Защита на личните данни

 

За целите на своята дейност като лечебно заведение и търговско дружество, МЦ “Света Анна“ ЕООД  обработва лични данни на физически лица в строго съответствие с Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните - GDPR), Закона за защита на личните данни, нормативните актове в сферата на здравеопазването и Политиката на дружеството за защита на личните данни. Съгласно Общия регламент:

 

"Лични данни" - са всяка информация, която се отнася до физическо лице и чрез която то може да бъде пряко или непряко идентифицирано.

"Субект на данните" - всяко живо физическо лице, чиито лични данни са обработвани от Администратора.

"Данни за здравословното състояние" - означава лични данни, свързани с физическото или психическото здраве на физическо лице. Тези данни се ползват със специална защита, предвид техния чувствителен характер, и се обработват от медицински специалисти, обвързани от задължение за професионална тайна.

"Обработване на лични данни" - е всяка операция или съвкупност от операции, които могат да се извършат по отношение на личните данни с автоматични или други средства.

 

С настоящата политика се предоставя информация относно:

-  Кой е администратор на личните данни?

-  Физически лица, чиито личните данни се обработват от дружеството?

-  За какви цели и на какво правно основание се обработват личните данни?

-  На кого се предават или разкриват личните данни?

-  Сроковете за съхранение на личните данни;

-  Мерките за гарантиране на сигурността на данните;

-  Правата на лицата и начина за тяхното упражняване;

 

МЦ „Света Анна” ЕООД е Администратор на лични данни,

със седалище и адрес на управление  гр.Варна, бул.”Цар Освободител” № 100, Булстат: 103582860. Дружеството има специално определено длъжностно лице по защита на данните, с което можете да се свържете нателефон 052/ 602–500, или e-mail: mc_svetaana@abv.bg.

 

МЦ „Света Анна“ ЕООД- Варна обработва лични данни на следните физически лица:

  • Пациенти, а когато това е необходимо - и на техни близки;
  • Персонал – настоящи и бивши служители на дружеството, кандидати за работа, както и обучаеми;
  • Посетители в лечебното заведение;
  • Контрагенти или потенциални контрагенти на дружеството и на техни служители.

 

Основание за събиране, обработване и съхраняване на лични данни

Администраторът събира и обработва Вашите лични данни на основание чл. 6, ал.1, Регламент (ЕС) 2016/679

  • Изпълнение на задълженията на Администратора по договора с Вас;
  • Спазване на законово задължение, което се прилага спрямо Администратора;
  • За целите на легитимните интереси на Администратора (или на трета страна), например при необходимост от търсене на съдебна защита срещу противоправни действия от Ваша страна;
  • Защита на жизненоважни интереси на Вас или на друго физическо лице;
  • Изпълнение на задача от обществен интерес или официални правомощия на Администратора;
  • Свободно изразено, конкретно, информирано и недвусмислено съгласие на субекта на данните. Вече даденото съгласие може да бъде оттеглено от лицето по всяко време по същия начин, по който е било предоставено.

 

Администраторът обработва лични данни за следните цели:

  • Предоставяне на здравни услуги - медицинска диагностика, лечение, клинични изследвания и др.;
  • Изпълнение на законовите задължения на дружеството, по-специално по Закона за здравето, Закона за здравното осигуряване, Закона за лечебните заведения, подзаконовите актове по прилагането им, Националния рамков договор;
  • Изпълнение на изискванията на трудовото и социалното законодателство по отношение на  служителите;
  • Гарантиране сигурността на пациентите, служителите и имуществото чрез видеонаблюдение, регистрация,  и контрол на достъпа;
  • Други законосъобразни цели, като счетоводно обслужване, поддръжка и сигурност на интернет сайта и IT системите на дружеството, защита на законните интереси на дружеството, включително и по съдебен ред, и др.

 

Администраторът спазва следните принципи при обработката на Вашите лични данни (ЛД):

