Консенто
  • За лекари
    Вход Регистрация за лекари Описание на модулите
  • За пациенти
    Вход Регистрация Стъпка по стъпка
  • Контакт
Вход Регистрация
ОписаниеРегистрация
Стъпка по стъпка
Контакт
Вход Регистрация
GDPR & Поверителност

Политика за защита на личните данни
на групата Haelan

Принципи, категории данни, срокове, права на субектите и мерки за сигурност

Съдържание

  1. Данни за администраторите и координати за контакт
  2. Длъжностно лице по защита на данните
  3. Предмет, цел и обхват
  4. Принципи при обработването на лични данни
  5. Лични данни, които Haelan обработва
  6. Информация, предоставяна при обработване на лични данни
  7. Права на субектите на лични данни
  8. Съдействие при осъществяване на правата
  9. Разкриване на информация на външни страни
  10. Администратор и обработващ лични данни
  11. Сигурност на данните и нарушение на сигурността
  12. Длъжностно лице по защита на данните (функции)
  13. Дължима грижа
  14. Определения

1. Данни за администраторите на лични данни и координати за контакт

  • ХЕЙЛАН ЕАД, ЕИК 207648560
  • Хейлан Кеър – Медицински център ЕООД, ЕИК 207312638
  • Хейлан Кеър 2 – медико-дентален център ЕООД, ЕИК 201760855
  • Хейлан Кеър 3 – Медицински център ЕООД, ЕИК 206470233
  • Хейлан Кеър 4 – Медицински център ЕООД, ЕИК 207710752
  • Хейлан Кеър – Грижа за възрастни ЕООД, ЕИК 201409799
  • Медицински център Поликлиника България ЕООД, ЕИК 205144009
  • Медицински център Първа Детска Консултативна клиника ООД, ЕИК 202126505
  • Консенто АД, ЕИК 205823566
  • Верум Здравен Мениджър ЕООД, ЕИК 204821808
  • Аптечен Център България ЕООД, ЕИК 204832509
  • Медицински център Консенто ЕООД, ЕИК 175329199

За контакт

София, 1766, ул. „Рачо-Петков Казанджията“ № 4-6, офис № 2
София, 1404, бул. „България“ № 51, етаж 3
E-mail: care@haelan.bg
www.haelan.bg
Тел: +359 887 550 322

2. Длъжностно лице по защита на данните и координати за контакт

Мария Несторова

България, гр. София, 1766, ул. „Рачо-Петков Казанджията“ № 4-6, офис № 2
Ел. поща: dpo@haelan.bg

3. Предмет, цел и обхват

Групата Haelan е група от лечебни заведения и медицински центрове с водещо дружество „Хейлан“ ЕАД, осъществяващи дейности за извънболнична медицинска помощ по смисъла на Закона за лечебните заведения и предоставяне на социални услуги съгласно Закона за социалните услуги. Компаниите от групата Haelan са фокусирани в предоставянето на място в лечебните заведения и медицинските центрове и по домовете на медицински и социални услуги, интегрирани медико-социални грижи, медицинска помощ от разстояние (телемедицина) и обучителни услуги като регистриран Център за професионално обучение (ЦПО).

Ние сме администратори на лични данни съгласно Закона за защита на личните данни (ЗЗЛД) и обработваме лични данни, самостоятелно или чрез възлагане на обработващ данните, в съответствие с приетите вътрешни правила за работа и защита на лични данни. Полагаме стриктно грижи да защитим поверителността на всички категории лични данни, които получаваме, събираме, обработваме и съхраняваме, като осигуряваме и съблюдаваме за пълното спазване на изискванията на приложимото национално1 и европейско2 законодателство в сферата на защита на личните данни и приложимата за дейността ни нормативна уредба.

Настоящата Политика за защита на личните данни на групата Haelan (Политиката) определя основните принципи и правила, свързани с обработването на лични данни, правата на субектите на тези данни, задълженията и отговорността на дружествата от групата Haelan като администратори на данни, съответно на служителите им, на обработващите лични данни от тяхно име, както и функциите на длъжностното лице по защита на личните данни.

Политиката подлежи на актуализация и може да бъде променяна и допълвана периодично.

Политиката е част от цялостна система от вътрешни документи, технически и организационни мерки, които дружествата от групата Haelan прилагат с цел да се гарантира, че служителите и всички други физически и юридически лица, които чрез възлагане обработват лични данни от името на групата Haelan, стриктно ще спазват изискванията на приложимото европейско и национално законодателство и на вътрешните правила, като по този начин ще гарантират спазване правата на физическите лица, свързани с техните лични данни.

Предлагаме да се запознаете подробно с тази Политика. Продължавайки да ползвате този уебсайт и услугите на групата Haelan, Вие потвърждавате, че приемате правилата и условията за обработка и защита на лични данни, залегнали в Политиката.

1 Закон за защита на личните данни, обн., ДВ, бр. 1 от 4.01.2002 г., впоследствие изменян и допълван.

2 Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (GDPR), в сила от 25.05.2018 г.

4. Принципи при обработването на лични данни

Ние обработваме лични данни при спазване на следните принципи:

4.1. Законосъобразност, добросъвестност и прозрачност

Обработваме лични данни законосъобразно, добросъвестно и по прозрачен и ясен за субектите начин.

