Настоящото Споразумение се прилага между
„Ейт Инвестмънтс" ЕАД, ЕИК 206291447, седалище и адрес на управление: гр. София, ж.к. Младост-1А, бул. „Александър Малинов" № 33, представлявано от Йосиф Дишлиев, Изпълнителен директор, наричано по-долу за краткост „Изпълнител"
И
всеки Възложител, с когото Изпълнителят има надлежно сключен Договор за посредничество, услуги и права за ползване на софтуер във връзка с предоставяне на медицинска помощ от разстояние,
като взеха предвид, че:
а) за целите на изпълнението на Договора Страните обработват лични данни, включително специални категории лични данни (здравни данни) по смисъла на чл. 9 от Регламент (ЕС) 2016/679;
б) Възложителят действа като администратор на личните данни на своите пациенти при ползването на Healee, и носи отговорността, предвидена в чл. 29 от Наредба № Н-5 от 28 април 2026 г.;
в) в изпълнение на Регламент (ЕС) 2016/679 ("GDPR") Страните желаят да уредят отношенията си във връзка с обработването, обмена и защитата на лични данни,
Страните се съгласиха със следното:
1.1. „Приложимо право" означава приложимото законодателство на Европейския съюз и Република България относно защитата на личните данни, включително GDPR, Закона за защита на личните данни, Наредба № Н-5 от 28 април 2026 г. и Наредба № Н-6 от 2022 г. за функционирането на Националната здравноинформационна система.
1.2. „Здравни данни" означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително данни за предоставени медицински услуги, диагнози, симптоми, лечение и резултати от изследвания, представляващи специални категории лични данни по чл. 9 от GDPR.
1.3. Термините „Администратор", „Обработващ", „Субект на лични данни", „Лични данни", „Нарушение на сигурността на личните данни", „Обработване", „Специални категории лични данни" и „Надзорен орган" имат значението, дадено им в GDPR и приложимото национално законодателство.
1.4. Всички термини, за които не е посочена дефиниция в Споразумението, имат значението, посочено в Договора, а ако в Договора такова значение не е посочено - значението, дадено им в Приложимото право.
2.1. Страните потвърждават и се съгласяват, че:
2.1.1. Възложителят е Администратор на лични и здравни данни, а Изпълнителят е Обработващ лични и здравни данни при предоставяне на медицинска помощ от разстояние чрез Healee. Възложителят определя целите, средствата и правните основания за обработването. Изпълнителят обработва от името на Възложителя и в съответствие с неговите инструкции следните категории лични данни: а) дата на раждане и ЕГН/ЛНЧ, данни за заявени медицински услуги от разстояние, здравни данни - на пациенти.
2.1.2. Всяка от Страните ще обработва следните Споделени лични данни от свое име, като самостоятелно определя целите, средствата и нормативните основания за тяхната обработката: а) имена, имейл, телефонен номер на пациенти, потребители на Платформата. По отношение на тези Лични данни всяка от Страните ще изпълнява ролята на Администратор на Лични данни;
2.2. В случай че по времe на действие на Споразумението приложимото право или практиката по прилагането му се промени по начин, налагащ преразглеждане на ролите на Страните, съответната Страна уведомява незабавно другата Страна и Страните добросъвестно предприемат необходимите промени.
3.1. Изпълнителят обработва личните данни във връзка с изпълнението на Договора и/или по документирана инструкция на Възложителя, включително по отношение на предаване на данни в трети страни извън ЕС, освен ако не е задължен да действа по силата на приложимото право, в който случай уведомява Възложителя.
3.2. Изпълнителят гарантира поверителност на обработваните лични данни и осигурява, че лицата с право на достъп до тях са обвързани с подходящо задължение за поверителност.
3.3. Изпълнителят прилага подходящи технически и организационни мерки за сигурност, включително: а) криптиране и псевдонимизация на личните данни при пренос и съхранение; б) мерки за осигуряване на непрекъснатата поверителност, цялостност, наличност и устойчивост на системите; в) процедури за навременно възстановяване на данните при инцидент; г) процеси за редовно тестване на ефективността на мерките за сигурност.
3.4. При установено или предполагаемо нарушение на сигурността на личните данни Изпълнителят уведомява Възложителя незабавно и не по-късно от 24 (двадесет и четири) часа от узнаването му, като предоставя цялата налична информация за естеството, засегнатите данни и предприетите мерки.
3.5. Изпълнителят подпомага Възложителя при изпълнение на задълженията му съгласно GDPR, включително при упражняване правата на субектите на данни.
3.6. По искане на Възложителя Изпълнителят изтрива или връща всички лични данни след приключване на предоставянето на услугите и изтрива съществуващите копия, освен ако приложимото право не изисква съхранението им.
3.7. Изпълнителят предоставя на Възложителя необходимата информация по чл. 28 от GDPR, както и съдейства при одити и инспекции.
3.8. За нуждите на изпълнение на услугите по Договора Възложителят дава общо предварително писмено разрешение на Изпълнителя да наема подизпълнители (например доставчици на облачна инфраструктура, услуги за видеовръзка или разплащания). Изпълнителят уведомява Възложителя за актуалния списък на подизпълнителите при поискване.
3.9. Изпълнителят уведомява Възложителят с не по-малко от 14 дневно предизвестие за планирано добавяне или замяна на подизпълнител. Възложителят има право да оспори промяната в 7-дневен срок от получаването на уведомлението.
3.10. Изпълнителят се уверява, че задълженията за защита на данните, съответни на предвидените в настоящото Споразумение, се прилагат и по отношение на подизпълнителите, и е отговорен за това пред Възложителя.
