Radās jautājumi?+371 (67) 660466

Noteikumi par personas datu apstrādi

Noteikumi par personas datu apstrādi

 

1. Pamatjēdzieni

1.1. Uzņēmums – VAS „Open 24”, uzņēmums, kas dibināts saskaņā ar Lietuvas Republikas tiesību aktiem, juridiskā adrese: Konstitucijos ave. 26, Viļņa, LT-08105, Lietuvas Republika, uzņēmuma kods: 300569944, uzņēmuma datiem esot ietvertiem Juridisko personu reģistrā;

1.2. Datu subjekts – fiziska persona, kuras personas datus Uzņēmums pārvalda;

1.3. Personas dati – jebkura informācija saistībā ar fizisko personu, proti, datu subjektu, kas ir zināms vai var tikt tieši vai netieši identificēts, izmantojot šādus datus, piemēram, personas kods vai arī viena vai vairākas attiecīgās personas fiziskas, fizioloģiskas, ekonomiskas, kultūras vai sociālas iezīmes;

1.4. Personas datu apstrāde – jebkura ar personas datiem saistīta darbība, proti, to apkopošana, reģistrēšana, uzglabāšana, klasificēšana, grupēšana, apvienošana, modificēšana (pievienošana vai rediģēšana), sniegšana, publicēšana, izmantošana, loģiskas un/vai aritmētiskas darbības, meklēšana, izplatīšana, dzēšana vai jebkura cita darbība vai darbību kopums;

1.5. Automātiskais režīms – darbības, kuras pilnībā vai daļēji tiek veiktas ar jebkādu automātisku līdzekļu palīdzību;

1.6. Darbinieks – persona, kura ar Uzņēmumu ir noslēgusi darba vai līdzīgu līgumu un kura ar Uzņēmuma vadītāja lēmumu ir tikusi izraudzīta personas datu apstrādei, vai kuras personas dati tiek apstrādāti;

1.7. Vadītājs – juridiska vai fiziska persona, kuru Uzņēmums ir pilnvarojis apstrādāt personas datus. Vadītājam(-iem) ir jābūt reģistrētam(-iem) inspekcijā;

1.8. Datu saņēmējs – juridiska vai fiziska persona, kurai tiek sniegti personas dati. Datu saņēmējam(-iem) ir jābūt reģistrētam(-iem) inspekcijā;

1.9. Inspekcija – Lietuvas Republikas Valsts Datu aizsardzības inspekcija;

1.10. Sīkdatnes – nelielas teksta datnes, kas tiek nosūtītas uz katras tīmekļa vietni apmeklējošās personas ierīci, tiek izmantotas, lai pievienotos tīmekļa vietnei, un īslaicīgi tiek uzglabātas šajā ierīcē. Atkārtoti apmeklējot attiecīgo tīmekļa vietni, Jūsu pārlūkprogramma nolasīs sīkdatni un pārraidīs informāciju uz tīmekļa vietni vai vienumu. Ar sīkdatņu palīdzību apkopotā informācija ļauj identificēt tīmekļa vietnes apmeklētāju, saglabāt apmeklējumu vēsturi un atbilstoši pielāgoties tīmekļa vietnes saturam.

 

2. Vispārīgi noteikumi

2.1. Šis dokuments reglamentē Uzņēmuma un tā darbinieku rīcību saistībā ar personas datu pārvaldību, izmantojot Uzņēmumā lietotos automātiskos personas datu apstrādes līdzekļus, kā arī nosaka datu subjektu tiesības, personas datu aizsardzības riska faktorus, personas datu aizsardzības pasākumus un citus ar personas datu apstrādi saistītos aspektus.

2.2. Personas datiem ir jābūt precīziem, atbilstošiem un sniegtiem vienīgi tādā apmērā, kādā tos nepieciešams apkopot un apstrādāt. Ja personas dati ir nepieciešami to apstrādei, tie pastāvīgi tiek aktualizēti.

