PATVIRTINTA
UAB Extensum Direktorės
Ritos Laurinaitytės 2022 m. birželio 8 d.
įsakymu Nr. 2/08-06-2022

ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

I SKYRIUS BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo UAB Extensum (toliau – klinika) taisyklių (toliau – Taisyklės) tikslas – reglamentuoti asmens duomenų tvarkymą Klinikoje, užtikrinant Europos Sąjungos Bendrojo duomenų apsaugos reglamento (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Šių taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo technines ir duomenų saugos organizacines priemones.
3. Taisyklių privalo laikytis visi Klinikoje dirbantys asmenys (toliau – darbuotojai), kurie tvarko Klinikoje esančius asmens duomenis arba eidami savo pareigas juos sužino. Prieiga prie asmens duomenų gali būti suteikiama tik tiems darbuotojams, kuriems asmens duomenys yra reikalingi jų pareiginiuose nuostatuose ar pareigybės aprašyme nustatytoms funkcijoms vykdyti.
4. Taisyklėse vartojamos sąvokos:
4.1 Duomenų valdytojas – Klinika
4.2 Duomenų naudotojas – duomenų valdytojo padaliniai, kurie turi teisę naudoti asmens duomenis nustatytoms funkcijoms atlikti ir yra įvardinti šiose Taisyklės. Jei toliau tekste duomenų naudotojams keliami konkretūs reikalavimai dėl asmens duomenų saugos veiksmų, tai duomenų naudotojas suprantamas kaip konkretus padalinio darbuotojas, kuriam suteikta teisė naudoti asmens duomenis savo darbo funkcijoms vykdyti.
4.3 Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas: rinkimas, užrašymas, kaupimas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (papildymas ar taisymas), teikimas, paskelbimas, naudojimas, loginės ir (arba) aritmetinės operacijos, paieška, skleidimas, naikinimas arba kitoks veiksmas arba veiksmų rinkinys.
4.4 Duomenų tvarkymas automatiniu būdu – domenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis.
5. Kitos Taisyklėse naudojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme bei Europos Sąjungos Bendrajame duomenų apsaugos reglamente.
6. Taisyklės parengtos vadovaujantis Europos Sąjungos Bendrajame duomenų apsaugos reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės asmens duomenų apsaugos inspekcijos direktoriaus 2008 m. Lapkričio 12 d. Įsakymu Nr. 1T-74 „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (Valstybinės asmens duomenų apsaugos inspekcijos direktoriaus 2008 m. Lapkričio 12
d. Įsakymu Nr. 1T-74(1.12E) redakcija) ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą bei teisę rinkti asmens duomenis.

