Политика за защита на личните данни

ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА НАЦИОНАЛНАТА ЗДРАВНОИНФОРМАЦИОННА СИСТЕМА

 

ВЪВЕДЕНИЕ

Националната здравноинформационна система (НЗИС) е информационна инфраструктура и платформа на Министерство на здравеопазването на Република България (МЗ), в която се събира, обработва и съхранява информация за здравното състояние на населението чрез създаване и поддържане на електронен здравен запис на всеки гражданин. Системата включва електронните здравни записи на гражданите и всички регистри, информационни бази от данни и системи, за които в нормативен акт е предвидено, че се водят от Министерството на здравеопазването и второстепенните разпоредители с бюджет към министъра на здравеопазването, от лечебните и здравните заведения, от Националната здравноосигурителна каса и от застрахователните дружества, лицензирани по т. 2 или по т. 1 и 2 от раздел II, буква „А“ на приложение № 1 към Кодекса за застраховането. Настоящата политика за поверителност е разработена, за да информира гражданите като потребители на системата как МЗ като администратор събира и обработва лични данни при ползването на системата и на приложението „Мобилно здравно досие-еЗдраве” (по-нататък –„мобилното приложение“ или „еЗдраве”).

НЗИС събира и обработва здравна информация за вас по смисъла на чл. от 27, ал. 1 от Закона за здравето. Това са вашите лични данни, свързани с вашето здравословно състояние, физическо и психическо развитие, както и всяка друга информация, съдържаща се в медицинските рецепти, предписания, протоколи, удостоверения и в друга медицинска документация. НЗИС не събира и не обработва здравни данни, които не са налични в съществуващ медицински документ.

Целта на настоящата политика е да опише как НЗИС събира, използва и споделя информация за вас чрез нашите онлайн интерфейси (Портала на НЗИС www.his.bg). Мобилното приложение има отделна политика за поверителност и защита на личните данни, с която можете да се запознаете при достъпването му. Молим да прочетете внимателно настоящата политика за поверителност и защита на личните данни, за да разберете какво правим. Ако не разбирате каквито и да е аспекти от настоящата политика, можете да поискате пояснения на support@his.bg.

За нормалното функциониране на НЗИС, освен вашата медицинска информация, ние събираме и обработваме и други лични данни, посочени по-долу в раздела „Какви данни събираме“, включително данни във връзка с регистрацията на акаунти (вашите имена и електронна поща), данни от вашите заявки за достъп, информация от проучвания на ползването, в които участвате по ваше желание, данни за идентификация и верификация (автентикация) и информация за ползването на нашето приложение и услуги от всеки потребител.

Ние събираме и обработваме вашите лични данни само за целите, посочени по-долу в раздел "Цели за събиране и обработка на личните данни", свързани с вашето качествено и своевременно медицинско обслужване, с нормалното функциониране на НЗИС и с необходимостта да се поддържа високо ниво на информационна сигурност в него, изпълнение на проучвания и изследвания, свързани с медицинското обслужване и ограничаването на достъпа до информацията за лица, които нямат право на достъп до нея.

Във връзка с предоставените лични данни вие имате права, които можете да упражнявате съобразно изложеното по-долу в раздел „Вашите права“.

Във всеки един раздел на настоящата политика има информация за нас и за това как събираме, обработваме и съхраняваме личните данни.

Ако се регистрирате и използвате достъпа си до НЗИС, тогава се съгласявате със събирането и използването на информация във връзка с настоящата политика. Личната информация, която събираме може да се използва и за подобряване на вашето обслужване. Ние няма да споделяме вашите лични данни с никого, освен както е описано в настоящата политика.

Към НЗИС функционира като негова обособена функционална подсистема „Мобилно здравно досие“ - мобилно приложение “еЗдраве”. Това е приложна програма за осигуряване на вашия достъп до вашето електронно здравно досие лично и изключително на вас. Мобилното приложение функционира съгласно отделна Политика за защита на личните данни, с която можете да се запознаете при неговото изтегляне и инсталиране. Настоящата политика не се прилага за мобилното приложение.

АДМИНИСТРАТОР

НЗИС се явява собственост на Министерството на здравеопазването на Република България, което освен администратор на системата е и администратор на съдържащите се в нея лични данни (наричано по-нататък „Администратор“).

КАКВИ ДАННИ СЪБИРАМЕ

Настоящата Политика обхваща здравните данни за вас, които събираме от лечебните и здравните заведения и регистрите към МЗ чрез средствата на системната интеграция, както и данни, които използваме за вашето идентифициране.

Кое заведение е лечебно?

Съгласно Закона за лечебните заведения лечебните заведения са:

  1. лечебните заведения за извънболнична помощ: амбулатории за първична медицинска помощ (индивидуални и групови практики, вкл. общопрактикуващите лекари), амбулатории за специализирана медицинска помощ, които могат да бъдат: индивидуални и групови практики, вкл. медицински център и медико-дентален център и ДКЦ; самостоятелни медико-диагностични и медико-технически лаборатории; дентални центрове и амбулатории за здравни грижи;
  2. лечебните заведения за болнична помощ
  3. всички центрове за трансфузионна хематология, психично здраве, кожно-венерически заболявания, онкологични заболявания, комплексно обслужване на деца с увреждания и хронични заболявания, както и домове за медико-социални грижи за пълнолетни лица, хосписи, диализни центрове и тъканни банки.

Кое заведение е здравно?

Съгласно Закона за здравето здравни заведения са националните центрове по проблемите на общественото здраве; Националната експертна лекарска комисия (НЕЛК); здравните кабинети в детските градини и училищата; здравните кабинети в местата за социалните и интегрираните здравно-социални услуги за резидентна грижа за повече от 20 потребители и в социалните услуги за осигуряване на подслон, а също така аптеките и оптиките.

