IĮ VILNIAUS PSICHOTERAPIJOS CENTRO ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
IĮ VILNIAUS PSICHOTERAPIJOS CENTRO ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
I SKYRIUS BENDROSIOS NUOSTATOS
1. IĮ VILNIAUS PSICHOTERAPIJOS CENTRO (toliau - Centras) asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) nustato, kaip Centre yra tvarkomi darbuotojų ir kitų duomenų subjektų, įskaitant Centro interneto svetainės xxx.xxxxxxxxxxxxxxxxxxxxxx.xx lankytojų, asmens duomenys. Šios Taisyklės taip pat apima informaciją apie slapukus (angl. cookies).
2. Asmens duomenys Centre yra tvarkomi vadovaujantis Bendruoju duomenų apsaugos reglamentu (ES) 2016/679 (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, o taip pat kitais taikytinais teisės aktais.
II SKYRIUS SĄVOKOS
3. Asmens duomenys – tai bet kuri informacija apie Duomenų subjektą, kurią pateikia pats Duomenų subjektas arba kurią Centras gauna iš kitų šaltinių, ir kuri leidžia identifikuoti Duomenų subjektą.
4. Duomenų subjektas – tai fizinis asmuo (darbuotojas, pacientas, partneris, jų atstovas ar kt. asmuo), kurio Asmens duomenis Centras renka ir toliau tvarko.
5. Duomenų valdytoja arba Centras - IĮ VILNIAUS PSICHOTERAPIJOS CENTRAS, juridinio asmens kodas 300612025, registruotos buveinės adresas J. Xxxxxxxxxxxxx x. 6-13, Vilnius, Lietuvos Respublika.
6. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente ir kituose teisės aktuose.
III SKYRIUS TVARKOMI ASMENS DUOMENYS
7. Centras gali rinkti ir tvarkyti tokius darbuotojų, pacientų bei kitų Duomenų subjektų Asmens duomenis:
• Xxxxxxxxxxxx asmens identifikavimo ir kontaktinius asmens duomenis, tokius kaip vardas, pavardė, lytis, asmens kodas, gimimo data, parašas, telefono numeris, el. pašto adresas, adresas, pareigos, darbovietė ir kt.;
• Duomenis, susijusius su darbo sutarčių tarp Duomenų subjekto ir Centro sudarymu ir/ar vykdymu: informaciją apie išsilavinimą (mokslų baigimo diplomai, kvalifikacijos atestatai ir pažymėjmai, mokymų/kursų baigimo pažymėjimai), duomenis apie ankstesnes darbovietes, kitus CV pateiktus duomenis, sveikatos istoriją (asmens medicininė knygelė), socialinio draudimo numerį, darbo užmokesčio duomenis, darbo laiko apskaitos duomenis, banko sąskaitos duomenis, duomenis apie vaikus (skaičius, gimimo datos), šeiminę padėtį, duomenis apie neįgalumą (jei taikoma), informaciją apie
kvalifikacijos tobulinimą, veiklos vertinimo ir karjeros planavimo duomenis, įskaitant informaciją apie darbo pareigų pažeidimus, ir kt.
• Duomenis, susijusius su sveikatos priežiūros paslaugų teikimu pacientams: asmens sveikatos istorijoje nurodytus sveikatos duomenis, banko sąskaitos duomenis, kitus duomenis, kuriuos pacientas (paciento atstovas) pateikia Centrui.
• Identifikavimo ir veiklos elektroninėje erdvėje duomenis, tokius kaip svetainės xxx.xxxxxxxxxxxxxxxxxxxxxx.xx naršymo informacija, pavyzdžiui, surinkta naudojant slapukus ir panašias technologijas, susijusias su naršymu internete, taip pat Asmens duomenis, kuriuos pateikia svetainės lankytojai, užpildydami svetainėje pateikiamą formą: vardą, pavardę, telefono numerį, el. pašto adresą ir kt.
8. Centras taip pat gali tvarkyti ir kitus nei aukščiau nurodytus Asmens duomenis, apie tai informavusi Duomenų subjektą.
