ВЪТРЕШНИ ПРАВИЛА
ЗА ОБРАБОТВАНЕ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
В ЛЕЧЕБНО ЗАВЕДЕНИЕ
I. Правно основание
Чл. 1. Настоящите правила се издават на основание Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (Регламента) и Закона за защита на личните данни (ЗЗЛД).
II. Предмет и цел на правилата
Чл. 2. За целите на своята дейност като лечебно заведение и като търговско дружество „АИППДП – Дентално студио д-р Александър Киряков” ЕООД, регистрирано в Търговския регистър с ЕИК 202543790, с адрес за кореспонденция, гр.Хасково, бул. „Съединение“ №40, е администратор на лични данни (АЛД) по смисъла на Регламента и ЗЗЛД. С настоящите правила се определят редът, начинът, основните принципи на защитата на физическите лица във връзка с обработването на лични данни, както и правилата на свободното движение на лични данни в лечебното заведение.
Чл. 3. (1) Настоящите правила имат за цел да регламентират:
а) механизмите на водене, поддържане и защита на личните данни на персонала и пациентите, обработвани от администратора на лични данни;
б) задълженията на оправомощените лица, обработващи личните данни и тяхната отговорност при неизпълнение на тези задължения;
в) необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно разрушаване, случайна загуба или промяна, незаконно разкриване или достъп, нерегламентирано изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).
(2) Основните принципи при обработването и защитата на личните данни, съгласно Регламента, и които АЛД следва да спазва, са личните данни да бъдат:
a) законосъобразно, добросъвестно и по прозрачен начин обработвани по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);
б) събирани за конкретни, изрично указани и легитимни цели и да не се обработват по-нататък по начин, несъвместим с тези цели; по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1 от Регламента, за несъвместимо с първоначалните цели („ограничение на целите“);
в) подходящи, свързани с и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);
г) точни и при необходимост да бъдат поддържани в актуален вид; трябва да се предприемат всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);
д) съхранявани във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1 от Регламента, при условие, че бъдат приложени подходящите технически и организационни мерки, предвидени в Регламента с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);
е) обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);
(3) АЛД и обработващият лични данни носят отговорност и са в състояние да докажат спазването на принципите по ал. 2 („отчетност“).
III. Регистри и дейности по обработване
Чл. 4. (1) На основание и със съдържание, отразено в чл. 30 от Регламента, АЛД, респективно обработващите лични данни водят регистри на дейностите по обработване на лични данни на физическите лица. Обработващите лични данни и всяко лице, действащо под ръководството на АЛД или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на администратора, освен ако обработването не се изисква от правото на Европейския съюз или правото на държава – член.
Обработването се извършва на адрес: гр. Хасково, бул. „Съединение” №40.
Личните данни на физическите лица се събират и обработват с оглед:
1. сключени трудови/граждански договори;
2. оказване на медицински услуги на пациенти;
данни на контрагенти и партньори за целите на сключване на различни договори за услуги, свързани с дейността на администратора
3. други цели: научни, изследователски и презентационни цели.
(2) АЛД води следните регистри:
1. Регистър „Персонал”
2. Регистър „Пациенти”
3. Регистър “Контрагенти и партьори”
4. Регистър „Заявления и жалби”
5. Видеонаблюдение.
Чл. 5. (1) Общо описание на Регистър „Персонал“ и дейности по обработване:
1. В регистъра се обработват лични данни на служителите и изпълнителите по граждански договори, сключени с физически лица, с оглед: (1) индивидуализиране на трудови, служебни и граждански правоотношения; (2) изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Закона за счетоводството и др.; (3) използване на събраните данни за съответните лица за служебни цели, като (но не само): за всички дейности, свързани със съществуване, изменение и прекратяване на трудовите и граждански правоотношения; за изготвяне на всякакви документи на лицата в тази връзка (договори, допълнителни споразумения, документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения и др. подобни); за установяване на връзка с лицето по телефон, за изпращане на кореспонденция, отнасяща се до изпълнение на задълженията му по трудови или граждански договори; за водене на счетоводна отчетност относно възнагражденията и разходите за командировки на посочените по-горе лица по трудови и служебни правоотношения и граждански договори.
