ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ В „НМ ДЖЕНОМИКС“
1. ВЪВЕДЕНИЕ
„Медицински Център НМ Дженомикс“ АД е търговско дружество, вписано в Търговския регистър към Агенция по вписванията с ЕИК 207604585, със седалище и адрес на управление гр. София 1202, район Оборище, ул. „Бачо Киро” № 47.
НМ Дженомикс е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общия регламент за защита на данните).
При осъществяване на търговската си дейност НМ Дженомикс се ангажира да обработва лични данни при стриктно спазване на нормите на Общия регламент за защита на данните и Закона за защита на личните данни (ЗЗЛД).
В изпълнение на ангажимента си да осигури пълно съответствие със законодателството на Европейския съюз (ЕС) и Република България относно обработването на лични данни, НМ Дженомикс приема настоящата Политика за защита на личните данни, която е приложима към всички извършвани от НМ Дженомикс дейности по обработване на лични данни.
Тази политика се прилага по отношение на всички обработвани от НМ Дженомикс лични данни, включително лични данни на клиенти, работници и служители, доставчици, подизпълнители, партньори.
Настоящата политика за защита на личните данни е задължителна и следва да се спазва от всички доставчици, подизпълнители, партньори, работници и служители, които работят с или за НМ Дженомикс, както и от трети лица, които имат или могат да имат достъп до обработваните от НМ Дженомикс лични данни.
1. ОПРЕДЕЛЕНИЯ
По смисъла на Общия регламент за защита на данните и за целите на настоящата политика за защита на личните данни, посочените по-долу понятия имат следното значение:
Лични данни – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
Специални категории лични данни – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;
Здравна информация са лични данни, свързани със здравословното състояние, физическото и психическото здраве на лицата, включително предоставянето на здравни услуги, които дават информация за здравословното състояние на физическото лице.
Обработване – операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
Администратор – физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
Обработващ лични данни – физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
Субект на данни – физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация;
Получател – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на ЕС или правото на държава членка, не се считат за получатели; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
Трета страна – физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, който под прякото ръководство на администратора или на обработващия лични данни има право да обработва лични данни;
Нарушение на сигурността на лични данни – означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Надзорен орган означава Комисията за защита на личните данни в Република България.
III. ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ
НМ Дженомикс обработва лични данни в съответствие с принципите, свързани с обработването на лични данни, уредени в чл. 5 от Общия регламент за защита на данните, а именно:
Законосъобразност, добросъвестност и прозрачност
НМ Дженомикс обработва лични данни при спазване на повелителните норми на Общия регламент за защита на данните и ЗЗЛД, честно и открито.
Ограничение на целите
НМ Дженомикс обработва лични данни само за конкретни, изрично указани и законни цели и не ги обработва по-нататък по начин, несъвместим с тези цели.
Свеждане на данните до минимум
НМ Дженомикс обработва лични данни, ограничени до необходимост във връзка с целите, за които се обработват. НМ Дженомикс събира и обработва само минимум необходимите лични данни на физически лица, които:
- са предвидени в закон;
- са нужни за изпълняване на договор;
- са нужни за изпълняване на целите, за които се събират.
Събрани лични данни се обработват за други цели само след съгласие на лицата
Във всички случаи, когато е необходимо събрани и обработвани лични данни на физически лица да се използват за цели различни от първоначалните, НМ Дженомикс уведомява съответните физически лица, иска тяхното съгласие и пристъпва към обработка на техните лични данни за други цели, само след тяхното изрично съгласие.
Точност и актуалност
Съхраняваните от НМ Дженомикс лични данни се поддържат точно и в актуален вид, като се предприемат всички разумни мерки, за да се гарантира своевременното коригиране на неточни лични данни.
Ограничение на съхранението
НМ Дженомикс съхранява лични данни във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни.
Цялостност и поверителност
НМ Дженомикс обработва лични данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически или организационни мерки.
Отчетност
НМ Дженомикс носи отговорност и е в състояние да докаже, че спазва задълженията си във връзка с обработването на лични данни.
