Iekšējie datu aizsardzības noteikumi
APSTIPRINĀTS:
2025.gada 7.maijā
SIA “FADEK” valdes lēmumu nr.010525
SIA „FEDAK”
Iekšējie datu aizsardzības noteikumi
Rīga, 2025
Noteikumos izmantotie termini
• Personas dati – jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu.
• Datu subjekts – fiziskā persona, kuru var tieši vai netieši identificēt.
• Personas datu apstrādes operators — pārziņa pilnvarota persona, kas veic personas datu apstrādi pārziņa uzdevumā.
• Personas datu apstrāde – jebkuras ar personas datiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu, izpaušanu, bloķēšanu vai dzēšanu.
• Personas datu apstrādes sistēma – jebkurā formā fiksēta strukturēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus personas identifikācijas kritērijus.
• Drošības prasības – prasības, kas jāievēro, lai nodrošinātu datorsistēmu un datu aizsardzību pret bojāšanu, zaudēšanu vai nesankcionētu izmantošanu.
• Informācijas resursi – pieejamā programmatūra un aparatūra, kas paredzētā informācijas apstrādei vai valdei.
• Lietotājs – darbinieks, kam dotas tiesības lietot datorsistēmas un datus;
· Sabiedrība – SIA “FEDAK”;
· Vadība – Sabiedrības valde, direktors un/vai cita persona Sabiedrībā, kurai piešķirtas vadības funkcijas un pilnvaras.
· Trešā persona – fiziska persona, juridiska persona, vai cita persona, kas nav saistīta ar Sabiedrību.
· Logins – unikāls ID konts
1. Vispārējie noteikumi
1.1. Noteikumi ir saistoši visiem Sabiedrības Personas datu apstrādes operatoriem, Informācijas resursu turētājiem un lietotājiem, kā arī Sabiedrības ārpakalpojumu sniedzējiem, kam atrunāto līgumsaistību izpildei ir nepieciešama piekļuve Sabiedrības Personas datiem. Noteikumi ir piemērojami visiem personas datiem, kas attiecināmi uz identificētu vai identificējamu fizisko personu.
1.2. Šie noteikumi nosaka kārtību, kādā veicama informācijas apstrāde jebkādās sistēmās vai jebkādos datu nesējos, kas iesaistīti datu/informācijas apstrādē Sabiedrībā, neatkarīgi no tā, vai datu/informācijas apstrāde ir saistīta ar Sabiedrības iekšējām komercdarbības operācijām vai Sabiedrības ārējām attiecībām ar trešajām personām, lai aizsargātas Personas datus.
1.3. Noteikumu mērķis ir pasargāt Sabiedrības darbiniekus, partnerus un klientus no nelikumīgām vai kaitējošām personu tiešām vai netiešām darbībām, apstrādājot informāciju un datus, kas nonāk attiecīgo personu rīcībā, kā arī lietojot aprīkojumu savu darba pienākumu izpildes vajadzībām, tādejādi nodrošinot datu aizsardzību Sabiedrībā atbilstoši normatīvo aktu prasībām.
1.4. Šie noteikumi nosaka arī to, kā Sabiedrības darbinieki lieto viņiem pieejamo aprīkojumu un rīkus, savu darba pienākumu veikšanas ietvaros.
1.5. Par personu datu apstrādi atbildīgās personas ir Sabiedrības Informācijas resursu turētāji un to lietotāji.
1.6. Par informācijas drošību Sabiedrībā atbild Ivans Fedaks, kurš ir tieši pakļauts Sabiedrības Valdei. Ar visiem datu/informācijas drošības sistēmas un datu drošības jautājumiem, kas nav atrunāti šajos noteikumos, jāvēršas pie Sabiedrības datu aizsardzības speciālista vai Vadības.
1.7. Personas, kuras tiek iesaistītas personas datu apstrādē, rakstveidā apņemas saglabāt un nelikumīgi neizpaust personas datus, un šo personu pienākums ir neizpaust personas datus arī pēc darba tiesisko vai citu līgumā noteikto attiecību izbeigšanās.
