Asmens duomenų tvarkymo taisyklės
I. BENDROSIOS NUOSTATOS
1. UAB “VAKK” (toliau – Klinika) Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reguliuoja fizinių asmenų, kurių duomenis tvarko Klinika, Asmens duomenų tvarkymo tikslus, nustato jų teisių įgyvendinimo tvarką, įtvirtina organizacines ir technines duomenų apsaugos priemones, Asmens duomenų saugumo pažeidimų valdymo ir reagavimo į šiuos pažeidimus tvarką, reguliuoja Asmens duomenų tvarkytojo pasitelkimo atvejus.
2. Šios Taisyklės parengtos remiantis:
2.1. Lietuvos Respublikos Asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ);
2.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 2016/679 (Bendrasis duomenų apsaugos reglamentas, toliau – BDAR);
2.3. Lietuvos Respublikos sveikatos sistemos įstatymu;
2.4. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;
2.5. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo Duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo iš registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“;
2.6. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2016 m. birželio 23 d. įsakymu Nr. 1T-25(1.12E) „Dėl pranešimų dėl išankstinės patikros formų patvirtinimo“;
2.7. Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu „Dėl Asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir Asmens duomenų valdytojų pranešimo apie Duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“;
2.8. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;
2.9. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
2.10. Kitais teisės aktais, susijusiais su Asmens duomenų tvarkymu ir apsauga.
3. Taisyklėse vartojamos sąvokos atitinka ADTAĮ ir BDAR vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti ADTAĮ taikymo srities bei prieštarauti ADTAĮ / BDAR nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.
4. Šios Taisyklės taikomos tvarkant fizinių asmenų duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant Asmens duomenų susistemintas rinkmenas: pacientų ligos istorijas, pacientų korteles, sąrašus, kartotekas, bylas, sąvadus ir kita. Šios Taisyklės taip pat nustato Klinikos darbuotojų teises, pareigas ir atsakomybę tvarkant Asmens duomenis.
5. Šių Taisyklių reikalavimai privalomi visiems Klinikos darbuotojams (toliau – Darbuotojai), kurie tvarko Klinikoje esančius Asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis Duomenų tvarkytojai, kurie teikdami Klinikai duomenų tvarkymo paslaugas, sužino ir tvarko Asmens duomenis.
6. Klinika yra registruota Asmens duomenų valdytojų valstybės registre.
II. PAGRINDINĖS SĄVOKOS
7. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
8. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar Asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
9. Duomenų subjektas– Darbuotojai, pacientai ir kiti fiziniai asmenys, kurių duomenis tvarko UAB „VAKK“.
10. Duomenų tvarkytojas– subjektai, kurie tvarko UAB „VAKK“ valdomus Asmens duomenis pagal UAB „VAKK“ nurodymus ir vadovaujantis sudarytomis paslaugų teikimo sutartimis.
11. Duomenų teikimas – Asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).
12. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).
13. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos ADTAĮ ir/ar BDAR.
III. DUOMENŲ VALDYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS
14. Duomenų valdytojas – UAB „VAKK“ (juridinio asmens kodas 135946890), kuri tvarkydama pacientų, kitų fizinių asmenų ir Darbuotojų duomenis nustato tų duomenų naudojimo tikslus, būdus ir priemones, vykdo funkcijas numatytas UAB „VAKK“ Informacinės sistemos nuostatų, patvirtintų UAB „VAKK“ 2017 m. rugpjūčio 16 d. įsakymu Nr. 17/13 (toliau – Nuostatai) 10 punkte.
15. Duomenų valdytojas turi šias teises:
15.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius Duomenų tvarkymą;
15.2. paskirti už Asmens duomenų apsaugą atsakingą asmenį ar padalinį;
15.3. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;
15.4. sudaryti sutartis su paslaugų teikėju dėl Duomenų tvarkymo įrangos priežiūros;
15.5. tvarkyti Asmens duomenis.
16. Duomenų valdytojas turi šias pareigas:
16.1. užtikrinti, kad būtų laikomasi ADTAĮ ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;
16.2. įgyvendinti Duomenų subjekto teises ADTAĮ ir šiose Taisyklėse nustatyta tvarka;
16.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas technines ir organizacines asmens duomenų saugumo priemones;
16.4. tvarkyti duomenų tvarkymo veiklos įrašus;
16.5. vertinti poveikį duomenų apsaugai;
16.6. konsultuotis su Valstybine duomenų apsaugos inspekcija;
16.7. vykdyti stebėseną ir kontrolę bei užtikrinti, kad būtų laikomasi Bendrųjų reikalavimų organizacinėms ir techninėms saugumo priemonėms;
16.8. pranešti apie duomenų saugumo pažeidimą;
16.9. kontroliuoti patekimą į patalpas, kuriose saugomi dokumentai ir jų archyvai.
17. Duomenų valdytojas atlieka šias funkcijas:
17.1. nustato Duomenų tvarkymo tikslą ir apimtį;
17.2. organizuoja duomenų tvarkymą;
17.3. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;
17.4. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;
17.5. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;
17.6. vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti.
