1. TERMINI UN DEFINĪCIJAS
|
Termins
|
Definīcija
|
|
Personas dati
|
jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu – datu subjektu, kura identitāti var tieši vai netieši noteikt, izmantojot tādus identifikatorus kā personas kods vai vienu vai vairākas personas fiziskās, fizioloģiskās, psiholoģiskās, ekonomiskās, kultūras vai sociālās identitātes pazīmes.
|
|
Personas datu kategorijas
|
Personas dati tiek klasificēti šādās kategorijās
- grāmatvedība un finanses;
- līgumi;
- korespondence un iekšējie protokoli;
- e-pasti un cita elektroniskā sarakste;
- juridiskās lietas un dokumenti;
- personāla dokumenti;
- nodokļu uzskaite.
|
|
Datu saņēmējs
|
fiziska vai juridiska persona, kurai tiek izsniegti personas dati. |
|
Datu izsniegšana
|
personas datu atklāšana, nododot tos vai citādi padarot pieejamus (izņemot publiskošanu masu informācijas līdzekļos).
|
|
Datu apstrāde
|
jebkura ar personas datiem veikta darbība: vākšana, reģistrēšana, uzkrāšana, glabāšana, klasificēšana, grupēšana, apvienošana, modificēšana (papildināšana vai labošana), izsniegšana, publiskošana, izmantošana, loģiskas un/vai aritmētiskas darbības, meklēšana, izplatīšana, dzēšana vai jebkura cita darbība vai darbību kopums.
|
|
Datu apstrāde automatizētā veidā
|
datu apstrādes darbības, kas pilnībā vai daļēji tiek veiktas, izmantojot automatizētus līdzekļus.
|
|
Datu pārzinis
|
fiziska vai juridiska persona, kas viena vai kopā ar citām nosaka personas datu apstrādes mērķus un līdzekļus.
|
|
Datu apstrādātājs
|
fiziska vai juridiska persona (kas nav datu pārziņa darbinieks), kuru datu pārzinis ir pilnvarojis apstrādāt personas datus. Apstrādātājs zaudē tiesības apstrādāt personas datus, kad tiek izbeigts Apstrādātāja līgums ar Sabiedrību.
|
|
Darbinieks
|
persona, kura ar Sabiedrību ir noslēgusi darba vai tam pielīdzināmu līgumu un ar Sabiedrības vadītāja lēmumu ir pilnvarota apstrādāt Personas datus vai kuras personas dati tiek apstrādāti.
|
|
Īpašu kategoriju personas dati
|
dati, kas atklāj fiziskas personas rasu vai etnisko izcelsmi, politiskos, reliģiskos, filozofiskos vai citus uzskatus, dalību arodbiedrībās, veselības stāvokli, seksuālo dzīvi, kā arī informācija par personas sodāmību.
|
|
Veselības dati
|
personas dati, kas saistīti ar fiziskas personas fizisko vai psihisko veselību, tostarp dati par sniegtajiem veselības aprūpes pakalpojumiem, kas atklāj informāciju par šīs personas veselības stāvokli.
|
|
Piekrišana
|
datu subjekta brīvi dots gribas izteikums, ar kuru viņš piekrīt savu personas datu apstrādei zināmam mērķim. Īpašu kategoriju personas datu apstrādei piekrišanai jābūt skaidri izteiktai – rakstveidā, tai pielīdzinātā vai citā formā, kas nepārprotami apliecina datu subjekta gribu.
|
|
Tiešais mārketings
|
darbība, kuras mērķis ir pa pastu, telefonu vai citā tiešā veidā piedāvāt personām preces vai pakalpojumus un/vai noskaidrot viņu viedokli par piedāvātajām precēm vai pakalpojumiem.
|
|
Sabiedriskās domas un sociālie pētījumi
|
sistemātiska datu un/vai informācijas par fiziskām un juridiskām personām vākšana un interpretēšana, izmantojot statistikas, analītiskās un citas sociālo zinātņu metodes, ar mērķi iegūt ieskatus lēmumu pieņemšanai. Veicot sabiedriskās domas un sociālos pētījumus, nedrīkst veikt tiešo mārketingu.
|
|
Trešā persona
|
fiziska vai juridiska persona, izņemot datu subjektu, datu pārzini, datu apstrādātāju un personas, kas tieši ir pilnvarotas datu pārziņa vai datu apstrādātāja uzdevumā apstrādāt datus.
|
|
Iekšējā administrācija
|
darbība, ar kuru tiek nodrošināta datu pārziņa patstāvīga funkcionēšana (struktūras pārvaldība, personāla vadība, materiālo un finanšu resursu pārvaldība un izmantošana, lietvedības organizēšana u.c.).
