Asmens duomenų tvarkymo taisyklės

PATVIRTINTA

J. Pauliuko šeimos klinikos vadovo

2018 m. gegužės 17 d. įsakymu Nr. 18-18

SVEIKATOS PRIEŽIŪROS ĮSTAIGOS

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. J. Pauliuko šeimos klinikos asmens duomenų tvarkymo taisyklės (toliau — Taisyklės) reguliuoja fizinių asmenų (toliau — Duomenų subjektas) asmens duomenų tvarkymo tikslus, nustato Duomenų subjekto teisių įgyvendinimo tvarką, įtvirtina organizacines ir technines duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkymo atvejus, įtvirtina J. Pauliuko šeimos klinikos registravimo asmens duomenų valdytoju tvarką.
2. Šios Taisyklės parengtos remiantis:

2.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau —  ADTAĮ);

2.2. Lietuvos Respublikos sveikatos sistemos įstatymu;

2.3. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;

2.4. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo ir registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“;

2.5. Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu „Dėl asmens duomenų valdytojų valstybės registro reorganizavimo, registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“;

2.6. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1 T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;

2.7. kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.

3. Taisyklėse vartojamos sąvokos atitinka ADTAĮ vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti ADTAĮ taikymo srities bei prieštarauti ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

4. Šios Taisyklės taikomos tvarkant Duomenų subjekto duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: pacientų ligos istorijas, ambulatorines korteles, kartotekas, bylas, sąvadus ir kita. Šios Taisyklės taip pat nustato J. Pauliuko šeimos klinikos darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
5. Šių Taisyklių reikalavimai privalomi visiems J. Pauliuko šeimos klinikos darbuotojams (toliau – Darbuotojai), kurie tvarko J. Pauliuko šeimos klinikoje esančius asmens duomenis arba eidami savo pareigas juos sužino.
6. Duomenų valdytojas ir tvarkytojas – J. Pauliuko šeimos klinika, įmonės kodas: 148526616, adresas: Stoties g. 49-6, Panevėžys.
7. Duomenų tvarkytojas – J. Pauliuko šeimos klinikos darbuotojai, kurie tvarko asmens duomenis.

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

 

8. Tvarkant asmens duomenis laikomasi asmens duomenų tvarkymo reikalavimų:

8.1. asmens duomenys renkami apibrėžtais ir teisėtais tikslais ir toliau negali būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;

8.2. asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;

8.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymą;

8.4. asmens duomenys turi būti tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;

8.5. asmens duomenys saugomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

8.6. asmens duomenys tvarkomi pagal ADTAĮ ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.

9. J. Pauliuko šeimos klinikoje Duomenų subjektų asmens duomenys tvarkomi automatiniu būdu sveikatos apsaugos tikslais (LR Asmens duomenų teisinės apsaugos įstatymo 2008 m. vasario 1 d. Nr. X-1444 10 str. 3 d., 33 str. 1 d. 4 p.).
10. Už Duomenų subjektų duomenų atnaujinimą padaliniuose (jei tokių yra), kuriuose renkami ir tvarkomi Duomenų subjekto duomenys, atsako padalinių vadovai.

 

III SKYRIUS

DUOMENŲ VALDYTOJO IR TVARKYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS

11. Duomenų valdytojas J. Pauliuko šeimos klinika, įmonės kodas: 148526616, adresas: Stoties g. 49-6, Panevėžys. Duomenų valdytojas nustato asmens duomenų tvarkymo tikslus ir priemones, vykdo funkcijas, numatytas J. Pauliuko šeimos klinikos informacinės sistemos nuostatuose, patvirtintuose J. Pauliuko šeimos klinikos vadovo 2017 m. rugsėjo 11 d. įsakymu Nr. 17-19 (toliau — Nuostatai).

Duomenų valdytojas turi šias teises:

11.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

11.2. paskirti už asmens duomenų apsaugą atsakingą asmenį ar padalinį;

11.3. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis.

12. Duomenų valdytojas turi šias pareigas:

12.1. užtikrinti, kad būtų laikomasi ADTAĮ ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;

12.2. įgyvendinti duomenų subjekto teises ADTAI ir šiose Taisyklėse nustatyta tvarka;

12.3. užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;

12.4. tvarkyti duomenų tvarkymo veiklos įrašus;

12.5. vertinti poveikį duomenų apsaugai;

12.6. konsultuotis su Valstybine duomenų apsaugos inspekcija;

12.7. skirti duomenų apsaugos pareigūną;

12.8. pranešti apie duomenų saugumo pažeidimą.

13. Duomenų valdytojas atlieka šias funkcijas:

13.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;

13.2. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;

13.3. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;

13.4. vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti.

