Duomenų apsauga

Nacionalinio vėžio centras Jūsų asmens duomenis, įskaitant ir specialiųjų kategorijų duomenis tvarko vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais sveikatos priežiūros įstaigų veiklą.

Įgyvendinant Bendrojo duomenų apsaugos reglamento reikalavimus, Nacionaliniame vėžio centre yra paskirtas duomenų apsaugos pareigūnas:

Lina Žilinskaitė-Kuzmickienė
Santariškių g. 1, Vilnius, LT-08660
El. paštas duomenuapsauga@nvc.santa.lt
Tel. +370 (5) 274 6464

Perdavus Nacionalinio vėžio instituto klinikinę veiklą Viešajai įstaigai Vilniaus universiteto ligoninės Santaros klinikoms, pastarosios generalinio direktoriaus įsakymu nustatyta, kad Nacionalinis vėžio centras savo veikloje iki 2027-01-01 vadovaujasi Nacionalinio vėžio instituto direktoriaus patvirtintais norminiais teisės aktais.

BENDROSIOS NUOSTATOS
(papildyta 2021-06-22 NVI įsakymu Nr.R8-275)

  1. Nacionalinis vėžio institutas (toliau – NVI), buveinės adresas Santariškių g. 1, Vilnius, kodas 111959420, tai valstybinis mokslinių tyrimų institutas, kurio sudėtyje yra klinika. NVI teikia antrinio bei tretinio lygio asmens sveikatos priežiūros paslaugas, vykdo mokslinius tyrimus ir eksperimentinę plėtrą, biobanko veiklą, taip pat tvarko Vėžio registrą.
  2. NVI gerbia duomenų subjektų teises, jų privatumą ir asmens duomenis tvarko vadovaudamasis 2016 m. balandžio 27 d.  Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo bei kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nuostatomis.
  3. Informacija apie NVI duomenų apsaugos pareigūną:
    Santariškių g. 1, Vilnius, LT-08660, 
    El. paštas  duomenuapsauganvc.santa.lt
    Tel. +370 (5) 274 6464.
  4. NVI tvarko tik tuos duomenų subjektų duomenis, kurie yra reikalingi teikiant paslaugas ir vykdant veiklą, įgyvendinant konkrečius asmens duomenų tvarkymo tikslus.
  5. Duomenų subjektai perduodami savo asmens duomenis NVI, sutinka su šios Privatumo politikos taisyklėmis, supranta jos nuostatas ir sutinka jų laikytis.
  6. Privatumo politikos tikslas – informuoti apie duomenų subjektų privatumo apsaugą, paaiškinti, kaip yra tvarkomi ir saugomi asmens duomenys NVI, supažindinti su duomenų subjektų teisėmis.

NVI tvarko tik tuos asmens duomenis, kuriuos tvarkyti yra būtina, siekiant nurodytų tvarkymo tikslų:

  1. rinkti ir tvarkyti informaciją apie pacientų sveikatą, siekiant užtikrinti sveikatos priežiūros paslaugų teikimą ir jų kokybę, statistinių duomenų kaupimą;
  2. vykdyti mokymo procesą, biobanko veiklą ir mokslinius tyrimus;
  3. užtikrinti NVI darbuotojų, lankytojų ir turto saugumą (vaizdo stebėjimas);
  4. administruoti NVI veiklą (NVI pretendentų į darbuotojus, esamų ir buvusių darbuotojų, praktikantų, rezidentų asmens duomenų tvarkymas, pacientų registracija ir kt.);
  5. administruoti skundus ir prašymus;
  6. viešųjų pirkimų procedūrų organizavimo ir vykdymo tikslais gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys;
  7. prekių, darbų, paslaugų sutarčių su tiekėjais vykdymo tikslu gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys;
  8. asmenų iš kitų įstaigų, įmonių, organizacijų asmens duomenys tvarkomi vaistinių preparatų reklamos renginių registravimo NVI tikslais;
  9. asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Nacionaliniame vėžio institute, asmens duomenys tvarkomi gerosios praktikos pasidalijimo, komunikacijos, Nacionalinio vėžio instituto veiklos viešinimo tikslu.
  1. Sveikatos priežiūros paslaugų teikimo tikslu NVI tvarkomi bendrieji pacientų duomenys, tokie kaip vardas, pavardė, asmens kodas, kontaktiniai duomenys ir kita. Taip pat tvarkoma sveikatos informacija, tokia kaip fizinio ištyrimo duomenys, laboratorinių, radiologinių tyrimų duomenys, informacija apie skiriamą gydymą ir kita.
  2. Mokslinio tyrimo vykdymo tikslu NVI tvarkomi paciento duomenys, kurie reikalingi atsižvelgiant į mokslinio tyrimo protokolą, tokie kaip vardas, pavardė, identifikacinis kodas, demografiniai duomenys, rasinė ir etninė kilmė, lytis, gimimo data, kontaktinė informacija, fizinio ištyrimo duomenys, gydybinių funkcijų rodikliai, laboratorinių, radiologinių tyrimų duomenys, informacija apie skiriamą gydymą ir nepageidaujamus reiškinius ir kita.
    2.1. Saugumo tikslais NVI tvarkomi vaizdai.
  3. NVI veiklos administravimo tikslu NVI tvarkomi tokie darbuotojų asmens duomenys, kaip vardas, pavardė, asmens kodas, gimimo data, gyvenamosios vietos adresas, duomenys apie išsilavinimą ir kvalifikaciją, kontaktiniai duomenys, jei reikalinga – informacija apie šeiminę padėtį, sveikatos būklę ir kita informacija.
  4. Skundų ir prašymų administravimų tikslu tvarkomi duomenų subjekto vardas, pavardė, asmens kodas, kontaktai, parašas, skunde, prašyme ar pareiškime nurodyta informacija (įskaitant ir ypatingus asmens duomenis), skundo, prašymo ar pareiškimo nagrinėjimo rezultatas ir kita informacija.
  5. Viešųjų pirkimų procedūrų organizavimo ir sutarčių vykdymo tikslais tvarkomi vardas, pavardė, asmens kodas, išsilavinimas, darbovietė, pareigos, kontaktiniai duomenys bei kita informacija.
  6. Telefonu teikiamos informacijos kokybės užtikrinimo tikslu gali būti tvarkoma pokalbio metu pateikta informacija.
  7. Asmenų iš kitų įstaigų, įmonių, organizacijų vaistinių preparatų reklamos renginių registravimo NVI tikslais tvarkomi asmens duomenys – vardas, pavardė, kontaktiniai duomenys bei kita informacija.
  8. Asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Nacionaliniame vėžio institute tvarkomi vardas, pavardė, kontaktiniai duomenys bei kita informacija.
  1. NVI darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, laikosi teisėtumo, sąžiningumo ir skaidrumo principų, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo ir saugojimo trukmės apribojimo, vientisumo ir konfidencialumo principų.

  2. Asmens duomenys tvarkomi ne ilgiau, nei tai yra būtina nurodytiems tikslams pasiekti, arba tiek, kiek teisės aktai įpareigoja tuos duomenis saugoti, pavyzdžiui:   
    • Asmenų prašymai, skundai, pranešimai ir jų nagrinėjimo dokumentų saugojimo terminas 1 metai įstaigai priėmus sprendimą;
    • Gydymo stacionare ligos istorija saugojimo terminas 25 metai;
    • Ambulatorinė asmens sveikatos istorijos saugojimo terminas 15 metų;
    • Darbuotojų priėmimo į pareigas, perkėlimo, pavadavimo, atleidimo iš pareigų, darbo užmokesčio, atostogų vaikui prižiūrėti, tėvystės atostogų saugojimo terminas 50 metų.

  3. NVI surinkti asmens duomenys yra saugomi spausdintiniuose dokumentuose ir (arba) informacinėse sistemose el. formate.

  4. Asmens duomenys saugomi nuo praradimo, neteisėto naudojimo ir pažeidimo. NVI naudojamos fizinės bei techninės priemonės, užtikrinti renkamų asmens duomenų saugumą.

