Privātuma politika

Drukāt

1. Ievads

Sabiedrisko pakalpojumu regulēšanas komisijas (Turpmāk - Regulators) Privātuma politikas mērķis ir izskaidrot datu subjektiem, kā Regulators apstrādā fizisko personu datus, pārredzami darīt zināmu datu subjektu tiesību īstenošanas kārtību un pasākumus, kā arī aprakstīt citus ar fizisko personu datu aizsardzību saistītos jautājumus. Tā ir izstrādāta arī lai nodrošinātu, ka datu subjekti var realizēt savas normatīvajos aktos piešķirtās tiesības vienkāršā, tiem pieejamā un saprotamā veidā.
Fizisko personu datu aizsardzības normatīvais regulējums izvirza vispārīgu mērķi nodrošināt personu privātumu un vienīgais veids, kā nodrošināt šī mērķa izpildi, ir padarīt personas datu aizsardzību par neatņemamu privāto un publisko tiesību subjektu darbības sastāvdaļu, Regulators nodrošina, ka visi personas dati, kas nonāk Regulatora rīcībā, tiek atbilstoši aizsargāti un atrodas drošībā. Ar terminu "atbilstoši aizsardzība" Regulators saprot nepieciešamo tehnisko un organizatorisko līdzekļu izmantošanu un personas datu apstrādi atbilstoši normatīvajam regulējumam.
Privātuma politika ir izstrādātā saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) "Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK" jeb Vispārīgā datu aizsardzības regula (turpmāk - Regula), kā arī Fizisko personu datu apstrādes likumu un citiem Latvijas Republikas normatīvajiem aktiem, kas regulē fizisko personu datu apstrādes jautājumus. Šajā privātuma politikā lietotie termini un to jēga ir tāda pati, kā Regulas 4. pantā sniegtajās definīcijās.
Regulators aicina periodiski visus datu subjektus rūpīgi iepazīties ar šo Privātuma politiku, lai iegūtu aktuālo informāciju par Regulatora veiktajiem personas datu apstrādes procesiem.

2. Pārzinis

Regulators ir fizisko personu datu pārzinis Regulas 4.panta 7.punkta izpratnē, jo Regulators pats vai atsevišķos gadījumos kopā ar citām personām nosaka personas datu apstrādes nolūkus un līdzekļus. 
Regulatora kontaktinformācija personas datu apstrādes jautājumos:

Pārziņa nosaukums Sabiedrisko pakalpojumu regulēšanas komisija
Adrese Ūnijas iela 45, RĪga, LV-1039
E-pasts dpo@sprk.gov.lv

Ar Regulatoru var sazināties izmantojot pastu un informāciju un komunikāciju tehnoloģijas.   
Regulators lūdz datu subjektus ņemt vērā, ka, ja tiek pieprasīta informācija par fiziskās personas datu apstrādi, Regulators var lūgt datu subjektu sniegt papildu informāciju, kas identificē šo datu subjektu.
Regulators, izpildot Regulas un citu normatīvo aktu prasības, kā personas datu pārzinis nodrošina:

  1. personas datu konfidencialitāti (piemēram, nodrošinot, ka personas datus apstrādā, tai skaitā, tiem piekļūst, tikai tādas personas, kurām tas nepieciešams amata pienākumu izpildei);
  2. atbilstošus tehniskos un organizatoriskos pasākumus personas datu aizsardzībai nolūkā pierādīt, ka personas datu apstrāde atbilst normatīvo aktu prasībām. Šādi pasākumi pēc iespējas ietver, piemēram, personas datu pseidonimizāciju, datu minimizēšanu, fiziskās un loģiskās datu aizsardzības pasākumus darba vidē u.c.;
  3. sertificētu personas datu aizsardzības speciālistu iesaisti personas datu apstrādē un personas datu aizsardzības pasākumu īstenošanā.

