МДЛ Цибалаб ЕООД (Лабораторията) зачита неприкосновеността на личния живот на пациентите и поради естеството на извършваната дейност свързано с обработването на специална категория лични данни (данни за здравословно състояние), гарантира в максимална степен защитата им. Настоящата декларация по защита на личните данни е в съгласие с Регламент (ЕС) 2016/679 (ОРЗД, GDPR, тук и по-долу само Регламент). Целта на настоящата декларация е да информира гражданите (настоящите или бъдещи пациенти) относно събираните за тях лични данни, обработването им, защитата им, както и правата на им, свързани с личните им данни. Всички изменения и допълнения в Декларацията за поверителност ще бъдат прилагани след публикуване на актуалното ѝ съдържание, достъпно чрез нашият уебсайт: www.cibalab.com, както и в манипулационните на МДЛ Цибалаб ЕООД.

Медико-диагностична лаборатория ЦибаЛаб ЕООД е вид лечебно заведение „медико-диагностична лаборатория”, което осъществява дейност съгласно Закона за лечебните заведения и е регистрирано от Столична регионална здравна инспекция (вписано е в регистъра на СРЗИ, код на практиката 2202141508).

Лабораторията е администратор на лични данни по смисъла на Регламент (ЕС) 2016/679 и Закона за защита на личните данни на Р. България.

Предметът на дейност на лабораторията е извършване на медико-диагностични изследвания за/на пациенти (субект на личните данни).

Лабораторията извършва многопрофилна медико-диагностична дейност, при спазване на изискванията на отделните лабораторните медицински стандарти в Р. България. В лабораторията работят квалифицирани лекари, биолози, химици, лаборанти и технически сътрудници със завършени, държавно признати, учебни заведения и получили съответните дипломи, както и удостоверения или други документи, удостоверяващи тяхната квалификация. Изискванията, задълженията и отговорностите включително и по отношение на защитата на личните данни са обособени в длъжностни и функционални характеристики.

Лабораторията организира медико-диагностичнио обслужване директно за пациенти посредством манипулационни, в които от служители на лабораторията се извършва пробовземане/приемане на биологични материали за изследвания, тяхното регистриране в ЛИС и предоставянето на готовите резултати.

Лабораторията извършва медико-диагностично обслужване за пациенти на/с други лечебни заведения (МЦ, ДКЦ, болници), както и за предоставяне и получаване на медицински специалисти, медицински услуги и други, свързани с развиваните от лабораторията дейности съгласно Закона за лечебните заведения.

Лабораторията извършва медико-диагностично обслужване за целите на превантивната или трудовата медицина посредством служби за трудова медицина или директно чрез работодателя.

Лабораторията може да сключва договори с други организации, институции, юридически и физически лица за получаване на дейности и услуги подпомагащи и/или осигуряващи основната дейност развивана от лабораторията.

Лабораторията обработва личните данни единствено и само за осъществяване на извършването на медико-диагностични изследвания, които се използват за поставянето/уточняването на медицинската диагноза. Тези лични данни се обработват от лабораторията в изпълнение на нейните законови задължения при осъществяване на медико-диагностичната дейност – ОРЗД, Член 6, Параграф 1, буква в); Обработване на специални категории ЛД, Член 9, Параграф 1, буква 3) и Параграф 3, както и национална нормативна уредба - Закон за здравето, Закон за лечебните заведение, Национален рамков договор и поднормативната уредба.

Събирането на лични данни става чрез:

• съобщаване от самия пациент или негов родител/настойник или друг законен представител по време на регистрация посредством предоставяне в писмен вид на направление по образец на лабораторията или друг вид първичен медицински документ;
• предоставяне на документ за осигурителни права (направление по НЗОК или застраховател - застрахователни компании предоставящи здравни застраховки въз основа на сключен договор, осигурителна карта), придружен с първичен медицински документ посочващ исканите изследвания и съпътстваща медицинска информация, в писмен или електронен вид;
• предоставяне на документ за самоличност;
• предоставянето им от друго лечебно заведение в писмен или електронен вид, съгласно споразумение за взаимни администратори и/или договор за съвместна дейност;
• Част от личните данни (имена и здравноосигурителен статус) могат да бъдат събрани и от Национална Агенция за Приходите (НАП) чрез електронна връзка между лабораторията и НАП.

Когато пациента сам заплаща исканите изследвания, може да не предоставя лични данни или те да са частични (напр. само пол, възраст, диагноза/информация за здравен статус).

