Политика за защита на личните данни в Медицински комплекс "Д-р Щерев"
Медицински комплекс "Д-р Щерев" е лечебно заведение, упражняващо дейност в Република България, която се ръководи и извършва съвместно от:
- Търговско дружество, с фирма „СПЕЦИАЛИЗИРАНА АКУШЕРО-ГИНЕКОЛОГИЧНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ Д-Р ЩЕРЕВ“ ЕООД, вписано в Агенция по вписванията, Търговски регистър и регистър на юридическите лица с нестопанска цел с ЕИК: 131134991,
и
- Търговско дружество, с фирма „МЕДИЦИНСКИ ЦЕНТЪР РЕПРОДУКТИВНО ЗДРАВЕ“ ООД, вписано в Агенция по вписванията, Търговски регистър и регистър на юридическите лица с нестопанска цел с ЕИК: 131153995.
При упражняване на дейността си и за осъществяване на своите цели Медицински комплекс "Д-р Щерев" събира, обработва и съхранява лични данни на физически лицa, при спазване на условията, предвидени в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (GDPR), Закона за защита на личните данни, нормативните актове в сферата на здравеопазването и настоящата политика за защита на личните данни.
Определения на част от термините, използвани в настоящата Политика:
„Лични данни“ е всяка информация, която се отнася до физическо лице и чрез която то може да бъде пряко или непряко идентифицирано.
„Здравна информация“ са лични данни, свързани със здравословното състояние, физическото и психическото здраве на лицата, включително предоставянето на здравни услуги, които дават информация за здравословното състояние на физическото лице.
„Обработка на лични данни“ са всички действия и дейности, които могат да се извършат по отношение на личните данни, независимо дали се извършват от физическо лице, или при използване на алгоритми, автоматизирани или не, и други средства.
„Администратор на лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
С настоящата Политика се предоставя информация относно:
Администратора на личните данни:
1. Tърговско дружество с фирма „СПЕЦИАЛИЗИРАНА АКУШЕРО-ГИНЕКОЛОГИЧНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ Д-Р ЩЕРЕВ“ ЕООД, вписано в Агенция по вписванията, Търговски регистър и регистър на юридическите лица с нестопанска цел с ЕИК: 131134991, със седалище и адрес на управление в град София 1330, район Красна поляна, ж.к. „Разсадника”, ул. „Христо Благоев” №25-31, тел.02/9200901, email:contact@shterevhospital.com
и
2. Tърговско дружество с фирма „МЕДИЦИНСКИ ЦЕНТЪР РЕПРОДУКТИВНО ЗДРАВЕ“ ООД, вписано в Агенция по вписванията, Търговски регистър и регистър на юридическите лица с нестопанска цел с ЕИК: 131153995, със седалище и адрес на управление в град София 1330, район Красна поляна, ж.к. „Разсадника”, ул. „Христо Благоев” №25-31, тел.02/9200901, email:contact@shterevhospital.com
Целите и правното основание за обработването на лични данни и здравна информация:
Обработването на лични данни е пряко свързано с дейността на лечебното заведение по предоставяне на медицински услуги и е пряко свързано с изпълнение на законовите задължения в сферата на здравеопазването.
Администраторите на лични данни, по т.1 и т.2 по-горе, обработват лични данни във връзка с осъществяване на законоустановените си правомощия, произтичащи от качеството им на лечебни заведения, по смисъла на Закона за лечебните заведения, както и правомощия, предвидени в Регламент (ЕС) 2016/679 (Общ регламент за защита на личните данни, нар. ОРЗД), Закона за здравното осигуряване, Национален рамков договор, Закон за здравето и др.
Медицинските специалисти и служителите на Медицински комплекс „Д-р Щерев“ законосъобразно обработват лични данни и здравна информация на основание чл.6 от ОРЗД, доколкото е приложимо едно от следните условия:
А) субектът на данните е дал съгласие за обработване на личните му данни за една или повече конкретни цели;
Б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
В) обработването е необходимо за спазването на законово задължение, което се прилага спрямо администратора;
Г) обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.
