Turinys
1. Pagrindinės politikoje vartojamos sąvokos. 3
2. Bendrosios nuostatos. 4
3. Duomenų tvarkymo veiklos įrašai 5
4. Pritaikytoji ir standartizuotoji duomenų apsauga. 6
5. Darbuotojų duomenų tvarkymas vidaus administravimo tikslais. 7
6. Kandidatų į darbo vietas atranka. 8
7. Pacientų duomenų tvarkymas paslaugų teikimo tikslais. 8
8. Asmens duomenų tvarkymas siekiant priminti Pacientams apie numatomus vizitus. 9
9. Duomenų tvarkymas tiesioginės rinkodaros tikslu.. 9
10. Tinkamas duomenų subjektų informavimas. 9
11. Tvarkomų duomenų apimties ribojimas. 11
12. Duomenų saugojimo terminai 12
13. Duomenų sunaikinimas. 12
14. Duomenų subjektų teisės. 13
15. Duomenų perdavimas į trečiąsias valstybes ar tarptautinėms organizacijoms. 13
16. Duomenų apsaugos pareigūnas. 14
17. Asmens duomenų saugumo pažeidimų valdymo ir reagavimo į tokius pažeidimus tvarka. 15
18. Duomenų tvarkytojai 15
19. Techninės ir organizacinės asmens duomenų saugumo priemonės. 16
20. Darbuotojų mokymas. 18
21. Atsakomybė. 18
22. Baigiamosios nuostatos. 18
23. Politikos priedai 18
PATVIRINTA
UAB „Socialiniai ir sveikatos projektai”
Direktoriaus pavaduotojos bendriesiems reikalams
2018 m. gegužės 25 d. įsakymu Nr. V-08-A1/18
(atnaujinta 2021 m. rugpjūčio 11 d. įsakymu Nr. V-15/21 )
UAB „SOCIALINIAI IR SVEIKATOS PROJEKTAI”
ASMENS DUOMENŲ TVARKYMO POLITIKA
1. Pagrindinės politikoje vartojamos sąvokos
1.1. ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.
1.2. Atsakingas darbuotojas – Duomenų valdytojo Darbuotojas, kuris pagal jo darbo pobūdį turi teisę vykdyti konkrečias su Duomenų tvarkymu susijusias funkcijas.
1.3. DAP – duomenų apsaugos pareigūnas.
1.4. Darbuotojas – asmuo, kuris su Duomenų valdytoju yra sudaręs darbo arba panašaus pobūdžio sutartį.
1.5. Duomenys apie sveikatą – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.
1.6. Duomenys/Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
1.7. Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne.
1.8. Duomenų subjektas – Duomenų valdytojo Pacientas, darbuotojas, kandidatas į darbo vietą ar kitas fizinis asmuo, kuriuo asmens duomenis tvarko Duomenų valdytojas.
1.9. Duomenų tvarkymas reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, tokius kaip: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas.
1.10. Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko asmens duomenis.
1.11. Duomenų valdytojas – UAB „Socialiniai ir sveikatos projektai”, juridinio asmens kodas 300079456, registracijos adresas Vilniaus m. sav. Vilniaus m. Ąžuolyno g. 5A.
1.12. BDAR– Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).
1.13. Kandidatas – asmuo, dalyvaujantis ar siekiantis dalyvauti Duomenų valdytojo vykdomoje personalo atrankoje.
1.14. Pacientas – asmuo, kuris naudojasi Duomenų valdytojo teikiamomis paslaugomis arba naudojosi jomis praeityje.
1.15. Prieiga prie duomenų – Duomenų valdytojo darbuotojams ir paslaugų teikėjams (duomenų tvarkytojams) suteikiama galimybė automatinėmis ir/ar neautomatinėmis priemonėmis susipažinti su tvarkomais asmens duomenimis. Darbuotojams suteikiama prieiga skirstoma pagal jų atliekamas darbines funkcijas – prie darbuotojų asmens duomenų prieiga suteikiama administracijos darbuotojams, tuo tarpu prie Pacientų asmens duomenų turi prieigą sveikatos priežiūros paslaugas teikiantys darbuotojai.
1.16. Kompiuterinė įranga – kompiuteriai, terminalai, serveriai, laikmenos, kita Duomenų valdytojui teisėtu pagrindu (nuosavybės teise, nuomos ar kitais pagrindais) priklausanti kompiuterinė įranga ir joje esanti programinė įranga, tame tarpe elektroninė pašto dėžutė, bendravimo interneto tinklu programos, debesų kompiuterijos paslaugos, interneto prieiga.
1.17. Politika reiškia šią Asmens duomenų tvarkymo politiką.
1.18. Registratūros darbuotojai – Duomenų valdytojo klinikoje dirbantys registratoriai, vyr. registratoriai.
1.19. Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas, arba asmenys, kuriems tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
1.20. Vaizdo duomenų įrašymo įrenginiai – serveriai ir (arba) Duomenų valdytojo turto apskaitoje esantys skaitmeniniai įrenginiai, skirti vaizdo duomenims įrašyti, saugoti, peržiūrėti ir kopijuoti.
1.21. Vaizdo įrašas – šios Politikos priede nurodytomis vaizdo stebėjimo kameromis užfiksuoti ir serveriuose ir (arba) vaizdo duomenų įrašymo įrenginiuose išsaugoti vaizdo duomenys.
1.22. Vaizdo stebėjimas – vaizdo duomenų, susijusių su fiziniu asmeniu, tvarkymas naudojant šios Politikos priede nurodytas vaizdo stebėjimo kameras, nepaisant to, ar šie duomenys yra išsaugomi duomenų laikmenoje.
1.23. Vaizdo stebėjimo sistema – serveriai ir (arba) vaizdo duomenų įrašymo įrenginiai, vaizdo stebėjimo kameros ir duomenų laikmenos, kuriose saugomi vaizdo duomenys.
1.24. Kitos Politikoje vartojamos sąvokos atitinka BDAR ir ADTAĮ vartojamas sąvokas.
2. Bendrosios nuostatos
2.1. Šios Politikos paskirtis – reglamentuoti asmens duomenų tvarkymo procedūras, duomenų subjektų teisių įgyvendinimą ir technines bei organizacines priemones, skirtas apsaugoti asmens duomenis pagal BDAR, ADTAĮ, ERĮ ir kitus teisės aktus, nustatančius asmens duomenų apsaugą.