1 .КАТЕГОРИИ СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ
1.Пациенти и клиенти и техни роднини
НМ Дженомикс събира лични данни директно от пациентите и клиентите, а само в изрични случаи на съгласие и на техни роднини, при предоставяне на предлаганите услуги, както и за административни и вътрешни бизнес цели, включително за правни интереси. Личните данни, които обикновено се обработват във връзка с изпълнение на задълженията на НМ Дженомикс по Закона за здравето и Закона за лечебните заведения, сключените договори и въз основа на изрично изразено съгласие са следните:
- Идентификационни данни/данни за физическата идентичност: име, презиме и фамилия; ЕГН; пол; тегло; ръст; контакти: електронна поща, телефон, адрес – постоянен или настоящ;
- Банкови данни
- Здравна информация (специални категории личнни дании) – личните данни, свързани със здравословното състояние, физическото и психическото развитие на лицата, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения, епикризи и в друга медицинска документация.
Гореизброените данни могат да бъдат събирани чрез различни способи, като например: директна комуникация, чрез уеб страницата на НМ Дженомикс, по телфон, по електорнна поща и т.н.
В случай, че НМ Дженомикс реши да обработва данни на субекти за маркетингови цели, то предприема необходимите мерки, за да получи предварително информирано съгласие от субекта на данни.
2. Кандидати за работа
- Обикновени лични данни: Информация, съдържаща се в CV/автобиография на кандидата, като имена на лицето, данни за контакт (телефонен номер и електронна поща), копия от документи за професионална и образователна квалификация и др.
- Когато това се налага, с оглед на нормативните изисквания към медицински и други специалисти, кандидати за определена свободна работна позиция, е възможно от лицето да бъде изискана допълнителна информация, включително чувствителни лични данни. В тези случаи, НМ Дженомикс информира лицето за конкретното нормативно основание, въз основа на което информацията трябва да бъде предоставена, както и за последствията от непредоставянето й.
3. Персонал
НМ Дженомикс събира следните категории лични данни от работници/служители:
- Обикновени лични данни: имена, ЕГН, паспортни данни, образование и квалификации, професия, трудов стаж, трудовото възнаграждение, данни за банкова сметка и други;
- Специална категория лични данни: информация за здравен статус, съдържаща се в болнични листове, документи, удостоверяващи трайна неработоспособност и/или други документи, необходими съгласно приложимото законодателство за съответната длъжност или с оглед упражняване на специфични права на работника/служителя.
В общия случай, НМ Дженомикс не обработва лични данни на работници/служители въз основа на съгласие. Въпреки това е възможно, в определени ситуации съгласието да е необходимо, когато същото се изисква според приложимото законодателство, включително за обработването на специална категория лични данни.
4. Интернет потребители
На основната интернет страница www.nmgenomix.com и www.nipt.bg на НМ Дженомикс, се използват „бисквитки”. Поради това следните данни, могат да бъдат събирани, чрез уебсайта на НМ Дженомикс: данни за доставчика, операционна система, вид на браузера, име на домейн, IP адрес на устройството, час на посещение на страницата, интернет страница, от която потребителят е препратен чрез линк до страницата на НМ Дженомикс, интернет страниците, от които потребителят е търсил, час и дата на търсенето; при използване формата за контакт на сайта се събират имена на лицето, телефон за контакт, адрес на електронната поща, както и допълнителни данни, които лицето само ако пожелае да предостави с цел да получи отговор на зададен въпрос или инфомрация, която е получил. Потребителското поведение, при посещение на сайта, може да бъде записано и проследено. За повече информация, моля, вижте съответната Политика за защита на личните данни в уебсайта на „НМ Дженомикс“ и Политика за бисквитки.
На страницата на НМ Дженомикс има форма за контакт. При попълване на формата за контакт, потребителят предоставя следната информация: име и фамилия, телефон, електронна поща.При попълването на формата и в зависимост от целта, за която я попълва, Потребителят има възможност да посочи избраната от него услуга, както и по-специфична информация, касаеща здравния му статус и клинична картина.
