Privatumo politika - GK Klinika

UAB „GK klinika“
ASMENS DUOMENŲ TVARKYMO TAISYKLĖSI SKYRIUS
BENDROSIOS NUOSTATOS

1. UAB „GK klinika“ (toliau – Klinika) asmens duomenų tvarkymo taisyklės arba kitaip gali būti vadinama Privatumo politika (toliau – Taisyklės) reguliuoja fizinių asmenų, kurių duomenis tvarko Klinika, asmens duomenų tvarkymo tikslus, nustato jų teisių įgyvendinimo tvarką, įtvirtina organizacines ir technines duomenų apsaugos priemones, reguliuoja asmens duomenų tvarkytojo pasitelkimo atvejus.
2. Šios Taisyklės parengtos remiantis
- 2.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau – ADTAĮ);
- 2.2. Bendruoju asmens duomenų apsaugos reglamentu (toliau – BDAR)
- 2.3. Lietuvos Respublikos sveikatos sistemos įstatymu;
- 2.4. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;
- 2.5. Lietuvos Respublikos Vyriausybės 2001 m. vasario 28 d. nutarimu Nr. 228 „Dėl duomenų teikimo duomenų subjektui atlyginimo tvarkos ir duomenų surinkimo iš registruotų duomenų valdytojų atlyginimo tvarkos patvirtinimo“;
- 2.6. Valstybinės duomenų apsaugos inspekcijos „Asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gairėmis“;
- 2.7. Kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.
3. Šios Taisyklės taikomos tvarkant fizinių asmenų duomenis automatiniu būdu, taip pat ir neautomatiniu būdu tvarkant asmens duomenų susistemintas rinkmenas: pacientų ligos istorijas, pacientų korteles, sąrašus, kartotekas, bylas, sąvadus ir kita. Šios Taisyklės taip pat nustato Klinikos darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
4. Šių Taisyklių reikalavimai privalomi visiems Klinikos darbuotojams (toliau – Darbuotojai), kurie tvarko Klinikoje esančius asmens duomenis arba eidami savo pareigas juos sužino. Šių Taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami Klinikai duomenų tvarkymo paslaugas, sužino ir tvarko asmens duomenis, kiek su Klinikos ir duomenų tvarkytojų kitaip nereglamentuoja papildomi susitarimai.

II SKYRIUS
PAGRINDINĖS SĄVOKOS

5. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima tiesiogiai arba netiesiogiai nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens kodą, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.
6. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
7. Duomenų valdytojas – UAB „GK klinika“, kuri tvarkydama pacientų, kitų fizinių asmenų ir Darbuotojų duomenis nustato tų duomenų naudojimo būdus ir priemones.
8. Duomenų subjektas – Darbuotojai, pacientai ir kiti fiziniai asmenys, kurių duomenis tvarko UAB „GK klinika“.
9. Duomenų tvarkytojas – subjektai, kurie tvarko UAB „GK klinika“ valdomus asmens duomenis pagal UAB „GK klinika“ nurodymus pagal sudarytas paslaugų teikimo sutartis.
10. Duomenų teikimas – asmens duomenų atskleidimas perduodant ar kitu būdu padarant juos prieinamus (išskyrus paskelbimą visuomenės informavimo priemonėse).
11. Vidaus administravimas – veikla, kuria užtikrinamas duomenų valdytojo savarankiškas funkcionavimas (struktūros tvarkymas, personalo valdymas, turimų materialinių ir finansinių išteklių valdymas ir naudojimas, raštvedybos tvarkymas).
12. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos ADTAĮ ir/ ar BDAR.

