Администраторът на данни Гюнсел Йозтюрк, в рамките на принципите за високо качество на предоставяните услуги, уважение към правата на физическите лица, прозрачност и почтеност, отдава изключително значение на защитата на личните данни на своите клиенти, служители и всички физически лица, с които поддържа професионални отношения, в съответствие с разпоредбите на Закона за защита на личните данни.
Особено внимание се отделя на запазването на поверителността на пациентите и на сигурната и внимателна обработка и съхранение на всички лични данни, свързани с тях, по възможно най-добрия и безопасен начин.
Настоящата политика е изготвена с цел защита и законосъобразна обработка на личните данни не само на нашите пациенти, но и на техните придружители, посетители, както и на служителите на институции и организации, с които си сътрудничим, в съответствие с основните принципи, установени в действащото законодателство.
Цел на политиката
Целта на настоящата политика е да осигури прозрачност чрез информиране на всички лица, чиито лични данни се обработват от нашата поликлиника — включително пациенти, придружители, посетители, служители, представители на институции и организации, с които си сътрудничим, както и трети страни.
В този контекст се предприемат всички необходими административни и технически мерки за защита и обработване на личните данни в съответствие със закона и приложимите нормативни актове.
Физическите лица, чиито данни се обработват в рамките на тази политика, се обозначават като субекти на данни или носители на лични данни.
Основни определения
Изрично съгласие: Доброволно изразено съгласие, основано на предварителна информация и отнасящо се до конкретна цел.
Анонимизиране: Промяна на личните данни по начин, който прави невъзможно идентифицирането на физическото лице и не позволява възстановяването на първоначалното състояние (напр. чрез маскиране, обобщаване, модификация на данните и др.). Поликлиниката предприема необходимите мерки, за да гарантира, че анонимизираните данни не могат да бъдат повторно свързани с дадено лице.
Служители, акционери и представители на партньорски институции: Физически лица, които работят в организации, с които поддържаме делови отношения (напр. бизнес партньори, доставчици и др.), включително техните акционери и представители.
Обработване на лични данни: Всяко действие или набор от действия, извършвани върху лични данни — автоматизирано или не — като събиране, записване, съхранение, изменение, разкриване, предаване, класифициране, изтриване или блокиране.
Лични данни: Всяка информация, отнасяща се до идентифицирано или идентифицируемо физическо лице, като име, фамилия, имейл адрес, телефонен номер, адрес, дата на раждане, номер на банкова сметка и др.
Специална категория лични данни: Данни, свързани с етнически произход, политически убеждения, философски или религиозни вярвания, членство в синдикати, здравословно състояние, сексуален живот, съдебни присъди, биометрични и генетични данни.
Трети лица: Физически лица, свързани с гореспоменатите страни, с цел осигуряване на търговска сигурност или защита на права и законни интереси (напр. служители на доставчици, придружители и др.).
Обработващ данни: Физическо или юридическо лице, което обработва лични данни от името на администратора (например IT фирма, която съхранява нашите данни).
Администратор на данни: Лице или организация, която определя целите и средствата за обработване на личните данни и управлява системата, в която те се съхраняват.
Организационна структура и отговорности
Нашата поликлиника изпълнява функциите на администратор на данни и е регистрирана в Националния регистър на администраторите на лични данни (VERBIS).
В рамките на компанията е създаден специален екип по защита на личните данни. При необходимост от вземане на решения, екипът се консултира с юрист, специализиран в областта на защитата на личните данни, преди решението да бъде одобрено и приложено от управлението.
Събиране и обработване на лични данни
Видът на обработваните лични данни може да варира в зависимост от предоставяните здравни услуги и се събира както във физическа, така и в дигитална форма.
Данните се получават от пациенти, лекари, медицински персонал, служители, подизпълнители и техните служители, бизнес партньори, кол центрове, уебсайта на поликлиниката, онлайн услуги и други комуникационни канали.
