Privātuma politika

SIA “REĢIONU MEDIJI”

PRIVĀTUMA POLITIKA
(PERSONAS DATU APSTRĀDES AIZSARDZĪBAS NOTEIKUMI)


I. Vispārīgie jautājumi

     1. SIA „Reģionu Mediji” (turpmāk - RM) personas datu apstrādes aizsardzības noteikumi (turpmāk – Noteikumi) nosaka personas datu apstrādes aizsardzības obligātās tehniskās un organizatoriskās prasības, nodrošinot RM fizisko personu datu apstrādes drošību atbilstoši Fizisko personu datu aizsardzības likuma prasībām, Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un Ministru kabineta 2001.gada 30.janvāra noteikumiem Nr.40 “Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības”.

     2. Noteikumu mērķis ir noteikt RM organizatorisko pasākumu un nepieciešamo tehnisko līdzekļu kopumu, kas nodrošina godprātīgu un likumīgu personas datu apstrādi un lietošanu tikai paredzētajiem mērķiem, to glabāšanas, atjaunošanas, labošanas un dzēšanas veidu, nodrošinot ikvienas fiziskas personas tiesības uz savu personas datu aizsardzību.

     3. Saskaņā ar Fizisko personu datu aizsardzības likumu un Informācijas tehnoloģiju drošības likums uz fizisko personas datu apstrādi ir attiecināmi šādi termini:
        3.1.  datu subjekts — fiziska persona, kuru var tieši vai netieši identificēt;
        3.2. datu subjekta piekrišana — datu subjekta (nepilngadīgas personas likumiskā pārstāvja) brīvi, nepārprotami izteikts gribas apliecinājums, ar kuru viņš atļauj apstrādāt savus personas datus atbilstoši pārziņa sniegtajai informācijai;
        3.3. personas dati — jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisku personu;
        3.4. personas datu apstrāde — jebkuras ar fiziskas personas datiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu;
        3.5. personas datu apstrādes sistēma — jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus personu identificējošus kritērijus;
        3.6. personas datu operators — pārziņa pilnvarota persona, kas veic personas datu apstrādi pārziņa uzdevumā;
        3.7. personas datu saņēmējs — fiziskā vai juridiskā persona, kurai tiek izpausti fiziskas personas dati;
        3.8. sensitīvi personas dati — personas dati, kas norāda personas rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi;
        3.9. pārzinis — RM, kas nosaka personas datu apstrādes mērķus un apstrādes līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar normatīvajiem aktiem par fizisko personu datu aizsardzību;
        3.10. trešā persona — jebkura fiziskā vai juridiskā persona, izņemot datu subjektu (likumisko pārstāvi), RM vai personas, kuras tieši pilnvarojusi RM;
        3.11. drošības incidents – ir kaitīgs notikums vai nodarījums, kura rezultātā tiek apdraudēta informācijas resursu integritāte, pieejamība vai konfidencialitāte.

     4. Personas datu apstrāde tiek veikta RM biroju telpās un/vai RM pārvaldībā esošajās informācijas sistēmās.

     5. Noteikumi attiecas tikai uz tiem RM darbiniekiem, kuri apstrādā personas datus.

     6. Noteikumi attiecināmi uz visiem personas datiem, kas attiecas uz identificētu vai identificējamu fizisko personu.

     7. Personas datu apstrāde RM notiek, ievērojot šādus pamatprincipus:
        7.1. godprātīga un likumīga datu apstrāde;
        7.2. dati ir adekvāti (ne pārmērīgi);
        7.3. datu apstrāde tiek veikta atbilstoši paredzētajam mērķim un tikai saskaņā ar to;
        7.4. dati ir precīzi;
        7.5. dati netiek glabāti ilgāk, nekā nepieciešams (datu apstrādes ilgumam ir jābūt saistītam ar noteiktu personas datu apstrādes mērķi);
        7.6. dati tiek apstrādāti saskaņā ar datu subjekta tiesībām;
        7.7. dati netiek pārsūtīti uz citām organizācijām, iestādēm vai ārvalstīm bez drošas adekvātas aizsardzības.
        7.8. dati ir drošībā;

     8. Par personas datu aizsardzību, informācijas drošības un pilnveidošanas procesu kopumā atbild RM vadība, kurš pats vai ar norīkoto personu starpniecību kontrolē personas datu apstrādes sistēmu drošību (turpmāk – Pārzinis).

