МДЦ ПРЕВЕНТИКА ЕООД, гр. София, р-н Витоша, ул. „Донка Ушлинова“, 2, вх. 4
ОБЩИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ПАЦИЕНТИТЕ В МДЦ ПРЕВЕНТИКА ЕООД, гр. София
І. Същност
Тази политика определя основните принципи, чрез които МДЦ ПРЕВЕНТИКА ЕООД, гр. София (Администратор) обработва личните данни на ПАЦИЕНТИТЕ и посочва отговорностите на отделите и служителите по време на обработката на лични данни.
Потребителите на този документ са всички служители, постоянни или временни, и всички изпълнители, които работят от името на МДЦ ПРЕВЕНТИКА ЕООД, гр. София.
ІІ. Приложимо законодателство
III. Законосъобразност на обработването на лични данни
Обработването е законосъобразно, в случай че е спазено поне едно от следните условия:
Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;
Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
ІV. Администратор на лични данни
За целите и използването на тази политика администратор се явява МДЦ ПРЕВЕНТИКА ЕООД, гр. София, р-н Витоша, ул. „Донка Ушлинова“, 2, вх. 4
Отговорността за осигуряване на подходяща обработка на лични данни се носи от всеки, който работи за или с МДЦ ПРЕВЕНТИКА ЕООД, гр. София и има достъп до обработваните от нея лични данни. Лицата, които имат достъп до личните данни в МДЦ ПРЕВЕНТИКА ЕООД, гр. София са: лекари, акушерки, медицински сестри, медицински секретари (отнася се за немедицински лица, които работят под ръководството на медицинско лице и подпомагат регистрирането и попълването на нормативни документи като направления, удостоверения, болнични листи и др.), счетоводители (ако има издадена фактура на физическото лице).
С нашето Длъжностно лице по защита на данните можете да се свържете директно тук:
Уебсайт: preventica.bg
E-mail: office@preventica.bg
Телефон: 024399001
Длъжностното лице по защита на данните (ДЛЗД) докладва директно на Управителя на МДЦ ПРЕВЕНТИКА ЕООД, гр. София.
Надзорен орган е Комисията по защита на лични данни.
Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни.
Контакти: Адрес: София 1592, бул. „Проф. Цветан Лазаров” 2
Център за информация и контакти - тел. 02/91-53-518
Приемна - работно време 9:00 - 17:30 ч.
Електронна поща: kzld@cpdp.bg
Интернет страница: www.cpdp.bg
VІI. Събиране и обработка и споделяне на лични данни
Личните данни се използват и обработват само при изрично разрешение от Ръководството на МДЦ ПРЕВЕНТИКА ЕООД, гр. София. МДЦ ПРЕВЕНТИКА ЕООД, гр. София трябва да реши дали да извърши оценката на въздействието върху защитата на данните за всяка дейност по обработка на данни, съгласно насоките за Оценка на Въздействието върху Защитата на Данните.
Съгласно чл. 6, ал. 1, б. Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО в обработването на лични данни е законосъобразно, когато се налага да се спази законово задължение, което се прилага спрямо администратора.
МДЦ ПРЕВЕНТИКА ЕООД, гр. София обработва лични данни на пациентите на законово основание съгласно:
ЗАКОН ЗА ЗДРАВЕТО
ЗАКОН ЗА ЛЕЧЕБНИТЕ ЗАВЕДЕНИЯ
Включително и техните подзаконови нормативни уредби, най-вече различните Наредби, които са издадени на основание на тези два закона.
За да изпълни законовите си задължения МДЦ ПРЕВЕНТИКА ЕООД, гр. София събира и обработва следните лични данни, без да е необходимо декларирано съгласие:
ЕГН, ТРИТЕ ИМЕНА, МОБИЛЕН ТЕЛЕФОН, НАСЕЛЕНО МЯСТО,
пол, дата на раждане,
+ медицинска информация
+ в случаи, които е необходимо здравно осигурителен статус ( касае пациенти, които са по НЗОК финансиране).
АКО Е НЕОБХОДИМО ИЗДАВАНЕ НА ДОКУМЕНТ ЗА ВРЕМЕННА НЕТРУДОСПОСОБНОСТ (Болничен лист):
∙Месторабота
∙Професия
∙Длъжност
∙Адрес
Когато се изисква да се коригират, изменят или унищожат записите с лични данни, Администратора гарантира, че тези изисквания се обработват в разумен срок.
