Asmens duomenų tvarkymo taisyklės

5. Šios Taisyklės taikomos tvarkant duomenų subjekto duomenis, taip pat nustato NVI darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.

6. Šių Taisyklių reikalavimai privalomi visiems NVI darbuotojams, kurie tvarko NVI esančius asmens duomenis arba eidami savo pareigas juos sužino ar gali sužinoti, taip pat praktikantams ir stažuotojams, atliekantiems praktiką ar besistažuojantiems NVI, taip pat kitiems asmenims, kurie, tvarkydami asmens duomenis NVI ir (arba) eidami savo pareigas, sužino asmens duomenis arba turi bet kokio pobūdžio prieigą prie asmens duomenų. Šių taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami paslaugas sužino ir tvarko asmens duomenis.

7. NVI darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente ir šiose Taisyklėse.

8. Prieiga prie asmens duomenų gali būti suteikiama tik tiems NVI darbuotojams ir asmenims, kuriems asmens duomenys yra reikalingi jų pareiginiuose nuostatuose nustatytoms funkcijoms ir pavedimams vykdyti ir kurie įsipareigoję laikytis konfidencialumo pasižadėjimo.

SANTRUMPOS, TERMINAI IR APIBRĖŽIMAI 

11.1.  informacijos apie pacientų sveikatą, siekiant užtikrinti sveikatos priežiūros paslaugų teikimą, kokybę ir kokybės kontrolę, rinkimo ir tvarkymo, statistinių duomenų kaupimo, klinikinių tyrimų vykdymo ir administravimo;

11.2.  mokymo proceso, biobanko veiklos ir mokslinių tyrimų vykdymo;

11.3.  NVI darbuotojų, lankytojų ir turto saugumo užtikrinimo (vaizdo stebėjimas);

11.4.  NVI veiklos administravimo (NVI pretendentų į darbuotojus, esamų ir buvusių darbuotojų, praktikantų, rezidentų asmens duomenų tvarkymas, pacientų registracija ir kt.);

11.5.  įdarbinimo;

11.6.  dokumentų valdymo (registravimas, apskaita, saugojimas, archyvavimas);

11.7.  sutarčių rengimo, derinimo, konsultavimo dėl sutarčių taikymo ir vykdymo;

11.8.  darbo saugos ir sveikatos reikalavimų užtikrinimo;

11.9.  vidaus audito;

11.10.  profesinės apšvitos vertinimo;

11.11.  programinės įrangos administravimo;

11.12.  įvykių darbe, nelaimingų atsitikimų darbe, nelaimingų atsitikimų pakeliui į darbą ar iš darbo ir profesinių ligų priežasčių tyrimo;

11.13.  skundų ir prašymų administravimo;

11.14.  viešųjų pirkimų procedūrų organizavimo ir vykdymo, viešųjų pirkimo dokumentų viešinimo;

11.15.  prekių, darbų, paslaugų sutarčių su tiekėjais vykdymo;

11.16.  telefonu teikiamos informacijos kokybės užtikrinimo tikslu gali būti tvarkomi skambinančiojo asmens duomenys, t. y. pokalbio metu pateikta informacija;

11.17.  asmenų iš kitų įstaigų, įmonių, organizacijų asmens duomenys tvarkomi vaistinių preparatų reklamos renginių registravimo NVI tikslais;

11.18.  asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių NVI, asmens duomenys tvarkomi gerosios praktikos pasidalijimo, komunikacijos, NVI veiklos viešinimo tikslu.

13.1. Bendrieji asmens duomenys: Lietuvos Respublikos gyventojo asmens kodas arba užsienio valstybės piliečio asmens kodas ar kitas identifikavimo kodas, vardas, pavardė, šeiminė padėtis, gimimo data, asmens tapatybę patvirtinančio dokumento duomenys (rūšys, numeris, išdavimo data, išdavusi valstybė), kontaktiniai duomenys (faktinės gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresai), kontaktinių asmenų duomenys.

