Duomenų apsauga

Nacionalinio vėžio centras Jūsų asmens duomenis, įskaitant ir specialiųjų kategorijų duomenis tvarko vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais sveikatos priežiūros įstaigų veiklą.

Įgyvendinant Bendrojo duomenų apsaugos reglamento reikalavimus, Nacionaliniame vėžio centre yra paskirtas duomenų apsaugos pareigūnas:

Lina Žilinskaitė-Kuzmickienė
Santariškių g. 1, Vilnius, LT-08660
El. paštas duomenuapsauga@nvc.santa.lt

Perdavus Nacionalinio vėžio instituto klinikinę veiklą Viešajai įstaigai Vilniaus universiteto ligoninės Santaros klinikoms, pastarosios generalinio direktoriaus įsakymu nustatyta, kad Nacionalinis vėžio centras savo veikloje iki 2027-01-01 vadovaujasi Nacionalinio vėžio instituto direktoriaus patvirtintais norminiais teisės aktais.

BENDROSIOS NUOSTATOS
(papildyta 2021-06-22 NVI įsakymu Nr.R8-275)

  1. Nacionalinis vėžio institutas (toliau – NVI), buveinės adresas Santariškių g. 1, Vilnius, kodas 111959420, tai valstybinis mokslinių tyrimų institutas, kurio sudėtyje yra klinika. NVI teikia antrinio bei tretinio lygio asmens sveikatos priežiūros paslaugas, vykdo mokslinius tyrimus ir eksperimentinę plėtrą, biobanko veiklą, taip pat tvarko Vėžio registrą.
  2. NVI gerbia duomenų subjektų teises, jų privatumą ir asmens duomenis tvarko vadovaudamasis 2016 m. balandžio 27 d.  Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo bei kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą, nuostatomis.
  3. Informacija apie NVI duomenų apsaugos pareigūną:
    Santariškių g. 1, Vilnius, LT-08660, 
    El. paštas  duomenuapsauganvc.santa.lt
    Tel. +370 (5) 274 6464.
  4. NVI tvarko tik tuos duomenų subjektų duomenis, kurie yra reikalingi teikiant paslaugas ir vykdant veiklą, įgyvendinant konkrečius asmens duomenų tvarkymo tikslus.
  5. Duomenų subjektai perduodami savo asmens duomenis NVI, sutinka su šios Privatumo politikos taisyklėmis, supranta jos nuostatas ir sutinka jų laikytis.
  6. Privatumo politikos tikslas – informuoti apie duomenų subjektų privatumo apsaugą, paaiškinti, kaip yra tvarkomi ir saugomi asmens duomenys NVI, supažindinti su duomenų subjektų teisėmis.

NVI tvarko tik tuos asmens duomenis, kuriuos tvarkyti yra būtina, siekiant nurodytų tvarkymo tikslų:

  1. rinkti ir tvarkyti informaciją apie pacientų sveikatą, siekiant užtikrinti sveikatos priežiūros paslaugų teikimą ir jų kokybę, statistinių duomenų kaupimą;
  2. vykdyti mokymo procesą, biobanko veiklą ir mokslinius tyrimus;
  3. užtikrinti NVI darbuotojų, lankytojų ir turto saugumą (vaizdo stebėjimas);
  4. administruoti NVI veiklą (NVI pretendentų į darbuotojus, esamų ir buvusių darbuotojų, praktikantų, rezidentų asmens duomenų tvarkymas, pacientų registracija ir kt.);
  5. administruoti skundus ir prašymus;
  6. viešųjų pirkimų procedūrų organizavimo ir vykdymo tikslais gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys;
  7. prekių, darbų, paslaugų sutarčių su tiekėjais vykdymo tikslu gali būti tvarkomi tiekėjų (fizinių asmenų) asmens duomenys;
  8. asmenų iš kitų įstaigų, įmonių, organizacijų asmens duomenys tvarkomi vaistinių preparatų reklamos renginių registravimo NVI tikslais;
  9. asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Nacionaliniame vėžio institute, asmens duomenys tvarkomi gerosios praktikos pasidalijimo, komunikacijos, Nacionalinio vėžio instituto veiklos viešinimo tikslu.
  1. Sveikatos priežiūros paslaugų teikimo tikslu NVI tvarkomi bendrieji pacientų duomenys, tokie kaip vardas, pavardė, asmens kodas, kontaktiniai duomenys ir kita. Taip pat tvarkoma sveikatos informacija, tokia kaip fizinio ištyrimo duomenys, laboratorinių, radiologinių tyrimų duomenys, informacija apie skiriamą gydymą ir kita.
  2. Mokslinio tyrimo vykdymo tikslu NVI tvarkomi paciento duomenys, kurie reikalingi atsižvelgiant į mokslinio tyrimo protokolą, tokie kaip vardas, pavardė, identifikacinis kodas, demografiniai duomenys, rasinė ir etninė kilmė, lytis, gimimo data, kontaktinė informacija, fizinio ištyrimo duomenys, gydybinių funkcijų rodikliai, laboratorinių, radiologinių tyrimų duomenys, informacija apie skiriamą gydymą ir nepageidaujamus reiškinius ir kita.
    2.1. Saugumo tikslais NVI tvarkomi vaizdai.
  3. NVI veiklos administravimo tikslu NVI tvarkomi tokie darbuotojų asmens duomenys, kaip vardas, pavardė, asmens kodas, gimimo data, gyvenamosios vietos adresas, duomenys apie išsilavinimą ir kvalifikaciją, kontaktiniai duomenys, jei reikalinga – informacija apie šeiminę padėtį, sveikatos būklę ir kita informacija.
  4. Skundų ir prašymų administravimų tikslu tvarkomi duomenų subjekto vardas, pavardė, asmens kodas, kontaktai, parašas, skunde, prašyme ar pareiškime nurodyta informacija (įskaitant ir ypatingus asmens duomenis), skundo, prašymo ar pareiškimo nagrinėjimo rezultatas ir kita informacija.
  5. Viešųjų pirkimų procedūrų organizavimo ir sutarčių vykdymo tikslais tvarkomi vardas, pavardė, asmens kodas, išsilavinimas, darbovietė, pareigos, kontaktiniai duomenys bei kita informacija.
  6. Telefonu teikiamos informacijos kokybės užtikrinimo tikslu gali būti tvarkoma pokalbio metu pateikta informacija.
  7. Asmenų iš kitų įstaigų, įmonių, organizacijų vaistinių preparatų reklamos renginių registravimo NVI tikslais tvarkomi asmens duomenys – vardas, pavardė, kontaktiniai duomenys bei kita informacija.
  8. Asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių Nacionaliniame vėžio institute tvarkomi vardas, pavardė, kontaktiniai duomenys bei kita informacija.
  1. NVI darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, laikosi teisėtumo, sąžiningumo ir skaidrumo principų, tikslo apribojimo, duomenų kiekio mažinimo, tikslumo ir saugojimo trukmės apribojimo, vientisumo ir konfidencialumo principų.
  2. Asmens duomenys tvarkomi ne ilgiau, nei tai yra būtina nurodytiems tikslams pasiekti, arba tiek, kiek teisės aktai įpareigoja tuos duomenis saugoti, pavyzdžiui:   
    • Asmenų prašymai, skundai, pranešimai ir jų nagrinėjimo dokumentų saugojimo terminas 1 metai įstaigai priėmus sprendimą;
    • Gydymo stacionare ligos istorija saugojimo terminas 25 metai;
    • Ambulatorinė asmens sveikatos istorijos saugojimo terminas 15 metų;
    • Darbuotojų priėmimo į pareigas, perkėlimo, pavadavimo, atleidimo iš pareigų, darbo užmokesčio, atostogų vaikui prižiūrėti, tėvystės atostogų saugojimo terminas 50 metų.

  3. NVI surinkti asmens duomenys yra saugomi spausdintiniuose dokumentuose ir (arba) informacinėse sistemose el. formate.

  4. Asmens duomenys saugomi nuo praradimo, neteisėto naudojimo ir pažeidimo. NVI naudojamos fizinės bei techninės priemonės, užtikrinti renkamų asmens duomenų saugumą.

