Personas datu apstrādes vadlīnijas
1.
Lietotie termini
2.
Mērķis un uzdevumi
2.1.
Mērķis.
2.2.
Uzdevumi.
3.
Klientu kā datu subjektu tiesību realizācija
3.1.
Sabiedrības pienākums nodrošināt Klientu tiesību
īstenošanu un saziņu.
3.2.
Bezmaksas saziņa un darbības, ko Sabiedrība īsteno
saskaņā ar Regulu.
3.3.
Klienta kā datu subjekta pieprasījums.
3.4.
Informācijas sniegšana Klientam par datu apstrādi
3.5.
Atteikums sniegt klientam informāciju.
3.6.
Klientam ir tiesības piekļūt tikai saviem personas
datiem.
3.7.
Izvērtējums pirms atbildes uz pieprasījumu.
3.8.
Pieprasījuma izskatīšanas termiņi.
3.9.
Piekļuves tiesību ierobežojums attiecībā uz
dokumentiem.
3.10.
Datu labošana.
3.11.
Fakti, attiecībā uz kuriem var prasīt datu labošanu.
3.12.
Datu dzēšana.
4.
Komerciālo paziņojumu sūtīšana Klientam
4.1.
Tiesiskais pamats.
4.2.
Komerciālu paziņojumu sūtīšana uz klienta – fiziskas
personas – elektroniskā pasta adresi.
4.3.
Komerciālu paziņojumu sūtīšana uz klienta – juridiskās
personas – elektroniskā pasta adresi.
4.4.
Komerciāls paziņojums.
4.5.
Profesionālie noteikumi.
4.6.
Iespēja atteikties no turpmāku komerciālu paziņojumu
saņemšanas.
5.
Tehniskie un organizatoriskie pasākumi Klientu datu apstrādē
5.1.
Klienta datu aizsardzība.
5.2.
Klienta datu apstrāde.
|
Amats |
Vārds, Uzvārds |
Datums |
Paraksts |
Apstiprināja: |
SIA “AZETA” valdes priekšsēdētājs |
Juste Levčenkaite |
25.04.2019 |
|
Izmaiņas
vadlīnijās izstrādā jurists un apstiprina SIA “AZETA” valdes priekšsēdētājs.
Izmaiņas:
1.1.1.1 Versija |
Datums |
Izmaiņas |
1.0 |
25.04.2019 |
Sākotnēja versija |
|
|
|
|
|
|
|
|
|
SVARĪGI: Tikai
dokumenta elektroniskā versija tiek uzskatīta par aktuālu. Katrai SIA “AZETA”
amatpersonai, darbiniekam, pilnvarotajai personai un pakalpojumu
sniedzējam (fiziskai personai / pašnodarbinātajam) pirms dokumenta lietošanas
jāpārliecinās, ka viņa rīcībā ir dokumenta aktuālā versija.
1.
LIETOTIE TERMINI
o
Klients (datu
subjekts) – identificēts vai identificējams Sabiedrību klients (t.sk.
potenciālais klients), kurš ir fiziska persona un kura datus Sabiedrība
apstrādā;
o
Informācija – par
informāciju tiek uzskatīta jebkāda informācija, tai skaitā konfidenciāla
informācija un personas dati, kas ietverta jebkādā formā, tai skaitā:
§ dokumenti,
piezīmes, skices, uzmetumi, rīkojumi;
§ fotouzņēmumi,
videoieraksti;
§ audioieraksti,
mutvārdos izteiktas ziņas;
o
Personas dati –
jebkāda informācija, kas attiecas uz identificējamu vai identificētu fizisko
personu, tajā̄ skaitā, bet ne tikai, vārds, uzvārds, personas kods, dzīvesvietas,
īpašuma adrese, darba vieta, tālruņa numurs, ģimenes stāvoklis, e-pasts, kā
arī sensitīvie dati – informācija saistībā ar personas veselības stāvokli,
reliģisko, filozofisko pārliecību, dalību arodbiedrībās. Lai noteiktu, vai
persona ir identificējama, tiek ņemti vērā̄ jebkādi līdzekli, ko jebkura trešā̄
persona teorētiski varētu izmantot, lai identificētu fizisko personu;
o
Sabiedrība – SIA
“AZETA” , reģistrācijas numurs: 40203024732, adrese: Cēsu iela 31 k-1, Rīga,
LV-1012, tālr. +371 8000 6960, e-pasts:[email protected] , kas ir Pārzinis;
o
Pārzinis –
Sabiedrība. Pārziņa kontaktinformācija: Cēsu iela 31 k-1, Rīga, LV-1012, tālr.
