Privātuma atruna
Lietotie termini
Terminu skaidrojums un lietotie apzīmējumi:
- apstrādātājs – fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;
- apstrāde – jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
- ārstniecība — profesionāla un individuāla slimību profilakse, diagnostika un ārstēšana, medicīniskā rehabilitācija un pacientu aprūpe;
- ārstniecības iestādes — ārstu prakses, valsts un pašvaldību iestādes, saimnieciskās darbības veicēji un komercsabiedrības, kas reģistrētas ārstniecības iestāžu reģistrā, atbilst normatīvajos aktos noteiktajām obligātajām prasībām ārstniecības iestādēm un to struktūrvienībām un nodrošina ārstniecības pakalpojumus;
- ārstniecības personas — personas, kam ir medicīniskā izglītība un kas nodarbojas ar ārstniecību;
- datu subjekta piekrišana – jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;
- pārzinis – fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos;
- personas dati – jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;
- saņēmējs – fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;
- Slimnīca – SIA “Rīgas Austrumu klīniskā universitātes slimnīca”;
- trešā persona – fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;
- VDAR– EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula);
- veselības dati – personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli.
1. Vispārējie noteikumi
Privātuma atrunas mērķis ir sniegt fiziskajai personai – datu subjektam – informāciju par personas datu apstrādes nolūku, apjomu, aizsardzību, apstrādes termiņu un datu subjekta tiesībām datu iegūšanas, apstrādes laikā, kā arī nododot datus kompetentām institūcijām vai citam datu pārzinim.
Datu apstrādē piemērojamie tiesību akti:
- Eiropas Parlamenta un padomes Regula Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (2016.gada 27.aprīlis) (turpmāk – VDAR);
- Fizisko personu datu apstrādes likums;
- Ārstniecības likums;
- Pacientu tiesību likums;
- Ministru kabineta 2015. gada 28. jūlija noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām”;
- Ministru kabineta 2006.gada 4.aprīļa noteikumi Nr.265 “Medicīnisko dokumentu lietvedības kārtība”.
2. Pārzinis un tā kontaktinformācija
Personas datu apstrādes pārzinis ir SIA “Rīgas Austrumu klīniskā universitātes slimnīca” (turpmāk – Pārzinis)
- Vienotais reģistrācijas Nr. 40003951628
- Juridiskā adrese: Hipokrāta iela 2, Rīga, LV-1079
- Tālrunis: +371 67042400
- Mājas lapa: https://www.aslimnica.lv
- e-pasts: aslimnica@aslimnica.lv
Pārziņa datu aizsardzības speciālists ir Ivo Dovāns.
Kontaktinformācija ar personas datu apstrādi saistītajos jautājumos:
- das@dsa.lv
- Tālr. +371 27303142
3. Pārziņa apstrādē esošās personu datu kategorijas un apstrādes nolūki
Pārzinis apstrādā šādas personu datu kategorijas:
- Veselības aprūpes pakalpojumu sniegšana un administrēšana
- Pacienta vārds, uzvārds, personas kods vai dzimšanas datums, korespondences adrese, deklarētās dzīves vietas adrese, tālruņa numurs, e-pasta adrese;
- Aizbildņa vārds, uzvārds, personas kods vai dzimšanas datums, korespondences adrese, deklarētās dzīves vietas adrese, tālruņa numurs, e-pasta adrese;
veselības stāvoklis, diagnoze, - Ziņas par invaliditāti, iepriekšējiem ārstniecības gadījumiem, pārciestām slimībām un traumām, alerģijām, nesen lietotajiem medikamentiem.
- Radniecības pakāpe ar citiem ģimenes locekļiem;
- Sociālais stāvoklis;
- Nepilngadīgās personas dati (vārds, uzvārds, personas kods vai dzimšanas datums, korespondences adrese, deklarētās dzīves vietas adrese);
- Dati par tīmekļa vietnes apmeklējumu;
- Vizuālās diagnostikas izmeklējumu dati: vizuālās diagnostikas attēli un rezultāti;
- Laboratorijas izmeklējumu rezultātu dati.
