ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

UAB „DIALIMEDA“ ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS BENDROSIOS NUOSTATOS

1. UAB „Dialimeda“ (toliau – Duomenų valdytojas) asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reguliuoja fizinių asmenų (toliau – Duomenų subjektas) asmens duomenų tvarkymo tikslus, nustato Duomenų subjekto teisių įgyvendinimo tvarką, įtvirtina organizacines ir technines duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojo pasitelkimo atvejus.

2. Šios Taisyklės parengtos remiantis:

2.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ); 2.2. Lietuvos Respublikos sveikatos sistemos įstatymu;

2.3. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;

2.4. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo ir registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“;

2.5. Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu „Dėl asmens duomenų valdytojų valstybės registro reorganizavimo, registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“;

2.6. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1 T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;

2.7. Lietuvos Respublikos sveikatos apsaugos ministro 2017 m. lapkričio 30 d. įsakymu Nr. V-1371 „Dėl sveikatos priežiūros įstaigos asmens duomenų tvarkymo pavyzdinių taisyklių patvirtinimo“;

2.8. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau – BDAR).

2.9. kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.

3. Taisyklėse vartojamos sąvokos atitinka ADTAĮ vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti ADTAĮ taikymo srities bei prieštarauti ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

4. Šios Taisyklės taikomos tvarkant Duomenų subjekto duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: pacientų ligos istorijas, ambulatorines korteles, kartotekas, bylas, sąvadus ir kita. Šios Taisyklės taip pat nustato Duomenų valdytojo darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.

5. Šių Taisyklių reikalavimai privalomi visiems Duomenų valdytojo darbuotojams (toliau – Darbuotojai), kurie tvarko UAB „Dialimeda“ esančius asmens duomenis arba eidami savo pareigas juos

sužino. Šių Taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami UAB „Dialimeda“ duomenų tvarkymo paslaugas, sužino ir tvarko asmens duomenis.

6. Duomenų valdytojas – UAB „Dialimeda“, įstaigos kodas: 167348221, adresas: J. Basanavičiaus g. 22, Mažeikiai.

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

8. Tvarkant asmens duomenis laikomasi asmens duomenų tvarkymo reikalavimų:

8.1. asmens duomenys renkami apibrėžtais ir teisėtais tikslais ir toliau negali būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;

8.2. asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai;

8.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas; 8.4. asmens duomenys turi būti tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti;

8.5. asmens duomenys saugomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;

8.6. asmens duomenys tvarkomi pagal ADTAĮ, BDAR ir kituose atitinkamą veiklą reglamentuojančiuose įstatymuose nustatytus aiškius ir skaidrius asmens duomenų tvarkymo reikalavimus.

9. UAB „Dialimeda“ Duomenų subjektų asmens duomenys tvarkomi vidaus administravimo ir asmens sveikatos priežiūros paslaugų teikimo tikslais.

10. Už Duomenų subjektų duomenų atnaujinimą ir tvarkymą atsakingas UAB „Dialimeda“ direktorius.

11. Visa informacija apie paciento buvimą UAB „Dialimeda“, gydymą, sveikatos būklę, diagnozę, prognozes ir gydymą, taip pat visa kita asmeninio pobūdžio informacija apie pacientą yra konfidenciali, taip pat ir po paciento mirties. Informacija apie pacientą turi būti teikiama, jeigu tai yra privaloma pagal įstatymus. Paciento duomenys nėra teikiami pakartotiniam naudojimui komerciniais tikslais.

III SKYRIUS

DUOMENŲ VALDYTOJO IR TVARKYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS

12. Duomenų valdytojas – UAB „Dialimeda“, įstaigos kodas: 167348221, adresas: J. Basanavičiaus g. 22, Mažeikiai. Duomenų valdytojas nustato asmens duomenų tvarkymo tikslus ir priemones, vykdo funkcijas, numatytas UAB „Dialimeda“ informacinės sistemos nuostatatuose.