NVI ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

1. NVI duomenis apie asmenis gauna iš:
  • Pačio duomenų subjekto;
  • Subjekto įgalioto asmens;
  • Kitų sveikatos priežiūros įstaigų;
  • Lietuvos Respublikos sveikatos apsaugos ministerijos Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) ir Išankstinės pacientų registracijos informacinės sistemos (IPR);
  • Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – DPSDR) ir Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (SVEIDRA);
  • Valstybinio socialinio draudimo valdybos prie Socialinės apsaugos ir darbo ministerijos
  • Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos
  • Lietuvos Respublikos specialiųjų tyrimų tarnybos;
  • Valstybės įmonės Registrų centro;
  • Antstolių kontorų;
  • Vyriausios tarnybinės etikos komisijos privačių interesų registro (PINREG)
  • Kitų valstybinių registrų ir duomenų bazių.
  1. Asmens duomenys gali būti teikiami tik pagal sudarytą asmens duomenų teikimo sutartį arba gavus duomenų gavėjo prašymą, arba kai pareigą teikti duomenis numato įstatymai.
  2. Pacientų duomenys teikiami Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos (SVEIDRA); Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos; valstybės ar savivaldybės įstaigoms, kitiems fiziniams ar juridiniams asmenims, kai teisės aktai įpareigoja NVI teikti prašomus duomenis; pacientams, pacientų artimiesiems, šeimos nariams, atstovams. Šie duomenys teikiami įgyvendinant pacientų teisę susipažinti su tvarkomais savo asmens duomenimis, taip siekiant užtikrinti suteikiamų asmens sveikatos priežiūros paslaugų kokybę ir teisės aktais nustatytų pareigų įgyvendinimą.
  3. Nuasmeninti moksliniame tyrime dalyvaujančių asmenų duomenys teikiami tyrimo užsakovams pagal sutartį bei kitoms atsakingoms institucijoms nepažeidžiant konfidencialumo sąlygų.
  4. NVI gali pateikti asmens duomenis savo duomenų tvarkytojams, kurie teikia NVI paslaugas ir tvarko asmens duomenis NVI vardu. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal NVI nurodymus ir tik ta apimtimi, kiek tai yra būtina siekiant tinkamai vykdyti sutartyje nustatytus įsipareigojimus. NVI pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
1. NVI duomenų gavėjais gali būti: 
  • Sveikatos apsaugos ministerija ir jai pavaldžios institucijos
  • Valstybinė ligonių kasa, Teritorinės ligonių kasos (SVEIDRA)
  • Valstybinė akreditavimo tarnyba prie sveikatos apsaugos ministerijos
  • Sveikatos priežiūros įstaigos – Vilniaus universiteto ligoninė Santaros klinikos, Valstybinis patologijos centras, Vilniaus universiteto ligoninė Žalgirio klinika ir kt.
  • VĮ Registrų centras – ESPBI IS, Išankstinės pacientų registracijos IS tvarkytojas
  • Higienos institutas
  • Radiacinės saugos centras
  • Užkrečiamųjų ligų ir AIDS centras
  • Socialinės apsaugos ir darbo ministerija ir jai pavaldžios institucijos
  • Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos
  • Valstybinė darbo inspekcija
  • Valstybinė mokesčių inspekcija
  • Vyriausioji tarnybinės etikos komisija
  • Lietuvos bioetikos komitetas
  • Regioniniai bioetikos komitetai
  • Biomedicininių tyrimų užsakovai
  • Švietimo, mokslo ir sporto ministerija ir jai pavaldžios institucijos
  • Švietimo ir ugdymo įstaigos
  • Valstybės informacinės sistemos  tokios kaip eLABa, MIDAS
  • Teismas, ikiteisminio tyrimo įstaigos
  • Advokatai (tik esant asmens sutikimui)
  • Draudimo bendrovės (tik esant asmens sutikimui)
  • Paslaugų teikėjai (duomenų tvarkytojai) – UAB „BITI“, UAB „Nevda“, UAB „Labbis“, UAB „Rivilė“, dėl radiologinių paslaugų – UAB „Graina“, UAB „Affidea“, UAB „Oxipit“. Asmens duomenys duomenų tvarkytojams atskleidžiami tiek, kiek yra būtina teikiant paslaugas
  • Ir kiti duomenų gavėjai teisės aktų nustatyta tvarka turintys pagrindą gauti asmens duomenis iš NVI.
  1. Duomenų subjektų teisės ir jų įgyvendinimo tvarka yra reglamentuota NVI direktoriaus įsakymu patvirtintose Duomenų subjekto teisių įgyvendinimo Nacionaliniame vėžio institute taisyklėse.

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO NACIONALINIAME VĖŽIO INSTITUTE TAISYKLĖS

  1. NVI darbuotojai, tvarkantys asmens duomenis, laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja tiek įstaigos viduje, tiek už jos ribų, o taip pat pasibaigus darbo ar sutartiniams santykiams.
  1. Ši Privatumo politika yra neatskiriama NVI teikiamų paslaugų dalis. Plėtojant ir tobulinant NVI veiklą, NVI turi teisę bet kuriuo metu vienašališkai pakeisti šią Privatumo politiką. Rekomenduojama duomenų subjektams reguliariai susipažinti su naujausia Privatumo politikos versija šioje interneto svetainėje.

BENDROSIOS NUOSTATOS

  1. Duomenų subjekto teisių įgyvendinimo Nacionaliniame vėžio institute taisyklių (toliau – Taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo Nacionaliniame vėžio institute, Santariškių g. 1, Vilnius, kodas 111959420 (toliau – Institutas), tvarką siekiant įgyvendinti atskaitomybės principą.
  2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
  3. Taisyklėse vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.
  4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679.
5. Informacija apie Instituteatliekamą duomenų subjekto asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, pateikiama Instituto interneto svetainėje skelbiamoje asmens duomenų apsaugos privatumo politikoje.Bendravimo su duomenų subjektu metu informacija pateikiama tokiu būdu, kokiu duomenų subjektas kreipiasi arba duomenų subjekto nurodytu būdu.
6.  Informacija apie duomenų subjekto asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu.
7.  Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama:
7.1.    per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
7.2.    jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba

7.3.    jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

8. Institutas esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis turi pateikti:
8.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;
8.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
8.3. tvarkomų asmens duomenų kopiją.

9.   Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
10. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, Institutasgali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
11. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Institutasšiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
12. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.
13. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.
14. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Institutasšiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
15. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais Institutas privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
16. Asmens duomenys, kurių tvarkymas apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas žodžiu, raštu arba elektroninių ryšių priemonėmis yra informuojamas (įprastu bendravimo su duomenų subjektu būdu, teikiant pirmenybę būdui, kuriuo duomenų subjektas kreipėsi į Institutą dėl šios teisės įgyvendinimo).
17. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, Institutasšiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.
18. Duomenų subjekto teisę į duomenų perkeliamumą, numatytą Reglamento (ES) 2016/679 20 straipsnyje, Institutas įgyvendina Reglamento 20 straipsnyje numatytomis sąlygomis.
19. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
20. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.
21. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.
22. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad Institutastvarkytų jo asmens duomenis
23. Apie duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu Institutas informuoja pateikiant informaciją Instituto interneto svetainėje arba žodžiu, raštu ar elektroninėmis ryšio priemonėmis (teikiant pirmenybę tokiam būdui kokiu duomenų subjektas kreipiasi į Institutą).
24. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

25. Institutas nepriima tik automatizuotu duomenų tvarkymu grindžiamų sprendimų, todėl ši teisė nėra įgyvendinama Instituto atliekamo duomenų tvarkymo atžvilgiu.

26. Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę žodžiu arba raštu, pateikiant prašymą asmeniškai, paštu adresu Santariškių g. 1, Vilnius ar elektroninėmis priemonėmis el. pašto adresu duomenuapsauga@nvi.lt.
27. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi žodžiu ar prašymas pateiktas raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
28. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
29. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, gimimo data, adresas ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.
30. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.
31.  Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę ir gimimo datą bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją.
32. Esant abejonių dėl duomenų subjekto tapatybės, Institutas prašo papildomosinformacijos, reikalingos ja įsitikinti.
33. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių 1 priedenurodytos formos prašymą.

34. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūnątel. (8 5) 278 6705, el. p. duomenuapsauga@nvi.ltSiekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.

35. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.

36. Jeigu prašymas pateiktas nesilaikant Taisyklių IX skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 3 darbo dienas, duomenų subjektas apie tai informuojamas nurodant priežastis.

37. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.

38. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.

39. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus rašytinės informacijos iš medicinos dokumentų apie pacientą ir jam suteiktas paslaugas parengimą, kopijų darymą ir teikimą bei kitas paslaugas, kurios yra įtrauktos į mokamų paslaugų kainyną, patvirtintą Instituto direktoriaus įsakymu ir paskelbtą Instituto interneto svetainėje.

40. Institutoveiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, A. Juozapavičius g. 6, Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt,  taip pat Vilniaus apygardos administraciniam teismui.

41. Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į Vilniaus miesto apylinkės teismą.

PRAŠYMAS

BENDROSIOS NUOSTATOS

1. Nacionalinio vėžio instituto asmens duomenų tvarkymo taisyklės reguliuoja asmens duomenų tvarkymą Nacionaliniame vėžio institute, užtikrinant tinkamą 2016 m. balandžio 27 d.  Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB, kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.

2. Taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo ir asmens duomenų saugos organizacines priemones. Asmens duomenų tvarkymą NVI informacinėse sistemose reglamentuoja NVI informacinės sistemos duomenų saugos nuostatai, NVI valdomų ir tvarkomų informacinių sistemų naudotojų administravimo taisyklės, NVI valdomų ir tvarkomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės.