14. Duomenų tvarkytojas J. Pauliuko šeimos klinikos, įmonės kodas: 148526616, adresas: Stoties g. 49-6, Panevėžys, darbuotojai, tvarkantys asmens duomenis, turi teises ir pareigas bei vykdo atitinkamas funkcijas.
15. Duomenų tvarkytojas turi šias teises:

15.1. teikti duomenų valdytojui (įstaigos vadovui) pasiūlymus dėl duomenų tvarkymo techninių ir programinių priemonių gerinimo;

15.2. tvarkyti asmens duomenis, kiek tam yra įgaliotas duomenų valdytojo;

16. Duomenų tvarkytojas turi šias pareigas:

16.1. įgyvendinti tinkamas organizacines ir technines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti;

16.2.  supažindinti naujai priimtus darbuotojus su Taisyklėmis;

16.3. užtikrinti, kad prieiga prie asmens duomenų būtų suteikta tik Taisyklėse nustatyta tvarka  įgaliotiems asmenims;

16.4.  užtikrinti, kad asmens duomenys būtu saugomi Taisyklėse nustatytais terminais;

16.5. užtikrinti kad, asmens duomenys būtų tvarkomi vadovaujantis Taisyklėmis, ADTAI ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;

16.6. saugoti asmens duomenų paslaptį, neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek įstaigoje, tiek už jos ribų;

16.7. tvarkyti duomenų tvarkymo veiklos įrašus;

16.8. padėti duomenų valdytojui užtikrinti jam numatytas prievoles;

16.9. skirti duomenų apsaugos pareigūną;

16.10. pranešti duomenų valdytojui (įstaigos vadovui) apie duomenų saugumo pažeidimą;

17. Duomenų tvarkytojas atlieka šias funkcijas:

17.1. įgyvendina asmens duomenų saugumo priemones;

17.2. tvarko asmens duomenis pagal Duomenų valdytojo nurodymus.

IV SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

 

18. Duomenų subjektai turi teisę:

18.1. sužinoti informaciją apie savo asmens duomenų  tvarkymą;

18.2. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;

18.3. reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant įstatymo nuostatų;

18.4. nesutikti, kad būtų  tvarkomi jo Asmens duomenys;

19. Duomenų subjekto teisių įgyvendinimo tvarka:

19.1. J. Pauliuko šeimos klinika, kurioje renkami ir tvarkomi Duomenų subjekto duomenys, privalo sudaryti sąlygas Duomenų subjektui įgyvendinti pirmiau nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veiklų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą;

19.2. informacija apie asmens duomenų tvarkymą duomenų subjektams, įgyvendinant ADTAĮ 23 straipsnio 1 dalies 1 punkte numatytą teisę, kai duomenų subjektas savo teises įgyvendina per atstovą, yra pateikiama raštu, gavus rašytinį laisvos formos pasirašytą prašymą;

19.3. duomenų subjekto pasirašytas laisvos formos rašytinis prašymas dėl informacijos pateikimo apie jo tvarkomus duomenis, prašymas susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi, prašymas ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, prašymas-nesutikimas, kad būtų tvarkomi jo duomenys, gali būti pateikiamas lietuvių ar anglų kalba registruotu paštu, elektroninių ryšių priemonėmis ar įteikiant asmeniškai įstaigos administracijai.

20. Duomenų subjekto teisė susipažinti su savo tvarkomais duomenimis J. Pauliuko šeimos klinikoje įgyvendinama šia tvarka:

20.1. duomenų subjektas, įstaigai pateikęs asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę neatlygintinai susipažinti su įstaigoje tvarkomais jo duomenimis bei gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti per paskutinius vienerius metus;

20.2. įstaiga, gavusi duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto prašymo gavimo dienos, atsako, ar duomenų subjekto asmens duomenys yra tvarkomi, ir pateikia prašomus duomenis arba nurodo atsisakymo tenkinti tokį prašymą priežastis. Duomenų subjekto prašymu, tokie duomenys turi būti pateikiami raštu;

20.3. jei duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į įstaigą, įstaiga nedelsdama patikrina asmens duomenis ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroninių ryšių priemonėmis, nedelsdama ištaiso neteisingus, netikslius, papildo neišsamius savivaldybės administracijos tvarkomus asmens duomenis ir (ar) sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą, kol bus ištaisyti neteisingi, netikslūs, papildyti neišsamūs asmens duomenys ar asmens duomenys bus sunaikinti;

20.4. kilus abejonėms dėl duomenų subjekto pateiktų asmens duomenų teisingumo, įstaiga sustabdo tokių duomenų tvarkymo veiksmus, juos patikrina ir patikslina. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.

21. Duomenų subjekto teisė nesutikti su duomenų tvarkymu J. Pauliuko šeimos klinikoje įgyvendinama šia tvarka:

21.1. duomenų subjektas, nesutikdamas, kad būtų tvarkomi jo asmens duomenys, rašytinį pranešimą apie nesutikimą dėl asmens duomenų tvarkymo gali pateikti įstaigos administracijai asmeniškai, paštu ar elektroninių ryšių priemonėmis. Ši duomenų subjekto teisė įgyvendinama prieš atliekant asmens duomenų tvarkymo veiksmus, kai asmens duomenis ketinama tvarkyti vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 1 dalies 5 ir (ar) 6 punktais.