13. Duomenų valdytojas turi šias teises:

13.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą; 13.2. spręsti dėl tvarkomų asmens duomenų teikimo;

13.3. paskirti už asmens duomenų apsaugą atsakingą asmenį ar skyrių; 13.4. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

13.5. sudaryti sutartis su paslaugų teikėju dėl duomenų tvarkymo įrangos priežiūros; 13.6. sudaryti sutartis su paslaugų teikėju dėl duomenų apsaugos pareigūno paslaugų; 13.7. tvarkyti asmens duomenis.

14. Duomenų valdytojas turi šias pareigas:

14.1. užtikrinti, kad būtų laikomasi ADTAĮ, BDAR ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;

14.2. įgyvendinti duomenų subjekto teises ADTAI, BDAR ir šiose Taisyklėse nustatyta tvarka;

14.3. užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;

14.4. tvarkyti duomenų tvarkymo veiklos įrašus; 14.5. vertinti poveikį duomenų apsaugai;

14.6. konsultuotis su Valstybine duomenų apsaugos inspekcija;

14.7. skirti duomenų apsaugos pareigūną arba sudaryti sutartį su paslaugų teikėju dėl duomenų apsaugos pareigūno funkcijų įgyvendinimo;

14.8. pranešti apie duomenų saugumo pažeidimą;

14.9. parinkti tik tokius asmens duomenų tvarkymo įrangos priežiūros paslaugų teikėjus, kurie garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones.

14.10. vykdyti stebėseną ir kontrolę, kad būtų laikomasi bendrųjų reikalavimų organizacinėms ir techninėms saugumo priemonėms;

14.11. kontroliuoti patekimą į patalpas, kuriose saugomi dokumentai ir jų archyvai;

14.12. užtikrinti bendrųjų reikalavimų organizacinėms ir techninėms priemonėms laikymąsi. 15. Duomenų valdytojas atlieka šias funkcijas:

15.1. nustato asmens duomenų tvarkymo tikslą ir apimtį; 15.2. organizuoja asmens duomenų tvarkymą;

15.3. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;

15.4. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais; 15.5. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;

15.6. vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti.

16. Duomenų tvarkytojas turi teises ir pareigas bei vykdo funkcijas, numatytas duomenų tvarkymo sutartyje.

17. Duomenų tvarkytojas turi šias teises:

17.1. teikti duomenų valdytojui pasiūlymus dėl duomenų tvarkymo techninių ir programinių priemonių gerinimo;

17.2. tvarkyti asmens duomenis, kiek tam yra įgaliotas duomenų valdytojo. 18. Duomenų tvarkytojas turi šias pareigas:

18.1. įgyvendinti tinkamas organizacines ir technines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti;

18.2. supažindinti naujai priimtus darbuotojus su Taisyklėmis;

18.3. užtikrinti, kad prieiga prie asmens duomenų būtų suteikta tik Taisyklėse nustatyta tvarka įgaliotiems asmenims;

18.4. užtikrinti, kad asmens duomenys būtu saugomi Taisyklėse nustatytais terminais;

18.5. užtikrinti, kad asmens duomenys būtų tvarkomi vadovaujantis Taisyklėmis, ADTAI, BDAR ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;

18.6. saugoti asmens duomenų paslaptį, neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek įstaigoje, tiek už jos ribų;

18.7. tvarkyti duomenų tvarkymo veiklos įrašus;

18.8. padėti duomenų valdytojui užtikrinti jam numatytas prievoles;

18.9. įsivertinus ir nusprendus, kad reikalingas duomenų apsaugos pareigūnas, skirti duomenų apsaugos pareigūną;

18.10. pranešti duomenų valdytojui apie duomenų saugumo pažeidimą; 19. Duomenų tvarkytojas atlieka šias funkcijas:

19.1. įgyvendina asmens duomenų saugumo priemones;

19.2. tvarko asmens duomenis pagal Duomenų valdytojo nurodymus.

