ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА
„МЕДИЦИНСКИ ЦЕНТЪР ВЕРЕЯ“ ЕООД

 

ПРЕДМЕТ

 

Настоящата Политика има за цел да информира настоящите и бъдещи пациенти, контрагенти, работници и служители на „Медицински център Верея“ ЕООД със седалище и адрес на управление: гр. Стара Загора, бул.Митрополит Методи Кусев, № 9, („Дружеството“) в качеството му на администратор на лични данни по отношение на обработваните от Дружеството техни лични данни, както и да гарантира законосъобразното, добросъвестно и прозрачно обработване на личните данни.

Политиката е изготвена в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни, както и на българското законодателство в областта на защитата на личните данни и медицинското право и има за цел да гарантира правата на физически лица във връзка със защитата на техните лични данни при обработване на същите от Дружеството.

 

ДЕФИНИЦИИ

 

За целите на настоящите Политика, използваните понятия имат следното значение:

 

• ЗЗЛД – Закон за защита на личните данни.

• КЗЛД – Комисия за защита на личните данни.

• ОРЗД – Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

 

• Лице, отговорно за личните данни – във „Медицински център Верея“ ЕООД отговорен за личните данни е управителят на дружеството.

• Администратор на лични данни е Дружеството, наричано по-нататък в правилата Дружеството или Администраторът.

• Обработващ лични данни – лице или организация, което въз основа на договор обработва лични данни, предоставени от Дружеството, за уговорените цели. Въпреки терминологичните различия, за обработващ лични данни могат да бъдат приети други администратори или получатели, с които Дружеството взаимодейства – банки, куриери, пощенски оператори, както и държавни органи и институции;

• Известия по защита на данните – отделни известия, съдържащи информация, предоставяна на субектите на данни в момента, в който Дружеството събира информация за тях. Тези известия могат да бъдат както общи (напр. адресирани към работници и служители или известия на уебсайта на дружеството), така и отнасящи се до обработване със специфична цел.

• Обработване на данни – всяка дейност, която е свързана с използването на лични данни. Това включва: получаване, записване, съхранение, извършване на операция или серия от операции с данните като напр. организиране, редактиране, възстановяване, използване, предоставяне, изтриване или унищожаване. Обработването също включва и трансфер на лични данни до трети лица.

• Съгласие – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласие за обработка на лични данни, свързани с него.

• Лични данни са всяка информация, свързана с физическо лице, която пряко или непряко може да доведе до неговото идентифициране. Лични данни представлява информацията, която съвкупно с друга информация може да доведе до установяването самоличността на физическо лице, което може да бъде идентифицирано. Такава информация може да бъде име, дата на раждане, ЕГН, адрес, номер на документ за самоличност, телефонен номер, имейл адрес, данни за здравословното състояние, онлайн идентификатори, данни за крайни електронни съобщителни устройства и други.

Политиката на защита на личните данни на „Медицински център Верея“ ЕООД, както и разписаните въз основа на нея вътрешни правила и процедури за обработване на личните данни, съдържат основните правила и информират за:

 

1. Субекти на данни;

2. Категории лични данни;

3. Цели и принципи на обработване на личните данни;

4. Начини за събиране и средства за обработване на лични данни;

5. Предоставяне и разкриване на лични данни.

6. Последици при отказ за предоставяне на лични данни

7. Права на субектите на данни;

8. Защита на личните данни;

9. Срокове за обработка и съхранение;

10. Начини за връзка с Дружеството;

 

1. Субекти на данни.

 

Дружеството събира и обработва лични данни, необходими за осъществяване на своите права и задължения като лечебно заведение, работодател, доставчик на стоки и услуги и контрагент при съблюдаване изискванията на приложимото законодателство. Дружеството събира лични данни от следните категории субекти на данни:

1.1. Пациенти;

1.2. Контрагенти;

1.3. Работници, служители, лица по граждански договори;

1.4. Кандидати за работа.

 

2. Категории лични данни

 

Личните данни, които се събират за лицата се различават в зависимост от отношението, което имат спрямо „Медицински център ВЕРЕЯ“ ЕООД

 

2.1. За пациенти. Дружеството събира и обработва лични данни на пациентите си в минималния необходим размер, доколкото е необходимо за правилна диагностика и лечение, както и в изпълнение на законовите си задължения. Възможните данни, които събираме и обработваме за пациентите си са: данни за физическата идентичност на пациента – име, възраст, ЕГН или дата на раждане, здравословно състояние; номер на документ за самоличност, адрес, телефонен номер, имейл адрес, идентификационен застрахователен номер; физиологическа идентичност ръст, тегло, кръвна група, кръвна картина, други данни, свързани с функциите на човешкия организъм, поискани или необходими за предоставяне на здравната услуга; културна идентичност – хоби, начин на живот, необходими при диагностиката на конкретното заболяване; социална идентичност – образование, навици, трудова дейност, месторабота, професия, категория труд; семейна идентичност, семейно положение, родствени връзки; данни, свързани с идентифициране на рискови фактори в средата и необходими за целите на предоставяне на здравна услуга;

В някои случаи е необходимо да се съберат лични данни и за представител на пациента – н.р. лице за контакт, родител, настойник.