2. Ši Politika taikoma tvarkant duomenų subjekto duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas. Ši Politika taip pat nustato Duomenų valdytojo darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
2.3. Duomenų valdytojas užtikrina, kad jo vykdoma veikla atitinka šiuos esminius su asmens duomenų tvarkymu susijusius principus:
2.3.1. Asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
2.3.2. Asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);
2.3.3. Asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
2.3.4. Asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
2.3.5. Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, reikalingų siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
2.3.6. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
2.3.7. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi aukščiau nurodytų principų, ir turi sugebėti įrodyti, kad jų yra laikomasi (atskaitomybės principas).
2.4. Duomenys tvarkomi tinkamai informavus duomenų subjektus laikantis 6 Politikos skyriuje ir BDAR numatytų reikalavimų.
2.5. Duomenys saugomi laikotarpius, nurodytus šioje Politikoje kiekvienam asmens duomenų tipui. Saugojimas ir trynimas atliekami pagal procedūras, numatytas 13 ir 14 Politikos skyriuose.
2.6. Atsakingi darbuotojai privalo:
2.6.1. Tvarkyti asmens duomenis vadovaudamiesi Europos Sąjungos ir Lietuvos Respublikos teisės aktais, taip pat šia Politika ir kitais Duomenų valdytojo priimtais duomenų tvarkymą reglamentuojančiais vidaus dokumentais;
2.6.2. Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su duomenimis asmenims, kurie nėra įgalioti tvarkyti duomenų;
2.6.3. Nedelsiant pranešti Duomenų valdytojui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę duomenų saugumui.
2.7. Atsakingas darbuotojas netenka teisės tvarkyti asmens duomenis, kai pasibaigia Atsakingo darbuotojo darbo sutartis su Duomenų valdytoju, arba kai pasikeitus Atsakingo darbuotojo užimamoms pareigoms asmens duomenys tampa nebereikalingi darbo funkcijoms vykdyti.
2.8. Darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumo principo darbuotojai turi laikytis ir pasibaigus darbo santykiams.
2.9. Duomenys perduodami duomenų tvarkytojams ir duomenų gavėjams kai teisę ir (ar) pareigą tai daryti atitinkamais pagrindais suteikia teisės aktai.
2.10. Duomenų valdytojas gali pateikti asmens duomenis ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl administracinių, civilinių, baudžiamųjų bylų, kaip įrodymus ar kitais įstatymų nustatytais atvejais.
3. Duomenų tvarkymo veiklos įrašai
3.1. Siekdamas tinkamai įgyvendinti atskaitomybės principą, DAP skiriamas atsakingu už tinkamą duomenų tvarkymo veiklos įrašų pildymą registruojant tvarkymo operacijas Duomenų valdytojo atsakomybe.
3.2. Visos Duomenų valdytojo vykdomo asmens duomenų tvarkymo operacijos aprašomos duomenų tvarkymo veiklos įrašuose.
3.3. Duomenų tvarkymo veiklos įrašuose esanti informacija yra tikrinama ir atnaujinama taip, kad atitiktų faktinę padėtį.
3.4. Įgaliotai valdžios institucijai pateikus pagrįstą reikalavimą susipažinti su duomenų tvarkymo veiklos įrašais, juos per prašyme nustatytą terminą pateikia DAP. Duomenų tvarkymo veiklos įrašai turi būti saugomi tokiu formatu ir tokia forma, kad tai būtų galima atlikti nepagrįstai nedelsiant.
4. Pritaikytoji ir standartizuotoji duomenų apsauga
4.1. Duomenų valdytojas savo veikloje laikosi pritaikytosios ir standartizuotos duomenų apsaugos principų.
4.2. Pritaikytoji duomenų apsauga reiškia, kad kiekviena nauja programa ar sistema naudojanti asmens duomenis turi būti kuriama atsižvelgiant į tokių duomenų apsaugą. Į privatumą turi būti atsižvelgiama per visą programos ar sistemos gyvavimo laiką. Priklausomai nuo programos arba sistemos teikiamų paslaugų ar produktų pobūdžio, turi būti vertinama techninė, administracinė, teisinė atitiktis duomenų apsaugos teisiniam reglamentavimui.
4.3. Kaip priemonės, kuriomis turėtų būti vadovaujamasi siekiant pritaikytosios duomenų apsaugos principo įgyvendinimo, paminėtini:
4.3.1. Surinkto duomenų kiekio ribojimas;
4.3.2. Kontrolės galimybė;
4.3.3. Skaidrumas;
4.3.4. Vartotojui draugiškų sistemų diegimas;
4.3.5. Duomenų konfidencialumo ir kokybės užtikrinimas;
4.3.6. Pseudonimų suteikimas;
4.3.7. Kuo skubesnis duomenų anonimizavimas;
4.3.8. Galimybės stebėti duomenų tvarkymą suteikimas duomenų subjektams;
4.3.9. Galimybės tobulinti ir įgyvendinti naujas apsaugos priemones užsitikrinimas;
4.3.10. Tinkamas darbuotojų mokymas;
4.3.11. Auditų ir Politikos peržiūrų vykdymas;
4.3.12. Duomenų naudojimo ribojimas.
4.4. Standartizuotoji duomenų apsauga kelia reikalavimą taikyti griežčiausius privatumo nustatymus tam tikrai programai ar sistemai kai tik ta programa ar sistema tampa prieinama duomenų subjektams.
4.5. Kaip priemonių, skirtų standartizuotajai duomenų apsaugai įgyvendinti, pavyzdžiai paminėtini:
4.5.1. Standartizuotai tvarkomi tik tie duomenys. kurie yra būtini konkrečiam duomenų tvarkymo tikslui;
4.5.2. Technologinės priemonės turi būti suprojektuotos taip, kad būtų galima išvengti nereikalingo duomenų tvarkymo;
4.5.3. Duomenų apsaugai palankūs numatytieji nustatymai;
4.5.4. Funkcijos, kurios nėra būtinos, turi būti konfigūruojamos.
4.6. Šiomis priemonėmis siekiama veiksmingai įgyvendinti duomenų apsaugos principus, kaip antai duomenų kiekio mažinimo principą, ir į duomenų tvarkymą integruoti būtinas apsaugos priemones, kad jis atitiktų BDAR reikalavimus ir apsaugotų duomenų subjektų teises.