IV SKYRIUS

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA

20. Duomenų subjektai turi teisę:

20.1. sužinoti (būti informuotas) apie savo asmens duomenų tvarkymą; 20.2. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi:

20.3. reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant įstatymo nuostatų;

20.4. nesutikti, kad būtų tvarkomi jo Asmens duomenys;

20.5. savo, kaip duomenų subjekto, teises įgyvendinti per atstovą (atstovą pagal įstatymą arba atstovą pagal notaro patvirtintą įgaliojimą).

21. Duomenų subjekto teisių įgyvendinimo tvarka:

21.1. UAB „Dialimeda“, kurioje renkami ir tvarkomi Duomenų subjekto duomenys, privalo sudaryti sąlygas Duomenų subjektui įgyvendinti pirmiau nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veiklų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitu asmenų teisių ir laisvių apsaugą;

21.2. Duomenų subjekto informavimo tvarka apie asmens duomenų tvarkymą ir sutikimas dėl asmens duomenų tvarkymo:

21.2.1. Duomenų subjektas gali susipažinti su asmens duomenų tvarkymo taisyklėmis UAB „Dialimeda“ interneto svetainėje arba atvykęs į UAB „Dialimeda“;

21.2.2. prieš pateikdamas asmens duomenis, turi patvirtinti, kad sutinka su asmens duomenų tvarkymo taisyklėmis:

21.2.2.1. raštu, jei atvyko į UAB „Dialimeda””, ir raštiško sutikimo dar nėra pateikęs; 21.2.2.2. jei registruojasi internetu, patvirtina sutikimą interneto svetainėje;

21.2.2.3. jei registruojasi telefonu, patvirtina sutikimą telefonu;

21.3. Duomenų subjektas, norėdamas susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi: 21.3.1. atvykęs į UAB „Dialimeda“, turi pateikti asmens tapatybės dokumentą bei raštišką prašymą lietuvių kalba;

21.3.2. el.paštu mazeikiai@dialimeda.lt atsiųsti prašymą lietuvių kalba, kuris būtų patvirtintas asmens elektroniniu parašu arba kitais būdais, leidžiančiais tinkamai identifikuoti duomenų subjektą;

21.3.3. paštu arba per kurjerį atsiųsti prašymą lietuvių kalba ir asmens tapatybę patvirtinančio dokumento kopiją, patvirtintą notaro.

21.4. Duomenų valdytojas, gavęs iš duomenų subjekto prašymą ir kitus dokumentus 21.3. straipsnyje numatyta tvarka, ne vėliau kaip per 30 kalendorinių dienų nuo prašymo pateikimo dienos turi suteikti duomenų subjektui šią informaciją (išskyrus atvejus, kai šią informaciją duomenų subjektas jau turi): 21.4.1. savo pavadinimą, juridinio asmens kodą, buveinės adresą;

21.4.2. kokiais tikslais ir kokie tvarkomi duomenų subjekto asmens duomenys;

21.4.3. kokiems duomenų gavėjams asmens duomenys buvo teikiami per paskutinius 1 metus;

21.4.4. kitą papildomą informaciją (kam ir kokiais tikslais teikiami duomenų subjekto duomenys, kokius asmens duomenis duomenų subjektas privalo pateikti ir kokios nepateikimo pasekmės, apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.

21.5. Duomenų valdytojas, kuris asmens duomenis gauna ne iš duomenų subjekto, privalo apie tai informuoti duomenų subjektą pradėdamas tvarkyti asmens duomenis arba, jei ketina duomenis teikti tretiesiems asmenims, privalo apie tai informuoti duomenų subjektą ne vėliau kaip iki to momento, kai duomenys teikiami pirmą kartą, išskyrus atvejus, kai įstatymai ar kiti teisės aktai apibrėžia tokių duomenų rinkimo ir teikimo tvarką bei duomenų gavėjus. Šiuo atveju duomenų valdytojas privalo duomenų subjektui suteikti šią informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi): 21.5.1 savo pavadinimą, juridinio asmens kodą, buveinės adresą;

21.5.2 kokiais tikslais tvarkomi ar ketinami tvarkyti duomenų subjekto asmens duomenys;

21.5.3. kitą papildomą informaciją (iš kokių šaltinių ir kokie duomenų subjekto asmens duomenys renkami ar ketinami rinkti; kam ir kokiais tikslais teikiami duomenų subjekto asmens duomenys; apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.

