ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

За целите на своята дейност като лечебно заведение и търговско дружество     „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, ЕИК 201000029, със седалище и адрес на управление: България, гр. София 1000, ул. „Георги Бенковски“ 49, наричано тук по-долу „ДРУЖЕСТВОТО“, обработва лични данни на физически лица в строго съответствие с Общия регламент за защита на данните  – Регламент ЕС 2016/679, Закона за защита на личните данни, нормативните актове в сферата на здравеопазването и настоящата Политика за защита на личните данни.

Настоящата Политика за защита на личните данни има за цел да обясни на клиентите/пациентите какви лични данни обработва дружеството в съответствие с Регламента и във връзка с изпълнението на взаимните ни задължения, както и защо и как ги обработва, в това число кога е необходимо да се разкриват лични данни на трети лица. Също така, с нея се предоставя информация за правата, които клиентите/пациентите имат във връзка с обработването на лични данни от страна на дружеството. Тази Политика за защита на личните данни се прилага по отношение на личните данни, които дружеството събира и обработва във връзка с предоставяните от него продукти и услуги.

Настоящата политика съдържа и предоставя информация относно:

  1. Дефиниции на основната терминология, съгласно Регламент ЕС 2016/679;
  2. Обхват и действие на политиката на дружеството по защита на личните данни;
  3. Принципи за защита на данните;
  4. Кой е администратор на личните данни;
  5. На кои физически лица личните данни се обработват от дружеството;
  6. За какви цели, какви лични данни и на какво правно основание се обработват;
  7. На кого се предават или разкриват личните данни;
  8. Сроковете за съхранение на личните данни;
  9. Мерките за гарантиране на сигурността на данните;
  10. Правата на лицата и начина за тяхното упражняване.

 

ДЕФИНИЦИИ

Регламент“ – Общ регламент за защита на данните 2016/679 от 27 април 2016 година, замества Директивата 95/46 / ЕО за защита на данните. Има пряко действие и предполага изменение в законодателството на страните-членки в областта на защитата на личните данни. Неговата цел е да защитава „правата и свободите“ на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва с тяхно съгласие.

Лични данни“ – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

Специални категории лични данни“  – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.

Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице. Тези данни се ползват със специална защита, предвид техния чувствителен характер, и се обработват от медицински специалисти, обвързани от задължение за професионална тайна.

Обработване“ – означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

Администратор“ – всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

Субект на данните“ – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.

Съгласие на субекта на данните“ – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

Дете“ – Общият Регламент определя дете като всеки на възраст под 16 години въпреки че това може да бъде намалена на 13 от правото на държавата-членка. Обработката на лични данни на едно дете е законно само, ако родител или попечител е дал съгласие. Администраторът полага разумни усилия, за да провери в такива случаи, че притежателят на родителската отговорност за детето е дал или упълномощен да даде съгласието си.

Профилиране“ – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

Нарушение на сигурността на лични данни“ – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

Основно място на установяване“ – седалището на администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център.

Получател“ – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

Обработване на лични данни е всяка операция или съвкупност от операции, които могат да се извършат по отношение на личните данни с автоматични или други средства.

  1. Обхват и действие на политика на дружеството по защита на личните данни
  1. Ръководството на дружеството, се ангажират да осигури съответствие със законодателството на Европейския съюз и държавите-членки по отношение на обработването на личните данни и защитата на „правата и свободите“ на лицата, чиито лични данни дружеството събира и обработва съгласно Регламента.
  2. Регламентът и тази политика се отнасят до всички функции по обработването на лични данни, включително тези, които се извършват относно лични данни на клиенти, пациенти, служители, доставчици и партньори и всякакви други лични данни, които дружеството обработва от различни източници.
  3. Тази политика се прилага за всички служители/работници, както и за трети заинтересованите страни като външни доставчици. Всяко нарушение на Общия регламент ще бъде разглеждано като нарушение на трудовата дисциплина, а в случай че има предположение за извършено престъпление, въпросът ще се предостави за разглеждане в най-кратък възможен срок на съответните държавни органи.
  4. Партньори и трети лица, които работят с или за дружеството, както и които имат или могат да имат достъп до личните данни, ще се очаква да се запознаят, разбират и да се съобразят с тази политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от дружеството, без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които дружеството е поело, и което дава право на дружеството да извършва проверки на спазването на наложените със споразумението задължения.
  5. Спазването на законодателството за защита на данните е отговорност на всички служители на Дружеството които обработват лични данни.
  6. С Политика за провеждане на обучение, дружеството определя специфичните изисквания за обучение и осведомяване във връзка с конкретните роли на служителите/работници на дружеството.
  1. Принципи за защита на данните

 

  1. Цялата обработка на лични данни в дружеството се извършва в съответствие с принципите за защита на данните, посочени в член 5 от Регламента. Политиките и процедурите на дружеството имат за цел да гарантират спазването на тези принципи.
  2. Личните данни трябва да бъдат обработвани законосъобразно, добросъвестно и прозрачно.
  • Законосъобразно – да идентифицира законна основа, преди да може да обработва лични данни. Те често са посочени като „основания за обработване“, например „съгласие“.
  • Добросъвестно – за да може обработването да бъде добросъвестно, администраторът на данни трябва да предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.
  • Прозрачно – Регламентът включва правила относно предоставяне на поверителна информация на субектите на данни. Те са подробни и конкретни, поставяйки акцента върху това, че известията за поверителност са разбираеми и достъпни. Информацията трябва да бъде съобщена на субекта на данните в разбираема форма, като се използва ясен и разбираем език.
  1. Правилата за уведомяване на субекта на данни от дружеството са определени в Процедура за прозрачност при обработката на лични данни и уведомлението се записва в Образец на Декларация за поверителност.
  2. Специфичната информация, която трябва да бъде предоставена на субекта на данните, трябва да включва като минимум:
    • данни, които идентифицират администратора и данните за контакт на администратора и, ако има такъв, на представителя на администратора;
    • контактите на Отговорникът по защита на данните, ако има такъв;
    • целите на обработването, за което личните данни са предназначени както и правното основание за обработването;
    • периода, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
    • съществуването на следните права – да поиска достъп до данните, коригиране, изтриване (право „да бъдеш забравен“), ограничаване на обработването, както право на възражение срещу условията (или липсата на такива) във връзка с упражняването на тези права;
    • категориите лични данни;
    • получателите или категориите получатели на лични данни, където това е приложимо;
    • където е приложимо, дали администраторът възнамерява да прехвърли личните данни към получател в трета страна и нивото на защита на данните;
    • всякаква допълнителна информация, необходима да се гарантира добросъвестно обработване.

