ПОЛИТИКА ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ В МБАЛ-ХАСКОВО

ПОЛИТИКА

ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

В

„МНОГОПРОФИЛНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ - ХАСКОВО“ АД

Приета с Протокол № 9/15.08.2019 г. на Съвета на директорите на МБАЛ-Хасково АД

Настоящата Политика за обработване на личните данни е изработена и приета от ръководството на „МНОГОПРОФИЛНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ - ХАСКОВО“ АД (наричано за краткост „МБАЛ Хасково“) съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните - ОРЗД).

ОРЗД е влязъл в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз и е задължителен в своята цялост като се прилага пряко във всички държави членки от 25 май 2018 година съгласно член 99 от ОРЗД.

Настоящата Политика за защита на личните данни се прилага за личните данни, които се събират чрез сайта, както и при предоставяне на услуги от „МБАЛ Хасково“.

Целта на настоящата политика е физическите лица да бъдат информирани какви лични данни се събират за тях, с каква цел, срок и какви са техните права.

 „МБАЛ Хасково“ отдава голямо значение на защитата на личните данни и се задължава да спазва действащото законодателство  за защита на личните данни.

„МБАЛ Хасково“ ще спазва най-високи нива на поверителност на личните данни.

Настоящата Политика за защита налични данни на физически лица е приета от „МБАЛ Хасково“. Всички лица, които имат правни или фактически отношения с „МБАЛ Хасково“ и/или достъп до обработвани от него личните данни трябва да се запознаят и да спазват тази политика.

Съгласието с нея е условие за встъпване и реализиране на правоотношения с „МБАЛ Хасково“. При липса на съгласие с настоящата политиката няма да имате възможност да встъпите в правоотношения с „МБАЛ Хасково“.

Достъп до обработваните лични данни се предоставя само в определени от закона случай на правоимащи лица въз основа на валидно правно основание и/или предварително сключено споразумение за поверителност на данните с лица, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на ОРЗД и да осигурява защита на правата на субектите на данни и които са поели задължение за спазване на поверителност. „МБАЛ Хасково“ извършва проверки на спазването на поетите със споразумението задължения.

В съответствие с ОРЗД в тази политика са описани и приети и други релевантни документи, политики, практики, процеси и процедури.

Данни за Администратора:

„МНОГОПРОФИЛНА БОЛНИЦА ЗА АКТИВНО ЛЕЧЕНИЕ - ХАСКОВО“ АД, с ЕИК 126529015, е лечебно заведение за болнична помощ, което функционира съгласно Закона за лечебните заведения (ЗЛЗ) и изпълнява медицински дейности за лечебни заведения за болнична помощ на областно ниво и осигурява здравни услуги. Видовете лечебни дейности, които се извършват в „МБАЛ Хасково“ АД са: диагностика и лечение на заболявания, когато лечебната цел не може да се постигне в условията на извънболнична помощ; родилна помощ; диагностика и консултации, поискани от лекар или лекар по дентална медицина от други лечебни заведения; вземане, съхраняване, снабдяване с кръв и кръвни съставки, трансфузионен надзор; медико-козметични услуги; клинични изпитвания на лекарства и медицинска апаратура съгласно действащото в страната законодателство; учебна и научна дейност.

Данни за контакт:

Държава: България

Адрес: гр. Хасково 6300, ЕИК 126529015, седалище и адрес на управление: гр. Хасково, бул. „Съединение“ 49

Телефон: 038/606 999

Факс: 038/606 722

Интернет адрес: http://mbalhaskovo.com//

Данни за контакт с длъжностно лице по защита на данните:

С нашето длъжностно лице по защита на данните можете да се свържете на:

Ел. поща: office@spotcomm.net

Тел: +359 887 400 338

Тел: +359 889 442 277

За целите на своята дейност като лечебно заведение за болнична медицинска помощ и търговско дружество, „МБАЛ Хасково“ обработва лични данни на физически лица („субекти на данни“) в строго съответствие с ОРЗД, Закона за защита на личните данни, действащото законодателство в сферата на здравеопазването и настоящата Политика за защита на личните данни.

