VšĮ LEKĖČIŲ AMBULATORIJA ASMENS DUOMENŲ TVARKYMO TAISYKLĖS BENDROSIOS NUOSTATOS
PATVIRTINTA
VŠĮ Lekėčių ambulatorija vyriausiosios gydytojos
VšĮ LEKĖČIŲ AMBULATORIJA ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
BENDROSIOS NUOSTATOS
1. VšĮ Lekėčių ambulatorija, juridinio asmens kodas 190809675, buveinės adresas Xxxxx x.00X-0, Lekėčiai, Šakių rajonas, asmens duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą VšĮ Lekėčių ambulatorija (toliau – SPĮ), užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 nustatytų normų dėl fizinių asmenų duomenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/ EB (toliau – BDAR arba Reglamentas), vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ) ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Šių Taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo technines ir duomenų saugos organizacines priemones.
3. Taisyklių privalo laikytis visi SPĮ dirbantys asmenys, kurie tvarko asmens duomenis arba atlikdami savo pareigas tuos duomenis gali sužinoti.
4. Šios Taisyklės taikomos tvarkant fizinių asmenų duomenis tiek automatiniu, tiek neautomatiniu būdu. Šios Taisyklės taip pat nustato SPĮ darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
PAGRINDINĖS SĄVOKOS
5. Asmens duomenys – bet kokia informacija, susijusi su fiziniu asmeniu (duomenų subjektu), kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai sužinoma pagal identifikatorių (vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius).
SPĮ vardu IS Foxus tvarkomi šie duomenų subjektų duomenys:
5.1. SPĮ paslaugas teikiančio Sveikatos priežiūros specialisto vardas, pavardė, asmens kodas, darbovietės pavadinimas, gimimo data, išsilavinimas, specialybė, spaudo numeris, pacientų priėmimo laikas, telefono numeris, el. pašto adresas.
5.2. SPĮ darbuotojo (išskyrus Sveikatos priežiūros specialistus) vardas, pavardė, asmens kodas, gimimo data, darbovietės pavadinimas, pareigos, telefono numeris, el. pašto adresas,
5.3. SPĮ Paciento vardas, pavardė, asmens kodas, lytis, adresas, elektroninio pašto adresas, mobilaus telefono numeris, telefono numeris, valstybinio socialinio draudimo numeris ir asmens vidinis informacinės sistemos identifikatorius, bedarbio pažymėjimo numeris, vidaus reikalų ministerijos darbuotojo tarnybinio pažymėjimo numeris; gydytojų konsultacinės komisijos (toliau – GKK) išvados; naujai suformuoti ir jau anksčiau išduoti, bet galiojantys (neuždaryti) nedarbingumo bei nėštumo ir gimdymo atostogų pažymėjimai; slaugomo asmens duomenys (asmens kodas, vardas, pavardė, gimimo data); nedarbingumo priežastis, gydymo tipas, diagnozės kodas, nedarbingumo laikotarpis (pradžia ir pabaiga), gimdymo data, profesinė liga (pradžios data, ligos patvirtinimo akto numeris), nelaimingas atsitikimas (data, aprašymas), gydymas stacionare (pradžios data, pabaigos data), reabilitacija (pradžios data, pabaigos data); GKK išvada (data, išvada, GKK pirmininkas (vardas, pavardė, gydytojo spaudo numeris)), neįgalumo ir darbingumo nustatymo tarnybos (toliau – NDNT) sprendimas (NDNT skyrius (kodas, pavadinimas); NDNT skyriaus vedėjas (asmens kodas, vardas, pavardė), sprendimo data; sprendimas (reabilitacija, nedarbingumo lygis)), elgesio taisyklių pažeidimas (tipas, pažeidimas, nustatymo data); paciento šeimos nariai/atstovai (sutuoktinis, tėvas/įtėvis, motina/įmotė, vaikas/įvaikis, globėjas, rūpintojas), kai veikiama įgaliojimo pagrindu – asmens tapatybę patvirtinančio dokumento rūšis, serija, numeris bei pateikto įgaliojimo dokumento numeris, išdavimo data, galiojimo pradžia bei pabaiga; šeimos nario/atstovo vardas, pavardė, asmens kodas (jeigu tokio nėra – gimimo data), darbovietė (juridinio asmens kodas, pavadinimas, darbo laikotarpis (pradžia ir pabaiga), išduoti nedarbingumo pažymėjimai (galiojantys ir neuždaryti), išduoti nėštumo ir gimdymo atostogų pažymėjimai (galiojantys ir neuždaryti); suteiktos paslaugos, intervencijos, priemokos, kurias pilnai ar iš dalies kompensuoja valstybė, siunčianti gydymo įstaiga (pavadinimas, įmonės kodas), atsakingas asmuo iš gydymo įstaigos už kortelės tvarkymą (spaudo numeris, vardas pavardė, asmens kodas), suteikimo data, diagnozė (ligos kodas), ligos tipas (ūminė, nauja lėtinė, sena lėtinė); paslaugos kodas ir pavadinimas, traumos priežastis, paslaugos tipas, atlikęs specialistas (spaudo serija ir numeris, vardas, xxxxxxx), gydymo rezultatas (baigtas, tęsiamas, siuntimas ir pan.). Taip pat visi kiti duomenys, kurie turi būti nurodomi Ambulatorinėje asmens sveikatos istorijoje, atsižvelgiant į teisės aktų nustatyta tvarka patvirtintą formą.
