Политика за поверителност 

в съответствие с регламент(ЕС) 2016/679 на Европейския парламент

 

I. Определения

Посочените по-долу определения са приети в съответствие с Регламент (ЕС) 2016/679:

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко чрез използването на идентификатор („субект на данни“);

„Специална категория лични данни“ означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„Субект на данни“ означава физическо лице, чиито лични данни се обработват от МБАЛ “Еврохоспитал” ООД;

„Администратор“ означава МБАЛ “Еврохоспитал” ООД, което определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на ЕС или в правото на държава членка;

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или обработващия лични данни имат право да обработват личните данни;

„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

„Лечебно заведение“ означава МБАЛ “Еврохоспитал” ООД, което предоставя медицински услуги в съответствие със Закона за лечебните заведения;

„Надзорен орган“ означава Комисията за защита на личните данни в Република България.

II. Предмет и обхват

„МНОГОПРОФИЛНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ-ЕВРОХОСПИТАЛ“ ООД, гр. Варна, р-н Одесос, ул. “КАВАЛА” №40, ет.3 ап.7, ЕИК 103929677, с представляващ ЧАВДАР АТАНАСОВ ДОБРЕВ, тел./факс: +359 52 387 900 е българско юридическо лице. 

Тази Политика се прилага по отношение на „МНОГОПРОФИЛНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ-ЕВРОХОСПИТАЛ“ ООД.

Целта на настоящата Политика е да предостави ясна и изчерпателна информация на субектите, относно утвърдените стандарти за защита на личните данни, които лечебното заведение прилага в съответствие с изискванията на Регламент (ЕС) 2016/679 („Регламент/а/ът“) и приложимото българско законодателство.

МБАЛ “Еврохоспитал” обработва личните данни в съответствие с нормативните изисквания на Регламента и на действащото българско законодателство.

Политиката се прилага и по отношение на събирането, обработването и споделянето на лични данни за вътрешни административни цели.

III. КАТЕГОРИИ СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ

1. Пациенти и техни роднини/близки

МБАЛ “Еврохоспитал” събира лични данни директно от пациентите при предоставяне на здравни/медицински услуги, както и за административни и вътрешни бизнес цели, включително за правни интереси, свързани с присъствие/престой/лечение на пациент в рамките на лечебното заведение.

При предоставяне на здравни/медицински услуги, МБАЛ “Еврохоспитал” може да събират следните категории лични данни:

• Обикновени лични данни: имена, ЕГН, паспортни данни, адрес, месторождение, телефон, електронна поща, пол, номер на здравна застраховка, финансова информация, друга относима информация, свързана с предоставянето на здравна/медицинска услуга;

• Специална категория лични данни: здравословно състояние, генетични данни, а когато е относимо данни за сексуалния живот и сексуална ориентация. Най-често такива данни се съдържат в медицинската документация (епикризи, амбулаторни листове, други документи, част от история на заболяванията, лабораторни резултати, консултации и становища, рецепти с предписан режим на лечение, образи и изследвания, и др.).

При спешни и неотложни случаи, лична информация за пациент, може да бъде събирана и от негови близки и роднини.

В някои случаи, лечебното заведение може да участва в извършване на клинични проучвания. При тези случаи, ако субектът на данни бъде поканен да вземе участие в клиничното проучване, той ще получи предварително информация, относно естеството и характера на проучването, както и каква лична информация е необходима за извършването му.

В случай, че МБАЛ “Еврохоспитал” реши да обработва данни на субекти за маркетингови цели, то предприема необходимите мерки, за да получи предварително информирано съгласие от субекта на данни.

1. Кандидати за работа

• Обикновени лични данни: Информация, съдържаща се в CV/автобиография на кандидата, като имена на лицето, данни за контакт (телефонен номер и електронна поща), копия от документи за професионална и образователна квалификация и др.

Когато това се налага, с оглед на нормативните изисквания към медицински и други специалисти, кандидати за определена свободна работна позиция, е възможно от лицето да бъде изискана допълнителна информация, включително чувствителни лични данни. В тези случаи, съответното Дружество информира лицето за конкретното нормативно основание, въз основа на което информацията трябва да бъде предоставена, както и за последствията от непредоставянето й.

1. Персонал

МБАЛ “Еврохоспитал” събира следните категории лични данни от работници/служители:

• Обикновени лични данни: имена, ЕГН, паспортни данни, образование и квалификации, професия, трудов стаж, трудовото възнаграждение, данни за банкова сметка и други;
• Специална категория лични данни: информация за здравен статус, съдържаща се в болнични листове, документи, удостоверяващи трайна неработоспособност и/или други документи, необходими съгласно приложимото законодателство за съответната длъжност или с оглед упражняване на специфични права на работника/служителя.

