Политика за поверителност

Последна актуализация: май 2026 г.

1. КОЙ ОБРАБОТВА ВАШИТЕ ДАННИ

Администратор на лични данни: СИМВЛА ЕООД

Имейл за поверителност: privacy@epregled.bg

Длъжностно лице по защита на данните (ДЗД/DPO): [попълва се]

Надзорен орган: Комисия за защита на личните данни (КЗЛД) — www.cpdp.bg

2. КАКВИ ДАННИ СЪБИРАМЕ

2.1 Данни за пациенти

  • Идентификационни: три имена, ЕГН / ЛНЧ / номер на документ за самоличност, дата на раждане, пол, гражданство
  • Контактни: имейл адрес, телефонен номер
  • Здравни (специална категория по чл. 9 GDPR): диагнози (МКБ-10), предписания, направления, болнични листове, медицинска история, данни за здравноосигурителен статус (НЗОК)
  • Технически: IP адрес, тип на браузъра, идентификатори на сесията, дата и час на достъп

2.2 Данни за лекари

  • Три имена, академично звание
  • Уникален идентификационен номер (УИН), специалност (CL006), код на квалификация
  • Данни от квалифициран електронен подпис (КЕП): сертификат, изваден ЕГН (съхранен криптиран)
  • РЗОК район, данни за лечебното заведение (практика)
  • Имейл адрес, телефонен номер

2.3 Бисквитки и технически идентификатори

  • Задължителни: бисквитки за сесия и CSRF защита — необходими за функционирането на платформата
  • Функционални: запазване на предпочитания за език и интерфейс
  • Аналитични: Google Analytics 4 — използват се само при изрично съгласие

3. НА КОГО ПРЕДОСТАВЯМЕ ДАННИТЕ

Вашите данни могат да бъдат предадени на следните получатели:

ПолучателЦелОснование
НЗИС (НЗОК / МЗ)Регистрация на прегледи, рецепти, направленияЗаконово задължение (чл. 6, ал. 1, б. „в" GDPR)
EvrotrustЕлектронно подписване на медицинска документация с КЕПИзпълнение на договор
Daily.coВидеоконсултации в реално времеИзпълнение на договор
Stripe / BORIKAОбработка на плащанияИзпълнение на договор
Twilio / SendGridИзпращане на известия по имейл и SMSЛегитимен интерес
Google AnalyticsАнализ на използването на платформатаСъгласие (бисквитки)

Всички подобработващи са обвързани с договори за обработка на данни (DPA) и осигуряват адекватно ниво на защита съгласно GDPR.

4. КАК ЗАЩИТАВАМЕ ДАННИТЕ

  • Криптиране в покой: Чувствителни данни (ЕГН, КЕП-извлечен ЕГН, S3 ключове) се съхраняват криптирани с AES-256-GCM
  • Криптиране при пренос: Всички комуникации се осъществяват по TLS 1.3
  • Контрол на достъпа: Ролево-базиран достъп (RBAC) — всеки потребител вижда само данните, до които е оправомощен
  • Двуфакторна автентикация (2FA/MFA): Задължителна за всички лекари
  • Одитен журнал: Всяко действие с медицински данни се записва в неизменяем одитен журнал
  • Сканиране за уязвимости: Редовни OWASP ZAP сканирания и проверки за изтекли тайни (Gitleaks)

5. КОЛКО ДЪЛГО ПАЗИМ ДАННИТЕ

Категория данниСрок на съхранениеОснование
Медицинска документация (прегледи, рецепти, направления)Минимум 5 годиниЗакон за лечебните заведения (ЗЛЗ)
Технически логове и одитен журнал12 месецаЛегитимен интерес / сигурност
Финансови данни и фактури7 годиниЗакон за счетоводството
Данни за акаунт (при заличаване)30 дни (след заявка)Право на изтриване (GDPR)

6. ВАШИТЕ ПРАВА (чл. 15–21 GDPR)

Имате следните права по отношение на личните ви данни:

  • Право на достъп (чл. 15): Да получите копие от данните, които обработваме за вас
  • Право на коригиране (чл. 16): Да поискате поправка на неточни или непълни данни
  • Право на изтриване (чл. 17): Да поискате заличаване на данните ви, когато вече нямаме законово основание да ги пазим
  • Право на ограничаване (чл. 18): Да ограничите обработването при определени обстоятелства
  • Право на преносимост (чл. 20): Да получите данните си в машинночетим формат или да ги прехвърлите на друг администратор
  • Право на възражение (чл. 21): Да се противопоставите на обработването, основано на легитимен интерес

За упражняване на правата си изпратете заявка на privacy@epregled.bg. Ще отговорим в срок до 30 дни.

Ако смятате, че правата ви са нарушени, можете да подадете жалба до КЗЛД на адрес www.cpdp.bg.

7. БИСКВИТКИ

Използваме следните категории бисквитки:

КатегорияПримериИзисква съгласие
ЗадължителниСесийна бисквитка, CSRF токенНе (технически необходими)
ФункционалниПредпочитания за интерфейсПри избор
АналитичниGoogle Analytics 4 (_ga, _gid)Да (изисква изрично съгласие)

Можете да управлявате предпочитанията си за бисквитки по всяко време, като изтриете стойността cookie-consent от localStorage на браузъра си.

8. ПРОМЕНИ В ПОЛИТИКАТА

При съществени промени в тази политика ще ви уведомим по имейл или чрез известие в платформата най-малко 14 дни преди влизането им в сила. Продължаването на използването на еПреглед след тази дата означава, че приемате актуализираната политика.

9. КОНТАКТИ

За въпроси относно обработването на лични данни се свържете с нас:

СИМВЛА ЕООД

Имейл: privacy@epregled.bg