ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ

1. Общи положения

1.1. Настоящата Политика за поверителност („Политиката“) урежда начина, по който „МЕДИЦИНСКИ ЦЕНТЪР КАЛИ МЕД“ ЕООД („Центърът“, „ние“, „нас“) обработва лични данни на посетителите на интернет страницата www.jclinic.bg („Уебсайт“) и на онлайн платформата за записване на час book.jclinic.bg („Платформата“), както и на лица, които се свързват с Центъра, записват час, посещават Центъра и/или получават медицински услуги.

1.2. Политиката се прилага за обработване на лични данни чрез:

1. Уебсайта (преглед на съдържание, техническа достъпност, контактни функционалности, връзки към външни ресурси);
2. Платформата (регистрация/профил, записване на час, управление на посещения/покупки/абонаменти/„картон“/„новини“ – според текущата конфигурация);
3. комуникация по телефон, имейл, SMS и/или други канали, използвани от Центъра за обслужване;
4. посещение на място и предоставяне на медицински услуги (вкл. медицинска документация и информирано съгласие);
5. видеонаблюдение на територията на Центъра.

1.3. Политиката има за цел да предостави прозрачна информация по смисъла на Регламент (ЕС) 2016/679 („GDPR“) и приложимото българско законодателство, включително Закона за защита на личните данни („ЗЗЛД“) и относимите правила за медицинска документация, медицинска тайна и права на пациента.

1.4. Настоящата Политика не замества медицинската информация, информираното съгласие и други документи, които пациентът подписва/получава по реда на здравното законодателство, а ги допълва относно защитата на личните данни.

1.5. Термините с главна буква, които не са дефинирани тук, имат значението, дадено им в Общите условия.

2. Администратор на лични данни и контакти

2.1. Администратор на лични данни е: „МЕДИЦИНСКИ ЦЕНТЪР КАЛИ МЕД“ ЕООД, ЕИК 206118370, адрес: гр. София 1606, ул. „Ами Буе“ № 54, имейл: info@jclinic.bg, тел.: +359 88 271 8245 („Администратор“, „Центърът“).

2.2. Контакт по въпроси, свързани с личните данни и упражняване на права: info@jclinic.bg.

С оглед защита от злоупотреби и защита на медицинската тайна, при искания по GDPR може да изискаме разумно необходима допълнителна информация за идентификация.

3. Категории лични данни, които обработваме

3.1. Данни при посещение на Уебсайта (технически/трафични данни)

• IP адрес; дата и час на достъп; приблизителна локация (на ниво град/държава); тип устройство; операционна система и браузър; езикови настройки;
• логове за посещение и технически идентификатори; референтни страници;
• данни от „бисквитки“ и сходни технологии.

3.2. Данни при контакт с Центъра (телефон/имейл/форма)

• име, презиме и фамилия (ако са предоставени); телефон; имейл;
• съдържание на съобщението/запитването;
• технически данни за изпращането/получаването (дата/час, логове).

Важно: Молим да не изпращате по имейл/форми излишни здравни данни. Ако все пак ги предоставите, обработването им ще се извършва при спазване на приложимото законодателство.

3.3. Данни при записване на час (вкл. през Платформата)

1. име/презиме/фамилия и/или други данни, изисквани от Платформата;
2. телефон/имейл;
3. данни за записването: избрана категория/услуга, специалист/„без предпочитание“, дата/час, коментар, код за отстъпка (ако има), статуси и история на заявки/резервации;
4. комуникация по потвърждение/промяна/отмяна и напомняния.

3.4. Данни при регистрация и профил в Платформата

Според конфигурацията профилът може да включва: име, презиме, фамилия, телефон, имейл, пол, „обект“, история на посещения/„покупки“/абонаменти, справки и настройки, както и други данни.