В общия случай, МБАЛ “Еврохоспитал” не обработва лични данни на работници/служители въз основа на съгласие. Въпреки това е възможно, в определени ситуации съгласието да е необходимо, когато същото се изисква според приложимото законодателство, включително за обработването на специална категория лични данни.

1. Интернет потребители

На основната интернет страница https://www.eurohospitalbg.com/ на МБАЛ “Еврохоспитал”, както и на свързаните с нея интернет страници, се използват „бисквитки”. Поради това, когато потребителите ги достъпват е възможно за тях да се събират данни като: вид операционна система, доставчик на интернет услуги и други. За повече информация, моля, вижте съответната Политика за бисквитки.

На уебсайта на МБАЛ “Еврохоспитал” има форма за контакт. При попълване на формата за контакт, потребителят предоставя следната информация: име и фамилия, телефон, електронна поща.

В допълнение, на интернет страниците, в рубриката „За нас” и в нейните под рубрики, се публикува информация, материали и новини, които могат да съдържат лични данни за служители на МБАЛ “Еврохоспитал”, като например: имена, позиция, изображение и друга относима информация.

Освен това, в рубриката „Пациентите за нас“, се публикуват благодарствени писма на пациенти. Поради описателният характер, които тези писма имат, е възможно същите да съдържат лични данни, които се заличават преди публикуване.

1. Заявители/искатели/жалбоподатели/молители

При защита на свои правни интереси, администраторите в МБАЛ “Еврохоспитал” обработват следните категории лични данни:

• Обикновени лични данни: имена, ЕГН, паспортни данни, електронен адрес, адрес, и други данни, изложени в жалби, заявления, искови молби, актове, наказателни постановления и др.;

• Специална категория лични данни: данни за здравословното състояние.

1. Бизнес партньори, клиенти и доставчици

МБАЛ “Еврохоспитал” обработва лични данни на физически лица, които представляват (по закон или по пълномощие) или работят за бизнес партньори, доставчици и инвеститори на МБАЛ “Еврохоспитал”. Поради това, и доколкото е допустимо в процеса на обичайната търговска дейност, МБАЛ “Еврохоспитал” може да обработва следните категории лични данни:

• Обикновени лични данни: Имена, адрес, телефон, електронен адрес и други данни, които са относими в конкретния случай.

IV. ЦЕЛ И ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В МБАЛ “Еврохоспитал”

1. Пациенти и техни роднини/близки

МБАЛ “Еврохоспитал” обработва лични данни за здравословното състояние на пациентите при стриктно спазване на изискванията на Регламент (ЕС) 2016/679 и приложимото законодателство, доколкото това обработване е необходимо за целите на медицинската диагноза, за осигуряване на здравни и социални грижи и лечение на пациента, както и когато това е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служител.

В допълнение, към конкретния случай, се прилага някое от следните алтернативни основания:

• Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
• Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;
• Субектът на данни в определени случаи е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка изключва възможността за подобно съгласие от субекта на данни.

1. Кандидати за работа

МБАЛ “Еврохоспитал” обработва личните данни на кандидати за работа за целите на подбора на персонал, при следните основания:

• Предприемане на стъпки по искане на субекта на данни преди сключването на договор;
• Обработването е необходимо за целите на легитимните интереси на съответното дружество, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните;
• Предварително дадено изрично съгласие от субекта на данните;

1. Персонал

В общия случай, МБАЛ “Еврохоспитал” обработва данни за персонала когато:

• Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;

Обработването е необходимо за спазването на законово задължение, по-специално във връзка с трудовото и социалното законодателство.

Обработването е необходимо за целите на легитимните интереси на МБАЛ “Еврохоспитал”, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните;

По изключение, лични данни може да бъдат обработвани въз основа на съгласие от субекта на данните за една или повече конкретни цели (например маркетинг).

МБАЛ “Еврохоспитал” може да обработва специални категории лични данни за свои служители/работници – данни за здравословното състояние, когато обработването е необходимо за целите на трудовото право и правото в областта на социалната сигурност и социалната закрила в съответствие с приложимото национално законодателство;

Лични данни, свързани с присъди и нарушения (под формата на свидетелства за съдимост) за служители се събират и обработват от МБАЛ “Еврохоспитал”, само когато това е предвидено в нормативен акт.

1. Видеонаблюдение

Данните от видеонаблюдението се обработват с цел:

• Защита на легитимните интереси на МБАЛ “Еврохоспитал”;
• Когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.

В конкретно определени случаи, е възможно видеонаблюдението да се извършва и в резултат на нормативно задължение, което МБАЛ “Еврохоспитал” има по отношение на конкретно помещение в обекта.

 

Личните данни на служителите, публикувани в рубриката „За нас“ на интернет страницата на МБАЛ “Еврохоспитал”, се обработват след предварителното съгласие на субекта на данни.

