Asmens duomenų tvarkymo tvarkos aprašas

PATVIRTINTA
VšĮ Šiaulių ilgalaikio gydymo
ir geriatrijos centro direktoriaus
2019 m. gruodžio mėn. 20 d.
įsakymu Nr. V-72

ASMENS DUOMENŲ TVARKYMO VŠĮ ŠIAULIŲ ILGALAIKIO GYDYMO IR GERIATRIJOS CENTRE TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo VšĮ Šiaulių ilgalaikio gydymo ir geriatrijos centre tvarkos aprašas (toliau – Aprašas) nustato VšĮ Šiaulių ilgalaikio gydymo ir geriatrijos centro (toliau – Centras) darbuotojų, pacientų ir kitų fizinių asmenų (toliau – duomenų subjektai) asmens duomenų tvarkymo reikalavimus, asmens duomenų tvarkymo principų įgyvendinimo tvarką, įgyvendinamas organizacines ir technines asmens duomenų saugumo priemones, kitas sąlygas teisėtam ir skaidriam asmens duomenų tvarkymui.

 2. Aprašo tikslas – reglamentuoti asmens duomenų tvarkymą Centre užtikrinant, kad būtų laikomasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymo ir privatumo apsaugos reikalavimus, nuostatų. Aprašu siekiama įgyvendinti atskaitomybės principą, įtvirtintą Reglamento (ES) 2016/679 5 straipsnio 2 dalyje.

3. Aprašo privalo laikytis visi Centro darbuotojai (toliau – darbuotojai), kurie eidami pareigas arba atlikdami darbines funkcijas tvarko asmens duomenis arba juos sužino.

4. Aprašas parengtas vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą.

5. Centre tvarkomų asmens duomenų valdytojas yra VšĮ Šiaulių ilgalaikio gydymo ir geriatrijos centras, juridinio asmens kodas 145378272, buveinės adresas Vilniaus g. 125, LT 76354, Šiauliai, info[eta]gerc.lt.

II SKYRIUS

DUOMENŲ VALDYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS

6. Centras, tvarkydamas asmens duomenis ir nustatydamas duomenų tvarkymo priemones, nuo asmens duomenų surinkimo iki saugojimo termino pabaigos įgyvendina tinkamas technines ir organizacines priemones, kad būtų veiksmingai įgyvendinti duomenų apsaugos principai, įtvirtinti Reglamento (ES) 2016/679 5 straipsnyje.

7. Centras, tvarkydamas asmens duomenis, atlieka šias funkcijas:

7.1. nustato asmens duomenų tvarkymo tikslus ir priemones;

7.2. užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderinamu būdu;

7.3. užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai;

7.4. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

7.5. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys nedelsiant ištrinami arba ištaisomi;

7.6. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

7.7. užtikrina, kad būtų taikomos tinkamos techninės ir organizacinės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

7.8. užtikrina duomenų subjekto teisių įgyvendinimą.

8. Centras turi šias teises:

8.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

8.2. spręsti dėl asmens duomenų teikimo;

8.3. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

8.4. kitas teisės aktuose nustatytas teises.

9. Centras turi šias pareigas:

9.1. užtikrinti, kad asmens duomenys būtų tvarkomi pagal teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytus asmens duomenų tvarkymo reikalavimus;

9.2. įdiegti vidinius procesus, užtikrinančius asmens duomenų tvarkymo teisėtumą ir duomenų subjekto teisių įgyvendinimą;

9.3. įdiegti tinkamas organizacines ir technines asmens duomenų saugumo priemones, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

9.4. parinkti tik tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi;

9.5. pildyti duomenų tvarkymo veiklos įrašus;

9.6. teisės aktų nustatytais atvejais atlikti poveikio duomenų apsaugai vertinimą;

9.7. valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais pranešti apie juos priežiūros institucijai ir duomenų subjektams;

 9.8. kitas teisės aktuose nustatytas pareigas.

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO TIKSLAI, TVARKOMŲ ASMENS DUOMENŲ KATEGORIJOS IR TVARKYMO TEISINIAI PAGRINDAI

10. Centras tvarko asmens duomenis šiais tikslais:

10.1. Centras, vykdydamas teisės aktų įpareigojimus, tvarko esamų ir potencialių Centro paslaugų, prekių, darbų tiekėjų fizinių asmenų ir juridinių asmenų darbuotojų bei atstovų asmens duomenis (vardą, pavardę, asmens kodą, individualios veiklos pažymos ar verslo liudijimo numerį, atstovaujamo juridinio asmens pavadinimą, pareigas, adresą, telefono ryšio numerį,  elektroninio pašto adresą, informaciją apie įstaigos vadovo ir vyriausiojo finansininko neišnykusį teistumą dėl korupcijos, kyšininkavimo ir kitų Viešųjų pirkimų įstatyme nurodytų nusikalstamų veikų, informaciją, susijusią su tiekėjų kvalifikacija, sutarčių duomenis, kitą informaciją, reikalingą konkrečiam pirkimui, kitus būtinus duomenis) viešųjų pirkimų organizavimo ir vykdymo tikslu;

