SIA “THINKING ORGANISATIONS” PERSONAS DATU APSTRĀDES POLITIKA

1. POLITIKAS GALVENIE TERMINI

1.1. ADTAĪ – Lietuvas Republikas Fizisko personu datu aizsardzības likums.

1.2. Atbildīgais darbinieks – Datu pārziņa darbinieks, kuram atbilstoši ieņemtajam amatam un darba pienākumu raksturam ir tiesības veikt noteiktas ar datu apstrādi saistītas funkcijas.

1.3. Pārstāvis – persona, kas pārstāv Datu pārziņa partnerus (pakalpojumu sniedzējus), gan fiziskas, gan juridiskas personas.

1.4. VDAR – Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un par šo datu brīvu apriti, ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).

1.5. Interesents – fiziska persona, kas interesējas par Datu pārziņa sniegtajiem pakalpojumiem vai vēlas sazināties ar Datu pārzini citu iemeslu dēļ.

1.6. Datu pārzinis – SIA “Thinking Organisations”, reģistrācijas numurs 303342072, juridiskā adrese – Genio g. 15-1, LT-00169, Palanga.

1.7. Darbinieks – persona, kas noslēgusi darba vai līdzīga rakstura līgumu ar Datu pārzini.

1.8. Dati / Personas dati – jebkāda informācija par fizisku personu, kuras identitāte ir noteikta vai kuru var tieši vai netieši identificēt, jo īpaši izmantojot identifikatoru, piemēram, vārdu un uzvārdu, personas identifikācijas numuru, atrašanās vietas datus, interneta identifikatoru vai vienu vai vairākas šīs fiziskās personas fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes pazīmes.

1.9. Datu saņēmējs – fiziska vai juridiska persona, valsts iestāde, aģentūra vai cita organizācija, kurai tiek izpausti personas dati neatkarīgi no tā, vai tā ir trešā persona vai nē.

1.10. Datu subjekts – Pārstāvis, Interesents, Klients, Kandidāts, Zvanītāji pa tālruni vai jebkura cita fiziska persona, kuras personas datus apstrādā Datu pārzinis.

1.11. Datu apstrāde – jebkura ar personas datiem veikta darbība vai darbību kopums, kas tiek veikts automatizēti vai neautomatizēti, piemēram: vākšana, reģistrēšana, kārtošana, glabāšana, pielāgošana vai mainīšana, reproducēšana, meklēšana, izmantošana, izpaušana pārsūtot, izplatot vai citādi darot tos pieejamus, sakārtošana vai apvienošana, bloķēšana, dzēšana vai iznīcināšana.

1.12. Datu apstrādātājs – fiziska vai juridiska persona, valsts iestāde, aģentūra vai cita organizācija, kas apstrādā personas datus Datu pārziņa vārdā vai uzdevumā.

1.13. Kandidāts – persona, kas piedalās vai vēlas piedalīties personāla atlases procesā, kuru veic Datu pārzinis.

1.14. Klients – persona, kas noslēgusi līgumu ar Datu pārzini par Platformas pakalpojumu izmantošanu.

1.15. Datoriekārtas – datori, termināļi, serveri, datu nesēji, citas Datu pārzinim likumīgi (īpašumā, nomā vai citādi) piederošas datoriekārtas un tajās esošā programmatūra, tostarp e-pasta konti, tiešsaistes saziņas programmas, mākoņpakalpojumi, interneta piekļuve.

1.16. Politika – šī Personas datu apstrādes politika.

1.17. Platforma – INLOCUS platforma (atrodama www.app.inlocus.com), kur reģistrētiem klientiem un viņu darbiniekiem vai kandidātiem personāla atlases procesā (vai, ja Datu pārzinis piešķir ierobežotu laiku pakalpojumu bezmaksas izmantošanai – arī bez maksas) tiek nodrošināta iespēja savās izvēlētajās ierīcēs aizpildīt testus un anketas personības īpašību novērtēšanai.

1.18. Uzraudzības iestāde – Valsts datu inspekcija.

1.19. Profilēšana – jebkāda veida automatizēta personas datu apstrāde, kad personas dati tiek izmantoti, lai novērtētu noteiktus fiziskas personas aspektus, jo īpaši analizētu vai prognozētu ar šo personu saistītus darba rezultātus, ekonomisko situāciju, veselību, intereses, uzvedību, atrašanās vietu vai pārvietošanos.

1.20. Trešā persona – fiziska vai juridiska persona, valsts iestāde, aģentūra vai cita institūcija, kas nav datu subjekts, datu pārzinis, datu apstrādātājs vai persona, kas apstrādā personas datus tieši Datu pārziņa vai apstrādātāja uzdevumā.

1.21. Zvanītājs pa tālruni – persona, kas zvana uz Datu pārziņa publiski norādīto tālruņa numuru, lai saņemtu informāciju par pakalpojumiem un/vai citiem jautājumiem.

1.22. Citi šajā Politikā izmantotie termini atbilst VDAR un ADTAĪ definētajiem jēdzieniem.

2. VISPĀRĪGIE NOTEIKUMI

2.1. Šīs Politikas mērķis ir regulēt personas datu apstrādes procedūras, datu subjektu tiesību īstenošanu, kā arī tehniskos un organizatoriskos pasākumus, kas paredzēti personas datu aizsardzībai saskaņā ar VDAR, ADTAĪ un citiem tiesību aktiem, kas regulē personas datu aizsardzību.

2.2. Datu pārzinis nodrošina atbilstību šādiem galvenajiem personas datu apstrādes principiem:

2.2.1. Personas dati tiek apstrādāti likumīgi, godprātīgi un caurskatāmi attiecībā uz datu subjektu (likumības, godprātības un caurskatāmības princips);

2.2.2. Personas dati tiek vākti konkrētiem, skaidri definētiem un likumīgiem mērķiem, un netiek turpmāk apstrādāti veidā, kas nav savienojams ar šiem mērķiem; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskiem vai vēsturiskiem pētījumiem vai statistikas vajadzībām netiek uzskatīta par nesavienojamu ar sākotnējiem mērķiem (nolūka ierobežošanas princips);

2.2.3. Personas datiem jābūt atbilstošiem, būtiskiem un ierobežotiem līdz minimumam attiecībā uz nolūkiem, kādiem tie tiek apstrādāti (datu minimizācijas princips);

2.2.4. Personas datiem jābūt precīziem un, ja nepieciešams, atjauninātiem; jāveic visi saprātīgie pasākumi, lai nodrošinātu, ka neprecīzi dati tiek nekavējoties dzēsti vai laboti, ņemot vērā apstrādes mērķus (precizitātes princips);

2.2.5. Personas dati jāsaglabā formā, kas ļauj identificēt datu subjektus ne ilgāk, kā tas nepieciešams apstrādes nolūkiem; datus var glabāt ilgāk, ja tie tiks apstrādāti tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskos vai vēsturiskos pētījumos vai statistikas vajadzībām, ieviešot atbilstošus tehniskos un organizatoriskos pasākumus, lai aizsargātu datu subjektu tiesības un brīvības (glabāšanas ierobežojuma princips);

2.2.6. Personas dati jāapstrādā droši, piemērojot attiecīgus tehniskus un organizatoriskus pasākumus, lai nodrošinātu atbilstošu aizsardzību pret neatļautu vai nelikumīgu apstrādi, kā arī nejaušu zudumu, iznīcināšanu vai bojājumu (integritātes un konfidencialitātes princips);

2.2.7. Datu pārzinis ir atbildīgs par šo principu ievērošanu un spēj pierādīt atbilstību tiem (pārskatatbildības princips).

2.3. Dati tiek apstrādāti, pienācīgi informējot datu subjektus, ievērojot šīs Politikas un VDAR noteikumus.

2.4. Dati tiek glabāti šajā Politikā noteiktajos termiņos, kas var atšķirties atkarībā no personas datu veida. Glabāšana un dzēšana tiek veikta saskaņā ar šajā Politikā noteiktajām procedūrām.

2.5. Lai nodrošinātu pārskatatbildības principa atbilstību, Datu pārzinis ieceļ darbinieku, kurš ir atbildīgs par datu apstrādes darbību reģistra pareizu aizpildīšanu, reģistrējot apstrādes darbības Datu pārziņa atbildībā.

2.6. Piekļuve Datiem tiek piešķirta tikai Atbildīgajiem darbiniekiem un datu apstrādātājiem.

2.7. Datu apstrādātāja piekļuves tiesības Datiem tiek anulētas, kad tiek izbeigts ar Datu pārzini noslēgtais personas datu apstrādes līgums vai kad tas zaudē spēku.

2.8. Atbildīgie darbinieki ir pienākums:

2.8.1. Apstrādāt personas datus saskaņā ar Eiropas Savienības un Lietuvas Republikas tiesību aktiem, kā arī šo Politiku un tās pielikumiem;

2.8.2. Neizpaust, nenodot un nepieļaut piekļuvi datiem personām, kuras nav pilnvarotas apstrādāt Datus;

2.8.3. Nekavējoties ziņot Datu pārzinim par jebkuru aizdomīgu situāciju, kas var apdraudēt datu drošību.

2.9. Atbildīgais darbinieks zaudē tiesības apstrādāt Personas datus, kad beidzas viņa darba līgums ar Datu pārzini vai mainās viņa amata pienākumi un dati vairs nav nepieciešami darba funkciju veikšanai.

2.10. Dati tiek nodoti datu apstrādātājiem un datu saņēmējiem, ja to paredz tiesību akti vai līgumi, kas nodrošina šādu tiesību vai pienākumu.

2.11. Datu pārzinis var nodot personas datus pirmstiesas izmeklēšanas iestādei, prokuroram vai tiesai administratīvo, civilo vai krimināllietu ietvaros kā pierādījumus vai citos likumā paredzētos gadījumos.

3. DATU APSTRĀDES MĒRĶI UN APJOMS

3.1. Personas datu apstrādes mērķus nosaka Datu pārziņa vadītājs. Pirms pieņemt lēmumu par jaunu datu apstrādes mērķi, Datu pārziņa vadītājs konsultējas ar datu aizsardzības speciālistu un/vai par datu aizsardzību atbildīgo darbinieku.

3.2. Lai samazinātu Datu pārziņa apstrādājamo datu apjomu, katras struktūrvienības vadītājs vai viņa pilnvarots kompetents darbinieks reizi gadā veic struktūrvienības rīcībā esošo datu apstrādes pārskatīšanu, lai noteiktu, vai netiek apstrādāti dati, kas nav aprakstīti šajā Politikā, kā arī vai nav datu, kuri kļuvuši lieki vai kuru apstrādei vairs nav tiesiska pamata (piemēram, piekrišana, likuma prasība, leģitīmas intereses, līgums).