4.7. Jeigu nauja ar reikšmingai atnaujinama programa ar sistema apima naujų technologijų naudojimą arba yra pagrindo manyti, kad nauja programa ar sistema gali turėti didelį poveikį asmenų privatumui ir kitoms susijusioms teisėms, kūrimo ar atnaujinimo projektui vadovaujantis darbuotojas turi inicijuoti poveikio duomenų apsaugai vertinimą remdamasis Poveikio duomenų apsaugai vertinimo procedūra (Politikos priedas Nr. 3).
4.8. Nauja ar reikšmingai atnaujinta programa ar sistema, kurios veikimas susijęs su asmens duomenimis, nėra pradedami naudoti tol, kol nėra gautas DAP vertinimas arba, kai to reikia, poveikio vertinimo ataskaita, ir nėra patvirtinimo apie atitikimą BDAR ir kitų susijusių teisės aktų reikalavimams.
5. Darbuotojų duomenų tvarkymas vidaus administravimo tikslais
5.1. Vidaus administravimo tikslais Duomenų valdytojas tvarko tokius darbuotojų asmens duomenis:
5.1.1. Vardas;
5.1.2. Pavardė;
5.1.3. Asmens kodas;
5.1.4. Gyvenamosios vietos adresas;
5.1.5. Gimimo data;
5.1.6. Asmens tapatybę patvirtinančio dokumento numeris;
5.1.7. Banko sąskaitos numeris;
5.1.8. Darbo užmokesčio dydis;
5.1.9. Socialinio draudimo numeris;
5.1.10. Asmeninis telefono numeris;
5.1.11. Duomenys apie sveikatą;
5.1.12. Kita su darbo santykiais susijusiame kontekste būtina tvarkyti informacija.
5.2. Darbuotojų duomenys gaunami tiesiogiai iš duomenų subjektų, Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos, Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos (toliau – Sodra).
5.3. Nuolatiniais duomenų gavėjais yra Sodra, Valstybinė mokesčių inspekcija, Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos ir Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos. Darbuotojų duomenys taip pat pateikiami VĮ Registrų centras.
5.4. Duomenų valdytojas prieigą prie asmens duomenų gali suteikti IT ir buhalterinės programos aptarnavimo paslaugas teikiančioms bendrovėms, veikiančioms kaip duomenų tvarkytojai.
5.5. Kitiems duomenų gavėjams darbuotojų duomenys gali būti perduodami ar teikiami susipažinti tik šių prašymu esant teisėtam perdavimo pagrindui, kai tą leidžia įstatymai ir kiti teisės aktai ir tik Duomenų valdytojo vadovo ar jo įgalioto asmens sprendimu.
5.6. Gavus darbuotojo sutikimą (Politikos priedas Nr. 5), jo atvaizdas (nuotraukos) yra viešai skelbiamos Įstaigos interneto svetainėje ir socialinių tinklų paskyrose.
5.7. Darbuotojai apie jų duomenų tvarkymą informuojami juos supažindinant su šia Politika.
6. Kandidatų į darbo vietas atranka
6.1. Duomenų valdytojas atrankos į darbo vietas tikslais tvarko tokius kandidatų pateiktus asmens duomenis:
6.1.1. Vardas;
6.1.2. Pavardė;
6.1.3. Gimimo data;
6.1.4. Lytis;
6.1.5. Gyvenamosios vietos adresas;
6.1.6. El. pašto adresas;
6.1.7. Telefono numeris;
6.1.8. Profesinė patirtis;
6.1.9. Išsilavinimas;
6.1.10. Specializacija;
6.1.11. Kiti kandidato savanoriškai pateikti jo gyvenimo aprašyme ir/ar kituose pateiktuose dokumentuose esantys duomenys.
6.2. Duomenys gaunami tiesiogiai iš kandidatų ir nėra perduodami tretiesiems asmenims, tačiau Duomenų valdytojas prieigą prie asmens duomenų gali suteikti IT ir buhalterinės programos aptarnavimo paslaugas teikiančioms bendrovėms, veikiančioms kaip duomenų tvarkytojai.
6.3. Tuo atveju, jei Lietuvos Respublikos teisės aktai numato papildomų apribojimų dėl to, kokia informacija apie kandidatus gali būti tvarkoma, Duomenų valdytojas užtikrina, kad būtų tvarkomi tik leidžiami tvarkyti kandidatų asmens duomenys.
7. Pacientų duomenų tvarkymas paslaugų teikimo tikslais
7.1. Sveikatos priežiūros paslaugų teikimo ir administravimo, asmenų registracijos bei sveikatos apsaugos tikslais Duomenų valdytojas tvarko tokius Pacientų asmens duomenis:
7.1.1. Vardas;
7.1.2. Pavardė;
7.1.3. Asmens kodas;
7.1.4. Gimimo data;
7.1.5. Lytis;
7.1.6. Telefono numeris;
7.1.7. El. pašto adresas;
7.1.8. Gyvenamoji vieta (adresas);
7.1.9. Informacija apie gydymąsi kitose įstaigose;
7.1.10. Duomenys apie sveikatą;
7.1.11. Kontaktiniai asmenys.
7.2. Tuo atveju, jei Pacientas yra atstovaujamas kito asmens, Duomenų valdytojas tvarko tokius Paciento atstovo asmens duomenis:
7.2.1. Vardas;
7.2.2. Pavardė;
7.2.3. Ryšys su Pacientu;
7.2.4. Telefono numeris;
7.2.5. El. pašto adresas;
7.2.6. Gyvenamoji vieta (adresas).
7.3. Duomenys taip pat gaunami pateikiant užklausas reikalingą informaciją tvarkantiems ir turintiems teisę juos teikti subjektams (Teritorinėms ligonių kasoms, kitoms sveikatos priežiūros įstaigoms).
7.4. Teisės aktų nustatytais atvejais ir tvarka Pacientų duomenys perduodami Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos ir Teritorinėms ligonių kasoms. Gavus užklausą ir esant teisiniam duomenų perdavimo pagrindui, duomenys gali būti pateikiami kitoms sveikatos priežiūros įstaigoms.
7.5. Tuo atveju, jei Pacientas yra sudaręs sveikatos draudimo sutartį, Paciento pageidavimu duomenys kaip duomenų gavėjui pateikiami draudimo bendrovei.
