082/ 834 256 [email protected]

ОРЗД / GDPR

Обща информация по защита на личните данни

Обща информация

Настоящата декларация по защита на личните данни е в съгласие с Регламент (ЕС) 2016/679 (ОРЗД, GDPR, тук и по-долу само Регламент). Целта на настоящата декларация е да информира гражданите (настоящите или бъдещи пациенти) относно събираните за тях лични данни, обработването им, защитата им, както и правата на им, свързани с личните им данни.

Администратор на лични данни

Наименование: МДЛ Цибалаб – Перник ЕООД (по-долу само Лаборатория)
ЕИК: 130252702
Седалище: гр. София, бул. „Акад. Иван Гешов” № 2Е, Бизнес център Сердика, сграда 1, офис 005
Адрес за кореспонденция: гр. Перник, ул. “Радомир“ №3, партер
Длъжностно лице по защита на данните (ДЛЗД): Силвия Калъчева
Телефон на ДЛЗД: 0889 90 80 55
Имейл на ДЛЗД:

Надзорен орган

Наименование: Комисия за защита на личните данни (КЗЛД)
Седалище: гр. София 1592, бул. Проф. Цветан Лазаров № 2
Адрес за кореспонденция: гр. София 1592, бул. Проф. Цветан Лазаров № 2
Телефон: 02 9153518
Имейл: [email protected], [email protected]
Уеб сайт: www.cpdp.bg

Събиране, обработване и споделяне на лични данни

Лабораторията събира и обработва лични данни във връзка с предоставянето на медицински услуги.

Събиране на лични данни

Събирането на лични данни става чрез:

  • съобщаване от самия пациент или негов родител/настойник или друг законен представител по време на регистрация;
  • предоставяне на документ за осигурителни права (направление по НЗОК или друг осигурител, осигурителна карта);
  • предоставяне на документ за самоличност;
  • предоставянето им от друго лечебно заведение в писмен или електронен вид, съгласно споразумение за взаимни администратори и/или договор за съвместна дейност.

Част от личните данни (имена и здравноосигурителен статус) могат да бъдат събрани и от Национална Агенция за Приходите (НАП) чрез електронна връзка между лабораторията и НАП.

Когато пациента сам заплаща исканите изследвания, може да не предоставя лични данни.

Видове лични данни, които се събират

Лабораторията рутинно събира и съхранява следните категории лични данни:

  • национален граждански идентификатор (ЕГН, ЛНЧ или друго);
  • имена на пациента;
  • дата на раждане или възраст;
  • пол;
  • осигурителен номер (в условията на частен осигурител или платец), номер на Европейска здравноосигурителна карта (ЕЗОК) и идентификатори на приравнени към нея регламенти;
  • адрес (само в случай на домашно посещение или изпращане на резултат по поща/куриер);
  • личен телефон за връзка;
  • личен имейл за връзка;
  • предполагаема или установена диагноза(и);
  • лекуващ/насочващ лекар;
  • осигурител (в условията на частен осигурител или платец);
  • IP адрес от който пациента или негов представител е получил резултат онлайн;
  • номер на кредитна или дебитна карта (само при безкасови или онлайн плащания).

Лабораторията, поради естеството си на дейност, създава лични данни – лабораторни резултати, които се явяват информация за здравословното състояние на пациента. Някои изследвания са свързани и с установяването на генетични данни, вирусоносителство, бременност или неин стадии и др.

В редки случаи, лабораторията събира чрез пациента или неговия лекуващ/изпращащ лекар допълнителна информация относно навици като тютюнопушене, употреба на алкохол или наркотици, хранителни навици, бременност, стадий на пубертет, наследствени болести или предразположение към такива, алергии, сексуални или други потенциално опасни контакти, посещавани епидемилогично интересни региони, приемани лекарствени средства и техните дози (в т.ч. хранителни добавки), хормонална терапия.

В изключително редки случаи и при наличен медицински интерес, лабораторията може да събере или установи данни за расова принадлежност, действителна биологична родителска връзка и др. специфични отличителни белези.

Данните, упоменати като рядко или изключително рядко събирани не се съхраняват или обработват, а са само за сведение на лабораторния лекар.

Лабораторията не събира, съхранява или обработва данни, свързани с икономическото състояние на пациента, социален или семеен статус, политически убеждения, сексуална ориентация, етнически произход, религиозни убеждения, членство в организации, както и биометрични данни.

Основания за събирането на лични данни

Основанието лабораторията да събира лични данни е защита на на следните свои легитимни интереси:

  • изпълнение на задълженията си към НЗОК;
  • изпълнение на задълженията си към РЗИ на МЗ;
  • удовлетворение на свои финансови искове към трети страни, заплащащи дейности в полза на пациентите – НЗОК, застрахователи, други лечебни заведения и подобни;
  • транзакции с банки (номера на дебитни или кредитни карти);
  • изпълнение на закона за счетоводството.