3.3. Identificējot liekus, neizmantotus datus vai datus, kuru apstrādei vairs nav tiesiska pamata, struktūrvienības vadītāji nekavējoties ziņo par tiem Uzņēmuma vadītājam un/vai datu aizsardzības speciālistam, izmantojot ierastās iekšējās saziņas metodes.

3.4. Saņemot struktūrvienības vadītāja ziņojumu par liekajiem datiem, Uzņēmuma vadītājs un/vai datu aizsardzības speciālists veic atbilstošus pasākumus, lai novērstu iespējamu neatbilstību Regulai un citiem tiesību aktiem, kā arī veic izmaiņas Uzņēmuma datu apstrādes darbību reģistrā.

 

4. DARBINIEKU DATU APSTRĀDE IEKŠĒJĀS ADMINISTRĒŠANAS NOLŪKOS

4.1. Iekšējās administrēšanas nolūkos Datu pārzinis apstrādā šādus Darbinieku personas datus:

4.1.1. Vārds;

4.1.2. Uzvārds;

4.1.3. Personas kods;

4.1.4. Dzīvesvietas adrese;

4.1.5. Dzimšanas datums;

4.1.6. Bankas konta numurs;

4.1.7. Darba samaksas apmērs;

4.1.8. Sociālās apdrošināšanas numurs;

4.1.9. Personas apliecinošu dokumentu dati;

4.1.10. Privātais tālruņa numurs;

4.1.11. E-pasta adrese;

4.1.12. Informācija par ģimenes stāvokli (ciktāl tas nepieciešams darba tiesisko attiecību noformēšanai un izpildei, piemēram, dzimšanas apliecības);

4.1.13. Izglītību apliecinoši dokumenti;

4.1.14. Dati par veselības stāvokli;

4.1.15. Cita informācija, kas nepieciešama saistībā ar darba tiesiskajām attiecībām.

4.2. Darbinieku dati tiek iegūti tieši no datu subjektiem, Lietuvas Republikas Finanšu ministrijas Valsts nodokļu inspekcijas (turpmāk – VMI) un Valsts sociālās apdrošināšanas fonda pārvaldes pie Sociālās aizsardzības un darba ministrijas (turpmāk – SODRA).

4.3. Darbinieku dati tiek sistemātiski apstrādāti neautomatizētā veidā īpaši marķētos sējumos un uzglabāti skapī, kā arī automatizēti – izmantojot grāmatvedības programmatūru.

4.4. Pastāvīgais Darbinieku datu saņēmējs ir VMI. Dati VMI tiek iesniegti caur Elektronisko apkalpošanas sistēmu (EDS).

4.5. Pastāvīgais Darbinieku datu saņēmējs ir SODRA. Dati SODRA tiek iesniegti caur Elektronisko apdrošinātāju apkalpošanas sistēmu (EDAS).

4.6. Citiem datu saņēmējiem Darbinieku dati var tikt nodoti tikai pēc viņu pieprasījuma, ja ir tiesisks nodošanas pamats, vai saņemot izpildei obligātu kompetentās iestādes rīkojumu (piemēram, tiesu izpildītājiem konkrētā izpildu lietā).

4.7. Darbinieki par viņu datu apstrādi tiek informēti, rakstiski iepazīstoties ar šo Politiku.

4.8. Darbinieku personas datu apstrādes pamati administrēšanas nolūkos ir: VDAR 6. panta 1. daļas b apakšpunkts (apstrāde nepieciešama līguma ar darbinieku izpildei), c apakšpunkts (apstrāde nepieciešama Datu pārzinim piemērojamo tiesisko pienākumu izpildei), f apakšpunkts (apstrāde nepieciešama Datu pārziņa leģitīmo interešu nodrošināšanai).

 

5. PERSONAS DATU APSTRĀDE DARBA KANDIDĀTU ATLASES NOLŪKOS

5.1. Datu pārzinis darba kandidātu atlases nolūkos apstrādā šādus Kandidātu iesniegtos personas datus:

5.1.1. Vārds, uzvārds;

5.1.2. Dzimšanas datums;

5.1.3. Tālruņa numurs;

5.1.4. E-pasta adrese;

5.1.5. Dzīvesvietas adrese;

5.1.6. Izglītība;

5.1.7. Iepriekšējā darba vieta;

5.1.8. Apgūtie kursi;

5.1.9. Svešvalodu prasmes;

5.1.10. Datorprasmes;

5.1.11. Rekomendācijas;

5.1.12. Citi dati, kurus Kandidāts brīvprātīgi norādījis savā dzīves aprakstā (CV) un/vai citos iesniegtajos dokumentos.

5.2. Atbilstoša Kandidātu informēšana tiek nodrošināta atkarībā no tā, kā tika iesniegts darba pieteikums:

5.2.1. Ja pieteikums iesniegts pa e-pastu vai aizpildot anketu portālā, kur publicēts Datu pārziņa sludinājums, Kandidātam uz e-pastu tiek nosūtīts automātisks paziņojums ar informāciju par viņa personas datu apstrādi. Alternatīva: iekļaut informāciju par datu apstrādi pašā Datu pārziņa sludinājumā;

5.2.2. Ja pieteikums tiek iesniegts klātienē, informācija par datu apstrādi jāsniedz pieteikumu pieņemošajam darbiniekam pieteikuma iesniegšanas brīdī.

5.3. Dati tiek iegūti tieši no Kandidātiem un netiek nodoti trešajām personām.

5.4. Ja Lietuvas Republikas tiesību akti nosaka papildu ierobežojumus attiecībā uz to, kādu informāciju par Kandidātiem drīkst apstrādāt, Datu pārzinis nodrošina, ka tiek apstrādāti tikai tie personas dati, kuru apstrāde ir atļauta.

5.5. Personas datu apstrādes pamati personāla atlases nolūkos ir: VDAR 6. panta 1. daļas a un b apakšpunkti (Kandidāta piekrišana, kas izteikta, iesniedzot savus datus, un uzskatāma par aktīvu piekrišanu apstrādei konkrētā personāla atlases procesa laikā (par kuru Kandidāts ir informēts) un/vai pieprasījums pirms līguma noslēgšanas).

 

6. PERSONAS DATU APSTRĀDE PIEPRASĪJUMU APSTRĀDES NOLŪKOS

6.1. Fizisko personu, tostarp Zvanītāju pa tālruni, personas datu apstrāde, kad tie sazinās ar Datu pārzini saistībā ar pakalpojumu sniegšanu un/vai citiem jautājumiem. Datu pārzinis apstrādā šādus Interesentu, tostarp Zvanītāju pa tālruni, personas datus:

6.1.1. Vārds;

6.1.2. Uzvārds;

6.1.3. Tālruņa numurs;

6.1.4. E-pasta adrese.

6.2. Datu subjektu personas dati, kas apstrādāti saziņas vai pieprasījumu kontekstā ar Datu pārzini, netiek nodoti trešajām personām.

6.3. Personas datu apstrādes tiesiskais pamats konsultāciju un pieprasījumu izskatīšanas nolūkos ir: VDAR 6. panta 1. daļas a apakšpunkts (datu subjekta piekrišana, kas izteikta, iesniedzot savus datus).

 

7. PERSONAS DATU APSTRĀDE SAISTĪBĀ AR INLOCUS PLATFORMAS UN INLOCUS SKOLOTĀJU PLATFORMAS PAKALPOJUMU SNIEGŠANU

7.1. Datu pārzinis apstrādā Klientu (vai viņu pārstāvju) un viņu norādīto darbinieku vai personu, kas piedalās personāla atlases procesā, personas datus. Ja dati tiek apstrādāti pēc Klienta norādījuma – viņa darbinieku vai atlases procesā iesaistīto personu dati, kurus apstrādā SIA „Thinking Organisations“, šī sabiedrība darbojas kā datu apstrādātājs. Citās situācijās, kad dati tiek apstrādāti līguma noslēgšanas un izpildes nolūkos, tie tiek apstrādāti kā Datu pārziņa dati. Tiek apstrādāti šādi dati:

Vārds;

Uzvārds;

Pārstāvētā persona (saikne ar pārstāvēto personu);

Darba vieta (tikai pārstāvjiem);

Tālruņa numurs;

E-pasta adrese;

Maksājumu dati (ieskaitot informāciju par maksātāja personas kodu, ja maksātājs to izvēlas norādīt);

Dati, kas sniegti, aizpildot anketas un testus.

7.2. Cita informācija, kas saistīta ar Platformas izmantošanu un tās apkalpošanas pakalpojumiem.

7.3. Dati tiek iegūti tieši no Klientiem, viņu darbiniekiem, atlases dalībniekiem vai viņu pārstāvjiem ar to piekrišanu, izpildot līgumu ar Klientu, un/vai saskaņā ar likumu, un nepieciešamības gadījumā tiek nodoti šādiem saņēmējiem:

7.3.1. VMI (Valsts nodokļu inspekcija);

7.3.2. SODRA (Valsts sociālās apdrošināšanas fonds);

7.3.3. Statistikas departaments;

7.3.4. Valsts uzņēmums Reģistru centrs;

7.3.5. Citas valsts, pašvaldību iestādes vai privātas juridiskas un fiziskas personas (piemēram, klienta piegādātāji, pircēji, bankas, notāri, revidenti), kurām ir likumīgas tiesības pieprasīt informāciju vai kurām dati tiek sniegti pēc klienta norādījuma.

7.4. Datu pārzinis var nodot Klientu un citu datu subjektu personas datus arī šajā Politikā neminētiem datu apstrādātājiem, kuri sniedz pakalpojumus (veic darbus) Datu pārzinim un apstrādā personas datus Datu pārziņa vārdā. Datu apstrādātājiem ir tiesības apstrādāt personas datus tikai saskaņā ar Datu pārziņa norādījumiem un tikai tajā apjomā, kādā tas ir nepieciešams līgumsaistību pienācīgai izpildei. Izvēloties datu apstrādātājus, Datu pārzinis veic visus nepieciešamos pasākumus, lai nodrošinātu, ka apstrādātāji ir ieviesuši atbilstošus organizatoriskus un tehniskus drošības pasākumus un garantē personas datu konfidencialitāti.

7.5. Personas datu apstrādes tiesiskie pamati pakalpojumu sniegšanas nolūkos ir: VDAR 6. panta 1. daļas a apakšpunkts (piekrišana) un/vai b apakšpunkts (līguma izpilde), c apakšpunkts (Datu pārziņa juridiskais pienākums).

 

8. PERSONAS DATU APSTRĀDE ZINĀTNISKO PĒTĪJUMU NOLŪKOS

8.1. Zinātnisko pētījumu un statistisko pārskatu nolūkos var tikt izmantoti tikai anonimizēti dati, un netiek izmantoti personas dati, kurus varētu saistīt ar konkrētiem datu subjektiem.

