ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
За целите на своята дейност като лечебно заведение и търговско дружество „РЕЗИДЕНЦИЯ СВЕТИ СИМЕОН“ ЕООД, ЕИК 206824895, наричано тук по-долу „ДРУЖЕСТВОТО“, обработва лични данни на физически лица в строго съответствие с Общия регламент за защита на данните – Регламент ЕС 2016/679, Закона за защита на личните данни, нормативните актове в сферата на здравеопазването и настоящата Политика за защита на личните данни.
Настоящата Политика за защита на личните данни има за цел да обясни на потребителите/пациентите какви лични данни обработва дружеството в съответствие с Регламента и във връзка с изпълнението на взаимните ни задължения, както и защо и как ги обработва, в това число кога е необходимо да се разкриват лични данни на трети лица. Също така, с нея се предоставя информация за правата, които потребителите/пациентите имат във връзка с обработването на лични данни от страна на дружеството. Тази Политика за защита на личните данни се прилага по отношение на личните данни, които дружеството събира и обработва във връзка с предоставяните от него продукти и услуги.
Настоящата политика съдържа и предоставя информация относно:
- Дефиниции на основната терминология, съгласно Регламент ЕС 2016/679;
- Обхват и действие на политиката на дружеството по защита на личните данни;
- Принципи за защита на данните;
- Кой е администратор на личните данни;
- На кои физически лица личните данни се обработват от дружеството;
- За какви цели, какви лични данни и на какво правно основание се обработват;
- На кого се предават или разкриват личните данни;
- Сроковете за съхранение на личните данни;
- Мерките за гарантиране на сигурността на данните;
- Правата на лицата и начина за тяхното упражняване.
ДЕФИНИЦИИ
„Регламент“ – Общ регламент за защита на данните 2016/679 от 27 април 2016 година, замества Директивата 95/46 / ЕО за защита на данните. Има пряко действие и предполага изменение в законодателството на страните-членки в областта на защитата на личните данни. Неговата цел е да защитава „правата и свободите“ на физическите лица и да се гарантира, че личните данни не се обработват без тяхно знание, и когато е възможно, че се обработва с тяхно съгласие.
„Лични данни“ – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Специални категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравето или данни относно сексуалния живот на физическо лице или сексуална ориентация.
„Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице. Тези данни се ползват със специална защита, предвид техния чувствителен характер, и се обработват от медицински специалисти, обвързани от задължение за професионална тайна.
„Обработване“ – означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Администратор“ – всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„Субект на данните“ – всяко живо физическо лице, което е предмет на личните данни съхранявани от Администратора.
„Съгласие на субекта на данните“ – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Профилиране“ – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„Нарушение на сигурността на лични данни“ – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Основно място на установяване“ – седалището на администратора в ЕС ще бъде мястото, в което той взема основните решения за целта и средствата на своите дейности по обработване на данни. По отношение на обработващия лични данни основното му място на установяване в ЕС ще бъде неговият административен център.
„Получател“ – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
Обработване на лични данни е всяка операция или съвкупност от операции, които могат да се извършат по отношение на личните данни с автоматични или други средства.
Обхват и действие на политика на дружеството по защита на личните данни
- Ръководството на дружеството, се ангажират да осигури съответствие със законодателството на Европейския съюз и държавите-членки по отношение на обработването на личните данни и защитата на „правата и свободите“ на лицата, чиито лични данни дружеството събира и обработва съгласно Регламента.
- Регламентът и тази политика се отнасят до всички функции по обработването на лични данни, включително тези, които се извършват относно лични данни на клиенти, пациенти, служители, доставчици и партньори и всякакви други лични данни, които дружеството обработва от различни източници.
- Тази политика се прилага за всички служители/работници, както и за трети заинтересованите страни като външни доставчици. Всяко нарушение на Общия регламент ще бъде разглеждано като нарушение на трудовата дисциплина, а в случай че има предположение за извършено престъпление, въпросът ще се предостави за разглеждане в най-кратък възможен срок на съответните държавни органи.
- Партньори и трети лица, които работят с или за дружеството, както и които имат или могат да имат достъп до личните данни, ще се очаква да се запознаят, разбират и да се съобразят с тази политика. Никоя трета страна не може да има достъп до лични данни, съхранявани от дружеството, без предварително да е сключила споразумение за поверителност на данните, което налага на третата страна задължения, не по-малко обременяващи от тези, които дружеството е поело, и което дава право на дружеството да извършва проверки на спазването на наложените със споразумението задължения.
- Спазването на законодателството за защита на данните е отговорност на всички служители на Дружеството които обработват лични данни.
- С Политика за провеждане на обучение, дружеството определя специфичните изисквания за обучение и осведомяване във връзка с конкретните роли на служителите/работници на дружеството.
Принципи за защита на данните
- Цялата обработка на лични данни в дружеството се извършва в съответствие с принципите за защита на данните, посочени в член 5 от Регламента. Политиките и процедурите на дружеството имат за цел да гарантират спазването на тези принципи.
