ПОЛИТИКА ЗА ОБРАБОТВАНЕТО И ЗАЩИТАТА НА ЛИЧНИ ДАННИ
При осъществяване на дейността си като лечебни заведения, регистрирани и функциониращи съгласно изискванията на Закона за лечебните заведения, „Специализирана очна болница за активно лечение Вижън“ ЕООД и Медицински център „Очен лазерен център Вижън“ ЕООД, събират, записват, организират, съхраняват, използват, разкриват чрез предаване лични данни на физически лица (наричани още „субекти на данни“), което представлява обработване на лични данни.
С настоящата Политика целим да Ви информираме какви Ваши лични данни ще обработваме, за какви цели и на какви основания, на кои категории получатели бихме могли да ги предоставим, за какви срокове ги съхраняваме.
Настоящата политика обхваща дейностите по обработване на лични данни в рамките на предоставянето на болнична помощ, включително извършването на хоспитализации и съхранението на задължителната медицинска документация.
Кратка версия на тази информация ще Ви бъде предоставена на място в лечебния комплекс, когато изискваме от Вас да предоставите лични данни, а пълната и актуална версия на Политиката е публикувана и на официалната ни страница в интернет - https://www.visionclinic.bg.
„Специализирана очна болница за активно лечение Вижън ЕООД и Медицински център „Очен лазерен център Вижън“ ЕООД са съвместни администратори на лични данни, когато определят съвместни цели и средства на обработването на лични данни, както и своите отговорности за изпълнение на задълженията, отнасящи се до упражняването правата на субектите на данни и осигуряването на информираност и прозрачност. Дружествата определят и самостоятелни цели и средства за обработване на лични данни, които са включени в настоящата Политика за защита на личните данни, която обхваща техните дейности по обработване на лични данни в качеството им на самостоятелни и на съвместни администратори. Подробна информация за целите, за които дружествата обработват съвместно лични данни, както и как да упражните правата си като субекти на данни по отношение на това обработване ще намерите по-долу.
Съвместно обработване на лични данни
„Специализирана очна болница за активно лечение Вижън“ ЕООД и Медицински център „Очен лазерен център Вижън“ ЕООД са съвместни администратори на лични данни, които определят съвместни цели и средства на обработването на лични данни, както и своите отговорности за изпълнение на задълженията, отнасящи се до упражняването правата на субектите на данни.
Дружествата, в качеството им на съвместни администратори изготвят този съвместен информационен документ за защита на личните данни, в изпълнение на задълженията си за информираност на субектите на данни и прозрачност. Субектите на данни могат да упражняват своите права в областта на защитата на личните данни по отношение на всеки и срещу всеки от администраторите.
Цели и правни основания при съвместно обработване на лични данни:
|
Цел |
Правно основание |
|
Създаване и поддържане на общи технически мерки (ИТ решения – софтуер и хардуер, уебсайт) за обработка на лични данни на пациенти и гарантиране на информационна сигурност. ИТ инфраструктурата, включително медицинският софтуер и системите за онлайн записване, се използват съвместно от двете дружества, като достъпът до личните данни е контролиран и съобразен с функционалната роля на всеки служител. Базата данни, съдържаща лични данни на пациенти, в т.ч. медицинска информация, се поддържа чрез единна информационна система и се използва съвместно от „Специализирана очна болница за активно лечение Вижън“ ЕООД и Медицински център „Очен лазерен център Вижън“ ЕООД, при спазване на строги правила за достъп, съответстващи на функционалните роли на служителите и принципите на поверителност и минимизиране. |
Легитимен интерес – чл. 6, параграф 1, буква е) ОРЗД - когато обработката е необходима за целите на легитимните интереси на администратора |
|
Предоставяне на споделено административно обслужване на пациента – контрол на достъпа в сгради и помещения, регистрация на посетители и пациенти, система за запазване на часове за преглед и медицински прегледи, манипулации и операции |