Съгласно ОРЗД и настоящата политика:

„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни"); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„Ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

 „Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

„Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

 

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

 

„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

„Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;

 

„Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

„Генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;

 

„Биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;

„Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

При обработването на личните данни „МБАЛ Хасково“ спазва и се ръководи от принципите залегнали в ОРЗД за: законосъобразност, добросъвестност и прозрачност; ограничение на целите; свеждане на данните до минимум; точност; ограничение на съхранението; цялостност и поверителност.

 

Информация и лични данни, които „МБАЛ Хасково“ събира

 Когато използвате нашия сайт или изберете нашите услуги ние събираме информация и лични данни за вас, които в повечето случаи самите вие ни предоставяте, избирайки и съгласявайки се да ни изпратите информация за себе си. В определени случаи ние изискваме личните ви данни, за да спазим законово задължение, за сключване на договор с вас, за предприемане на стъпки по ваше искане преди сключването на договор, за защита на ваши жизненоважни интереси или на друго физическо лице, за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са ни предоставени, за целите на наши легитимни интереси или на трета страна, освен когато пред такива интереси преимущество имат вашите интереси или основни права и свободи, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

В зависимост от услугите, които ползвате, ние можем да събираме и обработваме следната информация за вас:

Име, ЕГН, данни по лична карта, адрес, дата на раждане, телефонен номер за контакт, електронен адрес, образователно-квалификационна степен, допълнителна квалификация и правоспособност и др.

Специалните категории лични данни, които събираме (генетични, биометрични данни,  данни за здравословното състояние или данни за сексуалния живот и сексуалната ориентация) се използват за осигуряването на здравни грижи, медицинска диагноза и лечение и при наличие на някое от условията изброени в ОРЗД:

- При наличие на изрично съгласие на лицето за обработването за една или повече конкретни цели, освен ако законодателството изключва възможността за подобно съгласие;

- За целите на превантивната или трудовата медицина, за оценка на трудоспособността на пациенти и служители, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;

- За да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

- За защита на обществения интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;

- За целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;

- По причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.

С оглед на техния чувствителен характер специалните категории лични данни се ползват със засилена защита и се обработват от медицински специалисти при спазване на  задължение за професионална тайна.

Изброените данните се събират от:

- Пациенти, а при необходимост и на техни близки или придружители;

- Персонал, настоящи и бивши служители на дружеството, кандидати за работа и обучаеми;

- Контрагенти или потенциални контрагенти на дружеството и/или на техни служители;

- Други посетители в лечебното заведение.

 

„МБАЛ Хасково“ обработва лични данни за следните цели:

(а) Предоставяне на конкретни здравни услуги - медицински прегледи, диагностика, лечение, клинични изследвания, рехабилитация,  наблюдение на хронично болни и застрашени от заболяване лица, профилактика на болести и ранно откриване на заболявания и др.;

По отношени на услугите достъпни на сайта на „МБАЛ Хасково“ и онлайн регистрационните  форми във връзка със записване на час за преглед, промоционални кампании, лабораторни резултати, отговори на ваши запитвания или друга кореспонденция.

(б) Изпълнение на законовите задължения на дружеството, регламентирани в Закона за здравето, Закона за здравното осигуряване, Закона за лечебните заведения, издадените подзаконови актове по прилагането им, Националния рамков договор, предоставяне на медико-статистическа информация и на информация за медицинската дейност  и др.;

(в) Изпълнение на изискванията на трудовото, осигурителното и социалното законодателство по отношение на служителите;

(г) Изпълнение на задължения, регламентирани в счетоводното и данъчно законодателство;

(д) Гарантиране сигурността на пациентите, служителите и имуществото чрез видеонаблюдение, регистрация, физическа охрана и контрол на достъпа;

(е) Други законосъобразни цели свързани с физическата и информационната сигурност на сайта и IT системите и защита на законните интереси на „МБАЛ Хасково“;

(ж) Изпълнение на договор, включително преддоговорните отношения преди неговото  сключване.