Администраторът не обработва лични данни, свързани със сексуалния живот на пациентите, техният расов или етнически произход, политически, религиозни или философски убеждения, членство в синдикални организации, генетична идентичност.

 

2.2. Контрагенти – в това число техни служители, представители и др. За сключване и изпълнение на договорите с контрагенти на Дружеството, които са юридически лица, се обработват лични данни за поне едно от следните лица:

– Законен представител на Контрагента;

– Представител по пълномощно на Контрагента;

– Лице за контакт с Контрагента, изрично посочено като такова или от Контрагента;

– Служител на Контрагента, чиито служебни задължения са свързани или необходими за изпълнението на договора с нашето дружество.

За тези лица се събират идентификационни данни – име, фамилия, длъжност/позиция; данни за контакт – телефон, адрес, e-mail адрес; данни относно правата на лицето спрямо Контрагента и по Договора.

За сключване и изпълнение на договори с физически лица, контрагенти на дружеството, се събират лични данни, които са необходими за изпълнението на законовите задължения на дружеството, както следва: име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни по лична карта или паспортни данни, еmail адрес.

 

2.3. Работници, служители, изпълнители по граждански договори . За тези лица Дружеството събира следните данни:

– Идентификация: име; ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни по лична карта или паспортни данни, е-mail адрес;

– Образование и професионална квалификация; данни, свързани с образование, трудов опит, професионална и лична квалификация и умения;

– Здравни данни: здравословно състояние, ТЕЛК решения, медицински свидетелства, болнични листове и всяка прилежаща към тях документация;

 

2.4. Кандидати за работа. Относно лицата, кандидати за работа се събират следните лични данни:

– Идентификация: име; ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, данни по лична карта или паспортни данни, е-mail адрес;

– Образование и професионална квалификация; данни, свързани с образование, трудов опит, професионална и лична квалификация и умения;

– Данни за здравословно състояние на етап кандидатстване за работа се събират само ако лицето доброволно ги е представило;

 

3. Цели и принципи на обработване на личните данни

 

„Медицинскицентър Верея“ ЕООД събира и използва лични данни единствено за следните ЦЕЛИ:

• Диагностика и лечение на пациентите, здравна профилактика и надзор;

• Предоставяне и отчитане на медицински услуги, както и изпълнение на задълженията на „Медицински център ВЕРЕЯ“ ЕООД, в качеството му на лечебно заведение, произтичащи от Закона за здравето, Закона за лечебните заведения, договореностите с РЗОК по Националния рамков договор и създаване на необходимата съпътстваща медицинска документация и предоставянето на здравна и медико-статистическа информация пред компетентните органи – Министерство на здравеопазването, НСИ, РЗИ, Национален център по обществено здраве, Изпълнителна агенция Медицински одит;

• Управление на човешките ресурси, изплащане на трудовите възнаграждения и изпълнение на свързаните с това задължения на работодателя за удържане и плащане на здравни и социални осигуровки на служителите, на данъци, както и на други права и задължения на Дружеството в качеството му на работодател;

• Финансово – счетоводни дейности;

• Администриране на отношенията с контрагенти – доставчици и клиенти на дружеството и предоставяне на стоки и услуги;

• Сключване валиден и обвързващ страните договор, както и надлежното му изпълняване; поддържане на връзка с контрагентите и изпращане на валидни съобщения до тях; реализиране и защита на правата и интересите на Администратора по договорите с контрагентите, поддържане на активни търговски взаимоотношения;

• Сигурността, включително поддържане и защита имуществото на

Администратора и на помещенията, които ползва, охрана и контрол на достъпа на външни лица, гарантиране сигурността на служителите и третите лица;

• Всяка друга законна бизнес цел, както и в разрешените или изискваните от приложимото законодателство или регламент други случаи.

При събиране и обработка на личните данни „Медицински център ВЕРЕЯ“ ЕООД съблюдава следните основни ПРИНЦИПИ:

• Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;

• Личните данни съответстват на целите, за които се събират;

• Личните данни трябва да са точни и при необходимост да се актуализират;

• Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;

• Субектът на данните се информира предварително за обработването на неговите лични данни;

• Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия, за целите, за които тези данни се обработват.

