I. ATSAKINGAS VALDYTOJAS
Šios svetainės duomenų apsaugos atžvilgiu, atsakingas duomenų valdytojas yra:
UAB „B. Braun Avitum“
Miškinių g. 6A, LT-04132 Vilnius
Lietuva
El. p. info.lt@b.braun.com
II. BENDROSIOS NUOSTATOS
1. UAB „B.Braun Avitum“ (toliau – Bendrovė) pacientų asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja pacientų asmens duomenų tvarkymą, užtikrinant Bendrojo duomenų apsaugos reglamento, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Darbuotojai privalo laikytis šių Taisyklių, šiam tikslui jie turi būti pasirašytinai su jomis supažindinti. Atlikdami savo pareigas ir tvarkydami asmens duomenis, įgalioti darbuotojai privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų teisės aktuose ir šiose Taisyklėse.
3. Šios Taisyklės taip pat nustato darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
4. Šios Taisyklės taikomos tvarkant pacientų asmens duomenis automatiniu būdu (pvz. informacinėse sistemose), taip pat ir neautomatiniu būdu susistemintose rinkmenose (pvz. pacientų ligos istorijos, ambulatorines kortelės, bylos ir kita).
5. Jei šios Taisyklės nenumato kitaip ir šiose Taisyklėse vartojamos sąvokos neįgyja kitos reikšmės atsižvelgiant į kontekstą, kuriame jos vartojamos, šios sąvokos turi tokią reikšmę:
5.1. Asmens duomenys – bet kokia informacija apie duomenų subjektą (pacientą), kurio tapatybė nustatyta arba kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti panaudojant tokius duomenis, kaip vardą ir pavardę, asmens kodą arba pagal vieną ar kelis asmeniui būdingus fizinius, fiziologinius, genetinius ar socialinius požymius.
5.2. Bendrovė (duomenų valdytojas) – UAB „B.Braun Avitum“, kodas 300556854, adresas Miškinių g. 6A, Vilnius).
5.3. Darbuotojas – fizinis asmuo, sudaręs su Bendrove darbo sutartį ir veikiantis pagal Bendrovės nurodymus, kuris tvarko duomenų subjektų asmens duomenis ta apimtimi, kuri numatyta Taisyklių 1 priede.
5.4. Duomenų subjektas (pacientas) – bet kuris Bendrovės pacientas, kurio asmens duomenys yra tvarkomi.
5.5. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, įskaitant, bet neapsiribojant, asmens duomenų rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, keitimas, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, ištrynimas arba sunaikinimas.
6. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Bendrajame duomenų apsaugos reglamente ir kituose teisės aktuose.
III. ASMENS DUOMENŲ TVARKYMO TIKSLAI IR PRINCIPAI
7. Bendrovė tvarko pacientų asmens duomenis sveikatos priežiūros paslaugų teikimo tikslu.
8. Darbuotojas, tvarkydamas pacientų asmens duomenis, privalo laikytis šių pacientų asmens duomenų tvarkymo reikalavimų:
8.1. pacientų asmens duomenys renkami sveikatos priežiūros paslaugų teikimo tikslu ir nėra tvarkomi tikslais, nesuderinamais su sveikatos priežiūros paslaugų teikimo tikslu.
8.2. asmens duomenys tvarkomi tiksliai, sąžiningai ir teisėtai, t. y. renkant ir tvarkant pacientų asmens duomenis laikomasi tikslingumo ir proporcingumo principų, nereikalaujama iš pacientų pateikti tų duomenų, kurie nėra reikalingi, ir pertekliniai duomenys nekaupiami ir netvarkomi.
8.3. pacientų asmens duomenys turi būti tikslūs, o netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, sunaikinti arba sustabdytas jų tvarkymas.
8.4. pacientų asmens duomenys tvarkomi pagal Bendrąjį duomenų apsaugos reglamentą ir kituose atitinkamą veiklą reglamentuojančiuose teisės aktuose nustatytus asmens duomenų tvarkymo reikalavimus.
8.5. pacientų duomenų atnaujinimą padaliniuose, kuriuose renkami ir tvarkomi paciento asmens duomenys, užtikrina gydytojai ir slaugytojai, į kuriuos kreipėsi pacientai, prašydami atnaujinti neteisingus arba netikslius jų asmens duomenis.