  • Законосъобразност, добросъвестност и прозрачност– личните данни трябва да бъдат обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните, т.е. да бъдат обработвани въз основа на поне едно от правните основания предвидени в чл.6 от Регламента (ЕС) 216/679 (законово задължение, съгласие, договор, обществен интерес, официално правомощие, защита на жизненоважни интереси на субекта или на друго физическо лице; легитимни интереси); Законосъобразността изисква също обработването да е в съответствие с цялото действащо законодателство. Добросъвестното обработване изисква извършваното обработване да не засяга неоправдано по негативен начин физическите лица, чиито данни се обработват и да не противоречи на морала и добрите нрави. Принципа на прозрачност е нов,  въвежда изисквания физическите лица да са информирани по ясен начин за извършваното обработване спрямо техните лични данни, както и за правата, които имат във връзка със защита на личните им данни. Принципът на прозрачност е гарантиран с правото на информация и с правото на достъп както и със задължението на Администратора за предоставяне на информация.
  • Информираност- Субектът на данните се информира предварително за обработването на неговите лични данни ;
  • Ограничение на целите- Личните данни се събират само за конкретни, изрично указани и  законни цели и не се обработват допълнително по начин, несъвместим с тези цели; Това означава, че от Администратора се изисква предварително, ясно и изчерпателно да определи целите, за които му е необходимо да обработва лични данни. Всяка нова цел изисква допълнително уведомяване на физическите лица, тяхното съгласие или осигуряване на друго правно основание за законосъобразното им обработване.
  • Свеждане на данните до минимум- ограничаване на обхвата на събираните лични данни до необходимото, за което се обработват. В случай че преследваната цел може да бъде постигната чрез обработването на по-малко данни, останалата част от данните не следва да бъде събирана или обработвана.
  • Точност- Личните данни трябва да бъдат точни и да бъдат поддържани в актуален вид;
  • Ограничение на съхранението- Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват. Обработването/ съхранението на лични данни за неограничен период от време е недопустимо.
  • Цялостност и поверителност-  това е нов принцип, въведен за първи път с Регламент (ЕС)2016/679 и изисква данните да бъдат обработвани по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено  или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
  • Отчетност– съгласно този принцип Администраторът носи отговорност и трябва да е в състояние да докаже спазването на всички изброени по-горе принципи.

 

Администраторът обработва следните категории лични данни:

  • име, ЕГН, адрес, данни по лична карта (без копие) – целта е идентифициране на лицето;
  • информация за здравния статус на лицето  - целта е идентифициране на лицето;
  • телефон за контакт, електронна поща – целта е при нужда да се осъществи контакт с лицето;
  • информация, свързана с плащане за услуга и счетоводно отчитане - счетоводни цели.
  • други данни, необходими за изпълнението на задълженията на Администратора.

 

Администраторът обработва специални категории данни (чувствителни)

като данни за здравословното състояние, генетични данни или данни за сексуалния живот или сексуалната ориентация, единствено при наличие на някое от условията по Общия регламент и по-специално:

  • За целите на превантивната или трудовата медицина, за оценка на трудоспособността на пациента и служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;
  • За да бъдат защитени жизненоважни интереси на субекта на даннитеили на друго физическо лице, когато субектът на лични данни е физически или юридически неспособен да даде своето съгласие;
  • За защита на обществения интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;
  • При наличие на изрично съгласие на лицето за обработванетоза една или повече конкретни цели, освен ако законодателството изключва възможността за подобно съгласие;

 

чувствителни данни се обработват при наличие на едно или повече от следните основания:

  • Изрично предоставено от Вас съгласие;
  • Изискване на трудовото право и правото в областта на социалната сигурност изакрила;
  • Обработването е необходимо за защита на жизненоважни интереси на Вас или друго физическо лице,
  • Когато е налице физическа или юридическа неспособност Вие да дадете лично съгласието си;
  • Вие сте направили данните си обществено достояние;
  • Обработването е необходимо с цел установяване, упражняване или защита на правни претенции;
  • Налице е важен обществен интерес на основание правото на ЕС или правото на държава-членка;
  • Обработването е необходимо за целите на превантивната или трудовата медицина;
  • медицинска диагноза, осигуряване на здравни или социални грижи или лечение;
  • за целите на управлението на услугите и системите за здравеопазване или социални грижи, или
  • съгласно договор с медицинско лице;
  • Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве;
  • Обработването е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания, или за статистически цели.

 

Споделяне на лични данни

Ние ще споделяме Ваши лични данни с трети лица, когато това се изисква по закон, когато е необходимо за администрирането на договорните взаимоотношения,или когато имаме друг легитимен интерес за това. Ако съгласието се отнася за трансфер, Администраторът описва възможните рискове. Изискваме от всички трети лица да уважават сигурността на данните и да спазват законодателството по защита на данните. 

МЦ“Света Анна“ ЕООД  предоставя лични данни на:

  • Компетентни публични органи в изпълнение на законови разпоредби, включително на Националната здравноосигурителна каса, Министерството на здравеопазването, НАП, НОИ и др.;
  • Външни лаборатории или други лечебни заведения;
  • Търговски дружества, предоставящи услуги на дружеството, в това число за информационно поддържане и сигурност на IT системите.

 

Правото на достъп до здравна информация се упражнява по реда на чл. 27 от Закона за здравето. Здравна информация може да бъде предоставяна на трети лица, когато:

лечението на лицето продължава в друго лечебно заведение; съществува заплаха за здравето или живота на други лица; е необходима при идентификация на човешки труп или за установяване на причините за смъртта; е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания; е необходима за нуждите на медицинската експертиза и общественото осигуряване; е необходима за нуждите на медицинската статистика или за медицински научни изследвания, след като данните, идентифициращи пациента, са заличени; е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт; е необходима за нуждите на застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел ІІ, буква "А" на приложение № 1 към Кодекса за застраховането.