 

4. Начини за събиране и средства за обработване на лични данни

 

„Медицински център ВЕРЕЯ“ ЕООД събира лични данни по някой от следните начини:

 

4.1. Лични данни на наши потенциални и реални пациенти, контрагенти, работници, служители, лица заети по граждански правоотношения, можем да съберем или получим пряко от лицето, за което се отнасят; от друго лице, за което Администраторът ще уведоми субекта на данните; от орган или институция, при наличието на валидно правно основание за получаване на данните, както и чрез достъп до публичните регистри, но само при ясно намерение за сключване на договор или за целите на реализирането на наши законни интереси;

4.2. Лични данни на пациенти събираме също посредством използването на медицинска техника и апаратура за диагностика и лечение;

4.3. Лични данни и информация за физическото лице могат да постъпят при нас под формата на документи, формуляри, бланки, заявления, писма и кореспонденция.

4.4. Лични данни на физическо лице може да съберем и при посещението му на място, в което сме установили пропускателен режим, разположили сме система за контрол на достъпа или система за видеонаблюдение. Местата, в които се осъществява видеонаблюдение са ясно обозначени с информационни табелки.

4.5. Лични данни можем да съберем или получим чрез интернет сайта ни http://oculoplastics.bg/, в това число чрез формата ни за запитване или чрез използването на „бисквитки“, за което всеки потребител на сайта е надлежно уведомен.

„Медицински център ВЕРЕЯ“ ЕОООД използва основно неавтоматизирани средства за обработване на лични данни. Това са всички средства, при които вземането на решение за обработване на лични данни или извършването на конкретна дейност по обработване предполага човешка намеса. По неавтоматизиран начин обработваме постъпилите документи на хартиен и електронен носител, в това число договори, писмена или устна кореспонденция, медицинска документация, волеизявления на субекта на даннии др. Този вид обработка на данните се извършва както нахартиен или друг физически носител, така и в електронна форма, посредством използването на компютърни системи, периферни устройства, медицинска техника и апаратура, а също така чрез използването на специализиран софтуер, като например счетоводен, деловоден, за медицински цели и отчетност.

Дружеството не използва изцяло автоматизирани средства за обработка за лични данни. Това са средства, при които вземането на решение по обработването на лични данни или извършване на конкретно действие по обработване на лични данни се извършва при отсъствие на човешка намеса. В частност за такъв вид обработване може да се приеме получаването на информация чрез сайта на дружеството, посредством използването на „бисквитки“.

 

5. Предоставяне и разкриване на лични данни

 

„Медицински център ВЕРЕЯ“ ЕООД не разкрива лични данни на трети страни и получатели, освен ако не е налице законово основание за получаване на данните, както и например в следните случаи:

 

• За осъществяване на някои от дейностите си, дружеството сключва договори с трети лица, в качеството им на обработващи лични данни, предоставени от дружеството. Такива, например са дружество за счетоводни и ТРЗ услуги, служба по трудова медицина, разработчик на сайта на дружеството и доставчик на хостинг услугата, други лечебни заведения, като например Заведение за болнична помощ по чл.8 ал.3 от ЗЛЗ;

• Други получатели на данни, които съобразно конкретния случай са обработващи, други администратори или трети страни, могат да бъдат още:

– държавни органи и организации, натоварени с публични функции, в рамките на техните правомощия – НАП, НОИ, МВР, Комисия за защита на потребителите, НЗОК, РЗИ, Министерство на здравеопазването, ИА „Медицински одит“, Национален център по обществено здраве и анализи и други/. Дружеството предоставя данните в изпълнение на нормативните си задължения;

– Банки за нуждите на извършвани плащания на възнаграждения и в изпълнение на договорни взаимоотношения. Дружеството ползва услугите на лицензирани банкови институции, което е достатъчна гаранция за сигурността на предоставените данни;

– Куриерски фирми и пощенски оператори – за нуждите на осъществяване на кореспонденция и извършване на доставки от/до физически или юридически лица. Дружеството ползва услугите на лицензирани куриерски и пощенски оператори, което е гаранция за сигурността на предоставените данни;

– Дружества или физически лица, които съвместно с „Медицински център ВЕРЕЯ“ ЕООД ползват помещения или са наемодатели – по отношение на личните данни, до които може да е налице достъп от страна на служители на тези дружества, както и на данни от видеонаблюдение, ако се извършва в тези помещения.