- Личните данни трябва да бъдат обработвани законосъобразно, добросъвестно и прозрачно.
- Законосъобразно – да идентифицира законна основа, преди да може да обработва лични данни. Те често са посочени като „основания за обработване“, например „съгласие“.
- Добросъвестно – за да може обработването да бъде добросъвестно, администраторът на данни трябва да предостави определена информация на субектите на данни, доколкото това е практически възможно. Това важи независимо дали личните данни са получени директно от субектите на данни или от други източници.
- Прозрачно – Регламентът включва правила относно предоставяне на поверителна информация на субектите на данни. Те са подробни и конкретни, поставяйки акцента върху това, че известията за поверителност са разбираеми и достъпни. Информацията трябва да бъде съобщена на субекта на данните в разбираема форма, като се използва ясен и разбираем език.
- Правилата за уведомяване на субекта на данни от дружеството са определени в Процедура за прозрачност при обработката на лични данни и уведомлението се записва в Образец на Декларация за поверителност.
- Специфичната информация, която трябва да бъде предоставена на субекта на данните, трябва да включва като минимум:
- данни, които идентифицират администратора и данните за контакт на администратора и, ако има такъв, на представителя на администратора;
- контактите на Отговорникът по защита на данните, ако има такъв;
- целите на обработването, за което личните данни са предназначени както и правното основание за обработването;
- периода, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
- съществуването на следните права – да поиска достъп до данните, коригиране, изтриване (право „да бъдеш забравен“), ограничаване на обработването, както право на възражение срещу условията (или липсата на такива) във връзка с упражняването на тези права;
- категориите лични данни;
- получателите или категориите получатели на лични данни, където това е приложимо;
- където е приложимо, дали администраторът възнамерява да прехвърли личните данни към получател в трета страна и нивото на защита на данните;
- всякаква допълнителна информация, необходима да се гарантира добросъвестно обработване.
- Лични данни могат да се събират само за конкретни, изрично указани и законни цели. Данните, получени за конкретни цели, не трябва да се използват за цел, която се различава от тези, официално обявени на надзорния орган като част от Регистъра на дейностите по обработване на данни на дружеството. Процедура за прозрачност при обработката на лични данни определя съответните правила.
- Личните данни трябва да бъдат адекватни, релевантни, ограничени до това, което е необходимо за обработването им със съответната цел:
- Отговорникът по защита на данните е отговорен да осигури дружеството да не събира информация, която не е строго необходимо за целта, за която тя е получена.
- Всички формуляри за събиране на данни (електронни или на хартиен носител), включително изискванията за събиране на данни в новите информационни системи, трябва да включват декларация за добросъвестно обработване или връзка Декларация за поверителност.
- Личните данни трябва да бъдат точни и актуализирани във всеки един момент, и да са положени необходими усилия, за да е възможно незабавно изтриване или коригиране:
- Данните, които се съхраняват от администратора на данни, трябва да бъдат прегледани и актуализирани при необходимост. Не трябва да се съхраняват данни, в случаите, когато има вероятност те да не са точни.
- Длъжностното лице за защита на данните е отговорно да гарантира, че целият персонал е обучен в значението на събирането на точни данни и поддържането им.
- Също така, задължение на субекта на данните е да декларира, че данните, които предават за съхраняване от дружеството са точни и актуални. Попълването на формуляр от субекта на данни, предназначени за администратора, ще включва изявление, че съдържащите се в него данни са точни към датата на подаване.
- Длъжностното лице по защита на данните / Отговорникът по защита на данните носи отговорност да се гарантира, че са налице подходящи процедури и политики за поддържане на точност и актуалност на личните данни, като се отчита обемът на събраните данни, скоростта, с която може да се промени, други относими фактори.
- Най-малко на годишна база Длъжностното лице по защита на данните / Отговорникът по защита на данните ще прегледа сроковете на съхранение на всички лични данни, обработвани от дружеството, като се позовава на инвентаризацията на данните и ще идентифицира всички данни, които вече не се изискват в контекста на регистрираната цел. Тези данни ще бъдат надеждно унищожени в съответствие с процедурите и правилата на администратора.
- Длъжностното лице по защита на данните / Отговорникът по защита на данните е отговорно за съответствие с искания за корекция на данни в рамките на един месец. Този срок може да бъде удължен с още два месеца за сложни заявки. Ако дружеството реши да не се съобрази с искането, Длъжностното лице по защита на данните / Отговорникът по защита на данните трябва да отговори на субекта на данните, за да обясни мотивите си и да го информира за правото му да подаде жалба пред надзорния орган, и да потърси правна защита.
- Длъжностното лице за защита на данните/Отговорникът по защита на данните е отговорно за вземане на подходящи мерки, в случаите когато организациите на трети страни имат неточни или остарели лични данни, да ги информира, че информацията е неточна или остаряла и е да не се използва за вземане на решения относно лицата, да информира съответните страни; и да препраща всяка корекция на лични данни към третите страни, където това е необходимо.
