ПОЛИТИКА НА ГРУПАТА SAT Health ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ


Въведение

Групата SAT Health обхваща „САТ Хелт“ АД и нейни дъщерни дружества  

SAT Health e специализирана в събиране, обработка и анализ на фармацевтична пазарна информация; управление на програми за подпомагане на пациенти; предоставяне на медико-социални грижи и услуги по домовете (Home Care); консултантска дейност и предоставяне на специализирани решения за фармацевтичната индустрия и сектор „Здравеопазване“.

 Централният ни офис е в гр. София, ул. Рачо Петков Казанджията 4-6, бизнес център Матрикс тауър, ет. 2, офис 2, имейл: office@sathealth.com и office@sathealth.care  

Като администратори на лични данни, компаниите от групата SAT Health полагаме стриктно и в съответствие с приложимите нормативни изисквания грижи да защитим поверителността на всички категории лични данни, които получаваме, събираме, обработваме и съхраняваме.

С тази политика за поверителност (Политиката) ние Ви информираме за установените в групата SAT Health вътрешни правила за обработване на личната информация, която получаваме от Вас или събираме за Вас, както и за Вашите права, свързани със защитата на личните Ви данни. 


Информация за обработката на лични данни

Лични данни представлява всяка информация, която позволява да бъде идентифицирано конкретно физическо лице, например (но не само) имена, адреси, телефон, имейл адрес, здравна информация и др. Други данни, които не са пряко свързани с идентификацията Ви като конкретно физическо лице, са извън обхвата на този политика. 

В групата SAT Health обработваме лични данни в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския парламент от 27 април 2016г. относно защитата на физическите лица по отношение на обработката на лични данни, безплатното движение и отмяна на такива данни Директива 95/46/CE (Общ регламент за защита на данните), наричан по-долу „Регламент (ЕС) 2016/679“.

Когато обработваме Ваши лични данни, ние спазваме стриктно принципите в член 5 на Регламент (ЕС) 2016/679: законност, справедливост, прозрачност, защита на целостта и поверителността, точност и свеждане на обработваните данни до необходимия минимум. Личните данни се събират от нас само за законни цели. Данните ще бъдат обработвани и използвани единствено за първоначално декларираните цели и/или според изискванията на приложимото законодателство.

Групата SAT Health е внедрила Система за управление сигурността на информацията (СУСИ), сертифицирана по ISO/IEC 27001. Ние се стремим да гарантираме, че всички лични данни се обработват по начин, който осигурява подходяща защита срещу неоторизирано или незаконно обработване. Прилагат се и се поддържат подходящи организационни и технически мерки за сигурност, основани на оценка на риска, за да се предпазят от неразрешена или незаконна обработка, случайна загуба, унищожаване или повреда на данните. Имаме внедрени процеси, които гарантират, че достъп до Вашите данни имат само служителите, които имат съответните права за това.

Нашата Система за управление сигурността на информацията (СУСИ) е обект на редовни одити от международно признат сертифициращ орган и се поддържа в съответствие с изискванията. Можете да видите нашия сертификат ISO/IEC 27001 на уебсайта на компанията.

Компаниите от групата SAT Health са администратори за данните, които обработват данните на регистрираните пациенти, медицинските и немедицински лица и всички останали трети лица, които не попадат в горните две категории, но данните им се обработват в платформата “Care”.

В някои случаи ние действаме като обработващ лични данни, когато по възлагане от лечебни заведения предоставяме Home Care медико-социални грижи на пациенти. В тези случаи ние се ръководим изцяло от изискванията и насоките на лечебните заведения – администратори на лични данни.

Медицинските и немедицински лица, работещи за нас, обработват в платформата “Care” данните Ви като следват знанията си и професионалната си квалификация. Те са обработващи данни от името и по възлагане на SAT Health въз основа на сключен с тях договор.