II SKYRIUS
PAGRINDINIAI ASMENS DUOMENŲ TVARKYMO IR APSAUGOS PRINCIPAI

7. Klinikos darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis šių asmens duomenų tvarkymo ir apsaugos principų:
7.1 asmens duomenys renkami apibrėžtais ir teisėtais tikslais, nustatytais teisės aktais, tvarkomi su šiais tikslais suderintais būdais;
7.2 renkant ir tvarkant asmens duomenis laikomasi teisėtumo, sąžiningumo ir skaidrumo, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo, saugojimo trukmės apribojimo, vientisumo ir konfidencialumo, atskaitomybės principais. Nereikalaujama iš duomenų subjektų pateikti tų duomenų, kurie nėra reikalingi, nekaupiami ir netvarkomi pertekliniai duomenys;
7.3 asmens duomenys tvarkomi tiksliai, sąžiningai, teisėtai. Klinikos darbuotojai asmens duomenis tvarko vadovaudamiesi BDAR, ADTAĮ ir kitais asmens duomenų tvarkymą reglamentuojančiais tiesės aktais. Klinikos darbuotojai turi teisę rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis tik atlikdami savo tiesiogines funkcijas, apibrėžtas pareigybės aprašyme, pareiginiuose nuostatuose arba Klinikos vadovo pavedimu ir tik teisės aktų nustatyta tvarka. Darbuotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti asmens duomenis. Asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami. Netikslūs ar neišsamūs duomenys yra ištaisomi, papildomi, sunaikinami arba jų tvarkymas sustabdomas.
7.4 asmens duomenys tikslinami, taisomi, keičiami, papildomi, anuliuojami bei atkuriami (jei tai įmanoma) asmens prašymu, Klinikos iniciatyva (esant teisiniam pagrindui). Taip pat asmens duomenys tikslinami ir atnaujinami, kai tik duomenų subjektas praneša apie jų pasikeitimą.
7.5 asmens duomenys saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi.
8. Asmens duomenys Klinikoje renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto (prašyme nurodomas asmens duomenų naudojimo tikslas, teikimo bei gavimo pagrindas ir prašomų pateikti asmens duomenų apimtis), oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų ar sutarčių bei teisės aktų pagrindu prisijungiant prie atskirus duomenis kaupiančių duomenų bazių, registrų bei informacinių sistemų.
9. Asmens duomenys saugomi ne ilgiau nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie yra sunaikinami, išskyrus tuos, kurie įstatymų numatytais atvejais turi būti perduoti atitinkamam archyvui. Klinikos informacinėse sistemose esantys asmens duomenys saugomi tiek laiko, kiek leidžia šių sistemų nuostatai ir kiti teisės aktai. Asmens duomenys turi būti sunaikinami ir ištrinami tuoj pat, kai tik baigiasi jų saugojimo laikas arba kai jų tvarkymas tampa netikslingas. Nereikalingi dokumentai ir jų kopijos, kuriose yra asmens duomenų, turi būti sunaikinami dokumentų naikintuvu. Nereikalingos kompiuterinės laikmenos, kuriose yra asmens domenų, turi būti ištrinamos.
10. Klinika užtikrina, kad visa reikalinga informacija duomenų subjektui apie tvarkomus jo duomenis būtų pateikiam aiškiai ir suprantamai.
11. Teisės aktų nustatytais atvejais ir tvarka Klinika gali teikti jos tvarkomus asmens duomenis tretiesiems asmenims.
12. Asmens duomenų apsauga nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo užtikrinama įgyvendinant tinkamas organizacines ir technines priemones.
13. Asmens duomenų tvarkymo ir apsaugos principų laikymąsi užtikrina Klinikos vadovas, imdamasis atitinkamų organizacinių priemonių (įsakymai, nurodymai, rekomendacijos).

