PERSONAS DATU APSTRĀDES POLITIKA

Apstiprināta un spēkā no 2018-05-25.

1.  Šajā Personas datu Apstrādes Politikā lietotajiem jēdzieniem ir sekojoša nozīme:

1.1.  Personas dati - jebkāda informācija par fizisku personu, kura ir identificēta, vai kura ir tieši vai netieši identificējama (datu subjekts), piemēram, ar vārdu un uzvārdu, personas identifikācijas numuru, informāciju par atrašanās vietu un tiešsaistes identifikatoru, vai fiziskām, fizioloģiskām, ģenētiskām, garīgām un citām pazīmēm.

1.2.  Persona – jebkura fiziska persona, kuras Personas dati tiek apstrādāti (datu subjekts), piemēram, Potenciāls kandidāts, Kandidāts, Pagaidu nodarbinātais, Administrācijas darbinieks vai jebkura cita fiziska persona.

1.3.  Atbildīgā persona – persona, kas atbild par Personas datu aizsardzību un kuru ir nozīmējis Pārzinis, tai skaitā datu aizsardzības speciālists (kā definēts saskaņā ar GDPR). Pārziņa nozīmētā datu aizsardzības speciālista e-pasts: dpo@biuro.eu.

1.4.  GDPR - Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).

GDPR ir pieejama šeit: https://eur-lex.europa.eu/legal-content/LV/TXT/?uri=CELEX%3A32016R0679

1.5.  Biuro grupu veido šīs sabiedrības: UAB "Biuro Baltic", UAB "Biuro", UAB "Darbius", UAB "Vorkis", SIA "Biuro", SIA "Biuro Latvia", SIA "Starjobs", OÜ "Biuro".

1.6.  Datu apstrāde - jebkāda automatizēta, ne-automatizēta darbība, kas veikta attiecībā uz Personas datiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, aplūkošana, izmantošana, izpaušana, ierobežošana, dzēšana vai iznīcināšana utt.

1.7.  Potenciāls kandidāts - fiziska persona, kuras Personas dati parasti ir publiski pieejami vai publicēti dažādās datu bāzēs darba meklēšanas vajadzībām, vai kurus šī persona pati padara pieejamus, nosūtot savus datus nolūkā tikt uzrunātam ar piedāvājumu sadarboties ar Pārzini, piedalīties atlases procesā un, atkarībā no atlases rezultātiem, tikt nodarbinātam. Potenciāls kandidāts, kurš aizpilda savu Personas datu anketu, kļūst par Kandidātu.

1.8.  Kandidāts - fiziska persona, ar kuru Pārzinis jau ir sazinājies un kura tāpēc ir piekritusi sadarboties ar Pārzini, un kura ir aizpildījusi prasītās anketas un sniegusi savus Personas datus, kas Pārzinim nepieciešami nolūkā izteikt iespējamo darbu piedāvājumus un/vai nolūkā aicināt uz atlases procesu un - pēc veiksmīgas atlases procesa pabeigšanas - nolūkā piedāvāt noslēgt nodarbinātības līgumu.

1.9.  Pagaidu nodarbinātais - Kandidāts, kurš ir sekmīgi pabeidzis atlases procesu un noslēdzis pagaidu darba līgumu.

1.10.  Administrācijas darbinieks - parasti administrācijā strādājošs Pārziņa nodarbinātais, kurš strādā ar Personas datiem, taču šīs personas var būt arī pārstāvji, aģenti vai personas, kuras uz jebkāda cita pamata pilda Pārziņa rīkojumus un kurām ir piekļuve Personas datiem.

1.11.  Pārkāpums - Personas datu drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;

1.12.  Politika - Biuro grupas Personas datu Apstrādes Politika.

1.13.  Uzraudzības iestāde - neatkarīga publiska institūcija, kas nodibināta Datu apstrādes prasību ievērošanas uzraudzībai un citu GDPR noteikto pienākumu un tiesību īstenošanai. Vadošā Uzraudzības iestāde ir valsts budžeta finansētā, Lietuvas Republikā dibinātā Valsts Datu Aizsardzības Inspekcija.

Valsts Datu Aizsardzības Inspekcijas interneta vietnes adrese ir: www.ada.lv.

1.14.  Apstrādātājs - jebkura fiziska vai juridiska persona, kas Pārziņa vārdā apstrādā Personas datus, t.i., kura palīdz Pārzinim un pilda Pārziņa instrukcijas.

1.15.  Pārzinis - jebkura Biuro grupas sabiedrība, kas rīkojas kā Personas datu pārzinis, un kura viena vai kopā ar citiem noteic datu apstrādes nolūkus un līdzekļus. Šī definīcija atkarībā no konteksta attiecas uz jebkuru atsevišķo Biuro grupas sabiedrību vai uz visām Biuro grupas sabiedrībām.