Легитимен интерес – чл. 6, параграф 1, буква е) ОРЗД - когато обработката е необходима за целите на легитимните интереси на администратора |
|
Изграждане и поддържане на общ уебсайт, чрез който се представят услугите на двете дружества под единен бранд „Vision“, без разграничение на администраторите |
Легитимен интерес – чл. 6, пар. 1, б. „е“ от GDPR – интерес на двете дружества да предлагат услуги чрез съвместен дигитален канал |
|
Получаване и обработване на онлайн записвания за прегледи чрез форма на уебсайта, свързана с общ имейл и достъпна за служители и на двете дружества |
Легитимен интерес – чл. 6, пар. 1, б. „е“ от GDPR – интерес за ефективна координация на услугите |
|
Управление на видеонаблюдение чрез обща система (NVR), намираща се на територията на обекта, използвана от двете дружества |
Легитимен интерес – чл. 6, пар. 1, б. „е“ от GDPR – защита на лица и имущество на споделено използвана територия |
|
Използване на споделен персонал (регистратори), назначен в едното дружество, но обработващ данни и за двете |
Легитимен интерес – чл. 6, пар. 1, б. „е“ от GDPR – организационна ефективност при регистрационна дейност |
|
Обработка на данни чрез общ болничен софтуер, до който имат достъп служители от двете дружества, с функционално различно, но технически неделимо разграничение |
Легитимен интерес – чл. 6, пар. 1, б. „е“ от GDPR – обработка чрез централизирана система |
|
Предоставяне на обща точка за контакт за упражняване на правата на субектите на данни |
Легитимен интерес – чл. 6, параграф 1, буква е) ОРЗД - когато обработката е необходима за целите на легитимните интереси на администратора |
|
Предлагане на персонализирани продукти и услуги на настоящи клиенти и директен маркетинг за потенциални клиенти и изпращане на персонализирани оферти, получаване и оповестяване на информация за клиентската удовлетвореност |
Съгласие – чл. 6, параграф 1), буква а) от ОРЗД |
Когато лечебните заведения решават как и защо обработват личните данни действат като администратор(Администраторът) на лични данни по смисъла на Общия регламент за защита на данните (ЕС) 2016/679 на Европейския парламент и на съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (наричан по-нататък „ОРЗД/Общия регламент“).
Какви лични данни обработваме
„Лични данни“ са всяка информация, свързана с конкретно физическо лице, чрез която то може да бъде пряко или непряко идентифицирано. Обработваме следните категории и видове лични данни за пациентите, техните законни представители и придружители, която информация се съдържа в утвърдената от компетентните органи медицинска документация и е необходима за тяхното идентифициране:
|
Категория |
Данни |
|
Основна информация |
Имена, единен граждански номер, адрес, дата на раждане, както и предоставени данни за контакт - телефонен номер, електронен адрес; данни от документ за самоличност; |
|
Данни, свързани със здравето т. нар. чувствителни лични данни |
Анамнеза, диагнози, предишни заболявания, проведени лечения и терапии; Резултати от медицински прегледи и изследвания като лабораторни анализи, образна диагностика, офталмологични тестове и други специализирани медицински изследвания; Информация за предписани медикаменти и назначено лечение; Хирургични интервенции и оперативни процедури, извършени в Болницата; История на алергии, противопоказания и медицински рискове; Данни за зрителна острота, рефракция и други офталмологични показатели; Друга информация, съдържаща се в друга медицинска документация. |
|
Финансова и административна информация |
Номер на здравноосигурителна книжка, данни за осигуряване и НЗОК; Финансови и платежни данни: информация за фактуриране и плащане на медицински услуги; |
|
Други |
Друга информация, предоставена при запитвания от Ваша страна |
Определени форми за попълване на Уебсайта могат да съдържат свободни за попълване текстови полета, в които можете да изберете да предоставите информация, която представлява лични данни, които се отнасят до Вас или до трето лице. Когато предоставянето на такава информация не е необходимо или не е налично правно основание за обработване от страна на Администратора, данните ще бъдат изтривани до 1 месец от получаването им, съгласно Закона за защита на личните данни.
