ОБЩА ПОЛИТИКА

ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

В „АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД

 

 

Настоящата политика е изготвена въз основа на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. за защита на физическите лица по отношение на обработката на лични данни и за свободното движение на такива данни и за отмяна на Директива 95/46 / ЕО, както и въз основа на съответните насоки. Тъй като към момента на изготвянето на настоящата политика защитата на физическите лица по отношение на обработката на лични данни се осигурява от българския Закон за защита на личните данни, всякакви промени в законодателството (както на европейско, така и на национално равнище) могат да имат за последица възникването на необходимост от изменение или допълване на тази политика. В случай на несъответствие между тази политика и правото на ЕС (както първично, така и вторично), и/или българското национално законодателство по защита на личните данни, съответният от посочените два правопорядъка има предимство.

 

„АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД, ЕИК: 203234697, с адрес: област Враца, община Враца, гр. Враца, ул. „Кръстьо Българията“ № 33 („Дружеството“, “НАЙДЕНОВ ДЕНТАЛ”), като взе предвид, че:

 

(1) Считано от 25 май 2018 година в сила е Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (“Общ регламент относно защитата на данните/ОРЗД/”), с който се променя съществено съществуващият правен режим на защита на данните,

(2) “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД е администратор на лични данни и обработва такива в съответствие с ОРЗД и актовете по неговото прилагане, както и с действащото национално законодателство,

(3) НАЙДЕНОВ ДЕНТАЛ  подхожда с най-голяма отговорност и се ангажира да обработва личните данни в съответствие с приложимото действащо законодателство. Общата политика за защита на личните данни има за цел да предостави рамката по отношение на обработването на лични данни, извършвано от НАЙДЕНОВ ДЕНТАЛ, както и да начертае основните принципи, които следва да бъдат спазени във всеки един процес по обработване в Дружеството. Настоящата политика може да се допълва от политики, насочени към неприкосновеността на личните данни, както и процедури, и инструкции, регулиращи отделни специфични права и задължения, свързани със защитата на личните данни,

 

прие настоящата Обща политика за защита на личните данни (наричана по-долу за краткост „Политика“):

 

ОБХВАТ

Политиката обхваща използването и обработването на лични данни за всички физически лица, включително клиенти/пациенти, служители, работници, изпълнители и доставчици. Всеки работник/служител в “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД, едноличният собственик на капитала на Дружеството, неговият управител, както и всеки един обработващ лични данни от името на Дружеството в качеството му на администратор на лични данни следва да спазва настоящата политика при обработката на лични данни. Не съществуват изключения от това правило.

 

ДЕФИНИЦИИ

За целите на настоящата политика долупосочените термини имат следното значение:

Администратор на лични данни е Дружеството, като то определя целите и начина, по които се обработват лични данни. Администраторът носи отговорност за установяване на практики и политики в съответствие с приложимите закони за защита на данните. “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД е администратор на всички лични данни на работници/служители, обработвани в рамките на дейността на Дружеството. “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД е администратор и на лични данни на клиентите си/пациентите или контрагентите си (когато е приложимо).

Обработващ лични данни е всяко лице, което обработва лични данни от името на Администратор на лични данни. Работниците/служителите на Администратора на лични данни и/или на Обработващия лични данни, които обработват лични данни под ръководството на Администратора или Обработващия лични данни, не се включват в този обхват.

Субект на данни е идентифицирано физическо лице, за което се отнасят лични данни или физическо лице, което може да бъде идентифицирано и до което се отнасят лични данни. За целите на тази политика субектите на данни могат да бъдат работници/служители, клиенти/пациенти и/или представители на доставчици и бизнес партньори, както и други физически лица, чиито лични данни могат да бъдат обработвани от Дружеството.

Лични данни са всяка информация, свързана със субекта на данните, който е идентифициран или може да бъде идентифициран, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологическата, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това лице. Личните данни могат да бъдат съхранявани електронно на компютър или в определени системи на хартиен носител.

 

 

Лични данни, отнасящи се до престъпления и наказателни производства, са Лични данни, свързани с наказателни производства, престъпления и/или осъдителни присъди и помилвания.

Данни за здравословното състояние са Лични данни, свързани с физическото или психическото здраво на физическото лице, включително предоставянето на здравно услуги, които дават информация за здравословното му състояние.

Биометрични данни са Лични данни, получени в резултат на специфично техническо обработване, които са свързани с физическите, физиологичните или поведенческите характеристики на дадено физическо лице и които позволяват или потвърждават уникалната идентификация на това физическо лице, като лицеви изображения или дактилоскопични данни.

Обработване е всяка операция или набор от операции, извършвани с лични данни, независимо дали чрез автоматични средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, използване, разкриване чрез трансфер, разпространяване или предоставяне по друг начин, привеждане в съответствие или комбиниране, ограничаване, изтриване или унищожаване.

