Asmens duomenų apsaugos politika

1. Klinikos vadovas vidaus taisyklėse nustatyta tvarka (įprastai Klinikos vadovo įsakymu) privalo:

a) patvirtinti Asmens duomenų apsaugos politiką.

b) Tuo pačiu dokumentu (įsakymu) paskiriamas asmuo, kuris įpareigojamas su šia politika (bei jos priedais) pasirašytinai supažindinti visus nuolatinius ir laikinus darbuotojus, taip pat visus asmenis, veikiančius klinikos vardu (pvz. kurie klinikoje veikia pvz. ne pagal darbo sutartį, o savanoriškos praktikos sutartį ar kitais pagrindais) (kitaip tariant, Klinikos personalą). Atskirai su kiekvienu iš asmens duomenų apsaugos politikos priedu pasirašytinai supažindinti nereikia.

c) Klinikos vadovas tuo pačiu dokumentu (įsakymu) gali (bet neprivalo) paskirti asmenį – Klinikos darbuotoją – asmens duomenų apsaugos klausimams kuruoti, priešingu atveju, visi klausimai, susiję su asmens duomenų tvarkymu Klinikoje nukreipiami išimtinai Klinikos vadovui (arba, duomenų apsaugos pareigūnui, jeigu toks būtų Klinikoje paskirtas ateityje).

2. Įgaliojimu (parengta forma) įgaliojami tie asmenys, kurie Klinikoje tvarkys fizinių asmenų asmens duomenis (gali būti įgaliojami skirtingi asmenys (Klinikos darbuotojai), priklausomai nuo to, kokius asmens duomenis tvarkys).

3. Rekomenduotina asmens duomenų apsaugos politiką atspausdinti (be jos priedų arba parengti santrauką, išbraukiant iš teksto priedus bei jų nepridedant) ir padėti Klinikos matomoje vietoje (pvz. registratūroje), kad asmenys, atvykę į Kliniką, galėtų susipažinti, jeigu tik norėtų (kitaip tariant, būtų įgyvendinamas gerosios praktikos principas).

4. Rekomenduojama asmens duomenų apsaugos politiką su priedais atspausdinti ar įkelti į intranetą (jei toks tarp Klinikos personalo naudojamas) ar įkelti į tik Klinikos personalui matomą folderį, kad darbuotojai galėtų bet kada peržiūrėti politiką ir jos priedus.  Jeigu Klinikoje yra paskiriami/įgaliojami asmenys, kurie tvarko Klinikoje tam tikrus asmens duomenis, ar įgaliojamas/paskiriamas asmuo klausimams, susijusiems su asmens duomenų Klinikoje tvarkymu, paskiriamas duomenų apsaugos pareigūnas ir pan., tokių asmenų rekvizitai, kontaktiniai duomenys, turi būti taip pat Klinikos personalui žinomi ir prieinami.

5. Kadangi internetiniame puslapyje yra privaloma įkelti privatumo pareiškimą, rekomenduotina be šio privatumo pareiškimo, taip pat internetiniame puslapyje įkelti asmens duomenų apsaugos politiką (be priedų ar jos santrauką, išbraukiant iš teksto priedus bei jų nepridedant). Tiek privatumo pranešimas duomenų subjektams dėl duomenų, susijusių su tų asmens duomenų tvarkymu, tiek privatumo politika turi būti lengvai prieinami ir nuolat matomi, kompiuteriu skaitomi, sudarant galimybę šiuos dokumentus tiesiogiai pasiekti.

 

Darbuotojų ir pretendentų dirbti asmens duomenų apsaugos politika (Priedas Nr. 1)

1.Ši politika yra skirta išimtinai tik Klinikos personalui. Kiek nereguliuoja klausimų ši politika, taikytina asmens duomenų apsaugos politika. Iš esmės tai yra palengvinimas Klinikos darbuotojams, kad nereikėtų ilgai ieškoti aktualių jiems nuostatų Klinikos asmens duomenų apsaugos politikoje.

2. Darbuotojai privalo pasirašyti: pareiškimo apie darbuotojo asmens duomenų tvarkymo formą, pareiškimo apie darbuotojo vaizdo duomenų tvarkymo formą, pasižadėjimo saugoti asmens duomenų paslaptį formą.

