GDPR · чл. 13 · Регламент (ЕС) 2016/679

Политика за поверителност и обработка на лични данни

DocAssist обработва здравни данни на пациенти на дентални практики. Тук обясняваме точно какви данни обработваме, защо, къде ги изпращаме, колко дълго ги пазим и как можете да упражните правата си.

Версия 1.0 · Последна актуализация: 18 април 2026 г.

Съдържание
  1. Кой обработва данните ви
  2. Какви данни обработваме
  3. За какво ги използваме
  4. На какво правно основание
  5. С кого ги споделяме (sub-processors)
  6. Колко дълго ги пазим
  7. Вашите права
  8. Сигурност
  9. Оценка на въздействието и автоматизация
  10. Действия при пробив
  11. Контакт и жалби

1. Кой обработва данните ви

Администратор на лични данни е денталната практика, която ви лекува. Тя ползва DocAssist като инструмент за документиране на лечението.

Доставчик на DocAssist (обработващ по чл. 28 GDPR):

Не е назначено Длъжностно лице по защита на данните (DPO) — практиката не отговаря на критериите по чл. 37 GDPR. За въпроси по защита на данните се обърнете директно към лекаря или на контакта по-горе.

2. Какви данни обработваме

КатегорияКонкретно
ИдентификацияИмена, ЕГН, дата на раждане, пол
КонтактАдрес, телефон, имейл
Здравни данни (чл. 9 GDPR)Диагнози (МКБ), процедури, зъбен статус, алергии, медицинска анамнеза, рентгенови снимки
ФинансовиЦени, заплащания, застраховател
ТехническиIP адрес, лог за достъп — пази се 90 дни

3. За какво ги използваме

  1. Дентално лечение — основната цел. Без тези данни не може да се проведе лечение.
  2. Попълване на документация в НЗИС — задължение по Наредба № Н-6 от 2022 г.
  3. Отчети към НЗОК — нормативно определено задължение.
  4. Връзка със зъботехническа лаборатория — само при необходимост за вашето лечение.
  5. Напомняния за прегледи — само ако сте дали отделно съгласие.

5. С кого споделяме данните (sub-processors)

С всеки от следните доставчици има подписан Договор за обработване (DPA) по чл. 28 GDPR.

ПолучателУслугаРегионБележка
Лечебните заведения, ползващи DocAssistДокументиране на лечението🇧🇬 BGDPA по чл. 28 GDPR
НЗОКОтчети, направления🇧🇬 BGЗадължително по закон
Зъботехническа лабораторияИзработка на протези🇧🇬 BGСамо минимума данни
Сертифициран EU доставчикГласово разпознаване и синтез🇪🇺 EU (Германия)SOC 2 Type 2, ISO 27001, GDPR, HIPAA. Аудио и транскрипт не се съхраняват след завършване.
Сертифициран EU доставчикAI обработка на текст🇪🇺 EU (Белгия)Платена корпоративна услуга. Данните не се ползват за обучение на публични модели.

Пълен списък с имена на конкретните подизпълнители, договорите DPA по чл. 28 GDPR и техническа документация се предоставят на администратора (денталната практика) при сключване на договор и при поискване от КЗЛД.

Къде се съхранява базата ви?

По правило DocAssist се внедрява локално в самата дентална практика — на физически сървър, до който никой външен доставчик няма достъп. Това е препоръчителната конфигурация. По избор на клиента може да бъде разположен на сървър в ЕС. Планираме хостинг на български сървъри в близко бъдеще.

6. Колко дълго пазим данните

Тип данниСрокОснование
Медицинска документацияот 5 до 50 г. (съгласно вида документация и договореното с пациента)Закон за здравето; Наредба № 8/2016; Наредба № Н-6/2022
Финансови документиот 3 до 10 г.Закон за счетоводството, чл. 12
Аудио гласови записиНе се съхраняват — изтриват се веднагаМинимизация
Логове за достъп90 дни активни, 1 г. в архивСигурност
Резервни копия8 седмици (rotation)Защита от инциденти

7. Вашите права

По чл. 15-22 GDPR имате следните права:

Достъп

Получете копие от вашите данни в машинно четим формат (JSON).

Коригиране

Поправете неточни или непълни данни.

Изтриване ("забравяне")

Поискайте изтриване, освен ако имаме правно задължение да ги пазим.

Ограничаване

Поискайте временно спиране на обработването.

Преносимост

Получете данните си, за да ги прехвърлите към друг лекар.

Възражение

Срещу обработване на основание легитимен интерес.

Оттегляне на съгласие

По всяко време. Не засяга обработването до момента на оттеглянето.

Жалба до КЗЛД

Право на жалба до надзорния орган — данни в раздел 11.

За упражняване на права — пишете на contact@et-automatization.com. Отговор в 30 дни.

8. Сигурност

Прилагаме многослойна защита съгласно чл. 32 GDPR:

  • Криптиране при пренос на данни и в покой
  • Автентикация и контрол на достъпа за всеки потребител
  • Изолация на потребителските сесии
  • Защита срещу часто срещани уеб уязвимости (по OWASP Top 10)
  • Одит на достъпите без съхраняване на лични данни в логовете
  • Редовно резервно копиране, криптирано и съхранявано на отделно място
  • Документиран план за реакция при инцидент
  • Периодично обучение на персонала
  • Преглед и обновяване на мерките поне веднъж годишно

Конкретните технически реализации (използвани библиотеки, версии, конфигурации) не се публикуват — те са документирани в нашата вътрешна Оценка на въздействието (DPIA) и се предоставят на надзорните органи при поискване.

9. Оценка на въздействието и автоматизация

За обработването е изготвена пълна Оценка на въздействието върху защитата на данните (DPIA) съгласно чл. 35 GDPR. Документът разглежда рисковете от използването на гласово разпознаване, гласов синтез и AI обработка на здравни данни и описва митигиращите мерки.

Няма автоматизирано вземане на решения с правни последици. AI системата предлага автоматично попълване на полета въз основа на гласа на лекаря, но всяко поле се преглежда и потвърждава ръчно от лекаря преди запазване. Лекарят остава единственият автор и носител на отговорност за медицинското решение.

10. Действия при пробив на сигурността

В случай на нарушение на сигурността, водещо до риск за правата и свободите на пациентите, действаме по предварително изготвен план:

  1. В рамките на 1 час: ограничаване на щетите, ротация на компрометирани достъпи.
  2. В рамките на 24 часа: вътрешна оценка — обхват, категории засегнати лица, риск.
  3. В рамките на 72 часа: уведомяване на КЗЛД (чл. 33 GDPR).
  4. Без неоснователно забавяне: уведомяване на пациентите при висок риск (чл. 34 GDPR).

11. Контакт и жалби

За въпроси и упражняване на права

contact@et-automatization.com

Надзорен орган — Комисия за защита на личните данни (КЗЛД)

cpdp.bg
kzld@cpdp.bg
+359 2 915 3580
София, бул. „Цветан Лазаров" № 2

Тази политика е публичното извлечение на пълните вътрешни документи — Регистър на дейностите по обработване (ROPA), Оценка на въздействието (DPIA), Политика за съхранение, Договори с подизпълнители (DPA) и План за реакция при пробив. Тези документи са на разположение при поискване от КЗЛД.