+371 8000 6960, e-pasts: [email protected];
o
Regula –
Eiropas Parlamenta un Padomes regula (ES) 2016/679 par fizisku personu
aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar
ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).
2.1.
Mērķis
Sabiedrības pakalpojumu sniegšanai ir nepieciešams
apstrādāt Klientu Personas datus. Lai nodrošinātu godprātīgu, likumīgu un
pārredzamu Personas datus apstrādi Sabiedrībā, ir izstrādāta Klientu personas
datu apstrādes vadlīnijas, kurās izskaidrotas Klientu kā datu subjekta tiesības
un Pārziņa pienākumi saistībā ar Klientu Personas datu apstrādi.
Nodrošināt likumīgu Klientu
Personas datu apstrādi.
3. KLIENTU KĀ DATU SUBJEKTU
TIESĪBU REALIZĀCIJA
3.1.
Sabiedrības pienākums nodrošināt klientu tiesību īstenošanu
un saziņu
Sabiedrībai
ir jānodrošina iespēja Klientam kā datu subjektam realizēt:
3.1.1.
Regulas 15. – 22. pantā noteiktās tiesības, t.sk.:
·
tiesības uz informāciju,
·
tiesības piekļūt saviem datiem,
·
tiesības labot datus,
·
tiesības tikt aizmirstam, proti, tiesības uz Klienta
personas datu neatgriezenisku dzēšanu, lai tie vairāk nebūtu Sabiedrības
rīcībā,
·
tiesības ierobežot apstrādi,
·
tiesības uz datu pārnesamību.
3.1.2.
Regulas 14. un 34. pantā minēto saziņu:
·
attiecībā uz apstrādi, kā arī:
·
ziņošanu par datu labošanu vai dzēšanu, vai
·
apstrādes ierobežošanu, vai
·
par datu aizsardzības pārkāpumu.
3.2.
Bezmaksas saziņa un darbības, ko sabiedrība īsteno
saskaņā ar regulu
Visa saziņa un visas darbības, ko Sabiedrība īsteno
saskaņā ar Regulu un saistībā ar Klienta pieprasījumu īstenošanu, jāveic bez
maksas.
3.3.
Klienta kā datu subjekta pieprasījums
Klienta kā datu subjekta
pieprasījumam (turpmāk – Pieprasījumam) ir jābūt rakstveida formā vai tādā
formā, kas saskaņā ar normatīvajiem aktiem var tikt uzskatīta par rakstveida
formu, piemēram, elektroniskais dokuments, kas parakstīts ar drošu elektronisko
parakstu. Sabiedrība nevar pieprasīt Klientam izmantot noteiktas formas
Pieprasījumu, bet tā var izstrādāt Pieprasījuma formu, lai palīdzētu Klientam
iesniegt noteiktu informāciju, kura nepieciešama, lai Sabiedrība varētu
efektīvāk nodrošināt Pieprasījuma izpildi.
3.4.
Informācijas sniegšana klientam par datu apstrādi
Saskaņā ar Regulas 12. pantu
Sabiedrība sniedz Klientam informāciju par datu apstrādi: 1) kodolīgā,
pārredzamā un saprotamā, viegli pieejamā veidā (rakstiski, elektroniski un pēc
Klienta pieprasījuma arī mutiski); 2) izmantojot skaidru un vienkāršu valodu,
īpaši attiecībā uz informāciju, kas sniedzama bērniem; 3) bez maksas, izņemot
gadījumus, ja Klienta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi.
3.5.