|
|
Sīkdatnes
|
neliels datu apjoms, ko tīmekļa vietne saglabā Datu subjekta datorā (ierīcē). Sīkdatnes ļauj tīmekļa vietnei atpazīt Datu subjekta pārlūkprogrammu. Galvenais sīkdatņu mērķis ir atcerēties Datu subjekta izvēles, piemēram, vēlamo tīmekļa vietnes valodu.
|
|
Sabiedrība
|
SIA „FINU”, Latvijas Republikas juridiska persona, reģistrācijas Nr. 40203683252, PVN reģistrācijas Nr. LV40203683252, juridiskā adrese Dārzaugļu iela 1B, LV-1012, Rīga, Latvija.
|
Pārējie šajos Noteikumos lietotie termini atbilst terminiem, kas noteikti Eiropas Savienības Vispārīgajā datu aizsardzības regulā Nr. 2016/679 (turpmāk – VDAR) un Latvijas Republikas Fizisko personu datu apstrādes likumā.
2. VISPĀRĪGIE NOTEIKUMI
Kā darba devējs, piegādātājs un klients Sabiedrība apkopo un izmanto personas datus, kas saistīti ar darbiniekiem, biznesa partneriem, klientiem, potenciālajiem klientiem u.tml. Šāda personas datu apstrāde ir nepieciešama Sabiedrības darbībai, un Sabiedrība apzinās, ka ikvienas personas tiesību un privātuma aizsardzība ir uzticēšanās pamats.
Personas datu aizsardzību organizē, nodrošina un īsteno Sabiedrības vadītājs.
Šo Noteikumu ievērošana ir obligāta visiem Sabiedrības darbiniekiem, kuri apstrādā Sabiedrības rīcībā esošos personas datus vai savas darba pienākumu izpildes gaitā ar tiem iepazīstas, kā arī Sabiedrības piesaistītajiem datu apstrādātājiem un trešajām personām, kuras Sabiedrība iesaista pakalpojumu sniegšanā, un tikai tādos gadījumos, kad tas ir nepieciešams pakalpojuma sniegšanai.
Sabiedrības klienti, sniedzot Sabiedrībai citu personu datus, apņemas informēt šīs personas par iespēju iepazīties ar šiem Noteikumiem.
Sabiedrība apkopo un tālāk apstrādā personas datus, kurus personas sniedz:
- kandidējot uz darba vietu Sabiedrībā vai strādājot Sabiedrībā;
- pasūtot preces/pakalpojumus;
- izmantojot Sabiedrības tīmekļvietni;
- pasūtot preces/pakalpojumus citā veidā.
Personas dati var tikt iegūti gan tieši no personas, gan no ārējiem avotiem – valsts un privātpersonu reģistriem, kā arī citiem trešajiem avotiem.
Galvenās personas datu kategorijas, kuras apkopo SIA „FINU”, bet ar tām neaprobežojoties, ir:
- personas identifikācijas dati, piemēram – vārds, uzvārds, personas kods, dzimšanas datums, personu apliecinoša dokumenta (pase, personas apliecība) dati;
- saziņas dati, piemēram – adrese, tālruņa numurs, e-pasta adrese;
- dati, kas saistīti ar profesiju, piemēram – izglītības un profesionālās darbības dati;
- finanšu dati, piemēram – dati par norēķinu kontiem, nodokļu maksātāja identifikācijas numurs;
- dati, kas iegūti un/vai radīti, izpildot tiesību aktu prasības, piemēram – dati, kas iegūti pēc tiesībsargājošo iestāžu, notāru, nodokļu administrācijas, tiesu un zvērinātu tiesu izpildītāju pieprasījumiem, dati par ienākumiem, finanšu saistībām, īpašumā esošu mantu un nepiedzītiem parādiem;
- dati, kas iegūti, izmantojot sakaru un citas tehniskās ierīces, piemēram – dati, kas iegūti klientam ierodoties SIA „FINU” vai citās SIA „FINU” pakalpojumu sniegšanas vietās (videonovērošanas dati) vai sazinoties ar SIA „FINU” pa telefonu, izmantojot audio un/vai video ierakstīšanas līdzekļus, e-pastu, ziņojumus un citus saziņas līdzekļus, piemēram, sociālos tīklus; dati par klienta apmeklējumiem SIA „FINU” tīmekļvietnē vai citiem SIA „FINU” komunikācijas kanāliem;
- dati, kas saistīti ar preču/pakalpojumu sniegšanu, piemēram – dati par līgumu izpildi vai neizpildi, noslēgtajiem darījumiem, spēkā esošiem vai beigušamies līgumiem, iesniegtajiem pieprasījumiem, iesniegumiem un sūdzībām, piemērotajiem cenrāžiem, pakalpojumu maksām, pasūtījumu detaļām, rēķinu numuriem, rēķinu izrakstīšanu, informācija par piekrišanu vai iebildumiem datu apstrādei tiešā mārketinga nolūkos;
- dati par uzvedības paradumiem, prioritātēm un apmierinātību ar pakalpojumiem, piemēram – dati par aktivitāti, izmantojot pakalpojumus, klientam sniegtajiem pakalpojumiem, klienta atsauksmes par SIA „FINU”;
- dati par dalību SIA „FINU” rīkotajos pasākumos;
- jebkuri citi dati, kurus klients pēc savas iniciatīvas sniedz, pasūtot preces vai izmantojot Sabiedrības pakalpojumus.