IV. ASMENS DUOMENŲ TVARKYMO PRINCIPAI
18. Darbuotojai, atlikdami savo pareigas ir tvarkydami Asmens duomenis, privalo:
18.1. Asmens duomenis tvarkyti teisėtai, sąžiningai ir tiksliai;
18.2. Rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau negali būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant Asmens duomenis;
18.3. Renkant ir tvarkant Asmens duomenis laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, nereikalauti iš pacientų, kitų interesantų pateikti tų duomenų, kurie nėra reikalingi, nekaupti ir netvarkyti perteklinių duomenų, Asmens duomenys turi būti tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;
18.4. Užtikrinti Asmens duomenų tikslumą ir, jei reikia dėl Asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;
18.5. Asmens duomenis saugoti teisės aktų ir šių Taisyklių nustatyta tvarka ir tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
18.6. Asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas Asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
19. Visa informacija apie paciento buvimą sveikatos priežiūros įstaigoje, gydymą, sveikatos būklę, diagnozę, prognozes ir gydymą, taip pat visa kita asmeninio pobūdžio informacija apie pacientą yra konfidenciali, taip pat ir po paciento mirties. Informacija apie pacientą turi būti teikiama, jeigu tai yra privaloma pagal įstatymus.
V. DUOMENŲ TVARKYMO TIKSLAI, ŠALTINIAI, TEIKIMAS IR SAUGOJIMAS
20. Klinikos Duomenų subjektų Asmens duomenys tvarkomi:
20.1. vidaus administravimo tikslais (1 priedas);
20.2. asmens sveikatos priežiūros paslaugų teikimo tikslais bei pacientų ir sveikatinimo veiklą vykdančių specialistų identifikavimo tikslais (2 priedas);
20.3. Pacientų, lankytojų, darbuotojų – turto saugumo užtikrinimo tikslu (3 priedas).
21. Klinikai tvarkant duomenis Taisyklių 20.1. p. tikslu, Asmens duomenys yra gaunami tiesiogiai iš Darbuotojų. Šių duomenų Klinika neperduoda jokiems duomenų gavėjams, išskyrus įstatymo numatytus atvejus, kai toks perdavimas būtų sąlygotas teisės aktų ar teismo, kitos institucijos privalomo sprendimo. Darbuotojų duomenys yra saugomi sutinkamai su teisės aktų nustatytais reikalavimais (Lietuvos vyriausiojo archyvaro patvirtinta bendrųjų dokumentų saugojimo terminų rodyklė).
22. Klinikai tvarkant duomenis Taisyklių 20.2 p. tikslu, iš pacientų yra renkami ir tvarkomi pacientų Asmens duomenys, kurie detaliai nurodyti UAB „VAKK“ informacinės sistemos nuostatuose, patvirtintuose UAB „VAKK“ direktoriaus 2017-08-16 d. įsakymu Nr. 17/13 III skyriuje. Klinikai tvarkant duomenis šių Taisyklių 15.2. p. tikslu, šie duomenys gaunami tiesiogiai iš duomenų subjekto, iš juridinio asmens: kitos sveikatos priežiūros įstaigos, kurioje gydomas ar slaugomas pacientas, ar atliekama jo sveikatos ekspertizė, Sveikatos apsaugos ministerijos (ESPBI IS), Valstybinės ligonių kasos, Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos („Sodros“), Neįgalumo ir nedarbingumo nustatymo tarnybos, draudimo bendrovių ir kitų institucijų, kurios įstatymų nustatyta tvarka pateikia informaciją. Klinika duomenis apie pacientus gali teikti pagal sudarytas sutartis ar vienkartinius prašymus. Duomenys taip pat gali būti teikiami valstybės, savivaldybės institucijoms, kurioms tokie duomenys yra būtini jų funkcijoms vykdyti. Pacientų duomenis Klinika saugo sutinkamai su teisės aktų reikalavimais (Sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 patvirtinta Sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarka).
23. Klinikai tvarkant duomenis 20.3 p. nurodytu tikslu, tvarkomas tik vaizdas (be garso) iš vaizdo stebėjimo kamerų, patenkantis į vaizdo stebėjimo lauką (įprastai tai yra Klinikos koridoriai, laukiamasis, holas, teritorija prie įėjimo/išėjimo,). Šiuos duomenis valdo ir tvarko Klinika. Vaizdo stebėjimo duomenys yra saugomi 24 kalendorinės dienos, po kurių yra automatiškai ištrinami. Vaizdo stebėjimo duomenys gali būti pateikti tik teisėsaugos institucijoms ar kitoms valstybėms institucijoms, kurioms toks duomenų pateikimas yra privalomas pagal teisės aktų reikalavimus. Pacientai, Darbuotojai, lankytojai apie vykdomą vaizdo stebėjimą yra informuojami matomoje vietoje patalpintais informaciniais pranešimais. Be to, Darbuotojai, susipažindami su šiomis Taisyklėmis, taip pat patvirtina ir tai, jog jiems yra žinomas faktas apie Klinikos patalpose vykdomą vaizdo stebėjimą, jo tikslą, duomenų saugojimo laiką ir kitą su tuo susijusią aktualią informaciją.
