Politikat e privatësisë

POLITIKAT E PRIVATËSISË PËR “MBROJTJEN, PËRPUNIMIN, RUAJTJEN DHE SIGURINË E TË DHËNAVE PERSONALE”

Neni 1
Objekti
Objekti i kësaj Rregullore është përcaktimi i procedurave organizative e teknike, masave për mbrojtjen e të dhënave personale dhe sigurisë, ruajtjes dhe administrimit të të dhënave personale nga strukturat e Spitalit Amerikan.

Neni 2
Qëllimi
Kjo regullore ka për qëllim përcaktimin e disa rregullave në bazë të cilave Spitali Amerikan mbron të dhënat personale të pacientëve dhe punonjëseve (ose aplikanteve) të tij, nga keqpërdorimi i këtyre të dhënave nga cilido person i pa autorizuar dhe në c’fardo mënyre jo konform me Ligjin nr. 9887, datë 10/3/2008 “Për mbrojtjen e të Dhenave Personale” i ndryshuar dhe me politikat e brendeshme të spitalit.

Neni 3
Përkufizime
Për qëllim të kësaj Rregullore, termat e mëposhtëm kanë këtë kuptim:
“Kontrollues” Për efekt të kësaj rregulloreje janë punonjesit e Spitalit Amerikan të cilët, vetëm apo së bashku me të tjerë, përcakton qëllimet dhe mënyrat e përpunimit të të dhënave personale, në përputhje me ligjet dhe aktet nënligjore të fushës, dhe përgjigjet për përmbushjen e detyrimeve të përcaktuara në këtë ligj.
b.Termat e tjerë të përdorur në zbatim të kësaj Rregullore do të kenë të njëjtin kuptim si më ligjin nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale”, i ndryshuar.

Neni 4
Fusha e zbatimit
Kjo Rregullore zbatohet për përpunimin e të dhënave personale plotësisht ose pjesërisht, nëpërmjet mjeteve automatike, dhe me mjete të tjera që mbahen në një sistem arkivimi apo kanë për qëllim të formojnë pjesë të sistemit të arkivimit pranë Spitalit Amerikan.

Neni 5
Mbrojtja e të dhënave personale
Çdo punonjës i Spitalit Amerikan, që merret me përpunimin e të dhënave personale të subjekteve, detyrohet të zbatojë kërkesat e ligjit “Për mbrojtjen e të dhënave personale”,

Neni 6
Qëllimi i përpunimit
Çdo punonjës i Spitalit Amerikan mund t’i përdorë të dhënat personale vetëm për kryerjen e detyrave të parashikuara nga ligji dhe në përputhje me aktet ligjore e nënligjore që rregullojnë mënyrën e përpunimit të të dhënave personale.

Neni 7
Kriteret e përpunimit të të dhënave personale
Punonjësit e çdo strukture të Spitalit Amerikan që përpunojnë të dhëna personale të subjekteve, bazohen në kriteret e përcaktuara në nenin 6 të ligjit “Për mbrojtjen e të dhënave personale” i ndryshuar.

Neni 8
Përpunimi i të dhënave sensitive
Perpunimi i të dhënave sensitive, kryhet në përputhje me kriteret e përcaktuara në nenin 7 të ligjit “Për mbrojtjen e të dhënave personale”, i ndryshuar.

Neni 9
Transferimi ndërkombëtar i të dhënave
Në rast të kryerjes së transferimit ndërkombetar të të dhënave personale çdo punonjës i Spitalit Amerikan zbaton parashikimet e nenit 8 dhe 9 te ligjit “Për mbrojtjen e të dhënave personale”, i ndryshuar dhe aktet nënligjore të dala në zbatim të tij si Udhezimi nr.41, dt.13.6.2014 “Për lejimin e disa kategorive të transferimeve ndërkombetare të të dhënave personale në një shtet që nuk ka nivel të mjaftueshëm të mbrojtjes së të dhënave personale”, Udhëzuesi mbi transferimin ndërkombëtar të të dhënave personale si dhe Vendimin e KMDHP nr.3, dt.20.11.2012 “Për përcaktimin e shteteve, me nivel të mjaftueshëm të mbrojtjes se të dhënave personale”.

Neni 10
Zbatimi i të drejtave të subjekteve të të dhënave personale
Përhapja ose komunikimi i të dhënave personale kryhet në përputhje me qëllimin për të cilin janë grumbulluar këto të dhëna. Çdo person ka të drejtë që të njihet me të dhënat personale të përpunuara nëpërmjet një kërkese me shkrim. Çdo punonjes i Spitalit Amerikan që përpunon të dhëna personale është i detyruar që në bazë të ligjit nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale” i ndryshuar, të zbatojë të drejtat e subjekteve të të dhënave personale:

Neni 11
Kërkesa për informacion
Kërkesën për informacion mund ta bëjë:
– Vetë personi ;
– Përfaqësuesi ligjor i pajisur me autorizimin përkatës;
– persona të tjerë të cilët megjithëse nuk kanë interes të drejtpërdrejtë, provojnë se kanë një interes të ligjshëm për të marrë dijeni në lidhje me këto të dhëna dhe që përputhet me qëllimin e grumbullimit të këtyre të dhënave;
– Prindi ose kujdestari kur :
a. Fëmija nuk ka zotësi të plotë për të vepruar
b. Prindi është duke vepruar në interes të fëmijës.
Përgjigja në çdo rast dërgohet në adresën e kërkuar nga vetë kërkuesi.