2.1. MĒRĶIS
Noteikumu mērķis – noteikt galvenos personas datu apstrādes noteikumus, datu subjekta tiesību īstenošanas kārtību, tehniskos un organizatoriskos datu aizsardzības līdzekļus.
2.2. UZDEVUMS
Noteikumu uzdevums:
- regulēt personas datu apstrādi Sabiedrībā, ievērojot Eiropas Savienības Vispārīgo datu aizsardzības regulu Nr. 2016/679, Latvijas Republikas Fizisko personu datu apstrādes likumu un citus piemērojamos normatīvos aktus, kas reglamentē personas datu aizsardzību, aizsargāt datu subjektu tiesības un brīvības un informēt par tām.
- Personas dati tiek apstrādāti un izmantoti šādiem mērķiem:
- datu subjekta preču, pakalpojumu pirkuma (pasūtījuma) apstrāde un administrēšana;
- datu subjekta pasūtīto preču, pakalpojumu sniegšana;
- datu subjekta identifikācija Sabiedrības informācijas sistēmās;
- datu subjekta identifikācija, pieslēdzoties savai lietotāja zonai Sabiedrības tīmekļvietnē;
- iegādāto (pasūtīto) preču, pakalpojumu apstiprinājumu, rēķinu un citu finanšu dokumentu izrakstīšana;
- jautājumu risināšana, kas saistīti ar preču, pakalpojumu piegādi, izpildi un izmantošanu;
- citu līgumsaistību izpilde;
- tiešā mārketinga nolūkos, tostarp informatīvo ziņojumu un jaunumu izsūtīšana ar mērķi novērtēt klientu apmierinātību ar precēm, pakalpojumiem un uzlabot pakalpojumu kvalitāti;
- biznesa analītikai un statistiskai analīzei, vispārējiem pētījumiem, kas ļauj uzlabot pakalpojumus un to kvalitāti;
- tiesisku prasību celšanai un Sabiedrības tiesību īstenošanai;
- citiem mērķiem, kas saistīti ar iekšējo administrāciju, piemēram, apstrādājot Sabiedrības darbinieku datus.
2.3. PRINCIPI
Sabiedrība apstrādā klientu personas datus, ievērojot šādus principus:
- personas dati tiek apstrādāti likumīgi, godprātīgi un pārskatāmi (likumības, godīguma un pārskatāmības princips);
- personas dati tiek vākti konkrētiem, skaidri definētiem un leģitīmiem mērķiem un netiek turpmāk apstrādāti ar šiem mērķiem nesavienojamā veidā (mērķa ierobežošanas princips);
- Sabiedrības apstrādātie personas dati ir adekvāti, atbilstoši un ierobežoti ar to, kas nepieciešams konkrēto mērķu sasniegšanai (datu minimizēšanas princips);
- Sabiedrības apstrādātie personas dati ir precīzi un vajadzības gadījumā tiek atjaunināti (precizitātes princips);
- personas dati tiek glabāti formā, kas ļauj identificēt datu subjektu ne ilgāk, kā tas nepieciešams mērķiem, kuriem dati tiek apstrādāti (glabāšanas ierobežošanas princips);
- personas dati tiek apstrādāti, ieviešot atbilstošus tehniskos un organizatoriskos drošības pasākumus, lai nodrošinātu atbilstošu personas datu drošības līmeni, tostarp aizsardzību pret neatļautu vai nelikumīgu apstrādi un nejaušu nozaudēšanu, iznīcināšanu vai bojājumiem (integritātes un konfidencialitātes princips).
