Защита на личните данни

МДЦ ПРЕВЕНТИКА ЕООД, гр. София, р-н Витоша, ул. „Донка Ушлинова“, 2, вх. 4

ОБЩИ ПРАВИЛА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА ПАЦИЕНТИТЕ В МДЦ ПРЕВЕНТИКА ЕООД, гр. София

 

І. Същност

Тази политика определя основните принципи, чрез които МДЦ ПРЕВЕНТИКА ЕООД, гр. София (Администратор) обработва личните данни на ПАЦИЕНТИТЕ и посочва отговорностите на отделите и служителите по време на обработката на лични данни.

Потребителите на този документ са всички служители, постоянни или временни, и всички изпълнители, които работят от името на МДЦ ПРЕВЕНТИКА ЕООД, гр. София.

 

ІІ. Приложимо законодателство

  • Конституция на Република България
  • Общ регламент за защита на личните данни (Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО - EU GDPR 2016/679)
  • Закон за защита на личните данни

 

III. Законосъобразност на обработването на лични данни

Обработването е законосъобразно, в случай че е спазено поне едно от следните условия:

Субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;

Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

Обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;

Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице;

Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

 

ІV. Администратор на лични данни

За целите и използването на тази политика администратор се явява  МДЦ ПРЕВЕНТИКА ЕООД, гр. София, р-н Витоша, ул. „Донка Ушлинова“, 2, вх. 4

Отговорността за осигуряване на подходяща обработка на лични данни се носи от всеки, който работи за или с МДЦ ПРЕВЕНТИКА ЕООД, гр. София  и има достъп до обработваните от нея лични данни. Лицата, които имат достъп до личните данни в МДЦ ПРЕВЕНТИКА ЕООД, гр. София  са: лекари, акушерки, медицински сестри, медицински секретари (отнася се за немедицински лица, които работят под ръководството на медицинско лице и подпомагат регистрирането и попълването на нормативни документи като направления, удостоверения, болнични листи и др.), счетоводители (ако има издадена фактура на физическото лице).

  1. Длъжностно лице по защита на личните данни
  2. Длъжностното лице по защита на данните е основното звено за контакт със служителите и осъществява връзка с всички членове на персонала по въпроси, свързани със защитата на данните.

С нашето Длъжностно лице по защита на данните можете да се свържете директно тук:

Уебсайт: preventica.bg

E-mail:  office@preventica.bg

Телефон: 024399001

  1. Място в организацията:

Длъжностното лице по защита на данните (ДЛЗД) докладва директно на Управителя на МДЦ ПРЕВЕНТИКА ЕООД, гр. София.

 

  1. VI. Надзорен орган

Надзорен орган е Комисията по защита на лични данни.

Комисията за защита на личните данни е независим държавен орган, който осъществява защитата на лицата при обработването на техните лични данни и при осъществяването на достъпа до тези данни.

 

Контакти: Адрес: София 1592, бул. „Проф. Цветан Лазаров” 2          

Център за информация и контакти - тел. 02/91-53-518

Приемна - работно време  9:00 - 17:30 ч.

Електронна поща: kzld@cpdp.bg

Интернет страница: www.cpdp.bg

 

VІI. Събиране и обработка и споделяне на лични данни

Личните данни се използват и обработват само при изрично разрешение от Ръководството на МДЦ ПРЕВЕНТИКА ЕООД, гр. София. МДЦ ПРЕВЕНТИКА ЕООД, гр. София трябва да реши дали да извърши оценката на въздействието върху защитата на данните за всяка дейност по обработка на данни, съгласно насоките за Оценка на Въздействието върху Защитата на Данните.

Съгласно чл. 6, ал. 1, б. Регламент(ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица при  обработването на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО в обработването на лични данни е законосъобразно, когато се налага да се спази законово задължение, което се прилага спрямо администратора.

МДЦ ПРЕВЕНТИКА ЕООД, гр. София обработва лични данни на пациентите на законово основание съгласно:

ЗАКОН ЗА ЗДРАВЕТО

ЗАКОН ЗА ЛЕЧЕБНИТЕ ЗАВЕДЕНИЯ

Включително и техните подзаконови нормативни уредби, най-вече различните Наредби, които са издадени на основание на тези два закона.