3. Kadangi Klinikoje yra vykdomas vaizdo stebėjimas, būtina tinkamai įforminti informacines lenteles, skelbiančias apie vykdomą vaizdo stebėjimą. Rekomendacijos pateiktos valstybinės duomenų inspekcijos tinklalapyje:

https://www.ada.lt/go.php/lit/-kaip-duomenu-valdytojui-informuoti-apie-vykdoma-vaizdo-stebejima-informacineje-lenteleje

 

Duomenų subjektų teisių įgyvendinimo taisyklės (Priedas Nr. 2)

1.Šios taisyklės privalo būti įkeltos Klinikos internetiniame puslapyje, lengvai prieinamos ir nuolat matomos, kompiuteriu skaitomos, sudarant galimybę šias taisykles asmeniui tiesiogiai pasiekti. Rekomenduotina šias taisykles atspausdinti ir padėti matomoje Klinikos vietoje (registratūroje), kad asmenys, atvykę į Kliniką, galėtų susipažinti, jei tik norėtų (kitaip tariant, būtų įgyvendinamas gerosios praktikos principas). Šių taisyklių priedai Nr. 1-8 internetiniame puslapyje taip pat pageidautina, jog būtų išskirti, kad asmuo, kuris nori kreiptis į Kliniką dėl savo, kaip duomenų subjekto, teisių įgyvendinimo, galėtų atskirai atsisiųsti prašymo formą jos užpildymui. Tas pats pasisakytina, jog minėtų priedų formos, gali būti parengtos ir popieriniame variante, ir lengvai gaunamos pačioje Klinikoje, jei asmuo, norėtų prašymo formą pasiimti ir ją užpildyti vietoje.

 

Informacijos klasifikavimo taisyklės (Priedas Nr. 3)

1. Visa Klinikoje tvarkoma informacija, kurioje yra asmens duomenų, turi būti klasifikuojama atsižvelgiant į taisyklėse (lentelėje) nurodytus informacijos klasifikavimo lygius. Nustačius informacijos, kurioje yra asmens duomenų, klasifikaciją, būtina pažymėti ant dokumento ar elektroninėje laikmenoje, kokio konfidencialumo lygio toji informacija yra, kad kitiems asmenims, dirbantiems su tokia informacija, būtų aišku kokį saugumo lygį būtina taikyti. Klinikos vadovas gali pavesti asmenį (Klinikos darbuotoją) šią informaciją suklasifikuoti.

 

Asmens duomenų incidentų valdymo taisyklės (Priedas Nr. 4)

1. Klinikos vadovas vidaus taisyklėse nustatyta tvarka (įprastai Klinikos vadovo įsakymu) (gali būti tuo pačiu dokumentu (įsakymu), kuriuo tvirtinama asmens duomenų apsaugos politika) privalo paskirti asmens duomenų saugumo pažeidimo reagavimo komandą, sudarančią ne mažiau kaip iš 3 narių – būtinai Klinikos darbuotojų.

2. Kiekvieno iš asmens duomenų saugumo pažeidimo reagavimo komandos narių kontaktiniai duomenys turi būti žinomi bei prieinami bet kuriam iš Klinikos personalo.

3. Atitinkamai, šios komandos nariai turi būti labai gerai išsistudijavę asmens duomenų incidentų valdymo taisyklių nuostatas.

 

Duomenų subjekto sutikimo dėl asmens duomenų tvarkymo forma (Priedas Nr. 5). Tėvų pareigų turėtojo sutikimo dėl vaiko asmens duomenų tvarkymo forma (Priedas Nr. 6).

1. Sutikimą privaloma duoti pasirašyti kiekvienam pacientui (jo atstovui) ar potencialiam pacientui, kuris, pvz. nors ir dar nesudarė sutarties su Klinika, tačiau jo asmens duomenys jau tvarkomi (užsiregistravo vizitui, paprašė atsiųsti informaciją ar pan.).

 

Asmens duomenų saugojimo taisyklės (Priedas Nr. 7)

1. Klinikos vadovas vidaus taisyklėse nustatyta tvarka (įprastai Klinikos vadovo įsakymu) (gali būti tuo pačiu dokumentu (įsakymu), kuriuo tvirtinama asmens duomenų apsaugos politika) gali būti (bet neprivaloma) paskiriamas asmuo (Klinikos darbuotojas), atsakingas už dokumentų, kuriuose yra asmens duomenų, saugojimą ir saugojimo kontrolę Klinikoje, priešingu atveju, ši atsakomybė išlieka Klinikos vadovui.

2. Atitinkamai, arba Klinikos vadovui arba jo paskirtam asmeniui, atsakingam už dokumentų, kuriuose yra asmens duomenys, saugojimą ir saugojimo kontrolę, turi būti žinomos šių taisyklių nuostatos, įskaitant, 8.10 punktą.

3. Atkreiptinas dėmesys į šiose taisyklėse nustatytus dokumentų, kuriuose yra asmens duomenų, saugojimo terminus (kaip pvz. pretendentų dirbti pateikti dokumentai (gyvenimo aprašymai) saugomi ne ilgiau kaip 1 savaitę ir kt.). Taisyklėse nustatytais atvejais, Klinikos vadovas saugojimo terminus  gali pratęsti.

