Optikos centro ASMENS DUOMENŲ TVARKYMO POLITIKA

Optikos centras > Optikos centro ASMENS DUOMENŲ TVARKYMO POLITIKA
UŽDAROJI AKCINĖ BENDROVĖ „OPTIKOS CENTRAS“

ASMENS DUOMENŲ TVARKYMO POLITIKA

1.                 PAGRINDINĖS POLITIKOS SĄVOKOS

1.1.            ADTAĮ – Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas.
1.2.            Atsakingas darbuotojas – Duomenų valdytojo Darbuotojas, kuris pagal užimamas pareigas ir darbo pobūdį turi teisę vykdyti konkrečias su Duomenų tvarkymu susijusias funkcijas.
1.3.            BDAR – Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

1.4.            Duomenų valdytojas – UAB „ Optikos centras“, įm. kodas 140986064, H.Manto g. 6, Klaipėda LT-92133, tel. +370 46 400 104, el.paštas administracija@ optikoscentras.lt

1.5.            Darbuotojas reiškią asmenį, kuris su Duomenų valdytoju yra sudaręs darbo arba panašaus pobūdžio sutartį.
1.6.            Duomenys apie sveikatą – Asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.
1.7.            Duomenys/Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektą); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
1.8.            Duomenų gavėjas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami Asmens duomenys, nesvarbu, ar tai trečioji šalis ar ne, išskyrus valdžios institucijas, kurios pagal Europos Sąjungos arba Lietuvos Respublikos teisę gali gauti asmens duomenis vykdydamos konkretų tyrimą.
1.9.            Duomenų subjektas – Duomenų valdytojo Darbuotojas, Pacientas arba bet koks kitas fizinis asmuo, kurio Asmens duomenis tvarko Duomenų valdytojas.
1.10.        Duomenų tvarkymas reiškia bet kurią operaciją ar operacijų rinkinį, automatiniais arba neautomatiniais būdais atliekamus su asmens duomenimis, tokius kaip: rinkimas, užrašymas, rūšiavimas, saugojimas, adaptavimas ar keitimas, atgaminimas, paieška, naudojimas, atskleidimas perduodant, platinant ar kitu būdu padarant juos prieinamus, išdėstymas reikiama tvarka ar sujungimas derinant, blokavimas, trynimas ar naikinimas.
1.11.        Duomenų tvarkytojas – fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuri duomenų valdytojo vardu tvarko Asmens duomenis.
1.12.        Kandidatas – asmuo, pageidaujantis tapti Duomenų valdytojo Darbuotoju arba dalyvauti Duomenų valdytojo vykdomoje personalo atrankoje.
1.13.        Kompiuterinė įranga – kompiuteriai, terminalai, serveriai, laikmenos, kita Duomenų valdytojui teisėtu pagrindu (nuosavybės teise, nuomos ar kitais pagrindais) priklausanti kompiuterinė įranga ir joje esanti programinė įranga, tame tarpe elektroninė pašto dėžutė, bendravimo interneto tinklu programos, debesų kompiuterijos paslaugos, interneto prieiga.
1.14.        Mokymai – Duomenų valdytojo organizuojami Darbuotojams skirti mokymai, susiję su Asmens duomenų apsaugos klausimais.
1.15.        Pacientas – asmuo, kuriam Duomenų valdytojas teikia arba anksčiau teikė asmens sveikatos priežiūros paslaugas.
1.16.        Politika reiškia šią Asmens duomenų tvarkymo politiką.
1.17.        Sveikatos duomenys– asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.
1.18.        Trečioji šalis – fizinis arba juridinis asmuo, valdžios institucija, agentūra arba kita įstaiga, kuri nėra duomenų subjektas, duomenų valdytojas, duomenų tvarkytojas ar asmuo, kuriam tiesioginiu duomenų valdytojo ar duomenų tvarkytojo įgaliojimu leidžiama tvarkyti asmens duomenis.
1.19.        Kitos Politikoje vartojamos sąvokos atitinka BDAR ir ADTAĮ vartojamas sąvokas.

 