6. Duomenų subjektas – fizinis asmuo, kurio asmens duomenys tvarkomi. Duomenų subjektais Taisyklėse bendrai vadinami Pacientas, Sveikatos priežiūros specialistas ir Darbuotojas.
7. Pacientas – asmuo, kuris naudojasi SPĮ teikiamomis paslaugomis, nepaisant to, ar jis sveikas, ar ligonis.
8. Sveikatos priežiūros specialistas – SPĮ pagal darbo sutartį dirbantis ar kitais pagrindais pacientams teikiantis paslaugas darbuotojas.
9. Darbuotojas – asmuo, su kuriuo SPĮ yra sudaręs darbo ar panašaus pobūdžio sutartį ir yra paskirtas (įgaliotas) tvarkyti asmens duomenis.
10. Asmens duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis atliekama operacija ar operacijų seka, tai yra, rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, kaupimas, keitimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas, sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
11. Duomenų subjekto sutikimas – laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu, kuriuo jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
12. Duomenų tvarkytojas – UAB „SOFTDENT“ pagal sutartį teikiantis duomenų tvarkymo paslaugas IS Foxus. IS Foxus valdytojas – UAB „SOFTDENT“.
13. IS Foxus – informacinė sistema Foxus, kurioje SPĮ automatiniu būdu tvarko Asmens duomenis.
00.0.X-xxxxxxxxx.xx – IS Foxus posistemė, skirta Pacientams registruotis vizitams pas Sveikatos priežiūros specialistus.
PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO PRINCIPAI
14. SPĮ asmens duomenys tvarkomi automatiniu (IS Foxus) ir neautomatiniu būdu, vadovaujantis Reglamente numatytais asmens duomenų tvarkymo principais:
14.1. Teisėtumo, sąžiningumo ir skaidrumo principas duomenų subjekto atžvilgiu – dokumentai tvarkomi teisėtu, sąžiningu ir skaidriu būdu;
14.2. Tikslo apribojimo principas – asmens duomenys renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais, nustatytais teisės aktais ir tvarkomi su šiais tikslais suderintais būdais;
14.3. Duomenų kiekio mažinimo principas – tvarkomi tik tokie asmens duomenys, kurie yra adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Nereikalaujama iš duomenų subjektų pateikti tų duomenų, kurie nėra reikalingi, nekaupiami ir netvarkomi pertekliniai duomenys;
14.4. Tikslumo principas – tvarkomi tikslūs duomenys ir prireikus atnaujinami; netikslūs asmens duomenys turi būti nedelsiant ištrinami arba ištaisomi;
14.5. Saugojimo trukmės apribojimo principas – asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei tai yra būtina tais tikslais, kuriais asmens duomenys buvo surinkti ir yra tvarkomi. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti atitinkamam archyvui;
14.6. Vientisumo ir konfidencialumo principas – asmens duomenys tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
14.7. Atskaitomybės principas – SPĮ yra atsakingas už tai, kad būtų laikomasi anksčiau nurodytų principų.
15. Pacientų asmens duomenys SPĮ renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš Duomenų subjektų, oficialiai paklausiant informaciją tvarkančių ir turinčių teisę ją teikti subjektų bei teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų bei informacinių sistemų.
16. Teisės aktų nustatytais atvejais ir tvarka SPĮ gali teikti jos tvarkomus asmens duomenis tretiesiems asmenims, kuriems asmens duomenis teikti SPĮ įpareigoja įstatymai ir kiti teisės aktai. Duomenys apie pacientus taip pat gali būti teikiami pagal vienkartinius pacientų ir (ar) jų teisėtų atstovų (tėvų/ globėjų/ rūpintojų) prašymus.
17. Sveikatos priežiūros specialistų ir Darbuotojų asmens duomenys gaunami iš jų pačių. Darbuotojų asmens duomenų SPĮ neperduoda jokiems duomenų gavėjams, išskyrus įstatymo numatytus atvejus, kai toks perdavimas būtų sąlygotas teisės aktų ar teismo, kitos institucijos privalomo sprendimo. Darbuotojų asmens duomenys yra saugomi remiantis Lietuvos vyriausiojo archyvaro įsakymo 2011-03-09 Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ nuostatomis.
18. Asmens duomenų tvarkymo ir apsaugos principų laikymąsi užtikrina SPĮ vadovas ir jo įgalioti asmenys.
IV. DUOMENŲ TVARKYMO TIKSLAI
19. SPĮ, vykdydama įstatymo nustatytas pareigas, renka ir tvarko asmens duomenis šiais pagrindiniais tikslais:
19.1. Pacientų asmens duomenys tvarkomi teikiamų sveikatos priežiūros bei kitų SPĮ teikiamų paslaugų teikimo ir administravimo tikslu, suteiktų paslaugų apskaitos ir analizės tikslu;
19.2. Sveikatos priežiūros specialistų, Darbuotojų asmenų duomenys tvarkomi darbo sutarties sudarymo ir administravimo tikslu, personalo valdymo, personalo dokumentų rengimo, dokumentų valdymo tikslu; turimų materialinių ir finansinių išteklių valdymo ir naudojimo tikslais.
V. ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI
20. Vadovaudamasis ADTAĮ, Reglamentu ir kt. duomenų apsaugą reglamentuojančiais teisės aktais, taip pat IS Foxus nuostatais, IS Foxus duomenų saugos nuostatais, kitais SPĮ atžvilgiu taikytinais dokumentais, SPĮ tvarko Duomenų subjekto asmens duomenis ir taiko priemones, kurios užkirstų kelią neteisėtai prieigai arba neteisėtam Duomenų subjekto duomenų panaudojimui, neteisėtam asmens duomenų pakeitimui, atskleidimui ar sunaikinimui, bei, kad asmens duomenų apsaugos lygis atitiktų Lietuvos Respublikos teisės aktų nustatytus reikalavimus.
21. Tvarkyti asmens duomenis turi teisę tik Sveikatos priežiūros specialistai bei Darbuotojai, kurie paskirti duomenų rinkimui ir suvedimui bei atsakingi už tinkamą SPĮ teikiamų paslaugų apskaitą, prieigos teisių prie IS Foxus administravimą.
22. Asmens duomenis tvarkantis Darbuotojas ar Sveikatos priežiūros specialistas privalo:
22.1. Asmens duomenis naudoti tik pagal jų pateikimo tikslą ir tik atliekant tiesiogines darbo funkcijas;
22.2. Tvarkyti Asmens duomenis pagal SPĮ reikalavimus ir instrukcijas bei kruopščiai vykdyti šių asmenų teisėtus reikalavimus ir nurodymus, susijusius su Asmens duomenų tvarkymu;
22.3. Tvarkyti Asmens duomenis vadovaujantis Lietuvos Respublikos įstatymais, kitais teisės aktais, šiomis Taisyklėmis, IS Foxus nuostatais, IS Foxus duomenų saugos nuostatais, kitais taikytinais dokumentais;
22.4. Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su asmens duomenimis nė vienam asmeniui, kuris nėra įgaliotas tvarkyti asmens duomenų. Asmens duomenų tvarkymo funkcijas vykdantys Darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus bei duomenų rinkmenas darbo vietoje ir darbo vietos kompiuteryje tinkamai ir saugiai bei vengti nereikalingų kopijų darymo. SPĮ dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio. Praradęs asmens duomenis Darbuotojas, tvarkantis asmens duomenis, nedelsiant informuoja SPĮ vadovą;
22.5. Nedelsiant pranešti SPĮ vadovui ar vadovo paskirtam atsakingam asmeniui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui.
23. Asmens duomenis tvarkantis SPĮ Darbuotojas ar Sveikatos priežiūros specialistas netenka teisės tvarkyti asmens duomenų, kai pasibaigia/nutraukiama jo/jos darbo ar panašaus pobūdžio sutartis su SPĮ, arba kai SPĮ atšaukia jo paskyrimą/įgaliojimą tvarkyti asmens duomenis.
24. SPĮ Darbuotojai bei Sveikatos priežiūros specialistai turi pasirašyti susitarimą dėl konfidencialios informacijos apsaugos ar konfidencialumo pasižadėjimą ir laikytis konfidencialumo principo, laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumo prievolė galioja ir pasibaigus darbo santykiams ar perėjus dirbti į kitas pareigas.
VI. SPECIALIEJI ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI
25. SPĮ įgyvendina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto tvarkymo, aptartas šiose Taisyklėse (įskaitant, Taisyklių Priedus), kituose SPĮ taikytinuose dokumentuose, tame tapre: infrastruktūrines priemones (tinkamas patalpų išdėstymas, tinkamas techninės įrangos išdėstymas ir priežiūra, griežtas priešgaisrinės saugos normų laikymasis, kontroliuojamas patekimas į SPĮ patalpas); administracines priemones (tinkamas darbo organizavimas, darbuotojų informavimas, vidaus teisės aktų reguliarus peržiūrėjimas); telekomunikacines priemones (informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas, nuolat atnaujinama antivirusinė programa):
25.1. Užtikrinamas slaptažodžių konfidencialumas; jie yra unikalūs; sudaryti iš ne mažiau kaip 8 simbolių, tarp kurių raidės, skaičiai, specialūs simboliai, nenaudojant asmeninio pobūdžio informacijos; keičiami ne rečiau kaip kartą per 180 kalendorinių dienų;
25.2. Užtikrinama asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis;
25.3. Užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas (apribojamas neįgaliotų asmenų patekimas į atitinkamas patalpas ir pan.);
25.4. Užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.). Visuose kompiuteriuose, kuriuose kaupiami asmens duomenys, antivirusinė programa automatiškai nustatyta atsinaujinti kiekvieną dieną.
26. Nešiojamuosiuose įrenginiuose asmens duomenys gali būti tvarkomi tik esant būtinumui.
27. SPĮ serverių saugumą užtikrina IT specialistas ir/ar pagal sutartys paslaugas teikiantis duomenų tvarkytojai. Sistemingai (kasdiena) daromos administruojamų serverių duomenų kopijos. Prarastų asmens duomenų atkūrimą organizuoja IT specialistas ir/ar duomenų tvarkytojai.