4.1. При ползването на Healee за предоставяне на медицинска помощ от разстояние се обработват специални категории лични данни по смисъла на чл. 9 от GDPR, а именно здравни данни на пациенти.
4.2. Обработването се извършва по силата на Договора и е допустимо на основание чл. 9, ал. 2, буква „з" от GDPR.
4.3. Възложителят носи отговорност за получаването на информирано съгласие на пациента за обработването на здравни данни при предоставяне на медицинска помощ от разстояние.
4.4. Изпълнителят обработва здравни данни само в качеството на Обработващ и единствено за целите на техническото обезпечаване на услугите по Договора.
4.5. Страните прилагат завишени технически и организационни мерки за защита на здравните данни, включително криптиране при пренос и съхранение, ограничен достъп на принципа „необходимост от знание" и одитни следи за всеки достъп.
5.1. Възложителят отговаря за законосъобразността на събирането и обработването на личните данни, включително здравни данни, на своите пациенти.
5.2. Възложителят, чрез техническата обезпеченост на Платформата, предоставя на субектите на данни информацията по чл. 13 и чл. 14 от GDPR, включително за предаването на данни на Изпълнителя в качеството му на Обработващ.
5.3. Възложителят публикува на интернет страницата си уведомление за субектите на данни, съгласно чл. 30 от Наредба № Н-5, като може да използва препратка към информацията, предоставена на Платформата.
5.4. Възложителят е длъжен да спазва задълженията си на администратор съгласно GDPR.
6.1. Субектите на лични данни имат правото да получат определена информация за обработването на Личните им данни чрез искане за достъп до данни. Субектите на лични данни също могат да поискат поправяне, изтриване, ограничаване или блокиране на личните им данни. Освен това, Субектите на данни имат право на пренос на данни, право на възражение и правата, свързани с автоматизираното вземане на решения, включително профилиране, съгласно GDPR.
6.2. Страните се съгласяват, че отговорността за обработването на искания за упражняване на правата на Субекти на данни принадлежи на:
6.2.1. Страната, получила искането, по отношение на Споделени лични данни;
6.2.2. Възложителят, по отношение на личните данни по т.2.1.1.
6.3. Страните се съгласяват да си съдействат добросъвестно и своевременно, така че да бъде осигурено упражняването на правата на Субектите на лични данни в съответствие с Приложимото право и спазването на приложимите в тази връзка сроковете. За целта всяка Страна се задължава да предостави такова съдействие, което е разумно и оправдано от търговска гледна точка, което другата Страна може основателно да поиска, във връзка с постъпило от Субект на лични данни искане за упражняване на права, оплакване или друга молба.
7.1. При предаване на лични данни към получатели, установени в трети страни извън Европейското икономическо пространство, предаващата Страна е длъжна да спазва изискванията на GDPR.
7.2. Изпълнителят уведомява Възложителя за всяко предаване на лични данни към трети страни и предоставя документацията, удостоверяваща прилаганите гаранции.
8.1. Всяка Страна се задължава да прилага подходящи технически и организационни мерки за защита на обработваните от нея при изпълнение на Договора Лични данни в съответствие с изискванията на GDPR и приложимото право, вземайки предвид достиженията на техническия прогрес, разходите за изпълнение и естеството, обхвата, контекста и целите на обработването, както и различните рискове за правата и свободите на физическите лица.
8.2. Всяка Страна гарантира, че предприетите технически и организационни мерки:
8.2.1. ще обхващат мерки, насочени към защита на Личните данни срещу случайно или незаконно унищожаване, случайна загуба или промяна, неоторизирано разкриване или достъп, както и срещу всички други незаконни форми на обработка.
8.2.2. ще гарантират поверителността, целостта, наличността и устойчивостта на системите и услугите, свързани с обработването на лични данни, включително където е приложимо чрез псевдонимизация и криптиране на лични данни.
8.2.3. ще гарантират възстановяване наличността на Личните данни и достъпа до тях в най-кратко разумно време след инцидент.
8.3. Всяка Страна се задължава да вземе необходимите мерки, за да осигури надеждността на всички свои служители, наети по трудови и/или граждански правоотношения, които имат достъп до Лични данни, обработвани за изпълнението на Договора, като гарантира, че всяко лице, което има достъп до такива Лични данни:
8.3.1. е преминало първоначално обучение и ще преминава регулярни последващи обучения за защита на личните данни, съобразени с конкретните дейности по обработване и конкретните рискове, свързани с обработването на Личните данни.
8.3.2. е поело ангажимент за поверителност или е задължено по закон да спазва поверителност.
8.4. Всяка Страна, която обработва Лични данни, предприема разумни стъпки за удостоверяването на надеждността на всеки свой служител или подизпълнител, който би могъл да има достъп до лични данни на другата Страна. Във всеки случай достъпът до тези Лични данни следва да е строго ограничен единствено до физически лица, които трябва да имат достъп до данните във връзка с извършваната от тях работа, както е определена съгласно Договора.
8.5. Всяка Страна се задължава да обезпечи подходящо ниво на вътрешен контрол и мониторинг по отношение спазване изискванията и изпълнение на задълженията, произтичащи от Приложимото право и настоящото Споразумение.
9.1. Страните се съгласяват, че Възложителят е задължен да документира предоставената медицинска помощ от разстояние в Националната здравноинформационна система (НЗИС) съгласно Наредба № Н-5.
9.2. Изпълнителят осигурява технически механизми, подпомагащи документирането в НЗИС от страна на Възложителя, в обема, в който Healee технически поддържа тази функционалност към момента.
9.3. Възложителят носи изцяло отговорността за своевременното и коректно попълване на необходимата информация в Платформата, така че да се реализира вписване на електронните здравни записи в НЗИС чрез съществуващата интеграция.