Законосъобразност. Всяко обработване на лични данни от нас (от наши служители и други обработващи от наше име) се основава на валидно правно основание и се осъществява при спазване на нормативната уредба и вътрешните правила. Спрямо правните основания се прилага принципът на алтернативност, т.е. законосъобразно е обработването на данните, ако:

  • е необходимо за спазването на законово задължение, което се прилага спрямо дейността ни;
  • е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на такъв договор (например договори за медицински услуги, договори за социални услуги, трудови договори, договори с лица по извънтрудови правоотношения и др.);
  • е необходимо за предоставяне на услуги за извънболнична медицинска помощ, включваща консултации, медицинска помощ от разстояние (телемедицина), медико-диагностични дейности, провеждане на лечения, извършване на профилактични медицински прегледи и изследвания на физически лица, когато е заявено към нас или в изпълнение на договор между нас и други юридически лица (например с фондове за допълнително здравно осигуряване, работодатели или други лечебни заведения и медицински центрове);
  • е необходимо, за да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице;
  • е необходимо за изпълнението на задача от обществен интерес или при изпълнението на действия по силата на законов или подзаконов нормативен акт (включително обработване, свързано с предоставяне на информация, изискана от орган на власт);
  • субектът на данните е дал своето съгласие за обработване на личните му данни за една или повече конкретни цели, чрез предоставяне на съответни писмени документи и/или чрез други действия и технически способи (включително по електронен път);
  • е необходимо за целите на наши легитимни интереси или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете.

Законосъобразността на обработването по отношение на различните субекти (пациенти, ползватели на социални услуги, контрагенти и други) е посочено в „Уведомления за поверителност / Privacy Notices“, публикувани на уеб-страниците ни.

Законосъобразност на обработването по отношение на лицата, посещаващи наши лечебни заведения/медицински центрове и подлежащи на видеонаблюдение. Входовете, зона-рецепция и коридорите в лечебните заведения и медицинските центрове от групата Haelan са обект на видеонаблюдение и видеозаписване. При влизане, излизане и пребиваване в тези зони субектите на данни могат да бъдат обект на видеонаблюдение. Не се извършва видеонаблюдение в санитарно-хигиенни помещения, медицински кабинети, манипулационни и други помещения. Освен с настоящата Политика, субектите на данни са информирани за извършваното видеонаблюдение и чрез нарочни информационни табели, разположени на входовете на лечебните заведения/медицинските центрове.

Видеонаблюдение се извършва за легитимни цели – опазване здравето и живота на служители и на посетителите и с цел опазване и съхраняване на нашето имущество. Информацията, която се събира чрез видеонаблюдение, в случаите на извършено престъпление, може да се използва в рамките на наказателно производство (досъдебно и/или съдебно) от компетентните разследващи органи (МВР и др.), прокуратурата, следствието и съда.

Законосъобразност на обработването по отношение на лицата, посещаващи наши Уебсайтове и/или ползващи услуги през Уебсайтовете. Ние обработваме лични данни на лицата, посетили Уебсайтовете ни и ползващи услугите на тези сайтове (форма за запитване, заявка за консултация, запазване за час и абонамент за бюлетин) за легитимни цели – предоставяне на исканите от субектите услуги и/или информация, предоставяне на качествено обслужване на клиентите и набиране на нови клиенти.

Добросъвестност и прозрачност. В изпълнение на принципа на прозрачност при обработването на лични данни, ние информираме служителите си, клиентите си и другите субекти, чиито данни обработваме, по подходящ, ясен и разбираем начин за дейността по събиране и обработване на личните им данни от наша страна и за техните права във връзка със защитата на личните им данни, включително чрез информация на интернет страницата ни (виж „Уведомления за поверителност / Privacy Notices“). Ние оказваме съдействие на субектите на данни при упражняване на техните права. Служителите и работещите за групата Haelan, в качеството им на обработващи лични данни, са информирани за правата на клиентите като субекти на лични данни и се задължават да им предоставят информация и да им оказват съдействие по реда на настоящата Политика.

4.2. Ограничаване на целите

Обработваме лични данни за конкретни, изрично указани в съответните нормативни актове и/или договори и/или други документи легитимни цели и не ги обработваме по-нататък по начин, несъвместим с тези цели.

4.3. Свеждане на данните до минимум

Обработваме лични данни, които са подходящи, свързани със и ограничени до необходимото с оглед целите, за които се обработват.

4.4. Точност и актуалност

Събираме и обработваме коректни лични данни и предприемаме всички разумни мерки, за да се гарантира своевременното коригиране или изтриване на неактуални такива, като се имат предвид целите, за които те се обработват.

Полагаме усилия да поддържаме личните данни в актуален вид. В изпълнение на принципа за точност и актуалност на събраните данни и с цел да изпълним коректно задълженията си към пациентите и останалите субекти на данни, ги насърчаваме да ни информират за промяна на техни лични данни и им оказваме съдействие за актуализирането на данните им.

4.5. Ограничение на съхранението

Съхраняваме личните данни във форма, която да позволява идентифицирането на субекта на данните за период, не по-дълъг от определения с нормативен акт или вътрешно-нормативен документ, а ако такъв няма — за период, не по-дълъг от необходимото за целите, за които се обработват личните данни.

След постигане целта на обработване на личните данни или след изтичане на определения срок на съхранение, в качеството си на администратори, сме длъжни да ги заличим или унищожим. Не заличаваме лични данни и не унищожаваме документи, ако те са необходими за съдебно, административно производство или производство по разглеждане на жалба пред нас.

Конкретните срокове за съхранение на данните на субектите са посочени в информацията за отделните категории субекти по чл. 13 и чл. 14 – „Уведомления за поверителност / Privacy Notices“, публикувани на нашите уеб-страници.