III SKYRIUS
ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR TIKSLAI

13. Darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo:
13.1. Asmens duomenis tvarkyti teisėtai, sąžiningai ir skaidriai
13.2. Rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkyti su tais tikslais nesuderinamu būdu;
13.3. Renkant ir tvarkant asmens duomenis laikytis tikslingumo, proporcingumo ir duomenų kiekio mažinimo principų, nereikalauti iš pacientų, kitų interesantų pateikti tų duomenų, kurie nėra reikalingi, nekaupiami ir netvarkyti perteklinių duomenų
13.4. Užtikrinti asmens duomenų tikslumą ir, jei reikia dėl asmens duomenų tvarkymo, nuolat juos atnaujinti; netikslius ar neišsamius duomenis ištaisyti, papildyti, sunaikinti arba jų tvarkymą sustabdyti;
13.5. Asmens duomenis saugoti tokia forma, kad pacientų, kitų interesantų tapatybę būtų galima nustatyti ne ilgiau negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
13.6. Asmens duomenis tvarkyti tokiu būdu, kad taikant atitinkamas technines ar organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas).
14. Už Duomenų subjektų duomenų atnaujinimą Klinikoje atsako Klinikos Personalo vadovė.
15. Visa informacija apie paciento buvimą sveikatos priežiūros įstaigoje, gydymą, sveikatos būklę, diagnozę, prognozes ir gydymą, taip pat visa kita asmeninio pobūdžio informacija apie pacientą yra konfidenciali, taip pat ir po paciento mirties. Informacija apie pacientą turi būti teikiama, jeigu tai yra privaloma pagal įstatymus. Pacientų duomenys nėra teikiami pakartotiniam naudojimui komerciniais tikslais.

IV SKYRIUS
DUOMENŲ TVARKYMO TIKSLAS, ŠALTINIAI, TEIKIMAS IR SAUGOJIMAS

16. Klinikos Duomenų subjektų asmens duomenys tvarkomi:
16.1. vidaus administravimo tikslu;
16.2. sveikatos priežiūros paslaugų teikimo tikslu.
17. Klinikai tvarkant duomenis Taisyklių 16.1. p. nurodytu tikslu, iš darbuotojų yra renkami ir tvarkomi tokie jų asmens duomenys, kurie yra būtini darbo sutarties su jais sudarymo, vykdymo ir nutraukimo tikslu (vardas, pavardė, asmens kodas, gimimo data, gyvenamosios vietos adresas, socialinio draudimo numeris, asmens tapatybės dokumento duomenys, elektroninio pašto adresas, telefono numeris, duomenys apie išsilavinimą, profesinę patirtį, kvalifikaciją, pareigas, darbo užmokestis, banko sąskaitos numeris, dirbtas laikas, sukauptos, panaudotos atostogos, šeimininė padėtis, pilietybė, atvaizdas (nuotraukos)). Klinikos Darbuotojų (konkrečiai – gydytojų) nuotraukos ir informacija apie jų profesinę patirtį, išsilavinimą yra talpinami Klinikos internetiniame puslapyje adresu www.gkklinika.com, siekiant užtikrinti teisėtus Klinikos interesus informuoti ir supažindinti Klinikos pacientus su teikiamomis paslaugomis, jų kokybe ir pacientams esminę reikšmę turinčiais gydytojais, kurie tas paslaugas teikia.
18. Klinikai tvarkant duomenis Taisyklių 16.1. p. nurodytu tikslu, asmens duomenys yra gaunami tiesiogiai iš Darbuotojų. Šių duomenų Klinika neperduoda jokiems duomenų gavėjams, išskyrus įstatymo numatytus atvejus, kai toks perdavimas būtų sąlygotas teisės aktų ar teismo, kitos institucijos privalomo sprendimo. Darbuotojų duomenys yra saugomi sutinkamai su teisės aktų nustatytais reikalavimais (Lietuvos vyriausiojo archyvaro patvirtinta bendrųjų dokumentų saugojimo terminų rodyklė). Klinika tvarkydama duomenis Taisyklių 16.1. p. nurodytu tikslu, duomenis gauna sutarties vykdymo pagrindu ir/ arba sutikimo pagrindu.
19. Klinikai tvarkant duomenis Taisyklių 16.2. p. nurodytu tikslu, iš pacientų yra renkami ir tvarkomi šie asmens duomenys: vardas, pavardė, asmens kodas, gimimo data, gyvenamosios vietos adresas, asmens tapatybės dokumentų duomenys, elektroninio pašto duomenys, telefono numeris, lytis, mirties data, socialinio draudimo numeris, paciento kortelės numeris, kreipimosi/ išrašymo data, paciento kontaktinių asmenų duomenys, kuriuos jis pateikia, šalis, kurioje asmuo gimė, tautybė, atvaizdas (nuotraukos), duomenys apie draustumą, atstovų pagal įstatymą arba pavedimą duomenys. Klinika gali rinkti ir kitus duomenis, jei toks duomenų rinkimas yra būtinas sveikatos priežiūros paslaugų teikimo įgyvendinimui. Klinika tvarkydama duomenis Taisyklių 16.2. p. nurodytu tikslu, duomenis gauna sutarties vykdymo pagrindu ir/ arba sutikimo pagrindu.
20. Klinikai tvarkant duomenis šių Taisyklių 16.2. p. nurodytu tikslu, šie duomenys gaunami tiesiogiai iš pačių pacientų, kitų sveikatos priežiūros įstaigų. Klinika duomenis apie pacientus gali teikti draudimo bendrovėms (pagal sudarytas sutartis ar vienkartinius prašymus), laboratorinius tyrimus atliekančioms laboratorijoms bei kitoms sveikatos priežiūros įstaigoms, kurioms tie duomenys yra būtini. Pacientų duomenis Klinika saugo sutinkamai su teisės aktų reikalavimais (Sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 patvirtinta Sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarka).