3. Pamatprincipi

Regulators apstrādā personas datus atbilstoši šādiem personas datu apstrādes pamatprincipiem:

  1. likumīgi, godprātīgi un caurspīdīgi attiecībā pret datu subjektu (“likumība, godprātība un caurspīdība”);
  2. noteiktiem, skaidriem un likumīgiem nolūkiem tādā veidā, kas atbilst šiem nolūkiem (“nolūka ierobežojums”);
  3. adekvāti, atbilstoši un tikai tiktāl, ciktāl nepieciešams apstrādes nolūkam (“datu minimizēšana”);
  4. personas datus pēc nepieciešamības aktualizē – izlabo vai dzēš, veicot visas samērīgās darbības, lai to nodrošinātu (“pareizība”);
  5. personas datus apstrādā atbilstošā drošības līmenī, tai skaitā nodrošinot aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu zudumu,
  6. iznīcināšanu vai sabojāšanu, piemērojot atbilstošus tehniskos un organizatoriskos pasākumus (“integritāte un konfidencialitāte”);
  7. personas dati tiks uzglabāti formātā, kas ļauj identificēt datu subjektus tik ilgi, kamēr nepieciešams apstrādes nolūkam; personas datus drīkst uzglabāt ilgāku
  8. laiku, bet tikai arhivēšanas nolūkiem atbilstoši piemērojamajos tiesību aktos noteiktajiem obligātajiem uzglabāšanas termiņiem (“uzglabāšanas ierobežojums”).

4. Personas datu apstrādes nolūki un tiesiskie pamati 

Regulators ir institucionāli un funkcionāli neatkarīgs, pilntiesīgs, autonoms publisko tiesību subjekts, kas likumā „Par sabiedrisko pakalpojumu regulatoriem” un
citos normatīvajos aktos noteiktās kompetences ietvaros nodrošina sabiedrisko pakalpojumu regulēšanu regulējamajās nozarēs. Regulatora galvenie personas datu
apstrādes nolūki ir:

  1. normatīvajos aktos noteikto uzdevumu izpilde;
  2. personāla vadības procesu nodrošināšana;
  3. Regulatora leģitīmo interešu nodrošināšana.

Regulatorā personas datu apstrādes tiesiskais pamats katrā gadījumā ir individuāls, bet jebkurā gadījumā tas būs viens no šiem:

  1. datu subjekta piekrišana;
  2. līgumsaistību izpilde;
  3. juridiska pienākuma izpilde;
  4. publisko tiesību funkciju veikšana;
  5. leģitīma interese.

Regulatora leģitīmās intereses personas datu apstrādē: datu subjekta identitātes pārbaude, līgumsaistību izpilde, interešu nodrošināšana strīdu gadījumos,
pakalpojumu kvalitātes nodrošināšana un uzlabošana, drošības un piekļuves kontrole, infrastruktūras, personāla, apmeklētāju drošība, noziedzīgu nodarījumu novēršana,
atklāšana, izmeklēšana, fizisku draudu novēršana personālam, apmeklētājiem un infrastruktūrai.

5. Personas datu ieguves avoti

Regulators personas datus iegūst visdažādākajos veidos, bet visbiežāk no paša datu subjekta, kad datu subjekts šos personas datus izpauž Regulatoram, lai tiktu veikta normatīvajos aktos noteikto uzdevumu izpilde. Citos gadījumos Regulators saņem informāciju no sabiedrisko pakalpojumu sniedzējiem, kas arī var saturēt personas datus.Atsevišķos gadījumos Regulators iegūst personas datus no valsts un pašvaldību iestādēm un Latvijas valsts informācijas sistēmām un reģistriem.Regulators savu uzdevumu izpildei mēdz izmantot arī publiski pieejamo informāciju, kas atsevišķos gadījumos var saturēt personas datus.Regulators kā pārzinis uztur tīmekļvietni www.sprk.gov.lv, kur arī notiek personas datu apstrāde. Ar minētās vietnes sīkdatņu politiku iespējams iepazīties Regulatora Sīkdatņu politikā.Regulators personas datus iegūst arī veicot video novērošanu Regulatora ēkā un ēkas apkārtnē. Ar informāciju par veikto videonovērošanu iespējams iepazīties Regulatora informācijā par fizisko personu datu apstrādi, izmantojot videonovērošanas sistēmu. 