21.6. Duomenų subjekto prašymu, Duomenų valdytojas 21.4. straipsnyje numatytą informaciją pateikia raštu:

21.6.1. registruotu paštu, jei prašymas buvo pateiktas atvykus, paštu ar per kurjerį; 21.6.2. siunčiant šifruotą informaciją el.paštu, jei prašymas buvo pateiktas el.paštu.

21.7. Duomenų valdytojas 21.4. straipsnyje numatytą informaciją duomenų subjektui teikia neatlygintinai vieną kartą per metus. Jei duomenų subjektas pateikia prašymus pagal 21.3. straipsnį keletą kartų per metus, informacija pagal antrąjį ir kitus prašymus bus teikiama atlygintinai pagal UAB „Dialimeda“ direktoriaus nustatytus duomenų teikimo atlyginimo įkainius

21.8. Duomenų subjektai gali prašyti ištaisyti neteisingus, neišsamius, netikslius asmens duomenis: 21.8.1. atvykus į UAB „Dialimeda“ ir pateikus prašymą lietuvių kalba su asmens tapatybės dokumentu;

21.8.2. paštu arba per kurjerį atsiuntus prašymą lietuvių kalba kartu su asmens tapatybės dokumento kopija, patvirtinta notaro;

21.8.3. el.paštu mazeikiai@dialimeda.lt atsiųsti prašymą lietuvių kalba, kuris būtų patvirtintas asmens elektroniniu parašu arba arba kitais būdais, leidžiančiais tinkamai identifikuoti duomenų subjektą;

21.9. Duomenų valdytojas, gavęs iš duomenų subjekto rašytinį prašymą ir kitus dokumentus 21.8. straipsnyje numatyta tvarka, turi nedelsiant neatlygintinai patikrinti asmens duomenis ir ištaisyti

neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

21.10. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, jis turi apie tai pranešti Duomenų valdytojui:

21.10.1. atvykus į UAB „Dialimeda“, pateikti raštą lietuvių kalba ir patvirtinti savo tapatybę asmens tapatybės dokumentu;

21.10.2. paštu arba per kurjerį atsiųsti raštą kartu su asmens tapatybės dokumento kopija, patvirtinta notaro;

21.10.3. el.paštu mazeikiai@dialimeda.lt atsiųsti raštą lietuvių kalba, kuris būtų patvirtintas asmens elektroniniu parašu arba arba kitais būdais, leidžiančiais tinkamai identifikuoti duomenų subjektą;

21.11. Duomenų valdytojas, gavęs iš duomenų subjekto rašytinį prašymą ir kitus dokumentus 21.10. straipsnyje numatyta tvarka, turi patikrinti asmens duomenis ir nedelsiant neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą, sąžiningumą ir duomenų subjekto prašymu (išreikštu rašytine forma) nedelsdamas sunaikinti neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą.

21.12. Duomenų subjekto prašymu sustabdžius jo asmens duomenų tvarkymo veiksmus, Duomenų valdytojas asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol bus ištaisyti ar sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui). Kitus tvarkymo veiksmus su tokiais asmens duomenimis Duomenų valdytojas atlieka tik:

21.12.1. siekiant įrodyti aplinkybes, dėl kurių duomenų tvarkymo veiksmai buvo sustabdyti; 21.12.2. jei duomenų subjektas duoda sutikimą toliau tvarkyti savo asmens duomenis; 21.12.3. jei reikia apsaugoti trečiųjų asmenų teises ar teisėtus interesus.

