Skip to main content

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ  В „МЕДИЦИНСКИ ЦЕНТЪР АМЕРИМЕД” ООД

 

„МЕДИЦИНСКИ ЦЕНТЪР АМЕРИМЕД” ООД /МЦ Америмед или Администраторът/ е търговски дружество, регистрирано в Търговския регистър към Агенцията по вписванията с ЕИК, със седалище и адрес на управление: гр. София, ж.к. „Младост 2”, бул. „Александър Малинов“ № 80А, тел.: +35928840010; Мобилен: 0877 262 061, 0883 776 670,  e-mail: amerimed@gmail.com и Интернет страница: www.amerimed.bg.

„Медицински център Америмед” ООД извършва дейност в качеството на лечебно заведение като предоставя болнична и специализирана извънболнична мединска помощ и медицинска експертиза по смисъла на Закон за лечебните заведения и Закон за здравето.

„МЦ Америмед” е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), (ОВ, L119/1 от 4 май 2016 г.) и Закон за защита на личните данни.

В качеството на администратор на специална категория данни за целите на медицинската диагностика/ експертиза и на основание чл. 37, параграф 1, буква „в“, субектите могат да се обръщат към определеното длъжностно лице за защитата на данните на: DPO.amerimed@gmail.com , както и на регистрирания адрес на администратора: гр. София, ж.к. „Младост 2“, бул. Александър Малинов“ № 80А.

 

І. ЦЕЛИ И ОБХВАТ НА ПОЛИТИКАТА

Чл. 1. Настоящата Политиката за поверителност и защита на личните данни цели постигането на прозрачност и лесно достъпна информация за субектите на данни, чиито лични данни се обработват от МЦ Америмед. Администраторът отчита неприкосновеността на личността и чувствителността на обработваните при него лични данни, като полага усилия за тяхната защита срещу неправомерно обработване и предприема в съответствие със законодателството и добрите практики технически и организационни мерки за защита.

Чл. 2. С настоящата Политиката за поверителност и защита на личните данни „МЦ Америмед” цели да информира субектите на данни за целите на обработване на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данни, както и последиците от отказ за предоставянето им, информация за правата и начина за тяхното реализиране, съгласно изискванията на чл. 13 и чл. 14 от Общия регламент за защитата на данните.

 

ІІ. ИЗПОЛЗВАНИ ТЕРМИНИ И ДЕФИНИЦИИ

Чл. 3. По смисъла на настоящата Политика:

  1. Лични данни е всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано /“субект на данни“; физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, регистрационен номер, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
  2. Обработване на лични данни е всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 Съгласие на субекта на данните означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;4. Администратор на лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни;

  1. Обработващ лични данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на МЦ Америмед
  2. Получател е физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не, където трета страна се явява администратор или обработващ лични данни и лица, които под пряко ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
  3. Данни за здравословно състояние са личните данни, свързани с физическото и психическото здраве на физическото лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.

 

ІІІ. ЛИЧНИ ДАННИ ОБРАБОТВАНИ В „МЦ АМЕРИМЕД”

Чл. 4. (1) „МЦ Америмед” като администратор на лични данни, обработва категории лични данни, структурирани в регистъри, поддържани при длъжностно лице за защитата на данните в съответствие с изискванията на Общия регламент за защитата на данните.

(2) „МЦ Америмед” обработва лични данни, предоставени от физическите лица, за които се отнасят данните във връзка с предоставяне на здравни услуги /болнична и извънболнична медицинска помощ, в това число  осъществяването на профилактични прегледи и/или идентифицирането на заболявания и/или нарушения в здравословното състояние, свързани и/или по повод сключването на застраховки, по които субекта на данни се явява застраховано лице и чиито предмет обхваща здравето на субекта.

