Atgal

Asmens duomenų tvarkymo taisyklės

BENDROSIOS NUOSTATOS

1. Nacionalinio vėžio instituto asmens duomenų tvarkymo taisyklės reguliuoja asmens duomenų tvarkymą Nacionaliniame vėžio institute, užtikrinant tinkamą 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB. kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Taisyklių nuostatos negali plėsti ar siaurinti Reglamento taikymo srities bei prieštarauti Reglamento nustatytiems asmens duomenų tvarkymo principams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

3. Lietuvos Respublikos Vyriausybės 2016 m. rugpjūčio 11 d. nutarimu Nr. 806 „Dėl Vėžio registro įsteigimo, Vėžio registro nuostatų patvirtinimo ir registro veiklos pradžios nustatymo" buvo įsteigtas Vėžio registras, kurio valdytoja yra Lietuvos Respublikos švietimo ir mokslo ministerija, tvarkytojas - NVI. NVI, kaip Vėžio registro tvarkytojo, teisės ir pareigos. Vėžio registro duomenų, informacijos ir dokumentų tvarkymo taisyklės yra nustatytos Nutarimu.
TAIKYMO SRITIS
4. Šios Taisyklės taikomos tvarkant duomenų subjekto duomenis, taip pat nustato NVI darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.

5. Šių Taisyklių reikalavimai privalomi visiems NVI darbuotojams, kurie tvarko NVI esančius asmens duomenis arba eidami savo pareigas juos sužino ar gali sužinoti. Šių taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami paslaugas sužino ir tvarko asmens duomenis.

6. NVI darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente ir šiose Taisyklėse.

7. Prieiga prie asmens duomenų gali būti suteikiama tik tiems NVI darbuotojams ir asmenims, kuriems asmens duomenys yra reikalingi jų pareigybių aprašymuose nustatytoms funkcijoms ir pavedimams vykdyti ir kurie įsipareigoję laikytis konfidencialumo pasižadėjimo.
ASMENS DUOMENŲ TVARKYMO TIKSLAI IR TEISINIS PAGRINDAS

8. Asmens duomenys NVI tvarkomi šiais tikslais:

8.1. rinkti ir tvarkyti informaciją apie pacientų sveikatą, siekiant užtikrinti sveikatos priežiūros paslaugų teikimą ir jų kokybę, statistinių duomenų kaupimą;

8.2. vykdyti mokymo procesą, biobanko veiklą ir mokslinius tyrimus;

8.3. užtikrinti NVI darbuotojų, lankytojų ir turto saugumą (vaizdo stebėjimas);

8.4. administruoti NVI veiklą (NVI pretendentų į darbuotojus, esamų ir buvusių darbuotojų, praktikantų, rezidentų asmens duomenų tvarkymas, pacientų registracija ir kt.);

8.5. skundų ir prašymų administravimas;

8.6. viešųjų pirkimų procedūrų organizavimo ir vykdymo tikslais gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys;

8.7. prekių, darbų, paslaugų sutarčių su tiekėjais vykdymo tikslu gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys;

8.8. telefonu teikiamos informacijos kokybės užtikrinimo tikslu gali būti tvarkomi skambinančiojo asmens duomenys, t.y. pokalbio metu pateikta informacija;

8.9. asmenų iš kitų įstaigų, įmonių, organizacijų asmens duomenys tvarkomi vaistinių preparatų reklamos renginių registravimo NVI tikslais;

8.10. asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Nacionaliniame vėžio institute, asmens duomenys tvarkomi gerosios praktikos pasidalijimo, komunikacijos, Nacionalinio vėžio instituto veiklos viešinimo tikslu.