10.2. Centras tvarko paslaugų, prekių, darbų tiekėjų fizinių asmenų ir juridinių asmenų darbuotojų bei atstovų asmens duomenis (vardą, pavardę, individualios veiklos pažymos ar verslo liudijimo numerį, atstovaujamo juridinio asmens pavadinimą, pareigas, adresą, telefono ryšio numerį,  elektroninio pašto adresą, sutarties duomenis, informaciją, susijusią su sutarties vykdymu, kitus būtinus duomenis) sutarčių sudarymo ir vykdymo tikslais. Asmens duomenys tvarkomi siekiant sudaryti ir vykdyti sutartį, siekiant atlikti užduotį, vykdomą viešojo intereso labui;

10.3. Centras, įgyvendindamas teisės aktų reikalavimus, tvarko pacientų, darbuotojų, kitų dokumentuose nurodytų asmenų asmens duomenis (vardą, pavardę, atstovaujamo juridinio asmens pavadinimą, adresą, pareigas, telefono ryšio numerį,  elektroninio pašto adresą, duomenis susijusius su ūkine operacija, informaciją apie suteiktas paslaugas ir šių paslaugų kainą, kitus dokumentuose nurodytus duomenis) buhalterinės apskaitos, materialinių ir finansinių išteklių valdymo, raštvedybos valdymo tikslais;

10.4. Centras, įgyvendindamas teisės aktų įpareigojimus, tvarko Centro gautuose bei rengiamuose dokumentuose nurodytų asmenų asmens duomenis (vardą, pavardę, pareigas, telefono ryšio numerį, elektroninio pašto adresą, kitus būtinus duomenis) dokumentų valdymo tikslu;

10.5. Centras tvarko kandidatų į darbuotojus asmens duomenis (vardą, pavardę, gimimo datą, adresą, telefono ryšio numerį,  elektroninio pašto adresą, išsilavinimą, kvalifikaciją,  darbo patirtį, informaciją apie buvusias darbovietes, informaciją apie pageidaujamas darbo sąlygas, kitus duomenis, kuriuos kandidatas pateikia savo gyvenimo aprašyme ar kandidato anketoje, kitus būtinus duomenis) darbuotojų atrankos tikslu. Asmens duomenys tvarkomi duomenų subjekto sutikimu ir vykdant teisės aktų įpareigojimus;

10.6. Centras tvarko darbuotojų asmens duomenis (vardą, pavardę, gimimo datą, adresą, telefono ryšio numerį,  elektroninio pašto adresą, išsilavinimą, kvalifikaciją,  darbo patirtį,  duomenis susijusius su sveikata, pareigas, priėmimo į darbą / atleidimo iš darbo datą, darbo užmokestį, atostogas, kitus duomenis, susijusius su darbo sutarties ar pavestų užduočių vykdymu, kitus būtinus duomenis) darbo sutarčių sudarymo, vykdymo ir apskaitos, Centro, kaip darbdavio, pareigų, nustatytų teisės aktuose, vykdymo bei tinkamų darbo sąlygų užtikrinimo tikslu.Asmens duomenys tvarkomi siekiant sudaryti ir vykdyti darbo sutartį, vykdant Centrui taikomus teisės aktų reikalavimus bei siekiant vykdyti Centro, kaip darbdavio, prievoles bei sudaryti galimybę darbuotojams pasinaudoti jiems suteiktomis teisėmis darbo ir socialinės apsaugos srityje;

10.7. Centras, vykdydamas Centrui taikomus teisės aktų reikalavimus ar paciento sutikimu, tvarko pacientų asmens duomenis ir specialios kategorijos asmens duomenis:

10.7.1. išankstinės registracijos į eilę Centro paslaugoms gauti tikslu (vardą, pavardę, telefono ryšio numerį, kitus būtinus duomenis);

10.7.2. sveikatos priežiūros paslaugų teikimo tikslu (vardą, pavardę, asmens kodą, gimimo datą, adresą, telefono ryšio numerį, elektroninio pašto adresą, informaciją apie asmens draustumą, sveikatos duomenis (nusiskundimus, tyrimų duomenis, diagnozę, taikytą gydymą ir pan.), kitus būtinus duomenis);

