УВОД
Синево представлява група от дружества, установена в Европа от дружеството „Медикавър Инвестмънтс” ООД със седалище в Швеция. В България има две дружества от групата, а именно „Самостоятелна медико – диагностична лаборатория Синево България“ ЕООД и „Самостоятелна медико – диагностична лаборатория Статус“ ЕООД (наричани общо „Синево“ или „Дружествата“). Посочените дружества в България управляват 11 лаборатории и 70 пункта за събиране на проби. Лабораториите са разположени в София, Пловдив, Стара Загора, Бургас, Варна и Хасково, а пунктове за събиране на проби има и в други градове в страната.
На 25 май 2018 година за всички страни-членки на ЕС започна да се прилага Общият регламент за защитата и сигурността на личните данни (General Data Protection Regulation – „GDPR“). Той се прилага пряко и в България както всеки национален закон и обхваща правата и задълженията на администраторите, обработващите и субектите на лични данни; някои от детайлите се уреждат допълнително и от българския Закон за защита на личните данни („ЗЗЛД“). Всички пациенти, лекари, посетители на дигиталните активи на Дружествата, както и техните служители са субекти на лични данни и имат права, които трябва да бъдат разяснени подробно от гледна точка на конкретните обработки на лични данни, типично осъществявани в Дружествата.
Ето защо, Синево декларира своята готовност да предприеме всички мерки, за да гарантира сигурност при обработката на личните данни и надлежно упражняване правата на субектите. С тази политика се стремим да обясним принципите на защита на личните данни и тяхното конкретно проявление в групата на Синево, да детайлизираме неговите задължения като администратор на лични данни и да уредим гаранциите и мерките, предприети, за да не се допусне данните да бъдат използвани по непрозрачен начин. Всеки път, при промяна в Политиката за защита, поверителност и неприкосновеност на личните данни в „СМДЛ СИНЕВО БЪЛГАРИЯ“ ЕООД И „СМДЛ СТАТУС“ ЕООД („Политиката“ или „тази политика“), Дружеството уведомява за възможните ефекти от промяна без забавяне и в резюме на уебсайта www.synevo.bg и в пунктовете и лабораториите за обслужване на пациенти.
- Тази политика е одобрена от управителите на „СМДЛ СИНЕВО БЪЛГАРИЯ“ ЕООД и „СМДЛ СТАТУС“ ЕООД на 20.05.2018 година и обхваща всички дейности, свързани с обработката на лични данни.
- Дружеството е назначило длъжностно лице по защита на личните данни, с което субектите/посетителите на сайта могат да се свържат при неясноти, свързани с прилагането на тази политика или упражняването на правата на субектите на данни на E-mail: dpo@synevo.bg
За обработките, осъществявани чрез уебсайта на Синево и чрез уеб приложението Web Results можете да се информирате по-подробно от нашите политики поместени на сайта ни www.synevo.bg, а именно: Политика за защита на личните данни, обработвани при използването на уеб сайта www.synevo.bg и Политика за защита, поверителност и неприкосновеност на личните данни, достъпни през уеб приложението Web Results.
ГЛАВА I: ДЕФИНИЦИИ И ОБХВАТ НА ПОЛИТИКАТА
- Някои понятия от значение за по-доброто разбиране на тази политика
„Лични данни“ – това е всяка информация, която се отнася до физическо лице и която, самостоятелно или в съчетание с друга информация може да доведе до неговата идентификация или го идентифицира;
„Субект на личните данни“ – живи физически лица, които са идентифицирани или идентифицируеми посредством обработваните лични данни;
„Обработване на лични данни“ – това е всяко действие, което извършваме или можем да извършим с Вашите лични данни, включително, но не само, тяхното събиране, анализ или унищожаване;
„Администратор на лични данни“ – по отношение на нашия уебсайт/софтуерно приложение това сме ние, Синево. Ние определяме целта на обработката на Вашите данни, на едно от предвидените в закона основания за това; в основни линии, ние определяме и средствата, с които се извършва тази обработка – например, техническата инфраструктура и приложения, с които се осъществява обработката. Задълженията по отношение на сигурността и защитата на Вашите лични данни възникват за нас;
„Обработващ лични данни“ – това е трето лице, което обработва Ваши лични данни по наше възлагане, при което Синево стриктно е определил целта на обработката, средствата, с която се случва тя и е проверил дали лицето отговаря на изискванията на GDPR.
„Нарушение на личните данни“ е нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Групата на Синево“ – всички дружества на Синево, регистрирани в Европа и България;
„Дигитални активи“ – уебсайта на Синево www.synevo.bg, уеб приложението за проверка на резултати от изследвания Web Results;
„НЗОК“ – Национална здравно-осигурителна каса.
- Обхват
В качеството им на регистрирани медико-диагностични лаборатории съгласно Закона за лечебните заведения Дружествата упражняват дейност по предоставяне на медицински услуги, която е регулирана със специална нормативна уредба. Така дейността на Дружествата се развива в установените нормативни граници съгласно уредбата в България и обработките на лични данни са до голяма степен предопределени от това.