Специални категории лични данни са лични данни, разкриващи раса или етнически произход, политически възгледи, религиозни, или философски убеждения, или членство в синдикални организации и обработка на генетични данни, биометрични данни с цел еднозначно идентифициране на физическо лице, здравето, или данните относно сексуалния живот или сексуалната ориентация на физическо лице.

 

ВИДОВЕ ЛИЧНИ ДАННИ, ОБРАБОТВАНИ В “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД

“АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД обработва следните категории данни (изброяването е неизчерпателно):

  • данни на кандидати за работа и персонал на НАЙДЕНОВ ДЕНТАЛ, свързани с тяхната (потенциална) позиция в НАЙДЕНОВ ДЕНТАЛ (включително данни за контакт, автобиография и други);
  • данни на служители/работници на “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД във връзка с трудовите им правоотношения;
  • данни за зависимите от служителите/работниците на НАЙДЕНОВ ДЕНТАЛ лица, както и за членовете на семейството на служителите/работниците на НАЙДЕНОВ ДЕНТАЛ, във връзка с целите на трудовото, осигурителното и данъчното законодателство;
  • данни на пациенти във връзка с предостявите здравни услуги и съставянето на медицинска документация за здравословното състояние на пациента – поставянето на диагноза, анализ на диагностични модели, анализ на рентгенографии, анализ на фотоснимки, анализ на биометрични данни, съставяне на подробен план за лечение по етапи, прогностични срокове и апаратура;
  • контрагенти или потенциални контрагенти на дружеството и на техни служители.

 

Информацията се събира по няколко начина – директно от пациента или онлайн посредством системата на НЗОК на основание доброволно дадено съгласие, на основание сключен договор или по силата на нормативни разпоредби.

При осъществяване на денталната дейност “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД обработва лични данни на пациенти и под 18-годишна възраст, както в изпълнение на свои законови задължения, така и въз основа на сключени договори между лица, представляващи пациентите под 18-годишна възраст и “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД. Основанието за обработване на личните данни е чл. 6, §1, б. „а“, „б“, „в“ и „е“ от Регламента. В тези случаи обработваните данни са свързани с физическата идентичност на субекта, данни относно здравословното състояние и се използват за целите, за които е предвидено в нормативната уредба и сключения между страните договор.

За целите на администрирането на персонала (управление на човешките ресурси) и финансово-счетоводната отчетност “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД обработва лични данни на основание чл. 6, § 1, б. „в“ и чл. 9, § 2, б. „б“ от Регламента на кандидати за работа, служители и физически лица, изпълнители по договори и представители на юридически лица – изпълнители по договори. Категориите лични данни са относно физическата и социалната, семейната и икономическата идентичност, данни за съдебното минало и здравословното състояние на лицата.

 

ЛИЧНИ ДАННИ, СЪБИРАНИ И ОБРАБОТВАНИ В ИНТЕРНЕТ ПРОСТРАНСТВОТО

 

При посещение на интернет страницата на https://naydenov-dental.com се събират единствено следните категории лични данни: име, фамилия, телефон за връзка и имейл адрес. Данните се събират единствено от бъдещи пациенти на НАЙДЕНОВ ДЕНТАЛ, които желаят да запазят онлайн час за преглед или консултация.

Други данни могат да бъдат събирани автоматично от нашите IT системи при всяко посещение на уебсайта. Това са предимно технически данни като: браузър, операционна система, общи данни за потребителското поведение като посетени страници, време за престой на определена страница и др.

Използвайки онлайн услугите, предостявани от НАЙДЕНОВ ДЕНТАЛ, Вие изрично се съгласяване вашите лични данни да бъдат събирани и обработвани от НАЙДЕНОВ ДЕНТАЛ, като същевременно гарантирате за тяхната точност и достоверност. Вие също така декларирате, че сте били информирани за типа лични данни, които се събират и обработват, за целите, за които ще бъдат използвани те, както и за Вашето право на достъп, коригиране или изтриване на събраните лични данни.

За събирането на определена информация от всички посетители на уебсайта, включително и такива, които не използват предлаганите на сайта услуги, се използват и т.нар. „бисквитки“. Бисквитките представляват поредица от данни, даващи информация за употребата на уебсайта, както и потребителски данни, които биха могли да се използват за персонализиране, както и за проследяване на модели на потребителски трафик. Използваните от НАЙДЕНОВ ДЕНТАЛ „бисквитки“ са важни за коректната работа на сайта, като при посещаването на сайта всеки потребител декларира, че приема използването на „бисквитки“.

