1. SIA “SEKURA STILS” (turpmāk – SEKURA STILS) iekšējie personu datu apstrādes noteikumu mērķis noteikt organizatorisko kārtību, kādā tiek apstrādāti SEKURA STILSrīcībā esošie personas dati.

2. Vispārīgie iekšējie noteikumi attiecas arī uz personas datu apstrādi, ko pilnībā vai daļēji nodrošina ar automatizētās apstrādes sistēmu palīdzību (piemēram, informācijas sistēmām, kartotēkām).

3. SEKURA STILSpersonu datu apstrāde notiek, lai sasniegtu datu apstrādes mērķus, kas noteikti SEKURA STILS personu datu apstrādes reģistrā.

4. SEKURA STILSvadība izvērtē, vai personas datu apstrāde var radīt augstu risku fizisku personu tiesībām un brīvībām, norādot to personas datu apstrādes reģistrā.

5. SEKURA STILSvadība īsteno tehniskus un organizatoriskus pasākumus attiecībā uz datu drošību un aizsardzību pret ārēju ielaušanos informācijas sistēmās, arī, ja datu apstrāde notiek elektroniski, pieslēdzoties attālināti sistēmām, tostarp, ņemot vērā izmantotās tehnoloģijas, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, lai nodrošinātu tādu drošības līmeni, kas nosaka:

5.1 personas datu aizsardzības prasības;

5.2. spēju nodrošināt apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti un pieejamību;

5.3. spēju laicīgi atjaunot personas datu pieejamību un piekļuvi tiem gadījumā, ja ir noticis drošības pārkāpums;

5.4. procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanai, izvērtēšanai un novērtēšanai, lai nodrošinātu apstrādes drošību.

6. Jaunus fiziskas personas datu apstrādes mērķus, veidus un apstrādes vietu nosaka SEKURA STILSvadība (valde).

7. SEKURA STILSvadība (valde) ir atbildīga par personu datu apstrādes pasākumu īstenošanu atbilstoši normatīviem aktiem un noslēgtajiem līgumiem. SEKURA STILSvadība (valde) arī var noteikt personu, kas atbildīga par personu datu apstrādes pasākumu īstenošanu atbilstoši normatīviem aktiem un noslēgtajiem līgumiem, un rakstveida informē par šo personu, nodrošinot tai atbalstu ar tiesību aktiem noteikto uzdevumu izpildē, resursus, kas nepieciešami, lai veiktu minētos uzdevumus, un nodrošinot piekļuvi personas datiem un apstrādes darbībām.

8. Uzticot personas datu apstrādi personas datu apstrādātājam, tehniskās un organizatoriskās prasības, kas iekļaujamas līgumā starp SEKURA STILS un personas datu apstrādātāju, nosaka SEKURA STILSvadība (valde).

9. SEKURA STILSvadība informē darbiniekus, kuri apstrādā personas datus, par personas datu apstrādes aizsardzības organizatoriskajiem nosacījumiem, darbiniekam veicot amata pienākumu izpildi.

10. SEKURA STILSvadība nodrošina, ka trešās personas nevar brīvi piekļūt telpās, kurās apstrādāti nodotie personas dati.

11. SEKURA STILSvadība nodrošina, ka fiziskās personas, kuras ir pilnvarotas apstrādāt datus, ir apņēmušās ievērot konfidencialitāti vai viņām ir noteikts attiecīgs likumisks pienākums ievērot konfidencialitāti un apņemas nelikumīgi neizpaust personas datus, arī pēc darba tiesisko vai citu līgumā noteikto attiecību izbeigšanās.

12. SEKURA STILSvadība uztur SEKURA STILS veiktās personas datu apstrādes reģistru, ievērojot Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula),turpmāk tekstā „VDAR” noteiktās prasības. SEKURA STILS vadība uzrauga, lai SEKURA STILS personas datu apstrāde notiek paredzētajos mērķos un tam ir tiesiskais pamats.

13. SEKURA STILS vadība koordinē, kontrolē, apkopo un risina citus SEKURA STILS personas datu apstrādes jautājumus, un SIA “SEKURA STILS” valdes locekli Oskars Dagilis ir kontaktpersona šajos jautājumos.

14. SEKURA STILS vadība nodrošina ar datu aizsardzību saistīto aspektu izvērtēšanu, konsultē SEKURA STILS darbiniekus un datu subjektus ar datu aizsardzību saistītos jautājumos, kā arī sadarbojas ar uzraudzības iestādi (Latvijas Republikas Datu valsts inspekcija) datu aizsardzības jautājumus.

15. SEKURA STILS vadība uzrauga, lai tiek ievērota VDAR un citi tiesību akti (arī iekšējie normatīvie akti) par datu aizsardzību, tostarp pienākumu sadale, apstrādes darbībās iesaistīto darbinieku informēšana, un ar to saistītās revīzijas. Kā arī nodrošina iekšējo normatīvo aktu par personas datu apstrādi aktualizāciju atbilstoši tiesību aktiem un līgumiem.

