Asmens duomenų tvarkymo tvarkos aprašas

MB „TOBULA ŠYPSENA“

ASMENS DUOMENŲ TVARKYMO TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS IR SĄVOKOS

1.Asmens duomenų tvarkymo tvarkos aprašas (toliau – Tvarkos aprašas) reglamentuoja asmens duomenų tvarkymą MB „Tobula šypsena“, užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, nustatančių asmens duomenų tvarkymą, laikymąsi ir įgyvendinimą.

2. Tvarkos aprašo paskirtis – numatyti pagrindines asmens duomenų tvarkymo, duomenų subjekto teisių įgyvendinimo ir duomenų saugos priemones.

3. Tvarkos aprašo privalo laikytis visi MB „Tobula šypsena“ darbuotojai, kurie tvarko asmens duomenis arba eidami savo pareigas juos sužino. Prieiga prie asmens duomenų suteikiama tik tiems darbuotojams, kuriems asmens duomenys yra reikalingi jų funkcijoms vykdyti.

4. Pagrindinės sąvokos:

  • 4.1. Klinika – MB „Tobula šypsena“ (juridinio asmens kodas: 303428678; adresas: Chemikų g. 3-13, Kėdainiai).
  • 4.2. Asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas).
  • 4.3. Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę.
  • 4.4. Duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas.
  • 4.5. Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, visiškai ar iš dalies atliekami automatinėmis priemonėmis.

5. Kitos šiame Tvarkos apraše vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Bendrojo duomenų apsaugos reglamento ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme.

6. Klinika renka duomenų subjekto asmens duomenis, kuriuos jis savanoriškai pateikia atvykęs į Kliniką, elektroniniu paštu, paštu/per kurjerį ar telefonu.

7. Klinikoje tvarkomi pacientų ir darbuotojų asmens duomenys. Klinikoje gali būti tvarkomi ir kitų duomenų subjektų kategorijų asmens duomenys ir jų tvarkymui taikomi šiame Tvarkos apraše nustatyti asmens duomenų tvarkymo principai.

II SKYRIUS

ASMENS DUOMENŲ TVARKYMO PRINCIPAI

8. Klinikos darbuotojai, atlikdami savo pareigas ir tvarkydami duomenų subjekto asmens duomenis, laikosi šių principų:

  • 8.1. Duomenų subjekto suteiktą informaciją renka, tvarko, saugo tik dėl teisėto intereso ir griežtai laikydamiesi Bendrojo duomenų apsaugos reglamento, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo, kitų šią teisės sritį Lietuvos Respublikoje reglamentuojančių teisės aktų reikalavimų ir šio Tvarkos aprašo.
  • 8.2. Duomenų subjekto asmens duomenis tvarko tiksliai, sąžiningai ir teisėtai.
  • 8.3. Duomenų subjekto asmens duomenis renka apibrėžtais tikslais.
  • 8.4. Renkant ir tvarkant asmens duomenis laikosi tikslingumo ir proporcingumo principų, nereikalauja iš duomenų subjekto pateikti tų duomenų, kurie nėra reikalingi. Pertekliniai duomenys nekaupiami.
  • 8.5. Duomenų subjekto asmens duomenis gali sužinoti tik atitinkamą kompetenciją turintys Klinikos darbuotojai ir tretieji asmenys, kuriuos Klinika pasitelkė paslaugai teikti, ir tik tais atvejais, kai to reikia paslaugai suteikti.
  • 8.6. Klinika įgyvendina tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

III SKYRIUS

KLINIKOJE TVARKOMI PACIENTŲ ASMENS DUOMENYS

9. Klinika teikdama odontologines paslaugas tvarko šiuos pacientų asmens duomenis: vardą, pavardę, namų adresą, gimimo datą, asmens kodą, asmens tapatybės dokumento duomenis, elektroninio pašto adresą, paciento telefono numerį. Klinika taip pat tvarko duomenis apie paciento atstovą: vardą, pavardę, elektroninio pašto adresą, telefono numerį.

