Apstiprinu

SIA “Sertifikācijas centrs”

Reģistrācijas Nr.: 40103527277

Valdes priekšsēdētājs Ainārs Saulītis

 

________________________

2019.gada 3.janvārī

 

 

 

 

SIA “Sertifikācijas centrs”

PERSONAS DATU APSTRĀDES NOLIKUMS

 

 

 

 

 

 

 

 

 

 

 

Satura rādītājs

 

1. 1.        Definīcijas3
2. 2.        Vispārīgie noteikumi3

2.1.                Ievads 3

2.2.               Mērķis4

2.3.               Piemērošanas joma4

1. 3.        Datu subjekta tiesības4

3.1.                Datu glabāšana 4

3.2.               Piekļuves tiesības 4

3.3.               Tiesības labot vai dzēst datus4

3.4.               Datu subjekta tiesības iebilst pret datu apstrādi un ierobežot to5

3.5.               Tiesības atsaukt piekrišanu 6

3.6.               Tiesības uz datu pārnesamību  6

3.7.               Tiesības nebūt par automatizēta individuāla lēmuma, tostarp profilēšanas, subjektu 6

3.8.               Tiesības sūdzēties un tiesības saņemt kompensāciju 6

1. 4.        Datu apstrādes principi 6
2. 5.        Personas datu tiesiskas apstrādes pamati7
3. 6.        Personas datu reģistra aktualitāte8
4. 7.        Īpašo kategoriju personas datu apstrāde9
5. 8.        Konfidencialitāte9
6. 9.        Personas datu drošības prasība           10
7. 10.     Datu aizsardzības pārkāpumi un ziņošana par tiem10
8. 11.      Personas datu nodošana11

11.1.              Līguma datu apstrāde 11

11.2.             Vispārēja informācija 11

11.3.             Līgumiskās saistības 11

11.4.             Pasākumu kontrole 11

1. 12.     Datu pārsūtīšana uz trešajām valstīm11
2. 13.      Sadarbība ar datu valsts inspekciju un citi jautājumu12

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. 1.        Definīcijas

 

Pārzinis – SIA “Sertifikācijas centrs”Reģ. Nr. 40103527277, Juridiskā adrese: Aptiekas iela 17A, Rīga, LV-1005,  mājas lapa: http://www.persc.lv,  tālr.:  +371 67885160, e-pasts: info@persc.lv

1. 1. 

1.1. 

Personas dati - jebkura informācija, kas attiecas uz identificētu vai identificējamu datu subjektu.

Tāpat ar datiem ir saprotama jebkādā formā fiksēta informācija, t.i., gan rakstiski papīra formātā, gan elektroniskā formātā, gan audio un videoierakstos fiksēta informācija;

Īpašo personas datu kategorijas personas dati - personas dati, kas atklāj rasi vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, kā arī, ģenētiskie dati, biometriskie dati, lai veiktu fiziskas personas unikālu identifikāciju, veselības dati vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju;

Personas datu apstrāde - jebkuras ar personas datiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu. Noteikumi tiek piemēroti jebkāda veida personas datu apstrādei – manuālai un datorizētai;

Datu subjekts – sertifikanti, apmācāmie, eksperti, speciālisti, klienti, juridisko klientu pārstāvji,  darbinieki, praktikanti  un jebkura cita identificēta vai identificējama fiziska persona, kuras datus apstrādā  Pārzinis.

 

Datu aizsardzības pārkāpums - drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

Datu aizsardzības speciālists – Dagnija Baldiņa, apliecības Nr.502, ko ir iecēlusi SIA “Sertifikācijas centrs” un kas pilda Datu aizsardzības speciālista uzdevumus un ir sasniedzama, izmantojot e-pastu dagnija.baldina@persc.lv

Regula - Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016.gada 27.aprīlis) par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46EK (Vispārīgā datu aizsardzības regula, pieejama: https://eur-lex.europa.eu/legal-content/LV/TXT/?uri=CELEX%3A32016R0679).  

 

1. 2.        Vispārīgie noteikumi

2.1.                Ievads

SIA “Sertifikācijas centrs” ir apņēmusies nodrošināt Personas datu aizsardzību un īpaši rūpīgu to apstrādi. SIA “Sertifikācijas centrs”ir būtiska tās rīcībā esošo fizisko personu datu aizsardzība un privātuma nodrošināšana. 