6. Бизнес партньори, клиенти и доставчици
НМ Дженомикс обработва лични данни на физически лица, които представляват (по закон или по пълномощие) или работят за бизнес партньори, доставчици и инвеститори на НМ Дженомикс. Поради това, и доколкото е допустимо в процеса на обичайната търговска дейност, НМ Дженомикс може да обработва следните категории лични данни:
- Обикновени лични данни: Имена, адрес, телефон, електронен адрес и други данни,
които са относими в конкретния случай.
1. ЗАДЪЛЖЕНИЕ ЗА ЗАКОНОСЪОБРАЗНО И ДОБРОСЪВЕСТНО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
НМ Дженомикс установява основанието за обработване на личните данни по чл. 6, параграф 1 от Общия регламент за защита на данните (съгласие на субекта на данните, изпълнение на задължение по договор, спазване на законово задължение, защита на жизненоважни интереси на субекта на данните или на друго физическо лице, изпълнението на задача от обществен интерес или при упражняването на официални правомощия, легитимни интереси на администратора или на трета страна).
НМ Дженомикс извършва само дейности по обработване на лични данни, за които е налице някое от основанията по чл. 6, параграф 1 от Общия регламент за защита на данните.
1. ЗАДЪЛЖЕНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ ЗА КОНКРЕТНИ ЦЕЛИ
Обработването на лични данни се извършва в изпълнение на законовите задължения на НМ Дженомикс, по-специално по Закона за здравето – чл. 27 и сл., Закона за здравното осигуряване, Закона за лекарствените продукти в хуманната медицина, Закона за медицинските изделия и подзаконовите актове по прилагането им, както и в изпълнение на поети от НМ Дженомикс договорни задължения или на основание дадено от пациента или клиента информирано съгласие за това.
При осъществяване на търговската си дейност НМ Дженомикс събира и използва категории лични данни, посочени в регистъра на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия регламент за защита на данните. НМ Дженомикс получава лични данни пряко от субекта на данни (например при попълване на утвърдени образци на документи или при кореспонденция по имейл, телефон или други средства за комуникация) или от други източници (например от партньори, подизпълнители, доставчици на платежни услуги и др.).
НМ Дженомикс обработва лични данни само за конкретни и изрично указани цели, посочени в регистъра на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия регламент за защита на данните, а именно:
- За изпълнение услугите, предлагани от НМ Дженомикс;
- за регистрация на пациента или клиента и съответно за отчетност;
- за да се изпълни договор, който е сключен или който е в процес на сключване;
- когато това е необходимо за защита на легитимни интереси на НМ Дженомикс или трето лице, при условието, че Вашите легитимни интереси и основни права и свободи нямат преимущество над тези легитимни интереси;
- за актуална информация за контакт с Вас;
- за предоставяне на информация, включително маркетингова комуникация чрез избраните от клиента канали (прим. електронна поща или телефон).
В случай, че се наложи данни на субекта да бъдат използвани за цел, несъвместима с първоначалната, НМ Дженомикс го уведомява своевременно и му разяснява каква е законовата основа, която позволява данните да бъдат изполвани и с тази нова цел.
НМ Дженомикс предоставя на субектите на данни възможност да избират опция дали да споделят своите лични данни с дружеството. В случай че субектът на данни възрази на обработването от страна на НМ Дженомикс на личните данни, дружеството уважава този избор в съответствие със законовите си задължения. Възражението може да означава, че НМ Дженомикс няма да има възможност да осъществява дейностите, необходими за изпълнението на описаните по-горе цели. То може да означава и че е възможно субектът да не може да се ползва от предлаганите от НМ Дженомикс услуги и продукти, ако не му предостави лична информация за себе си или в случай, че след като субектът на данни е предоставил тази информация, възрази на обработването й от страна на НМ Дженомикс.
VII. ЗАДЪЛЖЕНИЕ ЗА УВЕДОМЯВАНЕ НА СУБЕКТА НА ДАННИТЕ
В изпълнение на задълженията си по чл. 12, 13 и 14 от Общия регламент за защита на данните НМ Дженомикс предоставя на субекта на данните разбираема и лесно достъпна информация относно личните данни, които обработва.
