Asmens duomenų tvarkymo taisyklės

 

 

PATVIRTINTA

Viešosios įstaigos Kupiškio ligoninės direktoriaus 2018-12-28 įsakymu Nr. 1-45

 

VIEŠOSIOS ĮSTAIGOS KUPIŠKIO LIGONINĖS
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

 

Turinys

 

I.

Bendrosios nuostatos

2.

II.

Pagrindinės sąvokos

2.

III.

Asmens duomenų tvarkymo principai ir tikslai

3.

IV.

Duomenų tvarkymo tikslas, šaltiniai, teikimas ir saugojimas

3.

V.

Duomenų subjektų teisės ir jų įgyvendinimo tvarka

4.

VI.

Asmens duomenų apsaugos pareigūnas

5.

VII.

Poveikio duomenų apsaugai vertinimas

6.

VIII.

Asmens duomenų incidentai

7.

IX.

Organizacinės ir techninės asmens duomenų apsaugos priemonės

7.

X.

Asmens duomenų tvarkytojo pasitelkimas

9.

XI.

Baigiamosios nuostatos

10.

XII.

Priedai

10.

 

 

 

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

 

 

 

 

  1. Viešosios įstaigos Kupiškio ligoninės (toliau – Ligoninė) asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reguliuoja fizinių asmenų, kurių duomenis tvarko Ligoninė, asmens duomenų tvarkymo tikslus, nustato jų teisių įgyvendinimo tvarką, įtvirtina technines ir organizacines duomenų apsaugos priemones, asmens duomenų incidentų valdymo, poveikio duomenų apsaugai atlikimo tvarką, reguliuoja asmens duomenų tvarkytojo pasitelkimo atvejus.
  2. Šios Taisyklės parengtos remiantis:
    • 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR);
    • Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ);
    • Lietuvos Respublikos civiliniu kodeksu;
    • Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;
    • Lietuvos Respublikos sveikatos sistemos įstatymu;
    • Lietuvos Respublikos sveikatos apsaugos ministro 2017 m. lapkričio 30 d. įsakymu Nr. V-1371 „Dėl sveikatos priežiūros įstaigos asmens duomenų tvarkymo pavyzdinių taisyklių patvirtinimo“;
    • Kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.
  3. Šios Taisyklės taikomos tvarkant fizinių asmenų duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: pacientų ligos istorijas, pacientų korteles, sąrašus, kartotekas, bylas, sąvadus ir kita. Šios Taisyklės taip pat nustato Ligoninės darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
  4. Šių Taisyklių reikalavimai privalomi visiems Ligoninės darbuotojams (toliau – Darbuotojai), kurie tvarko Ligoninėje esančius asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis Duomenų tvarkytojai, kurie teikdami Ligoninei duomenų tvarkymo paslaugas, sužino ir tvarko asmens duomenis.

 

  • SKYRIUS

PAGRINDINĖS SĄVOKOS

 

  1. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
  2. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
  3. Duomenų valdytojas – viešoji įstaiga Kupiškio ligoninė, kuri tvarkydama pacientų, kitų fizinių asmenų ir Darbuotojų duomenis nustato tų duomenų naudojimo būdus ir priemones.
  4. Duomenų subjektas – darbuotojai, pacientai ir kiti fiziniai asmenys, kurių duomenis tvarko viešoji įstaiga Kupiškio ligoninė.
  5. Duomenų tvarkytojas – subjektai, kurie tvarko Viešosios įstaigos Kupiškio ligoninės valdomus asmens duomenis pagal Viešosios įstaigos Kupiškio ligoninės nurodymus ir vadovaujantis sudarytomis paslaugų teikimo sutartimis.
  6. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).
  7. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).
  8. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos BDAR ir/ar ADTAĮ.

 

  • SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

 

  1. Darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo:
    • asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai;
    • rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkyti su tais tikslais nesuderinamu būdu;

 

  • renkant ir tvarkant asmens duomenis laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, nereikalauti iš pacientų, kitų interesantų pateikti tų duomenų, kurie nėra reikalingi, nekaupiami ir netvarkyti perteklinių duomenų.
  • užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;
  • asmens duomenis saugoti teisės aktų ir šių Taisyklių nustatyta tvarka;
  • asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
  1. Visa informacija apie paciento buvimą sveikatos priežiūros įstaigoje, gydymą, sveikatos būklę, diagnozę, prognozes ir gydymą, taip pat visa kita asmeninio pobūdžio informacija apie pacientą turi būti laikoma konfidencialia ir po paciento mirties. Informacija apie pacientą pačiam pacientui ar tretiesiems asmenims teikiama Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymo 5-10 straipsniuose nustatyta tvarka.