III SKYRIUS
ASMENS DUOMENŲ TVARKYMAS

14. Asmens duomenys turi būti tapatūs, tinkami ir tik tokios apimties, kuri būtina jiems rinkti ir toliau tvarkyti. Duomenų subjekto pateiktame dokumente esant pertekliniams duomenims, padaromas išrašas (išrašo tikrumas tvirtinamas pagal Lietuvos vyriausiojo archyvaro patvirtintų Dokumentų rengimo taisyklių nustatytus reikalavimus, duomenų subjektas su dokumento išrašu supažindinamas pasirašytinai) tik tų duomenų, kurie yra reikalingi, o dokumentas grąžinamas duomenų subjektui arba jo prašymu sunaikinamas.
15. Asmens kodas gali būti tvarkomas, jei yra nors viena iš nurodytų asmens duomenų tvarkymo teisėtumo sąlygų: duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais; tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį; tvarkyti duomenis būtina, kad būtų įvykdyta duomenų valdytojui taikoma teisinė prievolė; tvarkyti duomenis būtina siekiant apsaugoti gyvybinius duomenų subjekto ar kito fizinio asmens interesus; tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas; tvarkyti duomenis būtina siekiant teisėtų duomenų valdytojo arba trečiosios šalies interesų, išskyrus atvejus, kai tokie duomenų subjekto interesai arba pagrindinės teisės ir laisvės, dėl kurių būtina užtikrinti asmens duomenų apsaugą, yra už juos viršesni, ypač kai duomenų subjektas yra vaikas. Draudžiama asmens kodą skelbti viešai. Draudžiama tvarkyti asmens kodą tiesioginės rinkodaros tikslais.
16. Klinika, įgyvendindama savo funkcijas, asmens duomenis tvarko šiais tikslais:
16.1 Administracijos darbuotojai – tvarkydamas darbuotojų, dirbančių pagal darbo sutartis, pretendentų į laivas darbo vietas, tvarko šiuos asmens duomenis: asmens vardas ir pavardė, asmens kodas arba gimimo data, pilietybė, gyvenamoji vieta, darbovietės pavadinimas ir pareigos, šeiminė padėtis, asmens tapatybė patvirtinančio dokumento numeris, diplomas ar kitas išsilavinimą patvirtinantis dokumentas (kai to reikalauja užimamos pareigos), kvalifikacijos kėlimo duomenis; specialius asmens duomenis: informaciją apie sveikatą, kiek tai reikalinga nustatant asmens galimybes eiti jam suteiktas pareigas.
16.2 Buhalterinės apskaitos darbuotojai – vidaus administravimo tikslais tvarko darbuotojų asmens duomenis. Vykdant mokėjimus fiziniams asmenims tvarko šiuos asmens duomenis: vardas, pavardė, asmens kodas, socialinio draudimo numeris, atsiskaitomosios sąskaitos numeris informacija apie nedarbingumą.
16.3 Administracijos, buhalterinės apskaitos, viešųjų pirkimų darbuotojai – prekių ir/arba paslaugų teikimo ir/ar įsigijimo sutarčių įvykdymo tikslais tvarko šiuos asmens duomenis: vardas, pavardė, asmens kodas (kai to reikalauja Lietuvos Respublikos teisės aktai) darbovietė, pareigos, darbovietės adresas adresas, telefono numeris, elektroninis paštas, susirašinėjimas elektroniniais laiškais. Tokie duomenys gaunami iš duomenų subjekto arba iš užsakymą pateikiančių trečiųjų asmenų, kai pasirašyta bendradarbiavimo sutartis.
16.4 Specialistai, kurių veikla tiesiogiai susijusi medicinos paslaugomis, med. audito grupės vadovas/-ė, sveikatos statistikas/-ė,– medicinos klinikos paslaugų vykdymo tikslais tvarko šiuos asmens duomenis: vardas, pavardė, gimimo data/asmens kodas, į gydymo kliniką besikreipiančių asmenų tėvų/globėjų vardas pavardė, adresas, telefono numeris, adresas, asmens kodas, ryšys su pacientu; specialius asmens duomenis: informaciją apie sveikatą, kaip tai numatyta pagrindiniuose medicininiuose dokumentuose, taip pat kiti asmeniui būdingi ekonominio ar socialinio pobūdžio duomenys, kuriuos būtina tvarkyti užtikrinant tinkamą klinikos veiklos administravimą.
16.5 IT specialistas/-ė – Klinikos informacinės sistemos priežiūros tikslais tvarko šiuos darbuotojų asmens duomenis: vardas, pavardė, pareigos, telefono numeris, elektroninio pašto adresas, tarnybinio kompiuterio IP adresas, prisijungimo prie informacinių sistemų vardas ir slaptažodis.