Atteikums sniegt klientam informāciju
Sabiedrība nesniedz Klientam
informāciju par tās veikto Klienta datu apstrādi, ja:
3.5.1.
Ja informācija jau ir klienta rīcībā, piemēram, ar
klientu tiek slēgts papildus pakalpojumu līgums un jau spēkā esoša līguma
noslēgšanas brīdī visa informācija ir tikusi sniegta, proti, ir norādīta spēkā
esošajā līgumā, piemēram, sabiedrības nosaukums, juridiskā adrese, mērķis u.c.
regulas 13.pantā minētā informācija. ja ir konstatējams un pierādāms, ka
klienta rīcībā ir daļēja informācija, tad būtu jāsniedz informācija tikai par
trūkstošajām informācijas vienībām;
3.5.2.
Ja šādas informācijas sniegšana nav iespējama vai tā
prasītu nesamērīgi lielas pūles;
3.5.3.
Ja informācijas iegūšana vai izpaušana ir skaidri
paredzēta es vai Latvijas normatīvajos aktos, piemēram: likuma “par
grāmatvedību” 7.panta pirmā daļa, kas nosaka, ka sabiedrības grāmatvedības
reģistros izdarāmi ieraksti pamatojoties uz attaisnojuma dokumentiem, kuros
darījumos ar fiziskām personām norāda to vārdu un uzvārdu, personas kodu (ja
personai tāds piešķirts), personas norādīto adresi vai, ja tāda nav norādīta,
deklarētās dzīvesvietas adresi; ministru kabineta 2005.gada 8.marta
noteikumu nr.175 “recepšu veidlapu izgatavošanas un uzglabāšanas, kā
arī recepšu izrakstīšanas un uzglabāšanas noteikumi” 49.punktā minētajā
gadījumā.
3.6.
Klientam ir tiesības piekļūt tikai saviem personas
datiem
Klientam ir tiesības piekļūt
tikai saviem personas datiem, bet ne informācijai, kas attiecas uz citām
fiziskām personām (ja vien konkrētais Klients neīsteno datu subjekta tiesības
citas fiziskās personas vārdā).
3.7.
Izvērtējums pirms atbildes uz pieprasījumu
Pirms Pārzinis atbild uz
Pieprasījumu, Pārzinis izvērtē vai informācija, ko Pārzinis apstrādā, tai
skaitā glabā, ir personas dati, un kuras personas dati tie ir. Pieprasījuma
izskatīšanas kārtība noteikta Sabiedrības Datu subjekta pieprasījuma procedūrā.
3.8.
Pieprasījuma izskatīšanas termiņi
Pārzinis izskata Pieprasījumu
1 (viena) mēneša laikā no dienas, kad ir saņemts Pieprasījums. Ja Klients
pieprasa informāciju par videonovērošanu, Klientam pēc Pārziņa pieprasījuma ir
pienākums sniegt informāciju, kas nepieciešama Klienta un pieprasīto personas
datu identificēšanai. Ja Pārzinis pieprasījis papildus informāciju, tas sniedz
Klientam pieprasīto informāciju 1 (viena) mēneša laikā no brīža, kad tas ir
saņēmis no Klienta pieprasīto papildus informāciju. Pārzinis var atteikt
Informācijas izsniegšanu, ja Klients atsakās sniegt Pārzinim tā pieprasīto
informāciju attiecībā par videonovērošanu.
3.9.
Piekļuves tiesību ierobežojums attiecībā uz
dokumentiem
Klienta kā datu subjekta
piekļuves tiesības ir realizējamas attiecībā uz datiem, nevis uz dokumentiem,
līdz ar to Klientam nav tiesību uzstāt uz dokumentu vai dokumentu kopiju
izsniegšanu, izņemot gadījumus, ja Klients spēj pamatot īpašu nepieciešamību
saņemt dokumenta kopiju, piemēram, ja tikai no dokumenta satura un formas
objektīvi var izsecināt datu nozīmību. Tāpat Klientam nav tiesību pieprasīt
piekļūt konkrētiem failiem, jo pastāv risks, ka Klients savu datu subjekta
tiesību realizācijas laikā iegūs citu Sabiedrības Klientu personas datus.