2. Категории лични данни: (1) физическа идентичност: име, ЕГН, адрес, паспортни данни, месторождение, телефон, адрес на електронна поща; (2) социална идентичност: образование, трудова дейност, квалификация (3) медицинско свидетелство и свидетелство за съдимост при започване на работа (4) болнични листа.
3. Източници от които се събират данните: от физическите лица, за които се отнасят данните, с тяхното изрично съгласие.
(2) Технологично описание на регистъра:
1. Носители на данни – данните в регистъра се обработват на хартиен и технически носител (компютър).
След като се съберат и обработят данните на хартиен носител се класифицират в отделни досиета, които се съхраняват в шкафове, със заключващ се механизъм, с контрол на достъпа, разположени на рецепцията на Денталното студио, на адрес бул. „Съединение” №40, гр. Хасково.
Данните на технически носител се съхраняват и обработват само на компютър с контрол на достъпа, който се помещава на рецепцията на Денталното студио, на адрес бул. „Съединение” №40, гр. Хасково.
2. Технология на обработване – данните в регистъра се предоставят от физическите лица при кандидатстване за работа по трудов договор или при сключване на граждански договор с физическо лице и се въвеждат директно в трудови или граждански договори, допълнителни споразумения, както и в други документи, удостоверяващи трудов стаж, служебни бележки, справки, удостоверения, кореспонденция и др.
3. Срок на съхранение – всички данни в регистър „Персонал“ се съхраняват за срок от 5 години след прекратяване на трудовия или гражданския договор със съответното физическо лице, с изключение на данните от счетоводни ведомости, които съгласно изискването на закона трябва да се съхраняват за срок от 50 години.
4. Предоставени услуги – данни от регистър „Персонал“ не се предоставят извън целите на тяхната обработка, с изключение: (1) по изрично искане и нареждане на лицето или на неговите наследници в срока за съхранение; (2) по разпореждане на закона – на държавни институции в изпълнение на служебните им задължения (данъчни служители, служители на НОИ, Инспекция по труда, полиция и др. подобни); (3) при съдебни дела – на процесуален представител или директно на съда при стриктно спазване на разпоредбите на закона и настоящите правила.
(3) Длъжности, свързани с обработването и защитата на лични данни от регистър „Персонал“ и описание на техните права и задължения:
1. Данните в регистър „Персонал“ се обработват от служител/и изпълняващи длъжността “рецепционист приемна на лекар по дентална медицина” и/или от АЛД.
2. Правата и задълженията на обработващия са уредени с Длъжностната Характеристика за длъжността “рецепционист приемна на лекар по дентална медицина” и/или заповед на АЛД.
Чл. 6. (1) Общо описание на Регистър „Пациенти“ и дейности по обработване:
1. В регистъра се обработват лични данни на пациентите с оглед: лечението им, включително консултиране, диагностициране, преценка за вида и обема на лечебните дейности, профилактика, превенция и всички други дейности, представляващи добра дентална практика.
2. Категории лични данни: (1) физическа идентичност: име, ЕГН, адрес, паспортни данни, месторождение, телефон, адрес на електронна поща; (2) социална идентичност: образование, трудова дейност, квалификация (3) данни за здравословното състояние на пациента, представляващи т.нар. чувствителни данни.
3. Източници от които се събират данните: (1) от пациентите – физически лица, за които се отнасят данните, с тяхното изрично информирано съгласие, лично, или в определени случаи със съгласието на техен представител (2) от обществено достъпни източници – НЗОК, НОИ, НАП и др. подобни.
(2) Технологично описание на регистъра:
1. Носители на данни – данните в регистъра се обработват на хартиен и технически носител (компютър). След като се съберат и обработят данните на хартиен носител се класифицират в отделни досиета, които се съхраняват в шкафове, със заключващ се механизъм, с контрол на достъпа, разположени на рецепцията на Денталното студио на адрес бул. „Съединение” №40, гр. Хасково.
Данните на технически носител се обработват само на компютър с контрол на достъпа, който се помещава на рецепцията на Денталното студио на адрес бул. „Съединение” №40, гр. Хасково.