28. Rašytiniai duomenų subjektų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose patalpose esančiose spintose arba seifuose. Darbuotojų kompiuteriuose esančios kompiuterinės bylos ir asmens duomenys saugomi kompiuterių standžiuosiuose diskuose. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi visiems prieinamoje matomoje vietoje.
VII. DUOMENŲ SUBJEKTO TEISĖS IR PAREIGOS
29. Duomenų subjektas turi teisę:
29.1. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;
29.2. iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti;
29.3. reikalauti ištaisyti klaidingus asmens duomenis;
29.4. reikalauti sunaikinti savo asmens duomenis arba sustabdyti (išskyrus saugojimą) savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant įstatymų nuostatų ir toks reikalavimas neprieštarauja teisės aktų reikalavimams;
29.5. nesutikti, kad būtų tvarkomi jo asmens duomenys, identifikuojantys jo tapatybę, kai Pacientas turi tiesę į anoniminę sveikatos priežiūrą teisės aktų nustatyta tvarka.
30. Duomenų subjektas taip pat turi teisę pateikti skundą (dėl SPĮ veiksmų arba neveikimo) Valstybinei duomenų apsaugos inspekcijai (A. Xxxxxxxxxxxxxx x. 6, 09310 Vilnius, Tel. (0 0) 000 0000, El. paštas xxx@xxx.xx).
31. Duomenų subjektų pareigos:
31.1. SPĮ pateikti išsamius ir teisingus asmens duomenis;
31.2. pasikeitus asmens duomenims, informuoti SPĮ apie asmens duomenų pasikeitimą.
32. Duomenų subjektas turi ir kitas taikytinuose teisės aktuose numatytas teises bei pareigas.
VIII. DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS
33. Duomenų subjektai, siekdami įgyvendinti savo teises, gali asmeniškai pateikti SPĮ rašytinį prašymą arba jį atsiųsti registruotu paštu rekvizitais nurodytais SPĮ interneto puslapyje.
33.1. Jeigu dėl Duomenų subjekto teisių įgyvendinimo raštiškas prašymas pateikiamas asmeniškai, Duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, Duomenų subjekto teisės nėra įgyvendinamos.
33.2. Jeigu dėl Duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta teisės aktų nustatyta tvarka (pvz. notaro) patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu.
34. Prie prašymo, kurį pateikia pareiškėjo atstovas (jeigu Duomenų subjektą atstovauja atstovas), turi būti pridėtas pareiškėjo atstovo įgaliojimus patvirtinantis dokumentas ar teisės aktų nustatyta tvarka patvirtinta atstovavimo dokumento kopija. Prašyme būtina nurodyti savo vardą, pavardę, gyvenamosios vietos adresą, elektroninio pašto adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, taip pat atstovaujamo asmens vardą, pavardę.
35. Iškilus abejonėms dėl duomenų subjekto tapatybės, gali būti paprašyta papildomos informacijos.
36. SPĮ ne vėliau kaip per 1 mėnesį nuo Duomenų subjekto prašymo gavimo dienos privalo prašymą išnagrinėti ir pateikti atsakymą Duomenų subjektui.
37. Anoniminiai prašymai/skundai dėl asmens duomenų tvarkymo nėra nagrinėjami.
38. SPĮ, įgyvendindamas Duomenų subjekto teises, privalo užtikrinti, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.
39. Duomenų subjekto teisės gali būti apribotos Reglamento 23 straipsnio 1 dalyje nustatytais atvejais, Lietuvos Respublikos įstatymų ar kitų teisės aktų nustatyta tvarka.
IX. ASMENS DUOMENŲ TVARKYMAS AUTOMATINIU BŪDU
40. Asmens duomenys automatiniu būdu tvarkomi Taisyklių 19 punkte numatytais tikslais.
41. Asmens duomenis automatiniu būdu tvarko SPĮ Darbuotojai, Sveikatos priežiūros specialistai ir SPĮ pasitelkti Duomenų tvarkytojai naudojantys programą IS Foxus.
42. Prieš suteikiant prieigą prie Asmens duomenų Darbuotojas/Sveikatos priežiūros specialistas pasirašytinai supažindinamas su Taisyklėmis, IS Foxus nuostatais, IS Foxus duomenų saugos nuostatais, kitais taikytinais dokumentais; pasirašo susitarimą dėl konfidencialios informacijos apsaugos ar konfidencialumo įsipareigojimą neatskleisti asmens duomenų bei tvarkyti juos vadovaujantis šiomis Taisyklėmis, kitais taikytinais dokumentais bei apmokomas dirbti su IS Foxus.
43. Darbuotojui/Sveikatos priežiūros specialistui, kuriam suteikiamos IS Foxus prieigos teisės, suformuojama individuali prieiga prie IS Foxus, kuri apsaugota unikaliu vartotojo vardu ir slaptažodžiu. Darbuotojo/Sveikatos priežiūros specialisto prisijungimas leidžiamas iš jo naudojamo kompiuterio identifikavus save unikaliu vartotojo vardu bei slaptažodžiu, arba iš kito saugos kompiuterio – identifikavus save elektroniniu parašu. Darbuotojui/Sveikatos priežiūros specialistui netekus teisių tvarkyti asmens duomenis, jo prieigos teisės naikinamos per 1 darbo dieną.
