РЦТХ Стара Загора пази вашите лични данни и отговаря напълно на GDPR

Темата за новия регламент за защита на личните данни – GDPR, e една от най-горещите за бизнеса през последните месеци. Причината за това е, че не само се установява единна регулация за съхранение и обработка на данните на всички физически лица, граждани на Европейския съюз, а и всеки един бизнес, който работи с лични данни е необходимо да предприеме конкретни действия, за да е съвместим с GDPR.

От 25 май 2018 година действието на регламента ще бъде абсолютен факт.

Равносметката за нас като организация е следната: Сигурността и защитата на всички клиентски данни, не само лични, винаги са били приоритет №1 за нас. Като отговорна организация следваме всички законови изисквания и нормативи. Към днешна дата следваме стриктно и настоящата регулация за защита на личните данни, установена в България.
С увереност можем да заявим, че всички процедури по събиране, съхраняване и обработка на вашите лични данни са законосъобразни и съответстват напълно на условията на новия европейски регламент.

С настоящата статия ще Ви запознаем какви мерки предприехме, за да отговорим на изискванията според GDPR.

Преди това, нека направим кратък обзор на най-често задаваните въпроси във връзка с новата регулация.

Какво е GDPR?

GDPR (General Data Protection Regulation) е европейски регламент, чиято подготовка започна 4 години преди официалното му приемане през 2016 година. Целите на регламента са да:

  • Унифицира законодателната уредба на всички държави членки на ЕС конкретно при защитата на личните данни;
  • Гарантира защитата на личните данни на всички европейски граждани;
  • Промени начина, по който бизнесите възприемат процеса на взаимодействие с личните данни.

Казано накратко GDPR е регламент, който има за цел да улесни контрола на физическите лица върху начина, по който различни организации получават достъп и оперират с техни лични данни.

Защо е важно да сме запознати с GDPR

Като физически лица, всеки един от нас предоставя своите лични данни ежедневно на различни институции. С помощта на GDPR всеки гражданин на ЕС ще може да упражнява различни права по отношение на личните му данни, които включват да откаже да стане субект на обработка на лични данни, да получи достъп до личните си данни, да бъде “забравен” и други.

И не само. GDPR е една сложна синхронизация между законодателни органи, юридически и физически лица. Всеки бизнес е необходимо да вземе съответните мерки, за да се адаптира към променящата се законодателна среда.
Важно е да подчертаем, че регламентът има сериозно приложение дори извън рамките на ЕС. GDPR е в сила при всички случаи, когато данни на европейски граждани биват обработвани, независимо в коя точка на света се намират те.

Кои данни са лични по смисъла на GDPR?

Това са комбинации от данни, които могат еднозначно да идентифицират дадено физическо лице.
Например – име, имейл адрес, контактна информация, ЕГН, банкова и застрахователна информация, геолокация и други. По смисъла на GDPR IP адресите също попадат в графата лични данни. Лични данни могат да бъдат и други биометрични, социални, икономически и културни идентификатори.

Администратор и обработващ

GDPR поставя две основни понятия по отношение защитата на лични данни, а именно – администратор на лични данни и обработващ лични данни.

РЦТХ Стара Загора обработва лични данни в качеството си на обработващ данните и в качеството на администратор, който е възложил на трето лице да обработва лични данни съгласно цели и инструкции, определени от Закона за кръвта, кръводаряването и кръворпеливането.

РЦТХ Стара Загора е администратор на лични данни по отношение на вашите данни като кръводарители. Спрямо личните данни на трети лица (реципиентите), които се съхраняват на сървърите на НЦТХ, РЦТХ Стара Загора действа в качеството си на обработващ лични данни.

По отношение на изграждане и поддържане на Регистри по чл.36 от ЗККК РЦТХ Стара Загора се явява Администратор на лични данни.

Какви лични данни събира СуперХостинг.БГ?

Като администратор на лични данни ние събираме единствено лични данни, дефинирани в чл.36 на ЗККК, и които са ни необходими за нуждите на трансфузионния надзор. Тези данни се попълват по време на регистрацията преди кръводаряване.

Какво направихме, за да отговорим на GDPR?

На нашия сайт публикувахме Задължителна информация за правата на лицата по защита на личните данни (Privacy Policy). В нея сме описали подробно какви видове лични данни пазим, с каква цел, за какъв период и как ги обработваме. На страницата е поместена и информация относно длъжностното лице по защита на личните данни при нас, както и пълна информация за вашите права при събирането, обработването и съхранението на личните ви данни. С пълния текст можете да се запознаете тук.

Освен задължителните административни промени и предписания, които е необходимо всяка компания да организира, за да отговори на новата регулация, за нас винаги основен приоритет ще бъде сигурността на всички данни, не само лични, които се съхраняват на нашите сървъри.

