Saturs
1. Personas datu apstrādes pārzinis un kontaktinformācija
2. Personas datu aizsardzības politikā lietotās definīcijas
3. Vispārīgie noteikumi
4. Personas dati
5. Personas datu apstrādes nolūki
6. Personas datu apstrādes likumīgums
7. Personas datu kategorijas
8. Personas datu apstrādes principi
9. Personas datu apstrādes drošība un aizsardzība
10. Iespējamie personas datu saņēmēji
11. Personas datu nodošana uz trešajām valstīm
12. “SDC Distribution” SIA (datu apstradataja) pienākums sniegt informāciju datu subjektam, ja personas dati ir iegūti no datu subjekta
13. Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta
14. Datu subjekta tiesību īstenošanas kārtība
15. Datu subjekta tiesības
15.1. Datu subjekta piekļuves tiesības
15.2. Tiesības labot
15.3. Tiesības uz dzēšanu
15.4. Tiesības ierobežot apstrādi
15.5. Tiesības uz datu pārnesamību
15.6. Tiesības iebilst
15.7. Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana
16. Pienākums ziņot par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu
17. Piekļūve personas datiem
18. Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei
19. Datu subjekta informēšana par personas datu aizsardzības pārkāpumu
20. Glabāšanas periods
21. Mājaslapu apmeklējumi un sīkdatņu apstrāde
22. Citi noteikumi
1. Personas datu apstrādes pārzinis un kontaktinformācija
1. Personas datu apstrādes pārzinis ir Sabiedrība ar ierobežoto atbildību „SDC Distribution” (turpmāk – SIA „SDC Distribution”), vienotais reģistrācijas nr. 40103870906, juridiskā adrese: Uriekstes iela 14A, Rīga, LV-1005
2. Kontaktinformācija ar personas datu apstrādi saistītajos jautājumos ir:
2.1. Sarakstes veidā: Uriekstes iela 14A, Rīga, LV-1005, Latvija
2.2. Tiešsaistes veidā: https://sdcd.lv/
2.3. E-pasta saziņas veidā: vv@sdcd.lv
3. SIA „SDC Distribution” kontaktinformācija informēšanai par iespējamiem datu aizsardzības pārkāpumiem ir: vv@sdcd.lv
2. Personas datu aizsardzības politikā lietotās definīcijas
4. Atbistoši Regulas 4.panta noteikatjām SIA „SDC Distribution” (turpmāk – Sabiedrība) personas datu aizsardzības politikā lieto šādas definīcijas:
4.1. „personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifi katoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;
4.2. „datu subjekts” ir identificēta vai identificējama fiziskā persona (identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru).
4.3. „apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
4.4. „apstrādes ierobežošana” ir uzglabātu personas datu iezīmēšana ar mērķi ierobežot to apstrādi nākotnē;
4.5. „pārzinis” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus un līdzekļus; ja šādas apstrādes nolūkus un līdzekļus nosaka ar Savienības vai dalībvalsts tiesību aktiem, pārzini vai tā iecelšanas konkrētos kritērijus var paredzēt Savienības vai dalībvalsts tiesību aktos;
4.6. „apstrādātājs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kura pārziņa vārdā apstrādā personas datus;
4.7. „saņēmējs” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav. Tomēr publiskas iestādes, kas var saņemt personas datus saistībā ar konkrētu izmeklēšanu saskaņā ar Savienības vai dalībvalsts tiesību aktiem, netiek uzskatītas par saņēmējiem; minēto datu apstrāde, ko veic minētās publiskās iestādes, atbilst piemērojamiem datu aizsardzības noteikumiem saskaņā ar apstrādes nolūkiem;
4.8. „trešā persona” ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;
4.9. datu subjekta „piekrišana” ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;
4.10. „personas datu aizsardzības pārkāpums” ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem;
4.11. „pārstāvis” ir fiziska vai juridiska persona, kura veic uzņēmējdarbību Savienībā un kuru pārzinis vai apstrādātājs ir iecēlis rakstiski saskaņā ar Regulas 27. pantu, un kura pārstāv pārzini vai apstrādātāju saistībā ar to attiecīgajiem pienākumiem, kas paredzēti Regulā.
3. Vispārīgie noteikumi
5. Personas datu aizsardzības politika ir organizatorisko pasākumu un nepieciešamo tehnisko līdzekļu kopums, kas nepieciešams, lai nodrošinātu godprātīgu un likumīgu personas datu apstrādi un lietošanu tikai paredzētajiem mērķiem, to glabāšanas, atjaunošanas, labošanas un dzēšanas veidu, nodrošinot ikvienas fiziskas personas tiesības uz savu personas datu aizsardzību.
6. Personas datu aizsardzības politikas mērķis ir sniegt fiziskai personai (datu subjektam) informāciju par personas datu apstrādes nolūku, tiesisko pamatu, apstrādes apjomu, datu glabāšanas termiņiem un datu aizsardzību, kā arī informēt datu subjekta par tā tiesībām.
7. Sabiedrības personas datu aizsardzības politika ir izstrādāta, pamatojoties uz:
7.1. Eiropas Parlamenta un Padomes 2016.gada 27.aprīļa Regulas (ES) Nr.2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (turpmāk –Regula)
7.2. Fizisko personu datu apstrādes likumu,
7.3..likumu „Par personas datu apstrādi kriminālprocesā un administratīvā pārkāpuma procesā” un
7.4. citiem Latvijas Republikā spēkā esošajiem normatīvajiem aktiem.
8. Personas datu apstrāde tiek nodrošināta ar šādiem tehniskajiem resursiem:
8.1. stacionārajām darbstacijām, portatīvo vai personālo datoru;
8.2. serveriem;
8.3. videonovērošanas sistēmām;
8.4. citām iekārtām un programmatūrām pēc vajadzības.
9. Sabiedrība ikdienā iegūst, apkopo un citā veidā apstrādā personas datus. Šie dati var tikt iegūti no personas līgumsaistību un citu tiesisko attiecību ietvarā. Sabiedrība iegūst informāciju no citiem avotiem, piemēram, valsts informācijas sistēmām, trešajām personām un publiskiem avotiem, kad tas ir nepieciešams, lai nodrošinātu Sabiedrības ar tiesību aktiem noteiktās funkcijas un uzdevumus.
10. Personas datu aizsardzības politiku piemēro privātuma un personas datu aizsardzības nodrošināšanai attiecībā uz Sabiedrības:
10.1. Fiziskajām personām – pakalpojumu izmantotājiem (klientiem), (tajā skaitā potenciālajiem, bijušajiem un esošajiem).