10. Klinika teikdama odontologines paslaugas tvarko šiuos pacientų sveikatos duomenis: paciento buvimo Klinikoje faktus, duomenis apie paciento sveikatos būklę, diagnozę, taikytas diagnostikos, gydymo ir slaugos priemones, laikiną nedarbingumą.

11. Pacientų ir pacientų atstovų asmens duomenys tvarkomi odontologinių paslaugų teikimo tikslu, registracijos odontologinėms paslaugoms tikslu, įsiskolinimo valdymo tikslu, Klinikos buhalterinės apskaitos vedimo tikslu ir priminimo apie užregistruotus vizitus ir informavimo apie Klinikos paslaugas tikslu. Priminimo apie užregistruotus vizitus ir informavimo apie Klinikos paslaugas tikslu asmens duomenys (vardas, pavardė, elektroninio pašto adresas, telefono numeris) tvarkomi tik raštišku paciento ar paciento atstovo sutikimu.

12. Pacientų ir pacientų atstovų asmens duomenys tvarkomi automatiniu ir neautomatiniu būdu.

13. Pacientų ir pacientų atstovų asmens duomenis tvarko šie Klinikos duomenų naudotojai: administratoriai, gydytojai odontologai, gydytojai odontologai specialistai, burnos higienistai. Pacientų sveikatos duomenis tvarko šie Klinikos duomenų naudotojai: gydytojai odontologai, gydytojai odontologai specialistai, burnos higienistai, administratoriai.

14. Klinika tvarko asmens vaizdo duomenis, gautus iš Klinikos vaizdo stebėjimo kamerų. Šių vaizdo duomenų tvarkymą reglamentuoja Vaizdo stebėjimo kamerų naudojimo ir vaizdo duomenų tvarkymo aprašas.

IV SKYRIUS

KLINIKOJE TVARKOMI DARBUOTOJŲ ASMENS DUOMENYS

15. Klinikoje yra tvarkomi šie darbuotojų asmens duomenys: darbuotojo vardas, darbuotojo pavardė, darbuotojo pilietybė, darbuotojo namų adresas, darbuotojo šeimyninė padėtis, darbuotojo išsimokslinimas, darbuotojo gimimo data, darbuotojo asmens kodas, darbuotojo asmens tapatybės dokumento duomenys, darbuotojo valstybinio socialinio draudimo pažymėjimo duomenys, darbuotojo mokslo laipsnis ir vardas, darbuotojo elektroninio pašto adresas, darbuotojo specialybė, darbuotojo kvalifikacija, darbuotojo pareigos, darbuotojo mobiliojo telefono numeris, darbuotojo telefono numeris, darbuotojo vaikų skaičius, darbuotojo darbo užmokestis.

16. Klinikoje yra tvarkomi darbuotojų sveikatos duomenys: laikinas nedarbingumas, darbuotojui turint netektą darbingumą, tvarkomi duomenys apie netektą darbingumą.

17. Darbuotojų asmens duomenys tvarkomi siekiant sudaryti su darbuotoju darbo sutartį, ją vykdyti ir užtikrinti darbdavio prievolių, numatytų LR Darbo kodekse, įvykdymą.

18. Darbuotojų asmens duomenys tvarkomi automatiniu ir neautomatiniu būdu.

19. Darbuotojų asmens duomenis tvarko šie Klinikos duomenų naudotojai: direktorius ir buhalteris.

20. Klinika tvarko asmens vaizdo duomenis, gautus iš Klinikos vaizdo stebėjimo kamerų. Šių vaizdo duomenų tvarkymą reglamentuoja Vaizdo stebėjimo kamerų naudojimo ir vaizdo duomenų tvarkymo aprašas.

V SKYRIUS

VAIZDO DUOMENŲ, GAUTŲ FOTOKAMERŲ PAGALBA, TVARKYMAS

21. Klinika tvarko pacientų vaizdo duomenis, gautus iš fotokamerų. Vaizdo duomenys tvarkomi tik raštišku paciento sutikimu. Klinikos pacientų vaizdo duomenys tvarkomi tik odontologinių paslaugų teikimo tikslu. Pacientas atskiru raštišku sutikimu turi teisę leisti Klinikai nuasmenintus (anoniminius) vaizdo duomenis naudoti ir mokslo ar rinkodaros tikslais.