- Личните данни трябва да се съхраняват в такава форма, че субектът на данните може да бъде идентифициран само толкова дълго, колкото е необходимо за обработването.
- Когато личните данни се запазват след датата на обработването, те ще бъдат съхранявани по подходящ начин за да се защити самоличността на субекта на данните в случай на нарушение на данните.
- Лични данни ще бъдат пазени в съответствие с Процедура за съхраняване и унищожаване на данните и след като е преминал срокът им на съхранение, те трябва да бъдат надеждно унищожени по указания в тази процедура ред.
- Длъжностното лице за защита на данните / Отговорникът по защита на данните специално трябва да одобри всяко запазване на данни, което надхвърля срока на съхранение, дефиниран в Процедура за съхраняване и унищожаване на данните и трябва да гарантира, че обосновката е ясно определена и е в съответствие с изискванията на законодателството за защита на данните. Това одобрение трябва да бъде писмено.
- Личните данни трябва да бъдат обработени по начин, който гарантира подходяща сигурност.
- Длъжностното лице за защита на данните / Отговорникът по защита на данните ще извърши оценка на въздействието, като вземе предвид всички обстоятелства, свързани с операциите по управление или обработване на данни от дружеството.
- При определянето на това доколко уместно е обработването, Длъжностното лице по защита на данните / Отговорникът по защита на данните трябва също така да разгледа степента на евентуална вреда или загуба, която може да бъде причинена на физически лица (напр. персонал или клиенти), ако възникне нарушение на сигурността, както и всяка вероятна вреда за репутацията на администратора, включително евентуална загуба на доверие на клиентите.
- При оценяването на подходящи технически мерки, Длъжностното лице по защита на данните / Отговорникът по защита на данните ще разгледа следното:
- Защита с парола;
- Автоматично заключване на бездействащи работни станции в мрежата;
- Премахване на права на достъп за USB и други преносими носители с памет;
- Антивирусен софтуер и защитни стени;
- Правата за достъп основани на роли, включително тези на назначен временно персонал
- Защитата на устройства, които напускат помещенията на организацията, като лаптопи или други;
- Сигурност на локални и широко обхватни мрежи;
- Идентифициране на подходящи международни стандарти за сигурност подходящи за дружеството.
- При оценяването на подходящите организационни мерки Длъжностното лице за защита на данните ще вземе предвид следното:
- Нивата на подходящо обучение в дружеството;
- Мерките, които отчитат надеждността на служителите (например атестационни оценки, препоръки и т.н.);
- Включването на защитата на данните в трудовите договори;
- Идентификация на дисциплинарни мерки за нарушения по отношение на обработването на данни;
- Редовна проверка на персонала за спазване на съответните стандарти за сигурност;
- Контрол на физическия достъп до електронни и хартиено базирани записи;
- Приемането на политика на „чисто работно място“ ;
- Съхраняване на хартия на базата данни в заключващи се стенни шкафове;
- Ограничаване на използването на портативни електронни устройства извън работното място;
- Ограничаване на използването от служителите на лични устройства на работното място;
- Приемане на ясни правила за създаване и ползване на пароли;
- Редовно създаване на резервни копия на личните данни и физическо съхраняване на носителите с копия извън офиса;
- Налагане на договорни задължения на организации контрагенти да предприемат подходящи мерки за сигурност при прехвърляне на данни извън ЕС.
- Тези контроли са избрани въз основа на идентифицираните рискове за лични данни, както и потенциала за нанасяне на вреди, на лицата, чиито данни се обработват.
- Спазване на принципа на отчетност. Регламентът включва разпоредби, които насърчават отчетността и управляемостта и допълват изискванията за прозрачност. Принципът на отчетност в изисква от администратора да докаже, че спазва останалите принципи в Регламента и изрично заявява, че това е негова отговорност.
- Дружеството ще доказва спазването на принципите за защита на данните чрез прилагане на политики по защита на данните, като се присъединява към кодекси за поведение, внедрява подходящи технически и организационни мерки, както и чрез приемане на техники по защита на данните на етапа на проектирането и защита на данните по подразбиране, оценка на въздействието върху защитата на личните данни, процедура за уведомяване за нарушаване на лични данни и т.н.
III. Администратор на личните данни
- Администратор на личните данни е „РЕЗИДЕНЦИЯ СВЕТИ СИМЕОН“ ЕООД, ЕИК 206824895, със седалище и адрес на управление: България, с. Волуяк, п.к. 1331, ж.к. Толева Махала, бул. „Европа“ № 251.
- Физически лица, чиито лични данни се обработват от дружеството
- Дружеството обработва лични данни относно следните физически лица:
- Пациенти – потребители на услуги за резидентна грижа, както и на техни близки/роднини;
- Персонал – настоящи и бивши служители на дружеството, кандидати за работа, както и на лица обучаващи се в дружеството;
- Посетители в резиденцията;
- Контрагенти или потенциални контрагенти на дружеството и на техни служители.