13.2. Specialių kategorijų pacientų duomenys: lytis, rasinė ir etninė kilmė, mirties data, atvykimo į asmens sveikatos priežiūros įstaigą faktas, parengti elektroniniai medicininiai dokumentai (įskaitant juos sudarančius duomenis bei metaduomenis), elektroninės medicininės pažymos (įskaitant juos sudarančius duomenis bei metaduomenis), išrašyti e. Receptai (įskaitant juos sudarančius duomenis bei metaduomenis), padaryti medicininiai vaizdai (įskaitant metaduomenis bei jonizuojančios spinduliuotės dozės duomenis), nuotraukos, valios pareiškimai, sveikatos priežiūros specialistų ir sveikatos priežiūros įstaigų pasirinkimai, duomenys apie medicinos įstaigą, kurioje asmuo registruotas, ūgis, svoris, juosmens apimtis, kūno masės indeksas, kraujo grupė ir rezus faktorius, rizikos veiksniai, gyvenimo būdas (žalingi įpročiai),  sveikatai kenksmingi ir pavojingi aplinkos veiksniai, neįgalumo lygis, darbingumo lygis, specialieji poreikiai ir jų nustatymo pradžios ir pabaigos datos, profilaktinių sveikatos patikrinimų duomenys, taikytų vakcinacijų duomenys, persirgtų ligų ar būklių pavadinimai ir kodai, alerginių reakcijų pavadinimai ir kodai, artimųjų giminaičių paveldimų arba genetinių ligų diagnozių kodai, nusiskundimų ir anamnezių duomenys, suteiktos sveikatinimo paslaugos (statistinių apskaitos formų, naudojamų duomenims apie suteiktas sveikatinimo paslaugas rinkti, formatu), pacientų apsilankymų datos, laikai ir apsilankymų tikslai (priežastys), gydymo ambulatoriškai ar stacionare suvestinės (apsilankymų statusai, dienynai, epikrizės, išrašai), psichikos sutrikimai, gimdymų skaičius, socialiniai faktoriai,  diagnozuotų ligų ar būklių pavadinimai ir kodai, taikyto gydymo būdai, atliktos procedūros ir operacijos (intervencijos), ilgalaikio stebėjimo duomenys, gydymas vaistiniais preparatais, medicinos pagalbos priemonių taikymas, siuntimai konsultuoti, tirti, gydyti, paimti mėginiai, atlikti tyrimai, apdraustumo sveikatos draudimu požymis registravimo sveikatinimo paslaugoms gauti metu, apdraustumo pradžios data, nuo kurios asmuo buvo (yra) draustas, apdraustumo pabaigos data, iki kurios asmuo buvo (yra) draustas, išduoti elektroniniai nedarbingumo pažymėjimai bei elektroniniai nėštumo ir gimdymo atostogų pažymėjimai (asmens kodas, vardas, pavardė, nedarbingumo priežastis, nedarbingumo, nėštumo ir gimdymo atostogų laikotarpis, gimdymo data), išduoti leidimai dėl nedarbingumo bei nėštumo ir gimdymo atostogų pažymėjimų išdavimo Elektroninių nedarbingumo pažymėjimų bei elektroninių nėštumo ir gimdymo atostogų pažymėjimų išdavimo taisyklių nenumatytais atvejais (asmens kodas, vardas, pavardė, tarnybinio pažymėjimo numeris, sveikatinimo įstaiga, kuriai skirtas leidimas, nedarbingumo laikotarpis), išskyrus valstybės ar tarnybos paslaptį sudarančius duomenis, profesinis kenksmingumas, atliktų genetinių ir vėžio žymenų analičių tyrimų atsakymai.