VI. DUOMENŲ SUBJEKTŲ TEISĖS IR INFORMUOTUMO UŽTIKRINIMAS
24. Duomenų subjektai turi teisę:
24.1. Žinoti (būti informuoti) apie savo Asmens duomenų tvarkymą;
24.2. Pateikę Klinikai asmens tapatybės dokumentą arba elektroninio ryšio priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, susipažinti su savo Asmens duomenimis ir jų tvarkymu, gauti informaciją, iš kokių šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 3 metus, taip pat gauti dokumentų, kuriame yra jų Asmens duomenys, kopiją (medicinos dokumentų pateikimas pacientui gali būti ribojamas įstatymo nustatyta tvarka, jeigu juose esanti informacija pakenktų paciento sveikatai ar sukeltų pavojų jo gyvybei);
24.3. Reikalauti ištaisyti, ištrinti savo Asmens duomenis arba apriboti Duomenų tvarkymą, išskyrus saugojimą, kai duomenys tvarkomi nesilaikant teisės aktų reikalavimų;
24.4. Nesutikti, kad būtų tvarkomi jo Asmens duomenys;
24.5. Reikalauti perkelti duomenis kitam duomenų valdytojui arba pateikti tiesiogiai Duomenų subjektui patogia forma (tuos duomenis, kuriuos Klinikai pateikė pats Duomenų subjektas);
24.6. Atšaukti duotą sutikimą (jei Asmens duomenys tvarkomi sutikimo pagrindu).
25. Visais atvejais, Klinika privalo suteikti Duomenų subjektui informaciją (išskyrus atvejus, kai Duomenų subjektas tokią informaciją jau turi):
25.1. Savo pavadinimą, juridinio asmens kodą ir buveinę;
25.2. Pareigūno kontaktinius duomenis, jei toks yra;
25.3. Kokiais tikslais ir teisiniu pagrindu tvarkomi Duomenų subjekto Asmens duomenys;
25.4. Duomenų gavėjus, jų kategorijas;
25.5. Duomenų saugojimo laikotarpį arba kriterijus, taikomus tam laikotarpiui nusakyti;
25.6. Kitą papildomą informaciją (duomenų gavimo šaltinus, kokius savo Asmens duomenis Duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie Duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo Asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas Asmens duomenų tvarkymas nepažeidžiant Duomenų subjekto teisių.
26. Klinika užtikrina, kad Duomenų subjektams įgyvendinant savo teisę į duomenų perkeliamumą, perkeliami tik tie duomenys, kurie tvarkomi sutarties arba sutikimo pagrindu ir yra tvarkomi automatizuotomis priemonėmis. Tokiu atveju Asmens duomenys Duomenų subjektui būtų pateikiami susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu.
Duomenų subjekto teisių įgyvendinimo tvarka
27. Klinika privalo:
27.1. sudaryti sąlygas Duomenų subjektui įgyvendinti šių Taisyklių VI skyriuje nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą;
27.2. užtikrinti, kad visa reikalinga informacija Duomenų subjektui būtų pateikiama aiškiai ir suprantamai;
27.3. gavus paklausimą iš Duomenų subjekto dėl jo Asmens duomenų tvarkymo, Duomenų subjektui atsakymas privalo būti pateiktas ne vėliau kaip per 20 (dvidešimt) darbo dienų nuo prašymo gavimo dienos. Duomenų subjekto prašymu duomenis Klinika pateikia raštu. Jei duomenis teikti Duomenų subjektui atsisakoma, jam turi būti pateiktas motyvuotas ir pagrįstas atsakymas dėl jo prašymo nevykdymo.
28. Duomenų subjektai dėl šių Taisyklių VI skyriuje nurodytų teisių įgyvendinimo, privalo kreiptis į Klinikos direktorių;
29. Duomenų subjektas, pateikęs Klinikai asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokiu šaltinių ir kokie jo Asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus.
30. Gavusi Duomenų subjekto kreipimąsi dėl jo Asmens duomenų neteisingumo, neišsamumo, netikslumo, Klinika nedelsdama neatlygintinai patikrina Asmens duomenis ir Duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar elektroniniu ryšių priemonėmis (toliau – Rašytinis prašymas), patikrinusi/įsitikinusi Duomenų subjekto tapatybę ir Asmens duomenis patvirtinančių dokumentų (toliau – asmens dokumentai) atitiktį/atitiktimi teisės aktų reikalavimams, nedelsdama ištaiso neteisingus, neišsamius, netikslius Asmens duomenis arba sustabdo tokių Duomenų tvarkymo veiksmus, išskyrus saugojimą; taip pat, gavusi Duomenų subjekto kreipimąsi dėl jo Duomenų tvarkymo neteisėtumo, nesąžiningumo, Klinika nedelsdama neatlygintinai patikrina Duomenų tvarkymo teisėtumą, nesąžiningumą ir, gavusi Rašytinį prašymą, patikrinusi/įsitikinusi asmens dokumentų atitiktį/atitiktimi teisės aktų reikalavimams, nedelsdama sunaikina neteisėtai ir nesąžiningai sukauptus Asmens duomenis ar sustabdo tokiu Duomenų tvarkymo veiksmus, išskyrus saugojimą. Abiem Duomenų subjekto kreipimosi atvejais, Klinika nedelsdama praneša Duomenų subjektui apie jo Rašytiniu prašymu atliktą ar neatliktą Asmens duomenų ištaisymą, sunaikinimą ar Duomenų tvarkymo veiksmų sustabdymą.