NVI ASMENS DUOMENŲ TVARKYMO TAISYKLĖS

1. NVI duomenis apie asmenis gauna iš:
  • Pačio duomenų subjekto;
  • Subjekto įgalioto asmens;
  • Kitų sveikatos priežiūros įstaigų;
  • Lietuvos Respublikos sveikatos apsaugos ministerijos Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacinės sistemos (ESPBI IS) ir Išankstinės pacientų registracijos informacinės sistemos (IPR);
  • Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos Lietuvos Respublikos draudžiamųjų privalomuoju sveikatos draudimu registro (toliau – DPSDR) ir Privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ (SVEIDRA);
  • Valstybinio socialinio draudimo valdybos prie Socialinės apsaugos ir darbo ministerijos
  • Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos
  • Lietuvos Respublikos specialiųjų tyrimų tarnybos;
  • Valstybės įmonės Registrų centro;
  • Antstolių kontorų;
  • Vyriausios tarnybinės etikos komisijos privačių interesų registro (PINREG)
  • Kitų valstybinių registrų ir duomenų bazių.
  1. Asmens duomenys gali būti teikiami tik pagal sudarytą asmens duomenų teikimo sutartį arba gavus duomenų gavėjo prašymą, arba kai pareigą teikti duomenis numato įstatymai.
  2. Pacientų duomenys teikiami Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos (SVEIDRA); Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos; valstybės ar savivaldybės įstaigoms, kitiems fiziniams ar juridiniams asmenims, kai teisės aktai įpareigoja NVI teikti prašomus duomenis; pacientams, pacientų artimiesiems, šeimos nariams, atstovams. Šie duomenys teikiami įgyvendinant pacientų teisę susipažinti su tvarkomais savo asmens duomenimis, taip siekiant užtikrinti suteikiamų asmens sveikatos priežiūros paslaugų kokybę ir teisės aktais nustatytų pareigų įgyvendinimą.
  3. Nuasmeninti moksliniame tyrime dalyvaujančių asmenų duomenys teikiami tyrimo užsakovams pagal sutartį bei kitoms atsakingoms institucijoms nepažeidžiant konfidencialumo sąlygų.
  4. NVI gali pateikti asmens duomenis savo duomenų tvarkytojams, kurie teikia NVI paslaugas ir tvarko asmens duomenis NVI vardu. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal NVI nurodymus ir tik ta apimtimi, kiek tai yra būtina siekiant tinkamai vykdyti sutartyje nustatytus įsipareigojimus. NVI pasitelkia tik tuos duomenų tvarkytojus, kurie pakankamai užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento reikalavimus ir būtų užtikrinta duomenų subjekto teisių apsauga.
1. NVI duomenų gavėjais gali būti: 
  • Sveikatos apsaugos ministerija ir jai pavaldžios institucijos
  • Valstybinė ligonių kasa, Teritorinės ligonių kasos (SVEIDRA)
  • Valstybinė akreditavimo tarnyba prie sveikatos apsaugos ministerijos
  • Sveikatos priežiūros įstaigos – Vilniaus universiteto ligoninė Santaros klinikos, Valstybinis patologijos centras, Vilniaus universiteto ligoninė Žalgirio klinika ir kt.
  • VĮ Registrų centras – ESPBI IS, Išankstinės pacientų registracijos IS tvarkytojas
  • Higienos institutas
  • Radiacinės saugos centras
  • Užkrečiamųjų ligų ir AIDS centras
  • Socialinės apsaugos ir darbo ministerija ir jai pavaldžios institucijos
  • Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos
  • Valstybinė darbo inspekcija
  • Valstybinė mokesčių inspekcija
  • Vyriausioji tarnybinės etikos komisija
  • Lietuvos bioetikos komitetas
  • Regioniniai bioetikos komitetai
  • Biomedicininių tyrimų užsakovai
  • Švietimo, mokslo ir sporto ministerija ir jai pavaldžios institucijos
  • Švietimo ir ugdymo įstaigos
  • Valstybės informacinės sistemos  tokios kaip eLABa, MIDAS
  • Teismas, ikiteisminio tyrimo įstaigos
  • Advokatai (tik esant asmens sutikimui)
  • Draudimo bendrovės (tik esant asmens sutikimui)
  • Paslaugų teikėjai (duomenų tvarkytojai) – UAB „BITI“, UAB „Nevda“, UAB „Labbis“, UAB „Rivilė“, dėl radiologinių paslaugų – UAB „Graina“, UAB „Affidea“, UAB „Oxipit“. Asmens duomenys duomenų tvarkytojams atskleidžiami tiek, kiek yra būtina teikiant paslaugas
  • Ir kiti duomenų gavėjai teisės aktų nustatyta tvarka turintys pagrindą gauti asmens duomenis iš NVI.
  1. Duomenų subjektų teisės ir jų įgyvendinimo tvarka yra reglamentuota NVI direktoriaus įsakymu patvirtintose Duomenų subjekto teisių įgyvendinimo Nacionaliniame vėžio institute taisyklėse.

DUOMENŲ SUBJEKTO TEISIŲ ĮGYVENDINIMO NACIONALINIAME VĖŽIO INSTITUTE TAISYKLĖS

  1. NVI darbuotojai, tvarkantys asmens duomenis, laikosi konfidencialumo principo ir laiko paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja tiek įstaigos viduje, tiek už jos ribų, o taip pat pasibaigus darbo ar sutartiniams santykiams.
  1. Ši Privatumo politika yra neatskiriama NVI teikiamų paslaugų dalis. Plėtojant ir tobulinant NVI veiklą, NVI turi teisę bet kuriuo metu vienašališkai pakeisti šią Privatumo politiką. Rekomenduojama duomenų subjektams reguliariai susipažinti su naujausia Privatumo politikos versija šioje interneto svetainėje.

BENDROSIOS NUOSTATOS

  1. Duomenų subjekto teisių įgyvendinimo taisyklių (toliau – Taisyklės) tikslas – nustatyti duomenų subjektų teisių įgyvendinimo viešosios įstaigos Vilniaus universiteto ligoninės Santaros klinikų filiale Nacionaliniame vėžio centre, Santariškių g. 1, Vilnius, kodas 307053706 (toliau – NVC), tvarką siekiant įgyvendinti atskaitomybės principą.
  2. Įgyvendinant duomenų subjekto teises vadovaujamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
  3. Taisyklėse vartojamos sąvokos atitinka Reglamente (ES) 2016/679 vartojamas sąvokas.
  4. Taisyklės parengtos vadovaujantis Reglamentu (ES) 2016/679.

5. Informacija apie NVC atliekamą duomenų subjekto asmens duomenų tvarkymą, nurodyta Reglamento (ES) 2016/679 13 ir 14 straipsniuose, pateikiama NVC interneto svetainėje skelbiamoje asmens duomenų apsaugos privatumo politikoje ar privatumo pranešimuose (jei taikoma). Bendravimo su duomenų subjektu metu informacija pateikiama tokiu būdu, kokiu duomenų subjektas kreipiasi arba duomenų subjekto nurodytu būdu.
6. Informacija apie duomenų subjekto asmens duomenų tvarkymą pateikiama asmens duomenų gavimo metu.
7. Kai duomenų subjekto asmens duomenys renkami ne tiesiogiai iš duomenų subjekto, apie šio duomenų subjekto asmens duomenų tvarkymą informuojama, išskyrus atvejus nurodytus Reglamento (ES) 2016/679 14 straipsnio 5 dalyje:
7.1. per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes;
7.2. jeigu asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo duomenų subjektu; arba
7.3. jeigu numatoma asmens duomenis atskleisti kitam duomenų gavėjui – ne vėliau kaip atskleidžiant duomenis pirmą kartą.

8. NVC esant duomenų subjekto prašymui įgyvendinti teisę susipažinti su savo asmens duomenimis turi pateikti:
8.1. informaciją, ar duomenų subjekto asmens duomenys tvarkomi ar ne;
8.2. su asmens duomenų tvarkymu susijusią informaciją, numatytą Reglamento (ES) 2016/679 15 straipsnio 1 ir 2 dalyse, jeigu duomenų subjekto asmens duomenys tvarkomi;
8.3. tvarkomų asmens duomenų kopiją.

9. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 16 straipsniu, turi teisę reikalauti, kad bet kokie jo tvarkomi netikslūs asmens duomenys būtų ištaisyti, o neišsamūs papildyti.
10. Siekiant įsitikinti, kad tvarkomi duomenų subjekto asmens duomenys yra netikslūs ar neišsamūs, NVC gali duomenų subjekto paprašyti pateikti tai patvirtinančius įrodymus.
11. Jeigu duomenų subjekto asmens duomenys (ištaisyti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, NVC šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

12. Duomenų subjekto teisė ištrinti jo asmens duomenis („teisė būti pamirštam“) įgyvendinama Reglamento (ES) 2016/679 17 straipsnyje numatytais atvejais.
13. Duomenų subjekto teisė reikalauti ištrinti asmens duomenis („teisė būti pamirštam“) gali būti neįgyvendinta Reglamento (ES) 2016/679 17 straipsnio 3 dalyje numatytais atvejais.
14. Jeigu duomenų subjekto asmens duomenys (ištrinti pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, NVC šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

15. Reglamento (ES) 2016/679 18 straipsnio 1 dalyje numatytais atvejais NVC privalo įgyvendinti duomenų subjekto teisę apriboti jo asmens duomenų tvarkymą.
16. Asmens duomenys, kurių tvarkymas yra apribotas, yra saugomi, o prieš tokio apribojimo panaikinimą duomenų subjektas apie tai informuojamas raštu, prašyme pateiktais kontaktais, teikiant pirmenybę tam bendravimo būdui, kuriuo duomenų subjektas kreipėsi į NVC dėl šios teisės įgyvendinimo.
17. Jeigu duomenų subjekto asmens duomenys (kurių tvarkymas apribotas pagal duomenų subjekto prašymą) buvo perduoti duomenų gavėjams, NVC šiuos duomenų gavėjus apie tai informuoja, nebent tai būtų neįmanoma ar pareikalautų neproporcingų pastangų. Duomenų subjektas turi teisę prašyti, kad jam būtų pateikta informacija apie tokius duomenų gavėjus.

18. Duomenų subjekto teisę į duomenų perkeliamumą, numatytą Reglamento (ES) 2016/679 20 straipsnyje, NVC įgyvendina Reglamento (ES) 2016/679 20 straipsnyje numatytomis sąlygomis.
19. Duomenų subjektas teisės į duomenų perkeliamumą neturi tų asmens duomenų atžvilgiu, kurie tvarkomi neautomatiniu būdu susistemintose rinkmenose, pavyzdžiui, popierinėse bylose.
20. Duomenų subjektas, kreipdamasis dėl teisės į duomenų perkeliamumą, turi nurodyti, ar pageidauja, kad jo asmens duomenys būtų persiųsti jam ar kitam duomenų valdytojui.
21. Pagal duomenų subjekto prašymą perkelti jo asmens duomenys nėra automatiškai ištrinami. Jeigu duomenų subjektas to pageidauja, turi kreiptis į duomenų valdytoją dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) įgyvendinimo.

22. Duomenų subjektas, vadovaudamasis Reglamento (ES) 2016/679 21 straipsniu, turi teisę dėl su juo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad NVC tvarkytų jo asmens duomenis.
23. Apie duomenų subjekto teisę nesutikti su asmens duomenų tvarkymu NVC informuoja pateikiant informaciją NVC interneto svetainėje arba raštu, prašyme pateiktais kontaktais, teikiant pirmenybę tam bendravimo būdui, kuriuo duomenų subjektas kreipėsi į NVC dėl šios teisės įgyvendinimo.
24. Duomenų subjektui išreiškus nesutikimą su asmens duomenų tvarkymu, toks tvarkymas atliekamas tik tuo atveju, jeigu motyvuotai nusprendžiama, kad priežastys, dėl kurių atliekamas asmens duomenų tvarkymas, yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba jeigu asmens duomenys yra reikalingi pareikšti, vykdyti ar apginti teisinius reikalavimus.

25. NVC nepriima tik automatizuotu duomenų tvarkymu grindžiamų sprendimų, todėl ši teisė nėra įgyvendinama NVC atliekamo duomenų tvarkymo atžvilgiu.