 

  • SKYRIUS

DUOMENŲ TVARKYMO TIKSLAS, ŠALTINIAI, TEIKIMAS IR SAUGOJIMAS

 

  1. Ligoninės Duomenų subjektų asmens duomenys tvarkomi:
    • darbuotojų – vidaus administravimo tikslu;
    • pacientų – sveikatos priežiūros paslaugų teikimo tikslu;
  2. Ligoninei tvarkant duomenis Taisyklių 15.1 p. nurodytu tikslu, iš darbuotojų yra renkami ir tvarkomi tokie jų asmens duomenys, kurie yra būtini darbo sutarties su jais sudarymo, vykdymo ir nutraukimo tikslu (vardas, pavardė, asmens kodas, gimimo data, gyvenamosios vietos adresas, asmens tapatybės dokumento duomenys, elektroninio pašto adresas, telefono numeris, duomenys apie išsilavinimą, profesinę patirtį, kvalifikaciją, pareigas, darbo užmokestis, banko sąskaitos numeris, dirbtas laikas, sukauptos, panaudotos atostogos, šeimyninė padėtis, pilietybė, informacija, nurodyta viešų ir privačių interesų deklaracijoje, duomenys, įrodantys darbuotojo teisę į Darbo kodekse nustatyta lengvatas (duomenys apie darbuotojo neįgalumą, duomenys apie darbuotojo turimą (-us) vaiką (-us) iki 14 metų ar neįgalų vaiką iki 18 metų, darbuotojo duomenys apie jo sveikatos būklę, duomenys, kad darbuotojas vaiką (-us) augina vienas), taip pat kiti asmeniui būdingi ekonominio ar socialinio pobūdžio duomenys, kuriuos būtina tvarkyti užtikrinant tinkamą personalo išteklių valdymą ir kita.

 

  • Ligoninei tvarkant duomenis Taisyklių 15.1 p. tikslu, asmens duomenys yra gaunami tiesiogiai iš darbuotojų. Šių duomenų Ligoninė neperduoda jokiems duomenų gavėjams, išskyrus įstatymo numatytus atvejus, kai toks perdavimas būtų sąlygotas teisės aktų ar teismo, kitos institucijos privalomo sprendimo. Darbuotojai pasirašo Sutikimus dėl jų asmens duomenų tvarkymo (Priedas Nr. 2). Darbuotojų duomenys yra saugomi sutinkamai su teisės aktų nustatytais reikalavimais (Lietuvos vyriausiojo archyvaro patvirtinta bendrųjų dokumentų saugojimo terminų rodyklė).
  1. Ligoninei tvarkant duomenis šių Taisyklių 15.2 p. tikslu, šie duomenys renkami asmens sveikatos priežiūros paslaugų teikimo teisės aktų nustatyta tvarka tikslu ir gaunami iš Sveikatos apsaugos ministerijos, Valstybinės ligonių kasos, Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos („Sodros“), Neįgalumo ir nedarbingumo nustatymo tarnybos, draudimo bendrovių, kitų asmenų ir įstaigų. Ligoninė duomenis apie pacientus gali teikti pagal sudarytas sutartis ar vienkartinius prašymus. Duomenys taip pat gali būti teikiami valstybės, savivaldybės institucijoms, kurioms tokie duomenys yra būtini jų funkcijoms vykdyti. Pacientų duomenis Ligoninė saugo atsižvelgdama į teisės aktų reikalavimus.
  2. Ligoninės duomenų apsaugos pareigūnas (toliau – Pareigūnas) privalo tvarkyti bei saugoti su asmens duomenų apsauga susijusios veiklos duomenis (toliau – Veiklos įrašus), kurie nurodytų bent šią minimalią ir aktualią informaciją:
    • Ligoninės rekvizitus ir Pareigūno rekvizitus;
    • Duomenų subjektų kategorijas ir jų trumpus aprašymus;
    • Duomenų gavėjų kontaktus;
    • Duomenų tvarkytojų kontaktus;
    • asmens duomenų saugojimo, ištrynimo terminus ir/arba kriterijus, pagal kuriuos asmens duomenys yra saugomi Ligoninėje;
    • techninių, organizacinių saugumo priemonių aprašymą.
  3. Už šių Taisyklių 18 punkte nurodytų veiklos įrašų pateikimą Valstybinei duomenų apsaugos inspekcijai (esant jos prašymui/reikalavimui) atsako Pareigūnas.