21.13. Duomenų valdytojas turi nedelsdamas pranešti duomenų subjektui apie jo prašymu atliktą ar neatliktą asmens duomenų ištaisymą, sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą. 21.14. Jeigu Duomenų valdytojas abejoja duomenų subjekto pateiktų asmens duomenų teisingumu, jis privalo sustabdyti tokių duomenų tvarkymo veiksmus, duomenis patikrinti ir patikslinti. Tokie asmens duomenys gali būti naudojami tik jų teisingumui patikrinti.

21.15. Duomenų valdytojas privalo nedelsdamas informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.

21.16. Duomenų subjekto teisė nesutikti, kad butų tvarkomi jo asmens duomenys įgyvendinama tuo atveju, kai asmens duomenys tvarkomi vadovaujantis ADTAĮ 5 straipsnio 1 dalies 5 ir 6 punktuose nurodytais atvejais prieš atliekant asmens duomenų tvarkymo veiksmus:

21.16.1. Duomenų valdytojas, įgyvendindamas šių taisyklių 21.5. punkte nurodytą pareigą, per 3 darbo dienas nuo asmens duomenų gavimo ar ketinimo juos teikti tretiesiems asmenims, be minėtame punkte nurodytos informacijos, kartu informuoja Duomenų subjektą ir apie jo teisę išreikšti savo nesutikimą per 3 darbo dienas nuo Duomenų valdytojui atsiųsto rašto gavimo dienos.

21.16.2. Duomenų subjektas, įgyvendindamas savo teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, pateikia Duomenų valdytojui pranešimą apie nesutikimą dėl jo asmens duomenų tvarkymo: 21.16.2.1. atvykus į UAB „Dialimeda“, pateikia rašytinį pranešimą lietuvių kalba ir patvirtina savo tapatybę asmens tapatybės dokumentu;

21.16.2.2. paštu arba per kurjerį atsiuntus rašytinį pranešimą lietuvių kalba kartu su asmens tapatybės dokumento kopija, patvirtinta notaro;

21.16.2.3. el.paštu mazeikiai@dialimeda.lt atsiuntus rašytinį pranešimą lietuvių kalba, kuris būtų patvirtintas asmens elektroniniu parašu arba arba kitais būdais, leidžiančiais tinkamai identifikuoti duomenų subjektą;

21.16.3. Jeigu duomenų subjekto nesutikimas yra teisiškai pagrįstas, Duomenų valdytojas nedelsdamas neatlygintinai nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir informuoja duomenų gavėjus.

21.16.4. Duomenų valdytojas praneša Duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus.

21.16.5. Duomenų valdytojas, per 21.16.1. punkte nurodytą terminą negavęs duomenų subjekto rašytinio pranešimo apie nesutikimą dėl jo asmens duomenų tvarkymo, atlieka jų tvarkymo veiksmus teisės aktų nustatyta tvarka.

21.17. Atstovai pagal pavedimą, veikdami duomenų subjekto vardu, Duomenų valdytojui privalo pateikti atstovavimą patvirtinantį dokumentą. Šis atstovavimas įforminamas ir patvirtinamas notaro arba duomenų subjektas apie savo pasirinktą atstovą pasirašytinai nurodė savo medicinos dokumentuose.

21.18. Nepilnameciam Duomenų subjektui iki 16 metų atstovauja jo atstovai pagal istatymą: vienas iš tėvų (įtėvių), globėjas, rūpintojas. Nepilnamečiam pacientui iki 16 metų, kuriam nustatyta institucinė globa (rūpyba), atstovauja šių įstaigų paskirti asmenys, pateikę atstovavimą patvirtinantį dokumentą. Duomenų subjekto nuo 16 metų sutuoktinis, sugyventinis (partneris), o kai jų nėra – vienas iš duomenų subjekto tėvų (įtėvių) arba vienas iš pilnamečių vaikų yra duomenų subjekto, kuris negali būti laikomas gebančiu protingai vertinti savo interesų, atstovu pagal istatymą; nurodyti asmenys nelaikomi paciento nuo 16 metų atstovais pagal įstatymą, jeigu jie atsisako būti atstovais, duomenų subjektas yra paskyręs atstovą pagal pavedimą arba duomenų subjektui nustatyta globa (rūpyba).