V SKYRIUS
SLAPUKAI (ANGL. COOKIES)

21. Klinikos internetinėje svetainėje www.gkklinika.com yra naudojami trečiųjų asmenų slapukai.
22. Klinikos internetinėje svetainėje naudojami analitiniai slapukai – „Google Analytics“.
23. Klinikos internetinėje svetainėje naudojami šie „Google Analytics“ slapukai.

Slapuko pavadinimas	Aprašymas	Sukūrimo momentas	Galiojimo laikas	Naudojami duomenys
_utma, _utmb, _utmc	Stebėjimo slapukai iš Google Analytics. Informacija į serverį siunčiama anonimiškai. Slapukai identifikuoja unikalius lankytojus ir stebi vartotojo sesijas. Daugiau informacijos žr. Google svetainėje.	Pirmo įėjimo į puslapį metu	Atitinkamai 30 min., 6 mėn., 2 metus	Statistinis apskaitos rezultatas. Skaitiklio apskaita atliekama per „Google Analytics“.
_utmz	Stebėjimo slapukai iš Google Analytics. Informacija į serverį siunčiama anonimiškai.	Pirmo įėjimo į puslapį metu	Iki naršyklės uždarymo	Statistinis apskaitos rezultatas. Skaitiklio apskaita atliekama per „Google Analytics“.
_ga	Registruojamas unikalus ID, kuris naudojamas statistiniams duomenims kurti, kaip lankytojas naudoja svetainę.	Pirmo įėjimo į puslapį metu	2 metai	Unikalus identifikatorius
_gid	Registruojamas unikalus ID, kuris naudojamas statistiniams duomenims kurti, kaip lankytojas naudoja svetainę.	Įėjimo į puslapį metu	Iki naršyklės uždarymo	Unikalus identifikatorius
_gat	Naudojamas Google Analytics užklausų greičio padidinimui.	Įėjimo į puslapį metu	Iki naršyklės uždarymo	Unikalus identifikatorius
_gat_UA-57763338-1	Slapukas renka informaciją apie vartotojų elgseną svetainėje ir yra naudojamas siekiant atskirti unikalius vartotojus, priskiriant jiems unikalų identifikatorių (ID).	Įėjimo į puslapį metu	8 val.	Unikalus identifikatorius
ads/ga-audiences	Naudoja „Google AdWords”, kad pakartotinai įtrauktų lankytojus, kurie greičiausiai konvertuosis į klientus, atsižvelgiant į lankytojų internetinį elgesį svetainėse.	Įėjimo į puslapį metu	Iki naršyklės uždarymo	Unikalus identifikatorius
collect	Naudojamas siųsti duomenis Google Analytics apie lankytojo įrenginį ir elgseną. Stebi lankytoją įrenginiuose ir rinkodaros kanaluose.	Įėjimo į puslapį metu	Iki naršyklės uždarymo	Statistinis apskaitos rezultatas.