2.3. Personas datu apstrādes mērķi – tiešais mārketings un citi likumīgi mērķi saistībā ar datu apkopošanu.

2.4. Uzņēmums Noteikumu 2. punkta 3. daļā minētajiem mērķiem apstrādā šādus datu subjekta personas datus:

(a) vārdu;

(b) uzvārdu;

(c) e-pastu;

(d) tālruņa numuru;

(e) dzimumu;

(f) abonēto informāciju;

(g) lojalitātes kartes numuru un derīguma termiņu;

(h) veikalu, kurā tiek aizpildīta anketa.

2.5. Personas dati tiek apstrādāti saskaņā ar Personas datu tiesiskās aizsardzības likumu (2008. gada 1. februāris, Nr. X-1444), kā arī citiem likumiem un tiesību aktiem, kas reglamentē datu apstrādi un aizsardzību, un šiem Noteikumiem.

 

3. Personas datu apstrāde

3.1. Uzņēmums pārvalda personas datus šādiem mērķiem:

  • e-komercijas pakalpojumiem;
  • tiešajam mārketingam, tostarp informatīvajiem izdevumiem;
  • ar iekšējo pārvaldi saistītiem mērķiem, piemēram, Uzņēmuma darbinieku datu pārvaldībai.

3.2. Uzņēmums apkopo un pārvalda turpmāk minēto kategoriju personas datus:

(a) pamatdatus, kas nepieciešami iepriekšminētajiem mērķiem, proti, vārds, uzvārds un kontaktinformācija;

(b) preču tirdzniecībai nepieciešamos datus, proti, informāciju par pasūtījumu, rēķinus, ar maksājumiem saistītos datus u.c.;

(c) citus datus, kas apkopojami ar Jūsu piekrišanu, minētajam esot detalizēti aprakstītam brīdī, kad Jūs tiekat lūgti sniegt piekrišanu.

3.3. Personas dati tiek apstrādāti manuāli, nevis automātiski, izmantojot Uzņēmumā lietoto personas datu apstrādes materiāltehnisko nodrošinājumu.

3.4. Vienīgi personāls un vadītāji ir tiesīgi apstrādāt personas datus. Ikviens par personas datu apstrādi atbildīgais darbinieks/vadītājs nodrošina datu konfidencialitāti un ievēro personas datu aizsardzību reglamentējošo tiesību aktu prasības.

3.5. Darbinieks/vadītājs apņemas:

(a) turēt personas datus slepenībā;

(b) apstrādāt personas datus saskaņā ar Lietuvas Republikas likumiem, citiem tiesību aktiem un šiem Noteikumiem;

(c) neizpaust personas datus, nenodot tos nevienai citai personai, kura nav tiesīga tos apstrādāt ar jebkādu piekļuves līdzekļu palīdzību, un nenodrošināt šīm personām piekļuvi personas datiem;

(d) nekavējoties informēt Uzņēmuma vadītāju vai tā izraudzīto personu par jebkuru aizdomīgu situāciju, kā rezultātā var tikt apdraudēta personas datu drošība.

3.6. Darbiniekiem, kuri automātiski apstrādā personas datus vai var piekļūt lokālajam tīklam, kurā tiek uzglabāti personas dati, ir jāizmanto paroles. Paroles nepieciešams mainīt periodiski, kā arī noteiktos apstākļos (piemēram, darbiniekam mainot paroli gadījumā, kad ir tikusi konstatēta ielaušanās vai radušās aizdomas par to, ka parole ir tapusi zināma kādai trešajai pusei u.c.). Šāda parole ir zināma vienīgi attiecīgajam darbiniekam.

3.7. Par datoru uzturēšanu atbildīgā persona nodrošina, ka personas dati netiek „koplietoti” no citiem datoriem un ka periodiski tiek atjauninātas pretvīrusu programmas.

3.8. Par datoru uzturēšanu atbildīgā persona izgatavo datorā esošo datņu kopijas. Šo datņu zaudēšanas vai bojāšanas gadījumā atbildīgajam darbiniekam ir jāatjauno datnes dažu dienu laikā.