8.6. visa informacija apie paciento gydymą, sveikatos būklę, diagnozę, taip pat visa kita asmeninio pobūdžio informaciją apie pacientą privalo būti konfidenciali.
8.7. informaciją apie pacientą teikiama tik, jeigu tai yra privaloma pagal teisės aktus, arba yra gautas paciento sutikimas tokią informaciją teikti.
8.8. pacientų asmens duomenys nėra naudojami komerciniais tikslais.
IV. PACIENTŲ TEISIŲ ĮGYVENDINIMO TVARKA
9. Pacientai turi teisę:
9.1. žinoti (būti informuoti) apie savo asmens duomenų tvarkymą.
9.2. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi, pateikus Bendrovei asmens tapatybės dokumentą, taip pat gauti dokumentų, kuriuose yra asmens duomenys, kopiją. Medicinos dokumentų pateikimas pacientui gali būti ribojamas teisės aktų nustatyta tvarka, jeigu juose esanti informacija pakenktų paciento sveikatai ar sukeltų pavojų jo gyvybei.
9.3. reikalauti ištaisyti, sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant teisės aktų reikalavimų.
9.4. nesutikti, kad būtų tvarkomi jo asmens duomenys, tais atvejais, kai paciento asmens duomenys yra tvarkomi vadovaujantis jo sutikimu.
10. Pacientų teisių įgyvendinimo tvarka:
10.1. Bendrovės padaliniai, kuriuose renkami ir tvarkomi pacientų duomenys, privalo sudaryti sąlygas pacientams įgyvendinti pirmiau nurodytas paciento teises.
10.2. Darbuotojas, gavęs paciento prašymą, atsako pacientui raštu, ne vėliau kaip per 30 kalendorinių dienų nuo paciento prašymo gavimo dienos ir pateikia prašomus duomenis arba nurodo atsisakymo tenkinti tokį prašymą priežastis. Pacientui informacija yra teikiama neatlygintinai kartą per metus. Jeigu pacientas kreipiasi daugiau nei kartą per metus dėl tokios informacijos pateikimo, mokestis už šios informacijos pateikimą negali viršyti tokios informacijos pateikimo sąnaudų.
10.3. jei pacientas, susipažinęs su savo asmens duomenimis, nustato, kad jie yra neteisingi, neišsamūs ar netikslūs, kreipiasi į Bendrovę (raštu, žodžiu ar kitokia forma). Darbuotojas privalo asmens duomenis patikrinti ir nedelsiant ištaisyti neteisingus, neišsamius, netikslius asmens duomenis.
10.4. Darbuotojas, kuris tvarko pacientų asmens duomenis, privalo nedelsiant informuoti duomenų gavėjus apie paciento prašymą ištaisyti ar sunaikinti asmens duomenis, išskyrus atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sunku.
11. Duomenų teikimas tretiesiems asmenims:
11.1. į neįgaliotų trečiųjų asmenų pateiktus rašytinius prašymus suteikti jiems informaciją apie pacientą turi būti atsakoma tik jeigu rašytiniame prašyme yra nurodytas paciento duomenų naudojimo tikslas, tinkamas teikimo bei gavimo teisinis pagrindas ir prašomų pateikti paciento duomenų apimtis.
11.2. neturint raštiško paciento sutikimo, paciento asmens duomenys gali būti suteikti tik tarnybiniais tikslais: (i) sveikatos priežiūros įstaigoms, kuriose yra/buvo gydomas, slaugomas pacientas arba atliekama jo sveikatos ekspertizė; (ii) teismui, prokuratūrai, ikiteisminio tyrimo įstaigoms bei kitoms institucijoms, kurioms tokį teisinį pagrindą suteikia Lietuvos Respublikos teisės aktai.
11.3. telefonu asmens duomenys neteikiami, jeigu darbuotojas neturi galimybės identifikuoti skambinančio asmens.