- Цели на обработване
- Дружеството ще използва личните данни на пациенти/клиенти за долуописаните цели.
- Дружеството не събира и не обработва повече лични данни или други видове лични данни отколкото са необходими за изпълнение на съответните цели. Личните данни ще бъдат използвани само по начина посочени в настоящата политика, освен ако дружеството не е получило изрично съгласие за друг вид употреба на лични данни. В случай, че дружеството възнамерява да използва лични данни, които вече обработва въз основа на полученото съгласие, за цели различни от посочените във въпросното съгласие, дружеството уведомява предварително съответните лица и получава допълнително съгласие затова.
- Дружеството, добросъвестно, в съответствие със нормативната уредба и в изпълнение на своите задължения обработва лични данни за следните цели:
- Предоставяне на здравни услуги – медицинска диагностика, лечение, изследвания и др.;
- Предоставяне на социална услуга за резидентна грижа;
- Изпълнение на законовите задължения на дружеството, по специално по Закона за здравето, Закона за здравното осигуряване, Закона за лечебните заведения, Закон за социалните услуги и подзаконовите актове по прилагането им;
- Изпълнение на изискванията на трудовото и социалното законодателство по отношение на служителите;
- Гарантиране сигурността на пациентите, служителите и имуществото чрез видеонаблюдение, регистрация, физическа охрана и контрол на достъпа;
- Други законосъобразни цели, като счетоводно обслужване, поддръжка и сигурност на интернет сайта и IT системите на дружеството, защита на законните интереси на дружеството, включително и по съдебен ред, и др.
- Обработване на лични данни
- Законът позволява обработване на лични данни, ако е налице едно или повече от следните условия:
- Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
- Когато съществува задължение, което е посочено в закон;
- Когато е налице легитимен интерес на дружеството;
- Когато дружеството разполага със съгласие на субекта на данните.
- В някои случаи дружеството обработва лични данни, само след предварителното писмено съгласие. Съгласието е отделно основание за обработване на личните ви данни и целта на обработката е посочена в него.
- Под „съгласие“ дружеството ще разбира всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
- Субектът на данните може да оттегли своето съгласие по всяко време. Дружеството разбира под „съгласие“ само случаите, в които субектът на данните е бил информиран за планираното обработване и е изразил своето съгласие и без върху му да бъде упражняван натиск.
- Съгласието, получено при натиск или въз основа на подвеждаща информация, няма да бъде валидно основание за обработване на лични данни.
- За специални категории данни дружеството ще поиска да получи изрично писмено съгласие на субектите на данни, освен ако не съществува алтернативно законно основание за обработване. В повечето случаи съгласието за обработка на лични и специални категории данни се получава рутинно от дружеството, като се използват стандартни документи за съгласие – напр. когато нов пациент постъпва за лечение или по време на набиране на нов персонал и т.н.
- Дружеството не събира и не обработва лични данни на деца под 16 или по-малко години, с оглед естеството на услугите, които предоставя, а именно – резидентни грижи за възрастни хора.
- Предоставените съгласия могат да бъдат оттеглени по всяко време.
- Оттеглянето на съгласието няма отражение върху изпълнението на договорните задължения на дружеството. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.
- За легитимен интерес се счита обработване на лични данни, осъществявано поради икономически, търговски или друг интерес на дружеството или на трета страна, който е с преимущество над този на лицата, и обработването не накърнява правата им. Дори и при наличието на такъв интерес обаче, действията на дружеството винаги ще бъдат честни и прозрачни и във всеки случай ще бъдат подлагани на предварителна преценка относно съотношението на интереса на дружеството или третата страна и правата на лицата.
VII. Какви лични данни се обработват
- Данни за идентификация (три имена, ЕГН или личен номер на чужденец, данни от документ за самоличност, постоянен адрес);
- Данни за медицинско състояние;
- Данни, които се предоставят при сключването на договор;
- Данни за комуникация с клиенти/пациенти/техни близки – роднини (имейл, телефон).
Без горепосочените данни, не дружеството не би могло да извършва своята дейност и да предоставя услугите си.
VIII. Правни основания за обработване
- Дружеството обработва специални категории лични данни, като данни за здравословното състояние или генетични данни, единствено при наличие на някое от условията по Общия регламент и по-специално:
- За целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;
- За да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
- За защита на обществения интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;
- При наличие на изрично съгласие на лицето за обработването за една или повече конкретни цели, освен ако законодателството изключва възможността за подобно съгласие.
- Дружеството обработва и други лични данни при наличие на някое от алтернативните правни основания по Общия регламент и по-специално:
- Законови задължения на дружеството;
- Изпълнение на договор, включително преддоговорните отношения преди сключването му;
- Легитимните интереси на дружеството, доколкото те имат преимущество над интересите или основните права и свободи на субектите на данни;
- Свободно изразено, конкретно, информирано и недвусмислено съгласие на субекта на данните. Вече даденото съгласие може да бъде оттеглено от лицето по всяко време по същия начин, по който е било предоставено.