Цели и правни основания за обработване на лични данни
Обработваме Ваши лични данни, които не представляват чувствителни лични данни при записване на час за преглед и посещение при избран от Вас специалист, включително когато попълвате форма за контакт налична на нашия уебсайт, за предоставяне на допълнително обслужване извън осигурените здравни грижи – например свързани с настаняване, идентификационни и контактни данни, които събираме за законни представители(родители, попечители, настойници) или придружаващи пациента лица. В тези случаи се позоваваме на правното основание по чл. 6, параграф 1, б. „в“ от ОРЗД - спазването на законово задължение, което се прилага спрямо администратора, такива основание произтичат от Закона за здравето, Закона за здравното осигуряване, Закона за лечебните заведения, подзаконовите актове по прилагането им и Националния рамков договор.
Във връзка с нашата дейност можем да обработваме категории лични данни, които не са специални и за цели като поддръжка и сигурност на нашия уебсайт; за да ви предоставим информация за допълнителни услуги или да Ви изпратим запитване за обратна връзка във връзка с услугите, които вече сте използвали; за защита на законните интереси на дружеството, включително и по съдебен ред. Във тези случаи можем да се позовем на наличието на легитимен (законен) интерес и ще оценим внимателно необходимостта и пропорционалността на обработването съобразно конкретната цел и правата и свободите на субекта на данни.
Ние ще прекратим обработването на личните данни незабавно на основание легитимен интерес въз основа на възражение от субекта на данни, освен ако не съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или когато данните са необходими за установяване, упражняване или защита на правни претенции.
Когато обработваме специални категории лични данни ние се позоваваме на специфични правни основания, които са приложими съобразно целта на обработване.
|
Цели |
Правни основания |
|
Медицинска диагностика и лечение – извършване на прегледи, диагностициране и проследяване на заболявания; • Предоставяне на здравни услуги – назначаване на лечение и медикаменти, хирургични интервенции и оперативни процедури, проследяване на състоянието и медицински консултации; • Управление на медицински досиета – съхраняване на информация за здравословното Ви състояние в съответствие със законовите изисквания; • Изпълнение на законови задължения – водене на медицинска документация съгласно Закона за здравето, Закона за лечебните заведения и подзаконови актове;
|
Обработката на личните Ви данни се извършва на следните правни основания: Член 9, параграф 2, буква (з) от GDPR – обработката е необходима за медицинска диагностика, лечение и предоставяне на здравни грижи от лицензирано лечебно заведение, при спазване на професионалната тайна Член 6, параграф 1, буква (б) – изпълнение на договора за предоставяне на здравната услуга и Член 6, параграф 1, буква (в) от GDPR – обработката е необходима за изпълнение на законови задължения, свързани със здравното осигуряване, медицинската документация и отчетността пред компетентните органи;
|
|
Осигуряване на здравна помощ, когато пациентът е в безсъзнание и в спешни застрашаващи ситуации, при обработване на данни на малолетни и недееспособни лица;* |
Член 6, параграф 1, буква (d) от GDPR във връзка с чл. 9(2), буква в) от GDPR – когато обработката е необходима за защита на жизненоважни интереси на пациента, или когато субектът на данните е физически или юридически неспособен да даде своето съгласие |
• Администриране на записи за часове и контакт с пациенти – уведомяване за предстоящи прегледи, резултати от изследвания и напомняния за лечение; • Развитие на услугите ни и/или установяване на обстоятелства и защита на наши права и интереси;
|
Член 6, параграф 1, буква (е) от GDPR – когато обработката е необходима за целите на легитимните интереси на администратора, а когато обработването включва данни за здравословното състояние на лицата и е с цел установяване, упражняване или защита на правни претенции или винаги, когато съдилищата действат в качеството си на правораздаващи органи – чл. 9 (2), буква е) от GDPR
|
|
• Маркетинг цели - за представяне на услуги на администратора, информация за промоции или изпращане на информационен бюлетин, провеждане на проучвания за клиентската удовлетвореност |
Член 6, параграф 1, буква (а) от GDPR – съгласие |
*Когато пациентът е малолетен и/или недееспособен личните данни се предоставят от родител или попечител, и за обработването са приложими основанията посочени по-горе. Във всички случаи полагаме разумни усилия, за да проверим дали притежателят на родителската/попечителска отговорност е оправомощен да предоставя лични данни на малолетния/недееспособния пациент.
