UAB Sedulinos sveikatos centras
direktorės Irinos Keizo
2019-03-04 įsakymu Nr. ISK-V-19/14
UŽDAROSIOS AKCINĖS BENDROVĖS SEDULINOS SVEIKATOS CENTRAS
ASMENS DUOMENŲ TVARKYMO TAISYKLĖS
I. BENDROSIOS NUOSTATOS
1. Asmens duomenų tvarkymo UAB Sedulinos sveikatos centras taisyklės (toliau – Taisyklės) reglamentuoja asmens duomenų tvarkymą UAB Sedulinos sveikatos centras (toliau – Bendrovė), nustato pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo ir duomenų apsaugos technines bei organizacines priemones, siekiant užtikrinti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – Asmens duomenų teisinės apsaugos įstatymas) ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Taisyklėse nurodytų asmens duomenų valdytoja ir tvarkytoja yra UAB Sedulinos sveikatos centras, juridinio asmens kodas 304962628, buveinės adresas Tarybų g. 6, LT-31136, Visaginas.
3. Taisyklių privalo laikytis visi Bendrovės darbuotojai (toliau – darbuotojai), kurie tvarko Bendrovės veikloje gaunamus asmens duomenis ir (arba) eidami savo pareigas sužino arba gali sužinoti asmens duomenis.
4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymu, kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais.
5. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679 ir Asmens duomenų teisinės apsaugos įstatyme.
II. ASMENS DUOMENŲ TVARKYMO TIKSLAI
6. Bendrovėje tvarkomi asmens duomenys ir jų tvarkymo tikslai:
6.1. Bendrovės esamų ir buvusių darbuotojų, dirbančių pagal darbo sutartis, asmens duomenys tvarkomi vidaus administravimo tikslu;
6.2. Pretendentų į Bendrovės darbuotojus, dirbančius pagal darbo sutartis, asmens duomenys tvarkomi vidaus administravimo tikslu;
6.3. Asmenų, pateikusių Bendrovei skundą ar prašymą, asmens duomenys tvarkomi skundų ir prašymų nagrinėjimo ir vidaus administravimo (dokumentų valdymo) tikslais;
6.4. Tiekėjų (fizinių asmenų), su Bendrove sudariusių prekių, darbų, paslaugų pirkimo ar kitas sutartis, asmens duomenys tvarkomi vidaus administravimo ir sutartinių įsipareigojimų vykdymo tikslais;
6.5. Bendrovė yra pirminės sveikatos priežiūros paslaugų teikimo centras, sveikatinimo paslaugų teikėja, kartu ir asmens duomenų valdytoja ir tvarkytoja. Asmens duomenų tvarkymo tikslas – užtikrinti tinkamą paslaugų teikimą, apskaitą, kontrolę, dokumentų apskaitą, vykdyti užduočių vykdymo kontrolę, automatizuoti sistemos vartotojų identifikavimą, elektroninių paslaugų teikimą ir apskaitą.
III. ASMENS DUOMENŲ TVARKYMO REIKALAVIMAI
7. Bendrovės darbuotojai, atlikdami savo funkcijas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo reikalavimų:
7.1. asmens duomenys renkami šių Taisyklių 6 punkte apibrėžtais tikslais ir tvarkomi su šiais tikslais suderintais būdais;
7.2. asmens duomenys duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu;
7.3. asmens duomenys turi būti tikslūs ir, jei reikia dėl asmens duomenų tvarkymo, nuolat atnaujinami; netikslūs ar neišsamūs duomenys turi būti ištaisyti, papildyti, ištrinti (sunaikinti) arba sustabdytas jų tvarkymas;
7.4. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
7.5. asmens duomenys turi būti laikomi (saugomi) tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo surinkti ir tvarkomi;
7.6. asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;
7.7. asmens duomenys tvarkomi pagal Reglamente (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatyme ir kituose atitinkamą veiklą reglamentuojančiuose teisės aktuose nustatytus asmens duomenų tvarkymo reikalavimus.
8. Asmens duomenys Bendrovėje renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, gaunant iš kitų asmenų nustatyta tvarka ir pagrindais, taip pat oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).
