ЗА ДЕЦА град ХАСКОВО

Утвърдил : Директор ДМСГД гр Хасково : ....................................

                                                                         / Д-р Кирил Гузгунов /

 

 

 

ПОЛИТИКА

 

за Защита на

Личните Данни

 

 

 

 

 

 

 

на

Дом за медико – социални грижи за деца - Хасково

с ЕИК 126120730

 

 

 

приета на 21.12.2018 г.


 

 

ПОЛИТИКА

за Защита на Личните Данни

 

 

ПРЕАМБЮЛ

 

            Дом за медико – социални грижи за деца - Хасково с ЕИК 126120730, наричано по-нататък за краткост Лечебното заведение , прие настоящата Политика за Защита на Личните Данни, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), наричана по-нататък за краткост Политиката, в съответствие с Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016, наричан по-нататък за краткост Регламента и Закона за Защита на Личните Данни.

 

            Политиката е приета съобразно:

-вероятността и тежестта на риска за правата и свободите на физическите лица, чиито лични данни се обработват;

                        -необходимите и подходящи технически и организационни мерки;

                        - постиженията на техническия прогрес и разумните разходи за защита,

с оглед на естеството, обхвата, контекста и целта на обработваните лични данни.

 

            Политиката се основава на следните принципи:

                        - законосъобразност и добросъвестност при обработка на лични данни;

- прозрачност– всяка информация да бъде в кратка, разбираема и лесно достъпна форма и да се използват ясни и недвусмислени формулировки;

- ограничаване на целите, за които се събират лични данни, до тези, които са реално нужни за дейността;

- свеждане до минимум на събираните за дейността лични данни;

- точност и актуалност на обработваните лични данни;

                        - минимален достъп до лични данни;

                        - контролиран и проследим достъп до лични данни;

                        - минимален срок за съхранение;

                        - надеждно съхранение;

- отчетност за доказване спазването на Регламента.

 

            Политиката се подчинява на следните права на физическите лица:

- право на информираност за какво се обработват лични данни;

- право на достъп до личните данни;

- право на коригиране;

- право на изтриване (правото ”да бъдеш забравен”);

- право на ограничаване на обработването;

- право на информираност за действия в резултат на искане за коригиране, изтриване или ограничаване на обработването;

- право на преносимост на данните;

- право на възражение срещу обработване на лични данни;

- превода не са обект на автоматично вземане на решение, включващо профилиране.

 

I. ПРИНЦИПИ ПРИ ОБРАБОТКА НА ЛИЧНИ ДАННИ

 

Спазване разпоредбите на Регламента

чл.1.1.            Политиката на Лечебното заведение , в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци),има за цел да осигури спазването на разпоредбите на Регламента.

 

Лични данни се събират и обработват законосъобразно и добросъвестно

чл.1.2.            Лечебното заведение  събира и обработва лични данни законосъобразно, добросъвестно и в съответствие с принципите и правата на физическите лица във връзка с обработването на техните лични данни.

 

Личните данни се обработват прозрачно

чл.1.3.            Лечебното заведение  осигурява прозрачност в комуникацията за събираните и обработваните лични данни като информацията за това е в кратка, прозрачна, разбираема и лесно достъпна форма, и се използват ясни и недвусмислени формулировки

 

Лични данни се събират и обработват само за определени цели

чл.1.4.            Лечебното заведение  обработва лични данни на физически лица само в следните случаи:

1.обработването е необходимо за спазване на законово задължение на Лечебното заведение ;

2.обработването е необходимо за изпълнение на договор (в т.ч. поръчка) с Лечебното заведение , по който физическо лице е страна, или за предприемане на стъпки по искане от физическо лице преди сключване на договор, когато е нужна неговата идентификация;

3.физическо лице е дало своето недвусмислено съгласие за разбираема и прозрачно дефинирана цел от страна на Лечебното заведение  , за която е нужно обработване на неговите лични данни;

4. обработването е необходимо, за да бъдат защитени жизнено важни интереси на физическото лице, чиито лични данни се обработват или на друго физическо лице;

5. обработването е необходимо за целите на легитимните интереси на Лечебното заведение   или на трета страна, съгласно разпоредбите на Регламента;

6.другите случаи, предвидени в Регламента.