9. NVI asmens duomenis tvarko vadovaudamasi Reglamento 6 ir 9 straipsniuose nurodytais pagrindais.

10. Vaizdo duomenų tvarkymo taisyklės yra patvirtintos atskiru NVI direktoriaus įsakymu.

11. Darbuotojų asmens duomenų tvarkymo taisyklės patvirtintos atskiru NVI direktoriaus įsakymu.

TVARKOMŲ ASMENS DUOMENŲ KATEGORIJOS

12. Siekiant įgyvendinti Taisyklių 10.1 punkte nurodytą tikslą. NVI tvarkomi šie pacientų asmens duomenys:

12.1. Bendrieji pacientų duomenys: Lietuvos Respublikos gyventojo asmens kodas arba užsienio valstybės piliečio asmens kodas ar kitas identifikavimo kodas, vardas, pavardė, šeiminė padėtis, gimimo data, lytis, mirties data, nuoroda į naujagimio motinos duomenis, asmens tapatybę patvirtinančio dokumento duomenys (rūšys, numeris, išdavimo data. išdavusi valstybė), kontaktiniai duomenys (faktinės gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresai), kontaktinių asmenų duomenys.

12.2. Ypatingi pacientų duomenys: atvykimo į asmens sveikatos priežiūros įstaigą taktas, parengti elektroniniai medicininiai dokumentai (įskaitant juos sudarančius duomenis bei metaduomenis), elektroninės medicininės pažymos (įskaitant juos sudarančius duomenis bei metaduomenis), išrašyti e. Receptai (įskaitant juos sudarančius duomenis bei metaduomenis). padaryti medicininiai vaizdai (įskaitant metaduomenis bei jonizuojančios spinduliuotės dozės duomenis), valios pareiškimai, sveikatos priežiūros specialistų ir sveikatos priežiūros įstaigų pasirinkimai, ūgis, svoris, juosmens apimtis, kūno masės indeksas, kraujo grupė ir rezus faktorius, rizikos veiksniai, gyvenimo būdas (žalingi įpročiai), sveikatai kenksmingi ir pavojingi aplinkos veiksniai, neįgalumo lygis, darbingumo lygis, specialieji poreikiai ir jų nustatymo pradžios ir pabaigos datos, profilaktinių sveikatos patikrinimų duomenys, taikytų vakcinacijų duomenys, persirgtų ligų ar būklių pavadinimai ir kodai, alerginių reakcijų pavadinimai ir kodai, artimųjų giminaičių paveldimų arba genetinių ligų diagnozių kodai, nusiskundimų ir anamnezių duomenys, suteiktos sveikatinimo paslaugos (statistinių apskaitos formų, naudojamų duomenims apie suteiktas sveikatinimo paslaugas rinkti, formatą), pacientų apsilankymų datos, laikai ir apsilankymų tikslai (priežastys), gydymo ambulatoriškai ar stacionare suvestinės (apsilankymų statusai, dienynai, epikrizės, išrašai), diagnozuotų ligų ar būklių pavadinimai ir kodai, taikyto gydymo būdai, atliktos procedūros ir operacijos (intervencijos), ilgalaikio stebėjimo duomenys, gydymas vaistiniais preparatais, medicinos pagalbos priemonių taikymas, siuntimai konsultuoti, tirti, gydyti, paimti mėginiai, atlikti tyrimai, apdraustumo sveikatos draudimu požymis registravimo sveikatinimo paslaugoms gauti metu, apdraustumo pradžios data, nuo kurios asmuo buvo (yra) draustas, apdraustumo pabaigos data, iki kurios asmuo buvo (yra) draustas, išduoti elektroniniai nedarbingumo pažymėjimai bei elektroniniai nėštumo ir gimdymo atostogų pažymėjimai (asmens kodas, vardas, pavardė, nedarbingumo priežastis, nedarbingumo, nėštumo ir gimdymo atostogų laikotarpis, gimdymo data), išduoti leidimai dėl nedarbingumo bei nėštumo ir gimdymo atostogų pažymėjimų išdavimo Elektroninių nedarbingumo pažymėjimų bei elektroninių nėštumo ir gimdymo atostogų pažymėjimų išdavimo taisyklių nenumatytais atvejais (asmens kodas, vardas, pavardė, tarnybinio pažymėjimo numeris, sveikatinimo įstaiga, kuriai skirtas leidimas, nedarbingumo laikotarpis), išskyrus valstybės ar tarnybos paslaptį sudarančius duomenis.