9. Asmens duomenys saugomi ne ilgiau, negu to reikalauja duomenų tvarkymo tikslai. Asmens duomenys, esantys dokumentuose, yra saugomi Bendrovės dokumentacijos plane nustatytais terminais, priklausomai nuo to, kokiai bylai koks dokumentas priskirtas. Pasibaigus dokumentų, kuriame yra asmens duomenų, saugojimo terminams, priimamas sprendimas dėl jų sunaikinimo arba dokumentų saugojimo termino pratęsimo.
10. Teisės aktų nustatytais atvejais ir tvarka Bendrovė teikia jos tvarkomus asmens duomenis valstybės registrų ir valstybės informacinių sistemų valdytojams ir (arba) tvarkytojams, valstybės ir savivaldybių institucijoms, įstaigoms, organizacijoms ir kitiems asmenims, kuriems asmens duomenis teikti Bendrovę įpareigoja įstatymai ar kiti teisės aktai arba kuriems Bendrovė, teisės aktų nustatyta tvarka vykdydama savo funkcijas, teikia asmens duomenis.
11. Bendrovės darbuotojai turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių teisės aktų nuostatas.
12. Pareiga saugoti asmens duomenų paslaptį taip pat galioja darbuotoją paskyrus į kitas pareigas Bendrovėje bei pasibaigus darbo santykiams.
13. Dokumentai, kuriuose yra asmens duomenų, neturi būti laikomi taip, kad neturintys teisės asmenys nekliudomai galėtų su jais susipažinti. Bendrovėje taikomų Asmens duomenų apsaugos organizacinių ir techninių priemonių sąrašas yra nustatytas Taisyklių 1 priede.
IV. DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMAS
14. Duomenų subjektas, siekdamas įgyvendinti Reglamente (ES) 2016/679 įtvirtintas teises, turi pateikti rašytinį prašymą Bendrovei. Prašymas gali būti pateikiamas per atstumą, elektroninėmis priemonėmis arba tiesiogiai kreipiantis į Bendrovę (Taisyklių 2 priedas).
15. Prašymas turi būti įskaitomas, duomenų subjekto pasirašytas, jame turi būti nurodytas duomenų subjekto vardas, pavardė, asmens kodas, jei asmuo kodo neturi – gimimo data ar kiti požymiai, leidžiantys identifikuoti asmenį, gyvenamosios vietos adresas, elektroninio pašto adresas, telefono numeris, informacija apie tai, kokią Reglamente (ES) 2016/679 įtvirtintą teisę (teises) ir kokia apimtimi duomenų subjektas pageidauja įgyvendinti.
16. Pateikdamas prašymą, duomenų subjektas privalo patvirtinti savo tapatybę:
16.1. kai prašymas siunčiamas paštu – prie prašymo pridėti teisės aktų nustatyta tvarka patvirtintą asmens tapatybę patvirtinančio dokumento kopiją;
16.2. kai prašymas teikiamas elektroninėmis priemonėmis – prašymą pasirašyti kvalifikuotu elektroniniu parašu;
16.3. kai prašymas teikiamas tiesiogiai atvykus į Bendrovę – prašymą priimančiam Bendrovės darbuotojui pateikti galiojantį asmens tapatybę patvirtinantį dokumentą.
17. Duomenų subjektas savo teises Bendrovėje gali įgyvendinti per atstovą, tokiu atveju prie prašymo pridedamas atstovavimą patvirtinantis dokumentas arba teisės aktų nustatyta tvarka patvirtinta jo kopija.
18. Duomenų subjekto teisė būti informuotam apie savo asmens duomenų tvarkymą bei teisė susipažinti su savo asmens duomenimis (kiek tai įmanoma) duomenų subjekto prašymu gali būti įgyvendinama žodžiu, jeigu pokalbio metu duomenų subjektas gali įrodyti savo tapatybę (pavyzdžiui, duomenų subjektas nurodo savo vardą, pavardę, asmens kodą ar kitokią informaciją, leidžiančią jį identifikuoti).
19. Bendrovės darbuotojai turi užtikrinti, kad informacija, susijusi su duomenų tvarkymu, duomenų subjektui būtų pateikiama aiškiai ir suprantamai.