V SKYRIUS

ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS

22. UAB „Dialimeda“ organizacinės ir techninės duomenų saugumo priemonės turi užtikrinti trečiąjį automatiniu būdu tvarkomų asmens duomenų saugumo lygį.

23. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos šios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:

23.1. UAB „Dialimeda“ direktoriaus įsakymu paskirtas duomenų valdymo įgaliotinis ir informacinės sistemos administratorius;

23.2. tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės. Už priemonių įgyvendinimą ir priežiūrą atsako UAB „Dialimeda“, direktoriaus įsakymu, paskirtas darbuotojas arba IT paslaugas, pagal paslaugų sutartį, teikianti įmonė;

23.3. griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis. Už priemonės įgyvendinimą ir priežiūrą atsako UAB „Dialimeda“ direktoriaus įsakymu paskirtas darbuotojas;

23.4. tinkamas darbo organizavimas ir kitos administracinės priemonės. Už priemonių įgyvendinimą ir priežiūrą atsako UAB „Dialimeda“ direktorius arba kitas direktoriaus įsakymų patvirtintas įstaigos darbuotojas.

24. UAB „Dialimeda“ privalo užtikrinti šias organizacines ir technines asmens duomenų saugumo priemones:

24.1. užtikrinti prieigos prie asmens duomenų apsaugą, valdymą ir kontrolę;

24.2. prieigą prie asmens duomenų suteikti tik tiems darbuotojams, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti. Darbo santykiams pasibaigus, prieigas buvusiam darbuotojui panaikinti; 24.3. užtikrinti, kad su asmens duomenimis būtų galima atlikti tik tuos veiksmus, kuriems atlikti naudotojui yra suteiktos teisės;

24.4. užtikrinti, kad prieigos prie asmens duomenų slaptažodžiai: 24.4.1. suteikiami, keičiami ir saugomi užtikrinant jų konfidencialumą;

24.4.2. unikalūs, sudaryti iš ne mažiau kaip 8 simbolių, nenaudojant asmeninio pobūdžio informacijos; 24.4.3. keičiami ne rečiau kaip kartą per 2 mėnesius;

24.4.4. pirmojo prisijungimo metu naudotojo privalomai keičiami;

24.5. užtikrinti asmens duomenų apsaugą nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis;

24.6. užtikrinti patalpų, kuriose saugomi asmens duomenys, saugumą (užtikrinamas tik įgaliotų asmenų patekimas į atitinkamas patalpas ir pan.);

24.7. užtikrinti kompiuterinės įrangos apsaugą nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).

24.8. kontroliuoti prieigą prie asmens duomenų tokiomis organizacinėmis ir techninėmis asmens duomenų saugumo priemonėmis, kurios fiksuoja ir kontroliuoja registravimosi bei teisių gavimo pastangas;

24.9. nustatyti leistinų nepavykusių prisijungimų prie programinės įrangos skaičių;

24.10.fiksuoti šiuos prisijungimų prie asmens duomenų įrašus: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas), bylos, prie kurių buvo jungtasi, atlikti veiksmai su asmens duomenimis (įvedimas, peržiūra, keitimas, naikinimas ir kiti asmens duomenų tvarkymo veiksmai). Šie įrašai turi būti saugomi ne trumpiau kaip 1 metus;

24.11. asmens duomenų paieškos užklausoje turi būti nurodomas asmens duomenų naudojimo tikslas; 24.12. užtikrinti saugių protokolų ir (arba) slaptažodžių naudojimą, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais;