Във всички случаи дружеството предоставя данни на получателите в минималния необходим размер;

• В случаите на предоставяне на данните на служители, клиенти или доставчици на услуги на обработващ или получател, Дружеството:

– изисква достатъчно гаранции от обработващия или получателя за спазване на законовите изисквания и добрите практики за обработка и защита на личните данни;

– сключва писмено споразумение или друг правен акт с идентично действие, който урежда задълженията на обработващия и отговаря на изискванията на чл. 28 от Регламент (ЕС) 2016/679;

– информира физическите лица, чиито данни ще бъдат предоставени на обработващ, получаващ, друг администратор.

 

6. Последици при отказ за предоставяне на лични данни

 

Изисканите от лекарите и другите служители на „Медицински център ВЕРЕЯ“ ЕООД лични данни от пациентите са съобразени с услугите, които се предлагат и законовите ни задължения и имат задължителен характер. В случай на отказ от доброволно предоставяне на необходимите лични данни, дружеството няма да бъде в състояние да предостави своите услуги.

Изрично съгласие на физическите лица, чиито данни се обработват не винаги е необходимо, в случай, че разполагаме с друго правно основание за обработка – например нормативно установено задължение във връзка със Закона за здравето или друг закон;

В случай, че лични данни се обработват на основание съгласие на субекта на данните, същото може да бъде оттеглено по всяко време, ако това не засяга законосъобразността на обработването.

Информираното съгласие по смисъла на Закона за здравето не съставлява съгласие по смисъла на Общия регламент за защита на личните данни.

 

7. Права на субектите на данни – осъществяване на достъп до личните данни, променяне, коригиране, ограничаване на обработването и изтриване на същите;

 

7.1. По отношение на личните си данни, включително и получените чрез видеонаблюдение, всяко физическо лице има следните права:

• Право на информираност – да изиска и получи от „Медицински център ВЕРЕЯ“ ЕООД потвърждение, дали негови лични данни се обработват от Дружеството.

• Право на достъп до данните и информацията, отнасяща се до събирането, обработването и съхранението на личните му данни от Дружеството;

• Право на коригиране и актуализиране на лични данни, когато са неточни или при промяна;

• Право на изтриване /правото да бъдеш „забравен“, право на ограничаване на обработването или връщане на личните Ви данни, когато личните данни повече не са необходими за целите, за които са събрани или обработвани; събирането и обработването са били основани на съгласие на субекта, но той го е оттеглил; на основание чл.21 от GDPR; обработването е незаконосъобразно и др. Правото на изтриване, ограничаване или връщане не се прилага, когато Администраторът спазва правно задължение, изпълнява задача от обществен интерес или се упражняват официални правомощия на Администратора, както и по причини от обществен интерес в областта на общественото здраве, архивирането в обществен интерес, научни или статистически цели, както и за целите на установяване, упражняване или защита на правни претенции;

• Право на възражение срещу обработването или предоставянето на трети лица на негови лични данни, при липса на съгласие или законово основание;

• Право на жалба пред Администратора, Комисията за защита на личните данни и по съдебен ред;

 

7.2. Ред за упражняване на правата:

• Правото на достъп до лични данни се осъществява чрез искане на засегнатото физическо лице, получено на адреса на седалището на Дружеството или на официалния имейл на дружеството drnativanova@gmail.com. Искането следва да съдържа следната информация: име, адрес и други данни за идентификация на лицето; основание на правото и хипотеза, в което се реализира; описание на искането; предпочитаната форма за предоставяне на информацията; подпис, дата на подаване на заявлението и адрес за кореспонденция. При подаване на заявление от упълномощено лице, към заявлението се прилага изрично нотариално заверено пълномощно, а в случай на смърт на физическо лице, правата му се упражняват от наследник, който прилага удостоверение за наследници към искането.

• В двуседмичен срок от получаване на искането дружеството уведомява заявителя дали са налице законовите основания за уважаване на искането. При фактическа и правна сложност на искането, срокът може да бъде 30-дневен. Ако Дружеството установи, че са налице законовите основания да уважи искането, уведомява лицето и за реда, по който може да упражни правото си.

• Дружеството предоставя информацията в кратка, разбираема и лесно достъпна форма, писмено или по друг начин, включително и чрез електронни средства.

• Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях;

• Когато исканията на субектите са явно неоснователни или прекомерни, както и често повтарящи се, Дружеството може да откаже да предприеме действия по искането или да наложи разумна такса, която да покрие разходите по извършването на необходимите действия.

• Правото на жалба пред Комисията за защита на личните данни, може да бъде подадена на адреса на Комисията: град София 1592, бул.Професор Цветан Лазаров №2, както и чрез интернет сайта й www.cpdp.bg

 

8. Защита на личните данни

 

„Медицински център Верея“ ЕООД прилага комплексен подход в изпълнение на задълженията си като администратор налични данни.