 

9. PERSONAS DATU APSTRĀDE SADARBĪBAS LĪGUMU AR PARTNERIEM IZPILDES NOLŪKOS

9.1. Sadarbojoties ar partneriem (pakalpojumu sniedzējiem), Datu pārzinis apstrādā šādus fizisko vai juridisko personu pārstāvju personas datus:

9.1.1. Vārds;

9.1.2. Uzvārds;

9.1.3. Personas kods;

9.1.4. Adrese;

9.1.5. Pilnvarojums;

9.1.6. Pilnvarojuma termiņš;

9.1.7. Pārstāvētā persona (saikne ar pārstāvēto personu);

9.1.8. Amats;

9.1.9. Tālruņa numurs;

9.1.10. E-pasta adrese.

9.2. Dati tiek iegūti tieši no pārstāvjiem un netiek nodoti trešajām personām.

9.3. Pārstāvju datu apstrādes tiesiskais pamats sadarbības līgumu ar partneriem izpildes nolūkos ir: VDAR 6. panta 1. daļas f apakšpunkts (Datu pārziņa leģitīmās intereses).

 

10. PERSONAS DATU APSTRĀDE TIEŠĀS MĀRKETINGA NOLŪKOS

10.1. Tiešā mārketinga nolūkos Datu pārzinis apstrādā šādus personas datus par Klientiem, viņu darbiniekiem un citiem datu subjektiem, kuri ir devuši savu piekrišanu:

10.1.1. Vārds;

10.1.2. Uzvārds;

10.1.3. Tālruņa numurs;

10.1.4. E-pasta adrese.

10.2. Tiešā mārketinga nolūkiem apstrādātie dati tiek iegūti tieši no Klientiem, viņu darbiniekiem vai citiem datu subjektiem un netiek nodoti trešajām personām.

10.3. Personas datu apstrādes tiesiskais pamats tiešā mārketinga nolūkos ir: VDAR 6. panta 1. daļas a apakšpunkts (datu subjekta piekrišana).

 

11. DATU SAGLABĀŠANAS TERMINI

11.1. Datu pārzinis piemēro atšķirīgus personas datu glabāšanas termiņus atkarībā no mērķa, kādam konkrētie personas dati tiek apstrādāti.

11.2. Datu pārzinis piemēro šādus personas datu glabāšanas termiņus:

Nr.	Personas datu apstrādes mērķis	Saglabāšanas termiņš
1.	Personāla personas datu apstrāde administratīvos nolūkos	50 gadi pēc darba līguma izbeigšanas, pamatojoties uz Vispārējo dokumentu glabāšanas termiņu rādītāju
2.	Personas datu apstrāde pieprasījumu izpildes nolūkos	3 gadi no pieprasījuma izpildes dienas. Izņēmums – ja Datu subjekts vērsies ar pieprasījumu par preču iegādi vai pakalpojumu saņemšanu, piemērojams vispārīgais 10 gadu termiņš
3.	Klientu personas datu apstrāde saistībā ar Platformas pakalpojumu sniegšanu	10 gadi no pēdējā kontakta brīža
4.	Pārstāvju personas datu apstrāde sadarbības līgumu izpildes nolūkos	Līguma darbības laikā un 10 gadus pēc darījuma pabeigšanas
5.	Kandidātu personas datu apstrāde personāla atlases nolūkos	4 mēneši pēc tam, kad Kandidāts tiek pieņemts darbā. Ilgākai CV un citu datu glabāšanai nepieciešama Kandidāta piekrišana
6.	Personas datu apstrāde tiešā mārketinga nolūkos	5 gadi no piekrišanas saņemšanas dienas, ja vien Datu subjekts nelūdz šo termiņu pagarināt

 

11.3. Izņēmumi no iepriekš minētajiem datu glabāšanas termiņiem var tikt noteikti tiktāl, ciktāl šādas atkāpes nepārkāpj datu subjektu tiesības, atbilst tiesību aktu prasībām un ir pienācīgi dokumentētas.

11.4. Dati, kas nepieciešami juridisku prasību celšanai, īstenošanai vai aizstāvībai, tiek glabāti tik ilgi, cik tas nepieciešams šo mērķu sasniegšanai saskaņā ar tiesvedības, administratīvā vai ārpustiesas procesa kārtību.

 

12. DATU IZNĪCINĀŠANA

12.1. Iznīcināšana tiek definēta kā fiziska vai tehniska darbība, ar kuru dokumentos esošie dati tiek iznīcināti tādā veidā, ka tos vairs nav iespējams atjaunot.

12.2. Elektroniskā formātā glabātie personas dati tiek iznīcināti, tos neatgriezeniski izdzēšot.

12.3. Papīra dokumenti, kas satur personas datus, tiek iznīcināti (piemēram, sasmalcinot ar dokumentu smalcinātāju).

 

13. DATU SUBJEKTU TIESĪBAS

13.1. Datu subjekts, kura dati tiek apstrādāti Datu pārziņa darbības ietvaros, ir tiesīgs izmantot šādas tiesības:

13.1.1. Tiesības tikt informētam;

13.1.2. Tiesības piekļūt saviem datiem;

13.1.3. Tiesības uz datu labošanu un dzēšanu;

13.1.4. Tiesības ierobežot datu apstrādi;

13.1.5. Tiesības uz datu pārnesamību;

13.1.6. Tiesības iebilst datu apstrādei;

13.1.7. Tiesības nepiekrist, ka par viņu tiek pieņemts lēmums, kas balstīts vienīgi uz automatizētu datu apstrādi, tostarp profilēšanu.

13.2. Datu pārzinis var ierobežot datu subjektu iespējas īstenot savas tiesības, kā noteikts VDAR, ja to pieprasa likumā paredzēti apstākļi, lai nodrošinātu noziegumu, dienesta vai profesionālās ētikas pārkāpumu novēršanu, izmeklēšanu vai atklāšanu, kā arī lai aizsargātu datu subjekta vai citu personu tiesības un brīvības.

 

14. DATU SUBJEKTU TIESĪBU ĪSTENOŠANAS KĀRTĪBA

14.1. Saņemot jebkuru datu subjekta pieprasījumu, Datu pārziņa darbiniekiem ir pienākums vai nu nodot šo pieprasījumu citam darbiniekam, kurš ir kompetents to izskatīt, vai, ja viņi paši ir kompetenti, izskatīt pieprasījumu patstāvīgi.

14.2. Ja pieprasījumu iesniedz datu subjekta pārstāvis, atbildīgajam darbiniekam jāveic nepieciešamie pasākumi, lai pārliecinātos par šī pārstāvja tiesībām rīkoties datu subjekta vārdā.

14.3. Informācija tiek sniegta un prasības tiek izpildītas tikai tad, ja persona, kas iesniedz pieprasījumu, ir apstiprinājusi savu identitāti un iesniegusi parakstītu pieprasījumu vai tā kopiju.

14.4. Datu pārziņa darbiniekiem ir pienākums mutiski informēt personas, kuras vēlas īstenot savas personas datu subjekta tiesības, par minētajām prasībām un identitātes pārbaudes kārtību.

 

15. TIESĪBU TIKT INFORMĒTAM ĪSTENOŠANAS KĀRTĪBA

15.1. Pirms personas datu apstrādes uzsākšanas datu subjektiem ir jāsniedz šāda informācija:

15.1.1. Datu pārziņa nosaukums, rekvizīti un kontaktinformācija;

15.1.2. Datu apstrādes mērķi;

15.1.3. Datu apstrādes tiesiskais pamats;

15.1.4. Datu aizsardzības speciālista kontaktinformācija, ja piemērojama;

15.1.5. Personas datu glabāšanas termiņš vai, ja tas nav iespējams, kritēriji, kas tiek izmantoti šī termiņa noteikšanai;

15.1.6. Tiesības pieprasīt piekļuvi saviem personas datiem, to labošanu vai dzēšanu, datu apstrādes ierobežošanu, iebilst pret datu apstrādi, kā arī tiesības uz datu pārnesamību;

15.1.7. Tiesības iesniegt sūdzību uzraudzības iestādei;

15.1.8. Ja piemērojams – personas datu saņēmēji vai to kategorijas;

15.1.9. Datu pārziņa vai trešās personas likumīgās intereses, ja dati tiek apstrādāti, pamatojoties uz šādām interesēm;

15.1.10. Ja piemērojams – informācija par datu pārsūtīšanu uz trešo valsti vai starptautisku organizāciju;

15.1.11. Ja piemērojams – informācija par automatizētu lēmumu pieņemšanu, tostarp profilēšanu, un būtiska informācija par izmantoto loģiku, kā arī šādas apstrādes nozīme un paredzamās sekas datu subjektam;

15.2. Ja datu apstrādes tiesiskais pamats ir juridisks pienākums vai līgums, datu subjektam tiek sniegta šāda papildu informācija:

15.2.1. Vai datu subjektam ir pienākums sniegt personas datus un kādas sekas var rasties, ja dati netiek sniegti;

15.2.2. Vai datu sniegšana ir noteikta tiesību aktos vai līgumā, vai arī nepieciešama līguma noslēgšanai;

15.3. Ja personas dati tiek apstrādāti, pamatojoties uz datu subjekta piekrišanu, šim tiek sniegta šāda informācija:

15.3.1. Tiesības atsaukt piekrišanu jebkurā laikā, neietekmējot apstrādes, kas veikta, balstoties uz piekrišanu pirms tās atsaukšanas, likumību;

15.3.2. Tiesības pieprasīt savus personas datus digitālā, strukturētā, plaši lietotā un mašīnlasāmā formātā;

15.4. Ja personas dati netiek iegūti no datu subjekta, papildus iepriekš minētajam (izņemot 15.2. punktu), ir jāsniedz arī šāda informācija:

15.4.1. Apstrādājamo personas datu kategorijas;

15.4.2. Datu avots un informācija, vai dati ir iegūti no publiskiem avotiem;

15.5. 15.1–15.4 punktu prasības neattiecas, ja datu subjekts jau šo informāciju ir saņēmis;

15.6. Ja personas dati nav iegūti no datu subjekta, informācija jāsniedz:

15.6.1. Viena mēneša laikā no datu iegūšanas;

15.6.2. Ja dati tiks izmantoti saziņai ar datu subjektu – ne vēlāk kā pirmajā saziņā;

15.6.3. Ja paredzēts datus atklāt citam saņēmējam – ne vēlāk kā datus atklājot pirmo reizi;

15.7. Informācija jāsniedz īsā, skaidrā, saprotamā un viegli pieejamā formā, izmantojot vienkāršu un skaidru valodu;

15.8. Informācija tiek sniegta rakstiski vai citos veidos, tostarp elektroniski. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski, taču jebkurā gadījumā informācija par konkrēto personu tiek sniegta tikai pēc identitātes apstiprināšanas;

15.9. Datu pārzinim nav pienākuma sniegt informāciju, ja:

15.9.1. Tas nav iespējams vai tas prasītu nesamērīgas pūles, pamatojoties uz VDAR 12. panta 5. punktu. Šādos gadījumos Datu pārzinis veic atbilstošus pasākumus datu subjekta tiesību un likumīgo interešu aizsardzībai, tostarp informācijas publicēšanu;

15.9.2. Datu iegūšana vai atklāšana skaidri noteikta Eiropas Savienības vai nacionālajos tiesību aktos, kas piemērojami Datu pārzinim un kuros paredzēti piemēroti datu subjekta interešu aizsardzības pasākumi;

15.9.3. Kad personas dati jāuzglabā konfidenciāli saskaņā ar Eiropas Savienības vai dalībvalsts tiesību aktiem par profesionālās noslēpuma ievērošanu;

15.10. Piekrišana netiek uzskatīta par derīgu, ja tā iegūta, Datu subjektam nesniedzot obligāto informāciju par viņa personas datu apstrādi.