16.6 Darbuotojų saugos ir sveikatos specialistas/-ė – tvarko šiuos asmens duomenis: asmens vardas ir pavardė, asmens kodas arba gimimo data, adresas, darbovietės pavadinimas ir pareigos; specialius asmens duomenis: informaciją apie sveikatą, kiek tai reikalinga nustatant asmens galimybes eiti jam suteiktas pareigas.
17. Asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste ypatumai.
17.1 Duomenų valdytojas gali tvarkyti tik tuos kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, kurie susiję su šio asmens kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, išskyrus įstatymuose nurodytus atvejus.
17.2 Draudžiama tvarkyti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, ir darbuotojo specialiuosius asmens duomenis bei asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas arba susijusias saugumo priemones, išskyrus tuos atvejus, kai šie asmens duomenys būtini patikrinti, ar asmuo atitinka įstatymuose nustatytus reikalavimus pareigoms eiti arba darbams dirbti.
17.3 Duomenų valdytojas gali rinkti kandidato, pretenduojančio eiti pareigas arba dirbti darbus, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio prieš tai informavęs kandidatą, o iš esamo darbdavio – tik kandidato sutikimu.
17.4 Klinikoje gali būti vykdomas vaizdo stebėjimas realiu laiku bei daromi vaizdo įrašai, kurie saugomi Klinikoje nustatytą laiko tarpą.
17.5 Jei Klinikoje vykdomas vaizdo stebėjimas, vaizdo stebėjimo tvarką Klinikoje nustato Klinikos vaizdo stebėjimo taisyklės.
17.6 Vykdant vaizdo stebėjimą darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, šie darbuotojai apie tokį jų vaizdo duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu būdu, neabejotinai įrodančiu informavimo faktą.
17.7 Vaizdo stebėjimas ir garso įrašymas darbo vietoje gali būti vykdomas, kai dėl darbo specifikos būtina užtikrinti asmenų, turto ar visuomenės saugumą ir kitais atvejais, kai kiti būdai ar priemonės yra nepakankami ir (arba) netinkami siekiant išvardytų tikslų, išskyrus atvejus, kai tiesiogiai siekiama kontroliuoti darbo kokybę ir mastą. Apie vaizdo stebėjimą ir garso įrašymą konkrečioje darbovietės vietoje informuojama vaizdiniu žymeniu matomoje vietoje.
17.8 Vaizdo stebėjimas negali būti vykdomas tose klinikos patalpose ar vietose, kur vaizdo duomenys yra tiesiogiai susiję su specialiųjų kategorijų (informacijos apie asmens sveikatą) tvarkymu.
18. Klinikos darbuotojai, dirbantys pagal darbo sutartį, teisės aktų nustatyta tvarka, pareigybių aprašymuose, pareiginėse instrukcijose nustatytoms tiesioginėms funkcijoms vykdyti turintys teisę rinkti, kaupti, apdoroti, sisteminti, saugoti, teikti ir kitaip tvarkyti informacinių sistemų posistemių duomenis automatiniu būdu gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Darbo santykiams pasibaigus, Klinikos darbuotojų prieigos teisė prie registrų ir kitų informacinių sistemų panaikinama.
19. Duomenų subjektų asmens duomenys saugomi asmens bylose bei/arba atitinkamose Klinikos tvarkomose duomenų bazėse.
20. Pretendentų į laisvas darbo vietas asmens duomenys Klinikoje saugomi tiek laiko, kiek vyksta atranka į laisvą darbo vietą. Esant pretendentų sutikimui, asmens duomenys gali būti saugomi ilgesnį laiką, bet ne ilgiau negu sutarta su duomenų subjektu.
21. Klinikos darbuotojai, pasikeitus jų asmens duomenims, nedelsiant apie tai informuoja Klinikos vadovę, buhalterį.
22. Personalo, finansų, buhalterinės apskaitos ir atskaitomybės bylos, taip pat kitos archyvinės bylos ir atitinkamos elektroninės bylos, keičiantis atitinkamus dokumentus ir bylas tvarkantiems darbuotojams ar jų įgaliojimams, perduodamos naujai priimtam ar įgaliotam asmeniui priėmimo perdavimo aktu.
23. Klinika pateikia domenų subjektui, kurio duomenis renka ar ketina rinkti, arba asmens duomenis gauna ne iš duomenų subjekto, šią informaciją: savo pavadinimą, juridinio asmens kodą ir buveinę; kokiais kitais ketinami tvarkyti duomenų subjekto asmens duomenys; kita papildoma

