Вътрешни Правила и GDPR
ВЪТРЕШНИ ФИРМЕНИ ПРАВИЛА НА ZDRAVOCHNIK.BG ПО ПРИЛАГАНЕТО И ИЗПЪЛНЕНИЕТО НА РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година
относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
I.Преамбюл. Настоящите фирмени правила имат за цел да въведат адекватни, законодателно обосновани и устойчиви вътрешноведомствени норми и технически процеси по администриране на лични данни, извършвани от “Zdravochnik.bg” (наричано за краткост по-нататък “САЙТЪТ”) в съответствие с Общия регламент относно защитата на лични данни. Тези фирмени правила съответстват на основните законодателни принципи относно защитата на физическите лица във връзка с обработването на личните им данни. Независимо от гражданство и/или местопребиваване на субекта на лични данни, настоящите фирмени правила са съобразени с неговите основни права и свободи и по-конкретно — с правото на защита на лични данни в смисъла на член 8, параграф 1 от Хартата на основните права на Европейския съюз („Хартата “) и член 16, параграф 1 от Договора за функционирането на Европейския съюз (ДФЕС).
II. Защитата на лични данни в съответствие с Общия регламент ще се извършва от администратора при стриктно спазване на следните фирмени правила:
1. Всеки клиент, служител или потребител, регистриран посетител на сайта www.zdravochnik.bg(включително афилиейт системи, в които сайтът предоставя информация), следва да е информиран изрично, че защитата на лични данни в “Zdravochnik.bg” (и негови съадминистратори) е изцяло базирана на стриктното спазване и охрана на законовите интереси на физическите лица, чиито данни се обработват, като тази мярка е технологично неутрална и не зависи от използваната в сайта (или извън него) техника. Защитата на данни на физическите лица в сайта “Zdravochnik.bg” се прилага за обработването на лични данни с автоматични средства, както и за ръчното им обработване, ако личните данни се съхраняват или са предназначени да се съхраняват в регистър с лични данни. Досиетата или групите от досиета, както и заглавните им страници, които не са структурирани съгласно специфични критерии, не попадат в обхвата на визираната с настоящите фирмени правила защита.
2. Правила на сайта за защита на лични данни се прилагат по отношение на всяка информация, отнасяща се до физическо лице – клиент, служител или потребител, регистриран посетител на сайтове (включително афилиейт системи, в които сайта предоставя информация), което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, се считат за информация, отнасяща се до физическо лице, което може да бъде физически или технически идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, сайта взима предвид всички възможни документални или технически средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът (сайта) или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се установи дали има достатъчна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, “Zdravochnik.bg”взима предвид всички обективни фактори, като разходите и количеството време, необходими за идентифицирането, като се отчитат наличните към момента на обработване на данните технологии и технологичните мерки във фирмата. Поради това принципите на защита на данните не се прилагат от сайта по отношение на анонимна информация, т.е. информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните да не може или вече не може да бъде идентифициран.
3. Сайтът “Zdravochnik.bg” е администратор на лични данни, който стимулира прилагането на псевдонимизация като технически метод при обработването на лични данни, като същевременно се създава възможност за общ анализ на мерките за псевдонимизация. Тези мерки са технически възможни и изпълними, като се извършват от самия сайт “Zdravochnik.bg” като администратор на данни, без опция за съадминистриране на псевдонимизирани лични данни. В този контекст сайта “Zdravochnik.bg” е предприело необходимите технически и организационни мерки, за да се гарантира при съответната обработка, че Общият регламент за защита на личните данни е приложен правилно в тази хипотеза и че допълнителната информация, свързваща личните данни с конкретен субект на данните, се съхранява отделно.
4. Правилата относно личните данни на сайта “Zdravochnik.bg” позволяват и гарантират защитимостта на техническите процеси, при които физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например етикетите за радиочестотна идентификация. Технически това означва да се позволи да бъдат оставени следи, които в съчетание с уникални идентификатори и с друга информация, получена от сървърите на сайта “Zdravochnik.bg”, може да се използва за създаването на защитени профили на физически лица и за тяхното идентифициране по лични данни.
