APSTIPRINĀTI

Ar SIA”SKPANATTA”

Valdes 2018. gada 10. maijs lēmumu Nr. 01/05/18-1

SIA “PANATTA” IEKŠĒJIE DATU APSTRĀDES NOTEIKUMI

1. Ievads

(1) Šie noteikumi ir izdoti saskaņā ar Eiropas Parlamenta un Padomes regulas (ES) 2016/679, turpmāk tekstā – Regula, prasībām. Iekšējie datu apstrādes aizsardzības noteikumi nosaka personas datu apstrādes drošību SIA “SKPANATTA” informācijas sistēmās un ir saistoši visiem SIA “SKPANATTA” darbiniekiem.

(2) Šis ir konfidenciāls dokuments.

(3) Personas datu apstrāde notiek atbilstoši  Regulas un citu spēkā esošo normatīvo aktu prasībām šādiem vispārējiem mērķiem:

  • Pakalpojumu nodrošināšanai, tai skaitā, lai slēgtu līgumus ar klientiem, pildītu līgumos un likumos paredzētās saistības, veiktu klientu un klientu norēķinu grāmatvedības uzskaiti;
  • Klientu attiecību pārvaldībai, analīzei un pakalpojumu attīstīšanai;
  • Saziņai ar klientiem;
  • Mārketinga pasākumu īstenošanai.

2. Personas dati un personas datu apstrāde – vispārīgie noteikumi

(1) Veicot personas datu apstrādi SIA “SKPANATTA” darbiniekiem ir jāievēro Regulas, citu normatīvo aktu prasības, kā arī šo noteikumu un SIA “SKPANATTA” apstiprinātās Privātuma aizsardzības politikas noteikumi, kas atrodami SIA “SKPANATTA” tīmekļa vietnē www.skpanatta.lv.

(2) Šajos noteikumos tiek lietotas sekojošas definīcijas:

a.  Datu subjekts ir fiziskā persona, kuru var tieši vai netieši indentificēt;

b. Personas dati ir jebkāda informācija, kas attiecas identificētu vai identificējamu fizisko personu.

c. Personas datu apstrāde ir jebkuras ar personas datiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārvietošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu u.c. darbības ar personas datiem.

d. Personas datu saņēmēji ir SIA “SKPANATTA” darbinieki, valde, tirgus un sabiedriskās domas izpētes kompānijas, subjekts par sevi, kā arī jebkuras citas fiziskas vai juridiskas personas, kurām fiziski tiks nodoti personas dati.

e.  Trešā persona – jebkura fiziskā vai juridiskā persona, izņemot datu subjektu, pārzini, personas datu apstrādātāju un personas, kuras tieši pilnvarojis pārzinis – SIA “SKPANATTA”.

f.    Personas datu apstrādes sistēma – jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus personu identificējošos kritērijus.

g.   Pārzinis – SIA “SKPANATTA”

h.   Personas datu apstrādātājs – SIA “SKPANATTA”, Reģ.Nr. 4003926557, Uzvaras pr. 3-4. Baloži, Ķekavas nov., LV-2128.

i.  Sensitīvie personas dati (īpašas kategorijas dati) – personas dati, kas  sniedz informāciju par personas veselību. Dati apstrādājami, ja datu subjekts ir devis nepārprotamu piekrišanu šo datu apstrādei.

(3) SIA “SKPANATTA” veic personas datu apstrādi, pamatojoties uz Regulas un citu normatīvo aktu prasībām. Sensitīvo personas datu (īpašas kategorijas datu) apstrāde ir aizliegta, izņemot Regulas 9.pantā norādītos gadījumus.

(8) SIA “SKPANATTA” izmanto personas datu apstrādē sekojošus personas datu veidus:

a. personas vārds, uzvārds;

b. personas kods;

c. dzimums;

d. kontaktinformācija (pasta adrese, e-pasta adrese, tālruņa numurs);

e. klienta vai tml. attiecību sākuma un beigu datums;

f. klientu pirkto pakalpojumu vēsture un savstarpējo norēķinu informācija;

g. klientu pieteikto  sūdzību informācija un vēsture;

h. klientam nosūtītās kampaņas un mārketinga aktivitātes, to lietojums;

i. klienta intereses un cita klientu sniegtā informācija, piemēram, vēlamo nodarbību (fizisko aktivitāšu) veidi u.c.;

j. klientu ierīču (piemēram, datoru un mobilo ierīču) sūtītie tehniskie dati, kā arī ar sīkdatnēm un citām līdzīgām tehnoloģijām saistīta informācija;

k. e-pasta un tērzēšanas sarakste;

l. klientu atsauksmes un sūdzības un ar minēto saistītā sarakste.

