МБАЛ "Княгиня Клементина"
Многопрофилна болница за активно лечение в град София

Защита на личните данни

ПОЛИТИКА

за защита на личните данни  

Политика за защита на данните в Многопрофилна болница за активно лечение “Княгиня Клементина” – София“ ЕАД, наричана по-долу “АДМИНИСТРАТОР”. 

Многопрофилна болница за активно лечение “Княгиня Клементина” – София ЕАД, с адрес: гр. София, бул. “Ген. Н.Г.Столетов” 67А, прилага в търговските си взаимоотношения с Клиентите настоящите Общи условия:

„АДМИНИСТРАТОРА” като администратор на лични данни, събира и обработва определена информация за физически лица.

Тази информация се отнася до пациенти, служители, управители, доставчици, контрагенти, и други физически и юридически лица, с които „АДМИНИСТРАТОРА” си взаимодейства.

Настоящата политика за защита на личните данни урежда как да бъдат събирани, обработвани и съхранявани личните данни, за да отговарят на стандартите в организацията на „АДМИНИСТРАТОРА” и да са в съответствие със правните изисквания на Регламент 679/2016. 

  1. Правно основание

Настоящата Политика за защита на личните данни ("Политика") се издава на основание Закона за защита на личните данни и подзаконовите му актове, така както се променят, ("Българското законодателство"), и Общия регламент относно защитата на данните (ЕС) 2016/679 ("GDPR").

Българското законодателство и GDPR предвиждат правила как организациите, включително “АДМИНИСТРАТОРА” трябва да събират, обработват и съхраняват лични данни. Тези правила се прилагат от „АДМИНИСТРАТОРА” независимо дали се касае за данни, които се обработват електронно, на хартия или на други носители.

За да бъде обработването на лични данни в съответствие с правните изискванията, личните данни се събират и използват основателно – законосъобразно, договорно или чрез декларация от страна на субекта на лините данни. Личните данни се съхраняват  в определените за целта места – картотечншкафове със заключващи се устройства, в помещения с ограничен достъп, както и на сървър, разположен е в самостоятелно, „АДМИНИСТРАТОРЪТ” и са предприети всички необходимите мерки, за да не бъдат обработваните лични данни, обект на незакономерно разкриване и като администратор на лични данни е запозната и следва принципите, предвидени в GDPR: законност, прозвачност и отчетност.

Следвайки принципите:

  • Личните данни се обработват законосъобразно, добросъвестно и прозрачно;
  • Личните данни се събират за конкретни, изрично указани, законоуредени и Легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;
  • Личните данни са минимизирани до необходимото, за да бъдат изпълнение целите, за които се обработват;
  • Личните данни са точни и при необходимост се поддържат в актуален вид;
  • Личните данни се съхраняват при „АДМИНИСТРАТОРА”, което позволява идентифицирането на засегнатите лица за период, не по-дълъг от необходимият за целите, за които се обработват личните данни;
  • Личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки. 
  1. Цели на Политиката

Настоящата Политика цели „АДМИНИСТРАТОРЪТ” да:

  • Бъде в съответствие с приложимото законодателство по отношение на личните данни и да следва установените добри практики;
  • Установи механизмите за водене, поддържане и защита на отчетните регистри;
  • Установи задълженията на длъжностните лица, обработващи лични данни и/или лицата, които имат достъп до лични данни и работят под ръководството на обработващите лични данни, тяхната отговорност при неизпълнение на тези задължения;
  • Защитава правата на персонала,пациентите, доставчиците, контрагентите;
  • Начина на съхранение, обработване и защита личните данни на физическите лица да бъде открит;
  • Установи необходимите технически и организационни мерки за защита личните данни от неправомерно обработване, случайно или незаконно унищожаване, случайна загуба неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни;
  • Бъде защитен при риск от нарушения. 

III. Обхват

Настоящата Политика се прилага по отношение на обработването на лични данни на пациенти, човешки ресурси, доставчици,контрагенти, които се обработват на хартиен и електронните носител, като отчетните регистри са  установени в съответствие с Политиката, Българското законодателство и чл. 30 от GDPR ("Регистри на дейностите по обработване"). 