На основание чл. 9, параграф 2, буква „з“ от ОРЗД всички медицински специалисти, работещи към Медицински комплекс „Д-р Щерев“, имат право на достъп до здравна информация и обработват лични данни на своите пациенти в изпълнение на служебните си задължения. В тази връзка е и горецитираната разпоредба, съгласно която забраната за обработване на лични данни, разкриващи данни за здравословното състояние, НЕ се прилага, ако е налице условието обработването да е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка, или съгласно договор с медицинско лице и при условията на гаранциите, посочени от регламента. В допълнение Закона за здравето оправомощава лечебните и здравните заведения, лекарите, фармацевтите и другите медицински специалисти да събират, обработват, използват и съхраняват здравна информация.
Отделно от горното, обработването на определени категории лични данни от служители на Медицински комплекс „Д-р Щерев“ е свързано и с изпълнение на изискванията на трудовото законодателство по отношение на служителите, както и гарантиране сигурността на пациентите и техните лични данни.
Обработването на лични данни за директен маркетинг се осъществява при наличие на съгласие на лицето за обработване на личните му данни за тези конкретни цели. Веднъж дадено, съгласието може да бъде оттеглено от лицето по всяко време, като оттеглянето има действие занапред.
Категориите получатели на лични данни:
Достъп до лични данни и здравна информация на физическите лица за събиране, коригиране, съхранение, обработка и заличаване на лични данни и здравна информация се осъществява от или под ръководството на професионален работник, обвързан от задължението за професионална тайна по силата на правото на Съюза или националното законодателство.
Националното законодателство на Република България предвижда такова задължение за професионална тайна за медицинските специалисти и служители в лечебните заведения, като в Закона за здравето е разписана забрана за разгласяване информация за пациента, която е получена при изпълнение на служебни задължения.
В изпълнение на законовата разпоредба на Закона за здравето, Медицински комплекс „Д-р Щерев“ може да предостави здравна информация на трети лица, когато:
1. лечението на лицето продължава в друго лечебно заведение;
2. съществува заплаха за здравето или живота на други лица (след уведомяване на съответното лице);
3. е необходима при идентификация на човешки труп или за установяване на причините за смъртта;
4. е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
5. е необходима за нуждите на медицинската експертиза и общественото осигуряване;
6. е необходима за нуждите на медицинската статистика или за медицински научни изследвания, след като данните, идентифициращи пациента, са заличени;
7. е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт;
8. е необходима за нуждите на застраховател, с определен вид лиценз към Кодекса за застраховането (например Застраховка „Живот" и рента, женитбена и детска застраховка, постоянна здравна застраховка, изкупуване на капитал, допълнителна застраховка, застраховка за злополука, застраховка за заболяване и т.н.)
Мерките за защита на личните данни:
Като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, в Медицински комплекс „Д-р Щерев“ се прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително:
- способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
- способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
- процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.
В рамките на територията на Медицински комплекс „Д-р Щерев“ също така се осъществява охрана по реда на Закона за частната охранителна дейност, като са налице видеозаснемане, физическа охрана и контрол на достъпа.
Тъй като всички данни, събирани, съхранявани и/или обработвани, се съхраняват на електронен и/или хартиен носител, то физическа защита се прилага по отношение на компютрите, на които се намират лични данни и по отношение на помещенията, в които се съхраняват лични данни.
Медицински комплекс „д-р Щерев“ е предприел и извършва всички необходими и допустими мерки за защита на личните данни с оглед обезпечаване най-високо ниво на защита и сигурност, с цел опазване конфиденциалността и гарантиране на спокойствието на всички свои пациенти, служители и клиенти.
Срокът, за който се съхраняват данните или критериите, използвани за определяне на този срок:
Всички събрани лични данни се съхраняват в съответствие и при условията, предвидени от ОРЗД и националното законодателство на република България, като се спазват сроковете, определени в нормативните актове за различните категории по вид и характер данни.
Формите и съдържанието, както и условията и редът за обработване, използване и съхраняване на медицинската документация и за обмен на медико-статистическа информация, се определят с наредби на министъра на здравеопазването, съгласувани с Националния статистически институт.
