APSTIPRINĀTS
ar sabiedrības ar ierobežotu atbildību
“Vidzemes slimnīca” valdes lēmumu
(16.10.2018.) kārtējās sēdes protokols Nr.15, 7.p.
Sabiedrības ar ierobežotu atbildību “Vidzemes slimnīca” privātuma politika
I Privātuma politikas mērķis un darbības joma.
1. Noteikt principus un prasības sabiedrībā ar ierobežotu atbildību “Vidzemes slimnīca” personālam personas datu apstrādē, kuru ievērošana nodrošinās mūsu pacientu, viņu likumisko pārstāvju, personāla un citu personu (turpmāk – Datu subjekti) tiesību ievērošanu un īstenošanu attiecībā uz likumīgu un godprātīgu datu apstrādi.
2. Privātuma politikā (turpmāk – Politika) ir aprakstīti pasākumi, lai nodrošinātu, ka tiek aizsargātas Datu subjekta intereses un brīvības, vienlaicīgi nodrošinot, ka to dati tiek apstrādāti godprātīgi, likumīgi un Datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”).
3. Politiku piemēro privātuma un personas datu aizsardzības nodrošināšanai attiecībā uz fizisko personu datu apstrādi neatkarīgi no tā, kādā formā un/vai vidē Datu subjekts sniedz personas datus (ienākot teritorijā un/vai telpās, telefoniski, mutvārdos, Slimnīcas interneta mājaslapā, pašapkalpošanās portālā, papīra formātā vai telefoniski u.tml.) un kādās pārziņa sistēmās (video, audio) tie tiek apstrādāti.
4. Attiecībā uz specifiskiem datu apstrādes veidiem (piemēram, sīkdatņu apstrādi u.c.), vidi, nolūkiem var tikt noteikti papildu, specifiski noteikumi, par ko Datu subjekts tiek informēts brīdī, kad viņš sniedz attiecīgus datus pārzinim.
II Informācija par pārzini un tā kontaktinformācija.
5. Personas datu apstrādes pārzinis ir sabiedrība ar ierobežotu atbildību “Vidzemes slimnīca”, reģistrācijas numurs 40003258333, juridiskā adrese: Jumaras iela 195, Valmiera, LV – 4201, tālrunis 64202600, fakss 64202596 (turpmāk – Slimnīca).
6. Kontaktinformācija ar personas datu apstrādi saistītajos jautājumos ir:
6.1. Sarakstes veidā: Jumaras iela 195, Valmiera, LV – 4201;
6.2. E-pasta saziņas veidā: pasts[at]vidzemesslimnica.lv;
6.3. Datu aizsardzības speciālista kontaktinformācija: e-pasts: Martins.Bogdans[at]vidzemesslimnica.lv.
7. Slimnīca rūpējas par Datu subjekta privātumu un personas datu aizsardzību, ievēro Pacientu tiesības uz personas datu apstrādes likumību saskaņā ar piemērojamajiem normatīvajiem aktiem – Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (27.04.2016.) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk – Regula), Fizisko personas datu apstrādes likumu, Pacientu tiesību likumu un citiem normatīvajiem aktiem fizisko personu datu apstrādes un aizsardzības jomā, tajā skaitā, normatīvajiem aktiem, kas reglamentē Pacientu tiesības, informācijas sabiedrības pakalpojumus, privātumu un datu apstrādes jomu.
III Personas datus apstrādes nolūki (mērķi) un tiesiskais pamats.
8. Veselības aprūpes pakalpojumu sniegšanai un nodrošināšanai (detalizētāk pielikumā: informācija par datu apstrādi veselības aprūpes pakalpojuma sniegšanai un nodrošināšanai).
9. Videonovērošana un audioieraksts (detalizētāk pielikumā: informācija par datu apstrādi videonovērošanā un audioierakstā).
10. Personāla atlases funkcijas nodrošināšanai (detalizētāk pielikumā: informācija par personāla atlases funkcijas nodrošināšanu).