Личните данни се обработват и се използват само за целите, за които първоначално са били събрани. Данните, които се събират и обработват може да се предоставят на трети лица. В зависимост от конкретния пациент и неговото осигуряване и заболяване, МДЦ ПРЕВЕНТИКА ЕООД, гр. София предоставя събраните лични данни на следните трети лица, които са администратори на лични данни, и с които МДЦ ПРЕВЕНТИКА ЕООД, гр. София има сключени споразумения, а именно:
Ако в хода на лечението е необходимо да се направят специализирани лабораторни изследвания или друго лечение, то данните се споделят и със следните дружества, за което пациента се информира изрично:
VІІI. Видове лични данни
МДЦ ПРЕВЕНТИКА ЕООД, гр. София е регистриран по закона за „ЗАКОН ЗА ЛЕЧЕБНИТЕ ЗАВЕДЕНИЯ“ и като такъв събира от субектите на лични данни както „обикновени“ така и „специални (чувствителни)“ данни:
Срокът на съхранение на личните данни на пациентите се определя на базата на закона за здравето раздел V. , както и в медицинските стандарти. общото медицинско досие е минимум 5 /пет/ години съгласно Закона за здравето.
Видеозаписите се съхраняват в срок не повече от 30 дни съгласно Закона за частната охранителна дейност.
Лични данни от онлайн форми за запазване на час за срок не повече от 60 /шестдесет/ дни.
Х. Принципи на обработка на личните данни
ХI. Право на Субекта на Данни
Всеки субект има право на:
ХII. Основни принципи при обработването на личните данни
XIII. Предоставяне на информация
Предоставяне на информация в писмена форма при събиране на лични данни от субекта на данните.
МДЦ ПРЕВЕНТИКА ЕООД предоставя на субекта на данните информация включваща идентификация на администратора, цели на обработването, получатели на лични данни, срок на съхранение и др., в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. Информацията се предоставя безплатно.
В случай, че възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, МДЦ ПРЕВЕНТИКА ЕООД предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел.
Предоставяне на информация в писмена форма, когато личните данни не идват от субекта на данните
Когато лични данни, свързани с даден субект на данни, не са получени от субекта на данните, МДЦ ПРЕВЕНТИКА ЕООД предоставя на субекта на данните информация включваща идентификация на администратора, цели на обработването, получатели на лични данни, срок на съхранение и др., в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. МДЦ ПРЕВЕНТИКА ЕООД предоставя информацията:
Когато МДЦ ПРЕВЕНТИКА ЕООД възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел.
XIV. Достъп до личните данни
В качеството си на администратор МДЦ ПРЕВЕНТИКА ЕООД предоставя достъп на физическите лица до отнасящите се за тях лични данни.
МДЦ ПРЕВЕНТИКА ЕООД предоставя в срок от един месец от получаване на искане от субекта на данните потвърждение дали се обработват лични данни, свързани със субекта на данните.
Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 от Регламента във връзка с предаването.
МДЦ ПРЕВЕНТИКА ЕООД предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.
Срокът за предоставяне на горната информация е един месец от получаването на искането от субекта на данните, но може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Информацията се предоставя безплатно.
МДЦ ПРЕВЕНТИКА ЕООД коригира без ненужно забавяне (в срок от един месец) неточните лични данни, свързани с него по искане на субекта на данните. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация. Срокът може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако МДЦ ПРЕВЕНТИКА ЕООД не предприеме действия по искането на субекта на данни, уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Коригирането се извършва безплатно.
XVI. Изтриване на личните данни
МДЦ ПРЕВЕНТИКА ЕООД изтрива свързани със субекта на данните лични данни без ненужно забавяне (в срок от един месец) по искане на субекта на данните. Срокът може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако МДЦ ПРЕВЕНТИКА ЕООД не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Изтриването се извършва безплатно.