Ние обработваме следните лични данни, получени от Вас чрез нашия уеб сайт, платформа “Care”, при попълване на документи съвместно с наши представители, както и по други канали по Ваш избор или от трети страни, в зависимост от услугите, които ползвате и отношенията Ви с компаниите от групата SAT Health:

  • имена;
  • ЕГН и номер на лична карта;
  • адрес;
  • имейл адреси;
  • телефонни номера и друга контактна информация; 
  • информация за здравословно състояние (заболяване, диагноза, данни от медицинска епикриза и/или друга медицинска документация, предписано лечение и други);
  • данни на деца - пациенти по програми и Home Care услуги, включително и информация за здравословно състояние, предоставена от родител/настойник;
  • данни за квалификация и образование на медицински и немедицински лица, работещи по договор с компаниите от групата SAT Health ;
  • данни за банкови сметки, трудови възнаграждения, данъчно-осигурителна информация, данни за платени обезщетения и основания за плащане, отчети за плащанията към и от вас, запорни съобщения, застраховки и други данни, необходими за изпълнение на легитимните ни цели;
  • информация за физическото и психично здраве на служителите и кандидатите за заемане на работно място;
  • технически данни: адрес на интернет протокол (IP), данните за вход на интернет и фейсбук страниците ни, тип и версия на браузъра, настройка и местоположение на часови пояс, използван език, типове и версии на операционна система.

Тези данни са нужни за да Ви предоставим желаните услуги и продукти. 


Използване на „бисквитки“

Нашият уебсайт използва т.н. „бисквитки“- малки файлове, които се съхраняват на твърдия диск на компютъра на потребителя, когато посещава даден сайт.  Ние използваме въпросните "бисквитки", за да се анализира потокът от информация; да се персонализират услугите/продуктите и да се оптимизира работата на сайта. Бисквитките не събират лични данни, които могат да идентифицират личността на потребителя. За идентификация е необходима допълнителна персонална информация. Потребителите могат да се откажат от ползването на „бисквитки“, като това може да се отрази на качеството на ползване на сайта, но няма да го преустанови.   

Както при повечето други уебсайтове, ние също автоматично събираме определена информация, която се съхранява в регистрационни файлове. Тази информация включва адреси на интернет протокол (IP адреси), тип на използвания браузър, доставчик на интернет услуги (ISP), справочни и крайни страници, операционна система, дата и час, прехвърлени обеми данни и данни за брой кликвания. Освен това използваме пикселни маркери (малки файлове с картинки), които предоставят информация за това кои секции на уебсайта са посетили клиентите и/или измерват ефективността на клиентските търсения на нашия уебсайт.

Някои бисквитки се съхраняват на Вашето устройство, докато не ги изтриете. Те ни дават възможност автоматично да разпознаем браузъра ви, следващия път, когато посетите нашия уебсайт.

Ако желаете, можете да коригирате настройките на браузъра си, така че да Ви информира за поставянето на бисквитки и да можете да го позволявате или отказвате в отделни случаи.

Деактивирането или отхвърлянето на бисквитки може да ограничи качеството на използване на нашия уебсайт, но това няма да спре функционирането му.


Ползване на информацията

Ние използваме предоставените от Вас лични данни за следните цели:

  • да изпълняваме договорните си задължения към Вас 
  • да Ви идентифицираме като потребител и да ви предоставим информацията, която търсите;
  • да Ви предоставим достъп до и/или информация за услуги и продукти, които биха представлявали интерес за Вас, да идентифицираме за Вас нови услуги и продукти, подобни на тези, които сте ползвали или към които сте проявили интерес;
  • да изпълняваме нормативните изисквания, приложими за ползваните от Вас продукти и услуги (например данъчни, осигурителни, статистически, отчетни и др. задължения);
  • да удовлетворим наши или на трети лица легитимни интереси, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните, които изискват защита на личните данни, по-специално когато субектът на данните е дете;
  • за организиране и управление на търговски и научни дейности, извършвани от нас, като например участия в маркетингови проучвания, в клинични изпитвания или други информационни програми, проекти и/или събития;
  • да поддържаме качество на услугите и да защитим нашите легитимни интереси, имущество и сигурност на работещите в групата SAT Health ;
  • да поддържаме безопасността на нашия сайт.