16.1.  asmens duomenys turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

16.2.  asmens duomenys turi būti renkami Taisyklių 11 punkte apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);

16.3.  asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

16.4.  asmens duomenys turi būti tikslūs ir prireikus atnaujinami. Turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

16.5.  asmens duomenys laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys tvarkomi. Asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama pagal Reglamentą siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

16.6.  Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);

16.7.  NVI yra atsakingas už tai, kad būtų laikomasi asmens duomenų tvarkymo principų, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

17.  Asmens duomenys saugomi tiek laiko, kiek nurodyta Lietuvos Respublikos biomedicininių tyrimų etikos įstatyme, Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakyme Nr.515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ ir Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakyme Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ ir kituose teisės aktuose, reglamentuojančiuose atitinkamų asmens duomenų tvarkymą. Konkretūs duomenų saugojimo terminai gali būti nustatyti kituose NVI vidaus teisės aktuose.

18.  Asmens duomenys NVI tvarkomi automatiniu ir neautomatiniu būdu.

19.  Tyrimo centras ir užsakovas pagrindinius klinikinio tyrimo dokumentus saugo 15 metų nuo tyrimo baigimo datos. Kitų mokslinių tyrimų dokumentai saugomi 15 metų nuo tyrimo baigimo datos.

20.  Asmens duomenys NVI renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, gaunant iš kitų asmenų teisės aktų nustatyta tvarka ir pagrindais, taip pat oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).

21.  Duomenų rinkimo tvarka:

21.1.   Registruojantis naujam pacientui duomenys apie pacientus į pacientų duomenų bazę (toliau - DB) įvedami iš šių šaltinių: NVI pateikto paciento paso, gimimo liudijimo, socialinio draudimo pažymėjimo, pensininko pažymėjimo, neįgaliojo pažymėjimo, pažymos apie registraciją Valstybinėje darbo biržoje, kitų dokumentų, kuriuos pateikia pacientai.

21.2.   Kiti asmens duomenų teikėjai yra šie:

21.2.1.  Lietuvos Respublikos sveikatos apsaugos ministerija teikia duomenis iš Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) ir Išankstinės pacientų registracijos informacinės sistemos (IPR): pacientų, elektroninės sveikatos istorijos ESI, vaistinių preparatų ir medicinos pagalbos priemonių, medicinos prietaisų, klasifikatorių, medicininių vaizdų, e. receptų, ataskaitų ir statistinės informacijos duomenų bazių duomenis bei IPR duomenis (užsiregistravusio paciento asmens kodas, vardas, pavardė, gimimo data, adresas, kontaktinis telefono numeris, sveikatinimo specialistas pas kurį registruojamasi duomenys, apsilankymo data, laikas ir apsilankymo tikslas (priežastis).

21.2.2.  Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos teikia duomenis iš Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – DPSDR) ir Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (SVEIDRA): draudžiamojo asmens kodas, draudžiamojo asmens identifikacinis kodas, draudžiamojo asmens gimimo data, draudžiamojo asmens vardas, pavardė, apdraustumo pradžios data, nuo kurios asmuo buvo (yra) draustas, apdraustumo pabaigos data, iki kurios asmuo buvo (yra) draustas, paciento pasirinktas sveikatos priežiūros specialistas (vardas, pavardė, sveikatos priežiūros specialisto identifikacinis (spaudo) numeris), paciento pasirinkta sveikatos priežiūros įstaiga (pavadinimas, juridinio asmens kodas).

21.2.3.  Valstybinio socialinio draudimo valdyba prie Socialinės apsaugos ir darbo ministerijos teikia duomenis iš Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos: pacientams išduoti elektroniniai nedarbingumo pažymėjimai bei elektroniniai nėštumo ir gimdymo atostogų pažymėjimai (asmens kodas, vardas, pavardė, nedarbingumo priežastis, nedarbingumo, nėštumo ir gimdymo atostogų laikotarpis, gimdymo data).

21.2.4.  Biobanko veiklai vykdyti gali būti renkama asmens sveikatos informacija iš įvairių Lietuvos Respublikos registrų, informacinių sistemų, sveikatos priežiūros įstaigų pagal sudarytas sutartis.