Обработването на личните данни, включително на данни със специална категория (например здравни данни), се извършва за следните цели:
- Извършване на медицинска диагностика, лечение и грижи;
• Опазване на общественото здраве;
• Планиране и управление на превантивните и финансовите здравни услуги;
• Уведомяване на пациентите относно техните часове и назначения;
• Планиране и организиране на вътрешни процедури;
• Анализ с цел подобряване на качеството и съответствие със законодателството;
• Управление на рисковете и дейности по осигуряване на качеството;
• Извършване на изследвания;
• Изпълнение на законови и регулаторни изисквания;
• Фактуриране на предоставените услуги;
• Потвърждение на самоличността на пациента;
• Потвърждение на отношенията с договорни институции;
• Предоставяне на информация на частни застрахователни дружества при финансиране на здравни услуги;
• Отговор на въпроси и жалби, свързани със здравните услуги;
• Прилагане на всички необходими технически и административни мерки за защита на данните;
• Финансово уреждане с партньорски институции, банки и организации, участващи в заплащането на здравните услуги;
• Споделяне на изисканата информация със здравното министерство и други публични институции;
• Измерване и повишаване на удовлетвореността на пациентите;
• Изпълнение на договорни и законови задължения.
Категоризация на обработваните лични данни
Идентификационни данни: Всички данни, съдържащи се в документи като лична карта, паспорт, шофьорска книжка, адвокатска карта, удостоверение за брак и други документи, които идентифицират физическо лице.
Контактни данни: Информация, използвана за установяване на контакт със субекта на данните – телефонен номер, адрес, местоживеене, имейл адрес и други.
Данни за местоположение: Данни, които ясно се отнасят до идентифицирано или идентифицируемо физическо лице и определят неговото местоположение в рамките на система за регистриране на данни.
Данни за членове на семейството и близки лица: Информация относно членове на семейството или близки на субекта на данните, която се обработва с цел защита на законните интереси на съответната институция и на самото лице.
Физическа среда: Лични данни, свързани с визуални и звукови записи – като видеонаблюдение, камери, записи на пръстови отпечатъци и други подобни системи за сигурност.
Данни за сигурността на операциите: Лични данни, обработвани с цел осигуряване на техническата, административната, правната и търговската сигурност на нашата дейност.
Финансови данни: Лични данни, свързани с финансови резултати, документи и записи – като банкови сметки, платежна информация и други финансови документи.
Данни на кандидати за работа: Лични данни, обработвани във връзка с лица, кандидатствали за работа (например автобиография, професионален опит, препоръки и др.).
Данни от трудовото досие: Лични данни, свързани с ведомости за заплати, дисциплинарни производства, осигурителна информация, документи при започване и прекратяване на работа, декларации за имущество, оценки на резултати, интервюта и трудови договори.
Данни за правни действия: Лични данни, обработвани с цел установяване, упражняване или защита на законни права и изпълнение на правни задължения.
Правно основание за обработването на личните данни
Горепосочените лични данни могат да бъдат обработвани в съответствие със Закона за основите на здравните услуги № 3359, Указ № 663 относно организацията и дейността на Министерството на здравеопазването и свързаните с него институции, Наредбата за частните болници, Наредбата за личните здравни данни, както и други приложими нормативни актове.
Те могат да бъдат прехвърляни и съхранявани във физическите архиви или в информационните системи на нашата поликлиника и/или нейните доставчици.
Нашата компания декларира, че обработва личните данни в съответствие със следните принципи:
- Законосъобразност и добросъвестност при обработването;
• Осигуряване на точност и актуалност на личните данни;
• Обработване за конкретни, ясни и легитимни цели;
• Ограничаване на обработването само до необходимия обем данни;
• Съхраняване на личните данни само за срока, предвиден в закона или необходим за целите на обработването.
Изричното съгласие на субекта на данни е само едно от възможните правни основания за законосъобразно обработване. Освен чрез съгласие, лични данни могат да бъдат обработвани и при наличие на поне едно от следните условия:
- Изрично съгласие на субекта на данните;
• Изрично предвидено в закона задължение или разрешение;
• Невъзможност за получаване на съгласие поради обективни обстоятелства;
• Обработване, необходимо за сключването или изпълнението на договор;
• Изпълнение на законово задължение на компанията;
• Ако субектът на данните е направил личните си данни публично достъпни;
• Ако обработването е необходимо за установяване, упражняване или защита на правни претенции;
• Ако обработването е необходимо за защита на легитимните интереси на компанията, без това да противоречи на основните права и свободи на лицето.
