I SKYRIUS
BENDROSIOS NUOSTATOS
1. UAB „SPA Birštono sveikatinimo paslaugos“ (toliau – Įstaiga) Pacientų asmens duomenų tvarkymo taisyklės (toliau — Taisyklės) reguliuoja fizinių asmenų (toliau — Duomenų subjektas ir/ar Pacientas) asmens duomenų tvarkymo tikslus, nustato Duomenų subjekto (pacientų) teisių įgyvendinimo tvarką, įtvirtina organizacines ir technines duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojo pasitelkimo atvejus, įtvirtina UAB „SPA Birštono sveikatinimo paslaugos“ registravimo asmens duomenų valdytoju tvarką.
2. Šios Taisyklės parengtos remiantis:
2.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau — ADTAĮ);
2.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679;
2.3. Lietuvos Respublikos sveikatos sistemos įstatymu;
2.4. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;
2.5. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo ir registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“;
2.6. Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu „Dėl asmens duomenų valdytojų valstybės registro reorganizavimo, registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“;
2.7. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1 T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;
2.8. kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.
3. Taisyklėse vartojamos sąvokos atitinka ADTAĮ vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti ADTAĮ taikymo srities bei prieštarauti ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.
4. Šios Taisyklės taikomos tvarkant Duomenų subjekto duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: pacientų ligos istorijas, ambulatorines korteles, kartotekas, bylas, sąvadus ir kita. Šios Taisyklės taip pat nustato Įstaigos darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
5. Šių Taisyklių reikalavimai privalomi visiems Įstaigos darbuotojams (toliau - Darbuotojai), kurie tvarko Įstaigoje esančius pacientų asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami Įstaigos duomenų tvarkymo paslaugas, sužino ir tvarko asmens duomenis.
6. Duomenų valdytojas – UAB „SPA Birštono sveikatinimo paslaugos“, įmonės kodas – 304830530, adresas – Karalienės Barboros al. 2, Birštonas.
7. Duomenų valdytojas pasitelkia duomenų tvarkytoją tvarkyti asmens duomenims.
II SKYRIUS
PACIENTŲ ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI
8. Tvarkant pacientų asmens duomenis laikomasi asmens duomenų tvarkymo reikalavimų:
8.1. asmens duomenys renkami apibrėžtais ir teisėtais tikslais ir toliau negali būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;
8.2. asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;
8.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymą;
8.4. asmens duomenys turi būti tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;
8.5. asmens duomenys saugomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
8.6. asmens duomenys tvarkomi pagal ADTAĮ ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.
9. Įstaigoje Duomenų subjektų (pacientų) asmens duomenys tvarkomi teisiniais duomenų tvarkymo sveikatos priežiūros paslaugų teikimo ir administravimo tikslais (pagrindas - ES Bendrojo duomenų apsaugos reglamento 6 straipsnio 1 dalies b) punktas (tvarkyti duomenis būtina siekiant įvykdyti sutartį), c) punktas (tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė). Duomenys apie pacientų sveikatą tvarkomi ES Bendrojo duomenų apsaugos reglamento 9 straipsnio 2 dalies h) punkto pagrindu (toks tvarkymas reikalingas sveikatos priežiūros paslaugų teikimui ar gydymui pagal sutartį).
9.1. Sveikatos priežiūros paslaugų teikimo ir administravimo tikslais, Duomenų valdytojas tvarko šiuos su Duomenų subjektu (pacientu ir jo atstovu) susijusius asmens duomenis:
9.1.1. Vardą, pavardę;
9.1.2. Gimimo datą;
9.1.3. Asmens kodą;
9.1.4. Elektroninio pašto adresą;
9.1.5. Telefono numerį;
9.1.6. Gyvenamąjį adresą;
9.1.7. Suteiktos paslaugos aprašymą;
9.1.8. Sveikatos duomenis;
9.1.9. Duomenis turinčius įtakos sveikatos būklei;
9.1.10. Darbovietę (sveikatos draudimo atveju).
10. Pacientų duomenys vedami į informacinę sistemą 3 Wellness ir perduodami į Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinę sistemą (ESPBI IS).
III SKYRIUS
DUOMENŲ VALDYTOJO IR TVARKYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS
11. Duomenų valdytojas - UAB „SPA Birštono sveikatinimo paslaugos“, įmonės kodas - 304830530, adresas – Karalienės Barboros al. 2, Birštonas, nustato asmens duomenų tvarkymo tikslus ir priemones, vykdo funkcijas, numatytas Įstaigos informacinės sistemos nuostatuose, patvirtintuose 2022 m. spalio 7 d. įsakymu Nr. 1.
Duomenų valdytojas turi šias teises:
11.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;
11.2. paskirti už asmens duomenų apsaugą atsakingą asmenį ar padalinį;
11.3. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis.
