LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL SVEIKATOS PRIEŽIŪROS ĮSTAIGOS ASMENS DUOMENŲ TVARKYMO PAVYZDINIŲ TAISYKLIŲ PATVIRTINIMO
2017 m. lapkričio 30 d. V-1371
Vilnius
Vadovaudamasis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 30 straipsniu ir vykdydamas Valstybinio audito „Elektroninės sveikatos sistemos kūrimas“ rekomendacijų įgyvendinimo priemonių plano, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2017 m. gegužės 29 d. įsakymu Nr. V-618 „Dėl Valstybinio audito „Elektroninės sveikatos sistemos kūrimas“ rekomendacijų įgyvendinimo priemonių plano patvirtinimo“, 6.1 priemonę:
1. T v i r t i n u pridedamas Sveikatos priežiūros įstaigos asmens duomenų tvarkymo pavyzdines taisykles.
2. R e k o m e n d u o j u sveikatos priežiūros įstaigoms rengiant įstaigos asmens duomenų tvarkymo taisykles vadovautis Sveikatos priežiūros įstaigos asmens duomenų tvarkymo pavyzdinėmis taisyklėmis.
PATVIRTINTA
Lietuvos Respublikos sveikatos apsaugos ministro
2017 m. lapkričio 30 d. įsakymu Nr. V-1371
SVEIKATOS PRIEŽIŪROS ĮSTAIGOS
ASMENS DUOMENŲ TVARKYMO PAVYZDINĖS TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. ___________________(nurodomas Sveikatos priežiūros įstaigos (toliau – SPĮ) pavadinimas) asmens duomenų tvarkymo taisyklės (toliau — Taisyklės) reguliuoja fizinių asmenų (toliau — Duomenų subjektas) asmens duomenų tvarkymo tikslus, nustato Duomenų subjekto teisių įgyvendinimo tvarką, įtvirtina organizacines ir technines duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojo pasitelkimo atvejus, įtvirtina (nurodomas SPĮ pavadinimas) registravimo asmens duomenų valdytoju tvarką.
2. Šios Taisyklės parengtos remiantis:
2.4. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo ir registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“;
2.5. Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu „Dėl asmens duomenų valdytojų valstybės registro reorganizavimo, registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą automatiniu būdu tvarkos patvirtinimo“;
2.6. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1 T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;
3. Taisyklėse vartojamos sąvokos atitinka ADTAĮ vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti ADTAĮ taikymo srities bei prieštarauti ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.
4. Šios Taisyklės taikomos tvarkant Duomenų subjekto duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: pacientų ligos istorijas, ambulatorines korteles, kartotekas, bylas, sąvadus ir kita. Šios Taisyklės taip pat nustato ________________ (nurodomas SPĮ pavadinimas) darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
5. Šių Taisyklių reikalavimai privalomi visiems __________________ (nurodomas SPĮ pavadinimas) darbuotojams (toliau - Darbuotojai) , kurie tvarko ____________ (nurodomas SPĮ pavadinimas) esančius asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami _____________ (nurodomas SPĮ pavadinimas) duomenų tvarkymo paslaugas, sužino ir tvarko asmens duomenis.
6. Duomenų valdytojas – ____________________ (nurodomas duomenų valdytojo pavadinimas, kodas, adresas).
II SKYRIUS
ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI
8. Tvarkant asmens duomenis laikomasi asmens duomenų tvarkymo reikalavimų:
8.1. asmens duomenys renkami apibrėžtais ir teisėtais tikslais ir toliau negali būti tvarkomi tikslais, nesuderinamais su nustatytaisiais prieš renkant asmens duomenis;
8.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymą;
8.5. asmens duomenys saugomi tokia forma, kad Duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
9. _________________ (nurodomas SPĮ pavadinimas) Duomenų subjektų asmens duomenys tvarkomi _______________________ tikslais (nurodomi tikslai pagal teisės aktus, reglamentuojančius kokius asmens duomenis turi tvarkyti sveikatos priežiūros įstaigos teikdamos sveikatos priežiūros paslaugas);
III SKYRIUS
DUOMENŲ VALDYTOJO IR TVARKYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS
11. Duomenų valdytojas _____________(nurodomas SPĮ pavadinimas, juridinio asmens kodas). Duomenų valdytojas nustato asmens duomenų tvarkymo tikslus ir priemones, vykdo funkcijas, numatytas _____________ (nurodomas SPĮ pavadinimas) informacinės sistemos nuostatų, patvirtintų _____________ nurodomas SPĮ pavadinimas) įsakymu Nr.___, (toliau — Nuostatai) _____ punkte (nurodomas Nuostatų punktas).