  1. Събиране на лични данни 

Категории данни и субекти:

"Лични данни" са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („Субект на данни“), а именно:

„АДМИНИСТРАТОРА” събира лични данни по отношение на следните категории лица:

  • Пациенти
  • Служители
  • Доставчици / Контарагенти

Начина на събиране, обработване, съхранение и архивиране са подробно описани в Процедура П01 

 Цели на събирането на данните:

„АДМИНИСТРАТОРА” събира личните данни във връзка с изпълнението на следните цели:

  • За извършване на прегледи, диагноцистиране, провеждане на изследване, хоспитализиране и лечение на пациенти, изписване на рецепти и други
  • За изпълнение на дейности, свързани със сключване, изменение и прекратяване на договорни правоотношения, в това число със служители, доставчици и контрагенти
  • Изготвяне на всякакви документи;
  • За установяване на връзка с лицето за контакт по телефон, факс или по всякакъв друг законосъобразен начин;
  • За комуникация във връзка с предоставяне и/или получаване на здравни услуги;
  • За водене на счетоводна отчетност във връзка с изпълненията на служебните си и договорни ангажименти , по които „АДМИНИСТРАТОРА” е страна;
  • За обработка на плащания във връзка със сключените договори от „АДМИНИСТРАТОРА”
  • За изпращане на лични данни до субекти във връзка с приетите правила, условията и политиките на „АДМИНИСТРАТОРА”
  • За изпращане на лични данни до институции и администрация, във връзка с приетите правила за отчетност; 

Събиране на данните: 

Личните данни на всяко лице, субект на лични данни се предоставят доброволно от самите лица и се събират от „АДМИНИСТРАТОРА” в изпълнение на нормативните и служебни задължения, във връзка с извършване на прегледи, диагноцистиране, провеждане на изследване, хоспитаизиране и лечение на пациенти и други , както и със сключването на договор и/или изпълнения на задълженията по сключен договор съгласно разпоредбите на Закон за здравето, Закон за здравно осигуряване, Кодекса на труда, ДОПК, Закона за счетоводството, Закона за задълженията и договорите, Закона за данъка добавена стойност, Търговския закон и др., в зависимост от договора и предмета.

Носителите са  хартиен – писмени документи, досиета пациенти, изтория на заболяването (ИЗ); трудови досиета; договори, допълнителни споразумение, анекси, декларации, пълномощни, заповеди, запорни съобщения, банкова информация и др. и регистри, поддържани на  електронен носител, чрез попълване на регистрационна форма.

Служителите се уведомяват за разпоредбите на тази Политика чрез Заповед. 

  1. Законни интереси, следвани от Многопрофилна болница за активно лечение “Княгиня Клементина” – София ЕАД: 

Обработването на данните на пациенти, в това число и медицински данни, служители, доставчици и контрагенти се извършва на основание законен норматив и във връзка с сключване, изменение и прекратяване на трудови, граждански или търговски договори при прилагането и изпълнение на нормативните изисквания на Закона за здравето, Закона за здравно-осигуряване, Кодекса на труда, Кодекса за социално осигуряване, Данъчно-осигурителен процесуален кодекс, Закон за данъците върху доходите на физическите лица, Закона за счетоводството, Закон за задълженията и договорите, Търговския закон и др. и Декларация информационно съгласие. 

  1. Прозрачност. Права на лицата, чиито данни се обработват от Многопрофилна болница за активно лечение “Княгиня Клементина” - София ЕАД 

Прозрачност и условия за упражняване на правата на лицата:

  • „АДМИНИСТРАТОРЪТ” предоставя информация на лицата в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език.
  • „АДМИНИСТРАТОРЪТ” се стреми да гарантира, че лицата са запознати относно обработваните лични данни и че лицата изцяло и напълно разбират и са информирани във връзка с обработването в съответствие с изискванията на GDPR и Българското законодателство.
  • „АДМИНИСТРАТОРЪТ” предоставя информацията на лицата писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако лицето е поискало това, информацията може да бъде дадена устно, при положение че идентичността на лицето е доказана с други средства.
  • „АДМИНИСТРАТОРЪТ” предоставя на лицата безплатно информация относно действията, предприети във връзка с искане относно правото им на достъп, коригиране, изтриване, ограничаване на обработването, преносимост, възражение и автоматизирано вземане на решения, без ненужно забавяне и във всички случаи в срок от един месец от получаване на Заявлението. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на Заявленията.
  • „АДМИНИСТРАТОРЪТ” информира лицето за всяко такова удължаване в срок от един месец от получаване на Заявлението, като посочва и причините за забавянето. Когато съответно лице подава Заявление с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако лицето не е поискало друго.
  • Ако „АДМИНИСТРАТОРА” не предприеме действия по искането, „АДМИНИСТРАТОРА” уведомява лицето без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред. 

