Приета на 02.01.2019 г. от д-р Йован Даскалов)
Настоящата Политика за обработване на личните данни е изработена и приета от ръководството на МЕДИЦИНСКИ ЦЕНТЪР ПСАГБАЛ „СВЕТА СОФИЯ“ ЕАД (наричано за краткост „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“) съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните – ОРЗД).
ОРЗД е влязъл в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз и е задължителен в своята цялост като се прилага пряко във всички държави членки от 25 май 2018 година съгласно член 99 от ОРЗД.
Настоящата Политика за защита на личните данни се прилага за личните данни, които се събират чрез сайта, както и при предоставяне на услуги от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“.
Целта на настоящата политика е физическите лица да бъдат информирани какви лични данни се събират за тях, с каква цел, срок и какви са техните права.
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ отдава голямо значение на защитата на личните данни и се задължава да спазва действащото законодателство за защита на личните данни.
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ ще спазва най-високи нива на поверителност на личните данни.
Настоящата Политика за защита налични данни на физически лица е приета от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“. Всички лица, които имат правни или фактически отношения с „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ и/или достъп до обработвани от него личните данни трябва да се запознаят и даспазват тази политика.
Съгласието с нея е условие за встъпване и реализиране на правоотношения с „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“. При липса на съгласие с настоящата политиката няма да имате възможност да встъпите в правоотношения с „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“.
Достъп до обработваните лични данни се предоставя само в определени от закона случай на правоимащи лица въз основа на валидно правно основание и/или предварително сключено споразумение за поверителност на данните с лица, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на ОРЗД и да осигурява защита на правата на субектите на данни и които са поели задължение за спазване на поверителност. „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ извършва проверки на спазването на поетите със споразумението задължения.
В съответствие с ОРЗД в тази политика са описани и приети и други релевантни документи, политики, практики, процеси и процедури.
Данни за Администратора:
МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ ЕАД, с ЕИК 201509714, е лечебно заведение за специализирана извънболнична медицинска помощ съгласно Закона за лечебните заведения, което предоставя здравни услуги с гарантирано качество и максимално задоволяване на здравните потребности от специализирана извънболнична медицинска помощ на населението от гр. София.
Данни за контакт:
Държава: България
Адрес: адрес гр. София 1330, район Красна поляна, ул. „Михалаки Ташев“No 2
Телефон: (02) 4470 219
Интернет адрес: http://medicalcenter.bg/
Данни за контакт с длъжностно лице по защита на данните:
С нашето длъжностно лице по защита на данните можете да се свържете на:
Ел. поща: registratura@medicalcenter.bg
Тел: (02) 4470 219
За целите на своята дейност като лечебно заведение за специализирана извънболнична медицинска помощ и търговско дружество, „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ обработва лични данни на физически лица („субекти на данни“) в строго съответствие с ОРЗД, Закона за защита на личните данни, действащото законодателство в сферата на здравеопазването и настоящата Политика за защита на личните данни.
Съгласно ОРЗД и настоящата политика:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
„Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
„Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип;
„Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Генетични данни“ означава лични данни, свързани с наследени или придобити генетичните белези на дадено физическо лице, които дават уникална информация за отличителните черти или здравето на това физическо лице и които са получени, по-специално, от анализ на биологична проба от въпросното физическо лице;
„Биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни;
„Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
При обработването на личните данни „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ спазва и се ръководи от принципите залегнали в ОРЗД за: законосъобразност, добросъвестност и прозрачност; ограничение на целите; свеждане на данните до минимум; точност; ограничение на съхранението; цялостност и поверителност.
Информация и лични данни, които „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ събира
Когато използвате нашия сайт или изберете нашите услуги ние събираме информация и лични данни за вас, които в повечето случаи самите вие ни предоставяте, избирайки и съгласявайки се да ни изпратите информация за себе си. В определени случаи ние изискваме личните ви данни, за да спазим законово задължение, за сключване на договор с вас, за предприемане на стъпки по ваше искане преди сключването на договор, за защита на ваши жизненоважни интереси или на друго физическо лице, за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са ни предоставени, за целите на наши легитимни интереси или на трета страна, освен когато пред такива интереси преимущество имат вашите интереси или основни права и свободи, които изискват защита на личните данни, по-специално когато субектът на данните е дете.
В зависимост от услугите, които ползвате, ние можем да събираме и обработваме следната информация за вас:
Име, ЕГН, данни по лична карта, адрес, дата на раждане, телефонен номер за контакт, електронен адрес, образователно-квалификационна степен, допълнителна квалификация и правоспособност и др.