Категории събирани данни

МЗ като Администратор на НЗИС, събира и обработва следните категории  ваши лични данни:

     (1) Лични данни, отнасящи се до физическата ви идентичност, предоставяни от лечебни/здравни заведения: три имена; ЕГН, пол, постоянен или настоящ адрес, а за физически лица – чужди граждани – личен номер на чужденец (ЛНЧ), ако е наличен, или дата и място на раждане, гражданство и пол; както и телефон и/или имейл за контакт (обратна връзка). Ние събираме и данни за контакт с близки лица – имена, телефон, когато са получени в НЗИС от лечебно/ здравно заведение или когато вие ги предоставяте, актуализирате или променяте чрез здравноинформационния уеб портал his.bg.

     (2) Лични данни, съставляващи здравна информация. Ние съхраняваме и обработваме вашата здравна информация само доколкото тя е законно получена в НЗИС от лечебни или здравни заведения на предвидените в закона основания.

Вашето електронно здравно досие се състои от електронни здравни записи, всеки един от които съдържа отделен медицински документ или група от свързани такива документи, издадени от лечебно или здравно заведение. Структурата на вашето електронно здравно досие посочва конкретните видове данни за вас, които събираме и обработваме. Това са:

  1. вашите идентификационни данни: имена и ЕГН/ЛНЧ, а за чуждите граждани без ЛНЧ – дата на раждане във формата, приложим за ЕГН, или социално-осигурителен номер, или номер на документ за самоличност; гражданство;
  2. информация за новороденото;
  3. медицински прегледи, в това число информация за вашите контакти със заразно болни лица;
  4. издадените ви медицински направления;
  5. резултатите от изпълнените медико-диагностични дейности;
  6. хоспитализации;
  7. имунизации;
  8. рецепти (електронни предписания);
  9. диспансеризация;
  10. медицинска експертиза на временната неработоспособност, експертиза на трайно намалената работоспособност/вид и степен на увреждане;
  11. информация за изразено от вас несъгласие за донорство, съгласно Закона за трансплантация на органи, тъкани и клетки и Наредба № 21 от 3.05.2007 г. за обстоятелствата и данните, които се вписват в регистрите на Изпълнителната агенция „Медицински надзор“, редът за вписване и ползване на информацията (обн., ДВ, бр. 39 от 2007 г.);
  12. други данни от значение за обратната връзка с вас: постоянен и/или настоящ адрес, статут на пребиваване (за чужди граждани), телефон и други средства за контакт, напр. имейл;
  13. посочени от вас данни за контакт с ваши близки при необходимост или спешност (имена, телефон и др.);
  14. дата на смъртта.

Всички тези данни получаваме от лечебните и здравни заведения (дефинирани по-горе: Кое заведение е лечебно? и Кое заведение е здравно?), в които сте получили медицинско, здравно или социално обслужване.

     (3) Когато достъпваме вашето електронно здравно досие през здравноинформационния уеб портал his.bg, ние може да съберем и анализираме информация за конкретните страници от електронното здравно досие, което е обект на посещение, редът, по който става това и хиперлинковете, които са били кликнати, но без връзка с каквито и да е данни, индивидуализиращи потребителя. Събираме информация за URL-адресите, от които потребителите се свързват с НЗИС. Събирането на такава информация може да включва логването на IP-адрес, операционната система и ползвания софтуер на браузъра, ползван от всеки потребител на сайта ни. Възможно е според ползвания IP-адрес да сме в състояние да определим доставчика на интернет услуги на потребителя и да геолокализираме съответната точка за връзка. Ние ползваме или бихме могли да ползваме бисквитки (cookies) и пикселни маркери (web-beacons) когато влизате в Приложението. Повече информация за това можете да намерите в раздел „Политика за бисквитките“.

Всички лични данни, които обработваме, са видими за вас при достъпване на вашето електронно здравно досие. Всички други данни, които ползваме и които не се визуализират при вас, са анонимизирани.

Кои данни са анонимизирани?

Анонимизирани са технически обработени данни с цел окончателно и необратимо елиминиране на възможността за идентифициране на субекта, за който се отнасят. Техническата обработка на данните в процеса на анонимизация води до това, че вашата здравна информация по никакъв начин не може да бъде свързана с вас като личност, с вашите имена и ЕГН/ЛНЧ, нито с вашия образ. Освен това, при анонимизация приложимите технологии не позволяват в който и да е последващ момент личните ви данни да бъдат свързани по обратен ред с вашата здравна информация.

Обща информация и предоставени данни

Освен това, конкретната информация, която може да бъде определена като лични данни, може да включва също така вашето име, имейл адрес, IP адрес и идентификатор на устройството, от което достъпвате системата, наред с други технически данни. Точността и достоверността на личната информация и личните данни, които предоставяте на системата са ваше задължение и ваша отговорност. Неточната информация може да повлияе на способността ви да използвате системата, информацията, която получавате при използването й, и на нашата възможност да се свържем с вас когато това ви е необходимо. Като основен способ за комуникация с нас посоченият от вас имейл адрес трябва да се поддържа актуален.

 

ОСНОВНИ ПОЛОЖЕНИЯ

Вашият достъп

Достъпът до НЗИС се осигурява чрез здравноинформационния уеб портал www.his.bg като единна входна точка. За целта не се изисква специален софтуер от ваша страна, освен стандартен интернет браузър, през който достъпвате уеб-адреси в мрежата. Достъпът ви до електронни административни услуги, предоставяни от НЗИС, може да се осъществи и през Единния портал за достъп до електронни административни услуги по чл. 12, ал. 1 от Закона за електронното управление при изпълнение на посочените там технически условия.

Вие имате право на личен безвъзмезден достъп до електронните здравни записи във вашето електронно здравно досие и право да се запознае с цялата здравна информация в тях. Можете да направите това лично, или чрез упълномощено от вас лице. Издаденото от вас пълномощно трябва да бъде в обикновена писмена форма, като изрично трябва да посочите, че упълномощавате лицето за достъп до вашето електронно здравно досие. Вашият достъп се извършва автоматизирано и посредством генерирани от НЗИС справки.