informacija (kam ir kokiais tikslais teikiam ar ketinami teikti duomenų subjekto asmens duomenys; iš kokių šaltinių ir kokie duomenų subjekto asmens duomenys renkami ar ketinami rinkti; kokius savo asmens duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės; apie duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teise reikalauti ištaisyti nereikalingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant duomenų subjekto teisių.
24. Duomenų subjektas, pateikęs asmens tapatybę patvirtinantį dokumentą, arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę neatlygintinai susipažinti su Klinikoje esančiais jo duomenimis bei gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, ir kam teikiami, reikalauti ištaisyti savo asmens duomenis, sunaikinti savo asmens duomenis arba sustabdyti jų tvarkymą, išskyrus saugojimą, savo duomenų tvarkymo veiksmus, kai duomenys tvarkomi kitais, tik teisės aktų numatytais tikslais. Klinika, gavusi duomenų subjekto prašymą, ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto prašymo gavimo dienos raštu pateikia prašomus duomenis arba nurodo atsisakymo tenkinti tokį prašymą priežastis.
25. Jeigu duomenų subjektas, susipažinęs su asmens duomenimis, nustato, kad jo asmens duomenys yra neteisingi, neišsamūs ar netikslūs, ir kreipiasi į Kliniką (atitinkamą jos padalinį ar atsakingą darbuotoją), Klinika privalo nedelsiant asmens duomenis patikslinti ir duomenų subjekto rašytiniu prašymu, pateiktu asmeniškai, paštu ar per elektroninio ryšio priemones, nedelsiant ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių duomenų tvarkymo veiksmus, išskyrus saugojimą.
26. Duomenų subjektas gali skųsti Klinikos, kaip duomenų valdytojo, veiksmus (veikimą ar neveikimą) Valstybinei duomenų apsaugos inspekcijai per 3 mėnesius nuo atsakymo gavimo arba per 3 mėnesius nuo tos dienos, kai baigiasi taisyklių 24 punkte nustatytas terminas pateikti atsakymą.

IV SKYRIUS
PACIENTŲ ASMENS DUOMENŲ TVARKYMO NUOSTATOS

27. Klinika, vykdydama savo tiesioginę funkciją, tvarko duomenis apie asmens sveikatą. Tokie duomenys priskiriami prie specialiųjų kategorijų asmens duomenų, kuriems keliami aukšti saugumo reikalavimai.
28. Asmens duomenys yra sveikatos duomenys, kai:
28.1 Duomenys iš esmės (aiškiai) yra medicininiai duomenys;
28.2 Duomenys yra neapdoroti prietaisų, jutiklių pagalba gauti duomenys, kuriuos galima naudoti atskirai arba kartu su kitais duomenimis, norint padaryti išvadą apie faktinę asmens sveikatos būklę ar pavojų jo sveikatai;
28.3 Daromos išvados apie asmens sveikatos būklę ar pavojų sveikatai (nepriklausomai nuo to, ar šios išvados yra tikslios ar netikslios, teisėtos ar neteisėtos ir pan.).
29. Vadovaujantis BDAR 5 straipsnio 1 dalies c punktu, asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas). Sveikatos priežiūros klinika renka tik tuos duomenis, kurie būtini paciento gydymui, ligų diagnostikai.
30. Tretiesiems asmenims pacientų duomenys negali būti perduodami automatiškai. Kokiems konkrečiai tretiesiems asmenims ar jų grupėms galima teikti paciento duomenis, turi nurodyti paciento tėvai, globėjai ar rūpintojai, arba tai gali būti numatyta įstatyme. Net ir perduodant informaciją tretiesiems asmenims, kuriems teikti duomenis sutikimą davė paciento tėvai, globėjai ar rūpintojai arba leidžiama pagal įstatymus, būtina laikytis proporcingumo principo ir teikti tik tokius duomenis, kurie yra būtini.
31. Jei informacija paciento tėvams, globėjams ar rūpintojams arba tretiesiems asmenims tiekiama elektroninėmis priemonėmis esant paciento tėvų, globėjų ar rūpintojų sutikimui, sveikatos priežiūros klinikos tai neatleidžia nuo bendros pareigos užtikrinti perduodamų asmens duomenų saugumą.

32. Už nepilnametį iki 14 metų sutikimą turi duoti vaiko tėvai ar globėjai. Sutikimas galioja tik tokiu mastu, kokiu duotas. Atsižvelgiant į turimas technologijas, reikia dėti pagrįstas pastangas, kad būtų patikrinta, ar gautas sutikimas tikrai atitinka visas sutikimo sąlygas.
33. Klinika turi užtikrinti, kad visi vartotojai: personalas, pacientai (jų įstatyminiai atstovai), klinikos informacinių sistemų ir duomenų bazių administratoriai, paslaugas teikiančių trečiųjų šalių (išoriniai paslaugų teikėjai, teikiantys paslaugas pagal sutartį) administratoriai ir programinę įrangą prižiūrintys paslaugų teikėjai turėtų prieigą tik prie tų duomenų, kurie jiems yra būtini funkcijoms atlikti, ir būtų identifikuojami rizikos lygį atitinkančiomis priemonėmis.