11. Telefona sarunu audioieraksta veikšanai ar mērķi: kvalitātes kontroles nolūkos, tas ir, nodrošinātu klientu apkalpošanas kvalitātes visaugstākos standartus, kā arī Slimnīcas un trešo personu leģitīmo interešu nodrošināšanai (piemēram, lai izmeklētu gadījumus, kad ir saņemtas sūdzības par klientu apkalpošanas kvalitāti kā arī, lai nodrošinātos ar pierādījumiem pret iespējamām pretenzijām). Zvanot uz Slimnīcas norādītajiem kontakttālruņiem, Datu subjekts tiek informēts par audioieraksta veikšanu.
12. Apstrādājot personas datus mērķiem, kas nav norādīti šajā Politikā, Slimnīca, par to apstrādes individuālajiem nosacījumiem informē datu subjektu atsevišķi, ievērojot Regulas 13.panta nosacījumus.
13. Slimnīca datu apstrādi veic šādās vietās:
13.1. sabiedrība ar ierobežotu atbildību “Vidzemes slimnīca” – Jumaras iela 195, Valmiera, LV – 4201 un Bastiona iela 24, Valmiera, LV – 4201;
13.2. struktūrvienībā “Vidzemes slimnīca Valkā” – Rūjienas iela 3, Valka, Valkas nov., LV-4701;
13.3. struktūrvienībā “Vidzemes slimnīca Rūjienā” – Valdemāra iela 26, Rūjiena, Rūjienas nov., LV-4240.
14. Slimnīca apstrādā Datu subjekta personas datus, balstoties uz šādu tiesisko pamatu:
14.1. Veselības aprūpes pakalpojumu sniegšana un nodrošināšana tiek veikta, pamatojoties uz Regulas 9.panta 2.punkta b), f) un h) apakšpunktu un Pacientu tiesību likuma 15.panta otro un ceturto daļu;
14.2. Videonovērošana un audioieraksts tiek veikta, pamatojoties uz Regulas 6.panta 1.punkta d) un f) apakšpunktu;
14.3. Personāla atlases funkcijas nodrošināšana tiek veikta, pamatojoties uz Regulas 6.panta 1.punkta a), b) apakšpunktu;
14.4. Telefona sarunu audioieraksts tiek veikts, pamatojoties uz Regulas 6.panta 1.punkta d) un f) apakšpunktu, 9.panta 2.punkta h) apakšpunktu;
14.5. Datu subjekta (Pacienta) piekrišanu (Regulas 9.panta 2.punkta a) apakšpunktu, Pacientu tiesību likuma 10.panta otro daļu).
IV Kādus personas datus apstrādā Slimnīca?
15. Personas datu kategorijas, ko apstrādā Slimnīca, ir atkarīgas no Datu subjekta (Pacienta) izmantotajiem Slimnīcas pakalpojumiem:
15.1. Datu subjektam saņemot veselības aprūpes pakalpojumus, atbilstoši normatīvo aktu prasībām Slimnīcai ir pienākums apstrādāt datu subjekta identificējošo informāciju un informāciju, kas apliecina diagnozi, pamato izmeklējumus un ārstēšanas metodes, kā arī precīzi ataino ārstēšanas rezultātus. Šajā gadījumā, lai īstenotu veselības aprūpes pakalpojumu sniegšanas mērķi Slimnīca var apstrādāt visplašāko iespējamo personas datu apjomu, kas ietver – vārdu, uzvārdu, personas kodu, kontaktinformāciju, dzīvesstilu, informāciju par izslimotajām slimībām, informāciju par saņemtajiem un saņemamajiem veselības aprūpes pakalpojumus (pie kāda ārsta, cik bieži, kādus pakalpojumus izvēlas) u.c. informāciju, ko attiecīgais veselības aprūpes speciālists konkrētajā situācijā izvēlēsies noskaidrot un fiksēt medicīniskajā dokumentācijā;
15.2. Zvanot uz Slimnīcas norādītajiem tālruņa numuriem tiks ierakstīts komunikācijas saturs, kā arī fiksēts zvanītāja tālruņa numurs, laiks un datums.
