Защита на личните данни

Политика за защита на личните данни

УМБАЛ “Царица Йоанна-ИСУЛ” ЕАД - София е администратор на лични данни.

Субекти на лични данни са служители, пациенти, контрагенти, физически лица по граждански договор, с които администраторът е във взаимоотношения.

Настоящата политика за защита на личните данни се отнася за процесите на събиране, обработване, съхраняване и защита на личните данни в съответствие с изискванията на Общия регламент за защита на данните (ЕС) 2016/679 (ОРЗД .

Изискванията, заложени в Регламента се прилагат за данните, обработвани и съхранявани на електронен и хартиен носител.

Администраторът е предприел необходимите организационни и технически мерки, за да гарантира сигурност на личните данни при тяхното събиране и обработване.

 

Принципи

При въвеждането на тази политика администраторът следва принципите, залегнали в Чл.5 на ОРЗЛД. Личните данни:

- се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните;

- се събират за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели;

- по-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита за несъвместимо с първоначалните цели („ограничение на целите“);

- събираните данни са сведени до минимум;

- са поддържани в актуален вид;

- предприети са мерки, гарантиращи своевременно изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

- се съхраняват във форма, позволяваща идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни;

- могат да се съхраняват за по-дълги срокове, ако ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

- обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

 

II Цели на политиката:

1. Осигуряване на съответствие с (ЕС) 2016/679 (ОРЗД .

2. Минимизиране на рисковете при обработване, съхранение и защита на личните данни.

3. Информиране на служителите за техните отговорности и задължения по отношение на информационната сигурност във връзка с изискванията на (ЕС) 2016/679 (ОРЗД) .

4. Информиране на субектите на данни за техните права и реда за упражняването им.

 

III. Обхват на политиката

Настоящата политика се отнася за личните данни на служители, пациенти, контрагенти, физически лица по граждански договор, с които Администраторът е във взаимоотношения.

 

IV. Цели на събирането на личните данни:

Администраторът събира лични данни с цел:

1. За сключване на трудови договори и взаимоотношения в съответствие с КТ.

2. За изпълнение на професионални задължения при взаимодействие с пациенти.

3. За водене на финансова отчетност.

4. За изпълнение на договорни задължения към контрагенти.

5. За статистически цели.

Личните данни се събират от Администратора доброволно от субектите на данни, които подписват декларация за информираност и съгласие.

 

V. Права на потребителите:

1. Право на достъп;

2. Право на коригиране;

3. Право на изтриване (право „да бъдеш забравен“);

4. Право на ограничаване на обработването;

5. Право на преносимост на данните;

6. Право на уведомяване за нарушение на сигурността на личните данни;

7. Право на защита по съдебен и административен ред (право на подаване на жалба до надзорен орган);

8. Право на ефективна съдебна защита срещу надзорен орган;

9. Право на ефективна съдебна защита срещу администратор или обработващ лични данни;

10. Право на обезщетение за претърпени вреди;

11. Право на оттеглянето на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, което е дадено, преди то да бъде оттеглено.

12. Право на възражение срещу обработването на лични данни;

13. Право на защита на личните данни, когато субектът е дете.

 

VI. Ред за упражняване на правата:

1. Редът за упражняване на правото на достъп, правото на изтриване, коригиране или ограничаване на обработването е чрез подаването на писмено искане до администратора.

2. Администраторът предоставя на потребителя информация относно действията, предприети във връзка с искането, без ненужно забавяне и във всички случаи в срок от един месец от получаване на искането. При необходимост този срок може да бъде удължен с още два месеца, като се взема предвид сложността и броя на исканията.

3. Администраторът информира потребителя за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.

4. Когато потребителят подава искане с електронни средства, по възможност информацията се предоставя с електронни средства, освен ако потребителят не е поискал друго.

5. Ако администраторът не предприеме действия по искането на потребителя, администраторът уведомява потребителя без забавяне и най-късно в срок от един месец от получаване на искането за причините да не предприеме действия и за възможността за подаване на жалба до надзорен орган и търсене на защита по съдебен ред.

 

VII. Защита на данните

Защитата на данните, съхранявани на електронен носител или на хартиен такъв, се осъществява чрез организационни и технически мерки, отразени в правила, инструкции, процедури, планове и заповеди.

1. Политиката е документирана и са информирани служителите, които имат достъп до информацията и информационните системи на УМБАЛ “Царица Йоанна-ИСУЛ” ЕАД – София.

2. Настоящата политика задава параметрите на система от организационни и технически мерки, насочени към:

а. гарантиране на конфиденциалност на информацията;
б. съхраняване на информацията в нейната цялост;
в. осигуряване на достъпност на информацията;
г. отчетност по отношение защитата на информацията.

 

VIII. Уведомяване за нарушения

Извършва се съгласно Процедура за уведомление.

 

IX. Унищожаване

Счетоводната и търговската информация, както и всички други сведения и документи от значение за данъчното облагане и задължителните осигурителни вноски се съхраняват от Администратора в следните срокове:

- ведомости за заплати - 50 години;
- счетоводни регистри и финансови отчети - 10 години;
- документи за данъчно-осигурителен контрол - 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
- всички останали носители - 5 години.

След изтичането на срока за съхранението им носителите на информация (хартиени или технически), които не подлежат на предаване в Националния архивен фонд, могат да се унищожават.

След приключване на срока за съхранение данните се унищожават възможно най-бързо посредством унищожаването на хартиените носители чрез шредиране, а на техническия носител-чрез заличаване и изтриване на съответните файлове от компютрите на УМБАЛ “Царица Йоанна-ИСУЛ” ЕАД - София.

Настоящaта Политика е утвърдена и доведена до знанието на лицата, за които се касае, със заповед на управителя на “Царица Йоанна-ИСУЛ” ЕАД - София.