Политика за поверителност
Последна актуализация: май 2026 г.
1. КОЙ ОБРАБОТВА ВАШИТЕ ДАННИ
Администратор на лични данни: СИМВЛА ЕООД
Имейл за поверителност: privacy@epregled.bg
Длъжностно лице по защита на данните (ДЗД/DPO): [попълва се]
Надзорен орган: Комисия за защита на личните данни (КЗЛД) — www.cpdp.bg
2. КАКВИ ДАННИ СЪБИРАМЕ
2.1 Данни за пациенти
- Идентификационни: три имена, ЕГН / ЛНЧ / номер на документ за самоличност, дата на раждане, пол, гражданство
- Контактни: имейл адрес, телефонен номер
- Здравни (специална категория по чл. 9 GDPR): диагнози (МКБ-10), предписания, направления, болнични листове, медицинска история, данни за здравноосигурителен статус (НЗОК)
- Технически: IP адрес, тип на браузъра, идентификатори на сесията, дата и час на достъп
2.2 Данни за лекари
- Три имена, академично звание
- Уникален идентификационен номер (УИН), специалност (CL006), код на квалификация
- Данни от квалифициран електронен подпис (КЕП): сертификат, изваден ЕГН (съхранен криптиран)
- РЗОК район, данни за лечебното заведение (практика)
- Имейл адрес, телефонен номер
2.3 Бисквитки и технически идентификатори
- Задължителни: бисквитки за сесия и CSRF защита — необходими за функционирането на платформата
- Функционални: запазване на предпочитания за език и интерфейс
- Аналитични: Google Analytics 4 — използват се само при изрично съгласие
3. НА КОГО ПРЕДОСТАВЯМЕ ДАННИТЕ
Вашите данни могат да бъдат предадени на следните получатели:
| Получател | Цел | Основание |
|---|---|---|
| НЗИС (НЗОК / МЗ) | Регистрация на прегледи, рецепти, направления | Законово задължение (чл. 6, ал. 1, б. „в" GDPR) |
| Evrotrust | Електронно подписване на медицинска документация с КЕП | Изпълнение на договор |
| Daily.co | Видеоконсултации в реално време | Изпълнение на договор |
| Stripe / BORIKA | Обработка на плащания | Изпълнение на договор |
| Twilio / SendGrid | Изпращане на известия по имейл и SMS | Легитимен интерес |
| Google Analytics | Анализ на използването на платформата | Съгласие (бисквитки) |
Всички подобработващи са обвързани с договори за обработка на данни (DPA) и осигуряват адекватно ниво на защита съгласно GDPR.
4. КАК ЗАЩИТАВАМЕ ДАННИТЕ
- Криптиране в покой: Чувствителни данни (ЕГН, КЕП-извлечен ЕГН, S3 ключове) се съхраняват криптирани с AES-256-GCM
- Криптиране при пренос: Всички комуникации се осъществяват по TLS 1.3
- Контрол на достъпа: Ролево-базиран достъп (RBAC) — всеки потребител вижда само данните, до които е оправомощен
- Двуфакторна автентикация (2FA/MFA): Задължителна за всички лекари
- Одитен журнал: Всяко действие с медицински данни се записва в неизменяем одитен журнал
- Сканиране за уязвимости: Редовни OWASP ZAP сканирания и проверки за изтекли тайни (Gitleaks)
5. КОЛКО ДЪЛГО ПАЗИМ ДАННИТЕ
| Категория данни | Срок на съхранение | Основание |
|---|---|---|
| Медицинска документация (прегледи, рецепти, направления) | Минимум 5 години | Закон за лечебните заведения (ЗЛЗ) |
| Технически логове и одитен журнал | 12 месеца | Легитимен интерес / сигурност |
| Финансови данни и фактури | 7 години | Закон за счетоводството |
| Данни за акаунт (при заличаване) | 30 дни (след заявка) | Право на изтриване (GDPR) |
6. ВАШИТЕ ПРАВА (чл. 15–21 GDPR)
Имате следните права по отношение на личните ви данни:
- Право на достъп (чл. 15): Да получите копие от данните, които обработваме за вас
- Право на коригиране (чл. 16): Да поискате поправка на неточни или непълни данни
- Право на изтриване (чл. 17): Да поискате заличаване на данните ви, когато вече нямаме законово основание да ги пазим
- Право на ограничаване (чл. 18): Да ограничите обработването при определени обстоятелства
- Право на преносимост (чл. 20): Да получите данните си в машинночетим формат или да ги прехвърлите на друг администратор
- Право на възражение (чл. 21): Да се противопоставите на обработването, основано на легитимен интерес
За упражняване на правата си изпратете заявка на privacy@epregled.bg. Ще отговорим в срок до 30 дни.
Ако смятате, че правата ви са нарушени, можете да подадете жалба до КЗЛД на адрес www.cpdp.bg.
8. ПРОМЕНИ В ПОЛИТИКАТА
При съществени промени в тази политика ще ви уведомим по имейл или чрез известие в платформата най-малко 14 дни преди влизането им в сила. Продължаването на използването на еПреглед след тази дата означава, че приемате актуализираната политика.
9. КОНТАКТИ
За въпроси относно обработването на лични данни се свържете с нас:
СИМВЛА ЕООД
Имейл: privacy@epregled.bg