(Telefona numurs, adrese vai cita informācija bez sasaistes ar identificētu vai identificējamu personu nav personas dati)

3. Atbildīgās personas par personas datu apstrādi

4. Par informācijas resursiem, tehniskajiem resursiem un personas datu aizsardzību atbildīgās personas un to pienākumi.

             a.  Par informācijas resursiem ir atbildīgs Administrators un Valde.

             b.   Informācijas resursu turētājs:

                       i.  nodrošina loģiskās aizsardzības pasākumus;

                       ii. nodrošina informācijas resursu darbības atjaunošanu, ja noticis tehnisko resursu bojājums vai arī informācijas resursu darbība ir tikusi traucēta citu iemeslu dēļ.

             c.  Par tehniskajiem resursiem ir atbildīgs tehnisko resursu turētājs – IT sistēmu administrators.

             d.   Tehnisko resursu turētājs:

                            i. nodrošina fiziskās aizsardzības pasākumus;

                            ii. nodrošina tehnisko resursu darbspēju;

                            iii. nodrošina tehnisko resursu atjaunošanu vai nomaiņu, ja tie bojāti.

              e. Par personas datu aizsardzību uzņēmumā atbild SIA “SKPANATTA” valdes priekšsēdētājs.

              f.  Atbildīgais par personu datu aizsardzību organizē un kontrolē personas datu apstrādes atbilstību likuma prasībām.

              g.  Par personāla dokumentācijas un ar to saistīto personas datu apstrādes atbilstību normatīvo aktu prasībām atbild Administrators.

              h.  Administrators:

                           i. Nodrošina un kontrolē personāla dokumentācijas un tajā iekļauto personas datu apstrādes atbilstību likuma prasībām.

                            ii. Nodrošina ar personāla vadību saistīto procesu atbilstību likuma prasībām, tai skaitā attiecībā uz minētajos procesos veikto personas datu apstrādi.

5. Personas datu apstrādes kārtība

(1) Pārzinis veic personas datu apstrādi gan manuāli (papīra formā, iekļaujot tos līgumos, vēstulēs un aktos u.c.dokumentos), gan elektroniski, apstrādājot personas datus SIA “SKPANATTA” elektroniskajā klientu reģistrācijas programmā un elektroniskajās grāmatvedības uzskaites programmās.

(2) Personas datu vākšana no klientiem veic SIA “SKPANATTA” Administrators, turpmāk tekstā Administrators, ievērojot šo noteikumu, Regulas un citu personas datu apstrādi regulējošo normatīvo aktu prasības.

(3) Personas datus Administrators vāc no klientiem savstarpējās pārrunās, no elektroniskās sarakstes, kā arī šo noteikumu pielikumā Nr.1 formas anketas, kuru aizpilda klienti.

(4) Gatavojot līgumu projektus Administratoram ir tiesības un pienākums pieprasīt no klientiem, lai tiek uzrādīti personu apliecinoši dokumenti (pases, personas identifikācijas kartes u.c.) oriģināli. Nav atļauts izgatavot un glabāt minēto dokumentu kopijas.

(5) Administratoram pirms klienta personas datu saņemšanas ir jāinformē klients paredzēto personas datu apstrādes mērķi un pamatojums, kā arī jāpārliecinās, ka ir saņemta klienta nepārprotama piekrišana klienta datu apstrādei.

(6) Pēc klienta pieprasījuma Administratoram ir pienākums sniegt arī šādu informāciju:

(a) iespējamie personas datu saņēmēji,

(b) klienta tiesībām piekļūt saviem personas datiem un izdarīt tajos labojumus,

(7) Grāmatvedības pakalpojumu sniedzējs veic informācijas nesēju, kuros ir personas dati (līgumi, rēķini, pavadzīmes, anketas, citi dokumenti) registrāciju, sakārtošanu, pārveidošanu, nodošanu, kopēšanu un cirta veidi apstrādi. Valde un Administrators ir tiesīgas tikai veikt šo datu apskati bez tiesībām veikt jebkādus grozījumus vai izmaiņas tajos.