2.2.               Mērķis

Šis nolikums nosaka vispārējo personas datu apstrādes kārtību kādā SIA “Sertifikācijas centrs” nodrošina godprātīgu un likumīgu fizisko personu datu apstrādi.

Šis nolikums nosaka kārtību, kā rīkoties ar Personas datiem. Tā nosaka SIA “Sertifikācijas centrs” minimālās prasības un principus Personas datu apstrādei un aizsardzībai. Kā arī personas datu subjekta tiesības un savu tiesību īstenošanas kārtību SIA “Sertifikācijas centrs”.

2.3.               Piemērošanas joma

Šis nolikums ir piemērojams jebkādai Personas datu apstrādei un  saistošs visiem SIA “Sertifikācijas centrs” darbiniekiem, pakalpojuma sniedzējiem, praktikantiem un citām personām, kas Pārziņa vārdā apstrādā personas datus.

Šis nolikums ir piemērojams papildus Latvijas Republikā piemērojamo normatīvo aktu (t.sk., Regulas) prasībām un atspoguļo minimālo standartu, kas tiek piemērots SIA “Sertifikācijas centrs” pārziņā esošajai Personas datu apstrādei.

 Gadījumā, ja piemērojamie tiesību akti paredz stingrākas prasības kā šajā nolikumā, tiek piemēroti attiecīgo piemērojamo tiesību aktu prasības.

Šis nolikums aizstāj visas iepriekšējās vadlīnijas attiecīgajā jomā. Izņēmums no šī punkta ir tādi iekšēji noteikumi, kuri ir saskaņā ar šo nolikumu un ietver detalizētāku šajā nolikumā noteikta jautājuma īstenošanas kārtību.

Šī nolikuma saturs ir piemērojams arī visiem Personu datu apstrādātājiem (sadarbības partneriem), kuri veic apstrādi SIA “Sertifikācijas centrs”uzdevumā un kuriem SIA “Sertifikācijas centrs”nodod Personas datus, tai skaitā,  tiek piešķirta piekļuve šādiem datiem.

1. 3.  Datu subjekta tiesības

 

Savu tiesību īstenošanai, datu apstrādes subjekts var griezties ar rakstveida iesniegumu

• klātienē,  “Sertifikācijas centrs” juridiskajā adresē: Aptiekas iela 17A, Rīga, LV-1005.
• elektroniskā pasta veidā, parakstot ar drošu elektronisko parakstu, uz e-pastu: info@persc.lv

Iesniegums tiek izskatīts un atbilde uz pieprasījumu sniegta ne vēlāk kā mēneša laikā no iesnieguma saņemšanas brīža formā, kādā to pieprasījis iesnieguma iesniedzējs.

 

3.1.                Datu glabāšana

 

SIA “Sertifikācijas centrs” glabās Datu subjekta personas datus, kamēr tiks apstrādāti Datu subjekta pieprasījumi un veiktas atsevišķos normatīvos aktos paredzētās darbības un nebūs pagājis likumā noteiktais noilgums attiecībā uz pieprasījumiem.

 

Neatkarīgi no tā, vai SIA “Sertifikācijas centrs” veic Datu subjekta personas datu apstrādi, pamatojoties uz vienošanos, kas noslēgta ar Datu subjektu,  Datu subjekta pieprasījuma vai uz kāda cita likumā noteikta pamata, datu subjektam  ir šādas tiesības:

 

3.2.               Piekļuves tiesības

 

Datu subjektam ir tiesības sazināties ar  SIA “Sertifikācijas centrs”datu aizsardzības speciālistu Dagniju Baldiņu, kura kontaktinformācija ir dagnija.baldina@persc.lv; t.29419666;

 

Datu subjektam ir tiesības no SIA “Sertifikācijas centrs”iegūt apstiprinājumu par to, vai SIA “Sertifikācijas centrs” ir apstrādājusi jebkādu personisko informāciju.