Специалните категории лични данни, които събираме (генетични, биометрични данни, данни за здравословното състояние или данни за сексуалния живот и сексуалната ориентация) се използват за осигуряването на здравни грижи, медицинска диагноза и лечение и при наличиена някое от условията изброени в ОРЗД:
– При наличие на изрично съгласие на лицето за обработването за една или повече конкретни цели, освен ако законодателството изключва възможността за подобно съгласие;
– За целите на превантивната или трудовата медицина, за оценка на трудоспособността на пациенти и служители, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;
– За да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
– За защита на обществения интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;
– За целите на изпълнението на задълженията и упражняването на специалните права на администратора или на субекта на данните по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила, дотолкова, доколкото това е разрешено от правото на Съюза или правото на държава членка, или съгласно колективна договореност в съответствие с правото на държава членка, в което се предвиждат подходящи гаранции за основните права и интересите на субекта на данните;
– По причини от важен обществен интерес на основание правото на Съюза или правото на държава членка, което е пропорционално на преследваната цел, зачита същността на правото на защита на данните и предвижда подходящи и конкретни мерки за защита на основните права и интересите на субекта на данните.
С оглед на техния чувствителен характер специалните категории лични данни се ползват със засилена защита и се обработват от медицински специалисти при спазване на задължение за професионална тайна.
Изброените данните се събират от:
– Пациенти, а при необходимост и на техни близки или придружители;
– Персонал, настоящи и бивши служители на дружеството, кандидати за работа и обучаеми;
– Контрагенти или потенциални контрагенти на дружеството и/или на техни служители;
– Други посетители в лечебното заведение.
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ обработва лични данни за следните цели:
(а) Предоставяне на конкретни здравни услуги – лечебно заведение за специализирана извънболнична медицинска помощ към Първа Акушеро-Гинекологична Болница. Извършват се прегледи, консултации, амбулаторни оперативни интервенции, женска консултация, всички видове клинико-лабораторни изследвания-хематологични и цитологични, биохимични, хормонални, на кръвосъсирването, на урина, ехографско изследване на бременни, ЕКГ-холтер мониториране и кожно-алергични проби, прекъсване на бременност по желание;
По отношени на услугите достъпни на сайта на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ и онлайн регистрационните форми във връзка със записване на час за преглед, промоционални кампании, лабораторни резултати, отговори на ваши запитвания или друга кореспонденция.
(б) Изпълнение на законовите задължения на дружеството, регламентирани в Закона за здравето, Закона за здравното осигуряване, Закона за лечебните заведения, издадените подзаконови актове по прилагането им, Националния рамков договор, предоставяне на медико-статистическа информация и на информация за медицинската дейност и др.;
(в) Изпълнение на изискванията на трудовото, осигурителното и социалното законодателство по отношение на служителите;
(г) Изпълнение на задължения, регламентирани в счетоводното и данъчно законодателство;
(д) Гарантиране сигурността на пациентите, служителите и имуществото чрез видеонаблюдение, регистрация, физическа охрана и контрол на достъпа;
(е) Други законосъобразни цели свързани с физическата и информационната сигурност на сайта и IT системите и защита на законните интереси на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“;
(ж) Изпълнение на договор, включително преддоговорните отношения преди неговото сключване.
Предоставяне на лични данни
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ предоставя лични данни на компетентни държавни органи в изпълнение на своите законови задължения, включително, но не само на: Националната здравноосигурителна каса, Министерството на здравеопазването, НАП, НОИ и др.
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ използва трети страни за подпомагане на определени дейности като: външни лаборатории или други лечебни заведения; външни консултации със специалисти, търговски дружества, предоставящи услуги на дружеството, включително информационно поддържане и сигурност на IT системите, счетоводство, хостинг и поддръжка на уебсайта и комуникации.
ОРЗД дава насоки администраторът на лични данни да изнася дейност по обработка на лични данни само към лица, които имат основание да ги получат и предоставят достатъчни гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че да отговарят на изискванията на регламента.
Във всички тези случаи „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ е предприел необходимите мерки за защита на правата и интересите на субектите на личните данни, въз основа на сключени изрични договори с обработващите лични данни за гарантиране на сигурността на данните и опазване на тяхната конфиденциалност, които регламентират предмета и срока на действие на обработването, естеството и целта на обработването, вида лични данни и категориите субекти на данни и задълженията и правата на администратора съгласно чл. 28 от ОРЗД.