 

  1. Лични данни могат да се събират само за конкретни, изрично указани и законни цели. Данните, получени за конкретни цели, не трябва да се използват за цел, която се различава от тези, официално обявени на надзорния орган като част от Регистъра на дейностите по обработване на данни на дружеството. Процедура за прозрачност при обработката на лични данни определя съответните правила.
  2. Личните данни трябва да бъдат адекватни, релевантни, ограничени до това, което е необходимо за обработването им със съответната цел:
  • Отговорникът по защита на данните е отговорен да осигури дружеството да не събира информация, която не е строго необходимо за целта, за която тя е получена.
  • Всички формуляри за събиране на данни (електронни или на хартиен носител), включително изискванията за събиране на данни в новите информационни системи, трябва да включват декларация за добросъвестно обработване или връзка Декларация за поверителност.
  1. Личните данни трябва да бъдат точни и актуализирани във всеки един момент, и да са положени необходими усилия, за да е възможно незабавно изтриване или коригиране:
  • Данните, които се съхраняват от администратора на данни, трябва да бъдат прегледани и актуализирани при необходимост. Не трябва да се съхраняват данни, в случаите, когато има вероятност те да не са точни.
  • Длъжностното лице за защита на данните е отговорно да гарантира, че целият персонал е обучен в значението на събирането на точни данни и поддържането им.
  • Също така, задължение на субекта на данните е да декларира, че данните, които предават за съхраняване от дружеството са точни и актуални. Попълването на формуляр от субекта на данни, предназначени за администратора, ще включва изявление, че съдържащите се в него данни са точни към датата на подаване.
  • Длъжностното лице по защита на данните / Отговорникът по защита на данните носи отговорност да се гарантира, че са налице подходящи процедури и политики за поддържане на точност и актуалност на личните данни, като се отчита обемът на събраните данни, скоростта, с която може да се промени, други относими фактори.
  • Най-малко на годишна база Длъжностното лице по защита на данните / Отговорникът по защита на данните ще прегледа сроковете на съхранение на всички лични данни, обработвани от дружеството, като се позовава на инвентаризацията на данните и ще идентифицира всички данни, които вече не се изискват в контекста на регистрираната цел. Тези данни ще бъдат надеждно унищожени в съответствие с процедурите и правилата на администратора.
  • Длъжностното лице по защита на данните / Отговорникът по защита на данните е отговорно за съответствие с искания за корекция на данни в рамките на един месец (Процедура за управление на исканията от субектите (GDPR_PROC_03). Този срок може да бъде удължен с още два месеца за сложни заявки. Ако дружеството реши да не се съобрази с искането, Длъжностното лице по защита на данните / Отговорникът по защита на данните трябва да отговори на субекта на данните, за да обясни мотивите си и да го информира за правото му да подаде жалба пред надзорния орган, и да потърси правна защита.
  • Длъжностното лице за защита на данните/Отговорникът по защита на данните е отговорно за вземане на подходящи мерки, в случаите когато организациите на трети страни имат неточни или остарели лични данни, да ги информира, че информацията е неточна или остаряла и е да не се използва за вземане на решения относно лицата, да информира съответните страни; и  да препраща всяка корекция на лични данни към  третите страни, където това е необходимо.
  1. Личните данни трябва да се съхраняват в такава форма, че субектът на данните може да бъде идентифициран само толкова дълго, колкото е необходимо за обработването.
  • Когато личните данни се запазват след датата на обработването, те ще бъдат съхранявани по подходящ начин за да се защити самоличността на субекта на данните в случай на нарушение на данните.
  • Лични данни ще бъдат пазени в съответствие с Процедура за съхраняване и унищожаване на данните и след като е преминал срокът им на съхранение, те трябва да бъдат надеждно унищожени по указания в тази процедура ред.
  • Длъжностното лице за защита на данните / Отговорникът по защита на данните специално трябва да одобри всяко запазване на данни, което надхвърля срока на съхранение, дефиниран в Процедура за съхраняване и унищожаване на данните и трябва да гарантира, че обосновката е ясно определена и е в съответствие с изискванията на законодателството за защита на данните. Това одобрение трябва да бъде писмено.
  1. Личните данни трябва да бъдат обработени по начин, който гарантира подходяща сигурност.
  2. Длъжностното лице за защита на данните / Отговорникът по защита на данните ще извърши оценка на въздействието, като вземе предвид всички обстоятелства, свързани с операциите по управление или обработване на данни от дружеството.
  3. При определянето на това доколко уместно е обработването, Длъжностното лице по защита на данните / Отговорникът по защита на данните трябва също така да разгледа степента на евентуална вреда или загуба, която може да бъде причинена на физически лица (напр. персонал или клиенти), ако възникне нарушение на сигурността, както и всяка вероятна вреда за репутацията на администратора, включително евентуална загуба на доверие на клиентите.
  4. При оценяването на подходящи технически мерки, Длъжностното лице по защита на данните / Отговорникът по защита на данните ще разгледа следното:
  • Защита с парола;
  • Автоматично заключване на бездействащи работни станции в мрежата;
  • Премахване на права на достъп за USB и други преносими носители с памет;
  • Антивирусен софтуер и защитни стени;
  • Правата за достъп основани на роли, включително тези на назначен временно персонал
  • Защитата на устройства, които напускат помещенията на организацията, като лаптопи или други;
  • Сигурност на локални и широко обхватни мрежи;
  • Идентифициране на подходящи международни стандарти за сигурност подходящи за дружеството.
  1. При оценяването на подходящите организационни мерки Длъжностното лице за защита на данните ще вземе предвид следното:
  • Нивата на подходящо обучение в дружеството;
  • Мерките, които отчитат надеждността на служителите (например атестационни оценки, препоръки и т.н.);
  • Включването на защитата на данните в трудовите договори;
  • Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни;
  • Редовна проверка на персонала за спазване на съответните стандарти за сигурност;
  • Контрол на физическия достъп до електронни и хартиено базирани записи;
  • Приемането на политика на „чисто работно място“ ;
  • Съхраняване на хартия на базата данни в заключващи се стенни шкафове;
  • Ограничаване на използването на портативни електронни устройства извън работното място;
  • Ограничаване на използването от служителите на лични устройства на работното място;
  • Приемане на ясни правила за създаване и ползване на пароли;
  • Редовно създаване на резервни копия на личните данни и физическо съхраняване на носителите с копия извън офиса;
  • Налагане на договорни задължения на организации контрагенти да предприемат подходящи мерки за сигурност при прехвърляне на данни извън ЕС.
  1. Тези контроли са избрани въз основа на идентифицираните рискове за лични данни, както и потенциала за нанасяне на вреди, на лицата, чиито данни се обработват.
  2. Спазване на принципа на отчетност. Регламентът включва разпоредби, които насърчават отчетността и управляемостта и допълват изискванията за прозрачност. Принципът на отчетност в изисква от администратора да докаже, че спазва останалите принципи в Регламента и изрично заявява, че това е негова отговорност.
  3. Дружеството ще доказва спазването на принципите за защита на данните чрез прилагане на политики по защита на данните, като се присъединява към кодекси за поведение, внедрява подходящи технически и организационни мерки, както и чрез приемане на техники по защита на данните на етапа на проектирането и защита на данните по подразбиране, оценка на въздействието върху защитата на личните данни, процедура за уведомяване за нарушаване на лични данни и т.н.