Системата осигурява право на достъп на родители, попечители и настойници до електронното здравно досие на техните ненавършили пълнолетие деца, съответно подопечни лица. След навършването на 18-годишна възраст на лицето, достъпът на родителите до неговото електронно здравно досие се прекратява автоматично, освен при наличието на документ за попечителство или настойничество. Лицата, навършили 16-годишна възраст имат право на самостоятелен достъп до електронното си здравно досие, паралелно с този на техен родител или попечител.

Системата дава възможност и за достъп до електронното здравно досие на ваш починал близък, ако сте негов наследник или роднина по права и по съребрена линия до четвърта степен включително. Този достъп се получава въз основа на ваше заявление, подадено онлайн до администратора на НЗИС и подписано с КЕП. Въз основа на заявлението администраторът ще генерира парола за достъп и ще ви я изпрати на посочена от вас електронна поща след като извърши служебна проверка на вашите родствени връзки на лицата в регистъра на населението  в съответните случаи.

Идентифициране при достъп

Достъпът ви се предоставя след като се идентифицирате чрез ваш личен квалифициран електронен подпис или чрез средствата на електронната идентификация по смисъла на Закона за електронната идентификация. При невъзможност от ваша страна да прилагате тези технологии можете да получите достъп чрез нашето мобилно приложение „Мобилно здравно досие“. Приложението дава възможност единствено за преглед на вашите данни.

Достъп за служебни цели

Системата не допуска достъп на трети лица до вашата здравна информация, освен в изрично посочените в закона случаи, на изрично оторизираните лица и единствено за служебни цели. Наредбата определя разкриването на вашите здравни данни пред тези лица  като „достъп за служебни цели“.

Това са държавните органи, на които е дадено това право по силата на закона, лечебните и здравни заведения, различни от тези, в които са генерирани ваши медицински документи, структурите на спешната помощ, осигурители и застрахователи и др., посочени в нормативен акт лица.

Кои цели са служебни?

Служебни са всички цели, които са свързани с процесите на вашето индивидуално здравно и социално обслужване, вашето здравно осигуряване и здравно застраховане, както целите на правосъдието и защитата на вашите права. За нуждите на медицинската наука и статистика се използват само предварително анонимизирани данни и вашата самоличност не може да бъде установена от ползвателя на данните.

В кои случаи вашите здравни данни може да бъдат достъпени за служебни цели?

Вашата здравна информация се създава чрез издаване на съответната медицинска документация в лечебното или здравното заведение, в което получавате медицинско или социално обслужване. Тези документи се въвеждат в системата чрез средствата на системната интеграция или се създават пряко в нея онлайн в електронна форма от съответното служебно лице, което ви предоставя здравна или социална услуга по ваше искане или с ваше съгласие. По-нататъшното разкриване на вашите здравни данни пред трети лица не се допуска, освен по изключение, в изрично предвидените в чл. 28 от Закона за здравето случаи, а именно:

  • Когато вашето лечение трябва да продължи в друго лечебно заведение;
  • Когато съществува заплаха за здравето или живота на други лица. В този случай вие ще бъдете предварително уведомени;
  • Когато са необходими при идентификация на човешки труп или за установяване на причините за смъртта;
  • Когато са необходими за нуждите на държавния здравен контрол за предотвратяване на епидемии и разпространение на заразни заболявания;
  • Когато са необходими за нуждите на медицинската експертиза и общественото осигуряване;
  • Когато са необходими за нуждите на Министерството на здравеопазването, Националния център по здравна информация, НЗОК или регионалните здравни инспекции;
  • Когато са необходими за нуждите на вашия здравен застраховател, лицензиран по раздел I от приложение № 1 или т. 2 или по т. 1 и 2 от раздел II, буква "А" на приложение № 1 към Кодекса за застраховането.

Когато части от здравната ви информация са необходими за нуждите на медицинската статистика или за медицински научни изследвания, всички ваши данни, които ви идентифицират като физическо лице, ще бъдат предварително заличени (процес на анонимизация на данните.

Не се допуска ползване на вашите лични данни за служебни цели, когато това не е необходимо или е в обхват, който надхвърля потребностите на легитимните ползватели. Във всички случаи достъпът на трети лица е пропорционален на осъществяваните от тях функции. Гаранция за това е подсистемата за регистриране и контрол на достъпа (системни журнали), която позволява идентификация на всеки ползвател на вашите данни във всеки един момент.

Вашето съгласие за достъп за служебни цели

Достъпът на изброените по-горе лица за служебни цели се осигурява само и единствено въз основа на дадено от вас предварително, изрично и писмено съгласие. Това съгласие трябва да бъде дадено преди осигуряването на достъп и въз основа на предварително представена ви информация за това защо се налага, как се осъществява и на кого се предоставя този достъп.

Вие можете да предоставите достъп и до електронните здравни записи и за ваше непълнолетно дете или подопечно лице, на което сте настойник или попечител. В този случай съгласието трябва да бъде дадено от вас, ако не следва друго от обхвата на попечителството, посочен в акта за учредяването му по реда на Семейния кодекс.

Вашето съгласие може да бъде дадено по един от следните начини по ваш избор и в зависимост от наличните технически средства:

  • чрез заявяването и подписването му от вас чрез вашия квалифициран електронен подпис (КЕП) в здравноинформационния уеб портал на системата his.bg;
  • чрез заявяването и подписването му от вас във формата на електронен документ, удостоверен с КЕП, генериран от информационната система на лечебното или здравното заведение, което ви обслужва в момента;
  • чрез заявяването и подписването му от вас чрез техническо средство за полагане на електронен подпис (напр. електронна писалка или таблет, който пренася подписа в цифров вид върху електронен документ, при който подписът може да се приравни на саморъчно положен такъв). В този случай следва да подпишете изричното си съгласие пред лечебното или здравното заведение за ползването на този електронен подпис в отношенията между вас, заведението и НЗИС и за равностойността му на саморъчния подпис;

В трите горни случая се генерира електронен документ, съдържащ даденото от вас съгласие, който се изпраща до системата и се съхранява в нея като електронен здравен запис.