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ няма да предава лични данни в трети страни извън Европейския съюз, освен когато е необходимо за целите на лечението. В тези случаи, с оглед защита на правата и интересите на пациента, от него се иска изрично предварително съгласие за трансфера на данните. Личните данни може да бъдат защитени и по друг начин, например чрез подписване на договор между дружеството и получателя, включващ стандартни клаузи за защита личните данни, приети от Европейската комисия.
Срокове на съхранение на личните данни
Събраната за вас информация се съхранява до края на срока на предоставяната услуга или съгласно предвидените срокове в действащото законодателство.
Личните данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация.
Записите от видеонаблюдението и разговорите в „Регистратура“ и регистрите на посетителите се съхраняват за срок от 60 (шестдесет) дни съгласно Закона за частната охранителна дейност.
Личните данни, съдържащи се в счетоводни документи, се съхраняват в сроковете по чл. 12 от Закона за счетоводството.
Сигурност на личните данни
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ прилага всички подходящи технически и организационни мерки за гарантиране сигурността на личните данни, включително поемане на изрично задължение от служителите за професионална тайна и конфиденциалност.
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ обработва личните данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
В съответствие със съображение 49 от ОРЗД, обработването на лични данни в степен, която е строго необходима и пропорционална на целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена мрежа или информационна система да издържа, със съответно равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните лични данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти (ЕНРКИ), екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на съответния администратор на данни. Това може да включва например предотвратяването на непозволен достъп до електронни съобщителни мрежи и разпространение на зловреден софтуер и спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи.
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ предприема мерки за гарантиране сигурността на тяхното обработването предвид:
– достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:
– псевдонимизация и криптиране на личните данни;
– способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;
– способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;
– процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.
В случай на установяване на нарушение на сигурността на личните данни, „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ ще уведоми надзорния орган за нарушението на сигурността на личните данни без ненужно забавяне и когато това е осъществимо – не по-късно от 72 часа след като е разбрал за него.
Права на субектите на данни
ОРЗД детайлно регламентира правата на субекта на данни (чл. 12 и сл.).
Всяко физическо лице, чиито данни се обработват от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“, има следните права: право на прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни, право на информация, предоставяна при събиране на лични данни от субекта на данните и на достъп до тях, право на коригиране, право на коригиране и изтриване на личните данни (право „да бъдеш забравен“), право на ограничаване на обработването, право на получаване и преносимост на личните данни, право, което е корелативно на задължението на администратора за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването, право на възражение относно обработването на лични данни, право на субекта на данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен, право на защита пред компетентните органи.
Правото на достъп до здравна информация се упражнява по реда на чл. 27 от Закона за здравето.
Здравна информация може да бъде предоставяна на трети лица, когато:
– лечението на лицето продължава в друго лечебно заведение;
– съществува заплаха за здравето или живота на други лица;
– е необходима при идентификация на човешки труп или за установяване на причините за смъртта;
– е необходима за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
– е необходима за нуждите на медицинската експертиза и общественото осигуряване;
– е необходима за нуждите на медицинската статистика;
– е необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт.
– е необходима за нуждите на застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел ІІ, буква „А“ на приложение № 1 към Кодекса за застраховането.
Онлайн достъп до разчитанията на образни изследвания и лабораторни резултати се предоставя чрез интернет сайта на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“. С цел защита на личните данни, идентификационният номер и паролата за онлайн достъп се предоставят само лично. Не се допуска предоставянето им по телефон или изпращането им по електронна поща.
В съответствие със Закона за защита на личните данни, посочените по-горе права могат да се упражнят чрез подаване на писмено заявление на адрес: Адрес: адрес гр. София 1330, район Красна поляна, ул. „Михалаки Ташев“No 2. Заявление може да бъде отправено и по електронен път, по реда на Закона за електронния документ и електронните удостоверителни услуги. Заявлението се отправя лично от субекта на данни или от изрично упълномощено от него лице с нотариално заверено пълномощно, като копие от него се предоставя към заявлението.
Отговор на искане на упражнено право се изготвя на хартиен носител и се получава от заявителя на адреса на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ на „Регистратура“. Служителите от „Регистратура“ проверяват самоличността на заявителя чрез справка в документ за самоличност, представен от последния, и предоставят отговора в два екземпляра, по един за всяка страна, подписани от заявителя.