III. Администратор на личните данни

 

  1. Администратор на личните данни е „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, ЕИК 201000029, със седалище и адрес на управление: България, гр. София 1000, ул. „Георги Бенковски“ 49.
  1. Физически лица, чиито лични данни се обработват от дружеството

 

  1. Дружеството обработва лични данни относно следните физически лица:
  • Пациенти, а когато това е необходимо за медицинските цели и услуги и на техни близки;
  • Персонал – настоящи и бивши служители на дружеството, кандидати за работа, както и на лица обучаващи се в дружеството;
  • Посетители в лечебното заведение;
  • Контрагенти или потенциални контрагенти на дружеството и на техни служители.
  1. Цели на обработване

 

  1. Дружеството ще използва личните данни на пациенти/клиенти за долуописаните цели.
  2. Дружеството не събира и не обработва повече лични данни или други видове лични данни отколкото са необходими за изпълнение на съответните цели. Личните данни ще бъдат използвани само по начина посочени в настоящата политика, освен ако дружеството не е получило изрично съгласие за друг вид употреба на лични данни. В случай, че дружеството възнамерява да използва лични данни, които вече обработва въз основа на полученото съгласие, за цели различни от посочените във въпросното съгласие, дружеството уведомява предварително съответните лица и получава допълнително съгласие затова.
  3. Дружеството, добросъвестно, в съответствие със нормативната уредба и в изпълнение на своите задължения обработва лични данни за следните цели:
  • Предоставяне на здравни услуги – медицинска диагностика, лечение, изследвания и др.;
  • Изпълнение на законовите задължения на дружеството, по специално по Закона за здравето, Закона за здравното осигуряване, Закона за лечебните заведения, подзаконовите актове по прилагането им, Националния рамков договор;
  • Изпълнение на изискванията на трудовото и социалното законодателство по отношение на служителите;
  • Гарантиране сигурността на пациентите, служителите и имуществото чрез видеонаблюдение, регистрация, физическа охрана и контрол на достъпа;
  • Други законосъобразни цели, като счетоводно обслужване, поддръжка и сигурност на интернет сайта и IT системите на дружеството, защита на законните интереси на дружеството, включително и по съдебен ред, и др.

 

  1. Обработване на лични данни
  1. Законът позволява обработване на лични данни, ако е налице едно или повече от следните условия:
  • обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
  • Когато съществува задължение, което е посочено в закон;
  • Когато е налице легитимен интерес на дружеството;
  • Когато дружеството разполага със съгласие на субекта на данните.
  1. В някои случаи дружеството обработва лични данни, само след предварителното писмено съгласие. Съгласието е отделно основание за обработване на личните ви данни и целта на обработката е посочена в него.
  2. Под „съгласие“ дружеството ще разбира всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
  3. Субектът на данните може да оттегли своето съгласие по всяко време. Дружеството разбира под „съгласие“ само случаите, в които субектът на данните е бил информиран за планираното обработване и е изразил своето съгласие и без върху му да бъде упражняван натиск.
  4. Съгласието, получено при натиск или въз основа на подвеждаща информация, няма да бъде валидно основание за обработване на лични данни.
  5. За специални категории данни дружеството ще поиска да получи изрично писмено съгласие на субектите на данни, освен ако не съществува алтернативно законно основание за обработване. В повечето случаи съгласието за обработка на лични и специални категории данни се получава рутинно от дружеството, като се използват стандартни документи за съгласие – напр. когато нов пациент постъпва за лечение или по време на набиране на нов персонал и т.н.
  6. Дружеството не събира и не обработва лични данни на деца под 16 или по-малко години, освен със съгласието на родител съгласно приложимото законодателство.
  7. Предоставените съгласия могат да бъдат оттеглени по всяко време.
  8. Оттеглянето на съгласието няма отражение върху изпълнението на договорните задължения на дружеството. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.
  9. За легитимен интерес се счита обработване на лични данни, осъществявано поради икономически, търговски или друг интерес на дружеството или на трета страна, който е с преимущество над този на лицата, и обработването не накърнява правата им. Дори и при наличието на такъв интерес обаче, действията на дружеството винаги ще бъдат честни и прозрачни и във всеки случай ще бъдат подлагани на предварителна преценка относно съотношението на интереса на дружеството или третата страна и правата на лицата.

 

 

 

 

VII. Какви лични данни се обработват

  1. Данни за идентификация (три имена, ЕГН или личен номер на чужденец, данни от документ за самоличност, постоянен адрес);
  2. Данни за медицинско състояние;
  3. Данни, които се предоставят при сключването на договор;
  4. Данни за комуникация с клиенти/пациенти (имейл, телефон).

Без горепосочените данни, не дружеството не би могло да извършва своята дейност и да предоставя услугите си.