Neni 12
Masat për sigurinë e të dhënave
Spitalit Amerikan merr masa organizative dhe teknike të përshtatshme për të mbrojtur të dhënat personale nga shkatërrime të paligjshme, aksidentale, humbje aksidentale, për të mbrojtur aksesin ose përhapjen nga persona të paautorizuar, veçanërisht kur përpunimi i të dhënave bëhet në rrjet, si dhe nga çdo formë tjetër e paligjshme përpunimi.
Spitali merr këto masa të veçanta sigurie:
a) Përcakton funksionet ndërmjet njësive organizative dhe operatorëve për përdorimin e të dhënave;
b) Përdorimi i të dhënave bëhet me urdhër të njësive organizative ose të operatorëve të autorizuar;
c) Udhëzojnë operatorët, pa përjashtim, për detyrimet që kanë, në përputhje me ligjin përmbrojtjen e të dhënave personale dhe rregulloret e brendshme për mbrojtjen e të dhënave, përfshirë edhe rregulloret për sigurinë e të dhënave;
d) Aksesi në të dhënat dhe programet, bëhet vetëm nga personat e autorizuar, ndalojnë hyrjen në mjetet e arkivimit dhe përdorimin e tyre nga persona të paautorizuar;
e) Vënia në punë e pajisjeve të përpunimit të të dhënave bëhet vetëm nga personat e autorizuar dhe çdo mjet sigurohet me masa parandaluese ndaj vënies së autorizuar në punë;
f) Regjistrojnë dhe dokumentojnë modifikimet, korrigjimet, fshirjet, transmetimet, përditësimet, etj.
g) Sa herë që punonjësit e Spitalit Amerikan largohen nga vendi i tyre i punës, ata duhet të mbyllin kompjuterat e tyre, dollapët, kasafortat dhe zyrën, në të cilat janë ruajtur të dhënat personale ;
h) Nuk duhet të largohen nga mjediset e punës kur ka të dhëna të pambrojtura në tavolinë, dhe ndodhet në prani të personave të cilët nuk janë të punësuar nga ana e SA;
i) Nuk mbajnë në monitor të dhëna personale, kur është i pranishëm një person i pautorizuardhe sidomos në vende jo publike;
j) Nuk nxjerrin jashtë zyrës, në asnjë rast, kompjutera, laptop, flesh apo pajisje të tjera që përmbajnë të dhëna personale dhe nuk duhet ti lënë ato në vende të pasigurta, pa u siguruar për fshirjen apo shkatërrimin e të dhënave;
k) Të dhënat të mbrohen duke verifikuar identitetin e përdoruesit dhe duke i lejuar akses vetëm individëve të autorizuar.
l) Udhëzimet për përdorimin e kompjuterit, duhet të ruhen në mënyrë të tillë që ato të mos jenë të aksesueshme nga persona të paautorizuar;
m) Kryejnë vazhdimisht procedurën e hyrjes dhe daljes duke përdorur fjalëkalime personale në fillim dhe në mbarim të aksesit të tyre në të dhënat e mbrojtura, të ruajtura në bazat e të dhënave të Spitalit Amerikan;
n) Njohja dhe regjistrimi i punonjesve dhe i përdoruesve kryhet me përdorimin e fjalëkalimeve për hyrjen në sistemin e të dhënave. Fjalëkalimet cilësohen sekrete dhe janë vetjake;
o) Në dokumente që përmbajnë të dhëna të mbrojtura, duhet të sigurojnë shkatërrimin e materialeve ndihmëse, (p.sh. provat apo shkresat, matricat, llogaritjet, diagrame dhe skica) të përdorura ose të prodhuara për krijimin e dokumentit;
p) Të dhënat e dokumentuara nuk përdoren për qëllime të tjera, që nuk janë në përputhje me qëllimin e grumbullimit.
q) Ndalohet njohja ose çdo përpunim i të dhënave të regjistruara në dosje për një qëllim të ndryshëm nga e drejta për të hedhur të dhëna. Përjashtohet nga ky rregull rasti kur të dhënat përdoren për parandalimin ose ndjekjen e një vepre penale.
r) Ruajnë dokumentacionin e të dhënave për aq kohë sa është i nevojshëm për qëllimin, për të cilin është grumbulluar.
s) Niveli i sigurisë duhet të jetë i përshtatshëm me natyrën e përpunimit të të dhënave personale.
t) Respektojnë aktet e tjera ligjore dhe nënligjore që përcaktojnë se si duhet të përdoren të dhënat personale.