 

Datu subjektam ir tiesības piekļūt apstrādātajai personiskai informācijai, iegūt tās bezmaksas kopiju (izņemot vairākkārtēju vai pārmērīgu pieprasījumu gadījumā), izņemot, ja piemērojamie tiesību akti datu aizsardzības jomā paredz citādi, un tiesības iegūt informāciju par šādu datu apstrādi, tostarp:

3.2.1.           Datu apstrādes nolūki;

3.2.2.           Attiecīgo personas datu kategorijas;

3.2.3.           Personas datu saņēmēji vai saņēmēju kategorijas, jo īpaši tādi saņēmēji, kas atrodas ārpus Eiropas Savienības vai Eiropas Ekonomiskās Zonas;

3.2.4.           Iecerētais datu glabāšanas periods vai, ja tas nav zināms, tā noteikšanai izmantotie kritēriji. Tiesības pieprasīt personas datu labošanu vai dzēšanu, kā arī tiesības iebilst to apstrādei vai arī pieprasīt tās ierobežošanu;

3.2.5.           Informācija par to no kādiem avotiem dati tika iegūti, ja dati netika iegūti no Datu subjekta;

3.2.6.           Datu subjekts tiks informēs par atbilstošajiem drošības pasākumiem, kas saistīti ar pārsūtīšanu, ja Datu subjekta personas dati tiks nosūtīti ārpus Eiropas Savienības vai Eiropas Ekonomiskās Zonas.

 

3.3.               Tiesības labot vai dzēst datus

 

Datu subjektam ir tiesības prasīt SIA “Sertifikācijas centrs” veikt ar Datu subjekta saistītu neprecīzu, nepilnīgu vai novecojušu personas datu savlaicīgu labošanu.

 

Datu subjektam ir tiesības prasīt SIA “Sertifikācijas centrs” savlaicīgu Datu subjekta personas datu dzēšanu šādos gadījumos:

3.3.1.            personas dati vairs nav nepieciešami saistībā ar nolūku, kādam tie tika iegūti vai apstrādāti;

3.3.2.           Datu subjekts atsauc savu piekrišanu, uz kuras tika balstīta datu apstrāde, un nepastāv cits tiesisks pamats šādai apstrādei;

SIA “Sertifikācijas centrs” var atteikties dzēst personas datus, ja šo datu apstrāde nepieciešama:

3.3.3.           lai izmantotu tiesības uz vārda un informācijas brīvību;

3.3.4.           lai nodrošinātu, ka tiek pildīts SIA “Sertifikācijas centrs” juridiskais pienākums, kas noteikts piemērojamos normatīvajos tiesību aktos un lai izpildītu uzdevumu , ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo  pilnvaru īstenošanu;

3.3.5.           SIA “Sertifikācijas centrs”interesēs saistībā ar sabiedrības veselību, zinātnisku vai vēsturisku izpēti vai statistikas mērķiem; vai

3.3.6.           likumīgu prasību celšanai, īstenošanai vai aizstāvēšanai.

 

 

3.4.               Datu subjekta tiesības iebilst pret datu apstrādi un ierobežot to

 

Datu subjektam ir tiesības lūgt ierobežot savu personas datu apstrādi šādos gadījumos:

3.4.1.           Datu subjekts apstrīd apstrādāto personas datu precizitāti – šādā gadījumā datu apstrāde tiek ierobežota uz laiku, kurā SIA “Sertifikācijas centrs” var  pārbaudīt personas datu precizitāti;

3.4.2.           Datu subjekts iebilst pret nelikumīgi apstrādātu personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;

3.4.3.           SIA “Sertifikācijas centrs” Datu subjekta dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami Jums, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, piemēram, celtu prasību tiesā. 

3.4.4.           Datu apstrādes ierobežošana nozīmē, ka dati tiks glabāti, bet netiks apstrādāti citādos veidos. SIA “Sertifikācijas centrs” informēs datu subjektu, kad datu apstrādes ierobežošana tiks pārtraukta.

Datu subjekts var iebilst pret datu apstrādi, ja šādi iebildumi ir pamatoti, SIA “Sertifikācijas centrs” vairs neapstrādās attiecīgos personas datus, izņemot Vispārīgā datu aizsardzības regulā noteiktos gadījumus.

 

3.5.               Tiesības atsaukt piekrišanu

Ja Datu subjekta personas datu apstrāde pamatojas uz Datu subjekta piekrišanu, Datu subjekts jebkurā brīdī ir tiesības atsaukt šādu piekrišanu, neskarot tādas apstrādes likumību, kas veikta pirms Datu subjekta piekrišanas atsaukšanas.