Законосъобразност на обработването

Ние обработваме Вашите лични данни за посочените по-горе цели на следните основания:

  • сключен с Вас договор; 
  • изразено от Вас изрично съгласие за обработването на данните Ви за целите на предоставяне на услуги по пациентски програми и/или медико-социални грижи 
  • сключен договор с наши партньори за съдействие на лица по пациентски програми и/или предоставяне на  медико-социални услуги;
  • за спазване на нашите законови задължения;
  • за изпълнението на договор, по който субект на данни е страна, или за предприемане на стъпки, по искане на субект на данни, преди сключването на договор (договори със служители и контрагенти, клиенти, доставчици и други);
  • за да бъдат защитени жизненоважни интереси на субект на данни;
  • за легитимни цели за анализ, развитие на нови услуги, усъвършенстване на системи, осигуряване качеството на услугите, защита на имуществото и сигурността на работещите в групата и други.


Комуникация с Вас

Ние може да се свързваме с Вас чрез електронни средства (SMS и/или мейл) единствено за да Ви предоставим информация за услуги, които са предмет на проявен от Вас интерес или са свързани с по-рано предоставени подобни продукт или услуга. Това ще бъде направено, само ако имаме законово основание.

При промени в обстоятелствата или целите на такъв вид обработка на данните Вии нежелани от Ваша страна да ползваме личните Ви данни по указания начин, моля, изпратете мейл на compliance@sathealth.com . 


Разкриване на Ваша информация

Ние се задължаваме да не продаваме, разменяме, отдавам, разгласяваме, предоставяме, публикуваме, използваме или разпространяваме по друг начин факти и обстоятелства, представляващи Ваши лични данни за ползване от трети страни под каквато и да е форма. Набраните лични данни се използват единствено за обявените по-горе цели. Ние може да предоставим достъп до Вашата лична информация и да позволим нейната обработка, съгласно стриктно дефинираните цели, на строго определени трети страни, които в тези случаи са Обработващи личните данни от името на компаниите от групата SAT Health . 

Тези трети страни могат да бъдат:

  • доставчици и подизпълнители за изпълнение на договор, сключен с Вас или за предоставяне на поискани от Вас услуги, например доставчици на IT, комуникационни или логистични услуги, като оказване на съдействие на пациенти пред компетентни държавни организации, специализиран медицински транспорт на пациенти и други; 
  • медицински и немедицински лица, извършващи медико-социални или здравни  грижи ;
  • организиране на логистика във връзка с предлагани от SAT Health специализирани обучения, вкл. транспорт, настаняване и други подобни;
  • доставчици на технически решения, като колективни имейли или текстови съобщения, позволяващи да Ви изпращаме информация, в това число продуктова или за нивото на удовлетвореността на потребителите, ако са налице законови основания за това.


Следвайки принципите за гарантиране на законосъобразност, прозрачност и сигурност, SAT Health подписва с Обработващите лични данни, съответните договори или анекси към съществуващи договори. Ние си запазваме правото да извършваме одити на място на прилаганите от Обработващите лични данни методи за защита на личните данни, които им предоставяме за обработка. Обработващите лични данни са задължени да не възпрепятстват осъществяването на такива одити и да съдействат за провеждането им без неоправдано забавяне.

Ваша лична информация може да бъде споделена с компетентните правни органи, ако сме длъжни да изпълним законно задължение, да защитим нашите права или собственост или да защитим Ваши или на друго лице жизненоважни интереси, да гарантираме безопасността на нашите потребители или други лица.


Съхранение на личните Ви данни

Цялата лична информация, която Вие ни предоставяте и която ние събираме, се съхранява на защитени с подходящи технически средства сървъри в специализиран cloud-базиран „център за данни“ на международен утвърден доставчик. Личните Ви данни ще бъдат достъпвани и обработвани само от обучени наши служители и представители, които работят в условията на внедрената в SAT Health и сертифицирана от независим орган Система за управление сигурността на информацията (СУСИ), отговаряща на изискванията на международния стандарт ISO 27001:2013. Управляващата специализирания „център за данни“ организация притежава сертификати за сигурност.

Данните Ви се съхраняват за законоустановения срок или за срок от 5 години след прекратявена на договорните отношения..

