-статистическа информация и на информация за медицинската дейност  и др.;

(в) Изпълнение на изискванията на трудовото, осигурителното и социалното законодателство по отношение на служителите;

(г) Изпълнение на задължения, регламентирани в счетоводното и данъчно законодателство;

(д) Гарантиране сигурността на пациентите, служителите и имуществото чрез видеонаблюдение, регистрация, физическа охрана и контрол на достъпа;

(е) Други законосъобразни цели свързани с физическата и информационната сигурност на сайта и IT системите и защита на законните интереси на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“;

(ж) Изпълнение на договор, включително преддоговорните отношения преди неговото  сключване.

 

Предоставяне на лични данни

 

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ предоставя лични данни на компетентни държавни органи в изпълнение на своите законови задължения, включително, но не само на: Националната здравноосигурителна каса, Министерството на здравеопазването, НАП, НОИ и др.

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ използва трети страни за подпомагане на определени дейности като: външни лаборатории или други лечебни заведения; външни консултации със специалисти, търговски дружества, предоставящи услуги на дружеството, включително информационно поддържане и сигурност на IT системите, счетоводство, хостинг и поддръжка на уебсайта и комуникации.

 

ОРЗД дава насоки администраторът на лични данни да изнася дейност по обработка на лични данни само към лица, които имат основание да ги получат и предоставят достатъчни гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че да отговарят на изискванията на регламента.

Във всички тези случаи „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ е предприел необходимите мерки за защита на правата и интересите на субектите на личните данни, въз основа на сключени изрични договори с обработващите лични данни за гарантиране на сигурността на данните и опазване на тяхната конфиденциалност, които регламентират предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора съгласно чл. 28 от ОРЗД.

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ няма да предава лични данни в трети страни извън Европейския съюз, освен когато е необходимо за целите на лечението. В тези случаи, с оглед защита на правата и интересите на пациента, от него се иска изрично предварително съгласие за трансфера на данните. Личните данни може да бъдат защитени и по друг начин, например чрез подписване на договор между дружеството и получателя, включващ стандартни клаузи за защита личните данни, приети от Европейската комисия.

 

Срокове на съхранение на личните данни

 

Събраната за вас информация се съхранява до края на срока на предоставяната услуга или съгласно предвидените срокове в действащото законодателство.

Личните данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация.

 

Записите от видеонаблюдението и разговорите в „Регистратура“ и регистрите на посетителите се съхраняват за срок от 60 (шестдесет) дни съгласно Закона за частната охранителна дейност.

 

Личните данни, съдържащи се в счетоводни документи, се съхраняват в сроковете по чл. 12 от Закона за счетоводството.

 

Сигурност на личните данни

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ прилага всички подходящи технически и организационни мерки за гарантиране сигурността на личните данни, включително поемане на изрично задължение от служителите за професионална тайна и конфиденциалност.

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ обработва личните данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

В съответствие със съображение 49 от ОРЗД, обработването на лични данни в степен, която е строго необходима и пропорционална на целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена мрежа или информационна система да издържа, със съответно равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните лични данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти (ЕНРКИ), екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на съответния администратор на данни. Това може да включва например предотвратяването на непозволен достъп до електронни съобщителни мрежи и разпространение на зловреден софтуер и спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи.

„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ предприема мерки за гарантиране сигурността на тяхното обработването предвид:

– достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

– псевдонимизация и криптиране на личните данни;

– способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

– способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

– процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

В случай на установяване на нарушение на сигурността на личните данни, „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ ще уведоми надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след като е разбрал за него.

 

Права на субектите на данни

 

ОРЗД детайлно регламентира правата на субекта на данни (чл. 12 и сл.).

Всяко физическо лице, чиито данни се обработват от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“, има следните права: право на прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни, право на информация, предоставяна при събиране на лични данни от субекта на данните и на достъп до тях, право на коригиране, право на коригиране и изтриване на личните данни (право „да бъдеш забравен“), право на ограничаване на обработването, право на получаване и преносимост на личните данни, право, което е корелативно на задължението на администратора за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването, право на възражение относно обработването на лични данни,  право на субекта на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен, право на защита пред компетентните органи.

Правото на достъп до здравна информация се упражнява по реда на чл. 27 от Закона за здравето.

Здравна информация може да бъде предоставяна на трети лица, когато:

– лечението на лицето продължава в друго лечебно заведение;

– съществува заплаха за здравето или живота на други лица;

– е необходима при идентификация на човешки труп или за установяване на причините за смъртта;

– е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;

– е необходима за нуждите на медицинската експертиза и общественото осигуряване;

– е необходима за нуждите на медицинската статистика;

– е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт.

– е необходима за нуждите на застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел ІІ, буква „А“ на приложение № 1 към Кодекса за застраховането.

 

Онлайн достъп до разчитанията на образни изследвания и лабораторни резултати се предоставя чрез интернет сайта на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“. С цел защита на личните данни, идентификационният номер и паролата за онлайн достъп се предоставят само лично. Не се допуска предоставянето им по телефон или изпращането им по електронна поща.

 

В съответствие със Закона за защита на личните данни, посочените по-горе права могат да се упражнят чрез подаване на писмено заявление на адрес: Адрес: адрес гр. София 1330, район Красна поляна, ул. „Михалаки Ташев“No 2. Заявление може да бъде отправено и по електронен път, по реда на Закона за електронния документ и електронните удостоверителни услуги. Заявлението се отправя лично от субекта на данни или от изрично упълномощено от него лице с нотариално заверено пълномощно, като копие от него се предоставя към заявлението.

 

Отговор на искане на упражнено право се изготвя на хартиен носител и се получава от заявителя на адреса на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ на „Регистратура“. Служителите от „Регистратура“ проверяват самоличността на заявителя чрез справка в документ за самоличност, представен от последния, и предоставят отговора в два екземпляра, по един за всяка страна, подписани от заявителя.

 

Всички физически лица – субекти на данни имат право на достъп до касаещите ги лични данни, съхранявани от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“, както и право да коригират и допълват такива данни. Всички искания за достъп, коригиране, блокиране и/или заличаване на лични данни в резултат от използването на камери следва да се изпращат до длъжностното лице за защита на данните, а именно:

 

Димитрина Колева

Ел. поща: registratura@medicalcenter.bg

Тел: (02) 4470 219

 

Длъжностното лице изпраща на подателя потвърждение за получаване в рамките на 5 работни дни след получаване на искането и конкретен мотивиран отговор по искането в срок до 20 календарни дни. Когато това е невъзможно, подателят се уведомява относно следващите стъпки и причините за забавянето. В този случай окончателния отговор на длъжностното лице за защита на данните следва да бъде изпратен на подателят в срок до 60 календарни дни.

При нередности или очевидна злоупотреба от страна на субекта на данните при упражняване на правата му, лечебното заведение може да се консултира с длъжностното лице за защита на данните относно искането и/или да пренасочи субекта на данните към длъжностното лице за защита на данните, което да вземе решение относно допустимостта на искането и съответните последващи действия.

 

Защита на правата на субектите на данните

 

В съответствие с ОРЗД и Закона за защита на личните данни, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба до Комисията за защита на личните данни на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет страница: www.cpdp.bg.

 

Настоящата Политика за защита на личните данни е в съответствие с действащото законодателство към момента на нейното приемане – 02.01.2019 г.