 

 

  • SKYRIUS

DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA


Duomenų subjektų teisės ir informuotumo užtikrinimas

  1. Duomenų subjektai turi teisę:
    • žinoti (būti informuoti) apie savo asmens duomenų tvarkymą;
    • pateikę Ligoninei asmens tapatybės dokumentą arba elektroninio ryšio priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, susipažinti su savo asmens duomenimis ir jų tvarkymu, gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus, taip pat gauti dokumentų, kuriame yra jų asmens duomenys, kopiją (medicinos dokumentų pateikimas pacientui gali būti ribojamas įstatymo nustatyta tvarka, jeigu juose esanti informacija pakenktų paciento sveikatai ar sukeltų pavojų jo gyvybei);
    • reikalauti ištaisyti, ištrinti savo asmens duomenis arba apriboti duomenų tvarkymą, išskyrus saugojimą, kai duomenys tvarkomi nesilaikant teisės aktų reikalavimų;
    • nesutikti, kad būtų tvarkomi jo asmens duomenys;
    • reikalauti perkelti duomenis kitam duomenų valdytojui arba pateikti tiesiogiai Duomenų subjektui patogia forma (tuos duomenis, kuriuos Ligoninei pateikė pats Duomenų subjektas);
    • pateikti skundą priežiūros institucijai;
    • atšaukti duotą sutikimą (jei asmens duomenys tvarkomi sutikimo pagrindu).
  2. visais atvejais, Ligoninė privalo suteikti Duomenų subjektui informaciją (išskyrus atvejus, kai Duomenų subjektas tokią informaciją jau turi):
    • savo pavadinimą, juridinio asmens kodą ir buveinę;
    • Pareigūno kontaktinius duomenis;
    • kokiais tikslais ir teisiniu pagrindu tvarkomi Duomenų subjekto asmens duomenys;
    • Duomenų gavėjus, jų kategorijas;
    • duomenų saugojimo laikotarpį arba kriterijus, taikomus tam laikotarpiui nusakyti;
    • Kitą papildomą informaciją (duomenų gavimo šaltinus, kokius savo asmens duomenis Duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie Duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, netikslius, neišsamius savo asmens duomenis), kiek jos reikia, kad butų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant Duomenų subjekto teisių.
  3. Ligoninė užtikrina, kad Duomenų subjektams įgyvendinant savo teisę į duomenų perkeliamumą, perkeliami tik tie duomenys, kurie tvarkomi sutarties arba sutikimo pagrindu ir yra tvarkomi automatizuotomis priemonėmis. Tokiu atveju asmens duomenys Duomenų subjektui būtų pateikiami susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu,
  4. Duomenų subjektų teisės taip pat yra numatytos Ligoninės nuostatų IX skyriuje ir taikomos tiek, kiek neprieštarauja šioms Taisyklėms.

Duomenų subjekto teisių įgyvendinimo tvarka

  1. Ligoninė, privalo:
    • sudaryti sąlygas Duomenų subjektui įgyvendinti šių Taisyklių V skyriuje nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą;
    • Duomenų subjektai dėl šių Taisyklių V skyriuje nurodytų teisių įgyvendinimo, rašytiniu prašymu turi teisę kreiptis į Ligoninės direktorių;
    • Ligoninė privalo užtikrinti, kad visa reikalinga informacija Duomenų subjektui būtų pateikiama aiškiai ir suprantamai;
    • Duomenų subjektui atsakymas privalo būti pateiktas ne vėliau kaip per 20 (dvidešimt) darbo dienų nuo prašymo gavimo dienos. Jei duomenis teikti Duomenų subjektui atsisakomajam turi būti pateiktas motyvuotas ir pagrįstas atsakymas dėl jo prašymo nevykdymo.
  2. Ligoninė privalo ne vėliau kaip per 5 (penkias) darbo dienas informuoti duomenų gavėjus apie Duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
    • Ligoninė duomenis Duomenų subjektui teikia neatlygintinai 1 kartą per kalendorinius metus. Tam tikrais atvejais (kai Duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai pakartotinai teikia prašymus pateikti informaciją, išrašus, dokumentus), toks informacijos ir duomenų teikimas Duomenų subjektui gali būti apmokestintas sutinkamai su teisės aktų reikalavimais ir Ligoninės nustatytais įkainiais.

 

Duomenų teikimas duomenų gavėjams

  1. Ligoninė Duomenų subjektų duomenis duomenų gavėjams teikia tik nepažeidžiant teisės aktuose įtvirtintų reikalavimų ir asmens duomenų konfidencialumo užtikrinimo pagal vienkartinį duomenų gavėjo prašymą arba sudarytą sutartį.
  2. Vienkartinio duomenų teikimo atveju, Ligoninė, teikdama asmens duomenis pagal duomenų gavėjo prašymą, gali teikti duomenis ir elektroninių ryšių priemonėmis.
  3. Asmens duomenų teikimas valstybės ir savivaldybės institucijoms ir įstaigoms, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms atlikti, nelaikytinas duomenų teikimu duomenų gavėjams.