Двете Дружества от Групата на Синево в България също така се подчиняват и на груповата политика, доколкото това е съобразено с нормативната уредба. „СМДЛ Синево България“ ЕООД има функции да провежда груповата политика в България и по отношение на „СМДЛ Статус“ ЕООД. Така „СМДЛ Синево България“ ЕООД осигурява на „СМДЛ Статус“ ЕООД някои от средствата за определяне на обработка на данни на групово ниво, като например обща система „SILAB“ за организация на данни за пациенти и изследвания, обща система „Аладин“ за организация на данните на служителите на двете дружества, общи образци на документи и др. Също така „СМДЛ Синево България“ ЕООД има функции да отчита и дейността на двете Дружества на групово ниво.
Контролът за провеждането на груповата политика е разпределен на различни нива между дружествата от Групата на Синево в Европа. Така за региона на Югоизточна Европа дружеството на Синево в Румъния е натоварено да упражнява групов контрол. В частност, Синево Румъния задава рамката на автоматичните обработки на данни, като разработва и поддържа необходимия софтуер за Дружествата в България. По този начин е разработена и поддръжана системата „SILAB“, която се използва от „СМДЛ Синево България“ ЕООД и „СМДЛ Статус“ ЕООД. Същевременно обаче софтуерът, който се използва от Дружествата в България, е отделен и функционира самостоятелно – той не се използва от останалите дружества от Групата на Синево в другите европейски държави и не е създадена единна обща база данни. Това означава, че достъп до данните на пациентите в България имат единствено двете български дружества на Синево. IT специалисти от Синево Румъния биха могли да достъпват тези данни само доколкото осъществяват поддръжката на софтуера.
Това съвместяване на функции води до двойно качество на Дружествата в България – за някои обработки те са в качеството на администратор, а за други – обработващ. По тази причина е различен и обхватът на задълженията и отговорността им, докладването за нарушения и т.н.
- Имена, пол, ЕГН /ЛНЧ/ дата на раждане и/или телефонен номер и/или имейл адрес
Личните данни се събират от пациента чрез направление по НЗОК, друг документ за назначаване на изследвания от лекар, лично от самонасочил се пациент при посещение на място в лаборатория или пункт за събиране на проби; при изпращане на проба от лекар към лаборатория на Синево; при предоставянето им от СТМ[1] или друг възложител по договор със Синево за провеждане на изследвания.
- Имена, ЕГН, дата на раждане и пол на пациента, данни за протичане на бременността, история за предишни раждания, тегло и височина, подпис на бременната жена;
Данните се събират за провеждане на Неинвазивен тест на фетална тризомия или NIFTY.
- Данни за здравно осигуряване на пациента
Данните се обработват при справка от служител на Синево в публичния портал на НАП.
- Генетични данни от събраните проби
- Резултати от направените клинични изследвания
- Изображения от видеозаписи в зоната на рецепцията при лично посещение на пациента в лаборатория или пункт за събиране на проби
- Данни за месторабота / учебно заведение / други данни в случаите, когато се провеждат изследвания на групи лица, възложени на Синево във връзка с изпълнение на договор, при който се предоставят и тези данни
Личните данни на децата могат да влязат в някоя от горните категории с изключение на точки b, c и g.
- Имена, УИН на лекаря, подпис на лекаря – при обработване на направление, формуляр или друг документ, с който са назначени изследвания на пациента;
- Имена, адрес, телефон, имейл на лекаря, протокол от проведен разговор с лекаря
Данните се събират от лекарите при посещението им от представители на Синево, които им презентират услугите на Синево и ги запознават с дейността на лабораториите.
Данни, събирани от посетители на уебсайта www.synevo.bg и ползватели на уеб приложението Web Results. Повече информация за тези лични данни може да намерите в нашата Политика за защита на личните данни, обработвани при използването на уеб сайта www.synevo.bg и Политика за защита, поверителност и неприкосновеност на личните данни, достъпни през уеб приложението Web Results.
Когато се изследват малолетни, непълнолетни лица или пълнолетни пациенти с установена невъзможност за изразяване на информирано съгласие, се обработват данни и на законния им представител или друг вид представител.
- Лични данни на кандидати за работа и служители
- Лични данни по повод подбор – имена, данни за образование, квалификация, опит, снимка;
- Лични данни при назначаване на служители, сключване на трудови / граждански договори с тях – имена, ЕГН, адрес, контактни данни, стаж, данни за здравословното състояние, данни за наличие/липса на предишни осъждания;
- Лични данни при изпълнение на трудовите/гражданските договори – данни за отработено време, отсъствия поради болнични, отпуски, размер на възнаграждение, прекратяване на трудовото / гражданското правоотношение и др.
- Данни от видеонаблюдение
- Посочване на две имена при обозначаването на всеки служител с бадж
- Видове обработки
- Обработка на лични данни на пациенти
- Видове обработки
- При посещението на пациенти с направление на НЗОК
- При посещение на пациенти на болници или лекари, с които Синево е в партньорски отношения
- При провеждане на изследвания на пациенти, изпратени от служби по трудова медицина
- При посещение на самонасочили се пациенти
- Обработка чрез системата SILAB
- Обработка чрез системата Global Lab Expert
- Обработка на лични данни на представители на пациенти
- Обработка на лични данни на лекари, включително и при посещението им от представители на Синево
- Обработка на лични данни на служители, включително и чрез системата „Аладин“
- Обработка на лични данни на кандидати за работа
- Обработка на лични данни на деца
- Обработка на лични данни чрез дигиталните активи
- Обработка на лични данни чрез видеонаблюдение
- Роли
a. Администратор или обработващ
Връзката администратор-обработващ лични данни е основополагаща по отношение на това кой какви отговорности следва да носи за конкретна обработка на лични данни. Администраторът определя целите и средствата за конкретна обработка на лични данни.