 

16. PIEKĻUVES TIESĪBU ĪSTENOŠANAS KĀRTĪBA

16.1. Datu subjekts tieši vai caur pārstāvi ir tiesīgs no Datu pārziņa saņemt apstiprinājumu par to, vai tiek apstrādāti ar viņu saistītie personas dati, un, ja šādi dati tiek apstrādāti, viņam ir tiesības piekļūt šiem datiem un saņemt 16.8. punktā norādīto informāciju.

16.2. Tiesības saņemt informāciju par Datu pārziņa apstrādātajiem personas datiem datu subjekts var īstenot, iesniedzot brīvas formas pieprasījumu vai aizpildot darbinieka sniegto pieprasījuma veidlapu datu piekļuvei (Politikas pielikums Nr. 2).

16.3. Ja iespējams, darbiniekam jāiesaka datu subjektam aizpildīt minēto veidlapu, jo tās izmantošana var būtiski atvieglot pienākuma sniegt nepieciešamo informāciju izpildi.

16.4. Standartizēto veidlapu izmantošanas mērķis nav jāinterpretē kā tiesības atteikties pieņemt citu formu pieprasījumus vai vilcināt to izskatīšanu, ja vien tie ļauj identificēt datu subjektu.

16.5. Atbildīgais darbinieks, pārbaudot datu subjekta identitāti, nekavējoties veic darbības, lai noskaidrotu, kādi datu subjekta personas dati tiek apstrādāti, un apkopo 16.8. punktā norādīto informāciju.

16.6. Atbildīgais darbinieks nodrošina personas datu kopijas izsniegšanu vai piekļuvi šiem datiem. Par papildu kopijām Datu pārzinis var pieprasīt saprātīgu maksu, pamatojoties uz administratīvajām izmaksām.

16.7. Tiesības saņemt kopiju nedrīkst negatīvi ietekmēt citu personu tiesības un brīvības, tāpēc pieprasījumu izpildošajam darbiniekam ir pienākums aizklāt vai dzēst informāciju, kas attiecas uz citām fiziskām personām. Tāpat jānodrošina, ka šīs tiesības neietekmē citu personu komercnoslēpumus vai intelektuālā īpašuma tiesības, īpaši autortiesības, kas aizsargā programmatūru.

16.8. Kopā ar datu kopiju (vai atsevišķi, ja kopija netiek sniegta), atbildīgais darbinieks datu subjektam sniedz šādu informāciju:

16.8.1. Datu apstrādes mērķi;

16.8.2. Attiecīgās personas datu kategorijas;

16.8.3. Datu saņēmēji vai to kategorijas, kuriem personas dati ir atklāti vai tiks atklāti, īpaši trešās valstis vai starptautiskās organizācijas;

16.8.4. Personas datu glabāšanas termiņš vai, ja to nav iespējams norādīt, kritēriji, kas tiek piemēroti tā noteikšanai;

16.8.5. Tiesības pieprasīt Datu pārzinim labot vai dzēst personas datus, ierobežot apstrādi vai iebilst pret apstrādi;

16.8.6. Tiesības iesniegt sūdzību uzraudzības iestādei;

16.8.7. Ja personas dati nav iegūti no datu subjekta – visa pieejamā informācija par datu avotu;

16.8.8. Vai tiek veikta automatizēta lēmumu pieņemšana, tostarp profilēšana, un būtiska informācija par izmantoto loģiku, kā arī šādas apstrādes nozīme un paredzamās sekas datu subjektam.

16.9. Ja personas dati tiek pārsūtīti uz trešo valsti vai starptautisku organizāciju, datu subjektam ir tiesības tikt informētam par piemērotiem aizsardzības pasākumiem saistībā ar šo pārsūtīšanu.

16.10. Ja datu subjekts pieprasījumu iesniedz elektroniski un nevēlas saņemt informāciju citādi, tā tiek sniegta ierastā elektroniskā formātā.

 

17. TIESĪBU LABOT VAI DZĒST DATUS ĪSTENOŠANAS KĀRTĪBA

17.1. Datu subjekts ir tiesīgs pieprasīt, lai Datu pārzinis bez nepamatotas kavēšanās izlabotu neprecīzus ar viņu saistītus personas datus. Ņemot vērā datu apstrādes mērķus, datu subjektam ir tiesības pieprasīt nepilnīgu personas datu papildināšanu, tostarp sniedzot papildu paziņojumu.

17.2. Datu subjektam ir tiesības pieprasīt, lai Datu pārzinis bez nepamatotas kavēšanās dzēstu ar viņu saistītos personas datus, un Datu pārzinim ir pienākums to izdarīt, ja ir spēkā kāds no šiem pamatojumiem:

17.2.1. Personas dati vairs nav nepieciešami tiem mērķiem, kādiem tie tika vākti vai citādi apstrādāti;

17.2.2. Datu subjekts atsauc savu piekrišanu, uz kuras balstās apstrāde, un nav cita juridiska pamata datu apstrādei;

17.2.3. Datu subjekts iebilst pret datu apstrādi saskaņā ar šīs Politikas 20.1. punktu, un nav pārliecinošu likumīgu iemeslu datu apstrādei, vai iebilst pret apstrādi saskaņā ar 20.2. punktu;

17.2.4. Personas dati ir apstrādāti nelikumīgi;

17.2.5. Personas dati ir jādzēš, lai izpildītu juridisku pienākumu, kas noteikts Eiropas Savienības vai nacionālajos tiesību aktos.

17.3. Ja Datu pārzinis ir publiskojis personas datus un ir pienākums tos dzēst saskaņā ar 17.1. un 17.2. punktu, pieprasījumu izskatošais atbildīgais darbinieks, ņemot vērā pieejamās tehnoloģijas un īstenošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus, lai informētu citus datu pārziņus, kas apstrādā šos datus, ka datu subjekts ir pieprasījis dzēst jebkādas saites uz tiem personas datiem, kā arī to kopijas vai dublikātus.

17.4. 17.1. un 17.2. punktā minētās tiesības neattiecas, ja datu apstrāde ir nepieciešama:

17.4.1. Tiesību uz vārda brīvību un informāciju īstenošanai;

17.4.2. Juridiska pienākuma izpildei saskaņā ar Eiropas Savienības vai nacionālajiem tiesību aktiem vai uzdevuma izpildei sabiedrības interesēs;

17.4.3. Sabiedrības veselības aizsardzības nolūkos sabiedrības interesēs;

17.4.4. Arhivēšanas nolūkiem sabiedrības interesēs, zinātniskiem vai vēsturiskiem pētījumiem vai statistikas nolūkiem, ja tiesību īstenošana varētu padarīt šādu apstrādi neiespējamu vai būtiski traucēt;

17.4.5. Juridisku prasību celšanai, īstenošanai vai aizstāvībai.

17.5. Pieprasījumu izskatošais atbildīgais darbinieks informē datu subjektu par pieņemto lēmumu labot vai dzēst datus, un, atteikuma gadījumā, sniedz atteikuma pamatojumu.

 

18. TIESĪBU IEROBEŽOT DATU APSTRĀDI ĪSTENOŠANAS KĀRTĪBA

18.1. Pieprasījumu izskatošais atbildīgais darbinieks veic nepieciešamos pasākumus datu apstrādes ierobežošanai, ja pastāv kāds no šiem apstākļiem:

18.1.1. Datu subjekts apstrīd datu precizitāti uz laiku, kas nepieciešams, lai Datu pārzinis varētu pārbaudīt personas datu precizitāti;

18.1.2. Datu apstrāde ir nelikumīga, un datu subjekts nepiekrīt datu dzēšanai, bet pieprasa ierobežot to izmantošanu;

18.1.3. Datu pārzinim personas dati vairs nav nepieciešami apstrādes nolūkiem, taču tie ir nepieciešami datu subjektam juridisku prasību celšanai, īstenošanai vai aizsardzībai;

18.1.4. Datu subjekts saskaņā ar 20.1. punktu ir iebildis pret datu apstrādi, kamēr tiek pārbaudīts, vai Datu pārziņa likumīgās intereses pārsniedz datu subjekta intereses.

18.2. Ja datu apstrāde ir ierobežota saskaņā ar 18.1. punktu, šos personas datus drīkst apstrādāt, izņemot glabāšanu, tikai ar datu subjekta piekrišanu vai juridisku prasību celšanai, īstenošanai vai aizsardzībai, vai citu fizisku vai juridisku personu tiesību aizsardzībai, vai svarīgu sabiedrības interešu nolūkos saskaņā ar Eiropas Savienības vai Lietuvas Republikas tiesību aktiem.

18.3. Ja tiek nolemts atcelt datu apstrādes ierobežojumu, lēmumu īstenojošajam atbildīgajam darbiniekam pirms ierobežojuma atcelšanas ir pienākums informēt datu subjektu.

 

19. TIESĪBU UZ DATU PĀRNEŠAMĪBU ĪSTENOŠANAS KĀRTĪBA

19.1. Atbildīgais darbinieks, saņemot datu subjekta pieprasījumu, apkopo un sniedz personas datus, kas saistīti ar pieprasījuma iesniedzēju un kurus viņš ir sniedzis Datu pārzinim strukturētā, plaši izmantotā un mašīnlasāmā formātā. Atbildīgais darbinieks izpilda šādu pieprasījumu tikai tad, ja ir izpildīti šādi nosacījumi:

19.1.1. Datu apstrāde balstās uz piekrišanu vai līgumu; un

19.1.2. Dati tiek apstrādāti automatizēti.

19.2. Ja datu subjekts, kuram ir tiesības uz datu pārnešamību saskaņā ar 19.1. punktu, vēlas, lai viens Datu pārzinis tieši pārsūta datus citam, atbildīgais darbinieks izvērtē, vai tas ir tehniski iespējams.