VIII. Правни основания за обработване

  1. Дружеството обработва специални категории лични данни, като данни за здравословното състояние или генетични данни, единствено при наличие на някое от условията по Общия регламент и по-специално:
  • За целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;
  • За да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
  • За защита на обществения интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;
  • При наличие на изрично съгласие на лицето за обработването за една или повече конкретни цели, освен ако законодателството изключва възможността за подобно съгласие.
  1. Дружеството обработва и други лични данни при наличие на някое от алтернативните правни основания по Общия регламент и по-специално:
  • Законови задължения на дружеството;
  • Изпълнение на договор, включително преддоговорните отношения преди сключването му;
  • Легитимните интереси на дружеството, доколкото те имат преимущество над интересите или основните права и свободи на субектите на данни;
  • Свободно изразено, конкретно, информирано и недвусмислено съгласие на субекта на данните. Вече даденото съгласие може да бъде оттеглено от лицето по всяко време по същия начин, по който е било предоставено.
  1. На кого се предават или разкриват личните данни
  1. Дружеството предоставя лични данни на:
  • Компетентни публични органи в изпълнение на законови разпоредби, включително на Националната здравноосигурителна каса, Министерството на здравеопазването, НАП, НОИ и др.;
  • Други дружества контрагенти – външни лаборатории или други лечебни заведения, спомагащи за осъществяване на дейността на дружеството;
  • Търговски дружества, предоставящи услуги на дружеството, в това число за информационно поддържане и сигурност на IT системите.
  1. Във всички тези случаи Дружеството предприема необходимите мерки за защита на правата и интересите на субектите на личните данни, като поемане на изрични договорни задължения от обработващите лични данни за гарантиране на сигурността на данните и опазване на тяхната конфиденциалност.
  1. Предаване на лични данни в трети държави
  1. Ако се окаже необходимо за целите на лечението, дружеството може да изпраща проби, придружени от съответните лични данни на пациента, за клинични изследвания в друга държава. В тези случаи, с оглед защита на правата и интересите на пациента, от него се иска изрично предварително съгласие за трансфера на данните.
  2. Личните данни може да бъдат защитени и по друг начин, например чрез подписване на договор между дружеството и съответната лаборатория, включващ стандартни клаузи за защита личните данни, приети от Европейската комисия.
  1. Срокове на съхранение на личните данни
  1. Личните данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация.
  1. Личните данни на кандидати за работа, които не са одобрени за назначаване в Дружеството, се съхраняват за срока, определен съгласно действащата нормативна уредба в областта на защитата на личните данни, от приключване на процедурата, след което се връщат на лицето или унищожават. Личните данни могат да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на съгласие на кандидата в писмена форма.
  1. Записите от видеонаблюдението, осъществявано в дружеството, се съхраняват за срок до 60 (шестдесет) дни съгласно Закона за частната охранителна дейност. Личните данни, които дружеството събира при видеонаблюдението ще бъдат използвани единствено за законни цели, такива като охрана на имуществото, осигуряване на сигурността, безопасността и реда в търговските обекти, охрана на общественото здраве при търговията с храни и предотвратяване на кражби и други злоупотреби.
  1. Личните данни, съдържащи се в счетоводни документи, се съхраняват според предвидените за това срокове, съгласно Закона за счетоводството.

XII. Сигурност на личните данни

  1. Дружеството прилага всички подходящи технически и организационни мерки за гарантиране сигурността на личните данни, включително поемане на изрично задължение от служителите за професионална тайна и конфиденциалност.
  2. Дружеството се отнася отговорно към сигурността на данните, като прилага подходящото и нужно ниво на защита. За това дружеството прилага ефикасни физически, електронни и административни процедури за защита на данните от случайно или неправомерно унищожаване, загуба, промяна, непозволено разкриване или достъп до предадени, съхранявани или обработвани по друг начин лични данни.
  3. Политиката на дружеството и свързаните с нея процедури за информационна сигурност редовно се преразглеждат и обновяват така, както е необходимо за да отговарят на служебните нужди, промените в технологиите и нормативните изисквания. Достъп до събраните лични данни се разрешава единствено на тези служители, доставчици на услуги или свързани с лица на принципа на необходимост от информация за служебни цели или които се нуждаят от нея за изпълнение на своите служебни задължения.
  4. Всички лични данни са достъпни само за тези, които се нуждаят от тях, а достъпът може да бъде предоставен само в съответствие с изградените правила за контрол на достъпа. Всички лични данни се третират с най-голяма сигурност и се съхраняват:
  • В самостоятелна стая с контролиран достъп; и/или
  • В заключен шкаф, до който достъп имат оторизирани лица; и/или
  • Компютъризирана система, защитена с парола в съответствие с вътрешните изисквания, посочени в организационните и технически мерки за контролиране на достъпа; и/или
  • Компютърни носители, които са защитени в съответствие с организационните и технически мерки за контролиране на достъпа до информация.
  1. От всички служители/работници се изисква да бъдат обучени и да приемат съответните договорни клаузи/декларации/правила за спазване на организационните и технически мерки за достъп, преди да им бъде предоставен достъп до информация от всякакъв вид. На служителите/работниците се правят периодични инструктажи с цел да се избегне рискът от нарушение на правилата за обработване на лични данни. Личните данни се изтриват или унищожават само в съответствие с вътрешните процедури за съхраняване и унищожаване на данните.
  2. В случай на изтичане на данни, съдържащи лични данни, дружеството ще следва и спазва всички приложими норми за уведомяване в подобни случаи.

XIII. Права на субектите на данните

  1. Всяко физическо лице, чиито данни се обработват от дружеството, има следните права:
  • Право на достъп до личните му данни, включително да получи копие от тях;
  • Право на коригиране или допълване на неточни или непълни лични данни;
  • Право на изтриване на лични данни, които се обработват без правно основание;
  • Право на ограничаване на обработването – при наличие на правен спор между дружеството и лицето до неговото решаване или за установяването, упражняването или защитата на правни претенции;
  • Право на преносимост на лични данни, които го засягат и които той е предоставил на Дружеството, в структуриран, широко използван и пригоден за машинно четене формат.
  • Право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес.
  1. Правото на достъп до здравна информация се упражнява по реда на чл. 27 от Закона за здравето. Здравна информация може да бъде предоставяна на трети лица, когато:
  2. Лечението на лицето продължава в друго лечебно заведение;
  3. Съществува заплаха за здравето или живота на други лица;
  4. Е необходима при идентификация на човешки труп или за установяване на причините за смъртта;
  5. Е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
  6. Е необходима за нуждите на медицинската експертиза и общественото осигуряване;
  7. Е необходима за нуждите на медицинската статистика или за медицински научни изследвания, след като данните, идентифициращи пациента, са заличени;
  8. Е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт.
  9. Е необходима за нуждите на застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел ІІ, буква „А“ на приложение № 1 към Кодекса за застраховането.
  1. В съответствие със Закона за защита на личните данни и Регламента посочените по-горе права могат да се упражнят чрез подаване на писмено заявление на адреса на управление на дружеството: България, гр. София 1000, ул. „Георги Бенковски“ 49.
  2. Заявлението се подава лично от субекта на данни или от изрично упълномощено от него лице.
  3. Дружеството предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Дружеството информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Дружеството не е задължено да отговори на искане в случай, че не е в състояние да идентифицира субекта на данните, описанието на искането не е конкретизирано или не е подадено по предвидените в настоящата Политика начини.
    1. Дружеството може да поиска предоставяне на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.
    2. Отговор на искане на упражнено право се изготвя на хартиен носител и се получава от заявителя на адреса на Дружеството и/или се изготвя в електронен формат и се изпраща на заявителя на посочената от него електронна поща, и/или по телефон. Когато отговорът се предоставя на хартиен носител същият се изготвя в два екземпляра, по един за всяка страна.

XIV. Запазване на личните данни

  1. Дружеството ще съхранява лични данни толкова дълго, колкото е необходимо, за да бъдат постигнати целите, посочени в тази Политика за защита на личните данни, или за да бъдат спазени изисквания на законодателството. Личните данни, които повече не са необходими за постигане на целите, за които са били събрани първоначално, ще бъдат изтривани.
  1. Политика за използване на бисквитките от сайта ни.