При дадена Декларация за съгласие за обработване на данните чрез “псевдонимизация”, съответно данните се обработват по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие, че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано и се съхраняват в отделен шкаф със заключващ се механизъм, с контрол на достъпа, разположени в разположени на рецепцията на Денталното студио, на адрес бул. „Съединение” №40, гр. Хасково. При изрично писмено съгласие на лицето, администраторът на лични данни може да архивира фотоснимки за срок от 50 години и да ги използва единствено за научни, изследователски и презентационни цели.
2. Технология на обработване – данните в регистъра се предоставят от пациентите и се въвеждат в тяхно лично пациентско досие, а когато е необходимо по искане на пациента или в изпълнение на законови разпоредби – се вписват и в съответните медицински документи.
3. Срок на съхранение – всички данни в регистър „Пациенти“ се съхраняват за срок, определен с нормативен акт, или ако липсва такъв срок – най-късно до 5 години от датата, на която лицето е престанало да бъде пациент на лечебното заведение (включително и при смърт).
В случай, че пациентът поиска данните му да бъдат заличени преди изтичането на предвидените 5 години за съхранението им, данните на пациента се заличават в 30-дневен срок от подаване на искането, освен ако това не е допустимо по закон или са налице правни претенции.
В случай, че пациентът заяви писмено, че е съгласен след “псевдонимизация” на данните му, част от тях да бъдат използвани за научни, изследователски и презентационни цели, то тогава данните се съхраняват по определения от администратора ред за период от 50 години.
4. Предоставени услуги – данни от регистър „Пациенти“ не се предоставят извън целите на тяхната обработка, с изключение: (1) по изрично искане и нареждане на лицето или на неговите наследници в срока за съхранение; (2) по разпореждане на закона – на държавни институции в изпълнение на служебните им задължения (НЗОК, НОИ, ИА“Медицински надзор“, Инспекция по труда, НАП, органи на съдебната власт, полиция и др.).
На други лечебни заведения данните на пациента се предоставят само с негово информирано съгласие и/или в съответствие с разпоредбите на Закона за здравето и други закони, съдържащи императивни разпоредби.
(3) Длъжности, свързани с обработването и защитата на лични данни от регистър „Пациенти“ и описание на техните права и задължения:
1. Данните в регистър „Пациенти“ се обработват от
служител/и изпълняващи длъжността “рецепционист приемна на лекар по дентална медицина” и/или “Асистент на лекар по дентална медицина” и /или Лекар по дентална медицина.
2. Правата и задълженията на обработващия са уредени с Длъжностните Характеристики за длъжността “Рецепционист приемна на лекар по дентална медицина” и за длъжността “Асистент на лекар по дентална медицина” и Лекар по дентална медицина и/или заповед на АЛД.
Чл.7. (1) Общо описание на Регистър „Контрагенти и партньори“:
1. В Регистъра се обработват данни на контрагенти и партньори за целите на сключване на различни договори за услуги, свързани с дейността на администратора.
2. Категории лични данни: (1) физическа идентичност: име, ЕГН, адрес, паспортни данни, месторождение, телефон, адрес на електронна поща; (2) фирмени данни; (3). Икономическа идентичност – информация за номер на банкова сметка.
3. Източници от които се събират данните: от юридически и/или физическите лица, за които се отнасят данните, с тяхното изрично съгласие.
(2) Технологично описание на регистъра:
1. Носители на данни – данните в регистъра се обработват на хартиен и технически носител (компютър).
След като се съберат и обработят данните на хартиен носител се класифицират в отделни досиета, които се съхраняват в шкафове, със заключващ се механизъм, с контрол на достъпа, разположени на рецепцията на Денталното студио на адрес бул. „Съединение” №40, гр. Хасково.
Данните на технически носител се съхраняват и обработват само на компютър с контрол на достъпа, който се помещава на рецепцията на Денталното студио на адрес бул. „Съединение” №40, гр. Хасково.
2. Технология на обработване – данните в регистъра се предоставят от юридическите лица или техни упълномощени представители, и/или от физическите лица при сключване на различни договори за услуги, свързани с дейността на администратора и се вписват в регистъра.