Всички записи от охранителните системи на Медицински комплекс „Д-р Щерев“ се съхраняват по реда и за сроковете, предвидени в Закона за частната охранителна дейност.
Всички записи от запитвания и разговори, осъществявани чрез официалните комуникационни канали на Медицински комплекс „Д-р Щерев“, се съхраняват за минимално допустимия от законодателството срок.
Всички лични данни, съдържащи се в документите, свързани с трудовите правоотношения на служителите в Медицински комплекс „Д-р Щерев“, се обработват и съхраняват в изпълнение на изискванията на трудовото законодателство на България.
Правата на субектите на лични данни
Всяко физическо лице, чиито данни се обработват от Медицински комплекс „Д-р Щерев“, има следните права:
1. Право на достъп до личното му досие, включително да получи копие от част или цялата налична в него информация
При заявка от страна на лицето, Медицински комплекс „Д-р Щерев“ може да предостави копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от субекта на данните, Медицински комплекс „Д-р Щерев“ може да наложи разумна такса въз основа на административните разходи.
Онлайн достъп до резултати от лабораторни изследвания, разчитанията на образни изследвания и други се предоставя чрез интернет сайта на Медицински комплекс „Д-р Щерев“. С цел защита на личните данни, идентификационният номер и паролата за онлайн достъп се предоставят само лично. Не се допуска предоставянето им по телефона.
2. Право на коригиране на личните данни
Субектът на данни има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването, субектът на данните има право непълните лични данни да бъдат попълнени, включително чрез добавяне на декларация.
3. Право на изтриване на лични данни, които са събрани или се обработват, без да е налице правно основание за това
Субектът на данни има правото да поиска от администратора изтриване на свързаните с него лични данни без ненужно забавяне, а администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените в чл. 17, параграф 1 от ОРЗД основания.
Доколкото обаче обработването на лични данни е необходимо по причини от обществен интерес в областта на общественото здраве в съответствие с чл. 9, параграф 2, буква „з“, а именно обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице, правото на изтриване при заявка на субекта на лични данни НЕ се прилага.
4. Право на ограничаване на обработването
Всяко лице, чиито лични данни се обработват в Медицински комплекс „Д-р Щерев“, има право да подаде заявление за ограничаване обработката на личните си данни, в случаите, посочени в чл. 18 на ОРЗД, така например в случай на правен спор до неговото разрешаване или за установяване, упражняване или защита на правен интерес.
Когато обработването на лични данни е ограничено, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес за Съюза или държава членка.
Преди отмяната на ограничаването, администраторът информира субекта на данните, изискал ограничаването.
5. Право на преносимост на данните
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.
6. Право на възражение срещу обработването
Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг.
Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
Когато лични данни се обработват за целите на научни или исторически изследвания или за статистически цели, субектът на данните има право, въз основа на конкретното си положение, да възрази срещу обработването на лични данни, отнасящи се до него, освен ако обработването е необходимо за изпълнението на задача, осъществявана по причини от публичен интерес
7. Право на оттегляне на съгласие за обработване на лични данни
Когато обработването се основава на дадено изрично съгласие от субекта на личните данни, същият има право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено
8. Право на жалба до надзорен орган
В съответствие със Закона за защита на личните данни и Общия регламент за защита на данните, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба до: Комисията за защита на личните данни с адрес: бул. „Проф. Цветан Лазаров” № 2, гр. София 1592
Посочените по-горе права, освен подаването на жалба до надзорен орган, могат да се упражнят и чрез подаване на писмено заявление на адрес: град София 1330, район Красна поляна, ж.к. „Разсадника”, ул. „Христо Благоев” №25-31.
Заявлението се отправя лично от субекта на данни или от изрично упълномощено от него лице с нотариално заверено пълномощно, като копие от него се предоставя към заявлението.
Отговор на искане на упражнено право се изготвя на хартиен носител и се получава от заявителя на адреса на лечебното заведение, или се изпраща до посочен от заявителя или пълномощника електронен адрес.