 

Не се събират и обработват ненужни за дейността лични данни

чл.1.5.            Лечебното заведение  не събира и не обработва лични данни на физически лица, които надхвърлят неговите задължения по закон или неговите нужди за правене на бизнес.

 

Събрани лични данни се обработват за други цели само след съгласие на лицата

чл.1.6.            Във всички случаи, когато е необходимо събрани и обработвани лични данни на физически лица да се използват за цели различни от първоначалните, Лечебното заведение  уведомява съответните физически лица, иска тяхното съгласие и пристъпва към обработка на техните лични данни за други цели, само след тяхното изрично съгласие.

 

За обработка се събират минимално необходимите лични данни

чл.1.7.            Лечебното заведение  събира и обработва само минимум необходимите лични данни на физически лица, които:

1. са предвидени в закон;

2. са нужни за изпълняване на договор;

3. са нужни за изпълняване на целите, за които се събират.

 

Обработвани лични данни са точни и актуални

чл.1.8.            Лечебното заведение  осигурява обработването личните данни на физически лица да се извършва с максимална точност и по възможност винаги в актуалност.

 

Личните данни се обработват от минимум необходимия брой лица

чл.1.9.            Лечебното заведение  осигурява достъпът и обработката на личните данни на физически лица да се извършва от минимално необходимия брой лица (оператори), които имат нужната компетентност за тяхната обработка и нужната ангажираност за тяхното опазване.

 

Личните данни се съхраняват за минимално необходимотовреме

чл.1.10. Лечебното заведение съхранява лични данни за минимално необходимото време:

1.нужно по закон;

2.нужно да се изпълни договор (в т.ч. поръчка) и отговорността по него;

3.нужно да се изпълни целта, за която данните са събрани и обработени; или

4.до поискване от физическо лицето за тяхното изтриване,

            след което те се унищожават без излишно забавяне.

 

            Във всички случаи Лечебното заведение  осигурява поне веднъж годишно да се прави преглед на събираните и обработваните лични данни и тези от тях, които попадат в някоя от горните хипотези се изтриват без излишно забавяне.

 

 

 

II. ПРАВИЛА ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

 

Личните данни се обработват с необходимите нива и мерки за защита

чл.2.1.            Лечебното заведение  осигурява необходимите нива на физическа, организационна и технологична защита с оглед на:

                                   1.естеството, обхвата, контекста и целта на обработваните лични данни;

2.вероятността, нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработваните лични данни;

                                   3. своите финансови и организационни възможности.

 

                        Лечебното заведение  осигурява и всички необходими мерки за своевременно възстановяване на събирани и обработени лични данни при тяхна загуба в резултат на случайни, злонамерени или форсмажорни събития.

 

 

 

Личните данни се обработват с контролиран и проследим достъп

чл.2.2. Лечебното заведение  осигурява необходимите и подходящи технически, организационни и технологични мерки за контролиран и проследим достъп до личните данни на физически лица.

 

Личните данни се обработват с нужната отчетност за спазване на Регламента

чл.2.3. Лечебното заведение  осигурява необходимата отчетност и регистри, за да е в състояние да докаже, че разпоредбите на Регламента са спазени.

 

Спазване правата на физическите лица, чиито лични данни се обработват

чл.2.4.            Лечебното заведение  осигурява спазването правата на физическите лица, чиито лични данни се събират и обработват, което включва:

                            1. право на информираност за обработка на лични данни;

                            2. право на достъп до личните данни – с какви данни се разполага;

                            3. право на коригиране на неточни лични данни;

                            4. право на изтриване на лични данни – правото ”да бъдеш забравен”;

                            5. право на ограничаване на обработваните лични данни;

6.правото на информираност за действия в резултат на искане за коригиране, изтриване или ограничаване на обработването на лични данни;

7. право на преносимост на данните;

8. право на възражение срещу обработване на лични данни;

9. право да не са обект на автоматично вземане на решение, включващо профилиране.