 

  • SKYRIUS

ASMENS DUOMENŲ APSAUGOS PAREIGŪNAS

 

  1. Ligoninė tvarko specialiuosius (ypatingus) pacientų duomenis dideliu mastu, be ko būtų neįmanomas tinkamas Ligoninės funkcionavimas ir sveikatos priežiūros paslaugų teikimas.
  2. Ligoninės direktoriaus įsakymu Pareigūnu paskirtas vienas iš esamų Ligoninės darbuotojų (pareigūnu Ligoninėje gali būti paskirtas ir asmuo, su kuriuo būtų sudaroma paslaugų teikimo sutartis.)
  3. Skirdamas Pareigūną, Ligoninės direktorius privalo įvertinti ir įgyvendinti tai, kad:
    • Pareigūnas turėtų tinkamų asmens duomenų teisinės apsaugos praktinių ir ekspertinių žinių;
  • Pareigūnas būtų įtraukiamas į visų su asmens duomenų apsauga ir privatumu susijusių klausimų nagrinėjimą Ligoninėje;
  • Pareigūnas būtų tiesiogiai pavaldus Ligoninės direktoriui;
  • Pareigūnas neturėtų jokių kitų pareigų, neatliktų funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis Pareigūno funkcijomis.
  1. Pareigūnas privalo:
    • užtikrinti, kad Ligoninėje vykdomas asmens duomenų tvarkymas atitiktų BDAR, kitų, asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimus, tinkamai įvertinant duomenų tvarkymo operacijas, duomenų tvarkymo pobūdį, apimtį, kontekstą, tikslus, potencialų pavojų;
    • stebėti, kaip laikomasi BDAR, kitų, asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių, kitų vidinių dokumentų, susijusių su asmens duomenų apsauga;

 

  • konsultuoti ir stebėti, kaip atliekamas poveikio duomenų apsaugai vertinimas, aptariamas šių Taisyklių VII skyriuje.
  • raštu informuoti Ligoninės direktorių, darbuotojus apie jų pareigas pagal BDAR ir kitus duomenų subjektus, asmens duomenų teisinę apsaugą reglamentuojančius, teisės aktus ir juos konsultuoti dėl konkrečių pareigų vykdymo;
  • raštu informuoti Ligoninės direktorių apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos Pareigūnas nustato, vykdydamas savo funkcijas;
  • mokyti, konsultuoti Ligoninės darbuotojus, dirbančius su asmens duomenimis, asmens duomenų teisinės apsaugos klausimais;
  • bendradarbiauti, būti kontaktiniu asmeniu santykiuose su Valstybine duomenų apsaugos inspekcija.
  1. Ligoninės direktorius paskyręs Pareigūną, privalo užtikrinti, kad Pareigūno kontaktiniai duomenys per protingą terminą nuo jo paskyrimo būtų tinkamai paskelbti Duomenų subjektams bei pranešti Valstybinei duomenų apsaugos inspekcijai.

 

  • SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

 

  1. Ligoninei pradėjus vykdyti naują (-as) duomenų tvarkymo operaciją (-as), ji privalo atlikti poveikio duomenų apsaugai vertinimą, jei duomenų tvarkymas:
    • keltų didelį pavojų Duomenų subjektų teisėms ir laisvėms (pavyzdžiui, atvejai, kai Duomenų subjektas neturi galimybės nesutikti su duomenų tvarkymu, duomenys perduodami už ES ribų, būtų pradėti tvarkyti duomenys, kurie gauti juos sujungus su duomenimis iš kitų šaltinių, būtų tvarkomi specialūs (jautrūs) duomenys tokie kaip sveikata, būtų pradėti naudoti nauji technologiniai sprendimai ir kt.);
    • automatizuotai būtų tvarkomi asmeniniai aspektai, vykdomas profiliavimas ir priimami teisimai ar kiti didelio poveikio (pavyzdžiui, asmenų suskirstymas į grupes, kuris gali turėti jiems įtakos) sprendimai;
    • būtų pradėti tvarkyti specialieji (ypatingi) asmens duomenys dideliu mastu.
  2. Jei Ligoninė, atlikdama poveikio duomenų apsaugai vertinimą nustatytų, kad Duomenų subjektų teisėms ir laisvėms gali kilti didelis pavojus (žr. Taisyklių 36.1 p.), ji privalo konsultuotis su Valstybine duomenų apsaugos inspekcija dėl tinkamų saugumo ir kitų priemonių įgyvendinimo.
  3. Atliekant poveikio duomenų apsaugai vertinimą, Ligoninė privalo nustatyti:

 

