VISPĀRĪGĀS DATU AIZSARDZĪBAS REGULĒJUMA (GDPR) POLITIKA
1. Politikas paziņojums
Katru dienu mūsu uzņēmums saņems, izmantos un uzglabās personīgu informāciju par mūsu klientiem, piegādātājiem, interviju kandidātiem un kolēģiem. Svarīgi, lai šī informācija tiktu apstrādāta likumīgi un atbilstoši prasībām [Datu aizsardzības likums 2018] un Vispārīgās datu aizsardzības regulas (kopumā sauktas par "Datu aizsardzības prasībām").
Mēs nopietni attiecamies pret mūsu datu aizsardzības pienākumiem, jo cienām uzticību, kas mums tiek dota izmantojot personīgo informāciju atbilstoši un atbildīgi.
2. Par šo politiku
Šī politika un jebkuri citi tajā minētie dokumenti nosaka pamatu, uz kāda mēs apstrādāsim jebkādas personas datus, ko savācam vai apstrādājam.
Šī politika nav sastāvdaļa neviena darbinieka darba līgumam un to var mainīt jebkurā laikā.
Aleks Smit ir mūsu Datu aizsardzības tiesību aizsardzības oficiālis (DPO) un atbildīgs par uzņēmuma atbilstību Datu aizsardzības prasībām un šai politikai. Jebkādas šīs politikas darbības jautājumi vai bažas, ka politika nav ievērota, ir jāvērš sākotnēji pie DPO vai jāziņo, ievērojot mūsu uzņēmuma sūdzību politiku (skatīt Darbinieku rokasgrāmatu).
3. Kas ir Personas dati?
Personas dati nozīmē dati (gan elektroniski, gan uz papīra pamata), kas saistīti ar dzīvo indivīdu, kurš var tikt tieši vai netieši identificēts no šiem datiem (vai no tiem un citiem mums pieejamajiem datiem).
Apstrāde ir jebkura darbība, kas ietver personīgo datu izmantošanu. Tas ietver datu iegūšanu, reģistrēšanu vai uzglabāšanu, datu organizēšanu, grozīšanu, iegūšanu, lietošanu, atklāšanu, dzēšanu vai iznīcināšanu. Apstrāde ietver arī personisko datu nodotošanu trešajām personām.
Jutīgie personiskie dati ietver informāciju par personas rasu vai etnisko izcelsmi, politiskajām nostājām, reliģiskajām vai filozofiskajām pārliecībām, profesionālo arodbiedrību piederību, ģenētisko, biometrisko, fizisko vai garīgo veselības stāvokli, seksuālo orientāciju vai dzīves veidu. Tie var ietvert arī informāciju par noziedzīgiem nodarījumiem vai notiesājumiem. Jutīgie personiskie dati var tikt apstrādāti tikai saskaņā ar stingrām nosacījumiem, ieskaitot ar indivīda piekrišanu.
4. Datu aizsardzības pamatprincipi
Jebkuram, kas apstrādā personīgos datus, ir jānodrošina, ka dati ir:
a. Apstrāde notiek godīgi, likumīgi un caurspīdīgā veidā.
b. Dati tiek savākti konkrētiem, skaidriem un likumīgiem mērķiem, un jebkura papildu apstrāde tiek veikta saderīga mērķa vajadzībām.
c. Dati ir adekvāti, atbilstoši un ierobežoti ar to, kas nepieciešams paredzētajiem mērķiem.
d. Precīzi un, kur nepieciešams, uzturēti atjauninātus.
e. Uzglabāti veidā, kas ļauj identificēt tik ilgi, cik nepieciešams paredzētajiem mērķiem.
f. Apstrādāti, ievērojot indivīda tiesības un veidā, kas nodrošina piemērotu personisko datu drošību, ieskaitot aizsardzību pret neleģālu vai nelikumīgu apstrādi un pret nejaušu zaudēšanu, iznīcināšanu vai bojājumu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus.
g. Netiek nodoti personām vai organizācijām, kas atrodas valstīs bez adekvātas aizsardzības, un nav pirmkārt informējuši individuālu personu.
5. Godīga un likumīga apstrāde
Datu aizsardzības prasības nav paredzētas, lai novērstu personas datu apstrādi, bet gan, lai nodrošinātu, ka tā notiek godīgi un bez negatīva ietekmējot indivīda tiesības.