10.8. Siekdama sudaryti sąlygas pacientams gauti paslaugas ar įgyvendinti teises per atstovą, Centras tvarko paciento atstovo asmens duomenis (vardą, pavardę, telefono ryšio numerį, adresą, elektroninio pašto adresą, kitus būtinus duomenis). Asmens duomenys tvarkomi vykdant  teisės aktų reikalavimus;

10.9. Visuomenės informavimo tikslu įgyvendindamas teisės aktų reikalavimus, Centras tvarko ir interneto svetainėje skelbia darbuotojų asmens duomenis (vardą, pavardę, pareigas, telefono ryšio numerį, kitus būtinus duomenis); visuomenės informavimo tikslu, gavus duomenų subjekto sutikimą arba vadovaujantis teisės aktų nuostatomis interneto svetainėje gali būti skelbiamas asmens atvaizdas ir kiti asmens duomenys.

11. Centras gali tvarkyti asmens duomenis ir kitais tikslais, kiek tai būtina siekiant teisėtai vykdyti veiklą, atitikti teisės aktų keliamus reikalavimus, apsiginti nuo pretenzijų, ieškinių ir siekiant teisėtų Centro interesų apsaugos. Asmens duomenys tvarkomi laikantis Reglamento (ES) 2016/679 6 straipsnio 1 dalyje, o specialių kategorijų asmens duomenys – 9 straipsnio 2 dalyje nurodytų sąlygų.

12. Asmens duomenų tvarkymo tikslai, kiekvienu tikslu tvarkomi asmens duomenys ir kita su asmens duomenų tvarkymu susijusi informacija pateikiama duomenų tvarkymo veiklos įrašuose.

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS

13. Centre asmens duomenys tvarkomi vadovaujantis Reglamentu (ES) 2016/679, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu, kitais sveikatos priežiūros įstaigos veiklą, asmens duomenų tvarkymą ir privatumo apsaugą reglamentuojančiais teisės aktais, Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002.

14. Asmens duomenys Centre tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose. Dėl techninės ir programinės įrangos, skirtos asmens duomenų tvarkymui, sprendimą priima Centro direktorius.

15. Asmens duomenys Centre teisės aktų nustatyta tvarka renkami tiesiogiai iš duomenų subjekto, iš kitų juridinių ir fizinių asmenų, turinčių teisę juos pateikti Centrui.

16. Centras asmens duomenis tikslina, taiso ir atnaujina savo arba asmens, kurio duomenys yra tvarkomi, iniciatyva. Savo iniciatyva Centras turi teisę tikslinti, taisyti ir atnaujinti asmens duomenis tada, kai gaunama informacija apie pasikeitusius asmens duomenis. Duomenų subjekto prašymai dėl asmens duomenų patikslinimo, ištaisymo ar atnaujinimo nagrinėjami Duomenų subjektų teisių įgyvendinimo tvarkos aprašo, kurį tvirtina Centro direktorius, nustatyta tvarka.

17. Asmens duomenys taisomi, tikslinami ar atnaujinami pagal asmens duomenis patvirtinančius dokumentus.

18. Centre asmens duomenys, esant pagrindui, ištaisomi ar atnaujinami ne vėliau kaip per 5 darbo dienas nuo informacijos apie tai, kad tvarkomi asmens duomenys yra netikslūs, gavimo.

19. Apie atliktą asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą Centras teisės aktuose nustatytais terminais, o jei tokie terminai nenustatyti – per 20 darbo dienų nuo šių veiksmų atlikimo dienos praneša duomenų gavėjams, nebent to padaryti neįmanoma arba tai pareikalautų neproporcingų pastangų.

20. Už asmens duomenų taisymą, tikslinimą, atnaujinimą yra atsakingas Centro direktoriaus tam įgaliotas asmuo.

21. Asmens duomenų Aprašo 10 – 11 punktuose nurodytais tikslais konkrečiu atveju tvarkoma tik tiek, kiek yra būtina.

22. Asmens duomenys Centro interneto svetainėje skelbiami vadovaujantis Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 12 d. nutarimu Nr. 1261, kitais asmens duomenų tvarkymą reglamentuojančiais teisės aktais. Už asmens duomenų tvarkymą Centro interneto svetainėje atsakingas Centro direktoriaus tam įgaliotas asmuo.  

23. Centras tvarko asmens duomenis valstybės registruose ir informacinėse sistemose kaip duomenų tvarkytojas šių registrų ir informacinių sistemų nuostatų nustatyta tvarka.

V SKYRIUS

ASMENS DUOMENŲ TEIKIMAS

24. Centras teikia asmens duomenis duomenų gavėjams: tretiesiems asmenims ir duomenų tvarkytojams.

25. Asmens duomenys tretiesiems asmenims teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju) arba teisės aktų nustatyta tvarka.