2.  Politikas mērķis ir noteikt galvenos noteikumus Datu apstrādei, ko veic katra Biuro grupas sabiedrība kā Pārzinis, nodrošinot atbilstību GDPR un citiem normatīvajiem aktiem un to pienācīgu ieviešanu.

3.  Apstrādājot Personas datus, Pārzinis, pirmkārt, ievēro šādus GDPR principus: nolūka ierobežojums (Datu apstrāde tiek veikta tikai savienojami ar sākotnēji noteikto nolūku); datu minimizēšana (tikai tik daudz Personas datu, cik nepieciešams); likumīgums, godprātība un pārredzamība; precizitāte; glabāšanas ierobežojums (tiek glabāti ne ilgāk kā nepieciešams konkrētajam nolūkam); integritāte un konfidencialitāte kā arī pārskatatbildības princips (Pārzinim jābūt spējīgam demonstrēt savu pienākumu ievērošanu).

4.  Visiem Administrācijas darbiniekiem ir jāievēro Politikas prasības, kad tie apstrādā Personas datus Pārziņa datu bāzēs neatkarīgi no tā, kā Personas dati tika iegūti / savākti. Tās ir jāievēro arī gadījumos, kad Personas dati tiem kļūst zināmi savu pienākumu izpildes gaitā. Personas datus drīkst apstrādāt tikai tie Administrācijas darbinieki, kuriem tas ir nepieciešams savu pienākumu izpildei un kuri ir iepazīstināti ar Politiku (t.i., kuri ir iepazīstināti pret parakstu, noslēdzot nodarbinātības līgumu.). Šādi Administrācijas darbinieki ir tiesīgi paši iepazīties un iepazīstināt citus ar tādiem dokumentiem un/vai datiem tikai tiktāl, ciktāl tas ir nepieciešams viņu pienākumu izpildei.

5.  Politikas ieviešanu un iepriekš uzskaitīto Personas datu aizsardzības principu ievērošanu nodrošina Pārziņa Vadītājs kopā ar Atbildīgajām personām, ieviešot piemērotus pasākumus un veicot uzraudzību pār to, vai piemērotie pasākumi tiek ievēroti.

Katram Pārzinim Biuro grupas datu bāzē ir pieejams attiecīgo Atbildīgo personu saraksts.

6.  Pārzinis Personas datus apstrādā saskaņā ar tiesiskiem nolūkiem un veidā, kas noteikts katra Pārziņa interneta vietnē vai mobilajā lietotnē. Detalizēta informācija par Datu apstrādi tiks apstrādāta un būs pieejama iekšējā datu bāzē, kas ir pieejama tikai Atbildīgajām personām. Informācija par Datu apstrādi kā noteikts GDPR tiks nodota Personām to dzimtajā valodā tabulas veidā: informācija par Personas datiem, nolūkiem, apstrādes tiesisko pamatu, Personu kategorijām, glabāšanas ilgumu, datu apstrādātājiem un saņēmējiem kā arī citu informāciju, ja nepieciešams (piemēram, no kurienes dati tiek ņemti, ja tos neiegūst no Personas; ja dati tiek nodoti uz trešo valsti ārpus EEZ; sekas, ja Personas dati netiek sniegti).

Tabula ir pieejama Pārziņa interneta vietnē sadaļā "Personas dati".

7.  Izņēmuma gadījumos, kad apstrādāti tiek īpašu kategoriju Personas dati, piemēram, ziņas par sodāmību, informācija par veselību, dalība arodbiedrībās utt., Administrācijas darbinieki papildus pārbaudīs, vai visas nepieciešamās darbības ir tikušas veiktas un veiks papildus darbības (piemēram, iegūs atsevišķu piekrišanu apstrādei) un pasākumus (piemēram, nepieļaus uzglabāšanu Pārziņa datu bāzē vai jebkurā citā lietotā programmā), ja tas ir nepieciešams.

Īpašu kategoriju Personas datu apstrādes darbības un to kārtība ir aprakstīta Biuro grupas iekšējā procesā "Īpašu Personas Datu Apstrādē".

8.  Personas dati var tikt iegūti tieši no Personām un trešajām personām ar automatizētiem un ne-automatizētiem līdzekļiem, kas noteikti Datu apstrādes tabulā. Ja Personas dati tiek sniegti ar ne-automātiskiem līdzekļiem, Administrācijas darbinieks savāktos datus manuāli ievada Pārziņa datu bāzē.

Tabula ir pieejama Pārziņa interneta vietnē sadaļā "Personas dati".