19.3. Tiesības uz datu pārnešamību netiek piemērotas, ja apstrāde ir nepieciešama, lai izpildītu uzdevumu, kas veikts sabiedrības interesēs.

19.4. 19.1. punktā minētās tiesības nedrīkst negatīvi ietekmēt citu personu tiesības un brīvības.

 

20. TIESĪBU IEBILST PRET DATU APSTRĀDI ĪSTENOŠANAS KĀRTĪBA

20.1. Datu subjektam ir tiesības jebkurā laikā iebilst pret viņa personas datu apstrādi, ja apstrāde tiek veikta, pamatojoties uz Datu pārziņa vai trešās personas likumīgajām interesēm. Atbildīgajam darbiniekam, izskatot iebildumu, ir jārīkojas, lai nodrošinātu, ka šī datu subjekta dati vairs netiek apstrādāti.

20.2. Izskatot iebildumu, atbildīgais darbinieks izvērtē, vai pastāv pārliecinoši likumīgi iemesli datu apstrādei, kas pārsniedz datu subjekta intereses, tiesības un brīvības, vai arī apstrāde ir nepieciešama juridisku prasību īstenošanai vai aizstāvībai. Šādā gadījumā iebildums tiek noraidīts, un datu subjektam tiek sniegts atbildes pamatojums.

20.3. Ja datu subjekts iebilst pret datu apstrādi tiešā mārketinga nolūkos, darbiniekam nekavējoties jārīkojas, lai šie dati vairs netiktu apstrādāti šim mērķim. Šādā gadījumā 20.2. punkts nav piemērojams.

20.4. Ja personas dati tiek apstrādāti statistikas nolūkos, datu subjektam ir tiesības iebilst pret savu datu apstrādi, ja vien apstrāde nav nepieciešama uzdevuma veikšanai sabiedrības interesēs.

 

21. TIESĪBU NEPIEKRIST AUTOMATIZĒTU LĒMUMU PIEŅEMŠANAI, TOSTARP PROFILĒŠANAI, ĪSTENOŠANAS KĀRTĪBA

21.1. Datu subjektam ir tiesības pieprasīt, lai uz viņu netiktu attiecināts lēmums, kas balstīts vienīgi uz automatizētu datu apstrādi, tostarp profilēšanu, ja šādam lēmumam ir juridiskas sekas vai tas līdzīgā veidā būtiski ietekmē datu subjektu, izņemot šādus gadījumus:

21.1.1. Lēmums ir nepieciešams līguma noslēgšanai vai izpildei starp datu subjektu un Datu pārzini;

21.1.2. Lēmums ir atļauts Eiropas Savienības vai dalībvalsts tiesību aktos, kas ir piemērojami Datu pārzinim un kuros paredzēti atbilstoši aizsardzības pasākumi datu subjekta tiesību, brīvību un leģitīmo interešu aizsardzībai;

21.1.3. Lēmums ir balstīts uz datu subjekta skaidru piekrišanu.

21.2. Ja lēmums ir nepieciešams līguma noslēgšanai vai izpildei starp datu subjektu un Datu pārzini vai ir balstīts uz datu subjekta skaidru piekrišanu, Datu pārzinis īsteno atbilstošus pasākumus datu subjekta tiesību, brīvību un leģitīmo interešu aizsardzībai, tostarp nodrošina tiesības pieprasīt cilvēka iesaisti, paust savu viedokli un apstrīdēt lēmumu.

21.3. Iepriekš minētās tiesības tiek īstenotas saskaņā ar VDAR noteiktajiem termiņiem.

Datu subjekta pieprasījums

Termiņš

Tiesības tikt informētam

Datu saņemšanas brīdī (ja dati sniegti no datu subjekta) vai viena mēneša laikā (ja nav sniegti no paša subjekta)

Piekļuves tiesības (tiesības iepazīties)

Bez nepamatotas kavēšanās, bet ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas

Tiesības uz labošanu

Bez nepamatotas kavēšanās, bet ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas

Tiesības uz dzēšanu (“tiesības tikt aizmirstam”)

Bez nepamatotas kavēšanās, bet ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas, izņemot gadījumus, ko paredz tiesību akti

Tiesības ierobežot datu apstrādi

Bez nepamatotas kavēšanās, bet ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas

Tiesības uz datu pārnesamību

Bez nepamatotas kavēšanās, bet ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas

Tiesības iebilst pret datu apstrādi

Bez nepamatotas kavēšanās, bet ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas

*Ja datu subjekts iebilst pret datu apstrādi tiešā mārketinga nolūkos (tostarp profilēšanai, ciktāl tā saistīta ar tiešo mārketingu), personas dati šim nolūkam vairs netiek apstrādāti

Tiesības, kas saistītas ar automatizētu lēmumu pieņemšanu un profilēšanu

Bez nepamatotas kavēšanās, bet ne vēlāk kā viena mēneša laikā pēc pieprasījuma saņemšanas

21.4. Standartizēti datu subjektu pieprasījumi par piekļuvi datiem tiek saņemti, aizpildot veidlapu “Datu subjekta pieprasījums piekļuvei personas datiem” (Politikas pielikums Nr. 2).

21.5. Datu pārzinis nedrīkst formāli atteikties pieņemt datu subjekta pieprasījumu vai vilcināt tā izskatīšanu, pamatojoties tikai uz to, ka nav izmantota minētā veidlapa.

21.6. Datu pārzinim ir pienākums informēt datu subjektus par viņu tiesībām skaidri, īsi, pārskatāmi, saprotami un viegli pieejamā formā, izmantojot vienkāršu un saprotamu valodu.

21.7. Datu pārzinim ir tiesības pamatoti atteikties ļaut datu subjektam īstenot savas tiesības vai pieprasīt saprātīgu maksu, ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai nesamērīgi, vai ja datu subjekts ļaunprātīgi izmanto šīs tiesības, īpaši to atkārtojamības dēļ. Šādos gadījumos datu pārzinis var:

21.7.1. Pieprasīt samērīgu maksu, ņemot vērā informācijas sniegšanas vai pieprasīto darbību administratīvās izmaksas; vai

21.7.2. Atteikties veikt darbības, pamatojoties uz pieprasījumu.

21.8. Datu pārzinim ir pienākums pierādīt, ka pieprasījums ir acīmredzami nepamatots vai nesamērīgs.

 

22. DATU APSTRĀDES DARBĪBU UZSKAITES VEIDOŠANAS PROCESS

22.1. Katrs Datu pārzinis un, ja piemērojams, Datu pārziņa pārstāvis uztur uzskaiti par datu apstrādes darbībām, par kurām tas ir atbildīgs. Šajā uzskaitē ietverta visa turpmāk minētā informācija:

22.1.1. Datu pārziņa un, ja piemērojams, kopīgā pārziņa, pārstāvja un datu aizsardzības speciālista vārds (nosaukums) un kontaktinformācija;

22.1.2. Datu apstrādes mērķi;

22.1.3. Datu subjektu kategoriju un personas datu kategoriju apraksts;

22.1.4. Datu saņēmēju kategorijas, kuriem personas dati ir vai tiks atklāti, tostarp saņēmēji trešajās valstīs vai starptautiskās organizācijās;

22.1.5. Ja piemērojams, personas datu pārsūtīšana uz trešajām valstīm vai starptautiskām organizācijām, ieskaitot šo trešo valstu vai organizāciju nosaukumus, kā arī atbilstošu aizsardzības pasākumu dokumentācija saskaņā ar VDAR 49. panta 1. daļas otro daļu;

22.1.6. Ja iespējams, dažādu datu kategoriju dzēšanas termiņu norāde;

22.1.7. Ja iespējams, vispārējs tehnisko un organizatorisko drošības pasākumu apraksts (tostarp, ja nepieciešams, personas datu pseidonimizācija un šifrēšana, spēja nodrošināt nepārtrauktu datu apstrādes sistēmu un pakalpojumu konfidencialitāti, integritāti, pieejamību un noturību; spēja savlaicīgi atjaunot piekļuvi datiem pēc fiziska vai tehniska incidenta; regulāras drošības pasākumu pārbaudes, novērtēšanas un efektivitātes izvērtēšanas procedūras).

22.2. Apstrādes darbību uzskaite ir obligāta:

22.2.1. Ja uzņēmumā ir vairāk nekā 250 darbinieki; vai

22.2.2. Ja datu apstrāde var radīt risku datu subjektu tiesībām un brīvībām;

22.2.3. Ja datu apstrāde ir regulāra;

22.2.4. Ja tiek apstrādāti īpašas kategorijas personas dati.

22.3. Uzskaite tiek veikta rakstiski, tostarp elektroniskā formā (var būt tikai elektroniska).

 

23. DATU SUBJEKTU PIEKRIŠANA

23.1. Ja datu apstrādei nav cita pamata, kas noteikts VDAR vai Fizisko personu datu aizsardzības likumā, ir jāiegūst datu subjekta brīvi sniegta, skaidri izteikta piekrišana viņa personas datu vākšanai un apstrādei.

23.2. Ja dati tiek apstrādāti, pamatojoties uz piekrišanu, Datu pārzinim jāspēj pierādīt, ka datu subjekts ir devis piekrišanu savu personas datu apstrādei.

23.3. Ja datu subjekta piekrišana tiek dota rakstiskā paziņojumā, kas attiecas arī uz citiem jautājumiem, piekrišanas pieprasījums tiek izteikts atsevišķi no citiem jautājumiem, viegli pieejamā un saprotamā veidā, vienkāršā un skaidrā valodā.

23.4. Datu subjektam ir tiesības jebkurā laikā atsaukt savu piekrišanu. Piekrišanas atsaukšana neietekmē apstrādes likumību, kas balstīta uz piekrišanu pirms tās atsaukšanas. Datu subjekts par šo iespēju tiek informēts pirms piekrišanas sniegšanas. Piekrišanu atsaukt jābūt tikpat vienkārši kā to sniegt.

23.5. Novērtējot, vai piekrišana ir dota brīvprātīgi, īpaši jāņem vērā, vai līguma izpildei, tostarp pakalpojuma sniegšanai, ir noteikts nosacījums sniegt piekrišanu personas datu apstrādei, kas nav nepieciešama šī līguma izpildei.

 

24. PERSONAS DATU PĀRSŪTĪŠANA UZ TREŠAJĀM VALSTĪM VAI STARPTAUTISKĀM ORGANIZĀCIJĀM

24.1. Personas datus drīkst pārsūtīt uz trešo valsti vai starptautisku organizāciju, ja Eiropas Komisija ir nolēmusi, ka attiecīgā trešā valsts, teritorija vai viens vai vairāki tās norādītie sektori, vai starptautiskā organizācija nodrošina atbilstošu aizsardzības līmeni. Šādai pārsūtīšanai nav nepieciešama īpaša Komisijas vai dalībvalsts atļauja.