24. Norėdami gauti daugiau informacijos, galite aplankyti: http://www.google.com/analytics.
25. Norėdami sužinoti, kaip panaikinti internetinių puslapių stebėjimą „Google Analytics“ slapukais, galite aplankyti: http://tools.google.com/dlpage/gaoptout.

VI SKYRIUS
DUOMENŲ SUBJEKTŲ TEISĖS IR JŲ ĮGYVENDINIMO TVARKA

Duomenų subjektų teisės ir informuotumo užtikrinimas

26. Duomenų subjektai turi teisę:
26.1. žinoti (būti informuoti) apie savo asmens duomenų tvarkymą
26.2. pateikę Klinikai asmens tapatybės dokumentą arba elektroninio ryšio priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, susipažinti su savo asmens duomenimis ir jų tvarkymu, gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus, taip pat gauti dokumentų, kuriame yra jų asmens duomenys, kopiją (medicinos dokumentų pateikimas pacientui gali būti ribojamas įstatymo nustatyta tvarka, jeigu juose esanti informacija pakenktų paciento sveikatai ar sukeltų pavojų jo gyvybei);
26.3. reikalauti ištaisyti, ištrinti savo asmens duomenis arba apriboti duomenų tvarkymą, išskyrus saugojimą, kai duomenys tvarkomi nesilaikant teisės aktų reikalavimų;
26.4. nesutikti, kad būtų tvarkomi jo asmens duomenys;
26.5. reikalauti perkelti duomenis kitam duomenų valdytojui arba pateikti tiesiogiai duomenų subjektui patogia forma (tuos duomenis, kuriuos Klinikai pateikė pats Duomenų subjektas); pateikti skundą priežiūros institucijai;
26.6. atšaukti duotą sutikimą (jei asmens duomenys tvarkomi sutikimo pagrindu).
27. Visais atvejais, Klinika privalo suteikti Duomenų subjektui informaciją (išskyrus atvejus, kai duomenų subjektas tokią informaciją jau turi):
27.1 savo pavadinimą, juridinio asmens kodą ir buveinę;
27.2 duomenų apsaugos pareigūno kontaktinius duomenis, jei toks yra;
27.3. kokiais tikslais ir teisiniu pagrindu tvarkomi Duomenų subjekto asmens duomenys;
27.4. duomenų gavėjus, jų kategorijas
27.5. duomenų saugojimo laikotarpį arba kriterijus, taikomus tam laikotarpiui nusakyti
27.6. kitą papildomą informaciją (kokius savo asmens Duomenis duomenų subjektas privalo pateikti ir kokios yra duomenų nepateikimo pasekmės, apie Duomenų subjekto teisę susipažinti su savo asmens duomenimis ir teisę reikalauti ištaisyti neteisingus, neišsamius, netikslius savo asmens duomenis), kiek jos reikia, kad būtų užtikrintas teisingas asmens duomenų tvarkymas nepažeidžiant Duomenų subjekto teisių;
27.7. apie jo asmens duomenų teikimą tretiesiems asmenims ne vėliau kaip iki to momento, kai duomenys teikiami pirmą kartą, ir jei duomenų subjektas nežinojo, kad duomenys bus perduodami kitai šaliai.