9.  Apstrādātie Personas dati var tikt nodoti citām pusēm tikai saskaņā ar procedūru, kas noteikta GDPR vai citos piemērojamos tiesību aktos un tikai gadījumos, kas noteikti šajā Politikā vai Datu apstrādes tabulā. Personas dati var tikt nodoti ārpus Eiropas Savienības vai Eiropas Ekonomikas Zonas robežām tikai tad, ja ir nodrošināts pietiekams Personas datu aizsardzības līmenis. Pārzinis Datu apstrādei izmanto Apstrādātājus, t.i., servera un mākoņa pakalpojumu sniedzējus, kuri var darboties ārpus Eiropas Savienības un Eiropas Ekonomikas Zonas robežām. Attiecīgi Personas dati var tikt nodoti uz trešajām valstīm, ciktāl tas nepieciešams Apstrādātājam nozīmēto Datu apstrādes darbību veikšanai.

Tabula ir pieejama Pārziņa interneta vietnē sadaļā "Personas dati".

10.  Pārzinis var nodot Personas datus tiesām, tiesību aizsardzības institūcijām, tiesu izpildītājiem, notāriem, advokātiem, advokātu palīgiem, valsts un pašvaldību iestādēm, sabiedrībām, institūcijām un organizācijām, sabiedrību administratoriem, kur ir ierosinātas bankrota procedūras, un citiem līdzīgiem subjektiem. Personas dati var tikt nodoti arī pakalpojumu sniedzējiem, ja tas ir saistīts ar Pārziņa sniegtajiem pakalpojumiem (piemēram, finanšu vai juridiski padomi, Personas datu apstrādes programmu atjaunināšana). Dati tiek nodoti, kad tas ir nepieciešams tiesisko interešu aizsardzībai vai nolūkā novērst vai izmeklēt krimināltiesiskas vai nelegālas darbības (piemēram, tiek nodota informācija par ceļu satiksmes negadījumiem, zādzībām, nodarīto kaitējumu utt.), kā arī citos gadījumos, kad to noteic tiesību akti. Dati tiek nodoti tikai tādā apmērā, kādā tas ir nepieciešams.

Personas datu nodošanas darbības un to kārtība ir aprakstītā iekšējā Biuro grupas procesā "Datu nodošana".

11.  Pārzinis var izmantot Apstrādātājus. Apstrādātāja darbības un pienākumus noteic līgums, kas noslēgts starp Pārzini un Apstrādātāju, izņemot gadījumus, kad Datu apstrāde notiek saskaņā ar tiesību aktiem, kas Apstrādātājam ir saistoši. Pēc Pārziņa ieskatiem Datu apstrādes jautājumi var tikt regulēti arī galvenā pakalpojumu līguma pielikumā vai jebkāda cita veida līgumā starp Pārzini un Apstrādātāju (t.i., atsevišķa līguma parakstīšana nav obligāta).

Apstrādātāja piesaistīšanas darbības un to kārtība ir aprakstīta Biuro grupas iekšējā procesā "Apstrādātāja piesaistīšana".

12.  Tiek ieviesti tehniski un organizatoriski drošības pasākumi. Pārzinis pēc saviem ieskatiem izvēlas un ievieš pienācīgus organizatoriskus pasākumus (piemēram, Politikas izstrāde, tās ieviešanas kontrole, ar atslēgvārdu aizsargāta piekļuve datoriem, to tīklam un datu bāzēm) un tehniskus pasākumus (pretvīrusa programmu lietošana, iekštelpu signalizācijas ieviešana, fiziska personu piekļuves īpašumam kontrole utt.). Veicot savus uzdevumus, Pārzinis un tā Administrācijas darbinieki pastāvīgi apsver pastāvošos riskus un samazina vai novērš tos, ciktāl iespējams.

Detalizēts saraksts ar organizatoriskiem un tehniskiem pasākumiem, kas ieviesti, ir pieejams Pielikumā Nr. 1 "Ieviesto tehnisko un organizatorisko pasākumu saraksts".

13.  Administrācijas darbiniekiem ir jāievēro konfidencialitāte un jātur slepenībā Personas dati, kas tiem kļūst zināmi savu pienākumu izpildes laikā, ja vien saskaņā ar piemērojamiem tiesību aktiem: tāda informācija ir publiski pieejama vai Persona tādai izpaušanai ir piekritusi, vai, kur tas ir nepieciešams sodāmu vai citādu nelegālu darbību novēršanai, kā arī citos gadījumos. Šāds pienākums paliek spēkā arī pēc nodarbinātības līguma vai jebkāda cita veida līguma starp Pārzini un Administrācijas darbinieku izbeigšanas. Šim nolūkam ar Administrācijas darbinieku var tikt parakstīti papildus līgumi par konfidencialitāti.