Обработване на специални категории лични данни
Специалните категории лични данни се обработват от нашата компания само при спазване на предвидените от надзорния орган мерки за сигурност и при наличие на следните условия:
- Когато субектът на данните е дал своето изрично съгласие; или
• Ако съгласие не е налице – личните данни, които не засягат здравето или сексуалния живот на субекта, могат да се обработват в предвидените от закона случаи;
• Данните, свързани със здравето или сексуалния живот на субекта, могат да бъдат обработвани единствено с цел защита на общественото здраве, профилактика, диагностика, лечение, предоставяне на медицински грижи или управление на финансирането на здравните услуги, и то само от лица, обвързани с професионална тайна, или от оторизирани институции и органи.
Технически и административни мерки
Нашата компания предприема всички необходими технически и административни мерки в съответствие с член 12 от Закона за защита на личните данни, съответните наредби, общите принципи, посочени по-горе, както и решенията на Съвета за защита на личните данни, като взема предвид технологичните възможности и разходите за прилагането им.
По-конкретно са предприети следните действия:
- Определена е необходимата софтуерна и хардуерна инфраструктура. На компютри и електронни пощи се използват силни пароли.
• Служителите са обучени относно защитата на клиентските данни, а техните отговорности са изрично уредени в трудовите им договори и споразумения за поверителност. Това задължение продължава да важи и след прекратяване на трудовото правоотношение. - Изградена е необходимата инфраструктура за архивиране и съхранение на данните.
• Определени са служителите, които имат достъп до данните в компютърните системи.
• Клиентски досиета и информация се предоставят само на самото лице, на лица, на които то е дало писмено упълномощаване, на компетентни държавни органи в рамките на закона или на съдебни органи при наличие на законово основание.
• Преди започване на обработването на лични данни, на субектите на данни се предоставя необходимата информация съгласно изискванията на закона.
• Изготвен е регистър на дейностите по обработване на лични данни.
• Чрез информационни текстове, поставени на видно място в поликлиниката или достъпни по друг начин, всички посетители и лица, чиито данни се обработват, се информират относно тези процеси.
Споделяне на лични данни
Вашите лични данни могат да бъдат споделяни, в рамките на целите, посочени по-горе и съгласно членове 8 и 9 от Закона за защита на личните данни, с:
- Министерството на здравеопазването и неговите подчинени звена,
• центровете за семейна медицина,
• частни застрахователни дружества (здравни, пенсионни, животозастрахователни и др.),
• Националния осигурителен институт,
• Главна дирекция на полицията и други правоохранителни органи,
• Главна дирекция по гражданска регистрация и административно обслужване,
• Българския фармацевтичен съюз,
• прокуратурата и съдилищата,
• лаборатории, медицински центрове и доставчици на здравни услуги в страната и чужбина, с които сътрудничим за медицинска диагностика,
• здравното заведение, към което е насочен пациентът или което сам е избрал, - надлежно упълномощени представители на пациента,
• консултанти и външни правни съветници,
• регулаторни и контролни органи,
• наши доставчици и партньори, с които имаме договорни отношения.
Вашите лични данни не се предават в чужди държави извън Република Турция.
Права на субекта на данни
В съответствие със закона всеки субект на данни има право:
- Да бъде информиран дали личните му данни се обработват;
• Да получи информация относно целите и обхвата на обработването;
• Да има достъп до своите здравни данни и да изисква тяхно копие;
• Да узнае дали данните му се използват съобразно посочената цел;
• Да бъде информиран на кои трети лица са били предоставени данните му;
• Да поиска коригиране на неточни или непълни данни;
• Да поиска изтриване или унищожаване на личните си данни;
• Да изиска уведомяване на трети страни за извършени корекции;
• Да подаде възражение срещу автоматизирани решения, които имат неблагоприятни последици;
• Да претендира обезщетение за вреди, произтичащи от незаконосъобразна обработка на лични данни.
Тези права могат да бъдат упражнявани чрез писмено заявление, подадено до нашата компания.
Видеонаблюдение и контрол на достъпа
Нашата компания обработва лични данни и чрез използване на камери за сигурност и записване на изображения при влизане и излизане на посетителите.
Тези дейности се извършват в съответствие със Закона за защита на личните данни и действащите разпоредби за сигурност.
Достъп до записите, съхранявани в дигитална форма, имат единствено оторизирани служители и/или представители на доставчици на услуги.
Камерите за сигурност съхраняват записите за срок от два месеца, след което те се изтриват.
Влизане в сила на политиката
Настоящата политика се счита за влязла в сила след публикуването ѝ на уебсайта на поликлиниката.