26. Jeigu asmens duomenys yra teikiami pagal sutartį, sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo / gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Jeigu asmens duomenys teikiami pagal prašymą, prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.

27. Asmens duomenys tretiesiems asmenims teikiami tik esant asmens duomenų teikimo teisiniam pagrindui ir įvertinus asmens duomenų teikimo tikslą ir teikiamų asmens duomenų apimtį.

28. Asmens duomenys tretiesiems asmenims teikiami:

28.1. asmens duomenys mokesčių administravimo tikslu teikiami Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos atitinkamų mokesčių administravimą reglamentuojančių įstatymų nustatyta tvarka;

28.2. darbuotojų asmens duomenys socialinio draudimo mokesčio administravimo tikslu teikiami Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos Lietuvos Respublikos valstybinio socialinio draudimo įstatymo nustatyta tvarka;

28.3. darbuotojo asmens duomenys darbo užmokesčio išmokėjimo tikslu teikiami darbuotojo nurodytiems bankams Lietuvos Respublikos darbo kodekso nustatyta tvarka;

28.4. darbuotojų asmens duomenys darbuotojų nelaimingų atsitikimų tyrimo tikslu gali būti teikiami Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos asmens duomenys Lietuvos Respublikos darbuotojų saugos ir sveikatos įstatymo ir kitų teisės aktų nustatyta tvarka;

28.5. pacientų asmens duomenys teikiami valstybės institucijoms ir įstaigoms, valdančioms valstybės registrus ir informacines sistemas, šių registrų ir informacinių sistemų nuostatuose nustatytiems tikslams;

28.6. pacientų asmens duomenys sveikatos priežiūros teikimo tikslu gali būti teikiami tyrimų laboratorijoms, kitoms sveikatos priežiūros įstaigoms;

28.7. pacientų ir Centro darbuotojų asmens duomenys ginčų su pacientais sprendimo, pacientų skundų nagrinėjimo tikslu ir kitais teisės aktuose nustatytais atvejais gali būti teikiami valstybės, savivaldos institucijoms ir įstaigoms, teismui.

29. Asmens duomenys gali būti teikiami teismams, teisėsaugos institucijoms, Centro veiklos patikrinimus atliekančioms valstybės institucijoms, kitiems tretiesiems asmenims, kuriems teikti asmens duomenis Centrą įpareigoja įstatymai ar kiti teisės aktai, vadovaujantis Reglamentu (ES) 2016/679 ir kitais teisės aktais.

30. Centras gali teikti asmens duomenis arba sudaryti galimybę susipažinti su asmens duomenimis pasitelktiems duomenų tvarkytojams – techninės ir programinės įrangos priežiūros ir palaikymo, duomenų centrų, turto priežiūros ir aptarnavimo organizavimo ir kitas paslaugas teikiantiems paslaugų teikėjams.

31. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik Centro vardu, pagal Centro nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus.

32. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į su duomenų tvarkytojais sudaromas sutartis, kuriose turi būti nurodytos šios sąlygos:

32.1 asmens duomenų tvarkymo dalykas ir trukmė;

32.2. asmens duomenų tvarkymo tikslas ir pobūdis;

32.3. asmens duomenų rūšis ir duomenų subjektų kategorijos;

32.4. duomenų valdytojo ir duomenų tvarkytojo teisės ir prievolės;

32.5. bendras arba konkretus leidimas arba ne duomenų tvarkytojui pasitelkti kitą duomenų tvarkytoją;

32.6. duomenų tvarkytojo įsipareigojimas vykdant sutartį gautus asmens duomenis tvarkyti Centro vardu ir tik pagal Centro nurodymus laikantis duomenų apsaugą reglamentuojančių teisės aktų reikalavimų;

32.7. duomenų tvarkytojo įsipareigojimas įgyvendinti tinkamas technines, organizacines ir teisines asmens duomenų apsaugos priemones perduodamų asmens duomenų saugumui užtikrinti;

32.8. duomenų tvarkytojo įsipareigojimas padėti Centrui įgyvendinti duomenų subjekto teises;

32.9. duomenų tvarkytojo įsipareigojimas pateikti Centrui visą informaciją, būtiną siekiant įsitikinti ir įrodyti, kad asmens duomenys tvarkomi teisėtai ir sudaryti sąlygas bei padėti Centrui arba kitam Centro įgaliotam asmeniui atlikti asmens duomenų tvarkymo auditą, įskaitant patikrinimus;