2.                  BENDROSIOS NUOSTATOS

2.1.            Šios Politikos paskirtis – reglamentuoti asmens duomenų tvarkymo procedūras, duomenų subjektų teisių įgyvendinimą ir technines bei organizacines priemones, skirtas apsaugoti asmens duomenis pagal BDAR, ADTAĮ ir kitus teisės aktus, nustatančius asmens duomenų apsaugą.
2.2.            Duomenų valdytojas užtikrina, kad jis atitinka šiuos esminius su asmens duomenų tvarkymu susijusius principus:
2.2.1.      Asmens duomenys turi būti duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
2.2.2.      Asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu; tolesnis duomenų tvarkymas archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais nėra laikomas nesuderinamu su pirminiais tikslais (tikslo apribojimo principas);
2.2.3.      Asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
2.2.4.      Asmens duomenys turi būti tikslūs ir prireikus atnaujinami; turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
2.2.5.      Asmens duomenys turi būti laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys yra tvarkomi; asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, reikalingų siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
2.2.6.      Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
2.2.7.      Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi aukščiau nurodytų principų, ir turi sugebėti įrodyti, kad jų yra laikomasi (atskaitomybės principas).
2.3.            Duomenys tvarkomi tinkamai informavus Duomenų subjektus laikantis 6 Politikos skyriuje ir BDAR numatytų reikalavimų.
2.4.            Duomenys saugomi laikotarpius, nurodytus šioje Politikoje kiekvienam Asmens duomenų tipui. Saugojimas ir trynimas atliekami pagal procedūras, numatytas 7 ir 8 Politikos skyriuose.
2.5.            Jeigu Duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais, Duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
2.6.            Siekdamas tinkamai įgyvendinti atskaitomybės principą, Duomenų valdytojas paskiria Darbuotoją, atsakingą už tinkamą Duomenų tvarkymo veiklos įrašų pildymą registruojant tvarkymo operacijas Duomenų valdytojo atsakomybe.
2.7.            Prieiga prie Duomenų suteikiama tik Atsakingiems darbuotojams ir duomenų tvarkytojams.
2.8.            Duomenų tvarkytojo prieigos teisės prie Duomenų naikinamos nutraukus asmens duomenų tvarkymo sutartį, sudarytą su Duomenų valdytoju, ar šiai sutarčiai nustojus galioti.
2.9.            Atsakingi darbuotojai privalo:
2.9.1.        Tvarkyti Asmens duomenis vadovaudamiesi Europos Sąjungos ir Lietuvos Respublikos teisės aktais, taip pat šia Politika ir jos priedais;
2.9.2.        Neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su duomenimis asmenims, kurie nėra įgalioti tvarkyti Duomenų;
2.9.3.      Nedelsiant pranešti Duomenų valdytojui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę duomenų saugumui.
2.10.        Atsakingas darbuotojas netenka teisės tvarkyti Asmens duomenis, kai pasibaigia Atsakingo darbuotojo darbo sutartis su Duomenų valdytoju, arba kai pasikeitus Darbuotojo užimamoms pareigoms Asmens duomenys tampa nebereikalingi darbo funkcijoms vykdyti.
2.11.        Duomenys perduodami duomenų tvarkytojams ir duomenų gavėjams kai teisę ir (ar) pareigą tai daryti atitinkamais pagrindais suteikia teisės aktai.
2.12.        Asmens duomenys Duomenų valdytojo gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais.

 

3.                  DARBUOTOJŲ DUOMENŲ TVARKYMAS SU DARBO SANTYKIAIS SUSIJUSIAIS TIKSLAIS

3.1.            Duomenų valdytojas renka kandidato, pretenduojančio eiti pareigas arba atlikti darbo funkcijas, asmens duomenis, susijusius su kvalifikacija, profesiniais gebėjimais ir dalykinėmis savybėmis, iš buvusio darbdavio prieš tai informavęs kandidatą, o iš esamo darbdavio – tik kandidato sutikimu.

3.2.            Vidaus administravimo tikslais Duomenų valdytojas tvarko tokias Darbuotojų Asmens duomenų grupes:

3.2.1.        Vardas;

3.2.2.        Pavardė;

3.2.3.        Asmens kodas;

3.2.4.        Gyvenamosios vietos adresas;

3.2.5.        Gimimo data;

3.2.6.        Įgytas išsilavinimas, kvalifikacija, profesiniai gebėjimai;

3.2.7.       Banko sąskaitos numeris;

3.2.8.       Atlyginimo dydis;

3.2.9.       Socialinio draudimo numeris;

3.2.10.    Asmeninis telefono numeris;

3.2.11.    Informacija apie šeiminę padėtį;

3.2.12.    Duomenys apie sveikatą;

3.2.13.    Kita su darbo santykiais susijusiame kontekste būtina tvarkyti informacija.

3.3.            Darbuotojų Duomenys gaunami tiesiogiai iš Duomenų subjektų, Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos, Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos (toliau – Sodra).
3.4.            Darbuotojų Duomenys susistemintai tvarkomi personalo duomenų bazėje, prie kurios turi prieigą personalo valdymo ir buhalterinės apskaitos funkcijas atliekantys Atsakingi darbuotojai.
3.5.            Nuolatiniu Darbuotojų Duomenų gavėju yra Sodra. Duomenys Sodrai teikiami per Elektroninę draudėjų aptarnavimo sistemą (EDAS).
3.6.            Kitoms Trečiosioms šalims Darbuotojų Duomenys gali būti perduodami tik šių prašymu esant teisėtam perdavimo pagrindui.
3.7.            Darbuotojai apie jų duomenų tvarkymą informuojami pasirašytinai juos supažindinant su šia Politika.

3.8.            Tvarkant vaizdo ir (ar) garso duomenis darbo vietoje ir duomenų valdytojo patalpose ar teritorijose, kuriose dirba jo darbuotojai, tvarkant asmens duomenis, susijusius su darbuotojų elgesio, buvimo vietos ar judėjimo stebėsena, šie darbuotojai apie tokį jų asmens duomenų tvarkymą turi būti informuojami pasirašytinai ar kitu informavimo faktą įrodančiu būdu pateikiant Reglamento (ES) 2016/679 13 straipsnio 1 ir 2 dalyse nurodytą informaciją.