Duomenų subjekto teisių įgyvendinimo tvarka

28. Klinika, privalo
28.1. sudaryti sąlygas Duomenų subjektui įgyvendinti šių Taisyklių V skyriuje nurodytas Duomenų subjekto teises, išskyrus įstatymų nustatytus atvejus, kai reikia užtikrinti valstybės saugumą ar gynybą, viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą, svarbius valstybės ekonominius ar finansinius interesus, tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą, Duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą;
28.2. Duomenų subjektai dėl šių Taisyklių VI skyriuje nurodytų teisių įgyvendinimo, privalo kreiptis į Klinikos personalo skyrių, šiais kontaktais: administrator@gkklinika.com.
28.3. Klinika privalo užtikrinti, kad visa reikalinga informacija Duomenų subjektui būtų pateikiama aiškiai ir suprantamai.
28.4. Duomenų subjektui atsakymas privalo būti pateiktas ne vėliau kaip per 20 (dvidešimt) darbo dienų nuo prašymo gavimo dienos. Jei duomenis teikti Duomenų subjektui atsisakoma, jam turi būti pateiktas motyvuotas ir pagrįstas atsakymas dėl jo prašymo nevykdymo.
29. Klinika privalo nedelsdama informuoti duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku (dėl didelio duomenų subjektų skaičiaus, duomenų laikotarpio, nepagrįstai didelių sąnaudų). Tokiu atveju turi būti nedelsiant pranešama Valstybinei duomenų apsaugos inspekcijai.
30. Klinika duomenis Duomenų subjektui teikia neatlygintinai. Tam tikrais atvejais (kai Duomenų subjektas akivaizdžiai piktnaudžiauja savo teisėmis, nepagrįstai pakartotinai teikia prašymus pateikti informaciją, išrašus, dokumentus), toks informacijos ir duomenų teikimas Duomenų subjektui gali būti apmokestintas sutinkamai su teisės aktų reikalavimais ir Klinikos nustatytais įkainiais.

Duomenų teikimas duomenų gavėjams

31. Klinika Duomenų subjektų duomenis duomenų gavėjams teikia tik nepažeidžiant teisės aktuose įtvirtintų reikalavimų ir asmens duomenų konfidencialumo užtikrinimo pagal sudarytą sutartį arba vienkartinį duomenų gavėjo prašymą.
32. Vienkartinio duomenų teikimo atveju, Klinika, teikdama asmens duomenis pagal duomenų gavėjo prašymą, prioritetą teikia duomenų teikimui elektroninių ryšių priemonėmis.
33. Asmens duomenų teikimas valstybės ir savivaldybės institucijoms ir įstaigoms, kai šios institucijos ir įstaigos pagal konkretų paklausimą gauna asmens duomenis įstatymų nustatytoms kontrolės funkcijoms atlikti, nelaikytinas duomenų teikimu duomenų gavėjams.