 

ЦЕЛИ НА ОБРАБОТВАНЕ НА СЪБИРАНИТЕ ЛИЧНИ ДАННИ

 

“АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД обработва лични данни за следните цели:

  • предоставяне на здравни услуги – медицинска диагностика, лечение, изследвания и др. в това число за ефективното и безопасно лечение на пациентите, вземане на информирано решение от пациента по отношение на предоставените му здравни услуги, както и за осъществяване на същинската дейност по опазване на живота и здравето на гражданите;
  • изпълнение на законови задължения на дружеството, по-специално, но не само по Закона за здравето, Закона за здравното осигуряване, Закона за лечебните заведения, подзаконовите актове по прилагането им, Националния рамков договор;
  • изпълнение на изискванията на трудовото и социалното законодателство по отношение на служителите;
  • други законосъобразни цели като счетоводно обслужване, поддръжка и обслужване на интернет сайта и IT системите на дружеството, защита на законните интереси на дружеството, включително и по съдебен ред и др.;
  • за нуждите на медицинската статистика, подобряване качеството на медицинските услуги, за целите на превантивната или трудовата медицина, както и за подобряване знанията за заболяванията и теоретичното и практическото усъвършенстване на медицинските специалисти;
  • за осъществяване на комуникацията с Министерство на здравеопазването, НЗОК, РЗОК, Изпълнителна агенция „Медицински надзор“, РЗИ и други публични организации, имащи отношение към здравеопазването и към здравето на пациентите, в т.ч. и по отношение на извършвани одити и/или проверки от публичните органи.

 

ПРАВНИ ОСНОВАНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

 

“АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД обработва специални категории лични данни, като данни за здравословното състояние и биометрични данни единствено при наличие на някое от условията по ОРЗД и по-специално:

  • за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;
  • за да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
  • при наличие на изрично съгласие на лицето за обработването за една или повече конкретни цели, освен ако законодателството изключва възможността за подобно съгласие.

Дружеството обработва и други лични данни при наличие на някое от алтернативните правни основания по ОРЗД и по-специално:

  • за изпълнение на свои законови задължения, регламентирани в следните нормативни актове: Закон за здравните заведения, Закон за здравното осигуряване, Закон за здравето и лечебните заведения и подзаконовите нормативни актове по тяхното прилагане, какво и във връзка с изпълнение на задълженията, регламентирани в Националния рамков договор;
  • за изпълнение на договор, включително преддоговорни задължения преди сключването му;
  • легитимните интереси на дружеството, доколкото те имат преимущество над интересите или основните права и свободи на субектите на данни;
  • свободно изразено, конкретно, информирано и недвусмислено съгласие на субекта на данните.

КАТЕГОРИИ ПОЛУЧАТЕЛИ НА ДАННИ ИЗВЪН “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД

НАЙДЕНОВ ДЕНТАЛ не разкрива лични данни на трети страни и получатели, освен ако не е налице законово основание за получаване на данните или за данните не е приложена „псевдонимизация“.

Извън описаните случаи, получатели на данни съобразно конкретния случай могат да бъдат:

  • държавни органи и органи, натоварени с публични функции, в рамките на техните правомощия (НАП, НОИ, МЗ, ИАМН, РЗИ, НЗОК, ДИТ, НЦРРЗ и др.);
  • банки и други финансови институции – във връзка с обслужването на плащанията на потребителите на здравни услуги и трудовите възнаграждения на служителите, извършени по банков път или чрез платежна институция е необходимо да се осъществи обмен на данни между НАЙДЕНОВ ДЕНТАЛ и съответната банка или платежна институция;
  • трети лица, имащи качеството на обработващи лични данни – доставчици на куриерски услуги, доставчици на услуги по внедряване/поддръжка на информационни системи, които понякога е необходимо да достъпват лични данни, които се обработват в съответните системи, за целите на предоставяне на услугите; адвокатски кантори, счетоводни къщи или други доставчици на консултантски услуги; доставчици на хостиг услуги.

ЗАДЪЛЖЕНИЯ НА ДРУЖЕСТВОТО ВЪВ ВРЪЗКА СЪС ЗАЩИТАТА НА ЛИЧНИ ДАННИ

“АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД има следните задължения в качеството си на администратор на лични данни:

  • определя политиката за защита на личните данни в Дружеството, като спазва изискванията на ОРЗД и националното законодателство;
  • извършва анализ на нуждата от длъжностно лице по защита на данните и назначава такова, ако е приложимо;
  • осигурява организацията по водене на регистрите на дейностите, свързани с обработване на лични данни, съгласно предвидените мерки за гарантиране на адекватна защита;
  • въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, които са разработени с оглед на ефективното прилагане на принципите за защита на данните;
  • осигурява упражняването на правата на физическите лица за защита на личните данни;
  • въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването на лични данни се извършва съобразно изискванията на ОРЗД;
  • въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност;
  • осъществява контрол по спазване на изискванията за защита на регистрите, установява обстоятелства, свързани с нарушаване на тяхната защита, и предприема мерки за тяхното отстраняване;
  • актуализира поддържаните регистри с лични данни;
  • поддържа личните данни във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват;
  • периодично информира и обучава персонала по въпросите на защитата на личните данни;
  • оказва съдействие при осъществяването на контролните функции на Комисия за защита на личните данни, подпомага установяването на обстоятелства, свързани със защитата на личните данни;
  • определя правата на служителите за достъп до лични данни в информационните системи съобразно целите на обработване, така че да се гарантира законосъобразност и да се спазят принципите на обработване;
  • използва само обработващи лични данни, които предоставят достатъчни гаранции посредством прилагането на подходящи технически и организационни мерки за защита;
  • в случай на нарушение на сигурността на личните данни, уведомява, надзорния орган по защита на личните данни без ненужно забавяне при установен риск за засегнатите лица, не по-късно от 72 часа след като е разбрал за него. Надзорният орган не се уведомява, когато не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица;
  • в случай на установен висок риск за физическите лица ги информира по подходящ начин за нарушението по сигурността на личните данни;
  • документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението на сигурността на личните данни, последиците от него и предприетите действия за справяне с него.