3.9. Personas datu aizsardzību organizē, garantē un īsteno Uzņēmuma vadītājs vai kāds tā izraudzīts darbinieks.

3.10. Darbinieks nav tiesīgs apstrādāt personas datus, ja darbuzņēmēja darba vai līdzīga rakstura līgums ar Uzņēmumu ir izbeidzies vai Uzņēmuma vadītājs atsauc darbinieku no personas datu apstrādes.

3.11. Vadītājs zaudē tiesības apstrādāt personas datus, ja tā līgums ar Uzņēmumu ir izbeidzies.

 

4. Uzņēmuma tīmekļa vietnē (open24.lv) esošie dati

(a) Administrējot tīmekļa vietni un apzinot „Open 24” serverī esošās problēmas, mēs varam izmantot tīmekļa vietnes apmeklētāju IP adreses. IP adrese – unikāls tīkla kods, ar kura palīdzību tiek identificēts noteikts dators. To iespējams izmantot, lai noteiktu apmeklētāju un apkopotu dažāda veida demogrāfisko informāciju.

(b) Izmantojot sīkdatnes, mēs apkopojam datus saistībā ar pakalpojumu izmantošanu. Informācija par sīkdatnēm, to veidiem un izmantošanu ir ietverta Noteikumu 5. punktā.

(c) Reģistrējoties „Open 24” tiešsaistes veikalā, mēs apkopojam lietotāja identificēšanai nepieciešamo informāciju, kuru Jūs sniedzat, aizpildot reģistrācijas veidlapu, proti, vārdu, uzvārdu un e-pasta adresi.

(d) Iegādājoties preces vai pakalpojumus „Open 24” e-komercijas veikalā, mēs apkopojam atbilstošai pasūtījuma izpildei nepieciešamos datus, piemēram, produktu un tā pasūtījuma datus, kontaktinformāciju un ar minēto saistītus datus.

5. Sīkdatņu izmantošana

(a) Tehniskās sīkdatnes nodrošina tīmekļa vietnes darbību – tiek izveidots lietotāja konts, reģistrējot un pārvaldot datu subjekta pasūtījumus. Šīs tehniskās sīkdatnes nodrošina atbilstošu tīmekļa vietnes darbību.

(b) Funkcionālās sīkdatnes palīdz atcerēties datu subjekta vēlmes un efektīvi izmantot mūsu tīmekļa vietni, piemēram, Jums vēlamo valodu, ar pieteikšanos saistīto informāciju, meklējumus un iepriekš aplūkotos vienumus u.c. Šīs funkcionālās sīkdatnes neietekmē tīmekļa vietnes darbību, bet gan nodrošina funkcionalitāti un datu subjektam draudzīgāku tīmekļa vietnes izmantošanu.

(c) Analītiskās sīkdatnes palīdz gūt ieskatu tajā, kā apmeklētāji izmanto tīmekļa vietni, optimizēt un uzlabot tīmekļa vietni, kā arī izprast reklāmas un komunikācijas efektivitāti.

(d) Komerciālās sīkdatnes – Uzņēmuma un trešo pušu sīkdatnes tiek izstrādātas, lai mūsu un citās tīmekļu vietnēs attēlotu personalizētas reklāmas, balstoties uz pārlūkošanas darbībām, piemēram, datu subjekta meklētajiem vienumiem un aplūkotajām precēm.

(e) Tā kā Google Analytics rīku ir izstrādājis ASV uzņēmums Google Inc., tam ir pieeja ar šī rīka palīdzību apkopotajiem statistikas datiem. Google Inc. piemēro ES un ASV privātuma politiku, kas paredz, ka pakalpojuma sniedzējs ievēro ES personas datu aizsardzību reglamentējošos standartus. Arī šim pakalpojumu sniedzējam ir saistošas līgumsaistības attiecībā uz personas datu aizsardzību. Vairāk informācijas par minēto iespējas iegūt tīmekļa vietnē https://www.google.com/analytics/terms/dpa/dataprocessingamugges_20160909.html.

 

6. Datu subjekta tiesību īstenošana

6.1. Iesniedzot Uzņēmumam kādu personu apliecinošo dokumentu, datu subjekts ir tiesīgs saņemt informāciju par avotiem un apkopoto datu apstrādes un sniegšanas mērķi. Personas datiem iespējams piekļūt, pa pastu vai e-pastu nosūtot Uzņēmumam rakstveida pieteikumu par piekļuvi personas datiem.