1.8. Šie noteikumi var būt piemērojami kopā ar jebkādiem citiem noteikumiem, procedūrām un/vai vadlīnijām, ko periodiski pieņem un ievieš Sabiedrībā.
2. Informācija par datu apstrādi
2.1. Personas datu un informācijas apstrāde Sabiedrībā tiek veikta, lai sasniegtu Sabiedrības mērķus un sniegtu pakalpojumus ievērojot datu/ informācijas aizsardzību atbilstošā līmenī.
2.2. Sabiedrības datu subjektu kategorijas – Sabiedrības esošie un potenciālie klienti, Sabiedrības darbinieki, Sabiedrības sadarbības partneri.
2.3. Sabiedrības apstrādājamie personas datu veidi - vārds, uzvārds, dzimums, vecums, personas kods vai identifikācijas kods, personu apliecinoša dokumenta dati (numurs, izdošanas vieta un datums, izdēvēja iestāde), dzimšanas vieta, dzīvesvietas adrese, tālruņa numurs, e-pasta adrese, faksa numurs, izglītība, darba pieredze, profesija vai nodarbošanās, ieņemamais amats un darba devējs, ienākumu apmērs, obligātās veselības pārbaudes dati un informācija, foto, video.
2.4. Personas datu saņēmēju kategorijas - datu subjekts par sevi, pārziņa pilnvaroti darbinieki, pārziņa pilnvaroti ārpakalpojumu sniedzēji, sadarbības partneri, valsts iestādes.
2.5. Personas datu apstrāde Sabiedrībā notiek elektroniskā un papīra formāta veidā.
2.6. Sabiedrība iegūst datus no - datu subjekta aizpildītajiem pieteikumiem, iesniegumiem, līgumiem, kā arī no publiskiem valsts un licencētiem privāto tiesību subjektu uzturētiem reģistriem.
2.7. Lai nodrošinātu Personu datu aizsardzību, Personas datu apstrādes operatori un Lietotāji drīkst apstrādāt datus tikai Sabiedrības iekšējos dokumentos un normatīvajos aktos noteiktajā kārtībā.
3. Informācijas klasifikācija
3.1. Sabiedrībā tiek noteikta informācijas klasifikācija, lai nodrošinātu pienācīgu Personas datu aizsardzību.
3.2. Jebkādi Personas dati/informācija, kas kļūst pieejami Personas datu apstrādes operatoriem un/vai Lietotājiem, veicot savus darba pienākumus, ja šāda datu/informācijas apstrāde ir saistīta ar Sabiedrību un tās darbību, klientiem vai sadarbības partneriem un ārpakalpojumu sniedzējiem, uzskata par Sabiedrībai piederošu un konfidenciālu informāciju, ko aizsargā attiecīgi normatīvie akti par konfidenciālas informācijas, komercnoslēpumu un personas datu aizsardzību. Personas dati tiek klasificēti kā Īpaši konfidenciāla Sabiedrības informācija un ir pieejama attiecīgā apjomā atsevišķiem Sabiedrības autorizētiem Lietotājiem. Šīs informācijas nonākšana publiskajā telpā vai trešo personu rīcībā var radīt kaitējumu Sabiedrības interesēm un/vai Datu subjekta interesēm.
3.3. Visus Personas datus un citu informāciju, ar kuras palīdzību var identificēt fizisku personu, ievāc un apstrādā tikai, ja nepieciešams un ciktāl tas ir nepieciešams Lietotāja darba pienākumu veikšanas nolūkā, ar nosacījumu, ka šādas darbības tiek veiktas Lietotājam piešķirtā pilnvarojuma apmērā un saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016.gada 27.aprīlis) par fizisku personu aizsardzību attiecībā uz personu datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula)) un saskaņā ar citos Latvijas Republikas normatīvajos aktos paredzētajām fizisko personu datu aizsardzības prasībām.