 

 

 

III. ЗАДЪЛЖЕНИЯ НА РЪКОВОДСТВОТО

 

Периодична оценкана нивата на въздействие при нарушаване на сигурността

чл.3.1.            Лечебното заведение  прави периодичен преглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработваните лични данни, с оглед предприетите нива и мерки за защита на лични данни да съответстват на тези нива и тежест на риска.

 

Периодичен преглед на адекватността на нивата и мерките за защита

чл.3.2.            Лечебното заведение  прави периодичен преглед на адекватността на нивата и ефективността на прилаганите мерки за защита на обработваните лични данни, с оглед на тяхното съответствие с нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни.

 

Изборът на подизпълнители, обработващи лични данни, да отговаря на Регламента

чл.3.3.            За случаите, в които обработка на лични данни се възлага на подизпълнител, обработващ лични данни, Лечебното заведение  осигурява неговият избор да се основава на достатъчни гаранции,предоставени от обработващия личните данни (подизпълнителя), за прилагане на Регламента, в т.ч. сключването на договор с подробно разписани предмет, срок, начин на обработка на личните данни, задълженията и отговорностите на обработващия в тази връзка.

 

Обработката на лични данни се извършва само по начина указан от Администратора

чл.3.4.            Когато лични данни се обработват в качеството на обработващ, това се извършва само по начина, който е указан от Администратора на личните данни.

 

Длъжностно Лице по защита на личните данни

чл.3.5.            На този етап ДМСГД хасково няма капацитета да назначи длъжностно лице по защита на личните данни

 

Спазване на Кодекс за Поведение

чл.3.6.            Ако Комисията за Защита на Личните Данни одобри Кодекс за Поведение за бранша или индустрията, в която Лечебното заведение   работи, то се ангажира да приеме този Кодекс за Поведение и да преработи в съответствие с него Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

 

Всяко нарушение на сигурността на личните данни се документира

чл.3.7.            Всяко нарушение на сигурността на събираните и обработваните лични данни се документира и в срок до 72 часа от узнаването се уведомява Комисията за Защита на Личните Данни, освен ако нарушаването в сигурността на личните данни няма да предизвика риск за правата и свободите на засегнатите физически лица.

                        Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физически лица, Лечебното заведение  без ненужно забавяне съобщава това на засегнатите физически лица.

 

Обучения на персонала, отговорен за обработка на лични данни

чл.3.8. Лечебното заведение  осигурява необходимите встъпителни и периодични обучения на своя персонал, който е отговорен за обработката на лични данни на физически лица, но не по-малко при постъпване на работа и поне два пъти годишно.

                        Обучението се провежда по план съобразно правата на достъп до лични данни, целите за тяхната обработка на лични данни, начина за тяхното обработване и ползване, и всичко друго, което е приложимо.

                        Всяко обучение се документира по подходящ начин.

 

Лицата, обработващи лични данни поемат ангажимент за поверителност

чл.3.9.            Лечебното заведение  осигурява лицата, на които е възложена обработката на лични данни на физически лица да поемат ангажимент за поверителност, който може да бъде оформен в договора за възлагане на работата или с нарочна декларация.

 

Всички служители и външни доставчици с достъп до лични данни са отговорни

чл.3.10.          Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се прилагат за всички служители на Лечебното заведение , както и за всички външни доставчици, които имат достъп и/или са опериращи с лични данни, които Лечебното заведение  администрира или обработва.

                        Всички изброени лица носят отговорност за спазването на Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

 

Всяко нарушение при обработка на лични данни се санкционира

чл.3.11.          Всяко нарушение на Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци),се разглежда, като нарушение на трудовата дисциплина, правото на ЕС и гражданското законодателство на Република България, в т.ч. се разглежда и като престъпление, ако деянието се санкционира от Наказателния Кодекс.

 

Видео наблюдение

чл.3.12. На територията на Лечебното заведение може да се осъществява видео наблюдение

1.                      Охрана на имуществото на Лечебното заведение  , в съответствие със Закона за частната охранителна дейност (ЗЧОД);

Видео наблюдението се извършва на основание легитимните интереси на Лечебното заведение – опазване на имуществото и осъществяване на основаната дейност.

При осъществяване на видео наблюдението Лечебното заведение  информира субектите на данни, като за целта се поставят информационни табели на местата, в които се извършва видео наблюдение.