6.2. Uzņēmums, saņemot no datu subjekta attiecīgo pieteikumu saistībā ar tā personas datu apstrādi, ir atbildīgs par šādu personas datu apstrādi un iesniedz pieprasītos datus datu subjektam ne vēlāk, kā 30 kalendāro dienu laikā pēc datu sniegšanas pieprasījuma saņemšanas. Šādi dati pēc datu subjekta pieprasījuma sniedzami rakstveidā vai pa e-pastu.

6.3. Personas datus iespējams labot vai dzēst, savukārt ar to apstrādi saistītās darbības pārtraukt, datu subjektam iesniedzot Uzņēmumam rakstveida paziņojumu vēstules veidā vai pa e-pastu, vai arī mutiski, ja datu subjektu iespējams identificēt. Uzņēmums pēc šāda pieprasījuma saņemšanas nekavējoties pārbauda personas datus un pēc datu subjekta pieprasījuma labo nepareizos, nepilnīgos vai neprecīzos personas datus.

6.4. Uzņēmums nekavējoties informē datu subjektu par to, vai pēc tā lūguma personas dati ir tikuši laboti, dzēsti vai izņemti.

6.5. Uzņēmums garantē arī pārējās Lietuvas Republikas likumos un tiesību aktos minētās personas datu subjektu tiesības, garantijas un intereses.

 

7. Personas datu pārnešana

7.1. Personas dati nododami vienīgi datu pakalpojumu sniedzējiem, ar kuriem Uzņēmums ir parakstījis līgumu par personas datu pārnešanu/sniegšanu, kura ietvaros tiek nodrošināta atbilstoša pārnesto personas datu aizsardzība. Personas datus iespējams nodot arī trešajām pusēm, taču vienīgi gadījumos, kas minēti Lietuvas Republikas likumos un citos tiesību aktos.

7.2. Uzņēmums bez datu subjekta piekrišanas neizmanto un neizpauž jutīgu personisku informāciju, piemēram, informāciju par personas veselības stāvokli, rasi, reliģisko pārliecību un politiskajiem uzskatiem, ja vien minētais nav nepieciešams vai pieļaujams saskaņā ar attiecīgajiem tiesību aktiem.

7.3. Personas datus trešajām pusēm iespējams nodot arī gadījumos, kas noteikti Lietuvas Republikas likumos un tiesību aktos.

 

8. Personas datu aizsardzības riska faktori

8.1. Personas datu aizsardzības pārkāpums – darbība vai bezdarbība, kas var radīt nevēlamas sekas un kā rezultātā var tikt pārkāpti personas datu aizsardzību reglamentējošo likumu noteikumi. Personas datu aizsardzību, radītā kaitējuma pakāpi un sekas jebkurā gadījumā izvērtē komisija, kuru veido Uzņēmuma vadītājs un kāda tā pilnvarotā persona.

8.2. Personas datu aizsardzības riska faktori:

(a) netīšs pārkāpums – personas datu aizsardzība tiek pārkāpta nejaušības dēļ (kļūme datu apstrādē, datu nesēji, datu ierakstu dzēšana, kļūdaini maršruti (adreses) datu pārnešanas laikā u.c. vai sistēmas darbības traucējumi elektrības padeves zuduma, datorvīrusa u.c. faktoru rezultātā, iekšējo noteikumu pārkāpšana, nepietiekama sistēmas uzturēšana, programmatūras testi, neatbilstoša datu nesēja uzturēšana, neatbilstoša līnijas jauda un aizsardzība, tīklu integrēšana, datorprogrammu aizsardzība, nepietiekami faksa resursi u.c.);

(b) apzināts personas datu aizsardzības pārkāpums (neatļauta iekļuve Uzņēmuma/viesnīcas telpās, personas datu uzglabāšanas repozitorijos, informācijas sistēmās un datortīklos, ļaunprātīgs pārkāpums saistībā ar personas datiem, apzināta datorvīrusu izplatīšana, personas datu zādzība, pretlikumīga kāda cita darbinieku tiesību īstenošana u.c.);

(c) neparedzami gadījumi (zibens, ugunsgrēks, plūdi, vētra, elektroinstalācijas, temperatūras un/vai mitruma līmeņa izmaiņas, netīrumu, putekļu un magnētisko lauku iedarbība, tehniska rakstura negadījumi un citi neizbēgami un/vai nekontrolējami faktori u.c.).