(3) „МЦ Америмед” обработва и лични данни, които не са получени от физическото лице, за което се отнасят, а са предоставени от трето лице:

  1. при условията на информирано съгласие във връзка с получаване на медицинските дейности от непълнолетен и/или лице под запрещение в съответствие с чл. 87 от Закона за здравето;
  2. във връзка с конкретна услуга на МЦ Америмед, като данни предоставени от работодател и/или застрахователно дружество за изпълнение на профилактични прегледи и/или изпълнение на застрахователен договор.

(4) При всички случаи по ал. 3, лицето, предоставило тези данни на МЦ Америмед се задължава :

  1. да предостави на субекта на данни, координати за администратора – „МЦ Америмед” и длъжностното лице по защита на данните;
  2. да уведоми третото лице за целите, основанието, категориите предоставени данни и категориите получатели на тези данни, както и срока и/или критериите за определяне на срока за съхранение;
  3. да предостави информация на субекта на данни за правото на достъп, на коригиране или изтриване, правото на ограничаване, правото на възражение и правото на преносимост на неговите лични данни.
  4. да го уведоми за правото на жалба до надзорен орган;
  5. да го уведоми за източника на данните;
  6. правото да оттегли своето съгласие, ако данните се обработват на основание съгласие на субекта на данни.

Чл. 5. Диференцирани от конкретната  услуга, примери за категории лични данни, които се обработват от „МЦ Америмед” са данни свързани с:

  1. физическата идентичност – име, ЕГН, , адрес, телефон, е-mail, и други като възраст, ръст, тегло, както и в определени случаи идентификационен застрахователен номер, а в случай на болнична помощ и адрес на близки;
  2. физиологическа идентичност – кръвна група, кръвна картина, плазма, ЕКГ, както и други, свързани с функциите на човешкия организъм и поискани и/или необходими на субекта за предоставяне на здравната услуга;
  3. генетична идентичност – ДНК, хромозоми и/или други, свързани с предоставяне на здравна услуга;
  4. Културна идентичност – хоби и/или други данни, свързани с начина на живот и конкретното заболяване, необходими за диагностика
  5. социална идентичност – образование, навици, трудова дейност, гражданство, месторабота, професия/ длъжност, както и в определени случаи категория труд;
  6. семейна идентичност, семейно положение, родствени връзки и др.;
  7. 7. Лични данни, които се отнасят до здравето;
  8. Други, свързани с идентифициране на рискови фактори в средата и необходими за целите на предоставяне на здравна услуга, идентификационен номер на история на заболяването и други.

 

ІV. ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

Чл. 6. Като администратор на лични данни, „МЦ Америмед” обработва лични данни чрез съвкупност от действия, които могат да се извършват по отношение на личните данни с автоматични или други неавтоматични средства, като събиране, записване, организиране, съхраняване, адаптиране или изменение, възстановяване, консултиране, употреба, разкриване чрез предаване, разпространение, предоставяне, актуализиране или комбиниране, блокиране, заличаване и унищожаване, при спазване на следните принципи :

  1. законосъобразност, добросъвестност и прозрачност;
  2. целесъобразност на обработката на лични данни;
  3. пропорционалност и свеждане на данните до минимум;
  4. точност/ актуалност на обработваните лични данни;
  5. ограничение на съхранението;
  6. цялостност и поверителност на обработваните лични данни.

Чл. 7. „МЦ Америмед” обработва личните данни самостоятелно или чрез възлагане на обработващи данните, като определя целите и обемът на задълженията, възложени от администратора на обработващия данните, при наличие на релевантно правно основание, съгласно изискванията на Общия регламент за защитата на данните.

 

  1. ЦЕЛ НА ОБРАБОТКА НА ЛИЧНИ ДАННИ

Чл. 8 (1) Целта на обработка на лични данни е еднозначно да се идентифицират физическите лица, настоящи и бъдещи пациенти на „МЦ Америмед” с цел здравеопазване.