3. PERSONAS DATU APSTRĀDE, GLABĀŠANA, NODOŠANA
Sabiedrība apkopo un apstrādā klientu personas datus šādu tiesisko pamatu ietvaros:
Līguma ar datu subjektu izpilde. Pamata ietvaros tiek apstrādāti personas dati, kurus datu subjekts sniedz, lai noslēgtu līgumu (vārds, uzvārds, personas kods, preču piegādes adrese, korespondences adrese, tālruņa numurs, e-pasta adrese, atbildīgo personu dati (vārds, uzvārds, tālruņa numurs), cita informācija, ko datu subjekts var norādīt e-pastā vai pa telefonu), kā arī dati, kas rodas preču pārdošanas un pakalpojumu sniegšanas procesā (informācija, ko klients sniedz, vēršoties par precēm, pakalpojumiem vai citiem jautājumiem, izmantojot e-pastu vai telefonu), informācija par datu subjekta iegādātajām precēm, pakalpojumiem (to daudzums, pirkuma datumi, cenas, pirkumu vēsture un cita ar pirkumiem saistīta informācija);
Sabiedrības juridisko pienākumu izpilde. Šajā tiesiskajā pamatojumā tiek apstrādāti noslēgtie līgumi, dažādi finanšu dokumenti, kurus Sabiedrībai normatīvie akti paredz sastādīt un glabāt noteiktu laiku. Šajā pamata ietvaros mēs apstrādājam un nododam Jūsu datus valsts institūcijām, kā arī glabājam līgumu un citu dokumentu kopijas (arhivēšana) normatīvajos aktos noteikto termiņu;
- Sabiedrības leģitīmo interešu ietvaros (pakalpojumu kvalitātes uzlabošana). Šajā pamatojumā tiek apstrādīti dažādi paziņojumi vai iesniegumi par preču, pakalpojumu sniegšanas traucējumiem, aizpildītās anketas par pakalpojumu kvalitāti. Šajā pamata ietvaros mēs apstrādājam un nododam Jūsu datus valsts institūcijām, glabājam līgumu vai citu dokumentu kopijas (arhivēšana) normatīvajos aktos noteikto termiņu;
- Sabiedrības leģitīmo interešu ietvaros (tiesisku prasību celšana un tiesību aizsardzība). Šajā pamatojumā tiek apstrādāti šādi dati: vārds, uzvārds, personas kods, dzīvesvietas adrese, e-pasta adrese. Šajā pamata ietvaros mēs apstrādājam un nododam Jūsu datus tiesām, juridisko pakalpojumu sniedzējiem vai parādu piedziņas uzņēmumiem;
- Datu subjekta piekrišana. Šajā pamatojumā tiek apstrādāti dati, kas tiek iegūti, klientam izmantojot Sabiedrības tīmekļvietni un sīkdatnes. Sabiedrības tīmekļvietnē var tikt apkopota noteikta informācija par datu subjekta apmeklējumu, piemēram: interneta protokola (IP) adrese, ko datu subjekts izmanto, lai piekļūtu internetam; apmeklējuma datums un laiks; citas tīmekļvietnes, kuras datu subjekts apmeklē, atrodoties Sabiedrības tīmekļvietnē; izmantotā pārlūkprogramma; informācija par datu subjekta datora operētājsistēmu; mobilās lietotnes versijas; valodas iestatījumi u.c. Ja datu subjekts izmanto mobilo ierīci, var tikt apkopoti dati, kas ļauj noteikt ierīces veidu, iestatījumus, kā arī ģeogrāfiskās koordinātas (garumu un platumu). Šī informācija tiek izmantota Sabiedrības tīmekļvietnes uzlabošanai, tendenču analīzei, produktu un pakalpojumu pilnveidošanai un tīmekļvietnes administrēšanai. Datu subjekts šos datus sniedz brīvprātīgi, izmantojot Sabiedrības pakalpojumus, reģistrējoties kā tīmekļvietnes lietotājs vai apmeklējot Sabiedrības tīmekļvietni. Šajā pamatojumā tiek apstrādāti arī dati tiešā mārketinga nolūkos un uz klientu aptauju pamata;
- ar atsevišķu datu subjekta piekrišanu var tikt apstrādāti arī citi personas dati, kas nav minēti šajos Noteikumos;
- Sabiedrība neapkopo un neapstrādā klientu īpašu kategoriju personas datus, t.i. datus, kas atklāj rasu vai etnisko izcelsmi, politiskos uzskatus, reliģiskos vai filozofiskos uzskatus vai dalību arodbiedrībās, kā arī ģenētiskos datus, biometriskos datus, veselības datus, datus par fiziskas personas seksuālo dzīvi un seksuālo orientāciju.