20. Informacija duomenų subjektui, atsižvelgiant į jo prašymą, gali būti pateikiama žodžiu, leidžiant susipažinti su dokumentu, pateikiant pažymą, dokumento išrašą ar popierinę dokumento kopiją, elektroninę laikmeną, garso, vaizdo ar garso ir vaizdo įrašą (jei toks yra), prieigą prie informacijos rinkmenos. Jei prašyme nenurodyta informacijos pateikimo forma, Bendrovė jį pateikia tokia pačia forma, kaip gauto prašymo.
21. Jeigu duomenų subjektas prašymą pateikia elektroninėmis priemonėmis, informacija duomenų subjektui taip pat pateikiama elektroninėmis priemonėmis, išskyrus tuos atvejus, kai duomenų subjektas paprašo ją pateikti kitaip.
22. Bendrovė, gavusi duomenų subjekto prašymą dėl Reglamente (ES) 2016/679 įtvirtintų teisių įgyvendinimo, ne vėliau kaip per 30 kalendorinių dienų pateikia duomenų subjektui informaciją apie veiksmus, kurių buvo imtasi gavus prašymą. Šis terminas prireikus gali būti pratęstas dar 60 kalendorinių dienų, atsižvelgiant į prašymų sudėtingumą ir skaičių. Bendrovė per 30 kalendorinių dienų nuo prašymo gavimo informuoja duomenų subjektą apie tokį pratęsimą, kartu pateikdama vėlavimo priežastis.
23. Duomenų subjekto teisės Bendrovėje įgyvendinamos neatlygintinai. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, Bendrovė gali imti pagrįstą mokestį, atsižvelgdama į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas.
24. Bendrovė turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu nustato, kad duomenų subjekto prašymas yra akivaizdžiai nepagrįstas arba neproporcingas. Tokiu atveju Bendrovė privalo raštu nurodyti atsisakymo pateikti prašomą informaciją motyvus.
25. Bendrovė, įgyvendindama duomenų subjekto teises, užtikrina, kad nebūtų pažeista kitų asmenų teisė į privataus gyvenimo neliečiamumą.
V. PRANEŠIMAS APIE ASMENS DUOMENŲ SAUGUMO PAŽEIDIMĄ
27. Bendrovės darbuotojas, sužinojęs apie galimą asmens duomenų saugumo pažeidimą, nedelsdamas informuoja Bendrovės vadovą – jei kyla įtarimų, kad pažeisti automatizuotomis priemonėmis, arba ne automatizuotomis priemonėmis tvarkomi asmens duomenys.
28. Bendrovės vadovas turi teisę konsultuotis su Bendrovės duomenų apsaugos pareigūnu dėl galimo pažeidimo masto ir pasekmių.
29. Bendrovės vadovas užtikrina, kad nepagrįstai nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas nuo sužinojimo apie asmens duomenų saugumo pažeidimą apie tai būtų pranešta Valstybinei duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu Valstybinei duomenų apsaugos inspekcijai nepranešama per 72 valandas, pranešime nurodomos vėlavimo priežastys.
30. Pranešimas Valstybinei duomenų apsaugos inspekcijai teikiamas Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka ir sąlygomis.
31. Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Bendrovės vadovas užtikrina, kad apie asmens duomenų saugumo pažeidimą duomenų subjektui būtų pranešta nepagrįstai nedelsiant.
32. Apie asmens duomenų saugumo pažeidimą duomenų subjektui pranešti neprivaloma, jei:
32.1. Bendrovė įgyvendino tinkamas technines ir organizacines apsaugos priemones ir jos buvo taikytos asmens duomenims, kuriems asmens duomenų saugumo pažeidimas turėjo poveikio;
32.2. iš karto po asmens duomenų saugumo pažeidimo Bendrovė ėmėsi priemonių, užtikrinančių, kad nekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms;
32.3. tai pareikalautų neproporcingai daug pastangų (tokiu atveju, užuot pranešus duomenų subjektui apie asmens duomenų saugumo pažeidimą, apie tai paskelbiama viešai arba taikomos kitokios efektyvaus informavimo priemonės).