10.2. Interneta mājaslapas apmeklētājiem.
10.3. Darbiniekiem.
10.4. Sadarbības partneriem.
10.5. Pakalpojumu sniedzējiem.
10.6. Personām, kuras sadarbojas un komunicē ar Sabiedrību.
11. Savā darbībā Sabiedrība:
11.1. Aizsargā datu subjekta personas datus, īstenojot administratīvos, tehniskos un fiziskos drošības pasākumus, cik tālu tie ir samērīgi ar iespējamajiem riskiem.
11.2..Informē un izskaidro kādi personas dati ir nepieciešami pakalpojumu saņemšanai un kā tie tiks izmantoti.
11.3..Datu nodošanu trešajām personām īsteno, ievērojot spēkā esošo normatīvo regulējumu.
11.4..Īsteno pasākumus savu darbinieku regulārai informēšanai personas datu aizsardzības jautājumos.
12. Personas datu aizsardzības politika ir attiecināma uz datu apstrādi neatkarīgi no tā, kādā formā vai vidē Sabiedrības klienti un citi datu subjekti sniedz personas datus (klātienē, interneta mājaslapā, papīra formātā vai telefoniski).
13. Sabiedrība rūpējas par klientu un citu datu subjektu privātumu un personas datu aizsardzību, ievēro Datu subjektu tiesības uz personas datu apstrādes likumību saskaņā ar Latvijas Republikā piemērojamajiem tiesību aktiem aktiem privātuma un datu apstrādes jomā.
14. Par personu datu aizsardzību, informācijas drošības un pilnveidošanas procesu kopumā atbild Sabiedrības valde.
4. Personas dati
15. Personas dati ir jebkura informācija (Regula 4.panta 1) punkts), kuru izmantojot persona (publiska vai privātā (tai skaitā fiziska) persona) var tieši vai netieši starp līdzīgām personām atpazīt konkrētu cilvēku (fizisku personu):
15.1. personas vārds;
15.2. uzvārds;
15.3. identifikācijas numurs;
15.4. atrašanās vietas dati;
15.5. tiešsaistes identifikators;
vai citi konkrētam cilvēkam raksturīgi:
15.6. fiziskās;
15.7. fizioloģiskās;
15.8. ģenētiskās;
15.9. garīgās;
15.10. ekonomiskās;
15.11. kultūras vai sociālās identitātes faktori.
16. Par īpaši aizsargājamiem uzskatāmi personas dati, kas atklāj konkrēta cilvēka:
16.1. rases vai etnisko piederību;
16.2. politiskos uzskatus;
16.3. reliģisko vai filozofisko pārliecību;
16.4. dalību arodbiedrībās;
16.5. personas ģenētiskie dati;
16.6. biometriskie dati, ko izmanto, lai veiktu fiziskas personas unikālu 16.7. identifikāciju;
16.8. veselības dati;
16.9. vai dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju.
17..Minēto informāciju par cilvēku ir aizliegts iegūt un apstrādāt, ja vien nav piemērojams kāds no Regulas 9.panta 2.punktā noteiktajiem izņēmumiem (Regulas 9.panta 1.punkts).
5. Personas datu apstrādes nolūki
18. Personas datu apstrāde nepieciešama, lai Sabiedrība varētu pildīt savas funkcijas un uzdevumus, kā arī sniegt pakalpojumus, piemēram:
18.1. Pakalpojumu sniegšanai un administrēšanai.
18.2..Līgumu sagatavošanai, noslēgšanai, izpildei un Sabiedrības likumīgo interešu aizsardzībai.
18.3..Informācijas sniegšanai trešajām personām normatīvajos aktos noteiktajos gadījumos un apjomā;
18.4..Dažos gadījumos noziedzīgu nodarījumu un/vai pārkāpumu novēršanai, atklāšanai vai izmeklēšanai.
18.5. Lai aizsargātu fiziskās personas pret tām radītajiem kaitējumiem, aizsargātu sabiedrisko kārtību, nodrošinātu atbilstību tiesību aktiem, un sniegtu informāciju saskaņā ar personu tiesībām.
18.6. Grāmatvedībai un finanšu uzskaitei.
18.7. Audita veikšanai.
18.8..Personāla pārvaldībai, darba tiesisko attiecību un sociālo garantiju nodrošināšanai.
19. Fizisko personu datu apstrāde tiek veikta, ievērojot Regulas 5.pantā noteiktos personas datu apstrādes principus un citos normatīvajos aktos, tai skaitā personas datu aizsardzību reglamentējošā jomā, noteiktās prasības, nodrošinot likumīgu, godprātīgu un datu subjektam pārredzamu, tikai nolūka sasniegšanai nepieciešamajā minimālajā apjomā, precīzu un, ja nepieciešams, atjauninātu personas datu apstrādi, dzēšot, labojot vai iznīcinot neprecīzos datus, kā arī ievērojot datu glabāšanas ierobežojumu, dzēšot (iznīcinot) datus, ja tie vairs nav vajadzīgi nolūka sasniegšanai.
6. Personas datu apstrādes likumīgums
20. Personas datu apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no Regulas 6.panta minētajiem pamatojumiem:
20.1..Datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;
20.2..Apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;
20.3..Apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;
20.4..Apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;
20.5..Apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot p;ārzinim likumīgi piešķirtās oficiālās pilnvaras;
20.6..Apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm, jo īpaši, ja datu subjekts ir bērns.
21. Sabiedrība apstrādā datu subjektu (klientu) personas datus, balstoties uz šādu tiesisko pamatu: datu apstrāde ir vajadzīga līguma ar datu subjektu izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas (Regulas 6. panta pirmās daļas b) punkts).
7. Personas datu kategorijas
22. Sabiedrība var apstrādāt personas datus papīra vai elektroniskā formātā, telefoniski, veicot videonovērošanu. Personas datu apstrādi veic Sabiedrības darbinieks, vai kāds no Sabiedrības datu apstrādātājiem (fiziska vai juridiska persona, kura Sabiedrības vārdā apstrādā personas datus, ar ko ir noslēgts līgums.
23. Personas datu kategorijas, kuras Sabiedrības lielākoties, bet ne tikai, apstrādā, ir:
23.1. Identifikācijas dati:
23.1.1. vārds,
23.1.2. uzvārds,
23.1.3. personas kods,
23.1.4. dzimšanas datums.
23.1.5. dati no personas identifikācijas dokumenta (pases vai ID kartes), fotogrāfija:
23.2. Kontaktinformācija
23.2.1. korespondences un deklarētā adrese,
23.2.2. tālruņa numurs,
23.2.3. e-pasta adrese.
23.3 Profesionālie dati:
23.3.1. amats,
23.3.2. darba vieta,
23.3.3. informācija par izglītību (mācību ilgums, mācību iestāde, iegūtais grāds, iegūtā profesionālā kvalifikācija, valodu prasmes),
23.3.4.dati par darba pieredzi, piemēram – CV
23.3.5.un motivācijas vēstulēs iekļautie dati.
