Privātuma politika
Privātuma politikas mērķis ir sniegt fiziskajai personai - datu subjektam - informāciju par personas datu apstrādes nolūku, tiesisko pamatu, apstrādes apjomu, aizsardzību un apstrādes termiņu datu iegūšanas laikā un apstrādājot datu subjekta personas datus.
Sabiedrības ar ierobežotu atbildību "CĒSU KLĪNIKA" privātuma politika
Privātuma politikas mērķis ir noteikt principus un prasības SIA “CĒSU KLĪNIKA” (turpmāk - Klīnika) personas datu apstrādē, kuru ievērošana nodrošinās fiziskai personai – datu subjektam – informāciju par personas datu apstrādes nolūku, tiesisko pamatu, apstrādes apjomu, aizsardzību un apstrādes termiņu datu iegūšanas laikā un apstrādājot personas datus.
I. Pārzinis un tā kontaktinformācija
1. Sabiedrība ar ierobežotu atbildību ”CĒSU KLĪNIKA”, reģistrācijas Nr. 44103057729, juridiskā adrese: Slimnīcas iela 9, Cēsis, Cēsu novads, LV-4101.
2. Klīnikas kontaktinformācija ar personas datu apstrādi saistītajos jautājumos, tai skaitā informēšanai par iespējamiem datu aizsardzības pārkāpumiem ir datuaizsardziba@cesuklinika.lv. Izmantojot šo vai vēršoties Klīnikas juridiskajā adresē, var uzdot jautājumu par personas datu apstrādi Klīnikā. Pieprasījumu par savu tiesību īstenošanu var iesniegt saskaņā ar 22. punktu.
3. Informāciju par datu aizsardzības speciālista kontaktinformāciju skatīt Klīnikas tīmekļa vietnē https://cesuklinika.wixsite.com/ sadaļā “Kontakti”.
II. Vispārīgie noteikumi
4. Personas dati ir jebkāda informācija par identificētu vai identificējamu fizisku personu.
5. Privātuma politiku piemēro privātuma un personas datu aizsardzības nodrošināšanai attiecībā uz fiziskajām personām (turpmāk kopā saukti – Klients):
5.1. Klīnikas pacientiem, kuri saņem pakalpojumus, tajā skaitā, potenciālajiem, bijušajiem un esošajiem;
5.2. Klīnikas apmeklētājiem, tajā skaitā, attiecībā uz kuriem tiek veikta videonovērošana;
5.3. Klīnika interneta tīmekļa vietnes apmeklētājiem;
5.4. Personām, kuru personas dati tiek apstrādāti sociālajos tīklos saistībā ar Klīnikas mārketinga aktivitātēm;
5.5. Klīnikas sadarbības partneriem, ja sadarbības gaitā notiek vai var tikt veikta fizisko personu datu apstrāde.
5.6. Praktikantiem, pētniekiem u.c., kuru personas datu apstrāde notiek Klīnikā, un kuri, savukārt, veic personas datu apstrādi izglītības un zinātnes procesu gaitā.
5.7. Kandidāti (amatu pretendenti).
6. Klīnika rūpējas par Klientu privātumu un personas datu aizsardzību, ievēro Klientu tiesības uz personas datu apstrādes likumību saskaņā ar piemērojamajiem tiesību aktiem - Eiropas Parlamenta un padomes 2016.gada 27.aprīļa Vispārīgā datu aizsardzības Regula 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (turpmāk – Regula), Fizisko personas datu apstrādes likumu, Pacientu tiesību likumu un citiem piemērojamajiem normatīvajiem aktiem privātuma un datu apstrādes jomā.
7. Privātuma politika ir attiecināma uz fizisko personu datu apstrādi neatkarīgi no tā, kādā formā un/vai vidē Klienta personas datus iesniedz, piemēram, Klīnikas tīmekļa vietnē, e-pastā, papīra formātā vai telefoniski, un kādas Klīnikas sistēmās vai papīra formā tie tiek apstrādāti.