24.13. užtikrinti asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolę ir ištrynimą po jų panaudojimo perkeliant į duomenų bazes ir pan.;

24.14. registruoti asmens duomenų kopijavimo, jei jis daromas, ir atkūrimo jų avarinio praradimo atveju veiksmus (kada ir kas atliko šiuos veiksmus);

24.15. užtikrinti, kad informacinių sistemų testavimas nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą;

24.16. ne rečiau kaip kartą per 1 mėnesį peržiūrėti naudotojų prisijungimų prie duomenų bazės (-ių) įrašų elektroninį žurnalą ir duomenų valdytojui teikiamas peržiūros ataskaitas;

24.17. mobiliuosiuose įrenginiuose (nešiojamuosiuose kompiuteriuose, planšetėse, išmaniuosiuose telefonuose ir pan.), jeigu jie naudojami ne UAB „Dialimeda“ vidiniame kompiuterių tinkle, esantys ypatingi asmens duomenys ir prisijungimo prie UAB „Dialimeda”” tvarkomų asmens duomenų informacija turi būti šifruojama ar apsaugoma tokiomis priemonėmis, kurios atitiktų asmens duomenų atskleidimo keliamą riziką;

24.18. atsarginės asmens duomenų kopijos turi būti saugomos kitoje patalpoje ar geografinėje vietoje negu aktyvi (veikianti) duomenų bazė;

24.19. atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose saugomi asmens duomenys turi būti šifruojami;

24.20. elektroniniu paštu perduodami ypatingi asmens duomenys turi būti šifruojami. 24.21. ne rečiau kaip kartą per 1 metus atlikti asmens duomenų tvarkymo rizikos vertinimą;

24.22. ne rečiau kaip kartą per 1 metus patikrinti avarinio asmens duomenų atkūrimo tvarką atliekant praktinius bandymus;

24.23. šifruoti aktyvioje (veikiančioje) duomenų bazėje saugomus asmens duomenis;

24.24. naudoti organizacines ir technines asmens duomenų saugumo priemones, kontroliuojančias duomenų bazę (-es), tarnybinę (-es) stotį (-is) ir informacinę sistemą administruojančių asmenų veiksmus. 25. Darbuotojai, kurie tvarko duomenų subjektų duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo darbines pareigas. Ši pareiga lieka galioti perėjus dirbti į kitas pareigas UAB „Dialimeda“ ir pasibaigus darbiniams santykiams su UAB „Dialimeda“.

26. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti asmens duomenys, tik tiems darbuotojams, kurie turi teisę dirbti su asmens duomenimis pagal pareigas, kaip tai numatyta Asmens duomenų tvarkymo procedūroje arba atskirame direktoriaus įsakyme.

27. Darbuotojai, kurie tvarko duomenų subjektų duomenis, turi užkirsti kelia atsitiktiniam ar neteisėtam duomenų tvarkymui, turi saugoti dokumentus tinkamai ir saugiai. Dokumentų kopijos, kuriose nurodyti asmens duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų negalima būtų atkurti ir atpažinti jų turinio.

28. Darbuotojai privalo taip organizuoti savo darbą, kad užtikrintų, jog asmens duomenys nebus pasiekiami kitiems asmenims. Ši nuostata įgyvendinama laikantis Asmens duomenų tvarkymo procedūroje numatytų procedūrų ir tvarkos.

29. Už asmens duomenų saugumo pažeidimų valdymą ir reagavimą į šiuos pažeidimus atsakingas UAB „Dialimeda“ direktoriaus įsakymu paskirtas duomenų apsaugos pareigūnas arba pagal paslaugų sutartį įgaliotas duomenų apsaugos pareigūnas.

VI SKYRIUS

ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

30. Tais atvejais, kai Duomenų valdytojas įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Duomenų valdytojo ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.