 

Предоставяне на лични данни

„МБАЛ Хасково“ предоставя лични данни на компетентни държавни органи в изпълнение на своите законови задължения, включително, но не само на: Националната здравноосигурителна каса, Министерството на здравеопазването, НАП, НОИ и др.

„МБАЛ Хасково“ използва трети страни за подпомагане на определени дейности като: външни лаборатории или други лечебни заведения; външни консултации със специалисти, търговски дружества, предоставящи услуги на дружеството, включително информационно поддържане и сигурност на IT системите, счетоводство, хостинг и поддръжка на уебсайта и комуникации,

 

ОРЗД дава насоки администраторът на лични данни да изнася дейност по обработка на лични данни само към лица, които имат основание да ги получат и предоставят достатъчни гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че да отговарят на изискванията на регламента.

Във всички тези случаи „МБАЛ Хасково“ ще предприеме необходимите мерки за защита на правата и интересите на субектите на личните данни, въз основа на сключени изрични договори с обработващите лични данни за гарантиране на сигурността на данните и опазване на тяхната конфиденциалност, които регламентират предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора съгласно чл. 28 от ОРЗД.

„МБАЛ Хасково“ няма да предава лични данни в трети страни извън Европейския съюз, освен когато е необходимо за целите на лечението. В тези случаи, с оглед защита на правата и интересите на пациента, от него се иска изрично предварително съгласие за трансфера на данните. Личните данни може да бъдат защитени и по друг начин, например чрез подписване на договор между дружеството и получателя, включващ стандартни клаузи за защита личните данни, приети от Европейската комисия.

Срокове на съхранение на личните данни

Събраната за вас информация се съхранява до края на срока на предоставяната услуга или съгласно предвидените срокове в действащото законодателство.

Личните данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация.

Личните данни на кандидати за работа, които не са одобрени за назначаване в Дружеството, се съхраняват за срока, определен съгласно действащата нормативна уредба в областта на защитата на личните данни,  от приключване на процедурата, след което се връщат на лицето или унищожават. Личните данни могат да се съхраняват за по-дълъг период, с цел отправяне на предложения за работа, само при наличие на съгласие на кандидата в писмена форма.

 Личните данни на работниците в „МБАЛ Хасково“ ще се съхраняват в сроковете съгласно действащото трудово законодателство.

 

Записите от видеонаблюдението и регистрите на посетителите се съхраняват за срок два месеца след изготвянето им съгласно Закона за частната охранителна дейност.

 

Личните данни, съдържащи се в счетоводни документи, се съхраняват в сроковете по чл. 12 от Закона за счетоводството.

 

Сигурност на личните данни

„МБАЛ Хасково“ прилага всички подходящи технически и организационни мерки за гарантиране сигурността на личните данни, включително поемане на изрично задължение от служителите за професионална тайна и конфиденциалност.

„МБАЛ Хасково“ обработва личните данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.

В съответствие със съображение 49 от ОРЗД, обработването на лични данни в степен, която е строго необходима и пропорционална на целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена мрежа или информационна система да издържа, със съответно равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните лични данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти (ЕНРКИ), екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на съответния администратор на данни. Това може да включва например предотвратяването на непозволен достъп до електронни съобщителни мрежи и разпространение на зловреден софтуер и спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи.

„МБАЛ Хасково“ предприема мерки за гарантиране сигурността на тяхното обработването предвид:

- достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

- псевдонимизация и криптиране на личните данни;

- способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

- способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

- процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

В случай на установяване на нарушение на сигурността на личните данни, „МБАЛ Хасково“ ще уведоми надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и когато това е осъществимо - не по-късно от 72 часа след като е разбрал за него.

Права на субектите на данни

ОРЗД детайлно регламентира правата на субекта на данни (чл. 12 и сл.).

Всяко физическо лице, чиито данни се обработват от „МБАЛ Хасково“, има следните права: право на прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни, право на информация, предоставяна при събиране на лични данни от субекта на данните и на достъп до тях, право на коригиране, право на коригиране и изтриване на личните данни (право „да бъдеш забравен“), право на ограничаване на обработването, право на получаване и преносимост на личните данни, право, което е корелативно на задължението на администратора за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването, право на възражение относно обработването на лични данни,  право на субекта на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен, право на защита пред компетентните органи.

