Политика за поверителност на дружествата от групата на Derma Act в съответствие с регламент (ЕС) 2016/679 на Европейския парламент и съвета

„Лични данни“ е всяка информация, която се отнася до физическо лице и чрез която то може да бъде пряко или непряко идентифицирано.

„Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице. Тези данни се ползват със специална защита, предвид техния чувствителен характер, и се обработват от медицински специалисти, обвързани от задължение за професионална тайна.

„Специална категория лични данни“ означава лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;

„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„Субект на данни“ означава физическо лице, чиито лични данни се обработват в рамките на Групата;

„Администратор“ означава дружество от Групата, което само или съвместно с други дружества от Групата определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на ЕС или в правото на държава членка;

„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или обработващия лични данни имат право да обработват личните данни;

„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

„Група предприятия“ означава контролиращо предприятие и контролираните от него предприятия, посочени в „Групата“, по смисъла на Рецитал 37-и от Регламент (ЕС) 2016/679;

„Групата“ означава дружествата, които извършват търговска дейност на територията на Република България, посочени по-долу в Приложение №1;

„Лечебни заведения“ означава дружества от Групата, които предоставят медицински услуги в съответствие със Закона за лечебните заведения;

„Надзорен орган“ означава Комисията за защита на личните данни в Република България.

Администраторът събира и обработва Вашите лични данни във връзка с медицински цели и с цел предлагане на козметични и медицински услуги, и по-конкретно въз основа на следното основание:

• Спазване на законово задължение, което се прилага спрямо Администратора;
• За целите на легитимните интереси на Администратора или на трета страна;
• Изрично получено съгласие от Вас като клиент;
• Изпълнение на задълженията на Администратора по договор с Вас;
  DERMA ACT обработва лични данни относно следните физически лица:
• Пациенти, а когато това е необходимо - и на техни близки/роднини;
• Персонал – настоящи и бивши служители на дружеството, кандидати за работа, както и обучаеми;
• Контрагенти или потенциални контрагенти на дружеството

Ние събираме и обработваме личните данни, които Вие ни предоставяте във връзка с използването на сайта www.derma-act.bg и ползването на козметични и медицински услуги, включително за следните цели:

• изпращане на информационен бюлетин при изразено от Вас желание;
• индивидуализация на страна;
• счетоводни цели;
• защита на информационната сигурност;
• обезпечаване на изпълнението на договора за предоставяне на съответната услуга.

Ние спазваме следните принципи при обработката на Вашите лични данни:

• законосъобразност, добросъвестност и прозрачност;
• ограничение на целите на обработване;
• съотносимост с целите на обработката и свеждане до минимум на събираните данни;
• точност и актуалност на данните;
• ограничение на съхранението с оглед постигане на целите;
• цялостност и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.

При обработването и съхранението на личните данни, Администраторът може да обработва и съхранява личните данни с цел защита следните си легитимни интереси:

Необходимостта от обработка на личните данне е свързана с основната дейност на лечебното заведение, чиято цел е предоставяне на медицински услуги, изпълнение на законовите задължения в сверата на здравеопазването, изпълнение на изискванията на трудовото и социалното законодателство по отношение на служителите, гарантиране сигурността на пациентите, служителите и имуществото чрез регистрация, счетоводно обслужване, информация свързана с Търговския закон, поддръжка и сигурност на интернет сайта и IT системите на дружеството, защита на законните интереси на дружеството, включително и по съдебен ред, и др.

Дружеството извършва следните операции с предоставените от Вас лични данни за следните цели:

Оценка на въздействие – Въз основа на извършената оценка на въздействието, длъжностното лице за защита на личните данни, счита че операцията „Регистрация на потребител в “ е допустима за извършване и предоставя достатъчни гаранции за защита на правата и законните интереси на субектите на данните в съответствие с изискванията на GDPR.

Изпращане на информационен бюлетин (нюзлетър) и рекламни съобщения– целта на тази операция е администриране на процеса по изпращане на бюлетини до клиентите, които са заявили, че желаят да получават. Предвид ограничения обхват на събираните лични данни, Длъжностното лице за защита на личните данни счита, че провеждането на оценка на въздействието не е необходимо за извършването на операцията.