16. Sīkdatnes ir datnes, ko tīmekļa vietnes izvieto Datu subjekta datoros, lai atpazītu lietotāju un atvieglotu tam vietnes izmantošanu. Interneta pārlūkprogrammas var konfigurēt tā, lai tās brīdina apmeklētāju par sīkdatņu izmantošanu un ļauj izvēlēties, vai apmeklētājs piekrīt tās pieņemt. Sīkdatņu nepieņemšana neaizliegs apmeklētājam izmantot Slimnīcas interneta mājaslapu, taču tas var ierobežot Datu subjektam mājaslapas izmantošanas iespējas. Apmeklējot mājas lapu, Datu subjekts var iepazīties ar paziņojumu par to kādas sīkdatnes tiek izmantotas.
17. Slimnīca mājaslapās var tikt ievietotas saites uz trešo personu interneta mājaslapām, kurām ir savi lietošanas un personas datu aizsardzības noteikumi, par ko Slimnīca nenes atbildību.
V Kāds ir personas datu apstrādes laikposms?
18. Slimnīca, izvēloties kritērijus personas datu glabāšanai, ņem vērā zemāk norādītos apstākļus:
18.1. Personas datu glabāšanās termiņš ir noteikts vai izriet no Latvijas Republikas un Eiropas Savienības normatīvajiem aktiem;
18.2. Kādu periodu attiecīgos personas datus ir nepieciešams glabāt, lai nodrošinātu Slimnīcas vai trešās personas leģitīmo interešu realizāciju un aizsardzību;
18.3. Telefona sarunu audioieraksti tiek glabāti periodu, kas nepārsniedz 60 dienas, ja vien attiecīgajā audioierakstā netiks atspoguļota iespējami prettiesiska rīcība vai rīcība, kas, iespējami, palīdzēs Slimnīcai nodrošināt to tiesiskās intereses. Šajā gadījumā, attiecīgais audioieraksts var tikt saglabāts līdz tiesiskās intereses nodrošināšanas brīdim.
19. Pēc glabāšanas laikposma beigām, personas dati tiks neatgriezeniski dzēsti, ja vien saskaņā ar normatīvajiem aktiem nepastāvēs pienākums tos glabāt.
- VI Kurš piekļūst informācijai un kam tā tiek izpausta?
20. Slimnīcai ir pienākums sniegt informāciju par apstrādātajiem personas datiem:
20.1. Pirmstiesas izmeklēšanas iestādēm, tiesām, citām publiskām personām (valsts un pašvaldību iestādēm) vai ārstniecības procesus pārraugošās institūcijām, ja tas izriet no normatīvajiem aktiem;
20.2. Ja attiecīgajai trešajai personai personas dati jānodod noslēgtā līguma ietvaros, lai veiktu kādu līguma izpildei nepieciešamu funkciju (piemēram, apdrošināšanas līguma gadījumā Slimnīcas leģitīmo interešu realizācijai; citai ārstniecības iestādei ievērojot Pacientu tiesību likumā noteikto) vai, ja ir nepieciešams uzlabot labāku pakalpojumu servisu un kvalitatīvu pakalpojumu sniegšanu klientam, piesaistot pakalpojumu sniedzējus;
20.3. Saskaņā ar Datu subjekta skaidru un nepārprotamu pieprasījumu;
20.4. Likumīgo interešu aizsardzībai, piemēram, vēršoties tiesā vai citās valsts institūcijās pret personu, kura ir aizskārusi Slimnīcas likumīgās intereses.
20.5. Slimnīcas struktūrvienības personāls un Slimnīcas nolīgtie datu apstrādātāji.
21. Slimnīca izsniegs personu personas datus tikai nepieciešamā un pietiekamā apjomā, atbilstoši normatīvo aktu prasībām un konkrētās situācijas pamatotiem objektīviem apstākļiem.