Обработващ е лицето, което обработва лични данни от името на администратора и под негов контрол.
Синево ще полага най-добри усилия да използва само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламента и да осигурява защита на правата на субектите на данни.
Обработващите по правило са юридически лица, които обработват лични данни от името на администратор; последният задава целите на обработката и определя, поне в основни линии, средствата, с която тя ще се осъществява. Администраторът и обработващият сключват договор за обработка на лични данни; обработващият има самостоятелни задължения относно поверителността, целостта и достъпността на поверените му за обработка лични данни, включително да осигурява последните чрез технически и организационни мерки, чието конкретно съдържание зависи от контекста и вида на обработката. Администраторът има право да одитира дейността на обработващия с цел проверка на съответствието с правилата и мерките относно защитата на личните данни, обработвани от името на администратора. Обработващият следва конкретните писмени инструкции за обработката, дадени от администратора с договора за обработка, съдейства му при упражняване на правата на субектите на данни, ако са в неговата сфера на компетентност, както и – при поискване от администратора – му подава информация при проверки от КЗЛД или жалба от субект на данни. Обработващият води регистри за обработките на лични данни, които извършва. Детайлните задължения на обработващия са уредени в чл.28, чл.30, ал.2 от GDPR. Обработващите предприемат всички необходими стъпки физическите лица, действащи под тяхно ръководство, които имат достъп до лични данни, да обработват тези данни само по указание на администратора съгласно чл.29 и чл.32, т.4 GDPR.
b. Подобработващи
Лицата, които изпълняват отделни функции по възлагане от обработващ с предварителното разрешение на администратора, дадено по реда и при условията на договора за обработка на лични данни, са подобработващи.
c. Съвместни администратори
Лицата, които съвместно определят целите и средствата на обработката, са съвместни администратори. Те сключват писмена договореност помежду си, основните моменти относно която се съобщават на субектите, чиито лични данни се обработват съвместно от администраторите по повод изпълнението на информационните права по отношение на тези субекти.
- Синево и НЗОК
Когато Синево извършва медицински изследвания, които се поемат от бюджета на НЗОК, то Синево обработва данните на пациентите по зададени от НЗОК изисквания, съгласно образци на направление, методи за отчитане и др. Отчитането на проведените направления се извършва чрез специализирана софтуерна система – „Global Lab Expert“. В този случай НЗОК е администратор на личните данни на пациентите, а Синево има ролята на обработващ по смисъла на чл. 28 от GDPR.
- Синево и болниците/лекарите, които са партньори
Доколкото между Синево и болниците/лекарите е налице единствено обмен на лични данни на пациенти, без да съществува възлагане на обработка или съвместно определяне на цели и средства, то не може да се приеме, че Синево и неговите партньори са в отношения на администратор и обработващ или като съвместни администратори. Доколкото Синево и партньорите самостоятелно определят целите и средствата си при предоставянето на различните медицински услуги, то те имат самостоятелни роли на отделни администратори.
- Синево и службите по трудова медицина
Службите по трудова медицина изпълняват възложените им от работодателите профилактични прегледи на служители. С оглед на провеждането им Службите по трудова медицина възлагат на Синево конкретно какви изследвания да бъдат проведени по отношение на служителите, така че да бъдат осъществени профилактичните прегледи. В тази хипотеза службите по трудова медицина определят целите на Синево имат ролята на администратори по отношение на Синево, който е обработващ.
- Синево и доставчици на софтуер като Global Lab Expert
В случаите, при които Синево използва софтуер за обработката на лични данни е от съществено значение дали доставчикът на софтуера има достъп до личните данни при поддръжката на софтуера, например. В случай, че е налице достъп, то следва да се приеме, че има обработка, възложена от Синево. Така Синево ще има ролята на администратор, а доставчикът/поддържащият софтуера ще бъде негов обработващ.
- „СМДЛ Синево България“ ЕООД и „СМДЛ Статус“ ЕООД
Доколкото СМДЛ Синево е едноличен собственик на капитала на СМДЛ Статус, то е налице контрол в дейността. Така СМДЛ Синево налага своите изисквания и при някои обработки на лични данни. По отношение на служителите на СМДЛ Статус двете дружества са съвместни администратори, тъй като двете дружества съвместно са определили целите и средствата за обработка, при което СМДЛ Статус използва софтуер за обработка на служителски данни „Аладин“, предложен от СМДЛ Статус, а от своя страна СМДЛ Синево достъпва тези данни с цел отчетност на групово ниво, както и провежда част от счетоводните дейности.
По отношение на пациентските и лекарските лични данни СМДЛ Синево следва да се счита за администратор, а СМДЛ Статус за обработващ, тъй като последният следва всички инструкции на СМЛД Синево за обработка на данните чрез наложени на групово ниво софтуер – системата „SILAB“ и образци на документи и модел на работа.
- Синево в България и другите дружества от Групата на Синево
В случаите, при които IT специалисти от дружествата в Румъния могат да достъпват лични данни в системата „SILAB“ или другите дигитални активи на Синево България при поддръжката им, то е налице обработка на данни. При това положение целите и средствата ще са определени от Синево България, поради което румънското дружество от групата ще се явява обработващ, а Синево България Администратор.