- Privātuma atrunas 6. punktā minētos nolūkos tiek apstrādāti arī citi dati, kurus datu subjekts pats paziņo Pārzinim.
Personas datu apstrādes nolūki:
Veselības aprūpes pakalpojumu sniegšana un administrēšana, tai skaitā:
- Pacientu reģistrācija;
- Pacientu identificēšana;
- Ārstu konsultāciju un medicīnisko manipulāciju veikšana;
- Medicīnisko izmeklējumu veikšana;
- Pacientu un apmeklētāju iebildumu izskatīšana un kvalitātes kontrole;
- Komunikāciju un lietvedības uzskaite;
- Lojalitātes veicināšana, apmierinātības mērījumi;
- Slimnīcas tēla atpazīstamības un popularitātes veicināšana.
- Klīnisko pētījumu veikšana;
- Infekcijas slimību epidemioloģisko uzraudzības pasākumu veikšana;
- Datu subjekta personas datu iegūšanas avoti:
- Publiskās datu bāzes;
- Datu subjektu iesniegtie dokumenti un informācija;
- Datu subjekta izmeklēšanas rezultāti;
- Citu pārziņu, apstrādātāju un apakšapstrādātāju dati;
- Pārziņa datortīkla iekārtu dati;
- Pārziņa tīmekļa vietnes www.aslimnica.lv apmeklēšanas vai pārlūkošanas dati.
4. Fizisko personu datu vākšanas un apstrādes tiesiskais pamatojums, datu un sīkdatņu apstrādes process
Pārzinis apstrādā personas datus, balstoties uz šādu tiesisko pamatu:
- Datu subjekta piekrišana – datu subjekts pats devis piekrišanu datu vākšanai un apstrādei (VDAR 6.panta 1.punkta a) apakšpunkts (datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem), VDAR 9.panta 2.punkta a) apakšpunkts (datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem), Pacientu tiesību likuma 10. panta otrā daļa (datu subjekts ir devis piekrišanu informācijas izpaušanai));
- Likumiskais pamats – Ārstniecības likuma prasību izpilde (VDAR 6.panta 1.punkta e) apakšpunkts (apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras), VDAR 9.panta 2.punkta b) punkts (apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā), Pacientu tiesību likuma 10.pants (pacientu datu aizsardzība));
- Personas vitāli svarīgo interešu aizsardzība – (VDAR 6.panta 1.punkta d) apakšpunkts (apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses), VDAR 9.panta 2.punkta c) apakšpunkts (apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu));
- Profilaktiskās vai arodmedicīnas nolūkos – (VDAR 9.panta 2.punkta h) apakšpunkts (apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas))
Datu subjekta datu apstrādes process:
- Datu subjektu identifikācija;
- Vizuālās diagnostikas procesā iegūtie dati;
- Dati, kuri tiek iegūti datu subjektam elektroniski komunicējot ar Pārziņa serveri.
Datu subjekta sīkdatņu apstrāde:
- Sīkdatnes ir nelielas teksta datnes, kas tiek izveidotas un saglabātas datu subjekta ierīcē (datorā, planšetē vai mobilajā tālrunī), apmeklējot pārziņa interneta vietnes. Sīkdatnes “atceras” lietotāja pieredzi un pamatinformāciju, tādējādi uzlabo vietnes lietošanas ērtumu;
- Izmantojot sīkdatnes, tiek apstrādāti kopējie lietotāju paradumi un vietnes lietošanas vēsture, diagnosticētas problēmas un trūkumi vietnes darbībā, ievākta lietotāju paradumu statistika, kā arī tiek nodrošināta vietnes funkcionalitātes pilnīga un ērta izmantošana;
- Ja datu subjekts nevēlās izmantot sīkdatnes, to var izdarīt savas pārlūkprogrammas uzstādījumos, tomēr tādā gadījumā vietnes lietošana var būt būtiski traucēta un apgrūtināta. Saglabāto sīkdatņu dzēšana ir iespējama ierīces pārlūkprogrammas uzstādījumu sadaļā, dzēšot saglabāto sīkdatņu vēsturi.
