ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ НА МЦ ЗА ЗРЕНИЕ „ПРОФ. ПАШЕВ“ ЕООД И СОБАЛ „АКАД. ПАШЕВ“ ЕООД В СЪОТВЕТСТВИЕ С РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА

  1. ОПРЕДЕЛЕНИЯ

Посочените по-долу определения са приети в съответствие с Регламент (ЕС) 2016/679:

Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко чрез използването на идентификатор („субект на данни“);

Специална категория лични данни“ означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

Субект на данни“ означава физическо лице, чиито лични данни се обработват в рамките на Групата;

Администратор“ означава дружество от Групата, което само или съвместно с други дружества от Групата определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на ЕС или в правото на държава членка;

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или обработващия лични данни имат право да обработват личните данни;

„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

Лечебните заведения“, „Дружествата“  означава МЦ за зрение „Проф. Пашев“ ЕООД и СОБАЛ „Акад. Пашев“ ЕООД , които предоставят медицински услуги в съответствие със Закона за лечебните заведения;

Надзорен орган“ означава Комисията за защита на личните данни в Р България.

  1. ПРЕДМЕТ И ОБХВАТ

МЦ за зрение „Проф. Пашев“ ЕООД и СОБАЛ „Акад. Пашев“ ЕООД са юридически лица със седалище и адрес на управление гр. София, ул. „Емануил Васкидович“ № 51, 1 ет., тел.: +359 700 20 266.

Тази Политика се прилага по отношение на МЦ за зрение „Проф. Пашев“ ЕООД и СОБАЛ „Акад. Пашев“ ЕООД.

Целта на настоящата Политика е да предостави ясна и изчерпателна информация на субектите, относно утвърдените стандарти за защита на личните данни, които Лечебните заведения прилага в съответствие с изискванията на Регламент (ЕС) 2016/679 („Регламент/а/ът“) и приложимото българско законодателство.

Лечебните заведения са администратори на лични данни и обработват личните данни в съответствие с нормативните изисквания на Регламента и на действащото българско законодателство.

Политиката се прилага и по отношение на събирането, обработването и споделянето на лични данни за целите на поставяне на медицинска диагноза, осигуряване на здравни грижи и лечение и друге административни цели.

  1. КАТЕГОРИИ СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ

3.1. Пациенти и техни роднини/близки

Лечебните заведения събират лични данни директно от пациентите при предоставяне на здравни/медицински услуги, както и за административни и вътрешни бизнес цели, включително за правни интереси, свързани с присъствие/престой/лечение на пациент в рамките на лечебните заведения.

При предоставяне на здравни/медицински услуги, лечебните заведения може да събират следните категории лични данни:

  • Обикновени лични данни: имена, ЕГН, паспортни данни, адрес, месторождение, телефон, електронна поща, пол, номер на здравна застраховка, финансова информация, друга относима информация, свързана с предоставянето на здравна/медицинска услуга;
  • Специална категория лични данни: здравословно състояние, генетични данни, а когато е относимо данни за сексуалния живот и сексуална ориентация. Най-често такива данни се съдържат в медицинската документация (епикризи, амбулаторни листове, други документи, част от история на заболяванията, лабораторни резултати, консултации и становища, рецепти с предписан режим на лечение, образи и изследвания, и др.).

При спешни и неотложни случаи, лична информация за пациент, може да бъде събирана и от негови близки и роднини.

В някои случаи, лечебните заведения може да участва в извършване на клинични проучвания. При тези случаи, ако субектът на данни бъде поканен да вземе участие в клиничното проучване, той ще получи предварително информация, относно естеството и характера на проучването, както и каква лична информация е необходима за извършването му.

В случай, че Лечебните заведения решат да обработват данни на субекти за маркетингови цели, то предприема необходимите мерки, за да получи предварително информирано съгласие от субекта на данни.

3.2. Кандидати за работа

  • Обикновени лични данни: Информация, съдържаща се в CV/автобиография на кандидата, като имена на лицето, данни за контакт (телефонен номер и електронна поща), копия от документи за професионална и образователна квалификация и др.

Когато това се налага, с оглед на нормативните изисквания към медицински и други специалисти, кандидати за определена свободна работна позиция, е възможно от лицето да бъде изискана допълнителна информация, включително чувствителни лични данни. В тези случаи, съответното Дружество информира лицето за конкретното нормативно основание, въз основа на което информацията трябва да бъде предоставена, както и за последствията от непредоставянето й.

3.3. Персонал

Дружествата събират следните категории лични данни от работници/служители:

  • Обикновени лични данни: имена, ЕГН, паспортни данни, образование и квалификации, професия, трудов стаж, трудовото възнаграждение, данни за банкова сметка и други;
  • Специална категория лични данни: информация за здравен статус, съдържаща се в болнични листове, документи, удостоверяващи трайна неработоспособност и/или други документи, необходими съгласно приложимото законодателство за съответната длъжност или с оглед упражняване на специфични права на работника/служителя.