В други случаи, при които Синево изпраща проби за високоспециализирани изследвания към дружества от групата в Германия и Румъния всяко дружество самостоятелно определя целите и средствата и не се задават инструкции за обработката на данните. Следователно, всяко дружество от групата действа като самостоятелен администратор.
Във връзка с обработката на личните данни в Групата на Синево следва да се разработи и одобри отделна политика на групово ниво. Същата следва да разглежда по-специално въпросите за обмена на данните в групата, правилата, по който той да се извършва, основанията и др.
- Ролята на Синево при останалите обработки на лични данни
При останалите обработки на лични данни на пациенти (включително и деца), представители на пациенти, лекари, посетители на уебсайта и служители Синево самостоятелно определя своите цели и средства, поради което се явява и самостоятелен администратор на данни.
- Видове субекти на данни
- Пациенти
- самонасочили се
- насочени от лекари с направление на НЗОК
- насочени от лекари, които не са партньори на Синево и изследванията на които не се поемат от бюджета на НЗОК
- пациенти на болници и лекари, които са партньори на Синево
- пациенти, изпратени от служби по трудова медицина
- деца
- Представители на пациенти
- Служители
- Кандидати за работа
- Посетители на сайта
- Лекари
ГЛАВА II: ОТГОВОРНОСТИ НА ОРГАНИТЕ И СЛУЖИТЕЛИТЕ НА ДРУЖЕСТВAТA ВЪВ ВРЪЗКА СЪС ЗАДЪЛЖЕНИЯТА ПО GDPR И НАЦИОНАЛНОТО ЗАКОНОДАТЕЛСТВО ПО ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
- Управители
Управителите на Дружествата са цялостно отговорни за възприемане и развиване на организационна култура, осигуряваща неприкосновеност на личните данни и насочена към спазване на принципите на защита по проектиране и подразбиране по отношение на изграждането на информационните системи, регулирането на потока на информацията, включително личните данни в Дружествата, одобряване на политики и процедури, насочени към осигуряване в пълна степен на правата на субектите на данни и защитата и сигурността на личните данни. Управителите определят бюджет за обучения на служителите и/или инвестиции в технологични решения, които да подпомогнат прилагането на практика на ангажиментите и целите, които Дружествата си поставят в тази област.
Управителите изслушват длъжностното лице по защита на личните данни ежемесечно и/или при поискване и, в случай, че се вземе решение да не се съобразят с негова препоръка относно защитата и сигурността на личните данни, провеждането на оценка на въздействието по защита на личните данни, комуникация или уведомяване на Комисия за защита на личните данни и/или субектите на данни в случаите на (потенциален) риск от нарушение съгласно Глава VII от тази Политика, и са длъжни да подкрепят позицията си на разграничаване от препоръката с мотивиран писмен доклад.
- Длъжностно лице по защита на личните данни
Управителят на „СМДЛ Синево България“ ЕООД взема мотивирано решение дали да назначи длъжностно лице по защита на личните данни; съгласно чл. 37, параграф 1, буква „в“ от GDPR, когато основните дейности на администратора и обработващия лични данни се състоят в мащабно обработване на чувствителни лични данни по чл. 9 от GDPR, каквито са данните за здравословното състояние и генетичните данни в конкретния случай, то назначаването на длъжностно лице по защита на данните е задължително.
- Назначаване
Длъжностното лице по защита на личните данни следва да има доказани професионални качества, и по-специално – експертни познания в областта на законодателството и практиките в областта на защитата на данните. Лицето трябва да има достатъчно време за изпълнение на служебните си задължения и да бъде на разположение за коментар по въпроси от компетентността си за всички служители на Дружествата.
- Независимост при изпълнение на функциите
Длъжностното лице по защита на личните данни:
- Няма пряк ръководител, различен от ръководителя на „СМДЛ Синево България“ ЕООД – управителят му;
- Се произнася по всички въпроси относно прилагането на законодателството по защита на личните данни, както на структурно ниво, така и при възникване на казус в ежедневната работа, чието решение не е ясно указано в документацията на Дружествата относно защитата на личните данни;
- Има предвиден бюджет и ресурси за изпълнение на дейността си, определен от управителите. При необходимост може да бъде подпомагано от служител/и на негово пряко подчинение или външни консултанти;
- Не отговаря дисциплинарно за изпълнението на своите задачи;
- Не получава указания относно начина на изпълнението на своите задачи, както в съдържателно отношение, така и по отношение на приоритизацията им;
- Спазва стриктно секретността и поверителността на своите задачи в рамките на GDPR и националното законодателство по защита на личните данни;
- Не може да оглавява отдел/звено, отговорно за провеждане на обработка на лични данни;
- В случай, че изпълнява и други функции/задачи, „СМДЛ Синево България“ ЕООД осигурява условия на избягване на конфликт на интереси и наличие на достатъчно време в рамките на работното време за изпълнение на задълженията по тази политика.
- Задачи
Длъжностното лице по защита на личните данни:
- Подпомага управителите и отговорните служители в Дружествата по отношение на обработката на лични данни при тълкуването и прилагането на приложимото законодателство, тази политика и всички други относими документи, посочени в нея;
- Е основна точка за контакт във връзка с жалби, възражения, въпроси и искания за упражняване на права от срана на субекти на данни по отношение на Дружествата;
- Предлага и наблюдава реализацията на обучителна програма за (потенциалните) пациенти и служители на Дружествата;
- Препоръчва извършването на оценка на въздействието по защита на данните, наблюдава нейното извършване и дава насоки относно необходимостта от консултация с Комисията по защита на личните данни впоследствие;
- Сътрудничи си и действа като точка за контакт с Комисията по защита на личните данни при обмен на информация относно изпълнението на задълженията на Дружествата относно защитата на личните данни;
- Назначава и наблюдава установяването на законен интерес, както и провеждането на тест за баланс и необходимост и препоръчва адекватни защитни мерки в случай, че обработката се осъществява въз основа на законен интерес на Дружествата или трета страна.
