ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ НА ЛИЧНИТЕ ДАННИ В ДКЦ „АЛЕКСАНДРОВСКА” ЕООД
Общи положения
I. Основни сведения
ДКЦ „Александровска“ ЕООД е Администратор на лични данни по смисъла на Общия Регламент относно защитата на данните (ЕС) 2016/679.
Администраторът е със седалище и адрес на управление: София, бул. «Св. Георги Софийски» №1, тел. 02 9230 750, e-mail: dkc_alexandrovska@abv.bg.
ДКЦ „Александровска“ ЕООД се представлява от Управител.
Администраторът е с предмет на дейност: лечебно заведение, което осъществява доболнична помощ, диагностициране, лечение и периодично наблюдение на пациенти в изпълнение на Закона за здравето, Закона за лечебните заведения и др.
ІI. Принципи на обработване на личните данни
ДКЦ „Александровска“ ЕООД обработва лични данни въз основа на принципите, посочени в чл. 5 от Регламент (ЕС) 2016/679, а именно:
1. Законосъобразност, добросъвестност и прозрачност.
2. Ограничение на целите.
3. Свеждане на данните до минимум.
4. Точност.
5. Ограничение на съхранението.
6. Цялостност и поверителност.
7. Отчетност.
III. Права на субектите на данни
ДКЦ „Александровска“ ЕООД, като Администратор на лични данни, се
задължава да спазва правата на физическите лица, субекти на данни, съгласно чл. 14 – чл. 22 на Регламент (ЕС) 2016/679:
1. Право на информираност и право на достъп на субекта на данните
Право на информираност (чл. 14 на Регламент (ЕС) 2016/679):
Администраторът предприема необходимите мерки за предоставяне на субектите на данни на всякаква информация и комуникация, която се отнася до обработването, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен език, предоставена устно, писмено или чрез електронни средства. Такава информация се предоставя, когато Администраторът се е уверил в самоличността на физическото лице.
Право на достъп на субектите на данни до техни лични данни (чл. 15 на Регламент (ЕС) 2016/679).
а) субектите на данни (пациентите, служителите, кандидатите за работа,
контрагентите на ДКЦ „Александровска“ ЕООД и др.) имат право да получат от Администратора потвърждение дали обработва техни лични данни и, ако това е така, да получат достъп до тези данни.
б) на субекта на данни се предоставя копие от личните данни, които са в процес на обработване. Полученото копие е със заличени лични данни на други лица и със заличена конфиденциална информация на Администратора.
2. Право на коригиране и право на изтриване
Право на коригиране (чл. 16 на Регламент (ЕС) 2016/679). Субектът на данни има право да поиска от Администратора да коригира или да допълни с цел актуалност на информацията личните данни, свързани с него.
Право на изтриване („право да бъдеш забравен“) (чл. 17 на Регламент (ЕС) 2016/679). Субектът на данни има право да поиска от Администратора изтриване на Политика за поверителност на личните данни свързаните с него лични данни, а Администраторът има задължението да изтрие, без забавяне, личните данни, когато е приложимо някое от основанията, посочени в Регламент (ЕС) 2016/679.
3. Право на ограничаване на обработването (чл. 18 на Регламент (ЕС)
2016/679). Субектът на данните има право да изиска от Администратора ограничаване на обработването, когато е приложимо някое от обстоятелствата, посочени в Регламент (ЕС) 2016/679.
4. Право на преносимост на данните (чл. 20 на Регламент (ЕС) 2016/679).
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран и пригоден за машинно четене формат и може да прехвърли тези данни на друг Администратор.
5. Право на възражение (чл. 21 на Регламент (ЕС) 2016/679).
Субектът на данните има право да възрази срещу обработването на личните му данни, в случай че успее да докаже, че в процеса на това обработване е налице предимство на неговите интереси пред тези на Администратора. Администраторът прекратява обработването на личните данни, освен ако не докаже съществуването на убедителни законови основания за това обработване.
6. Осъществяване на правата на субекта на данни:
а) субектът на данните осъществява конкретно свое право чрез подаване до Администратора на Заявление на хартиен носител. Заявлението трябва да съдържа имена на лицето и данни, които го индивидуализират, описание на искането, предпочитана форма на предоставянето на достъпа до лични данни, подпис, дата и адрес за кореспонденция.
Заявлението се отправя лично от физическото лице, за което се отнасят личните данни, или от лице, изрично упълномощено от субекта на данните.