 

8.1. Технически и организационни мерки

• Всички помещения, в които се съхраняват и обработват лични данни, са с контрол на достъпа. Възможните технически средства за контрол на достъпа са:

– наблюдение с видеокамери;

– политика на допускане на външни лица до помещенията на дружеството само с придружител от персонала на дружеството.

• Помещенията на дружеството са надеждно обезопасени посредством противопожарни мерки съгласно българското законодателство.

• Когато клиент или доставчик трябва да съобщи личните си данни, това се прави в помещение, в което не присъстват външни лица, а в случай че това е невъзможно се осигурява дискретност и се вземат мерки трети лица да нямат възможност да възприемат съобщените лични данни.

 

8.2. Мерки за документална защита

Дружеството установява процедури по обработване на лични данни, регламентиране на достъпа до данните, процедури по унищожаване и срокове за съхранение, разписани във Вътрешните правила и процедури за защита на личните данни;

 

8.3. Персонални мерки на защита

Управителят и служителите, които имат достъп до лични данни, преди заемане на съответната длъжност:

– поемат задължение за неразпространение на личните данни, до които имат достъп;

– се запознават с нормативната база, вътрешните правила и политики на дружеството относно защитата на личните данни;

– са инструктирани за опасностите за личните данни, които се обработват от дружеството;

– се задължават да не споделят критична информация помежду си и с външни лица, освен по установения с тези Правила ред.

 

9. Срокове за обработка и съхранение

 

„Медицински център ВЕРЕЯ“ ЕООД обработва и съхранява данни в законоустановените срокове, когато такива са установени и при всички случаи за срокове, не по-дълги от минимално необходимите за постигане целите на обработка.

 

10. Начини на връзка с „Медицински център ВЕРЕЯ“ ЕООД

 

Можете да изпращате кореспонденция на адреса ни на управление – гр. Стара Загора, ул. Митрополит Методи Кусев No 9, на вниманието на Управителя на дружеството или на мейл адрес drnativanova@gmail.com, както и на телефоните, посочени в сайта на дружеството oculoplastics.bg

 

Заключителна разпоредба:

 

Настоящата политика е приета от „Медицински център ВЕРЕЯ“ ЕООД и влиза в сила от 21.05.2018г.

 

Този уебсайт използва “бисквитки”

 

Този уебсайт използва ограничен брой “бисквитки”, за да направи сърфирането Ви по-лесно. “Бисквитката” е малък текстов файл, който сайтът прехвърля на твърдия диск на компютъра Ви за продължението на сесията или перманентно. “Бисквитките” позволяват да бъде запаметена анонимна информация за Вашите действия и предпочитания на сайта (например размер на шрифта, език и други настройки). “Бисквитките” се използват с няколко цели – функционални (за да функционира правилно уебсайта), аналитични (за анонимно проследяване на трафика към уебсайта) и маркетингови (за подобряване на промоциите свързани със сайта).

Когато се създават, “бисквитките” обикновено не съдържат никаква лична информация. Те не сканират компютъра Ви. Всяка лична информация, която биха могли да съдържат, е резултат от собствения Ви принос във формата на уебсайта. Когато дадена “бисквитка” съхранява лична информация, тази информация е кодирана по такъв начин, че тя е нечетлива за всяка трета страна, която случайно влиза в папката Ви с “бисквитки”. Единственият компютър, който може да чете и декодира информацията, е сървърът, който е създал “бисквитката”.

 

Какви “бисквитки” използваме на този уебсайт?

 

Сесийни “бисквитки”
 

Това са временни “бисквитки”, които остават във файла с “бисквитките” на Вашия уеб браузър само за продължителността на посещението Ви и се изтриват, когато затворите браузъра. Целта на тези “бисквитки” е функционална.

“Бисквитки” от трети страни

Това са “бисквитки”, поставени от външни доставчици като Google Analytics и Facebook. Те могат да бъдат сесийни или постоянни, като тяхната цел а аналитична и маркетингова. Администраторът на уебсайта няма контрол над тези “бисквитки”.

 

Какво да направите, ако не желаете “бисквитки”?

 

Не натискайте “Съгласен съм” в карето, информиращо Ви за използването на “бисквитки”.

През настройките на браузъра си, блокирайте бъдещи “бисквитки”. Можете и да изтриете вече съществуващите.

През операционната си система (например Windows, Mac), изтриите всички “бисквитки” от правилната папка.

Ако искате да получите допълнителна информация за “бисквитките”, моля, посетете http://www.allaboutcookies.org/.