Klientam ir tiesības pieprasīt
savu datu labošanu, savu Pieprasījumu pamatojot. Sabiedrība, saņemot Klienta
Pieprasījumu, izvērtē tā pamatotību. Ja Pārzinim rodas šaubas par Klienta
Pieprasījuma pamatotību, Pārzinim ir tiesības lūgt Klientam iesniegt papildu pierādījumus,
kas pamato pieprasījumu labot datus. Normālos apstākļos Pārzinis nelūgs papildu
pierādījumus par tādu datu labošanu, kas ir pilnībā atkarīgi no Klienta
ieskata, piemēram, Klienta dzīvesvieta, Klienta e-pasta adrese, Klienta tālruņa
numurs.
3.11.
Fakti, attiecībā uz kuriem var prasīt datu labošanu
Datu labošanu var prasīt tikai
attiecībā uz faktiem, ko sniedzis Klients vai ko Pārzinis likumīgi ieguvis
pats, piemēram, vārdi, nosaukumi, u.tml. Attiecībā uz subjektīvu vērtējumu
Klients var tikai lūgt labot faktu par šāda vērtējuma esamību, nevis paša
vērtējuma saturu.
Klientam ir tiesības
pieprasīt, lai Sabiedrība bez nepamatotas kavēšanās dzēstu Klienta personas
datus, un Sabiedrība bez nepamatotas kavēšanās dzēš personas datus, ja pastāv
viens no šādiem nosacījumiem:
·
Personas dati vairs nav nepieciešami saistībā ar
nolūkiem, kādos tie tika vākti vai citādi apstrādāti;
·
Klients atsauc savu piekrišanu, uz kuras pamata veikta
apstrāde, un ja nav cita likumīga pamata apstrādei;
·
Klients iebilst pret apstrādi saskaņā ar Regulas
21.panta 2.punktu, proti, Klientam ir tiesības jebkurā laikā iebilst pret savu
personas datu apstrādi šādas tirgvedības vajadzībām, kas ietver profilēšanu,
ciktāl tā ir saistīta ar šādu tiešo tirgvedību;
·
Personas dati ir apstrādāti nelikumīgi;
·
Personas dati ir jādzēš, lai nodrošinātu, ka tiek
pildīts juridisks pienākums, kas noteikts Savienības vai dalībvalsts
normatīvajos aktos, kuri ir piemērojami Sabiedrībai.
4.
KOMERCIĀLO PAZIŅOJUMU SŪTĪŠANA KLIENTAM
Komerciālu paziņojumu
nosūtīšanas tiesiskais pamats ir noteikts Informācijas sabiedrības pakalpojumu
likuma 9.pantā.
4.2.
Komerciālu paziņojumu sūtīšana uz klienta – fiziskas
personas – elektroniskā pasta adresi
Komerciālu paziņojumu uz
klienta – fiziskas personas – elektroniskā pasta adresi ir atļauts sūtīt, ja
tiek iegūta Klienta brīva un nepārprotama piekrišana.
4.3.
Komerciālu paziņojumu sūtīšana uz klienta – juridiskās
personas – elektroniskā pasta adresi
Savukārt komerciālu paziņojumu
uz klienta – juridiskās personas – elektroniskā pasta adresi ir atļauts sūtīt
bez iepriekš saņemtas piekrišanas, taču ievērojot Informācijas sabiedrības
pakalpojumu likuma 9.panta ceturto daļu, tas ir, ja a) tiek lietota derīga
elektroniskā pasta adrese, uz kuru komerciālā paziņojuma saņēmējs varētu sūtīt
pieprasījumu pārtraukt komunikāciju, un b) ja šī atteikšanās tiek ņemta vērā.