26. Kreiptis dėl duomenų subjekto teisių įgyvendinimo duomenų subjektas turi teisę raštu, pateikiant prašymą asmeniškai, paštu adresu Santariškių g. 1, Vilnius ar elektroninėmis priemonėmis el. pašto adresu duomenuapsauga@nvc.santa.lt.
27. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu asmeniškai, duomenų subjektas turi patvirtinti savo tapatybę pateikdamas asmens tapatybę patvirtinantį dokumentą. To nepadarius, duomenų subjekto teisės nėra įgyvendinamos. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
28. Jeigu dėl duomenų subjekto teisių įgyvendinimo kreipiamasi raštu, pateikiant prašymą paštu, tuomet kartu su prašymu turi būti pateikta notaro patvirtinta asmens tapatybę patvirtinančio dokumento kopija. Teikiant prašymą elektroninėmis priemonėmis, prašymas turi būti pasirašytas kvalifikuotu elektroniniu parašu arba jis turi būti suformuotas elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Ši nuostata netaikoma, jeigu duomenų subjektas kreipiasi dėl informavimo apie asmens duomenų tvarkymą pagal Reglamento (ES) 2016/679 13 ir 14 straipsnius.
29. Prašymas įgyvendinti duomenų subjekto teises turi būti įskaitomas, asmens pasirašytas, jame turi būti nurodyti duomenų subjekto vardas, pavardė, gimimo data, adresas, teisė kurią siekiama įgyvendinti ir (ar) kiti kontaktiniai duomenys ryšiui palaikyti ar kuriais pageidaujama gauti atsakymą dėl duomenų subjekto teisių įgyvendinimo.
30. Savo teises duomenų subjektas gali įgyvendinti pats arba per atstovą.
31. Asmens atstovas prašyme turi nurodyti savo vardą, pavardę, adresą, teisę, kurią siekiama įgyvendinti ir (ar) kitus kontaktinius duomenis ryšiui palaikyti, kuriais asmens atstovas pageidauja gauti atsakymą, taip pat atstovaujamo asmens vardą, pavardę ir gimimo datą bei pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją.
32. Esant abejonių dėl duomenų subjekto tapatybės, NVC prašo papildomos informacijos, reikalingos ja įsitikinti.
33. Kreipiantis raštu dėl duomenų subjekto teisių įgyvendinimo, rekomenduojama pateikti Taisyklių 1 priede nurodytos formos prašymą.
34. Visais klausimais, susijusiais su duomenų subjekto asmens duomenų tvarkymu ir naudojimusi savo teisėmis, duomenų subjektas turi teisę kreiptis į duomenų apsaugos pareigūną tel. (8 5) 278 6708, el. p. duomenuapsauga@nvc.santa.lt. Siekiant užtikrinti Reglamento (ES) 2016/679 38 straipsnio 5 dalyje įtvirtintą konfidencialumą, kreipiantis į duomenų apsaugos pareigūną paštu, ant voko užrašoma, kad korespondencija skirta duomenų apsaugos pareigūnui.

35. Gavus duomenų subjekto prašymą, ne vėliau kaip per vieną mėnesį nuo prašymo gavimo, jam pateikiama informacija apie tai, kokių veiksmų buvo imtasi pagal gautą prašymą. Jeigu bus vėluojama pateikti informaciją, per nurodytą terminą duomenų subjektas informuojamas apie tai, nurodant vėlavimo priežastis ir apie galimybę pateikti skundą Valstybinei duomenų apsaugos inspekcijai.
36. Jeigu prašymas pateiktas nesilaikant Taisyklių X skyriuje nustatytos tvarkos ir reikalavimų, jis nenagrinėjamas, ir nedelsiant, bet ne vėliau kaip per 3 darbo dienas, duomenų subjektas apie tai informuojamas nurodant priežastis.
37. Jeigu prašymo nagrinėjimo metu nustatoma, jog duomenų subjekto teisės yra apribotos Reglamento (ES) 2016/679 23 straipsnio 1 dalyje numatytais pagrindais, duomenų subjektas apie tai informuojamas.
38. Informacija pagal duomenų subjekto prašymą dėl jo teisių įgyvendinimo pateikiama valstybine kalba.
39. Visi veiksmai pagal duomenų subjekto prašymus įgyvendinti duomenų subjekto teises atliekami ir informacija teikiama nemokamai, išskyrus rašytinės informacijos iš medicinos dokumentų apie pacientą ir jam suteiktas paslaugas parengimą, kopijų darymą ir teikimą bei kitas paslaugas, kurios yra įtrauktos į teisės aktų nustatyta tvarka patvirtintą ir NVC interneto svetainėje paskelbtą mokamų paslaugų kainyną .
40. NVC veiksmus ar neveikimą įgyvendinant duomenų subjekto teises duomenų subjektas turi teisę skųsti pats arba duomenų subjekto atstovas, taip pat jo įgaliota ne pelno įstaiga, organizacija ar asociacija, atitinkanti Reglamento (ES) 2016/679 80 straipsnio reikalavimus, Valstybinei duomenų apsaugos inspekcijai, A. Juozapavičius g. 6, Vilnius, el. paštas ada@ada.lt, interneto svetainė www.ada.lt, taip pat Vilniaus apygardos administraciniam teismui.
41. Dėl duomenų subjekto teisių pažeidimo patyrus materialinę ar nematerialinę žalą, duomenų subjektas turi teisę į kompensaciją, dėl kurios priteisimo turi teisę kreiptis į Vilniaus miesto apylinkės teismą.

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo taisyklės (toliau – Taisyklės) reguliuoja asmens duomenų tvarkymą viešosios įstaigos Vilniaus universiteto ligoninės Santaros klinikų filiale Nacionaliniame vėžio centre(toliau – NVC), užtikrinant tinkamą 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento) (toliau – Reglamentas), kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Taisyklių paskirtis – numatyti pagrindines asmens duomenų tvarkymo ir asmens duomenų saugos organizacines priemones. Asmens duomenų tvarkymą NVC informacinėse sistemose reglamentuoja NVC informacinės sistemos duomenų saugos nuostatai, NVC valdomų ir tvarkomų informacinių sistemų naudotojų administravimo taisyklės, NVC valdomų ir tvarkomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės.
3. Taisyklių nuostatos negali plėsti ar siaurinti Reglamento taikymo srities bei prieštarauti Reglamento nustatytiems asmens duomenų tvarkymo principams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.

4. Taisyklės taikomos tvarkant duomenų subjekto duomenis, taip pat nustato NVC darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
5. Taisyklių reikalavimai privalomi visiems NVC darbuotojams, kurie tvarko NVC esančius asmens duomenis arba eidami savo pareigas juos sužino ar gali sužinoti, taip pat praktikantams ir stažuotojams, atliekantiems praktiką ar besistažuojantiems NVC, taip pat kitiems asmenims, kurie, tvarkydami asmens duomenis NVC ir (arba) eidami savo pareigas, sužino NVC esančius asmens duomenis arba turi bet kokio pobūdžio prieigą prie NVC esančių asmens duomenų. Taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami paslaugas sužino ir tvarko asmens duomenis.
6. NVC darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente ir Taisyklėse.
7. Prieiga prie asmens duomenų gali būti suteikiama tik tiems NVC darbuotojams ir asmenims, kuriems asmens duomenys yra reikalingi jų pareiginiuose nuostatuose nustatytoms funkcijoms ir pavedimams vykdyti ir kurie įsipareigoję laikytis konfidencialumo pasižadėjimo.

4. Taisyklės taikomos tvarkant duomenų subjekto duomenis, taip pat nustato NVC darbuotojų teises, pareigas ir atsakomybę tvarkant asmens duomenis.
5. Taisyklių reikalavimai privalomi visiems NVC darbuotojams, kurie tvarko NVC esančius asmens duomenis arba eidami savo pareigas juos sužino ar gali sužinoti, taip pat praktikantams ir stažuotojams, atliekantiems praktiką ar besistažuojantiems NVC, taip pat kitiems asmenims, kurie, tvarkydami asmens duomenis NVC ir (arba) eidami savo pareigas, sužino NVC esančius asmens duomenis arba turi bet kokio pobūdžio prieigą prie NVC esančių asmens duomenų. Taisyklių taip pat privalo laikytis duomenų tvarkytojai, kurie teikdami paslaugas sužino ir tvarko asmens duomenis.
6. NVC darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, privalo laikytis pagrindinių asmens duomenų tvarkymo principų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų Reglamente ir Taisyklėse.
7. Prieiga prie asmens duomenų gali būti suteikiama tik tiems NVC darbuotojams ir asmenims, kuriems asmens duomenys yra reikalingi jų pareiginiuose nuostatuose nustatytoms funkcijoms ir pavedimams vykdyti ir kurie įsipareigoję laikytis konfidencialumo pasižadėjimo.

10. Asmens duomenys NVC tvarkomi šiais tikslais:
10.1. informacijos apie pacientų sveikatą, siekiant užtikrinti sveikatos priežiūros paslaugų teikimą, kokybę ir kokybės kontrolę, rinkimo ir tvarkymo, statistinių duomenų kaupimo, klinikinių tyrimų vykdymo ir administravimo;
10.2. mokymo proceso ir mokslinių tyrimų vykdymo;
10.3. NVC darbuotojų, lankytojų ir turto saugumo užtikrinimo (vaizdo stebėjimas);
10.4. NVC veiklos administravimo, įskaitant pretendentų į darbuotojus, esamų ir buvusių darbuotojų, praktikantų, rezidentų asmens duomenų tvarkymą, įdarbinimo procesų vykdymą, pacientų registraciją;
10.5. dokumentų valdymo (registravimas, apskaita, saugojimas, archyvavimas);
10.6. sutarčių rengimo, derinimo, konsultavimo dėl jų taikymo ir vykdymo bei kitų su sutarčių administravimu susijusių funkcijų įgyvendinimo;
10.7. darbo saugos ir sveikatos reikalavimų užtikrinimo;
10.8. vidaus audito;
10.9. programinės įrangos administravimo;
10.10. įvykių ar nelaimingų atsitikimų darbe, nelaimingų atsitikimų pakeliui į darbą ar iš darbo ir profesinių ligų priežasčių tyrimo;
10.11. skundų ir prašymų administravimo;
10.12. viešųjų pirkimų procedūrų organizavimo ir vykdymo, viešųjų pirkimų dokumentų viešinimo;
10.13. telefonu teikiamos informacijos kokybės užtikrinimo (gali būti tvarkomi skambinančiojo asmens duomenys, t. y. pokalbio metu pateikta informacija);
10.14. asmenų iš kitų įstaigų, įmonių, organizacijų asmens duomenys – vaistinių preparatų reklamos renginių registravimo NVC;
10.15. asmenų iš kitų įstaigų, įmonių, organizacijų, visuomenės atstovų, besilankančių NVC –gerosios praktikos pasidalijimo, komunikacijos, NVC veiklos viešinimo.
11. NVC asmens duomenis tvarko vadovaudamasis Reglamento 6 ir 9 straipsniuose nurodytais pagrindais.
12. NVC asmens duomenis tvarko tik tokia apimtimi, kuri yra būtina konkrečiam Taisyklėse nustatytam tikslui pasiekti, vadovaujantis duomenų kiekio mažinimo, tikslo apribojimo ir proporcingumo principais bei taikomų teisės aktų reikalavimais.