23.4. Dati par darba tiesiskajām attiecībām
23.4.1. ziņas par darba līgumu un tā grozījumiem,
23.4.2. dati par darbnespējas lapām un
23.4.3. atvaļinājumiem,
23.4.4. komandējumiem,
23.4.5. darba samaksu.
23.5. Finanšu dati piemēram, bankas konta numurs, citu maksājumu izmaksu dati;
23.6. Videoieraksta un attēla dati – piemēram, personas attēls (izskats, uzvedība), personas attēla ieraksta vieta (telpa, kameras atrašanās vieta), autotransporta reģistrācijas dati (valsts reģistrācijas numura zīme).
23.7. Dati, kurus persona pati iesniedza Sabiedrībai.
23.8. Personas IP adrese.
23.9. Kā arī citi personas dati, atkarībā no personas saistībām ar Sabiedrību.
24. Pakalpojumu sniegšanas ietvaros Sabiedrība no Datu subjekta un no citām trešajām pusēm var iegūt papildus informāciju.
25. Konkrēts informācijas apjoms ir atkarīgs no attiecīgā sniedzamā pakalpojuma specifikas un spēkā esošajiem normatīvajiem aktiem, kuri reglamentē pakalpojuma sniegšanas nosacījumus.
8. Personas datu apstrādes principi
26. Sabiedrība apstrādājot personas datus, ievēro šādus Regulas 5. pantā noteiktos datu apstrādes principus:
26.1. personas dati tiek apstrādāti likumīgi, godprātīgi un datu subjektam pārredzamā veidā (“likumīgums, godprātība un pārredzamība”);
26.2. personas dati tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to turpmāku apstrādi neveic ar minētajiem nolūkiem nesavie tojamā veidā; turpmāka apstrāde arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar Regulas 89. panta 1. punktu nav uzskatāma par nesavietojamu ar sākotnējiem nolūkiem (“nolūka ierobežojumi”);
26.3. personas dati ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to apstrādes nolūkos (“datu minimizēšana”);
26.4. ir precīzi un, ja vajadzīgs, atjaunināti; ir jāveic visi saprātīgi pasākumi, lai nodrošinātu, ka neprecīzi personas dati, ņemot vērā nolūkus, kādos tie tiek apstrādāti, bez kavēšanās tiktu dzēsti vai laboti (“precizitāte”);
26.5. tiek glabāti veidā, kas pieļauj datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā; personas datus var glabāt ilgāk, ciktāl personas datus apstrādās tikai arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar Regulas 89. panta 1. punktu, ar noteikumu, ka tiek īstenoti atbilstoši tehniski un organizatoriski pasākumi, kas šajā regulā paredzēti, lai aizsargātu datu subjekta tiesības un brīvības (“glabāšanas ierobežojums”);
26.6. tiek apstrādāti tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, tostarp aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).
27. Sabiedrība ir atbildīga par atbilstību 34. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).
9. Personas datu apstrādes drošība un aizsardzība
28. Sabiedrība izmanto tehnoloģiskus risinājumus un kontroles līdzekļus, lai saglabātu personas datu drošību un konfidencialitāti, tai skaitā, novērstu neatļautu piekļuvi personas datiem.
29. Sabiedrība nepārtraukti pilnveido un papildina savā rīcībā esošos tehnisko risinājumus, ņemot vērā aktuālās nozares tendences un piedāvātās iespējas, balstoties uz apzinātajiem riskiem.
30.Sabiedrība apstrādā personas datus un nodrošina to aizsardzību, izmantojot mūsdienu tehnoloģiju iespējas, ņemot vērā izvērtēšanas rezultātā apzinātos privātuma riskus un Sabiedrības saprātīgi pieejamos organizatoriskos, finansiālos un tehniskos resursus.
31..Personas dati ir pieejami tikai tām personām, kurām tas ir nepieciešams darba pienākumu izpildei un tikai nepieciešamajā apjomā.
32. Nododot personas datu apstrādi ārpakalpojuma sniedzējiem (apstrādātājiem) Sabiedrība izvērtē to atbilstību personas datu aizsardzību piemērojamo normatīvo aktu prasībām.
33. Apstrādājamo personas datu aizsardzību Sabiedrība klasificē atbilstoši to konfidencialitātei. Personas datus atbilstoši to konfidencialitātes pakāpei iedala:
33.1..Brīvi pieejami dati — nodarbinātā vārds, uzvārds, amats, darba vietas elektroniskā pasta adrese, darba vietas tālrunis, struktūrvienības nosaukums u.c. , kas ir publiski pieejami.
33.2..Vispārpieejami dati, kas pieejami darbiniekiem nepieciešami pienākumu veikšanai. Dati atbilst vidējam konfidencialitātes līmenim.
33.3..Ierobežotas pieejamības dati ir dati, kas paredzēti ierobežotam personu lokam darba pienākumu veikšanai, un kuru izpaušana vai nozaudēšana var nodarīt kaitējumu personas likumiskajām interesēm. Dati atbilst vidējam konfidencialitātes līmenim.
34. Personas datu aizsardzības pārkāpuma gadījumā Sabiedrība bez nepamatotas kavēšanās paziņo par to Datu valsts inspekcijai, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku personas tiesībām un brīvībām. (skat. 19.nodaļu „Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei”)
10. Iespējamie personas datu saņēmēji
35. Sabiedrība var nodod personas datus trešajām personām, šādos gadījumos:
35.1. Ja attiecīgajai trešajai personai dati jānodod noslēgtā līguma ietvaros, lai veiktu konkrētā līguma izpildi, vai ar ārējo normatīvo aktu noteiktu funkciju vai uzdevumu izpildei, vai kompetentas iestādes uzdevuma izpildei.
35.2. Saskaņā ar personas piekrišanu.
35.3..Ārējos normatīvajos aktos paredzētajām personām pēc viņu pamatota pieprasījuma, šajos normatīvajos aktos noteiktajā kārtībā un apjomā.
35.4..Ārējos normatīvajos aktos noteiktos gadījumos Sabiedrības vai trešo personu likumīgo interešu aizsardzībai.
11. Personas datu nodošana uz trešajām valstīm
36..Personas dati tiek apstrādāti Eiropas Savienībā/Eiropas Ekonomiskajā zonā (ES/EEZ). Datu nodošana ārpus ES/EEZ vairākuma gadījumos netiek veikta.
37. Atsevišķos gadījumos, ja būs nepieciešams nodot personas datus ārpus ES/EEZ, Sabiedrība to darīs, kad būs tiesības to darīt, nodrošinot pietiekamu aizsardzības līmeni.