14.  Ja Administrācijas darbinieki, kas pilda Datu apstrādes darbības (tai skaitā nodarbinātie, kas vienīgi iepazīstas ar Personas datiem), atklāj Personas datu aizsardzības vai šīs Politikas Pārkāpumu vai viņiem par tādu ir aizdomas, tiem ir pienākums nekavējoties informēt Atbildīgo personu par tādu pārkāpumu vai aizdomām (ja iespējams, 1 stundas laikā kopš atklāšanas). Administrācijas darbiniekiem pēc paziņojuma saņemšanas ir jāveic pasākumi, kurus uzdod Atbildīgā persona (vai Pārziņa vadītājs) nolūkā novērst potenciālo Pārkāpumu vai notikušā Pārkāpuma sekas. Pārkāpuma gadījumā Pārzinis nekavējoties informē Uzraugošo iestādi par Pārkāpumu, ja iespējams, 72 stundu laikā kopš tā atklāšanas, un var informēt arī Personu.

Darbības un to kārtība (potenciāla) Pārkāpuma gadījumā ir aprakstītas Biuro grupas iekšējā procesā "Paziņojums par pārkāpumu".

15.  Personai ir visas tiesības, kas noteiktas GDPR, tai skaitā tiesības zināt (tikt informētai) par viņas Personas Datu apstrādi, piekļuvi viņas Personas datiem un informāciju un to, kā to apstrādā, saņemt informāciju par savākto datu avotiem un veidu, apstrādes nolūku, saņēmējiem, kuriem dati tiek sniegti, tiesības prasīt labošanu, dzēšanu, ierobežošanu vai Personas Datu apstrādes pārtraukšanu (izņemot glabāšanu). Politikas, GDPR vai jebkuru citu piemērojamo tiesību aktu pārkāpuma gadījumā Personai ir tiesības atsaukt savu piekrišanu Personas datu apstrādei, pieprasīt apstrādāto datu dzēšanu, nodošanu, un tiesības iesniegt sūdzību Uzraudzības iestādei.

16.  Persona var jebkurā laikā izlietot savas šajā Politikā noteiktās tiesības ar rakstisku pieprasījumu, iesniedzot to personiski, ar pasta starpniecību vai elektroniski (e-pasts dpo@biuro.eu). Pārzinis (tā Administrācijas darbinieks) pēc šāda pieprasījuma saņemšanas apstrādā to bez maksas 30 dienu laikā un apmierina (ja Pārzinis konstatē, ka tas ir pamatots) vai noraida, sniedzot noraidīšanas pamatojumu.

Darbības un to kārtība saistībā ar pieprasījumiem par Personas tiesībām ir aprakstīta Biuro grupas iekšējā procesā "Datu subjektu tiesības".

17.  Ja Personas ieskatā tās tiesības saistībā ar Datu apstrādi ir tikušas aizskartas, tā var iesniegt sūdzību Vadošajai Uzraudzības iestādei. Jebkurā gadījumā saistībā ar tās tiesību aizskārumu Persona var arī vērsties piekritīgajā Uzraudzības iestādē savas rezidences valstī, kura sūdzību nosūtīs vai izmeklēs kopā ar Vadošo Uzraudzības iestādi saskaņā ar procedūru, kas noteikta GDPR.

18.  Kad Personas dati to apstrādes nolūkiem vairs nav nepieciešami, tos automātiski izdzēš, vai, kad Persona iesniedz pamatotu pieprasījumu Personas datu dzēšanai, Personas dati tiek izdzēsti saskaņā ar Pārziņa noteiktu procedūru veidā, kas liedz to atjaunošanu vai satura atpazīšanu.

Personas datu izdzēšanas darbības un to kārtība ir aprakstīta Biuro grupas iekšējā procesā "Datu subjektu tiesības."

18.1.  Administrācijas darbinieki, kas tieši apkalpo / strādā ar Personām, ir atbildīgi par to, lai tām izskaidrotu viņu tiesības saistībā ar Datu apstrādi un aizsardzību. Administrācijas darbinieki atbild par Politikas pārkāpumiem saskaņā ar normatīvajos aktos noteikto procedūru.

18.2.  Biuro grupas iekšējos procesos iekļautās instrukcijas saistībā ar Datu apstrādi, cita Administrācijas darbiniekiem pieejamā informācija saistībā ar Datu apstrādi kā arī Biuro grupas sabiedrību interneta vietnēs un mobilajās lietotnēs publicētā informācija veido šīs Politikas neatņemamu sastāvdaļu.