21.3.   Duomenis į DB įveda ir toliau tvarko NVI darbuotojai, pasirašę konfidencialumo pasižadėjimą ir susipažinę su2019 m. liepos 2 d. Nacionalinio vėžio instituto direktoriaus įsakymu patvirtintu Informacijos apie pacientą teikimo pacientui, kitiems asmenims ir institucijoms tvarkos aprašu bei šiomis Taisyklėmis.

21.4.   Su konkrečiu pacientu susijusių medicininių duomenų kaupimas ir apdorojimas vyksta NVI pacientų informacinėje sistemoje. NVI pacientų informacinės sistemos  naudojimo tvarka aprašyta NVI direktoriaus įsakymu patvirtintose NVI elektroninės medicininės istorijos pildymo ir naudojimo taisyklėse.

21.5.   Biobanko veiklos ir mokslinio tyrimo metu duomenų subjektų asmens duomenis renka ir tvarko atsakingas biobanko darbuotojas, tyrime dalyvaujantys gydytojai tyrėjai arba tyrimo koordinatoriai. Renkami ir tvarkomi tyrimo užsakovo pateikti ir tyrimo protokoluose numatyti asmens duomenys, taip pat specialių kategorijų asmens duomenys. Surinkti asmens duomenys yra nuasmeninami ir koduojami taip, kad nebūtų įmanoma nustatyti duomenų subjekto tapatybės. Duomenų subjektų identifikacinių kodų sąrašas laikomas tyrimo centre saugioje vietoje, vadovaujantis tokių dokumentų saugojimui galiojančiais standartais, t.y. dokumentai (tiek popieriniame variante, tiek elektroninėse rinkmenose) laikomi rakinamose spintose rakinamose patalpose, kur prieiga yra ribota. Šiose patalpose gali lankytis tik biobanko, biomedicininio ar klinikinio tyrimo personalas.

22.1.   Gydantis gydytojas;

22.2.   Padalinio, kuriame gydomas pacientas, vadovas;

22.3.   Gydytojas konsultantas;

22.4.   Pacientą aptarnaujantis personalas;

22.5.   Personalas, pacientui suteikiantis būtinąją pagalbą;

22.6.   Personalas, atliekantis auditą;

22.7.   Personalas, susijęs su informacinės sistemos palaikymu ir pasirašęs pasižadėjimą neatskleisti duomenų;

22.8.   Moksliniame tyrime dalyvaujančių asmenų duomenis tvarko  mokslinio tyrimo komanda (tyrėjai, koordinatoriai);

22.9.   Biobanko darbuotojai.

23.1.   Asmens duomenys gali būti teikiami tik pagal sudarytą asmens duomenų teikimo sutartį arba gavus duomenų gavėjo prašymą.

23.2.   Pacientų duomenys teikiami šiems duomenų gavėjams:

23.2.1.  Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (SVEIDRA): paciento vardas, pavardė, asmens kodas, adresas gydymo epizodo trukmė ir laikas, diagnozė, suteiktos gydymo paslaugos (pagal Valstybinės ligonių kasos patvirtintą paslaugų klasifikatorių), operacijos, brangios procedūros ir tyrimai. Šie duomenys naudojami gydymo paslaugų įkainių, NVI pacientams suteiktų paslaugų ir už jas gautų pajamų skaičiavimui.

23.2.2.  Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos: paciento sveikatos duomenys. Šie duomenys teikiami siekiant pagrįsti pacientams išduodamų nedarbingumo pažymėjimų būtinumą.

23.2.3.  Valstybės ar savivaldybės įstaigoms, kitiems fiziniams ar juridiniams asmenims, kai teisės aktai įpareigoja NVI prašomus duomenis teikti: paciento vardas, pavardė, asmens kodas, informacija apie paciento sveikatos būklę, diagnozes ir gydymą.

