ПОЛИТИКА за поверителност на личните данни в СБАЛ "Гръбначен център" АД

Общи положения

I. Основни сведения

СБАЛ „Гръбначен център“ АД е Администратор на лични данни по смисъла на Общия Регламент относно защитата на данните (ЕС) 2016/679.
Администраторът е със седалище и адрес на управление: София, бул. "Генерал Николай Столетов", тел. 02 9170950, e-mail: spine_center@abv.bg.
СБАЛ „Гръбначен център“ се представлява от Изпълнителен директор.
Длъжностно лице по защита на данните е Иван Костадинов, тел. 0887 648639, e-mail: dpo.consult@yahoo.com.
Администраторът е с предмет на дейност: лечебно заведение, което осъществява доболнична помощ, диагностициране, лечение и периодично наблюдение на пациенти в изпълнение на Закона за здравето, Закона за личебните заведения и др.

ІI. Принципи на обработване на личните данни

СБАЛ „Гръбначен център“ обработва лични данни въз основа на принципите, посочени в чл. 5 от Регламент (ЕС) 2016/679, а именно:

  1. Законосъобразност, добросъвестност и прозрачност.
  2. Ограничение на целите.
  3. Свеждане на данните до минимум.
  4. Точност.
  5. Ограничение на съхранението.
  6. Цялостност и поверителност.
  7. Отчетност.
III. Права на субектите на данни

СБАЛ „Гръбначен център“, като Администратор на лични данни, се задължава да спазва правата на физическите лица, субекти на данни, съгласно чл. 14 – чл. 22 на Регламент (ЕС) 2016/679:

  1. Право на информираност и право на достъп на субекта на данните
    Право на информираност (чл. 14 на Регламент (ЕС) 2016/679):
    Администраторът предприема необходимите мерки за предоставяне на субектите на данни на всякаква информация и комуникация, която се отнася до обработването, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен език, предоставена устно, писмено или чрез електронни средства. Такава информация се предоставя, когато Администраторът се е уверил в самоличността на физическото лице.
    Право на достъп на субектите на данни до техни лични данни (чл. 15 на Регламент (ЕС) 2016/679).
    а) субектите на данни (пациентите, служителите, кандидатите за работа, контрагентите на СБАЛ „Гръбначен център“ и др.) имат право да получат от Администратора потвърждение дали обработва техни лични данни и, ако това е така, да получат достъп до тези данни.
    б) на субекта на данни се предоставя копие от личните данни, които са в процес на обработване. Полученото копие е със заличени лични данни на други лица и със заличена конфиденциална информация на Администратора.
  2. Право на коригиране и право на изтриване
    Право на коригиране (чл. 16 на Регламент (ЕС) 2016/679).
    Субектът на данни има право да поиска от Администратора да коригира или да допълни с цел актуалност на информацията личните данни, свързани с него.
    Право на изтриване („право да бъдеш забравен“) (чл. 17 на Регламент (ЕС) 2016/679). Субектът на данни има право да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие, без забавяне, личните данни, когато е приложимо някое от основанията, посочени в Регламент (ЕС) 2016/679.
  3. Право на ограничаване на обработването (чл. 18 на Регламент (ЕС) 2016/679). Субектът на данните има право да изиска от Администратора ограничаване на обработването, когато е приложимо някое от обстоятелствата, посочени в Регламент (ЕС) 2016/679.
  4. Право на преносимост на данните (чл. 20 на Регламент (ЕС) 2016/679). Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран и пригоден за машинно четене формат и може да прехвърли тези данни на друг Администратор.
  5. Право на възражение (чл. 21 на Регламент (ЕС) 2016/679). Субектът на данните има право да възрази срещу обработването на личните му данни, в случай че успее да докаже, че в процеса на това обработване е налице предимство на неговите интереси пред тези на Администратора. Администраторът прекратява обработването на личните данни, освен ако не докаже съществуването на убедителни законови основания за това обработване.
  6. Осъществяване на правата на субекта на данни
    а) субектът на данните осъществява конкретно свое право чрез подаване до Администратора на Заявление на хартиен носител. Заявлението трябва да съдържа имена на лицето и данни, които го индивидуализират, описание на искането, предпочитана форма на предоставянето на достъпа до лични данни, подпис, дата и адрес за кореспонденция. Заявлението се отправя лично от физическото лице, за което се отнасят личните данни, или от лице, изрично упълномощено от субекта на данните.
    б) ограничения - правата на субекта на данни не са абсолютно задължителни за Администратора на лични данни. Администраторът аргументирано ще откаже на субект на данни изпълнение на негово искане за упражняване на право по смисъла на Регламент (ЕС) 2016/679, когато това искане засяга въпроси, като: национална сигурност, отбрана и обществена сигурност; предотвратяването, резследването, разкриването или наказателното преследване на престъпления; важни цели от широк обществен интерес; защита на независимостта на съдебната власт; защита на правата и свободите на други лица и изпълнението на гражданскоправни искове.
IV. Технически и организационни мерки за защита на данните.