Ние използваме „бисквитки“, за да адаптираме информацията и предлаганите услуги към интересите Ви, и по този начин да Ви предоставим по-добро преживяване при всяко Ваше посещение на нашия уеб сайт. Бисквитките са свързани единствено с анонимен потребител и неговия компютър; те не предоставят препратки, които позволяват злоупотреба с личните Ви данни. Бисквитките се използват само за целите на статистиката, която помага за оптимизиране опита на потребителя на уеб сайта. Вие можете да конфигурирате браузъра си така, че да извести и отхвърли инсталацията на използваните от нас бисквитки, както е посочено по-долу, без това да попречи на достъпа Ви до съдържанието. Въпреки това, имайте предвид, че уеб сайтът може да започне да работи по-бавно.

Видове „бисквитки“. В зависимост от тяхното постоянство, бисквитките могат да се разделят на сесийни или постоянни, като сесийните бисквитки престават да важат със затваряне на браузъра от потребителя, докато постоянните бисквитки престават да важат, когато са изпълнили целта, за която са направени (например Вие да останете идентифициран на уеб сайта) или когато се изтрият ръчно. Освен това, в зависимост от тяхната цел, бисквитките могат да се класифицират, както следва: строго необходими (технически) бисквитки: те са съществени за правилното функциониране на сайта; обикновено се генерират, когато Вие влезете и се използват, за да Ви идентифицират на уеб сайта с цел да продължат да Ви разпознават като потребител – ако излезете от сайта, браузъра или устройството и се върнете по друго време в уеб сайта, ще продължат да Ви разпознават, като по този начин улесняват сърфирането Ви в Интернет, без да е необходимо отново да се идентифицирате; също така тези бисквитки проверят дали потребителят има право на достъп до определени услуги или зони на уеб сайта; бисквитки за ефективност: те се използват за подобряване на опита Ви със сърфирането в Интернет и за оптимизиране на дейностите на уеб сайта, като съхраняване на конфигурациите на услугата; бисквитки за реклама: те събират информация от рекламите, показвани на Вас на уеб сайта, като от своя страна те могат да бъдат два вида: анонимни: събират само информация за рекламното пространство на уеб сайта, независимо от влизането Ви като потребител в него, т.е. без изрично да Ви идентифицира като потребител; и клиентски: събират лична информация за Вас като потребител на уеб сайта чрез трета страна дружество за персонализиране на такива рекламни пространства; бисквитки за географско местоположение: тези бисквитки се използват, за да потвърдят в коя държава или регион се намирате Вие като потребител при достъпа до услуга от уеб сайта, за да предоставят съдържание и услуги, подходящи за местоположението Ви; бисквитки за анализ: събират информация за сърфирането на потребителя в уеб сайта, обикновено анонимно, но понякога и за разпознаването Ви като потребител еднозначно и недвусмислено, за да се получи информация от кои услуги, предоставяни от уеб сайта, се интересувате като потребител.

Ние използваме само „постоянна бисквитка“ за местно хранилище „local storage“, с информация, че сте посетили сайта ни.

Деактивиране на бисквитките. Ако желаете можете да спрете приемането на бисквитките на браузъра или да спрете приемането на бисквитки от конкретна услуга. Всички съвременни браузъри Ви позволяват да променяте настройките на бисквитките. Тези настройки обикновено се намират в меню „Опции“ или „Предпочитания“ на Вашия браузър. Вие можете да деактивирате използването на бисквитките на този уеб сайт по всяко време през:

  • За Internet Explorer: Инструменти -> Опции за Интернет -> Поверителност -> Настройки

За допълнителна информация, можете да се консултирате с поддръжка от Microsoft или помощ от навигацията.

  • За Chrome: Настройки -> Показване на разширените настройки -> Поверителност -> Настройки на съдържанието.

За допълнителна информация, можете да се консултирате с поддръжката от Google и помощ от навигацията.

  • За Firefox: Инструменти -> Опции -> Поверителност -> История -> Лични настройки

За допълнителна информация, можете да се консултирате с поддръжка от Mozilla или помощ от навигацията.

  • За Safari: Предпочитания -> Сигурност.

Ако деактивирате използването на бисквитки на този уеб сайт, има вероятност повече да нямате достъп до определени зони от сайта или работата Ви по време на сърфиране да бъде значително засегната.

XVI. Защита на правата на субектите на данните

  1. В съответствие със Закона за защита на личните данни и Регламент ЕС 2016/679 за защита на данните, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба пред надзорния орган по защита на личните данни в Република България: КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ, със седалище и адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, телефон 02/915 3 518, Електронна поща: kzld@cpdp.bg, Интернет страница: cpdp.bg

XVII. Обща информация за настоящата политика

  1. Настоящата Политика за личните данни може да бъде променяна или допълвана поради изменение на приложимото българско или европейско законодателство, по инициатива на Дружеството или на компетентен орган.
  2. Дружеството ще информира потребителите за измененията или допълненията на тази Политика за личните данни, чрез публикация на  актуализираната Политика за защита на личните данни на интернет страницата на дружеството – http://www.medicronbg.eu/, както и чрез обявяването/предоставянето й на място на адреса на управление на дружеството.

Настоящата Политика е приета и утвърдена от ръководния орган на „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД и актуална към 22.05.2018 година.

ДЕКЛАРАЦИЯ ЗА СЪОТВЕТСТВИЕ С GDPR

Въведение

Общият регламент относно защитата на данните (GDPR) на ЕС влиза в сила в Европейския съюз на 25 май 2018 г. и води до най-значителните промени в нормативната уредба за защита на данните след две десетилетия. Въз основа на принципа за защита на личните данни на етапа на проектиране и възприемането на подход, базиран на риска, GDPR е разработен така, че да отговаря на изискванията на цифровата ера. 21-ви век носи със себе си по-широко използване на технологии, нови определения за това какво представляват личните данни и огромно увеличение на трансграничната им обработка. Новият регламент има за цел да стандартизира нормативната уредба за защита на данните и обработката им в ЕС, като предоставя на лицата по-силни, по-последователни права за достъп и контролиране на личната им информация.

Нашият ангажимент

Ние в „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, ЕИК 201000029 се ангажираме да гарантираме сигурността и защитата на личната информация, която обработваме, и да предоставим съвместим и последователен подход към защитата на данните. Винаги сме имали стабилна и ефективна политика за защита на данните, която е в съответствие със съществуващата нормативна уредба и спазва принципите за защита на данните. Ние обаче приемаме задълженията си за актуализиране и разширяване на тази политика, за да отговорим на изискванията на GDPR и на измененията в Закона за защита на личните данни с оглед приетият и действаш Регламент 2016/679.

„СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, ЕИК 201000029 е посветена в процесите по защита на личната информация, която е в кръга на нашата компетентност и в дейностите по разработка на механизми за защита на данните, които са ефективни, подходящи за поставените цели и демонстрират разбиране и синхрон с GDPR.

Нашата подготовка и цели за спазване на GDPR са обобщени в това изложение и включват разработването и изпълнението на нови роли, политики, процедури, контрол и мерки за защита на данните, за да се осигури максимално и постоянно съответствие.

 

Как се подготвяме за GDPR

„СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, ЕИК 201000029 вече има еднакво ниво на защита и сигурност на данните в нашата организация, като извършената от нас подготовка включваше:

  • Информационен одит – извършване на цялостен фирмен информационен одит за идентифициране и оценка на личната информация, която се съдържа при нас, откъде идва, как и защо се обработва, и ако се разкрива – на кого.
  • Политики и процедури – въвеждането на нови политики и процедури за защита на данните, за да се изпълнят изискванията и стандартите на GDPR и нормативната уредба за защита на данните, включително:

► Защита на личните данни – нашият основен документ за политиката и процедурите за защита на данните е преработен, за да отговори на стандартите и изискванията на GDPR. Предприеха се мерки за отчетност и управление, за да се гарантира, че разбираме и адекватно разпространяваме и доказваме нашите задължения и отговорности, със специално внимание върху принципа за защита на личните данни на етапа на проектиране и защита правата на физическите лица.

► Запазване и изтриване на данни – актуализирахме нашата политика и график за съхранение на данните, за да гарантираме, че отговаряме на принципите за „минимизиране на данните“ и „ограничаване на съхранението“ и че личната информация се съхранява, архивира и унищожава съвместимо и етично. Разполагаме със специализирани процедури за изтриване, за да отговорим на новото задължение „Право за изтриване“ и сме наясно кога се прилагат тези и други права на  субектите на данните, заедно с всички изключения, времеви интервали за реагиране и отговорности за уведомяване.

► Нарушения на сигурността на данните – нашите процедури при нарушаване сигурността на данните гарантират наличието на предпазни мерки и мерки за идентифициране, оценка, разследване и докладване на нарушения на лични данни възможно най-рано. Процедурите са устойчиви и са разпространени до всички служители, като ги информират за каналите за отчитане и стъпките, които трябва да бъдат следвани.

► Трансфер на данни и оповестяване на трети страни – на местата, където ние съхраняваме или предаваме лична информация, разполагаме с надеждни процедури и защитни мерки за защита, криптиране и поддържане на целостта на данните.

► Заявка за достъп до данни – преработили сме нашите процедури за достъп до данни, за да приложим преразгледаните времеви периоди за предоставяне на искана информация и да осигурим безплатното извършване на тази дейност. Новите ни процедури подробно уточняват как да се проверява субектът на данните, какви стъпки се предприемат при обработването на заявка за достъп, какви изключения се прилагат и набор от шаблони за отговор, за да се гарантира, че комуникациите със субектите на данни са съвместими, последователни и адекватни.

  • Правно основание за обработка на лични данни – преглеждаме всички процеси и дейности по обработка на лични данни, за да идентифицираме правното основание за обработка и да гарантираме, че всяко основание е подходящо за дейността, за която се отнася. Където е приложимо, ние също така поддържаме отчети за нашите дейности по обработка, като гарантираме, че са изпълнени нашите задължения съгласно член 30 от GDPR.
  • Нашата Политика за защита на лични данни цели да се съобразим с GDPR, като гарантираме, че всички лица, чиято лична информация обработваме, са били информирани за това защо се нуждаем от техните данни, какви са техните права във връзка с това, на кого е предоставена тази информация и какви предпазни мерки са въведени за защита на техните данни.
  • Получаване на съгласие – ние преработихме нашите механизми за съгласие при получаване на лични данни, за да гарантираме, че хората разбират какво предоставят, защо и как го използваме и да дадем ясни и дефинирани начини за получаване на съгласие за получаване на определена информация, както и основните права и искания които всеки един потребител може да отправи към нас.

Разработихме строги процедури за документиране на съгласието, като се уверяваме и можем да доказваме, че имаме потвърждение на опциите за включване и получаване на определени данни, както и записи за време и дата, лесен за разбиране и достъпен начин за оттегляне на съгласието по всяко време.

  • Също така ние преработихме и формулировката и процесите за директен маркетинг, включително въвеждането на отделно допълнително съгласие за предоставяне на директен маркетинг, както и въвеждането на ясни механизми за включване на маркетингови абонаменти, ясни бележки и начини за изключване и предоставяне на функции за отписване от всички следващи маркетингови материали и активности.
  • Извършваме Оценка на въздействието върху защитата на данните на местата, където обработваме лична информация, която се счита за такава с висока степен на риск, ние разработихме строги процедури и модели извършване на оценки на въздействието, които

напълно съответстват на изискванията на чл. 35 GDPR. Внедрихме документални процеси, които отчитат всяка оценка, позволяват ни да оценяваме риска, породен от обработващите дейности и да прилагаме смекчаващи мерки, за да намалим риска, който се поражда за субектите на данните.

  • В случаите когато ни се налага да когато използваме трети лица за обработка на лична информация от наше име (напр. ТРЗ, набиране на информацията, хостинг и т.н.), изготвихме съвместими споразумения за обработващите лични данни и процедури за надлежна проверка, за да се уверим, че те (както и ние) разбираме задълженията по GDPR. Тези мерки включват първоначални и текущи прегледи на предоставяните услуги, необходимостта от дейностите по обработка, въведените технически и организационни мерки и спазването на GDPR.
  • Специални категории лични данни – когато получаваме и обработваме информация от специална категория лични данни, правим това в пълно съответствие с изискванията на чл. 9 GDPR и разполагаме с криптиране на високо ниво и защита на всички такива данни. Специални категории лични данни се обработват само при необходимост и се обработват само при условия, че се идентифицира правно основание по чл. 9, параграф 2 GDPR. Когато разчитаме на съгласие за обработка, това е изрично и се потвърждава от подпис, с правото на субекта да променя или премахва съгласието, което е ясно обозначено.

 

Права на субектите на лични данни

В допълнение към посочените по-горе правила и процедури, които гарантират, че физическите лица могат да приложат своите права за защита на личните им данни, чрез предоставени от нас бланки с различни искания, както на седалището и адреса ни на управление така и на нашия уебсайт.