7.6. Duomenų valdytojas prieigą prie asmens duomenų gali suteikti IT aptarnavimo paslaugas teikiančioms bendrovėms, veikiančioms kaip duomenų tvarkytojai.
8. Asmens duomenų tvarkymas siekiant priminti Pacientams apie numatomus vizitus
8.1. Duomenų valdytojas, siekdamas su sutarties su Pacientu sudarymu ir/ar vykdymu susijusio tikslo priminti Pacientams apie sutartus numatomus vizitus. Šiuo tikslu tvarkomi tokie Pacientų asmens duomenys:
8.1.1. Vardas;
8.1.2. Pavardė;
8.1.3. El. pašto adresas;
8.1.4. Telefono numeris;
8.1.5. Numatomi vizitai ir jų datos.
8.2. Duomenys, tvarkomi siekiant priminti Pacientams apie numatomus vizitus, Duomenų valdytojo gaunami tiesiogiai iš Pacientų ir nėra perduodami tretiesiems asmenims, tačiau Duomenų valdytojas prieigą prie asmens duomenų gali suteikti IT aptarnavimo paslaugas teikiančioms bendrovėms, veikiančioms kaip duomenų tvarkytojai.
9. Duomenų tvarkymas tiesioginės rinkodaros tikslu
9.1. Duomenų valdytojas tiesioginės rinkodaros tikslu (specialių pasiūlymų siuntimui trumposiomis žinutėmis ir el. paštu) automatiniu būdu tvarko tokius sutikimą davusių Pacientų asmens duomenis:
9.1.1. Vardas;
9.1.2. Pavardė;
9.1.3. Telefono numeris;
9.1.4. El. pašto adresas.
9.2. Duomenys, tvarkomi tiesioginės rinkodaros tikslu, Duomenų valdytojo nėra teikiami tretiesiems asmenims, tačiau Duomenų valdytojas prieigą prie asmens duomenų gali suteikti IT aptarnavimo paslaugas teikiančioms bendrovėms, veikiančioms kaip duomenų tvarkytojai.
10. DUOMENŲ TVARKYMAS vaizdo stebėjimo tikslu
10.1. Duomenų valdytojas vaizdo stebėjimo tikslais, siekiant užtikrinti Duomenų valdytojo darbuotojų, pacientų ir kitų asmenų (lydinčiųjų, atvykusių ir pan.) saugumą, nuosavybės teisės apsaugą, garantuoti turto saugumą ir neliečiamumą, konfliktinių situacijų sprendimą ir jų valdymą, tvarko tokius duomenis: į vaizdo stebėjimo kamerų stebėjimo lauką patenkantis vaizdas (be garso, be biometrinių duomenų funkcijos).
10.2. Vaizdo stebėjimas vykdomas tik šios Politikos 25.1.6 papunkčio priede – Plane nustatytose Duomenų valdytojo naudojamo statinio teritorijose, bendrojo naudojimo patalpose ir pažymėtose palatose, kuriose teikiamos asmens psichikos sveikatos priežiūros paslaugos ūmių psichikos ir elgesio sutrikimų turintiems pacientams, todėl įrašomi ir tvarkomi į vaizdo stebėjimo kamerų stebėjimo lauką patenkantis vaizdas (be biometrinių duomenų funkcijos) (toliau – Duomenys ar vaizdo duomenys). Vaizdo stebėjimo kameros įrengtos taip, kad vaizdo stebėjimas nebūtų vykdomas didesnėje Duomenų valdytojo teritorijoje ar patalpoje nei keliamas tikslas.
10.3. Visose patalpose, kuriose vyksta vaizdo stebėjimas ir jo įrašymas, apie tai informuoja informuojantys užrašai.
10.4. Hospitalizuojamas pacientas ir (ar) jo atstovas pasirašytinai supažindinami su tuo, kad Duomenų valdytojo patalpose vykdomas vaizdo stebėjimas ir jo įrašymas. Tokiu atveju, hospitalizuojamas pacientas ir (ar) jo atstovas tinkamai užpildo ir pasirašo atitinkamą Paciento pareiškimą dėl asmens duomenų tvarkymo teikiant stacionarines asmens sveikatos priežiūros paslaugas (Politikos 25.1.7 papunkčio priedas) ar Paciento pareiškimą dėl asmens duomenų tvarkymo teikiant anonimines stacionarines asmens sveikatos priežiūros paslaugas (Politikos 25.1.8 papunkčio priedas).
10.5. Duomenų valdytojų darbuotojai apie vaizdo stebėjimą darbo vietoje, duomenų valdytojo patalpose ar teritorijoje, kuriose dirba, informuojami pasirašytinai šios Politikos priede nustatyta Informavimo apie darbuotojo vaizdo duomenų tvarkymą forma (Politikos 25.1.9 papunkčio priedas). Ši forma pateikiama Duomenų valdytojo darbuotojui pasirašyti prieš pradedant vykdyti vaizdo stebėjimą arba pirmąją darbuotojo darbo dieną, arba pirmąją darbo dieną po darbuotojo atostogų, nedarbingumo laikotarpio ir pan., jei vaizdo stebėjimas buvo pradėtas vykdyti šiuo laikotarpiu.
11. Tinkamas duomenų subjektų informavimas
11.1. Duomenų subjektams prieš pradedant tvarkyti jų asmens duomenis būtina pateikti informaciją apie:
11.1.1. Duomenų valdytojo pavadinimą, rekvizitus ir kontaktinius duomenis;
11.1.2. Duomenų tvarkymo tikslus;
11.1.3. Duomenų tvarkymo teisinį pagrindą;
11.1.4. Duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;
11.1.5. Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
11.1.6. Teisę prašyti, kad duomenų valdytojas leistų susipažinti su duomenų subjekto asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad duomenys būtų tvarkomi, taip pat teisę į duomenų perkeliamumą;
11.1.7. Teisę pateikti skundą priežiūros institucijai;
11.1.8. Jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;
11.1.9. Kai taikoma, apie duomenų valdytojo ketinimą asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai;
11.1.10. Kai taikoma, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.
11.2. Tuo atveju, jei duomenų teisinio tvarkymo pagrindu yra teisinė prievolė ar sutartis, duomenų subjektui pateikiama ši informacija:
11.2.1. Informacija apie tai, ar duomenų subjektas privalo pateikti asmens duomenis ir galimas pasekmes nepateikus tokių duomenų;
11.2.2. Informacija apie tai, ar duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį.
11.3. Tuo atveju, jei asmens duomenys tvarkomi remiantis duomenų subjekto sutikimu, šiam pateikiama informacija apie teisę atsiimti savo sutikimą bet kuriuo metu.