Лабораторията рутинно събира и съхранява следните категории лични данни:

• национален граждански идентификатор (ЕГН, ЛНЧ или друго);
• имена на пациента;
• дата на раждане или възраст;
• пол;
• осигурителен номер (в условията на частен застраховател или платец), номер на Европейска здравно-осигурителна карта (ЕЗОК) и идентификатори на приравнени към нея регламенти;
• адрес (само в случай на домашно посещение или изпращане на резултат по поща/куриер);
• личен телефон за връзка - по лично желание на пациента или при медицинска необходимост в резултат на предполагаема/установена диагноза и/или по нормативни причини;
• личен имейл за връзка - по лично желание на пациента или при медицинска необходимост в резултат на предполагаема/установена диагноза и/или по нормативни причини;
• предполагаема или установена диагноза(и);
• лекуващ/насочващ лекар;
• осигурител (в условията на частен осигурител или платец);
• IP адрес от който пациента или негов представител е получил резултат онлайн;
• номер на кредитна или дебитна карта (само при безкасови или онлайн плащания).

Лабораторията, поради естеството си на дейност, рутинно създава и съхранява лични данни - лабораторни резултати, които се явяват информация за здравословното състояние на пациента (специална категория лични данни). Някои изследвания са свързани и с установяването на генетични данни, вирусоносителство, бременност или неин стадии и др.

В редки случаи, лабораторията събира чрез пациента или неговия лекуващ/изпращащ лекар допълнителна информация относно навици като тютюнопушене, употреба на алкохол или наркотици, хранителни навици, бременност, стадий на пубертет, наследствени болести или предразположение към такива, алергии, сексуални или други потенциално опасни контакти, посещавани епидемилогично интересни региони, приемани лекарствени средства и техните дози (в т.ч. хранителни добавки), хормонална терапия и др.

В изключително редки случаи и при наличен медицински интерес, лабораторията може да събере или установи данни за расова принадлежност, действителна биологична родителска връзка и др. специфични отличителни белези.

Данните, упоменати като рядко или изключително рядко събирани се използват за сведение на лабораторния лекар необходимо при взимане на лекарски решения относно лабораторните резултати.

Лабораторията не събира, съхранява или обработва данни, свързани с икономическото състояние на пациента, социален или семеен статус, политически убеждения, сексуална ориентация, етнически произход, религиозни убеждения, членство в организации, както и биометрични данни.

Основанието лабораторията да обработва лични данни е защита на следните свои легитимни интереси:

• изпълнение на задълженията си към НЗОК;
• изпълнение на задълженията си към РЗИ на МЗ;
• удовлетворение на свои финансови искове към трети страни, заплащащи дейности в полза на пациентите - НЗОК, застрахователи, други лечебни заведения и подобни;
• транзакции с банки (номера на дебитни или кредитни карти);
• изпълнение на закона за счетоводството.

В допълнение към горното и в най-голяма степен, лабораторията обработва лични данни в полза на защита на здравето на своите пациенти, а в нормативно определени случаи на заразни и инфекциозни заболявания - и в полза на защита на общественото здраве.

Целите на обработването на лични данни са:

• формиране на медицинско досие на пациента, което подпомага лабораторните лекари и в последствие лекуващия лекар в дейността им по установяване здравословното състоянието на пациента;
• надеждно идентифициране на пациентските проби и резултати пред трети страни, на които пациента сам предоставя резултатите си или когато лабораторията извършва това по силата на закон или споразумение с лекуващ/изпращащ лекар или друго лечебно заведение;
• охрана на обществен интерес в частта му защита на общественото здраве чрез вменено по закон задължение да информира РЗИ за открити опасни заразни и инфекциозни заболявания;
• издаване на различни видове сертификационни документи, в т.ч. карта за кръвна група, медицинско свидетелство и други;
• финансови искове към трети страни - осигурителни фондове (в т.ч. НЗОК), други лечебни заведения, компании поемащи трудово или корпоративно здравеопазване на служителите си и членове на семействата им;
• издаване на счетоводни документи, например фактура на частно лице;
• статистически справки за вътрешно ползване;.
• по силата на вменено задължение по закон или друг нормативен акт, в т.ч. отчетност пред НЗОК или РЗИ.

Поради спецификата на основната цел на събраните и обработвани лични данни, а именно - формиране на пациентско досие, и при възможността пациента отново да посети лабораторията, лабораторията съхранява личните данни без определен срок. По силата на членове 15, 16 и 17 на Регламента и/или други правни основания, съхраняваната информация може да бъде разкрита, коригирана или заличена по искане на субекта на личните данни или негов законен представител.

Лабораторията спазва следните принципи при обработката на лични данни:

• законосъобразност, добросъвестност и прозрачност;
• ограничение на целите на обработване;
• съотносимост с целите на обработката и свеждане до минимум на събираните данни;
• точност и актуалност на данните;
• цялостност и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.

Лабораторията споделя лични данни със следните трети страни и при следните основания и обстоятелства:

Лабораторията не споделя номера на дебитни или кредитни карти с трети лица. Лабораторията не трансферира лични данни към други държави. В случай на криминално разследване, лабораторията може да сподели лични данни с легитимен правоохранителен орган при достатъчно правни основания.