3. Taisyklių nuostatos negali plėsti ar siaurinti Reglamento taikymo srities bei prieštarauti Reglamento nustatytiems asmens duomenų tvarkymo principams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

4. Lietuvos Respublikos Vyriausybės 2016 m. rugpjūčio 11 d. nutarimu Nr. 806 „Dėl Vėžio registro įsteigimo, Vėžio registro nuostatų patvirtinimo ir registro veiklos pradžios nustatymo“  buvo įsteigtas Vėžio registras, kurio valdytoja yra Lietuvos Respublikos švietimo ir mokslo ministerija, tvarkytojas – NVI. NVI, kaip Vėžio registro tvarkytojo, teisės ir pareigos, Vėžio registro duomenų, informacijos ir dokumentų tvarkymo taisyklės yra nustatytos Nutarimu.

5. Šios Taisyklės taikomos tvarkant duomenų subjekto duomenis, taip pat nustato NVI darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.

6. Šių Taisyklių reikalavimai privalomi visiems NVI darbuotojams, kurie tvarko NVI esančius asmens duomenis arba eidami savo pareigas juos sužino ar gali sužinoti, taip pat praktikantams ir stažuotojams, atliekantiems praktiką ar besistažuojantiems NVI, taip pat kitiems asmenims, kurie, tvarkydami asmens duomenis NVI ir (arba) eidami savo pareigas, sužino asmens duomenis arba turi bet kokio pobūdžio prieigą prie asmens duomenų. Šių taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami paslaugas sužino ir tvarko asmens duomenis.

7. NVI darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente ir šiose Taisyklėse.

8. Prieiga prie asmens duomenų gali būti suteikiama tik tiems NVI darbuotojams ir asmenims, kuriems asmens duomenys yra reikalingi jų pareiginiuose nuostatuose nustatytoms funkcijoms ir pavedimams vykdyti ir kurie įsipareigoję laikytis konfidencialumo pasižadėjimo.

SANTRUMPOS, TERMINAI IR APIBRĖŽIMAI 

9. Taisyklėse vartojamos sąvokos atitinka Reglamente ir Lietuvos Respublikos teisės aktuose vartojamas sąvokas.
10. Santrumpos:
10.1. NVI – Nacionalinis vėžio institutas;
10.2. Taisyklės – Nacionalinio vėžio instituto asmens duomenų tvarkymo taisyklės;
10.3. Reglamentas – 2016 m. balandžio 27 d.  Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 10.5/46/EB;
10.4. Nutarimas – Lietuvos Respublikos Vyriausybės 2016 m. rugpjūčio 11 d. nutarimu Nr. 806 „Dėl Vėžio registro įsteigimo, Vėžio registro nuostatų patvirtinimo ir registro veiklos pradžios nustatymo;
10.5. VDAI – Valstybinė duomenų apsaugos inspekcija;
10.6. Pažeidimas – asmens duomenų saugumo pažeidimas, taip kaip apibrėžta Reglamente.

11. Asmens duomenys NVI tvarkomi šiais tikslais:

11.1.  informacijos apie pacientų sveikatą, siekiant užtikrinti sveikatos priežiūros paslaugų teikimą, kokybę ir kokybės kontrolę, rinkimo ir tvarkymo, statistinių duomenų kaupimo, klinikinių tyrimų vykdymo ir administravimo;

11.2.  mokymo proceso, biobanko veiklos ir mokslinių tyrimų vykdymo;

11.3.  NVI darbuotojų, lankytojų ir turto saugumo užtikrinimo (vaizdo stebėjimas);

11.4.  NVI veiklos administravimo (NVI pretendentų į darbuotojus, esamų ir buvusių darbuotojų, praktikantų, rezidentų asmens duomenų tvarkymas, pacientų registracija ir kt.);

11.5.  įdarbinimo;

11.6.  dokumentų valdymo (registravimas, apskaita, saugojimas, archyvavimas);

11.7.  sutarčių rengimo, derinimo, konsultavimo dėl sutarčių taikymo ir vykdymo;

11.8.  darbo saugos ir sveikatos reikalavimų užtikrinimo;

11.9.  vidaus audito;

11.10.  profesinės apšvitos vertinimo;

11.11.  programinės įrangos administravimo;

11.12.  įvykių darbe, nelaimingų atsitikimų darbe, nelaimingų atsitikimų pakeliui į darbą ar iš darbo ir profesinių ligų priežasčių tyrimo;

11.13.  skundų ir prašymų administravimo;

11.14.  viešųjų pirkimų procedūrų organizavimo ir vykdymo, viešųjų pirkimo dokumentų viešinimo;

11.15.  prekių, darbų, paslaugų sutarčių su tiekėjais vykdymo;

11.16.  telefonu teikiamos informacijos kokybės užtikrinimo tikslu gali būti tvarkomi skambinančiojo asmens duomenys, t. y. pokalbio metu pateikta informacija;

11.17.  asmenų iš kitų įstaigų, įmonių, organizacijų asmens duomenys tvarkomi vaistinių preparatų reklamos renginių registravimo NVI tikslais;

11.18.  asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių NVI, asmens duomenys tvarkomi gerosios praktikos pasidalijimo, komunikacijos, NVI veiklos viešinimo tikslu.

12. NVI asmens duomenis tvarko vadovaudamasi Reglamento 6 ir 9 straipsniuose nurodytais pagrindais.

13. Siekiant įgyvendinti Taisyklių 11.1 punkte nurodytą tikslą, NVI tvarkomi šie pacientų asmens duomenys:

13.1. Bendrieji asmens duomenys: Lietuvos Respublikos gyventojo asmens kodas arba užsienio valstybės piliečio asmens kodas ar kitas identifikavimo kodas, vardas, pavardė, šeiminė padėtis, gimimo data, asmens tapatybę patvirtinančio dokumento duomenys (rūšys, numeris, išdavimo data, išdavusi valstybė), kontaktiniai duomenys (faktinės gyvenamosios vietos adresas, telefono numeris, elektroninio pašto adresai), kontaktinių asmenų duomenys.

13.2. Specialių kategorijų pacientų duomenys: lytis, rasinė ir etninė kilmė, mirties data, atvykimo į asmens sveikatos priežiūros įstaigą faktas, parengti elektroniniai medicininiai dokumentai (įskaitant juos sudarančius duomenis bei metaduomenis), elektroninės medicininės pažymos (įskaitant juos sudarančius duomenis bei metaduomenis), išrašyti e. Receptai (įskaitant juos sudarančius duomenis bei metaduomenis), padaryti medicininiai vaizdai (įskaitant metaduomenis bei jonizuojančios spinduliuotės dozės duomenis), nuotraukos, valios pareiškimai, sveikatos priežiūros specialistų ir sveikatos priežiūros įstaigų pasirinkimai, duomenys apie medicinos įstaigą, kurioje asmuo registruotas, ūgis, svoris, juosmens apimtis, kūno masės indeksas, kraujo grupė ir rezus faktorius, rizikos veiksniai, gyvenimo būdas (žalingi įpročiai),  sveikatai kenksmingi ir pavojingi aplinkos veiksniai, neįgalumo lygis, darbingumo lygis, specialieji poreikiai ir jų nustatymo pradžios ir pabaigos datos, profilaktinių sveikatos patikrinimų duomenys, taikytų vakcinacijų duomenys, persirgtų ligų ar būklių pavadinimai ir kodai, alerginių reakcijų pavadinimai ir kodai, artimųjų giminaičių paveldimų arba genetinių ligų diagnozių kodai, nusiskundimų ir anamnezių duomenys, suteiktos sveikatinimo paslaugos (statistinių apskaitos formų, naudojamų duomenims apie suteiktas sveikatinimo paslaugas rinkti, formatu), pacientų apsilankymų datos, laikai ir apsilankymų tikslai (priežastys), gydymo ambulatoriškai ar stacionare suvestinės (apsilankymų statusai, dienynai, epikrizės, išrašai), psichikos sutrikimai, gimdymų skaičius, socialiniai faktoriai,  diagnozuotų ligų ar būklių pavadinimai ir kodai, taikyto gydymo būdai, atliktos procedūros ir operacijos (intervencijos), ilgalaikio stebėjimo duomenys, gydymas vaistiniais preparatais, medicinos pagalbos priemonių taikymas, siuntimai konsultuoti, tirti, gydyti, paimti mėginiai, atlikti tyrimai, apdraustumo sveikatos draudimu požymis registravimo sveikatinimo paslaugoms gauti metu, apdraustumo pradžios data, nuo kurios asmuo buvo (yra) draustas, apdraustumo pabaigos data, iki kurios asmuo buvo (yra) draustas, išduoti elektroniniai nedarbingumo pažymėjimai bei elektroniniai nėštumo ir gimdymo atostogų pažymėjimai (asmens kodas, vardas, pavardė, nedarbingumo priežastis, nedarbingumo, nėštumo ir gimdymo atostogų laikotarpis, gimdymo data), išduoti leidimai dėl nedarbingumo bei nėštumo ir gimdymo atostogų pažymėjimų išdavimo Elektroninių nedarbingumo pažymėjimų bei elektroninių nėštumo ir gimdymo atostogų pažymėjimų išdavimo taisyklių nenumatytais atvejais (asmens kodas, vardas, pavardė, tarnybinio pažymėjimo numeris, sveikatinimo įstaiga, kuriai skirtas leidimas, nedarbingumo laikotarpis), išskyrus valstybės ar tarnybos paslaptį sudarančius duomenis, profesinis kenksmingumas, atliktų genetinių ir vėžio žymenų analičių tyrimų atsakymai.