12.3. Siekiant įgyvendinti 10.2 punkte nurodytus biobanko veiklos ir mokslinio tyrimo vykdymo tikslus, tvarkomi paciento duomenys, kurie reikalingi atsižvelgiant į mokslinio tyrimo užsakovo, kito biobanko pateiktą sąrašą ir (ar) mokslinio tyrimo protokolą (pavyzdžiui, vardas, pavardė, identifikacinis kodas, demografiniai duomenys, rasinė ir etninė kilmė, lytis, gimimo data, kontaktinė informacija (telefono numeris, adresas), fizinio ištyrimo duomenys, gyvybinių funkcijų rodikliai, laboratorinių, radiologinių tyrimų duomenys, informacija apie skiriamą gydymą ir nepageidaujamus reiškinius ir kt.).

12.4. Kiti asmens duomenys, kurie teisėtai  renkami  ir tvarkomi  vadovaujantis Reglamentu.
ASMENS DUOMENŲ TVARKYMAS

13. NVI darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų, įtvirtintų Reglamente:

13.1. asmens duomenys turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas):

13.2. asmens duomenys turi būti renkami Taisyklių 10 punkte apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);

13.3. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

13.4. asmens duomenys turi būti tikslūs ir prireikus atnaujinami. Turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

13.5. asmens duomenys laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys tvarkomi. Asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama pagal Reglamentą siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

13.6. Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas. įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);

13.7. NVI yra atsakingas už tai, kad būtų laikomasi asmens duomenų tvarkymo principų, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

14. Asmens duomenys saugomi tiek laiko, kiek nurodyta Lietuvos Respublikos biomedicininių tyrimų etikos įstatyme, Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakyme Nr.515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos" ir Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakyme Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo" ir kituose teisės aktuose,
reglamentuojančiuose atitinkamų asmens duomenų tvarkymą. Konkretūs duomenų saugojimo terminai gali būti nustatyti kituose NVI vidaus teisės aktuose.

15. Asmens duomenys NVI tvarkomi automatiniu ir neautomatiniu būdu.

16. Vadovaujantis Lietuvos Respublikos sveikatos apsaugos ministro įsakymu „Dėl leidimų atlikti klinikinius vaistinių preparatų tyrimus išdavimo, tyrimų atlikimo ir kontrolės tvarkos aprašo patvirtinimo" (2006 m. gegužės 31 d. Nr. V-435) tyrimo centras ir užsakovas pagrindinius klinikinio tyrimo dokumentus saugo 15 metų nuo tyrimo baigimo datos. Kitų mokslinių tyrimų dokumentai saugomi 15 metų nuo tyrimo baigimo datos.
17. Asmens duomenys NVI renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, gaunant iš kitų asmenų teisės aktų nustatyta tvarka ir pagrindais, taip pat oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).

17. Duomenų rinkimo tvarka:

17.1. Registruojantis naujam pacientui duomenys apie pacientus į pacientų duomenų bazę (toliau - DB) įvedami iš šių šaltinių: NVI pateikto paciento paso, gimimo liudijimo, socialinio draudimo pažymėjimo, pensininko pažymėjimo, neįgaliojo pažymėjimo, pažymos apie registraciją Valstybinėje darbo biržoje, kitų dokumentų, kuriuos pateikia pacientai.

