Политика за поверителност и защита на личните данни
“АСМП-ИПСМП по дерматология д-р Виктория Иванова” ЕООД
- Предмет и обхват
“АСМП-ИПСМП по дерматология д-р Виктория Иванова” ЕООД (наричано по-долу за краткост „Администратор“), регистрирано съгласно законите на Република България и вписано в Търговски регистър при Агенция по вписванията с ЕИК: 207376509, със седалище и адрес на управление в гр. София, ул. Дамян Груев 1, ет.3, тел.: 0882 345 670.
Целта на настоящата Политика е да предостави ясна и изчерпателна информация на субектите на лични данни, относно утвърдените стандарти за защита на личните данни, които Администраторът прилага в съответствие с изискванията на Регламент (ЕС) 2016/679 (по-долу „Регламент/а/ът“) и приложимото законодателство.
Настоящата Политика регламентира защитата на физическите лица във връзка с обработването на личните им данни от страна на Администратора, вкл. във връзка с предоставяните услуги от интернет страницата https://www.tvoitakoja.com, собственост на Администратора.
Данни за контакт с Администратора:
София, ул. Дамян Груев 1, ет.3
Тел.: 0882 345 670
Електронна поща: info@tvoitakoja.com
- Определения
Посочените по-долу определения са приети в съответствие с Регламент (ЕС) 2016/679:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко чрез използването на идентификатор („субект на данни“);
„Специална категория лични данни“ означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;
„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Субект на данни“ означава физическо лице, чиито лични данни се обработват;
„Администратор“ e “АСМП-ИПСМП по дерматология д-р Виктория Иванова” ЕООД, което само определя целите и средствата за обработването на лични данни;
„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или обработващия лични данни имат право да обработват личните данни;
„Надзорен орган“ означава Комисията за защита на личните данни в Република България.
Термините, които не са дефинирани в текста по-горе, имат значението, дадено им в Регламент (ЕС) 2016/679 (пълният текст на регламента е достъпен на следния линк: https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=celex%3A32016R0679).
- Принципи и цели на обработване
Администраторът обработва личните данни прозрачно, добросъвестно и законосъобразно. Целите, за които се събират са конкретни, изрично указани и легитимни, като личните данни не се обработват по-нататък по начин, несъвместим с тези цели. Данните са сведени до минимум и ограничени до необходимото във връзка с целите. Съхраняват се добросъвестно и съгласно законоустановени срокове.
Администраторът обработва лични данни за следните цели:
- Медицинска консултация, диагностика, лечение и наблюдение на пациенти, вкл. съдействие за запазване, промяна или отмяна на насрочен час, предплащане на услуги и пакети и др.
- Извършване на манипулации и медицински процедури в обем, необходим за лечебния процес.
- Извършване на козметични процедури, вкл. съдействие за запазване, промяна или отмяна на насрочен час, предплащане на услуги и пакети и др.
- Изготвяне на медицинска и отчетна документация във връзка с изпълнението на сключени договори.
- Продажба на продукти.
- За целите на директния маркетинг, вкл. изпращане на информационно и/или рекламно съдържание относно услуги и процедури, промоции, бюлетин и др. по предоставената електронна поща – само след предоставяне на съгласие.
- Изпълнение на изискванията на трудовото и социалното законодателство по отношение на персонала.
- Гарантиране сигурността на физическите лица чрез видеонаблюдение, регистрация, физическа охрана и контрол на достъпа.
- Други законосъобразни цели, като счетоводно обслужване, поддръжка и сигурност на интернет страницата и IT системите на Администратора, защита на законните интереси на Администратора, включително и по съдебен ред, и др.
Администраторът съхранява лични данни за периода, за който са необходими, за да бъдат изпълнени целите, за които са събрани, включително за да се спазят нормативните изисквания, данъчната система, трудовото, осигурителното право, счетоводните стандарти.