22. Vaizdo duomenys tvarkomi automatiniu būdu ir saugomi Klinikos kompiuteryje. Klinikos kompiuteryje saugomi šifruoti vaizdo duomenys.

23. Vaizdo duomenys fotokamerų SD kortelėse laikomi laikinai kol vyksta fotografavimas, tačiau jį pabaigus, nedelsiant yra perkeliami į Klinikos kompiuterį ir ištrinami iš SD kortelių fotokamerose.

24. Mobiliuosiuose įrenginiuose (nešiojamuosiuose kompiuteriuose, planšetėse, išmaniuosiuose telefonuose ir pan.) vaizdo duomenys nėra saugomi.

25. Vaizdo duomenis automatiniu būdu tvarko šie duomenų naudotojai: administratoriai, gydytojai odontologai, gydytojai odontologai specialistai.

VI SKYRIUS

ASMENS DUOMENŲ TEIKIMAS

26. Klinika rūpindamasi duomenų subjekto privatumu įsipareigoja saugoti duomenų subjekto privatumą ir jo pateiktos informacijos konfidencialumą bei pateiktą informaciją naudoti išskirtinai šiame Tvarkos apraše nurodytiems tikslams. Klinika įsipareigoja be duomenų subjekto sutikimo neatskleisti šios informacijos jokiems tretiesiems asmenims, išskyrus atvejus kai asmens duomenų pateikimas tretiesiems asmenims be duomenų subjekto sutikimo yra numatytas Lietuvos Respublikos teisės aktuose. Tokiu atveju asmens duomenys tretiesiems asmenims yra atskleidžiami tik Lietuvos Respublikos teisės aktų numatyta tvarka.

27. Pacientų asmens duomenys tvarkomi įsiskolinimo valdymo tikslu gali būti teikiami advokatams, įsiskolinimų valdymo ir išieškojimo bendrovėms, antstoliams, teismams, kitiems su skolos išieškojimu susijusiems subjektams, tačiau tik tiek kiek tai būtina skolos išieškojimui.

28. Darbuotojų asmens duomenys (vardas, pavardė, asmens kodas, darbuotojo darbo užmokestis) teikiami Valstybinei mokesčių inspekcijai ir Valstybinei socialinio draudimo fondo valdybai (Sodrai). 

VII SKYRIUS

ASMENS DUOMENŲ SAUGOJIMAS

29. Pacientų asmens duomenys tvarkomi odontologinių paslaugų teikimo tikslu saugomi teisės aktų nustatytą terminą (15 metų).

30. Pacientų asmens duomenys tvarkomi įsiskolinimo valdymo tikslu saugomi tol kol trunka teisinis ginčas su pacientu.

31. Pacientų asmens duomenys tvarkomi Klinikos buhalterinės apskaitos vedimo tikslu saugomi teisės aktų nustatytais terminais.

32. Pacientų ir pacientų atstovų asmens duomenys tvarkomi priminimo apie užregistruotus vizitus ir informavimo apie Klinikos paslaugas tikslu saugomi du metus nuo sutikimo atšaukimo arba nuo Klinikos sprendimo nebetvarkyti asmens duomenų priminimo apie užregistruotus vizitus ir informavimo apie Klinikos paslaugas tikslu priėmimo dienos.

33. Darbuotojų asmens duomenys saugomi teisės aktų nustatytais terminais.

34. Kai asmens duomenys nereikalingi jų tvarkymo tikslams, jie sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenustato kitaip.

35. Duomenys tvarkomi automatiniu būdu sunaikinami ištrinant juos iš Klinikos serverio, kompiuterių, duomenų bazių ir informacinių sistemų. Duomenys tvarkomi neautomatiniu būdu naikinami Klinikos direktoriaus nustatyta tvarka.