 

ПРИНЦИПИ НА ЗАЩИТА НА ДАННИТЕ

Придържането към принципите, поставени като изискване от ОРЗД, е от основно значение за подпомагане на практическото прилагане на ОРЗД и за демонстриране на отговорно отношение. Лични данни могат да бъдат обработвани само в съответствие с настоящата Политика и следвайки принципите, както са описани по-долу:

  1. 1. Законност

Всеки път, когато лични данни биват събирани, те трябва да се събират с яснота относно законната цел, с оглед осъществяването на която данните се събират. Обработването на лични данни трябва да е въз основа на едно от правните основания за обработване, описани в ОРЗД, в противен случай няма да е законосъобразно.

С оглед на обстоятелството, че НАЙДЕНОВ ДЕНТАЛ обработва Специални категории лични данни (напр. данни, свързани със здравето на служителя), дружеството следва да полага дължимата грижа в по-голяма степен в сравнение с грижата по отношение на други лични данни, т.к. презумпцията е, че информацията за такива данни може да бъде използвана по дискриминационен начин и е вероятно да е от изключително личен характер. Естеството на данните също е фактор при определянето на това какви защитни мерки да се предприемат. Когато НАЙДЕНОВ ДЕНТАЛ  обработва такива лични данни, трябва да е сигурен, че отговаря на едно или повече от основанията за обработване, които се отнасят конкретно за такива данни, както е посочено в ОРЗД.

  1. Откритост

Развитието, практиките и политиките по отношение на личните данни следва да бъдат създавани и актуализирани в съответствие с основния принцип на откритост. “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД е длъжно да предоставя информация и да съдейства на лицата, които желаят да разберат дали и как се обработват личните им данни, както и данните за отговорното дружество, което обработва личните им данни.

НАЙДЕНОВ ДЕНТАЛ  има задължение в качеството си на администратор да предостави Декларация за обработване на лични данни на Субектите на данни, когато се събират техни лични данни на основание, изискващо изричното съгласие на субекта на данните. Задължението за уведомяване на субектите за данни се отнася до всички форми на събиране и/или обработване на данни, независимо от преследваната цел, като ОРЗД налага конкретни изисквания за това какво трябва да включват декларациите, информиращи субектите на лични данни за обработването на техните данни.

  1. Ограничаване на събирането на данни

Всяко събиране на лични данни трябва да бъде ограничено до данните, необходими за целта, за която Дружеството ги е събрало. Личните данни трябва да се получават само по законосъобразни и прозрачни начини и когато е уместно – със знанието на физическото лице, за което се отнасят данните, без информираността да е единствено и абсолютно основание за обработване на лични данни.

Когато е възможно, личните данни трябва да бъдат обобщени в максимална степен.

  1. Качество на данните

Личните данни трябва да са от значение за целите, за които те ще бъдат използвани. Личните данни трябва да бъдат точни, пълни, събрани с оглед целта на обработката им и поддържани актуални. Следва да бъде дадена възможност на субектите на данни да актуализират собствените си данни, а ако това не е приложимо, да се въведат процеси, които да гарантират точността на данните.

 

  1. Конкретна цел 

Целите, за които се събират лични данни, трябва да бъдат съобщени на физическите лица в момента на събиране на данните. Данните трябва да се използват само за целите, за които са събрани, или за други цели, които не са несъвместими с първоначално посочените цели. Всякакви други цели следва да бъдат съобщени на засегнатите лица.

  1. Ограничаване на използването и на съхранението

Личните данни не трябва да се разкриват, предоставят или използват по друг начин за цели, различни от тези, които са съобщени на субектите на данни, освен със съгласието на последните или по силата на закона. Възможно е да се обработват данни и за друга цел от първичната, но само ако тя е съвместима с първичната цел.

При въвеждането на нови технологии, системи, приложения и/или процеси “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД трябва да приложи подходящи технически и организационни мерки, за да гарантира, че защитата на данните е основен фактор в ранните етапи на всеки проект, както и през жизнения му цикъл. Мерките се вземат след оценка на рисковете за поверителността на данните при събирането, използването и разкриването на лична информация.