5. Правилата на сайта “Zdravochnik.bg” гарантират създаването и наличието на изрична опция за даване на съгласие за администриране на лични данни. Съгласието се дава от субекта на лични данни чрез ясно утвърдителен акт, с който се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от негова страна за обработване на свързани с него лични данни, например чрез писмена декларация, отговор на автоматично генериран имейл, препращане на декларация, включително по електронен път или устна декларация. Тези мерки включват отбелязване с отметка в поле при посещението на уебсайт, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Съгласието обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено отделно съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда. В хипотезите на съадминистриране при съвместно администриране на данни всеки субвкт на данни може да бъде уведомен изрично, че по отношение на него е стартирана процедура по администриране на лични данни, дори, когато той изрично не е ползвател на сайт (собственост на сайта) или афилиейт система (към която сайтът “Zdravochnik.bg” е асоцииран като издател на бизнес софтуер).
6. Във връзка в трудовоправните и осигурителните отношения на служителите си, сайтът “Zdravochnik.bg” е администратор и на специална категория лични данни, а именно тези, касаещи здравословното им състояние. Въпросните лични данни се ползват с особена защита в дружеството като са обособени в отделен регистър за специалните категории лични данни, като те обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. Това включва информация относно физическото лице, събрана в хода на регистрацията за здравни услуги или тяхното предоставяне, както е посочено в Директива 2011/24/EС на Европейския парламент и на Съвета, на същото физическо лице; номер, символ или характеристика, определени за дадено физическо лице с цел уникалното му идентифициране за здравни цели; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително от генетични данни и биологични проби; и всякаква информация, например за заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, като например лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.
7. Правилата по администриране на лични данни, приети от сайта “Zdravochnik.bg” гарантират, че всяко обработване на лични данни се извършва законосъобразно и добросъвестно. Фирмените правила предвиждат, че физическите лица следва да имат прозрачност по какъв начин отнасящи се до тях лични данни се събират, използват, консултират или обработват по друг начин, както и в какъв обхват се извършва или ще се извършва обработването на данните. Принципът на прозрачност, приет от сайта “Zdravochnik.bg” изисква всяка информация и комуникация във връзка с обработването на тези лични данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки. Този принцип се отнася в особена степен за информацията, която получават субектите на данни за самоличността на администратора и целите на обработването, и за допълнителната информация, гарантираща добросъвестно и прозрачно обработване на данните по отношение на засегнатите физически лица и тяхното право да получат потвърждение и уведомление за съдържанието на свързани с тях лични данни, които се обработват.
8. Сайтът “Zdravochnik.bg” информира физическите лица за рисковете, правилата, гаранциите и правата, свързани с обработването на лични данни и за начините, по които да упражняват правата си по отношение на обработването. Сайтът “Zdravochnik.bg” предоставя абсолютна прозрачност относно конкретните цели, за които се обработват лични данни, като целите са определени към момента на събирането на личните данни. Личните данни администрирани от сайта “Zdravochnik.bg” са адекватни, релевантни и ограничени до необходимото за целите, за които се обработват. Срокът, за който личните данни се съхраняват от сайта “Zdravochnik.bg” е пет години от началния момент на администриране, след което същите се заличават. Лични данни се обработват от сайта “Zdravochnik.bg”, единствено ако целта на обработването не може да бъде постигната в достатъчна степен с други средства. Неточните лични данни се коригират или заличават.
9. Личните данни, администрирани от сайта “Zdravochnik.bg” се обработват на базата на стриктно имплементирани технологични мерки, които гарантират подходяща степен на сигурност и поверителност на личните данни, включително за предотвратяване на непозволен достъп до лични данни и до техническо оборудване за тяхното обработване или за предотвратяване на използването им.