VI. DUOMENŲ TVARKYMO VEIKLOS ĮRAŠAI
34. Duomenų tvarkymo veiklos įrašai Bendrovėje yra pildomi elektronine forma.
35. Duomenų tvarkymo veiklos įrašuose turi būti pateikiama ši informacija:
35.1. duomenų apsaugos pareigūno vardas, pavardė, kontaktiniai duomenys;
35.2. duomenų tvarkymo tikslas;
35.3. duomenų subjektų kategorijų aprašymas;
35.4. asmens duomenų kategorijų aprašymas;
35.5. duomenų gavėjo kategorijos;
35.6. asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą, ir privalomi tinkamų apsaugos priemonių dokumentai (kai taikoma);
35.7. numatomi asmens duomenų saugojimo, ištrynimo terminai (kai įmanoma);
35.8. techninių ir organizacinių saugumo priemonių aprašymas;
35.9. darbuotojai (struktūriniai padaliniai), atsakingi už duomenų tvarkymą;
35.10. duomenų įvedimo, keitimo data (datos).
36. Duomenų tvarkymo veiklos įrašai tikrinami ir atnaujinami ne rečiau kaip kartą per kalendorinius metus. Pasikeitus duomenims ar duomenų tvarkymo veiksmams, veiklos įrašai turi būti atnaujinami nedelsiant.
VII. BAIGIAMOSIOS NUOSTATOS
38. Visi Bendrovės darbuotojai supažindinami su šiomis Taisyklėmis. Susipažinimas su Taisyklių nuostatomis yra prilyginamas kiekvieno darbuotojo įsipareigojimui saugoti asmens duomenų paslaptį.
39. Už Taisyklių nuostatų pažeidimą Bendrovės darbuotojai atsako teisės aktų nustatyta tvarka.
______________
Asmens duomenų tvarkymo UAB Sedulinos sveikatos centras taisyklių
1 priedas
ASMENS DUOMENŲ APSAUGOS ORGANIZACINIŲ IR TECHNINIŲ PRIEMONIŲ SĄRAŠAS
1. Fizinė prieiga prie kompiuterinės įrangos:
1.1. patalpos rakinamos;
1.2. įrengta patalpų signalizacijos sistema;
1.3. veikia asmenų įėjimo į patalpas kontrolės sistema (elektroninė ir (arba) fizinė).
2. Prieiga prie vidinio tinklo:
2.1. vidinis tinklas apsaugotas ugniasienėmis;
2.2. kontroliuojama naudotojų prieiga prie vidinio tinklo;
2.3. naudojamos ryšio ir tinklo srautų atakų prevencijos priemonės.
3. Atsarginių duomenų kopijų ir laikmenų naudojimas:
3.1. atsarginės duomenų kopijos saugomos atskirose apsaugotose patalpose;
3.2. atsarginės duomenų kopijos ir laikmenos yra šifruojamos.
4. Apsauga nuo vagystės:
4.1. apribota fizinė prieiga prie tarnybinių stočių ir kompiuterinių darbo vietų;
4.2. apribota programinė prieiga prie tarnybinių stočių, kompiuterinių darbo vietų ir jose esančių duomenų.
5. Programinės įrangos klaidos:
5.1. naudojama tik legali programinė įranga, kuri prižiūrima laikantis gamintojo reikalavimų;
5.2. diegiami operacinių sistemų ir naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;
5.3. pakeista programinė įranga testuojama atskiroje tarnybinėje stotyje ar stotyse.
6. Apsauga nuo kenkėjiškos programinės įrangos:
6.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose įdiegta antivirusinė programinė įranga;
6.2. viešai prieinamos informacinių sistemų dalys yra atskirame potinklyje;
6.3. darbuotojai supažindinti ir žino, kaip elgtis pastebėjus kenkėjišką programinę įrangą.
7. Duomenų atkūrimo gebėjimai:
7.1. numatyta duomenų atkūrimo iš atsarginių kopijų galimybė.
8. Programinės įrangos naudojimas:
8.1. naudojama tik legali ir leistina programinė įranga;
8.2. nuolat atliekama kompiuterinėse darbo vietose naudojamos programinės įrangos kontrolė;
8.3. naudotojai patys negali diegti programinės įrangos.
9. Naudotojų švietimas:
9.1. naudotojai mokomi dirbti su programine įranga.
10. Apsauga nuo duomenų perdavimo tinklo įrangos gedimų:
10.1. įranga prižiūrima pagal gamintojo rekomendacijas;
10.2. priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;
10.3. didžiausią įtaką duomenų perdavimui turinti kompiuterinė įranga dubliuota.