IV SKYRIUS
DUOMENŲ TVARKYMO PRINCIPAI
9. Rinkdamas ir tvarkydamas Asmens duomenis, Centras laikosi šių principų:
• Asmens duomenys tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
• Asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);
• Asmens duomenys yra adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
• tvarkomi Asmens duomenys yra tikslūs ir prireikus atnaujinami (tikslumo principas);
• Asmens duomenys yra laikomi tokia forma, kad asmens tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais Asmens duomenys yra tvarkomi (saugojimo trukmės apribojimo principas);
• Asmens duomenys yra tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas Asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
V SKYRIUS
ASMENS DUOMENŲ TVARKYMO TIKSLAI IR PAGRINDAI
10. Centras Asmens duomenis gali tvarkyti toliau nurodytais tikslais:
• darbuotojų darbo sutarčių sudarymo, vykdymo ir kontrolės;
• siekdamas suteikti sveikatos priežiūros paslaugas, įskaitant pacientų ir jų vizito laiko registraciją, atsakymų į pacientų užklausas dėl sveikatos priežiūros paslaugų pateikimą, susisiekimą su pacientu, kai tai reikalinga sveikatos priežiūros paslaugų teikimui (pavyzdžiui, informuoti pacientą dėl paslaugų apmokėjimo ir kt.);
• identifikavimo ir veiklos elektroninėje erdvėje duomenis – siekdamas gerinti lankytojų naudojimosi interneto svetaine patirtį;
• kitais tikslais, kurie konkrečiais atvejais nurodomi Duomenų subjektui.
11. Asmens duomenis Centras renka ir tvarko esant bent vienai iš žemiau nurodytų sąlygų (teisinių pagrindų):
• Duomenų subjektas ketina sudaryti ar sudarė sutartį (pavyzdžiui, darbo) su Centru;
• Duomenų subjektas davė sutikimą;
• tvarkyti duomenis būtina, kad būtų įvykdyta Centrui kaip duomenų valdytojui taikoma teisinė prievolė;
• tvarkyti duomenis būtina siekiant teisėtų Centro kaip duomenų valdytojo interesų (pavyzdžiui, gerinti lankytojų naudojimosi interneto svetaine patirtį);
• darbuotojų specialių kategorijų (pavyzdžiui, sveikatos) Asmens duomenys gali būti tvarkomi, kai tai būtina profilaktinės ar darbo medicinos tikslais arba tam, kad būtų įgyvendintos specialios teisės darbo ar socialinės apsaugos srityse;
• pacientų specialių kategorijų (pavyzdžiui, sveikatos) Asmens duomenys gali būti tvarkomi siekiant suteikti jiems sveikatos priežiūros paslaugas.
VI SKYRIUS
DUOMENŲ TVARKYTOJAI. DUOMENŲ GAVIMAS IR TEIKIMAS
12. Centras gali įgalioti jo valdomus Asmens duomenis tvarkyti duomenų tvarkytojus, pavyzdžiui, informacinių technologijų ar apskaitos paslaugų teikėjus. Šie duomenis tvarko Centro nustatytais tikslais ir pagal jos nurodymus. Parenkamas toks tvarkytojas, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.
13. Su duomenų tvarkytojais Centras sudaro rašytinius susitarimus, kuriuose nustatomi duomenų tvarkymo dalykas ir trukmė, duomenų tvarkymo pobūdis ir tikslas, duomenų rūšys ir Duomenų subjektų kategorijos bei šalių prievolės ir teisės.
14. Asmens duomenis Centras gali gauti iš pačių Duomenų subjektų arba iš trečiųjų šalių, pavyzdžiui, draudimo bendrovių.
15. Centro valdomi duomenys tretiesiems asmenims gali būti teikiami esant teisėtam Asmens duomenų teikimo pagrindui.
16. Centras gali teikti atitinkamus Asmens duomenis valstybinio socialinio draudimo, mokesčių, statistikos institucijoms, apskaitos, draudimo, darbuotojų sveikatos tikrinimo, darbuotojų saugos, kvalifikacijos tobulinimo, konsultacines, teisines paslaugas teikiančioms įmonėms ir asmenims (tokia apimtimi, kiek tai būtina teikiant Centrui tokias paslaugas), Centro partneriams, tiekėjams, kitiems asmenims (tokia apimtimi, kiek būtina siekiant palaikyti verslo santykius).
17. Centro valdomi Asmens duomenys duomenų gavėjams, įsikūrusiems už Europos ekonominės erdvės ribų (trečiosiose valstybėse) neteikiami.
18. Centras tvarko Asmens duomenis tokį laikotarpį, kuris yra būtinas siekiant Centro nustatytų Asmens duomenų tvarkymo tikslų. Nustatydamas tvarkymo laikotarpį, Centras vadovaujasi LR dokumentų ir archyvų įstatyme, Lietuvos vyriausiojo archyvaro patvirtintoje Bendrųjų dokumentų saugojimo terminų rodyklėje, Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakyme Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“) bei kituose teisės aktuose nurodytais saugojimo terminais. Tais atvejais, kai duomenų saugojimo terminas nenustatytas teisės aktuose, Asmens duomenys
tvarkomi ne ilgiau kaip 1 (vienerius) metus nuo sveikatos priežiūros paslaugų teikimo, sutarties galiojimo ar kitokių santykių su Duomenų subjektu pabaigos.