Duomenų valdytojas turi šias teises:
12. Duomenų valdytojas turi šias pareigas:
12.1. užtikrinti, kad būtų laikomasi ADTAĮ ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;
12.3. užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;
13. Duomenų valdytojas atlieka šias funkcijas:
13.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;
13.2. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;
14. Duomenų tvarkytojas _________________ (nurodomas pavadinimas, juridinio asmens kodas) turi teises ir pareigas bei vykdo funkcijas, numatytas duomenų tvarkymo sutartyje.
15. Duomenų tvarkytojas turi šias teises:
15.1. teikti duomenų valdytojui pasiūlymus dėl duomenų tvarkymo techninių ir programinių priemonių gerinimo;
16. Duomenų tvarkytojas turi šias pareigas:
16.1. įgyvendinti tinkamas organizacines ir technines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo apsaugoti;
16.3. užtikrinti, kad prieiga prie asmens duomenų būtų suteikta tik Taisyklėse nustatyta tvarka įgaliotiems asmenims;
16.5. kad, asmens duomenys būtų tvarkomi vadovaujantis Taisyklėmis, ADTAI ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;
16.6. saugoti asmens duomenų paslaptį, neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija, tiek įstaigoje, tiek už jos ribų;
IV SKYRIUS
DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO TVARKA
18. Duomenų subjektai turi teisę:
18.3. reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant įstatymo nuostatų;
19. Duomenų subjekto teisių įgyvendinimo tvarka:
19.1. ____________ (nurodomas SPĮ pavadinimas) padaliniai, kuriuose renkami ir tvarkomi Duomenų subjekto duomenys, privalo sudaryti sąlygas Duomenų subjektui įgyvendinti pirmiau nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veiklų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitu asmenų teisių ir laisvių apsaugą;
19.2.____________ (nurodoma, kokiu būdu yra pateikiama informacija apie asmens duomenų tvarkymą duomenų subjektams įgyvendinant ADTAĮ 23 straipsnio 1 dalies 1 punkte numatytą teisę, kai duomenų subjektas savo teises įgyvendina per atstovą);
19.3. ______________ (nurodoma, kokius reikalavimus turi atitikti duomenų subjekto prašymas, kokia kalba pateikiama informacija, kokiu būdu ji yra pateikiama (registruotu paštu, įteikiant asmeniškai ir pan.);
19.4. ___________ (nurodoma, kaip įgyvendinama duomenų subjekto teisė nesutikti (pavyzdžiui, nurodoma, kad ši teisė įgyvendinama tuo atveju, kai asmens duomenys tvarkomi vadovaujantis ADTAĮ 5 straipsnio 1 dalies 5 ir (ar) 6 punktais ir kad ji yra įgyvendinama prieš atliekant asmens duomenų tvarkymo veiksmus);
19.5. ___________(nurodomas terminas, per kurį duomenų subjektas turi teisę išreikšti savo nesutikimą;
19.6. ___________ (nurodoma, kaip elgiamasi, jeigu duomenų subjektas per duomenų valdytojo nustatytą terminą šia teise nepasinaudoja, ir kokiu būdu ši teisės įgyvendinama);
20. Duomenų subjekto teisė susipažinti su savo tvarkomais duomenimis (nurodomas SPĮ pavadinimas) įgyvendinama šia tvarka: ________________________________________.
V SKYRIUS
ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS
22. ______________ (nurodomas SPĮ pavadinimas) organizacinės ir techninės duomenų saugumo priemonės turi užtikrinti trečiąjį automatiniu būdu tvarkomu asmens duomenų saugumo lygį.
23. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės:
23.1. _______________ (nurodomas SPĮ pavadinimas) įsakymu paskiriamas duomenų valdymo įgaliotinis ir informacinės sistemos administratorius;
23.2. tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonių. Už priemonių įgyvendinimą ir priežiūrą atsako ______________ (nurodomas padalinys)/asmuo);
23.3. griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis. Už priemonės įgyvendinimą ir priežiūrą atsako _______________________(nurodomas padalinys)/asmuo);
24. Duomenų valdytojas ir duomenų tvarkytojai privalo užtikrinti Bendruosiuose reikalavimuose organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintuose VDAI direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-12 (1.12), ir Asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gairėse numatytas saugumo priemones.
VI SKYRIUS
ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS
25. Tais atvejais, kai __________ (nurodomas SPĮ pavadinimas) įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp _____________ ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.
