Политика на дружествата от групата на Derma Act относно използването на видеосистеми и звукозаписи
Политика за сигурност на личните данни и видеонаблюдение
Цел и обхват на политиката
Тази Политика се прилага по отношение на „Медицински Център Дерма Акт ЕООД е дружество със седалище, адрес на управление и адрес за кореспонденция - България, София, бул. “Черни връх” № 150, ЕИК 203973510, което заедно с неговите дъщерни дружества/свързани лица (посочени в Приложение №1) съставляват групата български предприятия DERMA ACT ( наричани по долу за краткост „Група/та“ или „Клиниката“).
Всички дружества от Групата са администратори на лични данни и обработват личните данни в съответствие с нормативните изисквания на Регламента и на действащото българско законодателство. Политиката се прилага и по отношение на събирането, обработването и споделянето на лични данни за вътрешни административни цели между дружествата в Групата.
DERMA ACT използва система за видеонаблюдение в някои зони на своите сгради, както и звукозапис на входящите и изходящите повиквания към КЛИНИКАТА. В политиката относно използването на видеосистеми и звукозаписи се описват видео и звукозапис системата на КЛИНИКАТА и предпазните мерки, предприети за защита на личните данни, неприкосновеността на личния живот и други основни права и легитимни интереси на лицата, попадащи в обсега на камерите.
Тази политика определя процедурите, които трябва да се следват при обработването на лични данни. Процедурите и принципите, изложени тук, трябва да бъдат спазвани по всяко време от организацията, нейните служители, изпълнители или други страни, които работят от нейно име.
Настоящата политика е неразделна част от общите Политики по защита на личните данни на DERMA ACT.
Съответствие с приложимите текстове за защита на данните
КЛИНИКАТА използва видеосистемите си и звукозаписите в съответствие с Регламент (ЕС) № 2016/679 на Европейския парламент, както и националното законодателство на Република България.
Във връзка с използването на видеосистемите, КЛИНИКАТА е провела оценка на законния интерес, оценка на риска, както и балансиращ тест, за да определи степента на засягане личната неприкосновеност на посетителите, служителие и пациентите на КЛИНИКАТА във връзка със запазването на своя законен интерес.
– Процес на вземане на решения – КЛИНИКАТА изготви тази политика, след като извърши и консултация с представител на служителите и стигна до заключението, че използването на видеосистемата е необходимо за целите на безопасността и сигурността и съизмеримо с тях.
– Прозрачност – политиката относно използването на видеосистеми е достъпна на уебсайта на КЛИНИКАТА на адрес https://www.derma-act.bg , както и в сградата на КЛИНИКАТА.
– Периодичен преглед – на всеки две години КЛИНИКАТА ще прави периодичен преглед на спазването на изискванията за защита на данните и оценка, като първият преглед трябва да се извърши най-късно до 31 декември 2020 г. В рамките на периодичния преглед КЛИНИКАТА ще преценява, наред с останалото:
– дали системата продължава да служи на заявената цел;
– дали са налични адекватни алтернативи както и дали тази политика все още е в съответствие с Регламент № 2016/679;
– защита на неприкосновеността на личния живот.
С цел да се засили защитата на неприкосновеността на личния живот, КЛИНИКАТА е предвидила, при нужда:
– ограничаване на периода на съхранение на записите в съответствие с изискванията за сигурност (вж. по-долу), както и стриктно управление на правата на операторите, що се отнася до достъпа до вътрешната система за видеонаблюдение („CCTV“).
Наблюдавани зони
Камери са монтирани на различни места в сградата на КЛИНИКАТА, включително: в общите помещения, на централния вход пред лечебното заведение; пациенските стаи, на аварийните изходи; на входа на паркингите; в заседателните зали; по коридорите; и около сградите, за да се защити външният периметър.
Местоположението на камерите се преразглежда внимателно, за да се гарантира, че зони, които не са от значение за преследваните цели, са обхванати в минимална степен. Наблюдението извън територията на сградата е сведено до минимум.
Не се извършва наблюдение в зони, които са свързани със завишени очаквания за неприкосновеност, като стаите за почивка и санитарните помещения на КЛИНИКАТА. По изключение, при надлежно обосновани нужди, свързани със сигурността, камери могат да се инсталират и в такива зони, като във всички случаи това се прави след оценка на въздействието и след уведомяване на длъжностното лице за защита на данните и искане на разрешение от КЗЛД. В тези случаи в помещенията се поставя специално съобщение, което е ясно видимо.
По изключение, при надлежно обосновани и доказуеми нужди, свързани със сигурността, могат да се използват скрити камери, когато е необходимо за предотвратяването, разследването, разкриването и съдебното преследване на престъпни деяния. Използването на скрити камери е предмет на предварително одобрение от КЗЛД и на системно уведомяване на длъжностното лице за защита на данните. Използването на скрити камери е винаги съразмерно с тежестта на предполагаемото престъпно деяние.