- Категории субекти на данни и категории лични данни
3.1. Пациенти/ потребители на услуги
Администраторът събира лични данни директно от пациентите/ потребителите на услуги при предоставяне на медицински/ козметични услуги, както и за административни и вътрешни бизнес цели, включително за правни интереси, свързани с присъствието/престоя и/или извършване на медицинска/козметична процедура на пациент/ потребител на услуги.
При предоставяне на медицински/козметични услуги, Администраторът може да събира и обработва следните лични данни:
- имена, дата на раждане/ ЕГН, паспортни данни, адрес, телефон, електронна поща, пол, вкл. специална категория лични данни, като здравословно състояние, както и друга относима информация, свързана с предоставянето на медицинската и/или козметичната услуга.
Администраторът събира и обработва лични данни на малолетни и/или непълнолетни субекти на лични данни с изричното съгласие на родител/законен представител, като за целите на същото се събира същият обем лични данни на родителя/законен представител на малолетния/непълнолетния.
Администраторът може да участва в извършване на клинични проучвания. В случай че субектът на данни бъде поканен да вземе участие в клинично проучване, той ще получи предварително информация относно естеството и характера на проучването, както и каква лична информация е необходима за включването му.
В случай че Администраторът реши да обработва данни на субекти за маркетингови цели, то предприема необходимите мерки, за да получи предварително информирано съгласие от субекта на данни.
В случай че пациентът/ потребителят на услуги даде своето изрично писмено съгласие за заснемане на снимков/ видео материал преди, по време на и/или след направената/ите процедура/и с цел публикуване и популяризиране дейността на “АСМП-ИПСМП по дерматология д-р Виктория Иванова” ЕООД, то пациентът/ потребителят на услуги би могъл да бъде представен в публикация на Администратора в интернет страницата му https://tvoitakoja.com, в социалните мрежи и/или друга платформа за маркетингови цели.
3.2. Персонал – настоящи и бивши служители на дружеството, кандидати за работа, както и обучаеми
3.2.1. Кандидати за работа/ обучаеми
Администраторът може да събира и обработва следните лични данни:
- информация, съдържаща се в CV/автобиография на кандидата, като имена на лицето, данни за контакт (адрес, телефонен номер и електронна поща), копия от документи за професионална и образователна квалификация и др. Когато това се налага, с оглед на нормативните изисквания към медицински и други специалисти, кандидати за определена свободна работна позиция, е възможно от лицето да бъде изискана допълнителна информация, включително чувствителни лични данни. В тези случаи, Администраторът информира лицето за конкретното нормативно основание, въз основа на което информацията трябва да бъде предоставена, както и за последствията от непредоставянето й.
3.2.2. Служители – Администраторът събира и обработва следните категории лични данни от работници/служители:
- имена, ЕГН, паспортни данни, образование и квалификации, професия, трудов стаж, трудовото възнаграждение, данни за банкова сметка и други; както и
- Специална категория лични данни: информация за здравен статус, съдържаща се в болнични листове, документи, удостоверяващи трайна неработоспособност и/или други документи, необходими съгласно приложимото законодателство за съответната длъжност или с оглед упражняване на специфични права на работника/служителя.
В общия случай, Администраторът не обработва лични данни на работници/служители въз основа на съгласие. Въпреки това е възможно, в определени ситуации съгласието да е необходимо, когато същото се изисква според приложимото законодателство, включително за обработването на специална категория лични данни.
3.3. Посетители – посетители, които не са пациенти и/или потребители на услуги на Администратора, вкл. придружители на пациенти/потребители на услуги; виж т.3.5.
3.4. Бизнес партньори, доставчици и техни служители.
Администраторът обработва лични данни на физически лица, които представляват или работят за бизнес партньори и доставчици. Администраторът може да обработва обикновени лични данни като: имена, адрес, телефон, електронен адрес и други данни, които са относими в конкретния случай.