Когато исканията на лицето са явно неоснователни или прекомерни, по-специално поради своята повторяемост, „АДМИНИСТРАТОРЪТ” може или:

  • Да наложи разумна такса, като взема предвид административните разходи за предоставяне на информацията или комуникацията или предприемането на исканите действия, или
  • Да откаже да предприеме действия по искането. 

“АДМИНИСТРАТОРЪТ” информира пациентите  , устно на регистратура и  чрез писменни табели, поставени на видно място за техните права, а именно:

 Право на достъп на лицата:

Всяко лице има право да получи от „АДМИНИСТРАТОРА” потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп до данните и следната информация:

  • Целите на обработването;
  • Съответните категории лични данни;
  • Получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, включително трети държави или международни организации;
  • Когато е възможно, предвидения срок, за който ще се съхраняват данните, а ако това е невъзможно, критериите, използвани за определянето на този срок;
  • Съществуването на право да се изиска от „АДМИНИСТРАТОРА” коригиране или изтриване на лични данни

„АДМИНИСТРАТОРЪТ” предоставя на лицето копие от личните данни, които са в процес на обработване. За допълнителни копия, поискани от лицата, „АДМИНИСТРАТОРА” може да наложи разумна такса въз основа на административните разходи. Когато лицето подава искане с електронни средства, по възможност информацията се предоставя в широко използвана електронна форма, освен ако лицето не е поискало друго.

 Право на коригиране:

Всяко лице, чиито данни се обработват от “АДМИНИСТРАТОРА” има право да поиска от „АДМИНИСТРАТОРА” да коригира без ненужно забавяне неточните лични данни, свързани с него. Като се имат предвид целите на обработването лицето има право непълните лични данни да бъдат допълнени.

 Право на изтриване (право „да бъдеш забравен“):

Всяко лице, чиито данни се обработват от “АДМИНИСТРАТОРА” има правото да поиска от „АДМИНИСТРАТОРА” изтриване на свързаните с него лични данни без ненужно забавяне за бъдещ период, когато:

  • Личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  • Лицето оттегли своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
  • Лицето възрази срещу обработването и няма законни основания за обработването, които да имат преимущество;
  • Личните данни са били обработвани незаконосъобразно; 

Когато „АДМИНИСТРАТОРА” е направил личните данни обществено достояние и е задължен съгласно предходния параграф да изтрие личните данни, той, като отчита наличната технология и разходите по изпълнението, предприема разумни стъпки, включително технически мерки, за да уведоми администраторите, обработващи личните данни, че засегнатото лице е поискало изтриване от тези администратори на всички връзки, копия или реплики на неговите лични данни.

“АДМИНИСТРАТОРЪТ” изтрива личните данни за бъдещ период, без изкането на СЛД да засяга предходен период, когато съхранението на определено досие е засегнато от определен срок. 

Право на ограничаване на обработването: 

Всяко лице, чиито данни се обработват от “АДМИНИСТРАТОР” има право да изиска ограничаване на обработването, когато се прилага едно от следното:

  • Точността на личните данни се оспорва от лицето, за срок, който позволява на „АДМИНИСТРАТОРА” да провери точността на личните данни;
  • Обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
  • „АДМИНИСТРАТОРЪТ” не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
  • Субектът на данните е възразил срещу обработването в очакване на проверка дали законните основания на „АДМИНИСТРАТОРА” имат преимущество пред интересите на субекта на данните. 

Когато обработването е ограничено съгласно горния параграф, такива данни се обработват, с изключение на тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.

Когато субект на данните е изискал ограничаване на обработването, „АДМИНИСТРАТОРЪТ” го информира преди отмяната на ограничаването на обработването. 

Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработването

„АДМИНИСТРАТОРА” съобщава за всяко извършено коригиране, изтриване или ограничаване на обработване на всеки получател, на когото личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия. „АДМИНИСТРАТОРЪТ” информира субекта на данните относно тези получатели, ако субектът на данните поиска това. 

Право на преносимост на данните: 

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на “АДМИНИСТРАТОР” в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от “АДМИНИСТРАТОР” когато обработването е основано на съгласие във връзка с определени цели или на договорно задължение на субекта или предприемане на стъпки преди сключване на договор.