За да изпълни законовите си задължения МДЦ ПРЕВЕНТИКА ЕООД, гр. София събира и обработва следните лични данни, без да е необходимо декларирано съгласие:

ЕГН, ТРИТЕ ИМЕНА, МОБИЛЕН ТЕЛЕФОН, НАСЕЛЕНО МЯСТО,

пол, дата на раждане,

+ медицинска информация

+ в случаи, които е необходимо здравно осигурителен статус ( касае пациенти, които са по НЗОК финансиране).

АКО Е НЕОБХОДИМО ИЗДАВАНЕ НА ДОКУМЕНТ ЗА ВРЕМЕННА НЕТРУДОСПОСОБНОСТ (Болничен лист):

∙Месторабота

∙Професия

∙Длъжност

∙Адрес

 

Когато се изисква да се коригират, изменят или унищожат записите с лични данни, Администратора гарантира, че тези изисквания се обработват в разумен срок.

Личните данни се обработват и се използват само за целите, за които първоначално са били събрани. Данните, които се събират и обработват може да се предоставят на трети лица. В зависимост от конкретния пациент и неговото осигуряване и заболяване, МДЦ ПРЕВЕНТИКА ЕООД, гр. София предоставя събраните лични данни на следните трети лица, които са администратори на лични данни, и с които МДЦ ПРЕВЕНТИКА ЕООД, гр. София има сключени споразумения, а именно:

  • Национална здравноосигурителна каса /НЗОК/,
  • Национален осигурителен институт /НОИ/,
  • Представители на Съдебната власт и Прокуратура
  • Изпълнителна агенция „Медицински одит“ /ИАМО/

Ако в хода на лечението е необходимо да се направят специализирани лабораторни изследвания или друго лечение, то данните се споделят и със следните дружества, за което пациента се информира изрично:

  • “МДЛ Цибалаб” ЕООД, ЕИК 130206384
  • „АДЖИБАДЕМ СИТИ КЛИНИК ДИАГНОСТИЧНО – КОНСУЛТАТИВЕН ЦЕНТЪР ТОКУДА“ ЕАД, ЕИК 175092750
  • „АДЖИБАДЕМ СИТИ КЛИНИК УНИВЕРСИТЕТСКА МНОГОПРОФИЛНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ ТОКУДА“ ЕАД, ЕИК 175077093

 

VІІI. Видове лични данни

МДЦ ПРЕВЕНТИКА ЕООД, гр. София е регистриран по закона за „ЗАКОН ЗА ЛЕЧЕБНИТЕ ЗАВЕДЕНИЯ“ и като такъв събира от субектите на лични данни както „обикновени“ така и „специални (чувствителни)“ данни:

  • национален граждански идентификатор (ЕГН, ЛНЧ или друго);
  • имена на пациента;
  • дата на раждане или възраст;
  • осигурителен номер (в условията на частен осигурител или платец), номер на Европейска здравно-осигурителна карта (ЕЗОК) и идентификатори на приравнени към нея регламенти;
  • осигурител (в условията на частен осигурител или платец);
  • населено място
  • адрес (само в случаите, когато това е необходимо за издаване или попълване на нормативни документи образци на НЗОК, Болничен лист и др.);
  • професия, месторабота (само в случаите, когато е необходимо издаването на Болничен лист);
  • имейл за връзка;
  • пол;
  • Медицински запис: медицинска диагноза, анамнеза, обективно състояние, терапия, медико диагностични и образни изследвания.
  • медицинска документация – съгласно медицинските стандарти.

 

  1. Срок на съхранение на личните данни

Срокът на съхранение на личните данни на пациентите се определя на базата на закона за здравето раздел V. , както и в медицинските стандарти. общото медицинско досие е минимум 5 /пет/ години съгласно Закона за здравето.

Видеозаписите се съхраняват в срок не повече от 30 дни съгласно Закона за частната охранителна дейност.

Лични данни от онлайн форми за запазване на час за срок не повече от 60 /шестдесет/ дни.