10. Правилата на сайта “Zdravochnik.bg” относно личните данни гарантират интересите и основните права на субекта на данни, които имат преимущество пред интереса на администратора, когато личните данни се обработват при обстоятелства, при които субектите на данни основателно не очакват по-нататъшна обработка. Обработването на лични данни, строго необходимо за целите на предотвратяването на измами, представлява законен интерес на сайта “Zdravochnik.bg” като администратор на данни. Обработването на лични данни за целите на директния маркетинг се разглежда като осъществявано поради законен интерес.
11. Обработването на лични данни в степен, която е строго необходима и пропорционална на целите на гарантирането на мрежовата и информационната сигурност, т.е. способността на дадена сървър, мрежа или информационна система да издържа на съответната натовареност технически, със съответно равнище на доверие, на случайни събития или неправомерни или злонамерени действия, които повлияват на наличността, автентичността, целостта и поверителността на съхраняваните или предаваните лични данни, както и на сигурността на свързаните услуги, предлагани или достъпни посредством тези мрежи и системи, от страна на публични органи, екипи за незабавно реагиране при компютърни инциденти (ЕНРКИ), екипи за реагиране при инциденти с компютърната сигурност (ЕРИКС), доставчици на мрежи и услуги за електронни съобщения и доставчици на технологии и услуги за сигурност, представлява законен интерес на сайта “Zdravochnik.bg” като администратор на данни. Този интерес включва и предотвратяването на непозволен достъп до електронни съобщителни мрежи и разпространение на зловреден софтуер спрямо сървъри и бази данни на сайта “Zdravochnik.bg” о, спиране на атаки с цел отказване на услугите и вреди за компютрите и електронните съобщителни системи, които касаят или опосредяват съхранението и обработката на лични данни от сайта.
12. Сайтът “Zdravochnik.bg” предвижда специализирани технилогични мерки по отношение защитата на личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи на субекта на лични данни. Тези личните данни са от категорията разкриващи расов или етнически произход, сексуална ориентация, политически възгледи и биометрични данни. Обработването на снимки не се разглежда от сайта “Zdravochnik.bg” систематично като обработване на специални категории лични данни, тъй като снимките се обхващат от определението за биометрични данни единствено когато се обработват чрез специални технически средства, позволяващи уникална идентификация или удостоверяване на автентичността на дадено физическо лице. Тези лични данни не се обработват от сайта “Zdravochnik.bg” освен ако обработването не е разрешено в определени случаи, предвидени в Общия регламент или ЗЗЛД. Тогава администрирането се извършва, чрез изричен информационен масив (база данни) на сайта “Zdravochnik.bg” , който касае специалните категории лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в Общия регламент и ЗЗЛД, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни изрично е предвидена от сайта “Zdravochnik.bg” , inter alia, когато субектът на данните е дал изричното си съгласие в тази насока.
13. Специални категории лични данни, които се нуждаят от по-голяма защита, се администрират от сайта “Zdravochnik.bg” за здравни цели на неговите служители и в други, предвидени от закона случаи (обществени, културни цели, музейно дело, образователни цели, случаите, които касаят разследване на престъпления против интелектуалната собственост и кражба/злоупотреба с лични данни), но само когато е необходимо тези цели да бъдат постигнати в полза на отделни физически лица, по-специално в рамките на управлението на услугите и системите за здравеопазване, образование, култура, социални грижи, както и за осигуряване на непрекъснатост на здравното обслужване или на социалните услуги, за целите на превенцията и сигурността и т.н. Поради това настоящите фирмени правила предвиждат хармонизирани условия за обработването на специални категории лични данни за сочените цели по отношение на специфични нужди, по-специално когато обработването на тези данни се извършва за определени конкретно предвидени в Общия регламент, ЗЗЛД и други законосъобразни цели на администратора сайта “Zdravochnik.bg”, обвързан от правното задължение за професионална тайна и конфиденциалност спрямо специални категории лични данни на физически лица.