- На кого се предават или разкриват личните данни
- Дружеството предоставя лични данни на:
- Компетентни публични органи в изпълнение на законови разпоредби, включително на Националната здравноосигурителна каса, Министерството на здравеопазването, НАП, НОИ и др.;
- Други дружества контрагенти – външни лаборатории или други лечебни заведения, спомагащи за осъществяване на дейността на дружеството;
- Търговски дружества, предоставящи услуги на дружеството, в това число за информационно поддържане и сигурност на IT системите.
- Във всички тези случаи Дружеството предприема необходимите мерки за защита на правата и интересите на субектите на личните данни, като поемане на изрични договорни задължения от обработващите лични данни за гарантиране на сигурността на данните и опазване на тяхната конфиденциалност.
- Предаване на лични данни в трети държави
- Ако се окаже необходимо за целите на лечението, дружеството може да изпраща проби, придружени от съответните лични данни на пациента, за клинични изследвания в друга държава. В тези случаи, с оглед защита на правата и интересите на пациента, от него се иска изрично предварително съгласие за трансфера на данните.
- Личните данни може да бъдат защитени и по друг начин, например чрез подписване на договор между дружеството и съответната лаборатория, включващ стандартни клаузи за защита личните данни, приети от Европейската комисия.
- Срокове на съхранение на личните данни
- Личните данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация.
- Личните данни на кандидати за работа, които не са одобрени за назначаване в Дружеството, се съхраняват за срока, определен съгласно действащата нормативна уредба в областта на защитата на личните данни, от приключване на процедурата, след което се връщат на лицето или унищожават. Личните данни могат да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на съгласие на кандидата в писмена форма.
- Записите от видеонаблюдението, осъществявано в дружеството, се съхраняват за срок до 60 (шестдесет) дни съгласно Закона за частната охранителна дейност. Личните данни, които дружеството събира при видеонаблюдението ще бъдат използвани единствено за законни цели, такива като охрана на имуществото, осигуряване на сигурността, безопасността и реда в търговските обекти, охрана на общественото здраве при търговията с храни и предотвратяване на кражби и други злоупотреби.
- Личните данни, съдържащи се в счетоводни документи, се съхраняват според предвидените за това срокове, съгласно Закона за счетоводството.
XII. Сигурност на личните данни
- Дружеството прилага всички подходящи технически и организационни мерки за гарантиране сигурността на личните данни, включително поемане на изрично задължение от служителите за професионална тайна и конфиденциалност.
- Дружеството се отнася отговорно към сигурността на данните, като прилага подходящото и нужно ниво на защита. За това дружеството прилага ефикасни физически, електронни и административни процедури за защита на данните от случайно или неправомерно унищожаване, загуба, промяна, непозволено разкриване или достъп до предадени, съхранявани или обработвани по друг начин лични данни.
- Политиката на дружеството и свързаните с нея процедури за информационна сигурност редовно се преразглеждат и обновяват така, както е необходимо за да отговарят на служебните нужди, промените в технологиите и нормативните изисквания. Достъп до събраните лични данни се разрешава единствено на тези служители, доставчици на услуги или свързани с лица на принципа на необходимост от информация за служебни цели или които се нуждаят от нея за изпълнение на своите служебни задължения.
- Всички лични данни са достъпни само за тези, които се нуждаят от тях, а достъпът може да бъде предоставен само в съответствие с изградените правила за контрол на достъпа. Всички лични данни се третират с най-голяма сигурност и се съхраняват:
- В самостоятелна стая с контролиран достъп; и/или
- В заключен шкаф, до който достъп имат оторизирани лица; и/или
- Компютъризирана система, защитена с парола в съответствие с вътрешните изисквания, посочени в организационните и технически мерки за контролиране на достъпа; и/или
- Компютърни носители, които са защитени в съответствие с организационните и технически мерки за контролиране на достъпа до информация.
- От всички служители/работници се изисква да бъдат обучени и да приемат съответните договорни клаузи/декларации/правила за спазване на организационните и технически мерки за достъп, преди да им бъде предоставен достъп до информация от всякакъв вид. На служителите/работниците се правят периодични инструктажи с цел да се избегне рискът от нарушение на правилата за обработване на лични данни. Личните данни се изтриват или унищожават само в съответствие с вътрешните процедури за съхраняване и унищожаване на данните.
- В случай на изтичане на данни, съдържащи лични данни, дружеството ще следва и спазва всички приложими норми за уведомяване в подобни случаи.
XIII. Права на субектите на данните
- Всяко физическо лице, чиито данни се обработват от дружеството, има следните права:
- Право на достъп до личните му данни, включително да получи копие от тях;
- Право на коригиране или допълване на неточни или непълни лични данни;
- Право на изтриване на лични данни, които се обработват без правно основание;
- Право на ограничаване на обработването – при наличие на правен спор между дружеството и лицето до неговото решаване или за установяването, упражняването или защитата на правни претенции;
- Право на преносимост на лични данни, които го засягат и които той е предоставил на Дружеството, в структуриран, широко използван и пригоден за машинно четене формат.