11. Apsauga nuo kompiuterinės įrangos gedimų:
11.1. įranga prižiūrima pagal gamintojo rekomendacijas;
11.2. priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;
11.3. svarbiausia kompiuterinė įranga dubliuota;
11.4. svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima.
12. Apsauga nuo užliejimo:
12.1. tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos.
13. Apsauga nuo gaisro:
13.1. patalpose yra ugnies gesintuvai;
13.2. patalpose įrengti dūmų ir karščio davikliai;
13.3. tarnybinių stočių patalpoje yra įrengta automatinio gesinimo sistema.
14. Apsauga nuo temperatūros ir drėgmės svyravimų:
14.1. tarnybinių stočių patalpose įrengta kondicionavimo sistema;
14.2. nuolat stebimi temperatūros ir drėgmės svyravimai;
14.3. kondicionavimo įranga prižiūrima pagal gamintojo reikalavimus;
14.4. kondicionavimo įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai.
15. Apsauga nuo elektros srovės tiekimo sutrikimų:
15.1. svarbiausiai kompiuterinei įrangai skirti nenutrūkstamo maitinimo šaltiniai;
15.2. stebima elektros srovės tiekimo būklė.
16. Apsauga nuo maitinimo ir ryšio linijų gedimų:
16.1. kabeliai yra izoliaciniuose vamzdžiuose;
16.2. elektros ir duomenų kabeliai saugiai atskirti.
______________
Asmens duomenų tvarkymo UAB Sedulinos sveikatos centras taisyklių
2 priedas
(Prašymo dėl duomenų subjekto teisių įgyvendinimo forma)
_______________________________________________________________ | |||
(duomenų subjekto vardas ir pavardė) | |||
___________________________________________________________________ | |||
(asmens kodas) | |||
__________________________________________________________________ | |||
(gyvenamosios vietos adresas) | |||
_______________________________ | _________________________ | ||
(telefono numeris) | (elektroninio pašto adresas) |
__________________________________________________________
(Atstovo vardas, pavardė, gyvenamosios vietos adresas, telefono numeris, elektroninio
pašto adresas, atstovavimo pagrindas, jei prašymą pateikia duomenų subjekto atstovas)
UAB Sedulinos sveikatos centras direktoriui |
PRAŠYMAS DĖL DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO
Vadovaudamasi (-s) Asmens duomenų tvarkymo UAB Sedulinos sveikatos centras taisyklėse nustatyta tvarka, prašau įgyvendinti mano teisę (-es) (tinkamą langelį pažymėkite):
□ – susipažinti su duomenimis;
□ – reikalauti ištaisyti duomenis;
□ – reikalauti ištrinti duomenis („teisė būti pamirštam“);
□ – apriboti duomenų tvarkymą;
□ – nesutikti su duomenų tvarkymu;
□ – į asmens duomenų perkeliamumą.
Prašymo turinys (nurodykite, ko konkrečiai prašote, ir pateikite kiek įmanoma daugiau informacijos, kuri leistų tinkamai įgyvendinti Jūsų teisę (-es):
|
PRIDEDAMA:
1. ______________________________________________;
2. ______________________________________________.
(Jeigu prašymas yra siunčiamas paštu, prie prašymo pridedama asmens tapatybę patvirtinančio dokumento kopija, patvirtinta notaro ar kita teisės aktų nustatyta tvarka. Jeigu kreipiamasi dėl netikslių duomenų ištaisymo, pateikiamos tikslius duomenis patvirtinančių dokumentų kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka. Jeigu duomenų subjekto asmens duomenys, tokie kaip vardas, pavardė, yra pasikeitę, kartu pateikiamos dokumentų, patvirtinančių šių duomenų pasikeitimą, kopijos; jeigu jos siunčiamos paštu, tuomet turi būti patvirtintos notaro ar kita teisės aktų nustatyta tvarka).
Atsakymą noriu gauti (pažymėti vieną):
□ paštu;
□ atvykęs į UAB Sedulinos sveikatos centras;
□ elektroniniu paštu (tik pasirašius prašymą kvalifikuotu elektroniniu parašu).
|