  • kokia bus atliekama duomenų tvarkymo operacija (-os);
  • kiek konkreti duomenų tvarkymo operacija yra reikalinga ir proporcinga;
  • koks gali būti poveikis Duomenų subjektams;
  • kokios yra galimos potencialių pavojų šalinimo, saugumo užtikrinimo priemonės.
  1. Ligoninė privalo užtikrinti, kad šiame skyriuje aprašytas ir Ligoninės numatytais atvejais atliekamas poveikio duomenų apsaugai vertinimas, būtų tinkamai dokumentuotas ir saugomas.
  2. Poveikio duomenų apsaugai vertinimas gali būti atliekamas ir esamoms duomenų tvarkymo operacijoms (t. y. vykdomoms iki BDAR įsigaliojimo), jei tose operacijose atsirastų reikšmingų pokyčių, pavyzdžiui, būtų pradėtos naudoti naujos technologijos, duomenys būtų pradėti tvarkyti kitu tikslu nei iki tol, atsirastų naujos rizikos, susijusios su įvykdytomis kibernetinėmis, atakomis, įsilaužimais į Ligoninės sistemą, duomenys būtų pradėti teikti naujiems duomenų gavėjams, tvarkytojams už ES ribų, kt.
  3. Poveikio duomenų apsaugai vertinimas taip pat gali būti atliekamas ir šiame skyriuje neaptartais atvejais, bet esant Ligoninės direktoriaus, Pareigūno ar Valstybinės duomenų apsaugos inspekcijos rekomendacijai tai atlikti ir pan.

 

  • SKYRIUS

ASMENS DUOMENŲ INCIDENTAI

 

  1. Asmens duomenų incidentu yra laikomas toks pažeidimas, dėl kurio netyčia arba neteisėtais veiksmais būtų:
    • sunaikinami, prarandami, pakeičiami asmens duomenys;
    • be leidimo atskleidžiami asmens duomenys;
    • be leidimo asmenys, neturintys tam teisės, gautų prieigą prie asmens duomenų,
  2. Jei dėl įvykdyto asmens duomenų incidento kyla pavojus Duomenų subjektų teisėms ir laisvėms, Pareigūnas ar kitas direktoriaus paskirtas darbuotojas privalo nedelsiant, bet ne vėliau nei kaip per 72 val., pranešti Valstybinei duomenų apsaugos inspekcijai apie įvykusį incidentą. Kilus ypatingai dideliam pavojui Duomenų subjektų teisėms ir laisvėms, informacija apie įvykusį incidentą nedelsiant taip pat turi būti pateikta Duomenų subjektams. Nesant galimybės informuoti visus Duomenų subjektus dėl jų didelio kiekio ar kitų priežasčių, Pareigūnas kartu su Ligoninės direktoriumi apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo kanalus (spauda, televizija, kt.).

 

  1. Šių Taisyklių 41 p. numatytame pranešime dėl įvykusio asmens duomenų incidento Valstybinei duomenų apsaugos inspekcijai, Duomenų subjektams privalo būti trumpai aprašytas asmens duomenų incidento pobūdis, nurodant apytikslį Duomenų subjektų skaičių, kurių asmens teisės ir laisvės galėjo būti pažeistos, Pareigūno ar kito atsakingo darbuotojo kontaktai, trumpai aprašytos tikėtinos incidento pasekmės bei priemonės, kurių Ligoninė imasi/imsis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu incidentu,
  2. Nustatant, ar būtina vykdyti informavimo pareigų, aptartą šių Taisyklių 42 p., Pareigūnas ar kitas Ligoninės direktoriaus paskirtas atsakingas darbuotojas privalo įvertinti, ar dėl įvykusio incidento;
    • įvyko konfidencialumo pažeidimas (pavyzdžiui, atskleisti duomenys ir jie tapo prieinami tretiesiems asmenims, suteikiant prieigą, tinkamai nešifruojant, kt.);
    • įvyko duomenų pasiekiamumo pažeidimas (pavyzdžiui, prarasti duomenys ir neturima atsarginių kopijų);
    • įvyko duomenų vientisumo pažeidimas (pavyzdžiui, prarastos pacientų ligos istorijos, turima tik dalis atsarginių kopijų, dėl ko neįmanoma „atkurti“ visos paciento ligos istorijos).
  3. Jei Pareigūnas ar kitas Ligoninės direktoriaus paskirtas atsakingas darbuotojas nustato, kad yra bent vienas iš šių Taisyklių 43.1 p., 43.2 p., 43.3 p. numatytų pažeidimų, nedelsiant vykdo informavimo pareigą, kaip tai aptarta Taisyklių 41 p. Informavimas gali vykti ir esant kitiems pagrindams, jei tokius nustato Ligoninė ir/ar Pareigūnas.
  4. Pareigūnas ar kitas Ligoninės direktoriaus paskirtas atsakingas darbuotojas privalo užtikrinti, kad visi asmens duomenų apsaugos incidentai, įskaitant ir tuos, dėl kurių nevykdoma informavimo pareiga kaip aptarta šiame Taisyklių skyriuje, būtų tinkamai dokumentuoti ir saugomi.
  5. Įvykus asmens duomenų incidentui, aptartam šiame Taisyklių skyriuje, Pareigūnas ar kitas direktoriaus paskirtas atsakingas darbuotojas, informuoja Ligoninės darbuotojus ir duoda atitinkamas instrukcijas konkretiems darbuotojams dėl jų pareigų, funkcijų atlikimo, susijusio su asmens duomenų incidento valdymu.
  6. Įvykus asmens duomenų incidentui, aptartame Šiame Taisyklių skyriuje, Pareigūnas, be kitų šiame skyriuje aptartų pareigų, taip pat sudaro veiksmų planą su prevenciniais veiksmais, kuriais būtų siekiama ateityje užkirsti kelią pasikartoti analogiškam ar panašiam incidentui ir pateikia jį Ligoninės direktoriui.