VII SKYRIUS
ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS

34. Klinika deda maksimalias pastangas, kad Klinikos organizacinės ir techninės duomenų saugumo priemonės atitiktų BDAR reikalavimus. Siekiant apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo turi būti taikomos tokios infrastruktūrinės, administracinės ir telekomunikacinės (elektroninės) priemonės
34.1. tinkamas techninės įrangos išdėstymas ir priežiūra, informacinių sistemų priežiūra, tinklo valdymas, naudojimosi internetu saugumo užtikrinimas ir kitos informacinių technologijų priemonės
34.2. griežtas priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis
34.3. tinkamas darbo organizavimas ir kitos administracinės priemonės;
34.4. informacinių sistemų duomenų tvarkymo keliamos rizikos vertinimas, kuris būtų atliekamas kartą per 1 (vienerius) metus
34.5. įgyvendintų organizacinių ir techninių duomenų saugumo priemonių įvertinimo auditas, kuris būtų atliekamas kartą per 2 (dvejus) metus
34.6. diegiamos reikiamos duomenų saugumo priemonės, atsižvelgiant į rizikos vertinimo rezultatus
34.7. atliekami praktiniai bandymai dėl avarinio asmens duomenų atkūrimo
34.8. duomenų atsarginių kopijų darymas ir atkūrimas, kuris būtų atliekamas ne rečiau kaip vieną kartą per mėnesį
34.9. atsarginių duomenų kopijų laikmenos, kurios būtų saugomos atsarginių kopijų saugykloje arba rakinamoje nedegančioje spintoje
34.10. užtikrinamas duomenų atkūrimas iš paskutinių turimų atsarginių duomenų kopijų, praradus duomenis dėl aparatinės kompiuterių įrangos gedimo, programinės įrangos klaidos ar kitaip pažeidus duomenų vientisumą
34.11. informacinės sistemos funkcionalumo ir duomenų vientisumo bei parengtumo testavimų atlikimas
34.12. bandomasis duomenų atkūrimas, kuris būtų vykdomas bent kartą per metus
34.13. kitos priemonės
35. Už šių Taisyklių VII skyriuje numatytų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimą, kontrolę, užtikrinimą yra atsakinga Klinikos generalinio direktoriaus pavaduotoja.
36. Darbuotojai, kurie tvarko pacientų, kitų fizinių asmenų duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su pacientais, kitais interesantais susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas. Ši pareiga išlieka galioti perėjus dirbti į kitas pareigas Klinikoje arba pasibaigus darbo ar sutartiniams santykiams su Klinika.
37. Darbuotojai automatiniu būdu tvarkyti asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie asmens duomenų gali būti suteikta tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti. Darbo santykiams pasibaigus, Darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.
38. Darbuotojai gali perduoti dokumentus, kuriuose nurodyti asmens duomenys, tik tiems Darbuotojams, kurie pagal pareigas ar atskirus pavedimus turi teisę dirbti su asmens duomenimis.
39. Darbuotojai, vykdantys Duomenų subjekto duomenų tvarkymo funkcijas, turi užkirsti kelią atsitiktiniam ar neteisėtam tvarkymui, turi saugoti dokumentus tinkamai ir saugiai (vengiant nereikalingų kopijų su Duomenų subjekto duomenimis kaupimo ir kt.). Dokumentų kopijos, kuriose nurodomi Duomenų subjekto duomenys, turi būti sunaikinamos tokiu būdu, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.
40. Darbuotojai, kurių kompiuteriuose saugomi pacientų, kitų interesantų duomenys arba iš kurių kompiuterių galima patekti į Klinikos informacines sistemas, kuriose yra saugomi pacientų, kitų interesantų duomenys, savo kompiuteriuose turi naudoti slaptažodžius; „svečio“ („guest“) tipo, t. y. neapsaugoti slaptažodžiais, vartotojai yra draudžiami. Šiuose kompiuteriuose taip pat reikia naudoti ekrano užsklandą su slaptažodžiu. Reikalavimai slaptažodžiams:
40.1. juos turi sudaryti ne mažiau kaip 8 simboliai, iš kurių bent vienas turi būti skaičius ir raidė