13. NVC darbuotojai, atlikdami savo pareigas ir tvarkydami asmens duomenis, laikosi šių asmens duomenų tvarkymo principų, įtvirtintų Reglamente:
13.1. asmens duomenys turi būti tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
13.2. asmens duomenys gali būti renkami tik Taisyklių 10 punkte apibrėžtais bei kitais teisėtais tikslais ir toliau netvarkomi su tais tikslais nesuderinamu būdu (tikslo apribojimo principas);
13.3. asmens duomenys turi būti adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi (duomenų kiekio mažinimo principas);
13.4. asmens duomenys turi būti tikslūs ir prireikus atnaujinami. Turi būti imamasi visų pagrįstų priemonių užtikrinti, kad asmens duomenys, kurie nėra tikslūs, atsižvelgiant į jų tvarkymo tikslus, būtų nedelsiant ištrinami arba ištaisomi (tikslumo principas);
13.5. asmens duomenys laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai yra būtina tais tikslais, kuriais asmens duomenys tvarkomi. Asmens duomenis galima saugoti ilgesnius laikotarpius, jeigu asmens duomenys bus tvarkomi tik archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais, įgyvendinus atitinkamas technines ir organizacines priemones, kurių reikalaujama pagal Reglamentą siekiant apsaugoti duomenų subjekto teises ir laisves (saugojimo trukmės apribojimo principas);
13.6. asmens duomenys turi būti tvarkomi tokiu būdu, kad taikant atitinkamas technines ir organizacines priemones būtų užtikrintas tinkamas asmens duomenų saugumas, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo (vientisumo ir konfidencialumo principas);
13.7. NVC yra atsakingas už tai, kad būtų laikomasi asmens duomenų tvarkymo principų, ir turi sugebėti įrodyti, kad jų laikomasi (atskaitomybės principas).
14. Asmens duomenys saugomi tiek laiko, kiek nurodyta Lietuvos Respublikos biomedicininių tyrimų etikos įstatyme, Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakyme Nr. 515 „Dėl sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“ ir Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakyme Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“ ir kituose teisės aktuose, reglamentuojančiuose atitinkamų asmens duomenų tvarkymą. Konkretūs duomenų saugojimo terminai gali būti nustatyti kituose NVC vidaus teisės aktuose.
15. Asmens duomenys NVC tvarkomi automatiniu ir neautomatiniu būdu.
16. Pagrindiniai klinikinio tyrimo dokumentai saugomi 25 metus nuo tyrimo baigimo datos. Kitų mokslinių tyrimų dokumentai saugomi 10 metų nuo tyrimo baigimo datos arba 5 metus tyrimui neįvykus.
17. Asmens duomenys NVC renkami tik teisės aktų nustatyta tvarka, juos gaunant tiesiogiai iš duomenų subjekto arba iš kitų fizinių ar juridinių asmenų teisės aktų nustatytais pagrindais.
18. Duomenų rinkimo tvarka:
18.1. Registruojantis naujam pacientui duomenys apie pacientus į DB įvedami iš šių šaltinių: NVC pateikto paciento asmens tapatybės dokumento, gimimo liudijimo, pensininko pažymėjimo, asmens su negalia pažymėjimo, pažymos apie registraciją Užimtumo tarnyboje, kitų dokumentų, kuriuos pateikia pacientai.
18.2. Kiti asmens duomenų teikėjai yra šie:
18.2.1. Lietuvos Respublikos sveikatos apsaugos ministerija teikia duomenis iš ESPBI IS ir IPR: pacientų, ESI, vaistinių preparatų ir medicinos pagalbos priemonių, medicinos prietaisų, klasifikatorių, medicininių vaizdų, elektroninių receptų, ataskaitų ir statistinės informacijos duomenų bazių duomenis bei IPR duomenis (užsiregistravusio paciento asmens kodas, vardas, pavardė, gimimo data, adresas, kontaktinis telefono numeris, sveikatos priežiūros specialistas pas kurį registruojamasi duomenys, apsilankymo data, laikas ir apsilankymo tikslas (priežastis).
18.2.2. Valstybinė ligonių kasa prie Sveikatos apsaugos ministerijos teikia duomenis iš DPSDR ir SVEIDRA: draudžiamojo asmens kodas, draudžiamojo asmens identifikacinis kodas, draudžiamojo asmens gimimo data, draudžiamojo asmens vardas, pavardė, apdraustumo pradžios data, nuo kurios asmuo buvo (yra) draustas, apdraustumo pabaigos data, iki kurios asmuo buvo (yra) draustas, paciento pasirinktas sveikatos priežiūros specialistas (vardas, pavardė, sveikatos priežiūros specialisto identifikacinis (spaudo) numeris), paciento pasirinkta sveikatos priežiūros įstaiga (pavadinimas, juridinio asmens kodas).
18.2.3. Valstybinio socialinio draudimo valdyba prie Socialinės apsaugos ir darbo ministerijos teikia duomenis iš Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos: pacientams išduoti elektroniniai nedarbingumo pažymėjimai bei elektroniniai nėštumo ir gimdymo atostogų pažymėjimai (asmens kodas, vardas, pavardė, nedarbingumo priežastis, nedarbingumo, nėštumo ir gimdymo atostogų laikotarpis, gimdymo data).
18.3. Duomenis į DB įveda ir toliau tvarko NVC darbuotojai, pasirašę konfidencialumo pasižadėjimą ir susipažinę su Lietuvos Respublikos sveikatos apsaugos ministro 2001 m. vasario 1 d. įsakymu Nr. 65 „Dėl Informacijos apie pacientą valstybės institucijoms ir kitoms įstaigoms teikimo tvarkos aprašo patvirtinimo ir asmens sveikatos paslapties kriterijų nustatymo“, Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gegužės 20 d. įsakymu Nr. V-506 „Dėl rašytinės informacijos, įskaitant ir konfidencialią, apie pacientą ir jam suteiktas paslaugas teikimo ir šios paslaugos apmokėjimo tvarkos aprašo patvirtinimo ir paciento teisės susipažinti su įrašais savo medicinos dokumentuose įgyvendinimo“, NVC galiojančia informacijos apie pacientą teikimo tvarka bei Taisyklėmis.
18.4. Su konkrečiu pacientu susijusių medicininių duomenų kaupimas ir apdorojimas vyksta NVC pacientų informacinėje sistemoje. NVC pacientų informacinės sistemos naudojimo tvarka nustatyta NVC galiojančiose elektroninės medicininės istorijos pildymo ir naudojimo taisyklėse.
18.5. Mokslinio tyrimo metu duomenų subjektų asmens duomenis renka ir tvarko tyrime dalyvaujantys gydytojai tyrėjai arba tyrimo koordinatoriai. Renkami ir tvarkomi tyrimo užsakovo pateikti ir tyrimo protokoluose numatyti asmens duomenys, taip pat specialių kategorijų asmens duomenys. Surinkti asmens duomenys yra nuasmeninami ir koduojami taip, kad nebūtų įmanoma nustatyti duomenų subjekto tapatybės. Duomenų subjektų identifikacinių kodų sąrašas laikomas tyrimo centre saugioje vietoje, vadovaujantis tokių dokumentų saugojimui galiojančiais standartais, t. y. dokumentai (tiek popieriniame variante, tiek elektroninėse rinkmenose) laikomi rakinamose spintose rakinamose patalpose, kur prieiga yra ribota. Šiose patalpose gali lankytis tik biomedicininio ar klinikinio tyrimo personalas.
19. Asmens duomenis NVC tvarko arba prie jų turi prieigą tik tie darbuotojai, kuriems tai būtina vykdant jų tiesiogines pareigas, ir tik tokia apimtimi, kiek tai būtina šių pareigų atlikimui:
19.1. Gydantis gydytojas;
19.2. Padalinio, kuriame gydomas pacientas, vadovas;
19.3. Gydytojas konsultantas;
19.4. Pacientą aptarnaujantis personalas;
19.5. Personalas, pacientui suteikiantis būtinąją pagalbą;
19.6. Personalas, atliekantis auditą;
19.7. Personalas, susijęs su informacinės sistemos palaikymu;
19.8. Personalas, atliekantis veiklos administravimo funkcijas;.
19.9. Moksliniame tyrime dalyvaujančių asmenų – mokslinio tyrimo komanda (tyrėjai, koordinatoriai).
20. Duomenų teikimas duomenų gavėjams:
20.1. Asmens duomenys gali būti teikiami tik pagal sudarytą asmens duomenų teikimo sutartį arba gavus duomenų gavėjo prašymą.
20.2. Pacientų duomenys teikiami šiems duomenų gavėjams:
20.2.1. Valstybinei ligonių kasai prie Sveikatos apsaugos ministerijos: paciento vardas, pavardė, asmens kodas, adresas, gydymo epizodo trukmė ir laikas, diagnozė, suteiktos gydymo paslaugos (pagal Valstybinės ligonių kasos patvirtintą paslaugų klasifikatorių), operacijos, brangios procedūros ir tyrimai. Šie duomenys naudojami gydymo paslaugų įkainių, NVC pacientams suteiktų paslaugų ir už jas gautų pajamų skaičiavimui.
20.2.2. Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos: paciento sveikatos duomenys. Šie duomenys teikiami siekiant pagrįsti pacientams išduodamų nedarbingumo pažymėjimų būtinumą.
20.2.3. Valstybės ar savivaldybės įstaigoms, kitiems fiziniams ar juridiniams asmenims, kai teisės aktai įpareigoja NVC prašomus duomenis teikti – teisės aktų nustatyta apimtimi (pvz., paciento vardas, pavardė, asmens kodas, informacija apie paciento sveikatos būklę, diagnozes ir gydymą).
20.2.4. Pacientai, pacientų artimieji, šeimos nariai, atstovai – teisės aktų nustatyta tvarka ir apimtimi (pvz., paciento vardas, pavardė, asmens kodas, informacija apie paciento sveikatos būklę, diagnozes ir gydymą. Šie duomenys teikiami įgyvendinant pacientų teisę susipažinti su tvarkomais savo asmens duomenimis, taip siekiant užtikrinti suteikiamų asmens sveikatos priežiūros paslaugų kokybę ir teisės aktais nustatytų pareigų įgyvendinimą).
20.2.5. Moksliniame tyrime dalyvaujančių asmenų duomenys teikiami tyrimo užsakovams ir kitoms atsakingoms institucijoms nepažeidžiant teisės aktų reikalavimų ir konfidencialumo sąlygų.
21. Vaizdo duomenų tvarkymo taisyklės yra patvirtintos atskiru NVC direktoriaus įsakymu.
22. Darbuotojų asmens duomenų tvarkymo taisyklės patvirtintos atskiru NVC direktoriaus įsakymu.