Всички лични данни следва да бъдат изтрити от всички системи и всички носители в Дружеството след установения период за съхранение, който е определен с оглед изискванията на законодателството и на медицинските дейности, извършвани от НАЙДЕНОВ ДЕНТАЛ.

 

  1. Цялостност и поверителност

Личните данни следва да бъдат защитени с разумни гаранции за сигурност срещу рискове като загуба или неразрешен достъп, унищожаване, използване, промяна или разкриване на данни. Запазването на сигурността и защитата на лични данни е от изключително значение при всяко обработване. НАЙДЕНОВ ДЕНТАЛ следва да разработва процедури за сигурността и целостта на личните данни и тези мерки да съответстват на нивото на риск за правата на субектите на данни.

При използване на лица, подизпълнители или доставчици Дружеството следва да гарантира, че такива лица, имащи достъп до лични данни, също отговарят на изискванията за сигурност, техническите и организационни мерки за сигурност на НАЙДЕНОВ ДЕНТАЛ.

 

  1. Отговорност, отчетност

Принципът на отчетност означава, че НАЙДЕНОВ ДЕНТАЛ следва да може да демонстрира във всеки един момент съответствие с изискванията на ОРЗД. Това се постига чрез прилагане на следните практики:

  • Съответствие с местното действащо законодателство и приложимото такова в зависимост от случая и прилагане на адекватни технологични и организационни мерки за защита на данните;
  • Поддържане на актуален и точен регистър за дейностите по обработване на данни (изисква се съгласно член 30 от ОРЗД), който следва да бъде предоставен на регулатора при поискване;
  • Спазване на защита на данните на етапа на проектирането и по подразбиране при разработването на нови технологии, системи, приложения или бизнес процеси;
  • Адекватно и периодично обучение на лицата за организационните и технически мерки за защита на данните, създаване на план за това обучение;
  • Провеждане на редовни вътрешни и външни одити на практиките на НАЙДЕНОВ ДЕНТАЛ при обработване на личните данни;
  • Навременно докладване на релевантните лица и органи при нарушения на защитата на личните данни и постоянно анализиране на настъпилите нарушения с цел подобрение в процесите и системите на Дружеството;
  • Съдействие при евентуална регулаторна проверка/контрол.

 

ПРАВА НА СУБЕКТИТЕ НА ДАННИ

“АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД предприема необходимите мерки за предоставяне на информация на физическите лица относно обработването на лични данни в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Администраторът съдейства за упражняването на правата на субекта на данните по членове 15-22 от ОРЗД, с изключение на случаите, когато не е в състояние да идентифицира физическото лице.

Дадено лице има право на:

  • Право на достъп: Право на искане на копие от лични им данни, които се обработват от НАЙДЕНОВ ДЕНТАЛ и от трети лица, с които НАЙДЕНОВ ДЕНТАЛ  работи (например доставчици на осигурителни и разплащателни услуги). Право на достъп до данните на физическото лице включва предоставянето на информация за:
  • целите на обработването;
  • категориите лични данни;
  • получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни;
  • сроковете за съхранение на личните данни, а ако това е невъзможно, критериите, използвани за определянето на тези срокове;
  • съществуването на право на коригиране или изтриване на лични данни, или ограничаване на обработването на лични данни, или възражение срещу такова обработване;
  • правото на жалба до надзорен орган;
  • източниците на лични данни.

 

NB: Съгласно правото на субектите на данни за достъп до данните им, дадено физическо лице има право на информация, свързана само със собствените му лични данни, а не на информация, свързана с други физически лица, освен ако лицето, подаващо искането, действа от името на това физическо лице.

 

  • Право на коригиране: Правото на коригиране на неточни или непълни лични данни.
  • Право на изтриване: Правото на Субекта да поиска личните му данни да бъдат окончателно изтрити, което означава, те вече да не се обработват. То се прилага само в следните конкретни ситуации:
  • когато личните данни вече не са необходими за първоначалната цел, за която са били събрани/обработени;
  • когато субектът на данни се възползва от правото си на възражение срещу обработването и няма законни основания за обработването, които да имат преимущество;
  • когато данните са незаконно обработени (т.е. по начин, който е в нарушение на ОРЗД);
  • личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо администратора;
  • когато основанието за събирането и обработването на личните данни престане на съществува.

 

Въпреки това, НАЙДЕНОВ ДЕНТАЛ  може да запази личните данни, когато:

  • данните са необходими, за да се спази правно задължение (например фирмени записи на данни, финанси, одит и др.); или е необходимо за завеждане, водене или защита по правни искове (например задържане при висящ съдебен спор и др.).