32.10. duomenų tvarkytojo įsipareigojimas, atsižvelgiant į duomenų tvarkymo pobūdį ir duomenų tvarkytojo turimą informaciją, padėti Centrui įgyvendinti teisės aktuose įtvirtintas pareigas, susijusias su įvykusiu asmens duomenų saugumo pažeidimu, poveikio duomenų apsaugai vertinimu bei išankstinėmis konsultacijomis;

32.11. draudimą duomenų tvarkytojui perduotus asmens duomenis naudoti asmens duomenų tvarkymo sutartyje nenurodytais tikslais ar savo rinkodaros tikslais;

32.12. duomenų tvarkytojo įsipareigojimą atsakyti už neteisėtą asmens duomenų tvarkymą bei atlyginti Centrui dėl duomenų tvarkytojo vykdyto neteisėto asmens duomenų tvarkymo patirtus nuostolius, sumokėtas baudas ar kompensacijas;

32.13. duomenų tvarkytojo įsipareigojimą pasibaigus sutarčiai sunaikinti perduotus asmenis duomenis arba grąžinti juos Centrui;

32.14. kitas sąlygas, būtinas užtikrinti perduotų asmens duomenų tvarkymo teisėtumą ir saugumą.

33. Centras pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.

VI SKYRIUS

DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA

34. Centre tvarkomi asmens duomenys saugomi Centro serveryje, kompiuteriuose, darbuotojų asmens bylose, pacientų ligos istorijose ir kitose susistemintose rinkmenose pagal poreikį.

35. Asmens duomenys Centre saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

36. Asmens duomenys, esantys dokumentuose, saugomi asmens duomenų saugojimo terminais, kurie nustatomi kiekvienais metais tvirtinamuose dokumentacijos planuose, vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“.

37. Pacientų, pacientų atstovų, Centro darbuotojų asmens duomenys, nurodyti medicininiuose dokumentuose, saugomi Lietuvos Respublikos sveikatos apsaugos ministro nustatytais medicininių dokumentų saugojimo terminais.

38. Pacientų asmens duomenys išankstinės registracijos į eilę Centro paslaugoms gauti  tikslu saugomi iki kol pacientui suteikiama paslauga arba kol pacientas paprašo būti išbrauktas iš eilės.

39. Visuomenės informavimo tikslu asmens duomenys tvarkomi tol, kol darbuotojai dirba Centre, bet ne ilgiau nei to reikia duomenų tvarkymo tikslui ar reikalauja teisės aktai.

40. Kitais tikslais tvarkomi asmens duomenys saugomi tol, kol jie reikalingi šiems tikslams arba  saugojimo terminus ir tvarką reglamentuojančiuose Lietuvos Respublikos teisės aktuose, dokumentacijos planuose nustatytais terminais. 

41. Asmens duomenys, nereikalingi jų tvarkymo tikslams, pasibaigus asmens duomenų saugojimo terminams sunaikinami arba teisės aktų nustatyta tvarka perduodami valstybės archyvui.

42. Automatiniu būdu tvarkomi asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje, duomenų bazės archyve, remiantis nustatytais terminais.

43. Kompiuteriuose esantys asmens duomenys tvarkomi tol, kol jie yra būtini konkrečios užduoties atlikimui ar pareigų vykdymui.

44. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.

45. Už asmens duomenų, tvarkomų dokumentuose, sunaikinimą atsakingi Centro dokumentacijos plane nurodyti asmenys.

46. Už asmens duomenų tvarkomų kompiuterinėje darbo vietoje, sunaikinimą atsakingi darbuotojai, kurie šia darbo vieta naudojasi.

47. Už asmens duomenų, tvarkomų tarnybinėse stotyse, informacinėse sistemose ar duomenų bazėse, sunaikinimą atsakingas Centro direktoriaus tam įgaliotas asmuo arba  pasitelktas duomenų tvarkytojas.

VII SKYRIUS

VAIZDO STEBĖJIMAS

48. Asmenų ir turto apsaugos apsaugos tikslu Centras vykdo vaizdo stebėjimą ir tvarko darbuotojų, lankytojų, kitų į vaizdo stebėjimo kamerų lauką patenkančių asmenų vaizdo duomenis.

49. Asmenų ir turto apsaugos užtikrinimo tikslu vaizdo stebėjimas vykdomas šiose Centro teritorijose ir patalpose:

49.1. stebima pagrindinio įėjimo į  Centro pastatą išorinė ir vidinė zona;

49.2. stebimas įvažiavimas, teritorija aplink Centro pastatą;

49.3. stebimas Centro pastato pirmo aukšto holas, drabužinė.

50. Vaizdo stebėjimo priemonės įrengiamos taip, kad atsižvelgiant į nustatytą vaizdo stebėjimo tikslą vaizdo stebėjimas būtų vykdomas ne didesnėje patalpos ar teritorijos dalyje, negu tai yra būtina ir būtų renkama ne daugiau vaizdo duomenų, negu tai yra būtina.

