Privātuma politika

Drukāt

Sabiedrisko pakalpojumu regulēšanas komisijas

PRIVĀTUMA POLITIKA

I. Ievads

Sabiedrisko pakalpojumu regulēšanas komisijas (turpmāk - Regulators) Privātuma politikas mērķis ir izskaidrot datu subjektiem, kā Regulators apstrādā fizisko personu datus, pārredzami darīt zināmu datu subjektu tiesību īstenošanas kārtību un pasākumus, kā arī aprakstīt citus ar fizisko personu datu aizsardzību saistītos jautājumus.

Fizisko personu datu aizsardzības normatīvais regulējums izvirza vispārīgu mērķi nodrošināt personu privātumu un vienīgais veids, kā nodrošināt šī mērķa izpildi, ir padarīt personas datu aizsardzību par neatņemamu privāto un publisko tiesību subjektu darbības sastāvdaļu. Regulators nodrošina, ka visi personas dati, kas nonāk Regulatora rīcībā, tiek atbilstoši aizsargāti un atrodas drošībā. Ar terminu “atbilstoša aizsardzība” Regulators saprot nepieciešamo tehnisko un organizatorisko līdzekļu izmantošanu un personas datu apstrādi atbilstoši normatīvajam regulējumam.

Privātuma politika ir izstrādāta saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016.gada 27.aprīlis) “Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK” jeb Vispārīgo datu aizsardzības regulu (turpmāk - Regula), kā arī Fizisko personu datu apstrādes likumu un citiem Latvijas Republikas normatīvajiem aktiem, kas regulē fizisko personu datu apstrādes jautājumus. Privātuma politikā lietotie termini un to jēga ir tāda pati, kā Regulas 4.pantā sniegtajās definīcijās.

Regulators aicina periodiski visus datu subjektus rūpīgi iepazīties ar šo Privātuma politiku, lai iegūtu aktuālo informāciju par Regulatora veiktajiem personas datu apstrādes procesiem.

II. Pārzinis

Regulators ir fizisko personu datu pārzinis Regulas 4.panta 7.punkta izpratnē, jo Regulators pats vai atsevišķos gadījumos kopā ar citām personām nosaka personas datu apstrādes nolūkus un līdzekļus.

Regulatora kontaktinformācija personas datu apstrādes jautājumos:

Pārziņa nosaukums:

Sabiedrisko pakalpojumu regulēšanas komisija

Adrese:

Ūnijas iela 45, Rīga, LV-1039

E-pasts:

[email protected]

Ar Regulatoru var sazināties izmantojot pastu un informāciju un komunikāciju tehnoloģijas.

Regulators lūdz datu subjektus ņemt vērā, ka, ja tiek pieprasīta informācija par fiziskās personas datu apstrādi, Regulators var lūgt datu subjektu sniegt papildu informāciju, kas identificē šo datu subjektu.

Regulators, izpildot Regulas un citu normatīvo aktu prasības, kā personas datu pārzinis nodrošina:

  1. personas datu konfidencialitāti (piemēram, nodrošinot, ka personas datus apstrādā, tai skaitā, tiem piekļūst, tikai tādas personas, kurām tas nepieciešams amata pienākumu izpildei);
  2. atbilstošus tehniskos un organizatoriskos pasākumus personas datu aizsardzībai nolūkā pierādīt, ka personas datu apstrāde atbilst normatīvo aktu prasībām. Šādi pasākumi pēc iespējas ietver, piemēram, personas datu pseidonimizāciju, datu minimizēšanu, fiziskās un loģiskās datu aizsardzības pasākumus darba vidē u.c.;

  3. sertificētu personas datu aizsardzības speciālista iesaisti personas datu apstrādē un personas datu aizsardzības pasākumu īstenošanā.

III. Pamatprincipi

Regulators rīkojas atbilstoši šādiem personas datu apstrādes pamatprincipiem:

  1. personas datus apstrādā likumīgi, godprātīgi un caurspīdīgi attiecībā pret datu subjektu (“likumība, godprātība un caurspīdība”);
  2. personas datus apstrādā noteiktiem, skaidriem un likumīgiem nolūkiem tādā veidā, kas atbilst šiem nolūkiem (“nolūka ierobežojums”);
  3. personas datus apstrādā adekvāti, atbilstoši un tikai tiktāl, ciktāl nepieciešams apstrādes nolūkam (“datu minimizēšana”);
  4. personas datus pēc nepieciešamības aktualizē – izlabo vai dzēš, veicot visas samērīgās darbības, lai to nodrošinātu (“pareizība”);
  5. personas datus apstrādā atbilstošā drošības līmenī, tai skaitā nodrošinot aizsardzību pret neatļautu vai nelikumīgu apstrādi un pret nejaušu zudumu, iznīcināšanu vai sabojāšanu, piemērojot atbilstošus tehniskos un organizatoriskos pasākumus (“integritāte un konfidencialitāte”);
  6. personas datus uzglabā formātā, kas ļauj identificēt datu subjektus tik ilgi, kamēr nepieciešams apstrādes nolūkam; personas datus drīkst uzglabāt ilgāku laiku, bet tikai arhivēšanas nolūkiem atbilstoši piemērojamajos tiesību aktos noteiktajiem obligātajiem uzglabāšanas termiņiem (“uzglabāšanas ierobežojums”).

IV. Personas datu apstrādes nolūki un tiesiskie pamati

Regulators ir institucionāli un funkcionāli neatkarīgs, pilntiesīgs, autonoms publisko tiesību subjekts, kas likumā „Par sabiedrisko pakalpojumu regulatoriem” un citos normatīvajos aktos noteiktās kompetences ietvaros nodrošina sabiedrisko pakalpojumu regulēšanu regulējamajās nozarēs.

Regulatora galvenie personas datu apstrādes nolūki ir:

1. normatīvajos aktos noteikto uzdevumu izpilde:

   1.1. lietvedības funkcija (t.sk. fiziskas un juridiskas personas iesnieguma sākotnējā apstrāde, pārstāvības pārbaude u.tml.);

    1.2. iesnieguma izskatīšana (t.sk. neformāla komunikācija ar sabiedrisko pakalpojumu lietotājiem, sabiedrisko pakalpojumu sniedzējiem un valsts iestādēm);

     1.3. grāmatvedības prasību izpilde;

     1.4. administratīvo lietu un administratīvo pārkāpumu lietu izskatīšana;

     1.5. likumā "Par sabiedrisko pakalpojumu regulatoriem" un citos normatīvajos aktos noteikto funkciju izpilde;

   1.6. publisko iepirkumu un iepirkumu, kuriem nepiemēro Publisko iepirkumu likumā noteikto procedūru, veikšana;

   1.7. Regulatora reprezentatīvās funkcijas nodrošināšana (t.sk. informatīvu materiālu izstrāde sabiedrisko pakalpojumu lietotājiem un sabiedrisko pakalpojumu sniedzējiem).

2. personāla vadības procesu nodrošināšana:

2.1. personāla atlase (t.sk. CV, motivācijas vēstules un citas personas datu saturošās informācijas izvērtēšana atbilstoši vakantā amata prasībām; interviju organizēšana un dokumentēšana; atsauksmju iegūšana no iepriekšējām darba vietām; lēmuma pieņemšana, noslēdzot personāla atlasi);

2.2. personāla pārvaldība (t.sk. darba līgumu noslēgšana un izpilde);

2.3. korporatīvās kultūras nodrošināšana;

2.4. darba pienākumu izpildes fiksēšana, novērtēšana un kontrole;

2.5. Covid – 19 izplatības ierobežošana darba vietā.

3. Regulatora leģitīmo interešu[1] nodrošināšana:

       3.1. lietu vešana tiesu instancēs;

       3.2. Regulatora izmantotās telefona centrāles risinājuma piemērošanas rezultātā iegūto sarunu ierakstu statistika;

       3.3. sīkdatņu apstrāde;

       3.4. videonovērošanas un apmeklētāju uzskaites sistēmas uzturēšana un darbības nodrošināšana.

          Regulatorā personas datu apstrādes tiesiskais pamats katrā gadījumā ir individuāls, bet jebkurā gadījumā tas būs viens no šiem:

1) datu subjekta piekrišana;

2) līgumsaistību izpilde;

3) juridiska pienākuma izpilde;

4) publisko tiesību funkciju veikšana, tostarp, sabiedrības interesēs arī veselības jomā;

5) leģitīma interese.

V. Personas datu ieguves avoti

Regulators personas datus iegūst visdažādākajos veidos, bet visbiežāk - no paša datu subjekta, kad datu subjekts šos personas datus izpauž Regulatoram, lai tiktu veikta normatīvajos aktos noteikto uzdevumu izpilde.