Datu subjekta personas datu koplietošana un izsniegšana:
- Pārzinis, lai sniegtu pakalpojumus un izpildītu darba uzdevumus, var kopīgot datu subjekta datus Eiropas Savienības un EEZ (Eiropas Ekonomikas zona) valstīs;
- Pārzinis, nodrošinot īpašu datu aizsardzību, kā to prasa VDAR regulējums, var nosūtīt datus uz trešo valsti (ārpus Eiropas Ekonomiskās zonas) vai starptautiskajām organizācijām, ar mērķi nodrošināt funkciju un uzdevumu izpildi un pārziņa darbu;
- Pārzinis, lai izpildītu normatīvajos aktos noteikto, var kopīgot datu subjekta datus ar citām ārstniecības personām un iestādēm, tiesībsargājošām iestādēm, tiesu vai citām institūcijām;
- Pārzinis izsniegs datus tikai tādā apmērā, kā to nosaka spēkā esošie normatīvie akti, tajā skaitā VDAR un Fizisko personu datu apstrādes likums.
Datu glabāšanas laiks:
- Dati, kuru apstrāde nepieciešama, lai pildītu valsts pārvaldes deleģētos uzdevumus un atsevišķus Ministru kabineta dotos uzdevumus, un kuri atrodas dokumentos ar arhīvisku vērtību un glabājami sabiedrības interesēs, tiek glabāti bez termiņa ierobežojuma un tiek nodoti Latvijas Valsts arhīvam pastāvīgai glabāšanai kā datu pārzinim atbilstoši Arhīvu likuma regulējumam.
Pārējie dati tiek glabāti:
- Kamēr nav beidzies spēkā esošajos normatīvajos aktos noteiktais glabāšanas termiņš;
- Kamēr ir spēkā datu subjekta piekrišana;
- Beidzoties kādam no minētajiem termiņiem, visi dati, izņemot (Datus, kuru apstrāde nepieciešama, lai pildītu valsts pārvaldes deleģētos uzdevumus un atsevišķus Ministru kabineta dotos uzdevumus, un kuri atrodas dokumentos ar arhīvisku vērtību un glabājami sabiedrības interesēs, tiek glabāti bez termiņa ierobežojuma un tiek nodoti Latvijas Valsts arhīvam pastāvīgai glabāšanai kā datu pārzinim atbilstoši Arhīvu likuma regulējumam), tiek dzēsti vai anonimizēti, atbilstoši Pārziņa noteiktajai kārtībai.
- Pārzinis nepieņem nekādus automatizētus lēmumus, kā arī neveic personas datu profilēšanu.
5. Datu subjekta personas datu aizsardzība un datu subjekta tiesības
- Pārzinis aizsargā datu subjekta datus no nesankcionētas piekļuves, nejaušas nozaudēšanas, izpaušanas vai iznīcināšanas. Lai to nodrošinātu, pārzinis pielieto mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un organizatoriskās prasības, tai skaitā, izmantojot ugunsmūrus, ielaušanās, atklāšanas un analīzes programatūras, kā arī šifrēšanu ar standartu SSL un anonimizāciju;
- Pārzinis rūpīgi pārbauda visus apstrādātājus un apakšapstrādātājus, kas Pārziņa vārdā apstrādā datu subjekta datus; Pārzinis izvērtē, vai tiek pielietoti atbilstoši drošības pasākumi, vai datu apstrāde notiek tā, kā pārzinis to ir deleģējis, vai tā notiek saskaņā ar spēkā esošajiem normatīvajiem aktiem un datu aizsardzības prasībām un standartiem.
