Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) 24 straipsnio 1 dalimi ir siekdamas, kad sveikatos priežiūros įstaigos pasirengtų reikiamą dokumentaciją asmens duomenų apsaugos srityje:

1. T v i r t i n u Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis sveikatos priežiūros įstaigos informacinėje sistemoje pavyzdinį tvarkos aprašą (pridedama).

2. R e k o m e n d u o j u Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis sveikatos priežiūros įstaigos informacinėje sistemoje pavyzdiniu tvarkos aprašu vadovautis sveikatos priežiūros įstaigoms rengiant įstaigos duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis sveikatos priežiūros įstaigos valdomoje informacinėje sistemoje tvarkos aprašą.

Sveikatos apsaugos ministras                                                                                           Arūnas Dulkys

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2022-09-08 raštu Nr. 2R-4503 (3.2.Mr)

1. Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis sveikatos priežiūros įstaigos informacinėje sistemoje pavyzdinis tvarkos aprašas (toliau – Aprašas) nustato duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis sveikatos priežiūros įstaigos (toliau – SPĮ) valdomoje informacinėje sistemoje (toliau – IS) tvarką.

2. Įgyvendinant duomenų subjektų teises, vadovaujamasi 2016  m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Aprašu.

3. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.

4. Duomenų subjekto teises Aprašo nustatyta tvarka įgyvendina SPĮ. Jei dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas kreipiasi į SPĮ, SPĮ privalo išnagrinėti duomenų subjekto prašymą.

5. Informacija apie SPĮ IS esančių asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 straipsnyje, duomenų subjektui gali būti pateikiama raštu, telefonu, elektroninių ryšių priemonėmis asmens duomenų gavimo metu, SPĮ internetinėje svetainėje, SPĮ informacinėje sistemoje. [Pastaba. SPĮ rengiant Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis sveikatos priežiūros įstaigos valdomoje informacinėje sistemoje tvarkos aprašą, šiame punkte turi būti pateikta nuoroda į konkrečią SPĮ interneto svetainės skiltį, kur tokia informacija bus skelbiama].

6. Asmens duomenų rinkimo iš duomenų subjektų atveju duomenų subjektams informacija apie asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu tokiu būdu, kokiu duomenų subjektas kreipiasi į SPĮ, išskyrus atvejus, kai duomenų subjektas prašo atsakymą pateikti kitu būdu. Duomenų subjekto teisė gauti informaciją gali būti įgyvendinta tik tiek, atsižvelgiant į tai, kiek tos informacijos duomenų subjektas jau turi. Duomenų subjekto teisė gauti informaciją gali būti neįgyvendinta, kai duomenų subjektas tokią informaciją jau turi.

7. Kai duomenų subjekto asmens duomenys renkami ne iš duomenų subjekto, informacija, nurodyta Reglamento (ES) 2016/679 14 straipsnio 1 ir 2 dalyje, duomenų subjektui neteikiama Reglamento (ES) 2016/679 14 straipsnio 5 dalies c punkte nustatytu pagrindu. [Pastaba. SPĮ, rengdama Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis sveikatos priežiūros įstaigos valdomoje informacinėje sistemoje tvarkos aprašą, turi nurodyti konkretų (-ius) teisės aktą (-us), nustatantį (-ius) tokią pareigą].

8. Duomenų subjektui pateikus prašymą susipažinti su savo asmens duomenimis, tvarkomais SPĮ IS (toliau – prašymas ), SPĮ turi pateikti:

9. Kai duomenų subjektas prašymą susipažinti su asmens duomenimis pateikia elektroninėmis priemonėmis, informacija ir (ar) asmens duomenų kopija pateikiama SPĮ turima elektronine forma, išskyrus, kai duomenų subjektas paprašo ją pateikti kitaip.

10. SPĮ, įgyvendindamas duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą, taip pat negali būti daromas neigiamas poveikis kitų asmenų teisėms ir laisvėms, kaip kad tai numato Reglamentas (ES) 2016/679. Jeigu duomenų^[1], kurie teikiami duomenų subjektui, kopijose yra trečiųjų asmenų asmens duomenys, jie, kai būtina, turi būti užtušuoti, teikiamas šių dokumentų išrašas arba imamasi kitų priemonių, kad duomenų subjektui nebūtų pateikti trečiųjų asmenų asmens duomenys.

11. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad SPĮ tvarkomi netikslūs jo asmens duomenys būtų ištaisyti, o neišsamūs – papildyti.

12. Siekdamas įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, SPĮ gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus. Jei duomenų subjektas per __ darbo dienas nuo SPĮ prašymo gavimo dienos nepateikia netikslių ar neišsamių duomenų įrodymų, duomenų subjekto teisė reikalauti ištaisyti asmens duomenis neįgyvendinama ir apie tai Aprašo 36 punkto nustatyta tvarka informuojamas duomenų subjektas.

13. Jeigu duomenų subjekto asmens duomenys, ištaisyti pagal duomenų subjekto prašymą, iki jų ištaisymo buvo perduoti duomenų gavėjams, SPĮ šiuos duomenų gavėjus apie tai informuoja per ___ darbo dienas nuo asmens duomenų ištaisymo momento, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektui jo prašymu SPĮ pateikia informaciją apie duomenų gavėjus, kuriems buvo perduoti asmens duomenys iki jų ištaisymo.

14. Duomenų subjekto teisė reikalauti ištrinti jo asmens duomenis, numatyta Reglamento (ES) 2016/679 17 straipsnio 1 dalies a, d ir e punktų atvejais, įgyvendinama tik tuo atveju, jei asmens duomenys nebėra reikalingi tikslams, kuriems jie buvo renkami arba kitaip tvarkomi SPĮ IS, pasiekti ir tuo atveju, jei duomenys tvarkomi neteisėtai. Duomenų subjekto prašyme turi būti nurodyta, kokiu pagrindu, nurodytu Reglamento (ES) 2016/679 17 straipsnio 1 dalyje, duomenų subjektas prašo jo asmens duomenis ištrinti, pateikiant, kai būtina^[2], tokio pagrindo taikymą pagrindžiančius argumentus.

15. Duomenų subjekto teisė reikalauti ištrinti jo asmens duomenis neįgyvendinama Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.

16. Jeigu duomenų subjekto asmens duomenys, ištrinti duomenų subjekto prašymu, buvo perduoti duomenų gavėjams, SPĮ šiuos duomenų gavėjus apie tai informuoja per ___ darbo dienas nuo asmens duomenų ištrynimo momento, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektui jo prašymu SPĮ pateikia informaciją apie duomenų gavėjus, kuriems buvo perduoti asmens duomenys iki jų ištrynimo.

17. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais SPĮ privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.

18. Priėmus sprendimą apriboti duomenų subjekto asmens duomenų tvarkymą, duomenų subjektas apie tai per ___ dienas informuojamas raštu prašyme nurodytais kontaktais arba kitu duomenų subjekto pasirinktu būdu. Jeigu yra galimybė, duomenų subjektui nurodomas preliminarus laikotarpis, kurio metu bus apribotas jo asmens duomenų tvarkymas.

19. Kai yra priimamas sprendimas panaikinti apribojimą tvarkyti duomenų subjekto asmens duomenis, SPĮ, likus ne mažiau kaip ___ darbo dienoms iki tokio apribojimo panaikinimo, apie tai informuoja duomenų subjekto pasirinktu būdu arba, jei duomenų subjektas jo nenurodė – prašyme nurodytais kontaktais.

20. Jeigu duomenų subjekto asmens duomenys, kurių tvarkymas apribotas pagal duomenų subjekto prašymą, buvo perduoti duomenų gavėjams, SPĮ šiuos duomenų gavėjus apie tai informuoja per ___ darbo dienas nuo asmens duomenų apribojimo momento, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektui jo prašymu SPĮ pateikia informaciją apie duomenų gavėjus, kuriems buvo perduoti asmens duomenys iki jų tvarkymo apribojimo.

21. Asmens duomenys, kurių tvarkymas apribotas, yra tik saugomi. Kiti asmens duomenų tvarkymo veiksmai su apribotais asmens duomenimis nėra atliekami, išskyrus Reglamento (ES) 2016/679 18 straipsnio 2 dalyje nustatytus atvejus.