Упражняване право на отказ или извършване на рекламация– целта на тази операция е администриране на процеса по упражняване на правото на отказ или рекламация от клиента. Предвид ограничения обхват на събираните лични данни, Длъжностното лице за защита на личните данни счита, че провеждането на оценка на въздействието не е необходимо за извършването на операцията.

Администраторът обработва следните категории лични данни и информация за следните цели и на следните основания:

• Обикновени лични данни: имена, ЕГН, паспортни данни, адрес, месторождение, телефон, електронна поща, пол, номер на здравна застраховка, финансова информация, друга относима информация, свързана с предоставянето на здравна/медицинска услуга;
• Специална категория лични данни: здравословно състояние, генетични данни. Най-често такива данни се съдържат в медицинската документация (амбулаторни листове, други документи, част от история на заболяванията, консултации и становища, рецепти с предписан режим на лечение, образи и изследвания, и др.).

При спешни и неотложни случаи, лична информация за пациент, може да бъде събирана и от негови близки и роднини.

В случай, че дружество от Групата реши да обработва данни на субекти за маркетингови цели, то предприема необходимите мерки, за да получи предварително информирано съгласие от субекта на данни.

Администраторът обработва лични данни, които са определени като специални: за здравословното състояние, генетични данни или данни за сексуалния живот или сексуалната ориентация, единствено при наличие на някое от условията по Общия регламент и по-специално:

• За да бъдат защитени жизненоважни интереси на субекта на данните или на друго физическо лице, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;
• За защита на обществения интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия;
• При наличие на изрично съгласие на лицето за обработването за една или повече конкретни цели, освен ако законодателството изключва възможността за подобно съгласие.
  За целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение;

В обектите, които са собственост или се стопанисват от дружество в Групата, има изградени системи за видеонаблюдение, в резултат на което се събират видеозаписи (видеоизображения) на субектите на данни – посетители и/или пациенти. В тези случаи, субектите на данни биват информирани за извършваното видеонаблюдение, чрез поставени информационни табели/пиктограми на видни места в обектите и помещенията.

Към лечебните заведения от Групата е създаден единен кол център, чрез, който пациентите могат да запазят предварително час за преглед или консултация при съответния медицински специалист. Входящите и изходящите разговори, осъществени с кол центъра се записват, като по този начин, чрез аудиозаписите, могат да се се събират следните лични данни – имена на лицето и телефон за връзка.

По-конкретна информация, относно условията, в които се обработват видео и аудио записите, както и сроковете за тяхното съхранение, са налични в Политиката за видеонаблюдение и звукозапис на Групата.

Цел, за която се събират данните: 1) Осъществяване на връзка с потребителя и изпращане на информация към него, 2) за изпращане на информационен бюлетин.

Основание за обработка на личните Ви данни– С приемането на общите условия и регистрация без регистрация, или при сключването на писмен договор, между Администратора и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR.

Данните Ви за изпращане на информационен бюлетин се обработват на основание дадено от Вас изрично съгласие – чл. 6, ал. 1, б. (а) GDPR.

Основания за обработка на данните:Вие сте предоставили изрично съгласие за обработване на личните му данни за една или повече конкретни цели – 6, ал. 1, б. (a) на GDPR в момента на регистрация и потвърдено съгласие.

Цел, за която се събират данните: Изпълнение на задължения на администратора по договорно отношение относно обработката на лични данни.

Основание за обработка на личните Ви данни– С приемането на общите условия и регистрация или извършване на поръчка без регистрация, или при сключването на писмен договор, между Администратора и Вас се създава договорно отношение, на което основание обработваме Вашите лични данни – чл. 6, ал. 1, б. (б) GDPR.

Администраторът не събира и не обработва лични данни, които се отнасят за следното:
разкриват расов или етнически произход;
разкриват политически, религиозни или философски убеждения, или членство в синдикални организации;

Личните данни са събрани от Администратора от лицата, за които се отнасят.