Neni 13
Mbrojtja e ambjenteve
Ambientet në të cilat do të përpunohen të dhënat personale duhet të mbrohen nga masa organizative, fizike dhe teknike që të parandalojnë aksesin e personave të paautorizuar në mjediset dhe aparaturat me të cilat do të përpunohen të dhënat personale.
Zbatimi i masave të sigurimit duhet të bëhet në përputhje me nivelin e sigurisë së të dhënave dhe informacionit të administruar, si dhe treguesit e nivelit të rrezikut që mund të vijë nga ekspozimi i paautorizuar i informacionit të ruajtur.
Në ambientet ku përpunohen të dhëna personale zbatohen këto masa sigurie:

  • Ndalohet hyrja e personave të paautorizuar.
  • Personat që futen në këto ambjete duhet të pajisen me autorizimin ërkatës, e percaktuar Lista Emerore
  • Ambientet e hyrjes, survejohen me kamera gjatë 24 orëve.
  • Veç masave dhe sistemeve të tjera të mbrojtjes, vendosen pajisje dhe sisteme të sigurimit elektronik (sisteme sinjalizimi, telekamera, etj).
  • Ambientet pajisen me dollap hekuri, të sigurta për mbrojtjen e dosjeve nga dëmtimi i tyre, me kasaforta e brava automatike me çelësa dhe drynë të veçantë nga ata të përdorimit të zakonshëm dhe vulosen me dyllë ose plastelinë.
  • Dyert të jenë të blinduara dhe dritaret të përforcohen me shufra hekuri.
  • Sigurohet mbikëqyrje e vazhdueshme, ditën dhe natën me roje fizike

Neni 14
Mbrojtja e pajisjeve elektronike
Pajisjet elektronike për përpunimin e të dhënave dhe informacionve në Spitalin Amerikan përdoren vetëm për kryerjen e detyrave të përcaktuara në rregullore. Këto pajisje përdoren vetëm nga punonjës të Spitalit Amerikan të trajnuar më parë për përdorimin e tyre. Për çdo gabim apo defekt në sistemet/databaset e Spitalit Amerikan njoftohet administratori i sistemit, i cili mbi bazën e kërkesës bën rregullimin përkatës. Shumë nga aplikimet dhe sistemet kompjuterike janë të mbrojtura me një fjalëkalim. Për arsye sigurie, këto fjalëkalime herë pas here duhet të ndryshohen (çdo 3 muaj ose çdo 6 muaj). Disa rregulla mbi përdorimin dhe vendosjen e fjalëkalimeve:

Neni 15
Monitorimi dhe regjistrimi i aksesit për të dhënat personale
Hyrja tek të dhënat dhe informacionet u nënshtrohet normave të veçanta të sigurisë për ruajtjen e paprekshmërisë dhe për azhurnimin e tyre. Sistemi është i ndërtuar në mënyrë të tillë që vërteton identitetin e përdoruesit. Kjo kërkon që serveri qendror të njohë çdo operator terminalist dhe çdo përdorues nëpërmjet programeve të veçanta. Ky sistem mundëson identifikimin e vazhdueshëm të përdoruesit në çdo kohë, në një terminal të caktuar, vendin e punës ose pajisje të tjera për periudhën për të cilën të dhënat specifike janë ruajtur.
Përdoruesit duhet të njihen me llojin e të dhënave në regjistrimet e përditshme dhe kohën e ruajtjes së këtyre regjistrimeve.

Neni 16
Mbrojtja e dokumentave
Dokumentat dhe mjetet e tjera të komunikimit në të cilat mbahen të dhëna personale i nesnshtrohen një niveli të caktuar kofidencialiteti. Sekretimi dhe niveli i kofidencialitetit përcaktohet në përputhje me aktet normative në fuqi.

Neni 17
Masat administrative
Çdo punonjës i Spitalit Amerikan i cili shkel detyrën për të mbrojtur të dhënat personale është përgjegjës për thyerje të disiplinës, rregullave, dhe detyrimeve në veprimtarinë e punës së tij. Në qoftë se veprimet e tyre nuk përbëjnë vepër penale ndaj tyre merren masa administrative dhe disiplinore sipas akteve normative në fuqi.

Neni 18
Mbikëqyrja e masave dhe procedurave mbrojtëse
Mbikëqyrja e implementimit të rregullave për mbrojtjen e të dhënave personale për respektimin normave të sigurisë, për mbrojtjen e të dhënave të automatizuara kundër prishjes së tyre aksidentale ose të paautorizuar, si dhe kundër hyrjes, ndryshimit dhe përhapjes së paautorizuar të tyre realizohet nga personat përgjegjës për mbikëqyrjen dhe mbrojtjen e të dhënave respektive.

Neni 19
Konfidencialiteti për përpunimin e të dhënave
Çdo punonjës i Spitalit Amerikan që përpunon të dhëna apo vihet në dijeni me të dhënat e përpunuara nuk mund ti bëjë të njohur përmbajtjen e këtyre të dhënave personave të tjerë. Ai detyrohet të ruajë konfidencialitetin dhe besueshmërinë edhe pas përfundimit të funksionit.