(8) Administrators un Valde ir atbildīgi par personas datu pareizību un to savlaicīgu atjaunošanu, labošanu vai dzēšanu, ja personas dati ir nepilnīgi vai neprecīzi, kā arī nodrošina personas datu uzglabāšanu, sniegšanu, izpaušanu un nodošanu saskaņā ar Regulā, citos normatīvajos aktos un šajos noteikumos minētajām prasībām.

(9) Administrators un Valde, nododot personas datus, nodrošina informācijas saglabāšanu par:

a. personas datu nodošanas laiku;

b. personu, kas nodevusi personas datus;

c. personu, kas saņēmusi personas datus;

d. personas datiem, kas tikuši nodoti.

Minētā informācija tiek saglabāta rakstveidā un uzglabāta katra klienta lietā arhīvā saskaņā ar SIA “SKPANATTA” lietvedības instrukciju.

(10) Administratoram ir pienākums ziņot SIA “SKPANATTA” valdei un tehnisko resursu turētājam par izmantojamās datu apstrādes sistēmas nepilnībām, drošības incidentiem, iespējamiem darbības traucējumiem, kā arī ziņot SIA “SKPANATTA” valdei par iespējamo pārkāpumu personas datu apstrādē.

(11) Personas datu apstrāde šajos noteikumos neparedzētam mērķim ir pieļaujama tikai, saņemot klienta rakstveida piekrišanu.

Nododot personas datus trešajām personām ir nepieciešams kāds no Regulā minētajiem tiesiskajiem pamatiem. Personas datu publiskošana, izpaušana trešajām personām, piemēram, iekļaušana publiskajās interneta datu bāzes, publicēšana, nav pieļaujama, ja nav saņemta klienta piekrišana. Personas datu izpaušana trešajām personām var būt arī e-pasta nosūtīšana vairākiem vienā elektroniskā pasta sūtījumā paredzētiem adresātiem, ja katrs adresāts redz arī pārējo šī paša sūtījuma adresātu elektroniskā pasta adreses).

(12) Administratoram nav atļauts bez saskaņojuma ar SIA “SKPANATTA” valdi veikt personas datu iznīcināšanu.

(13) Faksu, skaneru un distances saziņas līdzekļu, kurus izmantojot iespējams individuāls kontakts ar klientu, ir atļauts izmantot saziņai ar klientiem komerciālos (reklāmas) nolūkos tikai tādā gadījumā, ja ir saņemta klienta nepārprotama piekrišana. Izmantojot tālruni, Administratora vai citas personas, kas vēršas pie klienta komerciālos (reklāmas) nolūkos, pienākums ir sarunas sākumā informēt klientu par savu identitāti un zvana komerciālo raksturu (attiecībā uz komerciālo paziņojumu tiesisko statusu un saturu, izsūtot reklāmu pa e-pastu vai citādi ir jāievēro Informācijas sabiedrības pakalpojumu likuma, Reklāmas likuma, kā arī citu augstākminēto regulējošo normatīvo aktu noteikumi).

6. Personas datu tehniskā aizsardzība

(1) Ārkārtas gadījumos (piemēram, ugunsgrēkā, aplaupīšanā, eksplozijā u.c.), lai veiktu personas datu aizsardzību, ir jārīkojas saskaņā ar normatīvo aktu prasībām.

(2) Apstrādājot personas datus elektroniski, SIA “SKPANATTA” Administratoram un Valdei ir jāievēro SIA “SKPANATTA” informācijas sistēmas lietošanas noteikumi, tai skaitā arī attiecībā uz paroles garumu un uzbūves nosacījumiem, paroles lietošanas kārtību, kā arī laika posmu, pēc kura nomaināma parole u.c., kā arī jāievēro SIA “SKPANATTA” darba kārtības noteikumi.

(3) Informācijas nesēju (līgumu ar klientiem un darbiniekiem) glabāšana tiek nodrošināta  metāla slēdzamā skapī. Atslēga tiek glabāta pie Administratora un izsniegta, reģistrējot atslēgas izsniegšanas faktu žurnālā.