В допълнение към горното и в най-голяма степен, лабораторията събира лични данни в полза на защита на здравето на своите пациенти, а в нормативно определени случаи на заразни и инфекциозни заболявания – и в полза на защита на общественото здраве.

Цели на събирането и обработването на лични данни

Целите на събиране и обработване на лични данни са:

  • формиране на медицинско досие на пациента, което подпомага лабораторните специалисти в дейността им по установяване състоянието на пациента;
  • надеждно идентифициране на пациентските проби и резултати пред трети страни, на които пациента сам предоставя резултатите си или когато лабораторията извършва това по силата на закон или споразумение с лекуващ/изпращащ лекар или друго лечебно заведение;
  • охрана на обществен интерес в частта му защита на общественото здраве чрез вменено по закон задължение да информира РЗИ за открити опасни заразни и инфекциозни заболявания;
  • издаване на различни видове сертификационни документи, в т.ч. карта за кръвна група, медицинско свидетелство и други;
  • финансови искове към трети страни – осигурителни фондове (в т.ч. НЗОК), други лечебни заведения, компании поемащи трудово или корпоративно здравеопазване на служителите си и членове на семействата им;
  • издаване на счетоводни документи, например фактура на частно лице;
  • статистически справки за вътрешно ползване;
  • по силата на вменено задължение по закон или друг нормативен акт, в т.ч. отчетност пред НЗОК или РЗИ.

Срок на съхранение на личните данни

Предвид спецификата на основната цел на събраните лични данни, а именно – формиране на пациентско досие, и при възможността пациента отново да посети лабораторията, лабораторията съхранява личните данни без определен срок. По силата на членове 15, 16 и 17 на Регламента и/или други правни основания, съхраняваната информация може да бъде разкрита, коригирана или заличена по искане на субекта на личните данни или негов законен представител.

Принципи на обработка на личните данни

Лабораторията спазва следните принципи при обработката на лични данни:

  • законосъобразност, добросъвестност и прозрачност;
  • ограничение на целите на обработване;
  • съотносимост с целите на обработката и свеждане до минимум на събираните данни;
  • точност и актуалност на данните;
  • цялостност и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.

Споделяне на лични данни с трети страни

Лабораторията споделя лични данни със следните трети страни и при следните основания и обстоятелства:

Трета странаОснованиеУсловия
Лекуващ/изпращащ лекарПодпомагане на дейността по диагностициране и мониториране на здравето на пациента и при подписано за обработващ лични данниКогато такъв е посочен и когато лекарят е сключил споразумение с лабораторията за взаимни администратори
Друго лечебно заведениеРезултат от заплатена услуга и при условията на събрани лични данни от другото ЛЗ и при подписано споразумение за взаимни администраториКогато изследването е поръчано от другото лечебно заведение и при условията на договор за съвместна дейност и/или споразумение за взаимни администратори
НЗОКЧл.28 т.7 от ЗЗКогато НЗОК е платец на услугите
Частни Здравноосигурителни компании (ЗОК)По силата на договор между лабораторията и ЗОК и чл.28 т.7 от ЗЗ и при подписано споразумение за взаимни администраториКогато платец на услугата е ЗОК
Компания-поръчителИск за плащане от поръчителя и при подписано за обработващ лични данниКогато услугата е поръчана от компанията-поръчител, свързана с трудово или корпоративно здравеопазване
Регионална здравна инспекция (РЗИ) на МЗЧл.28 т.7 от ЗЗ и Наредба № 21/ 18.07. 2005 г. на МЗ за реда за  регистрация,   съобщаване и отчет на заразните болестиКогато е намерена положителна находка за заразно и инфекциозно заболяване, определено със закон или наредба.
Родител/НастойникЗаконен представителКогато пациента е дете или лице под запрещение
Упълномощено лицеВолеизявление на пациента и чл. 28 б, (2) от ЗЗКогато пациента е дал талон за резултат другиму или изрично е посочил упълномощено лице

Лабораторията не споделя номера на дебитни или кредитни карти с трети лица. Лабораторията не трансферира лични данни към други държави. В случай на криминално разследване, лабораторията може да сподели лични данни с легитимен правоохранителен орган при достатъчно правни основания.

Права на субекта на лични данни

Лабораторията е създала всички необходими технически и организационни инструменти и правила, така че да гарантира спазването на правата на гражданите съгласно Регламента.

Право на достъп

Всеки гражданин, може по всяко време да поиска от лабораторията потвърждение за наличие, произход и обработка на лични данни. За да го направи, лицето следва да се идентифицира пред лабораторията чрез документ за самоличност и да попълни и подпише формуляр по образец. Като резултат ще получи потвърждение с наличните лични данни и списък със страните с които данните са споделяни, както и основание за последното.