- В случай, че НМ Дженомикс получава лични данни пряко от субекта на данни, до знанието на субекта на данни се свежда съобщение за поверителност в подходяща форма, съдържаща ясен, опростен и разбираем език и включващ следната информация:
а) данните, които идентифицират НМ Дженомикс и координатите за връзка с НМ Дженомикс, а когато е приложимо и тези на представителя на НМ Дженомикс;
б) координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;
в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;
г) когато обработването се извършва въз основа на член 6, параграф 1, б. „е)“ от Общия регламент за защита на данните (легитимни интереси на НМ Дженомикс или на трета страна), законните интереси, преследвани от НМ Дженомикс или от трета страна;
д) получателите или категориите получатели на личните данни, ако има такива;
е) когато е приложимо, намерението на НМ Дженомикс да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Европейската комисия (ЕК) относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, ал. 2 от Общия регламент за защита на данните позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични;
ж) срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
з) съществуването на право да се изиска от НМ Дженомикс достъп до лични данни, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;
и) когато обработването се основава на съгласие на субекта на данните, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;
й) правото на жалба до Комисията за защита на личните данни (КЗЛД);
д) дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;
е) съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.
- В случай, че НМ Дженомикс получава лични данни от други източници, различни от субекта на данни, до знанието на субекта на данни се свежда съобщение за поверителност в подходяща форма, съдържаща ясен, опростен и разбираем език и включващ информацията по предходната точка, както и информация за съответните категории лични данни, както и източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник. Съобщението за поверителност се свежда до знанието на субекта на данни в разумен срок, след получаването на личните данни, но най-късно до 1 месец или най-късно при осъществяване на контакт със субекта данните или при разкриване на личните данни пред друг получател за първи път.
VIII. ЗАДЪЛЖЕНИЕ ЗА АДЕКВАТНО, РЕЛЕВАНТНО И ОГРАНИЧЕНО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
НМ Дженомикс събира лични данни в рамките на необходимото за целта на обработването, сведена до знанието на субекта на данните.
1. ЗАДЪЛЖЕНИЕ ЗА ОБРАБОТВАНЕ НА ТОЧНИ И АКТУАЛНИ ЛИЧНИ ДАННИ
НМ Дженомикс събира точни лични данни и осигурява своевременната им актуализация.
При получаване на лични данни, служителите на НМ Дженомикс, ангажирани в процеса по събиране на лични данни, извършват проверка за точността на предоставените на НМ Дженомикс лични данни.
Съхраняваните от НМ Дженомикс лични данни се преглеждат периодично, като в НМ Дженомикс са приети правила за поддържане на точност и актуалност на личните данни.
НМ Дженомикс е приело правила за обработка на заявленията за корекция на личните данни от страна на субекта на данните.
Всички доставчици, подизпълнители, партньори, работници и служители, които работят с или за НМ Дженомикс, както и трети лица, които предоставят лични данни на НМ Дженомикс, са длъжни да уведомяват за всяка промяна в предоставените от тях лични данни.
1. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАНИ НА СУБЕКТА НА ТРЕТИ ЛИЦА
Лични данни може да бъдат споделени с различни категории получатели. Така например, при изпълнение на законови задължения за администратора, лични данни могат да бъдат предоставени на Национална агенция за приходите, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, Министерство на здравеопазването, Изпълнителна агенция по лекарствата, Изпълнителна агенция „Медицински одит“, на компетентни правоохранителни, правоприлагащи органи, както и на други държавни органи и учреждения.
Групата предава данни на други физически/юридически лица, които предоставят определен вид стока или услуга на НМ Дженомикс, включително услуги по информационно поддържане и сигурност на IT системите, счетоводно обслужване, архив и правно облужване, лаборатории и други. В тези случаи, НМ Дженомикс сключва писмено споразумение с конкретния доставчик на услугата, който е предоставил достатъчно гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и да осигурява защита на правата на субектите на данни.