23.2.4.  Pacientai, pacientų artimieji, šeimos nariai, atstovai: paciento vardas, pavardė, asmens kodas, informacija apie paciento sveikatos būklę, diagnozes ir gydymą. Šie duomenys teikiami įgyvendinant pacientų teisę susipažinti su tvarkomais savo asmens duomenimis, taip siekiant užtikrinti suteikiamų asmens sveikatos priežiūros paslaugų kokybę ir teisės aktais nustatytų pareigų įgyvendinimą.

23.2.5.  Moksliniame tyrime dalyvaujančių asmenų duomenys teikiami tyrimo užsakovams, kitiems biobankams pagal sutartį bei kitoms atsakingoms institucijoms nepažeidžiant teisės aktų reikalavimų ir konfidencialumo sąlygų.

23.2.6.  Vaizdo duomenų tvarkymo taisyklės yra patvirtintos atskiru NVI direktoriaus įsakymu.

23.2.7.  Darbuotojų asmens duomenų tvarkymo taisyklės patvirtintos atskiru NVI direktoriaus įsakymu. 

DUOMENŲ TVARKYMAS SUTIKIMO PAGRINDU

24.1.    kai tai tiesiogiai numatyta Taisyklėse, Reglamente arba kituose teisės aktuose;

24.2.   kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, NVI neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus Reglamente nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu Reglamente įtvirtintų pagrindų, duomenų subjekto sutikimas papildomai nėra prašomas pateikti;

25.   Duomenų subjekto sutikimas dėl asmens duomenų tvarkymo yra užpildomas raštu ir teikiamas NVI pagal patvirtintą formą.

26.   Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu , o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi duomenų subjekto sutikimu.

27.   Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, NVI privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė sutikimą. Tais atvejais, kuomet sutikimas buvo gautas žodžiu, NVI privalo turėti tai patvirtinantį garso ar vaizdo įrašą.

28.   Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse, Reglamente  įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.

29.   Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:

29.1.    duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:

29.1.1.  ar sutarties vykdymui nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti (tokiu atveju nelaikoma, kad sutikimas duotas laisva valia);

29.1.2.  ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas (tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia);

29.1.3.  jeigu sutikimas yra neatsiejamai susietas su sąlygomis, dėl kurių duomenų subjektas neturi galimybės derėtis ar jas pakeisti, preziumuojama, kad toks sutikimas nėra duotas laisva valia. Tokiu atveju NVI imasi papildomų priemonių šiai prezumpcijai paneigti ir užtikrinti, kad sutikimas būtų duodamas laisva valia;

29.1.4.  jeigu yra aiški NVI ir duomenų subjekto padėties neatitiktis ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju NVI imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;

29.1.5.  jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje tiesiogiai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia;

29.2.    sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:

29.2.1.  aiškiai ir išsamiai nurodytas konkretus ir teisėtas asmens duomenų tvarkymo tikslas;

29.2.2.  nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;

29.2.3.  nurodytos duomenų tvarkymo operacijos (veiksmai), kurios bus atliekamos sutikimo pagrindu;

29.2.4.  duomenų subjektui sudaroma galimybė sutikti tik su atskirais duomenų tvarkymo tikslais, jeigu sutikimas duodamas keliems duomenų tvarkymo tikslams, taip pat tik su konkrečiomis duomenų tvarkymo operacijomis (veiksmais);

29.3.    sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta Reglamento straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad NVI turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka Reglamento  13 straipsnyje įtvirtintą turinį;

29.4.   sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais;

29.5.   sutikimas turi būti parašytas paprasta, aiškia, duomenų subjektui suprantama kalba.

30.  Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas.

31.  Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar Reglamente  įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.

32.  NVI imasi priemonių, kad sutikimai, kiek tai yra įmanoma atsižvelgiant į asmens duomenų tvarkymo tikslus ir apimtį, galiotų apibrėžtą terminą.

33.  Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.