V SKYRIUS
ASMENS DUOMENŲ SAUGOJIMO NUOSTATOS

34. Klinikoje tvarkomų asmens duomenų saugumas užtikrinamas vadovaujantis Europos Sąjungos Bendrajame duomenų apsaugos reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės asmens duomenų apsaugos inspekcijos direktoriaus 2008 m. Lapkričio 12 d. Įsakymu Nr. 1T-74 „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (Valstybinės asmens duomenų apsaugos inspekcijos direktoriaus 2008 m. Lapkričio 12 d. Įsakymu Nr. 1T-74(1.12E) redakcija) ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą bei teisę rinkti asmens duomenis.
35. Klinika įgyvendina organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Klinikoje taikomos asmens duomenų apsaugos priemonės nurodytos Asmens duomenų apsaugos priemonių sąraše (Taisyklių 1 priedas).
36. Klinikos darbuotojai turi pasirašyti konfidencialumo pasižadėjimą (Taisyklių 2 priedas) ir laikytis konfidencialumo principo, laikyti paslaptyje bet kokią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Konfidencialumo principo Klinikos darbuotojai turi laikytis ir pasibaigus darbo santykiams su klinika. Pareiga saugoti asmens duomenų paslaptį taip pat galioja Klinikos darbuotojui perėjus dirbti į kitas pareigas. Konfidencialumo principas reiškia, kad asmenims, tvarkantiems asmens duomenis, be duomenų valdytojo sutikimo draudžiama juos atskleisti, gavus trečiųjų asmenų prašymus dėl tokio atskleidimo (išskyrus įstatymų numatytus atvejus).
37. Klinikos darbuotojai turi pasirašyti sutikimą dėl jų asmens duomenų tvarkymo (Taisyklių 3 priedas) ir pateikti apie save tikslią informaciją ir tokia apimtimi kiek tai būtina darbdavio prievolėms įvykdyti, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.
38. Asmens duomenų tvarkymo funkcijas vykdantys ir su Klinikos tvarkomais asmens duomenimis galintys susipažinti darbuotojai pasirašytinai supažindinami su šiomis Taisyklėmis ir taip pat įsipareigoja saugoti asmens duomenų paslaptį, jei šie asmens duomenys neskirti skelbti viešai.
39. Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti duomenų rinkmenas tinkamai ir saugiai bei vengti nereikalingų kopijų darymo. Klinikos dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikintos taip, kad šių duomenų nebūtų galima atkurti ir atpažinti jų turinio. Praradęs asmens duomenis darbuotojas, tvarkantis asmens duomenis, nedelsiant informuoja Klinikos vadovą. Prarastų asmens duomenų atkūrimą organizuoja specialistai informatikai (dirbantys Klinikoje ar teikiantys šią paslaugą sutarties pagrindu fiziniai ar juridiniai asmenys).
40. Duomenų subjektams, pateikusiems prašymą susipažinti su savo asmens duomenimis ir kaip jie tvarkomi Klinikoje, sudaromos sąlygos susipažinti su dokumentais, kuriuose yra jų asmens duomenys, Klinikos patalpose ir, jeigu duomenų subjektas reikalauja, padaryti jų vieną kopiją.