21.2. įstaiga, siekdama įgyvendinti duomenų subjekto teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, kreipiasi į duomenų subjektą raštu ir nustato terminą (iki 30 kalendorinių dienų) per kurį duomenų subjektas turi teisę išreikšti savo nesutikimą;

21.3. duomenų subjektui iki įstaigos nustatyto termino nepateikus rašytinio pranešimo apie nesutikimą dėl asmens duomenų tvarkymo laikoma, kad duomenų subjektas nepasinaudojo savo teise nesutikti, kad būtų tvarkomi jo asmens duomenys;

21.4. jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, įstaiga nedelsdama nutraukia asmens duomenų tvarkymo veiksmus, išskyrus teisės aktų nustatytus atvejus, ir informuoja duomenų gavėjus, jeigu tokių yra.

V SKYRIUS

ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS

 

22. J. Pauliuko šeimos klinikoje organizacinės ir techninės duomenų saugumo priemonės turi užtikrinti trečiąjį automatiniu būdu tvarkomų asmens duomenų saugumo lygį.
23. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:

23.1. J. Pauliuko šeimos klinikos vadovo įsakymu paskiriamas duomenų valdymo įgaliotinis ir informacinės sistemos administratorius;

23.2. tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitų informacinių technologijų priemonių įgyvendinimas. Už priemonės įgyvendinimą ir priežiūrą atsako įstaigos administratorius;

23.3. griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis. Už priemonės įgyvendinimą ir priežiūrą atsako įstaigos administratorius;

23.4. tinkamas darbo organizavimas ir kitos administracinė priemonės. Už priemonės įgyvendinimą ir priežiūrą atsako įstaigos administratorius.

24. Duomenų valdytojas ir duomenų tvarkytojai privalo užtikrinti Bendruosiuose reikalavimuose organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintuose VDAI direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-12 (1.12), ir Asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gairėse numatytas saugumo priemones.

VI SKYRIUS

SPĮ REGISTRAVIMAS ASMENS DUOMENŲ VALDYTOJU

 

25. Kai J. Pauliuko šeimos klinika automatiniu būdu ketina tvarkyti naujus asmens duomenis nauju tikslu, J. Pauliuko šeimos klinikos vadovo įsakymu paskirtas Darbuotojas teisės aktų nustatyta tvarka pateikia Valstybinei duomenų apsaugos inspekcijai pranešimą dėl duomenų tvarkymo arba pranešimą dėl išankstinės patikros.
26. Pranešimą dėl duomenų tvarkymo arba pranešimą dėl išankstinės patikros pateikęs J. Pauliuko šeimos klinikos darbuotojas yra atsakingas už papildomos informacijos Valstybinei duomenų apsaugos inspekcijai pateikimą ir kitų reikalingų veiksmų atlikimą, siekiant, kad J. Pauliuko šeimos klinika butų įregistruota asmens duomenų valdytoju asmens duomenų valdytojų valstybės registre.

VII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA

27. J. Pauliuko šeimos klinikos darbuotojai, turintys prieigos prie asmens duomenų teisę, pastebėję duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti įstaigos vadovą ar paskirtą atsakingą asmenį.
28. Įvertinus duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, kiekvienu konkrečiu atveju J. Pauliuko šeimos klinikos vadovas priima sprendimus dėl priemonių, reikiamų duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

 

 

 

VIII SKYRIUS

ASMENS DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS

 

29. Duomenų teikimas tretiesiems asmenims:

29.1. neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik jeigu Rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie pacientą telefonu neteikiama.

29.2. Vienkartinio duomenų teikimo atveju J. Pauliuko šeimos klinika, teikdama asmens duomenis pagal duomenų gavėjo rašytinį prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.

30. Konfidencialumo reikalavimas netaikomas ir informacija (asmens duomenys) gali būti suteikta tik tarnybiniais tikslais, neturint raštiško paciento sutikimo:

30.1. sveikatos priežiūros įstaigoms, kuriose yra/buvo gydomas, slaugomas pacientas (Duomenų subjektas) arba atliekama jo sveikatos ekspertizė;

30.2. teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms, savivaldybių vaiko teisių apsaugos skyriams bei kitoms institucijoms, kurioms tokį teisinį pagrindą suteikia Lietuvos Respublikos įstatymai;

 

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

31. Darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų ADTAĮ ir šiose Taisyklėse. Darbuotojai pažeidę Taisykles ir (ar) ADTAĮ atsako teisės aktų nustatyta tvarka.
32. Patvirtinus Taisykles, darbuotojai su jomis susipažįsta jas paskelbus viešai, Įstaigos vidaus elektroninėje sistemoje.
33. SPĮ užtikrina darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, mokymus.

34. Taisyklės nuo 2018 m. gegužės 25 d. pradėjus taikyti Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 turi būti peržiūrimos ir tikslinamos pagal Reglamento (ES) 2016/679 nuostatas ir atitinkamai pasikeitusių kitų asmens duomenų tvarkymą reglamentuojančius teisės aktų nuostatas.

35. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę atsakingas J. Pauliuko šeimos klinikos vadovo įsakymu paskirtas SPĮ duomenų valdymo įgaliotinis, kuris, įvertinęs Taisyklių taikymo praktiką, esant poreikiui, inicijuoja Taisyklių atnaujinimą.

36. Šias Taisykles pažeidę asmenys atsako Lietuvos Respublikos teisės aktu nustatyta tvarka.