21. Asmens duomenys sutikimo pagrindu tvarkomi:
21.1. kai tai tiesiogiai numatyta Taisyklėse, Reglamente arba kituose teisės aktuose;
21.2. kai, atsižvelgiant į duomenų tvarkymo tikslą ar duomenų kiekį, NVC neturi kito teisinio pagrindo tvarkyti asmens duomenis ar įvykdyti kitus Reglamente nustatytus įpareigojimus visa apimtimi. Jeigu asmens duomenys, atsižvelgiant į jų kiekį ir tvarkymo tikslus, gali būti tvarkomi bent vienu Reglamente įtvirtintu pagrindu, duomenų subjekto sutikimas papildomai nėra prašomas pateikti.
22. Duomenų subjekto sutikimai gali būti renkami šiais būdais: raštu, įskaitant gautus elektroninėmis priemonėmis, žodžiu ar veiksmais, jeigu yra galimybė įrodyti, kad toks sutikimas buvo duotas, ir jeigu duomenų subjektas savo veiksmais aiškiai sutinka su siūlomu jo asmens duomenų tvarkymu (pvz., kai pacientas geba išreikšti savo valią, tačiau negali pats užpildyti valios pareiškimo formos ir šią formą užpildo NVC darbuotojas). Pirmenybė kiekvienu atveju yra teikiama duomenų subjekto sutikimams, gautiems raštu, o kiti sutikimo būdai gali būti naudojami tik kiekvienu konkrečiu atveju įsitikinus, kad yra įmanoma įrodyti duomenų subjekto sutikimo davimo faktą. Duomenų subjekto tylėjimas, iš anksto pažymėti laukai arba neveikimas nelaikomi duomenų subjekto sutikimu.
23. Visais atvejais, kai asmens duomenys yra tvarkomi duomenų subjekto sutikimo pagrindu, NVC privalo kaupti ir turėti įrodymus, kad duomenų subjektas davė sutikimą. Tais atvejais, kuomet sutikimas buvo gautas žodžiu, NVC privalo turėti tai patvirtinantį garso ar vaizdo įrašą.
24. Kai asmens duomenys tvarkomi sutikimo pagrindu, tvarkomi tik tie duomenys ir tik tais tikslais ir veiksmais, kurie buvo nurodyti sutikime. Jeigu keičiasi tvarkomų duomenų kiekis, tvarkymo tikslas ar tvarkymo operacijos (veiksmai), privaloma gauti papildomą sutikimą tokiam duomenų tvarkymui arba turi egzistuoti kitas teisės aktuose įtvirtintas asmens duomenų tvarkymo teisinis pagrindas.
25. Sutikimas gali būti asmens duomenų tvarkymo pagrindas, jei atitinka šiuos reikalavimus:
25.1. sutikimas duotas laisva duomenų subjekto valia;
25.2. sutikimas yra konkretus ir išsamus;
25.3. sutikimą duomenų subjektas davė tinkamai informuotas. Tam, kad šis reikalavimas būtų įvykdytas, prieš duomenų subjektui pasirašant sutikimą jam turi būti pateikta konkrečiame Reglamento straipsnyje nurodyta informacija bei informuojama apie duomenų subjekto teisę bet kuriuo metu atšaukti savo sutikimą. Informacija gali būti pateikta raštu, žodžiu, audiovizualine forma, tačiau visais atvejais tokiu būdu, kad NVC turėtų galimybę įrodyti, jog informacija duomenų subjektui buvo pateikta ir kad ji atitinka Reglamento 13 straipsnyje įtvirtintą turinį;
25.4. sutikimas yra nedviprasmiškas duomenų subjekto valios išreiškimas, kad su juo susiję duomenys būtų tvarkomi. Sutikimas turi būti duodamas aktyviais veiksmais;
25.5. sutikimas turi būti parašytas paprasta, aiškia, duomenų subjektui suprantama kalba.
26. Kai duomenų tvarkymui reikalingas asmens sutikimas, jis turi būti gaunamas prieš atliekant bet kokį duomenų tvarkymo veiksmą.
27. Duomenų subjektas turi teisę bet kuriuo metu atšaukti savo sutikimą. Duomenų subjektui atšaukus sutikimą, draudžiama tvarkyti asmens duomenis tais tikslais ir atlikti duomenų tvarkymo operacijas (veiksmus), kurios buvo atliekamos tokio sutikimo pagrindu, išskyrus atvejus, kai tokiam duomenų tvarkymui egzistuoja kitas Taisyklėse ar Reglamente įtvirtintas asmens duomenų tvarkymo teisinis pagrindas. Sutikimo atšaukimas nedaro poveikio sutikimu pagrįsto duomenų tvarkymo, atlikto iki sutikimo atšaukimo, teisėtumui. Duomenų subjektas apie šiame Taisyklių punkte išdėstytas nuostatas privalo būti informuojamas prieš jam duodant sutikimą.
28. Sutikimas galioja iki jo atšaukimo momento arba iki sutikime nurodyto jo galiojimo termino pabaigos.

29. Duomenų subjektų teisės ir jų įgyvendinimo tvarka yra reglamentuota NVC galiojančiose duomenų subjekto teisių įgyvendinimo taisyklėse.

30. Duomenų valdytojas turi šias teises:
30.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;
30.2. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;
30.3. kitas galiojančiuose Lietuvos Respublikos įstatymuose ir teisės aktuose numatytas teises.
31. Duomenų valdytojas turi šias pareigas:
31.1. užtikrinti, kad būtų laikomasi Reglamento ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą;
31.2. įgyvendinti duomenų subjekto teises Reglamento nustatyta tvarka;
31.3. užtikrinti asmens duomenų saugumą įgyvendinant technines ir organizacines asmens duomenų saugumo priemones;
31.4. tvarkyti duomenų tvarkymo veiklos įrašus;
31.5. vertinti poveikį duomenų apsaugai;
31.6. konsultuotis su VDAI;
31.7. paskirti duomenų apsaugos pareigūną;
31.8. pranešti apie duomenų saugumo pažeidimą;
31.9. kitas galiojančiuose Lietuvos Respublikos įstatymuose ir teisės aktuose numatytas pareigas.
32. Duomenų valdytojas atlieka šias funkcijas:
32.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumo užtikrinimui;
32.2. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams asmens duomenų tvarkymo tikslais;
32.3. vykdo kitas funkcijas, reikalingas Duomenų valdytojo teisėms ir pareigoms įgyvendinti;
33. Tais atvejais, kai NVC įgalioja Duomenų tvarkytoją atlikti asmens duomenų tvarkymo veiksmus, tarp NVC ir duomenų tvarkytojo turi būti sudaroma rašytinė asmens duomenų tvarkymo sutartis.
34. Duomenų tvarkytojai turi teises ir pareigas bei vykdo funkcijas, numatytas asmens duomenų tvarkymo sutartyje.
35. Turi būti parenkamas toks duomenų tvarkytojas, kuris garantuotų reikiamas technines ir organizacines duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi.
36. NVC paskirtas duomenų apsaugos pareigūnas pildo duomenų tvarkytojų registrą pagal NVC struktūrinių padalinių pateiktą informaciją.
37. Duomenų valdytojas ir duomenų tvarkytojas turi užtikrinti VDAI parengtose asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gairėse numatytas saugumo priemones.

38. NVC turi teisę tvarkyti kitų duomenų valdytojų duomenis tik tada, jeigu duomenų valdytojas yra aiškiai nustatęs ir nurodęs duomenų tvarkymo dalyką ir trukmę, duomenų tvarkymo pobūdį ir tikslą, asmens duomenų rūšis ir duomenų subjektų kategorijas bei duomenų valdytojo prievoles ir teises.
39. NVC turi teisę tvarkyti asmens duomenis kaip duomenų tvarkytojas tik esant bent vienam iš šių teisinių pagrindų:
39.1. sudaryta sutartis su duomenų valdytoju. Gali būti sudaryta atskira duomenų tvarkymo sutartis arba atskiros duomenų tvarkymo veiklos nuostatos įtrauktos į kitą sutartį;
39.2. pareiga tvarkyti duomenis nustatyta teisės aktuose.
40. Kai NVC konkrečiai duomenų tvarkymo veiklai duomenų valdytojo vardu atlikti pasitelkia kitą duomenų tvarkytoją, sutartimi ar kitu teisės aktu tam kitam duomenų tvarkytojui nustatomos tos pačios duomenų apsaugos prievolės, kaip ir prievolės, nustatytos NVC teisės aktų bei duomenų valdytojo, visų pirma prievolė pakankamai užtikrinti, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos taip, kad duomenų tvarkymas atitiktų Reglamento reikalavimus.