35.1.   rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

35.2.   įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

35.3.   kitas galiojančiuose Lietuvos Respublikos įstatymuose ir teisės aktuose numatytas teises.

36.1.   užtikrinti, kad būtų laikomasi Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;

36.2.   įgyvendinti duomenų subjekto teises Reglamento nustatyta tvarka;

36.3.   užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;

36.4.   tvarkyti duomenų tvarkymo veiklos įrašus;

36.5.   vertinti poveikį duomenų apsaugai;

36.6.   konsultuotis su VDAI;

36.7.   paskirti duomenų apsaugos pareigūną;

36.8.   pranešti apie duomenų saugumo pažeidimą;

36.9.    kitas galiojančiuose Lietuvos Respublikos įstatymuose ir teisės aktuose numatytas pareigas.

37.1.   analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;

37.2.   teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;

37.3.   vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti;

38.   Duomenų tvarkytojai turi teises ir pareigas bei vykdo funkcijas, numatytas asmens duomenų tvarkymo sutartyje.

39.   Tais atvejais, kai NVI įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp NVI ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.

40.   Turi būti parenkamas toks duomenų tvarkytojas, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

41.   NVI duomenų tvarkytojų registrą pildo duomenų apsaugos pareigūnas pagal NVI struktūrinių padalinių pateiktą informaciją.

42.   Duomenų valdytojas ir duomenų tvarkytojas turi užtikrinti asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gairėse numatytas saugumo priemones.

43.   NVI turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.

44.   NVI turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:

44.1.  sudaryta sutartis su duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;

44.2.  pareiga tvarkyti duomenis nustatyta teisės aktuose.

46.  NVI darbuotojai, tvarkantys asmens duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja tiek įstaigos viduje, tiek už jos ribų, o taip pat pasibaigus darbo ar sutartiniams santykiams.

47.  Darbuotojai gali susipažinti bei naudotis tik tais dokumentais ir duomenų rinkmenomis, su kuriais susipažinti ir juos tvarkyti jie buvo įgalioti.

48.  Darbuotojai turi imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Jei darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį savo vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.

49.  Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodis negali būti lengvai atspėjami žodžiai. Geriausia slaptažodį sudaryti iš kelių žodžių juos tam tikru būdu sujungiant ir įvedant skaičius. Slaptažodžių negalima užsirašinėti, slaptažodis turi būti keičiamas reguliariai kas du mėnesiai arba dažniau jei būtų pastebėtas bandymas nesankcionuotai patekti į sistemą, o taip pat susidarius tam tikroms įtartinoms situacijoms, kurios gali kelti grėsmę asmens duomenų saugumui. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.

50.Darbuotojas, atsakingas už kompiuterių priežiūrą, daro tarnybinėse stotyse esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas turi jas atstatyti.

51.  Kitos duomenų ir kompiuterių įrangos fizinės saugos užtikrinimo priemonės nurodytos NVI direktoriaus įsakymu patvirtintoje procedūroje P6 „Informacinių technologijų ir duomenų saugos valdymas“ ir NVI direktoriaus įsakymu patvirtintuose NVI informacinės sistemos nuostatuose.

52.  NVI darbuotojai pastebėję galimus Pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi pareigą visais įmanomais būdais (žodžiu, raštu ar elektroninėmis priemonėmis) nedelsiant informuoti NVI duomenų apsaugos pareigūną.

53.  Pažeidimų nustatymas, asmenims kylančio pavojaus vertinimas, pažeidimų dokumentavimas, pranešimams apie pažeidimus reguliuojamas Nacionalinio vėžio instituto asmens duomenų saugumo pažeidimų valdymo tvarkos apraše.

56.  Duomenų valdytojas skiria NVI duomenų apsaugos pareigūną.

57.  NVI duomenų apsaugos pareigūno kontaktiniai duomenys (vardas, pavardė, el. pašto adresas ir telefono ryšio numeris) yra skelbiami NVI. Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami VDAI, taip pat nurodomiNVI internetinės svetainės skiltyje „Duomenų apsauga“, formose, susijusiose su duomenų apsauga, siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su duomenų apsaugos pareigūnu.