В съответствие с ОРЗД, „МБАЛ Хасково“ осигурява предварително съставена декларация за съгласие в разбираема и лесно достъпна форма, на ясен и прост език, която не съдържа неравноправни клаузи.

 

Правото на достъп до здравна информация се упражнява по реда на чл. 27 от Закона за здравето.

Здравна информация може да бъде предоставяна на трети лица, когато:

- лечението на лицето продължава в друго лечебно заведение;

- съществува заплаха за здравето или живота на други лица;

- е необходима при идентификация на човешки труп или за установяване на причините за смъртта;

- е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;

- е необходима за нуждите на медицинската експертиза и общественото осигуряване;

- е необходима за нуждите на медицинската статистика;

- е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт.

- е необходима за нуждите на застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел ІІ, буква "А" на приложение № 1 към Кодекса за застраховането.

Онлайн достъп до разчитанията на образни изследвания и лабораторни резултати се предоставя чрез интернет сайта на „МБАЛ Хасково“. С цел защита на личните данни, идентификационният номер и паролата за онлайн достъп се предоставят само лично. Не се допуска предоставянето им по телефон или изпращането им по електронна поща.

В съответствие със Закона за защита на личните данни, посочените по-горе права могат да се упражнят чрез подаване на писмено заявление на адрес: гр. Хасково 6300, ЕИК 126529015, бул. „Съединение“ 49. Заявление може да бъде отправено и по електронен път, по реда на Закона за електронния документ и електронните удостоверителни услуги. Заявлението се отправя лично от субекта на данни или от изрично упълномощено от него лице с нотариално заверено пълномощно, като копие от него се предоставя към заявлението.

Отговор на искане на упражнено право се изготвя на хартиен носител и се получава от заявителя на адреса на „МБАЛ Хасково“ на „Информация“. Служителите от отдел „Информация“ проверяват самоличността на заявителя чрез справка в документ за самоличност, представен от последния, и предоставят отговора в два екземпляра, по един за всяка страна, подписани от заявителя.

 

Всички физически лица – субекти на данни имат право на достъп до касаещите ги лични данни, съхранявани от „МБАЛ Хасково“, както и право да коригират и допълват такива данни. Всички искания за достъп, коригиране, блокиране и/или заличаване на лични данни в резултат от използването на камери следва да се изпращат до администратор на лични данни, а именно:

Адрес: гр. Хасково 6300, ЕИК 126529015, седалище и адрес на управление: гр. Хасково, бул. „Съединение“ 49

Телефон: 038/606 999

Факс: 038/606 722

Email:mbal_haskovo@mail.bg

 

Длъжностното лице изпраща на подателя потвърждение за получаване в рамките на 5 работни дни след получаване на искането и конкретен мотивиран отговор по искането в срок до 20 календарни дни. Когато това е невъзможно, подателят се уведомява относно следващите стъпки и причините за забавянето. В този случай окончателния отговор на длъжностното лице за защита на данните следва да бъде изпратен на подателят в срок до 60 календарни дни.

При нередности или очевидна злоупотреба от страна на субекта на данните при упражняване на правата му, лечебното заведение може да се консултира с длъжностното лице за защита на данните относно искането и/или да пренасочи субекта на данните към длъжностното лице за защита на данните, което да вземе решение относно допустимостта на искането и съответните последващи действия.

Защита на правата на субектите на данните

В съответствие с ОРЗД и Закона за защита на личните данни, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба до Комисията за защита на личните данни на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет страница: www.cpdp.bg.

Настоящата Политика за защита на личните данни е в съответствие с действащото законодателство към момента на нейното приемане с Протокол № 9/15.08.2019 г. на Съвета на директорите на МБАЛ-Хасково АД.

МБАЛ - ХАСКОВО 2020 | Сайтът е създаден от ЕСКОМ ООД