 

 

 

 

 

 

 

 

 

 

 

 

4.                 PACIENTŲ ASMENS DUOMENŲ TVARKYMAS

4.1.            Duomenų valdytojas Pacientams teikia asmens sveikatos priežiūros paslaugas. Šiais tikslais neautomatiniu būdu Duomenų valdytojo Darbuotojai pildo Paciento Asmens sveikatos istoriją (apsk. f. Nr. 025/a), į kurią daromi įrašai apie paciento nusiskundimus, būklę, paskirtą gydymą ir tyrimus, surašomi gauti tyrimų rezultatai, informacija apie Pacientams pateiktus dokumentus (įvairias sveikatos pažymas, pažymėjimus, siuntimus) ir kiti Duomenys apie sveikatą. Atitinkamai, Duomenų valdytojas tvarko tokius Pacientų asmens duomenis:
4.1.1.       Vardas, pavardė;

4.1.2.       Gimimo data;

4.1.3.       Asmens kodas;

4.1.4.       Valstybinio socialinio draudimo numeris;

4.1.5.       El. pašto adresas;

4.1.6.       Telefono numeris;

4.1.7.       Gyvenamosios vietos adresas;

4.1.8.       Paciento šeimos nariai/atstovai (sutuoktinis, tėvas/įtėvis, motina/įmotė, vaikas/įvaikis, globėjas, rūpintojas, atstovas pagal įstatymą);

4.1.9.       Duomenys apie sveikatą;

4.1.10.   Duomenys receptūrai ir užsakymo vykdymui, paciento biometriniai duomenys.

4.2.            Duomenų valdytojas taip pat tvarko Pacientų šeimos narių (sutuoktinio, vaiko (įvaikio), motinos (įmotės), tėvo (įtėvio) ir/ar atstovų pagal įstatymą asmens duomenis:
4.2.1.       Vardas, pavardė;

4.2.2.       Asmens kodas;

4.2.3.       Kai veikiama pagal įgaliojimą – įgaliojimo duomenys.

4.3.            Duomenys gaunami tiesiogiai iš Pacientų bei valstybinių įstaigų: Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos, Neįgalumo ir darbingumo nustatymo tarnybos prie Socialinės apsaugos ir darbo ministerijos, Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos.
4.4.            Pacientų duomenys automatiniu būdu Trečiosioms šalims nėra perduodami.

 

5.                  IŠANKSTINĖ REGISTRACIJA INTERNETO SVETAINĖJE

5.1.            Duomenų valdytojas savo interneto svetainėje http://www.optikoscentras.lt/ sudaro sąlygas svetainės lankytojams iš anksto registruotis pas gydytojus.
5.2.            Asmenys, registruodamiesi pas gydytoją internetu, turi pateikti tokią informaciją:
5.2.1.      Vardas, pavardė, gimimo data

5.2.2.      Elektroninio pašto adresas;

5.2.3.      Telefono numeris;

5.2.4.        Informacija apie tai, pas kokį gydytoją Duomenų subjektas registruojasi internetu.

5.3.            Registracijos metu surinkti Duomenys Trečiosioms šalims nėra perduodami.

 

6.                 TINKAMAS DUOMENŲ SUBJEKTŲ INFORMAVIMAS

6.1.            Duomenų subjektams prieš pradedant tvarkyti jų Asmens duomenis būtina pateikti šią informaciją:
6.1.1.      Duomenų valdytojo pavadinimą, rekvizitus ir kontaktinius duomenis;
6.1.2.      Duomenų tvarkymo tikslus;
6.1.3.      Duomenų tvarkymo teisinį pagrindą;
6.1.4.      Duomenų apsaugos pareigūno, jei taikoma, kontaktinius duomenis;
6.1.5.      Asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
6.1.6.      Teisę prašyti, kad Duomenų valdytojas leistų susipažinti su Duomenų subjekto Asmens duomenimis ir juos ištaisytų arba ištrintų, arba apribotų duomenų tvarkymą, arba teisę nesutikti, kad Duomenys būtų tvarkomi, taip pat teisę į Duomenų perkeliamumą;
6.1.7.      Teisę pateikti skundą priežiūros institucijai;
6.1.8.      Jei yra, Asmens duomenų gavėjus arba Asmens duomenų gavėjų kategorijas;
6.1.9.      Kai taikoma, apie duomenų valdytojo ketinimą Asmens duomenis perduoti į trečiąją valstybę arba tarptautinei organizacijai;
6.1.10.   Kai taikoma, kad esama automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasmingą informaciją apie loginį jo pagrindimą, taip pat tokio Duomenų tvarkymo reikšmę ir numatomas pasekmes Duomenų subjektui.
6.2.            Esant skirtingiems tvarkymo teisiniams pagrindams, turi būti pateikiama žemiau nurodyta informacija:
Teisinė prievolė ar sutartis
–    Ar Duomenų subjektas privalo pateikti Asmens duomenis ir galimas pasekmes nepateikus tokių duomenų.