44. SPĮ pavedimu Duomenų tvarkytojas skiria saugos įgaliotinį, kuris atsakingas už saugumo priemonių planavimą, koordinavimą bei duomenų saugą, susijusią su IS Foxus.
45. SPĮ darbuotojai, kurių kompiuteriuose saugomi asmens duomenys arba iš kurių galima patekti į vietinio tinklo sritis, kuriose saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip vieną kartą per 3 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimui, kad slaptažodis tapo žinomas tretiesiems asmenims ir pan.). Šiuose kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, neturi būti prieinamos kitų kompiuterių naudotojams. Kompiuteriuose turi būti naudojama nuolat atnaujinama antivirusinė programinė įranga.
X. ASMENS DUOMENŲ TVARKYMAS NEAUTOMATINIU BŪDU
46. Asmens duomenys neautomatiniu būdu tvarkomi Taisyklių 19 punkte numatytais tikslais.
47. Asmens duomenis neautomatiniu būdu tvarko SPĮ Darbuotojai, Sveikatos priežiūros specialistai.
48. Asmens duomenys yra nuolat saugomi SPĮ bylose, asmens bylose, asmens kortelėse, pacientų medicininiuose dokumentuose.
49. Duomenų subjektų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose spintose arba seifuose. Dokumentai, kuriuose yra asmens duomenų, negali būti laikomi visiems prieinamoje, matomoje vietoje.
50. Archyviniam saugojimui perduotos SPĮ darbuotojų asmens bylos, medicininė dokumentacija saugomos SPĮ archyve, rakinamoje dokumentų saugykloje. Šie asmens duomenys tretiesiems asmenims susipažinti teikiami tik tais atvejais, kai tai leidžia įstatymai ir kiti teisės aktai.
XI. ASMENS DUOMENŲ TVARKYTOJŲ PASITELKIMAS
51. SPĮ gali pasitelkti duomenų tvarkytojus, kurie teikdami paslaugas SPĮ gauna prieigą prie asmens duomenų ir juos tvarko SPĮ nustatytais tikslais bei pagal jos nurodymus, tiek, kiek tai būtina paslaugai suteikti.
52. SPĮ pasitelkia tokius duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, jog duomenų tvarkymas atitiktų Reglamento reikalavimus ir būtų užtikrinta tinkama Duomenų subjekto teisių apsauga.
53. SPĮ, suteikdamas duomenų tvarkytojams prieigą prie asmens duomenų, su duomenų tvarkytojais sudaro rašytines sutartis, kuriose turi būti numatoma, kad duomenų tvarkytojai duomenis tvarko tik pagal Duomenų valdytojo nurodymus.
XII. DUOMENŲ APSAUGOS PAREIGŪNAS
54. SPĮ sprendimu, asmens duomenų apsaugos pareigūnas (toliau – Pareigūnas) gali būti paskirtas iš SPĮ darbuotojų arba gali būti asmuo, su kuriuo būtų sudaroma paslaugų teikimo sutartis.
55. SPĮ paskyręs arba sudaręs su Pareigūnu paslaugų teikimo sutartį, privalo užtikrinti, kad Pareigūno kontaktiniai duomenys per protingą terminą nuo jo paskyrimo / paslaugų sutarties sudarymo būtų tinkamai paskelbti SPĮ elektroninėje svetainėje bei pranešti Valstybinei duomenų apsaugos inspekcijai.
54. Skiriant Pareigūną, SPĮ privalo įvertinti ir įgyvendinti tai, kad:
54.1. Pareigūnas turėtų tinkamų asmens duomenų teisinės apsaugos praktinių ir ekspertinių žinių;
54.2. Pareigūnas būtų įtraukiamas į visų su asmens duomenų apsauga ir privatumu susijusių klausimų nagrinėjimą SPĮ;
54.3. Pareigūnas neturėtų jokių kitų pareigų, neatliktų funkcijų, kurios galėtų sukelti interesų konfliktą su jo atliekamomis Pareigūno funkcijomis.
55. Pareigūnas privalo:
55.1. Užtikrinti, kad SPĮ vykdomas asmens duomenų tvarkymas atitiktų Reglamento, kitų asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų, Taisyklių, kitų SPĮ taikomų dokumentų reikalavimus;
55.2. Stebėti, kaip laikomasi Reglamento, kitų asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų reikalavimų, šių Taisyklių, kitų vidinių dokumentų, susijusių su asmens duomenų apsauga;
55.3. Informuoti SPĮ darbuotojus apie jų pareigas pagal Reglamento ir kitus asmens duomenų teisinę apsaugą reglamentuojančius teisės aktus ir juos konsultuoti dėl konkrečių pareigų vykdymo;
55.4. Informuoti SPĮ apie bet kokius neatitikimus, pažeidimus asmens duomenų apsaugos srityje, kuriuos Pareigūnas nustato, vykdydamas savo funkcijas;