31. Klinika duomenis Duomenų subjektui teikia neatlygintinai kartą per kalendorinius metus. Tam tikrais atvejais (kai Duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai pakartotinai teikia prašymus pateikti informaciją, išrašus, dokumentus), toks informacijos ir duomenų teikimas Duomenų subjektui gali būti apmokestintas sutinkamai su teisės aktų reikalavimais ir Klinikos nustatytais įkainiais.
32. Duomenų subjekto Rašytiniu prašymu sustabdžiusi jo Duomenų tvarkymo veiksmus, Klinika Asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo juos tol, kol bus ištaisyti ar sunaikinti (Duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kitus tvarkymo veiksmus Klinika atlieka tik:
32.1. turėdama tikslą įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti;
32.2. jei Duomenų subjektas duoda sutikimą toliau tvarkyti savo Asmens duomenis;
32.3. jei reikia apsaugoti trečiųjų asmenų teises ir teisėtus interesus.
33. Klinika privalo ne vėliau kaip per 5 darbo dienas informuoti duomenų gavėjus apie Duomenų subjekto prašymu ištaisytus ar sunaikintus Asmens duomenis, sustabdytus Asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
34. Duomenų subjekto teisė nesutikti, kad būtų tvarkomi jo Asmens duomenys, įgyvendinama tuo atveju, kai Asmens duomenys tvarkomi vadovaujantis ADTAĮ 5 straipsnio 1 dalies 5 ir (ar) 6 punktais. Duomenų subjektas, įgyvendindamas savo teisę nesutikti, kad būtų tvarkomi jo Asmens duomenys, pateikia (asmeniškai, paštu ar elektroninių ryšių priemonėmis) Klinikai rašytinį pranešimą apie nesutikimą dėl jo Asmens duomenų tvarkymo. Jeigu Duomenų subjekto nesutikimas yra teisiškai pagrįstas, Klinika nedelsdama neatlygintinai nutraukia Duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoja duomenų gavėjus. Duomenų subjekto prašymu Klinika praneša Duomenų subjektui apie jo Duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti Duomenų tvarkymo veiksmus. Klinika per 3 darbo dienas negavusi Duomenų subjekto rašytinio pranešimo apie nesutikimą dėl jo Duomenų tvarkymo, atlieka jų tvarkymo veiksmus teisės aktų nustatyta tvarka.
35. Duomenų subjektas savo teises gali įgyvendinti per atstovą (atstovą pagal įstatymą arba atstovą pagal pavedimą). Atstovai pagal pavedimą, veikdami Duomenų subjekto vardu, privalo Klinikai pateikti atstovavimą patvirtinantį dokumentą. Šis atstovavimas įforminamas notarine tvarka arba Duomenų subjektas apie savo pasirinktą atstovą pasirašytinai gali nurodyti savo medicinos dokumentuose.
36. Nepilnamečiam Duomenų subjektui iki 16 metų atstovauja jo atstovai pagal įstatymą: vienas iš tėvų (įtėviu), globėjas, rūpintojas. Nepilnamečiam pacientui iki 16 metų, kuriam nustatyta institucinė globa (rūpyba), atstovauja šių įstaigų paskirti asmenys, pateikę atstovavimą patvirtinantį dokumentą. Duomenų subjekto nuo 16 metų sutuoktinis, sugyventinis (partneris), o kai jų nėra, – vienas iš Duomenų subjekto tėvų (įtėvių) arba vienas iš pilnamečių vaikų yra subjekto, kuris negali būti laikomas gebančiu protingai vertinti savo interesų, atstovu pagal įstatymą; nurodyti asmenys nelaikomi paciento nuo 16 metu atstovais pagal įstatymą, jeigu jie atsisako būti atstovais, Duomenų subjektas yra paskyręs atstovą pagal pavedimą arba Duomenų subjektui nustatyta globa (rūpyba).
37. Klinika visą rašytinę ir žodinę informaciją pateikia valstybine kalba. Rašytinė informacija Duomenų subjektui, išskyrus perduodamą tiesiogiai, pateikiama registruotu arba elektroniniu paštu (Duomenų subjektui pageidaujant).
Duomenų teikimas tretiesiems asmenims
38. Klinika Duomenų subjektų duomenis duomenų gavėjams teikia tik nepažeidžiant teisės aktuose įtvirtintų reikalavimų ir Asmens duomenų konfidencialumo užtikrinimo pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą.
39. Neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik, jeigu Rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie pacientą telefonu neteikiama.
40. Vienkartinio duomenų teikimo atveju, Klinika, teikdama Asmens duomenis pagal duomenų gavėjo prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.
41. Vaizdo duomenys tretiesiems asmenims teikiami tik esant ADTAĮ 5 straipsnyje nustatytam Asmens duomenų teisėto tvarkymo kriterijui pagal Asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba pagal Rašytinį prašymą (vienkartinio teikimo atveju), atitinkantį ADTAĮ 6 straipsnio reikalavimus.