14. Ако обработваните от сайта “Zdravochnik.bg” лични данни не му позволяват да идентифицира дадено физическо лице, администраторът на данни не е задължен да се сдобие с допълнителна информация, за да идентифицира субекта на данните единствено с цел спазване на Общия регламент или ЗЗЛД. Сайтът “Zdravochnik.bg” обаче не отказва да приеме допълнителна информация, подадена от субекта на данни, за да подпомогне упражняването на неговите права. Идентификацията включва цифровата идентификация на субекта на данни, например чрез онлайн механизъм за удостоверяване на автентичността (попълване на анкета с лични данни, кликане върху декларация за съгласие за администриране на лични данни), както и използването от субекта на данни на информация за удостоверяване на идентичността при регистрация за онлайн услуга, предлагана от администратора на лични данни в лицето на сайта “Zdravochnik.bg”.
15. Сайтът “Zdravochnik.bg” стриктно спазва принципът на прозрачност и достъп като представя всяка информация както за обществеността, така и за субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, използвайки ясни и недвусмислени формулировки, а в допълнение когато е необходимо – и визуализация. Цялата информация, касаеща фирмените правила и технологичните мерки на сайта, имащи отнощение към лични данни е представена в електронна форма на уебсайта “Zdravochnik.bg”.
16. Като администратор на различен по вид лични данни сайтът “Zdravochnik.bg” е създал ред и условия за улесняване на упражняването на правата на субектите на данни, включително механизми за искане и получаване на коригиране, ограничаване и изтриване на лични данни, както и упражняване на правото на възражение. Сайтът “Zdravochnik.bg” предоставя технологична възможност за подаване на искания по електронен път спрямо този тип личните данни, които постъпват и се обработват електронно. “Zdravochnik.bg” отговоря на постъпилите искания от субекта на данни без ненужно забавяне и най-късно в рамките на един календарен месец.
17. Всяко физическо лице (независимо дали е служител или потребител на услугите на сайта “Zdravochnik.bg”) има право на достъп до неговите събрани лични данни, както и да упражнява това право лесно и на разумни интервали. Сайтът “Zdravochnik.bg” в качеството си на администратор, е създала техническа възможност всеки конкретен правен субект да бъде осведомен за обработването на личните му данни и да провери законосъобразността на този процес. Това включва правото на субектите на данни на достъп до данните за здравословното им състояние, например данните в медицинските им досиета, които съдържат информация като диагнози, резултати от прегледи, становища на лекуващите лекари и проведени лечения или извършени операции. В този контекст сайта “Zdravochnik.bg” е създала техническа възможност всеки субект на лични данни да е запознат и да получава информация, по-специално относно целите, за които се обработват личните му данни, както и срока, за който се обработват личните му данни, получателите на личните данни, логиката на автоматизираното обработване на личните данни и последствията от такова обработване, най-малкото когато се извършва на основата на профилиране. Когато е необходимо, сайта “Zdravochnik.bg” може да предостави достъп от разстояние до сигурна система, която да предостави на субекта на данните пряк достъп до неговите лични данни. Това право обаче не може да се използва против или да влияе неблагоприятно върху правата или свободите на други лица, включително върху търговската тайна, интелектуалната собственост – по-специално върху авторското право или технологични мерки за защита на софтуера на сайта. Тези съображения не представляват отказ за предоставяне на цялата информация на съответния субект на данни. Когато сайта “Zdravochnik.bg” обработва голямо количество информация относно субекта на данни, администраторът може да поиска от субекта на данните, преди да бъде предадена информацията, да посочи точно информацията или дейностите по обработването, за които се отнася искането.