41. NVC darbuotojai, tvarkantys asmens duomenis privalo būti pasirašę konfidencialumo pasižadėjimą, laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino vykdydami savo pareigas, nebent tokia informacija būtų vieša pagal galiojančių įstatymų ar kitų teisės aktų nuostatas. Pareiga saugoti asmens duomenų paslaptį galioja tiek NVC viduje, tiek už jos ribų, o taip pat pasibaigus darbo ar sutartiniams santykiams.
42. Darbuotojai gali susipažinti bei naudotis tik tais dokumentais ir duomenų rinkmenomis, su kuriais susipažinti ir juos tvarkyti jie buvo įgalioti.
43. Darbuotojai turi imtis priemonių, kad būtų užkirstas kelias atsitiktiniam ar neteisėtam asmens duomenų sunaikinimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugodami dokumentus bei duomenų rinkmenas tinkamai ir saugiai bei vengiant nereikalingų kopijų darymo. Jei darbuotojas abejoja įdiegtų saugumo priemonių patikimumu, jis turi kreiptis į tiesioginį savo vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir įdiegimas.
44. Darbuotojai, kurie automatiniu būdu tvarko asmens duomenis arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius. Darbuotojas, dirbantis konkrečiu kompiuteriu, gali žinoti tik savo slaptažodį.
45. Darbuotojas, atsakingas už kompiuterių priežiūrą, daro tarnybinėse stotyse esančių duomenų rinkmenų kopijas. Praradus ar sugadinus šias rinkmenas, atsakingas darbuotojas turi jas atstatyti.
46. Kitos duomenų ir kompiuterių įrangos fizinės saugos užtikrinimo priemonės nurodytos NVC galiojančiose procedūroje Informacinių technologijų ir duomenų saugos valdymas P6 ir NVC informacinės sistemos nuostatuose.

47. NVC darbuotojai pastebėję galimus pažeidimus, turi pareigą visais įmanomais būdais (žodžiu, raštu ar elektroninėmis priemonėmis) nedelsiant informuoti NVC duomenų apsaugos pareigūną.
48. Pažeidimų nustatymas, asmenims kylančio pavojaus vertinimas, pažeidimų dokumentavimas, pranešimams apie pažeidimus reglamentuotas NVC galiojančiame Asmens duomenų saugumo pažeidimų valdymo tvarkos apraše.

49. Duomenų tvarkymo veiklos įrašai vedami NVC galiojančia duomenų tvarkymo veiklos įrašų valdymo tvarka.

50. Poveikio duomenų apsaugai vertinimas atliekamas NVC galiojančia poveikio duomenų apsaugai vertinimo tvarka.

51. NVC direktorius skiria NVC duomenų apsaugos pareigūną.
52. NVC duomenų apsaugos pareigūno kontaktiniai duomenys yra skelbiami NVC interneto svetainėje. Duomenų apsaugos pareigūno kontaktiniai duomenys pranešami VDAI, taip pat nurodomi NVC interneto svetainės skiltyje „Duomenų apsauga“, formose, susijusiose su duomenų apsauga, siekiant sudaryti galimybę suinteresuotiems asmenims be kliūčių susisiekti su duomenų apsaugos pareigūnu.
53. Duomenų apsaugos pareigūnas vykdo jam pagal Reglamentą pavestas užduotis.
54. Duomenų apsaugos pareigūnas yra nepriklausomas NVC patarėjas asmens duomenų apsaugos klausimais. NVC turi užtikrinti, kad visada būtų privaloma deramai atsižvelgti į duomenų apsaugos pareigūno nuomonę. Jeigu kyla nesutarimų, priežastys, kodėl nebuvo vadovaujamasi duomenų apsaugos pareigūno konsultacija, įforminamos dokumentais.
55. NVC duomenų apsaugos pareigūnas pagal NVC direktoriaus patvirtintą planą atlieka atitikties Reglamento reikalavimams vertinimus / auditus ir vertinimo / audito rezultatus teikia NVC direktoriui.
56. NVC duomenų apsaugos pareigūnas pirmąjį metų ketvirtį NVC direktoriui teikia veiklos metinę ataskaitą už praėjusius metus.
57. Visi NVC darbuotojai privalo bendradarbiauti su duomenų apsaugos pareigūnu ir nedelsiant teikti visus jo paprašytus dokumentus ir informaciją.

58. Garso įrašai NVC daromi posėdžių protokolavimo ar susirinkimų vykdymo tikslais. Patvirtinus posėdžio protokolą garso įrašas sunaikinamas per 1 darbo dieną ir toliau nebesaugomas.
59. Garso įrašai turi būti daromi specialiai tik šiems tikslams skirtais nešiojamaisiais įrenginiais, išskyrus atvejus, kai kyla būtinybė garso įrašus daryti kitokiais įrenginiais.
60. Įgyvendinant duomenų subjekto teisę susipažinti su tvarkomais savo asmens duomenimis, t. y. NVC saugomu garso įrašu, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažinti gali būti pateikiama tik garso įrašo dalis, susijusi su pačiu duomenų subjektu.
61. Duomenų subjektas apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą turi būti informuojamas prieš pradedant daryti garso įrašą. Už duomenų subjekto informavimą apie garso įrašo darymą ir garso įrašuose fiksuojamų asmens duomenų tvarkymą atsakingi NVC komisijų posėdžių sekretoriai ar susirinkimų moderatoriai.

62. Dirbtinio intelekto (toliau – DI) įrankiai NVC gali būti naudojami tik laikantis NVC galiojančių tvarkų ir tik tais atvejais, kai jų naudojimas nepažeidžia galiojančių teisės aktų, asmens duomenų apsaugos nuostatų, informacijos saugumo ir pacientų teisių reikalavimų.
63. NVC darbuotojams draudžiama į viešai prieinamus dirbtinio intelekto technologijų įrankius (pvz., ChatGPT, Gemini, Microsoft Copilot ir kt.) įvesti, įkelti, kopijuoti ar kitaip perduoti bet kokią su pacientais ar jų sveikata susijusią informaciją.

64. Perduoti asmens duomenis į trečiąją valstybę arba tarptautinę organizaciją galima tik esant bent vienai iš šių sąlygų:
64.1. yra priimtas Europos Komisijos sprendimas, kad atitinkama trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečioje valstybėje, arba atitinkama tarptautinė organizacija užtikrina tinkamo lygio apsaugą;
64.2. jeigu nėra priimtas sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenys gali būti perduoti į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu NVC yra nustačiusi tinkamas apsaugos priemones, įskaitant tai, kad duomenų subjektams bus užtikrinta galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.
65. Jeigu nėra priimtas Komisijos sprendimas dėl tinkamo apsaugos lygio užtikrinimo arba nenustatytos tinkamos apsaugos priemonės, kaip nurodyta Reglamento 46 straipsnio 2 ir 3 dalyse, asmens duomenų perdavimas į trečiąją valstybę arba tarptautinei organizacijai gali būti atliekamas tik tada, jeigu egzistuoja bent viena iš Reglamento 49 straipsnio 1 dalyje nurodytų sąlygų.

66. Taisyklių keitimus atlieka rengėjas pagal procedūrą Dokumentų valdymas P1. Taisyklės turi būti peržiūrimos ir tikslinamos pagal atitinkamai pasikeitusių kitų asmens duomenų tvarkymą reglamentuojančių teisės aktų nuostatas.
67. Darbuotojai ir kiti Taisykles ar Reglamentą pažeidę asmenys, atsako teisės aktų nustatyta tvarka.
68. Patvirtinus ar atnaujinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. Už darbuotojų supažindinimą su Taisyklėmis bei jų laikymosi priežiūrą atsakingi padalinių vadovai.
69. Už NVC tvarkomų duomenų saugumą atsako duomenis tvarkantis darbuotojas.
70. Už duomenų subjektų duomenų atnaujinimą padaliniuose, kuriuose renkami ir tvarkomi duomenų subjektų duomenys, atsako NVC padalinių vadovai.

71. Taisyklės parengtos vadovaujantis:
71.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu).
71.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
71.3. Lietuvos Respublikos sveikatos sistemos įstatymu.
71.4. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu.
71.5. Lietuvos Respublikos sveikatos draudimo įstatymu.
71.6. Lietuvos Respublikos valstybinio socialinio draudimo įstatymu.
71.7. Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu.
71.8. Lietuvos Respublikos biomedicininių tyrimų etikos įstatymu.
71.9. Lietuvos Respublikos sveikatos apsaugos ministro 1999 m. lapkričio 29 d. įsakymu Nr. 515 „Dėl Sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkos“.
71.10. Lietuvos Respublikos sveikatos apsaugos ministro 1998 m. birželio 12 d. įsakymu Nr. 320 „Dėl geros klinikinės praktikos taisyklių“.
71.11. Lietuvos Respublikos sveikatos apsaugos ministro 2001 m. vasario 1 d. įsakymu Nr. 65 „Dėl Informacijos apie pacientą valstybės institucijoms ir kitoms įstaigoms teikimo tvarkos aprašo patvirtinimo ir asmens sveikatos paslapties kriterijų nustatymo“.
71.12. Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. gegužės 20 d. įsakymu Nr. V-506 „Dėl rašytinės informacijos, įskaitant ir konfidencialią, apie pacientą ir jam suteiktas paslaugas teikimo ir šios paslaugos apmokėjimo tvarkos aprašo patvirtinimo ir paciento teisės susipažinti su įrašais savo medicinos dokumentuose įgyvendinimo“.
71.13. Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos direktoriaus 2024 m. gegužės 13 d. įsakymu Nr. 1K-164 „Dėl Valstybinės ligonių kasos prie Sveikatos apsaugos ministerijos privalomojo sveikatos draudimo informacinės sistemos „Sveidra“ nuostatų patvirtinimo“.
71.14. Kitais teisės aktais, susijusiais su asmens duomenų tvarkymu ir apsauga.