  • чрез генериран от НЗИС и изпратен на посочен от вас телефонен номер еднократен код, който се посочва от лечебното или здравното заведение в декларацията ви за съгласие, създадена като електронен документ. В случая съгласието ви ще има силата на удостоверено с положен от вас електронен подпис. В тези случаи е необходимо да подпишете на място в лечебното или здравното заведение изричното си съгласие за ползването на този електронен подпис в отношенията между вас, заведението и НЗИС и за равностойността му на саморъчния подпис;
  • чрез заявяването и подписването му от вас на хартиен носител пред медицински или немедицински специалист, който ви обслужва в лечебното или здравното заведение. При техническа възможност подписаното от вас съгласие ще се сканира и ще се изпраща до системата като електронен здравен запис, а в останалите случаи факта на наличието му в лечебното или здравното заведение и съдържанието му се отбелязват във вашето електронно здравно досие.

Вашето съгласие за достъп до електронното ви здравното досие за служебни цели може да бъде дадено за еднократен достъп или да се отнася само за един или няколко от изброените по-горе субекти и институции.

При първичното генериране на електронното ви здравно досие, както и при всеки последващ контакт с лечебно или здравно заведения, което ви обслужва и в което се създава здравна документация за вас (т.е. генерират се електронни здравни записи) можете да посочите телефон и/или електронна поща за връзка с вас, на който/която да получавате съобщения от НЗИС относно обработването на данни във вашето електронно здравно досие. Също така, можете по всяко време да се откажете от получаване на такива съобщения.

Даденото от вас съгласие за достъп до личните ви данни става неразделна част от вашето електронното здравно досие и е видимо за всички субекти, които имат право на достъп за служебни цели. НЗИС генерира и справки за наличието или ограничаването на даденото от вас съгласие без предоставяне на ваши лични данни.

Възможности за оттегляне на вашето съгласие

Както даването, така и оттеглянето на даденото от вас съгласие за достъп до личните ви данни може да стане безусловно и по всяко време. Това става по реда за даване на съгласие (вж. по-горе раздел „Вашето съгласие за достъп на трети лица за служебни цели“), без допълнителни процедури и условия. С оттеглянето на даденото от вас съгласие в системата автоматично се прекратява всякакъв достъп на всички субекти до вашата здравна информация. В случай че тези субекти са направили и съхраняват копие от здравните ви записи, те са длъжни незабавно да ги изтрият.

Ограничаване на достъпа по време

Времето за достъп до вашето електронно здравно досие е ограничено в зависимост от ползвателя.  Медицинските специалисти от лечебните заведения за специализирана извънболнична медицинска помощ (напр. в ДКЦ, МЦ и др. под.) имат право на достъп до всички здравни записи във вашето електронно здравно досие за срок, не по-дълъг от тридесет календарни дни от извършения от тях първичен преглед.

Медицинските специалисти от болничната медицинска помощ имат право на достъп до всички здравни записи във вашето електронно здравно досие във връзка с вашата хоспитализация за срок, не по-дълъг от тридесет календарни дни от изписването ви от лечебното заведение, както и в периода на осъществяване на медицинска дейност, която не изисква вашата хоспитализация.

Достъпът е пропорционален на целите му и е основан на принципа „необходимост да се знае“. При всяко положение, право на достъп имат само медицинските специалисти, пряко ангажирани във вашето обслужване и само при или по повод осъществяване на функциите си във връзка с това обслужване.

Ограничаване на достъпа по съдържание

Медицинските специалисти от здравните заведения имат право на достъп само до вашите здравни записи, които се отнасят до изпълнението на конкретна тяхна дейност, при и по повод осъществяване на функциите си. Кои заведения са здравни е посочено по-горе (вж. раздел „Кое заведение е здравно?“)

Застрахователните дружества имат право на достъп само до относимите ваши здравни записи, при и по повод осъществяване на функциите си във връзка с настъпило конкретно застрахователно събитие по вашето доброволно здравно осигуряване въз основа на договор за медицинска застраховка по смисъла на глава четиридесета, раздел IV от Кодекса за застраховането, който сте сключили със застрахователя.

Ограничен достъп за целите на спешна медицинска помощ

В случай че изпаднете в състояние, изискващо спешна медицинска помощ, при което не сте в състояние да правите правни изявления, медицинските специалисти, които я изпълняват, ще получат право на временен и ограничен достъп до вашето електронно здравно досие без вашето съгласие, независимо дали работят в службите за спешна помощ, или са други специалисти, които ви оказват спешна помощ в същото лечебно заведение. В този случай те ще получат данните, които ви идентифицират (имена и ЕГН/ЛНЧ) и следната здравна информация за вас: кръвна група; алергии; задължителни и други проведени имунизации; прекарани остри инфекциозни заболявания; установени хронични заболявания или увреждания; провеждано или провеждащо се медикаментозно или друго лечение; вложени в тялото ви медицински изделия и данни за контакти с вашите близки (имена, телефон и др.). Всички тези данни ще бъдат получени единствено с цел да се предостави ефективна помощ и да се преодолее спешното състояние, което застрашава вашето здраве или живот. В тези случаи необходимостта от достъп до вашата здравна информация ще се декларира от съответния лекар по електронен път в НЗИС посредством КЕП, а вие ще бъдете уведомен за ползвания достъп, когато сте в състояние за това.

Достъп чрез служебни регистри

Медицинските специалисти от лечебните заведения за първична извънболнична медицинска помощ имат право на неограничен достъп до всички здравни записи във вашето електронно здравно досие, ако сте техен пациент и в тази връзка фигурирате в техните регистри. Те могат да получат такъв достъп и в случаите, в които не фигурирате в техните регистри, но сте се обърнали към тях за съответно медицинско или социално обслужване, т.е. когато имате качеството на техен пациент. Във втория случай необходимостта от достъп до вашите здравни записи извън регистъра на лечебното заведение се декларира в НЗИС от съответния лекар по електронен път чрез квалифициран електронен подпис, с който той се идентифицира.