14. Siekiant įgyvendinti 11.2 punkte nurodytus biobanko veiklos ir mokslinio tyrimo vykdymo tikslus, tvarkomi paciento duomenys, kurie reikalingi atsižvelgiant į mokslinio tyrimo užsakovo, kito biobanko pateiktą sąrašą ir (ar) mokslinio tyrimo protokolą (pavyzdžiui, vardas, pavardė, asmens kodas, adresas, šeiminė padėtis, identifikacinis kodas, demografiniai duomenys, rasinė ir etninė kilmė, lytis, gimimo data, mirties data, informacija apie išsilavinimą, kontaktinė informacija (telefono numeris, adresas, el. pašto adresas), fizinio ištyrimo duomenys, gyvybinių funkcijų rodikliai, laboratorinių, radiologinių tyrimų duomenys, informacija apie skiriamą gydymą ir nepageidaujamus reiškinius ir kt.).
15. Kiti asmens duomenys, kurie teisėtai renkami ir tvarkomi vadovaujantis Reglamentu.

16.  NVI darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų, įtvirtintų Reglamente:

16.1.  asmens duomenys turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);

16.2.  asmens duomenys turi būti renkami Taisyklių 11 punkte apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);

16.3.  asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);

16.4.  asmens duomenys turi būti tikslūs ir prireikus atnaujinami. Turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);

16.5.  asmens duomenys laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys tvarkomi. Asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama pagal Reglamentą siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);

16.6.  Asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);

16.7.  NVI yra atsakingas už tai, kad būtų laikomasi asmens duomenų tvarkymo principų, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).

17.  Asmens duomenys saugomi tiek laiko, kiek nurodyta Lietuvos Respublikos biomedicininių tyrimų etikos įstatyme, Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakyme Nr.515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ ir Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakyme Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ ir kituose teisės aktuose, reglamentuojančiuose atitinkamų asmens duomenų tvarkymą. Konkretūs duomenų saugojimo terminai gali būti nustatyti kituose NVI vidaus teisės aktuose.

18.  Asmens duomenys NVI tvarkomi automatiniu ir neautomatiniu būdu.

19.  Tyrimo centras ir užsakovas pagrindinius klinikinio tyrimo dokumentus saugo 15 metų nuo tyrimo baigimo datos. Kitų mokslinių tyrimų dokumentai saugomi 15 metų nuo tyrimo baigimo datos.

20.  Asmens duomenys NVI renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto, gaunant iš kitų asmenų teisės aktų nustatyta tvarka ir pagrindais, taip pat oficialiai užklausiant reikalingą informaciją tvarkančių ir turinčių teisę ją teikti subjektų pagal prašymą (vienkartinio asmens duomenų rinkimo atveju) arba pagal asmens duomenų teikimo sutartį (daugkartinio asmens duomenų rinkimo atveju).

21.  Duomenų rinkimo tvarka:

21.1.   Registruojantis naujam pacientui duomenys apie pacientus į pacientų duomenų bazę (toliau – DB) įvedami iš šių šaltinių: NVI pateikto paciento paso, gimimo liudijimo, socialinio draudimo pažymėjimo, pensininko pažymėjimo, neįgaliojo pažymėjimo, pažymos apie registraciją Valstybinėje darbo biržoje, kitų dokumentų, kuriuos pateikia pacientai.

21.2.   Kiti asmens duomenų teikėjai yra šie:

21.2.1.  Lietuvos Respublikos sveikatos apsaugos ministerija teikia duomenis iš Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) ir Išankstinės pacientų registracijos informacinės sistemos (IPR): pacientų, elektroninės sveikatos istorijos ESI, vaistinių preparatų ir medicinos pagalbos priemonių, medicinos prietaisų, klasifikatorių, medicininių vaizdų, e. receptų, ataskaitų ir statistinės informacijos duomenų bazių duomenis bei IPR duomenis (užsiregistravusio paciento asmens kodas, vardas, pavardė, gimimo data, adresas, kontaktinis telefono numeris, sveikatinimo specialistas pas kurį registruojamasi duomenys, apsilankymo data, laikas ir apsilankymo tikslas (priežastis).

21.2.2.  Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos teikia duomenis iš Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – DPSDR) ir Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (SVEIDRA): draudžiamojo asmens kodas, draudžiamojo asmens identifikacinis kodas, draudžiamojo asmens gimimo data, draudžiamojo asmens vardas, pavardė, apdraustumo pradžios data, nuo kurios asmuo buvo (yra) draustas, apdraustumo pabaigos data, iki kurios asmuo buvo (yra) draustas, paciento pasirinktas sveikatos priežiūros specialistas (vardas, pavardė, sveikatos priežiūros specialisto identifikacinis (spaudo) numeris), paciento pasirinkta sveikatos priežiūros įstaiga (pavadinimas, juridinio asmens kodas).

21.2.3.  Valstybinio socialinio draudimo valdyba prie Socialinės apsaugos ir darbo ministerijos teikia duomenis iš Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos: pacientams išduoti elektroniniai nedarbingumo pažymėjimai bei elektroniniai nėštumo ir gimdymo atostogų pažymėjimai (asmens kodas, vardas, pavardė, nedarbingumo priežastis, nedarbingumo, nėštumo ir gimdymo atostogų laikotarpis, gimdymo data).

21.2.4.  Biobanko veiklai vykdyti gali būti renkama asmens sveikatos informacija iš įvairių Lietuvos Respublikos registrų, informacinių sistemų, sveikatos priežiūros įstaigų pagal sudarytas sutartis.

21.3.   Duomenis į DB įveda ir toliau tvarko NVI darbuotojai, pasirašę konfidencialumo pasižadėjimą ir susipažinę su2019 m. liepos 2 d. Nacionalinio vėžio instituto direktoriaus įsakymu patvirtintu Informacijos apie pacientą teikimo pacientui, kitiems asmenims ir institucijoms tvarkos aprašu bei šiomis Taisyklėmis.

21.4.   Su konkrečiu pacientu susijusių medicininių duomenų kaupimas ir apdorojimas vyksta NVI pacientų informacinėje sistemoje. NVI pacientų informacinės sistemos  naudojimo tvarka aprašyta NVI direktoriaus įsakymu patvirtintose NVI elektroninės medicininės istorijos pildymo ir naudojimo taisyklėse.

21.5.   Biobanko veiklos ir mokslinio tyrimo metu duomenų subjektų asmens duomenis renka ir tvarko atsakingas biobanko darbuotojas, tyrime dalyvaujantys gydytojai tyrėjai arba tyrimo koordinatoriai. Renkami ir tvarkomi tyrimo užsakovo pateikti ir tyrimo protokoluose numatyti asmens duomenys, taip pat specialių kategorijų asmens duomenys. Surinkti asmens duomenys yra nuasmeninami ir koduojami taip, kad nebūtų įmanoma nustatyti duomenų subjekto tapatybės. Duomenų subjektų identifikacinių kodų sąrašas laikomas tyrimo centre saugioje vietoje, vadovaujantis tokių dokumentų saugojimui galiojančiais standartais, t.y. dokumentai (tiek popieriniame variante, tiek elektroninėse rinkmenose) laikomi rakinamose spintose rakinamose patalpose, kur prieiga yra ribota. Šiose patalpose gali lankytis tik biobanko, biomedicininio ar klinikinio tyrimo personalas.

22.   Asmens duomenis tvarko arba turi prie jų prieigą NVI darbuotojai, kuriems tai yra būtina tiesioginių pareigų vykdymui:

22.1.   Gydantis gydytojas;

22.2.   Padalinio, kuriame gydomas pacientas, vadovas;

22.3.   Gydytojas konsultantas;

22.4.   Pacientą aptarnaujantis personalas;

22.5.   Personalas, pacientui suteikiantis būtinąją pagalbą;

22.6.   Personalas, atliekantis auditą;

22.7.   Personalas, susijęs su informacinės sistemos palaikymu ir pasirašęs pasižadėjimą neatskleisti duomenų;

22.8.   Moksliniame tyrime dalyvaujančių asmenų duomenis tvarko  mokslinio tyrimo komanda (tyrėjai, koordinatoriai);

22.9.   Biobanko darbuotojai.

23.   Duomenų teikimas duomenų gavėjams:

23.1.   Asmens duomenys gali būti teikiami tik pagal sudarytą asmens duomenų teikimo sutartį arba gavus duomenų gavėjo prašymą.