7. Personas datu lietotāju tiesības, pienākumi, ierobežojumi un atbildība

(1) Pārziņa personas datu lietotāji:

Nr.

Amats

Tiesības veikt personas datu vākšanu no klientiem, personas datu ievadīšanu, reģistrēšanu un pārveidošanu

1

Administrators

Ir

2

Valde

Ir

3

Grāmatvedības pakalpojumu sniedzējs

Ir

4

Treneri

Nav

5

IT speciālists

Ir

(2) SIA “SKPANATTA” darbiniekiem un ārpakalpojuma sniedzējiem ir pienākums:

a.  veikt personas datu apstrādi godprātīgi un likumīgi, ievērojot šajos noteikumos un normatīvajos aktos paredzēto kārtību un prasības;

b.    veikt datu apstrādi tikai atbilstoši šajos noteikumos paredzētajam mērķim savu pilnvaru ietvaros un tam nepieciešamajā apjomā;

c.     nelikumīgi neizpaust personas datus, tai skaitā arī pēc darba tiesisko vai līgumisko attiecību izbeigšanās.

(3) SIA “SKPANATTA” darbinieki un ŗpakalpojumu sniedzēji ir atbildīgi SIA “SKPANATTA” par visiem zaudējumiem, kas tai kā pārzinim būs radušies sakarā ar minēto personu darbību vai bezdarbību, kas ir pretrunā ar šajos noteikumos paredzētajām prasībām.

8. Personas datu sniegšana, izpaušana un nodošana

(1) Personas datu izpaušana ir pieļaujama Regulā un citos normatīvajos aktos noteiktajos gadījumos valsts un pašvaldību amatpersonām. Pirms personas datu izpaušanas minētās amatpersonas ir jāidentificē. Personas datus var izpaust, pamatojoties uz rakstveida iesniegumu vai vienošanos, norādot datu izmantošanas mērķi, ja likumā nav noteikts citādi. Personas datu pieprasījumā ir jābūt norādītai informācijai, kas ļauj identificēt datu pieprasītāju un klientu, kā arī pieprasāmo personas datu apjomu.

(2) Klientam ir tiesības iegūt visu informāciju, kas par viņu savākta jebkurā personas datu apstrādes sistēmā.  Klientam ir tiesības iegūt  informāciju par tām fiziskajām vai jurdiskajām personām, kuras noteiktā laika posmā ir saņēmušas informāciju par klientu. Klientam sniedzamajā informācijā ir aizliegts iekļaut valsts institūcijas, kuras ir kriminālprocesa virzītāji, operatīvās darbības subjekti, VID vai citas institūcijas, par kurām likums aizliedz šādas ziņas izpaust.

(3) Klientam ir tiesības pieprasīt arī šādu informāciju:

a. pārziņa nosaukums, adrese;

b. personas datu apstrādes mērķis, apjoms, veids;

c. datums, kad klienta personas datos pēdējo reizi ir izdarīti labojumi, dati dzēsti vai bloķēti;

d. personas datu ieguves avots;

e. automatizētajā apstrādes sistēmā izmantotās apstrādes metodes, par kuru piemērošanu tiek pieņemti individuāli automatizēti lēmumi.

(4) Minētā informācija ir sniedzama bez maksas rakstveidā mēneša laikā no klienta attiecīgā rakstveida pieprasījuma saņemšanas dienas, bet ne biežāk kā 2 (divi) reizes gadā.

(5) Klientam ir tiesības pieprasīt, lai viņa personas datus papildina vai izlabo, kā arī pārtrauc to apstrādi vai iznīcina tos, ja personas dati ir nepilnīgi, novecojoši, pretlikumīgi apstrādāti vai arī tie vairs nav nepieciešami vākšanas mērķim. Klientam minētā prasība ir jāpamato. Ja šāda klienta prasība izrādās pamatota, tad pārdevējiem ir pienākums nekavējoties novērst šo nepilnību vai pārkāpumu un par to paziņot trešajām personām, kas iepriekš ir saņēmušas apstrādātos datus.

(6) Klientam pieprasījums ir jāizskata un ir jāsniedz klientam rakstveida pamatota atbilde par pieprasījuma izskatīšanu viena mēneša laikā no attiecīgā pieprasījuma iesniegšanas dienas.