СБАЛ „Гръбначен център“ прилага подходящи технически и организационни мерки за гарантиране на високо ниво на сигурност за личните данни, които обработва. Мерките са подробно отразени в разработените за целта политики и процедури, насочени към изпълнение на изискванията на Регламент (ЕС) 2016/679. При разработването им са взети предвид достиженията на техническия прогрес, разходите за прилагане им и естеството, обхватът, контекстът и целите на обработването.

При изпълнението на настоящата Политика за поверителност на личните данни се вземат предвид свързаните с обработването рискове, по-специално тези за случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които са или са били предмет на обработване.

Дейности по обработване на лични данни в СБАЛ „Гръбначен център“

I. Категории субекти на данни и основания за обработване на техните лични данни.
  1. В своята дейност СБАЛ „Гръбначен център“ обработва лични данни на следните основни категории субекти на данни:
    1.1 в изпълнение на основната функция като лечебно заведение – субекти на данни са пациентите на Болницата;
    1.2 за целите на трудовите правоотношения – субекти на данни са служителите на СБАЛ „Гръбначен център“ и кандидатите за работа в лечебното заведение;
    1.3 за целите на деловите отношения с външни доставчици (контрагенти) - субекти на данни са физически лица и физически лица, представители на юридически лица, които се явяват доставчици на стоки и услуги в интерес на основната дейност на СБАЛ „Гръбначен център“.
  2. СБАЛ „Гръбначен център“ обработва специални категории лични данни в качеството си на лечебно заведение.
  3. Видеонаблюдение. На територията на Болницата са инсталирани видеокамери, с които се обработват лични данни на физически лица чрез видеонаблюдение. Администратор на видеонаблюдението е СБАЛ „Гръбначен център“. Целта на видеонаблюдението е охрана и предотвратяване на противоправни посегателства върху обекти и лица, както и гарантиране на техните права и законни интереси. Субекти на лични данни са физическите лица, чиито образи, представляващи лични данни, се съдържат в записите от инсталираните видеокамери – служители, пациенти и посетители на СБАЛ „Гръбначен център“.
  4. Основанията за обработването на лични данни по т. 1 и т. 3 са посочени в Регламент (ЕС) 2016/679, чл. 6, параграф 1, букви „б“, „в“, „д“ и „е“ – обработването е необходимо за:
    4.1 буква „б“: изпълнение на договор, по който Администраторът и субектът на данни са страни;
    4.2 буква „в“: спазване на законово задължение, което се прилага спрямо Администратора;
    4.3 буква „д“: изпълнение на задача от обществен интерес или при упражняване на официални правомощия, които са предоставени на Администратора;
    4.4 буква „е“: целите на легитимните интереси на Администратора. Основанията за обработването на лични данни по т. 2 са посочени в Регламент (ЕС) 2016/679, чл. 9, параграф 2, буква „з“ – обработването е необходимо за целите на медицинската диагноза и осигуряването на здравни грижи или лечение.
  5. Съгласие: Когато не е приложимо нито едно от основанията за обработване на лични данни, посочени в т. 4, може да се търси съгласието на субекта на данните, за да могат неговите лични данни да бъдат обработвани законосъобразно.
  6. Сроковете за обработване на лични данни от Администратора (СБАЛ „Гръбначен център“) са съобразени със законодателството на Република България.
II. Предаване на лични данни на трети държави или международни организации.
  1. Към 1.10.2024 г. СБАЛ „Гръбначен център“ не предоставя лични данни, които обработва, на трети държави (държави извън Европейския съюз/Европейското икономическо пространство) или на международни организации.
  2. В случай че в бъдеще в рамките на основната дейност на Болницата се извършва предаване на лични данни на трета държава или международна организация, предаването ще се извършва при спазване на разпоредбите на Регламент (ЕС) 2016/679 и на Закона за защита на личните данни.
IІІ. Длъжностно лице по защита на данните в СБАЛ „Гръбначен център“.

По смисъла на Регламент (ЕС) 2016/679, чл. 37, пар. 1, буква „а“, СБАЛ „Гръбначен център“, в качеството й на Администратор на лични данни, определя Длъжностно лице по защита на данните, към което субектите на данни могат да се обръщат по всички въпроси, свързани с обработването на техните лични данни.

Длъжностно лице по защита на данните на СБАЛ „Гръбначен център“: Иван Костадинов, тел. 0887 648 639, e-mail: dpo.consult@yahoo.com.

Настоящата Политика за поверителност на личните данни, Версия №1, е разработена от "Алек Консулт" ЕООД на 6.11.2024 г.