3. Срок на съхранение – всички данни в регистър „Контрагенти и партньори“ се съхраняват за срок до 5 години след прекратяване на съответните договорни отношения.
4. Предоставени услуги – данни от регистър „Контрагенти и партньори“ не се предоставят извън целите на тяхната обработка, с изключение: (1) по изрично искане и нареждане на лицето или на неговите наследници в срока за съхранение; (2) по разпореждане на закона – на държавни институции в изпълнение на служебните им задължения (данъчни служители, служители на НОИ, Инспекция по труда, полиция и др. подобни); (3) при съдебни дела – на процесуален представител или директно на съда при стриктно спазване на разпоредбите на закона и настоящите правила.
(3) Длъжности, свързани с обработването и защитата на лични данни от регистър „Персонал“ и описание на техните права и задължения:
1. Данните в регистър „Контрагенти и партньори“ се обработват от служител/и изпълняващи длъжността “Рецепционист приемна на лекар по дентална медицина” и/или АЛД.
2. Правата и задълженията на обработващия са уредени с Длъжностните Характеристики за длъжността “Рецепционист приемна на лекар по дентална медицина” и/или АЛД.
Чл. 8. (1) Общо описание на Регистър „Заявления и жалби“ и дейности по обработване:
1. В регистъра се обработват лични данни на лица, които са подали заявления и жалби, включително при и по повод събирането и обработването на лични данни.
Личните данни се събират от предоставените от лицата заявления, жалби и др. подобни.
2. Категории лични данни: (1) физическа идентичност: име, ЕГН, адрес, телефон, адрес на електронна поща; (2) други данни: с оглед на конкретния случай – данни, които са вписани от самото лице или в представените от него документи.
3. Източници от които се събират данните: от физическите лица, с тяхното изрично съгласие или съгласно изискванията на приложимия закон.
(2) Технологично описание на регистъра:
1. Носители на данни – данните в регистъра се обработват на хартиен и технически носител (компютър).
2. Технология на обработване:
След като се съберат и обработят данните на хартиен носител се класифицират в отделни досиета, които стоят в отделен шкаф с контрол на достъпа.
Данните на технически носител се съхраняват и обработват само на компютър с контрол на достъпа.
Данните се използват за воденето на кореспонденция, подготовка, разглеждане на съответната преписка и изпращане на отговор до подателя й.
3. Срок на съхранение – всички данни в регистър „Заявления и жалби“ се съхраняват за срок от 5 години след приключване на преписката, освен ако в закон не е предвиден друг срок.
4. Предоставени услуги – данни от регистър „Заявления и жалби“ не се предоставят извън целите на тяхната обработка, с изключение: (1) по изрично искане и нареждане на лицето, (2) по разпореждане на закона – на държавни институции в изпълнение на служебните им задължения (данъчни служители, служители на НОИ, Инспекция по труда, полиция и др. подобни) (3) при съдебни дела – на процесуален представител или директно на съда.
(3) Длъжности, свързани с обработването и защитата на лични данни от регистър „Заявления и жалби“ и описание на техните права и задължения:
1. Данните в регистър „Заявления и жалби“ се обработват от служител/и изпълняващи длъжността “Рецепционист приемна на лекар по дентална медицина” и/или „Асистент на денталния лекар”.
2. Правата и задълженията на обработващите лични данни са уредени с Длъжностните Характеристики за длъжността “Рецепционист приемна на лекар по дентална медицина” и за длъжността “Асистент на денталния лекар” и/или със заповед на АЛД.
Чл 9. Регистър „Видеонаблюдение“, в който ще се съхраняват и обработват лични данни чрез създаване на видеозапис от средства за наблюдение в помещенията на „АИППДП Дентално студио д-р Александър Киряков“ ЕООД, включващ следните видове лични данни:
- Физическа идентичност – запис на образи и звук.
- Срок на съхранение до 30 дни от създаване на записа.
IV. МЕРКИ ЗА ЗАЩИТА ПРИ ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ
Чл. 10. (1) Настоящите мерки регламентират и гарантират в подходяща степен сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни и до оборудване за тяхното обработване или за предотвратяване на използването им.