 

 

  • SKYRIUS

ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS

 

  1. Ligoninės organizacinės ir techninės duomenų saugumo priemonės turi užtikrinti trečiąjį automatiniu būdu tvarkomų asmens duomenų saugumo lygį. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:
    • Tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės:
      • griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis;
      • tinkamas darbo organizavimas ir kitos administracinės priemonės;
      • informacinių sistemų duomenų tvarkymo keliamos rizikos vertinimas, kuris būtų atliekamas kartą per 1 (vienerius) metus;
      • įgyvendintų organizacinių ir techninių duomenų saugumo priemonių įvertinimo auditas, kuris būtų atliekamas kartą per 2 (dvejus) metus;
      • diegiamos reikiamos duomenų saugumo priemonės, atsižvelgiant į rizikos vertinimo rezultatus;
      • duomenų atsarginių kopijų darymas ir atkūrimas;
      • atsarginių duomenų kopijos, kurios būtų saugomos atsarginių kopijų saugykloje;
      • užtikrinamas duomenų atkūrimas iš paskutinių turimų atsarginių duomenų kopijų, praradus duomenis dėl aparatinės kompiuterių įrangos gedimo, programinės įrangos klaidos ar kitaip pažeidus duomenų vientisumą.
  1. Už šiame skyriuje numatytų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimą, kontrolę, užtikrinimą yra atsakingi Bendrųjų reikalų skyriaus informacinių technologijų specialistas ir/arba Duomenų tvarkytojai pagal kuruojamas veiklos sritis.
  2. Darbuotojai, kurie tvarko pacientų, kitų fizinių asmenų duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su pacientais, kitais interesantais susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas. Darbuotojai privalo pasirašyti konfidencialumo pasižadėjimus (įsipareigojimus) (Priedas Nr. 1). Ši pareiga išlieka galioti perėjus dirbti į kitas pareigas Ligoninėje arba pasibaigus darbo ar sutartiniams santykiams su Ligonine.

 

  1. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbo santykiams pasibaigus, darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.
  2. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti asmens duomenys, tik tiems darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis.
  3. Darbuotojai, vykdantys Duomenų subjekto duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, turi saugoti dokumentus tinkamai ir saugiai (vengiant nereikalingų kopijų su Duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi Duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio,
  4. Darbuotojai, kurių kompiuteriuose saugomi pacientų, kitų interesantų duomenys arba iš kurių kompiuterių galima patekti į Ligoninės informacines sistemas, kuriose yra saugomi pacientų, kitų interesantų duomenys, savo kompiuteriuose turi naudoti slaptažodžius; „svečio“ („guest“) tipo, t. y. neapsaugoti slaptažodžiais, vartotojai yra draudžiami. Kompiuteriuose taip pat reikia naudoti ekrano užsklandą su slaptažodžiu,
    • Reikalavimai slaptažodžiams:
      • juos turi sudaryti ne mažiau kaip 6-8 simboliai, iš kurių bent vienas turi būti skaičius ir raidė;
      • jie negali sutapti su darbuotojų ar jų šeimos narių asmeniniais duomenimis (pvz., negali būti naudojamas vardas, pavardė, gimimo data ir pan.);
      • juos saugo ir juos gali žinoti tik darbuotojai, dirbantys su konkrečiais kompiuteriais, jų negalima perduoti kitiems asmenims;
      • jie negali būti saugomi viešai ir negali būti prieinami kaip visuma.
  1. Slaptažodžiai esant būtinybei (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei ir pan.) turi būti keičiami ne rečiau kaip kartą per 3 (tris) mėnesius.
  2. Darbuotojų kompiuteriai, kuriuose saugomos rinkmenos su pacientų, kitų fizinių asmenų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama.
  3. Nesant būtinybės, rinkmenos su pacientų, kitų interesantų duomenimis neturi būti dauginamos skaitmeniniu būdu, t. y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.