22. Atsevišķos gadījumos, ievērojot normatīvo aktu prasības, Slimnīca var nodot datus trešajās valstīs (tas ir, valstīs ārpus Eiropas Savienības un Eiropas Ekonomiskās zonas) esošiem pakalpojumu nodrošinātājiem datu apstrādātāja statusā, sadarbības partneriem vai apdrošināšanas kompānijām. Piemēram, ārstniecības procesa veicināšanai un uzlabošanai vai Datu subjekta (Pacienta) apdrošināšanas kompānijai, lai atlīdzinātu ārstēšanas izdevumus.
VII Datu subjekta tiesības.
23. Pieprasīt slimnīcai piekļuvi saviem personas datiem un saņemt precizējošu informāciju par to, kādi personas dati par viņu ir slimnīcas rīcībā, kādiem nolūkiem slimnīca apstrādā šos personas datus, personas datu saņēmēju kategorijas (personas, kam personas dati ir izpausti vai kam tos paredzēts izpaust, ja vien normatīvie akti konkrētā gadījumā atļauj slimnīcai šādu informāciju sniegt (piemēram, slimnīca nevar sniegt datu subjektam informāciju par attiecīgām izmeklēšanas iestādēm, kuras ir kriminālprocesa virzītāji, operatīvas darbības subjekti vai citas institūcijas, par kurām normatīvie akti aizliedz šādas ziņas izpaust), informāciju par laikposmu, cik ilgi personas dati tiks glabāti, vai kritēriji, ko izmanto minētā laikposma noteikšanai.
24. Ja Datu subjekts uzskata, ka Slimnīcas rīcībā esošā informācija ir novecojusi, neprecīza vai nepareiza, Datu subjektam ir tiesības prasīt savu personas datu labošanu.
25. Prasīt savu personas datu dzēšanu, vai iebilst pret apstrādi, ja persona uzskata, ka Datu subjekta dati ir apstrādāti nelikumīgi, vai tie vairs nav nepieciešami saistībā ar nolūkiem, kādiem tie tika vākti un/vai apstrādāti (īstenojot principu – tiesības “tikt aizmirstam”).
26. Datu subjekta personas dati nevar tikt dzēsti, ja personas datu apstrāde ir nepieciešama:
26.1. Lai Slimnīca aizsargātu Datu subjekta vai citas fiziskas personas vitāli svarīgas intereses, tajā skaitā, dzīvību un veselību;
26.2. Lai aizsargātu Slimnīcas īpašumu;
26.3. Lai Slimnīca vai trešā persona celtu, īstenotu vai aizstāvētu likumīgās (tiesiskās) intereses;
26.4. Arhivēšanas nolūkos atbilstoši normatīvajiem aktiem, kas regulē arhīvu veidošanu.
27. Datu subjektam ir tiesības jebkurā brīdī atsaukt datu apstrādei doto piekrišanu klātienē rakstiski, un tādā gadījumā turpmāka datu apstrāde, kas balstīta uz iepriekš doto piekrišanu konkrētajam nolūkam, turpmāk netiks veikta.
28. Vērsties pie datu aizsardzības speciālista visos jautājumos, kas saistīti ar personas datu apstrādi.
29. Piekrišanas atsaukums neietekmē datu apstrādes, kuras veiktas tajā laikā, kad Pacienta piekrišana bija spēkā.
30. Atsaucot piekrišanu, nevar tikt pārtraukta datu apstrāde, kuru veic, pamatojoties uz citiem tiesiskajiem pamatiem, piemēram, Datu subjekts (Pacients) nevar aizliegt/pārtraukt savu medicīnisko dokumentu uzglabāšanu, ja normatīvie akti paredz ilgāku par Datu subjekta (Pacienta) ierosināto uzglabāšanas laiku.