Всички наши пациенти и/или клиенти/контрагенти следва да знаят, че по всяко време има възможност да поискате информация за:

  • Какви лични данни имаме за вас;
  • Целите на обработката на личните данни;
  • Категориите на съответните лични данни;
  • Получателите, на които личните данни са/ще бъдат разкрити;
  • Колко дълго възнамеряваме да съхраняваме съответните лични данни;
  • Ако не сме събрали данните директно от вас, информация за източника;
  • Правото на поправяне или попълване на непълни или неточни данни за вас и процесът на искане за това;
  • Правото да се поиска изтриване на лични данни (където е приложимо) или да се ограничи обработката в съответствие с нормативната уредба за защита на данните, както и възможността за противопоставяне на всеки директен маркетинг и получаване на информация за всяко автоматично вземане на решения, което се използва;
  • Правото да се подаде жалба или да се потърси съдебна защита, както и компетентни лица за връзка в такива случаи.

  

Информационна сигурност и технически и организационни мерки

„СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД приема много сериозно защитата на личната информация и предприема всички разумни и предпазни мерки, за да защити и осигури личните данни, които обработваме.

Разполагаме със стабилни правила и процедури за сигурност на информацията, за да защитим личните данни от неразрешен достъп, промяна, разкриване или унищожаване и имаме няколко слоя мерки за сигурност, включително: (Вмъкнете мерки като SSL, контрол на достъпа, политика за пароли, криптиране, псевдонимизация, практики, ограничения, ИТ удостоверяване и т.н.)

 

GDPR Роли и служители

„СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, определи Борислав Александър Канчелов като наше отговорно лице и назначи екип за защита на личните данни, който да разработи и приложи правила за спазване на новия регламент за защита на данните. Екипът отговаря за популяризирането на GDPR в организацията, оценява готовността ни за GDPR, идентифицира всички области на несъответствие и прилага новите политики, процедури и мерки.

Нашите служители са напълно ангажирани в плановете ни за подготовка за съответствие с GDPR, като са внедрени и съответните програми за обучение на всички нива в организацията.

Ако имате въпроси относно нашата подготовка за GDPR, моля, обърнете се към Борислав Александър Канчелов – Длъжностното лице по защита на данните.


УВЕДОМЛЕНИЕ/ДЕКЛАРАЦИЯ ЗА ПОВЕРИТЕЛНОСТ НА ЛИЧНИТЕ ДАННИ

 Данни на администратора – НИЕ:

„СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, ЕИК 201000029, е специализирана болница за активно лечение учредена през 2015 г. на територията на гр. София. Болницата е профилирана в лицево-челюстната хирургия и свързаните с това дейности и области. Адресът на управление е: България, гр. София 1000, ул. „Георги Бенковски“ 49, телефон: +359877055220, ел. поща: dm.medicron@medicronbg.eu, интернет страница: http://www.medicronbg.eu

Данни за контакт с Отговорно лице по защита на данните:

„СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, ЕИК 201000029 сътрудничи и е избрало за свой отговорник за защита на личните данни г-н Борислав Александров Канчелов, като можете да се свържете с него, чрез електронната форма за връзка с нас на нашата интернет страница.

 

Личните данни, които събираме и обработваме от вас са:

Ние Ви представяме информация за нас и нашата дейност. За да ви предоставим допълнителна информация за наши продукти, партньори и въобще информация извън оповестената на седалището и адреса на управление и на интернет сайта ни, за да отговорим на Ваши запитвания и коментари, за да запишем час или за да ви връчим дадени резултати от клинични изследвания и въобще за да бъдем в комуникация с Вас, е необходимо да съберем Ваши лични данни за да можем да Ви идентифицираме (при Ваше желание) и да отговорим на Вашите нужди, ако и доколкото ни е възможно. За постигане на посочените цели ние събираме информация за Вашите имена, ел. поща, телефон, в обем, който Вие ни предоставите. Ние гарантираме, че информацията, която събираме и използваме, е належаща за посочените цели и не е с цел навлизане в личното Ви пространство и засягането на вашите лични интерес и личен живот.

Специални категории данни, които обработваме:

С оглед дейността на  „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД , същото следва да обработва и ваши специални лични данни, такива като, но не само биометрични данни, здравословно състояние, всякакви медицински данни, както и пълните ви данни по документ за самоличност за целите на НЗОК.

 

Източник:

Горните лични данни получаваме от Вас, лично или в отделни случаи от административен орган (министерство на здравеопазването, НЗОК и др.)

 

Декларираме, че личните данни, които събираме, ще бъдат използвани единствено за следните цели:

Вашите лични данни са ни необходими освен за да имаме връзка с вас и за да ви предоставим нашите услуги максимално качествено и навреме, то и за да може да извършваме законоустановени отчети по закона за социалното осигуряване и друга относими нормативни уредби. Също така вашите лични данни са ни необходими, за попълването и воденето на редовен и изключително значим здравен картон, за да може при последващо посещение и/или при последващо усложнение да имаме изходни данни.

 

Основанието, което ни дава право да обработваме вашите данни е:

– Обработването се основава на вашето съгласие

– Обработването на вашите данни е необходимо за изпълнение на договор с вас или намерението ни да сключим договор

– Обработването е необходимо за спазване на законовото ни задължение за отчетност пред НЗОК и пред министерство на здравеопазването

– Обработването е необходимо, за да защитим вашите (жизненоважни) интереси (или интереси на друго лице);

 

Съгласие:

Със съгласието Ви да приемете това Уведомление, вие ни давате разрешение да обработваме личните Ви данни само за посочените от нас цели, като ще ви предоставим изрично и писмено информирано съгласие.

Съгласието е необходимо, за да може да обработваме и двата вида (обикновени и специални) лични данни, но е необходимо да е изрично.

Можете да оттеглите съгласието си по всяко време с подадена до нас бланка, като същата може я получите от нас при поискване или да я съставите в свободен текст.

Предаване на личните данни на държава извън ЕС или на международна организация

„СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД няма намерение да предаде вашите лични данни на трети лица, освен в законоустановените случаи. Моля да вземете предвид, че в случай, че използвате предоставена от нас услуга, финансирана от националната здравна каса, то вашите лични данни ще бъдат предоставени от нас на НЗОК с цел отчетност и проверка за вашия осигурителен статус.

В общия случай ние няма да продаваме вашите данни на трети страни, нито ще ги предаваме с цел да придобием някаква облага. Ние може да предоставяме Вашите лични данни на лица, които ни оказват съдействие за постигане на описаните по-горе цели – обработващи лични данни, които действат въз основа на писмен договор, в съответствие с изричните ни инструкции и при прилагането на подходящи технически и организационни мерки за защита на Вашите лични данни. Лични данни няма да се предоставят на трети страни, нито ще се споделят извън Европейския съюз или Европейското икономическо пространство. Получатели на вашите данни могат да бъдат също лица и органи с властнически правомощия, на които ще ги предоставяме в изпълнение на конкретни и ясни законови задължения. Когато имаме намерение да предадем Ваши специални лични данни (ако сте ни предоставили такива) на трета страна, ние ще направим това едва след като сме получили вашето съгласие, като изключение ще има само ако по закон сме задължени да направим друго.