3.5. Здравни данни и медицинска документация (специални категории данни)

При предоставяне на медицински услуги обработваме данни, включително данни за здравословното състояние, напр.:

1. анамнеза, оплаквания, диагнози, резултати от изследвания, проведени процедури/терапии, противопоказания, алергии, нежелани реакции, проследяване;
2. информирано съгласие, медицински протоколи и друга медицинска документация, изисквана по закон.

3.6. Данни за плащане и счетоводни данни 

3.6.1. данни за плащане (сума, дата/час, начин на плащане);

3.6.2. данни за фактура (ако поискате) – според данъчните изисквания.

3.7. Данни за сигурност и предотвратяване на злоупотреби

1. логове за достъп и действия в Платформата;
2. данни за инциденти/нарушения/подозрения за злоупотреба;
3. записи/доказателства, необходими за защита на права и законни интереси.

3.8. Данни от видеонаблюдение

Видеоизображение на лица, които влизат/присъстват в зони, обхванати от камерите, както и дата/час на записа и локация на камерата.

4. Цели на обработване

Обработваме лични данни за следните цели:

4.1. Осигуряване на достъпност, функционалност и сигурност на Уебсайта и Платформата.

4.2. Организация на записвания и посещения – заявка, потвърждение, промяна/отмяна, напомняния, управление на графици, комуникация.

4.3. Предоставяне на медицински услуги – медицинска оценка, безопасност, проследяване, медицинска документация, професионална тайна.

4.4. Изпълнение на законови задължения – здравно законодателство, счетоводство, данъци, задължения към контролни органи и др.

4.5. Обслужване и управление на отношенията с пациента/потребителя – запитвания, оплаквания, претенции, администриране на профил.

4.6. Сигурност и защита – предотвратяване на злоупотреби, киберсигурност, доказване на действия, защита при спорове.

4.7. Сервизни съобщения (нетърговски) – потвърждения на час, напомняния, организационни уведомления (напр. промяна/отмяна по обективни причини), инструкции за явяване, искане за уточняване на данни по записване.

4.8. Маркетинг – при спазване на отделна Политика за маркетинг и приложимото правно основание.

4.9. Видеонаблюдение – сигурност на лица, опазване на имущество, предотвратяване и установяване на инциденти, защита на законните интереси на Центъра и посетителите.

5. Правни основания за обработване (GDPR)

Обработваме лични данни на основания по чл. 6 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година (Общ регламент относно защитата на данните) („GDPR“), включително:

5.1. чл. 6, пар. 1, б. (b) – предприемане на стъпки по искане на субекта и/или организация на посещение (записване на час, комуникация по него);

5.2. чл. 6, пар. 1, б. (c) – законово задължение (счетоводство/данъци/здравна документация/контрол);

5.3. чл. 6, пар. 1, б. (f) – легитимен интерес (сигурност, предотвратяване на злоупотреби, защита при претенции/спорове, подобряване на услуги и инфраструктура);

5.4. чл. 6, пар. 1, б. (a) – съгласие (напр. за незадължителни „бисквитки“ и/или маркетинг, когато е приложимо).

5.5. За здравни данни (чл. 9 GDPR) обработването се извършва при наличие на приложимо основание, включително чл. 9, пар. 2, б. (h) – за цели на медицинска помощ/лечение/диагностика и управление на здравни услуги, при спазване на професионална тайна и приложимото здравно законодателство; и/или други приложими основания по чл. 9 GDPR, в зависимост от конкретния случай.

6. Задължителност на предоставянето на данни

6.1. За организация на записване са необходими минимум данни за идентификация и контакт (напр. име и телефон/имейл). При непредоставяне – може да не можем да потвърдим/организираме посещение.

6.2. За предоставяне на медицинска услуга е необходимо предоставяне на определени данни за медицинска оценка и безопасност. При отказ за ключова информация (напр. противопоказания/алергии/лекарства) Центърът може да не може да гарантира безопасност и да откаже/отложи услуга, съобразно добрата медицинска практика и закона.

6.3. За фактура могат да се изискват допълнителни данни по данъчното законодателство.

6.4. Съгласие за незадължителни „бисквитки“ и/или маркетинг (ако бъде въведен) е доброволно.