VIII SKYRIUS

ASMENS DUOMENŲ SUBJEKTO TEISĖS

36.Duomenų subjektas turi šias pagrindines teises:

  • 36.1. teisę žinoti (būti informuotam) apie savo asmens duomenų tvarkymą Klinikoje;
  • 36.2. teisę susipažinti su Klinikos tvarkomais savo asmens duomenimis;
  • 36.3. teisę reikalauti ištaisyti asmens duomenis;
  • 36.4. teisę reikalauti ištrinti asmens duomenis („teisė būti pamirštam“);
  • 36.5. teisę apriboti asmens duomenų tvarkymą;
  • 36.6. teisę nesutikti su asmens duomenų tvarkymu;
  • 36.7. teisę į asmens duomenų perkeliamumą.

37. Duomenų subjektas, siekdamas įgyvendinti Tvarkos aprašo 36 punkte nurodytas teises (išskyrus Tvarkos aprašo 36.1 papunktyje nurodytą teisę), privalo pateikti rašytinį prašymą.

38. Klinika duomenų subjekto Prašymą privalo išnagrinėti ir atsakymą duomenų subjektui pateikti ne vėliau kaip per 30 kalendorinių dienų nuo prašymo gavimo dienos.

39. Klinika turi teisę atsisakyti pateikti duomenų subjektui jo prašomą informaciją, jeigu duomenų subjekto Prašymas yra nepagrįstas arba neproporcingas.

40. Klinikos pacientams Tvarkos aprašo 36.1 papunktyje numatyta duomenų subjekto teisė įgyvendinama pacientus pasirašytinai supažindinant su Pacientų privatumo politika, o darbuotojams – supažindinant juos su šiuo Tvarkos aprašu.

41. Duomenų subjektas, įgyvendindamas teisę susipažinti su Klinikos tvarkomais savo asmens duomenimis, turi teisę neatlygintinai susipažinti su asmens duomenimis ir gauti jų kopiją bei informaciją apie:

  • 41.1. asmens duomenų tvarkymo tikslus;
  • 41.2. atitinkamas asmens duomenų kategorijas;
  • 41.3. duomenų gavėjus arba jų kategorijas;
  • 41.4. numatomą asmens duomenų saugojimo laikotarpį arba kriterijus, pagal kuriuos nustatomas asmens duomenų saugojimo laikotarpis, jei tai yra įmanoma;
  • 41.5. asmens duomenų šaltinius.

42. Jeigu duomenų subjektas nustato, kad Klinikoje yra tvarkomi netikslūs ar neišsamūs jo asmens duomenys, duomenų subjektas turi teisę kreiptis su prašymu, kad Klinika ištaisytų tvarkomus netikslius asmens duomenis arba papildytų neišsamius asmens duomenis. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, Klinika nedelsdama, bet ne vėliau kaip per 5 darbo dienas, ištaiso neišsamius ar netikslius asmens duomenis ir informuoja apie tai duomenų subjektą. Klinika apie duomenų subjekto prašymu ištaisytus neišsamius ar netikslius asmens duomenis informuoja duomenų gavėjus, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams.

43. Duomenų subjektas turi teisę kreiptis su prašymu ištrinti su juo susijusius asmens duomenis, jeigu yra vienas iš šių pagrindų:

  • 43.1. asmens duomenys nebėra reikalingi tikslams, kurie buvo nustatyti, prieš renkant asmens duomenis;
  • 43.2. atšauktas duomenų subjekto sutikimas, kuriuo vadovaujantis buvo grindžiamas duomenų subjekto asmens duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenų subjekto asmens duomenis;
  • 43.3. asmens duomenų subjektas nesutinka su savo asmens duomenų tvarkymu pagal Reglamento 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti asmens duomenis;
  • 43.4. asmens duomenys buvo tvarkomi neteisėtai;
  • 43.5. asmens duomenys turi būti ištrinti, laikantis Europos Sąjungos teisės aktuose arba Lietuvos Respublikos teisės aktuose nustatytos teisinės prievolės.

44. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas ištrinti asmens duomenis yra pagrįstas, Klinika nedelsdama, bet ne vėliau kaip per 5 darbo dienas, ištrina su duomenų subjektu susijusius asmens duomenis ir apie tai informuoja duomenų subjektą. Klinika apie duomenų subjekto prašymu ištrintus asmens duomenis informuoja duomenų gavėjus, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams.