Всеки случай на използване на скрити камери се документира подробно, като се включва:
– ясно определена цел, която не може да се постигне посредством алтернативен начин на разследване, който да нарушава неприкосновеността на личния живот в по-малка степен;
– оценка на въздействието във връзка със зоната в обхвата на скритите видеокамери и засегнатите лица;
– строго ограничен период от време;
– строго ограничени местоположения;
– строго ограничаване на ползватели и ясно определяне на тяхната самоличност;
– изтриване на записите веднага след като станат ненужни за целите на разследването.
Звукозапис
Звукозапис се извършва при всички телефонни разговори по отношение на входящите и изходящите повиквания в КЛИНИКАТА, като преди започване на разговора, лицата се информират, че разговорът ще бъде записан.
Събрани лични данни и цел на събирането
Видеосистемата е конвенционална и предимно статична система. Записват се дигитални образи и има сензори за движение. Записва се конкретно движение, уловено от камерите в наблюдаваните зони, заедно с часа, датата и мястото. Всички камери работят непрекъснато. По целесъобразност качеството на образа да позволява да бъдат идентифицирани лицата в обсега на камерата. Това е необходимо и с оглед фото и видеозаснемането на съответния пациент (конкретната част от тялото на която ще се приложи желаната от него процедура),както преди, така и след провеждане на желаната от пациента процедура в Клиниката. Почти всички камери са стационарни и много малко от тях могат да се използват от операторите за увеличаване на образа в конкретна ситуация от съображения за сигурност. Обучени за целта оператори трябва да спазват настройките по отношение на защитата на личния живот и правата за достъп.
Записваният телефонен разговор има за основна цел да гарантира правилното насочване на пациентите към съответните лекари при записване на час. За записите от телефонни разговори се прилагат същите мерки за защита на личните данни в предвидения срок.
Цел и правно основание на използването на видеосистемата
КЛИНИКАТА използва видеосистемата си единствено за целите на:
– сигурността и безопасността;
– защита на активите на КЛИНИКАТА;
– предоставяне на адекватна медицинска помощ и повишаване на нивото на здравеопазване и медицинската дейност.
Когато е необходимо, видеосистемата допълва другите системи за физическа сигурност като системите за контрол на достъпа и системите за контрол срещу физическо проникване.
Ограничаване на целите- Системата не се използва за никакви други цели като наблюдение на работата на служителите или на останалия персонал или проследяване на присъствието. Системата се използва като инструмент за разследване или за доказателство в рамките на вътрешни разследвания или дисциплинарни процедури, изключително за целите на разследване на инцидент, свързан с физическата сигурност, или в извънредни случаи в рамките на наказателно разследване.
Правното основание за извършването на видеозаснемането е законен интерес на Клиниката, вкл. в качеството й на Работодател. По отношение на видеосистемите в пациенските стаи се прилага обработване въз основа на изрично писмено съгласие на пациента. Правното основание за извършването на запис на телефонен разговор е съгласие на лицето.
Специални категории данни
Видеосистемата на КЛИНИКАТА няма за цел да прихваща (напр. чрез увеличаване на образа или целево насочване) или да обработва по друг начин (напр. индексиране, профилиране) изображения, които разкриват т.нар. „специални категории данни“.
Изключение от този принцип е използването й за целите на медицинската диагноза, осигуряването на здравни или социални грижи или лечение – чл. 9, ал. 2, б. „ж“ от Регламента, когато се извършва видеонаблюдение в пациентските стаи.
Достъп до събраните лични данни
Достъпът до видеозаписите, телефонните разговори и до заснемания в момента материал е ограничен до малко на брой, точно определени лица на базата на принципа „необходимост да се знае“. В своята вътрешна организация КЛИНИКАТА определя кой има право: да гледа излъчването от камерите в реално време; да гледа записите; да копира, да сваля, да изтрива или да променя даден запис. КЛИНИКАТА предвижда възможност в прегледа на материалите да участват и представители на служителите.
Всички служители, които имат права на достъп, включително охранителите, наети от външен подизпълнител, преминават базисно обучение по защита на данните. Обучение се провежда за всички новопостъпили служители, а периодични семинари по въпроси, свързани със спазване на правилата за защита на данните, ще бъдат организирани най-малко на всеки две години за всички служители с права на достъп. След обучението всеки служител подписва декларация за поверителност. Такава декларация се подписва и от всички външни подизпълнители и техния персонал.
На ръководството и на служителите, работещи в сферата на човешките ресурси, не се предоставя достъп, освен в рамките на дисциплинарни процедури, които са пряко следствие от инцидент, свързан с физическата сигурност, и съгласно мандат от органа по назначаването. Ако е необходимо за целите на разследването или наказателното преследване на престъпно деяние, достъп може да се предостави на органите на реда. Всяко нарушение на сигурността по отношение на камерите се завежда в регистъра на разследванията и своевременно се съобщава на длъжностното лице за защита на данните.