Klinikos darbuotojai susipažinimui parengia su asmens duomenų subjektu susijusi medžiagą ir, jeigu reikia, ją nuasmenina, nustačius kito asmens duomenų buvimą.
41. Rašytiniai duomenų subjektų dokumentai bei jų kopijos, finansavimo, buhalterinės apskaitos ir atskaitomybės, archyvinės ar kitos bylos, kuriose yra asmens duomenų, saugomos rakinamose patalpose esančiose spintose ar seifuose. Darbuotojų kompiuteriuose esančios kompiuterinės bylos ir asmens duomenys saugomi kompiuterių standžiuose diskuose. Dokumentai, kuriuose yra asmens duomenų neturi būti laikomi visiems prieinamose vietose. Nešiojamuose kompiuteriuose asmens duomenys gali būti tvarkomi tik esant būtinumui.
42. Klinikos pacientų bei jų įstatyminių atstovų duomenys saugomi vadovaujantis privalomų sveikatos statistikos apskaitos ir kitų tipinių formų, pildomų sveikatos priežiūros klinikose sąrašu ir saugojimo terminais (Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymo Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ aktuali redakcija).
43. Archyviniam saugojimui perduotos Klinikos darbuotojų asmens bylos saugomos Klinikos archyve rakinamoje dokumentų saugykloje. Šie duomenys tretiesiems asmenims susipažinti teikiami tik tais atvejais, kai tą leidžia įstatymai ir kiti teisės aktai, ar tik Klinikos vadovo ar jo įgalioto asmens sprendimu.
44. Klinikos darbuotojai, kurių kompiuteriuose saugomi asmens duomenys arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius, sudarytus iš ne mažiau kaip 8 simbolių. Slaptažodžiai turi būti keičiami periodiškai ne rečiau kaip kartą per 3 mėnesius, taip pat susidarius tam tikroms aplinkybėms (pasikeitus darbuotojui, iškilus įsilaužimo grėsmei, kilus įtarimams, kad slaptažodis tapo žinomas tretiesiems asmenims, ir pan.). Šiuos slaptažodžius žino tik darbuotojas, dirbantis su konkrečiu kompiuteriu. Šiuose kompiuteriuose rekomenduojama naudoti ekrano užsklandą su slaptažodžiu. Kompiuterio slaptažodis saugomas užklijuotame voke, kuris gali būti atplėšiamas tik esant pagrįstoms aplinkybėms.
45. Klinikos darbuotojų kompiuteriuose esančios kompiuterinės bylos, kuriose kaupiami asmens duomenys, negali būti prieinamos kitų kompiuterių naudotojams.
46. Visuose kompiuteriuose, kuriuose yra kaupiami asmens duomenys, antivirusinė programa turi būti nustatyta atsinaujinti automatiškai kiekvieną dieną.
47. Klinikos interneto svetainė turi būti sukurta taip, kad maksimaliai apribotų galimybes viešai veikiančioms interneto paieškos sistemoms bei paieškos variklių robotams kopijuoti Klinikos svetainėje esančią informaciją, taip pat neleistų šioms sistemoms ir robotams surasti anksčiau skelbtos, bei iš Klinikos interneto svetainės jau pašalintos informacijos kopijų.

VI SKYRIUS
POVEIKIO ASMENS DUOMINŲ APSAUGAI VERTINIMAS IR VEIKLOS ĮRAŠAI

48. Poveikio duomenų apsaugai vertinimas yra procesas, skirtas apibūdinti vertinamą duomenų tvarkymo operaciją, įvertinti jos būtinumą bei proporcingumą ir padėti suvaldyti iš šio duomenų tvarkymo operacijos kylantį pavojų fizinių asmenų teisėms ir laisvėms.
49. Poveikio duomenų apsaugai vertinimo tikslas – padėti sumažinti grėsmes bei įvertinti, ar likusios grėsmės yra pagrįstos ir pateisinamos.
50. Poveikio duomenų apsaugai vertinimą atlieka klinika arba tretieji asmenys, pasirašius tokio vertinio paslaugų teikimo sutartį.
51. Atsižvelgiant į Poveikio duomenų apsaugai vertinimo rezultatus, klinika imasi būtinų techninių ir organizacinių priemonių galimai nustatytoms grėsmėms pašalinti arba jas sumažinti.
52. Poveikio duomenų apsaugai vertinimas atliekamas pakartotinai, kai klinikoje diegiami nauji procesai, galintys turėti įtakos asmens duomenų tvarkymui.
53. Duomenų tvarkymo veiklos įrašai turi būti tvarkomi raštu, įskaitant elektronine forma. Duomenų tvarkymo veiklos įrašai nėra skelbiami viešai.
54. Duomenų tvarkymo veiklos įrašų forma tvirtinami atskiru klinikos vadovo įsakymų.