- Право на възражение – по всяко време и на основания, свързани с конкретната ситуация на лицето, при условие, че не съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или съдебен процес.
- Правото на достъп до здравна информация се упражнява по реда на чл. 27 от Закона за здравето. Здравна информация може да бъде предоставяна на трети лица, когато:
- Лицето трябва да бъде настанено в лечебно заведение;
- Съществува заплаха за здравето или живота на други лица;
- Е необходима при идентификация на човешки труп или за установяване на причините за смъртта;
- Е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
- Е необходима за нуждите на медицинската експертиза и общественото осигуряване;
- Е необходима за нуждите на медицинската статистика или за медицински научни изследвания, след като данните, идентифициращи пациента, са заличени;
- Е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт.
- Е необходима за нуждите на застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел ІІ, буква „А“ на приложение № 1 към Кодекса за застраховането.
- В съответствие със Закона за защита на личните данни и Регламента посочените по-горе права могат да се упражнят чрез подаване на писмено заявление на адреса на управление на дружеството: България, с. Волуяк, п.к. 1331, ж.к. Толева Махала, бул. „Европа“ № 251.
- Заявлението се подава лично от субекта на данни или от изрично упълномощено от него лице.
- Дружеството предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Дружеството информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето. Дружеството не е задължено да отговори на искане в случай, че не е в състояние да идентифицира субекта на данните, описанието на искането не е конкретизирано или не е подадено по предвидените в настоящата Политика начини.
- Дружеството може да поиска предоставяне на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.
- Отговор на искане на упражнено право се изготвя на хартиен носител и се получава от заявителя на адреса на Дружеството и/или се изготвя в електронен формат и се изпраща на заявителя на посочената от него електронна поща, и/или по телефон. Когато отговорът се предоставя на хартиен носител същият се изготвя в два екземпляра, по един за всяка страна.
XIV. Запазване на личните данни
- Дружеството ще съхранява лични данни толкова дълго, колкото е необходимо, за да бъдат постигнати целите, посочени в тази Политика за защита на личните данни, или за да бъдат спазени изисквания на законодателството. Личните данни, които повече не са необходими за постигане на целите, за които са били събрани първоначално, ще бъдат изтривани.
- Защита на правата на субектите на данните
- В съответствие със Закона за защита на личните данни и Регламент ЕС 2016/679 за защита на данните, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба пред надзорния орган по защита на личните данни в Република България: КОМИСИЯ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ, със седалище и адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, телефон 02 915 3 518, Електронна поща: kzld@cpdp.bg, Интернет страница: cpdp.bg
XVI. Обща информация за настоящата политика
- Настоящата Политика за личните данни може да бъде променяна или допълвана поради изменение на приложимото българско или европейско законодателство, по инициатива на Дружеството или на компетентен орган.
- Дружеството ще информира потребителите за измененията или допълненията на тази Политика за личните данни, чрез публикация на актуализираната Политика за защита на личните данни на интернет страницата на дружеството – https://svetisimeon.bg/, както и чрез обявяването/предоставянето ѝ на място на адреса на управление на дружеството.
УВЕДОМЛЕНИЕ/ДЕКЛАРАЦИЯ ЗА ПОВЕРИТЕЛНОСТ НА ЛИЧНИТЕ ДАННИ
Данни на администратора – НИЕ:
„РЕЗИДЕНЦИЯ СВЕТИ СИМЕОН“ ЕООД, ЕИК 206824895, със седалище и адрес на управление: България, с. Волуяк, п.к. 1331, ж.к. Толева Махала, бул. „Европа“ № 251, е дружество с ограничена отговорност, чиято основна дейност е свързана с предоставяне на услуги от резидентен тип по смисъла на Закона за социалните дейности.
Личните данни, които събираме и обработваме от Вас са:
Ние Ви представяме информация за нас и нашата дейност. За да ви предоставим допълнителна информация за наши услуги, партньори и въобще информация извън публично оповестената, за да отговорим на Ваши запитвания и коментари, за да запишем час за оглед на Резиденцията и въобще за да бъдем в комуникация с Вас, е необходимо да съберем Ваши лични данни за да можем да Ви идентифицираме (при Ваше желание) и да отговорим на Вашите нужди, ако и доколкото ни е възможно. За постигане на посочените цели ние събираме информация за Вашите имена, ел. поща, телефон, в обем, който Вие ни предоставите. Ние гарантираме, че информацията, която събираме и използваме, е належаща за посочените цели и не е с цел навлизане в личното Ви пространство и засягането на вашите лични интерес и личен живот.
Специални категории данни, които обработваме:
С оглед дейността на „РЕЗИДЕНЦИЯ СВЕТИ СИМЕОН“ ЕООД, ЕИК 206824895, същото следва да обработва и ваши специални лични данни, такива като, но не само биометрични данни, здравословно състояние, всякакви медицински данни, както и пълните ви данни по документ за самоличност за целите на НЗОК.