16. SEKURA STILSvadība nodrošina personas datu apstrādē iesaistīto darbinieku regulāru informēšanu par drošības un aizsardzības prasībām personas datu apstrādē.

17. SEKURA STILSvadība informē darbiniekus un pārliecinās, ka papīra formātā esošie dati tiek glabāti slēgtās telpās vai skapjos, elektroniski pieejamos datus aizsargā ar drošām un regulāri mainītām parolēm, ievēro konfidencialitāti un datu aizsardzību, arī lietojot sociālo tīklu aplikācijas.

18. SEKURA STILSvadība ne retāk kā reizi gadā izvērtē veiktās datu apstrādes atbilstību normatīviem aktiem, sagatavojot Personas datu apstrādes reģistru.

19. Lēmumus par datu aizsardzības jautājumiem pieņem pati SEKURA STILS valde.

20. Pēc rakstiska datu subjekta pieprasījuma un subjekta identificēšanas SEKURA STILSvalde nodrošina:

20.1. informācijas sniegšanu par kārtību, kā piekļūt saviem personas datiem vai veikt labojumus;

20.2. informācijas sniegšanu par laikposmu, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritērijus, ko izmanto minētā laikposma noteikšanai;

20.3. subjekta datu labošanu un/vai dzēšanu, ja personu datu apstrāde ir zaudējusi tiesisku pamatu;

20.4. subjekta datu apstrādes pārtraukšanu, ja personas datu apstrādes tiesiskais pamats ir datu subjekta dota brīvprātīga piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem mērķiem.

21. Darbinieki personas datus drīkst apstrādāt SEKURA STILS vadības noteiktā veidā un ar informācijas resursa turētāja noteikto tehnoloģisko līdzekļu palīdzību.

22. SEKURA STILSvadība nodrošina, ka:

22.1. atbilstoši pilnvarojumam ir noteikts pieejas tiesību līmenis personas datu apstrādē iesaistītajām personām;

22.2. datu apstrādes process notiek saskaņā ar ārējiem normatīvajiem aktiem, kas nosaka personu datu aizsardzības prasības;

22.3. dati tiek apstrādāti laiku posmā, kas nepieciešams datu apstrādes mērķa sasniegšanai.

23. Par informācijas tehnoloģisko līdzekļu nodrošināšanu, kas tiek izmantoti personas datu apstrādei, atbild SEKURA STILSvadība. Informācijas un tehniskā resursa turētājs lietotājs (t.i., SEKURA STILSdarbinieks, kas izmanto SEKURA STILS informācijas tehnoloģiskus līdzekļus) atbild par šo informācijas un tehnisko resursu izmantošanu (pielietošanu darba uzdevuma izpildei) un datu apstrādi atbilstoši SEKURA STILSizstrādātiem iekšējiem datu apstrādes noteikumiem un spēkā esošiem normatīvajiem aktiem.

24. SEKURA STILSvadība nodrošina nepieciešamos pasākumus informācijas resursu, kas ietver personas datus, aizsardzībai pret ārkārtas situācijām (datu nesankcionēta izmantošana, ugunsgrēks, plūdi, zemestrīce, elektromagnētiskais starojums, datu pārraides līnijas bojājums u.c.) un sniedz atbalstu darbiniekiem rīcībai šajās situācijās.

25. SEKURA STILSvadība nodrošina, ka informācijas sistēmas, kurās tiek apstrādāti personas dati, lietotāju autentifikācijai tiek izmantotas paroles, kuru garums ir vismaz astoņi simboli, tās satur vismaz vienu ciparu, vismaz vienu lielo un mazo burtu, nodrošinot paroles piespiedu nomaiņu ne retāk kā ik pēc 180 dienām, kā arī nodrošinot tehnoloģisku iespēju informācijas sistēmas lietotājam patstāvīgi nomainīt paroli.

26. SEKURA STILSvadība nodrošina, ka informācijas sistēmas spēj nodrošināt visu funkcionalitāti attiecībā uz personu datu drošības nodrošināšanu un uz datu subjekta likumīgo tiesību un prasījumu izpildi, kā arī nodrošina, ka informācijas sistēmas ir spējīgas novērst ārēju nesankcionētu piekļuvi datiem, neļaujot uzbrucējam nesankcionēti piekļūt informācijas sistēmas resursiem. Tādam pašam drošības līmenim ir jābūt, ja personas datu apstrāde notiek ārpus SEKURA STILS biroja vai būvlaukuma (darbinieks strādā no mājām vai publiski pieejamās vietās).

27. SEKURA STILSvadība, novērtējot atbilstīgo drošības līmeni, ņem vērā, jo īpaši riskus, ko rada personu datu apstrāde, jo īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

28. SEKURA STILS, pirms datu nodošanas personas datu apstrādātājam un pēc tam, nodrošina, ka tiek ievērotas līgumā (starp SEKURA STILS un apstrādātāju) noteiktās prasības.