 

3.6.               Tiesības uz datu pārnesamību 

Ja apstrāde pamatojas uz Datu subjekta piekrišanu vai uz Datu subjekta  līgumsaistībām, un ja šāda apstrāde tiek veikta automatizēti, Datu subjekts no SIA “Sertifikācijas centrs” var pieprasīt, lai ar Datu subjektu saistītie personas dati personai tiktu sniegti strukturētā, vispārpieņemtā un mašīnlasāmā formātā, lai Datu subjekts šādus personas datus varētu pārsūtīt citam datu pārzinim, vai tieši nodot šādus personas datus citam datu pārzinim, ja tas ir tehniski iespējams.

 

3.7.               Tiesības nebūt par automatizēta individuāla lēmuma, tostarp profilēšanas, subjektu

Katram Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kurš ir balstīts tikai uz automatizētu apstrādi (bez cilvēku iesaistes), ieskaitot profilēšanu, kas rada Datu subjektam tiesiskas sekas vai būtiski to ietekmē līdzīgā veidā.

SIA “Sertifikācijas centrs” pirms šādu automatizētu lēmumu pieņemšanas, rūpīgi izvērtē šādas aktivitātes ietekmi uz personas datu aizsardzību.

 

3.8.               Tiesības sūdzēties un tiesības saņemt kompensāciju

Datu subjektam  ir tiesības iesniegt sūdzību kompetentā Datu valsts inspekcijā.

Datu subjektam ir tiesības saņemt kompensāciju par kaitējumu, kurš personai var būt nodarīts tādas apstrādes rezultātā, kura pārkāpj Regulu un šo nolikumu.

 

1. 4.        Datu apstrādes principi

 

Godprātīga, likumīga un Datu subjektam pārredzamā veidā veikto personas datu apstrāde.

 

Personas datu apstrāde tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā.

 

Personas datu glabāšana tiek nodrošināta tādā veidā, kas Datu subjektu ļauj identificēt noteiktā laikposmā, kurš nepārsniedz paredzētajam datu apstrādes mērķim noteikto laikposmu;

 

Personas dati ir precīzi un, ja vajadzīgs, atjaunināti, SIA “Sertifikācijas centrs” veiks  saprātīgus pasākumus, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti;

 

Personas dati tiek glabāti veidā, kas pieļauj Datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā, izņemot, ja normatīvie akti nosaka citādi;

 

Personas dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus.

 

 

1. 5.        Personas datu tiesiskas apstrādes pamati

 

Tiek uzskatīts, ka SIA “Sertifikācijas centrs” likumīgi apstrādā personas datus, ja pastāv viens no zemāk minētajiem tiesiskajiem pamatiem datu apstrādei:

 

5.1.                Ir Datu subjekta piekrišana.

• Šis tiesiskais pamats personas datu apstrādei izmantojams tikai tajā gadījumā, ja Datu subjekts ir brīvs savā izvēlē un nav saskatāma nekāda veida saikne ar citām tiesībām vai pienākumiem, ko šī piekrišana uzliek datu subjektam.
• Datu subjektam jebkurā laikā ir tiesības atsaukt piekrišanu un nav iespējams vienoties ar datu subjektu par to, ka viņš savu piekrišanu neatsauc. Turklāt par iespēju atsaukt piekrišanu datu subjekts ir jāinformē, pirms viņš ir devis savu piekrišanu.
• Piekrišanas atsaukšanas process ir jānodrošina tikpat vienkāršs, kā piekrišanas saņemšana, piemēram, ja piekrišana tika saņemta digitālajā vidē, tad arī jānodrošina iespēja atsaukt piekrišanu tādā pašā veidā.
• Piekrišanas atsaukšanas rezultātā SIA “Sertifikācijas centrs” turpmāk neapstrādā datus tādiem nolūkiem, kādiem piekrišana tika atsaukta, bet SIA “Sertifikācijas centrs” ir tiesības datus apstrādāt citiem nolūkiem un pamatojoties uz citiem tiesiskiem pamatiem, piemēram, saglabāt pierādījumus par piekrišanas esamību.
• Piekrišanas spēkā esamībai nav termiņa ierobežojuma, izņemot gadījumus, kad piekrišanas tekstā Datu subjekts pats ir ierobežojis piekrišanas darbības ilgumu. Līdz ar to, ja piekrišanā nav norādīts termiņš, tad ir pamatoti uzskatīt, ka piekrišana ir spēkā nenoteiktu laiku, t.i., līdz nolūka sasniegšanai vai līdz piekrišanas atsaukšanai.
• SIA “Sertifikācijas centrs” darbinieks pirms datu apstrādes uzsākšanas, kas balstīta uz piekrišanu, pārliecinās vai ir saņemta Datu subjekta piekrišana gadījumos, kad dati saņemti no mājaslapas, kā arī gadījumos, kad dati saņemti no e-pasta, pārliecinās, ka ir saņemta rakstiska piekrišana ar Datu subjekta parakstu.