 

  1. Ligoninėje yra užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais.
  2. Asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo užtikrinamas perkeliant juos į duomenų bazes.
  3. Ligoninės informacinėse sistemose ir kompiuterių tinkluose įgyvendinamos šios saugumo priemonės:
    • fiksuojami prisijungimų prie asmens duomenų įrašai: bylos, prie kurių buvo jungtasi, atlikti veiksmai su asmens duomenimis (įvedimas, peržiūra, keitimas, naikinimas ir kiti asmens duomenų tvarkymo veiksmai). Šie įrašai turi būti saugomi ne trumpiau kaip 1 metus;
    • atsarginės asmens duomenų kopijos, jei jos daromos, saugomos kitoje patalpoje ar geografinėje vietoje negu aktyvi (veikianti) duomenų bazė;
    • šifruojami atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose saugomi asmens duomenys;
    • informacinių sistemų prisijungimo slaptažodžiai keičiami ne rečiau kaip kartą per 3 (tris) mėnesius;
    • Bendrųjų reikalų skyriaus informacinių technologijų specialistas ir/arba Duomenų tvarkytojai pagal kuruojamas veiklos sritis privalo užtikrinti:
      • vidinio Ligoninės kompiuterių tinklo apsaugą.
  1. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems Ligoninės darbuotojams, praktikantams, savanorišką praktiką atliekantiems ar kitiems tretiesiems asmenims) sužinoti tvarkomus asmens duomenis. Ši nuostata įgyvendinama:
    • nepaliekant dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti Darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis, praktikantai ar kiti asmenys;
    • dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys;
    • jei dokumentai, kuriose yra asmens duomenų, kitiems darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami pacientams, kitiems interesantams asmeniškai ir konfidencialiai.

 

  1. Už asmens duomenų saugumo pažeidimų valdymą ir reagavimą į šiuos pažeidimus atsako Ligoninės Pareigūnas.
  2. Šiame Taisyklių skyriuje aptartos organizacinės ir techninės asmens duomenų apsaugos priemonės taikomas kartu su Ligoninės nuostatų nustatytomis taisyklėmis ir joms neprieštarauja.

 

  • SKYRIUS

ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

 

  1. Tais atvejais, kai Ligoninė įgalioja Duomenų tvarkytoją(-us) atlikti asmens duomenų tvarkymo veiksmus, tarp Ligoninės ir Duomenų tvarkytojo(-jų) turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis,
  2. Sprendimą perduoti Duomenų subjekto Duomenų tvarkymą asmens duomenų tvarkytojui(-ams) priima Ligoninės direktorius.
  3. Ligoninė parenka Duomenų tvarkytoją(-us), kuris(-ie) užtikrina, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis, įskaitant ir šių Taisyklių IX skyriuje aptartas technines, organizacines duomenų saugumo užtikrinimo priemones.
  4. Ligoninė, sutartimi įgaliodama Duomenų tvarkytoją(-us) tvarkyti asmens duomenis, nurodo, kad asmens duomenys būtų tvarkomi atsižvelgiant į asmens duomenų tvarkymą reglamentuojančius teisės aktus, Ligoninės nurodymus, taip pat nurodant, kokius asmens duomenų tvarkymo veiksmus privalo atlikti Duomenų tvarkytoj as(-ai) Ligoninės vardu, Duomenų tvarkytojo(-jų) įsipareigojimai Ligoninei, įskaitant įsipareigojimą laikytis BDAR įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, Duomenų tvarkytoj o (-jų) pareiga ištrinti arba grąžinti Ligoninei asmens duomenis, jų kopijas, pabaigus Ligoninei teikti paslaugas.
  5. Ligoninė, sudarydama sutartį su Duomenų tvarkytoju(-ais), be kita ko, nurodo, kad Duomenų tvarkytojas(-ai) privalo užtikrinti Ligoninės perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus Duomenų tvarkytojus), Duomenų tvarkytojas(-ai) privalo gauti išankstinį rašytinį Ligoninės pritarimą.
  6. Ligoninės Pareigūnas privalo peržiūrėti, esant poreikiui inicijuoti sutarčių ir bendradarbiavimo su Duomenų tvarkytojais atnaujinimą / pakeitimą/nutraukimą.
  7. Šios Taisyklės gali būti pridedamos kaip priedas prie sutarties su Duomenų tvarkytoju(-ais).