- Функции на други ръководители на ключови отдели
- Ръководителят на отдел „Човешки ресурси“ в „СМДЛ Синево България“ ЕООД и съответното отговорно лице в „СМДЛ Статус“ ЕООД следва да се запознаят с практиката на Работната група относно прилагане на правото на защитата на личните данни в трудово-правен контекст от юни 2017 година в Дружествата и да има предвид при изпълнение на задълженията си отношенията на икономическа принуда, съществуващи между служителите като субекти на лични данни, от една страна и Дружествата, от друга – съответно на невъзможността за използване на съгласие като законосъобразно основание за обработка на лични данни по повод трудово-правни отношения. Особено внимание следва да бъде отделено на прилагането на принципите на минимализъм и ограничение на целите във връзка с обработката на лични данни на служители.
- Ръководителите на отдели „Маркетинг“ следва да работят в тясно сътрудничество с длъжностното лице по защита на личните данни. Те са длъжни да полагат целенасочени усилия възприетите от тях практики и принципи при обработката на лични данни да бъдат в най-малка степен интрузивни по отношение на защитата на личните данни на субектите с оглед на поставената цел. Обработката трябва да бъде осъществявана при спазване на принципите на прозрачност и отчетност. Особено внимание и засилени мерки за сигурност следва да се вземат на обработката на данни при предоставянето на високоспециализираното изследване NIFTY и трансфера на лични данни в Хонг Конг.
- Ръководителят на функциите по обезпеченост на информационните ресурси и информационна сигурност в Дружествата е пряко ангажиран при спазване на всички задължения по обезпечаване сигурността и непрекъснатия достъп до личните данни. При изпълнение на задълженията си ръководителят на IT отдела се консултира предварително и текущо с длъжностното лице по защита на личните данни.
Ръководителите на посочените отдели следва да се запознаят в детайли с актуалните версии на указанията и становищата на Работната група относно своята дейност, изброени в Приложение № 6, с GDPR и тази политика и да се придържат към нея в ежедневната си работа.
ГЛАВА III: ЗАЩИТА ПО ПРОЕКТИРАНЕ НА ИНФОРМАЦИОННО-ТЕХНИЧЕСКИТЕ СИСТЕМИ
Администраторът има задължение да въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, за да се спазят изискванията на Регламента и да се осигури защита на правата на субектите на данни. По отношение на информационно-техническите системи Администраторът е предприел всички необходими предварителни мерки, за да гарантира сигурността при обработването на лични данни и защита правата на субектите. Изискванията, заложени от Администратора, са поместени в създадената Политика за информационната сигурност на групата. Видимо от наименованието й, същата е унифициран стандарт за информационна сигурност, зададен на групово ниво и приложим за всички дружества в Групата на Синево.
Посочената политика задава изисквания за сигурност във всички аспекти, при които се обработват данни като използване на софтуер, имейл кореспонденция, достъп чрез работни станции, потребителски имена и пароли, използване на облачни услуги, антивирусни системи, отдалечен достъп, физическа защита и др. С това Администраторът изпълнява задължението си за въвеждане на подходящи технически и организационни мерки за спазването на GDPR.
ГЛАВА IV: ПРАВА НА СУБЕКТИТЕ
Субектите на данни имат права, чието съдържание е описано по-долу. Дружествата следва да удовлетворяват искания на субекти за упражняване на права без забавяне, в рамките на до 30 дни от отправянето им. Доколкото се засягат правата на субектите, чиито данни са обработвани чрез дигиталните активи на Дружествата като уебсайта и уеб приложението Web Results, то тези права подробно са разгледани в Политика за защита на личните данни, обработвани при използването на уеб сайта www.synevo.bg и Политика за защита, поверителност и неприкосновеност на личните данни, достъпни през уеб приложението Web Results. Затова настоящата политика няма да се спира конкретно на тях.
Дружествата осигуряват технически и организационно спазването на исканията за упражняване на правата в посочения срок. Така Дружествата утвърждават подход на унифицирано упражняване на правата на субектите, независимо дали те са пациенти на „СМДЛ Синево България“ ЕООД, или на „СМДЛ Статус“ ЕООД, или са ползватели на дигиталните активи на двете Дружества. Във всички случаи своите искания за упражняване на права по GDPR субектите ще адресират към общото за Дружествата длъжностно лице по защита на данните, с което ще може да се комуникира на e-mail адреса dpo@synevo.bg. Когато субектът е пациент на „СМДЛ Статус“ ЕООД, то длъжностното лице по защита на данните предварително съгласува упражняването на правата с управителя на „СМДЛ Статус“ ЕООД. На (потенциалните) пациенти, с които Дружествата влизат в контакт в реални условия (а не онлайн), задължително се съобщава и физически адрес, където те могат да посетят с цел упражняване на правата си относно защитата на личните им данни; на адреса следва да има обучен да ги приеме служител и образци на формуляри с искане за упражняване на права.