58.  Duomenų apsaugos pareigūnas vykdo jam pagal Reglamentą pavestas užduotis.

59.  Duomenų apsaugos pareigūnas yra nepriklausomas NVI patarėjas asmens duomenų apsaugos klausimais.

60.  Visi NVI darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu, skubiai teikti visus jo paprašytus dokumentus ir informaciją.

61.  Darant garso įrašus užtikrinama, kad garso įrašų darymas ir tvarkymas atitiktų Taisyklių nuostatas.

62.  Garso įrašai NVI daromi posėdžių protokolavimo tikslais. Patvirtinus posėdžio protokolą garso įrašas sunaikinamas per 1 darbo dieną ir toliau nebesaugomas.

63.  Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais nešiojamaisiais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais.

64.  Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Taisyklių nustatyta tvarka. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. NVI saugomu garso įrašu, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.

65.  Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą. Už duomenų subjekto informavimą apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą atsakingi NVI komisijų posėdžių sekretoriai.

66.1.  yra priimtas Europos Komisijos sprendimas, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečioje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą;

66.2.  jeigu nėra priimtas sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenys gali būti perduoti į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu NVI yra nustačiusi tinkamas apsaugos priemones, įskaitant tai, kad duomenų subjektams bus užtikrinta galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

68. Šių Taisyklių keitimus atlieka rengėjas pagal procedūrą P1 „Dokumentų valdymas“. Taisyklės turi būti peržiūrimos ir tikslinamos pagal atitinkamai pasikeitusių kitų asmens duomenų tvarkymą reglamentuojančių teisės aktų nuostatas.

69. Darbuotojai ir kiti Taisykles ar Reglamentą pažeidę asmenys, atsako teisės aktų nustatyta tvarka.

70. Patvirtinus ar atnaujinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už darbuotojų supažindinimą su taisyklėmis atsakingi padalinių vadovai.

71. Už NVI tvarkomų duomenų saugumą atsako duomenis tvarkantis darbuotojas.

72. Už Taisyklių laikymosi priežiūrą padaliniuose atsakingi NVI padalinių vadovai.

73. Už duomenų subjektų duomenų atnaujinimą padaliniuose, kuriuose renkami ir tvarkomi duomenų subjektų duomenys, atsako NVI padalinių vadovai.

74.1.  2016 m. balandžio 27 d.  Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB.

74.2.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

74.3.  Lietuvos Respublikos sveikatos sistemos įstatymu.

74.4.  Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu.

74.5.  Lietuvos Respublikos sveikatos draudimo įstatymu.

74.6.  Lietuvos Respublikos valstybinio socialinio draudimo įstatymu.

74.7.  Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu.

74.8.   Lietuvos Respublikos biomedicininių tyrimų etikos įstatymu.

74.9.   Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos".

74.10.  Lietuvos Respublikos sveikatos apsaugos ministro 1998 m. birželio 12 d. Nr. 320 įsakymu „Dėl geros klinikinės praktikos“.

74.11.  Lietuvos Respublikos sveikatos apsaugos ministro įsakymu 2001 m. vasario 1 d. Nr. 65 „Dėl Informacijos apie pacientą valstybės institucijoms ir kitoms įstaigoms teikimo tvarkos aprašo patvirtinimo ir asmens sveikatos paslapties kriterijų nustatymo”.

74.12.  Lietuvos Respublikos sveikatos apsaugos ministro įsakymu 2011 m. gegužės 20 d. Nr. V-506 „Dėl rašytinės informacijos, įskaitant ir konfidencialią, apie pacientą ir jam suteiktas paslaugas teikimo ir šios paslaugos apmokėjimo tvarkos aprašo patvirtinimo”.

74.13.  Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2014 m. birželio 5 d. įsakymu Nr. 1K-136 „Dėl Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ nuostatų pakeitimo”.