При сключване и изпълнение на договор с доставчик (на стоки или услуги), в т.ч. съпътстващата документация като приемо-предавателни протоколи, фактури и др., Администраторът обработва следните данни на юридическите лица: три имена на законния представител на дружеството, две имена на лице за контакт по договора, електронна поща и телефон, както и други данни относими към документацията.
3.5. Видеонаблюдение
В сградата, в която Администраторът осъществява дейност, включително и на общите части пред и в същата, има изградени системи за видеонаблюдение, с цел осигуряване на сигурност, в резултат на което се събират видеозаписи (видеоизображения) на субектите на данни – посетители и/или пациенти. В тези случаи, субектите на данни биват информирани за извършваното видеонаблюдение, чрез поставени информационни табели на видни места.
3.6. Интернет потребители
Тази група субекти на данни осъществяват връзка с Администратора чрез интернет страницата, чрез изпращане на електронно съобщение чрез формата за контакт на интернет страницата; електронно съобщение до посочената на интернет страницата електронна поща за контакти и/или осъществяване на връзка чрез социална мрежа/поддържана онлайн платформа на Администратора; и/или чрез телефонно обаждане на посочените в интернет страница и/или посочените в социална мрежа телефон/и за връзка.
Администраторът събира и обработва следните лични данни на интернет потребителите: имена, електронна поща, телефонен номер, информацията (запитване, заявка за насрочване на консултация и/или друго), която потребителят сам е предоставил чрез един от изброените по-горе начини.
Администраторът не обработва лични данни, предоставени чрез електронно съобщение чрез социални мрежи и/или други онлайн платформи. Потребителите биват пренасочвани към интернет страницата, електронната поща, посочена на интернет страницата и/или към телефонен номер, чрез които да отправят запитването си, като предварително се запознават с Политиката за поверителност и защита на личните данни на Администратора.
На основната интернет страница на Администратора – https://www.tvoitakoja.com, се използват „бисквитки”. Когато потребителите осъществяват достъп е възможно да се събират данни като: вид операционна система, доставчик на интернет услуги и други. За повече информация, моля, вижте Политика за бисквитки.
На интернет страницата на Администратора има форма за контакт. При попълването и, потребителят предоставя следната информация: име и фамилия, телефон и електронна поща.
На интернет страницата на Администратора потребителите имат възможност да дадат съгласието си за получаване на информационни бюлетини от Администратора на електронната си поща, съдържащи информация за текущи и бъдещи промоции, новини и друга информация в сферата на клиничната и естетичната дерматология с комерсиална и маркетингова цел, свързана с дейността на Администратора.
- Срокове за съхранение на личните данни
Администраторът съхранява предоставената му информация в сроковете определени съгласно нормативната уредба и при спазване на принципа за „ограничение на съхранението“ и по-конкретно личните данни на:
- пациенти/ потребители на услуги:
- се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация;
- обработване с цел записване за час, организиране на график и планиране на ангажиментите на Администратора; преддоговорни отношения – до 5 години от прекратяване на договорното основание; при запитвания, които не доведат до предоставяне на услуга – 12 месеца;
- при предоставяне на желаната услуга, вкл. консултация и извършване на медицинска/ козметична процедура и изпълнение на договорни задължения в тази връзка – при сключване или изпълнение на договор – до 5 години от прекратяване на договорното основание/ извършването на консултацията/ услугата или до оттегляне на съгласието.
- работници/служители, съдържащи се в трудовоосигурителната документация, се съхраняват за срок от 50 (петдесет) години.
- обучаеми – не по-дълго от 5 години от приключване на обучението;
- кандидати за работа, които не са одобрени за назначаване се съхраняват за срок не по-дълго от 12 месеца от приключване на процедурата, след което се връщат на лицето или се унищожават по подходящ начин.
- бизнес партньори, доставчици и техни служители – до 5 години от прекратяване на договорното основание и/или съгласно законовите разпоредби и нормативни изисквания.