Citos gadījumos Regulators saņem informāciju no sabiedrisko pakalpojumu sniedzējiem, kas arī var saturēt personas datus.

Atsevišķos gadījumos Regulators iegūst personas datus no valsts un pašvaldību iestādēm un Latvijas valsts informācijas sistēmām un reģistriem.

Regulators savu uzdevumu izpildei mēdz izmantot arī publiski pieejamo informāciju, kas atsevišķos gadījumos var saturēt personas datus.

Regulators kā pārzinis uztur tīmekļvietni www.sprk.gov.lv, kur arī notiek personas datu apstrāde. Ar minētās vietnes sīkdatņu politiku iespējams iepazīties Regulatora Sīkdatņu politikā.

Regulators personas datus iegūst arī veicot video novērošanu Regulatora ēkā un ēkas apkārtnē. Ar informāciju par veikto videonovērošanu iespējams iepazīties Regulatora informācijā par fizisko personu datu apstrādi, izmantojot videonovērošanas sistēmu.

VI. Personas datu kategorijas

Personas datu kategorijas, ko apstrādā Regulators, ir atkarīgas no datu apstrādes nolūkiem un veida:

Nr.

Personas datu apstrādes nolūks

Personas dati

1.

Normatīvajos aktos noteikto uzdevumu izpilde

Identifikācijas dati: vārds, uzvārds, personas kods, pases / e-ID dati (numurs, izdevējiestāde);

Kontaktinformācija: telefona numurs, e-pasts, dzīvesvietas adrese;

Profesionālā informācija: amats, līguma izpildē noteiktā loma, kvalifikācija (t.sk. CV un izglītība), speciālās atļaujas pieejai VNO, reputācija, informācija par atrašanos sankciju sarakstos;

Finanšu informācija: atalgojums, bankas konts, tiesu izpildītāju rīkojumi par ieturējumiem no darbinieku darba samaksas, nodokļu samaksa un sociālās apdrošināšanas maksājumi, informācija par piemaksām un citu atlīdzību;

Ar darba tiesiskajām attiecībām saistītā informācija: saņemtie (izmantotie) pakalpojumi, apgādībā esošas personas, darbiniekam piešķirtā invaliditātes grupa, informācija par darbinieka apgādībā esošu bērnu – invalīdu, informācija par slimības lapām, atvaļinājumiem, darbinieku privāto transportlīdzekļu reģistrācijas numuri, informācija par darbiniekiem izsniegtajiem p/l un inventāru, informācija par darbiniekiem nepieciešamajiem redzes korekcijas līdzekļiem, darbinieka pieteiktā un iegādātā apdrošināšanas papildprogramma, ar polises izmantošanu saistīta informācija par saņemtajiem medicīniskajiem pakalpojumiem.

2.

Personāla vadības procesu nodrošināšana

Identifikācijas dati: vārds, uzvārds, personas kods, foto, informācija par personas dzimumu (statistikai);

Kontaktinformācija: adrese, dzīvesvieta, telefona numurs (t.sk., zvanu izdrukas numuriem, kas tiek apmaksāti no Regulatora līdzekļiem), e-pasta adrese;

Profesionālā informācija: amats, loma, kvalifikācija, izglītība, pieredze, cita CV norādītā informācija;

Finanšu informācija: atalgojums, piemaksas, informācija par apgādībā esošām personām, nodokļu un sociālās apdrošināšanas iemaksas;

Ar darba tiesiskajām attiecībām saistītā informācija: obligāto veselības pārbaužu informācija, arodslimības, prombūtne (attaisnota un neattaisnota), dalība arodbiedrībā (pirms darba tiesisko attiecību izbeigšanās), novērtējuma informācija, iespējamā pārkāpuma esamības fakts, apraksts, pamatojums, paskaidrojumi, trešo personu sniegtās ziņas par darbinieku, lēmuma pieņemšanas fakts, datums, numurs, būtība. Ar darbinieku apmācību organizēšanu saistītā informācija (apmācību veids, joma, apjoms, datums, rezultāts).

3.

Regulatora leģitīmo interešu nodrošināšana

Identifikācijas dati: vārds, uzvārds, personas kods, telefona numurs (t.sk. telefona sarunas ilgums), dzimšanas datums, digitālais attēls (apģērbs, gaita, stāja), uzturēšanās laiks Regulatorā (ierašanās un aiziešanas laiks);

Profesionālā informācija: amats, loma, kvalifikācija (t.sk. izglītība, pieredze), sertifikāti, speciālās atļaujas (ja attiecināms), CV un ar to saistītā informācija, atalgojums.