Начало За нас Файлове за сваляне GDPR Задължителна информация за правата на лицата по защита на личните данни (Privacy notice)

Задължителна информация за правата на лицата по защита на личните данни (Privacy notice)

Обща информация

От 25 май 2018 г. влиза в сила нов регламент за защита на личните данни (General Data Protection Regulation), приет от Европейския съюз. Регламентът има за цел да гарантира защитата на данните на физическите лица от всички държави членки на ЕС и да уеднакви регулациите за тяхната обработка.

В качеството си на администратор на лични данни РЦТХ Стара Загора отговаря на всички изисквания на новата регулация, като събира единствено данни на лицата дотолкова, доколкото са необходими за предоставянето на услугата, и ги пази отговорно и законосъобразно.

Информация относно Администратора на лични данни

Наименование: Районен център по трансфузионна хематология
ЕИК 123028554.
Седалище и адрес на управление: гр. Стара Загора бул. Ген.Столетов 2
Адрес за упражняване на дейността: гр. Стара Загора бул. Ген.Столетов 2
Данни за кореспонденция: гр. Стара Загора бул. Ген.Столетов 2
E-mail: rcth_st_zagora@abv.bg
Телефон.: 042 611 444

Информация относно длъжностното лице по защита на личните данни

Наименование: Латинка Балабанова
Седалище и адрес на управление: гр. Стара Загора бул. Ген.Столетов 2
Данни за кореспонденция: гр. Стара Загора бул. Ген.Столетов 2
E-mail: rcth_st_zagora@abv.bg
Телефон.: 042 611 444

Информация относно компетентния надзорен орган

Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон:02 915 3 518
Email: kzld@government.bg“> kzld@government.bg, kzld@cpdp.bg“> kzld@cpdp.bg
Уеб сайт: www.cpdp.bg

РЦТХ Стара Загора осъществява дейността си в съответствие със Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни.

Основание за събиране, обработване и съхраняване на Вашите лични данни

Чл. 1. (1) РЦТХ Стара Загора събира и обработва Вашите лични данни във връзка с осигуряването на качествени и безопасни кръвни съставки за лечение на пациенти в лечебните заведения в страната и за нуждите на трансфузионния надзор на основание чл. 6, ал. 1, Регламент (ЕС) 2016/679, и по-конкретно въз основа на следното:

-Изрично получено съгласие от Вас като кръводарител;
-Спазване на законово задължение, което се прилага спрямо РЦТХ Стара Загора;
-За да бъдат защитени жизнено важни интереси на субекта на данните или на друго физическо лице.

(2) РЦТХ Стара Загора е администратор на лични данни по отношение на Вашите данни като кръводарители. Спрямо личните данни на реципиенти, които съхранява и обработва, РЦТХ Стара Загора действа в качеството си на обработващ лични данни.

Цели и принципи при събирането, обработването и съхраняването на Вашите лични данни

Чл. 2. (1) РЦТХ Стара Загора събира и обработва личните данни, които Вие ни предоставяте във връзка с изграждането и поддържането на Регистър на кръводарителите, съгласно чл.36 от ЗККК и за целите на трансфузионния надзор, както и за следните цели:

-регистрация на участник в събитие, организирано от РЦТХ Стара Загора;
-счетоводни цели;
-статистически цели;
-защита на информационната сигурност;
-изпращане на информационни съобщения за събития, които могат да са от интерес за Вас;

(2) РЦТХ Стара Загора спазва следните принципи при обработката на Вашите лични данни:

-законосъобразност, добросъвестност и прозрачност;
-ограничение на целите на обработване;
-съотносимост с целите на обработката и свеждане до минимум на събираните данни;
-точност и актуалност на данните;
-ограничение на съхранението с оглед постигане на целите;
-цялостност и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.

(3) При обработването и съхранението на личните данни, РЦТХ Стара Загора може да обработва и съхранява личните данни с цел защита на следните легитимни интереси:

-Изпълнение на задълженията си към службите за контрол на заразните болести;
-Министерство на вътрешните работи и други държавни и общински органи.

Какви видове лични данни събира, обработва и съхранява РЦТХ Стара Загора?