 

5.2.               Datu apstrāde izriet no Datu subjekta līgumsaistībām vai, ievērojot Datu subjekta lūgumu, datu apstrāde nepieciešama, lai noslēgtu attiecīgu līgumu:

• Šis tiesiskais pamats izmantojams datu apstrādei, ja ir paredzēts slēgt līgumu ar Datu subjektu un attiecīgā personas datu apstrāde tieši izriet no līgumsaistību izpildes.
• Gadījumā, ja ir vēlme apstrādāt papildus datus, kuru apstrāde neizriet no nepieciešamības izpildīt līgumu, nepieciešams cits tiesiskais pamats šādu personas datu apstrādei.

 

5.3.                     Datu apstrāde nepieciešama Latvijas SIA “Sertifikācijas centrs” likumā vai likumdevēja pilnvarojumā noteikto pienākumu veikšanai.

• Piemērojot šo tiesisko pamatu, SIA “Sertifikācijas centrs” nav rīcības brīvība attiecībā uz tai noteiktajiem pienākumiem, līdz ar to par šim tiesiskam pamatam atbilstošu datu apstrādi būs atzīstami tādi normatīvajos aktos noteiktie pienākumi, kas nepieļauj SIA “Sertifikācijas centrs”lemt par datu apstrādes nodrošināšanu.
• Juridisks pienākums var tikt noteikts ar jebkāda veida Eiropas Savienības vai Latvijas spēkā esošiem normatīvajiem aktiem. Juridiska pienākuma avots nav ārpus ES un EEZ esošu valstu normatīvajos aktos noteiktie pienākumi.
• SIA “Sertifikācijas centrs” apstrādājot datus, lai izpildītu likumā noteiktos pienākumus, ir jāizvērtē vai SIA “Sertifikācijas centrs” vai trešo personu, kurai dati tiek nodoti, intereses ir samērotas ar Datu subjekta interesēm. Nevar apstrādāt (t.sk. nodot) vairāk datus nekā nepieciešams tiesiskā pienākuma izpildei.

5.4.               Datu apstrāde ir vajadzīga SIA “Sertifikācijas centrs” vai trešās personas tiesisko interešu ievērošanai, izņemot, ja Datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja Datu subjekts ir bērns.

 

6.        Personas datu reģistra aktualitāte

 

Datu aizsardzības speciālista pienākums ir uzturēt datu apstrādes reģistrus par savā pārraudzībā esošajām datu apstrādēm un regulāri atjaunot tajā esošo informāciju, it sevišķi, veicot izmaiņas esošajā personas datu apstrādes procesā. Datu apstrādes reģistrs atjaunojams ne vēlāk kā dienā, kad tiek uzsākta apstrāde, kas bija par pamatu izmaiņu veikšanai.

Personas datu apstrādes reģistrā, citu starpā, ietver informāciju par pārzini, apstrādes nolūkus, Datu subjektu un Personas datu kategoriju apraksts, datu saņēmēju kategorijas, tai skaitā, trešajās valstīs, datu dzēšanas termiņi (ja iespējams), tehnisko un organizatorisko pasākumu vispārējs apraksts(ja iespējams).