МБАЛ “Еврохоспитал” обработва личната информация, съдържаща се в благодарствените писма на пациенти, публикувани в рубриката „Пациентите за нас“, въз основа на свой легитимен интерес, свързан с популяризиране и изграждане на доверие в качеството на предлаганите здравни/медицински услуги от съответното лечебно заведение.

1. Заявители/искатели/жалбоподатели/молители

МБАЛ “Еврохоспитал” обработва лични данни на тези категории субекти само, доколкото това е необходимо за защита на свои легитимни интереси, както и за упражняване или защита на правни претенции към администратора. В определени случаи, данните се обработват и в изпълнение на нормативно установено задължение за администратора.

1. Бизнес партньори, клиенти и доставчици

МБАЛ “Еврохоспитал” обработва данни за бизнес партньори, клиенти и доставчици, доколкото това е необходимо за изпълнение на договор, по който субектът на данни е страна или за предприемане на стъпки по искане на субекта на данни преди сключването на договор. В други случаи е възможно, обработването на тези лични данни да е необходимо за защита на легитимните интереси на администратор от МБАЛ “Еврохоспитал” или при спазването на законови задължения за МБАЛ “Еврохоспитал”;

 

V. ПОЛУЧАТЕЛИ И КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

1. В организационната структура на  МБАЛ “Еврохоспитал”. 

Обработването на лични данни може да включва обмен на данни между различните звена в  МБАЛ “Еврохоспитал” във връзка с постигане на вътрешно административни цели, като същевременно се спазват принципите за защита на личните данни и се въвеждат подходящи гаранции за тяхната сигурност.

1. Извън  МБАЛ “Еврохоспитал”

Лични данни може да бъдат споделени с различни категории получатели. Така например, при изпълнение на законови задължения за администратора, лични данни могат да бъдат предоставени на Национална агенция за приходите, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, Национална здравно-осигурителна каса, Регионална здравно-осигурителна каса, Министерство на здравеопазването, Изпълнителна агенция по лекарствата, Изпълнителна агенция „Медицински одит“, Агенция за ядрено регулиране, на компетентни правоохранителни, правоприлагащи органи, както и на други държавни органи и учреждения.

 МБАЛ “Еврохоспитал” предава данни на други физически/юридически лица, които предоставят определен вид стока или услуга на  МБАЛ “Еврохоспитал”, включително услуги по информационно поддържане и сигурност на IT системите, счетоводно обслужване, архив и други. В тези случаи,  МБАЛ “Еврохоспитал” сключва писмено споразумение с конкретния доставчик на услугата, който е предоставил достатъчно гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и да осигурява защита на правата на субектите на данни.

 МБАЛ “Еврохоспитал” поддържа партньорски отношения с други независими администратори на лични данни – застрахователни дружества, висши учебни заведения по медицина, други лечебни заведения, лекари на индивидуална практика и други. Във връзка с тези партньорски отношения е възможно страните да споделят помежду си определени данни, например при предоставяне на здравни/медицински услуги, при придобиване на професионални и научни квалификации и т.н. В тези случаи, администраторите от  МБАЛ “Еврохоспитал” информират по подходящ начин субектите на данни за тези категории получатели, както и сключват допълнително споразумение със съответния независим администратор, с което гарантират поверителността и конфиденциалността на личните данни, които се споделят.

Когато е налице фигурата на съвместни администратори между  МБАЛ “Еврохоспитал” и друг, външен администратор, те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по Регламент (ЕС) 2016/679 посредством договореност помежду си.

 

VI. ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ СТРАНИ ИЗВЪН ЕС И ЕИП 

МБАЛ “Еврохоспитал” може да предава лични данни на страни извън Европейския съюз и Европейското икономическо пространство само при спазване на изискванията на Регламент (ЕС) 2016/679 и по-специално на тези, разписани в глава V от него.

Предаването се извършва въз основа на решение на Европейската комисия, относно адекватното ниво на защита, което осигурява въпросната трета страна.

При липса на такова решение на Европейската комисия, предаването на трета страна може да се извърши, само ако са налице подходящи гаранции и при условие, че са налице приложими права на субектите на данни и ефективни правни средства за защита. Подходящи гаранции представляват приемане на задължителни фирмени правила, стандартни клаузи за защита на личните данни, одобрен кодекс на поведение или одобрен механизъм за сертифициране.

Алтернативно, предаване на лични данни към трета страна, може да се извърши след дадено изрично съгласие на субекта на данните или когато са налице други основания, посочени в член 49, параграф 1 от Регламент (ЕС) 2016/679.