Чл. 3. (1) РЦТХ Стара Загора извършва следните операции с личните данни за следните цели:

Регистрация на кръводарител в изпълнение на изискванията на чл.36, ал.1, т.1 на ЗККК – целта на тази операция е създаване на регистър на кръводарителите за нуждите на трансфузионния надзор. Заключение от оценката на въздействието: Въз основа на горепосочената оценка на въздействието, длъжностното лице за защита на личните данни, счита че операцията „Регистрация на кръводарител“ е допустима за извършване и предоставя достатъчни гаранции за защита на правата и законните интереси на субектите на данните в съответствие с изискванията на GDPR.
Регистрация на данни от медицинско освидетелстване на кръводарител. Заключение от оценката на въздействието: Въз основа на горепосочената оценка на въздействието, длъжностното лице за защита на личните данни, счита че операцията „Регистрация на данни от медицинско освидетелстване на кръводарител“ е допустима за извършване и предоставя достатъчни гаранции за защита на правата и законните интереси на субектите на данните в съответствие с изискванията на GDPR.
Регистрация на данни от лабораторни изследвания на дарената кръв. Заключение от оценката на въздействието: Въз основа на горепосочената оценка на въздействието, длъжностното лице за защита на личните данни, счита че операцията „Регистрация на данни от лабораторни изследвания на дарената кръв“ е допустима за извършване и предоставя достатъчни гаранции за защита на правата и законните интереси на субектите на данните в съответствие с изискванията на GDPR.
Обработка на данни за реципиенти на кръвни съставки в изпълнение на изискванията на чл.36, ал.1, т.1 на ЗККК – целта на тази операция е създаване на регистър на реципиентите за нуждите на трансфузионния надзор. Заключение от оценката на въздействието: Въз основа на горепосочената оценка на въздействието, длъжностното лице за защита на личните данни, счита че операцията „Регистрация на кръводарител“ е допустима за извършване и предоставя достатъчни гаранции за защита на правата и законните интереси на субектите на данните в съответствие с изискванията на GDPR.
Изпращане на информационни съобщения – целта на тази дейност е администриране на процеса по изпращане на съобщения до кръводарителите, които се отнасят до събития, организирани от РЦТХ Стара Загора.

(2) РЦТХ Стара Загора обработва следните категории лични данни и информация за следните цели и на следните основания:

Лични данни: Ваши индивидуализиращи данни (ЕГН, име и фамилия, пощенски адрес, телефон)
Цел, за която се събират данните: 1) Регистрация на кръводарител; 2) Осъществяване на връзка с кръводарителя и изпращане на информация към него; 3) за проверка на резултатите от проведените изследвания през платформата на НАИС.
Основание за обработка на личните Ви данни – Чл.36, ал.1, т.1 създава законово задължение, на което основание обработваме Вашите лични данни – чл. 6, пар.1, в. (в) GDPR.

Други данни, които РЦТХ Стара Загора обработва – При регистрация се събира информация за личния ви лекар.

Цел, за която се събират данните: Предоставяне на информация за здравословното състояние на кръводарителя, когато това е необходимо.
Основания за обработка на данните: Обработването е необходимо за съхраняване на здравето на кръводарителя и на трети лица – чл. 6, пар.1, г. (д) GDPR.
Ваши данни за здравословно състояние – Данни от медицинския преглед, целящ да установи дали здравословното ви състояние позволява да дарите кръв.
Цел, за която се събират данните: Данните от медицинския преглед позволяват да се установи дали здравословното ви състояние позволява да дарите кръв и дали актът на кръводаряване няма да навреди на здравето ви.
Основание за обработка на личните Ви данни – Обработването е необходимо за съхраняване на здравето на кръводарителя – чл. 6, пар. 1, г. (г) GDPR.
Ваши данни за резултатите от изследванията на дарената кръв – След акта на кръводаряване, дарената кръв се подлага на серия изследвания.
Цел, за която се събират данните: Дарената кръв се изследва за: 1) определяне на кръвна група по системите ABOиRh; 2) други кръвногрупови системи; 3) наличие на антитела; 4) носителство на трасмисивни инфекции.
Основание за обработка на личните Ви данни – Обработването е необходимо за съхраняване на здравето на кръводарителя и на трети лица – чл. 6, пар. 1, г. (д) GDPR.

(3) РЦТХ Стара Загора не събира и не обработва лични данни, които се отнасят за следното:

-разкриват расов или етнически произход;
-разкриват политически, религиозни или философски убеждения, или членство в -синдикални организации;
-генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.

(4) Личните данни са събрани от РЦТХ Стара Загора от лицата, за които се отнасят.

(5) РЦТХ Стара Загора не извършва автоматизирано взимане на решения с данни.

Срок на съхранение на личните Ви данни

Чл. 4. РЦТХ Стара Загора съхранява личните данни, които е необходимо да пази по силата на приложимото законодателство за съответния предвиден срок.

Предаване на вашите лични данни за обработване

Чл. 5. РЦТХ Стара Загора може в предвидени от законодателството случаи да предава част или всички Ваши лични данни на обработващи лични данни за изпълнението на целите за обработване при спазване на изискванията на Регламент (ЕС) 2016/679.