Предоставянето на лични данни при извършването на дейностите, извършвани от медицинските и немедицинските специалисти в лечебните и здравните заведения е задължително.
На кого се предават или разкриват личните данни
Данни за здравословно състояние се обработват от лечебните и здравните заведения, лекарите и другите медицински специалисти, както и немедицинските специалисти с висше немедицинско образование, работещи в националната система за здравеопазване, по силата на Закона за здравето. При обработването на здравни данни всички изброени лица са обвързани от задължение за професионална тайна.
Здравна информация се предоставя на трети лица само на основанията, посочени в чл. 28 от Закона за здравето, като например:
- друго лечебно заведение, за продължаване на лечението на пациента;
- на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
- на органите на медицинската експертиза и общественото осигуряване;
- в рамките на предвидените в закона правомощия на Министерството на здравеопазването, Националния център по здравна информация, НЗОК, регионалните здравни инспекции и Националния статистически институт.
- на застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел II, буква „А" на приложение № 1 към Кодекса за застраховането.
За всяка извършена дейност се създава електронен здравен запис и се изпраща към Националната здравноинформационна система. Тази система също така може да бъде източник на здравна информация за Вас, например в случаите когато предоставяме медицинска услуга и лечение въз основа на издадено направление на пациент.
Лечебното заведение няма да предава лични данни на трети страни или международни организации (извън ЕИП/ЕС). В случай на промяна настоящата информация ще бъде актуализирана.
Срок на съхранение на информацията, включваща лични данни
Водената в лечебното заведение медицинска документация, съдържаща здравна информация, се съхранява съобразно нормативно установени срокове, а когато такива не са определени, в разумен срок, определен от лечебното заведение.
Неизчерпателен списък на приложимите срокове:
|
Категории данни |
Срок за съхранение |
Основание |
|
Данни, събрани във връзка със сключване, изпълнение и прекратяване на договор за предоставена здравна услуга, предоставена от Болницата, която неизчерпателно може да бъде някоя или всяка от изброените: Хирургични интервенции, оперативно и следоперативно лечение |
10 години от началото на календарната година, следваща годината на прекратяването на отношенията |
ДОПК, Закон за счетоводството, срокове за предявяване на правни претенции и задължения за предоставяне на информация на съда, компетентни държавни органи и други основания, предвидени в действащото законодателство |
|
Медицинската документация за извършените профилактични прегледи и изследвания |
3 години |
Закон за здравето и подзаконови нормативни документи |
|
Медицинската документация на лицата, освидетелствани от ТЕЛК и НЕЛК, на които са определени вид и степен на увреждане и процент трайно намалена работоспособност |
40 години (5 години – за лица, за които не е определена степен на увреждане и процент трайно намалена работоспособност) |
Закон за здравето |
Администраторът има право да запази доказателство за даването и оттеглянето на съгласие за обработване на лични данни в срока за предявяване на правни претенции, съгласно Закона за защита на личните данни за срок от 2 години.
Права на субектите на лични данни и ред за упражняването им
Всяко физическо лице има право на достъп, коригиране (допълване), възражение за обработване, както и ограничаване на обработването и заличаване (при неправомерно обработване или отпаднало основание) на обработваните от лечебното заведение и отнасящи се до него лични данни.
В случай на коригиране, ограничаване или заличаване на лични данни субектът на данните има право да изиска от администратора да уведоми за това всички трети лица – получатели.
Пациентът има право да получи от лечебното заведение здравната информация, отнасяща се до неговото здравословно състояние, включително копия от медицинските си документи или да упълномощи писмено друго лице да се запознае с медицинските му документи, както и да направи копия от тях.
В случай че обработването на личните данни се основава единствено на съгласие, имате право да оттеглите съгласието си по всяко време, като това не влияе върху законосъобразността на обработването въз основа на съгласието, преди то да бъде оттеглено.