12. SIA „ SDC Distribution” (datu apstrādātāja) pienākums sniegt informāciju datu subjektam, ja personas dati ir iegūti no datu subjekta
38..Ja datu subjekta personas datus vāc no datu subjekta, Sabiedrība atbilstoši Regulas 13.panta prasībām personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:
a) Sabiedrības identitāte un kontaktinformācija;
b) apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats;
c) personas datu saņēmēji vai saņēmēju kategorijas, ja tādi ir;
39. Papildus Regulas 13. panta 1. punktā minētajai informācijai Sabiedrība personas datu iegūšanas laikā datu subjektam sniedz šādu papildu informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi:
a) laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;
b) tas, ka pastāv tiesības pieprasīt Sabiedrībai piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;
c) ja apstrāde pamatojas uz Regulas 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;
d) tiesības iesniegt sūdzību uzraudzības iestādei;
e) informācija, vai personas datu sniegšana ir noteikta saskaņā ar likumu vai līgumu, vai tā ir priekšnosacījums, lai līgumu noslēgtu, kā arī informācija par to, vai datu subjektam ir pienākums personas datus sniegt un kādas sekas var būt gadījumos, kad šādi dati netiek sniegti;
f) tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta Regulas 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.
40. Ja Sabiedrība paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika vākti, tā pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 47. punktā.
41. Regulas 13. panta 1., 2. un 3. punktu nepiemēro, ja un ciktāl datu subjekta rīcībā jau ir attiecīgā informācija.
13. Informācija, kas jāsniedz, ja personas dati
nav iegūti no datu subjekta
42. Ja personas dati nav iegūti no datu subjekta, Sabiedrība atbilstoši Regulas 14. panta prasībām datu subjektam sniedz šādu informāciju:
a).Sabiedrības un attiecīgā gadījumā pārziņa pārstāvja identitāte un kontaktinformācija.
b) attiecīgā gadījumā – datu aizsardzības speciālista kontaktinformācija;
c) apstrādes nolūki, kam paredzēti personas dati, kā arī apstrādes juridiskais pamats.
d) attiecīgo personas datu kategorijas.
e) personas datu saņēmēji vai saņēmēju kategorijas, ja tādas ir.
f) attiecīgā gadījumā – informācija, ka Sabiedrība paredz nosūtīt personas datus saņēmējam trešā valstī vai starptautiskai organizācijai, un informācija par to, ka eksistē vai neeksistē Komisijas lēmums par aizsardzības līmeņa pietiekamību, vai – Regulas 46. vai 47. pantā, vai 49. panta 1. punkta otrajā daļā minētās nosūtīšanas gadījumā – atsauce uz atbilstošām vai piemērotām garantijām un informācija par to, kā saņemt datu kopiju, vai to, kur tie ir darīti pieejami.
43. Papildus Regulas 14. panta 1. punktā minētajai informācijai, Sabiedrības datu subjektam sniedz turpmāk norādīto informāciju, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi attiecībā uz datu subjektu:
a) laikposms, cik ilgi personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;
b) Sabiedrības vai trešās personas leģitīmās intereses, ja apstrāde pamatojas uz Regulas 6. panta 1. punkta f) apakšpunktu;
c) tas, ka pastāv tiesības pieprasīt no Sabiedrības piekļuvi datu subjekta personas datiem un to labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz datu subjektu un tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību;
d) ja apstrāde pamatojas uz Regulas 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu – tiesības jebkurā brīdī atsaukt piekrišanu, neietekmējot tādas apstrādes likumīgumu, kuras pamatā ir pirms atsaukuma sniegta piekrišana;
e) tiesības iesniegt sūdzību uzraudzības iestādei;
f) informācija par to, no kāda avota personas dati ir iegūti, un – attiecīgā gadījumā – informācija par to, vai dati iegūti no publiski pieejamiem avotiem;
g) tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta Regulas 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.
44. Sabiedrība Regulas 14. panta 1. un 2. punktā minēto informāciju sniedz:
a) saprātīgā termiņā pēc personas datu iegūšanas, bet vēlākais mēneša laikā, ņemot vērā konkrētos apstākļus, kādos personas dati tiek apstrādāti;
b) ja personas datus ir paredzēts izmantot saziņai ar datu subjektu – vēlākais tad, kad ar minēto datu subjektu notiek pirmā saziņa; vai
c) vēlākais tad, kad personas dati pirmoreiz tiek izpausti, ja ir paredzēts tos izpaust citam saņēmējam.
45. Ja Sabiedrība paredz personas datus turpmāk apstrādāt citā nolūkā, kas nav nolūks, kādā personas dati tika iegūti, tā pirms minētās turpmākās apstrādes informē datu subjektu par minēto citu nolūku un sniedz tam visu attiecīgo papildu informāciju, kā minēts 2. punktā.
46. Regulas 14. panta 1.– 4. punktu nepiemēro, ja un ciktāl:
a) informācija jau ir datu subjekta rīcībā;
b) izrādās, ka šādas informācijas sniegšana nav iespējama vai tā prasītu nesamērīgi lielas pūles; jo īpaši attiecībā uz apstrādi arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos, ievērojot Regulas 89. panta 1. punktā minētos nosacījumus un garantijas, vai ciktāl Regulas 14. panta 1. punktā minētie pienākumi varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus. Šādos gadījumos Sabiedrība veic atbilstošus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses, tostarp darot informāciju publiski pieejamu;
c) iegūšana vai izpaušana ir skaidri paredzēta Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami Sabiedrībai un kuros ir paredzēti atbilstoši pasākumi datu subjekta leģitīmo interešu aizsardzībai; vai
d) ir jāsaglabā personas datu konfidencialitāte, ievērojot dienesta noslēpuma glabāšanas pienākumu, ko reglamentē ar Savienības vai dalībvalsts tiesību aktiem, ieskaitot statūtos noteiktu pienākumu glabāt noslēpumu.
14. Datu subjekta tiesību īstenošanas kārtība
47. Sabiedrība veicina datu subjekta tiesību īstenošanas kārtību atbilstoši Regulas 12.panta nosacījumiem.
48. Sabiedrība veic atbilstošus pasākumus, lai kodolīgā, pārredzamā, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu, datu subjektam sniegtu visu Regulas 13. pantā „Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta” un 14. pantā „Informācija, kas jāsniedz, ja personas dati nav iegūti no datu subjekta” minēto informāciju un nodrošinātu visu Regulas 15.–22. pantā un 34. pantā minēto saziņu attiecībā uz apstrādi, jo īpaši attiecībā uz visu informāciju, kas konkrēti paredzēta bērnam. Informāciju sniedz rakstiski vai citā veidā, tostarp – vajadzības gadījumā – elektroniskā formā. Pēc datu subjekta pieprasījuma informāciju var sniegt mutiski – ar noteikumu, ka datu subjekta identitāte ir pierādīta citā veidā.