Дружеството не извършва автоматизирано взимане на решения с данни.

Дружеството не събира и обработва данни за лица под 18 години, освен с изричното съгласие на техните родители или законни представители.

Администраторът съхранява Вашите лични данни за срок не по-дълъг от съществуването на профила Ви. След заличаване на профила Ви или успешно приключване,

Администраторът полага необходимите грижи да изтрие и унищожи всички Ваши данни, без ненужно забавяне или да ги анонимизира (т.е. да ги приведе във вид, който не разкрива вашата личност).

Администраторът Ви уведомява, в случай, че срокът за съхранение на данните е необходим да бъде удължен с оглед изпълнение на нормативно задължение или с оглед легитимни интереси на Администратора или друго.

Администраторът съхранява личните данни на законните представители на търговските си партньори за срока на изпълнение на договора, за спазване на легитимните интереси и законови задължения на Администратора, като този срок може да надхвърля срока на сключения договор.

По конкретно, Дружествата от Групата съхраняват предоставената им информация в сроковете определени съгласно нормативната уредба и при спазване на принципа за „ограничение на съхранението“ и по-конкретно:

• Лични данни на пациентите се съхраняват в съответствие с нормативно определените срокове за съответната медицинска документация;
• Личните данни на работници/служители, съдържащи се в трудовоосигурителната документация, се съхраняват за срок от 50 (петдесет) години в съответствие със Закона за националния архивен фонд, Закона за счетоводството, Кодекса за социално осигуряване и Данъчноосигурителния процесуален кодекс;
• Личните данни на кандидати за работа, които не са одобрени за назначаване в някое от дружествата от Групата се съхраняват за срок не по-дълго от 6 (шест) месеца от приключване на процедурата, след което се връщат на лицето или се унищожават по подходящ начин. Личните данни може да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на предоставено съгласие от кандидата за работа;
• Записите от техническите средства за видеонаблюдение се съхраняват 2 (два) месеца от изготвянето им;
• Аудио записите от телефонните разговори с кол центъра се съхраняват до 12 ( дванадесет) месеца и 1 (един) ден от осъществяването им;
• Лични данни, съдържащи се в счетоводни документи се съхраняват в сроковете по член 12 от Закона за счетоводството.

Ако не желаете всички или част от Вашите лични данни да продължат да бъдат обработвани от Дружеството за конкретна или за всички цели на обработване, Вие можете по всяко време да оттеглите съгласието си чрез искане в свободен текст отправено до имейл office@derma-act.bg.

Администраторът може да поиска да удостоверите своята самоличност и идентичност с лицето, за което се отнасят данните, като поиска от Вас да въведете имейл адрес и парола за достъп до сайта на място в офиса на Дружеството пред наш служител.

С оттегляне на съгласието за обработване на лични данни, които са задължителни за създаването и поддържане на профил в онлайн магазина, Вашият акаунт ще стане неактивен. Разбира се, Вие ще можете да разглеждате онлайн магазина и предлаганите продукти и да извършвате поръчки или да направите нова регистрация.

Ако има направена от Вас поръчка, която е в процес на обработване, най-ранният момент, в който можете да оттеглите съгласието си за обработване, е при успешното завършване на поръчката.

Вие имате право да изискате и получите от Администратора потвърждение дали се обработват лични данни, свързани с Вас, като ако сте регистриран потребител, можете по всяко време да видите във Вашия профил личните данни, които сте предоставили и се обработват за Вас.

Вие имате право да получите достъп до данните, свързани с вас, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните Ви данни.

Администраторът Ви предоставя при поискване, копие от обработваните лични данни, свързани с Вас, в електронна или друга подходяща форма.

Предоставянето на достъп до данните е безплатно, но Администраторът си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.