     9. Pārzinis var bez brīdinājuma dzēst vai mainīt pilnvarotās personas datus personas datu apstrādes sistēmas piekļuvei, ja pilnvarotā persona pārkāpj Latvijas Republikas normatīvos aktus un/vai RM iekšējos normatīvos aktus.

     10. Pārzinis ir tiesīgs pieprasīt no pilnvarotās personas rakstveida apliecinājumu par šo noteikumu un konfidencialitātes prasību ievērošanu darbā ar personas datiem un personas datu apstrādes sistēmu, kā arī veikt citas darbības, kuras uzskata par nepieciešamu, lai tiktu ievērotas normatīvo aktu prasības personas datu aizsardzības jomā.

     11. Pārziņa pienākums ir rūpēties par personas datu apstrādes sistēmas darbību, nodrošinot pilnvaroto personu drošu piekļuvi tai, kā arī iespēju datu subjektam iepazīties ar saviem personas datiem.

II. Personas datu apstrādes sistēmas nodrošinājums

     12. Personas datu obligāto tehnisko aizsardzību īsteno ar fiziskiem un loģiskiem aizsardzības līdzekļiem, nodrošinot aizsardzību pret drošības incidentu radītu personas datu apdraudējumu.

     13. Dati, kas tiek izmantoti personas datu apstrādē, ir klasificējami kā ierobežotas pieejamības informācija, kas paredzēta tikai noteiktam RM darbinieku lokam.
Informācijas sistēmas datus drīkst izmantot tikai RM darbinieks, kuram Pārzinis ir devis atļauju ar attiecīgiem piekļuves datiem (turpmāk – Pilnvarotā persona).

     14. Personas datu apstrādes sistēmas datortehnikas un programmatūras tehniskā uzstādīšana un tās administrēšana tiek nodrošināta slēdzot pakalpojuma līgumu ar IT pakalpojumu sniedzēju firmu vai atsevišķām personām.

     15. Datorizētās informācijas sistēmām (turpmāk – Informācijas sistēma) tiek nodrošināta autentifikācija atbilstoši RM IT drošības noteikumiem.

     16. Apstrādājot personas datus informācijas sistēmā, tiek nodrošināta tikai pilnvarotu personu piekļūšana pie tehniskajiem līdzekļiem un informācijas.

     17. Pārzinis personas datu saturošas programmatūras apstrādei lieto šādas ierīces:
        17.1. darbstacijas un portatīvās iekārtas ar operētājsistēmu;
        17.2. citas licencētas iekārtas un programmatūru pēc vajadzības.

III. Personas datu apstrādes organizatoriskā procedūra, aizsardzība pret ārkārtējiem apstākļiem un datu drošības pasākumi

     19. Personas datu apstrāde RM ir atļauta tikai tad, ja normatīvajos aktos nav noteikts citādi un ja ir vismaz viens no šādiem nosacījumiem:
        19.1. saņemta personas datu subjekta piekrišana;
        19.2. datu apstrāde izriet no datu subjekta līgumsaistībām vai, ievērojot datu subjekta lūgumu, datu apstrāde nepieciešama, lai noslēgtu attiecīgu līgumu;
        19.3. datu apstrāde nepieciešama Pārziņa likumā noteikto funkciju veikšanai;
        19.4. datu apstrāde nepieciešama, lai aizsargātu datu subjekta vitāli svarīgas intereses, tajā skaitā dzīvību un veselību;
        19.5. datu apstrāde nepieciešama, lai nodrošinātu sabiedrības interešu ievērošanu vai realizētu publiskās varas uzdevumus, kuru veikšanai personas dati ir nodoti Pārzinim vai pārraidīti trešajai personai;
        19.6. datu apstrāde ir nepieciešama, lai, ievērojot datu subjekta pamattiesības un brīvības, realizētu Pārziņa vai tās trešās personas likumiskās intereses, kurai personas dati atklāti.