51. Centras užtikrina, kad į vaizdo kamerų stebėjimo lauką nepatektų Centrui nepriklausančios teritorijos, gyvenamosios patalpos ir/arba joms priklausanti privati teritorija arba įėjimas į ją, taip pat patalpos ar teritorija, kurioje duomenų subjektas tikisi absoliučios duomenų apsaugos, pavyzdžiui, pacientų palatos, persirengimo, poilsio, vonios, tualeto kambariai.

52. Vaizdo stebėjimo įranga nesiekiama kontroliuoti darbuotojų darbo procesą ir kokybę, fiksuoti ir analizuoti konkrečią  darbo vietose vykdomą veiklą.

53. Vaizdo stebėjimo duomenys negali būti naudojami kitiems tikslams, nesusijusiems su šiame Apraše apibrėžtais tikslais.

54. Centre vykdomas vaizdo stebėjimas be garso įrašymo.

55. Centras užtikrina, kad vaizdo duomenis tvarkytų tik įgalioti asmenys, kurie yra supažindinti su asmens duomenų teisinę apsaugą reglamentuojančiais teisės aktais ir pasirašytinai įsipareigoję jų laikytis.

56. Vaizdo duomenys saugomi 14 kalendorinių dienų nuo jų užfiksavimo momento, išskyrus atvejus, kai esama pagrindo manyti, kad yra užfiksuotas nusižengimas, daroma nusikalstama veika ar kiti neteisėti veiksmai. Tokiu atveju, vaizdo duomenys yra saugomi iki atitinkamo tyrimo ir (ar) bylos nagrinėjimo pabaigos.

57. Pasibaigus Aprašo 56 punkte nurodytiems saugojimo terminams, asmens vaizdo duomenys yra sunaikinami taip, kad jų nebūtų galima atkurti.

58. Duomenų subjektai apie vykdomą vaizdo stebėjimą informuojami informaciniais ženklais, įrengtais prieš duomenų subjektams patenkant į vaido stebėjimo lauką.

59. Informaciniuose ženkluose pateikiama informacija apie tai, kad vykdomas vaizdo stebėjimas, nurodomas vaizdo stebėjimo tikslas, duomenų valdytojo pavadinimas, kontaktinė informacija (adresas, el. pašto adresas ir (arba) telefono ryšio numeris ir nuoroda į interneto svetainę).

60. Centro darbuotojai apie vykdomą vaizdo stebėjimą informuojami pasirašytinai.  

61. Vykdant vaizdo stebėjimą, duomenų subjektų teisės įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo tvarkos aprašu, kurį tvirtina Centro direktorius.

VIII SKYRIUS

REIKALAVIMAI  DARBUOTOJAMS, TVARKANTIEMS ASMENS DUOMENIS

62. Centras užtikrina, kad  asmens duomenis tvarkytų ar su jais susipažinti  galėtų tik tie darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti.

63. Centro darbuotojai, tvarkydami asmens duomenis, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.

64. Centro darbuotojai, tvarkantys asmens duomenis, privalo:

64.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Apraše ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo apsaugą;

64.2. laikytis konfidencialumo principo ir laikyti paslaptyje asmens duomenis, specialios kategorijos asmens duomenis, įskaitant ir faktą, kad pacientas lankėsi Centre, ar bet kokią kitą su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami darbo funkcijas, nebent tokia informacija yra vieša pagal galiojančių teisės aktų reikalavimus. Prievolė saugoti asmens duomenų paslaptį galioja ir perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams Centre;

64.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Centre ar už jo ribų;

64.4. netvarkyti asmens duomenų, jeigu nėra tam įgalioti;

64.5. saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, vengti daryti nereikalingas kopijas; dokumentų kopijos, kuriose yra asmens duomenų, kai tik tampa nereikalingos konkrečios užduoties ar pareigų vykdymui turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;

64.6. darbo vietoje draudžiama bet kokiomis priemonėmis fiksuoti asmens duomenis jeigu tai nėra būtina pavestų funkcijų vykdymui;

64.7. draudžiama asmens duomenis platinti viešai bet kokiais būdais (žodžiu, socialiniuose tinkluose ir t.t.), išskyrus teisės aktuose numatytus atvejus;

 64.8. laikytis kitų Apraše ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

65. Asmens duomenys elektroninėmis ryšio perdavimo priemonėmis siunčiami tik užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą.