40.2. jie negali sutapti su Darbuotojų ar jų šeimos narių asmeniniais duomenimis;
40.3. juos saugo ir juos gali žinoti tik Darbuotojai, dirbantys su konkrečiais kompiuteriais;
40.4. jie negali būti saugomi viešai ir negali būti prieinami kaip visuma.
41. Slaptažodžiai esant būtinybei (pasikeitus Darbuotojui, iškilus įsilaužimo grėsmei ir pan.) turi būti keičiami.
42. Darbuotojų kompiuteriai, kuriuose saugomos rinkmenos su pacientų, kitų fizinių asmenų duomenimis, negali būti laisvai prieinami iš kitų tinklo kompiuterių. Šių kompiuterių antivirusinė programinė įranga turi būti nuolat atnaujinama.
43. Nesant būtinybės, rinkmenos su pacientų, kitų interesantų duomenimis neturi būti dauginamos skaitmeniniu būdu, t.y. kuriamos rinkmenų kopijos vietiniuose kompiuterių diskuose, nešiojamose laikmenose, nuotolinėse rinkmenų talpyklose ir kt.
44. Klinikoje yra užtikrinamas saugių protokolų ir (arba) slaptažodžių naudojimas, kai asmens duomenys perduodami išoriniais duomenų perdavimo tinklais.
45. Asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo užtikrinamas perkeliant juos į duomenų bazes.
46. Klinikos informacinėse sistemose ir kompiuterių tinkluose įgyvendinamos šios saugumo priemonės:
46.1. fiksuojami prisijungimų prie asmens duomenų įrašai: bylos, prie kurių buvo jungtasi, atlikti veiksmai su asmens duomenimis (įvedimas, peržiūra, keitimas, naikinimas ir kiti asmens duomenų tvarkymo veiksmai). Šie įrašai turi būti saugomi ne trumpiau kaip 1 metus
46.2. ne rečiau kaip kartą per 1 mėnesį peržiūrimas naudotojų prisijungimų prie duomenų bazės (-ių) įrašų elektroninis žurnalas ir duomenų valdytojui teikiamos peržiūros ataskaitos;
46.3. mobiliuosiuose įrenginiuose (nešiojamuosiuose kompiuteriuose, planšetėse, išmaniuosiuose telefonuose ir pan.), jeigu jie naudojami ne Klinikos vidiniame kompiuterių tinkle, esantys ypatingi asmens duomenys ir prisijungimo prie Klinikos tvarkomų asmens duomenų informacija šifruojama ar apsaugoma tokiomis priemonėmis, kurios atitiktų asmens duomenų atskleidimo keliamą riziką
46.4. atsarginės asmens duomenų kopijos, jei jos daromos, saugomos kitoje patalpoje ar geografinėje vietoje negu aktyvi (veikianti) duomenų bazė
46.5. šifruojami atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose saugomi asmens duomenys
46.6. šifruojami elektroniniu paštu perduodami asmens duomenys
46.7. asmens duomenų paieškos užklausoje nurodomas asmens duomenų naudojimo tikslas (-ai).
47. Generalinio direktoriaus pavaduotoja privalo užtikrinti
47.1. pašalinių asmenų įėjimo į serverių patalpas kontrolę, naudojant durų rakinimo sistemą bei bendrą apsaugos signalizacijos sistemą;
47.2. vidinio Klinikos kompiuterių tinklo apsaugą
48. Darbuotojai privalo taip organizuoti savo darbą, kad kiek įmanoma apribotų galimybę kitiems asmenims (kitiems Klinikos darbuotojams, studentams ar kitiems tretiesiems asmenims) sužinoti tvarkomus asmens duomenis. Ši nuostata įgyvendinama:
48.1. nepaliekant dokumentų su tvarkomais asmens duomenimis ar kompiuterio, kuriuo naudojantis galima atidaryti rinkmenas su asmens duomenimis, be priežiūros taip, kad juose esančią informaciją galėtų perskaityti Darbuotojai, neturintys teisės dirbti su konkrečiais asmens duomenimis, studentai ar kiti asmenys;
48.2. dokumentus laikant taip, kad jų (ar jų fragmentų) negalėtų perskaityti atsitiktiniai asmenys
48.3. jei dokumentai, kuriuose yra asmens duomenų, kitiems Darbuotojams, padaliniams, įstaigoms perduodami per asmenis, kurie neturi teisės tvarkyti asmens duomenis, arba per paštą ar kurjerį, jie privalo būti perduodami užklijuotame nepermatomame voke. Šis punktas netaikomas, jeigu minėti pranešimai įteikiami pacientams, kitiems interesantams asmeniškai ir konfidencialiai.
49. Už asmens duomenų saugumo pažeidimų valdymą ir reagavimą į šiuos pažeidimus atsako generalinio direktoriaus pavaduotoja.