55.5. Mokyti SPĮ darbuotojus, dirbančius su asmens duomenimis, asmens duomenų teisinės apsaugos klausimais;
55.6. Bendradarbiauti, būti kontaktiniu asmeniu santykiuose su Valstybine duomenų apsaugos inspekcija.
56. Jei dėl įvykdyto asmens duomenų incidento kyla pavojus duomenų subjektų teisėms ir laisvėms, Pareigūnas privalo nedelsiant, bet ne vėliau nei kaip per 72 val. pranešti Valstybinei duomenų apsaugos inspekcijai apie įvykusį incidentą. Kilus ypatingai dideliam pavojui Duomenų subjektų teisėms ir laisvėms, informacija apie įvykusį incidentą nedelsiant taip pat turi būti pateikta Duomenų subjektams. Nesant galimybės informuoti visus Duomenų subjektus dėl jų didelio kiekio ar kitų priežasčių, Xxxxxxxxxx kartu su SPĮ apsvarsto ir priima sprendimą šią informaciją pateikti per visuomenės informavimo kanalus (spauda, televizija, kt.).
57. Teikiant pranešimą dėl įvykusio asmens duomenų incidento, Valstybinei duomenų apsaugos inspekcijai, Duomenų subjektams privalo būti trumpai aprašytas asmens duomenų incidento pobūdis, nurodant apytikslį Duomenų subjektų skaičių, kurių asmens teisės ir laisvės galėjo būti pažeistos, Pareigūno kontaktai, trumpai aprašytos tikėtinos incidento pasekmės bei priemonės, kurių SPĮ imasi / ketina imtis, kad būtų pašalintos neigiamos pasekmės, susijusios su įvykusiu incidentu, nurodyta kita pagal taikytinus teisės aktus privaloma informacija.
58. Pareigūnas privalo užtikrinti, kad visos neatitiktys, įskaitant ir asmens duomenų apsaugos incidentus būtų tinkamai dokumentuotos ir saugomos.
XIII. ASMENS DUOMENŲ SAUGOJIMO IR SUNAIKINIMO TVARKA. ATSARGINĖS KOPIJOS
59. SPĮ tvarkomi asmens duomenys saugomi serveriuose, esančiuose Europos Sąjungos teritorijoje, taip pat duomenų bazėse ir popierinėse bylose.
60. Asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.
Asmens duomenys, nereikalingi jų tvarkymo tikslams, sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenustato kitaip.
61. Dokumentų saugojimo SPĮ terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai ir SPĮ patvirtintas dokumentacijos planas.
62. Dokumentus, kuriuose yra asmens duomenų, saugo SPĮ Darbuotojai dokumentacijos plane patvirtintą terminą. SPĮ Darbuotojai, vadovaudamiesi Lietuvos Respublikos dokumentų ir archyvų įstatymu ir Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011-03-09 įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, perduoda dokumentus saugoti SPĮ archyve. Pasibaigus dokumentacijos plane nustatytam saugojimo terminui, dokumentai, kuriuose yra asmens duomenų, sunaikinami arba perduodami saugoti valstybės archyvui.
63. Automatiniu būdu tvarkomi asmens duomenys saugomi dokumentacijos planuose nustatytais terminais arba iki kol SPĮ tvarko asmens duomenis IS Foxus. Nutraukus duomenų tvarkymą IS Foxus, duomenys saugomi išorinėje laikmenoje, kurioje duomenys yra šifruojami, laikmenos saugomos SPĮ patalpose esančiame seife.
64. IS Foxus aktyvioji duomenų bazė saugoma AB Telia duomenų centre, adresu Žirmūnų g. 141, Vilnius ir pasyvioji duomenų bazė UAB „SoftDent“ priklausančiuose serveriuose, adresu Drobės g. 62, Kaunas.
65. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos, automatiniu būdu tvarkomi asmens duomenys turi būti sunaikinti taip, kad jų nebūtų galima atkurti ir atpažinti turinio.
66. Už asmens duomenų sunaikinimą dokumentuose, esančiuose SPĮ archyve, yra atsakingas SPĮ vadovo įgaliotas asmuo. Už asmens duomenų sunaikinimą informacinėse sistemose ir duomenų bazėse yra atsakingas IT specialistas ar kitas SPĮ vadovo įgaliotas asmuo.
67. Atsarginės duomenų kopijos ir duomenų atkūrimas praradimo atveju užtikrinamas:
67.1. Už atsarginių duomenų kopijų darymą ir atkūrimą praradimo atveju SPĮ pavedimu atsakingas Duomenų tvarkytojas.
00.0.XX Foxus aktyvios duomenų bazės duomenys kas 24 (dvidešimt keturias) valandas kopijuojamos į atsarginių duomenų kopijų serverį, kurios yra saugomos Duomenų tvarkytojo patalpose netrumpiau nei 20 dienų. Duomenų kopijos, kurios yra saugomos atsarginiame duomenų serveryje , yra šifruojamos 256bitų ilgio raktu. Šios kopijos registruojamos elektroniniame žurnale, nurodant duomenų įrašymo datą ir laiką.
67.3.Atsargines duomenų iš aktyviosios duomenų bazės kopijavimą vykdo duomenų tvarkytojas. Kaupiami duomenys replikuojami į pasyviąją duomenų bazę ne didesniu kaip 5 (penkių) sekundžių vėlinimu. Atsarginės duomenų kopijos, persiunčiamos internetu per 256-bitų šifruotą kanalą. Už tinkamą atsarginių kopijų darymą bei pasyviosios duomenų bazės serverių apsaugą atsakingas Duomenų tvarkytojas.