Cita informācija: IP adrese, pārlūkprogrammas veids un valoda, ģeogrāfiskā atrašanās vieta, kā arī anonīma informācija par veiktajām darbībām tīmekļvietnē.

Normatīvajā regulējumā paredzētajos gadījumos, pildot normatīvajos aktos noteiktos uzdevumus, Regulatorā ir iespējama arī plašāka personas datu apstrāde.

VII. Personas datu saņēmēji

Regulators nekādā gadījumā nenodod personas datus trešajām personām, ja šādai personas datu apstrādei nav tiesiska pamata un nav iepriekš definēts personas datu apstrādes nolūks, kā arī, ja minētās trešās personas, ņemot vērā apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, nespēj pārredzami nodrošināt atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu un spētu uzskatāmi parādīt, ka personas datu apstrāde notiek saskaņā ar Regulu, vai nespēj sniegt pamatotas garantijas, ka tiks nodrošināta personas datu apstrādes drošība un datu subjektu tiesību ievērošana.

Dažādu personas datu apstrādes nolūku izpildei personas dati var tikt nodoti:

  1. Regulatora darbiniekiem vai speciāli pilnvarotām personām;
  2. valsts un pašvaldību institūcijām, tiesām, tiesībsargājošajām institūcijām, vēstniecībām;
  3. sabiedrisko pakalpojumu sniedzējiem, sadarbības partneriem (piemēram, juridisko pakalpojumu sniedzējiem, starptautiskajām organizācijām u.tml.);
  4. personas datu apstrādātājiem.

VIII. Personas datu nodošana uz trešajām valstīm

Regulators cenšas nenodot fizisko personu datus uz tādu trešo valsti, kas atrodas ārpus ES vai EEZ.

Gadījumā, ja ir nepieciešama fizisko personu personas datu nodošana uz tādu trešo valsti, uz kuru neattiecas kāds no personas datu aizsardzības tiesību aktos noteiktajiem izņēmumiem, Regulators nodrošina šo datu drošību un datu subjekta tiesību ievērošanu vismaz ar vienu no šādiem mehānismiem:

  1. Eiropas Komisijas lēmumu par aizsardzības līmeņa pietiekamību;
  2. atbilstošām garantijām;
  3. Regulas 49.pantā pieļautajām atkāpēm īpašās situācijās.

IX. Personas datu glabāšanas ilgums

Regulators glabā un apstrādā fizisko personu datus, kamēr pastāv viens no šiem kritērijiem:

  1. dati ir vajadzīgi, lai izpildītu to ievākšanas nolūku;
  2. kamēr ir spēkā datu subjekta piekrišana, ja nav cita datu apstrādes tiesiskā pamata;
  3. datu glabāšanu nosaka normatīvie akti;
  4. dati ir nepieciešami, lai Regulators vai datu subjekts var realizēt savas leģitīmās intereses.

X. Vispārīga informācija par Regulatorā realizētajiem tehniskajiem un organizatoriskajiem pasākumiem

Lai nodrošinātu Regulatorā apstrādāto personas datu drošību un atbilstību datu aizsardzības un apstrādes principiem, ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un nopietnības pakāpes riskus attiecībā uz fizisku personu tiesībām un brīvībām, kurus rada apstrāde, Regulators aizsargā personas datus, izmantojot mūsdienu tehnoloģiju iespējas, veicot šādus drošības pasākumus un izmantojot šādus drošības risinājumus:

1) datu šifrēšana, pārraidot datus (SSL šifrēšana);

2) ugunsmūris;

3) ielaušanās aizsardzības un atklāšanas programmas;

4) citus aizsardzības pasākumus atbilstoši aktuālajām tehnikas attīstības iespējām.

Regulatora darbinieki un amatpersonas, kuri ikdienas darba pienākumu ietvaros strādā ar informāciju, kas satur personas datus, ir apmācītas personas datu aizsardzības pasākumos un rakstiski apņēmušās ievērot konfidencialitātes saistības.

XI. Datu subjekta tiesības

Datu subjektiem Regulatora datu apstrādes procesā ir šādas tiesības:

1. Tiesības saņemt informāciju (Regulas 13., 14.pants)

Regulators ievēro Regulas 13.panta un 14.panta prasības un proaktīvi sniedz šajos pantos paredzēto informāciju datu subjektiem.