(2) Обработката на данни е най-често вследствие на изпълнение на нормативно установени задължения на администратора на лични данни, произтичащи от спецификата на изискванията на законодателството, в това число попълване на данните изискуеми съгласно одобрените образци за предоставяне на здравни услуги /болнична и извънболнична медицинска помощ/, както и такива свързани, финансово-счетоводната дейност, пенсионна, здравна и социално-осигурителна дейност, дейността по управление на човешките ресурси.

(3) В случай, че е необходимо обработване на личните данни на субектите за целите на легитимни интереси, такова обработване би могло да е необходимо за установяване на обективната истина, свързана с установяване на професионална отговорност на медицинските лица, заети при „МЦ Америмед“ и/или друга административна или гражданска отговорност на Администратора.

(4) Администраторът няма автоматично вземане на решения, в това число не извършва профилиране по смисъла на чл. 22 от Общия регламент за защитата на данните.

Чл. 9. Във връзка с изпълнение на нормативно установени задължения, при осъществяване на своята дейност, Администраторът обработва лични данни на своите пациенти и на трети лица, и за следните цели:

  1. за целите на осъществяване на държавна здравна политика и държавен здравен контрол, както и необходима за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт;
  2. за целите и за нуждите на застраховател;
  3. други, свързани с продължаване на лечението, със заплаха за здравето или живота на други лица и/или заплаха от епидемии и разпространение на заразни заболявания; за нуждите на медицинската експертиза и общественото осигуряване; необходима за нуждите на медицинската статистика или за медицински научни изследвания .

Чл. 10. Когато личните данни се обработват за други цели, различни от посочените в настоящата политика, извън случаите на налично съгласие или нормативно установено основание, Администраторът следва да се увери, че обработването за други цели е съвместимо с първоначалната цел, като взема под внимание:

  1. Връзките между целите;
  2. Контекста/ основанието, на което са били събрани личните данни;
  3. Естеството/ характера на данните;
  4. Възможни последствие от предвиденото по-нататъшно обработване за субекта на данните;
  5. Наличие на подходящи гаранции.

Чл. 11 (1) В зависимост от конкретната потърсена здравна услуга, „МЦ Америмед“ обработва личните данни на субектите – негови пациенти при условията на различни основания, съгласно чл. 9, параграф 2 от Общия регламент за защитата на данните, но основно за целите на превантивната медицина и медицинската диагноза, осигуряването на здравни грижи или лечение, както и за целите на управлението на услугите и системите за здравеопазване..

(2) Личните данни се обработват от или под ръководството на професионални работници, които са обвързани от задължението за тайна по силата и смисъла на Закон за здравето и правилата, установени от държавните компетентни органи.

 

VІ. СРОК ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Чл. 12. „МЦ Америмед“ обработва лични данни за срок до 50 години, като подхожда диференцирано към отделните видове документи, а именно:

  1. Лични данни, част от счетоводна и данъчна документация по Закон за счетоводството и Данъчно-осигурителния и процесуален кодекс:

а) лични данни, част от документи, свързани с ведомости за заплати се обработват 50 години в съответствие със Закона за счетоводството;

б) лични данни, част от счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;

в) всички останали носители на счетоводна информация – три години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.

г)  лични данни, част от документи за данъчно-осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;

д) всички други документи – 5 години.

  1. Лични данни, част от медицински документи, съгласно Закон за здравето, Наредба за медицинската експертиза, Наредба № 8 за професионалните прегледи и диспансеризацията и Наредба № 1 за предоставяне на медико-статистическа информация и на информация за медицинската дейност на лечебните заведения, както и други относими подзаконови нормативни актове на Министерство на здравеопазването и Министерски съвет:

а) лични данни, част от документация за история на заболяванията – до 25 години;

б) лични данни, част от документация за епикризи и други свързани с болнична медицинска помощ – до 10 години;

в) амбулаторни листа, болнични листа, включително анулирани, както и експертни решения за професионална болест – до 10 години, при необходимост от проследяване на заболяването;

г) други – до 5 години.

  1. Лични данни, част от друга документация извън т. 1 и т. 2 – до 5 години, във връзка с общата давност по Закон за задълженията и договорите.

