LRAC RASAS PĒRLES PERSONAS DATU AIZSARDZĪBAS POLITIKA
LATGALES REĢIONĀLĀ ATBALSTA CENTRA “RASAS PĒRLES”
PERSONAS DATU AIZSARDZĪBAS POLITIKA
1. Mērķis:
1.1. Personas datu aizsardzības politikas mērķis ir noteikt personas datu aizsardzības pamatnostādnes, kas tiek ievērotas Nodibinājumā „Latgales Reģionālais atbalsta centrs Rasas pērles” (turpmāk – CENTRS) darbībā, nodrošinot fizisko personu tiesības un brīvības saistībā ar Personas datu apstrādi un tās atbilstību spēkā esošajiem normatīvajiem aktiem;
1.2. Personas datu aizsardzības politika attiecas uz visu ar CENTRS darbību saistīto Datu subjektu Personas datu apstrādi;
1.3. Personas datu aizsardzības politika paredzēta šādām personu grupām - CENTRA darbinieki, CENTRA pakalpojumu ņēmēji, sadarbības partneri, Datu subjekti, kuru Personas dati tieši vai netieši tiek apstrādāti CENTRA darbības rezultātā.
2. Dokumentā lietoto terminu un saīsinājumu skaidrojums:
2.1. CENTRS – Nodibinājums „Latgales Reģionālais atbalsta centrs Rasas pērles”;
2.2. ES - Eiropas Savienība;
2.3. Datu subjekts - identificēta vai identificējama fiziska persona. Identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;
2.4. Personas dati - jebkura informācija, kas attiecas uz Datu subjektu;
2.5. Pārzinis - fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka Personas datu apstrādes nolūkus un līdzekļus;
2.6. Apstrādātājs - fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura Pārziņa vārdā apstrādā Personas datus;
2.7. Trešās valstis - valstis, kas nav ES dalībvalstis.
3. Personas datu apstrādes organizācija un atbildība:
3.1. CENTRS ir atbildīgs par Personas datu aizsardzību reglamentējošo normatīvo aktu un citos CENTRA saistošos juridiskos aktos noteikto prasību izpildes nodrošināšanu CENTRA darbībā .
3.2. CENTRA Personas datu aizsardzības speciālists ir atbildīgs par:
3.2.1. ar CENTRA darbību saistītās Personas datu apstrādes atbilstību spēka esošo ārējo normatīvo aktu prasībām;
3.2.2. atbilstošu CENTRA iekšējo normatīvo aktu izstrādes koordināciju vai konsultēšanu, to prasību izpildes uzraudzību;
3.2.3. vadības un darbinieku konsultēšanu;
3.2.4. komunikāciju ar Datu valsts inspekciju.
3.3. CENTRA darbinieki ir atbildīgi par:
3.3.1. Personas datu aizsardzības politikas ievērošanu ikdienas darbībā;
3.3.2. Personas datu apstrādi reglamentējošo CENTRA iekšējo normatīvo aktu izpildes nodrošināšanu;
3.3.3. ar Personas datu apstrādi saistīto atgadījumu vai pārkāpumu ziņošanu iekšējos normatīvajos aktos noteiktajā kārtībā.
3.4. CENTRA sadarbības partneri ir atbildīgi par godprātīgu savstarpējos līgumos vai vienošanās noteikto saistību attiecībā uz Personas datu apstrādi izpildes nodrošināšanu.
4. Personas datu apstrādes principi:
4.1. CENTRA Personas datu aizsardzības politika ir balstīta uz Personas datu aizsardzību reglamentējošajos Latvijas un ES normatīvajos aktos noteiktajiem principiem:
4.1.1. Personas dati tiek apstrādāti likumīgi, godprātīgi un Datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);
4.1.2. funkciju izpildei nepieciešamie Personas dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos (“nolūka ierobežojumi”). Šo datu turpmāku apstrādi CENTRS neveic ar minētajiem nolūkiem nesavietojamā veidā;
4.1.3. apstrādātie Personas dati ir adekvāti, atbilstīgi un saturiski satur tikai to informāciju, kas nepieciešama saistīto CENTRA uzdevumu izpildei attiecīgās apstrādes nolūkos (“datu minimizēšana”);
4.1.4. Personas dati ir precīzi un, ja vajadzīgs – tiek atjaunināti (“precizitāte”). CENTRS izstrādā atbilstošus mehānismus Personas datu precizitātes nodrošināšanai, tos pirmreizēji ievācot, kā arī turpmāk datus apstrādājot konkrētu nolūku sasniegšanai, ja dati mainās vai tie ir neprecīzi;
4.1.5. Datu subjektu dati tiek glabāti tikai tik ilgi, cik tas ir nepieciešams nolūka sasniegšanai, un, tiklīdz nolūks ir sasniegts, dati tiek dzēsti vai informācijas nesēji, kuros dati atrodas, tiek iznīcināti (“glabāšanas ierobežojums”). Īstenojot glabāšanas ierobežojuma principu, CENTRS ievēro nosacījumu, ka, beidzoties vienam nolūkam, var rasties jauni leģitīmi nolūki, kas var pamatot nepieciešamību Personas datus glabāt ilgāk – arī pēc pamatnolūka izbeigšanās. Šādā gadījumā CENTRS pārvērtē Personas datu apstrādes apjoma atbilstību jaunā nolūka sasniegšanai;
4.1.6. CENTRA pārziņā esošie Personas dati tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša Personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu piekļuvi, labošanu, skatīšanu vai neparedzētu izmantošanu (“integritāte un konfidencialitāte”). CENTRA apstrādātie Personas dati pēc iespējas tiek aizsargāti pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu. Aizsardzības pasākumu nodrošināšana tiek īstenota, izmantojot atbilstošus tehniskos un organizatoriskos pasākumus.