Упражняването на правата следва да бъде безплатно и да обхваща всички структурирани и неструктурирани данни, както и всички бази данни, поддържани от Дружествата.
Изключения от срока за удовлетворяването на правата и безплатния принцип се допускат при искания от един и същ субект на данни с честота, по-голяма от 3 пъти годишно и изискваща мобилизация на значителен административен ресурс от страна на Дружествата; за подобни случаи Дружествата посочват на сайта си разумна такса.
Когато субектът на данни подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако субектът на данни не е поискал друго.
Когато някое от Дружествата има основателни опасения във връзка със самоличността на физическото лице, което подава искане за упражняване на права по тази глава, пряко отговорното лице следва незабавно да се консултира с длъжностното лице по защита на данните.
- Право на информация:
Субектите на лични данни имат право да получат информация за важни характеристики на обработката на своите лични данни, включително, но не само за нейната цел, срок и основание, за получателите и категориите получатели на лични данни и други. В зависимост от начина на първоначално събиране на информация, Дружествата ще показват най-важното в тази връзка по подходящ и лесно видим начин всеки път, а именно:
- Цел/и на обработката
- Данни за администратора
- Описание на правата на субекта на данни
- Информация за обработката, която би имала най-голямо въздействие по отношение на правата, свободите и законните интереси на субекта на данни
- Информация за обработка, която не би съвпаднала с разумните очаквания на субекта на данни, т.е., която може да се окаже изненадваща за него.
- Право на достъп:
Субектите на данни имат право на достъп до личните си данни.
Веднага, щом получи искането за достъп Дружествата следва да:
- Потвърдят получаването на искането;
- Ако е технически възможно – да потвърдят или да отрекат обработването на лични данни по отношение на отправилия искането субект;
- Да посочат срока и начина, по който искането ще бъде удовлетворено.
Пълният отговор на искането за достъп следва да съдържа, освен копие от личните данни, които са в процес на обработване, и информацията по чл.15, т.1 от GDPR.
- Право на преносимост:
Дружеството е длъжно да предостави при поискване личните данни, предоставени от субекта им пряко на Дружествата на основание съгласие или изпълнение на договорно задължение, в широко използван и машинно четим формат. При изразено желание от страна на субекта на данни, Дружествата препращат файла на друга медико-диагностична лаборатория.
- Право на коригиране
Субектите на данни имат право да поискат коригирането на погрешно записани или съхранявани лични данни и Дружествата следва да проверят статуса и да уважат основателните искания в тази връзка без забавяне.
- Право да бъде поискано ограничаване на обработването на лични данни на субекта
Субектите на данни имат право да поискат временно преустановяването на обработването на личните им данни (без изтриване) в случай на отправено от тях възражение за конкретна тяхна обработка или при предявени съдебни претенции или жалба в Комисия за защита на личните данни.
- Възражение за обработка на лични данни, основана на законен интерес
Субектите на данни могат да възразят на обработка, основана на законен интерес, предвид особеностите на тяхната конкретна ситуация и ако възражението е основателно, обработката следва да се прекрати. При всички случаи Дружествата вземат писмено отношение по възражението и го аргументират.
- Оттегляне на съгласие и база данни за управление на съгласията
В случаите, когато основанието за обработка на личните данни е съгласие, субектът на данни винаги може да го оттегли. Важно тук е да се разграничи съгласието, което всеки пациент предоставя, за да му бъде извършена медицинска интервенция (например, вземане на проба), от съгласието, което се предоставя за обработка на лични данни. Първото съгласие е уредено в чл. 87, ал. 1 от Закона за здравето и е необходимо, за да се узакони медицинската дейност, извършена по отношение на пациента, докато второто има уредба в GDPR и засяга единствено обработката на лични данни, като дава основание за законовата им обработка. В конкретния случай, правото да бъде оттеглено съгласието касае единствено съгласието по GDPR, относимо към личните данни.
Дружеството поддържа актуална база на съгласията за обработка на лични данни, с която може да направи справка по всяко време; в нея задължително се посочват:
- целта на обработката, за която съгласието е дадено,
- получателите на личните данни
- срока на обработката въз основа на съгласие
- датата и канала, по който е станало оттеглянето на съгласието.
Десет работни дни преди изтичането на срока за обработка въз основа на съгласие, Дружествата, спазвайки информационните права на предоставилия го субект на данни, му предлагат да го оттегли или не. В случай, че субектът на данните не предприеме действия във връзка с подновяването или оттеглянето на съгласието в продължение на 30 дни от получаване на поканата за това, Дружествата прекратяват обработката на личните му данни, основана на това съгласие.
Дружеството предоставя задължително възможност за оттеглянето на съгласието по същия начин, по който то е дадено. Когато е приложимо, даденото на хартиен носител съгласие може да се оттегли и онлайн.
- Право на жалба до Комисия по защита на личните данни
Винаги щом субектът на данните счете, че правата му по GDPR са нарушени, може да отправи жалба до Комисия по защита на личните данни. Лицата биват насърчавани да се обърнат пред и подаването на жалба към длъжностно лице по защита на личните данни на Дружествата с цел приятелското уреждане на възникналия въпрос. Дружеството приема формуляри за отговор при обработка на исканията за упражняване на права от страна на субекти на лични данни – Приложение 3а, 3б и 3в към тази политика. Жалбите, сигналите и възраженията във връзка със законодателството за личните данни се адресират към длъжностното лице по защита на данните, което следва да върне отговор в срок до 5 работни дни от получаването на жалбата/сигнала/възражението или въпроса.