 

  • Право на ограничаване на обработването: Правото да се изисква от НАЙДЕНОВ ДЕНТАЛвременно или постоянно да преустанови обработването на всички или някои от личните данни на Субекта на данни. Ако данните са били разкрити на други лица, трябва да се уведомят за ограничаването на обработката на данните (освен ако това е невъзможно или води до несъразмерни усилия). Това право също има определени описани в ОРЗД случаи, в които е приложимо. Освен това приложението му е ограничено в зависимост от основанието за обработване на личните данни.
  • Право на преносимост на данните: Правото на Субекта да получи личните  данни в структуриран, широко използван и оперативно съвместим формат, като му се дава възможност да предостави личните си данни на друг администратор на лични данни сам или чрез Дружеството. Това право е приложимо само когато са налице всички изброени по-долу предпоставки:
  • личните данни се обработват по автоматизиран начин (т.е. няма записи на данните на хартиен носител);
  • личните данни се обработват с оглед изпълнението на договор или като подготвителни стъпки към сключването на договор.

 

  • Право на възражение: Право на възражение срещу обработването на Личните данни, когато обработването се основава на чл. 6, параграф 1, буква е) от ОРЗД и легитимните интереси на Администратора от обработването не се ползват с предимство пред интересите, правата и свободите на Субекта на данни.

 

ОТНОШЕНИЯ С ОБРАБОТВАЩИ ЛИЧНИ ДАННИ

При възлагане обработването на лични данни на Обработващ лични данни Дружеството, в качеството си на Администратор, спазва следните изисквания:

  • Избират се само Обработващи, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки за защита на личните данни.
  • В писмените договори с Обработващите се уреждат условията за защита на личните данни.

 

Договорите с Обработващите следва да съдържат най-малко следните реквизити:

  • предмета и срока на действие на обработването;
  • целите и естеството на обработването;
  • категориите физически лица, за които се осъществява обработването;
  • категориите/вида лични данни, които са в обхвата на обработването;
  • правата и задълженията на Администратора;
  • Изисквания към Обработващия съгласно чл. 28 (3) от ОРЗД.

 

УПРАВЛЕНИЕ НА ИНЦИДЕНТИ ПРИ СИГУРНОСТТА

Управлението на инциденти по сигурността на личните данни се основава на изискванията в чл. 33 и чл. 34 от ОРЗД. В случай на нарушение на сигурността, което може да породи висок риск за правата и свободите на физическите лица, Администраторът има 72-часов срок за информиране на Надзорния орган. При наличие на висок риск задължително се уведомяват и физическите лица с изключение на случаите, изчерпателно посочени в ОРЗД.

 

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ ЗА ЗАЩИТА НА ДАННИТЕ

В дейността на “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД се предвиждат необходимите технически и организационни мерки за защита на личните данни от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Видовете защита биват физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи, криптографска защита.

 

Администраторът предприема следните мерки за защита на личните данни:

 

  • мерки за физическа защита на личните данни, представляващи система от технически и организационни мерки за предотвратяване на нерегламентиран достъп до сгради, помещения и съоръжения, в които се обработват лични данни включваща:
  1. Технически мерки:
  • система за контрол на достъпа до помещенията на дружеството – всички врати на офиси и кабинети, в които се намират/могат да се намират документи, съдържащи лични данни, се заключват;
  • заключване на помещенията в извънработно време и регламентиране на достъпа до тях;
  • осигуряване на заключващи се помещения и шкафове за съхранение на информация, свързана с лични данни в предвидените от вътрешно-организационните и нормативни документи случаи;
  • оборудване на помещенията с необходимото за съхранение на информацията, свързана с личните данни /папки, досиета/, обзавеждане;
  • наличие на организация, гарантираща пожаробезопасността съобразно нормативните изисквания, включително и най-вече на помещенията за съхранение на информацията, свързана с личните данни;
  1. Организационни мерки:
  • определяне на помещенията, в които ще се обработват лични данни, както и на тези, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни, вкл. и определяне на организацията на физическия достъп – във всички помещения, в които се предоставят здравни услуги, се съхраняват и обработват лични данни;
  • определяне характеристиките на физическата среда и зоните с контролиран достъп;
  • определяне на основни технически средства за физическа защита – към настоящия момент физическата защита се осигурява посредством сключен договор за поддръжка на система СОТ.

 

  • мерки за персонална защита, представляваща система от организационни мерки спрямо физическите лица, които обработват лични данни по указание на НАЙДЕНОВ ДЕНТАЛ, включват:
  • познаване и спазване на нормативната уредба в областта на защитата на личните данни;
  • познаване на политиката за защита на личните данни;
  • спазване на политика на чисто бюро и чист екран;
  • несподеляне на критична информация между персонала (напр. идентификатори, пароли за достъп и др.);
  • съгласие за поемане на задължение за неразпространение наличните данни, поверителност;
  • обучение на служителите, обработващи лични данни;
  • обучение на персонала за реакция при събития, застрашаващи сигурността на личните данни;

 

  • мерки за документална защита, представляваща система от организационни мерки при обработването на лични данни на хартиен носител, включващи:
  • регламентиран достъп на отговорните служители до регистрите, поддържани на хартиен носител – единствено специално определени за това служители имат такъв достъп до споменатите регистри;
  • определен контрол на достъпа до регистрите, поддържани на хартиен носител;
  • определени срокове и условия за съхранение на личните данни на хартиен носител – документите, съдържащи лични данни, се унищожават след като основанието, което позволява тяхното събиране, престане на съществува;
  • след приключване на срока за съхранение данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране.