17.2. Kiti asmens duomenų teikėjai yra šie:

17.2.1. Lietuvos Respublikos sveikatos apsaugos ministerija teikia duomenis iš Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) ir Išankstinės pacientų registracijos informacinės sistemos (IPR): pacientų, elektroninės sveikatos istorijos ESI, vaistinių preparatų ir medicinos pagalbos priemonių, medicinos prietaisų, klasifikatorių, medicininių vaizdų, e. receptų, ataskaitų ir statistinės informacijos duomenų bazių duomenis bei IPR duomenis (užsiregistravusio paciento asmens kodas, vardas, pavardė, gimimo data, adresas, kontaktinis telefono numeris, sveikatinimo specialistas pas kurį registruojamasi duomenys, apsilankymo data, laikas ir apsilankymo tikslas (priežastis).

17.2.2. Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos teikia duomenis iš Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau - DPSDR) ir Privalomojo sveikatos draudimo informacinės sistemos „Sveidra" (SVEIDRA): draudžiamojo asmens kodas, draudžiamojo asmens identifikacinis kodas, draudžiamojo asmens gimimo data, draudžiamojo asmens vardas, pavardė, apdraustumo pradžios data, nuo kurios asmuo buvo (yra) draustas, apdraustumo pabaigos data, iki kurios asmuo buvo (yra) draustas, paciento pasirinktas sveikatos priežiūros specialistas (vardas, pavardė, sveikatos priežiūros specialisto identifikacinis (spaudo) numeris), paciento pasirinkta sveikatos priežiūros įstaiga (pavadinimas, juridinio asmens kodas).

17.2.3. Valstybinio socialinio draudimo valdyba prie Socialinės apsaugos ir darbo ministerijos teikia duomenis iš Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos: pacientams išduoti elektroniniai nedarbingumo pažymėjimai bei elektroniniai nėštumo ir gimdymo atostogų pažymėjimai (asmens kodas, vardas, pavardė, nedarbingumo priežastis, nedarbingumo, nėštumo ir gimdymo atostogų laikotarpis, gimdymo data).

17.2.4. Biobanko veiklai vykdyti gali būti renkama asmens sveikatos informacija iš įvairių Lietuvos Respublikos registrų, informacinių sistemų, sveikatos priežiūros įstaigų pagal sudarytas sutartis.

17.3. Duomenis į DB įveda ir toliau tvarko NVI darbuotojai, pasirašę konfidencialumo pasižadėjimą ir susipažinę su 2001 m. vasario 1 d. Lietuvos Respublikos sveikatos apsaugos ministro įsakymu Nr. 65 „Dėl Informacijos apie pacientą valstybės institucijoms ir kitoms įstaigoms teikimo tvarkos aprašo patvirtinimo ir asmens sveikatos paslapties kriterijų nustatymo". 2011 m. gegužės 20 d. Lietuvos Respublikos sveikatos apsaugos ministro įsakymu Nr. V-506 „Dėl rašytinės informacijos, įskaitant ir konfidencialią, apie pacientą ir jam suteiktas paslaugas teikimo ir šios paslaugos apmokėjimo tvarkos aprašo patvirtinimo" bei šiomis Taisyklėmis.

17.4. Su konkrečiu pacientu susijusių medicininių duomenų kaupimas ir apdorojimas vyksta informacinėje sistemoje - hospitaliniame registre. Hospitalinio registro naudojimo tvarka aprašyta NVI direktoriaus įsakymu patvirtintoje procedūroje P6 „Informacinių technologijų ir duomenų saugos valdymas".

17.5.  Biobanko veiklos ir mokslinio tyrimo metu duomenų subjektų asmens duomenis renka ir tvarko atsakingas biobanko darbuotojas, tyrime dalyvaujantys gydytojai tyrėjai arba tyrimo koordinatoriai. Renkami ir tvarkomi tyrimo užsakovo pateikti ir tyrimo protokoluose numatyti asmens duomenys, taip pat ypatingi asmens duomenys ir ypatingi asmens duomenys apie sveikatą. Surinkti asmens duomenys yra nuasmeninami ir koduojami taip, kad nebūtų įmanoma nustatyti duomenų subjekto tapatybės. Duomenų subjektų identifikacinių kodų sąrašas laikomas tyrimo centre saugioje vietoje, vadovaujantis tokių dokumentų saugojimui galiojančiais standartais, t.y. dokumentai (tiek popieriniame variante, tiek elektroninėse rinkmenose) laikomi rakinamose spintose rakinamose patalpose, kur prieiga yra ribota. Šiose patalpose gali lankytis tik biobanko. biomedicininio ar klinikinio tyrimo personalas.