ГЛАВА V: ТРАНСФЕРИ КЪМ ТРЕТИ СТРАНИ
При една от обработките на лични данни, осъществявани от Синево, е налице трансфер на данни към страна извън Европейския съюз и извън Европейското икономическо пространство, а именно към Китай, Хонг Конг. Това се налага при провеждането на високоспециализирано пренатално изследване NIFTY, което поради своята сложност се реализира само в определени лаборатории в световен мащаб.
Пациентът сам предоставя личните си данни, които ще бъдат трансферирани, като попълва формуляр и като предоставя своята кръвна проба. Данните от формуляра и кръвните проби се събират от Синево и се изпращат към лабораторията в Хонг Конг, Китай.
Основанието, на което Синево събира данните от пациента, е договорно – по силата на сключения договор за предоставяне на медицинска услуга между Синево и пациента. Отделно, основанието, на което данните на пациента се трансферират към Китай е изрично предоставеното му информирано съгласие.
Пациентът се информира подробно за същността на изследването и за обработката на личните му данни като получава заедно с формуляра за изследването и формуляр с подробна информация за обработката на личните му данни (съгласно чл. 13 от GDPR). С него пациентът има и възможност да предостави своето изрично съгласие след като се е запознал с необходимата информация. Така моментът, в който пациентът предоставя своето изрично съгласие за обработка на данните му е преди момента, в който същите тези данни се трансферират към Китай.
При това положение се обработват и чувствителни данни на пациента съгласно чл. 9 от GDPR, а именнно – данни за здравословното му състояние. Полученото от Синево съгласие като основание за обработката отговаря на завишените изисквания на чл. 9, параграф 2, буква „а“ от GDPR за изричност на съгласието.
Заедно с данните на пациентите се обработват и личните данни на лекарите, които са ги насочили и консултирали при провеждането на изследването NIFTY. Във формуляра с медицинска информация за изследването лекарят вписва своите данни. Заедно с него получава от Синево и втори формуляр, съдържащ подробна информация за обработката на данните му (съгласно чл. 13 от GPDR) и възможност да предостави изричното си съгласие, след като се запознае с тази информация. Така основанието за събиране и трансфериране на личните данни на лекаря е неговото изрично получено съгласие от Синево преди започването на обработките.
ГЛАВА VI: РЕГИСТРИ НА ДЕЙНОСТИТЕ ПО ОБРАБОТВАНЕ
Дружествата са длъжни да поддържат регистри на дейностите по обработване съгласно чл.30 от GDPR. Управителите на Дружествата утвърждават образци на регистри и видове регистри по предложение на длъжностното лице по защита на личните данни. Регистрите се водят в електронен вид.
ГЛАВА VII: НАРУШЕНИЯ НА ЗАЩИТАТА, СИГУРНОСТТА И КОНФИДЕНЦИАЛНОСТТА НА ЛИЧНИТЕ ДАННИ
- Дефиниции на нарушение
Застрашаването на сигурността на обработката на личните данни, обработвани от Дружествата, може да засегне по отрицателен начин репутацията на субектите на данни, да осуети достъпа им до услуги или да накърни неприкосновеността на тяхната лична сфера; като допълнителен ефект нарушението може да доведе и до неспазване на приложимото законодателство.
Нарушенията на защитата и сигурността на личните данни са вид нарушения на информационната сигурност и се делят на 3 основни вида:
- Нарушения на поверителността – във връзка с неоторизирано или случайно разкриване на или достъп до лични данни;
- Нарушения на достъпността – когато настъпи случайна или неоторизирана загуба или достъп до/унищожаване на лични данни;
- Нарушение на достоверността – при случайно или неоторизирано изменение на личните данни.
Някои нарушения могат да изпълняват едновременно две или три от условията, описани по – горе в „а“ – „с“.
За целите на тази Политика, нарушението на лични данни включва едновременно потвърдени и предполагаеми инциденти.
Тази глава се отнася само до ескалацията и уведомяването за нарушения при онези обработки, които Дружествата Синево в България правят извън изпълнението на групови функции и отчитане към други дружества от групата на Синево в Европа.
- Технически и организационни мерки за ранно установяване на нарушения
[Техническите мерки за ранно откриване на нарушения следва да се консултират с IT специалистите – като добри практики РГ е посочила: data flow and log analysers, from which is possible to define events and alerts by correlating any log data. It should be noted that log data facilitating auditability of, e.g., storage, modifications or erasure of data may also qualify as personal data relating to the person who initiated the respective processing operation.]
Дружествата са създали организация за бързо реагиране при установяването на нарушения в сигурността на данните. За тази цел е разработена и следва да се спазва Процедура по уведомяване и ескалация при нарушаване на сигурността на личните данни, представляваща Приложение № 2 към тази Политика. С нея се дефинират ролите и функциите на служителите на Дружествата в случай на инцидент с лични данни, както и редът за уведомяване и ескалация. За бързина и улеснения са приети също и формуляри за вътрешно уведомяване в рамките на организацията и за уведомяване на КЗЛД и субектите на данни. Съответно тези формуляри представляват Приложение № 3, Приложение № 4а и 4б към тази Политика.