При всяко положение медицинските специалисти имат този достъп само при изпълнение на функциите си, т.е. само при професионална необходимост да се запознаят с вашата здравна информация във връзка с ваше лечение, консултации и други подобни.

Достъп на правоохранителните органи

Органите на досъдебното производство (прокурори, следователи, разследващи полицаи), съда и определените от тях вещи лица имат право на достъп до здравните записи от вашето електронно здравно досие само във връзка с висящи досъдебни или съдебни производства. Този достъп се изпълнява чрез съответното лечебно или здравно заведение, извършило записите, въз основа на определение на съда или постановление на наблюдаващия прокурор. Вашата идентификация, обхвата на достъпа и неговата цел ще бъдат изрично посочени в това определение или постановление.

Контрол на достъпа

Всеки акт на достъп до вашето електронно здравно досие се отбелязва в системата за целите на контрола и недопускането на неправомерен достъп, от една страна и на осигуряване на проследимост на достъпа, от друга.  Проследимостта се осигурява от т.нар. одитен дневник на действията на всеки потребител (одитни записи). Атрибутите, които се запазват при достъп в тези случаи  включват най-малко следните данни: дата/час на действието; модул на системата, в който се извършва действието; действие; обект, над който е извършено действието; IP адрес. При необходимост вие можете да бъдете уведомен за извършения достъп. Одитните записи се съхраняват през цялото време на съществуване на вашето електронното здравно досие.

Технически условия за достъп за служебни цели

Достъпът за служебни цели се осъществява през здравноинформационния уеб портал на системата www.his.bg чрез ресурсите на системната интеграция (автоматизирано):

  • чрез защитена комуникационна връзка/канал за обмен на данни - за интегрираните софтуерни платформи на лечебните и здравните заведения;
  • за застрахователните дружества, лицензирани по т. 2 или по т. 1 и 2 от раздел II, буква „А“ на приложение № 1 към Кодекса за застраховането;
  • за държавни органи, за които е предвиден в закон достъп до регистри с национално значение. В тази категория попадат изпълнителните агенции в системата на МЗ, регионалните здравни органи и органите на НЗОК, които имат и опцията за достъп чрез системната интеграция.

Извън тези случаи, достъп чрез средствата на системната интеграция се предоставя само до анонимизирани данни, т.е. вашите лични данни не се предоставят и вие не можете да бъдете идентифицирани, освен ако с нормативен акт е определено друго. В процеса по осигуряването на достъп се предвижда и използването на системата за електронна автентикация, изграждана и поддържана от Министерството на електронното управление. Като средство за защита е предвидено, при техническа възможност, да се поддържат механизми недопускащи копиране на данни.

Комуникации със Системата

Системата не предоставя достъп на други приложения освен на мобилното приложение „еЗдраве“. Линкове с такива приложения няма да бъдат осъществявани или достъпни.

Сайтове на трети лица

Системата не предоставя достъп до сайтове на трети лица, включително социални мрежи, поради което вашите лични данни не са достъпни за сайтове на трета страна, нито ви дават достъп до такива сайтове.

Партньорски сайтове

Системата няма връзка с други сайтове и не предоставя достъп на такива. Съгласно изискванията на Наредбата тя обслужва единствено вас и лицата, които създават и използват на законно основание вашата здравна информация.

Контрол на промените

За контролиране достъпа за служебни цели, както и на достъпа от ваше име, в системата се води хронологичен регистър на всички извършени корекции в електронното здравно досие, организиран като подсистема за тяхното наблюдение, отчитане и контрол. Всяко отстраняване на неточност или непълнота се регистрира в подсистемата. Хронологичният регистър е достъпен за вас, чрез което имате възможност за личен контрол на достъпа.

ЦЕЛИ ЗА СЪБИРАНЕ И ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Ние събираме и обработваме вашите лични данни на изрично посочени в закона основания, описани в раздел „Основания за ползване на личните ви данни“.

Вашата здравна информация съставлява специална категория лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните, или GDPR), по-нататък наричан „Регламента“ или „ОРЗД“, тъй като по необходимост съдържа данни за здравословното ви състояние, евентуално и за генетични и биометрични данни. Предвидени са обаче изключения, позволяващи това обработване и тези изключения произтичат от целите, с които личните ви данни се обработват. В този контекст, вашите лични данни се обработват:

  • за целите на превантивната или трудовата медицина, за оценка на вашата трудоспособност, медицинската диагноза, предоставянето и получаването от ваша страна на здравни или социални грижи или лечение;
  • за целите на управлението на услугите и системите за здравеопазване и социални грижи въз основа на правото Р България;
  • от съображения от обществен интерес в областта на общественото здраве, като защитата срещу сериозни трансгранични заплахи за здравето или осигуряването на високи стандарти за качество и безопасност на здравните грижи и лекарствените продукти или медицинските изделия, въз основа на правото на Р България, в което са предвидени подходящи и конкретни мерки за гарантиране на вашите права и свободи, включително и опазването на професионална тайна;
  • в случаите на необходимост да ви бъде предоставена спешна медицинска помощ (достъпът в случая се ограничава само до определени ваши данни, необходими за случая) или ако изпаднете спешно рисково медицинско състояние, което не позволява да ви бъде взето информирано съгласие за съответната медицинска процедура. Целта е да бъдат защитени вашите жизненоважни интереси в ситуация, в която сте физически неспособен да дадете своето съгласие за достъп до личните ви данни в електронното ви здравно досие.

Възможни са хипотези, при които (в комбинация с горните обстоятелства) обработването и съответно достъпът до личните ви данни да се налагат за целите на изпълнението на задълженията и упражняването на специалните права на МЗ или вашите лични права по силата на трудовото право и правото в областта на социалната сигурност и социалната закрила.

Във всички горни случаи достъпът до личните ви данни и тяхното обработване са ограничени по до необходимия минимум и не надхвърлят заложения в Закона за здравето обхват.