МДЦ ПРЕВЕНТИКА ЕООД изтрива данните само ако е приложимо някое от посочените по-долу основания:
XVII. Ограничаване на обработването на личните данни
Ограничаване на обработването означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще. МДЦ ПРЕВЕНТИКА ЕООД се задължава да ограничи обработването на данните в срок от един месец по искане на субекта на данните. Срокът може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако МДЦ ПРЕВЕНТИКА ЕООД не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Ограничаването се извършва безплатно.
Ограничаването следва да бъде извършено когато се прилага едно от следните условия, а именно:
Когато се извърши ограничение на обработването, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка. Когато субект на данните е изискал ограничаване на обработването, администраторът го информира преди отмяната на ограничаването на обработването.
Уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
МДЦ ПРЕВЕНТИКА ЕООД се задължава да съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните относно тези получатели, ако субектът на данните поиска това.
XVIII. Осигуряване на преносимост на личните данни
МДЦ ПРЕВЕНТИКА ЕООД се задължава да предостави личните данни на субекта на данните, които го засягат и които са му били предоставени от субекта на данните, в структуриран, широко използван и пригоден за машинно четене формат, когато обработването е основано на съгласие в съответствие или на договорно задължение и обработването се извършва по автоматизиран начин.
МДЦ ПРЕВЕНТИКА ЕООД се задължава да прехвърли данните в срок от един месец по искане на субекта на данните. Срокът може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако МДЦ ПРЕВЕНТИКА ЕООД не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Прехвърлянето се извършва безплатно.
XIX. Прекратяване обработването на личните данни
МДЦ ПРЕВЕНТИКА ЕООД се задължава да прекрати обработването на личните данни, в следните случаи изброени по-долу, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
или
МДЦ ПРЕВЕНТИКА ЕООД се задължава да прекрати обработването на личните данни за целите на директния маркетинг, когато субектът на данни възрази срещу обработване за целите на директния маркетинг.
Б. Относно право на възражение срещу обработване на лични данни за целите на директния маркетинг: МДЦ ПРЕВЕНТИКА ЕООД уведомява субекта на данни за съществуването на право на възражение за обработване на лични данни за целите на директния маркетинг. МДЦ ПРЕВЕНТИКА ЕООД се задължава да предостави информация за правото на субекта на възражение срещу обработване на лични данни за целите на директния маркетинг най-късно в момента на първото осъществяване на контакт със субекта на данните, която информация се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация. МДЦ ПРЕВЕНТИКА ЕООД се задължава да прекрати обработването на личните данни за целите на директния маркетинг, когато субектът на данни възрази срещу обработване за целите на директния маркетинг.
XXI. Осигуряване на сигурност при обработването чрез въвеждане на технически и организационни мерки
МДЦ ПРЕВЕНТИКА ЕООД въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на лични данни се извършва в съответствие с Регламента. Тези мерки се преразглеждат и при необходимост се актуализират.
Такива мерки са:
XXII. Обработване на личните данните от името на мдц превентика еоод
Когато обработването се извършва от името на МДЦ ПРЕВЕНТИКА ЕООД, МДЦ ПРЕВЕНТИКА ЕООД се задължава да използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента и да осигурява защита на правата на субектите на данни. Обработващият данни няма право да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.
Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора.
XXIII. Сътрудничество с надзорния орган
МДЦ ПРЕВЕНТИКА ЕООД и обработващият лични данни се задължават да си сътрудничат с надзорния орган при изпълнението на неговите задължения.
В случай на нарушение на сигурността на личните данни, МДЦ ПРЕВЕНТИКА ЕООД, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, се задължава да уведоми за нарушението на сигурността на личните данни надзорния орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа. Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.
МДЦ ПРЕВЕНТИКА ЕООД се задължава да документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.
XXIV. Съобщаване на субекта на данните за нарушение на сигурността на личните данни
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, МДЦ ПРЕВЕНТИКА ЕООД, без ненужно забавяне се задължава да съобщи на субекта на данните за нарушението на сигурността на личните данни.
XXV. Обезщетение за претърпени вреди
МДЦ ПРЕВЕНТИКА ЕООД или обработващият лични данни се задължават да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава Регламента.
XXVI. Извършване на оценка на въздействието
Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, МДЦ ПРЕВЕНТИКА ЕООД извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на определеното длъжностно лице по защита на данните.