- Ранно уведомяване за нарушения и трети лица
Дружествата предприемат всички възможни стъпки, за да обучат служителите и физическите лица – обработващи лични данни да разпознават възникването на нарушения на личните данни, включително съмнения или риск от настъпване на такива нарушения и създава формуляр (посочен като Приложение № 3) за уведомяване на длъжностното лице по защитата на личните данни, която се довежда до знанието на служителите. Доколкото всяко нарушение, веднъж установено, следва да бъде отразено по подходящ начин до 72 часа от установяването, служителите и обработващите следва да получат ясни указания за приоритетния характер на уведомяването, което може да бъде направено на горещата линия на длъжностното лице по защита на личните данни и последвано от изпращане на писмени подробности за инцидента при първа възможност. Дружествата предприемат всички разумни мерки, за да уеднаквят практиката на докладване на нарушения по договорите за обработка на лични данни, по които са в ролята на администратор и разясняват при необходимост определението и критериите за разпознаване на такова нарушение; обработващите следва на свой ред да имат грижата да запознаят своите подобработващи, в случай, че такива бъдат назначени, с писменото съгласие на Дружествата и това заляга като задължения на обработващия в договора за обработка на лични данни.
- Оценка на риска
Веднага щом постъпи сигнал за възможно нарушение на сигурността и защитата на личните данни, длъжностното лице по защита на личните данни преценява кои нарушения следва да бъдат разгледани от звено за реагиране при нарушения, състоящо се от: длъжностното лице по защита на личните данни и представител на IT отдел с цел:
- оценка на риска по скала от 1 до 5 (пренебрежим до висок – както като вероятност от настъпване, така и като интензитет) за правата на субектите на данни с оглед на мащаба на нарушението,
- категориите лични данни, които засяга,
- липсата или наличието на криптиране и други относими обстоятелства, които да минимизират риска от нарушението и – следователно – да премахнат необходимостта от уведомяване на субектите на данни;
- препоръка, въз основа степента на установения риск относно това дали да бъде уведомена Комисията по защита на личните данни и/или надзорния орган;
- предложение за предприемане на конкретни последващи мерки, които допълнително да ограничат риска от настъпилото нарушение – последното може да бъде включено и след уведомяване на съвета на директорите, ако това се налага.
Висок риск за целите на оценката съществува, когато нарушението има вероятност да доведе до физическа, материална или нематериална щета за физическите лица, сигурността/защитата на чиито данни е нарушена. Примери за такава щета са дискриминация, кражба на самоличност, измама, финансова загуба или щета за репутацията на субектите на данни. Когато нарушението включва лични данни, свързани с раса или етнос, здравословно състояние, сексуална ориентация, присъди или наказателно преследване, наложени принудителни мерки в тази връзка, настъпването на физическа, материална или нематериална щета се предполага.
- Решение на управителя относно уведомяването за нарушение на защитата и сигурността на личните данни
Длъжностното лице по защита на личните данни изготвя документ за оценката на възможния риск от нарушението и неговите последици, включително защитните мерки, които могат да смекчат ефекта от него и го препраща към управителите на Дружествата. Когато нарушението на сигурността засяга данни на „СМДЛ Статус“ ЕООД длъжностното лице по защита на данните адресира документа за оценка до управителите на двете Дружества. Когато нарушението засяга „СМДЛ Синево България“ ЕООД длъжностното лице адресира документа за оценка само до неговия управител, и единствено ако прецени, че е необходимо, и до управителя на „СМДЛ Статус“ ЕООД. Въз основа на документа за оценката управителите на двете Дружества, заедно и поотделно в зависимост къде е възникнало нарушението, вземат обосновано решение дали има задължение:
- Да се уведоми Комисия по защита на личните данни относно настъпилото нарушение; и
- Да се уведомят засегнатите субекти на данни, когато съществува висок риск съгласно предходната точка.
ПРИЛОЖЕНИЯ:
- Приложение № 1 – Срокове за съхранение на счетоводна и търговска информация и за погасяване на публични вземания по давност;
- Приложение № 2 – Процедура по уведомяване и ескалация при нарушаване на сигурността на личните данни;
- Приложение № 3 – Вътрешен формуляр за уведомяване на „СМДЛ Синево България“ ЕООД и „СМДЛ Статус“ ЕООД при инциденти в сигурността, които засягат личните данни, обработвани от тях;
- Приложение № 4а и 4б – Формуляри за уведомяване на Комисия за защита на личните данни и субектите на данни при нарушаване на сигурността на личните данни;
- Приложение № 5а, 5б и 5в – Формуляри за отговор на някои искания на субекти на данни за упражняване на права.
- Приложение № 6 – Списък на становища на работната група
- Приложение № 7 – Бланка на регистър за обработките на лични данни, които „СМДЛ Синево България“ ЕООД прави в качеството си на администратор по чл. 30, ал.1 от GDPR;
- Приложение № 8 – Бланка на регистър за обработките на лични данни, които „СМДЛ Синево България“ ЕООД прави в качеството си на обработващ по чл. 30, ал. 2 от GDPR;
- Приложение № 9 – Бланка на регистър за обработките на лични данни, които „СМДЛ Статус“ ЕООД прави в качеството си на администратор по чл. 30, ал.1 от GDPR;
- Приложение № 10 – Бланка на регистър за обработките на лични данни, които „СМДЛ Статус“ ЕООД прави в качеството си на обработващ по чл. 30, ал. 2 от GDPR;