 

 

  • SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

  1. Su šiomis Taisyklėmis privalo susipažinti visi Ligoninės darbuotojai pasirašytinai.
  2. Taisyklės, jų pakeitimai ar papildymai skelbiami Ligoninės interneto svetainėje bei struktūrinių padalinių informaciniuose segtuvuose.
  3. Darbuotojai, pasikeitus jų asmens duomenims, raštu informuoja apie tai Ligoninės Bendrųjų reikalų skyriaus atsakingus darbuotojus, o šie ne vėliau kaip per 3 darbo dienas patikslina ir atnaujina duomenis darbuotojų asmens duomenis bylose bei tam skirtose duomenų bazėse.
  4. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę bei periodiškumą, ne rečiau kaip kartą per 2 metus, Taisyklių peržiūrėjimo, atnaujinimo pagal poreikį iniciavimą ir šių veiksmų atlikimo kontrolę yra atsakingas Ligoninės Pareigūnas.
  5. Už šių Taisyklių nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą darbuotojai atsakys pagal galiojančius Lietuvos Respublikos įstatymus.

 

  • SKYRIUS

PRIEDAI

 

Priedas Nr. 1. Konfidencialumo pasižadėjimas (įsipareigojimas) (darbuotojams). Priedas Nr. 2. Sutikimas dėl asmens duomenų tvarkymo (darbuotojams).

 

___________________________


 

 

 

Viešosios įstaigos Kupiškio ligoninės asmens duomenų tvarkymo taisyklių

1 priedas

 

KONFIDENCIALUMO PASIŽADĖJIMAS (ĮSIPAREIGOJIMAS)


______________________

(data)

 

______________________
(sudarymo vieta)

Aš, ______________________________________________________________________

(vardas, pavardė, pareigų pavadinimas)

 

___________________________________________________________________________________________*

 

su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu,

Reglamentu (ES) 2016/679,

Viešosios įstaigos Kupiškio ligoninės asmens duomenų tvarkymo taisyklėmis, patvirtintomis Viešosios įstaigos Kupiškio ligoninės direktoriaus 2018 m. gruodžio 28 d. įsakymu Nr. 1-45 „Dėl viešosios įstaigos Kupiškio ligoninės asmens duomenų tvarkymo taisyklių tvirtinimo“,

kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą, ir pasižadu:

  1. Saugoti asmens duomenų paslaptį visą darbo laiką ir pasibaigus darbo santykiams, jeigu šie asmens duomenys neskirti skelbti viešai.
  2. Asmens duomenis tvarkyti tik teisėtais tikslais.
  3. Asmens duomenis tvarkyti tiksliai ir, jeigu reikia, nuolat atnaujinti, ištaisyti ar papildyti netikslius ar neišsamius duomenis ir (ar) sustabdyti tokių asmens duomenų tvarkymą.
  4. Asmens duomenis tvarkyti tik tokios apimties, kuri būtina jiems tvarkyti ir vykdomai funkcijai atlikti.
  5. Asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau negu to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi, įgyvendinti, vėliau šiuos duomenis sunaikinti.
  6. Įgyvendinti teisės aktų, reglamentuojančių asmens duomenų apsaugą, nuostatas, numatančias, kaip asmens duomenis apsaugoti nuo neteisėto tvarkymo ar atskleidimo.
  7. Teisės aktų nustatyta tvarka užtikrinti duomenų subjekto teisių įgyvendinimą.
  8. Laikytis kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, nuostatų.

 

 

__________________          ______________________

                                                                     (parašas)                          (vardas, pavardė)

 

PASTABA. * „patvirtinu, kad esu susipažinęs (-usi)“ (darbuotojas rašo ranka).

 

Viešosios įstaigos Kupiškio ligoninės asmens duomenų tvarkymo taisyklių

2 priedas

 

SUTIKIMAS DĖL ASMENS DUOMENŲ TVARKYMO
______________________

(data)

 

______________________
(sudarymo vieta)

Aš, ______________________________________________________________________

(vardas, pavardė, pareigų pavadinimas)

 

___________________________________________________________________________________________*

 

su Viešosios įstaigos Kupiškio ligoninės asmens duomenų tvarkymo taisyklėmis, patvirtintomis Viešosios įstaigos Kupiškio ligoninės direktoriaus 2018 m. gruodžio 28 d. įsakymu Nr. 1-45 „Dėl viešosios įstaigos Kupiškio ligoninės asmens duomenų tvarkymo taisyklių patvirtinimo“.

 

______________________________________________________________________________________________________________________________________________________________________________________**

 

Jūs turite teisę kontroliuoti kaip Ligoninėje tvarkomi Jūsų asmens duomenys, teisėtai reikalauti šių duomenų pakeitimo, papildymo arba ištrynimo. Jums prašant, vieną kartą per metus ši informacija pateikiama nemokamai.

 

__________________          ______________________

                                                                     (parašas)                          (vardas, pavardė)

 

PASTABA.

* „Patvirtinu, kad esu susipažinęs (–usi)“ (darbuotojas rašo ranka).

**„Sutinku, kad mano asmens duomenis Ligoninė tvarkytu šiose taisyklėse nurodytais tikslais“ (darbuotojas rašo ranka).

Susisiekite:

Kupiškio ligoninė

Kupiškio konsultacinė poliklinika