23.2.   Pacientų duomenys teikiami šiems duomenų gavėjams:

23.2.1.  Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos (SVEIDRA): paciento vardas, pavardė, asmens kodas, adresas gydymo epizodo trukmė ir laikas, diagnozė, suteiktos gydymo paslaugos (pagal Valstybinės ligonių kasos patvirtintą paslaugų klasifikatorių), operacijos, brangios procedūros ir tyrimai. Šie duomenys naudojami gydymo paslaugų įkainių, NVI pacientams suteiktų paslaugų ir už jas gautų pajamų skaičiavimui.

23.2.2.  Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos: paciento sveikatos duomenys. Šie duomenys teikiami siekiant pagrįsti pacientams išduodamų nedarbingumo pažymėjimų būtinumą.

23.2.3.  Valstybės ar savivaldybės įstaigoms, kitiems fiziniams ar juridiniams asmenims, kai teisės aktai įpareigoja NVI prašomus duomenis teikti: paciento vardas, pavardė, asmens kodas, informacija apie paciento sveikatos būklę, diagnozes ir gydymą.

23.2.4.  Pacientai, pacientų artimieji, šeimos nariai, atstovai: paciento vardas, pavardė, asmens kodas, informacija apie paciento sveikatos būklę, diagnozes ir gydymą. Šie duomenys teikiami įgyvendinant pacientų teisę susipažinti su tvarkomais savo asmens duomenimis, taip siekiant užtikrinti suteikiamų asmens sveikatos priežiūros paslaugų kokybę ir teisės aktais nustatytų pareigų įgyvendinimą.

23.2.5.  Moksliniame tyrime dalyvaujančių asmenų duomenys teikiami tyrimo užsakovams, kitiems biobankams pagal sutartį bei kitoms atsakingoms institucijoms nepažeidžiant teisės aktų reikalavimų ir konfidencialumo sąlygų.

23.2.6.  Vaizdo duomenų tvarkymo taisyklės yra patvirtintos atskiru NVI direktoriaus įsakymu.

23.2.7.  Darbuotojų asmens duomenų tvarkymo taisyklės patvirtintos atskiru NVI direktoriaus įsakymu. 

DUOMENŲ TVARKYMAS SUTIKIMO PAGRINDU

24.  Asmens duomenys sutikimo pagrindu tvarkomi:

24.1.    kai tai tiesiogiai numatyta Taisyklėse, Reglamente arba kituose teisės aktuose;

24.2.   kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, NVI neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus Reglamente nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu Reglamente įtvirtintų pagrindų, duomenų subjekto sutikimas papildomai nėra prašomas pateikti;

25.   Duomenų subjekto sutikimas dėl asmens duomenų tvarkymo yra užpildomas raštu ir teikiamas NVI pagal patvirtintą formą.

26.   Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu. Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu , o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi duomenų subjekto sutikimu.

27.   Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, NVI privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė sutikimą. Tais atvejais, kuomet sutikimas buvo gautas žodžiu, NVI privalo turėti tai patvirtinantį garso ar vaizdo įrašą.

28.   Kai asmens duomenys yra tvarkomi sutikimo pagrindu, tvarkomi tik tie asmens duomenys, kurie nurodyti sutikime, tik tais tikslais, kurie nurodyti sutikime, ir su jais atliekamos tik tos tvarkymo operacijos (veiksmai), kurios nurodytos sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas Taisyklėse, Reglamente  įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.

29.   Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:

29.1.    duotas laisva duomenų subjekto valia. Vertinant, ar sutikimas duotas laisva valia, atsižvelgiama į šias aplinkybes:

29.1.1.  ar sutarties vykdymui nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti asmens duomenis, kurie nėra būtini tai sutarčiai vykdyti (tokiu atveju nelaikoma, kad sutikimas duotas laisva valia);

29.1.2.  ar duomenų subjektas yra verčiamas duoti sutikimą, neturi realaus pasirinkimo dėl sutikimo davimo, patiria spaudimą, negali realiai kontroliuoti sutikimo davimo bei asmens duomenų ar gali susilaukti neigiamų pasekmių (tiesioginių ir netiesioginių), jeigu sutikimas nebus duotas (tokiais atvejais nelaikoma, kad sutikimas duotas laisva valia);

29.1.3.  jeigu sutikimas yra neatsiejamai susietas su sąlygomis, dėl kurių duomenų subjektas neturi galimybės derėtis ar jas pakeisti, preziumuojama, kad toks sutikimas nėra duotas laisva valia. Tokiu atveju NVI imasi papildomų priemonių šiai prezumpcijai paneigti ir užtikrinti, kad sutikimas būtų duodamas laisva valia;

29.1.4.  jeigu yra aiški NVI ir duomenų subjekto padėties neatitiktis ir dėl to tikėtina, kad sutikimas, atsižvelgiant į visas to konkretaus atvejo aplinkybes, gali nebūti duotas laisva valia. Tokiu atveju NVI imasi papildomų priemonių užtikrinti, kad sutikimas būtų duodamas laisva valia;

29.1.5.  jeigu sutikimas yra siejamas su keliais duomenų tvarkymo tikslais ar keliomis duomenų tvarkymo operacijomis (veiksmais), duomenų subjektams turi būti sudaryta galimybė sutikti ne su visais tikslais ar operacijomis (veiksmais), o tik su atskirais tikslais ar operacijomis (veiksmais), jeigu jie nėra tarpusavyje tiesiogiai susiję. Priešingu atveju nelaikoma, kad sutikimas duotas laisva valia;

29.2.    sutikimas yra konkretus ir išsamus. Laikoma, kad sutikimas yra konkretus ir išsamus, jeigu jis atitinka šiuos reikalavimus:

29.2.1.  aiškiai ir išsamiai nurodytas konkretus ir teisėtas asmens duomenų tvarkymo tikslas;

29.2.2.  nurodyti konkretūs asmens duomenys, kurie bus tvarkomi konkrečiais duomenų tvarkymo tikslais;

29.2.3.  nurodytos duomenų tvarkymo operacijos (veiksmai), kurios bus atliekamos sutikimo pagrindu;

29.2.4.  duomenų subjektui sudaroma galimybė sutikti tik su atskirais duomenų tvarkymo tikslais, jeigu sutikimas duodamas keliems duomenų tvarkymo tikslams, taip pat tik su konkrečiomis duomenų tvarkymo operacijomis (veiksmais);

29.3.    sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta Reglamento straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualinėmis žinutėmis, tačiau visais atvejais tokiu būdu, kad NVI turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka Reglamento  13 straipsnyje įtvirtintą turinį;

29.4.   sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais;

29.5.   sutikimas turi būti parašytas paprasta, aiškia, duomenų subjektui suprantama kalba.

30.  Visais atvejais sutikimas turi būti gaunamas prieš atliekant duomenų tvarkymo operacijas (veiksmus), dėl kurių renkamas sutikimas.

31.  Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar Reglamente  įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimui atšaukti yra sudaromos analogiškos sąlygos kaip ir sutikimui duoti, draudžiama apsunkinti ar sudaryti papildomas sąlygas sutikimui atšaukti. Sutikimo atšaukimas negali sukelti duomenų subjektui neigiamų padarinių, įskaitant paslaugos kokybės sumažinimą. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.

32.  NVI imasi priemonių, kad sutikimai, kiek tai yra įmanoma atsižvelgiant į asmens duomenų tvarkymo tikslus ir apimtį, galiotų apibrėžtą terminą.

33.  Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.

34.  Duomenų subjektų teisės ir jų įgyvendinimo tvarka yra reglamentuota NVI direktoriaus įsakymu patvirtintose Duomenų subjekto teisių įgyvendinimo Nacionaliniame vėžio institute taisyklėse.

35.   Duomenų valdytojas turi šias teises:

35.1.   rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

35.2.   įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

35.3.   kitas galiojančiuose Lietuvos Respublikos įstatymuose ir teisės aktuose numatytas teises.

36.   Duomenų valdytojas turi šias pareigas:

36.1.   užtikrinti, kad būtų laikomasi Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;

36.2.   įgyvendinti duomenų subjekto teises Reglamento nustatyta tvarka;

36.3.   užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;

36.4.   tvarkyti duomenų tvarkymo veiklos įrašus;

36.5.   vertinti poveikį duomenų apsaugai;

36.6.   konsultuotis su VDAI;

36.7.   paskirti duomenų apsaugos pareigūną;

36.8.   pranešti apie duomenų saugumo pažeidimą;

36.9.    kitas galiojančiuose Lietuvos Respublikos įstatymuose ir teisės aktuose numatytas pareigas.

37.    Duomenų valdytojas atlieka šias funkcijas:

37.1.   analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;

37.2.   teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;

37.3.   vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti;

38.   Duomenų tvarkytojai turi teises ir pareigas bei vykdo funkcijas, numatytas asmens duomenų tvarkymo sutartyje.

39.   Tais atvejais, kai NVI įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp NVI ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.