–    Ar Duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, ar reikalavimas, kurį būtina įvykdyti norint sudaryti sutartį.

Sutikimas
–    Teisę atsiimti savo sutikimą bet kuriuo metu.

–    Teisę pareikalauti skaitmeninio dokumento su savo asmenine informacija.

Teisėti interesai
–    Susiję teisėti duomenų valdytojo ar trečiosios šalies interesai.
6.3.            Tuo atveju, jei Asmens duomenys gauti ne iš Duomenų subjekto, turi būti pateikiama aukščiau išvardyta informacija, išskyrus nurodytąją 6.2 punkto „Teisinė prievolė ar sutartis“ grafoje, bei papildomai ši informacija:
6.3.1.      Asmens duomenų kategorijas, kurias planuojama tvarkyti;
6.3.2.        Koks yra Asmens duomenų kilmės šaltinis ir ar Duomenys gauti iš viešai prieinamų šaltinių.
6.4.            Duomenų gavimo ne iš Duomenų subjekto atveju, informacija pateikiama per:
6.4.1.        Vieną mėnesį nuo Duomenų gavimo;
6.4.2.        Jei Duomenys bus naudojami ryšiams su Duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo Duomenų subjektu; arba
6.4.3.        Jeigu numatoma Asmens duomenis atskleisti kitam Duomenų gavėjui – ne vėliau kaip atskleidžiant Duomenis pirmą kartą.
6.5.            Informacija turi būti pateikiama gausta, skaidria, aiškia ir lengvai prieinama forma, aiškia ir paprasta kalba.
6.6.            Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, tačiau visais atvejais apie konkretų asmenį renkama informacija pateikiama tik Duomenų subjektui įrodžius savo tapatybę.
6.7.            Pareiga pateikti informaciją netaikoma tiek, kiek:
6.7.1.        Tokios informacijos pateikimas yra neįmanomas arba tam reikėtų neproporcingų pastangų. Tokiais atvejais Duomenų valdytojas imasi tinkamų priemonių Duomenų subjekto teisėms ir laisvėms bei teisėtiems interesams apsaugoti, įskaitant viešą informacijos paskelbimą;
6.7.2.        Duomenų gavimas ar atskleidimas aiškiai nustatytas Sąjungos arba valstybės narės teisėje, ir kurie taikomi Duomenų valdytojui ir kuriuose nustatytos tinkamos teisėtų duomenų subjekto interesų apsaugos priemonės;
6.7.3.        Kai Asmens duomenys privalo išlikti konfidencialūs laikantis Sąjungos ar valstybės narės teise reglamentuojamos profesinės paslapties prievolės, įskaitant įstatais nustatytą prievolę saugoti paslaptį.
6.8.            Sutikimas, gautas Duomenų subjektui pirmiausia nepateikus 6.1 ir/ar 6.3 punktuose išdėstytos informacijos, nėra laikomas tinkamu.

 

7.                  DUOMENŲ SAUGOJIMO TERMINAI

7.1.            Duomenų valdytojas taiko skirtingus Asmens duomenų saugojimo terminus priklausomai nuo tvarkomų Asmens duomenų kategorijų.
7.2.            Duomenų valdytojas taiko šiuos Asmens duomenų saugojimo terminus:
Nr. Asmens duomenų tvarkymo tikslas Saugojimo terminas
1. Darbuotojų Duomenų tvarkymas su darbo santykiais susijusiais tikslais

 

Iki 50 metų po darbo sutarties nutraukimo vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle
2. Pacientų medicininės dokumentacijos pildymas Terminai nustatomi laikantis 1999 m. lapkričio 29 d. LR Sveikatos apsaugos ministro įsakymo 11.1. Nr. 515  “Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos” reikalavimų
3. Išankstinė registracija internetu 12 mėnesių nuo duomenų gavimo
7.3.            Išimtys iš aukščiau nurodytų saugojimo terminų gali būti nustatomos tiek, kiek tokie nukrypimai nepažeidžia Duomenų subjektų teisių, atitinka teisinius reikalavimus ir yra tinkamai dokumentuoti.
7.4.            Duomenys, reikalingi siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus saugomi tiek, kiek šie yra būtini tokiems tikslams pasiekti pagal teisminę, administracinę arba neteisminę procedūrą.

 

8.                  DUOMENŲ SUNAIKINIMAS

8.1.            Sunaikinimas apibrėžiamas kaip fizinis ar techninis veiksmas, kuriuo dokumente esantys duomenys padaromi neatkuriamais įprastinėmis komerciškai prieinamomis priemonėmis.
8.2.            Elektronine forma saugomi Asmens duomenys sunaikinami juos ištrinant be galimybės atkurti.
8.3.            Popieriniai dokumentai, kuriuose yra Asmens duomenų, susmulkinami, o likučiais saugiu būdu atsikratoma.