31. Slimnīca nodrošina datu apstrādes un aizsardzības prasību izpildi saskaņā ar normatīvajiem aktiem un Datu subjekta iebildumu gadījumā veic lietderīgās darbības, lai iebildumu atrisinātu. Tomēr, ja tas neizdodas, Datu subjektam ir tiesības vērsties uzraudzības iestādē – Datu valsts inspekcijā.
32. Datu subjekts var iesniegt pieprasījumu par savu tiesību īstenošanu šādā veidā:
32.1. Rakstveida formā klātienē Slimnīcas telpās, uzrādot personu apliecinošu dokumentu (pasi vai ID karti), jo Datu subjektam ir pienākums sevi identificēt;
32.2. Elektroniskā pasta veidā, parakstot to ar drošu elektronisko parakstu. Šajā gadījumā, tiek prezumēts, ka Datu subjekts ir sevi identificējis;
32.3. Izmantojot pasta sūtījumu. Šajā gadījumā atbilde tiks sagatavota un nosūtīta, izmantojot ierakstītu pasta sūtījumu, tādējādi nodrošinoties, ka nepilnvarotas personas nevarēs saņem šo sūtījumu.
33. Vienlaicīgi, Slimnīca saglabā sev tiesības šaubu gadījumā pieprasīt datu subjektam papildus informāciju, ja tas uzskata to par nepieciešamu.
34. Datu subjektam ir pienākums cik vien iespējams savā pieprasījumā precizēt datumu, laiku, vietu un citus apstākļus, kas palīdzētu izpildīt tā pieprasījumu.
35. Pēc rakstveida Datu subjekta pieprasījuma saņemšanas par savu tiesību īstenošanu Slimnīca pārliecinās par personas identitāti un izvērtē pieprasījumu.
VIII Personas datu aizsardzība.
36. Slimnīca aizsargā personu datus, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un Slimnīcai saprātīgi pieejamos organizatoriskos, finansiālos un tehniskos resursus, tajā skaitā izmantojot šādus drošības pasākumus:
36.1. regulāru risku novērtējumu veikšanu un risku mazināšanas plāna īstenošanu;
36.2. drošības auditu veikšanu;
36.3. personāla informēšanu un apmācību;
36.4. datu rezerves kopiju veidošanu;
36.5. fiziskās apsardzes nodrošināšanu;
36.6. ugunsmūri;
36.7. ielaušanās aizsardzības un atklāšanas programmu izmantošanu;
36.8. servisu monitoringa rīku izmantošanu;
36.9. atbilstošu datu nesēju iznīcināšanu;
36.10. datu pārraides tīkla dublēšanu;
36.11. citus aizsardzības pasākumus atbilstoši aktuālajām tehnikas attīstības iespējām.
37. Personas datu drošības incidenta gadījumā, ja tas radīs iespējami augstu risku Datu subjekta tiesībām un brīvībām, Slimnīca paziņos par to attiecīgajam Datu subjektam, ja tas būs iespējams, vai informācija tiks publiskota Slimnīcas mājaslapā vai citādā iespējamā veidā kā piemēram, izmantojot plašsaziņas līdzekļus.
IX Citi noteikumi.
38. Politika ir publiski pieejama internetā Slimnīcas mājaslapā https://www.vidzemesslimnica.lv un Slimnīcas reģistratūrā.
39. Slimnīcai ir tiesības veikt papildinājumus Politikā, padarot pieejamu Datu subjektam tā aktuālo versiju mājas lapas https://vidzemesslimnica.lv/.
40. Gadījumā, ja Politikā tiks izdarīti grozījumi, visas izmaiņas, kā arī Politikas vēsturiskās redakcijas var iegūt, sazinoties ar Slimnīcu.
41. Šī Politikas redakcija stājas spēkā 20.10.2018.
Politikas izstrādātājs: Slimnīcas datu aizsardzības speciālists Mārtiņš Bogdans