Вие имате правото да поискате от Администратора изтриване на част или всички свързани с Вас лични данни, а Администраторът има задължението да ги изтрие без ненужно забавяне, когато е налице някое от посочените по-долу основания:

• личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
• Вие оттеглите своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
• Вие възразите срещу обработването на свързаните с Вас лични данни, включително за целите на директния маркетинг и няма законни основания за обработването, които да имат преимущество;
• личните данни са били обработвани незаконосъобразно;
• личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо Администратора;
• личните данни са били събрани във връзка с предлагането на услуги на информационното общество.

Администраторът не е длъжен да изтрие личните данни, ако ги съхранява и обработва:

• за упражняване на правото на свобода на изразяването и правото на информация;
• за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо Администратора или за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са му предоставени;
• по причини от обществен интерес в областта на общественото здраве;
• за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели;
• за установяването, упражняването или защитата на правни претенции.

В случай на упражняване на правото Ви да бъдете забравени, Дружеството ще изтрие всички ваши данни, с изключение на следната информация:

• информация, която е необходима, за да удостовери, че правото ви да бъдете забравени е изпълнено – имейл, IP адрес;
• техническа информация за функционирането на онлайн магазина, която информация не може да се свърже по никакъв начин с вашата личност;
• електронна поща, с която сте извършили регистрация в онлайн магазина.

За да упражните правото си за бъдете забравен, е необходимо да подадете с изпращане на искане в свободен текст по имейл до Администратора на office@derma-act.bg.

Администраторът може да поиска да удостоверите своята самоличност и идентичност с лицето, за което се отнасят данните.

Ако има направена от Вас поръчка, която е в процес на обработване, най-ранният момент, в който можете да поискате да бъдете „забравен“, е при успешното завършване на поръчката.

Администраторът не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права.

Вие имате право да изискате от Администратора да ограничи обработването на свързаните с Вас данни, когато:

• оспорите точността на личните данни, за срок, който позволява на Администратора да провери точността на личните данни;
• обработването е неправомерно, но Вие не желаете личните данни да бъдат изтрити, а само използването им да бъде ограничено;
• Администраторът не се нуждае повече от личните данни за целите на обработването, но Вие ги изисквате за установяването, упражняването или защитата на свои правни претенции;
• Възразили сте срещу обработването в очакване на проверка дали законните основания на Администратора имат преимущество пред Вашите интереси.

Вие можете да възразите по всяко време срещу обработването на лични данни от Администратора.

Вашите права при нарушение на сигурността на личните ви данни

Ако Администраторът установи нарушение на сигурността на личните Ви данни, което може да породи висок риск за Вашите права и свободи, той Ви уведомява без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети.

Администраторът не е длъжен да Ви уведомява, ако:

• е предприел подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
• е взел впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата Ви;
• уведомяването би изисквало непропорционални усилия.

За целите на обработване на личните Ви данни и предоставяне на услугата в пълната й функционалност и с оглед Вашите интереси, Администраторът може да предостави данните на лица, които са обработващи данни. Посочените обработващи лични данни спазват всички изисквания за законност и сигурност при обработването и съхраняването на личните Ви данни.

В случай на нарушаване на правата Ви съгласно горепосоченото или приложимото законодателство за защита на личните данни, имате право да подадете жалба до Комисията за защита на личните данни, както следва:

Наименование: Комисия за защита на личните данни; Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2; Адрес за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2; Телефон: 02 915 3 518; Интернет страница: www.cpdp.bg. Можете да упражните всичките си права относно защита на Вашите лични данни като изпратите имейл на office@derma-act.bg в свободна форма, която съдържа изявление за това и ви идентифицира като притежател на данните.

Лични данни може да бъдат споделени с различни категории получатели. Така например, при изпълнение на законови задължения за администратора, лични данни могат да бъдат предоставени на Национална агенция за приходите, Национална Здравноинформационна система, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, Национална здравно-осигурителна каса, Регионална здравно-осигурителна каса, Министерство на здравеопазването, Изпълнителна агенция по лекарствата, Изпълнителна агенция „Медицински одит“, на компетентни правоохранителни, правоприлагащи органи, както и на други държавни органи и учреждения.