40.   Turi būti parenkamas toks duomenų tvarkytojas, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.

41.   NVI duomenų tvarkytojų registrą pildo duomenų apsaugos pareigūnas pagal NVI struktūrinių padalinių pateiktą informaciją.

42.   Duomenų valdytojas ir duomenų tvarkytojas turi užtikrinti asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gairėse numatytas saugumo priemones.

43.   NVI turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.

44.   NVI turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytoja tik esant bent vienam iš šių teisinių pagrindų:

44.1.  sudaryta sutartis su duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;

44.2.  pareiga tvarkyti duomenis nustatyta teisės aktuose.

45.   Kai NVI konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos NVI teisės aktų bei duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento  reikalavimus.

46.  NVI darbuotojai, tvarkantys asmens duomenis, turi laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja tiek įstaigos viduje, tiek už jos ribų, o taip pat pasibaigus darbo ar sutartiniams santykiams.

47.  Darbuotojai gali susipažinti bei naudotis tik tais dokumentais ir duomenų rinkmenomis, su kuriais susipažinti ir juos tvarkyti jie buvo įgalioti.

48.  Darbuotojai turi imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Jei darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį savo vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.

49.  Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Slaptažodis negali būti lengvai atspėjami žodžiai. Geriausia slaptažodį sudaryti iš kelių žodžių juos tam tikru būdu sujungiant ir įvedant skaičius. Slaptažodžių negalima užsirašinėti, slaptažodis turi būti keičiamas reguliariai kas du mėnesiai arba dažniau jei būtų pastebėtas bandymas nesankcionuotai patekti į sistemą, o taip pat susidarius tam tikroms įtartinoms situacijoms, kurios gali kelti grėsmę asmens duomenų saugumui. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.

50.Darbuotojas, atsakingas už kompiuterių priežiūrą, daro tarnybinėse stotyse esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas turi jas atstatyti.

51.  Kitos duomenų ir kompiuterių įrangos fizinės saugos užtikrinimo priemonės nurodytos NVI direktoriaus įsakymu patvirtintoje procedūroje P6 „Informacinių technologijų ir duomenų saugos valdymas“ ir NVI direktoriaus įsakymu patvirtintuose NVI informacinės sistemos nuostatuose.

52.  NVI darbuotojai pastebėję galimus Pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui), turi pareigą visais įmanomais būdais (žodžiu, raštu ar elektroninėmis priemonėmis) nedelsiant informuoti NVI duomenų apsaugos pareigūną.

53.  Pažeidimų nustatymas, asmenims kylančio pavojaus vertinimas, pažeidimų dokumentavimas, pranešimams apie pažeidimus reguliuojamas Nacionalinio vėžio instituto asmens duomenų saugumo pažeidimų valdymo tvarkos apraše.

54.  Duomenų tvarkymo veiklos įrašai vedami pagal Direktoriaus įsakymu patvirtintą Nacionalinio vėžio instituto duomenų tvarkymo veiklos įrašų valdymo tvarkos aprašą.

55.   Poveikio duomenų apsaugai vertinimas atliekamas pagal Direktoriaus įsakymu patvirtintą Nacionalinio vėžio instituto poveikio duomenų apsaugai vertinimo tvarkos aprašą.

56.  Duomenų valdytojas skiria NVI duomenų apsaugos pareigūną.

57.  NVI duomenų apsaugos pareigūno kontaktiniai duomenys (vardas, pavardė, el. pašto adresas ir telefono ryšio numeris) yra skelbiami NVI. Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami VDAI, taip pat nurodomiNVI internetinės svetainės skiltyje „Duomenų apsauga“, formose, susijusiose su duomenų apsauga, siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su duomenų apsaugos pareigūnu.

58.  Duomenų apsaugos pareigūnas vykdo jam pagal Reglamentą pavestas užduotis.

59.  Duomenų apsaugos pareigūnas yra nepriklausomas NVI patarėjas asmens duomenų apsaugos klausimais.

60.  Visi NVI darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu, skubiai teikti visus jo paprašytus dokumentus ir informaciją.

61.  Darant garso įrašus užtikrinama, kad garso įrašų darymas ir tvarkymas atitiktų Taisyklių nuostatas.

62.  Garso įrašai NVI daromi posėdžių protokolavimo tikslais. Patvirtinus posėdžio protokolą garso įrašas sunaikinamas per 1 darbo dieną ir toliau nebesaugomas.

63.  Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais nešiojamaisiais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais.

64.  Duomenų subjektų teisės, susijusios su garso įrašų duomenų tvarkymu, įgyvendinamos Taisyklių nustatyta tvarka. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. NVI saugomu garso įrašu, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.

65.  Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą. Už duomenų subjekto informavimą apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą atsakingi NVI komisijų posėdžių sekretoriai.

66.  Perduoti asmens duomenis į trečiąją valstybę arba tarptautinę organizaciją galima tik esant bent vienai iš šių sąlygų:

66.1.  yra priimtas Europos Komisijos sprendimas, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečioje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą;

66.2.  jeigu nėra priimtas sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenys gali būti perduoti į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu NVI yra nustačiusi tinkamas apsaugos priemones, įskaitant tai, kad duomenų subjektams bus užtikrinta galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

67.  Jeigu nėra priimtas Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, kaip nurodyta Reglamento  46 straipsnio 2 ir 3 dalyse, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekamas tik tada, jeigu egzistuoja bent viena iš Reglamento  49 straipsnio 1 dalyje nurodytų sąlygų.

68. Šių Taisyklių keitimus atlieka rengėjas pagal procedūrą P1 „Dokumentų valdymas“. Taisyklės turi būti peržiūrimos ir tikslinamos pagal atitinkamai pasikeitusių kitų asmens duomenų tvarkymą reglamentuojančių teisės aktų nuostatas.

69. Darbuotojai ir kiti Taisykles ar Reglamentą pažeidę asmenys, atsako teisės aktų nustatyta tvarka.

70. Patvirtinus ar atnaujinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už darbuotojų supažindinimą su taisyklėmis atsakingi padalinių vadovai.

71. Už NVI tvarkomų duomenų saugumą atsako duomenis tvarkantis darbuotojas.

72. Už Taisyklių laikymosi priežiūrą padaliniuose atsakingi NVI padalinių vadovai.

73. Už duomenų subjektų duomenų atnaujinimą padaliniuose, kuriuose renkami ir tvarkomi duomenų subjektų duomenys, atsako NVI padalinių vadovai.

74. Taisyklės parengtos vadovaujantis:

74.1.  2016 m. balandžio 27 d.  Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB.

74.2.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

74.3.  Lietuvos Respublikos sveikatos sistemos įstatymu.

74.4.  Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu.

74.5.  Lietuvos Respublikos sveikatos draudimo įstatymu.

74.6.  Lietuvos Respublikos valstybinio socialinio draudimo įstatymu.

74.7.  Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu.

74.8.   Lietuvos Respublikos biomedicininių tyrimų etikos įstatymu.

74.9.   Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos”.

74.10.  Lietuvos Respublikos sveikatos apsaugos ministro 1998 m. birželio 12 d. Nr. 320 įsakymu „Dėl geros klinikinės praktikos“.

74.11.  Lietuvos Respublikos sveikatos apsaugos ministro įsakymu 2001 m. vasario 1 d. Nr. 65 „Dėl Informacijos apie pacientą valstybės institucijoms ir kitoms įstaigoms teikimo tvarkos aprašo patvirtinimo ir asmens sveikatos paslapties kriterijų nustatymo”.

74.12.  Lietuvos Respublikos sveikatos apsaugos ministro įsakymu 2011 m. gegužės 20 d. Nr. V-506 „Dėl rašytinės informacijos, įskaitant ir konfidencialią, apie pacientą ir jam suteiktas paslaugas teikimo ir šios paslaugos apmokėjimo tvarkos aprašo patvirtinimo”.

74.13.  Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2014 m. birželio 5 d. įsakymu Nr. 1K-136 „Dėl Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ nuostatų pakeitimo”.

74.14.  Kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.

NVI darbuotojai teikdami sveikatos priežiūros paslaugas pacientams turi vadovautis Taisyklėmis bei šiomis instrukcijomis:

Telefonu pacientui ar jo teisėtam atstovui gali būti skambinama tik paciento nurodytu telefono numeriu. Gydantis gydytojas, siekiantis gauti ar pasitikslinti paciento sveikatos informaciją, kuri reikalinga gydymo procesui, gali įstaigos telefonu skambinti kitos gydymo įstaigos gydytojui viešai skelbiamais tos įstaigos telefono numeriais. Tiek kalbant telefonu, tiek gydytojų kabinetuose, turi būti užtikrintas pokalbių su pacientais konfidencialumas (pokalbis turi vykti taip, kad pokalbio metu pateiktų asmens duomenų negalėtų girdėti neįgalioti asmenys).