 

ПОВЕРИТЕЛНОСТ на данните на ПОСЕТИТЕЛИ в болница „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, където се осъществява ВИДЕОНАБЛЮДЕНИЕ

Личните данни, които събираме и обработваме: в случай, че Вие сте посетител на нашата болница, се обработват Ваши данни за образ и поведение, даващи информация за човешкия образ и характерните черти, представа за Вашето поведение, навици, извършени правонарушения и друга видима информация.

Източника на тези данни е: Горните лични данни получаваме от Вас, лично.

Декларираме, че личните данни, които събираме при видеонаблюдението ще бъдат използвани единствено за законни цели, такива като охрана на имуществото, осигуряване на сигурността, безопасността и реда в болничното заведение, охрана на общественото здраве и предотвратяване на кражби и други злоупотреби.

Основанията, които ни дават право да обработваме Вашите данни за образ и поведение са: легитимния ни интерес от осъществяването на охраната и гарантирането на сигурността на болничното заведение и на основание обществения интерес за гарантиране на общественото здраве. Освен изложеното посредством обработването можем да осъществим и дължимото по закон съдействие на компетентни публични органи в рамките на предоставените им правомощия.

Период на обработване: Данните Ви, обработвани при видеоноаблюдението съхраняваме до до 60 (шестдесет) дни съгласно Закона за частната охранителна дейност. Обикновено това обработване се ограничава до наблюдаване в реално време на охраняваните места и съхранението на съответните записи

Общ период на съхраняване на данните

Личните данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация.

Личните данни на кандидати за работа, които не са одобрени за назначаване в Дружеството, се съхраняват за срока, определен съгласно действащата нормативна уредба в областта на защитата на личните данни,  от приключване на процедурата, след което се връщат на лицето или унищожават. Личните данни могат да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на съгласие на кандидата в писмена форма.

Записите от видеонаблюдението, осъществявано в дружеството, се съхраняват за срок до 60 (шестдесет) дни съгласно Закона за частната охранителна дейност. Личните данни, които дружеството събира при видеонаблюдението ще бъдат използвани единствено за законни цели, такива като охрана на имуществото, осигуряване на сигурността, безопасността и реда в търговските обекти, охрана на общественото здраве при търговията с храни и предотвратяване на кражби и други злоупотреби.

 

Личните данни, съдържащи се в счетоводни документи, се съхраняват според предвидените за това срокове,  съгласно Закона за счетоводството.

Начин на съхраняване и опазване на личните Ви данни, които обработваме:

Ние ще обработваме личните Ви данни при предприемане на необходими и достатъчни технически и организационни мерки за тяхната защита. Наред с друго, педприели сме необходимите вътрешни политики и сме взели мерки за защитата на личните Ви данни на етапа на проектирането; отговорните за данните служители са добре запознати с изискванията относно защитата на личните Ви данни; обработването на личните Ви данни е сведено до минимума, необходим за постигане на съответните цели; въвели сме необходимите мерки за сигурност, като охрана, ограничен достъп, системи за сигурност и др.; въвели сме мерки за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване, както и мерки в случай на физически или технически инцидент за своевременно възстановяване на наличността и достъпа до личните данни; създаден е вътрешен процес за редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването; разработена е процедура за съхраняване и унищожаване на данните. Ние ще обработваме (събира, съхранява и използва) предоставената от вас информация по начин, съвместим с изискванията на Общия регламент за защита на данните (ОРЗД). Ще се стремим да поддържаме информацията точна и актуална.

Ние не извършваме автоматизирано вземане на решения (без човешка намеса), при обработването на личните Ви данни, за която и да е от посочените по-горе цели.

 

Вашите права като субект на личните данни са следните:

Във всеки момент, докато съхраняваме или обработваме личните ви данни, Вие (според терминологията на закона – субект на данните) имате следните права:

  • имате право да поискате копие от Вашите лични данни от „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД и право на достъп по всяко време до личните си данни;
  • имате право да поискате от „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД личните си данни във вид удобен за прехвърляне на друг администратор на лични данни, или да поискате ние да го направим, без да бъдете възпрепятствани от наша страна;
  • имате право да поискате от „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД да коригира без ненужно забавяне, неточните Ви лични данни, както и данните, които не са вече актуални;
  • имате право да поискате от „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД личните Ви данни да бъдат изтрити без ненужно забавяне при наличието на някое от следните основания:
  • личните данни повече не са необходими за целите, за които са били събрани;
  • когато сте оттеглил своето съгласие;
  • когато сте възразил срещу обработването,
  • когато обработването е незаконосъобразно;
  • когато личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на EС или правото на държава членка, което се прилага спрямо нас като администратор на лични данни;
  • когато личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

Можем да откажем да заличим личните Ви данни по следните причини:

  • при упражняване на правото на свобода на изразяването и правото на информация;
  • за спазване на законово задължение от наша страна или за изпълнението на задача от обществен интерес,
  • по причини от обществен интерес в областта на общественото здраве;
  • за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, доколкото съществува вероятност заличаването да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или за установяването, упражняването или защитата на правни претенции.
  • имате право да поискате от „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, да ограничи обработването на личните Ви данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани. Отказът ни за ограничаване ще е изрично само в писмен вид, като сме длъжни да го мотивираме със законосъобразната причина;
  • имате право да оттеглите Вашето съгласие за обработката на личните Ви данни по всяко време с отделно искане, отправено до администратора;
  • имате право да възразите срещу определени видове обработка, като директен маркетинг (непоискани рекламни съобщения);
  • имате право на възражение срещу автоматизирана обработка, включително профилиране;
  • имате право да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране;
  • при нужда да използваме Вашите лични данни за нова цел, която не е обхваната от настоящата декларация за защита на данните, ще Ви предоставим ново уведомление за защита на данните и когато, и където е необходимо, ще изискаме Вашето предварително съгласие за новата обработка.

Всички горепосочени искания ще бъдат препратени, ако има трета страна (получатели, включително извън ЕС и международни организации) при обработката на вашите лични данни.

Имате право на жалба до надзорния орган

Имате право да подадете жалба направо до надзорния орган, като компетентният за това орган е Комисия за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2 (www.cpdp.bg).

В случай, че желаете да подадете жалба относно обработката на личните ви данни чрез „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД, можете да го направите на посочените данни за контакт на „СБАЛ ПО ДЕНТАЛНА И ЛИЦЕВО-ЧЕЛЮСТНА ХИРУРГИЯ-МЕДИКРОН“ ООД или директно на Длъжностно лице по защита на данните/ Отговорник по защита на данните (на посочените по-горе данни за контакт.