19.  Pārziņi var veikt arī video novērošanu. Personu video datu apstrāde ir regulēta atsevišķā dokumentā.

20.  Šī Politika ir regulāri, vismaz reizi 2 gados jāpārskata un jāatjaunina, ja nepieciešams. Publicētas tiek abas politikas versijas - aktuālā un iepriekšējā. Politiku, tās grozījumus un papildinājumus apstiprina viena Pārziņa - UAB "Biuro Baltic" vadītājs, un tā kļūst obligāta visām Biuro grupas sabiedrībām. Grozītā Politika stājas spēkā nākamajā dienā pēc tās apstiprināšanas. Administrācijas darbinieki tiek iepazīstināti ar šo Politiku, parakstot nodarbinātības līgumu, un tiem ir pienākums iepazīties ar Politikas grozījumiem un papildinājumiem pastāvīgi pārbaudot, vai ir tikuši apstiprināti jauni Politikas grozījumi vai papildinājumi.

PIELIKUMI:

Pielikums Nr. 1: Tabula "Personas dati".

Pielikums Nr. 2:Ieviesto Tehnisko un Organizatorisko Pasākumu Saraksts

 

PIELIKUMS NR. 1

pie Personas Datu Apstrādes Politikas

DATU APSTRĀDES NOLŪKS DATU SUBJEKTI PERSONAS DATI TIESISKAIS PAMATS GLABĀŠANAS ILGUMS (TĀ KRITĒRIJI)
Sazināties ar Personu, kas meklē darbu, izteikt darba piedāvājumus kas attiecīgajai Personai varētu būt interesanti un ielūgt tās uz interviju. Potenciālie Kandidāti Personas dati, kas sniegti tiešsaistē un publiski pieejami darba meklēšanas datu bāzēs vai citādi Personas sniegti (piemēram, komentāros pie publicētajiem darba piedāvājumiem): nozare, kandidāta avots, komentāri iekš CRM (klientu attiecību vadībā) pirms intervijas, e-pasts, dzimums, dzimšanas gads, sagaidāmais intervijas datums, valodu zināšanas, vārds, uzvārds, telefona numurs, algas vēlmes, SMS vēsture, statusa izmaiņas, darba reklāma, CV, CRM ID, īpašības, kvalifikācija, sertifikāti, spējas. Apstrāde ir nepieciešama Pārziņa leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama Personas datu aizsardzība, ir svarīgākas par šādām interesēm. Šajā gadījumā leģitīmās intereses ir personalizētu pakalpojumu sniegšana Personām un komunikācija ar tām. Pārzinis ir gatavs sniegt Pakalpojumus Potenciālajiem kandidātiem (tai skaitā, bet ne tikai, sniegt darba piedāvājumus, aicināt uz atlases procedūrām utt.), un tas ir arī nepieciešams, lai Pārzinis varētu veikt savu uzņēmējdarbību. 6 mēneši
Lai sniegtu pakalpojumus Personām - Kandidātiem - jo īpaši palīdzību darba meklēšanā, iespējami Kandidātam piemēroto darba piedāvājumu atlasei, aktīva vakanto vietu pie Pārziņa partneriem meklēšanai un informēšanai par vakantajām vietām. Kandidāti Apstrādāti tiks pārsvarā Personas dati, kas iegūti tieši no Personām: vārds, uzvārds, adrese, valodu zināšanas, dzimšanas datums, nozare, komentāri iekš CRM, iepriekšējā nodarbinātība, informācija par personiskā auto pieejamību, e-pasts, avoti, no kuriem kandidāts ir uzzinājis par Biuro darba piedāvājumiem, dzimums, kvalifikācija, sertifikāti, spējas, mobilā tālruņa numurs, tālruņu numuri, foto, atsauksmju saturs, algas vēlmes, SMS komunikācijas vēsture (starp Pārzini un Personu), CV, darbs, uz kuru piesakās, statusa izmaiņas, darba pieredze, ierobežojumi, īpašības, CRM ID, medicīniskās izziņas kopija (ja nepieciešama amatam), pēc Jūsu izvēles Facebook, Google profile ID kā arī Facebook, Google profile bildes identifikācijas nolūkiem, Personas apliecinošs dokuments lai apstiprinātu, ka Jūs variet parakstīt dokumentu ar elektronisko parakstu, treniņu testa rezultāti, pilsēta, iepriekšējo darba devēju novērtējums. Apstrāde ir nepieciešama līguma ar Personu izpildei vai arī nolūkā veikt darbības pēc Personas pieprasījuma pirms līguma noslēgšanas. 2 gadi pēc Personas datu ievadīšanas anketā vai 2 gadi pēc darba līguma noslēgšanas (neatkarīgi no tā, vai darba līgums ir laikā ierobežots vai neierobežots, ja nodarbinātība ilgst mazāk par 2 gadiem, termiņš tiks no jauna aprēķināts no dienas, kad tiek noslēgts jauns līgums). Alternatīvi pēc Personas izvēles (lūdzam pārbaudīt pie anketas aizpildīšanas) - uz pagarinātā termiņa laiku – uz nodarbinātības laiku plus 2 gadi no nodarbinātības pārtraukšanas.