НМ Дженомикс поддържа партньорски отношения с други независими администратори на лични данни – застрахователни дружества, висши учебни заведения по медицина, лечебни заведения, лекари на индивидуална практика и други. Във връзка с тези партньорски отношения е възможно страните да споделят помежду си определени данни. В тези случаи, НМ Дженомикс информира по подходящ начин субектите на данни за тези категории получатели, както и сключва допълнително споразумение със съответния независим администратор, с което гарантира поверителността и конфиденциалността на личните данни, които се споделят.
Когато е налице фигурата на съвместни администратори между НМ Дженомикс и трето лице администратор, те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по Регламент (ЕС) 2016/679 посредством договореност помежду си.
1. МЕЖДУНАРОДЕН ТРАНСФЕР НА ЛИЧНИ ДАННИ – ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ НА ТРЕТИ СТРАНИ ИЗВЪН ЕС И ЕИП
НМ Дженомикс може да предава лични данни на трети страни извън Европейския съюз и Европейското икономическо пространство само при спазване на изискванията на Регламент (ЕС) 2016/679 и по-специално на тези, разписани в глава V от него.
Предаването се извършва въз основа на решение на Европейската комисия, относно адекватното ниво на защита, което осигурява въпросната трета страна. При липса на такова решение на Европейската комисия, предаването на трета страна може да се извърши само ако са налице подходящи гаранции и при условие, че са налице приложими права на субектите на данни и ефективни правни средства за защита. Подходящи гаранции представляват стандартни клаузи за защита на личните данни включени в споразумения за обработка на личните данни сключени между НМ Дженомикс и съответната трета страна.
Алтернативно, предаване на лични данни към трета страна, може да се извърши и след дадено изрично съгласие на субекта на данните или когато са налице други основания, посочени в член 49, параграф 1 от Регламент (ЕС) 2016/679.
XII. ЗАДЪЛЖЕНИЕ ЗА ОГРАНИЧАВАНЕ НА СЪХРАНЕНИЕТО НА ЛИЧНИ ДАННИ
НМ Дженомикс съхранява лични данни само за срок, не по-дълъг от необходимото за целите, за които се обработват личните данни.
След изтичане на срока на съхранение НМ Дженомикс осигурява тяхното надлежно унищожаване или изтриване по установен ред.
Срокове за съхранение на лични данни в НМ Дженомикс
- Лични данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация. В случай че за съответна медицинска документация с нормативен акт не е установен срок за съхранение, то медицинската документация се съхранява за максимален срок от 10 (десет) години. Лични данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация. Документи относно лични данни на пациента, идентификационни данни, данни за контакт, заявки за излесдвания, резултати се пазят за максимален срок от 5 (пет) години.
- Личните данни на работници/служители, съдържащи се в трудовоосигурителната документация, се съхраняват за срок от 50 (петдесет) години в съответствие със Закона за националния архивен фонд, Закона за счетоводството, Кодекса за социално осигуряване и Данъчноосигурителния процесуален кодекс;
- Личните данни на кандидати за работа, които не са одобрени за назначаване в някое от дружествата от Групата се съхраняват за срок не по-дълго от 6 (шест) месеца от приключване на процедурата, след което се връщат на лицето или се унищожават по подходящ начин. Личните данни може да се съхраняват за подълъг период с цел отправяне на предложения за работа само при наличие на предоставено съгласие от кандидата за работа;
- Записите от техническите средства за видеонаблюдение се съхраняват 2 (два) месеца от изготвянето им;
- Лични данни, съдържащи се в счетоводни документи се съхраняват в сроковете по член 12 от Закона за счетоводството.
- Наред с тези основни срокове, НМ Дженомикс е утвърдило своя политика за определяне на сроковете за съхранение и унищожаване на документацията.
XIII. ЗАДЪЛЖЕНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ В СЪОТВЕТСТВИЕ С ПРАВАТА НА СУБЕКТА НА ДАННИТЕ
НМ Дженомикс обработва лични данни, като осигурява упражняване на правата на субекта на данните, а именно:
- право на информация за съхраняваните от НМ Дженомикс негови лични данни и получаване на копие от съхраняваните негови лични данни (право на достъп);
- право на коригиране на неговите лични данни, ако същите са неточни или неактуални;
- право на изтриване на неговите лични данни, ако е приложимо (право „да бъдеш забравен“);
- право на ограничаване на обработването на неговите лични данни;
- право на оттегляне на съгласието за обработване на неговите лични данни, ако е приложимо;
- право на преносимост на неговите лични данни (да ги получи или да бъдат прехвърлени на друг администратор на лични данни в структуриран, широко използван и пригоден за машинно четене формат), ако е приложимо;
- право неговите лични данни да не бъдат обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса;
- право на възражение срещу обработването на неговите лични данни, ако е приложимо;
- право на жалба срещу обработването на неговите лични данни пред Комисията за защита на личните данни (КЗЛД) – гр. София, 1592, бул. „Проф. Цветан Лазаров“ № 2 или на адрес www.cpdp.bg.
XIV. ЗАДЪЛЖЕНИЕ ЗА ОТЧЕТНОСТ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
НМ Дженомикс носи отговорност и е в състояние да докаже, че спазва задълженията си във връзка с обработването на лични данни.
В качеството си на администратор на лични данни НМ Дженомикс е създало и поддържа регистър на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия регламент за защита на данните, по утвърден образец, който съдържа следната информация:
а) дейност по обработване на личните данни;
б) цел на обработването на личните данни;
в) основание за обработване на личните данни;
г) категория субекти на личните данни;
д) категории лични данни;
е) източник на личните данни;
ж) срок на съхранение на личните данни;
з) получатели на личните данни
и) автоматизирано вземане на решения/профилиране;
й) организационни и технически мерки за защита;
к) име на държавата или международната организация при предаване на лични данни;
л) гаранции при предаване на лични данни към трети държави или международни организации;
м) съвместни администратори;
н) обработващ личните данни.
В случаите, в които е необходимо НМ Дженомикс извършва оценка на въздействието върху защитата на личните данни, като вземе предвид всички обстоятелства, свързани с дейностите по обработване на лични данни.
Когато в резултат на оценката на въздействието върху защитата на личните данни е ясно, че НМ Дженомикс ще започне да обработва лични данни, които поради висок риск биха могли да причинят вреди на субектите на данни, решението дали обработването да продължи или не, трябва да бъде предадено за преглед от страна на длъжностното лице за защита на данните.
В случай, че длъжностното лице по защита на данните има сериозни опасения относно потенциалната вреда или опасност, или относно количеството на съответните данни, то въпросът следва да се отнесе до КЗЛД.
НМ Дженомикс доказва изпълнение на задълженията си във връзка с обработването на лични данни посредством документиране на основните процеси по обработване на лични данни, приемане и прилагане на правила и процедури за обработване на лични данни, както и посредством присъединяване към кодекси за поведение, внедряване на подходящи технически и организационни мерки, приемане на техники по защита на личните данни на етапа на проектирането и защита на личните данни по подразбиране, оценка на въздействието върху защитата на личните данни и др.
1. ЗАДЪЛЖЕНИЕ ЗА ГАРАНТИРАНЕ НА СИГУРНОСТ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ
НМ Дженомикс е наясно с рисковете, свързани с обработването на определени категории лични данни.
При определянето на това доколко уместно е обработването НМ Дженомикс разглежда степента на евентуална вреда или загуба, която може да бъде причинена на субекта на данните, ако възникне нарушение на сигурността, както и всяка вероятна вреда за репутацията на НМ Дженомикс, включително евентуална загуба на доверие на клиентите.
- При оценяването на подходящи технически мерки за гарантиране на сигурността при обработване на лични данни, НМ Дженомикс анализира следните обстоятелства:
а) предвидени защити чрез въвеждане на парола;
б) наличието на автоматично заключване на бездействащи работни станции в мрежата;
в) премахване на права на достъп за USB и други преносими носители с памет;
г) антивирусен софтуер и защитни стени;
д) правата за достъп;
е) защитата на устройства, които напускат помещенията на организацията, като например преносими компютри и мобилни телефони;
ж) сигурността на локални и широкообхватни мрежи;
з) технологии за подобряване на поверителността, като например псевдонимизиране и анонимизиране;
и) идентифициране на подходящи международни стандарти за сигурност.