 

9.                  DUOMENŲ SUBJEKTŲ TEISĖS

9.1.            Duomenų subjektas BDAR nustatyta tvarka gali įgyvendinti šias teises:
9.1.1.        Teisė būti informuotam;

9.1.2.        Prieigos teisė;

9.1.3.        Ištrynimo teisė;

9.1.4.        Teisė į patikslinimą;

9.1.5.        Teisė apriboti duomenų tvarkymą;

9.1.6.        Teisė į duomenų perkeliamumą;

9.1.7.        Teisė prieštarauti duomenų tvarkymui;

9.1.8.        Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu.

9.2.            Teisės, nurodytos Politikos 9.1.2 – 9.1.8 punktuose, įgyvendinamos pagal Duomenų subjektų prašymų vykdymo procedūrą (Politikos priedas Nr. 1), kuri sudaro geresnes sąlygas būtinus veiksmus atlikti per BDAR nustatytus laikotarpius.
9.3.            Aukščiau nurodyti ir BDAR įtvirtinti laikotarpiai yra tokie:
Duomenų subjekto prašymas Laikotarpis
Teisė būti informuotam

 

Kai duomenys surenkami (jei pateikti Duomenų subjekto) arba per vieną mėnesį (jei pateikti ne Duomenų subjekto)
Prieigos teisė Vienas mėnuo
Teisė į patikslinimą Vienas mėnuo
Ištrynimo teisė Nepagrįstai nedelsiant
Teisė apriboti duomenų tvarkymą Nepagrįstai nedelsiant
Teisė į duomenų perkeliamumą Vienas mėnuo
Teisė prieštarauti duomenų tvarkymui Gavus prieštaravimą
Teisės, susijusios su automatiniu sprendimų priėmimu ir profiliavimu Nenurodyta
9.4.            Duomenų valdytojas turi informuoti Duomenų subjektus apie jų teises aiškia,  glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.
9.5.            Duomenų valdytojas turi teisę motyvuotai atsisakyti leisti Duomenų subjektui įgyvendinti jo teises arba imti pagrįstą mokestį esant BDAR 12 straipsnio 5 d. (b) punkte numatytoms aplinkybėms.

 

10.              SUTIKIMAS

10.1.        Jei tvarkymui nėra kito pagrindo, nustatyto BDAR arba ADTAĮ, iš Duomenų subjekto turi būti gautas aiškiai išreikštas sutikimas tam, kad būtų galima rinkti ir tvarkyti jo asmens duomenis.
10.2.         Duomenų valdytojas turi turėti galimybę parodyti, kad Duomenų subjektas davė nedviprasmišką (o Specialių kategorijų asmens duomenų tvarkymo atveju – ir aiškiai išreikštą) sutikimą tvarkyti jo Asmens duomenis.
10.3.         Duomenų valdytojas turi turėti galimybę įrodyti, kad Duomenų subjekto sutikimas yra paremtas jo tikru ir laisvu pasirinkimu. Tai reiškia, kad sutarties vykdymas, įskaitant paslaugos teikimą, nebus paremtas sąlyga duoti sutikimą Duomenų tvarkymui, kuris nėra reikalingas tos sutarties vykdymui.
10.4.         Duomenų valdytojas turi turėti galimybę įrodyti, kad Duomenų subjektas davė sutikimą tvarkyti jo Asmens duomenis vienu ar daugiau konkrečių tikslų.
10.5.         Duomenų valdytojo iš anksto suformuluotas Duomenų subjekto sutikimo pareiškimas pateikiamas suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba.
10.6.         Duomenų valdytojas turi turėti galimybę įrodyti, kad Duomenų tvarkymas yra ribojamas pagal aiškiai išreikštą Duomenų subjekto sutikimą.
10.7.         Tuo atveju, jei Duomenų valdytojas negali užtikrinti, kad Duomenų subjekto sutikimas atitiks šiame skyriuje ir/ar BDAR nurodytus reikalavimus, pasirenkamas alternatyvus teisėto Duomenų tvarkymo pagrindas.

 

11.              DUOMENŲ PERDAVIMAS Į TREČIĄSIAS ŠALIS AR TARPTAUTINĖMS ORGANIZACIJOMS

11.1.        Asmens duomenys gali būti perduodami į trečiąją šalį arba tarptautinei organizacijai, kurios teisinis reglamentavimas Europos Komisijos pripažintas užtikrinančiu adekvatų Asmens duomenų apsaugos lygį. Perdavimas į adekvatų subjektą gali vykti be jokio papildomo Komisijos ar valstybių narių leidimo.
11.2.        Asmens duomenys į trečiąsias šalis arba tarptautinėms organizacijoms taip pat gali būti perduodami pritaikius vieną ar daugiau iš žemiau nurodytų tinkamų apsaugos priemonių:
11.2.1.    Įmonėms privalomos taisyklės.
11.2.2.    Standartinės sutarčių sąlygos dėl duomenų apsaugos, priimtos Komisijos.
11.2.3.    Standartinės sutarčių sąlygos dėl duomenų apsaugos, priimtos Priežiūros institucijos, arba Priežiūros institucijos pripažintos sutarties sąlygos.
11.2.4.    Patvirtintas elgesio kodeksas, apibrėžiantis tarptautinį duomenų perdavimą.
11.2.5.    Sertifikavimas, apsaugos ženklai ir/arba žymenys, kuriuos galima panaudoti pademonstruoti duomenų tvarkytojo ar valdytojo laikymąsi nustatytų duomenų apsaugos priemonių.
11.3.        Aukščiau nurodytos apsaugos priemonės yra detalizuojamos BDAR.