49. Sabiedrība veicina datu subjekta tiesību īstenošanu saskaņā ar Regulas 15.–22. pantu. Regulas 11. panta 2. punktā minētajos gadījumos Sabiedrība neatsakās rīkoties pēc datu subjekta pieprasījuma par savu tiesību īstenošanu saskaņā ar 15.–22. pantu, izņemot gadījumus, kad Sabiedrība uzskatāmi parāda, ka nespēj identificēt datu subjektu.
50. Sabiedrība bez nepamatotas kavēšanās un jebkurā gadījumā mēneša laikā pēc pieprasījuma saņemšanas datu subjektu informē par darbību, kas pēc pieprasījuma veikta saskaņā ar Regulas 15.–22. pantu. Vajadzības gadījumā minēto laikposmu var pagarināt vēl uz diviem mēnešiem, ņemot vērā pieprasījumu sarežģītību un skaitu. Sabiedrība informē datu subjektu par jebkuru šādu pagarinājumu un kavēšanās iemesliem mēneša laikā pēc pieprasījuma saņemšanas. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā, informāciju, ja iespējams, sniedz elektroniskā formā, izņemot, ja datu subjekts pieprasa citādi.
51. Ja Sabiedrība neveic darbību, ko pieprasījis datu subjekts, tad tā bez kavēšanās un vēlākais mēneša laikā pēc pieprasījuma saņemšanas informē datu subjektu par darbības neveikšanas iemesliem un par iespēju iesniegt sūdzību uzraudzības iestādei un vērsties tiesā.
52. Informācija, ko sniedz saskaņā ar Regulas 13. un 14. pantu, un visa saziņa un visas darbības, ko īsteno saskaņā ar Regulas 15.–22. pantu un 34. pantu, ir bezmaksas. Ja datu subjekta pieprasījumi ir acīmredzami nepamatoti vai pārmērīgi, jo īpaši to regulāras atkārtošanās dēļ, Sabiedrība var vai nu:
a) pieprasīt saprātīgu maksu, ņemot vērā administratīvās izmaksas, kas saistītas ar informācijas vai saziņas nodroši nāšanu vai pieprasītās darbības veikšanu; vai arī
b) atteikties izpildīt pieprasījumu.
53. Sabiedrībai ir pienākums uzskatāmi parādīt, ka pieprasījums ir acīmredzami nepamatots vai pārmērīgs.
54. Neskarot Regulas 11. pantu „Apstrāde, kurai nav nepieciešama identifikācija” – ja Sabiedrībai ir pamatotas šaubas par tās fiziskās personas identitāti, kura iesniedz Regulas 15.–21. pantā minēto pieprasījumu, tā var prasīt, lai tiktu sniegta papildu informācija, kas vajadzīga datu subjekta identitātes apstiprināšanai.
55. Informāciju, kas datu subjektiem sniedzama, ievērojot Regulas 13. un 14. pantu, var sniegt apvienojumā ar standartizētām ikonām, lai viegli uztveramā, saprotamā un skaidri salasāmā veidā sniegtu jēgpilnu pārskatu par paredzēto apstrādi. Ja ikonas attēlo elektroniski, tās ir mašīnlasāmas.
15. Datu subjekta tiesības
15.1. Datu subjekta piekļuves tiesības
56. Sabiedrība veicina datu subjekta piekļūves tiesību īstenošanu atbilstoši Regulas 15. pantā noteiktajām.
57. Datu subjektam ir tiesības saņemt no Sabiedrības apstiprinājumu par to, vai attiecībā uz datu subjektu tiek vai netiek apstrādāti personas dati, un, ja tiek, datu subjektam ir tiesības piekļūt attiecīgajiem datiem un saņemt šādu informāciju:
a) apstrādes nolūki;
b) attiecīgo personas datu kategorijas;
c) personas datu saņēmēji vai saņēmēju kategorijas, kam personas dati ir izpausti vai kam tos izpaudīs, jo īpaši saņēmēji trešās valstīs vai starptautiskās organizācijās;
d) ja iespējams, paredzētais laikposms, cik ilgi personas dati tiks glabāti, vai, ja nav iespējams, kritēriji, ko izmanto minētā laikposma noteikšanai;
e) tas, ka pastāv tiesības pieprasīt no Sabiedrības datu subjekta personas datu labošanu vai dzēšanu, vai personas datu apstrādes ierobežošanu vai tiesības iebilst pret šādu apstrādi;
f) tiesības iesniegt sūdzību uzraudzības iestādei;
g) visa pieejamā informācija par datu avotu, ja personas dati netiek vākti no datu subjekta;
h) tas, ka pastāv automatizēta lēmumu pieņemšana, tostarp profilēšana, kas minēta Regulas 22. panta 1. un 4. punktā, un – vismaz minētajos gadījumos – jēgpilna informācija par tajā ietverto loģiku, kā arī šādas apstrādes nozīmīgumu un paredzamajām sekām attiecībā uz datu subjektu.
58. Ja personas datus nosūta trešai valstij vai starptautiskai organizācijai, datu subjektam ir tiesības saņemt informāciju par atbilstošām garantijām, ko saistībā ar datu nosūtīšanu piemēro, ievērojot Regulas 46. pantu.
59. Sabiedrība nodrošina apstrādē esošo personas datu kopiju. Par visām papildus kopijām, ko pieprasa datu subjekts, Sabiedrība var iekasēt saprātīgu samaksu, kas balstīta uz administratīvām izmaksām. Ja datu subjekts pieprasījumu iesniedz elektroniskā formā un ja vien datu subjekts nepieprasa citādi, informāciju sniedz plaši izmantotā elektroniskā formātā.
60. Tiesības saņemt Regulas 15. panta 3. punktā minēto kopiju neietekmē nelabvēlīgi citu personu tiesības un brīvības.
15.2. Tiesības labot
61. Saskaņā ar Regulas 16. panta prasībām Datu subjektam ir tiesības panākt, lai Sabiedrība bez nepamatotas kavēšanās labotu neprecīzus datu subjekta personas datus. Ņemot vērā apstrādes nolūkus, datu subjektam ir tiesības panākt, lai nepilnīgi personas dati tiktu papildināti, tostarp sniedzot papildu paziņojumu.