б) ограничения – правата на субекта на данни не са абсолютно задължителни за Администратора на лични данни. Администраторът аргументирано ще откаже на субект на данни изпълнение на негово искане за упражняване на право по смисъла на Регламент (ЕС) 2016/679, когато това искане засяга въпроси, като: национална сигурност, отбрана и обществена сигурност; предотвратяването, разследването, разкриването или наказателното преследване на престъпления; важни цели от широк обществен интерес; защита на независимостта на съдебната власт; защита на правата и свободите на други лица и
изпълнението на гражданско-правни искове.
IV. Технически и организационни мерки за защита на данните.
ДКЦ „Александровска“ ЕООД прилага подходящи технически и организационни мерки за гарантиране на високо ниво на сигурност за личните данни, които обработва. Мерките са подробно отразени в разработените за целта политики и процедури, насочени към изпълнение на изискванията на Регламент (ЕС) 2016/679. При разработването им са взети предвид достиженията на техническия прогрес, разходите за прилагане им и естеството, обхватът, контекстът и целите на обработването.
При изпълнението на настоящата Политика за поверителност на личните данни се вземат предвид свързаните с обработването рискове, по-специално тези за случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които са или са били предмет на обработване.
Дейности по обработване на лични данни в ДКЦ „Александровска“ ЕООД
I. Категории субекти на данни и основания за обработване на техните лични данни.
1. В изпълнение на своята дейност, ДКЦ „Александровска“ ЕООД обработва лични данни на следните основни категории субекти на данни:
1.1 в изпълнение на основната функция като лечебно заведение – субекти на данни са пациентите на ДКЦ „Александровска“;
Политика за поверителност на личните данни ДКЦ „Александровска“ ЕООД обработва специални категории лични данни (данни за здравословното състояние на пациентите) в качеството си на лечебно заведение за доболнична помощ.
1.2 за целите на трудовите правоотношения – субекти на данни са служителите на ДКЦ „Александровска“ ЕООД и кандидатите за работа в него;
1.3 за целите на деловите отношения с външни доставчици (контрагенти) – субекти на данни са физически лица и физически лица, представители на юридически лица, които се явяват доставчици на стоки и услуги за целите на основната дейност на ДКЦ „Александровска“ ЕООД.
2. Основанията за обработването на лични данни по т. 1 са посочени в Регламент (ЕС) 2016/679, чл. 6, параграф 1, букви „б“, „в“, „д“ и „е“ и чл. 9, параграф 1, буква „з“ – обработването е необходимо за:
2.1 буква „б“: изпълнение на договор, по който Администраторът и субектът на данни са страни;
2.2 буква „в“: спазване на законово задължение, което се прилага спрямо Администратора;
2.3 буква „д“: изпълнение на задача от обществен интерес или при упражняване на официални правомощия, които са предоставени на Администратора;
2.4 буква „е“: целите на легитимните интереси на Администратора.
2.5 основанията за обработването на специални категории лични данни (чл. 9, параграф 2, буква „з“) – обработването е необходимо за целите на медицинската диагноза и осигуряването на здравни грижи или лечение.
3. Съгласие: когато не е приложимо нито едно от основанията за обработване на лични данни, посочени в т. 2, може да се търси съгласието на субекта на данните, за да могат неговите лични данни да бъдат обработвани законосъобразно.
При обработване на лични данни на деца в ДКЦ „Александровска“ ЕООД, основано единствено на съгласие за обработване на лични данни, съгласието се дава от носещите родителската отговорност за детето (родителите/настойникът на детето).
4. Сроковете за обработване на лични данни от Администратора (ДКЦ
„Александровска“ ЕООД) са съобразени със законодателството на Република България.
II. Предаване на лични данни на трети държави или международни организации.
1. Към 30.01.2024 г. ДКЦ „Александровска“ ЕООД не предоставя лични данни, които обработва, на трети държави (държави извън Европейския съюз/Европейското икономическо пространство) или на международни организации.
2. В случай че в бъдеще в рамките на основната дейност на медицинския център се извършва предаване на лични данни на трета държава или международна организация, предаването ще се извършва при спазване на разпоредбите на Регламент (ЕС) 2016/679 и на Закона за защита на личните данни.
IІІ. Длъжностно лице по защита на данните в ДКЦ „Александровска“ ЕООД.
По смисъла на Регламент (ЕС) 2016/679, чл. 37, пар. 1, буква „а“, ДКЦ
„Александровска“ ЕООД, в качеството му на Администратор на лични данни, определя Длъжностно лице по защита на данните, към което субектите на данни могат да се обръщат по всички въпроси, свързани с обработването на техните лични данни.
Длъжностно лице по защита на данните на ДКЦ „Александровска“ ЕООД: Иван Костадинов, тел. 0887 648 639, e-mail: dpo.consult@yahoo.com.
Настоящата Политика за поверителност на личните данни, Версия №1, е разработена от „Алек Консулт“ ЕООД на 30.01.2024 г.