12. Duomenų valdytojas turi šias pareigas:
12.1. užtikrinti, kad būtų laikomasi ADTAĮ ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;
12.2. įgyvendinti duomenų subjekto teises ADTAI ir šiose Taisyklėse nustatyta tvarka;
12.3. užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;
12.4. tvarkyti duomenų tvarkymo veiklos įrašus;
12.5. vertinti poveikį duomenų apsaugai;
12.6. konsultuotis su Valstybine duomenų apsaugos inspekcija;
12.7. skirti duomenų apsaugos pareigūną;
12.8. pranešti apie duomenų saugumo pažeidimą.
13. Duomenų valdytojas atlieka šias funkcijas:
13.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;
13.2. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;
13.3. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;
13.4. vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti.
14. Duomenų tvarkytojas – UAB „SPA Birštono sveikatinimo paslaugos“, įmonės kodas - 304830530, adresas - Karalienės Barboros al. 2, Birštonas, turi teises ir pareigas bei vykdo duomenų valdytojo nurodymus.
15. Duomenų tvarkytojas turi šias teises:
15.1. teikti duomenų valdytojui pasiūlymus dėl duomenų tvarkymo techninių ir programinių priemonių gerinimo;
15.2. tvarkyti asmens duomenis, kiek tam yra įgaliotas duomenų valdytojo.
16. Duomenų tvarkytojas turi šias pareigas:
16.1. įgyvendinti tinkamas organizacines ir technines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti;
16.2. supažindinti naujai priimtus darbuotojus su Taisyklėmis;
16.3. užtikrinti, kad prieiga prie asmens duomenų būtų suteikta tik Taisyklėse nustatyta tvarka įgaliotiems asmenims;
16.4. užtikrinti, kad asmens duomenys būtų saugomi Taisyklėse nustatytais terminais;
16.5. kad, asmens duomenys būtų tvarkomi vadovaujantis Taisyklėmis, ADTAI ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;
16.6. saugoti asmens duomenų paslaptį, neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek Įstaigoje, tiek už jos ribų;
16.7. tvarkyti duomenų tvarkymo veiklos įrašus;
16.8. padėti duomenų valdytojui užtikrinti jam numatytas prievoles;
16.9. skirti duomenų apsaugos pareigūną;
16.10. pranešti duomenų valdytojui apie duomenų saugumo pažeidimą.
17. Duomenų tvarkytojas atlieka šias funkcijas:
17.1. įgyvendina asmens duomenų saugumo priemones;
17.2. tvarko asmens duomenis pagal Duomenų valdytojo nurodymus.
IV SKYRIUS
DUOMENŲ SUBJEKTO (PACIENTŲ) TEISIŲ ĮGYVENDINIMO TVARKA
18. Duomenų subjektai turi teisę:
18.1. sužinoti apie savo asmens duomenų tvarkymą;
18.2. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;
18.3. reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant įstatymo nuostatų;
18.4. nesutikti, kad būtų tvarkomi jo Asmens duomenys (jei Asmens duomenys tvarkomi sutikimo pagrindu).
19. Duomenų subjekto teisių įgyvendinimo tvarka:
19.1. Įstaigos medicinos centre, kuriame renkami ir tvarkomi Duomenų subjekto (paciento) duomenys, privalo sudaryti sąlygas Duomenų subjektui (pacientui) įgyvendinti pirmiau nurodytas Duomenų subjekto (paciento) teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veiklų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitu asmenų teisių ir laisvių apsaugą;
19.2 kai duomenų subjektas (pacientas) savo teises įgyvendina per atstovą, atstovas pateikia rašytinį prašymą dėl asmens duomenų tvarkymo, asmens tapatybę patvirtinantį dokumentą ir atstovavimo teisinį pagrindą;
19.3. duomenų subjekto prašymas pateikiamas lietuvių kalba. Prašymas gali būti pateiktas registruotu paštu, įteikiant asmeniškai ar elektroninio ryšio priemonėmis, kuriomis galima būtų identifikuoti asmens tapatybę. Pateikiant registruotu paštu, prie prašymo turi būti asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro arba advokato;
19.4. duomenų subjekto teisė nesutikti įgyvendinama tuo atveju, kai asmens duomenys tvarkomi vadovaujantis BDAR ir kad ji yra įgyvendinama prieš atliekant asmens duomenų tvarkymo
veiksmus;
19.5. duomenų subjektas turi teisę išreikšti savo nesutikimą per 10 kalendorinių dienų;
19.6 jeigu duomenų subjektas per duomenų valdytojo nustatytą terminą šia teise nepasinaudoja, duomenų valdytojas tvarko duomenų subjekto duomenis;
20. Duomenų subjekto teisė susipažinti su savo tvarkomais duomenimis Įstaigoje įgyvendinama šia tvarka: duomenų subjektas pateikia rašytinį prašymą, atitinkantį 19.3 punkte nurodytus reikalavimus. Prašyme nurodo su kokias tvarkomais duomenimis nori susipažinti.
21. Duomenų subjekto teisė nesutikti su duomenų tvarkymu Įstaigoje įgyvendinama tokia pačia tvarka kaip ir teisė susipažinti su savo tvarkomais duomenimis.