4.2. CENTRS ir pārskatatbildīgs (“pārskatatbildība”) par tiem Personas datiem, kuriem tas ir Pārzinis. Savukārt datiem, kuru apstrādi CENTRS veic kā Apstrādātājs, CENTRS piemēro gan iekšēji noteikto kārtību, gan arī šo Personas datu Pārziņa noteiktās prasības.
5. Datu apstrādes nolūki un tiesiskais pamats:
5.1. CENTRS Personas datu apstrādi veic tikai skaidri noteiktos nolūkos, to sasniegšanai nepieciešamā apjomā un balstoties uz atbilstošu tiesisko pamatu.
5.2. Uzsākot Personas datu apstrādi vai mainoties nolūkam, kādā Personas dati tika sākotnēji iegūti, Datu subjekts tiek informēts par Personas datu apstrādes nolūku. Šāda informēšana netiek veikta normatīvajos aktos noteiktajos izņēmuma gadījumos.
5.3. CENTRS Personas datu apstrādi veic, balstoties uz šādiem tiesiskajiem pamatiem:
5.3.1. Datu subjekta piekrišana - Datu subjekts skaidri un nepārprotami ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;
5.3.2. līgumisku attiecību nodibināšana un izpilde - apstrāde ir vajadzīga līguma starp Datu subjektu un CENTRU noslēgšanai un izpildei;
5.3.3. juridiska pienākuma izpilde - apstrāde ir vajadzīga, lai izpildītu uz CENTRU attiecināmu juridisku pienākumu;
5.3.4. Datu subjekta vai trešo personu vitāli svarīgu interešu aizsardzība - apstrāde ir vajadzīga, lai aizsargātu Datu subjekta vai citas fiziskas personas vitālas intereses;
5.3.5. sabiedrības interešu ievērošana vai oficiālo pilnvaru realizācija - apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot CENTRA likumīgi piešķirtās oficiālās pilnvaras;
5.3.6. Pārziņa vai trešās personas leģitīmās intereses - apstrāde ir vajadzīga CENTRA vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja Datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama Personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja Datu subjekts ir bērns.
5.4. Informācija par CENTRA veikto Personas datu apstrādi tiek reģistrēta un uzturēta CENTRA Personas datu apstrādes darbību reģistrā.
6. Personas datu apstrāde:
6.1. CENTRS apstrādā Personas datus un nodrošina to aizsardzību, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā izvērtēšanas rezultātā apzinātos privātuma riskus un CENTRAM saprātīgi pieejamos organizatoriskos, finansiālos un tehniskos resursus.
6.2. Nododot Personas datu apstrādi ārpakalpojuma sniedzējiem (Apstrādātājiem), CENTRS izvērtē to atbilstību Personas datu aizsardzību reglamentējošo normatīvo aktu prasībām un, slēdzot sadarbības līgumus, nosaka tiem saistošas prasības Personas datu aizsardzības nodrošināšanai saskaņā ar Personas datu aizsardzību reglamentējošos normatīvajos aktos un citos CENTRA saistošajos juridiskajos aktos noteiktajām prasībām.
6.3. Gadījumos, kad CENTRS ir Personas datu apstrādātājs, šo datu apstrādei tiek piemērotas gan atbilstošās CENTRA iekšējās normatīvo aktu prasības un aizsardzības pasākumi, gan arī attiecīgo Personas datu pārziņu noteiktās datu aizsardzības prasības.
6.4. Personas datu aizsardzības pārkāpuma gadījumā CENTRS bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums uzņēmumam kļuvis zināms, paziņo par to Datu valsts inspekcijai, izņemot gadījumus, kad ir maz ticams, ka Personas datu aizsardzības pārkāpums varētu radīt risku Datu subjekta tiesībām un brīvībām.