Вашите права при събирането, обработването и съхранението на личните ви данни

Оттегляне на съгласието за обработване на личните Ви данни

Чл. 6. (1) Дадено съгласие за обработка на данни не може да бъде оттеглено при вече съществуващи регистрации – чл. 17, пар.3, б (г) GDPR.

(2) С отказ за съгласието за обработване на лични данни, които са задължителни за създаването и поддържане на регистрацията Ви, кръводаряване не може да бъде осъществено.

Право на достъп

Чл. 7. (1) Вие имате право да изискате и получите от РЦТХ Стара Загора потвърждение дали се обработват лични данни, свързани с Вас.

(2) Вие имате право да получите достъп до данните, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните Ви данни.

(3) РЦТХ Стара Загора Ви предоставя при поискване, копие от обработваните лични данни, свързани с Вас, в електронна или друга подходяща форма.

(4) Предоставянето на достъп до данните е безплатно, но РЦТХ Стара Загора си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.

Право на коригиране или попълване

Чл. 8. Вие можете да коригирате или попълните неточните или непълните лични данни, свързани с Вас в течение на настоящата или про следваща регистрация.

Право на изтриване („да бъдеш забравен“)

Чл. 9.(1) Правото на изтриване („право да бъдеш забравен“) не е абсолютно право.

(2) РЦТХ Стара Загора не е длъжен да изтрие личните данни, ако ги съхранява и обработва:

-за упражняване на правото на свобода на изразяването и правото на информация;
-за спазване на правно задължение, което изисква обработване, предвидено в -правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при -упражняването на официални правомощия, които са му предоставени;
-по причини от обществен интерес в областта на общественото здраве;
-за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
-за установяването, упражняването или защитата на правни претенции.

(3) При вече дадено съгласие за обработка, данни от предишни регистрации не могат да бъдат изтрити – чл. 17, пар.3, б (г) GDPR.

(4) РЦТХ Стара Загора не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права.

Право на ограничаване

Чл. 10. Вие имате право да изискате от РЦТХ Стара Загора да ограничи обработването на свързаните с Вас данни, когато:

-оспорите точността на личните данни, за срок, който позволява на РЦТХ Стара Загора да провери точността на личните данни;
-обработването е неправомерно, но Вие не желаете личните Ви данни да бъдат -изтрити, а само използването им да бъде ограничено;
-РЦТХ Стара Загора не се нуждае повече от личните данни за целите на обработването, но Вие ги изисквате за установяването, упражняването или защитата на свои правни претенции;
-Възразили сте срещу обработването в очакване на проверка дали законните основания на РЦТХ Стара Загора имат преимущество пред Вашите интереси.

Право на преносимост

Чл. 11. (1) Вие можете по всяко време да изтеглите данните, които се съхраняват и обработват за Вас във връзка с използване на услугите на РЦТХ Стара Загора с лично подадена декларация.

(2) Вие можете да поискате от РЦТХ Стара Загора директно да прехвърли Вашите лични данни към посочен от Вас администратор, когато това е технически осъществимо.

Право на получаване на информация

Чл. 12. Вие можете да поискате от СуперХостинг.БГ да Ви информира относно всички получатели, на които личните данни са били разкрити. РЦТХ Стара Загора може да откаже да предостави тази информация, ако това би било невъзможно или изисква несъразмерно големи усилия.

Право на възражение

Чл. 13. Вие можете да възразите по всяко време срещу обработването на лични данни от РЦТХ Стара Загора, които се отнасят до Вас, включително ако се обработват за целите на профилиране или директен маркетинг.

Вашите права при нарушение на сигурността на личните ви данни

Чл. 14. (1) Ако РЦТХ Стара Загора установи нарушение на сигурността на личните Ви данни, което може да породи висок риск за Вашите права и свободи, ние Ви уведомяваме без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети.

(2) РЦТХ Стара Загора не е длъжен да Ви уведомява, ако:

-е предприел подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
-е взел впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата Ви;
-уведомяването би изисквало непропорционални усилия.

Лица, на които се предоставят личните ви данни

Чл. 15. РЦТХ Стара Загора предава необходимата информация в случаите, предвидени в законодателството на република България към съответния регистратор, който обработва Вашите данни като администратор.

Чл. 16. Администраторът не извършва трансфер на вашите данни към трети държави.

Други разпоредби

Чл. 17. В случай на нарушаване на правата Ви съгласно горепосоченото или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни, както следва:

Наименование: Комисия за защита на личните данни
Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2
Телефон:02 915 3 518
Email: kzld@government.bg“> kzld@government.bg, kzld@cpdp.bg“> kzld@cpdp.bg
Уеб сайт: www.cpdp.bg

Чл. 18. Можете да упражните всичките си права относно защита на Вашите лични данни във всякаква форма, която съдържа изявление за това и ви идентифицира като притежател на данните.

SHARE