  • Съхраняваме аудио-записи от телефонни разговори за срок от 1 (една) година след проведените разговори, след което те се заличават, освен ако не се изисква да ги запазим за по-дълъг срок, за да спазим законово изискване или наш легитимен интерес.
  • Когато обработването на Ваши данни се основава на съгласие, ние преустановяваме обработката на данните Ви и съхраняваме Вашите данни за срок от 5 (пет) години след като оттеглите Вашето съгласие за целите, за които сте се съгласили първоначално.
  • Съхраняваме данните, съдържащи се в записи от видеонаблюдение, за срок от 30 (тридесет) дни, след което те автоматично се презаписват.
  • Съхраняваме документи и данни, за които не е предвиден специален срок за съхранение, за срок от пет години от преустановяване на използването им.
  • Съхраняваме данните на субектите, изпратени от самите тях чрез услуги от нашите Уебсайтове (форма за запитване, заявка за консултация и абонамент за бюлетин), за посочените в „Уведомления за поверителност / Privacy Notices“ срокове или за срок от 5 (пет) години от тяхното постъпване при нас.

Ние не съхраняваме никаква информация за кредитни или дебитни карти. Тази информация се поддържа и плащанията се обработват от доставчик на платежни услуги – трета страна в съответствие със стандартите за сигурност на индустрията за платежни карти и разплащания.

В случай на възникнал правен спор или производство, налагащо запазване на данни, и/или искане от компетентен държавен орган, е възможно запазване на данни за по-дълъг от посочените срокове до окончателно приключване на възникналия спор или производство пред всички инстанции, както и за период до 5 (пет) години от приключването му.

4.6. Поверителност, цялостност и наличност

Обработваме личните данни по начин, който гарантира подходящо ниво на тяхната поверителност, цялостност и наличност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу загуба, унищожаване или повреждане, като се прилагат подходящи технически и организационни мерки и при спазване на добрите практики, залегнали в стандарти за информационна сигурност.

4.7. Отчетност

Ние носим отговорност за спазването на принципите, изложени в тази Политика, и изискваме тяхното спазване от своите служители и всички физически и юридически лица, които обработват лични данни от наше име и по наше възлагане.

4.8. Регистър на дейностите по обработване

За целите на отчетността като администратор, ние водим в електронен формат регистър на дейностите по обработване, който съдържа изискуемата от Регламент 2016/679 информация.

5. Лични данни, които Haelan обработва

5.1. Лични данни в зависимост от източника

Лични данни, които са предоставени от субектите на данните. Ние обработваме лични данни, които са предоставени от субекта на данните чрез договор, по инициатива на лицето, с цел изпълнение от наша страна на услуга или дейност, поискана от субекта на данни или във връзка с упражняване на негови права.

Лични данни, които не са предоставени от субектите на данни. Когато изпълняваме договорните си задължения, при провеждане на профилактични прегледи и изследвания обработваме лични данни на пациенти, които са ни предоставени от работодатели или фондове за допълнително здравно осигуряване. Когато изпълняваме законовите и договорни задължения, обработваме лични данни на лица-представители или лица за контакт на наши пациенти/ползватели на медицински или социални услуги, които данни са ни предоставени от техните роднини или законни представители.

5.2. Лични данни в зависимост от субекта на данните

При спазване на нормативната уредба и договорните си задължения обработваме данни на:

  • физически лица, на които оказваме помощ посредством предоставяне на медицински, социални и интегрирани медико-социални услуги, както и медицинска помощ от разстояние – телемедицина (накратко „пациенти“ или „ползватели на социални услуги“). Това са също и лицата, които консултираме относно възможността за предоставяне на услуги и които са се свързали с нас във връзка с предоставянето на услугите;
  • физически лица, които са регистрирани в платформа Consento от нас или наши Възложители – други лечебни заведения или медицински центрове, с които имаме сключен договор за ползване на административно-информационни услуги от групата Haelan;
  • физически лица – деца под 18 години, на които оказваме помощ посредством предоставяне на медицински услуги, заявени/договорени от техните законни представители;
  • физически лица, на които предоставяме обучителни услуги;
  • лица – законни представители на пациенти/ползватели на социални услуги, заявители на медицински и социални услуги и/или контактни лица, посочени доброволно от пациент/ползвател на социални услуги;
  • медицински лица (HCPs), работещи в и за групата Haelan;
  • своите служители и кандидати за работа, в качеството си на работодател;
  • лица по извънтрудови правоотношения – физически лица, с които има сключен договор за възлагане на конкретна дейност;
  • контрагенти – физически лица, които представляват юридически лица и/или са лица за контакт по договор с юридически лица, с които ние имаме отношения;
  • лица, отправили запитване, заявили консултация или абонамент за бюлетин през Уебстраниците ни;
  • лица, отправили запитвания, жалби, заявления, искания, молби, сигнали и друга кореспонденция към нас.

5.3. Лични данни в зависимост от вида на данните

Ние обработваме следните лични данни за изпълнение на нормативните си или договорни задължения с физически или юридически лица:

  • за ползващите медицински, социални услуги и медицинска помощ от разстояние – имена, ЕГН/ЛНЧ или друг идентификатор, дата на раждане, възраст, пол, националност, данни за контакт – телефон, постоянен и/или настоящ адрес, ел. адрес; данни за здравословно състояние (заболяване, диагноза, данни от медицинска епикриза, амбулаторни листи, болнични листи, лабораторни изследвания и/или друга медицинска документация, предписано лечение и други) и други медицински данни (навици и начин на живот, вид на проведени изследвания, имунизации, диагнози, диспансеризация, прегледи, хоспитализации, терапии, данни за жизнени показатели, събирани чрез специализирани медицински устройства и др.); данни за роднинска връзка с други лица; данни за личен лекар; данни за работодател и заемана длъжност; финансова информация – банкова сметка; данни за акаунт в Consento (потребителско име, идентификационен номер на сесията) и технически данни при медицинска помощ от разстояние (данни за устройството и връзката – IP адрес, вид устройство, браузър/приложение, използвани единствено за осигуряване сигурността на сесията и на платформата, и метаданни за сесията – дата, час, продължителност);
  • за ползващите обучителни услуги – имена, ЕГН/ЛНЧ, дата на раждане, пол, гражданство, адрес по местоживеене, данни за контакт – телефон и ел. адрес; финансова информация – банкова сметка; данни за образование;
  • за ползвателите на платформа Consento – име, презиме, фамилия, ЕГН/ЛНЧ или друг идентификатор, възраст, пол, данни за контакт – телефон, адрес по местоживеене, ел. адрес; данни за здравословно състояние (заболяване, диагноза, лабораторни изследвания, данни от амбулаторни листи, медицинска епикриза и/или друга медицинска документация, предписано лечение и други данни от документи, поддържани в здравното Ви досие в Consento), данни за роднинска връзка с други лица; данни за обработване на плащания; данни за акаунта в Consento – информация за това как купувате или се регистрирате за нашите услуги, видовете услуги, хронология на трансакциите и плащанията, както и друга информация, свързана с Вашия акаунт;
  • за лицата – представители на пациенти и ползватели на социални услуги – имена, данни за контакт – телефон и ел. адрес; данни за роднинска връзка с нашите пациенти или ползватели на социална услуга; финансова информация – банкова сметка;
  • за физически лица, които представляват контрагент – юридическо лице, и/или са лица за контакт по договор с юридически лица – имена, длъжност и данни за контакт – телефон и ел. адрес;
  • за медицински лица (HCPs), работещи в и за групата Haelan – три имена, ЕГН, УИН, служебен адрес и/или адрес за кореспонденция, телефон, имейл, образование, научно звание, медицинска специалност, основна месторабота, административна структура в местоработата, длъжност, данни за банкова сметка, данни за съдимост, когато с нормативен акт се изисква удостоверяването на съдебно минало;
  • за лицата, кандидатстващи за работа при нас – имена, ЕГН, възраст, пол, националност, снимка, контактни данни като електронна поща, телефон и адрес, данни за образование, професионален опит, лични и професионални качества и умения, данни за трудов и осигурителен стаж, данни от профили в социална мрежа LinkedIn; данни от свидетелство за управление на моторни превозни средства (когато се изискват), данни за здравословно състояние, относими към назначаването на работа, данни за съдимост;
  • за лица по трудови правоотношения – имена, ЕГН/ЛНЧ, номер на документ за самоличност, адрес по местоживеене, данни за контакт – телефон и ел. адрес; финансова информация – банкова сметка; данни за образование и професионален опит; данни за трудов и осигурителен стаж; данни от профили в социална мрежа LinkedIn; данни на деца на служителите и други;
  • за лица по извънтрудови правоотношения – имена, ЕГН/ЛНЧ, адрес по местоживеене, данни за контакт – телефон и ел. адрес; финансова информация – банкова сметка; данни за образование и професионален опит; данни от профили в социална мрежа LinkedIn;
  • за лицата, отправили запитвания, жалби, заявления, искания, молби, сигнали, абонамент за бюлетини и друга кореспонденция към нас, включително и през Уебстраниците – имена, данни за контакт – телефон и ел. адрес;
  • за лицата, които доброволно участват при заснемане на рекламни видеозаписи и фотоматериали за групата Haelan – две имена, фото и видео материали с техния образ;
  • за лицата, отправили искания към нас за упражняване на правата им в качеството им на субекти на данни – имена, данни за контакт – телефон и ел. адрес, ЕГН или дата на раждане (за целите на идентифицирането);
  • за посетителите на нашите интернет страници – ползвайки нашите Уебсайтове, определени данни се разпознават и събират автоматично (чрез т.нар. „бисквитки“). Повече информация в тази връзка е публикувана в „Политика относно бисквитките“ на отделните ни Уебсайтове.

Ние обработваме данни за здравословно състояние за следните цели:

  • за предоставяне на медицинска услуга (вкл. и на деца) и/или социална услуга, и/или интегрирана медико-социална грижа, договорена/заявена от пациент, заявител на социална услуга или работодател/фонд за допълнително здравно осигуряване;
  • за предоставяне на заявената медицинска помощ от разстояние и поддържане на дигитално здравно досие в Consento;
  • за осъществяване на достъп до електронен здравен запис в Националната здравноинформационна система (НЗИС) в обема, необходим за провеждане на телемедицинска сесия при предоставяне на заявена медицинска помощ от разстояние, и за вписване на резултатите от предоставената медицинска помощ в НЗИС, в съответствие със законовите ни задължения;
  • да направим и съхраним аудио, видео или друг цифров запис от телемедицинската сесия при предоставяне на медицинска помощ от разстояние, ако е предоставено съгласие от пациента за целта;
  • за предоставяне на обучителна услуга, заявена от физическо лице;
  • във връзка с изпълнение на законови изисквания към своите служители и лица по извънтрудови правоотношения, включително: при назначаване на служители; за целите на трудова медицина и здравословни и безопасни условия на труд; във връзка с упражняване на правата им при временна неработоспособност; във връзка с упражняване на правата им при трайно намалена работоспособност.

Обработваме данни за съдимост на служители и лица по извънтрудови правоотношения, когато с нормативен акт се изисква удостоверяване на съдебно минало. Обработваме за легитимни цели данни от видеонаблюдение, които могат да включват физическа идентификация на работещите в групата Haelan и посещаващите нашите лечебни заведения и медицински центрове, чрез образ от видеозапис и тяхното движение и пребиваване в наш център или заведение.