III. Personas datu apstrādes nolūki
8. Klīnika apstrādā personas datus šādiem nolūkiem:
8.1. Veselības aprūpes pakalpojumu sniegšanai un administrēšanai:
8.1.1. pacienta identificēšanai;
8.1.2. pacienta pieraksta pie Klīnikas speciālistiem noformēšanai;
8.1.3. pacienta medicīniskās dokumentācijas noformēšanai saskaņā ar normatīvajos aktos noteiktajām prasībām;
8.1.4. atgādinājumiem pacientiem par paredzēto vizīti pie Klīnikas speciālistiem;
8.1.5. medicīnisko izmeklējumu veikšanai;
8.1.6. ārstu konsultāciju un medicīnisko manipulāciju veikšanai;
8.1.7. pacientu vai citu fizisko personu veselības stāvokļa izvērtēšanai;
8.1.8. norēķinu administrēšanai;
8.1.9. parādu piedziņai no debitoriem;
8.1.10. pacientu iebildumu izskatīšanai un kvalitātes kontrolei;
8.1.11. pacientu lojalitātes veicināšanai, apmierinātības mērījumiem;
8.1.12. līguma ar pacientiem sagatavošanai un noslēgšanai;
8.1.13. mājaslapu un mobilo aplikāciju uzturēšanai un darbības uzlabošanai;
8.1.14. jaunu veselības aprūpes pakalpojumu attīstībai;
8.2. Statistikai un biznesa analīzei;
8.3. Personāla atlases un vadības nodrošināšanai, ciktāl tās saistītas ar personāla atlasi:
8.3.1. lai izvērtētu kandidāta atbilstību Klīnikas izvirzītajām prasībām uz noteikto vakanci;
8.3.2. lai noslēgti līgumu ar kandidātu, kurš atbilst Klīnikas izvirzītākajam prasībām;
8.3.3. lai celtu, īstenotu un aizstāvētu Klīnikas likumīgās prasības.
8.4. Rezidentu apmācībai;
8.5. Klīnisko pētījumu veikšanai;
8.6. Sociālās aprūpes pakalpojumu sniegšanai un nodrošināšanai; ;
8.7. Informācijas sniegšanai valsts pārvaldes iestādēm un operatīvās darbības subjektiem ārējos normatīvajos aktos noteiktajos gadījumos un apjomā;
8.8. Pacientu, Klīnikas darbinieku drošības un īpašuma aizsardzības nodrošināšanai;
8.9. Informācijas Valsts vienotās medicīnas informācijas sistēmas (E – veselība) ievadei.
IV. Personas datu apstrādes tiesiskais pamats
9. Klīnikas veiktās personas datu apstrādes tiesiskais pamats šādiem personas datu apstrādes nolūkiem:
9.1. Personas datu apstrādes tiesiskais pamats 8.1.apakšpunktā minētajam personas datu apstrādes nolūkam – Pacientu tiesību likuma 10.panta otrā daļa; Regulas 6.panta 1.punkta b)apakšpunkts (apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas); c)apakšpunkts (apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu); 9.panta 2.punkta a)apakšpunkts (datu subjekts ir devis nepārprotamu piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem); b)apakšpunkts (apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā); c)apakšpunkts (apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu);
h) apakšpunkts (profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes noteikšanai, ārstēšanas nolūkos); i)apakšpunkts (apstrāde ir vajadzīga sabiedrības interešu dēļ sabiedrības veselības jomā);
9.2. Personas datu apstrādes tiesiskais pamats 8.2.apakšpunktā minētajam personas datu apstrādes nolūkam – Regulas 6.panta 1.punkta f) apakšpunkts (apstrāde ir vajadzīga pārziņa leģitīmo interešu ievērošanai).
9.3. Personas datu apstrādes tiesiskais pamats 8.3.apakšpunktā minētajam personas datu apstrādes nolūkam – Regulas 6.panta 1.punkta: a) apakšpunkts (datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem), c)apakšpunkts (apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu) un f)apakšpunkts (apstrāde ir vajadzīga pārziņa leģitīmo interešu ievērošanai); Darba likuma 33., 35., 38.pants.
9.4. Personas datu apstrādes tiesiskais pamats 8.4.apakšpunktā minētajam personas datu apstrādes nolūkam – Ministru kabineta noteikumi Nr. 60 “Noteikumi par obligātajām prasībām ārstniecības iestādēm un to struktūrvienībām” 106.punkts; Ārstniecības likuma 33.pants; Regulas 6.panta 1.punkta a)apakšpunkts (datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem); c)apakšpunkts (apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu).
9.5. Personas datu apstrādes tiesiskais pamats 8.5.apakšpunktā minētajam personas datu apstrādes nolūkam – Pacientu tiesību likuma 10.panta astotā daļa, 11.pants; Regulas 9.panta 2.punkta a)apakšpunkts (datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem); g)apakšpunkts (apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem, kas ir samērīgas izvirzītajam mērķim, ievēro tiesību uz datu aizsardzību būtību un paredz piemērotus un konkrētus pasākumus datu subjekta pamattiesību un interešu aizsardzībai); j)apakšpunkts (apstrāde ir vajadzīga arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos).