Kabinetuose, budėjimo postuose ir pan. laikoma paciento dokumentacija (ambulatorinė kortelė, tyrimai, išrašai, temperatūrų lapai prie paciento lovos ir kita) turi būti padėti taip, kad bet koks kitas asmuo nematytų pacientų asmens duomenų (vardų, pavardžių, asmens kodų, kontaktų, diagnozių ir kitos informacijos). Baigus darbą, paciento dokumentacija taip pat turi būti sudėta tvarkingai, užversta, kad atvirai nesimatytų jokių pacientų duomenų. Jei įmanoma, kortelės ir kita medicininė dokumentacija turėtų būti sudėtos į spintas ir užrakintos.

Kompiuterių monitoriai, kuriuose sveikatos priežiūros specialistai peržiūri su paciento sveikata susijusią informaciją, turėtų būti nukreipti taip, kad su monitoriuje matomais asmens duomenimis negalėtų susipažinti tokios teisės neturintys kiti asmenys.

Kiekvienas kompiuteris privalo turėti prisijungimo slaptažodį. Kiekvienas darbuotojas privalo naudotis tik savo prisijungimo duomenimis, baigęs darbą atsijungti nuo visų sistemų, prie kurių buvo prisijungęs ar kuriomis naudojosi. Už duomenų saugumą (LVR, ELI, VPC, E-sveikatoje, EPTS ir kt.) atsako savo slaptažodžio autorius, kadangi visi sistemose atliekami veiksmai yra matomi ir priskiriami konkrečiam prisijungusiam vartotojui pagal prisijungimo duomenis.

Pacientai užeiti į konsultacijų kabinetą yra kviečiami tik vardu. Jei reikalinga, galima pasitikslinti paklausiant registracijos laiką. Bet kuriuo atveju, kiti asmens duomenys  (pavardė, gimimo data) tikslinami tik pakvietus pacientą į kabinetą ir negirdint pašaliniams asmenims.

NVI koridoriuose neturėtų būti skelbiami pacientų sąrašai su informacija, kuriose palatose, kokie pacientai gydomi.

Jeigu pacientui yra reikalingi išrašai, išvados apie jo sveikatos būklę ar slaugos poreikį, o pacientas dėl savo būklės sunkumo ar transportavimo sudėtingumo negali atvykti ir jo valios pareiškimo lape nėra nurodyti asmenys, kuriems gali būti teikiama informacija apie pacientą, tokie išrašai ir išvados gali būti įteikiami tik įgaliotiems atstovams, kurie pateikia atstovavimą patvirtinantį dokumentą (notaro patvirtintą įgaliojimą)  iš kurio aiškiai matyti, kad asmuo yra įgaliotas gauti informaciją apie paciento sveikatą bei atstovo tapatybę patvirtinantį dokumentą. Kitu atveju, esant būtinumui perduoti tokius išrašus, pažymas (pvz.: dėl slaugos poreikio), išrašas pateikiamas per ELI į e-sveikatą.

BENDROSIOS NUOSTATOS

1. Vaizdo duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti vaizdo stebėjimą Viešosios įstaigos Vilniaus universiteto ligoninės Santaros klinikų filialo Nacionaliniame vėžio centre, užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Vykdant vaizdo stebėjimą vadovaujamasi BDAR, ADTAĮ, bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą.
3. Taisyklėse vartojamos sąvokos atitinka BDAR ir ADTAĮ vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti BDAR ir ADTAĮ taikymo srities bei prieštarauti BDAR ir ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.
4. Duomenų valdytojas – Viešosios įstaigos Vilniaus universiteto ligoninės Santaros klinikų filialas Nacionalinis vėžio centras (toliau – NVC), kodas 307053706, adresas Santariškių g. 1, Vilnius.
5. Duomenų valdytojas turi teisę pasitelkti duomenų tvarkytoją tvarkyti vaizdo duomenis.

6. Vaizdo stebėjimo tikslas – užtikrinti darbų saugą, nuosavybės teise ar kitu teisiniu pagrindu NVC valdomų materialinių išteklių (toliau – turtas) apsaugą, darbuotojų, pacientų ir jų duomenų saugumą, pacientų gyvybės išsaugojimą, trečiųjų asmenų teisių apsaugą, konfliktinių situacijų, nelaimingų atsitikimų darbe prevenciją, paslaugų teikimo atsekamumą, fiksavimo ir kokybės užtikrinimą, teisės aktų pažeidimų prevenciją, vidaus tvarkos taisyklių, reikalavimų pažeidimo prevenciją, įvykusių teisės aktų pažeidimų tyrimą, incidentų darbe ar duomenų saugumo incidentų tyrimą.
7. Vaizdo stebėjimas vykdomas:
7.1. teritorijoje adresu Santariškių g. 1, Vilnius: pagrindinis bei šalutiniai įėjimai, pastato išorė;
7.2. šiose patalpose: rūsio tuneliai, antro aukšto koridorius, antro aukšto fojė, ketvirto korpuso antro aukšto koridorius, koridorius į penktą korpusą, įėjimas į spindulinės terapijos kabinetą, esantį penktame korpuse, ketvirto korpuso pirmo aukšto įėjimas ir koridorius, dyzelgeneratoriaus patalpa ir serverinės patalpa, adresu Santariškių g. 1, Vilnius.
8. Vaizdo stebėjimo kameros turi būti įrengiamos taip, kad vaizdo stebėjimas nebūtų vykdomas didesnėje duomenų valdytojo teritorijoje ar patalpoje nei yra nurodyta Taisyklių 7 punkte.
9. Vykdant vaizdo stebėjimą draudžiama:
9.1. įrengti eksploatuoti įrengtas vaizdo stebėjimo kameras, kad į jų stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų numatytus atvejus;
9.2. vykdyti vaizdo stebėjimą patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą (tualetuose, persirengimo kambariuose, gydytojo kabinete ir pan.);
9.3. vykdyti vaizdo stebėjimą slaptomis vaizdo kameromis.
10. Vaizdo stebėjimo apimtis ir (ar) tikslas keičiamas tik pakeitus Taisykles.
11. Vaizdo stebėjimo duomenys negali būti naudojami kitiems tikslams, nesusijusiems su Taisyklių 6 punkte apibrėžtu tikslu.

12. Duomenų valdytojas turi šias teises:
12.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius vaizdo stebėjimo vykdymą;
12.2. spręsti dėl vaizdo duomenų teikimo;
12.3. paskirti už vaizdo duomenų apsaugą atsakingą asmenį ar padalinį;
12.4. įgalioti duomenų tvarkytojus tvarkyti vaizdo duomenis;
12.5. sudaryti sutartis su duomenų tvarkytojais dėl Vaizdo įrangos priežiūros;
13. Duomenų valdytojas turi šias pareigas:
13.1. užtikrinti BDAR, ADTAĮ ir kituose teisės aktuose, reglamentuojančiose asmens duomenų tvarkymą, nustatytų asmens duomenų tvarkymo reikalavimų laikymąsi;
13.2. įgyvendinti duomenų subjekto teises BDAR nustatyta tvarka;
13.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;
13.4. parinkti tik tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi, kad duomenų tvarkymas atitiktų BDAR reikalavimus ir duomenų subjekto teisių apsaugą, bei sudaryti sutartis su duomenų tvarkytojais reglamentuojančią duomenų tvarkytojo atliekamą duomenų tvarkymą, atitinkančią BDAR 28 straipsnio 3 dalyje nustatytus reikalavimus. Duoti duomenų tvarkytojui nurodymus dėl vaizdo duomenų tvarkymo. Žinoti apie ketinamas sudaryti sutartis su pagalbiniais duomenų tvarkytojais bei duoti išankstinius rašytinius sutikimus dėl jų paskyrimo;
14. Duomenų valdytojas atlieka šias funkcijas:
14.1. nustato vaizdo stebėjimo tikslą ir apimtį;
14.2. organizuoja vaizdo stebėjimo sistemos diegimo darbus;
14.3. suteikia prieigos teises ir įgaliojimus tvarkyti vaizdo duomenis;
14.4. analizuoja technologines, metodologines ir organizacines vaizdo duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam vaizdo stebėjimo vykdymui užtikrinti;
14.5. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams vaizdo duomenų tvarkymo klausimais;
14.6. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;
14.7. vykdo kitas funkcijas, reikalingas įgyvendinti Taisyklių 12–13 punktuose nurodytas duomenų valdytojo teises ir pareigas.
15. Duomenų tvarkytojas vaizdo duomenis tvarko vadovaujantis teisės aktų, reglamentuojančių asmens duomenų apsaugą, reikalavimais.