Специалното законодателство, регулиращо обществените отношения, свързани с опазване здравето на гражданите, предвижда право на пациентът да получи от лечебното заведение здравната информация, отнасяща се до неговото здравословно състояние, включително копия от медицинските си документи. При смърт на пациента неговите наследници и роднини по права и по съребрена линия до четвърта степен включително имат право да се запознаят със здравната информация за починалия, както и да направят копия от медицинските му документи.
Администраторът предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок от един месец от получаване на искането. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е посочил друго.
При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията от определено лице. Администраторът информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.
Упражняването на някои от посочените по-горе права може да изисква идентификация и проверка на самоличността на подателя, с оглед защита правата и свободите на субектите на данни и предотвратяване на незаконосъобразното разкриване на данните.
Можете да упражните всяко от гореизброените права или да получи повече информация за обработването на лични данни, като подадете искане до лечебното заведение на следните адреси:e-mail: office@visionclinic.bg или на място в сградата на лечебното заведение: гр. София, бул. „Цветан Лазаров“ № 86.
За улеснение на упражняването на Вашите права, дружествата са определили единна точка за контакт: e-mail: office@visionclinic.bg.
В случай, че считате, че личните Ви данни са обработвани в нарушение на законодателството за защита на данните имате право да подадете жалба до Комисия за защита на личните данни: гр. София 1592, ул. Цветан Лазаров № 2; www.cdpd.bg.
Как защитаваме личните Ви данни?
Сигурността на Вашите лични данни е важна за нас и затова Ние прилагаме различни организационни и технически мерки, за да гарантираме, че Вашите данни са защитени и запазени поверителни. Разполагаме със системи и процедури за предотвратяване на неоторизиран достъп, неправилно модифициране или оповестяване, злоупотреба или загуба на информация. Ние защитаваме Вашите лични данни като поддържаме различни мерки и правила в съответствие с приложимите закони и разпоредби. Част от мерките, които прилагаме за осигуряване на високо ниво на сигурност по отношение на управлението на личните данни, включват, наред с други:
Физически организационни и технически мерки за защита
- определяне на зоните с контролиран достъп;
- определяне на помещенията, в които се обработват лични данни, вкл. в които се намират сървърите ни и ограничаване на достъпа;
- определяне на организацията на физическия достъп;
- определяне на използваните технически средства за физическа защита – в специални стаи и шкафове под ключ;
Персонална защита:
- запознаване на персонала с особеностите при обработване на лични данни и с нормативната уредба в областта на защитата на личните данни, с настоящата политика и с др. свързани вътрешни нормативни актове;
- конфиденциалност на информацията;
- обучение на персонала.
Документална защита:
- определяне на срокове за съхранение;
- прилагане на мерки за минимизиране – личните данни, които изискваме от Вас, са уместни и са ограничени само до това, което е необходимо във връзка с целите, за които се обработват;
- правила за разпространение, процедури за унищожаване, проверка и контрол на обработването.
В някои случаи и съобразно нивото на технологично развитие може да прилагаме мерки като криптографски методи, които превръщат определена информация или данни в код, за да станат нечетливи за неупълномощени потребители, и псевдонимизиране – прилагаме операции по обработка, при която се намалява възможността за намиране на връзка между даден масив от данни и възможността за пряко или непряко идентифициране на дадено лице.
Осигуряваме строг вътрешен контрол върху достъпа до лични данни – достъпът до Вашите лични данни е разрешен само на тези наши служители, които се нуждаят от тази информация, за да упражняват правилно своите професионални задължения.
Осигуряваме и текущо обучение по защита на личните данни на всички наши служители и постоянен вътрешен контрол по прилагането на мерките за поверителност.
Когато Ви предоставим (или сте избрали да Ви предоставим) парола, която Ви дава достъп до наш клиентски сайт/портал, Вие сте отговорни за запазването на тази парола като поверителна и за спазването на правилата за сигурност, за които Ви уведомяваме. Молим да не споделяте паролите/ключовете си за достъп с никого.
Промени в тази Политика за защита на личните данни
Ние си запазваме правото да променяме тази Политика съгласно приложимото законодателство и добрите практики. Своевременно ще Ви информираме за това като публикуваме промените на интернет страницата ни.
Тази политика е в сила от 26.03.2025 г.