VII SKYRIUS
DUOMENŲ SUBJEKTO TEISĖS
19. Duomenų subjektas, kurio duomenys tvarkomi Centre, turi šias teises:
• būti informuotas apie savo Asmens duomenų tvarkymą; gauti iš Centro patvirtinimą, kad jo duomenys yra tvarkomi, bei susipažinti su tuo, kaip tvarkomi jo Asmens duomenys;
• reikalauti ištaisyti netikslius su juo susijusius Asmens duomenis;
• reikalauti, kad Centras nedelsdamas ištrintų Asmens duomenis, jeigu yra Reglamente nustatyti pagrindai („teisė būti pamirštam“);
• reikalauti, kad Centras apribotų Asmens duomenų tvarkymą, jeigu yra Reglamente nustatyti pagrindai;
• jeigu Asmens duomenys tvarkomi remiantis Duomenų subjekto sutikimu ar vykdant su juo sudarytą sutartį, Duomenų subjektas turi teisę gauti su juo susijusius Asmens duomenis, kuriuos jis pateikė Duomenų valdytojai susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui;
• nesutikti, kad būtų tvarkomi jo Asmens duomenys, jeigu duomenys tvarkomi siekiant teisėtų Centras interesų, išskyrus atvejus, kai Centras įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už Duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.
20. Aukščiau nurodytas teises Duomenų subjektas gali įgyvendinti kreipdamasis į Centrą raštu ar atvykęs aukščiau nurodytu jos adresu, arba el. paštu xxxx@xxxxxxxxxxxxxxxxxxxxxx.xx. Centras per vieną mėnesį po prašymo gavimo atsako į Duomenų subjekto prašymą. Šis laikotarpis Centro vadovo sprendimu gali būti pratęstas dar dviem mėnesiams, atsižvelgiant į prašymų sudėtingumą ir skaičių. Informacija teikiama nemokamai, išskyrus atvejus, kai Duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi.
21. Duomenų subjektas taip pat turi teisę pateikti skundą Valstybinei duomenų apsaugos inspekcijai (daugiau informacijos - xxx.xxx.xx)
VIII SKYRIUS
ORGANIZACINĖS IR TECHNINĖS DUOMENŲ SAUGUMO PRIEMONĖS
22. Prieigos teisė ir įgaliojimai tvarkyti Asmens duomenis suteikiami tik Centro savininkui, vadovui ir tiems Centro darbuotojams, kuriems Asmens duomenys yra reikalingi jų funkcijoms vykdyti.
23. Įtaręs galimą Asmens duomenų saugumo pažeidimą, kiekvienas Centro darbuotojas privalo apie jį nedelsdamas pranešti Centro vadovui ir pasirūpinti, kad būtų išsaugoti duomenų saugumo pažeidimo aplinkybes patvirtinantys įrodymai. Centro vadovas pagal pradinę informaciją sprendžia apie duomenų, kurių saugumo pažeidimas įvyko, svarbą, nustato pažeidimo priežastis ir mastą, įvertina riziką, galimą žalą Duomenų subjektų teisėms ir
veiksmų prioritetus, taip pat užtikrina, kad būtų užkirstas kelias tolimesnei pažeidimo eigai, sumažinta galima žala bei kad pažeidimas ir Centro veiksmai būtų tinkamai dokumentuoti.
24. Centro vadovas sprendžia dėl pranešimų apie Asmens duomenų saugumo pranešimo priežiūros institucijai ir Duomenų subjektams būtinumo.
25. Duomenų saugumo pažeidimo atveju Centras nepagrįstai nedelsdamas ir, jei įmanoma, praėjus ne daugiau kaip per 72 valandoms nuo tada, kai sužino apie duomenų saugumo pažeidimą, apie tai praneša priežiūros institucijai, vadovaudamasis 2018 m. gegužės 24 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymu Nr. 1T-53(1.12.) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“ ar jį pakeitusiais teisės aktais, nebent duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu priežiūros institucijai apie duomenų saugumo pažeidimą nepranešama per 72 valandas, prie pranešimo pridedamos vėlavimo priežastys. Šiame pranešime turi būti pateikta Reglamento 33 straipsnyje nurodyta informacija.
26. Centras dokumentuoja visus duomenų saugumo pažeidimus, įskaitant su duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus.
27. Kai dėl duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Centras nepagrįstai nedelsdamas praneša apie duomenų saugumo pažeidimą Duomenų subjektui. Pranešime Duomenų subjektui aiškia ir paprasta kalba aprašomas duomenų saugumo pažeidimo pobūdis ir pateikiama Reglamento 34 straipsnyje nurodyta informacija. Pranešimo Duomenų subjektui nereikalaujama, jeigu yra minėtame Reglamento straipsnyje nurodytos sąlygos.