11.4. Tuo atveju, jei asmens duomenys gauti ne iš duomenų subjekto, turi būti pateikiama aukščiau išvardyta informacija, išskyrus nurodytą 11.2 punkte, bei papildomai ši informacija:
11.4.1. Asmens duomenų kategorijos, kurias planuojama tvarkyti;
11.4.2. Koks yra asmens duomenų kilmės šaltinis ir ar duomenys gauti iš viešai prieinamų šaltinių.
11.5. 11.1 – 11.4 punktai netaikomi, jeigu duomenų subjektas jau turi informaciją, ir tiek, kiek tos informacijos jis turi.
11.6. Duomenų gavimo ne iš duomenų subjekto atveju, informacija pateikiama per:
11.6.1. Vieną mėnesį nuo duomenų gavimo;
11.6.2. Jei duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
11.6.3. Jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
11.7. Informacija turi būti pateikiama glausta, skaidria, aiškia ir lengvai prieinama forma, aiškia ir paprasta kalba.
11.8. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, tačiau visais atvejais apie konkretų asmenį renkama informacija pateikiama tik duomenų subjektui įrodžius savo tapatybę ir pateikus pasirašytą prašymą ar jo kopiją.
11.9. Pareiga pateikti informaciją netaikoma tiek, kiek:
11.9.1. Tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų. Tokiais atvejais Duomenų valdytojas imasi tinkamų priemonių duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
11.9.2. Duomenų gavimo ar atskleidimo faktas aiškiai nustatytas ES arba Lietuvos Respublikos teisės aktuose, kuriuose nustatytos tinkamos teisėtų Duomenų subjekto interesų apsaugos priemonės;
11.9.3. Kai asmens duomenys privalo išlikti konfidencialūs laikantis Europos Sąjungos ar Lietuvos Respublikos teisėje reglamentuojamos profesinės paslapties prievolės.
11.10. Sutikimas, gautas duomenų subjektui pirmiausia nepateikus privalomos pateikti informacijos, nėra laikomas tinkamu.
12. Tvarkomų duomenų apimties ribojimas
12.1. Duomenų valdytojas taiko skirtingus asmens duomenų saugojimo terminus priklausomai nuo tikslo, kuriuo remiantis tvarkomi konkretūs asmens duomenys.
12.2. Siekiant mažinti Duomenų valdytojo tvarkomų duomenų apimtį, su asmens duomenimis dirbantys darbuotojai kartą per metus atlieka savo žinioje tvarkomų duomenų analizę, siekdami išsiaiškinti, ar nėra tvarkomi duomenys, kurie nėra aprašyti duomenų tvarkymo veiklos įrašuose, taip pat ar nėra duomenų, kurie tapo nebereikalingi arba kurių tvarkymui nebeliko teisinio pagrindo (pvz. atsiimtas sutikimas, pasikeitus teisės aktams nebeliko teisinės prievolės juos tvarkyti, pasibaigė sutartis, kurios pagrindu buvo tvarkomi asmens duomenys ir pan.).
12.3. Identifikavę perteklinius, nebenaudojamus duomenis, arba duomenis, kurių tvarkymui nebeliko teisinio pagrindo, darbuotojai imasi atitinkamų priemonių, skirtų pašalinti galimam duomenų tvarkymo neatitikimui BDAR ir kitų teisės aktų nuostatoms bei praneša DAP, kuris pagal poreikį pakoreguoja duomenų tvarkymo veiklos įrašus.
13. Duomenų saugojimo terminai
13.1. Duomenų valdytojas taiko skirtingus asmens duomenų saugojimo terminus priklausomai nuo tikslo, kuriuo remiantis tvarkomi konkretūs asmens duomenys.
13.2. Duomenų valdytojas taiko šiuos asmens duomenų saugojimo terminus:
Nr.
Asmens duomenų tvarkymo tikslas
Saugojimo terminas
1 Vidaus administravimas
Iki 50 metų po darbo sutarties nutraukimo vadovaujantis Bendrųjų dokumentų saugojimo terminų rodyklėje nustatytų terminų
2. Kandidatų į darbo vietas atranka
6 mėnesiai nuo atrankos į darbo vietą pabaigos
3. Sveikatos priežiūros paslaugų teikimas ir administravimas, asmenų registracija bei sveikatos apsauga
Ambulatorinio gydymo atveju duomenys saugomi 15 metų, o gydymo stacionare atveju – 25 metus nuo tada, kai Pacientas nustojo lankytis įstaigoje (remiantis LR SAM 1999-11-29 įsakymu Nr. 515)
4. Priminimas Pacientams apie numatomus vizitus
Tol, kol asmuo yra Duomenų valdytojo Pacientu
5. Tiesioginės rinkodaros vykdymas
Kai Pacientas yra davęs sutikimą – 4 metai nuo paskutinio Paciento apsilankymo dienos
6. Vaizdo stebėjimo vykdymas
4 savaitės nuo vaizdo duomenų įrašymo į vaizdo duomenų įrenginius
13.3. Išimtys iš nustatytų saugojimo terminų gali būti nustatomos tiek, kiek tokie nukrypimai nepažeidžia duomenų subjektų teisių, atitinka teisinius reikalavimus ir yra tinkamai dokumentuoti.
13.4. Duomenys, reikalingi siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus saugomi tiek, kiek šie yra būtini tokiems tikslams pasiekti pagal teisminę, administracinę arba neteisminę procedūrą.
14. Duomenų sunaikinimas
14.1. Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys padaromi neatkuriamais įprastinėmis komerciškai prieinamomis priemonėmis.
14.2. Elektronine forma saugomi asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.
14.3. Už elektronine forma saugomų asmens duomenų rinkmenų sunaikinimą atsako konkrečiu kompiuteriu, kuriame saugomos asmens duomenų rinkmenos, dirbantis darbuotojas.
14.4. Už Duomenų valdytojo duomenų bazėse ir IT sistemose esančių duomenų sunaikinimą atsakingi šias sistemas administruojantys darbuotojai.