(2) Техническите и организационни мерки за защита, определени от АДЛ:
-отхвърлят достъпа на неоторизирани лица до оборудването за обработка на данни – контрол на достъпа до оборудване;
-предотвратяват неоторизираното четене, копиране, промяна или унищожаване на информационни носители – контрол на информационните носители;
-предотвратяват неоторизираното добавяне, въвеждане, преглеждане, промяна или заличаване на съхранени лични данни – контрол по съхраняването;
-предотвратяват използването на личните данни от неоторизирани лица, използващи комуникационно оборудване за данни – контрол на потребителите;
-гарантират, че лицата, които са оторизирани да ползват система за автоматизирана обработка на данни, имат достъп само до данните, включени в обхвата на техния достъп – контрол на достъпа до данни;
-осигуряват възможността за проверка и установяване до кои органи са били или могат да бъдат изпратени или предоставени личните данни чрез използване на комуникационно оборудване за данни – контрол на комуникациите;
-осигуряват възможност за последваща проверка и установяване какви лични данни са въведени в системите за автоматизирана обработка на данни, кога и от кого са въведени данните – контрол на въвеждане;
-предотвратяват неоторизирано четене, копиране, промяна или изтриване на лични данни при трансфер на лични данни или превозване на носители на данни – контрол при транспортиране;
-осигуряват възможност инсталираните системи да могат да се възстановят в случаи на прекъсване на функционирането – възстановяване;
-осигуряват правилното функциониране на системата, докладване на появата на грешки във функциите (надеждност) и гарантират, че съхранените данни не могат да бъдат повредени чрез неправилно функциониране на системата – интегритет;
– осигуряват пожароизвестителни средства и пожарогасителни средства, разположени в съответствие с изискванията на нормативната уредба.
(3) След постигане целта на обработване на личните данни, както и след изтичане на законоустановените срокове за съхранение на личните данни, съдържащи се в поддържаните от Денталната практика регистри, личните данни, които няма да бъдат използвани за следващи цели следва да бъдат унищожени при спазване на процедурите, предвидени в приложимите нормативни актове и в настоящите Вътрешни правила.
В случаите, в които се налага унищожаване на носител на лични данни, ще се прилагат необходимите действия за заличаването на личните данни по начин, изключващ възстановяване данните и злоупотреба с тях, като:
– Личните данни, съхранявани на електронен носител и сървъри, се унищожават чрез трайно изтриване, вкл. презаписването на електронните средства или физическо унищожаване на носителите;
– Документите на хартиен носител, съдържащи данни, се унищожават чрез нарязване.
Унищожаване се осъществява от обработващите личните данни след изричен писмен акт на АДЛ.
(4) При автоматичното обработване на лични данни се осъществяват подходящи технически мерки за защита срещу:
-неоторизирано четене, възпроизвеждане, промяна или премахване на носителя на данните;
-неоторизирано въвеждане, промяна или заличаване на съхранени лични данни;
-неоторизирано използване на системите за лични данни чрез средства за пренос на данни;
-неоторизиран достъп до лични данни
– хакерска атака
(5) Автоматичното обработване на данни се осъществява след въвеждане на потребителско име и парола в системата чрез хардуерна защита на личните данни чрез firewall.
(6) АЛД, както и всички лица с достъп, работещи по негово ръководство или това на обработващия лични данни, отговарят за прилагане и спазване на мерките за защита.
V. УВЕДОМЯВАНЕ НА КЗЛД ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Чл.11 (1) В случай на нарушение на сигурността на личните данни АЛД, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни КЗЛД, освен когато не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до надзорния орган съдържа причините за забавянето, когато не е подадено в срок от 72 часа.
(2) Обработващият лични данни уведомява администратора без ненужно забавяне след като узнае за нарушаване на сигурността на лични данни.
(3) В уведомлението се съдържа най-малко следното:
a) описание на естеството на нарушението на сигурността на личните данни, включително, ако е възможно, категориите и приблизителният брой на засегнатите субекти на данни и категориите и приблизителното количество на засегнатите записи на лични данни;
б) посочване на името и координатите за връзка на длъжностното/отговорното лице по защита на данните или на друга точка за контакт, от която може да се получи повече информация;
в) описание на евентуалните последици от нарушението на сигурността на личните данни;
г) описание на предприетите или предложените от администратора мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици.