22. SPĮ IS neatliekamas asmens duomenų tvarkymas, grindžiamas duomenų subjekto sutikimu pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą arba sutartimi pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies b punktą, todėl duomenų subjektui netaikoma teisė į duomenų perkeliamumą pagal Reglamento (ES) 2016/679 20 straipsnį.

23. SPĮ IS neatliekamas asmens duomenų tvarkymas pagal Reglamento (ES) 2016/679 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą, todėl duomenų subjektui netaikoma teisė nesutikti su duomenų tvarkymu pagal Reglamento (ES) 2016/679 21 straipsnį.

24. Duomenų subjektas turi teisę reikalauti, kad nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas pagal Reglamento (ES) 2016/679 22 straipsnį.

25. Duomenų subjektai, siekdami įgyvendinti savo teises, SPĮ turi pateikti prašymą tiesiogiai jam pačiam ar jo atstovui atvykus, paštu, SPĮ internetinėje svetainėje,  SPĮ informacinėje sistemoje.

26. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, asmens kodas, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo (toliau – atsakymas), ir informacija apie tai, kokią iš Aprašo II–IX skyriuose nurodytų teisių ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti. Asmens atstovas prašyme papildomai turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją. Reikalavimas duomenų subjektui pasirašyti prašymą įgyvendinti duomenų subjekto teisę nėra taikomas tais atvejais, kai jis siekia įgyvendinti Aprašo II skyriuje (Reglamento (ES) 2016/679 13–14 straipsniuose) nurodytą teisę gauti informaciją.

27. Pateikdamas prašymą duomenų subjektas ar jo atstovas privalo patvirtinti savo tapatybę:

28. Duomenų subjektui ar jo atstovui Aprašo 27 punkte nustatyta tvarka nepatvirtinus savo asmens tapatybės, duomenų subjekto teisės, išskyrus Aprašo II skyriuje nurodytą teisę, nėra įgyvendinamos.

29. SPĮ turi patvirtinti rekomenduojamą prašymo formą, kuri turi būti skelbiama SPĮ interneto svetainėje. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti SPĮ nurodytos formos prašymą.

30. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į SPĮ duomenų apsaugos pareigūną, kurio kontaktai nurodyti SPĮ interneto svetainėje. [Pastaba. SPĮ rengiant SPĮ Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis sveikatos priežiūros įstaigos valdomoje informacinėje sistemoje tvarkos aprašą, šiame punkte turi būti pateikta nuorodą į konkrečią SPĮ interneto svetainės skiltį, kur tokia informacija bus skelbiama].

31. Duomenų subjektui paprašius, SPĮ duomenų apsaugos pareigūno kontaktai jam turi būti pateikti ir kitais būdais, pavyzdžiui, elektroniniu paštu, telefonu ar kt.

32. Duomenų subjektas turi teisę kreiptis į SPĮ duomenų apsaugos pareigūną ir konfidencialiai. Jei kreipiamasi paštu, ant voko turi būti nurodyta, kad korespondencija skirta SPĮ duomenų apsaugos pareigūnui.

33. SPĮ bet kuriuo atveju turi nepagrįstai nedelsdama, tačiau ne vėliau kaip per 1 mėnesį (jei nėra priežasčių termino pratęsti) nuo prašymo gavimo dienos, išnagrinėti Aprašo reikalavimus atitinkantį prašymą ir įgyvendinti arba atsisakyti įgyvendinti duomenų subjekto teises. SPĮ apie sprendimą pratęsti prašymo nagrinėjimo terminą ir jo priėmimo motyvus ne vėliau kaip per ___ darbo dienas nuo prašymo priėmimo dienos praneša duomenų subjektui ar jo atstovui. Jei duomenų subjekto prašymas tenkinamas iš dalies, duomenų subjektas turi būti informuojamas apie tai, kokia dalimi prašymas yra tenkinamas ir pateikiami argumentai, pagrindžiantys sprendimą kitos prašymo dalies netenkinti.