 

9. Personas datu aizsardzības pasākumi

9.1. Lai nodrošinātu personas datu aizsardzību, Uzņēmums veic vai plāno veikt šādus personas datu aizsardzības pasākumus:

(a) administratīvi pasākumi (dokumentu, datorā esošo datu un to arhīvu organizēšana, darba organizēšana dažādās darbības sfērās, personāla iepazīstināšana ar personas datu aizsardzību nodarbinātības laikā un pēc darba tiesisko vai līdzīgu attiecību izbeigšanas u.c.);

(b) tehniska rakstura pasākumi un programmatūru drošība (serveru, informācijas sistēmu un datubāzu administrēšana, darba vietu uzturēšana, Uzņēmuma telpu uzturēšana, operētājsistēmu aizsardzība, aizsardzība pret datorvīrusiem u.c.);

(c) komunikācijas līdzekļi un datortīkli (ugunsmūra uzstādīšana, datu koplietošana, programmas, nevēlamas datu paketes u.c.).

9.2. Tehniskie un programmatūru rīki personas datu aizsardzībai nodrošina:

(a) operētājsistēmu uzstādīšanu, datubāzu kopijas, kopēšanas metodi un atbilstības kontroli;

(b) pastāvīgas datu apstrādes tehnoloģijas;

(c) sistēmu atjaunināšanas stratēģiju neparedzētos gadījumos (negaidītos apstākļos);

(d) vides testēšanas programmu un operatīvo procesu fizisko (loģisko) nodalīšanu;

(e) atļautu datu izmantošanu un datu integritāti.

9.3. Visiem darbiniekiem, kuri ir tiesīgi pārvaldīt personas datus, kā arī organizēt un īstenot to aizsardzību, ir stingri jāievēro personas datu aizsardzības pasākumu un attiecīgo noteikumu prasības un Uzņēmuma norādījumi vai procedūras.

 

10. Datu apstrādes laiki

10.1. Uzņēmums apstrādā personas datus laikā, kad klients piedalās lojalitātes programmā, vai ne ilgāk, kā tas nepieciešams datu apstrādes mērķu sasniegšanai vai atbilstoši tiesību aktiem, kas paredz ilgāku datu uzglabāšanu.

10.2. Kad personas datus vairs nav nepieciešams apstrādāt, tie tiek dzēsti, izņemot attiecīgajos tiesību aktos noteiktos gadījumus, kad tie pārnesami uz valsts arhīviem.

10.3 Tiešā vai netiešā mārketinga kampaņu mērķiem apstrādājamos datus Uzņēmums saglabā ne ilgāk, kā tas nepieciešamas paredzētā datu apstrādes mērķa sasniegšanai, atbilstoši attiecīgajiem tiesību aktiem vai datu subjekta vēlmēm. Uzņēmums pēc datu subjekta pieprasījuma dzēš visus datus, kuru uzglabāšana vairs nav nepieciešama, ievērojot visas tiesiskās prasības saistībā ar datu subjektu.

 

11. Atbildība

11.1. Darbinieki, kuri ir pārkāpuši Lietuvas Republikas Personas datu tiesiskās aizsardzības likumu, citus personas datu apstrādi un aizsardzību reglamentējošos tiesību aktus un šos Noteikumus, ir saucami pie atbildības Lietuvas Republikas likuma kārtībā.

 

12. Nobeiguma noteikumi

12.1. Uzņēmuma vadītājs vai tā pilnvarotā persona ir atbildīga par Noteikumu ievērošanu un nepieciešamības gadījumā to pārskatīšanu.

12.2. Atbildīgie darbinieki tiek iepazīstināti ar Noteikumiem, tos parakstot.