Право на корекция

Всеки гражданин, който знае или е установил че лабораторията е събрала лични данни за него, които са неточни или неактуални, следва да поиска корекция на данните. Това става чрез идентифициране с документ за самоличност и попълване формуляр-декларация, която се предоставя от лабораторията и подписва от искащия корекцията. В отговор на операцията му се издава документ за успешна корекция.

Право на заличаване (забравяне)

Всеки гражданин, чийто данни лабораторията обработва, може да поиска заличаване на личните му данни. На заличаване подлежат граждани, към чийто лични данни е отпаднал легитимния интерес на лабораторията, а именно:

  • последната визита, платима от НЗОК е преди повече от 60 месеца;
  • последната визита, платима от друг платец е преди повече от 90 дни;
  • всички визити са изцяло платени.

Заличаването на лични данни в лабораторията става с процес на анонимизация (необратим). За да бъде заличен гражданин, следва да направи това с документ за самоличност и нарочна декларация, предоставена от лабораторията. След заличаването, лабораторията издава писмено потвърждение за това.

Право на ограничаване на обработването

Пациента има право да изисква от лабораторията да ограничи обработването на личните му данни в следните случаи:

  • когато оспорва точността на личните данни;
  • когато обработването е неправомерно, но пациента не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
  • когато гражданина е възразил срещу обработването и очаква лабораторията да провери дали законните основания на лабораторията за обработването на личните данни имат преимущество пред интересите на пациента.

Искането за ограничаване на обработване става с писмено волеизявление пред длъжностното лице по защита на данните и идентификация с документ за самоличност.

Право на възражение

Гражданите имат право да възразят срещу обработката и съхранението на лични данни от лабораторията. Това става с писмено волеизявление в свободен текст до длъжностното лице по защита на данните на лабораторията. В случай че възражението е основателно, лабораторията ще прекрати обработването на личните данни относно възразиля  гражданин, освен ако лабораторията не покаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите на гражданина.

Право на преносимост

Поради липса на утвърден формат за преносимост на данни от една лаборатория в друга, на този етап лабораторията на е в състояние да удовлетвори искане за пренос на данни към трета страна.

Право на жалба

Всеки гражданин има право да подаде жалба относно обработването на личните му данни от лабораторията до Комисията за защита на личните данни (КЗЛД), която е надзорния орган по Регламента. Контактни данни на на КЗЛД са дадени в началото на този документ.

Профилиране и предаване за обработване

Лабораторията не извършва автоматизирано вземане на решения на база на лични данни. Лабораторията не предоставя за обработка лични данни на пациенти на трети страни.

Съхранение и защита

Лабораторията се отнася с голямо внимание към защитата на личните данни на своите пациенти. Лабораторията инвестира значителни средства в компютърна инфраструктура и организационни мероприятия по защита.

Съхранение на данни

Лабораторията съхранява лични данни в електронен вид и на хартия. На хартия се съхраняват само първичните медицински документи (направления, фишове за поръчка и подобни). Хартиените документи по НЗОК (НМДД) се предават (отчитат) пред НЗОК всеки месец, т.е. лабораторията съхранява само текущи документи. Другите хартиени първини документи се унищожават по график, определен от лабораторията и са със срок на съхранение между 90 и 120 дни.

Защита на данните

Основната задача на лабораторията е опазването на личите данни, съхранявани в лабораторната информационната система (ЛИС iLab). Предприети са комплексни мерки по опазване на неприкосновенността на данни в ЛИС, сред които:

  • криптиране на всички връзки със централния сървър;
  • регулярна и автоматизирана смяна на паролите и политика за тяхната сложност;
  • ограничение на достъпа сред потребителите, според тяхната компетенция;
  • поддръжка и редовен преглед на журналите за събития;
  • физическа защита на сървърите в сертифициран център за данни.

Разработчика на използваната лабораторна информационна система (ЛИС) iLab – СКАЙУЕР Груп ЕООД е представил декларация за съответствие на системата с регламента.

Нарушение на сигурността

Ако лабораторията установи нарушение на сигурността на лични данни, което може да породи висок риск за правата и свободи на пациентите ѝ, уведомява без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети. Лабораторията няма да уведоми пациентите за нарушения на сигурността, ако:

  • е предприел подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
  • е взела впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата на пациентите;
  • уведомяването би изисквало непропорционални усилия.

При установено нарушение на сигурността, лабораторията уведомява надзорния орган за действително или предполагаемо изтичане на данни.

МДЛ Цибалаб – Перник ЕООД

София, 25.06.2018 г.

Версия на документа: 1