(2) При определяне на сроковете по ал. 1, т. 2 за критерии се ползва практиката и изискванията, съгласно медицинските стандарти.

 

VІІ. ПОСЛЕДИЦИ ОТ ОТКАЗ ЗА ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ

Чл. 13 (1) Изрично съгласие на физическите лица, чиито данни се обработват не винаги е необходимо, ако Администраторът разполага с друго правно основание за обработка на лични данни – например нормативно установено задължение във връзка с Закон за здравето.

(2) В съответствие с предходната алинея, когато личните данни се обработват на основание съгласие на субекта на данните, същото може да бъде оттеглено по всяко време, ако това не засяга законосъобразността на обработването. Оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне.

(3) Информираното съгласие по смисъла на Закон за здравето не съставлява съгласие по смисъла Общия регламент за защитата на данните.

Чл. 14.  Изисканите от лекарите и другите служители на „МЦ Америмед“ лични данни са съобразени с услугите, които се предлагат и имат задължителен характер. В случай на отказ от доброволно предоставяне на изисканите лични данни, “МЦ Америмед“ няма да бъде в състояние да предостави своите услуги.

 

VІІІ. РАЗКРИВАНЕ НА ЛИЧНИ ДАННИ

Чл. 15 (1) „МЦ Америмед”, като администратор на лични данни има право да разкрие обработваните лични данни само на следните изчерпателно изброени категории получатели:

  1. физически лица, за които се отнасят данните;
  2. лица, за които правото на достъп е предвидено в нормативен акт
  3. на лица за защита живота и здравето на физическото лице, за което се отнасят данните;
  4. лица, за които правото произтича по силата на договор, в това число съадминистратори и обработващи лични данни.

(2) МЦ не предава и няма намерение да предава личните данни на свои пациенти на трета държава или на международна организация.

Чл. 16. Обработваните лични данни на пациенти на „МЦ Америмед”, могат да бъдат предоставяни на други търговски дружества – администратори на лични данни, при условията на чл. 15, ал. 1, т. 4, във връзка с изпълнение на конкретни задачи съвместно или по указание и от името на „МЦ Америмед”  – при условията на съвместно администраторство или при спазване на минималните изисквания за договореност и контрол на обработващи лични данни (например: специализирана здравна услуга, поддържане на архив и т.н.).

 

ІХ. ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Чл. 17. Субектите на данни, чиито лични данни се обработват имат следните права:

  1. Право на информираност, относно данните, които идентифицират администратора, неговия представител и длъжностното лице по защита на данните, целите, основанията и срока на обработването на личните данни, получателите или категориите получатели, на които могат да бъдат разкрити данните, задължителния или доброволния характер на предоставяне на данните и последиците от отказ за предоставянето им, както и правата на субектите на данни и други съгласно чл. 13 и чл. 14 от Общия регламент за защитата на данните;
  2. Право на достъп до отнасящи се до тях данни – при поискване, субектът на данни може да получи информация за обработката, правата си, както и копие от личните му данни, които са в процес на обработване. В случаите, когато при предоставяне правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, администраторът е длъжен да предостави частичен достъп до тях, без да разкрива данни за третото лице;
  3. Право на коригиране на лични данни, които са неточни или непълни;
  4. Право на изтриване / право „да бъдеш забравен“, когато личните данни повече не са необходими за целите, за които са събрани или обработвани; оттеглено е дадено съгласие, основание за тяхната правомерна обработка; възразява се срещу обработката съгласно чл. 21 от Общия регламент за защита на данните, обработването е незаконосъобразно и/или изтриването има за цел спазването на правно задължение. Правото „да бъдеш забравен“ не се прилага, когато Администраторът спазва правно задължение, изпълнява се задача от обществен интерес или се упражняват официални правомощия на Администратора, както и по причини от обществен интерес в областта на обществено здраве, архивирането в обществен интерес, научни или статистически цели, както и за целите на установяване, упражняване или защита на правна претенции.
  5. Право на ограничаване на обработването – правото се прилага, когато се оспорва точността на данните; обработването е неправомерно, но субекта не желае да бъдат изтрити от Администратора, а само да се ограничи тяхното ползване; Администраторът не се нуждае повече за целите на обработването, но субекта ги изисква за установяване, упражняване или защита на правни претенции; налице е възражение срещу обработването съгласно чл. 21, параграф 1 от Общия регламент за защитата на данните и се очаква проверка на законните основания и интересите на субекта. Когато се упражни това право, тези данни се обработват, с изключение на случаите на тяхното съхранение, на основание съгласие на субекта или за установяване, упражняване или защита на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес.
  6. Право на преносимост на данните – правото се реализира, когато субектът е предоставил личните си данни в структуриран, широко използван и пригоден за машинно четене формат и съответно има право да прехвърли тези данни на друг администратор без възпрепятстване на „МЦ Америмед“. „МЦ Америмед“ няма установена такава практика на събиране на лични данни. Администраторът няма техническа възможност /не е технически осъществимо/ да прехвърли пряко личните данни на субектите към друг Администратор по искане на субекта.
  7. Право на възражение пред администратора по всяко време срещу обработване на основание обществен интерес и/или официални правомощия, както и легитимни интереси, включително профилиране, основаващо се на тези разпоредби, както и за целите на директния маркетинг. Обработването не се прекратява, ако Администраторът има убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта или за установяването, упражняването или защитата на правни претенции.
  8. Право на защита– субектите на лични данни имат право на жалба, както пред длъжностното лице по защита на данните и администратора, така и пред КЗЛД и по съдебен ред.

Чл. 18 (1) „МЦ Америмед“ съобщава за реализираното право на коригиране, на изтриване или ограничаване на всеки получател, на когото данните са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

(2) Във връзка с изпълнението на ал. 1, с настоящата политика, Администраторът уведомява субектите, че данните се разкриват на получателите посочени в чл. 28 от Закона за здравето, като същите обработват личните данни на собствено основание за посочените в правната норма цели, независимо от „МЦ Америмед“, с оглед на което субектът следва да упражни правата си и спрямо посочените получатели, в качеството им на отделни администратори.

(3) При поискване, Администраторът информира субекта за тези получатели.

 

Х. РЕД ЗА УПРАЖНЯВАНЕ НА ПРАВА

Чл. 19. (1) Субектите на данни, упражняват правата си, като подават писмено заявление до “МЦ Америмед“, съдържащо минимум следната информация:

  1. име, адрес и други данни за идентифициране на съответното физическо лице;

2.основание – упражнено право и хипотеза, в която се реализира;

  1. описание на искането;
  2. предпочитана форма за предоставяне на информацията;
  3. подпис, дата на подаване на заявлението и адрес за кореспонденция.

(2) Подаването на заявление е лично или при условията на чл. 19 на адреса на Администратора и е безплатно.

Чл. 20. При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно.

Чл. 21. В случай на смърт на физическото лице, правата му се упражняват от неговите наследници, като към заявлението се прилага удостоверение за наследници.

Чл. 22. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаването на искането, съответно – 30-дневен, когато е необходимо повече време за събиране исканите данни, с оглед възможни затруднения в дейността на Администратора.

Чл. 23. „МЦ Америмед“ изготвя писмен отговор, като се съобразява с предпочитаната от заявителя форма на предоставяне на информацията.

Чл. 24. Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.

Чл. 25. В случай, че Администратора не отговори на искането за достъп до лични данни в предвидените срокове или заявителят не е удовлетворен от получения отговор и/или счита, че са нарушени негови права, свързани със защитата на личните данни, той има право да упражни правото си на защита.

 

ЗАКЛЮЧИТЕЛНА РАЗПОРЕДБА

  • 1 Настоящата Политика е приета от “Медицински център Америмед“ ООД и влиза в сила от 25.05.2018 г.