Записите от проведените с Вас телефонни разговори се съхраняват за срок от 5 години, след което автоматично се заличават, освен ако не се изисква да ги запазим за по-дълъг срок, за да спазим законово изискване или наш легитимен интерес.

Ние ще предприемем всички стъпки, които са разумно необходими, за да сме осигури, че предоставените от Вас лични данни се съхраняват и обработват безопасно, съгласно заложените в настоящата Политика за защита на личните данни условия и в съответствие с приложимата нормативна база.


Дължима грижа

Нуждаете се от парола за достъп до Вашия потребителски акаунт, създаден за използване на услугите и продуктите, предоставени чрез нашия сайт. Опазването на тази парола в тайна е Ваше задължение. Вие се ангажирате да не я споделяте с други лица. Ако това се случи, Ваша е отговорността за евентуални действия, предприети чрез Вашия акаунт. Настоятелно молим, ако Вашата парола е компрометирана по каквато и да е причина, незабавно да ни информирате и да я промените. Ако Вашата парола се използва от други лица, Вие носите отговорност за всяко действие, предприето чрез Вашия акаунт.

За съжаление, както на всички нас е известно, предаването на информация през интернет не е напълно сигурно. Ние правим всичко възможно, за да защитим Вашите лични данни, но ние не можем да гарантираме сигурността им на етапа на прехвърлянето им през интернет към нашия сайт. Веднъж получена на сайта ни,  Вашата лична информация ще бъде защитена чрез стриктни политики, процедури и функции за сигурност, за да се опитаме да предотвратим неоторизиран достъп, модификация или неправомерно заличаване.

В случай, че сте лице по пациентска програма и желаете да  използвате нашите услуги ние се ангажираме да съхраним в защитена среда Вашите лични данни (имена, данни за контакт, здравна информация и друга, предоставена от Вас  лична информация), за срок от 5 години след като прекратим услугите за Вас по пациентската програма.  


Защита на Вашите права

Вие имате право на достъп до информацията, отнасяща се до Вас. Можете да поискате от нас информация какви Ваши лични данни се обработват. Ние ще извършим задълбочена проверка и ще Ви информираме писмено по предпочитания от Вас канал за връзка.

Вие може също да поискате коригиране на обработваните Ваши лични данни, с цел поддържането им в актуално състояние. При актуализация на личните Ви данни следва да ни изпратите проверена информация. Ние се задължаваме да я нанесем в съответните регистри и системи без изменения. Ще бъде Ваша отговорността, ако обработваните след промяната  данни се окажат неточни.

Вие имате право по всяко време да поискате от нас да преустановим временно или окончателно обработката на Вашите лични данни за една или повече цели от кръга на целите, които са обявени в настоящата Политика, или да поискате обработваните в групата SAT Health Ваши лични данни да бъдат заличени.

Вашите искания да упражните изброените по-горе Ваши права следва да ни бъдат съобщени с мейл на compliance@sathealth.com или на място в офис на SAT Health

При постъпване на искане за заличаване на обработваните Ваши лични данни, ние се задължаваме, в рамките на нормативно определените срокове, да направим щателна проверка и да заличим всички налични Ваши лични данни, освен тези, които сме задължени да запазим по силата на нормативно изискване. В отделни случаи може да се наложи да задържим временно такава част от личните Ви данни, каквато е необходима, за да защитим интереса си при решаване на спорове и отстраняване на възникнали проблеми, както и за да предприемем други действия, разрешени по закон. В случай, че сте пациент, на който предоставяме медико-социални грижи по възлагане от лечебно заведение, за упражняване на Вашите права като субект на данни, моля да се обърнете директно към лечебното заведение – администратор на Вашите данни.


Възражения и жалби

Ние приемаме с готовност евентуални въпроси, коментари, възражения, жалби и искания за разяснения по обработването и управлението на личните данни на субектите на данни в групата SAT Health . Същото се отнася и до настоящата Политика за защита на личните данни. Вие можете да се свържете с нас по тези въпроси с имейл на compliance@sathealth.com, office@sathealth.com, както и на място в офиса на SAT Health.