- записите от техническите средства за видеонаблюдение се съхраняват за срок от 30 дни от изготвянето им, съгласно Закона за частната охранителна дейност.
- Лични данни, съдържащи се в счетоводни документи се съхраняват в сроковете по член 12 от Закона за счетоводството.
- интернет потребители (вкл. посетители на интернет страницата, изпращащи запитвания чрез контактната форма или директно чрез електронната поща на Администратора) – до 12 месеца, освен ако кореспонденцията не касае преддоговорни отношения.
- Права на субектите на лични данни
Всички физически лица, чиито данни се обработват от Администратора, имат следните права:
- право на достъп до личните му данни, включително да получи копие от тях;
- право на коригиране или допълване на неточни или непълни лични данни;
- право на изтриване на лични данни, които се обработват без правно основание;
- право на ограничаване на обработването – при наличие на правен спор до неговото решаване;
- право на преносимост на лични данни, чрез структуриран, широко използван и пригоден за машинно четене формат;
- право на възражение срещу обработването на личните им данни, когато са налице законови основания за това.
В съответствие със Закона за защита на личните данни и Общия регламент за защита на данните, всяко физическо лице, което счита, че правото му на защита на личните му данни е нарушено, може да подаде жалба до Надрзорния орган – Комисията за защита на личните данни на адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет страница: www.cpdp.bg.
Посочените по-горе права могат да се упражнят, чрез подаване на писмено заявление лично или чрез куриер на адрес: гр. София, ул. Дамян Груев 1, ет. 3, до “АСМП-ИПСМП по дерматология д-р Виктория Иванова” ЕООД.
Заявлението се отправя лично от субекта на данни или от изрично упълномощено от него лице с пълномощно. Заявлението следва да съдържа следната информация:
- идентификация на лицето – име и ЕГН;
- контакти – адрес, телефон, електронна поща;
- описание на искането.
Администраторът информира относно действията, предприети във връзка със заявлението в срок от 1 месец от получаване на заявлението. В случай че субектът на лични данни изисква повече на брой действия, то този срок може да бъде удължен с още 2 месеца, като Администраторът информира субекта за удължаване на срока, като посочва причините за забавянето.
В случай че Администраторът не е в състояние да идентифицира субекта на данните, той не е задължен на отговори на това искане.
- Получатели на лични данни
Лични данни може да бъдат споделени с различни категории получатели. Така например, при изпълнение на законови задължения за Администратора, лични данни могат да бъдат предоставени на Национална агенция за приходите, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, Национална здравно-осигурителна каса, Регионална здравно-осигурителна каса, Министерство на здравеопазването, на компетентни правоохранителни, правоприлагащи органи, както и на други държавни органи и учреждения.
Администраторът предава данни на други физически/юридически лица, които предоставят определен вид стока или услуга, включително услуги по информационно/ техническо поддържане на интернет страницата, онлайн платформата за администрация на процесите, счетоводно обслужване, финансови институции, лицензирани пощенски оператори и други. В този случай Администраторът сключва писмено споразумение с конкретния доставчик на услугата, който е предоставил достатъчно гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и да осигурява защита на правата на субектите на данни.
Лични данни не се предоставят на други лица в рамките на ЕС, нито на трети страни или международни организации.
- Заключителни разпоредби
С настоящата Политика “АСМП-ИПСМП по дерматология д-р Виктория Иванова” ЕООД, в качеството си на „Администратор“ на лични данни, гарантира, че ще спазва политика на конфиденциалност и поверителност, относно личните данни и ще предприеме мерки за максимална защита на субектите на лични данни.
“АСМП-ИПСМП по дерматология д-р Виктория Иванова” ЕООД запазва правото си да променя, допълва и актуализира настоящата политика по всяко време, без да е необходимо разрешение за това, като всяка актуализация се публикува на интернет страницата на Администратора.
Политиката за поверителност и защита на личните данни влиза в сила от 27.12.2023 г.