I. Общи положения и определения
„Здравна инвестиционна компания за детска болница“ ЕАД, с ЕИК 206218659 е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета, относно защитата на физическите лица във връзка с обработването на личните им данни и относно свободното движение на такива данни (Общ регламент за защита на данните - ОРЗД) и Закона за защита на личните данни (ЗЗЛД).
Координати за контакт с администратора и длъжностното лице по защита на данните:
адрес: гр. София, п.к.1606, р-н Триадица, бул. "Акад. Иван Евстратиев Гешов" № 15, комплекс Център по хигиена, стая № 50
e-mail: dpo@nmdb.bg
тел. 02/ 41 20 666
В качеството си на администратор на лични данни и по силата на чл. 13 и 14 от ОРЗД, дружеството има задължение да Ви информира какво да очаквате, когато обработва Вашите лични данни. Обработването се осъществява в съответствие с приложимото законодателство и заложените в настоящата Политика правила и принципи. Всички лични данни, се обработват добросъвестно и прозрачно, като се ползват с необходимата защита, за да се гарантира, че не могат да бъдат достъпни или разкрити на лица, които нямат право на достъп до тях, чрез осигуряване на физическа, информационна и технологична сигурност.
Дефиниция на някои понятия:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“). Лични данни са три имена, ЕГН, адрес, телефонен номер, подпис, имейл адрес, номер на лична карта или друг документ за самоличност, банкова сметка, IP, MAC адрес, информация за семейно положение, образование, здравословно състояние, снимки, видеозаписи и всякакви други данни, които позволяват чрез един или повече признаци дадено физическо лице да бъде идентифицирано;
„Субект на данни“ е всяко физическо лице, което е идентифицирано или може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни. Администратор на лични данни е „Здравна инвестиционна компания за детска болница“ ЕАД;
„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора; Обработващ лични данни могат да бъдат физически или юридически лица, които на основание договор обработват лични данни по възлагане от Дружеството.
„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не;
„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
„Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
II. Видове субекти на лични данни и категории лични данни, които дружеството обработва, в качеството си на Администратор:
· Данни на субекти, които кандидатстват за работа на място, както и чрез изпращане на имейл или посредници - три имена, адреси, телефонен номер, електронен адрес, образование, трудов опит и квалификации.
· Данни на субекти, които сключват трудов, граждански договор или договор за управление - три имена, ЕГН, данни от документ за самоличност, адреси, телефонен номер, електронен адрес, образование, трудов опит и квалификации, здравна информация, банкова сметка.
· Данни на субекти, които не са служители на Администратора, но участват в програми, конкурси или дейности, част от упражняваната от дружеството дейност, които обичайно включват: три имена, адрес, електронен адрес и телефонен номер.
· Данни на субекти, които по собствена инициатива депозират до компанията различни заявления, молби, жалби, сигнали и други – три имена, адрес, телефонен номер, електронен адрес, съгласно предоставеното от субекта.
· Данни на субекти – посетители и персонал на дружеството от запис на охранително видеонаблюдение.
· Данни на субекти – законови или упълномощени представители на партньори и контрагенти на Администратора - имена, адрес, телефонен номер, електронен адрес.
III. Цел на обработване на лични данни
„Здравна инвестиционна компания за детска болница“ ЕАД обработва предоставени доброволно лични данни от субектите на данни. Обработване на личните данни е допустимо в следните случаи:
1) Съгласие на субекта на данни на личните му данни за една или повече конкретни цели;
2) Във връзка със изпълнението на договор, по който субектът на данните е страна;
3) За спазването на законово задължение, което се прилага спрямо Администратора;
4) Защита на жизненоважни интереси на субекта на данните или на друго физическо лице;
5) Изпълнение на задача от обществен интерес;
6) За защита на легитимните интереси на Администратора или на трета страна, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.
За цели, различни от горепосочените, личните данни на субектите на данни могат да се обработват въз основа на доброволно дадено съгласие за целите, посочени в него.
Конкретни цели, за които се обработват данните:
· Обработването на лични данни на кандидати за работа се извършва с цел оценка на възможността за сключване на трудов или граждански договор.
· В изпълнение на свои нормативно установени задължения Дружеството обработва лични данни за изготвяне, сключване, регистриране, промяна, изпълнение и прекратяване на трудови и граждански договори или договори за управление.
· Обработването на лични данни на субектите, участващи в провеждани конкурсни или други процедури е с цел участието им в съответната процедура, а когато се предвижда публикуване на резултата от нея се изисква съгласието на съответния субект за публикуване на конкретни данни – имена, образование, професия или друго.
· Обработването на данни на лица, които по тяхна инициатива депозират до компанията различни заявления, молби, жалби, сигнали и други, се осъществява с цел проверка, изпълнение и отговор на съответното искане.
· Обработването на лични данни на субекти, които не са страна по договор, но са посочени от страните като лице за контакт, е с цел осъществяване на контакт със страната по договора.