15.3. Tiesības uz dzēšanu (tiesības “tikt aizmirstam”)
62. Sabiedrība nodrošina datu subjekta tiesības uz dzēšanu atbilstoši Regulas 17. pantā noteiktajām.
63. Datu subjektam ir tiesības panākt, lai Sabiedrība bez nepamatotas kavēšanās dzēstu datu subjekta personas datus, un tā pienākums ir bez nepamatotas kavēšanās dzēst personas datus, ja pastāv viens no šādiem nosacījumiem:
a) personas dati vairs nav nepieciešami saistībā ar nolūkiem, kādos tie tika vākti vai citādi apstrādāti;
b) datu subjekts atsauc savu piekrišanu, uz kuras pamata veikta apstrāde saskaņā ar 6. panta 1. punkta a) apakšpunktu vai Regulas 9. panta 2. punkta a) apakšpunktu, un ja nav cita likumīga pamata apstrādei;
c) datu subjekts iebilst pret apstrādi saskaņā ar Regulas 21. panta 1. punktu, un apstrādei nav nekāda svarīgāka leģitīma pamata, vai arī datu subjekts iebilst pret apstrādi saskaņā ar Regulas 21. panta 2. punktu;
d) personas dati ir apstrādāti nelikumīgi;
e) personas dati ir jādzēš, lai nodrošinātu, ka tiek pildīts juridisks pienākums, kas noteikts Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami Sabiedrībai;
f) personas dati ir savākti saistībā ar informācijas sabiedrības pakalpojumu piedāvāšanu, kā minēts Regulas 8. panta 1. punktā.
64. Ja Sabiedrība ir publiskoja personas datus un tā pienākums saskaņā ar Regulas 17. panta 1. punktu ir minētos personas datus dzēst, tā, ņemot vērā pieejamo tehnoloģiju un tās piemērošanas izmaksas, veic saprātīgus pasākumus, tostarp tehniskus pasākumus, lai informētu pārziņus, kas veic personas datu apstrādi, ka datu subjekts ir pieprasījis, lai minētie pārziņi dzēstu visas saites uz minētajiem personas datiem vai minēto personas datu kopijas vai atveidojumus.
65. Regulas 17. panta 1. un 2. punktu nepiemēro, ciktāl apstrāde ir nepieciešama:
a) lai īstenotu tiesības uz vārda brīvību un informāciju;
b) lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim, vai lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai saistībā ar pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanu;
c) pamatojoties uz sabiedrības interesēm sabiedrības veselības jomā saskaņā ar Regulas 9. panta 2. punkta h) un i) apakšpunktu, kā arī Regulas 9. panta 3. punktu;
d) arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos saskaņā ar Regulas 89. panta 1. punktu, ciktāl 1. punktā minētās tiesības varētu neļaut vai būtiski traucēt sasniegt minētās apstrādes mērķus; vai
e) lai celtu, īstenotu vai aizstāvētu likumīgas prasības.
15.4. Tiesības ierobežot apstrādi
66. Sabiedrība nodrošina datu subjekta tiesības ierobežot apstrādi atbilstoši Regulas 18. pantā noteiktajām.
67. Datu subjektam ir tiesības panākt, lai Sabiedrība ierobežotu apstrādi, ja ir viens no šādiem apstākļiem:
a) datu subjekts apstrīd personas datu precizitāti – uz laiku, kurā Sabiedrība var pārbaudīt personas datu precizitāti;
b) apstrāde ir nelikumīga, un datu subjekts iebilst pret personas datu dzēšanu un tās vietā pieprasa datu izmantošanas ierobežošanu;
c) Sabiedrībai personas dati apstrādei vairs nav vajadzīgi, taču tie ir nepieciešami datu subjektam, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;
d) datu subjekts ir iebildis pret apstrādi saskaņā ar Regulas 21. panta 1. punktu, kamēr nav pārbaudīts, vai Sabiedrības leģitīmie iemesli nav svarīgāki par datu subjekta leģitīmajiem iemesliem.
68. Ja apstrāde ir ierobežota saskaņā ar Regulas 18. panta 1. punktu, šādus personas datus, izņemot glabāšanu, apstrādā tikai ar datu subjekta piekrišanu vai tādēļ, lai celtu, īstenotu vai aizstāvētu likumīgas prasības, vai lai aizsargātu citas fiziskas vai juridiskas personas tiesības, vai Savienības vai dalībvalsts svarīgu sabiedrības interešu dēļ.
69. Sabiedrība datu subjektu, kas ir panācis apstrādes ierobežošanu saskaņā ar Regulas 18. panta 1. punktu, informē pirms apstrādes ierobežojuma atcelšanas.
15.5. Tiesības uz datu pārnesamību
70. Sabiedrība īsteno datu subjekta tiesības uz datu pārnesamību atbilstoši Regulas 20.pantā noteiktajām.
71. Datu subjektam ir tiesības saņemt personas datus attiecībā uz sevi, kurus viņš sniedzis Sabiedrībai, strukturētā, plaši izmantotā un mašīnlasāmā formātā un ir tiesības minētos datus nosūtīt citam pārzinim, un pārzinis, kuram attiecīgie personas dati sniegti, tam nerada nekādus šķēršļus, ja:
a) apstrāde pamatojas uz piekrišanu, ievērojot Regulas 6. panta 1. punkta a) apakšpunktu vai 9. panta 2. punkta a) apakšpunktu, vai uz līgumu, ievērojot 6. panta 1. punkta b) apakšpunktu; un
b) apstrādi veic ar automatizētiem līdzekļiem.
72. Īstenojot savas tiesības uz datu pārnesamību saskaņā ar Regulas 20.panta 1. punktu, datu subjektam ir tiesības uz personas datu nosūtīšanu tieši no viena pārziņa citam pārzinim, ja tas ir tehniski iespējams.
73. Regulas 20. panta 1. punktā minēto tiesību īstenošana neskar Regulas 17. pantu. Minētās tiesības neattiecas uz apstrādi, kas ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtas oficiālas pilnvaras.
74. Tiesības, kas minētas Regulas 20.panta 1. punktā, neietekmē nelabvēlīgi citu personu tiesības un brīvības.
15.6. Tiesības iebilst
75. Datu subjektam, balstoties uz iemesliem saistībā ar viņa īpašo situāciju, ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi, kas pamatojas uz Regulas 6. panta 1. punkta e) vai f) apakšpunktu, tostarp profilēšanu, kas pamatojas uz minētajiem noteikumiem. Sabiedrība personas datus vairs neapstrādā, izņemot, ja tā norāda uz pārliecinošiem leģitīmiem apstrādes iemesliem, kas ir svarīgāki par datu subjekta interesēm, tiesībām un brīvībām, vai lai celtu, īstenotu vai aizstāvētu likumīgas prasības.
76. Ja personas datus apstrādā tiešās tirgvedības nolūkos, datu subjektam ir tiesības jebkurā laikā iebilst pret savu personas datu apstrādi šādas tirgvedības vajadzībām, kas ietver profilēšanu, ciktāl tā ir saistīta ar šādu tiešo tirgvedību.