42. Konfidencialumo reikalavimas netaikomas ir informacija (asmens duomenys) gali būti suteikta tik tarnybiniais tikslais, neturint raštiško paciento sutikimo:
42.1. sveikatos priežiūros įstaigoms, kuriose yra/buvo gydomas, slaugomas pacientas (Duomenų subjektas) arba atliekama jo sveikatos ekspertizė;
42.2. institucijoms, kontroliuojančioms sveikatos priežiūros paslaugas;
42.3. neveiksnių asmenų būklės peržiūrėjimo komisijoms jų funkcijoms vykdyti;
42.4. teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms, savivaldybių vaiko teisių apsaugos skyriams bei kitoms institucijoms, kurioms tokį teisinį pagrindą suteikia Lietuvos Respublikos įstatymai;
Šiame punkte išvardytos institucijos ar įstaigos pateikia vadovo arba jo įgalioto asmens, o 42.3 papunkčio atveju komisijos pirmininko, pasirašytą prašymą, pavedimą, sprendimą ar kitą dokumentą, kurį, tokiais atvejais, reikia pateikti pagal tų institucijų ar įstaigų darbą reglamentuojančius teisės aktus.
43. Vadovaudamasi Lietuvos Respublikos įstatymais ir kitais teisės aktais, Klinika informaciją (Asmens duomenis) apie pacientą (Duomenų subjektą) pateikia savo iniciatyva (nesant Duomenų subjekto Rašytinio prašymo) ir be paciento sutikimo šiais atvejais:
43.1. kai reikia pranešti apie nusikaltimą;
43.2. savivaldybių vaiko teisių apsaugos skyriams pagal vaiko gyvenamąją vietą arba pagal sveikatos priežiūros įstaigos vietą – nedelsiant, esant pagrįstų įtarimų, kad yra pažeidžiamos vaiko teisės, įskaitant:
43.2.1. kai įtaria vaiko nepriežiūrą (pavyzdžiui, netenkinami vaiko fiziniai ar psichiniai poreikiai, neužtikrinama sveika vaikui aplinka);
43.2.2. kai įtaria emocinį, fizinį ir (ar) seksualinį smurtą vaiko atžvilgiu;
43.2.3. kai vaiko atstovai pagal įstatymą neužtikrina sveikatos priežiūros paslaugų vaikui teikimo (pavyzdžiui, nevykdo sveikatos priežiūros specialistų rekomendacijų, neužtikrina, kad vaikui būtų atlikti profilaktiniai sveikatos tikrinimai, atsisako vaikui būtino gydymo);
43.2.4. kai įtaria, kad vaiko atstovai pagal įstatymą dėl sveikatos būklės (pavyzdžiui, psichikos ir elgesio sutrikimo, hospitalizavimo, kai vaikai lieka be priežiūros) negali tinkamai vykdyti savo pareigų vaiko atžvilgiu.
43.2.5. kitais atvejais.
Duomenų subjekto teisių įgyvendinimo specifika, vykdant vaizdo stebėjimą
44. Vaizdo stebėjimas vykdomas ne didesnėje Klinikos patalpų dalyje, negu tai yra būtina pacientų, Klinikos darbuotojų ir patalpų bei jose esančio turto ir dokumentų saugumui užtikrinti.
45. Duomenų subjektas turi šias teises:
45.1. žinoti (būti informuotas) apie savo Duomenų tvarkymą;
45.2. susipažinti su savo Asmens duomenimis ir kaip jie yra tvarkomi;
45.3. nesutikti, kad būtų tvarkomi jo Asmens duomenys;
45.4. reikalauti ištaisyti, sunaikinti savo Asmens duomenis arba sustabdyti, išskyrus saugojimą, savo Duomenų tvarkymo veiksmus, kai Asmens duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų.
46. Duomenų subjekto teisė žinoti apie savo Duomenų tvarkymą įgyvendinama šia tvarka:
46.1. asmenys, kurie nėra Klinikos darbuotojai ir kurių vaizdo duomenys tvarkomi, vykdant vaizdo stebėjimą, apie vykdomą vaizdo stebėjimą yra informuojami:
46.1.1. iškabinant informacines lenteles prieš patenkant į patalpas, kurioje vykdomas vaizdo stebėjimas;
46.1.2. informacinėse lentelėse nurodant, kad yra vykdomas vaizdo stebėjimas, Klinikos juridinio asmens pavadinimą ir kodą, Klinikos kontaktinę informaciją (UAB „VAKK“, Gaižiūnų g. 3A, Kaunas);
46.2. Klinikos darbuotojai apie vaizdo stebėjimą darbo vietoje, Klinikos patalpose, kuriose dirba, yra informuojami:
46.2.1. prieš pradedant vykdyti vaizdo stebėjimą arba pirmąją darbuotojo darbo dieną;
46.2.2. pasirašytinai supažindinant su šiomis Taisyklėmis arba jas pateikiant susipažinimui el. paštu darbuotojo nurodytu adresu;
46.2.3. pasirašytinai supažindinant su Vaizdo stebėjimo/filmavimo tvarkos aprašu arba jį pateikiant susipažinimui el. paštu darbuotojo nurodytu adresu.
47. Duomenų subjekto teisių įgyvendinimo tvarka, vykdant vaizdo stebėjimą, numatyta UAB „VAKK“ direktoriaus patvirtintame 2018-04-24 įsakymu Nr. V-18-23 Vaizdo stebėjimo/filmavimo tvarkos apraše.