Записите от камерите се поддържат в регистър на записите и се съхраняват за срок от два месеца, след което се унищожават в съответствие с изискванията на ЗЧОД и процедурата за Унищожаване на лични данни.

 

 

 

IV. ПРЕДМЕТ И ОРГАНИЗАЦИЯ НА ДЕЙНОСТТА

 

Предмет на дейност:

• Медико -социални грижи за деца;

Административен офис:

• град Хасково ул. Видин № 14, община Хасково;

 

 

 

V. ОБРАБОТВАНИ ЛИЧНИ ДАННИ

 

Обработвани Лични Данни в Качеството на Администратор:

            • на Служители;

            • на Деца с Хронични Заболявания и Медико-Социални Проблеми;

 

 

Обработваните Лични Данни се Получават:

            • Лично от Субектите на Данни;

• Чрез Посредник / Представител (Дирекция „Социално подпомагане“ и/или Родител / Настойник на Лицето)

 

Обработват се Следните Чувствителни Лични Данни:

            • Биометрични Данни на Деца С Хронични Заболявания и Медико-Социални Проблеми;

            • Данни за Расов или Етнически Произход на Деца С Хронични Заболявания и Медико-Социални Проблеми

• Данни за Здравословното Състояние на Деца С Хронични Заболявания и Медико-Социални Проблеми

• Данни за Здравословното Състояние на Служители

Данни за присъди и нарушения, съдържащи се в Свидетелство за съдимост.

 

 

 

VI. ЦЕЛИ ЗАОБРАБОТКАНА ЛИЧНИ ДАННИ

 

Лични Данни в Лечебното заведение се Обработват за Следните Цели: 

            • за сключване, изпълнение и прекратяване на Трудови договори и Изчисляване Работните Заплати и Обезщетения на Служители;

            • за Предоставяне на Социални и Медицински Услуги и Поддържане История на Здравния и Социалния Статус на Деца с Хронични Заболявания и Медико-Социални Проблеми;

 

 

 

VII. НИВО НА ВЪЗДЕЙСТВИЕ при Нарушена Сигурност

 

Оценката за нивото на въздействиеи тежестта на риска за правата и свободите на физическите лицапри нарушаване на сигурността на обработваните лични данни в Лечебното заведение ,за различните групи лични данни,е както следва:

            • за Служители – средно ниво

            • за Деца с Хронични Заболявания и Медико-Социални Проблеми–средно ниво

 

 

 

VIII. НИВОНА ЗАЩИТА ПРИ ОБРАБОТКА НА ЛД

 

В следствие на оценката за нивото на въздействие и тежестта на риска за правата и свободите на физическите лицапри нарушаване на сигурността, нивото на защита при обработка на лични данни в Лечебното заведение ,за различните групи лични данни, е както следва:

            • за Служители – средно ниво на защита

            • за Деца с Хронични Заболявания и Медико-Социални Проблеми–средно ниво на защита

 

 

 

IX. ПОЛЗВАНЕ НА ПОДИЗПЪЛНИТЕЛИ за Обработка

 

Към датата на създаване на настоящата политика в организацията не се използват подизпълнители за обработка на лични данни на физически лица.

 

X. ПОДДЪРЖАНИ РЕГИСТРИ С ЛИЧНИ ДАННИ

 

Лечебното заведение  Поддържа Следните Регистри с Лични Данни:     

            • Регистър на Персонала за Целите на Изчисляването на Работни Заплати и Обезщетения;

            • Регистър на Деца с Хронични Заболявания и Медико-Социални Проблеми.

 

 

 

XI. ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ

 

Лични Данни се Предават на Следните Получатели:

Национална Агенция за Приходите – във връзка със: сключени трудови договори; дължими данъци върху доходите, социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;

Национален Осигурителен Институт – във връзка със: социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;

Банки, съгласно договор за банково обслужване с Лечебното заведение  – във връзка с изплащане на възнагражденията;

Служба за Трудова Медицина, съгласно договор с Лечебното заведение  – във връзка с изпълнение на законови задължения на Лечебното заведение  по ЗЗБУТ;

Застрахователи , съгласно договор с Лечебното заведение  или негови служители – във връзка със здравни, рентни или други застраховки;

Главна Инспекция по Труда, НОИ и МВР – във връзка с трудови злополуки;

Други държавни и общински органи и/или институции – във връзка със законови за-дължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни.