77. Ja datu subjekts iebilst pret apstrādi tiešās tirgvedības vajadzībām, personas datus šādā nolūkā vairs neapstrādā.
78..Vēlākais tad, kad ar datu subjektu notiek pirmā saziņa, datu subjektu nepārprotami informē par Regulas 21.panta 1. un 2. punktā minētajām tiesībām, un to dara tā, lai šī informācija būtu skaidra un lai to varētu atšķirt no jebkuras citas informācijas.
79. Saistībā ar informācijas sabiedrības pakalpojumu izmantošanu un neatkarīgi no Direktīvas 2002/58/EK datu subjekts savas tiesības iebilst var īstenot ar automatizētiem līdzekļiem, izmantojot tehniskās specifikācijas.
80. Ja personas datus apstrādā zinātniskās vai vēstures pētniecības nolūkos vai statistikas nolūkos, ievērojot Regulas 89. panta 1. punktu, datu subjektam, pamatojoties uz savu īpašo situāciju, ir tiesības iebilst pret savu personas datu apstrādi, izņemot, ja apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs.
15.7. Automatizēta individuālu lēmumu pieņemšana, tostarp profilēšana
81. Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu.
82. Regulas 22. panta 1. punktu nepiemēro, ja lēmums:
a) ir vajadzīgs, lai noslēgtu vai izpildītu līgumu starp datu subjektu un Sabiedrību;
b) ir atļauts saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kuri ir piemērojami SIA “SDC Distribution” un kuros ir arī noteikti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses; vai
c) pamatojas uz datu subjekta nepārprotamu piekrišanu.
83. Regulas 22. panta 2. punkta a) un c) apakšpunktā minētajos gadījumos Sabiedrība veic atbilstīgus pasākumus, lai aizsargātu datu subjekta tiesības un brīvības, un leģitīmās intereses – vismaz tiesības panākt cilvēka līdzdalību no Sabiedrības puses –, lai datu subjekts varētu paust savu viedokli un apstrīdēt lēmumu.
84. Regulas 22. panta 2. punktā minētos lēmumus nepamato ar īpašām personas datu kategorijām, kuras minētas Regulas 9. panta 1. punktā, izņemot, ja tiek piemērots 9. panta 2. punkta a) vai g) apakšpunkts un tiek nodrošināti atbilstīgi pasākumi, ar ko aizsargā datu subjekta tiesības un brīvības, un leģitīmās intereses.
16. Pienākums ziņot par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu
85..Sabiedrība ziņo par personas datu labošanu vai dzēšanu, vai apstrādes ierobežošanu atbilstoši Regulas 19.panta prasībām.
86. Katram saņēmējam, kuram personas dati ir izpausti, ziņo par jebkuru personas datu labojumu vai dzēšanu vai apstrādes ierobežošanu, kas veikta saskaņā ar Regulas 16. pantu, 17. panta 1. punktu un 18. pantu, izņemot, ja izrādās, ka tas nav iespējams, vai ja tas ir saistīts ar nesamērīgi lielām pūlēm.
87. Sabiedrība informē datu subjektu par minētajiem saņēmējiem, ja datu subjekts to pieprasa.
17. Piekļūve personas datiem
88. Sabiedrība nodrošina datu subjekta (klienta) tiesības saņemt normatīvajos aktos noteikto informāciju saistībā ar viņa datu apstrādi.
89. Datu subjektam (klientam), saskaņā ar normatīvajiem aktiem, ir arī tiesības pieprasīt Sabiedrībai piekļuvi saviem personas datiem, kā arī pieprasīt Sabiedrībai veikt to papildināšanu, labošanu vai dzēšanu, vai apstrādes ierobežošanu attiecībā uz klientu, vai tiesības iebilst pret apstrādi, kā arī tiesības uz datu pārnesamību. Šīs tiesības īstenojamas, ciktāl datu apstrāde neizriet no Sabiedrības pienākumiem, kas tam ir uzlikti ar spēkā esošajiem normatīvajiem aktiem.
90. Klients var iesniegt pieprasījumu par savu tiesību īstenošanu:
90.1..rakstveida formā klātienē Sabiedrībā, uzrādot personu apliecinošu dokumentu;
90.2. elektroniskā pasta veidā, parakstot vēstuli ar drošu elektronisko parakstu un nosūtot uz e-pasta adresi vv@sdcd.lv.
90.3. nosūtot Sabiedrībai vēstuli pa pastu;
90.4. telefoniski vai nosūtot Sabiedrībai ar e-pasta vēstuli, kas nav parakstīta ar drošu elektronisko parakstu uz e-pasta adresi: vv@sdcd.lv pie nosacījuma, ja klients ar Sabiedrību ir vienojies par saziņu attiecībā uz klienta datiem, izmantojot konkrēto e-pasta adresi vai telefona numuru. Šādai vienošanai ir jābūt noformētai rakstveidā klātienē (uzrādot klienta personu identificējošu dokumentu) vai parakstītai ar drošu elektronisko parakstu.
91. Saņemot klienta pieprasījumu par savu tiesību īstenošanu, Sabiedrība pārliecinās par klienta identitāti, izvērtē pieprasījumu un izpilda to saskaņā ar normatīvajiem aktiem.
92. Sabiedrība sniedz atbildi klientam pēc iespējas īsākā laikā, ņemot vērā klienta norādīto atbildes saņemšanas veidu.
93. Ja atbilde tiek sūtīta pa pastu, tā tiek adresēta datu subjektam (personai, kuras personas dati ir pieprasīti) ierakstītā vēstulē. Ja atbilde tiek sniegta elektroniski, tā tiek parakstīta ar drošu elektronisko (ja iesniegums ir ticis iesniegts ar drošu elektronisko parakstu).
94. Sabiedrība nodrošina datu apstrādes un aizsardzības prasību izpildi saskaņā ar normatīvajiem aktiem un klienta iebildumu gadījumā veic lietderīgās darbības, lai iebildumu atrisinātu. Tomēr, ja tas neizdodas, klientam ir tiesības vērsties uzraudzības iestādē – Datu valsts inspekcijā.
95..Klientam ir tiesības saņemt bez maksas vienu kopiju ar saviem Sabiedrības apstrādē esošiem personas datiem.
96. Šī dokumenta 95.punktā minētās informācijas saņemšana un/vai izmantošana var tikt ierobežota ar mērķi novērst nelabvēlīgu ietekmi uz citu personu (tostarp Sabiedrības darbinieku) tiesībām un brīvībām.
97..Sabiedrība apņemas nodrošināt personas datu pareizību un paļaujas uz saviem klientiem, piegādātājiem un citām trešajām personām, kas nodod personas datus, ka tiks nodrošināta nodoto personas datu pilnība un pareizība.