VII. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA
48. Asmens duomenų saugumo pažeidimu yra laikomas toks pažeidimas, dėl kurio netyčia arba neteisėtais veiksmais būtų:
48.1. Sunaikinami, prarandami, pakeičiami Asmens duomenys;
48.2. Be leidimo atskleidžiami Asmens duomenys;
48.3. Be leidimo asmenys, neturintys tam teisės, gautų prieigą prie Asmens duomenų.
49. Klinikos darbuotojai, turintys prieigos teisę prie asmens duomenų, pastebėję duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti Klinikos direktorių ar paskirtą atsakingą asmenį.
50. Įvertinus duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, kiekvienu konkrečiu atveju Klinikos direktorius priima sprendimus dėl priemonių, reikiamų duomenų apsaugos pažeidimui ir jo padariniams pašalinti.
51. Nustačius asmens duomenų saugumo pažeidimus, Klinika imasi neatidėliotinų priemonių užkertant kelią neteisėtam asmens duomenų tvarkymui, t. y. pagal pažeidimo sudėtingumą, arba tvarkosi Klinikos viduje, arba apie pažeidimą praneša Valstybinei duomenų apsaugos inspekcijai, Asmens duomenų apsaugos pareigūnui ar kitam Klinikos direktoriaus paskirtam atsakingam darbuotojui , asmenims, kurių duomenys galimai nutekėjo, ar jiems gali būti padaryta žala.
52. Jei dėl įvykdyto asmens duomenų saugumo pažeidimo kyla pavojus Duomenų subjektų teisėms ir laisvėms, Pareigūnas ar kitas direktoriaus paskirtas darbuotojas privalo nedelsiant, bet ne vėliau nei kaip per 72 val., pranešti Valstybinei duomenų apsaugos inspekcijai apie įvykusį incidentą. Kilus ypatingai dideliam pavojui Duomenų subjektų teisėms ir laisvėms, informacija apie įvykusį incidentą nedelsiant taip pat turi būti pateikta Duomenų subjektams. Nesant galimybės informuoti visus Duomenų subjektus dėl jų didelio kiekio ar kitų priežasčių, Pareigūnas ar kitas direktoriaus paskirtas darbuotojas kartu su Klinikos direktoriumi apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo kanalus (spauda, televizija, kt.).
53. Šių Taisyklių 52 p. numatytame pranešime Valstybinei duomenų apsaugos inspekcijai dėl įvykusio Asmens duomenų saugumo pažeidimo, Duomenų subjektams privalo būti trumpai aprašytas asmens duomenų incidento pobūdis, nurodant apytikslį Duomenų subjektų skaičių, kurių asmens teisės ir laisvės galėjo būti pažeistos, Pareigūno ar kito atsakingo darbuotojo kontaktai, trumpai aprašytos tikėtinos incidento pasekmės bei priemonės, kurių Klinika imasi/imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu incidentu.
54. Nustatant, ar būtina vykdyti informavimo pareigą, aptartą šių Taisyklių 49 p., Pareigūnas ar kitas Klinikos direktoriaus paskirtas atsakingas darbuotojas privalo įvertinti, ar dėl įvykusio incidento:
54.1. įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami tretiesiems asmenims, suteikiant prieigą, tinkamai nešifruojant, kt.);
54.2. įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);
54.3. įvyko duomenų vientisumo pažeidimas (pavyzdžiui, prarastos pacientų ligos istorijos, turima tik dalis atsarginių kopijų, dėl ko neįmanoma „atkurti“ visos paciento ligos istorijos).
55. Jei Pareigūnas ar kitas Klinikos direktoriaus paskirtas atsakingas darbuotojas nustato, kad yra bent vienas iš šių Taisyklių 54.1. – 54.3. p. numatytų pažeidimų, nedelsiant vykdo informavimo pareigą, kaip tai aptarta Taisyklių 52 p. Informavimas gali vykti ir esant kitiems pagrindams, jei tokius nustato Klinika ir/ar paskirtas atsakingas darbuotojas.
56. Pareigūnas ar kitas Klinikos direktoriaus paskirtas atsakingas darbuotojas privalo užtikrinti, kad visi asmens duomenų apsaugos incidentai, įskaitant ir tuos, dėl kurių nevykdoma informavimo pareiga kaip aptarta šiame Taisyklių skyriuje, būtų tinkamai dokumentuoti ir saugomi.
57. Įvykus asmens duomenų incidentui, aptartam šiame Taisyklių skyriuje, Pareigūnas ar kitas direktoriaus paskirtas atsakingas darbuotojas, informuoja Klinikos darbuotojus ir duoda atitinkamas instrukcijas konkretiems darbuotojams dėl jų pareigų, funkcijų atlikimo, susijusio su asmens duomenų incidento valdymu.
58. Įvykus asmens duomenų incidentui, aptartam šiame Taisyklių skyriuje, Pareigūnas ar kitas direktoriaus paskirtas atsakingas darbuotojas, be kitų šiame skyriuje aptartų pareigų, taip pat sudaro veiksmų planą su prevenciniais veiksmais, kuriais būtų siekiama ateityje užkirsti kelią pasikartoti analogiškam ar panašiam incidentui ir pateikia jį Klinikos direktoriui.