7. Personas datu saņēmēju kategorijas:
7.1. CENTRS neizpauž trešajām personām Datu subjekta Personas datus vai jebkādu pakalpojumu sniegšanas un līguma darbības laikā iegūtu informāciju par Datu subjektu, izņemot, ja attiecīgajai trešajai personai dati jānodod:
7.1.1. noslēgtā līguma ietvaros, lai veiktu kādu līguma izpildei nepieciešamu vai ar likumu deleģētu funkciju;
7.1.2. saskaņā ar Datu subjekta skaidru un nepārprotamu piekrišanu;
7.1.3. ārējos normatīvajos aktos paredzētajām personām pēc viņu pamatota pieprasījuma, šajos normatīvajos aktos noteiktajā kārtībā un apjomā;
7.1.4. ārējos normatīvajos aktos noteiktos gadījumos CENTRA likumīgo interešu aizsardzībai.
7.2. CENTRA apstrādātās subjektu datu kategorijas uzskaitītas Datu apstrādes reģistrā.
8. Trešo valstu subjektu piekļuve Personas datiem:
8.1. Ņemot vērā CENTRA darbības specifiku, CENTRS neveic Personas datus saturošas informācijas nosūtīšanu attiecīgajiem Trešo valstu Datu subjektiem.
8.2. Ja nepieciešama Personu datu nosūtīšana uz Trešajām valstīm tā tiks veikta atbilstoši Vispārējās datu aizsardzības regulā, un citos Personas datu aizsardzības kontekstā CENTRA saistošajos ārējos normatīvajos aktos noteiktā kārtībā.
9. Personas datu glabāšanas ilgums:
9.1. CENTRS glabā un apstrādā Datu subjekta Personas datus, kamēr izpildās vismaz viens no šiem kritērijiem:
9.1.1. ir spēkā starp CENTRU un Datu subjektu noslēgtais līgums;
9.1.2. CENTRS vai Datu subjekts ārējos normatīvajos aktos noteiktajā kārtībā var realizēt savas leģitīmās intereses (piemēram, iesniegt iebildumus vai celt vai vest prasību tiesā);
9.1.3. CENTRAM ir juridisks pienākums glabāt Personas datus;
9.1.4. ir spēkā Datu subjekta piekrišana attiecīgai Personas datu apstrādei, ja nepastāv cits Personas datu apstrādes likumīgs pamats.
9.2. Pēc tam, kad vairs neizpildās neviens no 9.1. punktā minētajiem kritērijiem, Datu subjekta personas dati tiek dzēsti.
10. Piekļuve Personas datiem un citas Datu subjekta tiesības:
10.1. Veicot Personas datu apstrādi, CENTRS nodrošina/nenodrošina šādas Datu subjekta tiesības:
10.1.1. nodrošina tiesības uz informāciju - CENTRS kodolīgā, pārredzamā un saprotamā veidā, izmantojot skaidru un vienkāršu valodu sniedz Datu subjektam informāciju par CENTRS veikto tā Personas datu apstrādi;
10.1.2. nodrošina tiesības piekļūt saviem Personas datiem - pēc Datu subjekta pieprasījuma CENTRS sniedz informāciju, vai Personas dati CENTRS tiek/ netiek apstrādāti kā arī gadījumā, ja Personas dati tiek apstrādāti - sniedz informāciju par apstrādāto Personas datu kopumu;
10.1.3. nodrošina tiesības labot datus - balstoties uz Datu subjekta pamatotu pieprasījumu, CENTRS nodrošina tā Personas datu labošanu, ja tie ir neatbilstoši, nepilnīgi vai nepareizi;
10.1.4. nodrošina tiesības uz datu pārnesamību - CENTRS nodrošina Datu subjektam iespēju saņemt savus Personas datus, ko tas ir sniedzis un kas tiek apstrādāti uz piekrišanas un līguma izpildes pamata rakstiskā formā vai kādā no biežāk izmantotajiem elektroniskajiem formātiem, lai, ja iespējams, nodotu šādus datus citam pakalpojumu sniedzējam;
10.1.5. nodrošina tiesības uz dzēšanu (tiesības ”tikt aizmirstam”) - Datu subjektam ir tiesības pieprasīt un CENTRS pienākums ir bez nepamatotas kavēšanās dzēst Personas datus, ja Personas dati vairs nav nepieciešami vai izmantojami saistībā ar mērķiem, kādiem tie tika vākti un apstrādāti, ja Datu subjekts ir atsaucis savu piekrišanu Personas datu apstrādei un nav cita tiesiskā pamatojuma datu apstrādei, ja Datu subjekts ir iebildis datu apstrādei un pēc leģitīmo interešu atkārtota izvērtējuma CENTRS atzīst, ka datu apstrādei nav tiesiskā pamata, ja Personas dati ir jādzēš saskaņā ar uz CENTRS attiecināmiem tiesību aktiem;