24.2. Komisija publicē oficiālajā Eiropas Savienības Vēstnesī un savā tīmekļa vietnē trešo valstu, teritoriju un sektoru sarakstu, kā arī starptautisko organizāciju sarakstu, kuras, pēc Komisijas lēmuma, nodrošina vai vairs nenodrošina atbilstošu aizsardzību.

24.3. Ja nav pieņemts Komisijas lēmums par atbilstību, Datu pārzinis vai apstrādātājs var pārsūtīt personas datus uz trešo valsti vai starptautisku organizāciju tikai tad, ja ir noteikti atbilstoši aizsardzības pasākumi un datu subjektiem ir pieejamas izpildāmas tiesības un efektīvi aizsardzības līdzekļi.

24.4. Personas datus var pārsūtīt uz trešajām valstīm vai starptautiskām organizācijām, piemērojot vienu vai vairākus no turpmāk norādītajiem atbilstošiem aizsardzības pasākumiem:

24.4.1. Uzraudzības iestādes apstiprināti saistošie uzņēmuma noteikumi;

24.4.2. Komisijas pieņemtie standarta datu aizsardzības līguma noteikumi;

24.4.3. Uzraudzības iestādes pieņemti vai atzīti standarta līguma noteikumi;

24.4.4. Apstiprināts rīcības kodekss, kas reglamentē starptautisku datu pārsūtīšanu;

24.4.5. Sertifikācija, aizsardzības zīmes un/vai marķējumi, kas apliecina atbilstību datu aizsardzības pasākumiem.

24.5. Ja nav pieņemts lēmums saskaņā ar 24.1. punktu vai nav noteikti pasākumi saskaņā ar 24.4. punktu, datu pārsūtīšana uz trešo valsti vai starptautisku organizāciju var notikt tikai tad, ja pastāv viens no šādiem nosacījumiem:

24.5.1. Datu subjekts ir nepārprotami piekritis pārsūtīšanai pēc tam, kad viņš ir informēts par iespējamiem riskiem saistībā ar nepietiekamu aizsardzību;

24.5.2. Pārsūtīšana ir nepieciešama līguma starp datu subjektu un pārzinis izpildei vai pirmslīguma pasākumu veikšanai pēc datu subjekta pieprasījuma;

24.5.3. Pārsūtīšana ir nepieciešama, lai noslēgtu vai izpildītu līgumu, kas noslēgts datu subjekta interesēs starp pārzini un citu personu;

24.5.4. Pārsūtīšana ir nepieciešama juridisku prasību celšanai, īstenošanai vai aizsardzībai;

24.5.5. Pārsūtīšana ir nepieciešama, lai aizsargātu datu subjekta vai citu personu vitāli svarīgas intereses, ja datu subjekts nav spējīgs sniegt piekrišanu fizisku vai juridisku iemeslu dēļ.

24.6. Augstāk aprakstītās pārsūtīšanas procedūras un pamati ir detalizēti izklāstīti VDAR V nodaļā.

 

25. DATU AIZSARDZĪBAS SPECIĀLISTS

25.1. Saskaņā ar VDAR 37. panta 1. punktu Datu pārzinim jāieceļ datu aizsardzības speciālists, ja pārziņa vai apstrādātāja pamatdarbība ietver tāda apjoma, biežuma vai mērķa datu apstrādi, kurai nepieciešama regulāra un sistemātiska datu subjektu uzraudzība lielā apjomā, vai ja pamatdarbība ir īpašu kategoriju personas datu apstrāde lielā apjomā, vai ja datu apstrādi veic valsts iestāde vai struktūra, izņemot tiesas, īstenojot savas tiesas funkcijas. Tā kā Datu pārzinis neveic nevienu no šīm darbībām, datu aizsardzības speciālists netiek iecelts.

 

26. IETEKMES UZ DATU AIZSARDZĪBU NOVĒRTĒJUMS

26.1. Ja datu apstrādes veids, īpaši lietojot jaunas tehnoloģijas, ņemot vērā apstrādes būtību, apjomu, kontekstu un mērķus, var radīt augstu risku fizisko personu tiesībām un brīvībām, Datu pārzinim pirms datu apstrādes uzsākšanas jāveic plānoto apstrādes darbību ietekmes uz datu aizsardzību novērtējums. Līdzīgu augsta riska apstrādes darbību virknei var veikt vienu kopīgu novērtējumu.

26.2. Ja datu apstrāde var radīt augstu risku fizisko personu tiesībām un brīvībām, ietekmes novērtējums jāveic pirms apstrādes uzsākšanas. Datu pārzinim ir jānovērtē šī riska avots, raksturs, īpatnības un nopietnība. Novērtējums jāuzsāk tik agrīni, cik vien praktiski iespējams, pat ja daži apstrādes aspekti vēl nav zināmi. Nepieļaujama ir ietekmes novērtējuma atlikšana tikai tādēļ, ka varētu būt nepieciešams to atkārtot pēc apstrādes uzsākšanas.

26.3. Viens ietekmes uz datu aizsardzību novērtējums var aptvert vairākas līdzīgas apstrādes darbības, kas rada līdzīgus riskus.

26.4. Sistēmām, kas neidentificē personas, parasti nav nepieciešams veikt ietekmes uz datu aizsardzību novērtējumu. Tomēr jāņem vērā, ka dati, kas šķiet anonimizēti, var kļūt identificējami, ja tos apvieno ar citu informāciju, tāpēc arī šādi dati jāvērtē uzmanīgi, lai nodrošinātu, ka personas nav identificējamas.

26.5. Ja tiek konstatēta nepieciešamība veikt ietekmes novērtējumu, Datu pārzinis izlemj, kam uzticēt novērtējuma veikšanu. Ja tiek nolīgts ārējs konsultants, datu aizsardzības speciālists (iekšējs vai ārējs) vai par datu aizsardzību atbildīgais darbinieks sadarbībā ar konsultantu sniedz visu nepieciešamo informāciju novērtējuma veikšanai.

26.6. Ja ietekmes uz datu aizsardzību novērtējumu veic Datu pārziņa iecelts datu aizsardzības speciālists, viņš to veic saskaņā ar VDAR, nacionālajiem tiesību aktiem un šajā Politikā aprakstītajām procedūrām.

 

27. NEPIECIEŠAMĪBAS VEIKT IETEKMES NOVĒRTĒJUMU NOTEIKŠANA

27.1. Saskaņā ar VDAR 35. pantu Datu pārzinim ir pienākums veikt ietekmes uz datu aizsardzību novērtējumu, ievērojot šajā politikā noteikto metodoloģiju.

27.2. Novērtēšanas procedūra jāatkārto, ja apstrādes darbībās tiek veiktas būtiskas izmaiņas.

 

28. IETEKMES UZ DATU AIZSARDZĪBU NOVĒRTĒJUMA METODIKA

28.1. Tiek sniegts sistemātisks datu apstrādes darbību apraksts (VDAR 35. panta 7. punkta a) apakšpunkts):

28.1.1. Tiek izvērtēts apstrādes raksturs, apjoms, konteksts un mērķi (Regulas ievada 90. apsvērums);

28.1.2. Aprakstīti personas dati, to saņēmēji un glabāšanas termiņš;

28.1.3. Sniegts funkcionāls datu apstrādes darbību apraksts;

28.1.4. Identificēti līdzekļi (resursi), no kuriem iegūst personas datus (aparātūra, programmatūra, personas, dokumenti vai to nodošanas kanāli);

28.1.5. Novērtēta atbilstība apstiprinātajiem rīcības kodeksiem (VDAR 40. pants).

28.2. Tiek novērtēta datu apstrādes nepieciešamība un samērīgums (VDAR 35. panta 7. punkta b) apakšpunkts), balstoties uz šo metodiku:

28.2.1. Identificēti pasākumi, kas nodrošina atbilstību VDAR (VDAR 35.7.d) un ievada 90. apsvērums), ņemot vērā:

28.2.1.1. Pasākumus, kas nodrošina apstrādes samērīgumu un nepieciešamību, pamatojoties uz:

28.2.1.1.1. Noteiktiem, skaidri definētiem un likumīgiem mērķiem (VDAR 5.1.b) pants);

28.2.1.1.2. Apstrādes likumību (VDAR 6. pants);

28.2.1.1.3. Apstrādāti tiek adekvāti un atbilstoši dati, kas nepieciešami mērķu sasniegšanai (VDAR 5.1.c) pants);

28.2.1.1.4. Datu glabāšanas termiņu ierobežošana (VDAR 5.1.e) pants);

28.2.1.2. Pasākumus, kas nodrošina datu subjektu tiesību īstenošanu:

28.2.1.2.1. Informācijas sniegšana datu subjektam (VDAR 12., 13. un 14. pants);

28.2.1.2.2. Tiesības piekļūt datiem un tiesības uz datu pārnesamību (VDAR 15. un 20. pants);

28.2.1.2.3. Tiesības labot un dzēst datus (VDAR 16., 17. un 19. pants);

28.2.1.2.4. Tiesības iebilst un ierobežot apstrādi (VDAR 18., 19. un 21. pants);

28.2.1.2.5. Attiecības ar datu apstrādātājiem (VDAR 28. pants);

28.2.1.2.6. Aizsardzības pasākumi saistībā ar starptautisko datu pārsūtīšanu (VDAR V nodaļa);

28.2.1.2.7. Iepriekšēja konsultēšanās (VDAR 36. pants).

28.3. Risku vadība, kas var ietekmēt datu subjektu tiesības un brīvības (VDAR 35.7.c) pants):

28.3.1. Riska izcelsme, raksturs, specifika un nopietnība (ievada 84. apsvērums), no datu subjekta perspektīvas:

28.3.1.1. Ņemti vērā riska avoti (ievada 90. apsvērums);

28.3.1.2. Novērtēta iespējamā ietekme uz datu subjektu tiesībām un brīvībām, tostarp nesankcionēta piekļuve, nevēlamas izmaiņas vai datu zudums;

28.3.1.3. Identificēti draudi, kas var izraisīt šādus incidentus;

28.3.1.4. Novērtēta iespējamība un nopietnība (ievada 90. apsvērums);

28.3.2. Noteikti pasākumi šo risku pārvaldībai (VDAR 35.7.d) pants, ievada 90. apsvērums);

28.4. Iesaistītās puses:

28.4.1. Ņemti vērā datu aizsardzības speciālista ieteikumi (VDAR 35.2. pants);

28.4.2. Ja nepieciešams, ņemtas vērā datu subjektu vai viņu pārstāvju atsauksmes (VDAR 35.9. pants).

 

29. IETEKMES UZ DATU AIZSARDZĪBU NOVĒRTĒJUMA ZIŅOJUMS

29.1. Pēc ietekmes uz datu aizsardzību novērtējuma tiek sagatavots ziņojums, kurā aprakstīta novērtējuma gaita un rezultāti, kā arī norādīti konkrēti pasākumi, kas jāveic risku pārvaldībai, ja esošie pasākumi nav pietiekami.