ПРАВНО ОСНОВАНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ВИ ДАННИ

Ваши лични данни, включително и тези относно вашето здравословно състояние, представляващи специални категории лични данни по смисъла на Регламент (ЕС) 2016/679 се обработват на основание чл. 6, пар.1, букви „в”,  в условията на чл. 9, пар. 2, букви „з“ и „и“ от Регламент (ЕС) 2016/679, във връзка с членове 28, 28а, 28б,  28г и 28д  от Закона за здравето.

 

ВЪЗРАСТОВИ ОГРАНИЧЕНИЯ

Системата предоставя достъп до електронното му здравно досие на всяко пълнолетно дееспособно лице. Достъп до здравните записи на малолетните и напълно недееспособните се предоставя на техните законни представители: родители и настойници. Ако сте непълнолетен, но сте навършили 14-годишна възраст вие имате право на самостоятелен собствен достъп (освен този на вашите родители) до вашето електронно здравно досие. Ако сте под тази възраст, моля да не достъпвате НЗИС по какъвто и да е начин. Нямаме други възрастови ограничения за достъп до системата.

 

КАК СЕ ИЗПОЛЗВАТ ЛИЧНИТЕ ВИ ДАННИ

Информация, свързана с използването на нашия сайт

Ние можем да използваме информация, свързана с вашия достъп до системата и получаваните от вас услуги от нея (напр. уведомяване или обратна връзка), за да подобрим качеството на достъпа, условията на ползване на системата и нейната ефективност, за целите на статистическия анализи на колективните характеристики на достъпващите, както и за измерване на демографските данни и интереси по отношение на конкретни видове данни. Можем също така да използваме тази информация, за да гарантираме сигурността на системата като цяло. Данните в тези случаи са напълно анонимизирани, а вашите лични данни не се събират и следователно не са достъпни.

Техническа поддръжка и сигурност

Можем да използваме личните ви данни, за да предоставим техническа поддръжка, когато е необходимо, и да гарантираме сигурността на НЗИС.

Данни за целите на комуникацията с НЗИС

Когато ни изпратите съобщение или по друг начин се свържете с нас и сте поискали отговор, ще използваме предоставената от вас информация за обратна връзка, за да отговорим на вашето съобщение. Можем също така да архивираме тази информация и / или да я използваме за бъдеща комуникация с вас, когато имаме законно право да го направим. Когато ви изпращаме имейли, можем да проследим начина, по който взаимодействате с тези имейли (например, когато отворите имейл или кликнете върху връзка в имейл). Ние използваме тази информация само за целите на сигурността на нашите комуникации с вас и тяхното приспособяване и оптимизиране към вашите потребности.

Комуникации с партньори и доставчици

Ние не споделяме и няма да споделяме по никакъв начин вашите лични данни с доставчици на съдържание, нито с партньори, така че такива не могат и няма да могат да споделят информация за техни продукти и услуги, независимо дали имат или нямат законно право да го направят.

Изследвания

Ние можем да споделяме само обобщени данни за вашата активност в Портала на НЗИС www.his.bg и демографски данни от анкети, изпълнявани от нас за нуждите на Министерството на здравеопазването, които могат да използват данните за изследвания, свързани със здравеопазването. В нито един от тези случаи ние не предоставяме и няма да предоставяме ваши лични данни по какъвто и да е начин, а всички предоставяни и обработвани данни ще бъдат анонимизирани.

Също така, обобщени данни от системата могат да се използват и предоставят на други официални институции за целите на управлението на системата на здравеопазването, медицинската наука, финансирането и статистиката. Могат да се предоставят такива данни и за починали лица, в срока на съхранение на техните здравни досиета. Във всички тези случаи могат да се предоставят само и единствено анонимизирани данни, т.е. вашите лични данни няма да бъдат предоставяни и обработвани.

Държавни органи и процесуални задължения

Държавните органи, на които законът е предоставил право на достъп до регистри с национално значение, могат да разполагат с достъп за служебни цели до НЗИС, но само доколкото е необходимо за упражняване на техни конкретни правомощия т.е. достъпът им е пропорционален на осъществяваните от тях функции. В останалите случаи достъп до вашите лични данни може да бъде предоставен само на правоохранителните органи и само въз основа на влязъл в сила съдебен или прокурорски акт (вж. раздел „Достъп на правоохранителните органи“).

Разкриване на информация за придобиващите

Системата може да прехвърля вашите лични данни само на правоприемник на Администратора в случаите на прехвърляне на правомощия на Министерството на здравеопазването по управлението на системата на друга държавна администрация.

Електронни четци

Ако получим някаква лична информация, свързана със степента, в която използвате различни видове електронни устройства за достъп до Системата, можем да я архивираме като заличим връзката с личните ви данни и да я използваме за технологични проучвания и подобрения или за статистически цели. В този случай ще бъдат обработвани само анонимизирани данни, т.е. вашите лични данни няма да бъдат обработвани.

 

ПОЛИТИКА ЗА БИСКВИТКИТЕ

За правилното функциониране на Системата като цяло, понякога поставяме на вашето устройство, с което я достъпвате, малки файлове с данни, наричани „бисквитки“ (“cookies).

Какво представляват бисквитките?

Бисквитките са малки текстови файлове, които се запазват на вашето устройство / компютър, когато посещавате даден уебсайт. Те позволяват на уебсайта да запаметява вашите действия и предпочитания (като например потребителско име, език, размер на шрифта и други настройки за показване) за определен период от време, за да не се налага да ги въвеждате всеки път, когато посещавате сайта или преминавате от една страница към друга.

По какъв начин използваме бисквитките?

Системата използва бисквитки, които не са абсолютно необходими, за да може то да работи, но го правят по-удобно за ползване. Можете да изтриете или блокирате бисквитките, но ако го направите е възможно някои функции на Системата да не работят както трябва. Бисквитките се използват за запаметяване на:

     (1) вашите настройки за показване, като например език за навигация, контраст, размер на шрифта, използвано устройство, предпочитания за резултатите от търсенето и за уведомленията;

     (2) вашето последно посещение на Системата (за статистически цели) и последните три страници, които сте посетили (за улеснение на нашето бюро за помощ, в случай че изпратите заявка);

     (3) информация дали сте приели или не използването на бисквитки на този сайт.