6.5. Центърът може да приеме отделна Политика за маркетинг, която да урежда: видове маркетингови съобщения, канали, основания, механизъм за отказ/отписване и др. До въвеждането ѝ, настоящата Политика следва да се тълкува така, че сервизните съобщения по т. 4.7 не представляват маркетинг и могат да бъдат изпращани, доколкото са необходими за обслужване и организация.

7. Получатели на данни. Обработващи. Споделяне

7.1. Достъп до лични данни имат само лица, които трябва да ги обработват за съответната цел („need-to-know“), включително медицински специалисти и административен персонал, при спазване на поверителност.

7.2. Можем да използваме външни доставчици („обработващи“), напр.: хостинг, IT поддръжка, киберсигурност, доставчик на Платформата, имейл/SMS доставчици, счетоводство, правни консултанти и др., при наличие на договорни и организационни гаранции.

7.3. Споделяне с трети лица като самостоятелни администратори може да се извършва при законово изискване или за защита на права/интереси (напр. контролни органи, съд/разследване), както и когато е необходимо за медицинска услуга (напр. насочване), при минимизация на данните и приложимо основание.

7.4. Не продаваме лични данни.

7.5. В зависимост от използваните технологични решения и/или бъдещи интеграции (напр. доставчици на хостинг и облачни услуги, доставчик на Платформата, инструменти за киберсигурност, аналитични и рекламни платформи, комуникационни услуги и доставчици на имейл/SMS), е възможно лични данни или онлайн идентификатори да бъдат обработвани и/или да бъде осигуряван достъп до тях от държави извън ЕИП, включително държави, за които не е налице решение за адекватност на Европейската комисия. При такива случаи Центърът предприема приложимите мерки за законосъобразност на трансфера, включително използване на подходящи гаранции (напр. стандартни договорни клаузи) и при необходимост – допълнителни технически и организационни мерки, съобразени с конкретния доставчик и риска. Когато за дадено обработване е необходимо съгласие (напр. за незадължителни „бисквитки“/маркетинг технологии), съответното обработване се активира само след предоставяне на валидно съгласие и съобразно настройките за „бисквитки“ и приложимите политики на Центъра.

7.6. Видеонаблюдение 

7.6.1. Центърът използва видеонаблюдение с цел:

1. сигурност на лица и имущество;
2. предотвратяване, установяване и разследване на инциденти;
3. защита при претенции, спорове и противоправни посегателства.

7.6.2. Правно основание: легитимен интерес по чл. 6, пар. 1, б. (f) GDPR, като Центърът балансира интересите си със правата на посетителите и прилага минимизиране (обхват и достъп).

7.6.3. Камерите се разполагат и използват така, че да се избягва непропорционално заснемане и да се спазват принципите на минимизация. По правило видеонаблюдението не следва да обхваща зони с повишено очакване за лична неприкосновеност (напр. санитарни помещения, съблекални) освен ако законът допуска и при наличие на строго необходима причина и допълнителни гаранции.

7.6.4. При необходимост Центърът може да предоставя допълнителна информация относно конкретните точки на наблюдение, без това да компрометира мерките за сигурност.

7.6.5. Записите могат да бъдат предоставяни на компетентни държавни органи (МВР, прокуратура, съд и др.) или на други лица, когато това е необходимо за установяване/защита на права и законни интереси, при спазване на приложимото право.

7.6.6. Центърът не използва видеонаблюдение за цели, несъвместими с посочените в т. 7.6.1, като напр. оценка на здравословно състояние, профилиране или наблюдение извън обекта.

8. Срокове за съхранение

8.1. Съхраняваме данни само за срок, необходим за целта и/или за изпълнение на законово задължение, след което ги изтриваме или анонимизираме освен ако законът изисква друго.