Lai informētu par jauniem pakalpojumiem, uzņēmējdarbības jaunumiem, pasākumiem, uzlabojumiem sniegtajos pakalpojumos un līdzīgu informāciju. Kandidāti / Darbinieki / Potenciālie klienti / Klienti Apstrādāti tiks Personas dati, kas nepieciešami saziņai ar Personu: vārds, uzvārds, kontaktdati (e-pasts un mobilā tālruņa numurs). Persona dod piekrišanu savu Personas datu apstrādei šim konkrētajam mērķim. Uz noslēgtā līguma darbības laiku. Gadījumos, kad tiek apstrādāti Kandidātu Personas dati, termiņš līgumam starp Pārzini un Kandidātu par pakalpojumu sniegšanu tiek uzskatīts 2 gadi kopš Personas datu anketas aizpildīšanas, 2 gadi kopš dara līguma noslēgšanas (neatkarīgi no tā, vai nodarbinātība ir uz laiku vai laikā neierobežota) vai pēc Personas izvēles uz nodarbinātības laiku plus 2 gadi kopš nodarbinātības pārtraukšanas (pēc izvēles).
Lai pildītu nodarbinātības līgumu Darbinieki / Administrācijas darbinieki Vairums Personas datu tiek ievākti tieši no Personas, tomēr atsevišķi Personas dati var tikt ievākti no citiem avotiem (trešajām pusēm): vārds, uzvārds, adrese, norīkojuma informācija, valodu zināšanas, tiesu izpildītāju lietas, dzimšanas datums, nozare, pilsēta, komentāri iekš CRM, obligātā veselības izziņa, CV, adreses, darba līguma dati un dati, kas nepieciešami darba līguma izpildei (tai skaitā ar nodokli neapliekamā summa, sociālās apdrošināšanas numurs, atvaļinājuma datumi, izbeigšanas datums utt.), sertifikāti, valstspiederība, dzimums, IBAN, CRM ID, ģimenes stāvoklis un informācija par bērniem (ja nepieciešama), telefonu numuri, Klienta sistēmā nozīmētais ID, personas ID, bilde, darba kvalifikācija, algas vēlmes, sanitārā grāmata, SMS komunikācijas vēsture, īpašības, ieteicamie grafiki, maternitātes atvaļinājuma datumi, treniņu testa rezultāti, paraksts, ierobežojumi, dzīves vieta vietējā valstī, uzturēšanās atļauja vietējā valstī, pensijas apdrošināšana.
Trešo Personu Personas dati (pēc izvēles ar noteikumu, ka Darbinieks iesniedz pienācīgu šādas trešās Personas piekrišanu savu Personas datu apstrādei): vārds, uzvārds, personas kods (ID) un konta numurs.
Apstrāde ir nepieciešama līguma ar Personu izpildei vai lai veiktu Personas lūgtās darbības pirms līguma noslēgšanas. Pēc vispārējā principa darba līguma laikā, taču daži no uzskaitītajiem Personas datiem var tikt glabāti ilgāk uz normatīvajos aktos par arhivēšanu noteikto termiņu.
Pirms-līgumiskās attiecības, pieprasījuma izpētes un nolūkā īstenot no līguma izrietošās tiesības un pienākumus. Potenciālie klienti / Klienti Potenciālie piegādātāji / piegādātāji Personas dati, kas nepieciešami saziņai un komunikācijai pirms-līgumiskajās attiecībās un līguma darbības laikā: vārds, uzvārds, amata nosaukums, mobilā tālruņa numurs, e-pasts, darba vietas adrese, skype kontakti, komentāri iekš CRM, finanšu vai bankas informācija, paraksts e-pasta saziņas vēsture, uzņēmuma nosaukums. Leģitīmā interese: pirms līguma noslēgšanas - personalizētu pakalpojumu sniegšana un komunikācija ar potenciālajiem klientiem. Pārzinis plāno sniegt pakalpojumus potenciālajiem klientiem (tai skaitā, bet ne tikai piedāvāt potenciālus kandidātus vakantām vietām), un tas ir arī nepieciešams Pārziņa uzņēmējdarbības veikšanai.
Leģitīmā interese: Pārzinis vēlas saņemt pakalpojumus no potenciāliem piegādātājiem (tai skaitā, bet ne tikai saņemt piedāvājumus no potenciāliem piegādātājiem, sazināties ar tiem pakalpojumu vajadzībām), un tas ir arī nepieciešams Pārziņa uzņēmējdarbības veikšanai.
3 gadi pēc pēdējās saziņas ar potenciālo klientu vai potenciālo piegādātāju. Ja tiek noslēgts līgums - 10 gadi pēc līguma izbeigšanas, ja vien normatīvie akti par arhivēšanu neprasa garāku termiņu.