6. Информация, предоставяна от страна на групата Haelan при обработване на лични данни

В случаите, когато получим лични данни от субект на данни, му предоставяме информация за:

  • данните, които идентифицират администратора на лични данни;
  • координати за връзка с длъжностното лице по защита на личните данни;
  • целите и правното основание за обработването на личните данни, когато това е приложимо;
  • получателите или категориите получатели, на които могат да бъдат разкрити данните;
  • информация дали предоставянето на лични данни е нормативно или договорно изискване, или е необходимо с цел сключване на договор или изпълнение на дейност от наша страна, поискана от субекта на данни, както и евентуалните последствия, ако тези данни не бъдат предоставени;
  • информация за правата на субекта на данни;
  • срока, за който се съхраняват данните, или критериите, които определят периода на съхранение;
  • правото на жалба до Комисията за защита на личните данни (КЗЛД).

Ние предоставяме информацията, описана по-горе, по типове субекти на лични данни и осигуряваме непрестанен достъп до актуалната ѝ версия на заинтересуваните лица по следните начини:

  • на Уебстраницата ни в раздел „Уведомления за поверителност / Privacy Notices“;
  • в платформа Consento при регистрация;
  • на вътрешна споделена директория за ползване от служителите;
  • предоставяме я на хартиен носител за запознаване на място в медицинските центрове или лечебните заведения от групата Haelan, лично на субектите на данни или на техни представители при изрично поискване от тяхна страна.

Когато личните данни не са получени от физическото лице, за което се отнасят, освен информацията, посочена по-горе, му предоставяме и информация за съответните категории лични данни, които обработваме, и за техния източник, освен ако субектът вече разполага с тази информация. Горните условия не се прилагат в случаите, когато личните данни не идват от субекта на данните, но получаването или разкриването им е изрично разрешено от правото на ЕС или българското законодателство и в което се предвиждат подходящи мерки за защита на легитимните интереси на субекта на данните.

7. Права на субектите на лични данни

Съгласно Регламент 2016/679 и приложимото българско законодателство, субектите на лични данни имат следните права:

Право на достъп

Субектът на данните има право да получи от нас информация дали обработваме негови лични данни и ако ги обработваме, той има право да получи достъп до тях и информация за:

  • целите на обработването;
  • съответните категории лични данни, които се обработват;
  • получателите или категориите получатели, пред които са или могат да бъдат разкрити неговите лични данни, по-специално получателите в трети държави или международни организации, ако има осъществявани такива трансфери на данни;
  • предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно – критериите, използвани за определянето на този срок;
  • съществуването на право да се изиска от нас коригиране или изтриване на негови лични данни или ограничаване на обработването им, или да се направи възражение срещу такова обработване, освен ако обработването не е в изпълнение на законово или договорно задължение;
  • правото на жалба до КЗЛД;
  • източника на личните данни, обработвани от нас, когато те не са събрани от субекта на данните;
  • съществуването на автоматизирано вземане на решения, включително профилиране, както и значението и предвидените последствия от това обработване за субекта на данните, ако се осъществява такова.

Право на коригиране

Субектът на данни има право да поиска от нас да коригираме, без ненужно забавяне, негови лични данни, които са неточни или вече не са актуални, както и да ги допълним, когато данните са непълни.

Право на изтриване (право да „бъдеш забравен“)

Субектът на данни има правото да поиска от нас изтриване на негови лични данни, а ние имаме задължението да ги изтрием без ненужно забавяне, когато е приложимо някое от посочените по-долу основания:

  • личните данни повече не са необходими за целите, за които са били събрани или обработвани;
  • субектът на данните оттегля своето съгласие, въз основа на което се обработват неговите данни, и няма друго правно основание за обработването им;
  • субектът на данните възразява срещу обработването съгласно член 21, параграф 1 от Регламент 2016/679 и няма законни основания за обработването, които да имат преимущество, или субектът на данните възразява срещу обработването съгласно член 21, параграф 2 от Регламент 2016/679;
  • личните данни са били обработвани незаконосъобразно.

Ние сме задължени да прекратим обработването на личните данни в случаите на посоченото по-горе възражение: винаги, когато получим възражение за целите на директния маркетинг; при получено възражение, освен ако не докажем, че съществуват законови основания за обработването, които имат преимущество пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Право на ограничаване на обработването

Субектът на данните има право да изиска от нас ограничаване на обработването на своите лични данни, ако:

  • обработването е неправомерно, но субектът не желае личните му данни да бъдат изцяло изтрити, а вместо това изисква ограничаване на използването им;
  • не се нуждаем повече от неговите лични данни за целите, за които същите са били обработвани, но субектът ги изисква за установяването, упражняването или защитата на правни претенции.

Данните, чието обработване е ограничено, се обработват само със съгласието на техния субект, с изключение на съхранението им или за установяването, упражняването или защитата на правни претенции, или за защита на правата на друго физическо лице, или поради важни основания от обществен интерес. Когато субект на данните е изискал ограничаване на обработването, ние го информираме преди отмяната на ограничаването на обработването.

При извършване на коригиране, изтриване или ограничаване на обработването на лични данни ние съобщаваме за всяко извършено действие на всеки получател, на когото личните данни са били предоставени, освен ако това е невъзможно или изисква несъразмерно големи усилия. Информираме субекта на данните относно тези получатели, ако субектът на данните поиска това.

Право на преносимост на данните

Субектът на данните има право да получи личните данни, които го засягат и които той ни е предоставил, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от нас, когато обработването е основано на съгласие или на договорно задължение и се извършва по автоматизиран начин.

Когато упражнява правото си на преносимост на данните, субектът на данните има право да получи пряко прехвърляне на личните му данни от нас към друг администратор, когато това е технически осъществимо. Упражняването на правото на преносимост на данните не засяга правото на изтриване и не се отнася до обработването, необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия. Правото на преносимост на данните не следва да засяга неблагоприятно правата и свободите на други лица.