Освен това, вградените на нашите страници помощни видеоклипове също могат да използват бисквитки, за да събират анонимно статистика за това как сте стигнали до съответната страница и кои видеоклипове сте гледали.

Бисквитки и лични данни

Свързаната с бисквитките информация не се използва за установяване на самоличността ви, а образците с данни са изцяло под наш контрол. Бисквитките не се използват за цели, различни от посочените тук.

Бисквитки на трети страни

Ние не разрешаваме услуги на трети страни да изпращат бисквитки до потребителите.

Как да контролирате бисквитките?

Можете да контролирате и/или да изтривате бисквитките както желаете. Можете да изтриете всички бисквитки, които вече са запазени на вашето устройство, а също така можете да настроите повечето браузъри да ги блокират. Ако направите това обаче, може да се наложи ръчно да настройвате някои параметри всеки път, когато посещавате сайта, а освен това е възможно някои услуги и функции да не работят.

Отказ от използването на бисквитки

Можете свободно да приемете или откажете използването на бисквитки на този сайт само с един клик върху една от следните връзки:

Приемам бисквитките

Отказвам бисквитките

В този случай отказвате всички бисквитки, с изключение на тази, която запаметява настоящия избор.

Отказвам бисквитките изцяло.

В този случай ще виждате банера ни за бисквитки всеки път, когато посещавате Портала на НЗИС www.his.bg. Можете да откажете използването само на бисквитки, които не са абсолютно необходими. Някои бисквитки са абсолютно необходими, за да можете да използвате Портала на НЗИС тъй като без тях няма да можем да ви предоставим определени функции, като например автоматично влизане в него.

СРОК НА СЪХРАНЕНИЕ НА ЛИЧНИТЕ ДАННИ

Времето, за което съхраняваме личните ви данни, произтича от целите, за които ги събираме и използваме и/или според изискванията за спазване на приложимите закони и за установяване, упражняване или защита на нашите и вашите законни права. Електронното здравно досие на всеки гражданин ще се съхранява за срок от петдесет години от датата на неговата смърт. Дългият срок е определен в интерес на наследниците на всеки гражданин, които следва да имат възможност за защитят свои законни права, ако това налага ползването на данни за наследодателя, както и за проследимост на генетични предразположения и други подобни данни, които могат пряко да повлияят върху качеството и ефективността на здравното обслужване на низходящите. След изтичане на задължителния период на съхранение, личните данни се заличават, а останалите данни се анонимизират и могат да се използват само за целите на медицинската наука, управление, прогнозиране и статистика.

СИГУРНОСТ ПРИ ОБРАБОТВАНЕТО И СЪХРАНЕНИЕТО НА ЛИЧНИ ДАННИ

Ние ще използваме серия от стандартни физически, технически и административни (организационни) мерки за сигурност, за да запазим вашите лични данни като поверителна и защитена информация.

Организационни мерки за сигурност

Всички държавни органи, лечебни и здравни заведения, които създават или достъпват данни във вашето електронно здравно досие, прилагат минималните и препоръчителни мерки за мрежова и информационна сигурност по Закона за киберсигурност и Наредбата за минималните изисквания за мрежова и информационна сигурност, приета с Постановление № 186 от 2019 г. (обн., ДВ, бр. 59 от 2019 г.). Всички служители, които управляват или работят със системата са обвързани със задължението за професионална тайна. Целите на достъпването на служебни лица точно определени. Не се допуска работа с ваши лични данни извън тези цели.

Осигурена е непрекъсната поддръжка на актуалните стандарти за информационна сигурност и възможности за надграждане съобразно препоръките на компетентните органи в областта на киберсигурността.

Наредбата предвижда задължителни изисквания за техните мрежови и информационни системи, чрез които данните в НЗИС се генерират или достъпват. Извън държавните органи, всички лечебни и здравни заведения, осигурителни и застрахователни институции, които имат право на достъп за служебни цели и които притежават свои информационни системи и бази данни, са длъжни да поддържат за тях нивата на сигурност по стандартите, приложими за административните органи.

Технологични мерки за сигурност

Сигурността на системата се обезпечава и чрез серия от технологични мерки, процедури и протоколи, предвидени в Наредбата, включително:

  • ограничения на достъпа до Системата и неговото времетраене;
  • подходящи софтуерни и хардуерни решения относно системната архитектура и конфигурацията на компонентите;
  • задължителни високи нива на осигуреност на прилаганите схеми за електронна идентификация;
  • ограничаване на достъпа до базите данни само до обслужващите ги модули и др.
  • разработване и прилагане на собствен стандарт за сигурност на НЗИС;

Осигурени са необходимите технологични средства за защита: дата център с високо ниво на сигурност и резервен център, инстанционност на компонентите, мрежова система за сигурност, възможности за възстановяване на необходимия набор от данни и/или настройки от минало време, криптиран обмен на данни. Системата осигурява два типа одитни архиви - един за комуникацията през публичния приложно - програмен интерфейс и един за достъпа до медицинска информация от потребители.

За осигуряване на необходимите нива на сигурност, когато е приложимо, молим да използвате сигурни системи за връзка с нас (електронна поща), тъй като Интернет не е стопроцентово защитена среда и съществува някакъв риск неоторизирана трета страна да намери начин да заобиколи нашите системи за сигурност чрез устройството, с което ни достъпвате. Ето защо, ваша отговорност е да защитите сигурността на данните си за вход. Моля, обърнете внимание, че съобщенията по електронната поща обикновено не са криптирани и не трябва да се смятат за сигурни.

Проследимост

Всяко извършено действие се записва в системен журнал, в който се съхранява информация за всяко извършено извършеното действие, включително достъпа, модула, обекта, над който е извършено действието и потребителя, извършил действието. Всички записи в системния журнал се съхраняват за целия срок на съхранение на вашето електронно здравно досие.