DATU AVOTI: Personas dati var tikt ievākti tieši no Personām vai jebkurām trešajām personām, kuru rīcībā ir iepriekš tabulā uzskaitītie Personas dati (piemēram, darba meklēšanas datu bāzes, tiesu izpildītāju informācija, valsts un pašvaldību iestādes, iepriekšējie darba devēji utt.).
STATISTIKAS UN ARHIVĒŠANAS NOLŪKI: Iepriekš tabulā uzskaitītie Personas dati var tikt apstrādāti arhivēšanas vajadzībām sabiedrības interesēs vai statistikas vajadzībām saskaņā ar apstrādes nolūkiem kā uzskaitīts iepriekš tabulā. Turpmāka Personas datu apstrāde arhīva nolūkiem sabiedrības interesēs vai statistikas vajadzībām tiek veikta, kad Pārzinis ir izvērtējis iespēju izpildīt šos nolūkus apstrādājot datus, kas neļauj vai vairs neļauj identificēt Personas, pie noteikuma, kas pastāv pienācīgi drošības pasākumi (piemēram, datu pseidonimizācija).
DATU SAŅĒMĒJI UN APSTRĀDĀTĀJI:
Sniedzot jebkurai Personai vai trešajai personai pakalpojumus, Pārziņiem ir pienākums nodot Personas datus trešajām personām.
Tomēr, neskaitot Pārziņa sniegtos pakalpojumus, noteiktu trešo personu pakalpojumi tiek izmantoti nolūkā nodrošināt pakalpojumu funkcionalitāti (piemēram, uzglabāšanas mākonī pakalpojumu sniedzēji). Šīm trešajām pusēm-pakalpojumu sniedzējiem ir nepieciešams nodot Personas datus, lai šīs trešās puses varētu sniegt savus pakalpojumus. Šīs trešās puses-pakalpojumu sniedzēji ir uzskatāmi par datu apstrādātājiem. Personas dati, kas tiks nodoti šīm trešajām personām-pakalpojumu sniedzējiem, tiks ierobežoti līdz minimumam, kas ir nepieciešams, lai nodrošinātu trešo personu pakalpojumu sniegšanu. Visās trešās personas-pakalpojumu sniedzēji, kuriem Pārzinis nodos Personas datus, sekos Pārziņa instrukcijām par to, kā Personas dati ir apstrādājami.
Galvenās datu saņēmēju kategorijas ir: Biuro grupas sabiedrības, Pārziņa piegādātāji (var būt patstāvīgi datu pārziņi vai apstrādātāji atkarībā no konkrētiem apstākļiem); Klienti, parādu piedzinēji, valsts iestādes.


PIELIKUMS NR. 2

Personas Datu apstrādes Politikai

Apstiprināta un spēkā no 2018. gada 25.

TEHNISKIE UN ORGANIZATORISKIE PASĀKUMI
Pārzinis nodrošina, ka tiek ievēroti jaunākie standarti attiecībā uz drošību un datu aizsardzību, tai skaitā attiecībā uz Personas datu aizsardzību un konfidenciālu informāciju. Aktuālās tehnoloģijas un saistītie procesi, politikas un auditi nodrošina, ka tiek ievēroti aizsardzības pasākumi un pastāvīgi uzlaboti. Tuvāka informācija par tehniskajiem un organizatoriskajiem pasākumiem, kas tikuši ieviesti datu aizsardzības nolūkos, ir šādi (bet ne tikai):