Източник:
Горните лични данни получаваме от Вас, лично или в отделни случаи от административен орган (министерство на здравеопазването, НЗОК и др.)
Декларираме, че личните данни, които събираме, ще бъдат използвани единствено за следните цели:
Вашите лични данни са ни необходими освен за да имаме връзка с Вас и за да Ви предоставим нашите услуги максимално качествено, то и за да може да извършваме законоустановени отчети по закона за социалното осигуряване и други относими нормативни уредби. Също така вашите лични данни са ни необходими, за индивидуален план за лечение и програма за оказване на грижи, съобразени със Степента на тежест на състоянието Ви.
Основанието, което ни дава право да обработваме вашите данни е:
– Обработването се основава на вашето съгласие;
– Обработването на вашите данни е необходимо за изпълнение на договор с вас или намерението ни да сключим договор;
– Обработването е необходимо за спазване на законовото ни задължение за отчетност пред Агенция за качеството на социалните услуги и всеки друг компетентен държавен и местен орган на властта;
– Обработването е необходимо, за да защитим вашите (жизненоважни) интереси (или интереси на друго лице).
Съгласие:
Със съгласието Ви да приемете това Уведомление, вие ни давате разрешение да обработваме личните Ви данни само за посочените от нас цели, като ще ви предоставим изрично и писмено информирано съгласие.
Съгласието е необходимо, за да може да обработваме и двата вида (обикновени и специални) лични данни, но е необходимо да е изрично.
Можете да оттеглите съгласието си по всяко време с подадена до нас бланка, като същата може я получите от нас при поискване или да я съставите в свободен текст.
Предаване на личните данни на държава извън ЕС или на международна организация
„РЕЗИДЕНЦИЯ СВЕТИ СИМЕОН“ ЕООД, няма намерение да предаде вашите лични данни на трети лица, освен в законоустановените случаи.
В общия случай ние няма да продаваме вашите данни на трети страни, нито ще ги предаваме с цел да придобием някаква облага. Ние може да предоставяме Вашите лични данни на лица, които ни оказват съдействие за постигане на описаните по-горе цели – обработващи лични данни, които действат въз основа на писмен договор, в съответствие с изричните ни инструкции и при прилагането на подходящи технически и организационни мерки за защита на Вашите лични данни. Лични данни няма да се предоставят на трети страни, нито ще се споделят извън Европейския съюз или Европейското икономическо пространство. Получатели на вашите данни могат да бъдат също лица и органи с властнически правомощия, на които ще ги предоставяме в изпълнение на конкретни и ясни законови задължения. Когато имаме намерение да предадем Ваши специални лични данни (ако сте ни предоставили такива) на трета страна, ние ще направим това едва след като сме получили вашето съгласие, като изключение ще има само ако по закон сме задължени да направим друго.
ПОВЕРИТЕЛНОСТ НА ДАННИТЕ НА ПОСЕТИТЕЛИ В „РЕЗИДЕНЦИЯ СВЕТИ СИМЕОН“ ЕООД, КЪДЕТО СЕ ОСЪЩЕСТВЯВА ВИДЕОНАБЛЮДЕНИЕ
Личните данни, които събираме и обработваме: в случай, че Вие сте потребител на резидентни грижи, то Ви информирам, че се обработват Ваши данни за образ и поведение, осигуряване на сигурност, даващи информация за човешкия образ и характерните черти, представа за Вашето поведение, навици, извършени правонарушения и друга видима информация.
Източника на тези данни е: Горните лични данни получаваме от Вас, лично.
Декларираме, че личните данни, които събираме при видеонаблюдението ще бъдат използвани единствено за законни цели, такива като охрана на имуществото, осигуряване на сигурността, безопасността и реда, охрана на общественото здраве и предотвратяване на кражби и други злоупотреби.
Основанията, които ни дават право да обработваме Вашите данни за образ и поведение са: легитимния ни интерес от осъществяването на охраната и гарантирането на сигурността и на основание обществения интерес за гарантиране на общественото здраве. Освен изложеното посредством обработването можем да осъществим и дължимото по закон съдействие на компетентни публични органи в рамките на предоставените им правомощия.
Период на обработване: Данните Ви, обработвани при видеонаблюдението съхраняваме до 60 (шестдесет) дни съгласно Закона за частната охранителна дейност. Обикновено това обработване се ограничава до наблюдаване в реално време на охраняваните места и съхранението на съответните записи
Общ период на съхраняване на данните
Личните данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация.
Личните данни на кандидати за работа, които не са одобрени за назначаване в Дружеството, се съхраняват за срока, определен съгласно действащата нормативна уредба в областта на защитата на личните данни, от приключване на процедурата, след което се връщат на лицето или унищожават. Личните данни могат да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на съгласие на кандидата в писмена форма.