15. Duomenų subjektų teisės
15.1. Duomenų subjektas BDAR nustatyta tvarka gali įgyvendinti šias teises:
15.1.1. Teisė būti informuotam apie savo duomenų tvarkymą;
15.1.2. Teisė susipažinti su savo duomenimis ir kaip jie yra tvarkomi (prieigos teisė);
15.1.3. Teisė reikalauti ištrinti savo asmens duomenis (ištrynimo teisė arba teisė būti pamirštam);
15.1.4. Reikalauti ištaisyti arba, atsižvelgiant į asmens duomenų tvarkymo tikslus papildyti asmens neišsamius asmens duomenis (teisė į patikslinimą);
15.1.5. Teisė apriboti duomenų tvarkymą;
15.1.6. Teisė į duomenų perkeliamumą;
15.1.7. Teisė prieštarauti duomenų tvarkymui;
15.1.8. Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu.
15.2. Teisės, nurodytos Politikos 15.1.2 – 15.1.8 punktuose, įgyvendinamos pagal Duomenų subjektų prašymų vykdymo procedūrą (Politikos priedas Nr. 1).
15.3. Duomenų valdytojas turi informuoti duomenų subjektus apie jų teises aiškia, glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.
15.4. Duomenų valdytojas turi teisę motyvuotai atsisakyti leisti duomenų subjektui įgyvendinti jo teises kai, įstatymų numatytais atvejais, reikia užtikrinti nusikaltimų, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, taip pat duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą.
15.5. Duomenų valdytojas taip pat gali motyvuotai atsisakyti vykdyti duomenų subjekto prašymą tada, jei jį nagrinėdamas Duomenų valdytojas nustato, kad šis yra akivaizdžiai nepagrįstas ar neproporcingas (pavyzdžiui, dėl pasikartojančio turinio), arba imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas. Tokiu atveju atsisakymą pateikiantis Duomenų valdytojo darbuotojas turi aprašyti argumentus, kuriais remiantis prašymas pripažintas akivaizdžiai nepagrįstu arba neproporcingu.
16. Duomenų teikimas tretiesiems asmenims
16.1. Duomenų teikimas tretiesiems asmenims:
16.1.1. Neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik jeigu Rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie pacientą telefonu neteikiama.
16.1.2. Vienkartinio duomenų teikimo atveju Duomenų valdytojas, teikdamas asmens duomenis pagal duomenų gavėjo rašytinį prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis. Teikiant duomenis el. paštu, užtikrinamas šifravimas ar kitos priemonės, užtikrinančios saugų duomenų perdavimą išorės tinklais.
16.2. Konfidencialumo reikalavimas netaikomas ir informacija (asmens duomenys) gali būti suteikta tik tarnybiniais tikslais, neturint raštiško paciento sutikimo.
16.2.1. Sveikatos priežiūros įstaigoms, kuriose yra/buvo gydomas, slaugomas Pacientas arba atliekama jo sveikatos ekspertizė.
16.2.2. Teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms, Valstybinei ir teritorinei ligonių kasoms, savivaldybių vaiko teisių apsaugos skyriams bei kitoms institucijoms, kurioms tokį teisinį pagrindą suteikia Lietuvos Respublikos įstatymai.
17. Duomenų perdavimas į trečiąsias valstybes ar tarptautinėms organizacijoms
17.1. Asmens duomenys gali būti perduodami į trečiąją valstybę arba tarptautinei organizacijai, kurios teisinis reglamentavimas Europos Komisijos pripažintas užtikrinančiu adekvatų asmens duomenų apsaugos lygį. Perdavimas į adekvatų subjektą gali vykti be jokio papildomo Europos Komisijos ar valstybių narių leidimo.
17.2. Asmens duomenys į trečiąsias valstybes arba tarptautinėms organizacijoms taip pat gali būti perduodami pritaikius vieną ar daugiau iš žemiau nurodytų tinkamų apsaugos priemonių:
17.2.1. Įmonėms privalomos taisyklės.
17.2.2. Standartinės sutarčių sąlygos dėl duomenų apsaugos, priimtos Komisijos.
17.2.3. Standartinės sutarčių sąlygos dėl duomenų apsaugos, priimtos Priežiūros institucijos, arba Priežiūros institucijos pripažintos sutarties sąlygos.
17.2.4. Patvirtintas elgesio kodeksas, apibrėžiantis tarptautinį duomenų perdavimą.
17.2.5. Sertifikavimas, apsaugos ženklai ir/arba žymenys, kuriuos galima panaudoti pademonstruoti duomenų tvarkytojo ar valdytojo laikymąsi nustatytų duomenų apsaugos priemonių.
17.3. Nesant priimto sprendimo dėl tinkamumo pagal 17.1 punktą arba nenustačius tinkamų 17.2 punkte nurodytų apsaugos priemonių, Duomenų valdytojas atlieka asmens duomenų perdavimą į trečiąją valstybę arba tarptautinei organizacijai arba tokių perdavimų seka atlieka tik su viena iš šių sąlygų:
17.3.1. Duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;
17.3.2. Duomenų perdavimas yra būtinas sutarčiai tarp duomenų subjekto ir Duomenų valdytojo vykdyti arba ikisutartinėms priemonėms, kurių imtasi duomenų subjekto prašymu, įgyvendinti;
17.3.3. Duomenų perdavimas yra būtinas, kad būtų sudaryta arba įvykdyta duomenų subjekto interesais sudaroma Duomenų valdytojo ir kito fizinio ar juridinio asmens sutartis;
17.3.4. Duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;
17.4. Aukščiau nurodytos apsaugos priemonės yra detalizuojamos BDAR.
18. Duomenų apsaugos pareigūnas
18.1. Pagal BDAR 37 str. 1 dalį, privaloma turėti duomenų apsaugos pareigūną tada, jei duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu arba kai duomenis tvarko valdžios institucija arba įstaiga, išskyrus teismus, kai jie vykdo savo teismines funkcijas.
18.2. Atsižvelgiant į nurodytus kriterijus, Duomenų valdytojas dėl savo vykdomos veiklos (medicinos paslaugų teikimo) gali būti priskiriamas prie tų duomenų valdytojų, kuriems privaloma turėti duomenų apsaugos pareigūną.