9.6. Personas datu apstrādes tiesiskais pamats 8.6.apakšpunktā minētajam personas datu apstrādes nolūkam – Regulas 9.panta 2.punkta a)apakšpunkts (datu subjekts ir devis nepārprotamu piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem); b) apakšpunkts (apstrāde ir vajadzīga, lai realizētu pārziņa pienākumus un īstenotu pārziņa vai datu subjekta konkrētas tiesības nodarbinātības, sociālā nodrošinājuma un sociālās aizsardzības tiesību jomā); c) apakšpunkts (apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses, ja datu subjekts ir fiziski vai tiesiski nespējīgs dot savu piekrišanu); i) apakšpunkts (apstrāde vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes noteikšanai, ārstēšanas nolūkos);
9.7. Personas datu apstrādes tiesiskais pamats 8.7.apakšpunktā minētajam personas datu apstrādes nolūkam – Pacientu tiesību likuma 10.panta piektā daļa; Regulas 6.panta 1.punkta c)apakšpunkts (apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu) un f)apakšpunkts (apstrāde ir vajadzīga pārziņa leģitīmo interešu ievērošanai);
9.8. Personas datu apstrādes tiesiskais pamats 8.8.apakšpunktā minētajam personas datu apstrādes nolūkam – Regulas 6.panta 1.punkta f) apakšpunkts (apstrāde ir vajadzīga pārziņa leģitīmo interešu ievērošanai).
9.9. Personas datu apstrādes tiesiskais pamats 8.9.apakšpunktā minētajam personas datu apstrādes nolūkam – Ārstniecības likuma 78.panta otrā daļa un 79.panta 1.1 daļu; Ministru kabineta noteikumi Nr. 134 “Noteikumi par vienoto veselības nozares elektronisko informācijas sistēmu” 11.4. punkts, 11.4.1 punkts; Regulas 6.panta 1.punkta c) apakšpunkts (apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu).
V. Personas datu apstrāde
10. Klīnika apstrādā Klientu personas datus, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un Klīnikai pieejamos organizatoriskos, finansiālos un tehniskos resursus.
11. Klīnika attiecībā uz Klientu var veikt automatizētu lēmumu pieņemšanu. Klients par šādām Klīnikas darbībām tiek informēts atsevišķi saskaņā ar normatīvajiem aktiem.
12. Automatizētu lēmumu pieņemšana, kas Klientam rada tiesiskās sekas (piemēram, nodošana parādu piedziņai), var tikt veikta tikai līguma starp Klīniku un Klientu noslēgšanas vai izpildes gaitā, pamatojoties uz Klienta nepārprotamu piekrišanu vai ārējos normatīvajos aktos noteiktajos gadījumos.
VI. Personas datu aizsardzība
13. Klīnika aizsargā Klienta personas datus, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā pastāvošos privātuma riskus un Klīnikai pieejamos organizatoriskos, finansiālos un tehniskos resursus, tajā skaitā izmantojot šādus drošības pasākumus:
13.1. Ugunsmūri;
13.2. Ielaušanās aizsardzības un atklāšanas programmas;
13.3. Citus aizsardzības pasākumus atbilstoši aktuālajām tehnikas attīstības iespējām.
VII. Personas datu nodošana/izpaušana
14. Klīnika neizpauž trešajām personām Klienta personas datus, izņemot:
14.1. saskaņā ar Klienta rakstveida piekrišanu;
14.2. ārējos normatīvajos aktos paredzētajām personām (tostarp veselības aprūpes iestādēm, Neatliekamās medicīniskās palīdzības centram, valsts iestādēm un tiesībsargājošām iestādēm) pēc viņu pamatota pieprasījuma, ārējos normatīvajos aktos noteiktajā kārtībā un apjomā;
14.3. Klīnikas likumīgo interešu aizsardzībai, piemēram, vēršoties tiesā vai citās valsts institūcijās pret personu, kura ir aizskarusi Klīnikas likumīgās intereses, nododot piedziņai fizisko personu parādus;
14.4. Aizstāvot Klīnikas leģitīmās intereses (piemēram, piedzenot parādus no debitoriem).
VIII. Personas datu nodošana
15. Klīnika nodod personas datus trešajām personām, nodrošinot, ka attiecīgās trešās personas saglabā personas datu konfidencialitāti un nodrošina piemērotu aizsardzību.