28. Centre įgyvendinamos organizacinės ir techninės Asmens duomenų saugumo priemonės, saugant Asmens duomenis nuo neteisėtos prieigos, naudojimo ar atskleidimo.
29. Siekiant apsaugoti Centro tvarkomus duomenis nuo praradimo ar neteisėto pakeitimo, prieiga prie elektroniniu būdu tvarkomų Asmens duomenų apsaugoma slaptažodžiais, užtikrinama Asmens duomenų apsauga nuo neteisėto prisijungimo elektroninių ryšių priemonėmis (pvz., naudojama ugniasienė), kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (pvz., antivirusinių programų įdiegimas, atnaujinimas). Taip pat užtikrinama fizinė priėjimo prie Asmens duomenų (patekimo į patalpas ar saugojimo vietą) kontrolė. Duomenys reguliariai archyvuojami, kopijuojami.
30. Duomenys Centre tikslinami ir atnaujinami, kai tik Duomenų subjektas praneša apie jų pasikeitimą arba kitokiu būdu gavus informacijos apie Asmens duomenų pasikeitimus. Duomenys turi būti sunaikinami pasibaigus duomenų saugojimo terminams ar kitais teisės aktuose arba Taisyklėse nustatytais pagrindais.
31. Už Taisyklių įgyvendinimą, jų vykdymo kontrolę yra atsakingas Centro vadovas.
32. Centro darbuotojai su Taisyklėmis supažindinami pasirašytinai.
33. Taisyklės peržiūrimos ne rečiau kaip kartą per 2 (dvejus) metus arba pasikeitus atitinkamam teisiniam reguliavimui ir, esant poreikiui, atnaujinamos. Taisyklės skelbiamos Centro interneto svetainėje.
IX SKYRIUS INFORMACIJA APIE SLAPUKUS
34. Slapukai (angl. cookies) - tai nedidelės tekstinės informacijos dalelės, kurias interneto svetainės lankytojo naudojamo įrenginio naršyklė priima iš svetainės ir išsaugo įrenginyje. Slapukai leidžia svetainei prisiminti informaciją apie lankytojo naršymo įpročius, veiksmus,
paieškas bei nustatymus, kad lankytojas galėtų naudotis visu svetainės funkcionalumu, o kiti apsilankymai svetainėje būtų paprastesni ir naudingesni.
35. Svetainės lankytojas gali pasirinkti, ar nori priimti slapukus. Nesutinkant, kad į kompiuterį ar į kitą galinį įrenginį būtų įrašomi slapukai, galima pakeisti savo interneto naršyklės nustatymus ir išjungti visus slapukus arba įjungti / išjungti juos po vieną. Tačiau kai kuriais atvejais tai gali sulėtinti naršymo internete spartą, apriboti tam tikrų interneto svetainių funkcijų veikimą arba blokuoti prieigą prie svetainės. Išsamesnė informacija pateikta adresu XxxXxxxxXxxxxxx.xxx arba xxx.xxxxxx.xxx/xxxxxxx_xxx.xxxx.
Duomenys apie naudojamus slapukus
Slapuko pavadinimas | Aprašymas | Sukūrimo momentas | Galiojimo laikas | Naudojami duomenys |
PHPSESSID | Standartinis slapukas naudojamas vartotojo sesijai palaikyti. | Įėjimo į puslapį metu | Iki interneto svetainės lango uždarymo | Unikalus identifikatori us |
_utma, _utmb, _utmc | Stebėjimo slapukai iš „Google Analytics“. Informacija į serverį siunčiama anonimiškai. Slapukai identifikuoja unikalius lankytojus ir stebi vartotojo sesijas. Daugiau informacijos žr. „Google“ svetainėje. | Pirmo įėjimo į puslapį metu | Atitinkamai 30 min., 6 mėn., 2 metus | Unikalus identifikatori us |
_utmz | Stebėjimo slapukai iš „Google Analytics“. Informacija į serverį siunčiama anonimiškai. | Pirmo įėjimo į puslapį metu | Iki naršyklės uždarymo | Unikalus identifikatori us |
_ga | Slapukas renka informaciją apie vartotojų elgseną svetainėje ir yra naudojamas siekiant išsaugoti statistinę informaciją. | Pirmo įėjimo į puslapį metu | 2 metai | Unikalus identifikatori us |
Centro interneto svetainėje gali būti pateikiamos nuorodos į trečiųjų šalių interneto svetaines, produktus ir paslaugas.Trečiųjų šalių paslaugoms ar produktams, kurias galima pasiekti pasinaudojus nuorodomis iš Centro interneto svetainės, taikomas atitinkamos trečiosios šalies privatumo pranešimas.