(4) Когато и доколкото не е възможно информацията да се подаде едновременно, информацията може да се подаде поетапно без по-нататъшно ненужно забавяне.
(5) Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него. Тази документация дава възможност на надзорния орган – Комисията за защита на личните данни – да провери дали е спазен закона.
VІ. СЪОБЩАВАНЕ НА СУБЕКТА НА ДАННИТЕ ЗА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Чл.12 (1) Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.
(2) В съобщението до субекта на данните, посочено в ал.1, на ясен и прост език се описва естеството на нарушението на сигурността на личните данни и се посочват най-малко информацията и мерките, посочени по-горе в раздел V, чл. 9 ал. 3 букви б), в) и г).
(3) Съобщение не се изисква, ако някое от следните условия е изпълнено:
a) администраторът е предприел подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността на личните данни, по-специално мерките, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях, като например криптиране;
б) администраторът е взел впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
в) то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.
(4) Ако администраторът все още не е съобщил на субекта на данните за нарушението на сигурността на личните данни, КЗЛД може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията по ал. 3.
VІІ. ДЕЙСТВИЯ ЗА ЗАЩИТА ПРИ АВАРИИ, ПРОИЗШЕСТВИЯ И БЕДСТВИЯ (ПОЖАР, НАВОДНЕНИЕ И ДР.)
Чл. 13 (1) При възникване и установяване на инцидент с наличните ресурси се вземат мерки за ограничаване въздействието върху регистрите, доколкото това е възможно.
(2) В предвидените в Регламента и ЗЗЛД случаи за инцидента се уведомява надзорния орган – Комисията за защита на личните данни.
VІІІ. ПРАВА ЗА ДОСТЪП НА ЛИЦАТА ДО ЛИЧНИТЕ ИМ ДАННИ, ПРАВОТО „ДА БЪДЕШ ЗАБРАВЕН”, ПРАВО НА ПРЕНОСИМОСТ, ПРАВО НА ВЪЗРАЖЕНИЕ
Чл. 14. (1) Заетите по трудови и граждански правоотношения, както и пациентите, имат право на достъп до личните си данни, право на коригиране на личните им данни, право на изтриване на данните, които се обработват без правно основание, право на ограничаване на обработването, право на преносимост на данните, право на възражение и право на “псевдонимизация”.
(2) Лицата, които желаят да упражнят горепосочените си права подават писмено заявление до АЛД лично или чрез упълномощено лице. Подаването на заявление по електронен път става чрез електронен подпис по реда на ЗЗЛД.
(3) Заявлението съдържа име на лицето и други данни, които го идентифицират – тези, които ЗЗЛД изрично допуска да бъдат посочени, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес на кореспонденцията; пълномощно – когато заявлението се подава от упълномощено лице. Заявлението се завежда в общия входящ регистър на администратора.
(4) Достъп до данните на лицето се осигурява под формата на:
1. устна справка;
2. писмена справка;
3. преглед на данните от самото лице или упълномощено от него такова;
4. предоставяне на копие от исканата информация.
(5) При подаване на искане за осигуряване на достъп администраторът на лични данни разглежда заявлението за достъп и/или разпорежда да се осигури искания от лицето достъп в предпочитаната от заявителя форма. Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането, съответно 30-дневен, когато е необходимо повече време за събиране личните данни на лицето с оглед възможни затруднения в дейността на администратора. Решението се съобщава писмено на заявителя лично срещу подпис или по пощата с обратна разписка. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отказът за предоставяне достъп може се обжалва от лицето пред посочения в писмото орган и срок.
(6) Достъп до личните данни на лицата, съдържащи се на технически носител има само администратора на лични данни, а в негово отсъствие и когато тези данни се отнасят до възнагражденията на лицата, достъп до тях има изрично упълномощено от администратора на лични данни лице.
(7) По другите заявени искания, съгласно посоченото в ал (1) на този член, АЛД се произнася в максимално кратки срокове, съгласно разпоредбите на Регламента и ЗЗЛД.