29. SEKURA STILSdrīkst izpaust personas datus, ja tos pieprasa valsts un pašvaldību amatpersonas saskaņā ar normatīvajiem aktiem. Personas datu izpaušana ir paredzēta tikai tām valsts un pašvaldību amatpersonām, kuras pirms datu izpaušanas ir identificējama. Personas datus var izpaust, pamatojoties uz rakstveida iesniegumu vai vienošanos, norādot datu izmantošanas mērķi. Personas datu pieprasījumā norādāma informācija, kas ļauj identificēt datu pieprasītāju un datu subjektu, kā arī pieprasāmo personas datu apjoms.

30. Informācijas, kas par datu subjektu savākta personas datu apstrādes sistēmā, izsniegšanu datu subjektam pēc viņa rakstveida pieprasījuma darbinieks saskaņo ar SEKURA STILSvadību. Pirms personas datu izsniegšanas datu subjektam vai tā pilnvarotajam pārstāvim, darbinieks pārliecinās par datu subjekta vai tā pilnvarotā pārstāvja identitāti atbilstoši personu apliecinošam dokumentam.

31. Ja datu subjekts pieprasa personas datus papildināt vai izlabot, kā arī pārtraukt to apstrādi vai iznīcināt tos, ja personas dati ir nepilnīgi, novecojuši, nepatiesi, pretlikumīgi apstrādāti vai arī tie vairs nav nepieciešami vākšanas mērķim, pirms izsniegšanas, pārbaudot to pamatojuma patiesumu, tas jāsaskaņo ar SEKURA STILSvadību. Par veiktajām darbībām SEKURA STILS vadība vai darbinieks sagatavo rakstveida atbildi nosūtīšanai datu subjektam ar SIA “SEKURA STILS” valdes locekļa parakstu.

32. SEKURA STILSpēc datu apstrādes pabeigšanas un pēc datu subjekta pieprasījuma un izvēles dzēš (iznīcina) vai atdod visus personas datus un dzēš esošās kopijas, ja vien tiesību aktos nav noteikts savādāk.

33. SEKURA STILSdarbinieks, apstrādājot personas datus, ievēro personas datu godprātīgas apstrādes principus:

33.1. apstrādā personas datus tikai paredzētajam mērķim (ievērojot normatīvos aktus un noslēgtos līgumus) un pārtrauc personas datu apstrādi, ja tā nav nepieciešama paredzētā mērķa sasniegšanai;

33.2. nenodod personas datus trešajām personām, izņemot normatīvajos aktos noteiktajos gadījumos un kārtībā;

33.3. veic personu datu apstrādi tam paredzētajās vietās;

33.4. neglabā personas datus uz nedrošiem individuāliem datu nesējiem (piemēram, zibatmiņa, optiskie diski);

33.5. neapstrādā personas datus, kas nav nepieciešami darbinieka amata pienākumu izpildei, t. sk. neveic šādu personas datu apskati.

34. Informācijas nesējus, uz kuriem atrodas personas dati, glabā vietā, kur tiem var piekļūt SEKURA STILSdarbinieki amata pienākumu izpildes nolūkos.

35. Par jebkuru personas datu apstrādes incidentu vai apdraudējumu SEKURA STILS darbiniekam, kurš to konstatējis, ir nekavējoties jāpaziņo SEKURA STILSvadībai.

36. Personas datu apstrādei izmanto tehnoloģiskos līdzekļus, kas nodrošina pieeju tikai atbilstoši pilnvarotām personām un nepieļauj personas datu nesankcionētas izmaiņas.

37. Informācijas nesējus, uz kuriem atrodas vai atradušies personas dati, iznīcina saskaņā ar normatīvajiem aktiem, kas nosaka SEKURA STILS informācijas apstrādi un aizsardzību.

38. Personas datu nodošanu citai valstij, kas nav Eiropas Savienības vai Eiropas Ekonomikas zonas dalībvalsts, SEKURA STILSsaimnieciskajā darbībā nav paredzēta.

39. Ja tiek konstatēts aizsardzības pārkāpuma gadījums, informācijas resursa lietotājs (darbinieks) par notikušo informē SEKURA STILS vadību un/vai IT drošības pārvaldnieku (ja tāds ir nozīmēts).

SEKURA STILS vadība nosaka tālāko rīcību un atkarībā no pārkāpumu risku grupas (kas ir definējami SEKURA STILSiekšējos noteikumos “Personas datu aizsardzības pārkāpumu risku grupas, pārkāpumu izziņošanas kārtība un novēršanas plāns”), bez nepamatotas kavēšanās, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo Datu valsts inspekcijai. SEKURA

STILS vadība izvērtē, vai personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām. Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, SEKURA STILSvadība bez nepamatotas kavēšanās paziņo datu subjektam (vai, ja nav iespējams sazināties ar datu subjektu, tad uzņēmumam, kuru pārstāv datu subjekts) par personas datu aizsardzības pārkāpumu.