18. На базата на настоящите фирмени правила субектът, чиито лични данни се администрират от сайта “Zdravochnik.bg” право на коригиране на личните данни, свързани с него, псевдонимизация, както и правото „да бъде забравено “, когато запазването на тези данни е в нарушение на ЗЗЛД или Общия регламент. Субектът на данни следва има право личните му данни да се изтриват и да не бъдат обработвани повече от сайта “Zdravochnik.bg”, когато личните данни престанат да бъдат необходими с оглед на целите, за които те са били събрани или обработвани по друг начин, когато субектът на данните е оттеглил своето съгласие или е възразил срещу обработването на лични данни, свързани с него, или когато обработването на личните му данни по друг начин не е в съответствие с нормите на ЗЗЛД. С цел стриктно спазване на „правото да бъдеш забравен “в онлайн средата, правото на изтриване е разширено от сайта “Zdravochnik.bg”, като ако е направила личните данни обществено достъпни, фурмата уведомява съответните администратори или съадминистратори, които обработват такива лични данни, да изтрият всякакви връзки към тези лични данни или техните копия или реплики. За тази цел сайтът “Zdravochnik.bg” предприема разумни мерки, като взема предвид наличните си технологии и средствата на разположение, в това число технически мерки, за да информира администраторите/съадминистраторите, които обработват личните данни, за искането на субекта на данните.
19. Като администратор на лични данни сайтът “Zdravochnik.bg” е разработил и технологични мерки, касаещи ограничаване обработването на лични данни, които включват временно преместване на избраните лични данни в друга система за обработване, прекратяване на достъпа на ползвателите до тях и/или временно премахване на публикуваните данни от уебсайта на сайта “Zdravochnik.bg”. В автоматизираните регистри на лични данни ограничаването на обработването е осигурено с технически средства, така че личните данни да не подлежат на операции по по-нататъшно обработване и да не могат да се променят. Фактът, че обработването на лични данни е ограничено, винаги ясно е посочен в системата.
20. С цел да се поддържа сигурността и да се предотврати обработване, което е в нарушение на ЗЗЛД или Общия регламент, сайтът “Zdravochnik.bg” константно и в реално време извършва софтуерна оценка на рисковете, свързани с обработването, като предприема и технологични мерки за ограничаване на тези рискове, изразяващи се в криптиране. Тези мерки гарантират подходящо ниво на сигурност, включително поверителност, като се вземат предвид достиженията на техническия прогрес и разходите по изпълнението спрямо рисковете и естеството на личните данни, които трябва да бъдат защитени. При оценката на риска за сигурността на данните сайта “Zdravochnik.bg” разглежда всички рискове, произтичащи от обработването на лични данни, като случайно или неправомерно унищожаване, загуба, промяна, неправомерно разкриване, или достъп до предадени, съхранявани или обработвани по друг начин лични данни, което може по-конкретно да доведе до физически, материални или нематериални вреди.
21. Нарушаването на сигурността на лични данни може, ако не бъде овладяно по подходящ и навременен начин, да доведе до физически, материални или нематериални вреди за физическите лица, като загуба на контрол върху личните им данни или ограничаване на правата им, дискриминация, кражба на самоличност или измама с фалшива самоличност, финансови загуби, неразрешено премахване на псевдонимизацията, накърняване на репутацията, нарушаване на поверителността на лични данни, защитени от професионална тайна, или всякакви други значителни икономически или социални неблагоприятни последствия за засегнатите физически лица. Поради това, веднага след като установи нарушение на сигурността на личните данни, сайтът “Zdravochnik.bg” поема задължението и отговорността, без ненужно забавяне да уведоми Комисията за защита на личните данни за нарушението на сигурността на личните данни, в срок не по-късно от 72 часа след като е разбрал за него, освен ако сайта “Zdravochnik.bg” не е в състояние да докаже в съответствие с принципа на отчетност, че няма вероятност нарушението на сигурността на личните данни да доведе до риск за правата и свободите на физическите лица. Когато такова уведомление не може да бъде подадено в срок от 72 часа, сайтът “Zdravochnik.bg” посочва причините за забавянето и подава информацията поетапно към Комисията за защита на личните данни, без ненужно допълнително забавяне.
Дата: “Zdravochnik.bg”