34. Jei kartu su prašymu pateikta ne visa ir (ar) netiksli informacija arba prašymas neatitinka kitų Aprašo X skyriuje nustatytų reikalavimų, SPĮ ne vėliau kaip per ___ darbo dienas nuo prašymo gavimo dienos prašymą pateikusiam asmeniui nurodo nustatytus trūkumus ir informuoja, kad per ___ dienų nuo prašymą pateikusio asmens informavimo apie nustatytus trūkumus dienos nepašalinus trūkumų, išskyrus numatytas išimtis, duomenų subjekto prašymas dėl Aprašo II–IX skyriuose nurodytų duomenų subjekto teisių įgyvendinimo nebus nagrinėjamas. Duomenų subjekto neprašoma patikslinti informacijos tais atvejais, kai iš pateiktos informacijos galima aiškiai nustatyti, kokia apimtimi yra prašoma įgyvendinti jo teises. Trūkumų šalinimo laikas į Aprašo 33 punkte nurodytą terminą neįskaičiuojamas.

35. Prašymai nenagrinėjami ir grąžinami juos pateikusiam asmeniui nurodant grąžinimo priežastis šiais atvejais:

36. SPĮ apie duomenų subjekto teisių neįgyvendinimą ar jų ribojimą, to priežastis ir tokio sprendimo apskundimo tvarką ne vėliau kaip per 1 mėnesį nuo prašymo gavimo dienos informuoja duomenų subjektą, nebent tokį informavimą draustų teisės aktai. Prašymo nagrinėjimas sustabdomas iki baigsis nustatyto laikino duomenų subjekto teisių ribojimo terminas, o pasibaigus šiam terminui – prašymo nagrinėjimas atnaujinamas ir apie tai informuojamas duomenų subjektas. 

37. SPĮ atsakymą duomenų subjektui pateikia valstybine kalba duomenų subjekto pasirinktu būdu: registruotu paštu, įteikiant asmeniškai ar elektroninėmis priemonėmis. Jei duomenų subjektas pasirinko atsakymo pateikimą įteikiant asmeniškai ar elektroninėmis priemonėmis, tačiau SPĮ dėl objektyvių priežasčių to negali padaryti, SPĮ atsakymą pateikia registruotu paštu. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija jam pateikiama, jei įmanoma, elektroninėmis priemonėmis, išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.

38. SPĮ visus veiksmus pagal duomenų subjekto prašymus atlieka ir informaciją teikia nemokamai. Kai duomenų subjekto prašymai yra neproporcingi dėl jų pasikartojančio turinio (jais prašoma dėl tų pačių asmens duomenų įgyvendinti tas pačias duomenų subjekto teises, kurios jau įgyvendintos arba jas pagrįstai atsisakyta įgyvendinti pagal ankstesnius jo prašymus, nebent po vėliausio prašymo pateikimo praėjo ne mažiau nei 5 mėnesiai) arba kai atsakymui pateikti reikėtų sukurti dokumentus ar informacijos rinkmenas ir tai būtų susiję su neproporcingai didelėmis SPĮ darbo ir laiko sąnaudomis, SPĮ gali imti atlygį, kurio dydis nustatomas atsižvelgiant į informacijos teikimo, pranešimų ir veiksmų, kurių prašoma, administracines išlaidas, arba gali atsisakyti nagrinėti prašymą ir apie tai informuoti duomenų subjektą Aprašo 36 punkto nustatyta tvarka.

39. SPĮ privalo ne rečiau nei 1 kartą per 2 metus peržiūrėti Aprašą bei prireikus jį pasikoreguoti pagal pasikeitusią situaciją.

40. SPĮ veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas, jo atstovas ir duomenų subjekto įgaliota pelno nesiekianti įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, turi teisę skųsti Valstybinei duomenų apsaugos inspekcijai ir teismui.

41. Duomenų subjektas turi teisę kreiptis į teismą dėl žalos, kilusios dėl duomenų subjekto teisių pažeidimo, atlyginimo.

42. SPĮ privalo įvertinti šiame Apraše nustatytas taisykles ir jas pritaikyti pagal faktines asmens duomenų tvarkymo operacijas, t. y. SPĮ atlieka savo operacijų vertinimą ir pati nusprendžia, ar reikia keisti Aprašo nuostatas pagal esamą situaciją.