BENDROSIOS NUOSTATOS

1. Vaizdo duomenų tvarkymo taisyklių (toliau – Taisyklės) tikslas – reglamentuoti vaizdo stebėjimą Viešosios įstaigos Vilniaus universiteto ligoninės Santaros klinikų filialo Nacionaliniame vėžio centre, užtikrinant 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ), kitų įstatymų bei teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir apsaugą, laikymąsi ir įgyvendinimą.
2. Vykdant vaizdo stebėjimą vadovaujamasi BDAR, ADTAĮ, bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą.
3. Taisyklėse vartojamos sąvokos atitinka BDAR ir ADTAĮ vartojamas sąvokas. Taisyklių nuostatos negali plėsti ar siaurinti BDAR ir ADTAĮ taikymo srities bei prieštarauti BDAR ir ADTAĮ nustatytiems asmens duomenų tvarkymo reikalavimams ir kitiems asmens duomenų tvarkymą reglamentuojantiems teisės aktams.
4. Duomenų valdytojas – Viešosios įstaigos Vilniaus universiteto ligoninės Santaros klinikų filialas Nacionalinis vėžio centras (toliau – NVC), kodas 307053706, adresas Santariškių g. 1, Vilnius.
5. Duomenų valdytojas turi teisę pasitelkti duomenų tvarkytoją tvarkyti vaizdo duomenis.

6. Vaizdo stebėjimo tikslas – užtikrinti darbų saugą, nuosavybės teise ar kitu teisiniu pagrindu NVC valdomų materialinių išteklių (toliau – turtas) apsaugą, darbuotojų, pacientų ir jų duomenų saugumą, pacientų gyvybės išsaugojimą, trečiųjų asmenų teisių apsaugą, konfliktinių situacijų, nelaimingų atsitikimų darbe prevenciją, paslaugų teikimo atsekamumą, fiksavimo ir kokybės užtikrinimą, teisės aktų pažeidimų prevenciją, vidaus tvarkos taisyklių, reikalavimų pažeidimo prevenciją, įvykusių teisės aktų pažeidimų tyrimą, incidentų darbe ar duomenų saugumo incidentų tyrimą.
7. Vaizdo stebėjimas vykdomas:
7.1. teritorijoje adresu Santariškių g. 1, Vilnius: pagrindinis bei šalutiniai įėjimai, pastato išorė;
7.2. šiose patalpose: rūsio tuneliai, antro aukšto koridorius, antro aukšto fojė, ketvirto korpuso antro aukšto koridorius, koridorius į penktą korpusą, įėjimas į spindulinės terapijos kabinetą, esantį penktame korpuse, ketvirto korpuso pirmo aukšto įėjimas ir koridorius, dyzelgeneratoriaus patalpa ir serverinės patalpa, adresu Santariškių g. 1, Vilnius.
8. Vaizdo stebėjimo kameros turi būti įrengiamos taip, kad vaizdo stebėjimas nebūtų vykdomas didesnėje duomenų valdytojo teritorijoje ar patalpoje nei yra nurodyta Taisyklių 7 punkte.
9. Vykdant vaizdo stebėjimą draudžiama:
9.1. įrengti eksploatuoti įrengtas vaizdo stebėjimo kameras, kad į jų stebėjimo lauką patektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų numatytus atvejus;
9.2. vykdyti vaizdo stebėjimą patalpose, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą (tualetuose, persirengimo kambariuose, gydytojo kabinete ir pan.);
9.3. vykdyti vaizdo stebėjimą slaptomis vaizdo kameromis.
10. Vaizdo stebėjimo apimtis ir (ar) tikslas keičiamas tik pakeitus Taisykles.
11. Vaizdo stebėjimo duomenys negali būti naudojami kitiems tikslams, nesusijusiems su Taisyklių 6 punkte apibrėžtu tikslu.

12. Duomenų valdytojas turi šias teises:
12.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius vaizdo stebėjimo vykdymą;
12.2. spręsti dėl vaizdo duomenų teikimo;
12.3. paskirti už vaizdo duomenų apsaugą atsakingą asmenį ar padalinį;
12.4. įgalioti duomenų tvarkytojus tvarkyti vaizdo duomenis;
12.5. sudaryti sutartis su duomenų tvarkytojais dėl Vaizdo įrangos priežiūros;
13. Duomenų valdytojas turi šias pareigas:
13.1. užtikrinti BDAR, ADTAĮ ir kituose teisės aktuose, reglamentuojančiose asmens duomenų tvarkymą, nustatytų asmens duomenų tvarkymo reikalavimų laikymąsi;
13.2. įgyvendinti duomenų subjekto teises BDAR nustatyta tvarka;
13.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;
13.4. parinkti tik tokį duomenų tvarkytoją, kuris garantuotų reikiamas technines ir organizacines asmens duomenų apsaugos priemones ir užtikrintų, kad tokių priemonių būtų laikomasi, kad duomenų tvarkymas atitiktų BDAR reikalavimus ir duomenų subjekto teisių apsaugą, bei sudaryti sutartis su duomenų tvarkytojais reglamentuojančią duomenų tvarkytojo atliekamą duomenų tvarkymą, atitinkančią BDAR 28 straipsnio 3 dalyje nustatytus reikalavimus. Duoti duomenų tvarkytojui nurodymus dėl vaizdo duomenų tvarkymo. Žinoti apie ketinamas sudaryti sutartis su pagalbiniais duomenų tvarkytojais bei duoti išankstinius rašytinius sutikimus dėl jų paskyrimo;
14. Duomenų valdytojas atlieka šias funkcijas:
14.1. nustato vaizdo stebėjimo tikslą ir apimtį;
14.2. organizuoja vaizdo stebėjimo sistemos diegimo darbus;
14.3. suteikia prieigos teises ir įgaliojimus tvarkyti vaizdo duomenis;
14.4. analizuoja technologines, metodologines ir organizacines vaizdo duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam vaizdo stebėjimo vykdymui užtikrinti;
14.5. teikia metodinę pagalbą darbuotojams ir duomenų tvarkytojams vaizdo duomenų tvarkymo klausimais;
14.6. organizuoja darbuotojų mokymus asmens duomenų teisinės apsaugos klausimais;
14.7. vykdo kitas funkcijas, reikalingas įgyvendinti Taisyklių 12–13 punktuose nurodytas duomenų valdytojo teises ir pareigas.
15. Duomenų tvarkytojas vaizdo duomenis tvarko vadovaujantis teisės aktų, reglamentuojančių asmens duomenų apsaugą, reikalavimais.

16. Vaizdo duomenys tretiesiems asmenims teikiami tik esant bent vienai iš BDAR 6 straipsnyje nurodytų teisėto asmens duomenų tvarkymo sąlygų pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba pagal prašymą (vienkartinio teikimo atveju). Sutartyje ar prašyme turi būti nurodytas vaizdo duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti vaizdo duomenų apimtis.
17. Vaizdo duomenys duomenų valdytojo gali būti pateikti ikiteisminio tyrimo įstaigai, prokurorui ar teismui dėl jų žinioje esančių administracinių, civilinių, baudžiamųjų bylų, kaip įrodymai ar kitais įstatymų nustatytais atvejais.
18. Valdžios institucijų prašymai atskleisti duomenis visada turėtų būti pateikiami raštu, būti pagrįsti ir nereguliarūs bei neturėtų būti susiję su visu susistemintu rinkiniu ar dėl jų susisteminti rinkiniai neturėtų būti susiejami tarpusavyje.

19. Siekiant užtikrinti vaizdo duomenų saugumą įgyvendinamos šios organizacinės ir techninės asmens duomenų saugumo priemonės: užtikrinama prieigos prie asmens duomenų apsauga, valdymas ir kontrolė, prieiga prie asmens duomenų yra suteikiama tik tam asmeniui, kuriam asmens duomenys yra reikalingi jo funkcijoms vykdyti, prieigoms prie asmens duomenų yra suteikiami slaptažodžiai, pakeičiami vaizdo stebėjimo kamerų gamintojo suteikti standartiniai prisijungimo vardai ir slaptažodžiai, slaptažodžiai keičiami ne rečiau, kaip kartą per 3 mėnesius, užtikrinama asmens duomenų apsauga nuo neteisėto prisijungimo prie vidinio kompiuterinio tinklo elektroninių ryšių priemonėmis, užtikrinamas patalpų, kuriose saugomi asmens duomenys, saugumas, užtikrinama kompiuterinės įrangos apsauga nuo kenksmingos programinės įrangos (antivirusinių programų įdiegimas, atnaujinimas ir pan.).
20. Prieigos teisių ir įgaliojimų tvarkyti vaizdo duomenis suteikimo, naikinimo ir keitimo tvarka:
20.1. prieigos teisės ir įgaliojimai tvarkyti vaizdo duomenis suteikiami, naikinami ir keičiami NVC direktoriaus įsakymu;
20.2. dėl prieigos prie vaizdo duomenų suteikimo kreipiasi duomenų valdytojo darbuotojo tiesioginis vadovas;
20.3. už įsakymo dėl prieigos prie vaizdo duomenų suteikimo ar naikinimo vykdymą atsakingas Informacinių sistemų skyriaus vedėjas.
20.4. prieigos teisės prie vaizdo duomenų naikinamos pasibaigus duomenų valdytojo ir jo darbuotojo darbo santykiams, pasikeitus darbo funkcijoms, kurioms vykdyti prieiga prie vaizdo duomenų nereikalinga, taip pat nutraukus asmens duomenų tvarkymo sutartį, sudarytą su asmens duomenų tvarkytoju, ar šiai sutarčiai nustojus galioti.
21. Atsarginės vaizdo duomenų kopijos nedaromos.
22. Vaizdo duomenys įrašomi ir saugomi 14 kalendorinių dienų, pasibaigus šiam terminui yra sunaikinami. Jeigu vaizdo įrašų duomenys naudojami kaip įrodymai civilinėje, administracinėje ar baudžiamojoje byloje ar kitais įstatymų nustatytais atvejais, vaizdo duomenys gali būti saugomi tiek, kiek reikalinga šiems duomenų tvarkymo tikslams, ir sunaikinami nedelsiant, kai tampa nebereikalingi.
23. Darbuotojas, tvarkantis vaizdo duomenis, privalo:
23.1. laikytis pagrindinių asmens duomenų tvarkymo ir saugumo reikalavimų, įtvirtintų BDAR, ADTAĮ, šiose Taisyklėse ir kituose teisės aktuose;
23.2. užtikrinti, kad į vaizdo stebėjimo kameromis fiksuojamą erdvę nepatektų gyvenamoji patalpa ir (arba) jai priklausanti privati teritorija ar įėjimas į ją, išskyrus įstatymų nustatytus atvejus, bei patalpos, kuriose duomenų subjektas pagrįstai tikisi absoliučios privatumo apsaugos ir kur toks stebėjimas žemintų žmogaus orumą;
23.3. laikytis šiose Taisyklėse nustatytų techninių ir organizacinių asmens duomenų saugumo priemonių, kad būtų užskirstas kelias netyčiniam ar neteisėtam vaizdo duomenų sunaikinimui, praradimui, pakeitimui, atskleidimui, taip pat bet kokiam kitam neteisėtam tvarkymui, saugoti vaizdo duomenų įrašymo įrenginiuose ir (ar) laikmenose esančius vaizdo duomenis;
23.4. užtikrinti, kad vaizdo stebėjimo sistema būtų techniškai tvarkinga, techniniai šios sistemos sutrikimai būtų šalinami operatyviai, naudojant visus turimus techninius resursus;
23.5. neatskleisti, neperduoti ir nesudaryti sąlygų bet kokiomis priemonėmis susipažinti su vaizdo duomenimis asmeniui, kuris nėra įgaliotas tvarkyti vaizdo duomenų;
23.6. nedelsdamas pranešti Informacinių sistemų skyriaus vedėjui, duomenų apsaugos pareigūnui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę NVC tvarkomų vaizdo duomenų saugumui;
23.7. Į NVC patalpas, kuriose yra vaizdo duomenų įrašymo įrenginių neįleisti pašalinių asmenų ir pastebėję vaizdo stebėjimo sistemos sutrikimus nedelsdami informuoti Informacinių sistemų skyriaus vedėją.