59. Jei darbuotojas ar kitas atsakingas asmuo abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį savo vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
VIII. ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS
60. Klinikos organizacinės ir techninės duomenų saugumo priemonės turi užtikrinti trečiąjį automatiniu būdu tvarkomų Asmens duomenų saugumo lygį. Siekiant apsaugoti Asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:
60.1. Tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės. Už šių priemonių įgyvendinimą ir priežiūrą atsako direktoriaus įsakymu paskirtas Klinikos Informacinės sistemos duomenų saugos įgaliotinis;
60.2. Griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis;
60.3. Tinkamas darbo organizavimas ir kitos administracinės priemonės. Už šių priemonių įgyvendinimą atsako Klinikos administracija;
60.4. Klinikos direktoriaus įsakymu paskirtas Klinikos Informacinės sistemos duomenų saugos įgaliotinis atsako, kad:
60.4.1. Klinikos informacinių sistemų Duomenų tvarkymo keliamos rizikos vertinimas būtų atliekamas periodiškai:
60.4.1.1. Informacinių sistemų duomenų tvarkymo keliamos rizikos vertinimas būtų atliekamas kartą per 1 (vienerius) metus;
60.4.1.2. Įgyvendintų organizacinių ir techninių duomenų saugumo priemonių įvertinimo auditas būtų atliekamas kartą per 2 (dvejus) metus;
60.4.1.3. Atsižvelgus į rizikos vertinimo rezultatus, diegiamos reikiamos duomenų saugumo priemonės;
60.4.2. Atliekami praktiniai bandymai dėl avarinio Asmens duomenų atkūrimo;
60.4.3. Duomenų atsarginių kopijų darymas ir atkūrimas būtų atliekamas periodiškai, bet ne rečiau kaip vieną kartą per mėnesį;
60.4.4. Atsarginių duomenų kopijų laikmenos saugomos rakinamoje nedegančioje spintoje;
60.4.5. Užtikrinamas duomenų atkūrimas iš paskutinių turimų atsarginių duomenų kopijų, praradus duomenis dėl aparatinės kompiuterių įrangos gedimo, programinės įrangos klaidos ar kitaip pažeidus duomenų vientisumą;
60.4.6. Informacinės sistemos funkcionalumo ir duomenų vientisumo bei parengtumo testavimų atlikimas;
60.4.7. Bandomasis duomenų atkūrimas, kuris būtų vykdomas bent kartą per metus.
61. Darbuotojai, kurie tvarko pacientų, kitų fizinių asmenų duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas. Ši pareiga išlieka galioti perėjus dirbti į kitas pareigas Klinikoje arba pasibaigus darbo ar sutartiniams santykiams su Klinika.
62. Darbuotojai automatiniu būdu tvarkyti Asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie Asmens duomenų gali būti suteikta tik tam asmeniui, kuriam Asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbo santykiams pasibaigus, Darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.
63. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti Asmens duomenys, tik tiems Darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis.
64. Darbuotojai, vykdantys Duomenų subjekto duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, turi saugoti dokumentus tinkamai ir saugiai (vengiant nereikalingų kopijų su Duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi Duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.
65. Darbuotojai, kurių kompiuteriuose saugomi Duomenų subjekto arba iš kurių kompiuterių galima patekti į Klinikos informacines sistemas, kuriose yra saugomi Duomenų subjektų duomenys, savo kompiuteriuose turi naudoti slaptažodžius; „svečio“ („guest“) tipo, t. y. neapsaugoti slaptažodžiais, vartotojai yra draudžiami. Šiuose kompiuteriuose taip pat reikia naudoti ekrano užsklandą su slaptažodžiu. Reikalavimai slaptažodžiams:
65.1. Suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;
65.2. Pirmojo prisijungimo metu naudotojas laikiną slaptažodį privalo pakeisti;
65.3. Juos turi sudaryti ne mažiau kaip 8 simboliai(didžiosios ir mažosios raidės, skaičiai bei specialūs ženklai), nenaudojant asmeninio pobūdžio informacijos;
65.4. Juos saugo ir juos gali žinoti tik Darbuotojai, dirbantys su konkrečiais kompiuteriais/informacinėmis sistemomis. Draudžiama slaptažodį užrašyti viešai ar pasakyti kitam asmeniui;
65.5. Keičiami ne rečiau, kaip kartą per 3 mėnesius, o esant būtinybei (pasikeitus Darbuotojui, iškilus įsilaužimo grėsmei ir pan.) – nedelsiant.
66. Darbuotojų kompiuteriai, kuriuose saugomos rinkmenos su Duomenų subjektų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama.
67. Nesant būtinybės, rinkmenos su Duomenų subjekto duomenimis neturi būti dauginamos skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.
68. Klinikoje yra užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai Asmens duomenys perduodami išoriniais duomenų perdavimo tinklais.
69. Asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo užtikrinamas perkeliant juos į duomenų bazes.
70. Klinikos informacinėse sistemose ir kompiuterių tinkluose įgyvendinamos šios saugumo priemonės:
70.1. Fiksuojami prisijungimų prie Asmens duomenų įrašai: bylos, prie kurių buvo jungtasi, atlikti veiksmai su asmens duomenimis (įvedimas, peržiūra, keitimas, naikinimas ir kiti Duomenų tvarkymo veiksmai). Šie įrašai turi būti saugomi ne trumpiau kaip 1 metus;
70.2. Ne rečiau kaip kartą per 1 mėnesį peržiūrimas naudotojų prisijungimų prie duomenų bazės (-ių) įrašų elektroninis žurnalas ir duomenų valdytojui teikiamos peržiūros ataskaitos;
70.3. Mobiliuosiuose įrenginiuose (nešiojamuosiuose kompiuteriuose, planšetėse, išmaniuosiuose telefonuose ir pan.), jeigu jie naudojami ne Klinikos vidiniame kompiuterių tinkle, esantys ypatingi Asmens duomenys ir prisijungimo prie Klinikos tvarkomų Asmens duomenų informacija šifruojama ar apsaugoma tokiomis priemonėmis, kurios atitiktų Asmens duomenų atskleidimo keliamą riziką;
70.4. Atsarginės Asmens duomenų kopijos, jei jos daromos, saugomos kitoje patalpoje ar geografinėje vietoje negu aktyvi (veikianti) duomenų bazė;
70.5. Šifruojami atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose saugomi Asmens duomenys;
70.6. Šifruojami elektroniniu paštu perduodami Asmens duomenys;
70.7. Asmens duomenų paieškos užklausoje nurodomas Asmens duomenų naudojimo tikslas (-ai);
70.8. Klinikos direktoriaus paskirtas Klinikos Informacinės sistemos duomenų saugos įgaliotinis privalo užtikrinti:
70.8.1. Pašalinių asmenų įėjimo į serverių patalpas kontrolę, naudojant durų rakinimo sistemą bei bendrą apsaugos signalizacijos sistemą;
70.8.2. Vidinio Klinikos kompiuterių tinklo apsaugą.
71. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems Klinikos darbuotojams, savanorišką praktiką atliekantiems ar kitiems tretiesiems asmenims) sužinoti tvarkomus Asmens duomenis. Ši nuostata įgyvendinama:
71.1. Nepaliekant dokumentų su tvarkomais Asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su Asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti Darbuotojai, neturintys teisės dirbti su konkrečiais Asmens duomenimis, ar kiti asmenys;
71.2. Dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;
71.3. Jei dokumentai, kuriose yra Asmens duomenų, kitiems Darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti Asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami pacientams, kitiems interesantams asmeniškai ir konfidencialiai.
72. Už Asmens duomenų saugumo pažeidimų valdymą ir reagavimą į šiuos pažeidimus atsako Klinikos direktoriaus paskirtas Klinikos Informacinės sistemos duomenų saugos įgaliotinis
IX. ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS
73. Tais atvejais, kai Klinika įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Klinikos ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.
74. Sprendimą perduoti Duomenų subjekto Duomenų tvarkymą asmens duomenų tvarkytojui priima Klinikos direktorius.
75. Klinika parenka Duomenų tvarkytoją, kuris užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis, įskaitant ir šių Taisyklių VIII skyriuje aptartas technines, organizacines duomenų saugumo užtikrinimo priemones.
76. Klinika, sutartyje įgaliodama Duomenų tvarkytoją tvarkyti Asmens duomenis, nurodo, kokius Asmens duomenų tvarkymo veiksmus privalo atlikti Duomenų tvarkytojas Klinikos vardu, kad Asmens duomenys būtų tvarkomi atsižvelgiant į Asmens duomenų tvarkymą reglamentuojančius teisės aktus, Duomenų tvarkytojo įsipareigojimai Klinikai, įskaitant įsipareigojimą laikytis BDAR įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, duomenų subjektų kategorijos, Duomenų tvarkytojo pareiga ištrinti arba grąžinti Klinikai Asmens duomenis, jų kopijas, pabaigus Klinikai teikti paslaugas.
77. Klinika, sudarydama sutartį su Duomenų tvarkytoju, nurodo, kad Duomenų tvarkytojai privalo laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami duomenų tvarkymo sutartį, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ir kitų teisės aktų nuostatas, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus Duomenų tvarkytojus), Duomenų tvarkytojas privalo gauti išankstinį rašytinį Klinikos pritarimą.
78. Šios Taisyklės gali būti pridedamos kaip priedas prie sutarties su Duomenų tvarkytoju.
X. BAIGIAMOSIOS NUOSTATOS
79. Darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų ADTAĮ ir šiose Taisyklėse. Darbuotojai, pažeidę Taisykles ir (ar) ADTAĮ/ BDAR, atsako teisės aktų nustatyta tvarka.
80. Su šiomis Taisyklėmis privalo susipažinti visi Klinikos darbuotojai pasirašytinai arba jas pateikiant susipažinimui el. paštu darbuotojo nurodytu adresu. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną.
81. Darbuotojai, pasikeitus jų Asmens duomenims, raštu informuoja apie tai Klinikos administraciją, o ši ne vėliau kaip per 3 darbo dienas patikslina ir atnaujina duomenis Darbuotojų Asmens duomenis bylose bei tam skirtose duomenų bazėse.
82. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę yra atsakingas Klinikos direktoriaus įsakymu paskirtas