· Данни на субекти – партньори и контрагенти на Администратора, се обработват с цел сключване, изпълнение и прекратяване на договора за възлагане на работа или извършване на услуга.
· Запис на видеонаблюдение и охрана на собствено и ползвано недвижимо имущество, се осъществява с цел гарантиране на сигурността на посетителите и служителите, защита на имуществото и информацията, предотвратяване на неоторизиран достъп и инциденти. Местата в обхвата на които се осъществява видеонаблюдение са обозначени с указателни табели. Видеонаблюдението се извършва само в служебни, общи и публично достъпни зони. Системата не покрива санитарни, съблекални и други зони, в които може да се нарушат основни права и личната неприкосновеност на служителите или посетителите.
· Освен за горепосочените специфични цели, обработването на лични данни се извършва и в изпълнение на нормативно установени задължения на Администратора, произтичащи от законовите изисквания, регламентиращи неговата търговска или отчетна дейност, финансово-счетоводната дейност, по управление на човешките ресурси, за целите на пенсионна, здравна, застрахователна и социално осигурителна дейност.
Личните данни се обработват само за целта, за която те са събрани, и не се използват повторно за несъвместими цели.
IV. Срокове
Основните срокове за обработка и съхранение на лични данни са както следва:
|
Вид на личните данни |
Срок |
|
Кандидатури за работа |
6 месеца от кандидатстването или 1 г. от датата на кандидатстването, ако кандидатът е дал съгласието си за този по-дълъг срок |
|
Данни във връзка със сключени трудови и осигурителни правоотношения |
50 години, считано от 1 януари на година, следваща годината, за която се отнасят |
|
Данни по граждански договори |
5 години, считано от приключване на договора, освен ако нормативен акт не предвижда по-дълъг срок за съхранение на всички или на част от личните данни |
|
Данни относно сигнали, жалби, молби и други искания |
2 години, считано от датата на предоставяне, освен ако нормативен акт не предвижда по-дълъг срок за съхранение на всички или на част от личните данни |
|
Данни на лица за контакт по търговски договори |
5 години, считано от приключване на правоотношението, освен ако нормативен акт не предвижда по-дълъг срок за съхранение на всички или на част от личните данни |
|
Данни, предоставени на дружеството в качеството му на обработващ |
Според съдържанието на сключеното споразумение и дадените указания, а ако липсва такова съдържание - 2 години от приключване на правоотношението с администратора на данните, освен ако нормативен акт не предвижда по-дълъг срок за съхранение на всички или на част от личните данни |
|
Запис на охранително видеонаблюдение |
В срок до 60 дни от датата на записа, след което се |
Лични данни или съответна част от тях могат да бъдат обработвани за по-дълъг период от време съгласно посочения в закона срок, ако е налице нормативно основание за това.
V. Принципи
Администраторът спазва следните принципи, свързани с обработването на личните данни:
1) Законосъобразност, добросъвестност и прозрачност
Личните данни са обработвани законосъобразно, добросъвестно и по прозрачен начин, по отношение на субекта на данните.
2) Ограничение на целите
Събират се само за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, който не е съвместим с тези цели. По-нататъшното обработване за целите на архивирането в обществен интерес, за научни или за статистически цели не се счита за несъвместимо с първоначалните цели.
3) Свеждане на данните до минимум
Подходящи, свързани и ограничени до необходимото във връзка с целите, за които се обработват.
4) Точност
Точни и поддържани в актуален вид. Предприемат се всички мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват.
5) Ограничение на съхранението
Съхранявани във форма, която да позволява идентифицирането на субекта на данни за период, не по-дълъг от необходимото за целите, за които се обработват личните данни.
6) Цялостност и поверителност
Обработвани по начин, който гарантира подходящото ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване или случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки.
7) Отчетност
За всяко действие по обработване трябва да може да се докаже спазване на принципите, при извършването му.
VI. Получатели на лични данни и трансграничен трансфер на лични данни
В изпълнение на нормативно задължение или при упражняване на своята дейност Администраторът предоставя или може да разкрие лични данни пред следните категории получатели:
· държавни органи, като, но не само съд, прокуратура, Национална агенция по приходите, Национален осигурителен институт, Министерство на вътрешните работи, Министерство на здравеопазването, както и други органи на държавната власт, когато това се изисква по закон, съобразно тяхната компетентност;
· на трети физически/ юридически лица в случаите, когато това се изисква по закон, по разпореждане от държавни органи или при условията на даденото съгласие от субекта на данни;
· обработващ данни - търговски партньори, в случаите когато това се изисква по силата на договор за възлагане на работа, поръчка, търговска сделка, като, но не само на доставчици на платежни услуги, на лицензирани пощенски оператори за извършване на пощенска услуга, на кредитни институции и застрахователни дружества, доставчици на софтуер, служба по трудова медицина и други, които обработват данни, в качеството им на обработващ лични данни, по силата на сключено писмено споразумение с Администратора.