31. Sprendimą perduoti Duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima UAB „Dialimeda“ vadovas.

32. Duomenų valdytojas privalo parinkti toki Duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

33. Duomenų valdytojas, sutartyje įgaliodamas Duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas duomenų valdytojo vardu. Duomenų tvarkytojai, kurie tvarko duomenų subjekto duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami duomenų tvarkymo sutartį, nebent tokia informacija butų vieša pagal galiojančių įstatymų ir kitų teisės aktų nuostatas.

VII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA

34. UAB „Dialimeda” darbuotojai, turintys prieigos prie asmens duomenų teisę, pastebėję duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti UAB „Dialimeda“ direktorių ir duomenų apsaugos pareigūną.

35. Įvertinus duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, kiekvienu konkrečiu atveju UAB „Dialimeda“ direktorius priima sprendimus dėl priemonių, reikiamų duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

VIII SKYRIUS

ASMENS DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS

36. Duomenų teikimas tretiesiems asmenims:

36.1. neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik jeigu Rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie pacientą telefonu neteikiama.

36.2. Vienkartinio duomenų teikimo atveju Duomenų valdytojas, teikdamas asmens duomenis pagal duomenų gavėjo rašytinį prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.

37. Konfidencialumo reikalavimas netaikomas ir informacija (asmens duomenys) gali būti suteikta tik tarnybiniais tikslais, neturint raštiško paciento sutikimo:

37.1. sveikatos priežiūros įstaigoms, kuriose yra/buvo gydomas, slaugomas pacientas Duomenų subjektas) arba atliekama jo sveikatos ekspertizė;

37.2. teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms, savivaldybių vaiko teisių apsaugos skyriams bei kitoms institucijoms, kurioms tokį teisinį pagrindą suteikia Lietuvos Respublikos įstatymai;

37.3. institucijoms, kontroliuojančioms sveikatos priežiūros paslaugas.

38. Vadovaudamasi Lietuvos Respublikos įstatymais ir kitais teisės aktais, UAB „Dialimeda“ asmens duomenis apie pacientą (duomenų subjektą) pateikia savo iniciatyva ir be paciento sutikimo šiais atvejais:

38.1. kai reikia pranešti apie nusikaltimą;

38.2. savivaldybių vaiko teisių apsaugos skyriams pagal vaiko gyvenamą vietą nedelsiant, esant pagrįstų įtarimų dėl vaiko teisių pažeidimo:

38.2.1. kai įtaria vaiko nepriežiūra;

38.2.2. įtarus emocinį, fizinį ar seksualinį smurtą vaiko atžvilgiu;

38.2.3. kai vaiko atstovai pagal įstatymą neužtikrina sveikatos priežiūros paslaugų vaikui teikimo;

38.2.4. kai įtaria, kad vaiko atstovai pagal įstatymą dėl sveikatos būklės negali tinkamai vykdyti savo pareigų vaiko atžvilgiu;

38.2.5.kitais atvejais.

IX SKYRIUS BAIGIAMOSIOS NUOSTATOS

39. Darbuotojai, kurie yra įgalioti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, Asmens duomenų tvarkymo procedūros, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų ADTAĮ, BDAR ir šiose Taisyklėse. Darbuotojai pažeidę Taisykles ir (ar) ADTAĮ ir (ar) BDAR atsako teisės aktų nustatyta tvarka.

40. Patvirtinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už supažindinimą su Taisyklėmis atsakingas UAB „Dialimeda” direktorius ar direktoriaus įsakymu paskirtas įstaigos darbuotojas.

41. UAB „Dialimeda“ užtikrina darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, mokymus.

42. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę atsakingas UAB „Dialimeda” direktoriaus įsakymu paskirtas arba pagal paslaugų sutartį įgaliotas duomenų apsaugos pareigūnas, kuris, įvertinęs Taisyklių taikymo praktiką, esant poreikiui, inicijuoja Taisyklių atnaujinimą.

43. Šias Taisykles pažeidę asmenys atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.