Sabiedrība nodrošina, ka tās
komerciālais paziņojums:
·
ir skaidri atpazīstams kā komerciāls paziņojums
(komerciāls paziņojums ir jebkāds paziņojums elektroniskā veidā, kas
paredzēts tiešai vai netiešai Sabiedrības preču vai pakalpojumu reklamēšanai
vai arī tāda Sabiedrības tēla reklamēšanai, kas veic komercdarbību,
saimniecisku darbību vai reglamentēto profesionālo darbību. Par komerciālo
paziņojumu neuzskata informāciju, kas dod iespēju tieši piekļūt vispārējai
informācijai par Sabiedrību kā pakalpojuma sniedzēju un tā darbību);
·
ir skaidri nosakāma persona, kuras vārdā šis
komerciālais paziņojums izplatīts;
·
ir precīzi formulēts piedāvājuma saturs un pakalpojuma
saņemšanas noteikumi;
·
atlaides, prēmijas un balvas ir skaidri atpazīstamas,
un to saņemšanas noteikumi ir skaidri izklāstīti;
·
reklāmas sacensības, loterijas vai spēles ir skaidri
atpazīstamas, un attiecīgie dalības noteikumi ir viegli pieejami, kā arī
skaidri un nepārprotami izklāstīti;
·
pakalpojuma saņēmējam (Sabiedrības Klientam) ir dota
iespēja atteikties no turpmāku komerciālu paziņojumu saņemšanas.
Sabiedrība, sūtot komerciālus
paziņojumus, ievēro profesionālos noteikumus, īpaši attiecībā uz neatkarību,
cieņu un profesijas godu, profesionālo noslēpumu un godīgumu pret Klientiem.
4.6.
Iespēja atteikties no turpmāku komerciālu paziņojumu
saņemšanas
Sabiedrība kā komerciāla
paziņojuma sūtītājs nodrošina Klientam kā komerciāla paziņojuma saņēmējam
iespēju atteikties no turpmāku komerciālu paziņojumu saņemšanas. Šis pienākums
ir izpildīts, ja a) komerciālajā paziņojumā ir norādīts, kādā veidā komerciālā
paziņojuma saņēmējs var atteikties no turpmāku komerciālu paziņojumu
saņemšanas, b) norādītajā veidā ir iespējams atteikties no turpmāku komerciālu
paziņojumu saņemšanas un c) šī atteikšanās tiek ņemta vērā. Pārzinis nodrošina
iespēju atteikties no turpmāku komerciālu paziņojumu saņemšanas.
5.
TEHNISKIE UN ORGANIZATORISKIE PASĀKUMI KLIENTU DATU APSTRĀDĒ
Pārzinis lieto nepieciešamos
tehniskos un organizatoriskos līdzekļus, lai aizsargātu Klienta – fiziskas
personas – datus un novērstu to nelikumīgu apstrādi.
Apstrādājot Klienta – fiziskas
personas – datus, Pārzinis nodrošina:
5.2.1.
Pilnvarotu personu piekļūšanu pie:
tehniskajiem
resursiem, kas tiek izmantoti personu datu apstrādei un aizsardzībai, un personas
datiem;
5.2.2.
To, ka informācijas nesējus, kuros ir personas dati,
reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un citādi apstrādā
sabiedrības tam pilnvarotas personas;
5.2.3.
To, ka personas datu vākšanu, ierakstīšanu, ierakstīto
personas datu sakārtošanu, saglabāšanu, kopēšanu, pārrakstīšanu, pārveidošanu,
labošanu, dzēšanu, iznīcināšanu, arhivēšanu, rezerves kopēšanu, bloķēšanu veic
sabiedrības tam pilnvarotas personas, kā arī nodrošina iespēju noteikt personas
datus, kuri bijuši apstrādāti bez attiecīgā pilnvarojuma, kā arī apstrādes
laiku un personu, kas to veikusi;
5.2.4.
Nododot un/vai saņemot personas datus, pārzinis
nodrošina informācijas saglabāšanu par:
·
personas datu nodošanas un/vai saņemšanas laiku;
·
personu (pārziņa darbinieku, norādot vārdu, uzvārdu un
amatu), kas nodevusi un saņēmusi personas datus;
·
personas datiem (norādot personas datu veidus,
piemēram, vārds, uzvārds, personas kods, adrese u.tt.), kas tikuši nodoti
un/vai saņemti.