 

VII. СРОКОВЕ ЗА СЪХРАНЕНИЕ НА ЛИЧНИ ДАННИ В МБАЛ “Еврохоспитал”

МБАЛ “Еврохоспитал” съхранява предоставената им информация в сроковете определени съгласно нормативната уредба и при спазване на принципа за „ограничение на съхранението“ и по-конкретно:

• Лични данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация;
• Личните данни на работници/служители, съдържащи се в трудовоосигурителната документация, се съхраняват за срок от 50 (петдесет) години в съответствие със Закона за националния архивен фонд, Закона за счетоводството, Кодекса за социално осигуряване и Данъчноосигурителния процесуален кодекс;
• Личните данни на кандидати за работа, които не са одобрени за назначаване в МБАЛ “Еврохоспитал”  се съхраняват за срок не по-дълго от 6 (шест) месеца от приключване на процедурата, след което се връщат на лицето или се унищожават по подходящ начин. Личните данни може да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на предоставено съгласие от кандидата за работа;

• Записите от техническите средства за видеонаблюдение се съхраняват 2 (два) месеца от изготвянето им;
• Лични данни, съдържащи се в счетоводни документи се съхраняват в сроковете по член 12 от Закона за счетоводството.

VIII. СРОКОВЕ ЗА СЪХРАНЕНИЕ НА ЛИЧНИ ДАННИ В МБАЛ “Еврохоспитал”

1. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
   1. Субектите на данни имат следните права:

• право на достъп до лични данни;
• право на коригиране или допълване на неточни или непълни лични данни;
• право на изтриване на лични данни;
• право на ограничаване на обработването;
• право на преносимост на лични данни;
• право на възражение.

МБАЛ “Еврохоспитал”, в зависимост от правните основания, на които обработва лични данни, е определило в своята политика, конкретните права, с които субектите на данни разполагат, както и начина, по който те се упражняват. Всеки администратор от МБАЛ “Еврохоспитал”  е самостоятелно отговорен за исканията, които получава от субект на данните.

IX. ПРАВО НА ЖАЛБА ДО НАДЗОРЕН ОРГАН

Всеки субект на данни, при определените в приложимото законодателство предпоставки, може да подаде жалба до Комисията за защита на личните данни на адрес: гр. София, п.к. 1592, бул. „Проф. Цветан Лазаров“ № 2,

1. МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

МБАЛ “Еврохоспитал” има въведени технически и организационни мерки, с цел защита на личните данни на физическите лица от нерегламентиран достъп, грешки или злоупотреба. МБАЛ “Еврохоспитал” се задължава да спазват всички гарантирани, с европейските и националните закони, права на физическите лица, свързани със защитата на техните лични данни.

МБАЛ “Еврохоспитал” има приети вътрешни правила и процедури от организационен и технически характер, включително определяне на нива на достъп, които обезпечават поверителността на данните.

МБАЛ “Еврохоспитал” съблюдава всяко нормативно изискване, съобразно своя предмет на дейност, като отчитат конкретните обстоятелства, формите на събиране на данните, правните основания и целта на тяхното обработване.

Личните данни в МБАЛ “Еврохоспитал” се обработват единствено от изрично упълномощени за това лица, които са информирани за своите задължения, свързани със защитата на личните данни и са поели ангажимент на конфиденциалност.

Помещенията, където се обработват и съхраняват лични данни са с ограничен достъп само за служителите, обработващи тези данни.

МБАЛ “Еврохоспитал” провежда първоначални и последващи обучения на своите служители/работници по отношение на политиките и процедурите за защита на личните данни.

2. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ В МБАЛ “Еврохоспитал”

Съгласно чл.37, пар.2 от Регламента, МБАЛ “Еврохоспитал” е определила общо длъжностно лице по защита на данните.

Длъжностното лице по защита на данните контролира спазването на настоящата Политика, приложима за МБАЛ “Еврохоспитал” и служи като единната точка за контакт за всички субекти на данни, във връзка с упражняване на правата им съгласно тази Политика и приложимото законодателство за защита на личните данни.

Длъжностно лице по защита на данните е:

Пламен Павлов

тел.: + 359 887 204 143

електронна поща: eurohospitabg@abv.bg

 

Длъжностното лице по защита на данните оказва съдействие на субектите на данни и е длъжно да изпълнява задълженията си съгласно чл. 37-39 от Регламент (ЕС) 2016/679. Субектът на данни може да адресира всички свои искания и въпроси, свързани с упражняване на правата му по Регламента към посоченото ДЛЗД.

Тази Политика за защита на личните данни е съставена и приета от МБАЛ “Еврохоспитал” в качеството му на администратори на лични данни, с оглед изпълнение на задълженията им за предоставяне на информация на субектите на данни по чл. 13 и чл. 14 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

Тази Политика за защита на личните данни е утвърдена дружествата от МБАЛ “Еврохоспитал” и е в сила от 01.05.2018 г