Saskaņā ar Datu aizsardzības prasībām, mēs apstrādāsim personīgos datus tikai tad, ja tas ir nepieciešams likumīgam mērķim. Likumīgie mērķi ietver (tajā skaitā): vai indivīds ir devies savu piekrišanu, apstrāde ir nepieciešama, lai izpildītu līgumu ar indivīdu, lai nodrošinātu atbilstību likumīgai prasībai vai uzņēmuma likumīgam interešu vajadzībām. Kad tiek apstrādāti jutīgie personiskie dati, jābūt izpildītiem papildu nosacījumiem.
6. Apstrādei ierobežoti mērķi
Mūsu biznesa gaitā varētu rasties nepieciešamība savākt un apstrādāt personīgos datus. Tas var ietvert datus, ko mēs saņemam tieši no datu subjekta (piemēram, aizpildot formas vai sazinoties ar mums pa pastu, tālruni, epastu vai citādi) un datus, ko mēs saņemam no citām avotām (tajā skaitā, piemēram, atrašanās vietas dati, biznesa partneri, apakšuzņēmēji tehniskajos, maksājumu un piegādes pakalpojumos, kredītreferenču aģentūras u.c.).
Mēs apstrādāsim personīgos datus tikai noteiktajiem mērķiem, kas norādīti Grafikā 1, vai citiem mērķiem, kas speciāli atļauti saskaņā ar Datu aizsardzības prasībām. Mēs informēsim datu subjektus par šiem mērķiem, kad mēs pirmo reizi apkopjam datus vai pēc iespējas ātrāk pēc tam.
7. Individuālu paziņošana
Ja mēs tieši savācam personīgos datus no indivīda, mēs viņiem informēsim par:
a. Mērķis vai mērķi, kurus mēs plānojam apstrādāt šos personiskos datus, kā arī apstrādes juridiskais pamats.b. Ja mēs balstāmies uz uzņēmuma likumīgiem interesēm, lai apstrādātu personisko datus, tad šīs intereses, kas tiek vajātas.
c. Trešo pušu veidi, ja tādas ir, ar kuriem mēs kopīgosim vai atklāsim šos personiskos datus.
d. Kā indivīdi var ierobežot mūsu lietošanu un atklāšanu viņu personisko datu ziņā.
e. Informācija par laika periodu, kurā tiks glabāta viņu informācija, vai kritēriji, kas izmantoti, lai noteiktu šo periodu.
f. Viņu tiesības pieprasīt piekļuvi no mums kā kontrolierim un labot vai dzēst personiskos datus vai ierobežot apstrādi.
g. Viņu tiesības iebilst pret apstrādi un viņu tiesības uz datu pārnēsāšanu.
h. Viņu tiesības jebkurā laikā atsaukt savu piekrišanu (ja bija dots piekrišana) neietekmējot apstrādes likumību pirms piekrišanas atsaukšanas.
i. Tiesības iesniegt sūdzību Informācijas komisāra birojā.
j. Citi avoti, no kuriem nāca personiskie dati attiecībā uz indivīdu un vai tie nāca no publiski pieejamiem avotiem.
k. Vai personisko datu nodrošināšana ir likumdošanas vai līgumisko prasība, vai prasība, kas nepieciešama, lai noslēgtu līgumu, kā arī vai indivīdam ir pienākums nodrošināt personisko datus un jebkādas sekas, ja dati netiek nodrošināti.
Ja mēs saņemam personīgos datus par individuālu personu no citiem avotiem, mēs viņiem sniegsim šo informāciju pēc iespējas ātrāk (papildus informējot par personisko datu kategorijām, kas attiecas uz viņiem), bet ne vēlāk kā mēnesī.
Mēs arī informēsim datu subjektus, kuru personiskos datus mēs apstrādājam, ka esam datu kontrolētāji attiecībā uz šīm datiem, mūsu kontaktdatus un kas ir DPO.
8. Piemērots, atbilstošs un ne-pārmērīgs apstrāde
Mēs savāksim personīgos datus tikai tik daudz, cik nepieciešams konkrētam paziņojumam datu subjektam.
9. Precīzi dati
Mēs nodrošināsim, ka mums uzglabātie personiskie dati ir precīzi un atjaunināti. Mēs pārbaudīsim jebkuru personisko datumu precizitāti datu iegūšanas brīdī un regulāri pēc tam. Mēs veiksim visas nepieciešamās darbības, lai iznīcinātu vai labotu neprecīzus vai novecojušus datus.
10. Laikus veikta apstrāde
Mēs neatraktīsim personīgos datus ilgāk par nepieciešamo mērķi vai mērķiem, kādēļ tie tika savākti. Mēs veiksim visas saprātīgās darbības, lai iznīcinātu vai dzēstu no mūsu sistēmām visus datus, kas vairs nav nepieciešami.