ДОСТАВЧИЦИ НА УСЛУГИ

Обработващият личните данни не ползва доставчици на услуги за Системата и не наема други лица за това, освен неговите служители, работещи по трудов договор, на които е възложено да извършват дейности от негово име. Служителите са задължени да не разкриват или използват информацията по никакви други причини, освен описаните в настоящата политика. Тези задължения са поети с техните трудови договори и подписаните от тях документи за поверителност и са обезпечени с всички форми на юридическа отговорност.

ВЪЗРАЖЕНИЯ, ВЪПРОСИ И ПРЕДЛОЖЕНИЯ

Ако имате въпроси, предложения, нерешени проблеми или оплаквания, свързани с поверителността и защитата на личните ви данни в НЗИС, можете да се свържете с нас чрез Портала на НЗИС, чрез мобилното приложение, или на посочените по-долу електронни адреси. Ако пребивавате или се намирате в Европейското икономическо пространство, нашият служител по защита на данните и екипът за управление на системата може да ви съдейства за всички поставени въпроси, свързани с обработката ни личните ви данни. Ако пребивавате или се намирате в страна от Европейското икономическо пространство, можете също така да подадете жалба Комисията за защита на личните данни, или да предявите иск пред компетентния български съд, ако смятате, че вашите права са нарушени.

По всички въпроси, свързани с обработването на Вашите лични данни и с упражняването на Вашите права по чл. 15 – 22 от Регламент (ЕС) 2016/679 и по ЗЗЛД, можете да се обръщате директно към длъжностното лице по защита на данните на Министерство на здравеопазването:

Александър Масларски

Адрес: Пл. „Света Неделя“ № 5, София 1000

e-mail: dpo@mh.government.bg

 

ВАШИТЕ ПРАВА

Вие имате право да упражните правата си по чл. 15–22 на Регламент (ЕС) 2016/679 пред Министерство на здравеопазването, за вашите личните данни, които се съхраняват и обработват в НЗИС:

     (1) Вие имате право да получите достъп до вашите лични данни и до следната информация: (a) целите на обработването; (б) съответните категории лични данни; (в) получателите или категориите получатели, пред които са или ще бъдат разкрити личните данни, по-специално получателите в трети държави или международни организации; (г) когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определянето на този срок; (д) съществуването на право да се изиска от администратора коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или да се направи възражение срещу такова обработване; (е) правото на жалба до надзорен орган; (ж) когато личните данни не се събират от субекта на данните, всякаква налична информация за техния източник; (з) съществуването на автоматизирано вземане на решения, включително профилирането, и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните. Всички изброени категории информация можете да намерите в съответните раздели на настоящата политика;

Вие имате право да ви получите копие от вашите лични данни, които са в процес на обработване, доколкото това не засяга неблагоприятно правата на други лица.

     (2) Вие имате право да коригирате или актуализирате всяка ваша лична информация, която е неточна или остаряла, включително да потвърдите, че вашите лични данни остават верни и актуални. Това право включва и възможността вашите лични данни да бъдат допълнени, в случаите когато са непълни;

     (3) Вие имате право да поискате изтриване на свързани с вас лични данни, ако считате, че същите не са повече необходими за целите, за които са събрани или са обработвани незаконосъобразно;

     (4) Вие имате право да поискате ограничаване на обработването на вашите лични данни, когато считате, че обработването им е неправомерно или неточно;

     (5) Вие имате право на възражение срещу начина на обработване на вашите лични данни, което се основава на член 6, параграф 1, буква д) или буква е), включително профилиране, основаващо се на посочените разпоредби;

     (6) Вие имате право да не бъдете обект на автоматизирано вземане на решения, които ви засягат. Това са решения, основаващи се единствено на автоматизирано обработване на лични данни, включително профилиране, които биха създали правни последици за вас или които биха ви засегнали в значителна степен по неблагоприятен начин.

     (7) Вие имате право на жалба до Комисия за защита на личните данни във връзка обработването на личните ви данни от нас като Администратор, или от обработващите личните ви данни, на които ние сме предоставили тези данни.

В случай, че ви е необходима допълнителна информация във връзка с вашите права или ако искате да упражните някое от тях, можете също да се свържете с нас по реда за внасяне на възражения, въпроси и предложения (вж. по-горе раздел „Възражения, въпроси и предложения“).

ОБРАБОТВАЩ ЛИЧНИ ДАННИ

Обработващ личните ви данни е търговско дружество „Информационно обслужване“ АД, ЕИК 831641791, което се явява национален системен интегратор на информационните системи на държавата по силата на правителствено решение. Обработващият ги получава в качеството му на утвърден оператор на услуги в областта на информационните и комуникационни технологии и поддръжката на системите на Портала на НЗИС www.his.bg и на това Приложение.

ПРОМЕНИ В НАСТОЯЩАТА ПОЛИТИКА

Ние извършваме периодични прегледи на нашата политика за поверителност за съответствие с приложимите законови изисквания за обработване на лични данни и стандартите за безопасност, в резултат на което тя подлежи на промяна. Препоръчваме редовно да проверявате нейното съдържание за промени. Всяко последващо изменение, актуализация или допълнение на Политиката за поверителност ще бъде в сила веднага след публикуването й. Ние ще ви уведомяваме за всяка съществена промяна в настоящата политика, като публикуваме на Портала на НЗИС www.his.bg в разумен период от време преди подобна актуализация. Влизането в сила на публикацията за промяна се посочва в началото и края на тази политика. Препоръчваме периодично да правите справки на тази страница, за да бъдете запознати своевременно с актуалната версия на настоящата Политика за поверителност.

Настоящата политика за поверителност е в сила от 1.1.2023 г.

Управление на вашата поверителност

Тази интернет страница използва "бисквитки" (cookies) съгласно Политика за защита на личните данни. С натискането на бутона "Приемам", Вие потвърждавате, че сте я прочели и се съгласявате с нея.