Споразумение за обработване на лични данни

Обработващият лични данни обработва лични данни, включително специална категория генетични данни, от името на Администратора на лични данни единствено за целите на предоставяне на услуги за анализ на варианти чрез платформата Helena. Дейностите по обработване включват: приемане и разчитане на VCF файлове; анотация на варианти спрямо референтни бази (gnomAD, ClinVar, dbNSFP); автоматизирана ACMG/AMP класификация; фенотип-генотип корелация чрез HPO онтология; анализ на биомедицинска литература; и генериране на отчети за клинична интерпретация.

Субекти на данни: пациенти, чиито геномни проби са секвенирани от Администратора на лични данни.

Категории лични данни: данни за генетични варианти (VCF формат), фенотипни дескриптори (HPO термини), идентификатори на пробите (псевдонимизирани) и метаданни от анализа (времеви маркери, параметри на обработката).

Обработващият лични данни не получава и не обработва имена на пациенти, дати на раждане, ЕГН или друга директно идентифицираща информация. Всички геномни данни се получават в псевдонимизирана форма чрез идентификатори на пробите, присвоени от Администратора на лични данни.

Обработващият лични данни се задължава: да обработва лични данни само въз основа на документирани указания от Администратора на лични данни; да гарантира, че лицата, оторизирани да обработват лични данни, са обвързани със задължения за конфиденциалност; да прилага подходящи технически и организационни мерки за сигурност, описани в Раздел 5; да не ангажира подизпълнители без предварително писмено разрешение от Администратора на лични данни; да съдейства на Администратора на лични данни при отговаряне на заявки от субектите на данни; да съдейства на Администратора на лични данни за осигуряване на съответствие с членове 32-36 от GDPR (сигурност, уведомяване за нарушение, DPIA); да предоставя цялата информация, необходима за демонстриране на съответствие и за извършване на одити; и да изтрие или върне всички лични данни при прекратяване на споразумението, по избор на Администратора на лични данни.

Администраторът на лични данни се задължава: да осигури наличие на правно основание за обработване на геномните данни (обикновено изрично съгласие по член 9, параграф 2, буква "а" или предоставяне на здравни услуги по член 9, параграф 2, буква "з"); да предоставя само псевдонимизирани данни на Обработващия лични данни; да осигури получаването на всички необходими съгласия от пациентите преди качване на данните; да предоставя документирани указания за обработване; и своевременно да уведомява Обработващия лични данни за всякакви заявки от субектите на данни, релевантни към обработването.

Обработващият лични данни прилага следните мерки в съответствие с член 32 от GDPR:

Криптиране: TLS 1.3 за всички данни при предаване. AES-256 криптиране за всички данни при съхранение, включително базите данни и файловите системи.

Контрол на достъпа: контрол на достъпа на базата на роли (RBAC) с прилагане на принципа на най-малко привилегии. Многофакторно удостоверяване (multi-factor authentication) за административен достъп. JWT-базирано управление на сесиите с автоматично изтичане.

Инфраструктура: специализирани самостоятелни сървъри (не споделена облачна инфраструктура), разположени в Хелзинки, Финландия (ЕС). Мрежова изолация с правила на защитна стена, ограничаващи целия второстепенен трафик. Без прехвърляне на данни извън ЕС/ЕИП.

Одитни записи: цялостно логване на всички операции по достъп до данни, обработване и административни действия. Логовете са устойчиви на подправяне и се запазват 24 месеца.

Наличност: редовни автоматизирани резервни копия с тествани процедури за възстановяване. Мониторинг и оповестяване за здравето на услугата и събития, свързани със сигурността.

Обработващият лични данни понастоящем използва следния подизпълнител за обработване на геномни данни:

Hetzner Online GmbH (Гунценхаузен, Германия): специализирана самостоятелна сървърна инфраструктура в Хелзинки, Финландия. Hetzner предоставя само физическо съхранение и поддръжка на сървърите и няма логически достъп до данните. Hetzner поддържа сертификация по ISO 27001.

Обработващият лични данни ще информира Администратора на лични данни за всякакви планирани промени в подизпълнителите най-малко 30 дни предварително, като предоставя на Администратора на лични данни възможност да възрази.

Стандартният срок на запазване на геномните данни е 90 дни след завършване на анализа. Администраторът на лични данни може да конфигурира по-кратък или по-дълъг срок. При изтичане на срока на запазване или при писмено искане от Администратора на лични данни, всички геномни данни и производните резултати от анализа се изтриват окончателно чрез методи за сигурно изтриване. Потвърждение за изтриването се предоставя на Администратора на лични данни при поискване.

Обработващият лични данни ще уведоми Администратора на лични данни без неоправдано забавяне и не по-късно от 24 часа след установяване на нарушение на сигурността на лични данни, засягащо данните на Администратора на лични данни. Уведомлението ще включва: естеството на нарушението, включително категориите и приблизителния брой засегнати субекти на данни; вероятните последици от нарушението; предприетите или предложените мерки за справяне с нарушението; и контактна точка за допълнителна информация.

Никакви геномни данни или лични данни, обработвани по това DPA, не се прехвърлят извън Европейското икономическо пространство. Цялото обработване се осъществява на инфраструктура, разположена във Финландия (ЕС). В случай че прехвърляне извън ЕИП стане необходимо в бъдеще, Обработващият лични данни ще получи предварително писмено съгласие от Администратора на лични данни и ще приложи подходящи защитни мерки съгласно Глава V от GDPR (Стандартни договорни клаузи или решение за адекватност).

Обработващият лични данни ще предоставя на Администратора на лични данни цялата информация, необходима за демонстриране на съответствие с това DPA и член 28 от GDPR. Администраторът на лични данни или негов назначен одитор може да извършва одити с 30-дневно предварително писмено уведомление, в нормалните работни часове и при спазване на разумни задължения за конфиденциалност.

Това DPA остава в сила за продължителността на договора за услуги. При прекратяване Обработващият лични данни, по избор на Администратора на лични данни, ще върне или сигурно изтрие всички лични данни в рамките на 30 дни и ще удостовери изтриването писмено.

Това DPA се урежда от законодателството на Република България и Европейския съюз. За спорове са компетентни съдилищата в София, България.

За въпроси относно това DPA, свържете се с privacy@helena.bio.