67.4. Pasyvioji duomenų bazė su duomenų kopijomis saugoma Duomenų tvarkytojui priklausančiuose serveriuose, Duomenų tvarkytojo patalpose.
67.5. Techninių ar programinių aktyviosios duomenų bazės sutrikimų (gedimų) atveju automatiškai yra įjungiamas papildomas Duomenų tvarkytojo patalpose esantis serveris, kuris perima duomenų tvarkymo užduotis, kol yra atstatomas aktyviosios duomenų bazės normalus veikimas.
67.6.Tuo atveju, jei būtų prarasti duomenys iš aktyviosios duomenų bazės, šie duomenys yra atkuriami iš pasyviojoje duomenų bazėje kaupiamų duomenų kopijų.
67.7. Avarinio asmens duomenų atkūrimo veiksmai registruojame elektroniniame žurnale, nurodant įvykio datą bei trumpą avarijos aprašymą, atkūrimo veiksmų datą, apimtį, vykdytojo vardas, xxxxxxx, pareigos.
XIV. POVEIKIO DUOMENŲ APSAUGAI ATLIKIMO TVARKA
68. Reglamento 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais SPĮ yra atliekamas poveikio duomenų apsaugai vertinimas.
69. Poreikis atlikti poveikio duomenų apsaugai vertinimą nustatomas ir, jeigu reikia, poveikio duomenų apsaugai vertinimas atliekamas prieš pradedant asmens duomenų tvarkymą ir (ar) prieš priimant sprendimą įdiegti naujas asmens duomenų tvarkymo priemones, taip pat kitais taikytinuose teisės aktuose numatytais atvejais.
70. Atliekant poveikio duomenų apsaugai vertinimą, konsultuojamasi su Pareigūnu. Jeigu atliekamas poveikio duomenų apsaugai vertinimas yra susijęs su darbuotojų asmens duomenų tvarkymu, papildomai konsultuojamasi su darbo taryba arba profsąjunga.
71. Atlikus poveikio duomenų apsaugai vertinimą, surašoma ataskaita, kuri saugoma teisės aktų nustatyta tvarka.
72. Jeigu atlikus poveikio duomenų apsaugai vertinimą nustatoma, kad tvarkant asmens duomenis kiltų didelis pavojus duomenų subjektų teisėms ir laisvėms, jeigu duomenų valdytojas nesiimtų priemonių pavojui sumažinti, konsultuojamasi su Valstybine duomenų apsaugos inspekcija jos nustatyta tvarka.
XV. ATSAKOMYBĖ
73. SPĮ nustatytų tvarkų bei procedūrų nesilaikymas tvarkant asmens duomenis laikomas darbo pareigų pažeidimu, už kurį Darbuotojui/Sveikatos priežiūros specialistui taikoma atsakomybė pagal Lietuvos Respublikos darbo kodeksą ir/ar kitus taikytinus teisės aktus.
XVI. BAIGIAMOSIOS NUOSTATOS
74. Šios Taisyklės galioja ir yra taikomos nuo jų patvirtinimo dienos.
75. Taisyklės peržiūrimos ir atnaujinamos pasikeitus taikytiniems teisės aktams, atsiradus SPĮ veiklos pokyčiams.
76. Aktuali Taisyklių redakcija skelbiama SPĮ interneto puslapyje.
__________________________________________
VŠĮ LEKĖČIŲ AMBULATORIJA ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ
PRIEDAS NR. 1
VŠĮ LEKĖČIŲ AMBULATORIJA DARBUOTOJŲ VALDOMŲ ASMENS DUOMENŲ APIMTIS
Eil. Nr. |
Pareigybė |
Valdomų duomenų apimtis |
1 |
SPĮ vyriausiasis gydytojas |
Visi SPĮ valdomi duomenys |
2 |
Administratorius |
Darbuotojų asmens duomenys ir bendrujų ir specialių kategorijų duomenys apie pacientus |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
__________________________________________
všį lekėčių ambulatorija ASMENS DUOMENŲ TVARKYMO TAISYKLIŲ
PRIEDAS NR. 2
všį lekėčių ambulatorija ASMENS DUOMENŲ APSAUGOS PRIEMONIŲ SĄRAŠAS
Xxx.xx. |
Asmens duomenų tvarkymo ir saugojimo rizika |
Priemonės |
1 |
Neteisėta fizinė prieiga prie kompiuterinės įrangos |
Rakinamos patalpos; Patalpų signalizacijos sistema; Veikia asmenų įėjimo į patalpas elektroninė ar kita efektyvi kontrolė; Įėjimai/išėjimai į patalpas fiksuojami įrašais (asmens vardas, pavardė, įėjimo/išėjimo data ir laikas); Patekimo į patalpas, kuriose saugomi serveriai su aktyviąja duomenų baze, stebėseną užtikrina Duomenų tvarkytojo personalas; Atsarginės duomenų kopijos, esančios pasyviosios duomenų bazės serveriuose saugomos kitoje geografinėje vietovėje, nei aktyviosios duomenų bazės serveriai; Užtikrintas patalpų, kuriose saugomi serveriai su pasyviąja duomenų baze, saugumas: saugoma teritorija; elektroninės apsaugos sistemos; elektros energija tiekiama dviem nepriklausomais kanalais, iš dviejų skirtingų elektros pastočių; serverių aušinimui naudojamos dvi nepriklausomos sistemos. Vienu metu veikia viena serverių aušinimo sistema, kuriai sugedus, įsijungia atsarginė. Visi centriniai maršrutizatoriai ir komutatoriai yra dubliuoti. Sugedus vienam iš jų, duomenų srautai nukreipiami į dubliuojantį įrenginį. |