 

Asmens duomenų perdavimo trečiosioms valstybėms ar tarptautinėms organizacijoms taisyklės (Priedas Nr. 8)

1. Šiai dienai Klinikai, mano žiniomis, šios taisyklės kol kas nėra aktualios, kadangi nėra bendradarbiaujama su šalimis, nepriklausančiomis Europos ekonominei erdvei ar ES (ar šių šalių organizacijomis), tačiau, būtina šias taisykles turėti ir jomis vadovautis, jeigu tokia būtinybė iškiltų ateityje.

 

Poveikio duomenų apsaugai vertinimo taisyklės (Priedas Nr. 10)

1. Šiomis taisyklėmis vadovaujamasi, jeigu Klinika planuoja sukurti naujas ir (ar) iš esmės atnaujinti esamas Klinikos valdomas automatinio duomenų tvarkymo sistemas, aparatines ar programines įrangas, įdiegti apsauginę vaizdo stebėjimo sistemą ar įdiegti papildomą, asmens duomenis naudoti kitu tikslu, ir pan., t. y. kurias Klinika naudos atlikdama naujas ir (ar) skirtingas ir (ar) įvairias, kurios yra panašios, duomenų tvarkymo operacijas. Tokiu atveju, vadovaujantis taisyklių nuostatomis, turi būti atliekamas poveikio duomenų apsaugai vertinimas (kurį gali atlikti tiek pati Klinika pagal šiose taisyklėse pateiktas formas, tiek pasitelkti specialistus iš išorės).

 

Asmens duomenų tvarkymo veiklos įrašų registras (Priedas Nr. 11)

1. Klinika privalo pildyti šį registrą. Registras pildytinas elektronine forma, jo popierinė forma nėra reikalaujama. Registras pildomas Klinikos vadovo, nebent Klinikos vadovas šio registro pildymą paskirtų (įgaliotų) kitą asmenį (-is), t. y. Klinikos darbuotoją (-us). Šios funkcijos įprastai pavedamos duomenų apsaugos pareigūnui, jeigu toks Klinikoje paskirtas ar būtų paskirtas ateityje.

 

KITA:

1. Atkreiptinas dėmesys į asmens kodo Klinikoje tvarkymą. Asmens kodo naudojimas turėtų būti pateisinamas tik išimtiniais atvejais ir tik tada, kai jo negalima pakeisti kitu identifikaciniu duomeniu.Dėl to, prieš tvarkant asmens kodą, būtina patikrinti, ar jo negalima pakeisti gimimo data, kuri, kaip duomuo, turi mažiau informacijos nei asmens kodas. Rekomenduotina, jog asmens kodo nenurodyti, jeigu tai tampa pertekliniu duomenimi (kaip pvz.: nenurodyti PVM sąskaitose faktūrose, darbo sutartyse, sutartyse su pacientais ir kt.), tuo tarpu, asmens kodo naudojimas pateisinamas, kai vykdomi teisės aktuose nurodyti reikalavimai ar pildomos privalomos valstybės institucijų formos.

2. Sutikimas, kad asmens duomenys būtų naudojami tiesioginės rinkodaros ir mokslo tikslais, išreiškiamas pacientui (jo atstovui) pasirašius sutartį su Klinika ar užsisakant svetainėje naujienlaiškį, atitinkamai, pažymint atitinkamą sutikimo laukelį. Internetinėje svetainėje šiuos aspektus privalo sureguliuoti / parengti IT specialistas. Atitinkamai, IT specialistas turi sureguliuoti / parengti / įdiegti asmenims galimybę aiškiai, nemokamai ir lengvai nesutikti arba atsisakyti tokio jų kontaktinių duomenų naudojimo (tiek elektroniniu paštu, tiek sms žinute, priklausomai kokiu būdu yra siunčiami rinkodaros pranešimai).

3. Su duomenų tvarkytojais (pvz. IT specialistas, samdoma buhalterinė įmonė, laboratorijos ir pan., kuriems Klinika perduoda asmens duomenis arba kuriems sutarties su Klinika pagrindu asmens duomenys tampa žinomi)  Klinika sudaro rašytines sutartis, kuriose privalo būti numatyta, kad duomenų tvarkytojai asmens duomenis tvarko tik pagal Klinikos nurodymus ir laikantis konfidencialumo įsipareigojimų.Atitinkamai, turi būti peržiūrimos (esant poreikiui ir atnaujinamos aktualiomis nuostatomis) Klinikos pasirašytos sutartys su duomenų tvarkytojais.

4. Būtina turėti omenyje, kad asmens duomenų tvarkymas yra nenutrūkstamas procesas, todėl dokumentai turi būti peržiūrimi, atnaujinami ir pan. ne rečiau kaip vieneri metai, turi būti peržiūrima politikos atitikimas išorės įstatymų ir poįstatyminių aktų reikalavimams, atliekamas asmens duomenų apsaugos įgyvendinimo Klinikoje verslo procesuose veiksmingumas ir kt.