- При оценяването на подходящите организационни мерки за гарантиране на сигурността при обработване на лични данни, НМ Дженомикс взима предвид:
а) подходящо обучение на работниците и служителите на НМ Дженомикс;
б) гаранции за надеждността на работниците и служителите на НМ Дженомикс (например препоръки);
в) включването на задължения по отношение на защитата на личните данни в трудовите договори на работниците и служителите на НМ Дженомикс;
г) предвиждането на дисциплинарни наказания за работниците и служителите на НМ Дженомикс за допуснати нарушения при обработването на лични данни;
д) редовни проверки на работниците и служителите на НМ Дженомикс за спазване на съответните стандарти за сигурност;
е) упражняване на контрол върху физическия достъп до лични данни, записани на електронен носител или съдържащи се на хартия;
ж) приемането и спазването на политика на „чисто работно място“;
з) съхраняване на лични данни, съдържащи се на хартия в заключващи се стенни шкафове;
и) ограничаване на използването от страна на работниците и служителите на НМ Дженомикс на мобилни електронни устройства на и извън работното място;
й) приемане и спазване на правила за създаване и ползване на защитни пароли;
к) редовно създаване на резервни копия на личните данни и физическо съхраняване на носителите с копия извън офиса;
л) включването на задължения по отношение на защитата на личните данни в договорите с доставчици, подизпълнители, партньори и трети лица, както и задължение за предприемане от тяхна страна на подходящи мерки за сигурност при прехвърляне на данни извън ЕС.
Всички доставчици, подизпълнители, партньори, работници и служители, които работят с или за НМ Дженомикс и които имат или могат да имат достъп до обработваните от НМ Дженомикс лични данни, отговарят за гарантиране сигурността на съхраняването на личните данни.
Всички доставчици, подизпълнители, партньори, работници и служители, които работят с или за НМ Дженомикс и които имат или могат да имат достъп до обработваните от НМ Дженомикс лични данни, са длъжни да съхраняват сигурно и да не разкриват лични данни пред трети лица, освен ако НМ Дженомикс не е предоставило право на достъп до тези данни, като за целта е сключило споразумение за поверителност.
XVI. КОНФИДЕНЦИАЛНОСТ
Личните данни са предмет на конфиденциалност. Забранява се служителите да извършват неразрешено събиране, обработка или използване на лични данни. Всяка обработка, извършена от служител без разрешение, която му е поверена при или по повод изпълнение на неговите задължения, е неоторизирана. Прилага се принципът „необходимост да се знае“: Служителите могат да имат достъп само до лични данни, ако и доколкото това е необходимо за съответните им задачи. Това изисква внимателното разделение и отделяне на ролите и отговорностите, както и тяхното внедряване и поддръжка в рамките на обхвата на разрешителните концепции.
Служителите не са упълномощени да разкриват лични данни на неупълномощени лица или по какъвто и да е друг начин или да ги използват за лични или икономически цели. Ръководителите в Дружеството трябва да информират своите служители за задължението за защита на тайната на данните при започване на работа. Това задължение остава в сила и след приключване на трудовата заетост на съответния служител.
Личните данни трябва да бъдат защитени от всякакъв неоторизиран достъп, незаконна обработка или разкриване, както и случайно изгубване, или унищожаване по всяко време. Това се прилага независимо от обработката на данните, извършена по електронен път или на хартиен носител.
Преди да се приложат нови процеси или обработка на данни, особено нови информационни системи, трябва да се определят и изпълнят всички технически и организационни мерки за защита на личните данни. Тези мерки трябва да бъдат подходящи по отношение на настоящите технологични стандарти, рисковете, произтичащи от обработката и необходимостта от защита на данните (определени от процеса на класификация на информацията). Отговорният отдел може да се консултира със служителя по защита на данните на корпоративните клиенти. Техническите и организационни мерки за защита на личните данни са част от управлението на безопасността на информацията на Дружеството и трябва да бъдат непрекъснато съгласувани с техническите промени и организационните промени.