Klientu personas datu glabāšanas termiņi:
- dati, kas tiek apstrādāti, izpildot ar klientu noslēgtos līgumus (sniedzot preces, pakalpojumus), tiek glabāti tik ilgi, cik tas noteikts līgumā, vai līdz pakalpojumu sniegšanas līguma spēkā esamības beigām, izņemot turpmāk minētos gadījumus;
- klientam iesniedzot atjauninātus datus (tālruņa numuru, e-pastu, atbildīgo personu sarakstu vai citu informāciju), vairs neaktuālie dati tiek nekavējoties dzēsti (izņemot datus rezerves kopijās);
- dati, kas ietverti līgumos vai citos dokumentos, kuru glabāšanu nosaka normatīvie akti, tiek glabāti normatīvajos aktos noteikto termiņu;
- dati, kas tiek apstrādāti, pamatojoties uz datu subjekta piekrišanu, tiek glabāti tik ilgi, kamēr klientam tiek sniegti pakalpojumi vai līdz brīdim, kad klients atsauc piekrišanu;
- dati, kas nepieciešami tiesisku prasību celšanai vai Sabiedrības tiesību aizsardzībai, tostarp minimālie dati, kas apliecina klienta piekrišanu datu apstrādei, var tikt glabāti tik ilgi, kamēr nav beidzies normatīvajos aktos noteiktais noilguma termiņš prasību celšanai vai aizstāvībai vai līdz tiesas procesa noslēgumam.
Klientu personas datu nodošana trešajām personām:
Personas dati var tikt nodoti trešajām personām šādos gadījumos:
- Sabiedrības piesaistītajiem pakalpojumu sniedzējiem – datu apstrādātājiem: loģistikas pakalpojumu sniedzējiem, programmatūras izstrādes, uzturēšanas un attīstīšanas uzņēmumiem, IT infrastruktūras pakalpojumu sniedzējiem, sakaru pakalpojumu sniedzējiem, konsultāciju un audita uzņēmumiem un citiem pakalpojumu sniedzējiem. Klientu personas dati šiem subjektiem tiek atklāti tikai tādā apjomā, kas nepieciešams pakalpojumu sniegšanai;
- izpildot normatīvajos aktos Sabiedrībai noteiktos pienākumus, klientu personas dati var tikt nodoti valsts institūcijām un iestādēm;
- lai celtu tiesiskas prasības vai aizsargātu Sabiedrības tiesības, klientu personas dati var tikt nodoti tiesām, juridisko pakalpojumu sniedzējiem un parādu piedziņas uzņēmumiem;
- pēc datu subjekta atsevišķa pieprasījuma dati var tikt nodoti arī citām trešajām personām.
- Visi personas dati tiek glabāti ne īsāku laiku, kā nepieciešams, lai Sabiedrība varētu celt prasību vai aizstāvēties tiesā normatīvajos aktos noteiktajā kārtībā.
4. DATU SUBJEKTA TIESĪBAS UN TO ĪSTENOŠANA
Datu subjektam ir šādas VDAR noteiktās tiesības, kas saistītas ar viņa personas datu apstrādi:
- būt informētam par savu personas datu apstrādi;
- piekļūt saviem personas datiem un saņemt informāciju par to apstrādi;
- pieprasīt savu personas datu labošanu, dzēšanu vai apstrādes ierobežošanu, izņemot glabāšanu, ja dati tiek apstrādāti, pārkāpjot piemērojamās tiesību normas;
- pieprasīt, lai apstrādātie personas dati tiktu nodoti viņam vai citam datu pārzinim strukturētā, plaši izmantotā un mašīnlasāmā formātā (pārnesamības tiesības);
- iebilst pret savu personas datu apstrādi;
- datu subjekts ir tiesīgs atteikties sniegt savus personas datus. Šādā gadījumā datu subjekts automātiski atsakās no prasībām attiecībā uz Sabiedrības sniegto preču vai pakalpojumu kvalitāti, jo pieprasītie dati var būt nepieciešami, lai pienācīgi nodrošinātu vēlamās/preču vai pakalpojumu izpildi;
- kļūstot par klientu, datu subjekts norāda savas izvēles par viņa personas datu izmantošanu reklāmas paziņojumu – biļetenu, anketu par preču vai pakalpojumu kvalitāti vai citu piedāvājumu saņemšanai. Savas izvēles datu subjekts var mainīt, noklikšķinot uz saites reklāmas ziņojumā vai sazinoties ar Sabiedrību, izmantojot zemāk norādītos kontaktus. Sabiedrība patur tiesības nosūtīt paziņojumus, kas saistīti ar klienta pasūtīto pakalpojumu izpildi, atgādinājumus par neapmaksātiem rēķiniem, informāciju par mainītiem piegādes noteikumiem vai citu informāciju, par kuru klientam ir jābūt informētam.
Datu subjekts savas tiesības var īstenot, sazinoties ar Sabiedrību:
e-pastā: info@finu.lv
pa tālruni: +371 26002003
vai klātienē, ierodoties Sabiedrības birojā adresē: Dārzaugļu iela 1B, LV-1012, Rīga, Latvija.