Чл. 15. Освен от администратора на лични данни, правомерен достъп до определени категории лични данни могат да имат и лица, определени от него с длъжностна характеристика и/или изрична заповед. Администраторът носи отговорност за избора на тези лица.
Чл. 16. (1) Никое трето лице няма право на достъп до регистрите с лични данни на лицата, освен в случаите, когато се предоставя информация, която е изисквана на основание на закона и по надлежен път от Комисията за защита на личните данни, от съдебната власт или от друг орган на държавна власт.
(2) При условия, налагащи прехвърляне на регистрите за лични данни от един АЛД към друг, предаването на регистъра се извършва по предвидения от Регламента и ЗЗЛД.
ІХ. ДРУГИ УСЛОВИЯ
Чл. 17. При внедряване на нов програмен продукт за обработване на лични данни се извършва тестване на възможностите на продукта, с оглед спазване изискванията на Регламента и ЗЗЛД за осигуряване максималната защита на личните данни от неправомерен достъп, загубване, повреждане или унищожаване.
Чл. 18. При неизпълнение на задълженията им, вменени с разпоредбите на Регламента, ЗЗЛД и настоящите вътрешни правила, на съответните лица, обработващи лични данни под ръководството на АЛД и/или при обработващия лични данни, се налагат дисциплинарни наказания по Кодекса на труда или административни наказания, когато нарушението е констатирано и установено от надлежен орган, а когато са налице причинени вреди – им се търси отговорност по съответния приложим закон.
Чл.19. Адресът, на който се приемат молби и заявления е гр. Хасково, бул. “Съединение” №40 или на електронен адрес:office@dentalstudio.bg.
Чл. 20. Контролът върху дейностите по обработване на лични данни се осъществява от АЛД.
Чл. 21. За неуредените с тези правила въпроси се прилагат разпоредбите на Регламента и ЗЗЛД.
X. ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
Чл. 22. По смисъла на Регламент (ЕС) 2016/679 и настоящите правила:
- „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата и умствената, икономическата, културната или социалната идентичност на това физическо лице.
- „Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.
- „Биометрични данни“ означава лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни.
4. „Администратор на лични данни“ означава компетентният орган, който сам или съвместно с други органи определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Европейския съюз или правото на Република България, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз или в националното законодателство
5. „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друга форма на осигуряване на достъп до данните, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
6. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
7. „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
8. „Лице с достъп до данни“ е всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго.
9. „Предоставяне на лични данни“ са действия по цялостно или частично пренасяне на лични данни от един администратор към друг или към трето лице на територията на страната или извън нея.
10. „Носител на лични данни“ е физически обект, на който могат да се запишат данни или могат да се възстановят от същия.
11. „Поверителност“ е изискване за неразкриване на личните данни на неоторизирани лица в процеса на тяхното обработване.
12. „Цялостност” е изискване данните да не могат да бъдат променени/подменени по неоторизиран начин в процеса на тяхното обработване и изискване да не се дава възможност за изменение и за неразрешени манипулации на функциите по обработване на данните.
13. „Наличност“ е изискване за осигуряване непрекъсната възможност за обработване на личните данни на оторизираните лица и за изпълнение на функциите на системата за обработване или бързото им възстановяване.
14. „Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на _технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.
15. „ЗЗЛД“ е Закон за защита на личните данни.
16. „КЗЛД“ е Комисия за защита на личните данни.
17. „Регламент“ е Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета.
Чл. 23. Настоящите правила се прилагат от 25.05.2018 г.
Чл. 24. Неразделна част от настоящите правила са:
1. Декларация за поверителност.
2. Декларация за съгласие (Персонал).
3. Декларация за съгласие за псевдонимизация (Пациент).
4. Декларация за съгласие на родител/настойник за псевдонимизация.
5. Заявление за достъп до лични данни, включително да получи копие от тях.
6. Заявление за преносимост на лични данни.
7. Заявление за коригиране на лични данни.
8. Заявление за заличаване на лични данни, когато се обработват без правно основание.
9. Заявление за ограничаване на обработването на лични данни