*Biežāk uzdotie jautājumi par datu aizsardzību

http://www.dvi.gov.lv/lv/wp-content/uploads/ES_Regula_2016_679.pdf
Vai Blue Bridge Technologies SIA (SmartMedical izstrādātājs) plāno papildināt esošus sadarbības līgumus ar Datu Pārziņa un Apstrādātāja tiesībām un pienākumiem saskaņā ar Regulas prasībām?
Mēs plānojam izstrādāt standarta pielikumu SmartMedical programmatūras lietošanas līgumam, kurā tiks atrunātas Pārziņa un Apstrādātāja tiesības un pienākumi atbilstoši Personas Datu Aizsardzības Regulas noteikumiem.


Uz kādu e-pasta adresi sūtīt informācijas pieprasījumus saistītus ar datu drošību? Cik ilgā laikā tiks izskatīti šādi informācijas pieprasījumi? 

Personas datu apstrādes pieteikumiem un jautājumiem par datu aizsardzību mēs izveidojam atsevišķu e-pasta adresi: pda@smartmedical.euPieteikumi saņemtie uz šo e-pasta adresi tiks izskatīti Regulas noteikumu ietvaros. 


https://docs.google.com/a/bb-tech.eu/viewer?a=v&pid=sites&srcid=YmItdGVjaC5ldXxzdXBwb3J0fGd4OjVlMzY1NmU5MmI3MDk3NTM
Kā SmartMedical plāno sniegt atbalstu Datu Pārzinim, Datu Subjekta informācijas pieprasīšanas gadījumā, incidenta vai uzraugošās iestādes pārbaudes gadījumā?
Atbalsts datu subjekta informācijas pieprasīšanas gadījumā, kā arī uzraugošās iestādes pārbaudes gadījumā tiks nodrošināts saskaņā ar SmartMedical lietošanas noteikumiem. Incidenta gadījumā ir pienākums ziņot uzraugošai institūcijai gan Pārzinim, gan Apstrādātājam. Gadījumā ja incidenta faktu konstatēs SmartMedical tehniskais atbalsts, tas nekavējoties par to informēs Pārziņa atbildīgo darbinieku, ka arī Datu Valsts Inspekciju.


Kādi ir SmartMedical priekšlikumi par incidentu ziņošanu uzraudzības iestādei 72 stundu laikā?
Ziņojam par personas datu aizsardzības pārkāpumu 72 stundas datu uzraudzības iestādei, kā arī:
- ja rada augstu risku personas tiesībām un brīvībām jāpaziņo arī Datu Subjektam - personai 
- pastāv izņēmumi informēšanai, ja tiek izpildīti konkrēti nosacījumi saskaņā ar regulas 34. panta 3. punkta noteikumiem (iesākam apskatīt šo punktu - http://www.dvi.gov.lv/lv/wp-content/uploads/ES_Regula_2016_679.pdf ).

Vai ir plānota aktualizētajā līgumā atsauce uz NVD pilnvarojumu veikt personas datu apstrādi SmartMedical sistēmā e-Veselības ietvaros?
Starp NVD un Blue Bridge Technologies SIA ir parakstīts līgums Nr. 01122016-NVD (2016. gada 1. decembrī). Precīza informācija par datu apmaiņu, līgumslēdzēju tiesībām un pienākumiem tiks atrunāti jaunajā līguma pielikumā par personas datu aizsardzību.
          

Vai Blue Bridge Technologies SIA izmanto datu apstrādi trešajās valstīs (t.sk. datu glabāšanu)? , neizmantojam.


No Regulas prasībām izriet, ka ja datu apstrāde ir pamatdarbība un īpaši sensitīvie dati ir pamatdarbība, arī apstrādātājam (ne tikai pārzinim), jāieceļ datu speciālists. Kā SmartMedical plāno šo jautājumu risināt?
Datu drošības nodrošināšana ir vienmēr bijusi SmartMedical prioritāte. Kopš 2014. gada mums ir par drošību atbildīgais darbinieks. 


Vai ir plānots kādā brīdī veikt SmartMedical programmas privātuma ietekmes izvērtējumu (varbūt tāds jau ir veikts), lai gūtu pārliecību un saņemtu apliecinājumu, ka šajā sistēmā ir nodrošināts privātuma integritātes princips (privacy by design)?
Ietekmes izvērtējumu ir jāveic Pārzinim ieviešot SmartMedical (kā arī jebkuru citu sistēmu) personu datu apstrādei. Blue Bridge Technologies SIA, kā SmartMedical programmatūras ražotājs, pastāvīgi izvērtē un pilnveido mehānismus, kuri tiek izmantoti datu apstrādē.