18.3. Duomenų apsaugos pareigūnas atlieka tokias funkcijas:
18.3.1. Duomenų valdytojo ir jo duomenis tvarkančių Darbuotojų informavimas apie jų prievoles pagal BDAR ir kitų Europos Sąjungos ar Lietuvos Respublikos teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nuostatas;
18.3.2. Nuolatinės duomenų tvarkymo ir apsaugos techninės ir teisinės priežiūros bei kontrolės vykdymas, su tuo susijusių rekomendacijų teikimas;
18.3.3. Konsultavimas dėl poveikio duomenų apsaugai vertinimo ir jo atlikimo stebėjimas;
18.3.4. Stebėjimas, kaip laikomasi BDAR, kitų Europos Sąjungos arba nacionalinių duomenų apsaugos teisės aktų nuostatų ir Administracijos politikos asmens duomenų apsaugos srityje, įskaitant pareigų pavedimą, atsakingų darbuotojų informuotumo didinimą bei mokymą ir susijusius auditus;
18.3.5. Atstovavimas Duomenų valdytoją komunikacijos ir bendradarbiavimo su nacionaline priežiūros institucija metu, kontaktinio asmens funkcijos atlikimas priežiūros institucijai kreipiantis su duomenų tvarkymu susijusiais klausimais, įskaitant išankstines konsultacijas;
18.3.6. Duomenų valdytojo darbuotojų konsultavimas dėl poveikio duomenų apsaugai vertinimo ir pagalba jį atliekant.
18.4. Duomenų valdytojas galėtų duomenų apsaugos pareigūnui nustatyti ir kitas funkcijas, jei dėl tokių funkcijų nekiltų interesų konfliktas.
18.5. Vykdydamas savo funkcijas, duomenų apsaugos pareigūnas tiesiogiai pavaldus Duomenų valdytojo vadovui, tačiau negali gauti jokių nurodymų dėl jo užduočių vykdymo (nepriklausomumo garantija).
18.6. Paskyręs duomenų apsaugos pareigūną, Duomenų valdytojas jo kontaktinius duomenis Valstybinei duomenų apsaugos inspekcijai praneštų nevėliau kaip per 5 dienas nuo paskyrimo.
18.7. Duomenų apsaugos pareigūno teisės ir pareigos detalizuojamos BDAR, Politikoje ir jos prieduose, pareiginiuose nuostatuose, jei šią poziciją užima Duomenų valdytojo darbuotojas, arba paslaugų teikimo sutartyje, jei duomenų apsaugos pareigūno poziciją užimantis asmuo yra šios paslaugos išorės teikėjas.
19. Asmens duomenų saugumo pažeidimų valdymo ir reagavimo į tokius pažeidimus tvarka
19.1. Duomenų valdytojo darbuotojai, pastebėję galimus duomenų saugumo pažeidimus (asmenų neveikimą ar veiksmus, galinčius sukelti ar sukeliančius grėsmę duomenų saugumui), turi nedelsiant informuoti savo tiesioginį vadovą arba DAP.
19.2. Įvertinęs duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, vadovaudamasis Reagavimo į asmens duomenų saugumo pažeidimus procedūra (Priedas Nr. 2), Duomenų valdytojo vadovas kartu su DAP priima sprendimus dėl priemonių, reikiamų duomenų apsaugos pažeidimui ir jo padariniams pašalinti.
20. Duomenų tvarkytojai
20.1. Duomenų valdytojas gali pasitelkti duomenų tvarkytojus.
20.2. Su duomenų tvarkytojais Duomenų valdytojas sudaro rašytines sutartis.
20.3. Sudarydamas sutartį su duomenų tvarkytoju, Duomenų valdytojas turi įtraukti nuostatas, apimančias šią informaciją:
20.3.1. Duomenų tvarkymo dalykas;
20.3.2. Duomenų tvarkymo trukmė;
20.3.3. Duomenų tvarkymo pobūdis;
20.3.4. Duomenų tvarkymo tikslai;
20.3.5. Duomenų rūšys;
20.3.6. Duomenų subjektų kategorijos;
20.3.7. Šalių teisės ir pareigos, kylančios iš asmens duomenų apsaugos teisinio reguliavimo;
20.3.8. Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius Duomenų valdytojo nurodymus. Duomenų tvarkytojui paliekama teisė priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia duomenų tvarkymo tikslų;
20.3.9. Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus;
20.3.10. Duomenų tvarkymo saugumo priemonės. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti saugumo lygį, atitinkantį duomenų pobūdį ir su jais siejamos grėsmės lygį;
20.3.11. Kitų duomenų tvarkytojų pasitelkimas. Duomenų tvarkytojas turi būti įpareigotas pasitelkti kitus duomenų tvarkytojus tik gavęs išankstinį Duomenų valdytojo sutikimą ir sudaręs su kitu tvarkytoju rašytinę sutartį, kuriai keliami tokie patys reikalavimai kaip ir sutarčiai, sudaromai su pagrindiniu tvarkytoju;
20.3.12. Pagalba įgyvendinant duomenų subjektų teises;
20.3.13. Pagalba teikiant pranešimus apie duomenų saugumo pažeidimus. Duomenų tvarkytojas turi įsipareigoti nedelsdamas informuoti Duomenų valdytoją sužinojęs apie bet kokį asmens duomenų saugumo pažeidimą;
20.3.14. Pagalba atliekant poveikio duomenų apsaugai vertinimą;
20.3.15. Pagalba konsultuojantis su priežiūros institucija;
20.3.16. Duomenų ištrynimo ir grąžinimo tvarka. Sutartyje būtina numatyti, kas nutinka pas duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė;
20.3.17. Atitikties įrodinėjimo būdas(-ai);
20.3.18. Pagalba Duomenų valdytojui arba Duomenų valdytojo įgaliotam auditoriui atliekant auditą, įskaitant patikrinimus.
20.4. Aukščiau nurodytos nuostatos gali būti tiek įtraukiamos į pagrindinę sutartį, tiek ir aptariamos atskirame susitarime dėl perduodamų asmens duomenų saugumo.
20.5. Duomenų tvarkytojo prieigos teisės prie duomenų naikinamos nutraukus asmens duomenų tvarkymo sutartį, sudarytą su Duomenų valdytoju, ar šiai sutarčiai nustojus galioti.
21. Techninės ir organizacinės asmens duomenų saugumo priemonės
21.1. Duomenų valdytojas įgyvendina organizacines ir technines duomenų saugumo priemones, užtikrinančias tokį saugumo lygį, kuris atitinka Duomenų valdytojo tvarkomų duomenų pobūdį ir jų tvarkymo keliamą riziką.