10.1.6. nodrošina tiesības ierobežot apstrādi - Datu subjektam ir tiesības CENTRAM pieprasīt uz laiku ierobežot Personas datu apstrādi saskaņā ar piemērojamajiem normatīvajiem aktiem, t.sk. gadījumos, ja Datu subjekts ir konstatējis neprecizitātes savos Personas datos un CENTRAM nepieciešams laiks datu precizitātes pārbaudei;
10.1.7. nodrošina tiesības iebilst - Datu subjektam ir tiesības iebilst savu Personas datu apstrādei, ja apstrāde ir balstīta uz CENTRA leģitīmajām interesēm, tai skaitā profilēšanu tiešā mārketinga nolūkiem;
10.1.8. nenodrošina tiesības uz automatizētu individuālo lēmumu pieņemšanu - Datu subjektam ir tiesības netikt pakļautam pilnībā automatizētai lēmumu pieņemšanai, tai skaitā profilēšanai, ja šādai lēmumu pieņemšanai ir tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē Datu subjektu. Šīs tiesības nav spēkā, ja lēmuma pieņemšana ir nepieciešama, lai noslēgtu vai izpildītu CENTRA līgumu ar Datu subjektu, ja lēmuma pieņemšana ir atļauta saskaņā ar uz CENTRU attiecināmiem tiesību aktiem vai ja Datu subjekts ir devis savu nepārprotamu piekrišanu;
10.1.9. nenodrošina tiesības atsaukt savu piekrišanu savu Personas datu apstrādei;
10.1.10. nodrošina tiesības saņemt informāciju par personas datu aizsardzības pārkāpumu - CENTRS bez nepamatotas kavēšanās Datu subjektam paziņo par tā Personas datu apstrādē konstatētu datu aizsardzības pārkāpumu, ja pārkāpums var radīt augstu risku Datu subjekta tiesībām un brīvībām.
10.2. Datu subjektam ir tiesības iesniegt sūdzības par CENTRA veikto Personas datu apstrādi Datu valsts inspekcijai (www.dvi.gov.lv), ja Datu subjekts uzskata, ka tā Personas datu apstrāde pārkāpj tā tiesības un intereses saskaņā ar piemērojamajiem normatīvajiem aktiem.
11. Saziņa ar Datu subjektu:
11.1. Ar Personas datu apstrādi saistītos jautājumos Datu subjekti un citas ieinteresētās personas var griezties pie CENTRA datu aizsardzības speciālista, rakstot uz CENTRA e-pastu Šī e-pasta adrese ir aizsargāta no mēstuļu robotiem. Pārlūkprogrammai ir jābūt ieslēgtam JavaScript atbalstam, lai varētu to apskatīt., zvanot uz tālruņa numuru +371 26538388 vai nosūtot savu jautājumu uz CENTRA juridisko adresi "Varavīksne", Rugāju pagasts, Balvu novads, LV - 4570, ar atzīmi “Datu aizsardzības speciālists”.
11.2. Datu subjekta pieprasījumus, kas saistīti ar tā tiesību īstenošanu, CENTRS izvērtē un izpilda 30 (trīsdesmit) dienu laikā, skaitot no pieprasījuma saņemšanas brīža, attiecīgi informējot Datu subjektu par CENTRA veiktajām darbībām. Ņemot vērā pieprasījuma sarežģītību, tā izpildes laiks var tikt pagarināts vēl uz 60 (sešdesmit) dienām. Šādā gadījumā CENTRS informē Datu subjektu par pieprasījuma izpildes pagarinājumu un kavēšanās iemesliem 30 (trīsdesmit) dienu laikā pēc pieprasījuma saņemšanas.
11.3. Ja, izvērtējot Datu subjekta pieprasījumu, CENTRS secina, ka Datu subjekta pieprasījums ir acīmredzami nepamatots vai pārmērīgs, CENTRS, sniedzot Datu subjektam attiecīgu skaidrojumu, var pieprasīt saprātīgu samaksu, ņemot vērā administratīvās izmaksas, kas saistītas ar pieprasītās darbības veikšanu, vai arī - atteikties izpildīt pieprasījumu.
12. Citi noteikumi
12.1. CENTRA Privātuma politika ir pieejama CENTRA tīmekļa vietnē www.rasasperles.lv.
12.2. CENTRS ir tiesības vienpusēji veikt papildinājumus Privātuma politikā, aktuālo versiju ievietojot CENTRA tīmekļa vietnē www.rasasperles.lv CENTRS saglabā politikas iepriekšējās redakcijas, un tās ir pieejamas CENTRA tīmekļa vietnes www.rasasperles.lv apmeklētājiem.