Защита и гарантиране на личните данни
С цел да се защити сигурността на видеосистемите, включително на личните данни, са взети следните технически и организационни мерки:
Сървърите, на които се съхраняват записите, се намират в обезопасени помещения, защитени чрез мерки за физическа сигурност; мрежови защитни стени защитават логическия периметър на информационната инфраструктура; главните компютърни системи, които съхраняват данните, са с допълнителна защита за сигурност.
Административните мерки включват задължението да се извърши индивидуална проверка за надеждност на всички наети подизпълнители, които имат достъп до системата (включително на персонала за поддръжка на оборудването и системите).
Всички служители (външни и вътрешни) подписват споразумения за неразкриване на информация и поверителност.
Правата на достъп за потребителите се предоставят единствено за ресурсите, които са абсолютно необходими за изпълнение на задълженията им.
Единствено системният администратор, специално назначен за тази цел от контрольора, може да предоставя, променя или отнема правата на достъп на служителите. Всяко предоставяне, промяна или отнемане на права за достъп се извършва съобразно строги критерии.
Във всеки един момент КЛИНИКАТА поддържа актуализиран списък на всички лица с достъп до системата и описва в детайли правата им на достъп.
Длъжностното лице за защита на данните се консултира преди придобиването или инсталирането на нова система за видеозащита.
Информация за обществеността
КЛИНИКАТА прилага множество мерки за информираност, които обхваща следното:
– съобщение с информация за използването на видеосистеми под формата на пиктограма за виодеонаблюдение е поставено на всеки от входовете на сградите на КЛИНИКАТА, включително на входовете на паркингите;
– на място в сградите се поставят съобщения с пиктограми за виодеонаблюдение, за да се укаже, че се извършва наблюдение, и за сведение как да се получи допълнителна информация;
– политиката относно използването на видеосистеми е публикувана на уебсайта на КЛИНИКАТА, както и може дас е открие на гише „Информация/Регисстратура“ като там може да се получи по-подробна информация за практиките на КЛИНИКАТА в областта на видеонаблюдението.
При позвъняване в КЛИНИКАТА, лицата се информират, че разговорът се записва, както и че повече информация могат да получат на интернет страницата на КЛИНИКАТА.
Съобщението, което КЛИНИКАТА поставя на място, е поместено в приложениетo.
Права на субектите на данни
Субектите на данни имат право на достъп до касаещите ги лични данни, съхранявани от КЛИНИКАТА, както и право да коригират и допълват такива данни. Всички искания за достъп, коригиране, блокиране и/или заличаване на лични данни в резултат от използването на камери следва да се изпращат до Derma-Act на посочения тук адрес, на телефон +359 700 700 23, или на имейл адрес office@derma-act.bg . Телефоните за връзка са платени. Длъжностното лице изпраща на подателя потвърждение за получаване в рамките на 10 работни дни след получаване на искането. По възможност ДЛЗД изпраща конкретен отговор във връзка с искането в рамките на до 30 календарни дни. Когато това е невъзможно, подателят се уведомява относно следващите стъпки и причините за забавянето.Дори в най-сложните случаи, най-късно в рамките на три месеца искането трябва да се удовлетвори или да се предостави окончателен мотивиран отговор, с който се отхвърля на искането.
С цел защита на данните, КЛИНИКАТА може да поиска от подателите категорично да удостоверят самоличността си (напр. като представят документ за самоличност), както и да уточнят датата, времето, мястото и обстоятелствата, при които са били заснети от камерите или записани по телефона. Подателите трябва също да представят своя актуална снимка, която да позволи на охранителния персонал да ги разпознае върху разглежданите записи.
При нередности или очевидна злоупотреба от страна на субекта на данните при упражняване на правата му, КЛИНИКАТА може да се консултира с длъжностното лице за защита на данните относно искането и/или да пренасочи субекта на данните към длъжностното лице за защита на данните, което да вземе решение относно допустимостта на искането и съответните последващи действия.
Средства за правна защита
Всеки субект на данните има право да подаде жалба пред надзорния орган -Комисия за защита на личните данни, София 1592, бул. „Проф. Цветан Лазаров” № 2 или www.cpdp.bg , ако смята, че правата му са били нарушени в резултат на обработването на касаещите го личните данни от КЛИНИКАТА.
Препоръчва се, преди да подадат жалба, засегнатите лица да се опитат да получат удовлетворение, като се обърнат към длъжностното лице на КЛИНИКАТА за защита на данните на посочения тук адрес, на телефон +359 700 700 23, или на имейл адрес office@derma-act.bg .
ПРИЛОЖЕНИЕ 1
МЦ Дерма-Акт ЕООД ЕИК 203973510
МЦ Дерма-Акт Инфинити ООД ЕИК 206353137
МЦ Дерма-Акт Нексаа ООД ЕИК 207704500
Дерма-Акт Инвест ЕООД, BG202325076
Ноу Скин ООД ЕИК 205464914
Дерма-Акт Урбан ЕООД ЕИК 202072993