IX SKYRIUS

ORGANIZACINIŲ IR TECHNINIŲ ASMENS DUOMENŲ SAUGUMO PRIEMONIŲ NAUDOJIMAS IR ATSAKOMYBĖ

66. Centras, tvarkydamas asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

67. Centro įgyvendinamos saugumo priemonės išdėstytos Centro direktoriaus patvirtintame Organizacinių ir techninių asmens duomenų saugumo priemonių įgyvendinimo tvarkos apraše.

X SKYRIUS

DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI

68. Centre pildomi duomenų tvarkymo veiklos įrašai, Centrui tvarkant asmens duomenis kaip duomenų valdytojui. Duomenų tvarkymo veiklos įrašuose nurodoma:

68.1. asmens duomenų valdytojo pavadinimas ir kontaktiniai duomenys;

68.2. asmens duomenų apsaugos pareigūno vardas, pavardė, pareigos ir kontaktinė informacija, jeigu toks yra paskirtas;

68.3. asmens duomenų tvarkymo tikslai;

68.4. tvarkomų asmens duomenų kategorijos;

68.5. asmens duomenų subjektų kategorijos;

68.6. asmens duomenų gavėjų kategorijos;

68.7. informacija apie duomenų perdavimą į trečiąsias valstybes arba tarptautinėms organizacijoms, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, duomenų perdavimų atvejais tinkamų apsaugos priemonių dokumentai;

68.8. asmens duomenų saugojimo terminai;

68.9. bendras saugumo priemonių aprašymas;

68.10. įrašą užpildžiusio asmens vardas, pavardė;

68.11. įrašo užpildymo data,

68.12. esant poreikiui, kita papildoma informacija.

69. Centro, kaip asmens duomenų tvarkytojo, duomenų tvarkymo veiklos įrašuose nurodoma:

69.1. asmens duomenų tvarkytojo pavadinimas, kontaktinė informacija;

69.2. asmens duomenų apsaugos pareigūno vardas, pavardė, pareigos ir kontaktinė informacija;

69.3. informacija apie duomenų valdytoją, kurio vardu tvarkomi asmens duomenys;

69.4. asmens duomenų valdytojo vardu atliekamo asmens duomenų tvarkymo kategorijos;

69.5. kai taikoma, asmenų duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, nurodant tą trečiąją valstybę arba tarptautinę organizaciją, ir, Reglamento (ES) 2016/679 49 straipsnio 1 dalies antroje pastraipoje nurodytų duomenų perdavimų atveju, tinkamų apsaugos priemonių dokumentai;

69.6. bendras saugumo priemonių aprašymas;

69.7. įrašą pildžiusio asmens vardas, pavardė, pareigos;

69.8. įrašo užpildymo/keitimo data;

69.9. kita reikalinga informacija.

 70. Duomenų tvarkymo veiklos įrašus pildo duomenų apsaugos pareigūnas ar kitas Centro direktoriaus įgaliotas asmuo.

71.  Duomenų tvarkymo veiklos įrašuose esanti informacija patikrinama ir atnaujinama pasikeitus asmens duomenų tvarkymui, įgyvendinamoms duomenų saugumo priemonėms, bet ne rečiau kaip kartą per kalendorinius metus. Atnaujinant duomenų tvarkymo veiklos įrašus, pildoma nauja įrašo versija ir nurodoma atnaujinimo data. Už duomenų tvarkymo veiklos įrašuose esančios informacijos patikrinimą ir atnaujinimą yra atsakingas duomenų apsaugos pareigūnas ar kitas Centro direktoriaus įgaliotas asmuo.

 72. Duomenų tvarkymo veiklos įrašai pateikiami Valstybinei duomenų apsaugos inspekcijai gavus jos prašymą.

 73. Už duomenų tvarkymo veiklos įrašų pateikimą Valstybinei duomenų apsaugos inspekcijai atsakingas Centro direktorius.

XI SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA

74. Kiekvienas Centro darbuotojas, pastebėjęs ar sužinojęs apie asmens duomenų saugumo pažeidimą ar kitą su asmens duomenimis įvykusį incidentą, privalo apie tai nedelsdamas pranešti Centro direktoriui.

 75. Asmens duomenų saugumo pažeidimai Centre dokumentuojami, analizuojami, apie juos pranešama Reglamento (ES) 2016/679 ir Asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo, kurį tvirtina Centro direktorius, nustatyta tvarka.

XII SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

76. Reglamento (ES) 2016/679 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Centre yra atliekamas poveikio duomenų apsaugai vertinimas.

 77. Poreikis atlikti poveikio duomenų apsaugai vertinimą nustatomas ir, jeigu reikia, poveikio duomenų apsaugai vertinimas atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones.