18. Personas datu aizsardzības pārkāpuma paziņošana uzraudzības iestādei
98..Sabiedrība paziņo uzraudzības iestādei par personas datu aizsardzības pārkāpumu atbilstoši Regulas 33.panta prasībām.
99..Personas datu aizsardzības pārkāpuma gadījumā Sabiedrība bez nepamatotas kavēšanās un, ja iespējams, ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, kas ir kompetenta saskaņā ar Regulas 55. pantu, izņemot gadījumus, kad ir maz ticams, ka personas datu aizsardzības pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām. Ja paziņošana uzraudzības iestādei nav notikusi 72 stundu laikā, paziņojumam pievieno kavēšanās iemeslus.
100. Apstrādātājs, tiklīdz tam kļuvis zināms personas datu aizsardzības pārkāpums, bez nepamatotas kavēšanās paziņo par to pārzinim.
101. Paziņojumā, kas minēts Regulas 33.panta 1. punktā, vismaz:
a) apraksta personas datu aizsardzības pārkāpuma raksturu, tostarp, ja iespējams, attiecīgo datu subjektu kategorijas un aptuveno skaitu un attiecīgo personas datu ierakstu kategorijas un aptuveno skaitu;
b) paziņo datu aizsardzības speciālista vārdu un uzvārdu un kontaktinformāciju vai norāda citu kontaktpunktu, kur var iegūt papildu informāciju;
c) apraksta personas datu aizsardzības pārkāpuma iespējamās sekas;
d) apraksta pasākumus, ko Sabiedrība veic vai ierosinājis veikt, lai novērstu personas datu aizsardzības pārkāpumu, tostarp attiecīgā gadījumā – pasākumus, lai mazinātu tā iespējamās nelabvēlīgās sekas.
102. Ja un ciktāl informāciju nav iespējams sniegt vienlaikus, informāciju var sniegt pa posmiem bez turpmākas nepamatotas kavēšanās.
103..Sabiedrība dokumentē visus personas datu aizsardzības pārkāpumus, norādot faktus, kas saistīti ar personas datu pārkāpumu, tā sekas un veiktās koriģējošās darbības. Minētā dokumentācija ļauj uzraudzības iestādei pārbaudīt šā panta ievērošanu.
19. Datu subjekta informēšana par personas datu aizsardzības pārkāpumu
104..Sabiedrība informē Datu subjekta par personas datu aizsardzības pārkāpumu atbilstoši Regulas 34.panta prasībām.
105..Gadījumā, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, Sabiedrība bez nepamatotas kavēšanās paziņo datu subjektam par personas datu aizsardzības pārkāpumu.
106. Paziņojumā datu subjektam, izmantojot skaidru un vienkāršu valodu, apraksta personas datu aizsardzības pārkāpuma raksturu un ietver vismaz Regulas 33. panta 3. punkta b), c) un d) apakšpunktā paredzēto informāciju un pasākumus.
107. Paziņojums datu subjektam, kā minēts Regulas 34.panta 1. punktā, nav jāsniedz, ja tiek izpildīts jebkurš no šādiem nosacījumiem:
a) Sabiedrība īsteno atbilstīgus tehniskus un organizatoriskus aizsardzības pasākumus un minētie pasākumi ir piemēroti personas datiem, ko skāris personas datu aizsardzības pārkāpums, jo īpaši tādi pasākumi, kas personas datus padara nesaprotamus personām, kurām nav pilnvaru piekļūt datiem, piemēram, šifrēšana;
b) Sabiedrība veic turpmākus pasākumus, ar ko nodrošina, lai, visticamāk, vairs nevarētu materializēties Regulas 34.panta 1. punktā minētais augstais risks attiecībā uz datu subjektu tiesībām un brīvībām;
c) tas prasītu nesamērīgi lielas pūles. Šādā gadījumā tā vietā izmanto publisku saziņu vai līdzīgu pasākumu, ar ko datu subjekti tiek informēti vienlīdz efektīvā veidā.
108. Ja Sabiedrība vēl nav paziņojusi datu subjektam par personas datu aizsardzības pārkāpumu, uzraudzības iestāde, apsvērusi iespējamību, ka personas datu pārkāpums varētu radīt augstu risku, var pieprasīt pārzinim paziņot datu subjektam vai var nolemt, ka ir izpildīti visi Regulas 34.panta 3. punktā minētie nosacījumi.
20. Glabāšanas periods
109. Sabiedrība glabā un apstrādā personas datus, kamēr pastāv vismaz viens no šādiem kritērijiem:
109.1. Kamēr tiek izpildītas no starp Sabiedrību un personu noslēgtā līguma izrietošās saistības vai Klientam tiek sniegts pakalpojums.
109.2. Kamēr Sabiedrībai pastāv normatīvajos aktos noteikts pienākums datus glabāt attiecīgos datus.
109.3. Kamēr tiek pilnībā izskatīts un/vai izpildīts personas lūgumā/iesniegumā minētais.
109.4. Kamēr ir spēkā datu subjekta (klienta) piekrišana attiecīgai datu apstrādei, ja nepastāv cits datu apstrādes likumīgs pamats.
110..Iestājoties nosacījumiem, kas nosaka, ka tālāka personas datu uzglabāšanas vairs nav nepieciešama, personas personas dati tiek dzēsti.
21. Mājaslapu apmeklējumi un sīkdatņu apstrāde
111. Sabiedrības mājaslapas var izmantot sīkdatnes. Sīkdatnes ir datnes, ko tīmekļa vietnes izvieto lietotāju datoros, lai atpazītu lietotāju un atvieglotu tam vietnes izmantošanu. Interneta pārlūkprogrammas var konfigurēt tā, lai tās brīdina apmeklētāju par sīkdatņu izmantošanu un ļauj izvēlēties, vai apmeklētājs piekrīt tās pieņemt. Sīkdatņu nepieņemšana neaizliegs apmeklētājam izmantot Sabiedrības interneta mājaslapu, taču tas var ierobežot apmeklētājam mājaslapas izmantošanas iespējas.
112. Sabiedrības mājaslapās var tikt ievietotas saites uz trešo personu interneta mājaslapām, kurām ir savi lietošanas un personas datu aizsardzības noteikumi, par ko Sabiedrība nenes atbildību.
22. Citi noteikumi
113. Sabiedrība patur tiesības veikt izmaiņas un papildinājumus savā Personas datu aizsardzības politikā, ja mainās noteikti apstākļi, kuri iespaido personas datu apstrādes regulējumu, publicējot personas datu aizsardzības politikas aktuālo redakciju Sabiedrības tīmekļa vietnē https://sdcd.lv. Sabiedrība iesaka apmeklēt šo sadaļu regulāri, lai uzzinātu aktuālo informāciju.