SIA “Sertifikācijas centrs” darbiniekam, kas veic personas datu apstrādi kopā ar Datu aizsardzības specialistu, ir jānodrošina, lai apstrādājamie personas dati neietvertu lielāku apjomu vai netiktu apstrādāti ilgāk, nekā tas ir nepieciešams mērķa sasniegšanai. Datu aizsardzības speciālistam ir jānodrošina, ka faktiskā personas datu apstrāde ir atbilstoša datu apstrādes reģistrā norādītajai informācijai.

SIA “Sertifikācijas centrs” darbiniekam, kas veic personas datu apstrādi ir jānodrošina, lai personas dati vienmēr būtu precīzi, aktuāli un atbilstoši vākšanas mērķim.

Tādēļ uzsākot personas datu apstrādi vai veicot grozījumus esošajā personas datu apstrādē, Atbildīgajai personai, sazinoties ar Datu aizsardzības speciālistu, nepieciešams ieviest procedūru kādā tiek nodrošināta tās rīcībā esošo persona datu labošana, dzēšana, apstrādes ierobežošana. Nepilnīgi, novecojuši, nepatiesi, pretlikumīgi apstrādāti dati vai dati, kuri vairs nav nepieciešami vākšanas mērķim, ir attiecīgi jāizlabo vai jāizdzēš. Par to ir jāpaziņo arī trešajām personām, kas iepriekš saņēmušas apstrādātos personas datus.

Pārskats par SIA “Sertifikācijas centrs” Personas datu nosūtīšanu, ieskaitot attiecīgos Personas datu veidus, Datu apstrādes veidus un nolūkus, iesaistītās personas un attiecīgās trešās valstis tiek iekļautas SIA “Sertifikācijas centrs” Datu reģistrā.

 

1. 7.        Īpašo kategoriju personas datu apstrāde

Īpašo kategoriju personas datu apstrādei SIA “Sertifikācijas centrs” piemēro īpašus drošības pasākumus šādas informācijas aizsardzībai (piemēram, maksimāli ierobežojot piekļuvi šādai informācijai). Īpaša aizsardzība veicama īpašo kategoriju  (sensitīvo) datu apstrādei.

8.Konfidencialitāte

SIA “Sertifikācijas centrs” darbinieki drīkst apstrādāt Personas datus tikai:

 

a)        sava tiešo darba pienākumu veikšanai darba ietvaros un tikai apjomā, kāds nepieciešams šādu pienākumu izpildei; un

 

b)       nedrīkst tos izmantot citiem, jo īpaši privātiem mērķiem; un

 

c)        nedrīkst tos izpaust vai pārsūtīt citām personām, ja vien SIA “Sertifikācijas centrs” nav tiesību pārsūtīt tādus datus, ievērojot tiesisko regulējumu un šo nolikumu;

 

d)       savu tiešo pienākumu ietvaros drīkst nodot Personas datus tikai tādam  sadarbības partnerim, kas uz rakstiska līguma pamata veic Personas datu apstrādi SIA “Sertifikācijas centrs” uzdevumā. Šādā gadījumā personas dati var tikt nodoti tikai apjomā un mērķiem, kas paredzēti rakstiskā līgumā, ar nosacījumu, ka līgums satur datu apstrādes un aizsardzības prasības atbilstoši Regulai.

 

Darbinieki, kuri apstrādā Personas datus, nodrošina šādas informācijas konfidencialitātes ievērošanu. Darbinieka pienākums ievērot konfidencialitātes pienākumu attiecībā pret fiziskās personas datiem ir spēkā nenoteiktu laika periodu, tai skaitā pēc darba tiesisko attiecību izbeigšanas.

SIA “Sertifikācijas centrs” darbinieki, kuriem pastāvīgi vai regulāri ir piekļuve Personas datiem, tiek regulāri apmācīti saistībā ar visiem datu aizsardzības būtiskajiem aspektiem, kā arī šādas apmācības tiek nodrošinātas pirms piekļuves tiesību piešķiršanas.

1. 8.        Personas datu drošības prasības

8.1. 

Strādājot ar datiem un jo īpaši ar Personas datiem, SIA “Sertifikācijas centrs” ir jāievieš attiecīgi tehniski un organizatoriski pasākumi, kas ir piemēroti datu aizsardzības vajadzībām. Šos pasākumus nosaka IT drošības politikā un tie ir jāievēro visiem darbiniekiem un sadarbības partneriem, kas veic Personas datu apstrādi SIA “Sertifikācijas centrs” uzdevumā.