6. Personas datu kategorijas

Regulators apstrādā šādus personas datus:

  1. identifikācijas dati (piemēram, vārds, uzvārds, personas kods, dzimšanas datums, citos gadījumos arī personu apliecinošā dokumenta dati, izglītības un profesionālās darbības dati);
  2. kontaktinformācija (piemēram, adrese, telefons, e-pasta adrese);
  3. ar likumā “Par sabiedrisko pakalpojumu regulatoriem” noteikto funkciju izpildi saistītā informācija, kas atsevišķos gadījumos var iekļaut personas datus;
  4. datu subjektu iesniegumos (sūdzībās) norādītā informācija;
  5. videonovērošanas rezultātā iegūtie personas dati.

Normatīvajā regulējumā paredzētajos gadījumos, pildot normatīvajos aktos noteiktos uzdevumus, Regulatorā ir iespējama arī plašāka personas datu apstrāde.

7. Personas datu saņēmēji

Regulators nekādā gadījumā nenodod personas datus trešajām personām, ja šādai personas datu apstrādei nav tiesiska pamata un nav iepriekš definēts personas datu apstrādes nolūks, kā arī, ja minētās trešās personas, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, nespēj pārredzami nodrošināt atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka personas datu apstrāde notiek saskaņā ar Regulu, vai nespēj sniegt pamatotas garantijas, ka tiks nodrošināta personas datu apstrādes drošība un datu subjektu tiesību ievērošana.
Dažādu personas datu apstrādes nolūku izpildei personas dati var tikt nodoti:

  1. Regulatora darbiniekiem vai speciāli pilnvarotām personām;
  2. pašvaldību institūcijām, tiesām, tiesībsargājošajām institūcijām
  3. sadarbības partneriem
  4. personas datu apstrādātājiem.

8. Personas datu nodošana uz trešajām valstīm

Regulators cenšas nenodot fizisko personu datus uz tādu trešo valsti, kas atrodas ārpus ES vai EEZ. 
Gadījumā, ja ir nepieciešama fizisko personu personas datu nodošana uz tādu trešo valsti, uz kuru neattiecas kāds no personas datu aizsardzības tiesību aktos noteiktajiem izņēmumiem, Regulators nodrošina šo datu drošību un datu subjekta tiesību ievērošanu vismaz ar vienu no šādiem mehānismiem:

  1. Eiropas Komisijas lēmumu par aizsardzības līmeņa pietiekamību;
  2. atbilstošām garantijām;
  3. Regulas 49.pantā pieļautajām atkāpēm īpašās situācijās.

9. Personas datu glabāšanas ilgums

Regulators glabā un apstrādā fizisko personu datus, kamēr pastāv viens no šiem kritērijiem:

  1. dati ir vajadzīgi, lai izpildītu to ievākšanas nolūku;
  2. kamēr ir spēkā datu subjekta piekrišana, ja nav cita datu apstrādes tiesiskā pamata;
  3. datu glabāšanu nosaka normatīvie akti;
  4. dati ir nepieciešami, lai Regulators vai datu subjekts var realizēt savas leģitīmās intereses.

10. Vispārīga informācija par Regulatorā realizētajiem tehniskajiem un organizatoriskajiem pasākumiem

Lai nodrošinātu Regulatorā apstrādāto personas datu drošību un atbilstību datu aizsardzības un apstrādes principiem, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, Regulators aizsargā personas datus, izmantojot mūsdienu tehnoloģiju iespējas, veicot šādus drošības pasākumus un izmantojot šādus drošības risinājumus

  1. datu šifrēšana, pārraidot datus (SSL šifrēšana); 
  2. ugunsmūris; 
  3. ielaušanās aizsardzības un atklāšanas programmas; 
  4. citus aizsardzības pasākumus atbilstoši aktuālajām tehnikas attīstības iespējām. 

Regulatora darbinieki un amatpersonas, kuri ikdienas darba pienākumu ietvaros strādā ar informāciju, kas satur personas datus, ir apmācītas personas datu aizsardzības pasākumos un rakstiski apņēmušās ievērot konfidencialitātes saistības.