Право на възражение

Субектът на лични данни има право на възражение срещу обработването на лични данни, отнасящи се до него, ако обработването се извършва на основание изпълнение на задача от обществен интерес или на основание упражняване на официални правомощия, които са ни предоставени, или обработването е било необходимо за целите на легитимните ни интереси или на трета страна. Ние сме задължени да прекратим обработването на личните данни, освен ако не докажем, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Когато обработваме лични данни за целите на директния маркетинг, техният субект има право по всяко време да направи възражение срещу обработването им за такъв вид маркетинг, включително срещу профилиране, доколкото то е свързано с директния маркетинг. В случай на постъпило възражение, ние сме задължени да прекратим обработването на личните данни за целите на директния маркетинг, насочен към този субект на лични данни. В момента на първото осъществяване на контакт със субекта на данните изрично го уведомяваме за правото му на възражение, като уведомлението му се представя по ясен начин и отделно от всяка друга информация.

Право на защита срещу автоматизирано обработване

Субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизираното обработване на лични данни, отнасящи се до него, включващо профилиране, което поражда правни последствия за него или го засяга в значителна степен.

Групата Haelan прилага вътрешни правила и процедури, които регламентират реда и условията за приемане, разглеждане и отговор на искания от физически лица – субекти на лични данни, свързани с упражняване на правата им по този раздел.

За да упражните някое от изброените по-горе права или да получите допълнителна информация относно обработването на Вашите лични данни, е необходимо да посетите наш медицински център или лечебно заведение от групата Haelan или да подадете заявка през онлайн формуляр app.consento.bg/gdpr/consento. В случай че сте пациент на наш Възложител (друго лечебно заведение или медицински център), при който случай ние действаме в качеството на обработващ лични данни, можете да бъдете приканени да отправите искането си и да упражните правата си като субект на лични данни директно пред съответното заведение – администратор на Вашите данни.

8. Задължение на групата Haelan за съдействие на субектите на лични данни при осъществяване на правата им

Ние сме длъжни да предоставим на субектите, чиито лични данни обработваме, информация за правата им по прозрачен и достъпен начин, в писмена или устна форма, или по друг начин, при поискване от тяхна страна и след като се идентифицират. Съдействаме за упражняване правата на субектите, чиито лични данни обработваме, и не може да откажем да предприемем действия, освен ако не сме в състояние да идентифицираме самоличността на субекта, отправил искането.

Предоставяме на субекта на данни информация относно действията, предприети по негово искане, във връзка с упражняване на правата му, без ненужно забавяне и във всички случаи в срок от 1 (един) месец от получаване на искането. При необходимост този срок може да бъде удължен с още 2 (два) месеца, като се вземе предвид сложността и/или броя на получените искания. В тези случаи информираме субекта на данните за всяко такова удължаване в срок от 1 (един) месец от получаване на искането, като посочваме причините за забавянето и възможността за подаване на жалба до КЗЛД и търсене на защита по съдебен ред.

Информацията, предоставяна на субектите на данни по тяхно искане, както и всички наши действия, свързани с упражняване на правата на субектите, са безплатни за тях. Когато исканията на субект на данни са явно неоснователни, прекомерни или се повтарят твърде често, ние може да наложим разумна такса, като вземем предвид административните разходи за предоставяне на информацията или комуникацията, или предприемането на исканите действия, или да откажем да предприемем действия по искането.

Когато имаме основателни съмнения във връзка със самоличността на физическото лице, което подава искане с цел упражняване на правата си, може да поискаме предоставянето на допълнителна информация и/или документи, необходими за потвърждаване на самоличността на субекта на данните.

9. Разкриване на информация на външни страни

Всички данни и сведения за здравословно състояние, които пациент/ползвател на социална услуга споделя с нас във връзка със състоянието си, както и факти, открити при прегледи и изследвания, извършени от медицински специалисти, работещи в лечебните заведения и медицинските центрове от групата Haelan, както и всичко, което тези медицински специалисти са научили при упражняване на професията си относно пациента/ползвателя на социална услуга, е обект на лекарска тайна по смисъла на Закона за здравето и Кодекса за професионална етика на лекарите в България. Лекарската тайна се простира и върху цялата медицинска документация и илюстрационен материал, а също така и върху данните и заключенията от извършените консултации.

Разкриването на лични данни на трети лица при описаните по-долу случаи става до степен и в обем, позволен от задължението на медицинските лица, работещи в и за групата Haelan, за опазване на лекарската тайна при упражняване на лекарската професия по смисъла на Закона за здравето и Кодекса за професионална етика на лекарите в България.

Ние се задължаваме да не продаваме, разменяме, отдаваме, разгласяваме, предоставяме, публикуваме, използваме или разпространяваме по друг начин факти и обстоятелства, представляващи лични данни, за ползване от трети страни под каквато и да е форма. Събраните лични данни се използват единствено за обявените по-горе цели, на обявените по-горе основания. При спазване на приложимите законови изисквания, можем да предоставим достъп до лични данни на субекти или да ги споделим със строго определени трети страни, като:

  • държавни и регулаторни органи в република България (като например: НЗОК, Изпълнителна агенция „Медицински надзор“, Национална здравно-информационна система (НЗИС), Агенция за качеството на социалните услуги, Национална агенция за професионално образование и обучение, НАП, НОИ, КЗЛД, МВР, прокуратура, съд и др.) по тяхно изрично искане или когато сме нормативно задължени;
  • с юридически лица-работодатели, фондове за допълнително здравно осигуряване или наши възложители (когато действаме като обработващ лични данни) – когато съществува договорно и/или нормативно задължение да споделим данни на субекти с тях;
  • специализирани компании, с които работим въз основа на споразумение, с което те се задължават да спазват законодателството в сферата на личните данни и да осигурят адекватно ниво на защита на данните, като например: специализирани компании за подбор на кадри или за оценка на представянето на персонала; търговски банки и финансови компании (за целите на изплащане на възнаграждения, плащания по договори или възстановяване на служебни разходи); застрахователни компании и пенсионноосигурителни дружества, когато предоставяме на служителите ни допълнителни социални придобивки като застраховки и допълнително пенсионно осигуряване; доставчици на услуги за спортни активности и релакс занимания; туристически агенции, хотели и други организации, организиращи настанявания, пътувания и дейности във връзка с командировки, фирмени събития и тийм билдинги, в които участват наши служители; оператори, предоставящи пощенски и куриерски услуги при обмен на кореспонденция със субекти; компании, осигуряващи нашата техническа и оперативна поддръжка (например лаборатории, доставчици по поддръжка на платформи, интернет страници, ИТ системи и ресурси, поддръжка на медицински устройства и апаратура, центрове за данни, хостинг компании, партньори за доставка на храна по домовете, разплащателни услуги, чат системи, маркетинг инструменти и други), както и с дружества, извършващи консултантска или други дейности (напр. одит), доставчици на счетоводни, юридически услуги, услуги за осигуряване на здравословни и безопасни условия на труд, медицински и специализирани застраховки, доставчици на комуникационни или логистични услуги, доставчици на технически решения, като колективни имейли или текстови съобщения, доставчици за управление на архиви и други, при което е възможно да имат достъп до Вашите данни. В тези случаи данните се разкриват само въз основа на сключено споразумение и при наличие на подходящи гаранции, осигуряващи необходимото ниво на защита в съответствие с приложимото законодателство. Някои от тези доставчици могат да обработват данни извън ЕС/ЕИП, като трансферът се извършва при наличието на подходящи гаранции съгласно Глава V от ОРЗД.

В някои случаи тези страни действат като обработващи лични данни от наше име, а в други – като самостоятелни или съвместни с нас администратори. В някои случаи ние действаме като обработващ лични данни, при което обменяме лични данни на субекти с юридически лица-възложители (напр. на профилактични медицински прегледи и изследвания или на други дейности), които действат в качеството на администратори на личните данни на тези субекти.

Следвайки принципите за гарантиране на законосъобразност, прозрачност и сигурност, ние подписваме с обработващи лични данни и съвместни администратори съответните договори или споразумения, както е посочено в раздел „Администратор и обработващ лични данни“.

За да изпълним качествено нашите задължения и да предоставим нашите услуги, понякога се налага да ползваме услугите на трети страни, които са извън нашия контрол. Такива са например: Microsoft, Google, LinkedIn, WhatsApp, Viber, Meta, Webflow и др. Тези доставчици могат по всяко време да променят условията на тяхната услуга и ние не можем да носим отговорност за това.

10. Администратор и обработващ лични данни

Отговорност на групата Haelan

В качеството си на администратори на лични данни ние въвеждаме подходящи технически и организационни мерки, част от които е и настоящата Политика, с които гарантираме и сме в състояние да докажем, че обработваме лични данни в съответствие с Регламент 2016/679 и приложимото национално законодателство, вземайки предвид естеството, обхвата, контекста и целите на обработването, както и потенциалните рискове с различна вероятност и тежест за правата и свободите на физическите лица – субекти на лични данни. Мерките се преразглеждат и при необходимост се актуализират. При оценката на подходящото ниво на сигурност вземаме предвид рисковете, които могат да възникнат при обработването на лични данни, и по-специално рисковете от случайно или незаконно унищожаване, загуба, промяна, неразрешено разкриване или достъп до данните.

Защита на данните на етапа на проектирането и по подразбиране

В дружествата от групата Haelan са въведени защитни мерки и процеси в съответствие с добри практики и утвърдени стандарти за сигурност. Към момента на разработването на нови бизнес модели/бизнес процеси/продукти и услуги/системи за работа, както и към момента на самото обработване, се въвеждат най-подходящите технически и организационни мерки за защита на личните данни, в това число и псевдонимизация, когато такъв подход е допустим.

Оценка на въздействието върху защитата на личните данни

Когато има вероятност определен вид обработване, по-специално при което се използват нови технологии и/или предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на субектите на данни, преди да бъде извършено обработването, ние извършваме оценка на въздействието върху защитата на личните данни на предвидените операции по обработване.

Обработващ лични данни

Обработващи лични данни от наше име са лицата по извънтрудови правоотношения, когато обработват лични данни при или по повод изпълнение на договорните си задължения. По смисъла на тази Политика обработващи лични данни са и всички юридически лица, които въз основа на сключени с нас договори за възлагане на услуги извършват някоя от дейностите, посочени в дефиницията за обработване на лични данни.

Когато възлагаме обработване на лични данни, ние използваме само обработващи лични данни, които предоставят достатъчни гаранции за прилагането на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент 2016/679, приложимото национално законодателство и да осигурява защита на правата на субектите на данни. Обработването, извършвано от страна на обработващия лични данни, се урежда с договор или с друг правен акт съгласно правото на ЕС или приложимото българско законодателство, в който се регламентират естеството и целта на обработването, срока на обработването, вида лични данни и категориите субекти на данни, както и нашите задължения и права и задълженията и правата на обработващия, като за обработващия лични данни се включват задълженията, предвидени в Регламент 2016/679.

Когато обработващ лични данни, на когото е възложено обработването на лични данни от наше име чрез договор или друг правен акт, включва друг обработващ лични данни за извършването на специфични дейности по обработване, на това друго лице се налагат същите задължения за защита на данните, като задълженията, предвидени в договора или акта между нас и обработващия лични данни. Другият обработващ лични данни се задължава да предостави достатъчно гаранции за прилагане на подходящи технически и организационни мерки, така че обработването, което той извършва, да отговаря на нормативните изисквания. При всички случаи, първоначалният обработващ данните носи пълна отговорност пред нас за изпълнението на задълженията на другия обработващ лични данни, на когото той е възложил извършването на специфични дейности по обработване. Обработващите лични данни от наше име носят по презумпция солидарна отговорност за свързаните с това обработване процеси.