SIA “Sertifikācijas centrs” darbiniekam, kas apstrādā personas datus, ir jāziņo datu aizsardzības speciālistam par iespējamiem draudiem datu drošībai (plūdi, zibens, uguns, elektrības padeves traucējumi, datora aprīkojuma darbnederīgums, temperatūras un mitruma svārstības, putekļi, zādzība, programmēšanas aprīkojuma kļūda u.c.). Pārzinim ir jānodrošina pasākumu kopums, lai novērstu iespējamās sekas, pildot personas datu aizsardzības speciālista norādījumus.

9.        Datu aizsardzības pārkāpumi un ziņošana par tiem

Personas datu aizsardzības pārkāpuma gadījumā vai aizdomu gadījumā par šādu pārkāpumu, SIA “Sertifikācijas centrs” operatīvi izvērtē pārkāpuma vai aizdomu būtību un veic nekavējošus pasākumus negatīvu seku vai ietekmes mazināšanai un/vai novēršanai.

Ja SIA “Sertifikācijas centrs” konstatē, ka ir noticis Personas datu aizsardzības pārkāpums attiecībā uz tiem Personu datiem, kurus SIA “Sertifikācijas centrs” apstrādā kā pārzinis, SIA “Sertifikācijas centrs” nekavējoties, bet ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums kļuva zināms, paziņo Datu valsts inspekcijai.

Ja SIA “Sertifikācijas centrs” konstatē, ka ir noticis Personas datu aizsardzības pārkāpums IT jomā, SIA “Sertifikācijas centrs” nekavējoties ziņo CERT Telefons: +37167085888 (ziņojumu pieņemšana - 24x7) Epasts: cert@cert.lv, cert@cert.gov.lv

Personas datu aizsardzības pārkāpuma gadījumā SIA “Sertifikācijas centrs” izvērtē nepieciešamību informēt Datu subjektus, ievērojot Regulas noteiktās prasības.

SIA “Sertifikācijas centrs”nodrošina, lai Personu datu apstrādātāji sniedz SIA “Sertifikācijas centrs”nekavējošu informāciju par aizdomām par pārkāpumu vai notikušu vai notiekošu, vai sagaidāmu Personu datu aizsardzības pārkāpumu.

Ikvienam SIA “Sertifikācijas centrs” darbiniekam ir pienākums nekavējoties informēt atbildīgās personas par datu apstrādes jautājumiem un informācijas drošību un aizsardzību, gadījumā, ja darbiniekam rodas aizdomas par notikušu, notiekošu vai sagaidāmu Personas datu aizsardzības pārkāpumu.

Visas augstāk minētās aktivitātes SIA “Sertifikācijas centrs” dokumentē pārskatāmā veidā.

 

10.     Personas datu nodošana

 

10.1.             Līguma datu apstrāde

SIA “Sertifikācijas centrs” var ļaut citām personām apstrādāt Personas datus to vārdā, saglabājot atbildību par apstrādi un šādā gadījumā noslēdzot rakstisku līgumu atbilstoši Regulas prasībām.

SIA “Sertifikācijas centrs” uzņemas pilnu atbildību par visiem Līguma datu apstrādes procesiem, ko SIA “Sertifikācijas centrs” pasūtījusi ārpus Eiropas Savienības vai Eiropas Ekonomiskās Zonas.

Personu datu nodošanai sadarbības ietvaros ir jāpiemēro atbilstoši drošības pasākumi informācijas aizsardzībai, piemēram, jāveic nododamo datu šifrēšanu un šifrēšanas atslēgas nodošanu saņēmējam citā kanālā nekā sniegta informācija.

Personas datu apstrāde var tikt uzticēta apstrādātājam, ja tiek izpildīti šādi priekšnoteikumi:

10.2.             Vispārēja informācija

SIA “Sertifikācijas centrs” drīkst pasūtīt Datu apstrādi tikai tad, ja tā pati ir tiesīga to veikt.

Datu apstrādātāji ir jāizvēlas ļoti rūpīgi, un apstrādātājam ir jāpierāda, ka ir nodrošināta datu drošība un datu aizsardzība, izmantojot atbilstošus tehniskus un organizatoriskus līdzekļus. Datu apstrādātājs drīkst apstrādāt Personas datus tikai atbilstoši SIA “Sertifikācijas centrs” norādījumiem.