  1. Piekļuves kontrole (ēka / biroja telpas / datu centri) - lai novērstu neautorizētu piekļuvi datu apstrādes sistēmām, kur tiek apstrādāti Personas dati.
    • Signalizācijas sistēma
    • Foto-elektriskie sensori / kustības detektori
    • Atslēgu vadība (atslēgu izsniegšana utt.)
    • Čipa kartes / retranslatora bloķēšanas sistēma
    • Manuāla slēgšanas sistēma (ierobežota lietošana galvenajiem personālam, kas lietojama piekļuves kontroles sistēmu nestrādāšanas gadījumā)
    • Video-novērošana ieejas punktos (birojs un datu centri)
    • Drošības slēdzenes
    • Rūpīga apkopes personāla izvēle
    • Autorizētām personām tiek ieviesta atsevišķa, konkrēta un dokumentēta piekļuves kontrole datu centriem un serveru telpām. Autorizēto personu piekļuve tiek dokumentēta pēc vārda un kartes vai drošības koda. Datu centriem tiek ieviesta atsevišķa piekļuves kontroles sistēma.
  2. Piekļuves kontrole (sistēmas) - lai novērstu, ka nepilnvarotas personas lieto datu apstrādes sistēmas:
    • Lietotāja tiesību piešķiršana
    • Piekļuves kodu piešķiršana
    • Autentificēšanās ar lietotāja vārdu / paroli
    • Programmu ugunsmūru lietošana
    • Lietotāju profilu izveide
    • Papildu pasākumi: trūkumu novēršanas vadība, minimālās prasības paroļu sarežģītībai un piespiedu paroles maiņa, vīrusu meklētāju izmantošana
    • Lietotāju profilu nozīmēšana IT sistēmām
    • Centralizēta viedtālruņu vadība (piemēram, attālināta viedtālruņa iztīrīšana)
    • Ugunsmūra programmas izmantošana (biroja klienti)
  3. Piekļuves kontrole (dati) - nodrošināt, ka datu apstrādes sistēmas pilnvarotie lietotāji var piekļūt tikai datiem, kuriem piekļūt viņi ir pilnvaroti, un novērst, ka Personas dati bez pilnvarojuma tiek nolasīti, kamēr tie tiek izmantoti, atrodas kustībā vai netiek izmantoti:
    • Pilnvarošanas koncepta izstrāde
    • Administratora skaita samazināšana uz absolūti nepieciešamo
    • Lietotnes piekļuves reģistrācija, jo īpaši datu ievadīšanas, mainīšanas vai dzēšanas laikā
    • Droša datu nesēju iztīrīšana pirms atkārtotas lietošanas
    • Iznīcinātāju vai to pakalpojumu lietošana (ja iespējams, ar privātuma aizzīmogošanu)
    • Tiesību vadīšanas no sistēmas administratoru puses
    • Paroļu politika ieskaitot paroļu garumu, paroļu maiņas vadību
    • Droša datu nesēju uzglabāšana
  4. Nodošanas kontrole - nodrošināt, ka Personas dati nevar tikt nolasīti, kopēti vai pārgrozīti to elektroniskās nodošanas procesā vai pārvešanas vai glabāšanas uz diska laikā:
    • Datu saņēmēju un datu nodošanas laika, tai skaitā nolīgto dzēšanas laiku dokumentēšana
    • Visas komunikācijas (Interneta klienti, lietojumprogrammu saskarne, mobilās lietotnes) šifrēšana ar TLS
  5. Ievades kontrole - garantēt, ka ir iespējams nodrošināt un pēcāk kontrolēt un noteikt, vai un kurš ievadīja Personas datus, tos grozīja vai izdzēsa no datu apstrādes sistēmas:
    • Datu ievades, grozīšanas un dzēšanas izsekošana pēc individuālajiem lietotāja vārdiem (nevis lietotāju grupas) jomās, kurās pēc Pārziņa ieskatiem ir lielāks pārkāpumu risks.
    • Datu ievades, grozīšanas un dzēšanas tiesību piešķiršana, pamatojoties uz pilnvarošanas konceptu
    • Anketu glabāšana, ar kurām dati tika iegūti automātiskās apstrādes laikā
  6. Instrukciju kontrole - nodrošināt, ka Personas dati, kurus apstrādātājs apstrādē saskaņā ar datu subjekta lūgumu, tiek apstrādāti tikai saskaņā ar datu subjekta instrukcijām:
    • Pakalpojumu sniedzēju izvēle, pārskatot iepriekšējo sadarbību (jo īpaši attiecībā uz datu drošību)
    • Rakstiskas instrukcijas pakalpojumu sniedzējam (piemēram, ar DNL) (GDPR)
    • Tiek pielīgtas efektīvas tiesības kontrolēt datu apstrādātājus
    • Pakalpojumu sniedzēju darbinieku pienākums nodrošināt datu konfidencialitāti (GDPR)
    • Nodrošināt drošu datu iznīcināšanu pēc līguma izbeigšanas
    • Pastāvīga pakalpojumu sniedzēju un viņu darbību pārskatīšana
  7. Pieejamības kontrole - nodrošināt, ka personas dati tiek aizsargāti pret netīšu iznīcināšanu vai pazaudēšanu:
    • Nepārtrauktas enerģijas padeves (UPS)
    • Uguns un dūmu atklāšanas sistēmas
    • Datu atgūšanas pārbaudes
    • Droša norobežota datu rezerves kopiju glabāšana
    • Plūdu rajonos servera telpas atrodas virs ūdens līmeņa
    • Gaisa kondicionēšana servera telpās
    • Rezerves kopiju un atgūšanas koncepta izstrāde
    • Servera telpas neatrodas zem sanitāriem mezgliem
    • Divi aktīvi datu centri / aktīva konfigurācija

 

© 2012-2020 BIURO.