- Apstrādātājiem un apakšapstrādātājiem nav tiesību apstrādāt Pārziņa datus saviem nolūkiem.
- Pārzinis neuzņemas atbildību par jebkādu nesankcionētu piekļuvi subjekta datiem vai to zudumu, ja tie nav pārziņa kompetencē, piemēram, datu subjekta vainas vai nolaidības dēļ.
Datu subjektam ir šādas tiesības savu personas datu apstrādē:
- Piekļuves tiesības –datu subjektam ir tiesības pieprasīt apstiprinājumu no pārziņa par to, vai tiek apstrādāti datu subjekta personas dati, kā arī pieprasīt izsniegt informāciju par visiem apstrādātajiem personas datiem;
tiesības labot – ja datu subjekts uzskata, ka informācija par viņu ir nepareiza vai nepilnīga, viņam ir tiesības pieprasīt, lai pārzinis to izlabo; - Iebildumi pret apstrādi, pamatojoties uz likumīgajām interesēm–- datu subjektam ir tiesības iebilst pret personas datu apstrādi, kuri tiek apstrādāti, pamatojoties uz pārziņa likumīgajām interesēm, izņemot gadījumus, kad tiesību akti nosaka šo datu apstrādi;
- Dzēšana – noteiktos apstākļos datu subjektam ir tiesības prasīt dzēst savus personas datus, izņemot gadījumus, kad tiesību akti nosaka šo datu glabāšanu termiņu;
- Apstrādes ierobežojums – noteiktos apstākļos datu subjektam ir tiesības ierobežot savu personas datu apstrādi, izņemot gadījumus, kad tiesību akti nosaka datu apstrādes apjomu;
- Datu pārnese – datu subjektam ir tiesības saņemt vai nodot savus personas datus tālāk citam personas datu pārzinim. Šīs tiesības ietver tikai tos personas datus, kas pārzinim sniegtiar datu subjekta, piekrišanu, uz līguma pamata, vai ja datu apstrāde tiek veikta automatizēti. Dotās tiesības datu subjekts nevar izmantot, ja pārzinis veic apstrādi izpildot uzdevumu sabiedrības interesēs, vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras.
Lai īstenotu augstāk minētās tiesības, lūdzam iesniegt rakstveida iesniegumu pārzinim vai datu aizsardzības speciālistam Ivo Dovānam.
Jautājumu un neskaidrību gadījumos datu subjekts var sazināties ar pārzini:
- Hipokrāta iela 2, Rīga, LV-1079
- e-pasts: aslimnica@aslimnica.lv
- Tālr. +371 67042400
Vai personas datu aizsardzības speciālistu:
- Ivo Dovānu
- e-pasts- das@dsa.lv
- Tālr. +371 27303142
Ja datu subjekts nav apmierināts ar saņemto atbildi, viņam ir tiesības iesniegt sūdzību Datu valsts inspekcijā (www.dvi.gov.lv).
Pārzinis ir tiesīgs regulāri uzlabot vai papildināt privātuma atrunu. Pārzinis informēs datu subjektu par jebkurām izmaiņām, publicējot privātuma atrunas aktuālo versiju tīmekļa vietnē https://www.aslimnica.lv.
6. Noslēguma jautājumi
Privātuma atruna stājas spēkā ar valdes lēmuma par tās apstiprināšanu pieņemšanas brīdi.
Privātuma atruna tiek publicēta Slimnīcas mājaslapā.
Slimnīcas darbinieki tiek iepazīstināti ar Privātuma atrunu, tā tiek ieviesta Slimnīcas darbībā ne vēlāk kā viena mēneša laikā no tās apstiprināšanas.
Privātuma atruna tiek pārskatīta un aktualizēta (ja nepieciešams) reizi gadā.
Par Privātuma atrunas aktualizēšanu atbildīgs ir Juridiskās daļas vadītājs.