8.2. Ориентировъчни срокове (може да варират според конкретния случай и законовите изисквания):

• контактни запитвания: до приключване на комуникацията и разумен срок след това за доказване/защита;
• данни за записвания/посещения: за периода, необходим за организация, отчетност и защита при претенции;
• счетоводни/данъчни документи: за сроковете по данъчното/счетоводното законодателство;
• медицинска документация: по сроковете и реда на приложимото здравно законодателство;
• технически логове за сигурност: разумни срокове според целта;
• видеозаписи от видеонаблюдение: по правило до 30 (тридесет) дни освен ако конкретен запис е необходим за изясняване на инцидент, защита при претенция/спор или по искане на компетентен орган – тогава се съхранява до окончателното приключване на случая, след което се изтрива при първа възможност.

8.3. При спор/претенция/проверка можем да запазим относимите данни до окончателното приключване на случая, доколкото е необходимо и допустимо.

9. Сигурност на данните

9.1. Прилагаме технически и организационни мерки: контрол на достъпа, минимизация, логове, резервни копия, политики за поверителност и др.

9.2. При инцидент действаме съобразно GDPR (оценка, ограничаване на последици, уведомяване на компетентния орган/засегнати лица, когато е приложимо).

10. Права на субектите и упражняване

10.1. Имате права по GDPR: достъп, корекция, изтриване (когато е приложимо), ограничаване, преносимост (когато е приложимо), възражение при легитимен интерес, оттегляне на съгласие (когато е приложимо).

10.2. Права по отношение на здравни данни и документация се упражняват при спазване на специалните правила на здравното законодателство и медицинската тайна, както и при съответните ограничения по GDPR (напр. законови задължения за съхранение).

10.3. Искания се подават на info@jclinic.bg. За да защитим пациента и медицинската тайна, можем да поискаме разумно необходима идентификация и/или данни за посещението.

10.4. Отговаряме в сроковете по GDPR. При сложност/обем срокът може да се удължи при условията на GDPR.

11. Жалби до надзорен орган

11.1. Имате право да подадете жалба до компетентния надзорен орган по защита на личните данни – Комисия за защита на личните данни (КЗЛД). Данни за контакт: адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров“ № 2; телефон: +359 2 915 3 518; електронна поща: kzld@government.bg, kzld@cpdp.bg; уебсайт: www.cpdp.bg.

11.2. Препоръчваме преди подаване на жалба да се свържете с нас, за да проверим фактите и да съдействаме за добросъвестно и бързо разрешаване на въпроса.

12. Данни за непълнолетни

При услуги за непълнолетни/малолетни обработването се извършва при спазване на приложимите правила за представителство и информирано съгласие от родител/настойник/попечител и при защита на интереса на детето.

13. Електронна комуникация и електронни записи (вкл. принципи на информационна сигурност)

13.1. Използването на Уебсайта и Платформата включва електронен обмен на информация (заявки, потвърждения, уведомления, напомняния). Центърът може да съхранява технически логове и електронни записи за целите на сигурност, доказване на действия, предотвратяване на злоупотреби и изпълнение на законови задължения.

13.2. Центърът прилага принципи на информационна сигурност и надеждност на електронните процеси в степента, в която това е приложимо спрямо използваните системи и нормативната рамка, включително чрез организационни и технически мерки за защита на данните.

14. Промени в Политиката

14.1. Центърът може да актуализира Политиката при промени в законодателството, функционалности, доставчици или процеси.

14.2. Актуалната версия се публикува на Уебсайта и влиза в сила от датата на публикуване освен ако не е посочено друго.

15. Приложимо право и спорове

15.1. Настоящата Политика се тълкува и прилага в съответствие с действащото право на Република България.

15.2. При въпроси, възражения или спорове, свързани с обработването на лични данни, насърчаваме първо да се свържете с нас на посочените в т. 2 контакти, за да проверим фактите и да съдействаме за доброволно разрешаване.

15.3. Това не ограничава правото Ви да подадете жалба до КЗЛД съгласно т. 11 и/или да потърсите защита по съдебен ред пред компетентния съд, съгласно приложимото законодателство.