45. Duomenų subjektas turi teisę kreiptis į Kliniką su prašymu apriboti savo asmens duomenų tvarkymą, jeigu yra vienas iš šių pagrindų:

  • 45.1. duomenų subjektas užginčija Klinikos tvarkomų jo asmens duomenų tikslumą. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį duomenų valdytojas patikrina asmens duomenų tikslumą;
  • 45.2. yra nustatyta, kad duomenų subjekto asmens duomenų tvarkymas buvo neteisėtas ir duomenų subjektas nesutinka, kad asmens duomenys būtų ištrinti, ir vietoje to prašo apriboti jų tvarkymą;
  • 45.3. jeigu yra pasiektas asmens duomenų tvarkymo tikslas ir Klinikai, kaip duomenų valdytojui, nebereikia šiam tikslui pasiekti surinktų duomenų subjekto asmens duomenų, tačiau jų reikia duomenų subjektui, siekiančiam pareikšti, vykdyti ar apginti teisinius reikalavimus;
  • 45.4. duomenų subjektas pateikė Prašymą Klinikai, kuriame išreiškė nesutikimą, kad Klinika tvarkytų jo asmens duomenis. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas tokiam laikotarpiui, per kurį duomenų valdytojas patikrina, ar šis duomenų subjekto prašymas pagrįstas.
  • 45.5. duomenų subjektas pateikia prašymą ištrinti jo Klinikoje tvarkomus asmens duomenis ir nustatoma, kad prašymas yra pagrįstas, tačiau nėra techninių galimybių duomenų subjekto asmens duomenis ištrinti nedelsiant. Tokiu atveju duomenų subjekto asmens duomenų tvarkymas gali būti apribotas iki tol, kol duomenų subjekto asmens duomenys bus ištrinti.

46. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas apriboti asmens duomenų tvarkymą yra pagrįstas, Klinika privalo apriboti duomenų subjekto asmens duomenų tvarkymą ir apie tai informuoti duomenų subjektą. Klinika apie duomenų subjekto prašymu apribotą asmens duomenų tvarkymą informuoja duomenų gavėjus, jeigu duomenų subjekto asmens duomenys buvo teikiami duomenų gavėjams.

47. Duomenų subjektas turi teisę kreiptis į Kliniką nesutikdamas, kad duomenys būtų tvarkomi tiesioginės rinkodaros tikslais, jeigu Klinika tokiais tikslais duomenų subjekto asmens duomenis tvarkytų. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas yra pagrįstas, Klinika privalo ne vėliau kaip per 5 darbo dienas informuoti duomenų subjektą, kad jo prašymas bus įvykdytas.

48. Duomenų subjektas turi teisę kreiptis į Kliniką su prašymu gauti su juo susijusius asmens duomenis bei turi teisę prašyti persiųsti Klinikos tvarkomus duomenų subjekto asmens duomenis kitam duomenų valdytojui, jeigu yra šios sąlygos:

  • 48.1. duomenų subjekto asmens duomenų tvarkymas yra grindžiamas:
    • a) duomenų subjekto sutikimu arba
    • b) vykdoma sutartimi tarp Klinikos ir duomenų subjekto;
  • 48.2. asmens duomenys yra tvarkomi automatizuotomis priemonėmis.

49. Jeigu yra nustatoma, kad duomenų subjekto pateiktas prašymas į duomenų perkeliamumą yra pagrįstas, Klinika pateikia duomenis:

  • 49.1. duomenų subjektui;
  • 49.2. kitam duomenų valdytojui, jeigu:
    • a) duomenų subjektas prašyme nurodo, kad Klinika asmens duomenis turėtų persiųsti kitam duomenų valdytojui
    • b) yra techninės galimybės pateikti asmens duomenis tiesiogiai kitam duomenų valdytojui.

 

IX SKYRIUS

ASMENS DUOMENŲ SAUGUMO NUOSTATOS

 

50. Darbuotojai, tvarkantys asmens duomenis ir darbuotojai, pagal kompetenciją turintys teisę susipažinti su Klinikos tvarkomais asmens duomenimis yra pasirašytinai supažindinti su šiuo Tvarkos aprašu. Darbuotojai taip pat yra pasirašę Susitarimą dėl konfidencialios informacijos apsaugos, kuriuo yra įsipareigoję laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją su kuria jie susipažino eidami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas.

51. Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai, siekdami užkirsti kelią atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, turi saugoti dokumentus bei duomenų rinkmenas tinkamai ir saugiai. Kopijuoti dokumentus ir duomenų rinkmenas, kuriuose yra asmens duomenys ar daryti jų išrašus leidžiama tik Klinikos direktoriaus nustatyta tvarka. Klinikos dokumentų kopijos ir duomenų rinkmenos, kuriose yra asmens duomenys, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio.

52. Asmens duomenų tvarkymo funkcijas vykdantys darbuotojai asmens duomenų tvarkymo veiksmus turi teisę atlikti tik Klinikai priklausančiais kompiuteriais arba išmaniaisiais įrenginiais, kuriuose yra įdiegta licencijuota ir saugi programinė įranga.

53. Prieigą prie automatiniu būdu tvarkomų pacientų asmens duomenų saugo, valdo ir kontroliuoja informacinė sistema. Kiekvienam darbuotojui, kuriam suteikta prieiga prie automatiniu būdu tvarkomų pacientų asmens duomenų suteikiamas vartotojo identifikacijos kodas ir slaptažodis.

54. Slaptažodžiai parenkami taip, kad jų nebūtų galima lengvai atspėti iš mažiausiai 7 ženklų, jame turi būti didžiosios ir mažosios raidės bei skaičiai. Slaptažodžiai reguliariai keičiami (ne rečiau kaip kas 2 mėn.).

55. Asmens duomenys elektroniniu paštu siunčiami tik šifruoti.

56. Su duomenų tvarkytojais sudarytos duomenų tvarkymo sutartys, atitinkančios Bendrojo duomenų apsaugos reglamento nuostatas.

57. Klinikoje yra daromos automatiniu būdu tvarkomų asmens duomenų atsarginės kopijos.

58. Dokumentų, kuriuose yra asmens duomenys, saugojimui įdiegtos techninės ir fizinės priemonės, užtikrinančios, kad su dokumentais galėtų susipažinti tik įgalioti duomenų naudotojai.

59. Klinikoje įgyvendinamos ir kitos atitinkamos techninės saugumą užtikrinančios priemonės, kurios padeda apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Klinikoje yra paskirtas asmuo už techninių saugumą užtikrinančių priemonių įdiegimą ir priežiūrą.

60. Klinikoje paskirtas asmuo, atsakingas už asmens duomenų tvarkymo kontrolę ir pranešimus apie incidentus.

 

X SKYRIUS

PRANEŠIMAI APIE INCIDENTUS

 

61. Klinika dokumentuoja visus asmens duomenų saugumo pažeidimus, įskaitant su asmens duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi.

62. Asmens duomenų saugumo pažeidimo atveju Klinika nedelsdama ir, jei įmanoma, praėjus ne daugiau kaip 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, apie tai praneša Valstybinei asmens duomenų apsaugos inspekcijai, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms.

63. Kai dėl duomenų saugumo pažeidimo gali kilti didelis pavojus duomenų fizinių asmenų teisėms ir laisvėms, Klinika nedelsdama praneša apie asmens duomenų saugumo pažeidimą duomenų subjektui. Pranešimas gali būti nesiunčiamas, jeigu yra įvykdytos visos Bendrojo duomenų apsaugos reglamento 34 straipsnio 3 dalyje nurodytos sąlygos.

XI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

64. Už Tvarkos aprašo nuostatų laikymąsi Klinikos darbuotojai, tvarkantys asmens duomenis, atsako teisės aktų nustatyta tvarka.

65. Klinika užtikrina, kad organizacinės ir techninės asmens duomenų saugumo priemonės būtų periodiškai, bet ne rečiau kaip kartą per du metus, peržiūrimos ir, esant reikalui, atnaujinamos.

PATVIRTINTA direktoriaus 2018-11-30 įsakymu Nr. DA-1