21.2. Darbuotojų duomenys darbuotojų asmens bylose, buhalterinės apskaitos, atskaitomybės ir archyvinės bylos, kuriose yra asmens duomenų, kartu su kitais susistemintai ne automatiniu būdu tvarkomų duomenų rinkiniais saugomi rakinamose spintose ar seifuose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje.
21.3. Užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas (užtikrintas tik įgaliotų asmenų patekimas į atitinkamas patalpas).
21.4. Prieiga prie duomenų bei teisė atlikti duomenų tvarkymo veiksmus suteikiama tik tiems darbuotojams, kuriems prieiga prie asmens duomenų reikalinga pagal užimamas pareigas ir atliekamas darbines funkcijas.
21.5. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:
21.5.1. Duomenų valdytojo vadovas įsakymu paskiria informacinės sistemos administratorių.
21.5.2. Griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis. Už priemonės įgyvendinimą ir priežiūrą atsako Duomenų valdytojo vadovo įsakymu paskirtas asmuo.
21.5.3. Tinkamas darbo organizavimas ir kitos administracinė priemonės. Už priemonės įgyvendinimą ir priežiūrą atsako Duomenų valdytojo vadovo įsakymu paskirtas asmuo.
21.6. Siekiant apsaugoti automatiniu būtu tvarkomus duomenis, naudojamos tokios techninės duomenų saugumo priemonės:
21.6.1. Darbuotojų, kurie tvarko asmens duomenis, kompiuteriai turi būti apsaugoti slaptažodžiais. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip kartą per 3 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį;
21.6.2. Darbuotojas slaptažodį užklijuotame voke perduoda Duomenų valdytojo vadovui ar kitam jo įgaliotam asmeniui. Slaptažodžiai saugomi seife ar kitoje saugioje vietoje ir naudojami tik būtinu atveju;
21.6.3. Darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, neturi būti prieinamos kitų kompiuterių naudotojams;
21.6.4. Užtikrinama tvarkomų asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis;
21.6.5. Užtikrinamas saugių protokolų ir slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais. El. paštu siunčiami asmens duomenys privalo būti šifruojami;
21.6.6. Jei prieiga prie duomenų suteikiama per išorinius duomenų perdavimo tinklus, fiksuojamos ir kontroliuojamos registravimosi bei teisių gavimo pastangos bei fiksuojami prisijungimų prie asmens duomenų įrašai: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas);
21.6.7. Registruojami asmens duomenų kopijavimo, jeigu jis daromas, ir atkūrimo jų avarinio praradimo atveju veiksmai (kada ir kas atliko šiuos veiksmus);
21.6.8. Užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.);
21.6.9. Ne rečiau kaip kartą per mėnesį atsakingas už kompiuterių priežiūrą darbuotojas daro kompiuteriuose esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas turi jas atstatyti ne vėliau kaip per 2 darbo dienas;
21.6.10. Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengti nereikalingų kopijų darymo;
21.6.11. Užtikrinama, kad informacinių sistemų testavimas nebūtų vykdomas su realiais asmens duomenimis tada, jei prie jų suteikiama prieiga per išorinius duomenų perdavimo tinklus.
21.7. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie asmens duomenys, kurie yra būtini kiekvienam konkrečiam duomenų tvarkymo tikslui. Ši prievolė taikoma surinktų asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
21.8. Duomenų valdytojas imasi reikiamų atsargumo priemonių išsaugoti duomenų subjektų asmens duomenų vientisumą ir neleisti, kad šie duomenys būtų sugadinti ar prarasti, įskaitant rūpinimąsi reikiamu duomenų atstatymu.
22. Darbuotojų mokymas
22.1. Esant poreikiui, Duomenų valdytojas organizuoja mokymus darbuotojams, turintiems teisę nuolat ar reguliariai susipažinti su asmens duomenimis.
22.2. Mokymai turėtų atitikti darbuotojų veiklos realijas.
22.3. Mokymų turinys turi padėti darbuotojams vykdyti savo darbines pareigas laikantis BDAR ir kituose asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
22.4. Mokymai yra dokumentuojami, nurodant, be kita ko, jų datą, temą ir dalyvavusius darbuotojus.
23. Atsakomybė
23.1. Darbuotojams, kurie pažeidžia BDAR, VDAĮ ar kitus teisės aktus, reglamentuojančius asmens duomenų tvarkymą bei apsaugą, arba Politikoje nurodytas pareigas, taikoma Lietuvos Respublikos teisės aktų nustatyta atsakomybė.
24. Baigiamosios nuostatos
24.1. Politika peržiūrima ir gali būti keičiama kartą per kalendorinius metus Duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems asmens duomenų tvarkymą.
24.2. Politika ir jos pakeitimai įsigalioja nuo jų patvirtinimo dienos.
24.3. Patvirtinus Politiką, darbuotojai su ja supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Politika privalo būti supažindintas pirmąją jo darbo dieną. Už supažindinimą su Politika atsakingas Duomenų valdytojo vadovo įsakymu paskirtas asmuo.
24.4. Už Politikos nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę atsakingas DAP, kuris, įvertinęs Politikos taikymo praktiką, esant poreikiui, inicijuoja Politikos atnaujinimą.
25. Politikos priedai
25.1. Su Politika kaip neatskiriama jos dalis kartu taikytini šie priedai:
25.1.1. Duomenų subjektų prašymų vykdymo procedūra;
25.1.2. Reagavimo į asmens duomenų saugumo pažeidimus procedūra;
25.1.3. Poveikio duomenų apsaugai vertinimo procedūra;
25.1.4. Pranešimų apie duomenų tvarkymą ir sutikimo formos;
25.1.5. Darbuotojo sutikimo dėl jo atvaizdo naudojimo forma;
25.1.6. Planas;
25.1.7. Paciento pareiškimas dėl asmens duomenų tvarkymo teikiant stacionarines asmens sveikatos priežiūros paslaugas;
25.1.8. Paciento pareiškimą dėl asmens duomenų tvarkymo teikiant anonimines stacionarines asmens sveikatos priežiūros paslaugas;
25.1.9. Informavimo apie darbuotojo vaizdo duomenų tvarkymą forma.