Всички физически лица – субекти на данни имат право на достъп до касаещите ги лични данни, съхранявани от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“, както и право да коригират и допълват такива данни. Всички искания за достъп, коригиране, блокиране и/или заличаване на лични данни в резултат от използването на камери следва да се изпращат до длъжностното лице за защита на данните, а именно:
Димитрина Колева
Ел. поща: registratura@medicalcenter.bg
Тел: (02) 4470 219
Длъжностното лице изпраща на подателя потвърждение за получаване в рамките на 5 работни дни след получаване на искането и конкретен мотивиран отговор по искането в срок до 20 календарни дни. Когато това е невъзможно, подателят се уведомява относно следващите стъпки и причините за забавянето. В този случай окончателния отговор на длъжностното лице за защита на данните следва да бъде изпратен на подателят в срок до 60 календарни дни.
При нередности или очевидна злоупотреба от страна на субекта на данните при упражняване на правата му, лечебното заведение може да се консултира с длъжностното лице за защита на данните относно искането и/или да пренасочи субекта на данните към длъжностното лице за защита на данните, което да вземе решение относно допустимостта на искането и съответните последващи действия.
Защита на правата на субектите на данните
В съответствие с ОРЗД и Закона за защита на личните данни, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба до Комисията за защита на личните данни на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет страница: www.cpdp.bg.
Настоящата Политика за защита на личните данни е в съответствие с действащото законодателство към момента на нейното приемане – 02.01.2019 г.
ПОЛИТИКА
ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
ПРИ ИЗПОЛЗВАНЕТО НА ВИДЕОСИСТЕМИ И ЗВУКОЗАПИСИ В
МЕДИЦИНСКИ ЦЕНТЪР ПСАГБАЛ „СВЕТА СОФИЯ“ ЕАД
(Приета на 02.01.2019 г. от д-р Йован Даскалов)
Настоящата Политика за обработване на личните данни при използването на видеосистеми и звукозаписи е неразделна част от Политиката за обработване на личните данни в МЕДИЦИНСКИ ЦЕНТЪР ПСАГБАЛ „СВЕТА СОФИЯ“ ЕАД (наричано за краткост „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“).
Политиката за обработване на личните данни при използването на видеосистеми и звукозаписи е изработена и приета от ръководството на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ в съответствие с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните – ОРЗД), Закон за защита на личните данни (ЗЗЛД), Закон за частната охранителна дейност (ЗЧОД), Закон за противодействие на тероризма, Наредба № 8121з-1225 от 27 септември 2017 г. на Министерство на вътрешните работи и Държавна агенция „Национална сигурност“ за видовете обекти по чл. 23, ал. 1 от Закона за противодействие на тероризма, чиито собственици и ползватели разработват и прилагат мерки за противодействие на тероризма, минималните изисквания към тези мерки и реда за упражняване на контрол (Наредба № 8121з-1225). Лечебните заведения са обекти по чл. 2, т. 2, буква „б“ от Наредба № 8121з-1225, чиито собственици и ползватели са длъжни да разработват и прилагат мерки за противодействие на тероризма, като част от мерките са и елементите за физическа защита, които включват алармени системи за сигурност и системи за видеонаблюдение съгласно чл. 5, ал. 1 и ал. 2, т. 5 от наредбата.
Цел и обхват на политиката
В „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ се осъществява охранителна дейност с цел физическа защита на имуществото на дружеството от противоправни посегателства, както и по тяхното предотвратяване и пресичане, и противодействие на противоправно посегателство спрямо физическите лица в сградата, която включва още и осигуряване на пропускателен режим, извършване на видеонаблюдение при спазване на Закона за защита на личните данни и мониторен контрол.
За осигуряване на безопасността и сигурността на работниците, служителите, посетителите, сградата на лечебното заведение, имуществото и обработваните лични данни, „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ използва система за видеонаблюдение чрез систематично мащабно наблюдение на публично достъпни зони на сградата.
В тази политика са описани видео и звукозапис системата на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ и предпазните мерки, предприети за защита на личните данни, неприкосновеността на личния живот и други основни права и легитимни интереси на лицата, попадащи в обсега на камерите.