V. ORGANIZACINĖS IR TECHNINĖS ASMENS DUOMENŲ APSAUGOS PRIEMONĖS
12. Bendrosios asmens duomenų apsaugos priemonės:
12.1. Darbuotojai, galintys susipažinti su Bendrovės tvarkomais pacientų asmens duomenimis, privalo pasirašyti konfidencialumo įsipareigojimus, kurie įtraukti į Darbo sutartį. Konfidencialios informacijos sąrašą tvirtinta Bendrovės valdyba. Taip pat, darbuotojai pasirašytinai supažindinami su Taisyklėmis ir įsipareigoja laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria darbuotojai susipažino.
12.2. kalbant su pacientu kabinetuose ar telefonu užtikrinamas pokalbių su pacientais konfidencialumas, t. y. pokalbio metu pateiktų asmens duomenų negali girdėti neįgalioti asmenys.
12.3. Darbuotojams yra vykdomi reguliarūs (prieš įdarbinant, perkeliant į naujas pareigas, pradedant vykdyti naujas funkcijas, darbo funkcijų atlikimo metu) duomenų apsaugos bendro ar specifinio pobūdžio mokymai ir švietimas, atsižvelgiant į jų būsimas ar vykdomas funkcijas.
12.4. Prieigos prie asmens duomenų ir įgaliojimai tvarkyti asmens duomenis suteikiami, naikinami ir keičiami tik tiems darbuotojams, kuriems to reikia jų funkcijų vykdymui. Pavyzdinis darbuotojų sąrašas, kuriems suteikta prieiga prie pacientų asmens duomenų, nurodytas Taisyklių 1 priede.
12.5. Bendrovė, tvarkydama asmens duomenis, įgyvendina ir užtikrina organizacines ir technines priemones, skirtas apsaugoti pacientų asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Atsižvelgdamas į naujausią technologijų pažangą asmens duomenų tvarkymo srityje, įgyvendinimo kaštus bei tvarkymo pobūdį, apimtį, kontekstą ir tikslus, taip pat į grėsmės darbuotojų teisėms ir laisvėms tikimybę ir rimtumą, Bendrovė imasi tinkamų techninių ir organizacinių priemonių siekdamas užtikrinti grėsmes atitinkantį saugumo lygį, įskaitant, be kita ko, pagal poreikį:
12.5.1. galimybę užtikrinti nuolatinį tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;
12.5.2. fizinio ar techninio incidento atveju galimybę laiku atkurti asmens duomenų prieinamumą ir pasiekiamumą;
12.5.3. saugumą užtikrinančių techninių ir organizacinių priemonių nuolatinio tikrinimo, stebėjimo ir vertinimo procesą.
13. Neautomatiniu būdu (popieriuje) tvarkomų asmens duomenų apsaugos priemonės:
13.1. popieriniams dokumentams, kuriuose yra asmens duomenų, yra taikoma „švaraus stalo politika“, t. y.:
13.1.1. darbuotojai vengia nereikalingų kopijų darymo. Dokumentų kopijos, kuriose nurodomi pacientų asmens duomenys, sunaikinami taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.
13.1.2. saugomi užrakintuose apsaugotuose balduose (pvz. seife, rakinamoje spintoje).
13.2. popierinės pacientų sveikatos istorijos darbuotojų kabinetuose, budėjimo postuose yra sudėtos taip, kad su jose esančiais asmens duomenimis negalėtų susipažinti tokios teisės neturintys asmenys.
13.3. kai nėra žmonių patalpose, kuriose saugomi asmens duomenys, durys yra užrakinamos, langai uždaromi.
13.4. pacientų ligos istorijoje saugoma tik su konkrečiam pacientui teiktomis sveikatos priežiūros paslaugomis susijusi informacija. Ligos istorijoje nėra tvarkoma ir saugoma administracinė informacija, tokia kaip, pacientų skundai, jų nagrinėjimo rezultatai.
13.5. Bendrovės koridoriuose nėra skelbiami pacientų sąrašai su informacija, kuriose patalpose, kokie pacientai yra gydomi.
14. Automatiniu būdu tvarkomų asmens duomenų apsaugos priemonės:
14.1. Bendrovė investuoja į patikimų ir patikrintų paslaugų teikėjų samdymą arba įtraukia į vidaus audito procedūras procesų peržiūrą, siekdama užtikrinti tinkamą techninės įrangos išdėstymą ir priežiūrą, informacinių sistemų priežiūros įgyvendinimą, priešgaisrinės apsaugos tarnybos nustatytų normų laikymąsi bei įgyvendinamus asmens duomenų tvarkymo rizikos vertinimus.