 

  • мерки за защита на автоматизирани информационни системи и/или мрежи, представляваща система от технически и организационни мерки за защита от незаконни форми на обработване на личните данни, включващи:
  • определени начини за идентификация и автентификация на потребителите – потребителско име и уникална парола, известни единствено на използващия информационната система и/или мрежи;
  • необходими мерки за защита от вируси – актуални антивирусни софтуери;
  • предприети необходими мерки за поддържане/експлоатация на информационните системи и/или мрежи;
  • определени начини за съхраняване на копия/резервни копия на информация с възможност за възстановяване – криптирани файлове, съхранявани единствено върху паметта на персоналните компютри, използвани от обработващите лични данни служители;
  • определени видове носители на информация – допустима е употребата само на криптирани файлове;
  • определени срокове за съхранение на личните данни в електронен вид – личните данни в електронен вид се съхраняват за същия период от време, за който се съхраняват и физическите носители на лични данни;
  • създадени правила за унищожаване/заличаване/изтриване на електронни носители – в присъствието на поне 2 (двама) служители, имащи достъп до електронните носители на лични данни и след съставянето на нарочен протокол;
  • мерки за криптографска защита, представляваща система от технически и организационни мерки, които се прилагат с цел защита на личните данни от нерегламентиран достъп при предаване, разпространяване или предоставяне, включват:
  • стандартните криптографски възможности на операционните системи;
  • стандартните криптографски възможности на системите за управление на бази данни;
  • стандартните криптографски възможности на комуникационното оборудване.

Мерките са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с дейностите по обработка и категорията на защитените данни.

 

В допълнение, НАЙДЕНОВ ДЕНТАЛ предприема и следните технически и организационни мерки:

  • Личните данни върху хартиен носител се съхраняват в изрично подготвени за целта шкафове в архивна стая, достъп до която имат само служителите, имащи право да обработват лични данни, като тези шкафове в извънработно време се заключват, а така също и самата архивна стая.
  • Личните данни не се изнасят от кабинетите, използвани от Дружеството, освен при служебна необходимост и/или разрешение, и/или задължително за НАЙДЕНОВ ДЕНТАЛ разпореждане на държавен орган или институция.
  • Личните данни, организирани и съхранявани в електронен вид, се съхраняват на твърд диск на съответния компютър, използван единствено от служителите, имащи право да обработват лични данни. Достъпът до компютъра се осъществява чрез въвеждането на уникални потребителско име и парола.
  • При работа с личните данни се използват съответните лицензирани софтуерни продукти за предпазване от дигитални вируси и за внезапно изчезване/изтриване на документите.
  • Достъп до системата на НЗОК, съдържаща файловете за обработка на лични данни, имат само отговорните служители, обработващи лични данни чрез персонална парола за отваряне на тази система, известна само на съответния служител.
  • За повишаване сигурността на обработката на лични данни съгласно чл. 32 на Регламента, “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД може да въвежда допълнителни организационни, технологични и технически мерки, за да гарантира постоянна наличност, поверителност и цялостност на личните данни.

 

УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ

Всички носители на лични данни, за които е изтекъл законово регламентираният срок за съхранение, се унищожават от комисия от 2 (двама) служители на “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД. За извършеното унищожаване на лични данни комисията съставя протокол, който съдържа субектите, чиито лични данни са унищожени, категориите лични данни, носителите на лични данни и средството за тяхното унищожаване.

 

ЗАДЪЛЖЕНИЯ НА СЛУЖИТЕЛИТЕ НА “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД

Определените от “АИППМПДМ – НАЙДЕНОВ ДЕНТАЛ” ЕООД работници/служители, които имат права и задължения да обработват лични данни, изпълняват тези си функции в съответствие с нормативната уредба в областта на защитата на личните данни и политиките, процедурите и инструкциите за защита на личните данни на Дружеството.

За неизпълнение на задълженията, вменени на съответните лица по тази политика и другите приети политики, процедури и инструкции за защита на личните данни в НАЙДЕНОВ ДЕНТАЛ се налагат дисциплинарни наказания по Кодекса на труда. Ако в резултат на действията на лицата, обработващи лични данни, са произтекли вреди за трето лице, същото може да потърси отговорност по реда на общото гражданско законодателство или по наказателен ред, ако извършеното нарушение представлява престъпление, за което се предвижда наказателна отговорност.