18. Asmens duomenis tvarko arba turi prie jų prieigą NVI darbuotojai, kuriems tai yra būtina tiesioginių pareigų vykdymui:

18.1. Gydantis gydytojas;

18.2. Padalinio, kuriame gydomas pacientas, vadovas;

18.3. Gydytojas konsultantas;

18.4. Pacientą aptarnaujantis personalas;

18.5. Personalas, pacientui suteikiantis būtinąją pagalbą;

18.6. Personalas, atliekantis auditą;

18.7. Personalas, susijęs su informacinės sistemos palaikymu ir pasirašęs pasižadėjimą neatskleisti duomenų;

18.8. Moksliniame tyrime dalyvaujančių asmenų duomenis tvarko mokslinio tyrimo komanda (tyrėjai, koordinatoriai);

18.9. Biobanko darbuotojai.

19.   Duomenų teikimas duomenų gavėjams:

19.1. Asmens duomenys gali būti teikiami tik pagal sudarytą asmens duomenų teikimo sutartį arba gavus duomenų gavėjo prašymą.

19.2. Pacientų duomenys teikiami šiems duomenų gavėjams:

19.2.1. Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (SVEIDRA): paciento vardas, pavardė, asmens kodas, adresas gydymo epizodo trukmė ir laikas, diagnozė, suteiktos gydymo paslaugos (pagal Valstybinės ligonių kasos patvirtintą paslaugų klasifikatorių), operacijos, brangios procedūros ir tyrimai. Šie duomenys naudojami gydymo paslaugų įkainių, NVI pacientams suteiktų paslaugų ir už jas gautų pajamų skaičiavimui.

19.2.2. Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos: paciento sveikatos duomenys. Šie duomenys teikiami siekiant pagrįsti pacientams išduodamų nedarbingumo pažymėjimų būtinumą.

19.2.3. Valstybės ar savivaldybės įstaigoms, kitiems fiziniams ar juridiniams asmenims, kai teisės aktai įpareigoja NVI prašomus duomenis teikti: paciento vardas, pavardė, asmens kodas, informacija apie paciento sveikatos būklę, diagnozes ir gydymą.

19.2.4. Pacientai, pacientų artimieji, šeimos nariai, atstovai: paciento vardas, pavardė, asmens kodas, informacija apie paciento sveikatos būklę, diagnozes ir gydymą. Šie duomenys teikiami įgyvendinant pacientų teisę susipažinti su tvarkomais savo asmens duomenimis, taip siekiant užtikrinti suteikiamų asmens sveikatos priežiūros paslaugų kokybę ir teisės aktais nustatytų pareigų įgyvendinimą.

19.2.5. Nuasmeninti moksliniame tyrime dalyvaujančių asmenų duomenys teikiami tyrimo užsakovams, kitiems biobankams pagal sutartį bei kitoms atsakingoms institucijoms nepažeidžiant konfidencialumo sąlygų.

DUOMENŲ SUBJEKTŲ TEISĖS

20. Duomenų subjektų teisės ir jų įgyvendinimo tvarka yra reglamentuota NVI direktoriaus įsakymu patvirtintose Duomenų subjekto teisių įgyvendinimo Nacionaliniame vėžio institute taisyklėse.