 

12.              DUOMENŲ APSAUGOS PAREIGŪNAS

12.1.        Pagal BDAR 37 str. 1 dalį, privaloma turėti duomenų apsaugos pareigūną tada, valdytojo ar tvarkytojo pagrindinę veiklą sudaro duomenų tvarkymo operacijos, kurioms atlikti reikia reguliariai ir sistemingai stebėti duomenų subjektus dideliu mastu, arba kai duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu.
12.2.        Atsižvelgiant į tai, kad Duomenų valdytojo pagrindinė veikla apima specialių kategorijų Asmens duomenų (Duomenų apie sveikatą) tvarkymą dideliu mastu juos laikant susistemintame rinkinyje, tačiau Duomenys netvarkomi automatiniu būdu, Duomenų valdytojas neprivalo paskirti Duomenų apsaugos pareigūno.

 

13.              ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į TOKIUS PAŽEIDIMUS TVARKA

13.1.        Duomenų valdytojo Darbuotojai, turintys prieigos teisę prie Duomenų, pastebėję Duomenų saugumo pažeidimus (asmenų neveikimą ar veiksmus, galinčius sukelti ar sukeliančius grėsmę Duomenų saugumui), turi informuoti Atsakingą darbuotoją ir (ar) savo tiesioginį vadovą.
13.2.        Įvertinę Duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, vadovaudamiesi Reagavimo į asmens duomenų saugumo pažeidimus procedūra (Politikos priedas Nr. 2), Atsakingi darbuotojai priima sprendimus dėl priemonių, reikiamų Duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

 

14.              ASMENS DUOMENŲ TVARKYMO SUTARTIMS KELIAMI REIKALAVIMAI

14.1.        Sudarydamas sutartį su duomenų tvarkytoju, Duomenų valdytojas turi įtraukti nuostatas, apimančias šią informaciją:
14.1.1.           Duomenų tvarkymo dalykas;
14.1.2.           Duomenų tvarkymo trukmė;
14.1.3.           Duomenų tvarkymo pobūdis;
14.1.4.           Duomenų tvarkymo tikslai;
14.1.5.           Duomenų rūšys;
14.1.6.           Duomenų subjektų kategorijos;
14.1.7.           Šalių teisės ir pareigos, kylančios iš asmens duomenų apsaugos teisinio reguliavimo;
14.1.8.          Duomenų tvarkytojo įsipareigojimas veikti tik pagal rašytinius valdytojo nurodymus. Duomenų tvarkytojui paliekama teisė priimti veiklos ir organizacinius sprendimus, būtinus sutartos paslaugos suteikimui tiek, kiek tai nepakeičia duomenų tvarkymo tikslų.;

14.1.9.           Duomenų tvarkytojo darbuotojų konfidencialumo įsipareigojimai. Sutartyje turi būti numatyta, kad tvarkytojas užtikrina, jog darbuotojai, tvarkantys asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą, išskyrus atvejus, kai tokią pareigą jie jau turi pagal teisės aktus.;

14.1.10.        Duomenų tvarkymo saugumo priemonės. Duomenų tvarkytojas sutartimi turi įsipareigoti užtikrinti saugumo lygį, atitinkantį duomenų pobūdį ir su jais siejamos grėsmės lygį;
14.1.11.        Kitų duomenų tvarkytojų pasitelkimas. Duomenų tvarkytojas turi būti įpareigotas pasitelkti kitus duomenų tvarkytojus tik gavęs išankstinį duomenų valdytojo sutikimą ir sudaręs su kitu tvarkytoju rašytinę sutartį, kuriai keliami tokie patys reikalavimai kaip ir sutarčiai, sudaromai su pagrindiniu tvarkytoju;
14.1.12.        Pagalba įgyvendinant Duomenų subjektų teises;
14.1.13.        Pagalba teikiant pranešimus apie Duomenų saugumo pažeidimus. Duomenų tvarkytojas turi įsipareigoti nedelsdamas informuoti duomenų valdytoją sužinojęs apie bet kokį asmens duomenų saugumo pažeidimą;
14.1.14.        Pagalba atliekant poveikio duomenų apsaugai vertinimą;
14.1.15.        Pagalba konsultuojantis su priežiūros institucija;
14.1.16.        Duomenų ištrynimo ir grąžinimo tvarka. Sutartyje būtina numatyti, kas nutinka pas duomenų tvarkytoją esantiems duomenims nutraukus sutartį, nes tvarkytojas juos toliau saugoti gali tik tada, jei tai nustato Europos Sąjungos arba nacionalinė teisė;
14.1.17.        Atitikties įrodinėjimo būdas(-ai);
14.1.18.        Auditavimo galimybė.
14.2.        Aukščiau nurodytos nuostatos gali būti tiek įtraukiamos į pagrindinę sutartį, tiek ir aptariamos atskirame susitarime dėl perduodamų Asmens duomenų saugumo.