 

ПРОЦЕДУРА ЗА ЗАПИТВАНИЯ И ЗАЩИТА СРЕЩУ ДЕЙСТВИЯТА НА АДМИНИСТРАТОРА НА ЛИЧНИ ДАННИ

Физическите лица, чиито лични данни се обработват от администратора, упражняват правото си на информираност, като подават заявления в писмена форма до администратора на лични данни, съдържащо минимум следната информация:

  • три имена, а когато физическото лице не е служител на НАЙДЕНОВ ДЕНТАЛ и единен граждански номер – идентифициращ физическото лице;
  • в какво се състои искането;
  • предпочитаната форма за предоставяне на информацията;
  • подпис, дата на подаване на заявлението и адрес за кореспонденция.

Подаването на заявление е безплатно.

 

При подаване на заявление от упълномощено лице, към заявлението се прилага и изрично нотариално заверено пълномощно. Когато специален закон предвижда определена форма за упълномощаване, важи приетото в специалния закон. Такса за обработка на заявлението не се дължи.

В случай на смърт на физическото лице, правата му се упражняват от неговите наследници, като към заявлението се прилага удостоверение за наследници или обявено по съответния ред общо завещателно разпореждане.

Срокът за разглеждане на заявлението и произнасяне по него е 14-дневен от деня на подаване на искането. Срокът може да бъде удължен с до 30 дни, когато предоставянето на информацията се изисква по-дълъг срок и това сериозно затруднява дейността на администратора.

Администраторът изготвя писмен отговор и го съобщава лично на заявителя – срещу подпис или по пощата с обратна разписка, доколкото заявителят не е посочил друга предпочитана от него форма за съобщаване.

Физическото лице може да поиска копие от своите обработвани лични данни на предпочитан носител или предоставяне по електронен път, освен в случаите, когато това е забранено от закон.

Непроизнасянето на администратора в срок се счита за мълчалив отказ. Когато данните не съществуват или предоставянето им е забранено със закон, на заявителя се отказва достъп до тях.

 

ПРОЦЕДУРА ПО УВЕДОМЯВАНЕ В СЛУЧАЙ НА НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

В случай на нарушение на сигурността на личните данни администраторът, без ненужно забавяне и когато това е осъществимо — не по-късно от 72 часа след като е разбрал за нарушението, уведомява Комисията за защита на личните данни (КЗЛД), освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Уведомлението до комисията съдържа причините за забавянето, когато същото не е подадено в срок от 72 часа.

Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушаване на сигурността на лични данни.

В уведомлението до КЛЗД се съдържа информация относно:

  • описание на естеството на нарушението и в какво се състои то;
  • категориите и приблизителния брой засегнати субекти на данни;
  • категориите и приблизителния брой засегнати записи на лични данни;
  • лице за контакт, от което може да бъде получена повече информация по случая;
  • описание на евентуалните последици от нарушението на сигурността на данните;
  • описание на предприетите мерки за справяне с нарушението и отстраняване/намаляване на неблагоприятните последици.

 

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, изпраща на субекта на данните съобщение за нарушението. Съобщението се изпраща препоръчано с обратна разписка на адреса на субекта на данните. В съобщението на ясен и разбираем език се описва естеството на нарушението на сигурността на личните данни. Съобщението съдържа вида информация, указан по-горе относно съдържанието на уведомлението до надзорния орган.

Изпращане на съобщение до субекта на данните не се изисква, ако някое от следните условия е изпълнено:

  • предприети са подходящи технически и организационни мерки за защита и тези мерки са били приложени по отношение на личните данни, засегнати от нарушението на сигурността;
  • впоследствие са взети мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
  • изпращането на съобщение е свързано с непреодолими пречки и би довело до непропорционални усилия – в този случай се прави публично съобщение до всички засегнати субекти на специално изградено табло, поставено до входа на предприятието.

 

СРЕДСТВА ЗА ПРАВНА ЗАЩИТА

При нарушаване на правата на физическото лице, гарантирани с настоящата политика и законодателството за защита на личните данни, то има право да обжалва действията и актовете на администратора на личните данни до КЗЛД.

Отделно от правото на жалба до КЗЛД физическото лице има право да обжалва действията и актовете на администратора на личните данни, с които се нарушават правата му, по съдебен ред пред компетентния административен съд. В съдебното производство физическото лице има право на обезщетение за претърпените от него вреди вследствие на неправомерно обработване на лични данни от страна на администратора.

 

ПОДДРЪЖКА И КОНТАКТ

Преразглеждането и поддържането на настоящата политика е отговорност на управителя на Дружеството. Запитвания и искания във връзка с упражняването на правата на субектите на лични данни следва да бъдат отправени по съответния ред описан в “Процедура за запитвания и защита срещу действията на администратора на лични данни”.

 

Настоящата Обща политика за защита на личните данни е приета на 01.04.2023г.

 

Управител:
д-р Мартин Найденов