 

 

DUOMENŲ VALDYTOJO IR TVARKYTOJO FUNKCIJOS, TEISĖS IR PAREIGO

21. Duomenų valdytojas turi šias teises:

21.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

21.2. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

21.3. kitas galiojančiuose Lietuvos Respublikos įstatymuose ir teisės aktuose numatytas teises;

22.   Duomenų valdytojas turi šias pareigas:

22.1. užtikrinti, kad būtų laikomasi Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;

22.2. įgyvendinti duomenų subjekto teises Reglamento nustatyta tvarka;

22.3. užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;

22.4. tvarkyti duomenų tvarkymo veiklos įrašus;

22.5. vertinti poveikį duomenų apsaugai;

22.6. konsultuotis su VDAI;

22.7. paskirti duomenų apsaugos pareigūną;

22.8. pranešti apie duomenų saugumo pažeidimą;

22.9. kitas galiojančiuose Lietuvos Respublikos įstatymuose ir teisės aktuose numatytas pareigas.

23.   Duomenų valdytojas atlieka šias funkcijas:

23.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;

23.2. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;

23.3. vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti; 

24 . Duomenų tvarkytojai turi teises ir pareigas bei vykdo funkcijas, numatytas asmens duomenų tvarkymo sutartyje.

25. Tais atvejais, kai NVI įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp NVI ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.

26. Turi būti parenkamas toks duomenų tvarkytojas, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

27. Duomenų valdytojas ir duomenų tvarkytojas turi užtikrinti asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gairėse numatytas saugumo priemones.
KONFIDENCIALUMO IR SAUGUMO NUOSTATOS
28. NVI darbuotojai, tvarkantys asmens duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja tiek įstaigos viduje, tiek už jos ribų, o taip pat pasibaigus darbo ar sutartiniams santykiams.
29. Darbuotojai gali susipažinti bei naudotis tik tais dokumentais ir duomenų rinkmenomis, su kuriais susipažinti ir juos tvarkyti jie buvo įgalioti.

30. Darbuotojai turi imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Jei darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį savo vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.

31. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodis negali būti lengvai atspėjami žodžiai. Geriausia slaptažodį sudaryti iš kelių žodžių juos tam tikru būdu sujungiant ir įvedant skaičius. Slaptažodžių negalima užsirašinėti, slaptažodis turi būti keičiamas reguliariai kas du mėnesiai arba dažniau jei būtų pastebėtas bandymas nesankcionuotai patekti į sistemą, o taip pat susidarius tam tikroms įtartinoms situacijoms, kurios gali kelti grėsmę asmens duomenų saugumui. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.

32. Darbuotojas, atsakingas už kompiuterių priežiūrą, daro tarnybinėse stotyse esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas turi jas atstatyti.

33. Kitos duomenų ir kompiuterių įrangos fizinės saugos užtikrinimo priemonės nurodytos NVI direktoriaus įsakymu patvirtintoje procedūroje P6 ..Informacinių technologijų ir duomenų saugos valdymas" ir NVI direktoriaus įsakymu patvirtintuose NVI informacinės sistemos nuostatuose.
DUOMENŲ SAUGUMO PAŽEIDIMO VALDYMO NUOSTATOS

34. NVI darbuotojai pastebėję galimus Pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi pareigą visais įmanomais būdais (žodžiu, raštu ar elektroninėmis priemonėmis) nedelsiant informuoti NVI duomenų apsaugos pareigūną.

35. Pažeidimų nustatymas, asmenims kylančio pavojaus vertinimas, pažeidimų dokumentavimas, pranešimams apie pažeidimus reguliuojamas Nacionalinio vėžio instituto asmens duomenų saugumo pažeidimų valdymo tvarkos apraše.

APSAUGOS PAREIGŪNAS
36. Duomenų valdytojas skiria NVI duomenų apsaugos pareigūną. NVI duomenų apsaugos pareigūnas NVI yra vyriausiasis specialistas duomenų saugai (saugos jgaliotinis).

37. Duomenų apsaugos pareigūnas vykdo jam pagal Reglamentą pavestas užduotis.

38. Duomenų apsaugos pareigūnas yra nepriklausomas NVI patarėjas asmens duomenų apsaugos klausimais.
BAIGIAMOSIOS NUOSTATOS

39. Šių Taisyklių keitimus atlieka rengėjas pagal procedūrą PI „Dokumentų valdymas".