 

 

 

XII. РЕГИСТРИ ЗА ДЕЙНОСТИ ПО ОБРАБОТКА

 

Поддържат се Следните Регистри за Дейностите по Обработване на Лични Данни:   

            • Регистър по Дейностите на Обработка в Качеството на Администратор;

 

 

 

ХIII. ДЕФИНИЦИИ НА ПО-ВАЖНИ ТЕРМИНИ

 

ЛИЧНИ ДАННИ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

 

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 

РЕГИСТЪР С ЛИЧНИ ДАННИ означава всеки структуриран набор от лични данни, достъпът до който се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

 

АДМИНИСТРАТОР НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни.

 

ОБРАБОТВАЩ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратор на лични данни.

 

ПОЛУЧАТЕЛ НА ЛИЧНИ ДАННИ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

 

СЪГЛАСИЕ НА СУБЕКТ НА ДАННИ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.

 

НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИ ДАННИ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

 

ДАННИ ЗА ЗДРАВОСЛОВНОТО СЪСТОЯНИЕ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.

 

СПЕЦИАЛНИ КАТЕГОРИИ (ЧУВСТВИТЕЛНИ) ЛИЧНИ ДАННИ означава лични данни, свързани с расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикални организации, генетични, биометрични или данни за здравословно състояние, данни за сексуалния живот или сексуалната ориентация на физическо лице.

 

ПРОФИЛИРАНЕ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

 

НИВА НА ВЪЗДЕЙСТВИЕ при Нарушена Сигурност на Лични Данни:

Ниско– в случаите, когато неправомерното обработване на лични данни би застрашило неприкосновеността на личността и личния живот на отделно физическо лице или група физически лица.

Средно– в случаите, когато неправомерното обработване на лични данни би могло да създаде опасност от засягане на интереси, разкриващи расов или етнически произход, политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели, здравословното състояние, сексуалния живот или човешкия геном на отделно физическо лице или група физически лица.

Високо– в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на голяма група физически лица или лица, заемащи висши държавни длъжности, или трайни здравословни увреждания или смърт на отделно физическо лице.

Изключително Високо– в случаите, когато неправомерното обработване на лични данни би могло да доведе до възникване на значителни вреди или кражба на самоличност на особено голяма група физически лица или трайни здравословни увреждания или смърт на група физически лица.

 

ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от 3 (три) или повече физически лица.

 

ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 10 000 (десет хиляди).

 

ОСОБЕНО ГОЛЯМА ГРУПА ФИЗИЧЕСКИ ЛИЦА е съвкупност от физически лица, чийто брой надхвърля 1 000 000 (един милион).

 

ШИРОКОМАЩАБНИ РЕГИСТРИ НА ЛИЧНИ ДАННИ са разпределени масиви с лични данни, чието управление не може да бъде осъществено със стандартните средства за управление на база данни.

 

 

 

ХIV. ПРИЛОЖИМИ ПРОЦЕДУРИ И ДОКУМЕНТИ

 

            Във връзка с изпълнение на Политиката, Лечебното заведение  поддържа и прилага следните Процедури, в т.ч. Оперативни Документи, Регистри и Списъци към тях, и Формуляри.

 

чл.14.1.          ПРОЦЕДУРИ, в т.ч. Оперативни Документи, Регистри и Списъци към тях:

 

1. Подбор на Персонал

 

2. Обработка на Възнаграждения от Администратор

            със следните Оперативни Документи, Регистри и Списъци към нея:

                        • Регистър на Трудовите Договори

                        • Регистър на Издадените Трудови Книжки

                        • Регистър на Болничните Листа

                        • Регистър за Начален Инструктаж

• Структура, Предназначение и Получатели на Данните във Ведомост за Възнаграждения

 

3.Обработка на Лични Данни, Свързани с Взаимоотношения с Деца с Хронични Заболявания и Медико-Социални Проблеми

            със следните Оперативни Документи, Регистри и Списъци към нея:

• Регистър Пациенти

• Списък на Лицата, Отговорни за Взаимоотношенията с Пациенти

 

4.Управление на Исканията, Свързани с Обработка на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

                        • Форма за Искане на Субекта на Данните

                        • Регистър за Дадени Справки и Уведомления за Извършени Действия

 

5. Избор на Подизпълнител, Обработващ Лични Данни

           

6. Оценка за Въздействието при Нарушаване Сигурността на Личните Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

                        • Протокол от Оценка за Въздействието при Нарушаване на Сигурността

 

7. Мерки за Защита на Лични Данни

 

8. Унищожаване на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

                        • Протокол за Унищожени Лични Данни

                        • Регистър на Протоколите за Унищожаване на Лични Данни

 

9. Действия при Нарушаване Сигурността на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

                        • Регистър за Нарушенията на Сигурността на Лични Данни

 

10. Длъжностно Лице по Защита на Лични Данни

            със следните Оперативни Документи, Регистри и Списъци към нея:

                        • Длъжностна Характеристика

                        • Препоръчителни Клаузи за Договора с Лицето

 

11. Регистър на Дейностите по Обработка в Роля на Администратор

            със следните Оперативни Документи, Регистри и Списъци към нея:

                        • Регистър на Дейностите по Обработка в Роля Администратор

 

чл.14.2.          ОБРАЗЦИ

 

1. Декларация за информираност

 

2. Декларация за поверителност

 

3. План за Обучение

 

4. Протокол от Обучение

 

 

 

ХV. ПОДДЪРЖАНЕ АКТУАЛНОСТ НА ПОЛИТИКАТА

 

Политиката,  в т.ч. процедурите и документите към тях, ще се поддържат актуални

чл.15.1.Когато Лечебното заведение  промени:

                                   - предметът си на дейност;

                                   - съществено своя размер – увеличи/намали своя персонал и/или приходи;

                                   - организацията си на дейността;

                                   - използваната сградна инфраструктура и/или броя на локациите на дейността;

                                   - използваната технологична инфраструктура;

                                   - целите, за които се събират лични данни;

                                   - вида на събираните лични данни;

                                    - многократно обема на събирани и обработвани лични данни;

то своевременно ще преоцени, преразгледа и актуализира Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци).

 

Политиката, се преглежда за актуалност поне веднъж годишно

чл.15.2. Независимо дали има промени или не в някои от горните обстоятелства, Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се преглежда за актуалност във връзка със законодателни промени или навлезли нови добри практики, минимум веднъж годишно.

 

Актуализация на Оценката за Нивото на Въздействие при Нарушаване на Сигурност

чл.15.3.          Лечебното заведение  веднъж годишно прави актуализация на оценката за нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработвани техни лични данни, и ако се установи, че нивата и тежестта на риска са се повишили, без ненужно забавяне, се предприемат мерки за въвеждане на съответстващото им ниво на мерки за защита.

 

Преглед на Адекватността и Прилагането на Мерките за Защита

чл.15.4. Лечебното заведение прави ежегоден преглед на:

1. адекватността на нивата на мерките за защита, с оглед на нивата на въздействие и тежестта на риска за правата и свободите на физическите лица, в случай на нарушаване на сигурността на обработваните техни лични данни;

2. прилагането и ефективността на одобрените мерки за защита,

                        и ако се установи, че се налага завишаване нивата на защита или че се налагат подобрения в прилаганите мерки за защита, без ненужно забавяне, се предприема необходимото за тяхното завишаване и подобрение.

 

Приемане и Влизане в Сила на Промени в Политиката и Процедурите към Нея

чл.15.5.          Всяка промяна в Политиката, в т.ч. приложимите към нея Процедури (Оперативни Документи, Регистри и Списъци), се извършва с нарочна заповед на Директора на Лечебното заведение  и влиза незабавно в сила.

                        За всички засегнати от промяна лица се провежда обучение във връзка с промяната до десет работни дни от влизането и в сила.

 

 

Утвърдил: Директор ДМСГД гр. Хасково : .......................................

                                                                              /  Д-р Кирил Гузгунов /

В момента разглеждате олекотената мобилна версия на уебсайта. Към пълната версия.