Datu subjekts kopā ar iesniegumu tiesību īstenošanai iesniedz personu apliecinošu dokumentu. Sabiedrība datu subjekta pieprasījumu izpilda 30 kalendāro dienu laikā, izņemot gadījumus, kad lielā pieprasījumu skaita vai sarežģītības dēļ to nav iespējams izpildīt šādā termiņā. Šādā gadījumā Sabiedrība apņemas pieprasījumu izpildīt saprātīgā termiņā, bet ne vēlāk kā 60 kalendāro dienu laikā no pieprasījuma saņemšanas dienas. Sabiedrība patur tiesības atteikties izpildīt noteiktus datu subjekta pieprasījumus vai pieprasīt samaksu to izpildei, ja datu subjekts acīmredzami ļaunprātīgi izmanto savas tiesības.
Datu subjekts, ja uzskata, ka viņa dati tiek apstrādāti, pārkāpjot tiesību aktu prasības, ir tiesīgs iesniegt sūdzību Datu valsts inspekcijai (papildu informācija – www.dvi.gov.lv). Jebkuru jautājumu, pretenziju vai aizdomu gadījumā par datu apstrādi Sabiedrība iesaka vispirms vērsties pie Sabiedrības, lai mēģinātu problēmas atrisināt mierizlīguma ceļā.
5. DARBINIEKU PIENĀKUMI
Datu subjekta personas datus drīkst apstrādāt tikai Sabiedrības vadītāja pilnvarotas personas.
Katrs darbinieks, kas apstrādā personas datus, ir pienākums:
- apstrādāt personas datus, stingri ievērojot Latvijas Republikas normatīvos aktus, citus tiesību aktus, instrukcijas un šos Noteikumus;
- ievērot personas datu konfidencialitāti. Darbiniekam jāievēro konfidencialitātes princips un jāglabā noslēpumā jebkura ar personas datiem saistīta informācija, ar kuru viņš iepazīstas savu pienākumu izpildes gaitā, izņemot gadījumus, kad šāda informācija ir publiska saskaņā ar normatīvajiem aktiem. Konfidencialitātes princips darbiniekam jāievēro arī pēc darba tiesisko attiecību izbeigšanās;
- neatklāt, nenodot un neļaut jebkādā veidā piekļūt personas datiem personai, kas nav pilnvarota apstrādāt personas datus;
- lai novērstu nejaušu vai nelikumīgu personas datu iznīcināšanu, izmaiņas, atklāšanu un citu nelikumīgu apstrādi, pienācīgi un droši glabāt dokumentus un datu kopas, kā arī izvairīties no lieku kopiju izgatavošanas. Sabiedrības dokumentu kopijas, kurās ietverti personas dati, ir jāiznīcina tādā veidā, lai tās nebūtu iespējams atjaunot un identificēt to saturu;
- nekavējoties informēt Sabiedrības vadītāju vai viņa norīkoto atbildīgo personu par jebkuru aizdomīgu situāciju, kas var apdraudēt personas datu drošību, un veikt pasākumus, lai šādu situāciju novērstu.
6. PERSONAS DATU AIZSARDZĪBAS PĀRKĀPUMA RISKA FAKTORI, DROŠĪBAS PĀRKĀPUMI
Personas datu aizsardzības pārkāpums – darbība vai bezdarbība, kas var radīt vai rada nevēlamas sekas un ir pretrunā ar personas datu aizsardzību regulējošiem tiesību aktiem. Personas datu aizsardzības pārkāpuma ietekmes pakāpi, kaitējumu un sekas katrā konkrētā gadījumā nosaka SIA „FINU” vadītājs vai viņa izveidota komisija.
Personas datu aizsardzības pārkāpuma riska faktori:
- nejauši – kad personas datu aizsardzība tiek pārkāpta nejaušu iemeslu dēļ (apstrādes kļūdas, datu nesēju, datu ierakstu dzēšana vai iznīcināšana, nepareizi maršruti (adreses) datu nodošanā, sistēmu traucējumi elektrības padeves pārrāvuma, datorvīrusa u.tml. dēļ, iekšējo noteikumu neievērošana, nepietiekama sistēmu uzturēšana, programmatūras testēšana, neatbilstoša datu nesēju uzglabāšana, nepietiekama sakaru līniju kapacitāte un aizsardzība, datoru integrācija tīklā, datorprogrammu aizsardzības trūkumi, nepietiekams faksa materiālu nodrošinājums u.c.);
- tīši – kad personas datu aizsardzība tiek pārkāpta apzināti (nelikumīga iekļūšana SIA „FINU” telpās, informācijas sistēmās, datoru tīklā, ļaunprātīga noteikumu pārkāpšana, apzināta datorvīrusa izplatīšana, personas datu zādzība, nelikumīga izmantošana citas personas piekļuves tiesībām u.c.);
- neparedzēti notikumi – zibens, ugunsgrēks, plūdi, applūdināšana, vētras, elektroinstalācijas bojājumi, temperatūras un/vai mitruma izmaiņu ietekme, putekļu un magnētisko lauku ietekme, nejaušas tehniskas avārijas un citi nepārvaramas varas vai nekontrolējami apstākļi.