Оторизиран орган за контрол на прилагането на изискванията на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (на Европа) от 27 април 2016 година е Комисията за защита на личните данни (КЗЛД). Контакт с нея може да бъде установен на адрес: бул. „проф. Цветан Лазаров“ 2, София 1592, по факс  на 029153525 и по електронен път на имейла на КЗЛД (kzld@cpdp.bg) с електронен документ, подписан с квалифициран електронен подпис.

Настоящата Политика подлежи на актуализация при настъпили изменения в приложимата нормативна база или при промени в управляваните в групата SAT Health процеси. Актуализираните версии на Политиката ще бъдат своевременно обявявани на сайта на компанията.


Забележка:

За целите на настоящата политика термините „лични данни“ и „лична информация“ се използват като синоними, за да се избегне възникващата тавтология в редица текстове.


Термини

Под термините „лични данни“ и „обработване“ следва да се разбират тези, посочени в член 4 на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета (на Европа) от 27 април 2016 година, а именно:  

„лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

„обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване“.

„ограничение на обработването“ означава маркиране на съхраняваните лични данни с цел ограничаване на тяхната обработка в бъдеще.

 „профилиране“ означава всяка форма на автоматизирано обработване на лични данни, състояща се от използване на лични данни за оценка на лични аспекти, свързани с физическо лице, по-конкретно за анализ или прогнозиране на представянето на това лице по отношение на работа, икономическо положение, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движения. 

„псевдонимизация“ означава обработка на лични данни по такъв начин, че личните данни вече не могат да бъдат свързани с конкретен субект на данни без използването на допълнителна информация, при условие че такава допълнителна информация се съхранява отделно и подлежи на технически и организационни мерки, за да гарантира, че личните данни не се свързват с идентифицирано или идентифицируемо физическо лице.

 „Система за картотекиране“ означава всеки структуриран набор от лични данни, които са достъпни съгласно специфични критерии, независимо дали са централизирани, децентрализирани или разпръснати на функционална или географска основа.

 „Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, който самостоятелно или съвместно с други определя целите и средствата за обработка на лични данни; когато целите и средствата за такава обработка се определят от законодателството на Съюза или на държава-членка, администраторът или специфичните критерии за неговото номиниране могат да бъдат предвидени в законодателството на Съюза или на държава-членка; 

 „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, който обработва лични данни от името на администратора; 

 „Получател“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, на който се разкриват личните данни, независимо дали е трета страна или не. Публичните органи, които могат да получат лични данни в рамките на конкретно разследване в съответствие със законодателството на Съюза или на държава-членка, не се считат за получатели; обработването на тези данни от тези публични органи е в съответствие с приложимите правила за защита на данните в съответствие с целите на обработването. 

 „Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или орган, различен от субекта на данни, администратора, обработващия лични данни и лица, които под прякото ръководство на администратора или обработващия лични данни са упълномощени да обработват тези данни;

„съгласие“ на субекта на данни означава всяко свободно дадено, конкретно, информирано и недвусмислено посочване на желанията на субекта на данните, чрез което той или тя чрез изявление или с ясен утвърдителен акт показва съгласие за обработката на лични данни, свързани с него или нея. 

( „Нарушение на личните данни“ означава нарушение на сигурността, водещо до случайно или незаконно унищожаване, загуба, изменение, неразрешено разкриване или достъп до лични данни, предавани, съхранявани или обработвани по друг начин. 

 „генетични данни“ означава лични данни, свързани с наследените или придобити генетични характеристики на физическо лице, които дават уникална информация за физиологията или здравето на това физическо лице и които са резултат, по-специално, от анализ на биологична проба от въпросния човек.

„Биометрични данни“ означава лични данни, получени в резултат на специфична техническа обработка, свързана с физическите, физиологичните или поведенческите характеристики на физическо лице, които позволяват или потвърждават уникалната идентификация на това физическо лице, като изображения на лицето или данни от дактилоскопия; 

 „Данни относно здравето“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които разкриват информация за неговия или нейния здравен статус.


Дата на последна актуализация: 05.2021