В общия случай, Дружествата не обработват лични данни на работници/служители въз основа на съгласие. Въпреки това е възможно, в определени ситуации съгласието да е необходимо, когато същото се изисква според приложимото законодателство, включително за обработването на специална категория лични данни.

3.4. Видеонаблюдение и кол център

В Лечебните заведения има изградени системи за видеонаблюдение, в резултат на което се събират видеозаписи (видеоизображения) на субектите на данни – посетители и/или пациенти. В тези случаи, субектите на данни биват информирани за извършваното видеонаблюдение, чрез поставени информационни табели на видни места в обектите и помещенията.

Към Лечебните заведения е създаден кол център, чрез който пациентите могат да запазят предварително час за преглед при медицински специалист и/или да поискат всякаква друга информация, свързана с предоставяните услуги от Лечебните заведения. Входящите и изходящите разговори, осъществени с кол центъра се записват, като по този начин, чрез аудиозаписите, могат да се се събират обикновени и специални лични данни.

3.5. Интернет потребители

На интернет страницата на Лечебните заведения – https://www.sobalpashev.com, се използват „бисквитки”. Поради това, когато потребителите ги достъпват е възможно за тях да се събират данни като: вид операционна система, доставчик на интернет услуги и други. За повече информация моля, вижте Политика за бисквитки.

На интернет страницата на Лечебните заведения има:

  • Форма за контакт, при попълване на която потребителят предоставя като предоставя следната информация: име и фамилия, телефон, електронна поща.
  • Секция Записване на час за преглед онлайн“, в която потребителят може да резервира час за преглед , като предостави следната информация: три имена, възраст, телефон и електронна поща.
  • СекцияЗа нас” с подсекции, където се публикува информация, материали и новини, които могат да съдържат лични данни за служители в дадено Лечебните заведения, като например: имена, позиция, изображение и друга относима информация.
  • СекцияОтзиви от пациенти”, където се публикуват благодарствени писма на пациенти; поради описателният характер, които тези писма имат, е възможно същите да съдържат лични данни, които се заличават преди публикуване.

3.6. Заявители/искатели/жалбоподатели/молители

При защита на свои правни интереси, администраторите от Лечебните заведения обработват следните категории лични данни:

  • Обикновени лични данни: имена, ЕГН, паспортни данни, електронен адрес, адрес, и други данни, изложени в жалби, заявления, искови молби, актове, наказателни постановления и др.;
  • Специална категория лични данни: данни за здравословното състояние.

3.7. Бизнес партньори, клиенти и доставчици

Лечебните заведения обработват лични данни на физически лица, които представляват (по закон или по пълномощие) или работят за бизнес партньори, доставчици и др. Поради това, и доколкото е допустимо в процеса на обичайната търговска дейност, Лечебните заведения може да обработват следните категории лични данни:

  • Обикновени лични данни: имена, адрес, телефон, електронен адрес и други данни, които са относими в конкретния случай.
  1. ЦЕЛ И ПРАВНИ ОСНОВАНИЯ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В ГРУПАТА

4.1. Пациенти и техни роднини/близки

Лечебните заведения обработват лични данни за здравословното състояние на пациентите при стриктно спазване на изискванията на Регламент (ЕС) 2016/679 и приложимото законодателство, доколкото това обработване е необходимо за целите на медицинската диагноза, за осигуряване на здравни и социални грижи и лечение на пациента, както и когато това е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служител.

В допълнение, към конкретния случай, се прилага някое от следните алтернативни основания:

  • Обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
  • Обработването е необходимо от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;
  • Субектът на данни в определени случаи е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка изключва възможността за подобно съгласие от субекта на данни.

4.2. Кандидати за работа

Дружествата обработват личните данни на кандидати за работа за целите на подбора на персонал, при следните основания:

  • Предприемане на стъпки по искане на субекта на данни преди сключването на договор;
  • Обработването е необходимо за целите на легитимните интереси на съответното дружество, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните;
  • Предварително дадено изрично съгласие от субекта на данните;

4.3. Персонал

В общия случай, Дружествата обработват данни за персонала когато:

  • Обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор;
  • Обработването е необходимо за спазването на законово задължение във връзка с трудовото и социалното законодателство.
  • Обработването е необходимо за целите на легитимните интереси на Дружествата, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните;
  • По изключение, лични данни може да бъдат обработвани въз основа на съгласие от субекта на данните за една или повече конкретни цели (например маркетинг).