Vai reģistrējot pacientu pirmo reizi SmartMedical sistēmā vajadzētu prasīt rakstveidā anketu ar datiem, telefonu un e-pastu, lai varētu lietot šo informāciju?
Rekomendējam definēt nolūkus, kādiem Jūs plānojat izmantot šo informāciju. Izmantot pacienta datus viņa ārstēšanai - būs viens tiesiskais pamatojums, izmantot datus mārketinga aktivitātēm - cits pamatojums. Līdz ar to mārketinga aktivitātēm (SMS, e-pasti) noteikti ir jābūt pacienta piekrišanai. Iesakām detalizētāk iepazīties ar Personas Datu Aizsardzības Regulas noteikumiem.


Kā vislabāk reģistrēt SmartMedical programmu aizpildot veidlapu par reģistrāciju Datu Valsts Inspekcijā?
Ar Personas Datu Aizsardzības Regulas stāšanos spēkā SmartMedical sistēmu vairs nav jāreģistrē.


Veselības Ministrijas rekomendācijas ārstniecības personām attiecībā uz pacienta personas identificēšanu 
(tai skaitā bērnu līdz 14 gadu vecumam), saņemot veselības aprūpes pakalpojumu

Reģistrējot pacientu pa telefonu, ārstniecības persona fiksē informāciju, kuru pacients nosauc pats - vārds, uzvārds, personas kods un telefona numurs, uz kuru zvanīt un atgādināt par pierakstu. Ja pacients atsakās nosaukt personas kodu, tad jāsaka, lai nāk un reģistrējas klātienē. (tā ir pacienta izvēle!)

Reģistrējot pacientu klātienē, ārstniecības personai noteikti jāidentificē pacients pēc personas identifikācijas kartes vai pases.
Reģistrējot pacientu - bērnu, kam nav 14 gadi un bērns apmeklē ārstu ar pieaugušo:
- ja bērns apmeklē ārstu ar vecāku, tad ārstniecības personai ir jāsalīdzina vecāka pasi un ierakstu par bērnu tajā ar bērna pasi, personas identifikācijas karti vai dzimšanas apliecību. Ja vecāka pasē bērns nav ierakstīts, tad bērnam ir jābūt dzimšanas apliecībai līdzi.
- ja bērns apmeklē ārstu ar citu pilngadīgu personu, tad ārstniecības personai ir jāpārbauda pie notāra apstiprināta pilnvara vai vismaz no  vecākiem pašrocīgi uzrakstīta pilnvara, kā arī bērna un pieaugušā personas apliecinošais dokuments.

Ja bērna apmeklējumi ir ar pietiekamu regularitāti pie ārsta, piemēram, hroniskās slimošanas gadījumā, tad uz bērna kartiņas vienam no vecākiem pašrocīgi jāuzraksta, ka viņš pilnvaro viņa neesamības gadījumā pārstāvēt konkrētu pieaugušo (Datu Valsts Inspekcija par šo ieteikumu neiebilst).

Ja notiek akūta saslimšana vai negadījums un bērnu nogādā pie ārsta cita pilngadīga persona un vēlāk zvana vecāks, lai painteresētos, kas noticis, tad ārstniecības persona vispirms mēģina netieši identificēt zvanītāju: kā bērnu sauc, kāds personas kods, kur dzīvo, kas viņu atveda un tad vispārīgi informē par stāvokli un, ja tas ir sarežģīts, aicina atbraukt.

Pirms paziņot izmeklējumu un analīžu rezultāti pa telefonu, ārstniecības personai jācenšas identificēt vispirms zvanītājs: vārds, uzvārds, kad un kur izmeklējums veikts, par kādiem rezultātiem ir interese. Saziņa var notikt caur noteiktu saziņas kodu (paroli), ko piešķir iestāde, piemēram, pacienta kartiņas nr.). Sniedzot atbildi zvanītājam jāstāsta vispārīgi par rezultātiem, piemēram, viss kārtībā. Pretējā gadījumā, jāaicina pacients atbraukt pie ārsta.