3.4. Lietotājs drīkst izpaust savā rīcība esošo Sabiedrības informāciju vienīgi ar Vadības rakstisku atļauju. Saņemot datu subjekta pieprasījumu izsniegt Sabiedrības savāktos datus/informāciju par attiecīgo Datu subjektu, Lietotājam ir pienākums nekavējoties par to ziņot šo noteikumu 1.6.p. norādītajam darbiniekam un/vai Valdei, lai nodrošinātu atbilstošu un korektu datu izsniegšanu.
4. Datu apstrādē iesaistītās sistēmas
4.1. Jebkādas informācijas sistēmas, arī datortehnika, jebkāda veida programmatūra, operētājsistēmas, jebkādas uzglabāšanas vides, tīkla konti, elektroniskā pasta konti, pārlūku sistēmas un jebkādi citi rīki, ko izmanto Sabiedrības darbībā, uzskatāmi par Sabiedrības īpašumu. Sabiedrības darbiniekiem ir pienākums pret šo Sabiedrības īpašumu izturēties ar pienācīgu rūpību un uzmanību un tikai ar Sabiedrības komercdarbību saistītiem mērķiem, izņemot gadījumus, kad to lietošanai personīgām vajadzībām, saņemta rakstiska Sabiedrības piekrišana.
4.2. Sabiedrības Vadība regulāri pārskata nepieciešamību izstrādāt jaunus atsevišķus iekšējos Sabiedrības dokumentus ar kuru palīdzību nodrošināt un uzlabot datu apstrādē iesaistīto sistēmu tehnisko resursu drošības prasības, kā arī auditē datu apstrādē pielietotās sistēmas, lai kontrolētu atbilstību šiem noteikumiem un normatīvo aktu prasībām.
5. Piekļuve Personas datiem un to apstrādes organizatoriskās prasības
5.1. Personas datu apstrāde tiek veikta Sabiedrības juridiskās adreses telpās, kā arī pakalpojumu sniegšanas vietās. Atsevišķos gadījumos tā tiek veikta pie Sabiedrības Personas datu operatoriem, kuri ir Sabiedrības ārpakalpojuma sniedzēji uz noslēgto līgumu pamata, kuros ir iekļautas atrunas, kas nodrošina Personas datu aizsardzību atbilstoši normatīvo aktu prasībām.
5.2. Personas datu apstrāde notiek sistēmas Lietotājiem noteiktā darba laikā, ja tam nav paredzēts cits laiks.
5.3. Lietotājs var piekļūt jebkādām Lietotājiem pieejamām ierīcēm un veikt darba pienākumu veikšanai nepieciešamās darbības, atbildības ietvaros. Tiesības piekļūt jebkādai sistēmai, nedod Lietotājam tiesības apskatīt un/vai lietot visu sistēmā esošo informāciju.
5.4. Piekļūt sistēmām Lietotājs ir tiesīgs tikai izmantojot unikāli viņam izveidoto Loginu, ar kura palīdzību ir iespējams identificēt Lietotāju un konstatēt veiktās darbības sistēmā. Lietotājs ir atbildīgs par to, lai trešajām personām vai citiem Lietotājiem nebūtu pieejamas Logina drošības paroles.
5.5. Izveidojot drošības paroli ir obligāti jāpievērš pienācīga rūpība un parole nedrīkst būt viegli atminama vai ietvert Personas datus. Drošības parolei jātiek nomainītai vismaz vienu reizi 3 (trīs) mēnešos. Jebkurš Lietotājs atbild par savas drošības paroles atbilstību šiem noteikumiem un/vai citiem noteikumiem, kas apstiprināti Sabiedrībā.
5.6. Lietotāja piekļuve konfidenciālai informācijai/ datiem pieļaujama tikai Darba līgumā noteiktajos gadījumos un apjomā un/vai, ja Sabiedrība izdevusi Lietotājam atsevišķu pilnvaru piekļūt šādai informācijai/datiem.
5.7. Sabiedrībā regulāri, ne retāk kā reizi gadā, tiek pārskatīts, kurus no Sabiedrības rīcībā esošajiem datiem ir nepieciešams turpināt uzglabāt, un kurus datus iespējams dzēst.