24. Duomenų valdytojo ar duomenų tvarkytojo darbuotojai, turintys prieigos teisę prie vaizdo duomenų, pastebėję vaizdo duomenų saugumo pažeidimus (veiksmus ar neveikimą, galinčius sukelti ar sukeliančius grėsmę asmens duomenų saugumui) turi informuoti Informacinių sistemų skyriaus vedėją ir duomenų apsaugos pareigūną.
25. Įvertinus vaizdo duomenų apsaugos pažeidimo rizikos veiksnius, pažeidimo poveikio laipsnį, žalą ir padarinius, kiekvienu konkrečiu atveju vadovas priima sprendimus dėl priemonių, reikiamų vaizdo duomenų apsaugos pažeidimui ir jo padariniams pašalinti.

26. Duomenų subjektas turi šias teises:
26.1. žinoti (būti informuotas) apie savo asmens duomenų tvarkymą;
26.2. susipažinti su savo asmens duomenimis ir kaip jie yra tvarkomi;
26.3. nesutikti, kad būtų tvarkomi jo asmens duomenys;
26.4. reikalauti sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų.
27. Duomenų subjekto teisė žinoti apie savo asmens duomenų tvarkymą papildomai įgyvendinama šia tvarka:
27.1. asmenys, kurie nėra duomenų valdytojo darbuotojai ir kurių vaizdo duomenys tvarkomi, vykdant vaizdo stebėjimą, apie vykdomą vaizdo stebėjimą yra informuojami:
27.1.1. iškabinant informacines lenteles prieš patenkant į patalpas ar teritoriją, kurioje vykdomas vaizdo stebėjimas. Informacija apie tai, kad vykdomas vaizdo stebėjimas turi būti pateikta visais atvejais, nepriklausomai nuo to, kad kai kuriose tam skirtose vietose vaizdo stebėjimas tuo metu nėra vykdomas (pavyzdžiui, vaizdo kamera veikia ne visą laiką, veikia nustatytu periodiškumu ir pan.);
27.1.2. informacinėse lentelėse nurodant, kad yra vykdomas vaizdo stebėjimas ir (ar) vaizdo stebėjimas kartu su garso įrašymu, duomenų valdytojo pavadinimą, kontaktinę informaciją, vaizdo stebėjimo tikslą, nuorodą į informacijos šaltinį, kur būtų galima gauti detalesnę informaciją apie vykdomą vaizdo stebėjimą, ar kitą svarbią informaciją. (1 priedas).
27.2. duomenų valdytojų darbuotojai apie vaizdo stebėjimą darbo vietoje, duomenų valdytojo patalpose ar teritorijoje, kuriose dirba, turi būti informuojami:
27.2.1. prieš pradedant vykdyti vaizdo stebėjimą arba pirmąją darbuotojo darbo dieną, arba pirmąją darbo dieną po darbuotojo atostogų, nedarbingumo laikotarpio ir pan., jei vaizdo stebėjimas buvo pradėtas vykdyti šiuo laikotarpiu;
27.2.2. pasirašytinai supažindinant su šiomis Taisyklėmis.
28. Duomenų subjekto teisė susipažinti su savo vaizdo duomenimis įgyvendinama šia tvarka:
28.1. duomenų subjektas, pateikęs duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba teisės aktų nustatyta tvarka ar elektroninių ryšių priemonėmis, kurios leidžia tinkamai identifikuoti asmenį, patvirtinęs savo asmens tapatybę, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami. Jei prašymą duomenų subjektas siunčia paštu ar per pasiuntinį, prie prašymo turi būti pridėta notaro patvirtinta duomenų subjekto asmens tapatybę patvirtinančio dokumento kopija. Kai dėl informacijos apie asmenį kreipiasi jo atstovas, jis turi pateikti atstovavimą patvirtinantį dokumentą ir savo asmens tapatybę patvirtinantį dokumentą;
28.2. gavus duomenų subjekto prašymą dėl jo asmens duomenų tvarkymo ir patikrinus duomenų subjekto tapatybę, duomenų subjektui suteikiama informacija, ar su juo susiję asmens duomenys yra tvarkomi ir pateikiami duomenų subjektui prašomi duomenys (sudaroma galimybė duomenų valdytojo patalpose peržiūrėti vaizdo įrašą, arba, duomenų subjekto prašymu, pateikiama vaizdo įrašo kopija išorinėje duomenų laikmenoje ar nuotrauka);
28.3. įgyvendinant duomenų subjekto teisę susipažinti su savo vaizdo duomenimis, užtikrinama trečiųjų asmenų teisė į privatų gyvenimą, t. y. duomenų subjektui susipažįstant su vaizdo įrašu, jeigu vaizdo įraše matomi kiti asmenys, kurių tapatybė gali būti nustatyta, ar kita informacija, kuri gali pažeisti trečiųjų asmenų privatumą (pavyzdžiui, transporto priemonės valstybinis numeris), šie vaizdai turi būti retušuoti ar kitais būtais panaikinama galimybė identifikuoti trečiuosius asmenis;
28.4. gavus duomenų subjekto prašymą susipažinti su savo vaizdo duomenimis, informacija, ar su juo susiję vaizdo duomenys yra tvarkomi, ir duomenų subjekto prašomi duomenys pateikiami ne vėliau kaip per 30 kalendorinių dienų nuo duomenų subjekto kreipimosi dienos. Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu.
29. Duomenų subjekto teisė nesutikti su vaizdo duomenų tvarkymu įgyvendinimo šia tvarka:
29.1. duomenų subjekto teisė nesutikti su vaizdo duomenų tvarkymu įgyvendinama, kai vaizdo duomenys yra teikiami ar atliekamas kitas vaizdo duomenų tvarkymo veiksmas, nei nurodyti šių Taisyklių 6 punkte.
30. Teisė reikalauti sunaikinti savo asmens duomenis arba sustabdyti, išskyrus saugojimą, savo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant šio ir kitų įstatymų nuostatų įgyvendinama šia tvarka:
30.1. jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys yra tvarkomi neteisėtai, nesąžiningai, ir pats ar jo įgaliotas atstovas kreipiasi į duomenų valdytoją, duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, patikrina duomenų subjekto asmens duomenų tvarkymo teisėtumą, sąžiningumą ir nedelsdamas sunaikina neteisėtai ir nesąžiningai sukauptus asmens duomenis ar sustabdo tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą;
30.2. duomenų valdytojas, duomenų subjekto ar jo įgalioto atstovo prašymu sustabdęs duomenų subjekto asmens duomenų tvarkymo veiksmus, asmens duomenis, kurių tvarkymo veiksmai sustabdyti, saugo tol, kol jie bus sunaikinti (duomenų subjekto prašymu arba pasibaigus duomenų saugojimo terminui);
30.3. duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, praneša duomenų subjektui ar jo įgaliotam atstovui apie jo prašymu atliktą ar neatliktą duomenų subjekto asmens duomenų sunaikinimą ar asmens duomenų tvarkymo veiksmų sustabdymą;
30.4. duomenų valdytojas nedelsdamas, ne vėliau kaip per 5 darbo dienas, informuoja duomenų gavėjus apie duomenų subjekto ar jo įgalioto atstovo prašymu sunaikintus duomenų subjekto asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus.

 

31. Darbuotojai, kurie yra įgalioti tvarkyti vaizdo duomenis arba eidami savo pareigas juos sužino, privalo laikytis šių Taisyklių, pagrindinių asmens duomenų tvarkymo reikalavimų bei konfidencialumo ir saugumo reikalavimų, įtvirtintų BDAR ir šiose Taisyklėse. Darbuotojai pažeidę Taisykles ir (ar) BDAR atsako teisės aktų nustatyta tvarka.
32. Patvirtinus Taisykles, darbuotojai su jomis supažindinami pasirašytinai. Priėmus naują darbuotoją, jis su Taisyklėmis privalo būti supažindintas pirmąją jo darbo dieną. NVC struktūrinių padalinių vadovai yra atsakingi už savo struktūrinio padalinio darbuotojų supažindinimą pasirašytinai su šiomis Taisyklėmis. Taisyklės skelbiamos NVC interneto svetainėje.
33. Taisyklės ne rečiau kaip kartą per 2 metus peržiūrimos ir, reikalui esant ar pasikeitus vaizdo duomenų tvarkymą reglamentuojantiems teisės aktams, atnaujinamos.

NVC atvirų duomenų neturi.