29.2. Ja ietekmes novērtējuma ziņojumā konstatēts, ka pastāv augsts risks datu subjektu tiesībām un brīvībām, uzņēmuma vadītājs var pieņemt lēmumu atteikties no šīs datu apstrādes darbības.

29.3. Ja ziņojumā konstatēta nepieciešamība konsultēties ar Valsts datu aizsardzības inspekciju, datu aizsardzības speciālists un/vai atbildīgais darbinieks uzsāk konsultācijas ne vēlāk kā 1 mēneša laikā pēc ziņojuma apstiprināšanas dienas.

29.4. Konsultāciju laikā datu aizsardzības speciālists sniedz Valsts datu aizsardzības inspekcijai šādus dokumentus un informāciju:

29.4.1. Datu pārziņa, kopīgo pārzinu un apstrādātāju atbildības jomas datu apstrādes procesā;

29.4.2. Plānotās datu apstrādes mērķi;

29.4.3. Noteiktie aizsardzības pasākumi datu subjektu tiesību un brīvību aizsardzībai saskaņā ar Regulu un likumu;

29.4.4. Datu aizsardzības speciālista kontaktinformācija;

29.4.5. Ietekmes novērtējuma dokumentācija;

29.4.6. Cita informācija, ko pieprasa Valsts datu aizsardzības inspekcijas amatpersonas.

29.5. Ja nepieciešams, datu pārzinis veic ietekmes novērtējuma ziņojuma pārskatīšanu, lai pārliecinātos, ka dati tiek apstrādāti saskaņā ar ietekmes uz datu aizsardzību novērtējumu.

 

30. PERSONAS DATU DROŠĪBAS PĀRKĀPUMU PĀRVALDĪŠANAS UN REAĢĒŠANAS KĀRTĪBA

30.1. Datu pārziņa darbinieki, kuriem ir piekļuve datiem un kuri pamana datu drošības pārkāpumus (personu bezdarbību vai rīcību, kas var radīt vai rada apdraudējumu datu drošībai), nekavējoties informē datu aizsardzības speciālistu un/vai atbildīgo darbinieku un/vai savu tiešo vadītāju.

30.2. Izvērtējot datu aizsardzības pārkāpuma riskus, iespējamo ietekmes pakāpi, kaitējumu un sekas, datu aizsardzības speciālists un/vai atbildīgie darbinieki, pamatojoties uz Reaģēšanas uz personas datu drošības pārkāpumiem procedūru (Politikas pielikums Nr. 6), pieņem lēmumus par nepieciešamajiem pasākumiem pārkāpuma novēršanai un seku mazināšanai.

 

31. PRASĪBAS LĪGUMIEM PAR PERSONAS DATU APSTRĀDI

31.1. Noslēdzot līgumu ar datu apstrādātāju, datu pārzinim jāiekļauj līgumā noteikumi, kas aptver šādu informāciju:

31.1.1. Datu apstrādes priekšmets un ilgums;

31.1.2. Datu apstrādes raksturs un mērķi;

31.1.3. Datu veidi un datu subjektu kategorijas;

31.1.4. Puses tiesības un pienākumi, kas izriet no personas datu aizsardzības tiesiskā regulējuma;

31.1.5. Datu apstrādātāja pienākums rīkoties tikai saskaņā ar rakstiskiem datu pārziņa norādījumiem. Apstrādātājam ir tiesības pieņemt darbības un organizatoriskus lēmumus, kas nepieciešami pakalpojuma sniegšanai, ciktāl tie nemaina datu apstrādes mērķus;

31.1.6. Datu apstrādātāja darbinieku konfidencialitātes saistības. Līgumā jāparedz, ka apstrādātājs nodrošina, ka darbinieki, kas apstrādā personas datus, ir apņēmušies ievērot konfidencialitāti, izņemot gadījumus, kad šis pienākums izriet no tiesību aktiem;

31.1.7. Datu apstrādes drošības pasākumi. Līgumā datu apstrādātājam jāuzņemas saistības nodrošināt drošības līmeni, kas atbilst datu raksturam un ar tiem saistīto risku līmenim. VDAR 32. pants kā piemērus min pseidonimizāciju, šifrēšanu, apstrādes sistēmu un pakalpojumu konfidencialitāti u.c.;

31.1.8. Citu datu apstrādātāju iesaistīšana. Apstrādātājam jābūt pienākumam piesaistīt citus datu apstrādātājus tikai ar iepriekšēju datu pārziņa piekrišanu un noslēdzot ar tiem rakstisku līgumu ar tādiem pašiem nosacījumiem kā ar galveno apstrādātāju;

31.1.9. Palīdzība datu subjektu tiesību īstenošanā;

31.1.10. Palīdzība paziņojumu sniegšanā par datu drošības pārkāpumiem. Apstrādātājam ir pienākums nekavējoties informēt datu pārzini par jebkuru personas datu drošības pārkāpumu, kas kļuvis zināms;

31.1.11. Palīdzība ietekmes uz datu aizsardzību novērtējuma veikšanā;

31.1.12. Palīdzība konsultācijās ar uzraudzības iestādi;

31.1.13. Datu dzēšanas vai atgriešanas kārtība. Līgumā jāparedz, kas notiek ar apstrādātāja rīcībā esošajiem datiem pēc līguma izbeigšanas – tie var tikt saglabāti tikai tad, ja to paredz ES vai nacionālie tiesību akti;

31.1.14. Atbilstības pierādīšanas veidi – t.i., informācija, kas apliecina, ka apstrāde notiek atbilstoši prasībām;

31.1.15. Audita un pārbaužu iespējas. Palīdzība pārzinim vai tā pilnvarotam auditoram veikt auditu, tostarp pārbaudes.

31.2. Iepriekš minētos noteikumus var iekļaut gan pašā pamatlīgumā, gan arī atsevišķā vienošanās par personas datu apstrādes drošību.

 

32. PRIVĀTUMA PRINCIPU “PRIVACY BY DESIGN” UN “PRIVACY BY DEFAULT” IEVIEŠANAS VADLĪNIJAS

32.1. Ņemot vērā tehnoloģisko iespēju attīstības līmeni, ieviešanas izmaksas, datu apstrādes raksturu, apjomu, kontekstu un mērķus, kā arī iespējamos riskus fizisko personu tiesībām un brīvībām, Datu pārzinis gan nosakot datu apstrādes līdzekļus, gan apstrādes laikā ievieš atbilstošus tehniskos un organizatoriskos pasākumus.

32.2. Iebūvētais privātums (“privacy by design”) nozīmē, ka jebkura jauna programma vai sistēma, kas izmanto personas datus, tiek izstrādāta, ņemot vērā datu aizsardzību jau no paša sākuma un visā sistēmas dzīves ciklā.

32.3. Pasākumi, kas veicina iebūvētā privātuma principa ieviešanu:

32.3.1. Savākto datu apjoma ierobežošana;

32.3.2. Iespēja kontrolēt datu apstrādi;

32.3.3. Caurspīdīgums;

32.3.4. Lietotājam draudzīgu sistēmu ieviešana;

32.3.5. Datu konfidencialitātes un kvalitātes nodrošināšana;

32.3.6. Pseidonimizācija;

32.3.7. Pēc iespējas ātrāka datu anonimizācija;

32.3.8. Iespējas datu subjektiem sekot līdzi to datu apstrādei;

32.3.9. Iespējas pilnveidot un īstenot jaunus aizsardzības pasākumus;

32.3.10. Atbilstoša darbinieku apmācība;

32.3.11. Auditu veikšana un politikas pārskatīšana;

32.3.12. Datu izmantošanas ierobežošana.

32.4. Noklusējuma privātums (“privacy by default”) paredz, ka lietotnēs un sistēmās tiek piemēroti visstingrākie privātuma iestatījumi no to pieejamības brīža.

32.5. Pasākumi noklusējuma privātuma principa īstenošanai:

32.5.1. Noklusējuma režīmā tiek apstrādāti tikai tie dati, kas nepieciešami konkrētajam mērķim;

32.5.2. Tehniskie risinājumi izstrādāti tā, lai novērstu lieku datu apstrādi;

32.5.3. Privātuma aizsardzībai labvēlīgi noklusējuma iestatījumi;

32.5.4. Nebūtiskas funkcijas tiek aktivizētas tikai pēc nepieciešamības.

32.6. Šie pasākumi palīdz efektīvi īstenot datu aizsardzības principus, piemēram, datu minimizācijas principu, un nodrošina, ka datu apstrāde atbilst VDAR prasībām un aizsargā datu subjektu tiesības.

32.7. Šajā nodaļā izklāstīto mērķu īstenošana tiek nodrošināta, piemērojot ietekmes uz datu aizsardzību novērtēšanas procedūru, ja tas ir nepieciešams.

 

33. TEHNISKIE UN ORGANIZATORISKIE PERSONAS DATU DROŠĪBAS PASĀKUMI

33.1. Datu pārzinis īsteno organizatoriskos un tehniskos drošības pasākumus, kas nodrošina datu aizsardzības līmeni, atbilstošu pārziņa apstrādāto datu raksturam un apstrādes radītajiem riskiem.

33.2. Darbinieku personiskās lietas papīra formātā, kandidātu un klientu iesniegtie dokumenti un cita sensitīva rakstura informācija tiek glabāta slēdzamos skapjos un/vai slēdzamās telpās.

33.3. Lai aizsargātu automatizēti apstrādātos datus, tiek piemēroti šādi organizatoriski un tehniski drošības pasākumi:

33.3.1. Nodrošināta piekļuves aizsardzība, vadība un kontrole;

33.3.2. Piekļuve datiem piešķirta tikai personām, kurām tā ir nepieciešama darba funkciju veikšanai;

33.3.3. Datu subjekta dati tiek apstrādāti tikai saskaņā ar piešķirtajām tiesībām;

33.3.4. Piekļuves paroles:

33.3.4.1. Piešķirtas, mainītas un uzglabātas, nodrošinot to konfidencialitāti;

33.3.4.2. Unikālas, vismaz 8 simboli, neizmantojot personīgu informāciju;

33.3.4.3. Mainītas vismaz reizi 2 mēnešos;

33.3.4.4. Obligāti maināmas pirmajā pieslēgšanās reizē;

33.3.5. Nodrošināta aizsardzība pret neatļautu piekļuvi iekšējam tīklam;

33.3.6. Nodrošināta telpu, kurās glabājas dati, fiziskā drošība;

33.3.7. Nodrošināta datoru aizsardzība pret kaitīgām programmām (pretvīrusu programmas, to atjaunināšana u.c.);

33.3.8. Tiek kontrolēta piekļuve, reģistrējot autorizācijas un tiesību piešķiršanas mēģinājumus;

33.3.9. Tiek noteikts maksimālais atļauto neveiksmīgo pieslēgumu skaits;

33.3.10. Tiek reģistrēti pieslēgšanās ieraksti – identifikators, datums, laiks, ilgums, rezultāts. Glabāšana: vismaz 1 gads;

33.3.11. Meklēšanas pieprasījumos norādīts datu izmantošanas mērķis;

33.3.12. Datu pārsūtīšanā ārējiem tīkliem tiek izmantoti droši protokoli un/vai paroles;

33.3.13. Tiek kontrolēta ārējo datu nesēju un e-pasta informācijas drošība, dati pēc izmantošanas dzēsti un pārsūtīti uz datu bāzēm;

33.3.14. Tiek reģistrēta datu kopēšana un atjaunošana ārkārtas zaudēšanas gadījumā;

33.3.15. Informācijas sistēmu testēšanā netiek izmantoti reāli personas dati, izņemot, ja tas ir nepieciešams, un tiek piemēroti drošības pasākumi.