40. Darbuotojai ir kiti Taisykles ar Reglamentą pažeidę asmenys, atsako teisės aktų nustatyta tvarka.

41. Patvirtinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. NVI direktorius įsakymu paskiria atsakingą darbuotoją, kuris pasirašytinai supažindina naujai priimtus darbuotojus su Taisyklėmis. Už esamų darbuotojų supažindinimą su taisyklėmis atsakingi skyrių vedėjai.Už NVI tvarkomų duomenų saugumą atsako duomenis tvarkantis darbuotojas.

42. Už Taisyklių laikymosi priežiūrą padaliniuose atsakingi NVI padalinių vadovai.

43. Už duomenų subjektų duomenų atnaujinimą padaliniuose, kuriuose renkami ir tvarkomi duomenų subjektų duomenys, atsako NVI padalinių vadovai.

44. Taisyklės turi būti peržiūrimos ir tikslinamos pagal atitinkamai pasikeitusių kitų asmens duomenų tvarkymą reglamentuojančių teisės aktų nuostatas.
NUORODOS

45. Taisyklės parengtos vadovaujantis:

45.1.      2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB.

45.2.         Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

45.3.         Lietuvos Respublikos sveikatos sistemos įstatymu.

45.4.         Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu.

45.5.         Lietuvos Respublikos sveikatos draudimo įstatymu.

45.6.         Lietuvos Respublikos valstybinio socialinio draudimo įstatymu.

45.7.         Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu.

45.8.         Lietuvos Respublikos biomedicininių tyrimų etikos įstatymu.

45.9.         Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos".

45.10.     Lietuvos Respublikos sveikatos apsaugos ministro 1998 m. birželio 12 d. Nr. 320 įsakymu „Dėl geros klinikinės praktikos".

45.11.    Lietuvos Respublikos sveikatos apsaugos ministro 2006 m. gegužės 31 d. Nr. V-435 įsakymu „Dėl leidimų atlikti klinikinius vaistinių preparatų tyrimus išdavimo, tyrimų atlikimo ir kontrolės tvarkos aprašo patvirtinimo".

45.12.    Lietuvos Respublikos sveikatos apsaugos ministro įsakymu 2001 m. vasario 1 d. Nr. 65 „Dėl Informacijos apie pacientą valstybės institucijoms ir kitoms įstaigoms teikimo tvarkos aprašo patvirtinimo ir asmens sveikatos paslapties kriterijų nustatymo".

45.13.    Lietuvos Respublikos sveikatos apsaugos ministro įsakymu 2011 m. gegužės 20 d. Nr. V-506 „Dėl rašytinės informacijos, įskaitant ir konfidencialią, apie pacientą ir jam suteiktas paslaugas teikimo ir šios paslaugos apmokėjimo tvarkos aprašo patvirtinimo".

45.14.    Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2007 m. rugsėjo 18 d. įsakymu Nr. 1K-145 „Dėl Privalomojo sveikatos draudimo informacinės sistemos "SVEIDRA" duomenų saugos nuostatų patvirtinimo".

45.15.    Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2014 m. birželio 5 d. įsakymu Nr. 1K-136 „Dėl Privalomojo sveikatos draudimo informacinės sistemos „Sveidra" nuostatų pakeitimo".

45.16.    ir kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.