VIII SKYRIUS
ASMENS DUOMENŲ TVARKYTOJO PASITELKIMAS

50. Tais atvejais, kai Klinika įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Klinikos ir Duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.
51. Sprendimą perduoti Duomenų subjekto duomenų tvarkymą asmens duomenų tvarkytojui priima Klinikos vadovas.
52. Klinika privalo parinkti tokį Duomenų tvarkytoją, kuris garantuotų reikiamas ekspertines žinias, patikimumą ir išteklius, kad būtų įgyvendintos techninės ir organizacinės duomenų apsaugos priemonės ir užtikrintas tokių priemonių laikymasis, įskaitant ir šių Taisyklių VI skyriuje aptartas technines, organizacines duomenų saugumo užtikrinimo priemones.
53. Klinika, sutartimi įgaliodama Duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kad asmens duomenys būtų tvarkomi tik pagal Klinikos nurodymus, taip pat, kokius asmens duomenų tvarkymo veiksmus privalo atlikti Duomenų tvarkytojas Klinikos vardu, Duomenų tvarkytojo įsipareigojimai Klinikai, įskaitant įsipareigojimą laikytis BDAR įtvirtintų reikalavimų, duomenų tvarkymo trukmė, pobūdis, asmens duomenų rūšis, duomenų subjektų kategorijos, Duomenų tvarkytojo pareiga ištrinti arba grąžinti Klinikai asmens duomenis, jų kopijas, pabaigus Klinikai teikti paslaugas.
54. Klinika, sudarydama sutartį su Duomenų tvarkytojų, be kita ko, nurodo, kad Duomenų tvarkytojas privalo užtikrinti Klinikos perduodamų tvarkyti duomenų konfidencialumą, o ketindamas tvarkymui pasitelkti trečiuosius asmenis (kitus duomenų tvarkytojus), Duomenų tvarkytojas privalo gauti išankstinį rašytinį Klinikos pritarimą
55. Klinikos vadovo paskirtas atsakingas Darbuotojas privalo saugoti, peržiūrėti, esant poreikiui inicijuoti sutarčių ir bendradarbiavimo su Duomenų tvarkytojais atnaujinimą/pakeitimą/nutraukimą.
56. Šios Taisyklės gali būti pridedamos kaip priedas prie sutarties su Duomenų tvarkytoju.

IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS

57. Su šiomis Taisyklėmis privalo susipažinti visi Klinikos Darbuotojai.
58. Taisyklės, jų pakeitimai ar papildymai skelbiami Klinikos patalpų laukiamajame bei Klinikos internetiniame puslapyje www.gkklinika.com.
59. Klinika užtikrina darbuotojų, kuriems suteikta teisė tvarkyti asmens duomenis, mokymus. Už atitinkamų asmens duomenų teisinės apsaugos mokymų organizavimą, vykdymą darbuotojams, dirbantiems su asmens duomenimis, yra atsakingas Klinikos vadovas.
60. Darbuotojai, pasikeitus jų asmens duomenims, raštu informuoja apie tai Klinikos Personalo skyrių, šiais kontaktais: administrator@gkklinika.com, o šis ne vėliau kaip per 3 (tris) darbo dienas patikslina ir atnaujina duomenis Darbuotojų asmens duomenis bylose bei tam skirtose duomenų bazėse.
61. Už Taisyklių nuostatų laikymosi priežiūrą ir jose reglamentuotų nuostatų vykdymo kontrolę bei periodiškumą, ne rečiau kaip kartą per 2 (dvejus) metus, Taisyklių peržiūrėjimą, atnaujinimą pagal poreikį yra atsakingas Klinikos generalinio direktoriaus pavaduotoja.