Дружествата могат да обработват специални категории лични данни за свои служители/работници – данни за здравословното състояние, когато обработването е необходимо за целите на трудовото право и правото в областта на социалната сигурност и социалната закрила в съответствие с приложимото национално законодателство;

Лични данни, свързани с присъди и нарушения (под формата на свидетелства за съдимост) за служители се събират и обработват само когато това е предвидено в нормативен акт.

4.4. Видеонаблюдение и кол център

Данните от видеонаблюдението се обработват с цел:

  • Защита на легитимните интереси на Дружествата;
  • Когато обработването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на друго физическо лице.

В конкретно определени случаи, е възможно видеонаблюдението да се извършва и в резултат на нормативно задължение, което съответното Дружество има по отношение на конкретно помещение в обекта.

Аудио записите на телефонни разговори, осъществявани с кол центъра (заедно с личните данни, съдържащи се в тях) се събират и обработват за целите на легитимните интереси на съответното Дружество, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.

Личните данни на служителите, публикувани в рубриката „За нас“ на интернет страницата на сЛечебните заведения, се обработват след предварителното съгласие на субекта на данни.

Дружествата обработват личната информация, съдържаща се в благодарствените писма на пациенти, публикувани в секцията „Отзиви от пациенти“, въз основа на свой легитимен интерес, свързан с популяризиране и изграждане на доверие в качеството на предлаганите здравни/медицински услуги от съответното лечебно заведение.

4.5. Заявители/искатели/жалбоподатели/молители

Дружествата обработват лични данни на тези категории субекти само, доколкото това е необходимо за защита на свои легитимни интереси, както и за упражняване или защита на правни претенции към администратора. В определени случаи, данните се обработват и в изпълнение на нормативно установено задължение за администратора.

4.6. Бизнес партньори, клиенти и доставчици

Дружествата обработват данни за бизнес партньори, клиенти и доставчици, доколкото това е необходимо за изпълнение на договор, по който субектът на данни е страна или за предприемане на стъпки по искане на субекта на данни преди сключването на договор. В други случаи е възможно, обработването на тези лични данни да е необходимо за защита на легитимните интереси на администратор на Дружествата или при спазването на законови задължения за Дружествата;

  1. ПОЛУЧАТЕЛИ И КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

5.1. В Лечебните заведения

Обработването на лични данни може да включва обмен на данни между дружествата, основан на законен интерес, който се извършва във връзка с постигане на вътрешно административни цели, като същевременно се спазват принципите за защита на личните данни и се въвеждат подходящи гаранции за тяхната сигурност.

5.2. Извън Лечебните заведения

Лични данни може да бъдат споделени с различни категории получатели. Така например, при изпълнение на законови задължения за администратора, лични данни могат да бъдат предоставени на Национална агенция за приходите, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, Национална здравно-осигурителна каса, Регионална здравно-осигурителна каса, Министерство на здравеопазването, Изпълнителна агенция по лекарствата, Изпълнителна агенция „Медицински одит“, на компетентни правоохранителни, правоприлагащи органи, както и на други държавни органи и учреждения.

Дружествата предават данни на други физически/юридически лица, които предоставят определен вид стока или услуга на Дружествата, включително услуги по информационно поддържане и сигурност на IT системите, счетоводно обслужване, архив и други. В тези случаи, съответното Дружество сключва писмено споразумение с конкретния доставчик на услугата, който е предоставил достатъчно гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и да осигурява защита на правата на субектите на данни.

Дружествата поддържат партньорски отношения с други независими администратори на лични данни – застрахователни дружества, висши учебни заведения по медицина, лечебни заведения, лекари на индивидуална практика и други. Във връзка с тези партньорски отношения е възможно страните да споделят помежду си определени данни, например при предоставяне на здравни/медицински услуги, при придобиване на професионални и научни квалификации и т.н. В тези случаи, администраторите от Дружествата информират по подходящ начин субектите на данни за тези категории получатели, както и сключват допълнително споразумение със съответния независим администратор, с което гарантират поверителността и конфиденциалността на личните данни, които се споделят.

  1. ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ СТРАНИ ИЗВЪН ЕС И ЕИП

Дружествата могат да предават лични данни на страни извън Европейския съюз и Европейското икономическо пространство само при спазване на изискванията на Регламент (ЕС) 2016/679 и по-специално на тези, разписани в глава V от него. Предаването се извършва въз основа на решение на Европейската комисия, относно адекватното ниво на защита, което осигурява въпросната трета страна.

При липса на такова решение на Европейската комисия, предаването на трета страна може да се извърши само ако са налице подходящи гаранции и при условие, че са налице приложими права на субектите на данни и ефективни правни средства за защита. Подходящи гаранции представляват приемане на задължителни фирмени правила, стандартни клаузи за защита на личните данни, одобрен кодекс на поведение или одобрен механизъм за сертифициране.