15.              TECHNINĖS IR ORGANIZACINĖS ASMENS DUOMENŲ SAUGUMO PRIEMONĖS

15.1.        Duomenų valdytoje įgyvendinamos organizacinės ir techninės duomenų saugumo priemonės užtikrina tokį saugumo lygį, kuris atitinka Duomenų valdytojo valdomų duomenų pobūdį ir jų tvarkymo keliamą riziką.
15.2.        Popierinės formos darbuotojų asmens bylos, Pacientų Asmens sveikatos istorijos, gauti tyrimų rezultatai ir kiti dokumentai, kuriuose yra Duomenų apie sveikatą, saugomi rakinamoje patalpoje.
15.3.        Prieiga prie Duomenų bei teisė atlikti duomenų tvarkymo veiksmus suteikiama tik tiems Atsakingiems darbuotojams, kuriems prieiga prie asmens duomenų reikalinga pagal užimamas pareigas ir atliekamas darbines funkcijas.
15.4.        Siekiant apsaugoti automatiniu būtu tvarkomus Duomenis, naudojamos tokios techninės duomenų saugumo priemonės:
15.4.1.           Atsakingi darbuotojai prieigai prie Duomenų naudoja unikalius slaptažodžius, kurie keičiami ir saugomi užtikrinant jų konfidencialumą;
15.4.2.           Užtikrinama tvarkomų Asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis;
15.4.3.           Užtikrinamas saugių protokolų ir slaptažodžių naudojimas, kai Asmens duomenys perduodami išoriniais duomenų perdavimo tinklais;
15.4.4.           Užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).
15.5.        Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kuriomis užtikrina, kad standartizuotai būtų tvarkomi tik tie Asmens duomenys, kurie yra būtini kiekvienam konkrečiam Duomenų tvarkymo tikslui. Ta prievolė taikoma surinktų Asmens duomenų kiekiui, jų tvarkymo apimčiai, jų saugojimo laikotarpiui ir jų prieinamumui. Visų pirma tokiomis priemonėmis užtikrinama, kad standartizuotai be fizinio asmens įsikišimo su Asmens duomenimis negalėtų susipažinti neribotas fizinių asmenų skaičius.
15.6.        Duomenų valdytojas imasi reikiamų atsargumo priemonių išsaugoti Duomenų subjektų asmens duomenų vientisumą ir neleisti, kad šie duomenys būtų sugadinti ar prarasti, įskaitant rūpinimąsi reikiamu duomenų atstatymu.

 

16.              DARBUOTOJŲ MOKYMAS

16.1.        Duomenų valdytojas esant poreikiui vykdo Mokymus Darbuotojams, turintiems teisę nuolat ar reguliariai susipažinti su Asmens duomenimis.
16.2.        Mokymai turėtų atitikti Darbuotojų veiklos realijas.
16.3.        Mokymų turinys turi padėti Darbuotojams vykdyti savo darbines pareigas laikantis BDAR ir kituose Asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
16.4.        Mokymai yra dokumentuojami, nurodant, be kita ko, jų datą, temą, dalyvavusius darbuotojus ir paskesnio tyrimo rezultatus (jei šis buvo atliekamas).

 