     20. RM nodrošina, ka katram personas datu veidam ir noteikts un skaidrs apstrādes mērķis un ir noteikts, kādos gadījumos personas dati var tikt nodoti citām personām un iestādēm, kā arī jānodrošina, ka personas dati ir drošībā un aizsargāti.

     21. Pārzinis nodrošina tehnisko resursu fizisku aizsardzību pret ārkārtas apstākļiem (ugunsgrēks, plūdi un citi ārkārtas apstākļi). Pasākumi pret ārkārtas apstākļiem tiek īstenoti saskaņā ar RM ugunsdrošības noteikumiem, kā arī vispārējām normatīvo aktu prasībām par elektroiekārtu drošu ekspluatāciju un to aizsardzību.

     22. Lai izvairītos no tehnisko resursu tīšas bojāšanas radītām sekām, Pārzinis rūpējas, lai tehnisko resursu pārvaldība notiktu atbilstoši RM IT drošības noteikumiem un RM IT lietošanas noteikumiem.

     23. RM personas datu aizsardzības sistēma tiek veidota tā, lai pēc iespējas izvairītos no vienu un to pašu datu apstrādes vairākās struktūrvienībās.

     24. RM savas darba organizācijas un darbības nodrošināšanai nosaka personas datu apstrādes mērķi, kā arī paredzēto datu apstrādes apjomu, kam jābūt atbilstošam datu apstrādes mērķa sasniegšanai.

     25. Katram noteiktajam datu apstrādes mērķim ir jāidentificē datu subjekts, personas datu apstrādes veids un lietotāji vai trešās personas, kuras veic personas datu apstrādi.

     26. Uzsākot jaunus pamatdarbības virzienus vai jaunus projektus, ir jādefinē paredzamie datu apstrādes mērķi un paredzamais datu apstrādes apjoms, kas nevar būt lielāks par personas datu apstrādes mērķa sasniegšanai nepieciešamo.

     27. Ne retāk kā reizi gadā ir jāveic personas datu apstrādes mērķa un ar to saistīto datu apjoma izvērtējums. (1. pielikums).

     28. Ja tiek saņemts pieprasījums no datu subjekta par informācijas iegūšanu par personu datu apstrādi, kas saistīta ar viņu, tad šo pieprasījumu nepieciešams nodot RM administrācijas daļai Rīgā, kura tad arī atbildēs uz so pieprasījumu.

     29. Par personas datu apstrādes aizsardzības uzraudzību un nodrošināšanu atbilstoši šim nolikumam ir atbildīgi RM struktūrvienību vadītāji, kuru pārziņā tiek organizēta datu apstrāde, un par attiecīgo datu apstrādi pilnvarotais darbinieks jeb pakalpojuma sniedzējs.

     30. Noteikumos noteikto datu apstrādes pamatprincipu pārkāpšana, tai skaitā, jebkādā veidā iegūto personas datu neatļauta izpaušana, ir uzskatāma par RM iekšējās kārtības noteikumu pārkāpumu.

IV. Pilnvarotās personas tiesības, pienākumi un atbildība

     36. Pilnvarotā persona ir atbildīga par datortehniku, kas nodota personas rīcībā, kā arī par dokumentiem, kas nepieciešami personas darba pienākumu pildīšanai.

     37. Pilnvarotajai personai ir tiesības izmantot lietošanā nodotos datorus un to programmatūru tikai darba vajadzībām.

     38. Pilnvarotā persona nedrīkst izpaust ziņas par RM datoru tīklu uzbūvi un konfigurāciju, kā arī atklāt ierobežotas pieejamības informāciju nepilnvarotām personām. Personas datus var izpaust, pamatojoties uz rakstveida iesniegumu, norādot datu izmantošanas mērķi, ja normatīvajos aktos nav noteikts citādi. Personas datu pieprasījumā norādāma informācija, kas ļauj identificēt datu pieprasītāju un datu subjektu, kā arī pieprasāmo personas datu apjomu. Jebkura informācijas sniegšana iepriekš saskaņojama ar RM administratīvo daļu Rīgā.