11. Apstrāde, ievērojot Datu subjekta tiesības
Mēs apstrādāsim visus personīgos datus, ievērojot datu subjektu tiesības, it īpaši viņu tiesības:
a. Saņemt apstiprinājumu, vai tiek apstrādāti personas dati par indivīdu vai nē.
b. Pieprasīt piekļuvi jebkuriem datiem, kas par viņiem tiek uzglabāti datu kontrolierim.
c. Pieprasīt labojumus, dzēšanu vai ierobežojumu personisko datu apstrādē.
d. Iesniegt sūdzību uzraudzības iestādei.
e. Iebilst pret apstrādi, tostarp tiešajai mārketinga vajadzībai.
12. Datu drošība
Mēs veiksim atbilstošus drošības pasākumus pret personisko datu nelikumīgu vai neleģālu apstrādi, kā arī pret nejaušu vai nelikumīgu datu iznīcināšanu, bojājumu, zaudēšanu, izmaiņu, neleģālu atklāšanu vai piekļuvi personiskiem datiem, kas tiek pārraidīti, uzglabāti vai citādi apstrādāti. Ja notiek nelikumīga datu pārsūtīšana, to izmeklēs atbilstošais amatpersona un uzņēmuma disciplinārās procedūras tiks piemērotas.
Mēs izveidosim procedūras un tehnoloģijas, lai uzturētu visu personisko datu drošību no apstrādes līdz datu iegūšanas punktam un līdz datu iznīcināšanas punktam. Personiskie dati tiks nodoti datu apstrādātājam tikai tad, ja viņš piekrīt ievērot šīs procedūras un politikas, vai arī ja viņš ievieš atbilstošus pasākumus pats.
Mēs uzturēsim datu drošību, aizsargājot personisko datu konfidencialitāti, integritāti un pieejamību, kas ir definēta sekojoši:
a. Konfidencialitāte nozīmē, ka tikai personas, kurām ir atļauja lietot datus, var tam piekļūt.
b. Integritāte nozīmē, ka personiskie dati jābūt precīziem un piemērotiem mērķim, kādēļ tie tiek apstrādāti.
c. Pieejamība nozīmē, ka atļautajiem lietotājiem jāvar piekļūt datiem, ja tie tiem ir nepieciešami autorizētās vajadzībās. Tādēļ personisko datus vajadzētu uzglabāt uz mūsu uzņēmuma centrālās datoru sistēmas, nevis individuālos datoros.
Drošības procedūras ietver:
a. Ierakstu kontroles. Jebkurš svešinieks, kas redzams ierobežotajās iekļuves teritorijās, jāziņo.
b. Droši aizvēršamās darba galdu un skapji. Darba galdi un skapji jātur aizslēgti, ja tiem ir konfidenciāla informācija jebkurā veidā. (Personīgā informācija vienmēr tiek uzskatīta par konfidenciālu.)
c. Datu minimizācija.
d. Iznīcināšanas metodes. Papīra dokumentiem jābūt izkaltiem. Digitālie uzglabāšanas ierīces jāiznīcina fiziski, ja tās vairs nav nepieciešamas.
e. Iekārtas. Darbiniekiem ir jānodrošina, ka individuālie monitori neparāda konfidenciālu informāciju garāmgājējiem un ka viņi atslēdzas no datora, ja tas paliek bez uzraudzības.
13. Subjektu piekļuves pieprasījumi
Indivīdiem ir jāiesniedz formāls pieprasījums par informāciju, ko mēs glabājam par viņiem. Darbiniekiem, kuri saņem pieprasījumu, jānosūta to uz DPO vai cilvēkresursu nodaļas pārstāvi nekavējoties.
Kad saņemam telefona vaicājumus, mēs izpaužam tikai personīgos datus, kas uzglabāti mūsu sistēmās, ja tie izpilda šādus nosacījumus:
a. Mēs pārbaudīsim zvanītāja identitāti, lai pārliecinātos, ka informāciju dod tikai personai, kam tas ir tiesīgs.
b. Mēs ieteiksim zvanītājam iesniegt savu pieprasījumu rakstveidā, ja mums nav drošas par zvanītāja identitāti un kur identitāte nevar tikt pārbaudīta.
Kad pieprasījums tiek iesniegts elektroniski, dati tiks nodoti elektroniski, kur tas ir iespējams.
Mūsu darbinieki sazināsies ar savu līnijas vadītāju, lai saņemtu palīdzību grūtos situācijās.
14. Šīs politikas izmaiņas
Mēs paturam tiesības mainīt šo politiku jebkurā laikā. Pēc nepieciešamības, mēs paziņosim par izmaiņām, izmantojot sīkfailu joslu mūsu mājas lapā.