Администраторът:
· не предава лични данни на трети държави или на международни организации;
· не обработва лични данни с цел директен маркетинг;
· не обработва лични данни с цел автоматизирано вземане на решения или профилиране.
VII. Права на субекта на данни
1) Право на достъп
Всеки субект на лични данни има право да получи от Администратора потвърждение дали се обработват лични данни, свързани с него, и ако това е така, да получи достъп и копие до данните и информация относно целите, категориите, сроковете, получателите и всякаква друга относима до тях информация.
2) Право на коригиране
Субектът на данни има право да поиска от Администратора да коригира неточните или непълни лични данни, свързани с него.
3) Право на изтриване (право „да бъдеш забравен“)
Субектът на данни има правото да поиска от Администратора изтриване на свързаните с него лични данни, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените основания:
- личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
- субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
- субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
- личните данни са били обработвани незаконосъобразно;
- личните данни трябва да бъдат изтрити с цел спазването на нормативно задължение, съобразно българското законодателство или правото на Европейския сьюз;
- личните данни са били събрани във връзка с предлагането на услуги на информационното общество (услуга предоставяна срещу възнаграждение, от разстояние, чрез електронно средство и по индивидуална молба на получателя).
4) Право на ограничаване на обработването
Субектът на данните има право да изиска от Администратора ограничаване на обработването, когато е приложимо някое от следните:
- точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
- обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
- администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
- субектът на данните е възразил срещу обработването и е в очакване на проверка дали законните основания на Администратора имат преимущество пред интересите му.
5) Право на информиране
Субектът на данни има право на информация относно неговите лични данни.
6) Право на преносимост на данните
Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на Администратора. Субектът има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото личните данни са предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.
7) Право на възражение
Субектът на данните има право, по всяко време и на основания, свързани с неговата конкретна ситуация, на възражение срещу обработване на лични данни, отнасящи се до него.
VIII. Ред за упражняване на правата
За упражняване на своите права, субектите на данни трябва лично или чрез упълномощено лице да подадат писмено заявление до Администратора на адрес гр. София, р-н Триадица, бул. "Акад. Иван Евстратиев Гешов" №15, комплекс Център по хигиена или по електронен път на електронен адрес dpo@nmdb.bg
Заявлението трябва да съдържа:
· три имена на лицето;
· единен граждански номер или личен номер на чужденец;
· адрес, телефон, имейл;
· описание на искането;
· предпочитана форма за получаване на отговор и информация;
· дата;
· саморъчен подпис, когато заявлението се подава на хартиен носител или квалифициран електронен подпис, когато се подава по електронен път;
· пълномощно - когато заявлението се подава от упълномощено лице.
Подаването на заявление е безплатно. За поискани допълнителни копия, администраторът си запазва правото да определи спрямо конкретния случай разумна такса въз основа на извършените административни разходи, включително когато исканията са очевидно неоснователни или прекомерни, по-специално поради своята повторяемост.
Срокът за разглеждане на заявлението и произнасяне по него е 30 дни. Когато данните не съществуват или не могат да бъдат предоставени на определено правно основание, на заявителя се отказва достъп до тях с мотивирано решение. Отговорът/ решението се съобщава писмено на заявителя, спрямо избрания от него начин на комуникация.
Всеки субект на данни има право да обжалва действията и актовете на администратора или обработващия данни:
- пред Комисията за защита на личните данни, с адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2, интернет страница: https://www.cpdp.bg/ и електронна поща: kzld@cpdp.bg
- по съдебен ред пред съответния административен съд по общите правила за подсъдност.
IX. Заключителни разпоредби
· Предоставянето на лични данни е доброволно с оглед възникването на договорни отношения, като евентуалният отказ от предоставяне на лични данни ще означава отказ от сключване на договор с дружеството.
· При оттегляне на дадено съгласие от субект на данни за обработка на лични данни, това не засяга законосъобразността на обработването въз основа на съгласието, преди то да бъде оттеглено.
· „Здравна инвестиционна компания за детска болница“ ЕАД си запазва правото да променя тази политика, като се задължава в седемдневен срок от изменението й да я публикува на интернет страницата си www.nmdb.bg
X. Имате ли други въпроси?
Ако имате допълнителни въпроси относно събирането, обработката и използването на Вашите лични данни, можете да се свържете с нас.
Координати за контакт с администратора и длъжностното лице по защита на данните:
адрес: гр. София, п.к.1606, р-н Триадица, бул. "Акад. Иван Евстратиев Гешов" № 15, комплекс Център по хигиена, стая № 50
e-mail: dpo@nmdb.bg
тел. 02/ 41 20 666
Настоящата политика е одобрена от Съвета на директорите и е в сила от 16.12.2025г.