Datu drošības pārkāpumu procedūra:
- visi darbinieki nekavējoties informē vadītāju par jebkādiem incidentiem, kas saistīti ar šo Noteikumu pārkāpumiem;
- vadītājs nosaka, vai datu aizsardzības incidents patiešām ir personas datu drošības pārkāpums. Piemēram, pazaudētas USB atmiņas ierīces, nozagti datori, ļaunprogrammatūru infekcijas vai ielaušanās datu bāzēs, kurās glabājas personas dati, tiek uzskatīti par personas datu drošības pārkāpumiem. Drošības pasākumu trūkumi, piemēram, vāji paroles vai novecojušas ugunsmūra sistēmas, netiek uzskatīti par datu drošības pārkāpumu, ja nav notikusi personas datu noplūde;
- ja datu aizsardzības incidents ir personas datu drošības pārkāpums, vadītājs nosaka pārkāpuma apmēru, ietekmēto datu subjektu skaitu, vai pārkāpums var radīt risku datu subjektu tiesībām un brīvībām, vai pārkāptie dati ir sensitīvi, kādi pasākumi nepieciešami, lai mazinātu sekas;
- pamatojoties uz novērtējumu, vadītājs lemj, vai par pārkāpumu jāinformē uzraudzības iestāde un datu subjekti. Paziņojums uzraudzības iestādei nav nepieciešams, ja nav paredzams, ka pārkāpums radīs risku personas tiesībām un brīvībām;
- ja normatīvie akti paredz pienākumu par personas datu drošības pārkāpumu paziņot, vadītājs paziņo uzraudzības iestādei, sniedzot visu nepieciešamo informāciju, ne vēlāk kā 72 stundu laikā no brīža, kad par pārkāpumu kļuvis zināms;
- ja personas datu drošības pārkāpums var radīt augstu risku fizisku personu tiesībām un brīvībām, vadītājs informē attiecīgos datu subjektus;
- Sabiedrība dokumentē visus datu aizsardzības incidentus, norādot ar pārkāpumu saistītos faktus, tā ietekmi un veiktos vai plānotos pasākumus.
7. PERSONAS DATU AIZSARDZĪBAS NODROŠINĀŠANAS PASĀKUMI
Lai nodrošinātu personas datu aizsardzību, SIA „FINU” ievieš vai plāno ieviest šādus aizsardzības pasākumus:
- Administratīvie pasākumi – droša dokumentu un datorizēto datu un to arhīvu apstrādes kārtība, kā arī dažādu darbības jomu organizatoriskie procesi. Datu subjektu dokumenti un to kopijas, grāmatvedības un atskaitīšanās dokumenti, arhīvu vai citi lietvedības dokumenti, kas satur personas datus, tiek glabāti slēdzamos skapjos vai seifos. Dokumenti ar personas datiem netiek glabāti publiski pieejamās vietās. Manuāli veidoti ieraksti netiek atstāti vietās, kur tiem var piekļūt nepilnvarotas personas, un netiek iznesti no Sabiedrības telpām bez īpašas atļaujas. Kad manuāli veidoti ieraksti vairs nav nepieciešami klientu apkalpošanai, tie tiek noņemti no aktīvas lietošanas un iznīcināti, ievērojot drošas arhivēšanas un dzēšanas procedūras;
- Tehniskie un programmatūras aizsardzības pasākumi – informācijas sistēmu un datubāzu administrēšana, darba vietu un telpu uzraudzība, operētājsistēmu aizsardzība, aizsardzība pret datorvīrusiem u.c.
Sabiedrības piesaistītajiem datu apstrādātājiem un trešajām personām, kas iesaistītas pakalpojumu sniegšanā, ir pienākums nodrošināt atbilstošus tehniskos un organizatoriskos personas datu aizsardzības pasākumus un ievērot tos. Viņiem ir pienākums informēt Sabiedrību par nodomu iesaistīt apakšapstrādātājus un saņemt Sabiedrības iepriekšēju rakstisku piekrišanu.
8. SĪKDATNES UN TO IZMANTOŠANA
Daļa informācijas tiek apkopota automātiski brīdī, kad datu subjekts apmeklē Sabiedrības tīmekļvietni, jo datu subjekta IP adresi atpazīst Sabiedrības serveris.
Sabiedrības tīmekļvietnē tiek izmantoti datu analīzes pārvaldības rīki – sīkdatnes („cookies”).
Izmantojot Sabiedrības tīmekļvietni www.finu.lv, datu subjekts piekrīt, ka viņa datorā (ierīcē) tiek saglabātas šajos Noteikumos minētās sīkdatnes.