2. Piekļuves tiesības (Regulas 15.pants)

Regulators nodrošina, ka datu subjekti saņem informāciju par personas datu apstrādes procesu, kas uz viņiem attiecas. Pēc datu subjekta pieprasījuma Regulators normatīvajos aktos noteiktajā kārtībā nodrošina piekļuvi datu subjekta personas datiem.

3. Tiesības uz personas datu labošanu (Regulas 16.pants)

Regulators nodrošina, ka normatīvajos aktos noteiktajā kārtībā bez nepamatotas kavēšanās tiek laboti neprecīzi datu subjekta personas dati. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.

4. Tiesības uz datu dzēšanu (“tiesības tikt aizmirstam”) (Regulas 17.pants),

Regulators nodrošina, ka tad, ja izpildās Regulas 17.panta noteikumi, pēc datu subjekta pieprasījuma uz konkrēto datu subjektu attiecināmie personas dati tiek dzēsti. Regulators par datu dzēšanu informē datu subjektu, izņemot, ja šāda informēšana prasītu nesamērīgas izmaksas vai nav iespējama.

5. Tiesības uz apstrādes ierobežošanu (Regulas 18.pants)

Regulators nodrošina, ka datu subjekta personas datu apstrāde tiek ierobežota, ja izpildās Regulas 18.panta 1.punktā noteiktie kritēriji. Ja apstrāde ir ierobežota saskaņā ar 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai ES vai dalībvalsts svarīgu sabiedrības interešu dēļ.

6. Tiesības saņemt informāciju par personas datu labošanu, dzēšanu vai apstrādes ierobežošanu (Regulas 19.pants)

Regulators katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu vai dzēšanu, vai apstrādes ierobežošanu, kas veikta saskaņā ar 16. pantu, 17. panta 1. punktu un 18. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm. Regulators informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa.

7. Tiesības uz datu pārnesamību (Regulas 20.pants)

Regulators nodrošina datu subjekta personas datu pārnesamību atbilstoši Regulas 20.panta kritērijiem. Regulators šādā gadījumā nodrošina personas datu nosūtīšanu citam pārzinim, ja tas ir tehniski iespējams.

8. Tiesības iebilst (Regulas 21.pants)

Datu subjektam ir tiesības iebilst pret personas datu apstrādi atbilstoši Regulas 21.panta kritērijiem. Regulators, saņemot atbilstoši noformētus iebildumus pret datu apstrādi no datu subjekta, datus vairs neapstrādā, izņemot, ja iespējams norādīt uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.

9. Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana (Regulas 22.pants)

Regulators nodrošina, ka datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu.

10. Tiesības iesniegt sūdzību uzraudzības iestādei

Fizisko personu datu apstrādes pasākumu atbilstību normatīvajam regulējumam Latvijā uzrauga Datu valsts inspekcija. Ja datu subjekts uzskata, ka viņa personas datu apstrāde nenotiek atbilstoši normatīvo aktu prasībām, viņam ir tiesības vērsties ar sūdzību Datu valsts inspekcijā, Blaumaņa ielā 11/13, Rīgā, LV-1011. Detalizēta informācija pieejama interneta vietnē www.dvi.gov.lv, vai zvanot uz 67 22 31 31, vai rakstot uz [email protected].

XII. Noslēguma jautājumi

Regulatoram ir vienpusējas tiesības veikt labojumus vai papildinājumus šajā Privātuma politikā.

Spēkā esošā Privātuma politikas versija vienmēr tiek ievietota Regulatora tīmekļvietnē www.sprk.gov.lv.

Regulators saglabā iepriekšējās Privātuma politikas versijas, un tās ir pieejamas minētajā vietnē.

Ar šo spēku zaudē Regulatora 2021.gada 30.aprīlī apstiprinātā “Sabiedrisko pakalpojumu regulēšanas komisijas Privātuma politika”.

 

[1] Regulatora leģitīmās intereses personas datu apstrādē: interešu nodrošināšana strīdu gadījumos, pakalpojumu kvalitātes nodrošināšana un uzlabošana, drošības un piekļuves kontrole, infrastruktūras, personāla, apmeklētāju drošība, noziedzīgu nodarījumu novēršana, atklāšana, izmeklēšana, fizisku draudu novēršana personālam, apmeklētājiem un infrastruktūrai.

Iepriekšējās Privātuma politikas versijas: 

29.11.2018. - 17.09.2020.

18.09.2020. - 29.04.2021.

30.04.2021. - 26.08.2021.