Лабораторията е създала всички необходими технически и организационни инструменти и правила, така че да гарантира спазването на правата на гражданите съгласно Регламента.

Всеки гражданин, може по всяко време да поиска от лабораторията потвърждение за наличие, произход и обработка на лични данни. За да го направи, лицето следва да се идентифицира пред лабораторията чрез документ за самоличност и да попълни и подпише формуляр по образец. Като резултат ще получи потвърждение с наличните лични данни и списък със страните с които данните са споделяни, както и основание за последното.

Всеки гражданин, който знае или е установил че лабораторията е събрала лични данни за него, които са неточни или неактуални, следва да поиска корекция на данните. Това става чрез идентифициране с документ за самоличност и попълване формуляр-декларация, която се предоставя от лабораторията и подписва от искащия корекцията. В отговор на операцията му се издава документ за успешна корекция.

Всеки гражданин, чийто данни лабораторията обработва, може да поиска заличаване на личните му данни. На заличаване подлежат граждани, към чийто лични данни е отпаднал легитимния интерес на лабораторията, а именно:

• последната визита, платима от НЗОК е преди повече от 60 месеца;
• последната визита, платима от друг платец е преди повече от 90 дни;
• всички визити са изцяло платени.

Заличаването на лични данни в лабораторията става с процес на анонимизация (необратим). За да бъде заличен гражданин, следва да направи това с документ за самоличност и нарочна декларация, предоставена от лабораторията. След заличаването, лабораторията издава писмено потвърждение за това.

Пациента има право да изисква от лабораторията да ограничи обработването на личните му данни в следните случаи:

• когато оспорва точността на личните данни;
• когато обработването е неправомерно, но пациента не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
• когато гражданина е възразил срещу обработването и очаква лабораторията да провери дали законните основания на лабораторията за обработването на личните данни имат преимущество пред интересите на пациента.

Искането за ограничаване на обработване става с писмено волеизявление пред длъжностното лице по защита на данните и идентификация с документ за самоличност.

Гражданите имат право да възразят срещу обработката и съхранението на лични данни от лабораторията. Това става с писмено волеизявление в свободен текст до длъжностното лице по защита на данните на лабораторията. В случай че възражението е основателно, лабораторията ще прекрати обработването на личните данни относно възразиля гражданин, освен ако лабораторията не покаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите на гражданина.

Поради липса на утвърден формат за преносимост на данни от една лаборатория в друга, на този етап лабораторията на е в състояние да удовлетвори искане за пренос на данни към трета срана.

Всеки гражданин има право да подаде жалба относно обработването на личните му данни от лабораторията до Комисията за защита на личните данни (КЗЛД), която е надзорния орган по Регламента. Контактни данни на на КЗЛД са дадени в началото на този документ.

Лабораторията не извършва автоматизирано вземане на решения на база на лични данни. Лабораторията не предоставя за обработка лични данни на трети страни.

Лабораторията се отнася с голямо внимание към защитата на личните данни на своите пациенти. Лабораторията инвестира значителни средства в компютърна инфраструктура и организационни мероприятия по защита.

Лабораторията съхранява лични данни в електронен вид и на хартия. На хартия се съхраняват само първичните медицински документи (направления и подобни). Хартиените документи по НЗОК (НМДД) се предават (отчитат) пред НЗОК всеки месец, т.е. лабораторията съхранява само текущи документи. Другите хартиени първични документи се унищожават по график, определен от лабораторията и са със срок на съхранение между 90 и 120 дни.

Основната задача на лабораторията е опазването на личите данни, съхранявани в лабораторната информационната система (ЛИС iLab). Предприети са комплексни мерки по опазване на неприкосновенността на данни в ЛИС, сред които:

• криптиране на всички връзки със централния сървър;
• регулярна и автоматизирана смяна на паролите и политика за тяхната сложност;
• ограничение на достъпа сред потребителите, според тяхната компетенция;
• поддръжка и редовен преглед на журналите за събития;
• физическа защита на сървъра в сертифициран център за данни.

Разработчика на използваната лабораторна информационна система (ЛИС) iLab - СКАЙУЕР Груп ЕООД е представил декларация за съответствие на системата с регламента.

Ако лабораторията установи нарушение на сигурността на лични данни, което може да породи висок риск за правата и свободи на пациентите ѝ, уведомява без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети. Лабораторията няма да уведоми пациентите за нарушения на сигурността, ако:

• е предприел подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
• е взела впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата на пациентите;
• уведомяването би изисквало непропорционални усилия.

При установено нарушение на сигурността, лабораторията уведомява надзорния орган за действително или предполагаемо изтичане на данни.