Sīkdatnes ir neliels datu apjoms, ko tīmekļvietne saglabā datu subjekta datorā. Tās palīdz pielāgot tīmekļvietni individuālajām vajadzībām.
Sīkdatnes nevar izmantot programmu palaišanai vai vīrusu nogādāšanai datorā. Sīkdatnes ir unikāli piešķirtas konkrētam lietotājam un tās var nolasīt tikai tas tīmekļa serveris, kas sīkdatni izdevis.
Sīkdatņu izmantošana datu apstrādē neļauj tieši vai netieši identificēt lietotāja identitāti.
Sabiedrības tīmekļvietnē tiek izmantoti šādi sīkdatņu veidi:
- Tehniskās sīkdatnes. Sabiedrība cenšas nodrošināt modernu un viegli lietojamu tīmekļvietni, kas automātiski pielāgojas lietotāja vajadzībām. Lai to panāktu, Sabiedrība izmanto tehniskās sīkdatnes, kas ļauj attēlot tīmekļvietni un nodrošināt tās pareizu darbību. Tīmekļvietne korekti darbojas tikai ar tehniskajām sīkdatnēm;
- Funkcionālās sīkdatnes. Sabiedrība izmanto funkcionālās sīkdatnes, kas ļauj atcerēties datu subjekta izvēles un efektīvi izmantot tīmekļvietni. Piemēram, sīkdatnes ļauj tīmekļvietnei atcerēties izvēlēto valodu, veiktos meklējumus vai apskatītās lapas. Šāda veida sīkdatnes nav obligātas tīmekļvietnes darbībai, taču tās uzlabo lietošanas pieredzi;
- Analītiskās sīkdatnes. Šīs sīkdatnes Sabiedrība izmanto, lai izprastu, kā apmeklētāji izmanto tīmekļvietni, noteiktu tās stiprās un vājās puses, optimizētu un uzlabotu tās darbību un ieviestu jaunus risinājumus. Apkopotie dati ietver apskatītās lapas, izmantotās platformas veidu, datuma un laika informāciju, klikšķu skaitu, peles kustības un pārlūkošanas aktivitāti, atslēgvārdus un citu ievadīto tekstu. Analītiskās sīkdatnes tiek izmantotas arī, lai analizētu lietotāju rīcību pēc Sabiedrības reklāmu parādīšanas citās vietnēs. Sabiedrība neidentificē konkrētus lietotājus, bet apkopo tikai anonīmu informāciju;
- Komercsīkdatnes. Šīs sīkdatnes Sabiedrība izmanto, izvietojot Sabiedrības reklāmas citās tīmekļvietnēs.
Šo rīku mērķis ir nodrošināt kvalitatīvu tīmekļvietnes darbību, palīdzēt Sabiedrībai uzzināt tās apmeklējumu skaitu un plūsmas, pilnveidot tīmekļvietni, tiešsaistes pakalpojumus un labāk apmierināt apmeklētāju vajadzības.
Katru reizi apmeklējot Sabiedrības tīmekļvietni, datu subjekts var piekrist sīkdatņu izmantošanai vai tās noraidīt, taču šādā gadījumā Sabiedrība nevar garantēt pilnvērtīgu tīmekļvietnes darbību. Lielākā daļa pārlūkprogrammu automātiski pieņem sīkdatnes, bet datu subjekts var mainīt pārlūka iestatījumus, lai sīkdatnes netiktu pieņemtas. Datu subjektam jebkurā brīdī ir iespēja dzēst daļu vai visas sīkdatnes no sava datora vai tās bloķēt, izmantojot pārlūkprogrammas iestatījumus. Bloķējot sīkdatnes, daļa tīmekļvietnes funkciju var nedarboties vai darboties nepilnvērtīgi.
Ar sīkdatņu palīdzību netiek apkopoti tieši identificējami klientu personas dati.
Sīkdatņu izmantošanas laikā informācija netiek nodota trešajām personām, izņemot Noteikumos paredzētajos gadījumos.
9. NOTEIKUMU GROZĪJUMI UN SPĒKĀ STĀŠANĀS
Šie Noteikumi, pieņemti 2025-12-02, stājas spēkā ar to publicēšanas brīdi Sabiedrības tīmekļvietnē www.finu.lv. Tīmekļvietnē vienmēr tiek publicēta pēdējā (aktuālā) Noteikumu redakcija.
Sabiedrība patur tiesības bez iepriekšēja brīdinājuma grozīt šos Noteikumus. Par jebkuriem grozījumiem Sabiedrība informēs klientus, publicējot jauno redakciju Sabiedrības tīmekļvietnē vai izmantojot citus komunikācijas kanālus.