 

Х. Принципи на обработка на личните данни

  1. Обработването се основава на вашето съгласие;
  2. Обработването е необходимо за спазване на законовото ни задължение - Задължения на лечебното заведение за предоставяне на личните данни на пациентите на различни органи – напр. Изпълнителна агенция „Медицински одит“, РЗИ, ДЗОФ, НЗОК, и др.
  3. Обработването е необходимо, за да защитим вашите (жизненоважни) интереси (или интереси на друго лице) - МДЦ ПРЕВЕНТИКА ЕООД, гр. София съхранява здравен запис (досие) за всички пациенти с цел по-добро бъдещо лечение и диагностика.
  4. Съхраняване на лични данни за събиране и изготвяне на статистически данни с медицински цели след анонимизиране на личните данни на пациентите.
  5. Обработването на вашите данни е необходимо за изпълнение на договор с вас или намерението ни да сключим договор (ако е така, въвеждат се информация за договора);
  6. Обработването е необходимо, за да изпълним следната задача в обществен интерес;

 

ХI. Право на Субекта на Данни

Всеки субект има право на:

  • Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни
  • Информация, предоставяна при събиране на лични данни от субекта на данните
  • Информация, предоставяна, когато личните данни идват от субекта на данните
  • Право на достъп на субекта на данните
  • Право на коригиране
  • Право на изтриване (право „да бъдеш забравен“)
  • Право на ограничаване на обработването
  • Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването
  • Право на преносимост на данните
  • Право на възражение и автоматизирано вземане на индивидуални решения
  • Автоматизирано вземане на индивидуални решения, включително профилиране

 

ХII. Основни принципи при обработването на личните данни

  1. Добросъвестност и прозрачност: Принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели. Принципите на добросъвестно и прозрачно обработване са свързани със задължението на МДЦ ПРЕВЕНТИКА ЕООД като администратор за предоставяне на информация.
  2. Ограничение на целите: МДЦ ПРЕВЕНТИКА ЕООД се задължава да събира личните данни за конкретни, изрично указани и легитимни цели и личните данни не трябва да се обработват по-нататък по начин, несъвместим с тези цели.
  3. Свеждане на данните до минимум: Личните данни трябва да са подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват.
  4. Точност: МДЦ ПРЕВЕНТИКА следи се за точността на личните данни и за поддържането им в актуален вид. Предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, предвид целите, за които се обработват.
  5. Ограничение на съхранението: МДЦ ПРЕВЕНТИКА ЕООД съхранява личните данни във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват и за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането, за статистически цели, при прилагане на подходящи технически и организационни мерки, предвидени в Регламента, с цел да бъдат гарантирани правата и свободите на субекта на данните.
  6. Отчетност: МДЦ ПРЕВЕНТИКА ЕООД гарантира спазването на основните принципи на отчетност описани в Регламента като съблюдава обработването на личните данни да се извършва в съответствие с правилата на Регламента.
  7. Цялостност и поверителност: МДЦ ПРЕВЕНТИКА ЕООД обработва личните данни по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

 

XIII. Предоставяне на информация

Предоставяне на информация в писмена форма при събиране на лични данни от субекта на данните.

МДЦ ПРЕВЕНТИКА ЕООД предоставя на субекта на данните информация включваща идентификация на администратора, цели на обработването, получатели на лични данни, срок на съхранение и др., в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. Информацията се предоставя безплатно.

В случай, че възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, МДЦ ПРЕВЕНТИКА ЕООД предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел.

Предоставяне на информация в писмена форма, когато личните данни не идват от субекта на данните

Когато лични данни, свързани с даден субект на данни, не са получени от субекта на данните, МДЦ ПРЕВЕНТИКА ЕООД предоставя на субекта на данните информация включваща идентификация на администратора, цели на обработването, получатели на лични данни, срок на съхранение и др., в кратка, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при положение че идентичността на субекта на данните е доказана с други средства. МДЦ ПРЕВЕНТИКА ЕООД предоставя информацията:

  • В разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;
  • Ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или
  • Ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път. Информацията се предоставя безплатно.

Когато МДЦ ПРЕВЕНТИКА ЕООД възнамерява по-нататък да обработва личните данни за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел.

 

XIV. Достъп до личните данни

В качеството си на администратор МДЦ ПРЕВЕНТИКА ЕООД предоставя достъп на физическите лица до отнасящите се за тях лични данни.