Групата предава данни на други физически/юридически лица, които предоставят определен вид стока или услуга на администратор от Групата, включително услуги по информационно поддържане и сигурност на IT системите, счетоводно обслужване, архив и други. В тези случаи, съответното дружество от Групата сключва писмено споразумение с конкретния доставчик на услугата, който е предоставил достатъчно гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на Регламент (ЕС) 2016/679 и да осигурява защита на правата на субектите на данни.

Групата поддържа партньорски отношения с други независими администратори на лични данни – застрахователни дружества, висши учебни заведения по медицина, лечебни заведения извън тези в Групата, лекари на индивидуална практика и други. Във връзка с тези партньорски отношения е възможно страните да споделят помежду си определени данни, например при предоставяне на здравни/медицински услуги, при придобиване на професионални и научни квалификации и т.н. В тези случаи, администраторите от Групата информират по подходящ начин субектите на данни за тези категории получатели, както и сключват допълнително споразумение със съответния независим администратор, с което гарантират поверителността и конфиденциалността на личните данни, които се споделят.

Когато е налице фигурата на съвместни администратори между дружество от Групата и администратор извън Групата, те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по Регламент (ЕС) 2016/679 посредством договореност помежду си.

Дружествата от Групата могат да предават лични данни на страни извън Европейския съюз и Европейското икономическо пространство само при спазване на изискванията на Регламент (ЕС) 2016/679 и по-специално на тези, разписани в глава V от него.

Предаването се извършва въз основа на решение на Европейската комисия, относно адекватното ниво на защита, което осигурява въпросната трета страна.

При липса на такова решение на Европейската комисия, предаването на трета страна може да се извърши само ако са налице подходящи гаранции и при условие, че са налице приложими права на субектите на данни и ефективни правни средства за защита. Подходящи гаранции представляват приемане на задължителни фирмени правила, стандартни клаузи за защита на личните данни, одобрен кодекс на поведение или одобрен механизъм за сертифициране.

Алтернативно, предаване на лични данни към трета страна, може да се извърши след дадено изрично съгласие на субекта на данните или когато са налице други основания, посочени в член 49, параграф 1 от Регламент (ЕС) 2016/679.

Дружествата от Групата имат въведени технически и организационни мерки, с цел защита на личните данни на физическите лица от нерегламентиран достъп, грешки или злоупотреба. Дружествата в Групата се задължават да спазват всички гарантирани, с европейските и националните закони, права на физическите лица, свързани със защитата на техните лични данни.

Всяко Дружество от Групата има приети вътрешни правила и процедури от организационен и технически характер, включително определяне на нива на достъп, които обезпечават поверителността на данните.

Дружествата в Групата съблюдават всяко нормативно изискване, съобразно своя предмет на дейност, като отчитат конкретните обстоятелства, формите на събиране на данните, правните основания и целта на тяхното обработване. Личните данни в Групата се обработват единствено от изрично упълномощени за това лица, които са информирани за своите задължения, свързани със защитата на личните данни и са поели ангажимент на конфиденциалност. Помещенията, където се обработват и съхраняват лични данни са с ограничен достъп само за служителите, обработващи тези данни. Дружествата в Групата провеждат първоначални и последващи обучения на своите служители/работници по отношение на политиките и процедурите за защита на личните данни.

Тази Политика за защита на личните данни е съставена и приета от всички дружества в Групата в качеството им на администратори на лични данни, с оглед изпълнение на задълженията им за предоставяне на информация на субектите на данни по чл. 13 и чл. 14 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните).

Тази Политика за защита на личните данни е утвърдена от дружествата в Групата и е в сила от 25.05.2018 г

МЦ Дерма-Акт ЕООД ЕИК 203973510

МЦ Дерма-Акт Инфинити ООД ЕИК 206353137

МЦ Дерма-Акт Нексаа ООД ЕИК 207704500

Дерма-Акт Инвест ЕООД, BG202325076

Ноу Скин ООД ЕИК 205464914

Дерма-Акт Урбан ЕООД ЕИК 202072993