Записите от видеонаблюдението, осъществявано в дружеството, се съхраняват за срок до 60 (шестдесет) дни съгласно Закона за частната охранителна дейност. Личните данни, които дружеството събира при видеонаблюдението ще бъдат използвани единствено за законни цели, такива като охрана на имуществото, осигуряване на сигурността, безопасността и реда в търговските обекти, охрана на общественото здраве при търговията с храни и предотвратяване на кражби и други злоупотреби.
Личните данни, съдържащи се в счетоводни документи, се съхраняват според предвидените за това срокове, съгласно Закона за счетоводството.
Начин на съхраняване и опазване на личните Ви данни, които обработваме:
Ние ще обработваме личните Ви данни при предприемане на необходими и достатъчни технически и организационни мерки за тяхната защита. Наред с друго, предприели сме необходимите вътрешни политики и сме взели мерки за защитата на личните Ви данни. Отговорните за данните служители са добре запознати с изискванията относно защитата на личните Ви данни; обработването на личните Ви данни е сведено до минимума, необходим за постигане на съответните цели; въвели сме необходимите мерки за сигурност, като охрана, ограничен достъп, системи за сигурност и др.; въвели сме мерки за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване, както и мерки в случай на физически или технически инцидент за своевременно възстановяване на наличността и достъпа до личните данни; създаден е вътрешен процес за редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването; разработена е процедура за съхраняване и унищожаване на данните. Ние ще обработваме (събира, съхранява и използва) предоставената от вас информация по начин, съвместим с изискванията на Общия регламент за защита на данните (ОРЗД). Ще се стремим да поддържаме информацията точна и актуална.
Ние не извършваме автоматизирано вземане на решения (без човешка намеса), при обработването на личните Ви данни, за която и да е от посочените по-горе цели.
Вашите права като субект на личните данни са следните:
Във всеки момент, докато съхраняваме или обработваме личните ви данни, Вие (според терминологията на закона – субект на данните) имате следните права:
- имате право да поискате копие от Вашите лични данни от „Резиденция Свети Симеон“ ЕООД и право на достъп по всяко време до личните си данни;
- имате право да поискате от „Резиденция Свети Симеон“ ЕООД личните си данни във вид удобен за прехвърляне на друг администратор на лични данни, или да поискате ние да го направим, без да бъдете възпрепятствани от наша страна;
- имате право да поискате от „Резиденция Свети Симеон“ ЕООД, да коригира без ненужно забавяне, неточните Ви лични данни, както и данните, които не са вече актуални;
- имате право да поискате от „Резиденция Свети Симеон“ ЕООД личните Ви данни да бъдат изтрити без ненужно забавяне при наличието на някое от следните основания:
- личните данни повече не са необходими за целите, за които са били събрани;
- когато сте оттеглил своето съгласие;
- когато сте възразил срещу обработването;
- когато обработването е незаконосъобразно;
- когато личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на EС или правото на държава членка, което се прилага спрямо нас като администратор на лични данни;
- когато личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
Можем да откажем да заличим личните Ви данни по следните причини:
- при упражняване на правото на свобода на изразяването и правото на информация;
- за спазване на законово задължение от наша страна или за изпълнението на задача от обществен интерес;
- по причини от обществен интерес в областта на общественото здраве;
- за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, доколкото съществува вероятност заличаването да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или за установяването, упражняването или защитата на правни претенции.
- имате право да поискате от „Резиденция Свети Симеон“ ЕООД, да ограничи обработването на личните Ви данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани. Отказът ни за ограничаване ще е изрично само в писмен вид, като сме длъжни да го мотивираме със законосъобразната причина;
- имате право да оттеглите Вашето съгласие за обработката на личните Ви данни по всяко време с отделно искане, отправено до администратора;
- имате право да възразите срещу определени видове обработка, като директен маркетинг (непоискани рекламни съобщения);
- имате право на възражение срещу автоматизирана обработка, включително профилиране;
- имате право да не бъдете обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране;
- при нужда да използваме Вашите лични данни за нова цел, която не е обхваната от настоящата декларация за защита на данните, ще Ви предоставим ново уведомление за защита на данните и когато, и където е необходимо, ще изискаме Вашето предварително съгласие за новата обработка.
Всички горепосочени искания ще бъдат препратени, ако има трета страна (получатели, включително извън ЕС и международни организации) при обработката на вашите лични данни.
Имате право на жалба до надзорния орган
Имате право да подадете жалба направо до надзорния орган, като компетентният за това орган е Комисия за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2 (www.cpdp.bg).
В случай, че желаете да подадете жалба относно обработката на личните ви данни чрез „РЕЗИДЕНЦИЯ СВЕТИ СИМЕОН“ ЕООД, ЕИК 206824895, със седалище и адрес на управление: България, с. Волуяк, п.к. 1331, ж.к. Толева Махала, бул. „Европа“ № 251, можете да го направите на посочените данни за контакт на „РЕЗИДЕНЦИЯ СВЕТИ СИМЕОН“ ЕООД.