МДЦ ПРЕВЕНТИКА ЕООД предоставя в срок от един месец от получаване на искане от субекта на данните потвърждение дали се обработват лични данни, свързани със субекта на данните.

Когато личните данни се предават на трета държава или на международна организация, субектът на данните има право да бъде информиран относно подходящите гаранции по член 46 от Регламента във връзка с предаването.

МДЦ ПРЕВЕНТИКА ЕООД предоставя копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, администраторът може да наложи разумна такса въз основа на административните разходи. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако субектът на данни не е поискал друго.

Срокът за предоставяне на горната информация е един месец от получаването на искането от субекта на данните, но може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако администраторът не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Информацията се предоставя безплатно.

 

  1. Коригиране на личните данни

МДЦ ПРЕВЕНТИКА ЕООД коригира без ненужно забавяне (в срок от един месец) неточните лични данни, свързани с него по искане на субекта на данните. Като се имат предвид целите на обработването субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация. Срокът може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД  информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако МДЦ ПРЕВЕНТИКА ЕООД  не предприеме действия по искането на субекта на данни, уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Коригирането се извършва безплатно.

 

XVI. Изтриване на личните данни

МДЦ ПРЕВЕНТИКА ЕООД изтрива свързани със субекта на данните лични данни без ненужно забавяне (в срок от един месец) по искане на субекта на данните. Срокът може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако МДЦ ПРЕВЕНТИКА ЕООД  не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Изтриването се извършва безплатно.

МДЦ ПРЕВЕНТИКА ЕООД изтрива данните само ако е приложимо някое от посочените по-долу основания:

  • Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  • Субектът на данните оттегля своето съгласие, върху което се основава обработването на данните;
  • Субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от регламента и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването на лични данни за целите на директния маркетинг;
  • Личните данни са били обработвани незаконосъобразно;
  • Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на съюза или правото на държава членка, което се прилага спрямо администратора; – личните данни са били събрани във връзка с предлагането на услуги на информационното общество на дете.

XVII. Ограничаване на обработването на личните данни

Ограничаване на обработването означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще. МДЦ ПРЕВЕНТИКА ЕООД се задължава да ограничи обработването на данните в срок от един месец по искане на субекта на данните. Срокът може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако МДЦ ПРЕВЕНТИКА ЕООД  не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Ограничаването се извършва безплатно.

Ограничаването следва да бъде извършено когато се прилага едно от следните условия, а именно:

  • Точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
  • Обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
  • Администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
  • Субектът на данните е възразил срещу обработването съгласно член 21, параграф 1 от регламента в очакване на проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

Когато се извърши ограничение на обработването, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка. Когато субект на данните е изискал ограничаване на обработването, администраторът го информира преди отмяната на ограничаването на обработването.

 

Уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването

МДЦ ПРЕВЕНТИКА ЕООД се задължава да съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. МДЦ ПРЕВЕНТИКА ЕООД информира субекта на данните относно тези получатели, ако субектът на данните поиска това.

 

XVIII. Осигуряване на преносимост на личните данни

МДЦ ПРЕВЕНТИКА ЕООД се задължава да предостави личните данни на субекта на данните, които го засягат и които са му били предоставени от субекта на данните, в структуриран, широко използван и пригоден за машинно четене формат, когато обработването е основано на съгласие в съответствие или на договорно задължение и обработването се извършва по автоматизиран начин.

МДЦ ПРЕВЕНТИКА ЕООД се задължава да прехвърли данните в срок от един месец по искане на субекта на данните. Срокът може да бъде удължен с два месеца. МДЦ ПРЕВЕНТИКА ЕООД  информира субекта на данните за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Ако МДЦ ПРЕВЕНТИКА ЕООД не предприеме действия по искането на субекта на данни, администраторът уведомява субекта на данни без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. Прехвърлянето се извършва безплатно.

 

XIX. Прекратяване обработването на личните данни

МДЦ ПРЕВЕНТИКА ЕООД  се задължава да прекрати обработването на личните данни, в следните случаи изброени по-долу, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

  • Обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;

или

  • Обработването е необходимо за целите на легитимните интереси на администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

МДЦ ПРЕВЕНТИКА ЕООД  се задължава да прекрати обработването на личните данни за целите на директния маркетинг, когато субектът на данни възрази срещу обработване за целите на директния маркетинг.