V SKYRIUS
ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS
22. Įstaigos organizacinės ir techninės duomenų saugumo priemonės turi užtikrinti trečiąjį automatiniu būdu tvarkomų asmens duomenų saugumo lygį.
23. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:
23.1. Įstaigoje įsakymu paskiriamas duomenų valdymo įgaliotinis ir informacinės sistemos administratorius;
23.2. tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonių. Už priemonių įgyvendinimą ir priežiūrą atsako už kompiuterinių sistemų priežiūrą atsakingas darbuotojas;
23.3. griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis. Už priemonės įgyvendinimą ir priežiūrą atsako darbuotojas atsakingas priešgaisrinę saugą;
23.4. tinkamas darbo organizavimas ir kitos administracinė priemonės. Už priemonės įgyvendinimą ir priežiūrą atsako duomenų apsaugos pareigūnas.
24. Duomenų valdytojas ir duomenų tvarkytojai privalo užtikrinti Bendruosiuose reikalavimuose organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintuose VDAI direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-12 (1.12), ir Asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gairėse numatytas saugumo priemones.
VI SKYRIUS
ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS
25. Tais atvejais, kai Įstaiga įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Įstaigos ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.
26. Sprendimą perduoti Duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui atitinkamo Įstaigos padalinio teikimu priima Įstaigos vadovas.
27. Teikimą pasitelkti Duomenų tvarkytoją vykdžiusio Įstaigos padalinio vadovas privalo parinkti tokį Duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.
28. Įstaiga, sutartyje įgaliodama Duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas duomenų valdytojo vardu. Duomenų tvarkytojai, kurie tvarko Duomenų subjekto duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami duomenų tvarkymo sutartį, nebent tokia informacija butų vieša pagal galiojančių įstatymų ir kitų teisės aktų nuostatas.
VII SKYRIUS
ĮSTAIGOS REGISTRAVIMAS ASMENS DUOMENŲ VALDYTOJU
29. Kai Įstaiga automatiniu būdu ketina tvarkyti naujus asmens duomenis nauju tikslu, Įstaigos vadovo įsakymu paskirtas Darbuotojas teisės aktų nustatyta tvarka pateikia Valstybinei duomenų apsaugos inspekcijai pranešimą dėl duomenų tvarkymo arba pranešimą dėl išankstinės patikros.
30. Pranešimą dėl duomenų tvarkymo arba pranešimą dėl išankstinės patikros pateikęs Įstaigos darbuotojas yra atsakingas už papildomos informacijos Valstybinei duomenų apsaugos inspekcijai pateikimą ir kitų reikalingų veiksmų atlikimą, siekiant, kad Įstaiga būtų įregistruota asmens duomenų valdytoju asmens duomenų valdytojų valstybės registre.
VIII SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA
31. Duomenų valdytojo ar duomenų tvarkytojo darbuotojai, turintys prieigos prie asmens duomenų teisę, pastebėję duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti duomenų valdytojo vadovą ar paskirtą atsakingą asmenį.
32. Įvertinus duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, kiekvienu konkrečiu atveju Įstaigos vadovas priima sprendimus dėl priemonių, reikiamų duomenų apsaugos pažeidimui ir jo padariniams pašalinti.
IX SKYRIUS
ASMENS DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
33. Duomenų teikimas tretiesiems asmenims:
33.1. neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik jeigu Rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie pacientą telefonu neteikiama.
33.2. Vienkartinio duomenų teikimo atveju Įstaiga, teikdama asmens duomenis pagal duomenų gavėjo rašytinį prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.
34. Konfidencialumo reikalavimas netaikomas ir informacija (asmens duomenys) gali būti suteikta tik tarnybiniais tikslais, neturint raštiško paciento sutikimo:
34.1. sveikatos priežiūros įstaigoms, kuriose yra/buvo gydomas, slaugomas pacientas (Duomenų subjektas) arba atliekama jo sveikatos ekspertizė;
34.2. teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms, savivaldybių vaiko teisių apsaugos skyriams bei kitoms institucijoms, kurioms tokį teisinį pagrindą suteikia Lietuvos Respublikos įstatymai.
X SKYRIUS
BAIGIAMOSIOS NUOSTATOS
35. Darbuotojai, kurie yra įgalioti tvarkyti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų ADTAĮ ir šiose Taisyklėse. Darbuotojai pažeidę Taisykles ir (ar) ADTAĮ atsako teisės aktų nustatyta tvarka.
36. Su šiomis Taisyklėmis pasirašytinai arba elektroninėmis priemonėmis supažindinami visi Įstaigoje dirbantys ir naujai įdarbinti gydytojai, sveikatos priežiūros specialistai, asmens duomenų apsaugos pareigūnas ir kiti darbuotojai, atsakingi už medicininių paslaugų organizavimą, vykdymą ir kontrolę.
37. Įstaiga užtikrina darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, mokymus.
38. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę atsakingas Įstaigos vadovo įsakymu paskirtas duomenų apsaugos pareigūnas, kuris, įvertinęs Taisyklių taikymo praktiką, esant poreikiui, inicijuoja Taisyklių atnaujinimą.