VII SKYRIUS BAIGIAMOSIOS NUOSTATOS

55. Asmens duomenys elektroninių ryšių srityje tvarkomi vadovaujantis Lietuvos Respublikos elektroninių ryšių įstatymu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos kibernetinio saugumo įstatymu.
56. Asmens, kurio duomenys yra tvarkomi, teises Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas, Lietuvos Respublikos civilinis kodeksas, Europos Sąjungos Bendrasis duomenų apsaugos reglamentas.
57. Asmuo, kurio asmens duomenys yra tvarkomi, pastebėjęs, kad Klinikos darbuotojas galbūt pažeidė šias Taisykles arba Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, arba Europos Sąjungos Bendrojo duomenų apsaugos reglamento nuostatas, nedelsdamas apie tai informuoja konkretaus padalinio vadovą ar Klinikos vadovą.
58. Klinikos veiksmai (veikimas ar neveikimas), kuriais pažeidžiami teisės aktai, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai.
59. Šiose Taisyklėse nurodytos tik svarbiausios asmens duomenų apsaugos priemonės, kurių privaloma laikytis tvarkant asmens duomenis.
60. Už šių Taisyklių pažeidimą Klinikos darbuotojams, tvarkantiems asmens duomenis, gali būti taikoma teisinė atsakomybė.

Asmens duomenų tvarkymo UAB Extensum
Taisyklių 1 priedas

ASMENS DUOMENŲ APSAUGOS PRIEMONIŲ SĄRAŠAS

Neteisėta fizinė prieiga prie kompiuterinės įrangos:
– Patalpos rakinamos:
– Įrengta patalpų signalizacijos sistema. Neteisėti programinės įrangos vartotojai:
– Nustatyta vartotojų prisijungimo tvarka;
– Valdoma vartotojų teisė naudotis programine įranga. Neteisėtas vartotojų prisijungimas prie tinklo:
– Vidinis tinklas apsaugotas ugniasiene;
– Kontroliuojamas darbuotojų prisijungimas prie vidinio tinklo;
– Kontroliuojamas trečiųjų šalių vartotojų prisijungimas. Vagystė:
– Apribota fizinė prieiga prie tarnybinių stočių;
– Apribota programinė prieiga prie duomenų;
– Apribota fizinė prieiga prie dokumentų;
– Patalpos, kuriose saugomi dokumentai su asmens duomenimis, rakinamos. Programinės įrangos klaidos:
– Naudojama sertifikuota programinė įranga;
– Programinė įranga atnaujinama laikantis nustatytos tvarkos. Piktavališkos programos:
– Tarnybinėse stotyse įdiegtos antivirusinės programos;
– Darbo stotyse įdiegtos antivirusinės programos;
– Darbuotojai supažindinti su tvarka, kaip elgtis piktavališkų programų antplūdžio atveju. Neteisėtos programinės įrangos naudojimas:
– Naudojama tik teisėta programinė įranga;
– Nuolat atliekama darbo stotyse naudojamos programinės įrangos kontrolė;
– Darbuotojams nesuteiktos teisės patiems diegti programinę įrangą. Duomenų perdavimo tinklo įranga:
– Įranga prižiūrima pagal gamintojo rekomendacijas;
– Priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;
– Stebima duomenų perdavimo tinklo būklė. Kompiuterių techninės įrangos gedimai:
– Įranga prižiūrima pagal gamintojo rekomendacijas;
– Priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;
– Svarbiausia kompiuterinė įranga dubliuota;
– Svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima; Užliejimas vandeniu:
– Tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos;
– Įrengta vandens nutekėjimo sistema. Ugnis:
– Patalpose yra ugnies gesintuvai;
– Patalpose įrengti dūmų davikliai.

Temperatūros ir drėgmės svyravimai:
– Nuolat stebimi temperatūros ir drėgmės svyravimai;
– Kondicionavimo įranga prižiūrima pagal gamintojo reikalavimus. Elektros srovės sutrikimai:
– Svarbiausiai kompiuterinei įrangai skirti nenutrūkstamo maitinimo šaltiniai (UPS);
– Stebima elektros srovės teikimo būklė. Maitinimo ir ryšio linijų gedimai:
– Kabeliai yra izoliaciniuose vamzdžiuose:
– Elektros ir duomenų kabeliai saugiai atskirti.