     39. Pilnvarotā persona nedrīkst atļaut piekļūt personas datiem nepiederošām personām, ja tas nav nepieciešams tiešo darba pienākumu veikšanai.

     40. Pilnvarotās personas pienākums ir saglabāt un bez tiesiska pamata neizpaust personas datus arī pēc darba tiesisko attiecību izbeigšanas.

     41. Pilnvarotās personas pienākums ir lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to pretlikumīgu apstrādi.

     42. Pilnvarotajai personai ir aizliegts izmantot nelicencētu programmatūru.

     43. Aizliegta jebkāda nešifrēta bezvadu datortīkla izmantošana RM (Unencrypted Wireless Networks).

     44. Pilnvarotā persona nedrīkst izdarīt darbības, kas būtu vērstas pret informācijas sistēmas drošību, izmantojot neparedzētas pieslēgšanās iespējas.

     45. Beidzot (pārtraucot) darbu ar informācijas sistēmu, pilnvarotā persona aizver pārlūkprogrammu.

     46. Pilnvarotā persona nedrīkst saņemto informāciju pārveidot, piedalīties tās pārdošanā vai cita veida atsavināšanā, reproducējot kopumā vai tās daļas, izmantot to citu datu apstrādes sistēmu izveidei, kā arī glabāt publiski pieejamās vietās.

     47. Ja ir aizdomas par tīšiem bojājumiem, kas ir radušies informācijas sistēmai paroles publiskošanas rezultātā vai citu iemeslu dēļ, pilnvarotā persona par to nekavējoties ziņo RM administratīvajai daļai Rīgā.

V. Datu subjekta tiesības

     48. Datu subjektam ir tiesības iegūt visu informāciju, kas par viņu savākta RM personu datu apstrādes sistēmā, iesniedzot iesniegumu RM elekroniskā brīvā formā rakstot uz e-pastu:[email protected], ja vien šo informāciju izpaust nav aizliegts ar likumu.

     49. Datu subjektam ir tiesības iegūt informāciju par tām fiziskām un juridiskām personām, kuras ir saņēmušas informāciju par šo datu subjektu, iesniedzot iesniegumu RM elekroniskā brīvā formā rakstot uz e-pastu:[email protected]

     50. Datu subjektam ir tiesības pieprasīt, lai viņa personas datus papildina, izlabo vai dzēš.

VI.  Informēšana par personas datu aizsardzības pārkāpumu

     51. Ja ir konstatēts datu pārkāpums – nekavējoties (ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums kļuvis zināms) par to ir jāinformē RM administratīvā daļa Rīgā, norādot personas datu aizsardzības pārkapuma apstākļus un būtību. Informācija iesniedzama elektroniski, sūtot to uz e-pastu: [email protected] (kad ir nosūtīts e-pasts, nepieciešams pārliecināties, ka administratīvā nodaļa to ir saņēmusi).
Informācija, kas jāiekļauj e-pasta saturā ir sekojoša:
        1) personas datu veidi, datu subjektu kategorijas un datu apjoms, attiecībā uz ko noticis personas datu aizsardzības pārkāpums;
        2) tehniskie un organizatoriskie aizsardzības pasākumi un līdzekļi, kas nodrošināti, kad notika personas datu aizsardzības pārkāpums;
        3) Jūsu redzējusi par iespējām mazināt personas datu aizsardzības pārkāpuma ietekmi;
        4) personas datu aizsardzības pārkāpuma sekas;
        5) tehniskie un organizatoriskie datu aizsardzības pasākumi, kas īstenoti attiecībā uz notikušo personas datu aizsardzības pārkāpumu;
        6) trešās personas, kuras ir informētas par šo personas datu aizsardzības pārkāpumu;
        7) to, vai datu subjekti, attiecībā uz kuriem noticis personas datu aizsardzības pārkāpums, ir par to informēti.

     52. Nekavējoties jāinformē datu subjektu par personas datu aizsardzības pārkāpumu, ja tas var radīt sekas datu subjektam vai tā privātumam.