Когато упражнява правото си на преносимост, субектът на данните има право да получи пряко прехвърляне на личните данни от един администратор към друг, когато това е технически осъществимо. 

Право на възражение: 

Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него В този случай „АДМИНИСТРАТОРЪТ” прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Най-късно в момента на първото осъществяване на контакт със субекта на данните, той изрично се уведомява за съществуването на правото по предходните параграфи, което му се представя по ясен начин и отделно от всяка друга информация. 

VII.Технически и организационни мерки за защита на данните 

Личните данни, като всички регистри и досиета, в които има лични данни се съхраняват посредством предприети технически мерки:физически,персонални и  документални. Помещенията, където се съхраняват регистрите са поставени са ключалки, досиетата се съхраняват в заключващ се  шкаф; помещенията са оборудвани с  пожарогасителни средства , служителите са запознати  с   нормативната уредба в областта на защитата на личните данни и са придобили са знания за опасностите за личните данни, обработвани от администратора.

Служителите, обработващи лични данни са дали своето съгласие за поемане на задълженията и за неразпространение на личните данни; определени  са регистри, които се поддържат на хартиен носител; определени са  условията за обработване на лични данни;регламентиран е достъпа до регистрите;определени на срокове за съхранение;утвърдени са процедури за унищожаване и процедура за известяване при злоупотреби.   

VIII.Трансфер на лични данни 

„АДМИНИСТРАТОРА” не осъществява и няма да осъществява трансфер на лични данни в страни, извън Европейския съюз. 

  1. Нарушения. Уведомяване за нарушения 

Нарушения:

Нарушение на сигурносттана данни възниква, когато личните данни, за които „АДМИНИСТРАТОРА” отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни. В този смисъл, нарушение на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или по друг начин се обработват.

В случай на нарушение на сигурността на личните данни незабавно следва да се уведоми Изпълнителния Директор  и длъжнодтното лице, отговарящо за защита на личните данни. 

Оценка на нарушенията:

След като ДПО-то на „АДМИНИСТРАТОРА” получи информация за извършено нарушение, трябва да определи дали конкретното събитие представлява нарушение на лични данни и да уведоми Управителя на „АДМИНИСТРАТОРА” за събитието (в случай, че те не знаят).

В случай на нарушение на сигурността на личните данните, което съществува вероятност да породи риск за правата и свободите на физическите лица, “АДМИНИСТРАТОР” без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часаслед като е разбрал за него, уведомява за нарушението Комисията за защита на личните данни.

Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, „АДМИНИСТРАТОРА” без ненужно забавяне, съобщава на субекта за нарушението.

„АДМИНИСТРАТОРА” документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него. 

  1. Унищожаване 

Здравна информация се съхранява съобразно предвидените срокове:

  • Бланки за искане на лабораторни изследвания – 1 година;
  • Книга за издадените болнични листове,
  • Книга за хирургичните операции – 5 години;
  • Протоколи на РЗИ –10 години
  • Историята на заболяване – 25 години;
  • Книга за приетите болни в стационара – 50 години 

Счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски се съхраняват от „АДМИНИСТРАТОРА” в следните срокове:

  • ведомости за заплати – 50 години;
  • счетоводни регистри и финансови отчети – 10 години;
  • документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
  • всички останали носители – 5 години.
  • Договорите се съхраняват – 5 години.

След изтичането на срока за съхранението им носителите на информация (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, се унищожават.

След приключване на срока за съхранение данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране или изгаряне.

При унищожаване на документи, съдържащи лични данни, се съставя протокол, съгласно Процедура за унищожаване на документи П04 

Допълнителни разпоредби

По смисъла на правилата на настоящата Система на управление:

  1. ”Администратор на лични данни” е Многопрофилна болница за активно лечение “Княгиня Клементина” – София ЕАД, като действия от името на администратора осъществява д-р Борил Петров – Изпълнителен директор.
  2. „Обработване” означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
  3. Настоящaта Политика подлежи на утвърждаване и довеждане до знанието на лицата, които обработват лични данни. 

Политиката е одобрена от Изпълнителния директор на Многопрофилна болница за активно лечение “Княгиня Клементина” – София ЕАД. 

Политиката влиза в сила от: 25.05.2018 г.

Актуализирана на: 31.05.2022 г. 

Д-р Борил Петров

Изпълнителен Директор на

МБАЛ “Княгиня Клементина” – София ЕАД

Прикачени документи

Информация