16. Klīnika ir tiesīga nodot personas datus Klīnikas apakšuzņēmējiem, kas palīdz Klīnikai nodrošināt tās funkciju izpildi.
17. 16.punktā minētajā gadījumā Klīnikas apakšuzņēmēji, kas saņem un apstrādā personas datus ir uzskatāmi par personas datu apstrādātājiem Regulas izpratnē, ar tiem tiek slēgts rakstveida līgums, kurā tiek noteikts, ka Klīnika pieprasa no datu saņēmējiem apņemšanos izmantot saņemto informāciju tikai tiem nolūkiem, kuru dēļ dati tika nodoti, un saskaņā ar piemērojamo normatīvo aktu prasībām datu apstrādes un datu aizsardzības jomā.
IX. Trešo valstu subjektu piekļuve personas datiem
18. Klīnika nodot personas klientu personu datus Amerikas Savienotajās valstīs reģistrētajam uzņēmumam Wix.com Inc., kas ir apliecinājusi Amerikas Savienoto Valstu Tirdzniecības ministrijai savu principialitāti un apņēmušās ievērot Eiropas Komisijas noteiktos principus, nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei (Komisijas īstenošanas lēmums (ES) 2016/1250 (2016. gada 12. jūlijs) saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs (izziņots ar dokumenta numuru C(2016) 4176)).
X. Personas datu glabāšanas ilgums
19. Klīnika glabā un apstrādā Klientu personas datus, kamēr pastāv vismaz viens no šiem kritērijiem:
19.1. tikai tik ilgi, kamēr tiek izpildītas no starp Klīniku un pacientu noslēgtā līguma izrietošās saistības vai pacientam tiek sniegts veselības aprūpes pakalpojums;
19.2. kamēr Klīnikai pastāv normatīvajos aktos noteikts pienākums datus glabāt;
19.3. kamēr tiek pilnībā izskatīts un/vai izpildīts Klienta lūgumā/iesniegumā minētais;
19.4. kamēr ir spēkā Klienta piekrišana attiecīgai personas datu apstrādei, ja nepastāv cits datu apstrādes likumīgs pamats;
19.5. videonovērošanas ceļā iegūtie personas dati (videoieraksti) tiek glabāti ne ilgāk kā 30 dienas no to veikšanas dienas;
19.6. ja tiek veikti audioieraksti, kuros ir fiksētas Klīnikas darbinieku sarunas ar pacientiem, veicot pierakstu pie Klīnikas speciālistiem, tad tie tiek glabāti ne ilgāk kā 30 dienas no audioieraksta veikšanas dienas.
20. Pēc tam, kad 19.punktā minētie apstākļi izbeidzas, Klienta personas dati tiek dzēsti. Auditācijas pieraksti tiek saglabāti vismaz vienu gadu no to veikšanas dienas.
XI. Piekļuve personas datiem un citas Klienta tiesības
21. Klientam ir tiesības saņemt normatīvajos aktos noteikto informāciju saistībā ar viņa personas datu apstrādi.
22. Klientam saskaņā ar normatīvajiem aktiem ir arī tiesības pieprasīt Klīnikai piekļuvi saviem personas datiem, kā arī pieprasīt Klīnikai veikt to papildināšanu, labošanu vai dzēšanu, vai apstrādes ierobežošanu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz personas datu pārnesamību. Šīs tiesības īstenojamas, ciktāl datu apstrāde neizriet no Klīnikas pienākumiem, kas tam ir uzlikti ar spēkā esošajiem normatīvajiem aktiem.
23. Klients var iesniegt pieprasījumu par savu tiesību īstenošanu:
23.1. rakstveida formā klātienē Klīnikā uzrādot personu apliecinošu dokumentu;
23.2. elektroniskā pasta veidā, parakstot vēstuli ar drošu elektronisko parakstu un nosūtot uz e-pasta adresi datuaizsardziba@cesuklinika.lv;
23.3. nosūtot Klīnikai vēstuli pa pastu.
24. Klienta sarunu audioierakstus, ja tādi bija ierakstīti, ar Klīnikas darbiniekiem noklausīties vai saņemt ir iespējams klātienē Klīnikā, uzrādot personu apliecinošo dokumentu.