В тази политика се уреждат правните основания и целите за изграждане на система за наблюдение, местоположение, обхват на наблюдение и средства за наблюдение, срок на съхранение на записите с информация и изтриването им, правото на преглед от страна на наблюдаваните лица, информиране на обществеността за осъществяваното наблюдение, ограничения при предоставяне на достъп до информацията на трети лица, както и процедурите, които трябва да се следват при обработването на лични данни, получени вследствие на осъщественото видеонаблюдение и звукозапис.
Изложените в нея принципи и процедури, трябва да бъдат спазвани от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“, неговите работници и служители, изпълнители или други страни, които работят от името на лечебното заведение, пациенти, клиенти или други посетители.
Получените при видеонаблюдението и звукозаписа лични данни се обработват по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически ии организационни мерки.
Настоящата политика е приета след преценка на законните интереси на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“, неговите работници и служители, посетителити и клиентити, извършена оценка на риска и предвид степента на засягане личната неприкосновеност на посетителите, служителите и пациентите на лечебното заведение.
Наблюдавани зони
Камери са монтирани на различни места в сградата на лечебното заведение, включително: Входа на сградата, двете регистратури и стълбището към горните етажи. Всеки от етажите е осигурен с етажна видеокамера. Зоните извън територията на сградата и тези, които не са от значение за преследваните цели, са обхванати в минимална степен.
Не се извършва наблюдение в стаите за почивка и санитарните помещения. По изключение, при надлежно обосновани нужди, свързани със сигурността, камери могат да се инсталират и в такива зони, като във всички случаи това се прави след оценка на въздействието и след уведомяване на длъжностното лице за защита на данните и искане на разрешение от КЗЛД. В тези случаи в помещенията се поставя специално съобщение, което е ясно видимо.
По изключение, при надлежно обосновани и доказуеми нужди, свързани със сигурността, могат да се използват скрити камери, когато е необходимо за предотвратяването, разследването, разкриването и преследване на престъпления по реда действащото наказателно-процесуално законодателство и по разпореждане на компетентните държавни органи.
Събрани лични данни при видеонаблюдението и звукозаписа и цел на събирането
Видеосистемата е конвенционална и предимно статична система. Записват се дигитални образи и има сензори за движение. Записва се конкретно движение, уловено от камерите в наблюдаваните зони, заедно с часа, датата и мястото. Всички камери работят непрекъснато. По целесъобразност качеството на образа да позволява да бъдат идентифицирани лицата в обсега на камерата. Всички камери са стационарни и могат да се използват от операторите за увеличаване на образа в конкретна ситуация от съображения за сигурност. Обучени за целта оператори спазват настройките по отношение на защитата на личния живот и правата за достъп.
Не се осъществяват записи на телефонен разговор. Последните имат за основна цел да гарантират само правилното насочване на пациентите към лекуващи лекари при записване на час.
„МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ използва видеонаблюдението за целите на:
– охрана и физическа защита на имуществото на дружеството от противоправни посегателства, както и по тяхното предотвратяване и пресичане;
– пропускателен режим;
– противодействие на противоправно посегателство спрямо физическите лица в сградата;
– осигуряване на безопасността и сигурността на работниците, служителите, посетителите,
– сигурност на обработваните лични данни,
– предоставяне на спешна медицинска помощ и
– повишаване нивото и качеството на медицинската дейност.
Видеонаблюдението не се използва за отчитане на работното време на работниците и служителите, както и за наблюдение на тяхната работа.
Видеонаблюдението може да се използва в рамките на дисциплинарни процедури, изключително за целите на разследване на инцидент, свързан с физическата сигурност.
Правното основание за извършването на видеозаснемането е законен интерес на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“, вкл. в качеството му на работодател.
Видеосистемата в „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ няма за цел да прихваща (напр. чрез увеличаване на образа или целево насочване) или да обработва по друг начин (напр. индексиране, профилиране) изображения, които разкриват „специални категории данни“ по смисъла на ОРЗД.
Изключение от този принцип е използването й за целите на медицинската диагноза, осигуряването на здравни или социални грижи или лечение – чл. 9, ал. 2, б. „ж“ от ОРЗД, когато се извършва видеонаблюдение в пациентските стаи.