 

Срок на съхранение на личните ви данни

Администраторът съхранява Вашите лични данниспоред законовите разпоредби само за периода, за който са ни необходими, за да изпълним целите, за които сме ги събрали. След изтичането на този срок, Администраторът полага необходимите грижи да изтрие и унищожи всички Ваши данни, без ненужно забавяне. Ще Ви уведомим, в случай, че срокът за съхранение на данните е необходимо да бъде удължен с оглед изпълнение на целите, изпълнение на договора, с оглед легитимни интереси на Администратора или друго.

Личните данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация.

Личните данни на кандидати за работа, които не са одобрени за назначаване в Дружеството, се съхраняват за срока, определен съгласно действащата нормативна уредба в областта на защитата на личните данни,  от приключване на процедурата, след което се връщат на лицето или унищожават. Личните данни могат да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на съгласие на кандидата в писмена форма.

Записите от видеонаблюдението  и регистрите на посетителите се съхраняват за срок от 60 (шестдесет) дни съгласно Закона за частната охранителна дейност.

Личните данни, съдържащи се в счетоводни документи, се съхраняват в сроковете по чл. 12 от Закона за счетоводството.

 

Сигурност на личните данни

МЦ“Света Анна“ ЕООД  прилага всички подходящи технически и организационни мерки за гарантиране сигурността на личните данни, включително поемане на изрично задължение от служителите за професионална тайна и конфиденциалност. За МЦ „Света Анна” ЕООД защитата и неприкосновеността на личната Ви информация са основен приоритет!

 

Права на субектите на лични данни:

Право на достъп– Вие имате право да изискате и получите от Администратора потвърждение дали се обработват лични данни, свързани с Вас. Имате право да получите достъп до данните, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните Ви данни. Администраторът Ви предоставя при поискване, копие от обработваните лични данни, свързани с Вас, в електронна или друга подходяща форма. Предоставянето на достъп до данните е безплатно, но Администраторът си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.

Право на коригиране или попълване- Вие имате право да поискате от Администратора да коригира неточните лични данни, свързани с Вас; да попълни непълните лични данни, свързани с Вас. Важно е да поддържаме Вашите лични данни в точен и актуален вид, за това Ви молим Ви да ни уведомявате при всяка промяна в тях.

Право на изтриване („да бъдеш забравен“) - Вие имате правото да поискате от Администратора изтриване на свързаните с Вас лични данни, а Администраторът има задължението да ги изтрие без ненужно забавяне, когато е налице някое от посочените основания: личните данни повече не са необходими за целите, за които са били събрани; Вие оттеглите своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването; личните данни са били обработвани незаконосъобразно; личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо Администратора;

Администраторът не е длъжен да изтрие личните данни, ако ги съхранява и обработва: за упражняване на правото на свобода на изразяването и правото на информация; за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени; по причини от обществен интерес в областта на общественото здраве;  за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;  за установяването, упражняването или защитата на правни претенции.

Право на възражение - Вие можете да възразите по всяко време срещу обработването на ЛД от Администратора, които се отнасят до него, включително ако се обработват за целите на профилиране или директен маркетинг.

Право на ограничаване - това право Ви дава възможност да изисквате от нас временно да преустановим обработването на Вашите ЛД, ако например желаете да установим точността или причините за тяхното обработване.

Оттегляне на съгласието - В случай че сте предоставили изричното си съгласие за обработването на Ваши лични данни за конкретна цел, Вие имате право да оттеглите това съгласие, като оттеглянето следва да е също толкова лесно, колкото даването на съгласието. След получаване на Вашето искане, ние ще преустановим обработката на данните за целите, за които Вие първоначално сте дали съгласие, освен ако нямаме друго законово основание за да продължим обработката, за което ще Ви уведомим своевременно.

Право на преносимост - това право е ограничено до случаите, когато данните са ни предоставени от Вас за целите на договора и Ви дава възможност да изискате от нас да предоставим съхраняваните в електронна форма Ваши данни на трето лице.

 

В съответствие със Закона за защита на личните данни, посочените по-горе права могат да се упражнят чрез подаване на писмено заявление на адрес: гр. Варна, бул. „Цар Освободител “ № 100. Заявление може да бъде отправено и по електронен път по реда на Закона за електронния документ и електронните удостоверителни услуги.

МЦ “Света Анна“ ЕООД е в процес на изграждане на системата за подаване на електронни заявления, като при първа възможност физическите лица ще бъдат уведомени, когато системата започне да действа. Заявлението се отправя лично от субекта на данни или от изрично упълномощено от него лице с нотариално заверено пълномощно, като копие от него се предоставя към заявлението.

Отговор на искане на упражнено право се изготвя на хартиен носител и се получава от заявителя на адреса на Дружеството на отдел „Регистратура“. Служителите от отдел „Регистратура“ проверяват самоличността на заявителя чрез справка в документ за самоличност, представен от последния, и предоставят отговора в два екземпляра, по един за всяка страна, подписани от заявителя.

 

Право на жалба - В съответствие със Закона за защита на личните данни и Общия регламент за защита на данните, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба до Комисията за защита на личните данни на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет страница: www.cpdp.bg.