 78. Poveikio duomenų apsaugai vertinimą atlieka Centro darbuotojai, atsakingi už asmens duomenų tvarkymą arba asmenys pagal paslaugų teikimo sutartį.

 79. Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kurioje pateikiama Reglamento (ES) 2016/679 35 straipsnio 7 dalyje nurodyta informacija. Poveikio duomenų apsaugai vertinimo ataskaita saugoma teisės aktų nustatyta tvarka.

 80. Jeigu, atlikus poveikio duomenų apsaugai vertinimą, nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jeigu duomenų valdytojas nesiimtų priemonių pavojui sumažinti, konsultuojamasi su Valstybine duomenų apsaugos inspekcija jos nustatyta tvarka.

XIII SKYRIUS

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA

81. Centras užtikrina duomenų subjektų (pacientų, darbuotojų, kitų asmenų, kurių asmens duomenys yra tvarkomi Centre) teisių, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimą.

 82. Informacija apie asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendimą yra lengvai prieinama Centre. Ši informacija laikoma segtuve Centro registratūroje visiems prieinamoje vietoje.

 83. Duomenų subjekto teisės Centre įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjektų teisių įgyvendinimo tvarkos aprašu, patvirtintu Centro direktoriaus.

XIV SKYRIUS

PAREIGA PASKIRTI DUOMENŲ APSAUGOS PAREIGŪNĄ

84. Centre yra paskiriamas duomenų apsaugos pareigūnas, kuriuo gali būti Centro darbuotojas arba asmuo, teikiantis duomenų apsaugos pareigūno paslaugas pagal paslaugų teikimo sutartį.

 85. Centras skiria duomenų apsaugos pareigūną atsižvelgdamas į jo turimas duomenų apsaugos teisės ir praktikos ekspertines žinias, profesines savybes, gebėjimus atlikti duomenų apsaugos pareigūnui priskirtas funkcijas.

 86. Centras užtikrina duomenų apsaugos pareigūnui garantijas, įtvirtintas Reglamento (ES) 2016/679 38 straipsnyje.

 87. Duomenų apsaugos pareigūnas vykdo Reglamento (ES) 2016/679 39 straipsnyje nurodytas užduotis ir tiesiogiai atsiskaito Centro direktoriui arba jo įgaliotam asmeniui.

 88. Duomenų apsaugos pareigūno funkcijoms atlikti ir bendrauti su šiuo pareigūnu gali būti sukuriama specialiai tam skirta elektroninio pašto dėžutė.

 89. Centras apie duomenų apsaugos pareigūno paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai bei apie tai paskelbia informaciją Centro interneto svetainėje.

 90. Centro darbuotojai, atsakingi už asmens duomenų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam duomenų tvarkymui, privalo konsultuotis su duomenų apsaugos pareigūnu ir gauti jo nuomonę šiais atvejais:

90.1. keičiant esančius ar nustatant naujus asmens duomenų tvarkymo procesus;

90.2. tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;

90.3. atliekant poveikio duomenų apaugai vertinimą;

90.4. rengiant su asmens duomenų tvarkymu susijusius vidaus teisės aktus;

90.5. rengiant naujas ar keičiant esamas asmens duomenų teikimo, duomenų tvarkymo sutartis;

90.6. sprendžiant dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose.

 91. Centro darbuotojai turi teisę kreiptis į duomenų apsaugos pareigūną ir kitais atvejais, jeigu mano, kad duomenų apsaugos pareigūno nuomonė yra reikalinga.

 92. Priimant sprendimus Aprašo 90 punkte nurodytais atvejais,  duomenų apsaugos pareigūno nuomonę rekomenduojama gauti raštu. Jeigu priimant šiuos sprendimus į duomenų apsaugos pareigūno nuomonę visiškai ar iš dalies neatsižvelgiama, neatsižvelgimo motyvai išdėstomi raštu.

 93. Duomenų apsaugos pareigūnas privalo užtikrinti gautos informacijos, susijusios su jo užduočių vykdymu, slaptumą arba konfidencialumą, laikydamasis teisės aktų nustatytų reikalavimų.

XV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

94. Centro darbuotojai su Aprašu supažindinami pasirašytinai.

 95. Centro darbuotojai, pažeidę Aprašo, Reglamento (ES) 2016/679, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, reikalavimus, atsako pagal galiojančius Lietuvos Respublikos įstatymus.

 96. Aprašas peržiūrimos įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) Centro veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams.

 97. Centro veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų tvarkymą ir apsaugą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba teismui teisės aktų nustatyta tvarka.

      _________________________________

Atnaujinta 2024-01-15

Mus rasite
VšĮ Šiaulių ilgalaikio gydymo ir geriatrijos centras Sprendimas: GP Soft
Pasirinkite