33.4. Datu pārzinis ievieš tehniskos un organizatoriskos pasākumus, lai standarta veidā apstrādātu tikai tos personas datus, kas nepieciešami konkrētam apstrādes mērķim – datu apjoma, apstrādes apjoma, glabāšanas laika un pieejamības aspektos. It īpaši – nodrošina, lai bez fiziskas personas iesaistes datiem nevarētu piekļūt neierobežots personu skaits.

33.5. Datu pārzinis veic nepieciešamos piesardzības pasākumus, lai nodrošinātu datu integritāti un nepieļautu bojājumus vai zudumu, tostarp veic nepieciešamos atjaunošanas pasākumus.

 

34. DARBINIEKU APMĀCĪBA

34.1. Datu pārzinis pēc nepieciešamības organizē apmācības darbiniekiem, kuriem ir tiesības pastāvīgi vai regulāri piekļūt personas datiem. Apmācību skaits nav ierobežots.

34.2. Visiem jaunajiem datu pārziņa darbiniekiem pirmajās reālajās darba dienās tiek organizētas apmācības par personas datu apstrādi, ko veic datu pārzinis.

34.3. Apmācību saturs ir veidots tā, lai palīdzētu darbiniekiem izpildīt savus darba pienākumus saskaņā ar VDAR un citiem personas datu aizsardzību regulējošiem tiesību aktiem. Apmācības ietver, bet neaprobežojas ar iepazīstināšanu pret parakstu ar šo Politiku, Konfidencialitātes deklarāciju (Politikas pielikums Nr. 4), kā arī, ja nepieciešams, ar Privātuma noteikumiem, kas piemērojami tīmekļa vietnēm un interneta veikaliem, citiem iekšējiem noteikumiem, kas attiecas uz uzvedību tiešsaistē, tehniskajiem un administratīvajiem pasākumiem, ko jāievēro katram darbiniekam atbilstoši viņa amata pienākumiem, un citu saistīto informāciju un labo praksi. Apmācības ietver arī galveno jēdzienu skaidrojumu: datu pārzinis, datu apstrādātājs, datu subjekts, personas dati, datu apstrāde, īpašas kategorijas personas dati.

34.4. Apmācības tiek dokumentētas, norādot datumu, tēmu, dalībniekus un citu būtisko informāciju.

34.5. Datu pārziņa darbiniekiem ir jāievēro konfidencialitāte un jāglabā noslēpumā jebkāda informācija par personas datiem, ar kuru tie iepazinušies, pildot savus pienākumus, ja vien šī informācija nav publiski pieejama saskaņā ar spēkā esošajiem normatīvajiem aktiem.

34.6. Datu pārziņa darbiniekiem datu aizsardzības jautājumos konsultācijas, informāciju un apmācības nodrošina datu aizsardzības speciālists (ja tāds ir iecelts) un/vai darbinieks, kurš atbild par datu aizsardzību, un/vai ārēji nolīgts speciālists vai uzņēmums atbilstoši reālajām vajadzībām.

34.7. Pamatojoties uz LR Darba likuma 27. panta trešo daļu, darbinieki pirms amata pienākumu uzsākšanas tiek iepazīstināti ar informācijas un komunikācijas tehnoloģiju izmantošanas kārtību, kā arī darbinieku uzraudzības un kontroles kārtību darbavietā (Politikas pielikums Nr. 9).

34.8. Darbinieki, kuru pienākumos ietilpst tīmekļa vietņu administrēšana, ir pienākums iepazīties un ievērot šajās vietnēs publicēto Privātuma politiku.

34.9. Jebkurš darbinieks, kuram rodas aizdomas, ka uzņēmumā esošie tehniskie un organizatoriskie drošības pasākumi nenodrošina pietiekamu datu aizsardzību, nekavējoties informē datu aizsardzības speciālistu (ja tāds ir iecelts) un datu pārzini.

 

35. DATORTEHNIKAS UN PROGRAMMATŪRAS LIETOŠANA

35.1. Datoru var kopīgi izmantot visi datu pārziņa darbinieki, to grupa vai tas var būt piešķirts konkrētam darbiniekam. Datoru, ko parasti izmanto konkrēts darbinieks, drīkst izmantot arī citi datu pārziņa darbinieki, ja rodas nepieciešamība to izmantot darba pienākumu veikšanai.

35.2. Darbiniekam ir aizliegts izjaukt, demontēt vai citādi pārveidot datoru. Tāpat darbiniekam ir aizliegts datorā lejupielādēt, instalēt programmatūru, atvērt aizliegtas vai neatļauti instalētas programmas.

35.3. Stingri aizliegts datoru izmantot jebkādiem ar tiešo darba pienākumu veikšanu nesaistītiem mērķiem, gan darba laikā, gan pēc tā (tostarp, bet ne tikai, personīgās informācijas, failu, kas nav saistīti ar darbu (mūzika, spēles, video, attēli u.c.) glabāšanai datorā). Aizliegts datoru izmantot pārlūkošanai interneta vietnēs, kas nav saistītas ar darba pienākumiem. Dators, tostarp piešķirtā e-pasta adrese, drīkst tikt izmantots tikai darba pienākumu veikšanai.

35.4. Darbiniekam ir aizliegts izmantot piešķirto e-pastu un citus elektroniskās komunikācijas līdzekļus personīgām vajadzībām, t.i., darbinieks nedrīkst saņemt personīgus vai ar darbu nesaistītus ziņojumus un/vai failus uz darba e-pasta adresi, kā arī nedrīkst sūtīt no tā ar darbu nesaistītu vai personīgu informāciju.

35.5. Darbiniekiem ir aizliegts izmantot datoru krāpniecībai, nesaistītas reklāmas vai personīga labuma gūšanai, skatīties, lejupielādēt, uzglabāt vai izplatīt nelegālus ierakstus, programmas, izmantot failu apmaiņas programmas, spēlēt spēles, lietot sociālos tīklus un līdzīgas vietnes.

35.6. Ja darbiniekam ir neskaidrs e-pasta ziņojuma vai pielikuma saturs vai tas neatveras, viņam nekavējoties jāsazinās ar atbildīgo personu, norādot problēmu.

35.7. Darbiniekam nav tiesību darba laikā vai pēc tā izmantot datoru savu personīgo e-pastu vai citu komunikācijas rīku pārbaudei.

35.8. Darbiniekam ir jālieto dators atbilstoši datoru uzturēšanā atbildīgās personas vai ārējā pakalpojumu sniedzēja pārstāvja ieteikumiem. Par bojājumiem vai traucējumiem jāziņo nekavējoties.

35.9. Datu pārziņa pieprasījuma gadījumā vai darba attiecību izbeigšanas laikā (ne vēlāk kā pēdējā darba dienā), darbiniekam jāatgriež viss dators aprīkojums labā stāvoklī (ņemot vērā normālu nolietojumu), tostarp nemateriālais īpašums un tajā esošā ar darbu saistītā informācija.

35.10. Darbiniekam ir stingri aizliegts izplatīt datu pārziņa konfidenciālu informāciju vai komercnoslēpumus internetā vai nosūtīt tos trešajām personām, kam nav tiesību ar tiem iepazīties. Šādas darbības (t.sk. sūtīšana uz personīgo e-pastu, kopēšana personīgām vajadzībām) tiek uzskatītas par smagu darba kārtības pārkāpumu.

35.11. Par datoru tehnisko stāvokli atbild datu pārziņa norīkota persona. Nomas iekārtu apkopi regulē nomas līgumi.

35.12. Par ikdienas aprīkojuma uzturēšanu atbild to lietojošais darbinieks.

35.13. Bojājumi jānovērš uzreiz pēc to konstatēšanas. Darbiniekiem bez nepieciešamās kvalifikācijas ir aizliegts veikt remontu – viņiem jāziņo uzturēšanā atbildīgajai personai.

35.14. Datoru apdrošināšanu (ja tiek piemērota) un pārbaudes organizē datu pārziņa norīkota persona.

35.15. Pārbaudes laikā atbildīgā persona pārbauda gan datoru, gan nepieciešamās programmatūras darbību.

 

36. ATBILDĪBA

36.1. Darbiniekiem, kuri pārkāpj VDAR, VDAĪ vai citus tiesību aktus, kas regulē personas datu apstrādi un aizsardzību, vai šajā Politikā noteiktos pienākumus, tiek piemērota atbildība saskaņā ar Lietuvas Republikas tiesību aktiem.

 

37. NOSLĒGUMA NOTEIKUMI

37.1. Par Politikas apstiprināšanu ir atbildīgs datu pārziņa vadītājs. Par Politikas ieviešanu, tās īstenošanas kontroli, atjaunināšanu un citu šajā Politikā norādīto darbību veikšanu atbild datu aizsardzības speciālists (ja tāds ir iecelts) un/vai datu pārziņa norīkots darbinieks, atbilstoši savai kompetencei.
37.2. Politika tiek pārskatīta un var tikt mainīta reizi kalendārajā gadā pēc datu pārziņa iniciatīvas un/vai mainoties tiesību aktiem, kas regulē personas datu apstrādi.
37.3. Politika un tās grozījumi stājas spēkā no to apstiprināšanas dienas. Darbinieki ar Politiku un tās grozījumiem tiek iepazīstināti parakstoties.

SAZINIETIES:

Ja jums ir jautājumi par šīs Privātuma politikas noteikumiem, lūdzu, sazinieties ar mums:

Mob.: +370 68717664

E-pasts: [email protected]

Adrese: UAB „Thinking Organisations“, Genio g. 15-1, LT-00169, Palanga, Lietuva

Atjaunināts: 2026. gada 17. aprīlī