17.              KOMPIUTERINĖS ĮRANGOS NAUDOJIMAS
17.1.        Kompiuterinė įranga gali būti bendrai naudojama visų Duomenų valdytojo Darbuotojų, jų grupės arba priskirta konkrečiam darbuotojui. Kompiuterine įranga, įprastai naudojama konkretaus Darbuotojo, gali pasinaudoti ir kiti Duomenų valdytojo Darbuotojai, jei susiklosčiusios aplinkybės sudaro būtinybę naudotis šia Kompiuterine įranga darbo funkcijų atlikimui.
17.2.        Darbuotojui draudžiama ardyti, išmontuoti ar kitaip keisti kompiuterinę įrangą. Darbuotojui taip pat draudžiama į Kompiuterinę įrangą siųstis, įdiegti programinę įrangą, atidaryti nepaisant draudimo atsisiųstas ir/ar įdiegtas programas.
17.3.        Griežtai draudžiama Kompiuterinę įrangą naudoti bet kokiais tikslais, nesusijusiais su tiesioginiu darbo funkcijų vykdymu, tiek darbo metu, tiek po darbo (įskaitant, bet neapsiribojant asmeninės informacijos, kitų failų, nesusijusių su darbo funkcijomis (muzikos, žaidimų, vaizdo įrašų, paveikslėlių ir kt.) saugojimu kompiuteryje). Draudžiama Kompiuterinę įrangą naudoti naršymui interneto svetainėse, nesusijusiose su tiesioginių darbo funkcijų vykdymu. Kompiuterinė įranga, tame tarpe Darbuotojui suteikta elektroninio pašto dėžutė, gali būti naudojama tik darbo funkcijų vykdymo tiksliais.
17.4.        Darbuotojui draudžiama suteiktu el. paštu bei kitomis elektroninės komunikacijos priemonėmis naudotis asmeninėms reikmėms, t.y. į suteiktą el. pašto adresą Darbuotojas negali gauti su darbo funkcijomis nesusijusių ir/arba asmeninių laiškų bei failų. Taip pat Darbuotojui draudžiama iš suteikto el. pašto adreso siųsti su darbo funkcijomis nesusijusią ir (arba) asmeninę bei privačią informaciją, ar kitokią informaciją, susijusią su darbuotojo šeimos nariais ar kitais giminaičiais, jeigu tai nesusiję su tinkamu darbo funkcijų atlikimu.
17.5.        Darbuotojams draudžiama naudotis Kompiuterine įranga sukčiavimo, su darbo funkcijomis nesusijusios reklamos ir asmeninės finansinės naudos tikslais, žiūrėti, kaupti, platinti, atsisiųsti nelegalius įrašus, programas ir informaciją, naudotis dokumentų mainų programomis, parsisiųsti ar žaisti kompiuterinius žaidimus, naudotis bendravimo internetu ar socialinių tinklų programomis ar tinklapiais.
17.6.        Jeigu elektroninės pašto dėžutės (elektroninio laiško arba laiško prisegtuko) turinys Darbuotojui yra neaiškus, nesuprantamas arba neatsidaro, Darbuotojas privalo nedelsiant kreiptis į Atsakingą asmenį bei nurodyti, kas neaišku, nesuprantama ar neatsidaro. Darbuotojas neturi teisės darbo metu ar po darbo, naudodamasis Kompiuterine įranga, tikrinti savo asmeninio el. pašto ar kitų elektroninės komunikacijos programų, priemonių.
17.7.        Apie gedimus ar trikdžius, kurie buvo patirti naudojant Kompiuterinę įrangą, nedelsiant turi būti pranešama.
17.8.        Duomenų valdytojui pareikalavus arba kai darbo sutartis yra nutraukiama (pastaruoju atveju ne vėliau kaip darbo sutarties nutraukimo dieną), Darbuotojas privalo nedelsdamas grąžinti Duomenų valdytojui visą Kompiuterinę įrangą. Įranga ją grąžinant privalo būti geros būklės (atsižvelgiant į normalų nusidėvėjimą), įskaitant ir nematerialų turtą (tame tarpe ir informaciją, susijusią su Kompiuterine įranga arba joje esančią).
17.9.        Naudojantis Kompiuterine įranga Darbuotojams griežtai draudžiama skleisti Duomenų valdytojo konfidencialią informaciją ar komercinę paslaptį internete (elektroniniuose puslapiuose, elektroniniu paštu) ar perduoti tokią informaciją tretiesiems asmenimis, kurie neturi teisės susipažinti su tokia informacija. Bet kokie iš aukščiau nurodytų veiksmų, taip pat tokios informacijos persiuntimas į savo asmeninį el. paštą, tokios informacijos nusikopijavimas asmeninėms reikmėms ar kitoks platinimas neturint Duomenų valdytojo leidimo, laikomas šiurkščiu darbo pareigų pažeidimu.
17.10.    Už Kompiuterinės įrangos kasdienę priežiūrą atsakingas šią įrangą naudojantis Darbuotojas.
17.11.    Kompiuterinės įrangos gedimai šalinami iš karto juos pastebėjus. Darbuotojams, neturintiems reikiamo parengimo, draudžiama bandyti savarankiškai šalinti kompiuterinės įrangos gedimus. Jie turi nedelsiant pranešti apie gedimą/trikdžius Kompiuterinės įrangos priežiūrą atliekančiam asmeniui.
17.12.    Kompiuterinės įrangos draudimą ir apžiūrą organizuoja Duomenų valdytojo paskirtas asmuo.

18.              ATSAKOMYBĖ

18.1.        Darbuotojams, kurie pažeidžia BDAR, VDAĮ ar kitus teisės aktus, reglamentuojančius Asmens duomenų tvarkymą bei apsaugą, arba Politikoje nurodytas pareigas, taikoma Lietuvos Respublikos teisės aktų nustatyta atsakomybė.

 

19.              BAIGIAMOSIOS NUOSTATOS

19.1.        Politika peržiūrima ir gali būti keičiama kartą per kalendorinius metus Duomenų valdytojo iniciatyva ir (arba) keičiantis teisės aktams, reguliuojantiems Asmens duomenų tvarkymą.
19.2.        Politika ir jos pakeitimai įsigalioja nuo jų patvirtinimo dienos. Darbuotojai su Politika ir jos pakeitimais supažindinami pasirašytinai.

 

20.              POLITIKOS PRIEDAI

20.1.        Su Politika kaip neatskiriama jos dalis kartu taikytini šie priedai:
20.1.1.         Duomenų subjekto prašymo vykdymo procedūra.
20.1.2.         Reagavimo į asmens duomenų saugumo pažeidimus procedūra.

20.1.3.         Asmens duomenų teikimo ir asmens duomenų tvarkymo susitarimas.

20.2.        Esant poreikiui, gali būti priimami papildomi priedai.