25. Saņemot Klienta pieprasījumu par savu tiesību īstenošanu, Klīnika pārliecinās par Klienta identitāti, izvērtē pieprasījumu un izpilda to saskaņā ar normatīvajiem aktiem.
26. Klīnika sniedz atbildi Klientam pēc iespējas, ņemot vērā Klienta norādīto atbildes saņemšanas veidu.
27. Ja atbilde tiek sūtīta pa pastu, tā tiek adresēta Klientam (personai, kuras personas dati ir pieprasīti) ierakstītā vēstulē. Ja atbilde tiek sniegta elektroniski, tā tiek parakstīta ar drošu elektronisko parakstu (ja iesniegums ir ticis iesniegts ar drošu elektronisko parakstu).
28. Klīnika nodrošina datu apstrādes un aizsardzības prasību izpildi saskaņā ar normatīvajiem aktiem un Klienta iebildumu gadījumā veic lietderīgās darbības, lai iebildumu atrisinātu.
29. Klientam ir tiesības vērsties uzraudzības iestādē – Datu valsts inspekcijā.
30. Klientam ir tiesības saņemt bez maksas personu datu kopiju par saviem Klīnikā apstrādē esošiem personas datiem. Pieprasot informāciju atkārtoti, par visām papildus kopijām, Klīnika var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām. Minētais neattiecas uz medicīnisko dokumentu izrakstu, kopiju saņemšanu atbilstoši Pacientu tiesību likumam.
31. Šā dokumenta 30.punktā minētās informācijas saņemšana un/vai izmantošana var tikt ierobežota ar mērķi novērst nelabvēlīgu ietekmi uz citu personu (tostarp Klīnikas darbinieku) tiesībām un brīvībām.
32. Klīnika apņemas nodrošināt personas datu pareizību un paļaujas uz saviem Klientiem, piegādātājiem un citām trešajām personām, kas nodod personas datus, ka tiks nodrošināta nodoto personas datu pilnība un pareizība.
XII. Klienta piekrišana datu apstrādei un tiesības to atsaukt
33. Klienta piekrišanu personas datu apstrādei, kuras tiesiskais pamats ir piekrišana dod rakstveidā klātienē Klīnikā vai nosūtot e-pastu, kas ir parakstīts ar drošu elektronisku parakstu.
34. Klientam ir tiesības jebkurā brīdī atsaukt datu apstrādei doto piekrišanu tādā pat veidā, kādā tā dota un šādā gadījumā turpmāka datu apstrāde, kas balstīta uz iepriekš doto piekrišanu konkrētajam nolūkam turpmāk netiks veikta.
35. Piekrišanas atsaukums neietekmē datu apstrādes, kuras veiktas tajā laikā, kad Klienta piekrišana bija spēkā.
36. Atsaucot piekrišanu, netiek pārtraukta tā personas datu apstrāde, kuru tiek veikta pamatojoties uz citiem tiesiskajiem pamatiem (piemēram saskaņā ar ārējiem normatīvajiem aktiem vai noslēgto līgumu starp Klīniku un Klientu).
XIII. Mājaslapu apmeklējumi un sīkdatņu apstrāde
37. Klīnikas tīmekļa vietnes var izmantot sīkdatnes.
38. Sīkdatnes ir datnes, ko tīmekļa vietnes izvieto lietotāju datoros, lai atpazītu lietotāju un atvieglotu tam vietnes izmantošanu. Interneta pārlūkprogrammas var konfigurēt tā, lai tās brīdina apmeklētāju par sīkdatņu izmantošanu un ļauj izvēlēties, vai apmeklētājs piekrīt tās pieņemt. Sīkdatņu nepieņemšana neaizliegs apmeklētājam izmantot Klīnikas interneta mājaslapu, taču tas var ierobežot apmeklētājam tīmekļa vietnes izmantošanas iespējas.
39. Klīnika mājaslapās var tikt ievietotas saites uz trešo personu interneta mājaslapām, kurām ir savi lietošanas un personas datu aizsardzības noteikumi, par ko Klīnika nenes atbildību.
40. Papildus informācija par sīkdatnēm tīmekļa vietnē https://cesuklinika.wixsite.com/ skatīt Klīnikas “Sīkdatņu privātuma politikā”.
XIV. Citi noteikumi
41. Klīnikai ir tiesības veikt papildinājumus Privātuma politikā, padarot to pieejamu Klientiem, ievietojot Klīnikas mājaslapā.
42. Klīnika saglabā Privātuma politikas iepriekšējās redakcijas un tās ir pieejamas Klīnikas mājaslapā.