5.8. Visiem jebkādā formā ievāktiem un apstrādātiem datiem ir piemērojami šie noteikumi un jebkādi spēkā esoši normatīvie akti, attiecībā uz datu ievākšanu, aizsardzību, apstrādi, uzglabāšanu un šādus dokumentus uzglabā Sabiedrības norādītā, drošā vietā uz tādu uzglabāšanas termiņu, kādu paredz normatīvo aktu prasības, vai norādījusi Sabiedrība.
5.9. Darbiniekiem ir aizliegts glabāt jebkādus Personas datus, vai jebkādu citu konfidenciālu informāciju savās ierīcēs, izņemot informāciju, kas nepieciešama īslaicīgai lietošanai konkrēta, ar darbu saistīta pienākuma izpildei. Visa nepieciešamā konfidenciālā informācija un Personu dati ir uzglabājami tikai Sabiedrības apstiprinātā mākoņa krātuvē un Sabiedrības iekštīklā. Jāizvairās no jebkādas šādu datu lejupielādēšanas uz ierīcēm, bet nepieciešamības gadījumā, ja tas ir pamatoti nepieciešams saistībā ar datu/informācijas apstrādi darba vajadzībām, drīkst nepieciešamos datus īslaicīgi lejupielādēt uz vietējām Sabiedrības ierīcēm, nodrošinot to dzēšanu no vietējās ierīces atmiņas, līdz ko darbam nepieciešamā darbība ir veikta.
5.10. Vadības pilnvarots IT speciālists un/vai šo noteikumu 1.6.p.minētais darbinieks ir tiesīgi filtrēt un pārraudzīt Sabiedrības darbinieku interneta piekļuvi un Sabiedrības darbinieku internetā veiktās darbības, saskaņā ar normatīvo aktu prasībām.
5.11. Jebkādām mobilajām vai portatīvajām ierīcēm, pirms to izmantošanas darba vajadzībām, ir nepieciešams Vadības pilnvarota IT speciālista apstiprinājums, ka ierīce ir atbilstoši aizsargāta, lai novērstu neautorizētu piekļuvi.
5.12. Sabiedrībā, darba vajadzībām lietojamos rīkos un/vai aprīkojumā var instalēt un lietot tikai Sabiedrības licencētas, autorizētas sistēmas un programmatūru.
5.13. Ir stingri aizliegts darba vajadzībām izmantot publiskas piekļuves ierīces, ja vien tas nav kritiski un steidzami nepieciešams, sakarā ar ārkārtas situāciju un tam devis piekrišanu tiešais vadītājs.
6. Atbildība
6.1. Ikvienam Darbiniekam ir pienākums ievērot šos noteikumus, kā arī pildīt spēkā esošo vietējo, reģionālo vai starptautisko normatīvo aktu prasības, kas paredz informācijas/datu apstrādes un aizsardzības nosacījumus.
6.2. Šajos noteikumos noteikto normu neievērošana ir uzskatāma par būtisku noteiktās darba kārtības pārkāpumu.
6.3. Konstatējot šo noteikumu pārkāpšanu tiek anulētas pieejas tiesības informācijas resursiem un Vadība izvērtē pieejas tiesību apjoma un/vai atjaunošanas iespēju.
6.4. Sabiedrības darbiniekiem atkarībā no pārkāpuma rakstura un sekām var tikt piemēroti arī citi atbildības veidi.
7. Rīcība iepriekš neparedzamos vai neregulētos gadījumos
7.1. Par visām situācijām vai gadījumiem, kas ir saistītas ar iespējamo Personu datu noplūdi loģiskā vai fiziskā veidā, nekavējoties ziņot šo noteikumu 1.6.p. noradītajam darbiniekam un Valdei, kuri attiecīgi veic visus pasākumus iespējamā kaitējuma novēršanai, radītā kaitējuma seku likvidēšanai un drošības stāvokļa atjaunošanai.
7.2. Vadībai ir pienākums ziņot par drošības pārkāpumu attiecīgajām iestādēm un datu subjektiem, kā to paredz normatīvo aktu prasības.
SIA “FADEK” valdes loceklis Ivans Fedaks