10.3.             Līgumiskās saistības

Datu apstrādātājam ir jāparaksta atbilstoša rakstiska vienošanās vai Līgumā iekļaut attiecīgu nodaļu, lai nodrošinātu augsta līmeņa datu aizsardzību, ievērojot Regulas prasības. Lai nodrošinātu atbilstošu datu aizsardzības līmeni, tādā vienošanās var iekļaut īpašus noteikumus datu aizsardzībai. SIA “Sertifikācijas centrs” izmantojamo līguma paraugu var iegūt no attiecīgā datu aizsardzības speciālista ziņojumā.

10.4.             Pasākumu kontrole

Pirms pasūtīt Datu apstrādes procesu un uzsākt sadarbību ar apstrādātāju, ir jāpārbauda, vai ir īstenoti tehniskie un organizatoriskie pasākumi datu aizsardzībai un drošībai, un šāda pārbaude ir jādokumentē pienācīgā veidā.

Pārbaude var tikt aizstāta ar citiem pierādījumiem par datu apstrādātāja atbilstību Regulas un SIA “Sertifikācijas centrs” prasībām, ja apstrādātājs var pierādīt tehniskos un organizatoriskos pasākumus (ārējā) auditā vai ar atbilstošu sertifikātu (piemēram, ir izsniegts aktuāls un atbilstošs ārējā audita atzinums) un SIA “Sertifikācijas centrs” ir atzinusi šādu auditu vai sertifikātu par pietiekošu, lai pārliecinātos par apstrādātāja nodrošināto Personas datu aizsardzību.

Pārbaude ir regulāri jāatkārto un jādokumentē.

1. 11.      Datu pārsūtīšana uz trešajām valstīm

Ja SIA “Sertifikācijas centrs” nosūta (t.sk. padara pieejamus) Personu datus uz trešo valsti Regulas izpratnē vai starptautisku organizāciju trešajā valstī, SIA “Sertifikācijas centrs” obligāti nodrošina stingru atbilstību šī nolikuma noteikumiem un Regulas, tai skaitā, nodrošina, ka dati tiek nosūtīti, pamatojoties uz tiesisku pamatu un rūpīgi izvērtējot pamatojumu.

Pirms Personas datu nodošanas, SIA “Sertifikācijas centrs” vienojas un saskaņo ar saņēmēju datu aizsardzības un datu drošības prasības, kā arī pārbauda, vai saņēmējs ir izpildījis šādas prasības. Dati drīkst tikt nodoti tikai gadījumā, ja Personas datu saņēmējs spēj nodrošināt atbilstošu Personas datu aizsardzības līmeni un atbilstību datu apstrādes prasībām, kas nav mazākas par Regulas noteiktajām.

Datu subjekti atbilstoši Regulas noteikumiem tiek informēti par Personas datu nosūtīšanu uz trešajām valstīm. Pirms šādu datu nosūtīšanas, ir jāveic nepieciešamie pasākumi Datu subjektu informēšanas nodrošināšanai.

12.     Sadarbība ar datu valsts inspekciju un citi jautājumu

SIA “Sertifikācijas centrs” sadarbojas ar Datu valsts inspekciju un, jo īpaši, atbild uz pieprasījumiem un pieņem ieteikumus.

SIA “Sertifikācijas centrs” nodrošina saziņu un konsultēšanos ar Datu valsts inspekciju visos Regulas noteiktajos gadījumos.

SIA “Sertifikācijas centrs” regulāri, bet ne retāk kā 1 (vienu) reizi gadā pārbauda un pārskata šī nolikuma atbilstību SIA “Sertifikācijas centrs” veiktai Personas datu apstrādei un Latvijas Republikā piemērojamiem normatīvajiem aktiem, nepieciešamības gadījumā iniciējot atbilstošus grozījumus gan šajā politikā, gan piemērojamā praksē.

Jebkādu izmaiņu gadījumā, SIA “Sertifikācijas centrs” nodrošina viegli pieejamu informāciju par attiecīgajām izmaiņām, nodrošinot arī datu apstrādātājus ar šādu informāciju.