XVII. НАРУШАВАНЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ
Правилното справяне с нарушаване на сигурността на личните данни е от съществено значение, тъй като Общият Регламент предвижда доста строго задължително изискване за докладване за нарушения на данните. В случай на нарушение на сигурността на данните съществуват правни задължения за уведомяване на надзорния орган и субектите на данните.
- „Нарушение на сигурността на лични данни“означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин. Нарушаването на сигурността на данни е нарушение на сигурността на данните и защитата на данните, при което вероятно или доказано е, че личните данни са известни на неупълномощени лица. Нарушенията на сигурността на данните често са свързани със значителни рискове за засегнатите лица, като например повреда в репутацията, дори злоупотреба с кредитна карта или кражба на самоличност, както и сериозни недостатъци за компанията.
- Общият Регламент предвижда задължително изискване за докладване за нарушения на данните. Член 33 от Общия Регламент (за уведомяване на надзорния орган) и член 34 същия регламент (за уведомяване на субектите на данни) определят кога такова задължение е приложимо.
В случай на нарушаване на сигурността на лични данни администраторът уведомява без ненужно забавяне и, когато е възможно, не по-късно от 72 часа след като е узнал за него, нарушението на личните данни компетентния надзорен орган в съответствие с член 55 от Общия Регламент, освен ако нарушението на личните данни е малко вероятно да доведе до риск за правата и свободите на физическите лица. Когато уведомлението до надзорния орган не бъде направено в рамките на 72 часа, то се придружава от обяснение за забавянето.
Обработващият лични данни уведомява администратора без неоснователно забавяне, след като е узнал за нарушение на личните данни. Горепосоченото уведомление трябва да съдържа най-малко:
- Да описва естеството на нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой засегнати субекти на данни, както и категориите и приблизителния брой записи за лични данни;
- Да съобщава името и данните за контакт на служителя за защита на данните или на друго звено за контакт, където може да се получи повече информация;
- Да опише възможните последици от нарушението на личните данни;
- Да опише мерките, предприети или предложени да бъдат предприети от администратора за справяне с нарушаването на личните данни, включително, когато е уместно, мерки за смекчаване на евентуалните неблагоприятни последици;
Когато и доколкото не е възможно да се предостави информацията по едно и също време, информацията може да бъде предоставена на фази без неоправдано по-нататъшно забавяне.
Администраторът документира всякакви нарушения на сигурността на лични данни, включващи фактите, свързани с нарушението на личните данни, неговите последици и предприетите корективни действия. Тази документация дава възможност на надзорния орган да проверява спазването на гореспоменатите разпоредби съгласно чл. 33 Общия Регламент.
Когато нарушаването на личните данни може да доведе до висок риск за правата и свободите на физическите лица, администраторът съобщава нарушението на личните данни на субекта на данните без неоправдано забавяне.
Горепосоченото съобщение до субекта на данни описва на ясен език характера на нарушението на сигурността на личните данни и най-малкото:
- Съобщава името и данните за контакт на служителя за защита на данните или друго звено за контакт, където може да бъде получена повече информация;
- Описват вероятните последици от нарушението на личните данни;
- Описва предприетите или предложени мерки от страна на администратора за справяне с нарушението на личните данни, включително, когато е уместно, мерки за смекчаване на евентуалните неблагоприятни последици.
Горепосоченото съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:
- Администраторът е приложил подходящи технически и организационни мерки за защита и тези мерки са били приложени към личните данни, засегнати от нарушението на личните данни, и по-специално тези, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях като криптиране;
- Администраторът е предприел последващи мерки, които гарантират, че високият риск за правата и свободите на субектите на данни, посочени по-горе (вж. чл. 34(1) от Общия Регламент) вече не е вероятно да се материализира;
- Би довело до непропорционални усилия. В такъв случай вместо това трябва да има публична комуникация или подобна мярка, при която субектите на данни да бъдат информирани по еднакъв ефективен начин.