16. Vaizdo duomenys tretiesiems asmenims teikiami tik esant bent vienai iš BDAR 6 straipsnyje nurodytų teisėto asmens duomenų tvarkymo sąlygų pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba pagal prašymą (vienkartinio teikimo atveju). Sutartyje ar prašyme turi būti nurodytas vaizdo duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti vaizdo duomenų apimtis.
17. Vaizdo duomenys duomenų valdytojo gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl jų žinioje esančių administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais.
18. Valdžios institucijų prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs bei neturėtų būti susiję su visu susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje.

19. Siekiant užtikrinti vaizdo duomenų saugumą įgyvendinamos šios organizacinės ir techninės asmens duomenų saugumo priemonės: užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė, prieiga prie asmens duomenų yra suteikiama tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti, prieigoms prie asmens duomenų yra suteikiami slaptažodžiai, pakeičiami vaizdo stebėjimo kamerų gamintojo suteikti standartiniai prisijungimo vardai ir slaptažodžiai, slaptažodžiai keičiami ne rečiau, kaip kartą per 3 mėnesius, užtikrinama asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis, užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas, užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).
20. Prieigos teisių ir įgaliojimų tvarkyti vaizdo duomenis suteikimo, naikinimo ir keitimo tvarka:
20.1. prieigos teisės ir įgaliojimai tvarkyti vaizdo duomenis suteikiami, naikinami ir keičiami NVC direktoriaus įsakymu;
20.2. dėl prieigos prie vaizdo duomenų suteikimo kreipiasi duomenų valdytojo darbuotojo tiesioginis vadovas;
20.3. už įsakymo dėl prieigos prie vaizdo duomenų suteikimo ar naikinimo vykdymą atsakingas Informacinių sistemų skyriaus vedėjas.
20.4. prieigos teisės prie vaizdo duomenų naikinamos pasibaigus duomenų valdytojo ir jo darbuotojo darbo santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie vaizdo duomenų nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.
21. Atsarginės vaizdo duomenų kopijos nedaromos.
22. Vaizdo duomenys įrašomi ir saugomi 14 kalendorinių dienų, pasibaigus šiam terminui yra sunaikinami. Jeigu vaizdo įrašų duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais, vaizdo duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
23. Darbuotojas, tvarkantis vaizdo duomenis, privalo:
23.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų BDAR, ADTAĮ, šiose Taisyklėse ir kituose teisės aktuose;
23.2. užtikrinti, kad į vaizdo stebėjimo kameromis fiksuojamą erdvę nepatektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų nustatytus atvejus, bei patalpos, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą;
23.3. laikytis šiose Taisyklėse nustatytų techninių ir organizacinių asmens duomenų saugumo priemonių, kad būtų užskirstas kelias netyčiniam ar neteisėtam vaizdo duomenų sunaikinimui, praradimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti vaizdo duomenų įrašymo įrenginiuose ir (ar) laikmenose esančius vaizdo duomenis;
23.4. užtikrinti, kad vaizdo stebėjimo sistema būtų techniškai tvarkinga, techniniai šios sistemos sutrikimai būtų šalinami operatyviai, naudojant visus turimus techninius resursus;
23.5. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su vaizdo duomenimis asmeniui, kuris nėra įgaliotas tvarkyti vaizdo duomenų;
23.6. nedelsdamas pranešti Informacinių sistemų skyriaus vedėjui, duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę NVC tvarkomų vaizdo duomenų saugumui;
23.7. Į NVC patalpas, kuriose yra vaizdo duomenų įrašymo įrenginių neįleisti pašalinių asmenų ir pastebėję vaizdo stebėjimo sistemos sutrikimus nedelsdami informuoti Informacinių sistemų skyriaus vedėją.

24. Duomenų valdytojo ar duomenų tvarkytojo darbuotojai, turintys prieigos teisę prie vaizdo duomenų, pastebėję vaizdo duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui) turi informuoti Informacinių sistemų skyriaus vedėją ir duomenų apsaugos pareigūną.
25. Įvertinus vaizdo duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, kiekvienu konkrečiu atveju vadovas priima sprendimus dėl priemonių, reikiamų vaizdo duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

26. Duomenų subjektas turi šias teises:
26.1. žinoti (būti informuotas) apie savo asmens duomenų tvarkymą;
26.2. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;
26.3. nesutikti, kad būtų tvarkomi jo asmens duomenys;
26.4. reikalauti sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų.
27. Duomenų subjekto teisė žinoti apie savo asmens duomenų tvarkymą papildomai įgyvendinama šia tvarka:
27.1. asmenys, kurie nėra duomenų valdytojo darbuotojai ir kurių vaizdo duomenys tvarkomi, vykdant vaizdo stebėjimą, apie vykdomą vaizdo stebėjimą yra informuojami:
27.1.1. iškabinant informacines lenteles prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas. Informacija apie tai, kad vykdomas vaizdo stebėjimas turi būti pateikta visais atvejais, nepriklausomai nuo to, kad kai kuriose tam skirtose vietose vaizdo stebėjimas tuo metu nėra vykdomas (pavyzdžiui, vaizdo kamera veikia ne visą laiką, veikia nustatytu periodiškumu ir pan.);
27.1.2. informacinėse lentelėse nurodant, kad yra vykdomas vaizdo stebėjimas ir (ar) vaizdo stebėjimas kartu su garso įrašymu, duomenų valdytojo pavadinimą, kontaktinę informaciją, vaizdo stebėjimo tikslą, nuorodą į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą, ar kitą svarbią informaciją. (1 priedas).
27.2. duomenų valdytojų darbuotojai apie vaizdo stebėjimą darbo vietoje, duomenų valdytojo patalpose ar teritorijoje, kuriose dirba, turi būti informuojami:
27.2.1. prieš pradedant vykdyti vaizdo stebėjimą arba pirmąją darbuotojo darbo dieną, arba pirmąją darbo dieną po darbuotojo atostogų, nedarbingumo laikotarpio ir pan., jei vaizdo stebėjimas buvo pradėtas vykdyti šiuo laikotarpiu;
27.2.2. pasirašytinai supažindinant su šiomis Taisyklėmis.
28. Duomenų subjekto teisė susipažinti su savo vaizdo duomenimis įgyvendinama šia tvarka:
28.1. duomenų subjektas, pateikęs duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta notaro patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą;
28.2. gavus duomenų subjekto prašymą dėl jo asmens duomenų tvarkymo ir patikrinus duomenų subjekto tapatybę, duomenų subjektui suteikiama informacija, ar su juo susiję asmens duomenys yra tvarkomi ir pateikiami duomenų subjektui prašomi duomenys (sudaroma galimybė duomenų valdytojo patalpose peržiūrėti vaizdo įrašą, arba, duomenų subjekto prašymu, pateikiama vaizdo įrašo kopija išorinėje duomenų laikmenoje ar nuotrauka);
28.3. įgyvendinant duomenų subjekto teisę susipažinti su savo vaizdo duomenimis, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą (pavyzdžiui, transporto priemonės valstybinis numeris), šie vaizdai turi būti retušuoti ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis;
28.4. gavus duomenų subjekto prašymą susipažinti su savo vaizdo duomenimis, informacija, ar su juo susiję vaizdo duomenys yra tvarkomi, ir duomenų subjekto prašomi duomenys pateikiami ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu.
29. Duomenų subjekto teisė nesutikti su vaizdo duomenų tvarkymu įgyvendinimo šia tvarka:
29.1. duomenų subjekto teisė nesutikti su vaizdo duomenų tvarkymu įgyvendinama, kai vaizdo duomenys yra teikiami ar atliekamas kitas vaizdo duomenų tvarkymo veiksmas, nei nurodyti šių Taisyklių 6 punkte.
30. Teisė reikalauti sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų įgyvendinama šia tvarka:
30.1. jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir pats ar jo įgaliotas atstovas kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, patikrina duomenų subjekto asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;
30.2. duomenų valdytojas, duomenų subjekto ar jo įgalioto atstovo prašymu sustabdęs duomenų subjekto asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui);
30.3. duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, praneša duomenų subjektui ar jo įgaliotam atstovui apie jo prašymu atliktą ar neatliktą duomenų subjekto asmens duomenų sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą;
30.4. duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, informuoja duomenų gavėjus apie duomenų subjekto ar jo įgalioto atstovo prašymu sunaikintus duomenų subjekto asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus.

 

31. Darbuotojai, kurie yra įgalioti tvarkyti vaizdo duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų BDAR ir šiose Taisyklėse. Darbuotojai pažeidę Taisykles ir (ar) BDAR atsako teisės aktų nustatyta tvarka.
32. Patvirtinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. NVC struktūrinių padalinių vadovai yra atsakingi už savo struktūrinio padalinio darbuotojų supažindinimą pasirašytinai su šiomis Taisyklėmis. Taisyklės skelbiamos NVC interneto svetainėje.
33. Taisyklės ne rečiau kaip kartą per 2 metus peržiūrimos ir, reikalui esant ar pasikeitus vaizdo duomenų tvarkymą reglamentuojantiems teisės aktams, atnaujinamos.