Ние си запазваме правото да извършваме одити на място на прилаганите от обработващите лични данни методи за защита на личните данни, които им предоставяме за обработка. Обработващите лични данни са задължени да не възпрепятстват осъществяването на такива одити и да ни съдействат за провеждането им без неоправдано забавяне.

Съвместни администратори

Ние може да обработваме лични данни съвместно с друг/и администратор/и, като заедно определяме целите и средствата на обработването. В този случай ние и другият администратор уведомяваме субектите на данни за съвместното обработване и уреждаме по прозрачен начин отговорностите и задълженията си в споразумение, в което се включват задълженията на страните, предвидени в Регламент 2016/679.

Прехвърляне на данни

Прехвърляне на данни е всяко предаване на лични данни от нас на друг администратор или обработващ, или на която и да е трета страна. При всеки подобен случай ние спазваме приложимите изисквания на националното и европейско законодателство, както и вътрешната си нормативна уредба.

Сътрудничество с надзорния орган

По искане на КЗЛД наши представители и представители на обработващите от наше име организации си сътрудничат с КЗЛД при изпълнението на нейните правомощия.

11. Сигурност на личните данни и нарушение на сигурността

Ние прилагаме подходящи технически и организационни мерки за осигуряване ниво на сигурност, съобразено с рисковете с различна вероятност и тежест за правата и свободите на физическите лица, и изискваме това да се прилага и от обработващите от наше име. Предприемаме действия, които да гарантират, че всяко физическо лице, действащо под наше ръководство, обработва тези данни само по наше указание, освен ако от това лице се изисква да прави това по силата на правото на ЕС или правото на държава членка. В случай на нарушение на сигурността на личните данни, прилагаме утвърдена вътрешна процедура за действие при нарушение на сигурността на личните данни и за уведомление за нарушението по силата на Регламент 2016/679.

12. Длъжностно лице по защита на данните

Ние сме определили длъжностно лице по защита на личните данни, публикуваме неговите данни за контакт на Уебсайта ни и ги съобщаваме на КЗЛД. Гарантираме, че длъжностното лице по защита на данните участва по подходящ начин и своевременно при решаването на всички въпроси, свързани със защитата на личните данни.

Нашите служители подпомагат длъжностното лице по защита на данните при изпълнението на неговите функции, като осигуряват ресурсите, необходими за изпълнението на тези функции, осигуряват му достъп до съответните регистри, лични данни и операции по обработване. Осигуряваме на длъжностното лице по защита на данните възможности, в това число и финансови, да развива и поддържа своите експертни знания.

Правим необходимото, така че длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на функциите си. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от нас за изпълнението на своите функции. Длъжностното лице по защита на данните отчита своята дейност пред Изпълнителния директор на групата Haelan. Длъжностното лице по защита на данните спазва конфиденциалност и поверителност при изпълняване на своите функции в съответствие с правото на ЕС или националното законодателство. Длъжностното лице по защита на данните може да изпълнява и други функции и задължения; ние правим необходимото, така че тези допълнителни функции и задължения да не водят до конфликт на интереси с дейността му по защита на личните данни.

13. Дължима грижа

За съжаление, както на всички нас е известно, предаването на информация през интернет не е напълно сигурно. Ние правим всичко възможно, за да защитим лични данни на субектите, но не можем да гарантираме сигурността им на етапа на прехвърлянето им през Интернет към нашия сайт. Веднъж получена на/през сайта ни, личната информация на субектите ще бъде защитена чрез стриктни политики, процедури и мерки за сигурност, за да се опитаме да предотвратим неоторизиран достъп, модификация или неправомерно заличаване.

При използване на пароли за достъп до потребителски акаунти, създадени за използване на услуги, предоставени чрез нашите Уебсайтове, или когато се използват управляваните от нас корпоративни платформи и системи, субектът на данните е отговорен за опазването на тази парола и акаунт в тайна. Субектът на данните се ангажира да не я споделя с други лица. Ако паролата и акаунтът на субект бъдат компрометирани с умишлени или неволни действия или бездействия от негова страна, субектът трябва незабавно да ни уведоми и да предприеме стъпки за смяна на паролата и/или потребителското име. Ако паролата се използва от други лица, субектът носи пълната отговорност за всяко действие, предприето чрез неговия акаунт.

14. Определения

  • „Лични данни“ са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
  • „Специални категории лични данни“ са данни за расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и генетични данни и биометрични данни, обработвани единствено за целите на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.
  • „Лични данни, свързани с присъди и нарушения“ са данни за присъди и нарушения и свързаните с тях мерки за сигурност.
  • „Обработване на лични данни“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни, чрез автоматични или други средства, като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
  • „Съгласие на субекта на данните“ е всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
  • „Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
  • „Администратор на лични данни“ е физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Европейския съюз (ЕС) или в правото на държава членка.
  • „Обработващ лични данни“ е физическо или юридическо лице, което обработва лични данни от името на администратора на лични данни.
  • „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на ЕС или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните, съобразно целите на обработването.
  • „Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или орган, различен от субекта на данни, администратора, обработващия лични данни и лица, които под прякото ръководство на администратора или обработващия лични данни са упълномощени да обработват тези данни.
Управление на моите данни Свържете се с нас

Настоящата Политика може да се актуализира периодично, в зависимост от измененията в нормативната уредба и/или дейността на дружествата от групата Haelan. Актуалната ѝ версия се оповестява на Интернет сайта www.haelan.bg. | Дата на последна актуализация: 06/2026