PACIENTŲ ASMENS DUOMENŲ SAUGUMO UŽTIKRINIMO INSTRUKCIJOS NVI DARBUOTOJAMS TEIKIANT SVEIKATOS PRIEŽIŪROS PASLAUGAS (PRIEDAS)

NVI darbuotojai teikdami sveikatos priežiūros paslaugas pacientams turi vadovautis Taisyklėmis bei šiomis instrukcijomis:

  1. Jokia informacija apie pacientą ar jo buvimą įstaigoje telefonu neteikiama. Telefonu pacientui ar jo teisėtam atstovui gali būti teikiama tik informacija apie vizito laiką (paciento registravimas, apsilankymo datos ar vietos keitimas). Gali būti skambinama tik paciento nurodytu telefono numeriu. Gydantis gydytojas, siekiantis gauti ar pasitikslinti paciento sveikatos informaciją, kuri reikalinga gydymo procesui, gali įstaigos telefonu skambinti kitos gydymo įstaigos gydytojui viešai skelbiamais tos įstaigos telefono numeriais. Tiek kalbant telefonu, tiek gydytojų kabinetuose, turi būti užtikrintas pokalbių su pacientais konfidencialumas (pokalbis turi vykti taip. kad pokalbio metu pateiktų asmens duomenų negalėtų girdėti neįgalioti asmenys).

  2. Kabinetuose, budėjimo postuose ir pan. laikoma paciento dokumentacija (ambulatorinė kortelė, tyrimai, išrašai, temperatūrų lapai prie paciento lovos ir kita) turi būti padėti taip, kad bet koks kitas asmuo nematytų pacientų asmens duomenų (vardų, pavardžių, asmens kodų, kontaktų, diagnozių ir kitos informacijos). Baigus darbą, paciento dokumentacija taip pat turi būti sudėta tvarkingai, užversta, kad atvirai nesimatytų jokių pacientų duomenų. Jei įmanoma, kortelės ir kita medicininė dokumentacija turėtų būti sudėtos į spintas ir užrakintos.

  3. Kompiuterių monitoriai, kuriuose sveikatos priežiūros specialistai peržiūri su paciento sveikata susijusią informaciją, turėtų būti nukreipti taip, kad su monitoriuje matomais asmens duomenimis negalėtų susipažinti tokios teisės neturintys kiti asmenys.

  4. Kiekvienas kompiuteris privalo turėti prisijungimo slaptažodį. Kiekvienas darbuotojas privalo naudotis tik savo prisijungimo duomenimis, baigęs darbą atsijungti nuo visų sistemų, prie kurių buvo prisijungęs ar kuriomis naudojosi. Už duomenų saugumą (LVR, ELI, VPC, E-sveikatoje. EPTS ir kt.) atsako savo slaptažodžio autorius, kadangi visi sistemose atliekami veiksmai yra matomi ir priskiriami konkrečiam prisijungusiam vartotojui pagal prisijungimo duomenis.

  5. Pacientai užeiti į konsultacijų kabinetą yra kviečiami tik vardu. Jei reikalinga, galima pasitikslinti paklausiant registracijos laiką. Bet kuriuo atveju, kiti asmens duomenys (pavardė, gimimo data) tikslinami tik pakvietus pacientą į kabinetą ir negirdint pašaliniams asmenims.

  6. NVI koridoriuose neturėtų būti skelbiami pacientų sąrašai su informacija, kuriose palatose, kokie pacientai gydomi.

  7. Jeigu pacientui yra reikalingi išrašai, išvados apie jo sveikatos būklę ar slaugos poreikį, o pacientas dėl savo būklės sunkumo ar transportavimo sudėtingumo negali atvykti ir jo valios pareiškimo lape nėra nurodyti asmenys, kuriems gali būti teikiama informacija apie pacientą, tokie išrašai ir išvados gali būti įteikiami tik įgaliotiems atstovams, kurie pateikia atstovavimą patvirtinantį dokumentą (notaro patvirtintą Įgaliojimą) iš kurio aiškiai matyti, kad asmuo yra įgaliotas gauti informaciją apie paciento sveikatą bei atstovo tapatybę patvirtinantį dokumentą. Kitu atveju, esant būtinumui perduoti tokius išrašus, pažymas (pvz.: dėl slaugos poreikio), išrašas pateikiamas per ELI į e-sveikatą.



Atnaujinta 2019-11-05 14:03