14.2. darbuotojams automatiniu būdu tvarkyti pacientų asmens duomenis gali tik po to, kai jiems suteikiama prieigos teisė prie atitinkamos informacinės sistemos. Prieiga prie pacientų asmens duomenų suteikiama tik tam darbuotojui, kuriam asmens duomenys yra reikalingi jo funkcijomis vykdyti. Darbo santykiams pasibaigus, Darbuotojui prieigos prie registrų ir kitų programų teisės panaikinamos.
14.3. nešiojami kompiuteriai išnešami iš bendrovės patalpų tik esant būtinybei darbo tikslais.
14.4. duomenų apdorojimo priemonės (tarnybinės stotys, kompiuterių tinklai), įranga yra fiziškai atskirtos nuo trečiųjų šalių (kitų įmonių) valdomos įrangos.
14.5. taikomos kitos techninės ir organizacinės priemonės nurodytos Informacinių sistemų saugos tvarkoje.
15. Asmens duomenų tvarkytojo pasitelkimas:
15.1. Sprendimą perduoti pacientų duomenų tvarkymą asmens duomenų tvarkytojui priima Bendrovės generalinis direktorius, atsižvelgdamas į tai, ar duomenų tvarkytojas turi pavedimo atlikti asmens duomenų tvarkymo patirties, ar turi pakankamai žmogiškųjų išteklių šiems pavedimams įvykdyti, ar turi technines galimybes įgyvendinti Bendrovės nurodytas asmens duomenų saugumo priemones.
15.2. Bendrovė privalo parinkti tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi. Jei duomenų tvarkytojas yra įsidiegęs saugos ar kibernetinio saugumo standartus (pvz., ISO 27001), paprašyti pateikti sertifikatus.
15.3. Tais atvejais, kai Bendrovė įgalioja asmens duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp Bendrovės ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis pagal Reglamento 28 straipsnį.
15.4. Bendrovė sutartyje įgaliodama duomenų tvarkytoją tvarkyti asmens duomenis, nurodo, kokius asmens duomenų tvarkymo veiksmus privalo atlikti duomenų tvarkytojas duomenų valdytojo vardu. Duomenų tvarkytojai, kurie tvarko pacientų duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su paciento duomenimis susijusią informaciją, su kuria jie susipažino vykdydami duomenų tvarkymo sutartį, nebent tokia informacija būtų vieša pagal galiojančių teisės aktų reikalavimus. Duomenų tvarkytojai imasi visų priemonių, kurių reikalaujama duomenų tvarkymo saugumui užtikrinti, nepasitelkia kitų duomenų tvarkytojų be išankstinio Bendrovės rašytinio sutikimo, pateikia Bendrovei visą informaciją, būtiną siekiant įrodyti, kad duomenų tvarkytojas vykdo nustatytas prievoles.
16. Asmens duomenų saugumo pažeidimų valdymo ir reagavimo į šiuos pažeidimus tvarka:
16.1. Darbuotojai, turintys prieigą prie pacientų asmens duomenų, pastebėję duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi informuoti Bendrovės generalinį direktorių.
16.2. Įvertinus duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, kiekvienu konkrečiu atveju generalinis direktorius priima sprendimus dėl priemonių, reikiamų duomenų apsaugos pažeidimui ir jo padariniams pašalinti.
VI. BAIGIAMOSIOS NUOSTATOS
17. Šios Taisyklės peržiūrimos ir atnaujinamos ne rečiau nei kartą per 3 metus arba pasikeitus teisės aktams, kurie reguliuoja asmens duomenų tvarkymą.
18. Darbuotojai, kurie yra įgalioti tvarkyti pacientų asmens duomenis arba eidami savo pareigas sužino pacientų asmens duomenis, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Bendrajame duomenų apsaugos reglamente, kituose teisės aktuose ir šiose Taisyklėse.
19. Darbuotojai pažeidę Taisykles atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.
20. Naujas darbuotojas privalo būti supažindintas pasirašytinai su Taisyklėmis pirmąją darbo dieną. Už supažindinimą su Taisyklėmis atsako vadovybės atstovas kokybei ir dializės centrų atstovai kokybei.