 

  1. Предоставяне на информация
  2. Относно право на възражение срещу обработване на лични данни: МДЦ ПРЕВЕНТИКА ЕООД предоставя информация на субекта на данните за правото на субекта на възражение срещу обработване на лични данни най-късно в момента на първото осъществяване на контакт със субекта на данните, която информация се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация.

Б. Относно право на възражение срещу обработване на лични данни за целите на директния маркетинг: МДЦ ПРЕВЕНТИКА ЕООД уведомява субекта на данни за съществуването на право на възражение за обработване на лични данни за целите на директния маркетинг. МДЦ ПРЕВЕНТИКА ЕООД  се задължава да предостави информация за правото на субекта на възражение срещу обработване на лични данни за целите на директния маркетинг най-късно в момента на първото осъществяване на контакт със субекта на данните, която информация се предоставя чрез уведомление по ясен начин и отделно от всяка друга информация. МДЦ ПРЕВЕНТИКА ЕООД  се задължава да прекрати обработването на личните данни за целите на директния маркетинг, когато субектът на данни възрази срещу обработване за целите на директния маркетинг.

 

XXI. Осигуряване на сигурност при обработването чрез въвеждане на технически и организационни мерки

МДЦ ПРЕВЕНТИКА ЕООД въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на лични данни се извършва в съответствие с Регламента. Тези мерки се преразглеждат и при необходимост се актуализират.

Такива мерки са:

  • Псевдонимизация и криптиране на личните данни;
  • Способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
  • Способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
  • Процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването;
  • Свеждане на данните до минимум: обработват се само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица;
  • Сътрудничество с надзорния орган за защита на личните данни при изпълнение на задълженията, произтичащи то регламента;
  • Ограничаване на броя на лицата, които имат достъп до данните.

 

XXII. Обработване на личните данните от името на мдц превентика еоод

Когато обработването се извършва от името на МДЦ ПРЕВЕНТИКА ЕООД, МДЦ ПРЕВЕНТИКА ЕООД се задължава да използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента и да осигурява защита на правата на субектите на данни. Обработващият данни няма право да включва друг обработващ данни без предварителното конкретно или общо писмено разрешение на администратора. В случай на общо писмено разрешение, обработващият данни винаги информира администратора за всякакви планирани промени за включване или замяна на други лица, обработващи данни, като по този начин даде възможност на администратора да оспори тези промени.

Обработването от страна на обработващия лични данни се урежда с договор или с друг правен акт, който е задължителен за обработващия лични данни спрямо администратора, и който регламентира предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора.

 

XXIII. Сътрудничество с надзорния орган

МДЦ ПРЕВЕНТИКА ЕООД  и обработващият лични данни се задължават да си сътрудничат с надзорния орган при изпълнението на неговите задължения.

В случай на нарушение на сигурността на личните данни, МДЦ ПРЕВЕНТИКА ЕООД, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа, след като е разбрал за него, се задължава да уведоми за нарушението на сигурността на личните данни надзорния орган, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа. Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

МДЦ ПРЕВЕНТИКА ЕООД  се задължава да документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

 

XXIV. Съобщаване на субекта на данните за нарушение на сигурността на личните данни

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, МДЦ ПРЕВЕНТИКА ЕООД, без ненужно забавяне се задължава да съобщи на субекта на данните за нарушението на сигурността на личните данни.

 

XXV. Обезщетение за претърпени вреди

МДЦ ПРЕВЕНТИКА ЕООД или обработващият лични данни се задължават да обезщетят всички вреди, които дадено лице може да претърпи в резултат на обработване на данни, което нарушава Регламента.

 

XXVI. Извършване на оценка на въздействието

Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, МДЦ ПРЕВЕНТИКА ЕООД извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. В една оценка може да бъде разгледан набор от сходни операции по обработване, които представляват сходни високи рискове. При извършването на оценка на въздействието върху защитата на данните администраторът иска становището на определеното длъжностно лице по защита на данните.