Алтернативно, предаване на лични данни към трета страна, може да се извърши след дадено изрично съгласие на субекта на данните или когато са налице други основания, посочени в член 49, параграф 1 от Регламент (ЕС) 2016/679.

  1. СРОКОВЕ ЗА СЪХРАНЕНИЕ НА ЛИЧНИ ДАННИ

Дружествата съхраняват предоставената им информация в сроковете определени съгласно нормативната уредба и при спазване на принципа за „ограничение на съхранението“ и по-конкретно:

  • Лични данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация;
  • Личните данни на работници/служители, съдържащи се в трудовоосигурителната документация, се съхраняват за срок от 50 (петдесет) години в съответствие със Закона за националния архивен фонд, Закона за счетоводството, Кодекса за социално осигуряване и Данъчноосигурителния процесуален кодекс;
  • Личните данни на кандидати за работа, които не са одобрени за назначаване в някое от дружествата от Групата се съхраняват за срок не по-дълго от 6 (шест) месеца от приключване на процедурата, след което се връщат на лицето или се унищожават по подходящ начин. Личните данни може да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на предоставено съгласие от кандидата за работа;
  • Записите от техническите средства за видеонаблюдение се съхраняват 1 (един) месец от изготвянето им;
  • Аудио записите от телефонните разговори с кол центъра се съхраняват до 12 (дванадесет) месеца и 1 (един) ден от осъществяването им;
  • Лични данни, съдържащи се в счетоводни документи се съхраняват в сроковете по Закона за счетоводството.
  1. ПРАВА НА СУБЕКТИТЕ НА ДАННИ
  • право на достъп до лични данни;
  • право на коригиране или допълване на неточни или непълни лични данни;
  • право на изтриване на лични данни;
  • право на ограничаване на обработването;
  • право на преносимост на лични данни;
  • право на възражение.

Искането за упражняване на Вашите права следва да бъде писмено, изпратено по пощата на адрес гр. София, ул. Емануил Васкидович №51, ет. 1, СОБАЛ „Акад. Пашев“ ЕООД. Ние ще отговорим в срок от един месец след получаване на искането.

  1. ПРАВО НА ЖАЛБА ДО НАДЗОРЕН ОРГАН

Всеки субект на данни, при определените в приложимото законодателство предпоставки, може да подаде жалба до Комисията за защита на личните данни на адрес: гр. София, п.к. 1592, бул. „Проф. Цветан Лазаров“ № 2,

  1. МЕРКИ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Дружествата имат въведени технически и организационни мерки, с цел защита на личните данни на физическите лица от нерегламентиран достъп, грешки или злоупотреба. Дружествата се задължават да спазват всички гарантирани, с европейските и националните закони, права на физическите лица, свързани със защитата на техните лични данни.

Всяко Дружество има приети вътрешни правила и процедури от организационен и технически характер, включително определяне на нива на достъп, които обезпечават поверителността на данните.

Дружествата съблюдават всяко нормативно изискване, съобразно своя предмет на дейност, като отчитат конкретните обстоятелства, формите на събиране на данните, правните основания и целта на тяхното обработване.

Личните данни се обработват единствено от изрично упълномощени за това лица, които са информирани за своите задължения, свързани със защитата на личните данни и са поели ангажимент на конфиденциалност.

Помещенията, където се обработват и съхраняват лични данни са с ограничен достъп само за служителите, обработващи тези данни.

Дружествата провеждат първоначални и последващи обучения на своите служители/работници по отношение на политиките и процедурите за защита на личните данни.

  1. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

Съгласно чл.37, пар.2 от Регламента, всяко от Дружествата е определило длъжностно лице по защита на даннит, като има осигурен лесен достъп до този служител. Длъжностно лице по защита на данните е: Йордан Гетов, телефон 0700 20 266 или имейл privacy@sobalpashev.com.

Длъжностното лице по защита на данните оказва съдействие на субектите на данни и е длъжно да изпълнява задълженията си съгласно чл. 37-39 от Регламент (ЕС) 2016/679 по отношение на всяко от Дружествата. Субектът на данни може да адресира всички свои искания и въпроси, свързани с упражняване на правата му по Регламента към посоченото ДЛЗД.

Тази Политика за защита на личните данни е съставена и приета от МЦ за зрение „Проф. Пашев“ ЕООД и СОБАЛ „Акад. Пашев“ ЕООД в качеството им на администратори на лични данни, с оглед изпълнение на задълженията им за предоставяне на информация на субектите на данни по чл. 13 и чл. 14 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

Тази Политика за защита на личните данни е утвърдена от Дружествата е в сила от 21.05.2018 г.  Последна редакция 09.01.2025г.