11. Datu subjekta tiesības

Datu subjektiem Regulatora datu apstrādes procesā ir šādas tiesības:

  1. Tiesības saņemt informāciju (Regulas 13., 14.pants). Regulators ievēro Regulas 13., 14.panta prasības un proaktīvi sniedz šajos pantos paredzēto informāciju datu subjektiem.
  2. Piekļuves tiesības (Regulas 15.pants). Regulators nodrošina, ka datu subjekti saņem informāciju par personas datu apstrādes procesu, kas uz viņiem attiecas. Pēc datu subjekta pieprasījuma Regulators normatīvajos aktos noteiktajā kārtībā nodrošina piekļuvi datu subjekta personas datiem. 
  3. Tiesības uz personas datu labošanu (Regulas 16.pants). Regulators nodrošina, ka normatīvajos aktos noteiktajā kārtībā bez nepamatotas kavēšanās tiek laboti neprecīzi datu subjekta personas dati. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.
  4. Tiesības uz datu dzēšanu (“tiesības tikt aizmirstam”) (Regulas 17.pants). Regulators nodrošina, ka tad, ja izpildās Regulas 17.panta noteikumi, pēc datu subjekta pieprasījuma uz konkrēto datu subjektu attiecināmie personas dati tiek dzēsti. Regulators par datu dzēšanu informē datu subjektu, izņemot, ja šāda informēšana prasītu nesamērīgas izmaksas vai nav iespējama. 
  5. Tiesības uz apstrādes ierobežošanu (Regulas 18.pants). Regulators nodrošina, ka datu subjekta personas datu apstrāde tiek ierobežota, ja izpildās Regulas 18.panta 1.punktā noteiktie kritēriji. Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai ES vai dalībvalsts svarīgu sabiedrības interešu dēļ. 
  6. Tiesības saņemt informāciju par personas datu labošanu, dzēšanu vai apstrādes ierobežošanu (Regulas 19.pants). Regulators katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu vai dzēšanu, vai apstrādes ierobežošanu, kas veikta saskaņā ar 16. pantu, 17. panta 1. punktu un 18. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. Regulators informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa.
  7. Tiesības uz datu pārnesamību (Regulas 20.pants). Regulators nodrošina datu subjekta personas datu pārnesamību atbilstoši Regulas 20.panta kritērijiem. Regulators šādā gadījumā nodrošina personas datu nosūtīšanu citam pārzinim, ja tas ir tehniski iespējams.
  8. Tiesības iebilst (Regulas 21.pants). Datu subjektam ir tiesības iebilst pret personas datu apstrādi atbilstoši Regulas 21.panta kritērijiem. Regulators, saņemot atbilstoši noformētus iebildumus pret datu apstrādi no datu subjekta, datus vairs neapstrādā, izņemot, ja iespējams norādīt uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības. 
  9. Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana (Regulas 22.pants). Regulators nodrošina, ka datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu.
  10. Tiesības iesniegt sūdzību uzraudzības iestādei. Fizisko personas datu apstrādes pasākumu atbilstību normatīvajam regulējumam Latvijā uzrauga Datu valsts inspekcija. Ja datu subjekts uzskata, ka viņa personas datu apstrāde nenotiek atbilstoši normatīvo aktu prasībām, viņam ir tiesības vērsties ar sūdzību Datu valsts inspekcijā, Blaumaņa ielā 11/13, Rīgā, LV-1011. Detalizēta informācija pieejama interneta vietnē www.dvi.gov.lv, vai zvanot uz 67 22 31 31, vai rakstot uz info@dvi.gov.lv.

12. Noslēguma jautājumi

Regulatoram ir vienpusējas tiesības veikt labojumus vai papildinājumus šajā Privātuma politikā. Spēkā esošā Privātuma politikas versija vienmēr ir tiek ievietota Regulatora tīmekļvietnē www.sprk.gov.lv
Regulators saglabā iepriekšējās Privātuma politikas versijas, un tās ir pieejamas minētajā vietnē.