74.14.  Kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.

NVI darbuotojai teikdami sveikatos priežiūros paslaugas pacientams turi vadovautis Taisyklėmis bei šiomis instrukcijomis:

1. Telefonu pacientui ar jo teisėtam atstovui gali būti skambinama tik paciento nurodytu telefono numeriu. Gydantis gydytojas, siekiantis gauti ar pasitikslinti paciento sveikatos informaciją, kuri reikalinga gydymo procesui, gali įstaigos telefonu skambinti kitos gydymo įstaigos gydytojui viešai skelbiamais tos įstaigos telefono numeriais. Tiek kalbant telefonu, tiek gydytojų kabinetuose, turi būti užtikrintas pokalbių su pacientais konfidencialumas (pokalbis turi vykti taip, kad pokalbio metu pateiktų asmens duomenų negalėtų girdėti neįgalioti asmenys).
2. Kabinetuose, budėjimo postuose ir pan. laikoma paciento dokumentacija (ambulatorinė kortelė, tyrimai, išrašai, temperatūrų lapai prie paciento lovos ir kita) turi būti padėti taip, kad bet koks kitas asmuo nematytų pacientų asmens duomenų (vardų, pavardžių, asmens kodų, kontaktų, diagnozių ir kitos informacijos). Baigus darbą, paciento dokumentacija taip pat turi būti sudėta tvarkingai, užversta, kad atvirai nesimatytų jokių pacientų duomenų. Jei įmanoma, kortelės ir kita medicininė dokumentacija turėtų būti sudėtos į spintas ir užrakintos.
3. Kompiuterių monitoriai, kuriuose sveikatos priežiūros specialistai peržiūri su paciento sveikata susijusią informaciją, turėtų būti nukreipti taip, kad su monitoriuje matomais asmens duomenimis negalėtų susipažinti tokios teisės neturintys kiti asmenys.
4. Kiekvienas kompiuteris privalo turėti prisijungimo slaptažodį. Kiekvienas darbuotojas privalo naudotis tik savo prisijungimo duomenimis, baigęs darbą atsijungti nuo visų sistemų, prie kurių buvo prisijungęs ar kuriomis naudojosi. Už duomenų saugumą (LVR, ELI, VPC, E-sveikatoje, EPTS ir kt.) atsako savo slaptažodžio autorius, kadangi visi sistemose atliekami veiksmai yra matomi ir priskiriami konkrečiam prisijungusiam vartotojui pagal prisijungimo duomenis.
5. Pacientai užeiti į konsultacijų kabinetą yra kviečiami tik vardu. Jei reikalinga, galima pasitikslinti paklausiant registracijos laiką. Bet kuriuo atveju, kiti asmens duomenys  (pavardė, gimimo data) tikslinami tik pakvietus pacientą į kabinetą ir negirdint pašaliniams asmenims.
6. NVI koridoriuose neturėtų būti skelbiami pacientų sąrašai su informacija, kuriose palatose, kokie pacientai gydomi.
7. Jeigu pacientui yra reikalingi išrašai, išvados apie jo sveikatos būklę ar slaugos poreikį, o pacientas dėl savo būklės sunkumo ar transportavimo sudėtingumo negali atvykti ir jo valios pareiškimo lape nėra nurodyti asmenys, kuriems gali būti teikiama informacija apie pacientą, tokie išrašai ir išvados gali būti įteikiami tik įgaliotiems atstovams, kurie pateikia atstovavimą patvirtinantį dokumentą (notaro patvirtintą įgaliojimą)  iš kurio aiškiai matyti, kad asmuo yra įgaliotas gauti informaciją apie paciento sveikatą bei atstovo tapatybę patvirtinantį dokumentą. Kitu atveju, esant būtinumui perduoti tokius išrašus, pažymas (pvz.: dėl slaugos poreikio), išrašas pateikiamas per ELI į e-sveikatą.