2 |
Neteisėti programinės įrangos vartotojai |
Nustatyta vartotojų prisijungimo tvarka; Valdoma vartotojų teisė naudotis programine įranga; Nustatyta slaptažodžių sudarymo tvarka, slaptažodžiai periodiškai keičiami; Duomenys yra dubliuojami dvejuose skirtinguose serveriuose; Prieiga prie duomenų galima tik įgaliotiems asmenims, serverių žurnaluose fiksuojami tokių asmenų prisijungimai (prisijungimo identifikatorius, data, prisijungimo ir atsijungimo laikai, jungimosi rezultatas (sėkmingas/nesėkmingas), Nustatytas maksimalus neteisingų prisijungimų bandymų skaičius – 3 +, o vėlesniems bandymams bandančio prisijungti kompiuterio IP adresas įtraukiamas į ugniasienės sąrašus, ribojančius prieigą prie serverio.+ Minėtas IP adresas pašalinamas automatiškai praėjus tam tikram laiko tarpui; Įdiegtos programinės bei techninės priemonės apsaugoti duomenų bazes nuo internetinių atakų, žalingų programų (įdiegtos antivirusinės programos, kurios periodiškai atnaujinamos); Užtikrinamas saugių protokolų ir slaptažodžių naudojimas, teikiant asmens duomenis išoriniais perdavimo tinklais: duomenys siunčiami šifruotais SSL, šifruojant ne mažesniu kaip 256 bitų ilgio raktu;+ Nuolatosvykdomi testavimo, sistemos išbandymo darbai; Serveriams, kuriuose saugoma aktyvioji duomenų bazė, patapus nepasiekiamiems, IS Foxus po automatinio persijungimo palaiko atsarginiai serveriai, esantys kitoje geografinėje zonoje. |
3 |
Neteisėtas vartotojų prisijungimas prie tinklo |
Vidinis tinklas apsaugotas ugnies sienomis; Kontroliuojamas trečiųjų šalių vartotojų prisijungimas. |
4 |
Vagystė |
Apribota programinė prieiga prie duomenų; Šifruojami atsarginių kopijų duomenysduomenys. |
5 |
Programinės įrangos klaidos |
Naudojama sertifikuota programinė įranga; Programinė įranga periodiškai atnaujinama. |
6 |
Piktavališkos programos |
Kompiuteriuose įdiegtos antivirusinės programos; Darbuotojai supažindinti su tvarka, kaip elgtis; piktavališkų programų antplūdžio atveju. |
7 |
Neteisėtos programinės įrangos naudojimas |
Naudojama tik teisėta programinė įranga; Darbuotojams nesuteikta teisė patiems diegti programinę įrangą. |
8 |
Vartotojų klaidos |
Darbuotojai mokomi dirbti su programine įranga; Daromos atsarginės duomenų kopijos. |
9 |
Duomenų perdavimo tinkle įrangos gedimai |
Įranga prižiūrima pagal gamintojo rekomendacijas; Priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai; Stebima duomenų perdavimo tinkle būklė. |
10 |
Kompiuterių techninės įrangos gedimai |
Įranga prižiūrima pagal gamintojo rekomendacijas; Priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai; Svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima. |
11 |
Užliejimas vandeniu |
Tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos; Įrengta vandens nutekėjimo sistema. |
12 |
Ugnis |
Patalpose yra ugnies gesintuvų; Patalpose įrengti dūmų ir karščio davikliai. |
13 |
Temperatūros ir drėgmės pokyčiai |
Patalpose įrengta kondicionavimo sistema; Nuolat stebimi temperatūros ir drėgmės pokyčiai; Kondicionavimo įranga prižiūrima pagal gamintojo reikalavimus. |
14 |
Stichinė nelaimė |
Parengiamas veiklos atkūrimo planas. |
15 |
Elektros srovės tiekimo sutrikimai |
Svarbiausiai kompiuterinei įrangai skirti nenutrūkstamo maitinimo šaltiniai (UPS); Stebima elektros srovės tiekimo būklė. |
16 |
Maitinimo ir ryšio linijų gedimai |
Kabeliai yra izoliaciniuose vamzdžiuose; Elektros ir duomenų kabeliai saugiai atskirti. |
17 |
Darbuotojų veiksmai |
Ilgiau nei 30 min. nesinaudojant darbo kompiuteriniu įrenginiu privalo išsiregistruoti ir palikti darbo vietą pilnai apribotą prie duomenų tretiesiems asmenims. |
__________________________________________
12