Защита и гарантиране на личните данни
С цел да се защити сигурността на видеосистемите, включително на личните данни, са взети следните технически и организационни мерки:
– Сървърите, на които се съхраняват записите, се намират в обезопасени помещения, защитени чрез мерки за физическа сигурност; мрежови защитни стени защитават логическия периметър на информационната инфраструктура; главните компютърни системи, които съхраняват данните, са с допълнителна защита за сигурност;
– Извършване на индивидуална проверка за надеждност на всички наети подизпълнители, които имат достъп до системата (включително на персонала за поддръжка на оборудването и системите);
– Всички служители подписват споразумения за неразкриване на информация и поверителност;
– Правата на достъп за потребителите се предоставят единствено за ресурсите, които са абсолютно необходими за изпълнение на задълженията им;
– Единствено системният администратор може да предоставя, променя или отнема правата на достъп на служителите. Всяко предоставяне, промяна или отнемане на права за достъп се извършва съобразно одобрена вътрешна процедура.
– „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ поддържа актуализиран списък на всички лица с достъп до системата и описва в детайли правата им на достъп;
– Длъжностното лице за защита на данните задължително представя консултация преди придобиването или инсталирането на нова система за видеонаблюдение и звукозапис, както и при ъпдейтване или ъпгрейдване на същуствуващата такава;
– „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ .поддържа регистър „Видеонаблюдение “, като част от регистъра за лични данни, който набира и съхранява лични данни на работниците и служителите и всички клиенти и други посетители в лечебното заведение
Категории лични данни, отнасящи се до физически лица са – видеоизображение.
Регистър „Видеонаблюдение“ се води в електронен формат, като данните се въвеждат в изолирани системи със защитен достъп до личните данни.
Личните данни се съхраняват на електронен носител в изолирана среда с ограничен достъп до тях.
Записите от техническите средства за видеонаблюдение се съхраняват в регистъра в срок два месеца след изготвянето им.
След изтичането на този срок изображенията се унищожават/заличават в същата последователност, в която са влезли в системата като унищожаването им се извършва от постоянна комисия, определена със заповед, като за извършеното унищожаване се изготвя протокол.
При инцидент, свързан със сигурността, записи могат да бъдат запазени за по-дълъг срок, за нуждите на съответното разследване. Запазването се документира по съответния ред и/или в съответствие с разпорежданията на компетентнитеоргани.
Мерки за информиране
Физическите лица се уведомяват за използването на технически средства за наблюдение и контрол в сградата на „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“.
Информационни табла за осъществяваното в сградата видеонаблюдение и звукозапис са поставени на всеки от входовете на сградата на лечебното заведение, включително на входовете на паркингите, както и са поставени съобщения с пиктограми, за да се укаже, че се извършва наблюдение, и за сведение как да се получи допълнителна информация,
Настоящата политика е публикувана на уебсайта на лечебното заведение и е достъпна на „Регистратура“.
Права на субектите на данни
Всички физически лица – субекти на данни имат право на достъп до касаещите ги лични данни, съхранявани от „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“, както и право да коригират и допълват такива данни. Всички искания за достъп, коригиране, блокиране и/или заличаване на лични данни в резултат от използването на камери следва да се изпращат до администратора на лични данни, а именно:
Димитрина Колева
Телефон: (02) 4470 219
Интернет адрес: http://medicalcenter.bg/
Администратора изпраща на подателя потвърждение за получаване в рамките на 5 работни дни след получаване на искането и конкретен мотивиран отговор по искането в срок до 20 календарни дни. Когато това е невъзможно, подателят се уведомява относно следващите стъпки и причините за забавянето и уведомява длъжностното лице по защита на личните данни. В този случай окончателния отговор на длъжностното лице за защита на данните следва да бъде изпратен на подателят в срок до 60 календарни дни.
С цел защита на данните, „МЦ ПСАГБАЛ „СВЕТА СОФИЯ“ може да поиска от подателите да удостоверят самоличността си чрез представяне на документ за самоличност, както и да уточнят датата, времето, мястото и обстоятелствата, при които са били заснети от камерите. Подателите трябва също да представят своя актуална снимка, която да позволи на охранителния персонал да ги разпознае върху разглежданите записи.
При нередности или очевидна злоупотреба от страна на субекта на данните при упражняване на правата му, лечебното заведение може да се консултира с длъжностното лице за защита на данните относно искането и/или да пренасочи субекта на данните към длъжностното лице за защита на данните, което да вземе решение относно допустимостта на искането и съответните последващи действия.
Защита на правата на субектите на данните
В съответствие с ОРЗД и Закона за защита на личните данни, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба до Комисията за защита на личните данни на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет страница: www.cpdp.bg.
Настоящата Политика за защита на личните данни е в съответствие с действащото законодателство към момента на нейното приемане 02.01.2019 г.