26. Sprendimą perduoti Duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui atitinkamo ____________ (nurodomas SPĮ pavadinimas) padalinio teikimu priima ___________ (nurodomas SPĮ pavadinimas) vadovas.
27. Teikimą pasitelkti Duomenų tvarkytoją vykdžiusio _____________ (nurodomas SPĮ pavadinimas) padalinio vadovas privalo parinkti toki Duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.
28. ______________ (nurodomas SPĮ pavadinimas), sutartyje įgaliodama Duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas duomenų valdytojo vardu. Duomenų tvarkytojai, kurie tvarko Duomenų
subjekto duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su Duomenų subjekto duomenimis susijusią informaciją, su kuria jie susipažino vykdydami duomenų tvarkymo sutartį, nebent tokia informacija butų vieša pagal galiojančių įstatymų ir kitų teisės aktų nuostatas.
VII SKYRIUS
SPĮ REGISTRAVIMAS ASMENS DUOMENŲ VALDYTOJU
29. Kai __________ (nurodomas SPĮ pavadinimas) automatiniu būdu ketina tvarkyti naujus asmens duomenis nauju tikslu, (nurodomas SPĮ pavadinimas) įsakymu paskirtas Darbuotojas teisės aktu nustatyta tvarka pateikia Valstybinei duomenų apsaugos inspekcijai pranešimą dėl duomenų tvarkymo arba pranešimą dėl išankstinės patikros.
30. Pranešimą dėl duomenų tvarkymo arba pranešimą dėl išankstinės patikros pateikęs ____________ (nurodomas SPĮ pavadinimas) darbuotojas yra atsakingas už papildomos informacijos Valstybinei duomenų apsaugos inspekcijai pateikimą ir kitų reikalingų veiksmų atlikimą, siekiant, kad ____________ (nurodomas SPĮ pavadinimas) butų įregistruota asmens duomenų valdytoju asmens duomenų valdytojų valstybės registre.
VIII SKYRIUS
ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA
31. Duomenų valdytojo ar duomenų tvarkytojo darbuotojai, turintys prieigos prie asmens duomenų teisę, pastebėję duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti duomenų valdytojo vadovą ar paskirtą atsakingą asmenį.
IX SKYRIUS
ASMENS DUOMENŲ TEIKIMAS TRETIESIEMS ASMENIMS
33. Duomenų teikimas tretiesiems asmenims:
33.1. neįgaliotų trečiųjų asmenų elektroninius ar kitokia forma (išskyrus telefonu) pateiktus prašymus suteikti jiems informaciją apie Duomenų subjektus turi būti atsakoma tik jeigu Rašytiniame prašyme yra nurodytas Duomenų subjekto duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti Duomenų subjektų duomenų apimtis. Informacija (asmens duomenys) apie pacientą telefonu neteikiama.
34. Konfidencialumo reikalavimas netaikomas ir informacija (asmens duomenys) gali būti suteikta tik tarnybiniais tikslais, neturint raštiško paciento sutikimo:
34.1. sveikatos priežiūros įstaigoms, kuriose yra/buvo gydomas, slaugomas pacientas Duomenų subjektas) arba atliekama jo sveikatos ekspertizė;
34.2. teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms, savivaldybių vaiko teisių apsaugos skyriams bei kitoms institucijoms, kurioms tokį teisinį pagrindą suteikia Lietuvos Respublikos įstatymai;
X SKYRIUS
BAIGIAMOSIOS NUOSTATOS
35. Darbuotojai, kurie yra įgalioti asmens duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų ADTAĮ ir šiose Taisyklėse. Darbuotojai pažeidę Taisykles ir (ar) ADTAĮ atsako teisės aktų nustatyta tvarka.
36. Patvirtinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už supažindinimą su Taisyklėmis atsakingas ____________________ (nurodomas asmuo).
38. Taisyklės nuo 2018 m. gegužės 25 d. pradėjus taikyti Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 turi būti peržiūrimos ir tikslinamos pagal Reglamento (ES) 2016/679 nuostatas ir atitinkamai pasikeitusių kitų asmens duomenų tvarkymą reglamentuojančius teisės aktų nuostatas.
39. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę atsakingas ____________ (nurodomas SPĮ pavadinimas) įsakymu paskirtas SPĮ duomenų valdymo įgaliotinis, kuris, įvertinęs Taisyklių taikymo praktiką, esant poreikiui, inicijuoja Taisyklių atnaujinimą.