Sabiedrības ar ierobežotu atbildību “FIZIOFIT” datu apstrādes drošības politika

Datu apstrādes drošības politika ir izdota saskaņā ar 2016.gada 27.aprīļa Eiropas Parlamenta un Padomes regulu (ES) 2016/679  par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk - Datu Regula) un spēkā esošiem Latvijas Republikas normatīvajiem aktiem.

Datu apstrādes drošības politika nosaka personas datu (t.sk., bet ne tikai darbinieku, pretendentu, klientu, sadarbības partneru pārstāvju) apstrādes drošību, Sabiedrības ar ierobežotu atbildību “FIZIOFIT” informācijas resursu un informācijas sistēmu (datu bāzes, elektronisko un papīra dokumentu) lietošanas un aizsardzības pamatprincipus.

Visi personas dati tiek aizsargāti, ievērojot ikviena Satversmes 96.pantā nostiprinātās tiesības uz personas privātumu, Datu Regulu, Darba likumu, Informācijas atklātības likumu u.c. normatīvus aktus.

Personas dati tiek apstrādāti atbilstoši Datu Regulas 6.panta 1.punkta a), b) un c) apakšpunktiem:

a)    datu subjekts ir devis piekrišanu savu personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem;

b)   apstrāde ir vajadzīga līguma, kura līgumslēdzēja puse ir datu subjekts, izpildei vai pasākumu veikšanai pēc datu subjekta pieprasījuma pirms līguma noslēgšanas;

c)    apstrāde ir vajadzīga, lai izpildītu uz pārzini attiecināmu juridisku pienākumu;

d)   apstrāde ir vajadzīga, lai aizsargātu datu subjekta vai citas fiziskas personas vitālas intereses;

e)     apstrāde ir vajadzīga, lai izpildītu uzdevumu, ko veic sabiedrības interesēs vai īstenojot pārzinim likumīgi piešķirtās oficiālās pilnvaras;

f)    apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai

.

1.      Vispārējie noteikumi

1.1.                       Noteikumi attiecas uz visām sabiedrības ar ierobežotu atbildību „FIZIOFIT” (turpmāk – Uzņēmums) struktūrvienībām/iecirkņiem/nodaļām un darbiniekiem, kuru personas datus apstrādā un kuri paši apstrādā fizisko personu personas datus pildot savus darba pienākumus.

1.2.                       Noteikumos lietoti šādi termini:

1) datu subjekts — fiziskā persona, kuru var tieši vai netieši identificēt, izmantojot personas datu apstrādes sistēmā esošos datus;

2) personas dati — ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;

3) personas datu apstrāde — ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;

4) personas datu apstrādes sistēma — jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus personu identificējošus kritērijus;

5) pārzinis — ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas viena pati vai kopīgi ar citām nosaka personas datu apstrādes nolūkus, līdzekļus un mērķus, kā arī atbild par personas datu apstrādi saskaņā ar šo likumu;

6) personas datu saņēmējs —            ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kurai izpauž personas datus – neatkarīgi no tā, vai tā ir trešā persona vai nav;

7) trešā persona — ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai struktūra, kura nav datu subjekts, pārzinis, apstrādātājs un personas, kuras pārziņa vai apstrādātāja tiešā pakļautībā ir pilnvarotas apstrādāt personas datus;

8) sensitīvi personas dati — personas dati, kas norāda personas rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi. Pēc Datu Regulas arī ģenētiskie personas dati un biometriskie (sejas attēli, daktiloskopijas dati, utt.) personas dati;

9) datu subjekta piekrišana -  ir jebkura brīvi sniegta, konkrēta, apzināta un viennozīmīga norāde uz datu subjekta vēlmēm, ar kuru viņš paziņojuma vai skaidri apstiprinošas darbības veidā sniedz piekrišanu savu personas datu apstrādei;

10) personas datu aizsardzības pārkāpums - ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

1.3.                       Noteikumu mērķis ir aizsargāt datu subjekta pamattiesības un brīvības, it īpaši privātās dzīves neaizskaramību, attiecībā uz fiziskās personas datu (turpmāk — personas dati) apstrādes darbībām.

1.4.                       Uzņēmuma struktūrvienības un to darbinieki atbilstoši savai kompetencei, pilnvarām un darba pienākumiem veic personas datu apstrādi un atbild par datu likumīgu un godprātīgu apstrādi, kā arī atbild par uzņēmumam un datu subjektam nodarītiem zaudējumiem, ko viņi ar savu darbību vai bezdarbību, respektīvi, personas datu apstrādes tiesiskuma pārkāpšanu, nodarīja.

1.5.                       Uzņēmumā pamatojoties uz Personālā datu apstrādes aizsardzības noteikumiem ir noteikta personāla personas datu aizsardzības kārtība, atbilstoši kurai tiek nodrošināta katras personas, kura atrodas darba tiesiskās attiecībās ar Uzņēmumu, t.sk. kuras uz cita līguma (piemēram, uzņēmuma līguma) pamata pilda noteiktus pienākumus, ka arī potenciālo darbinieku - pretendentu, datu aizsardzība.

1.6.                       Datu apstrādes drošības politika attiecas uz visiem datu apstrādes veidiem neatkarīgi no informācijas nesēja formas, datu apstrādes formas - elektroniski, manuāli (rakstveidā, papīra dokumenti, foto attēli, video ieraksti) vai citādā formātā apstrādātiem datiem (piemēram, mutvārdos veikta apstrāde).

1.7.                       Uzņēmuma darbiniekiem, saskaņā ar Datu Regulu ir pienākums nodrošināt likumīgu, godprātīgu un datu subjektam pārredzama veidā personas datu apstrādi tikai atbilstoši paredzētajam mērķim un tam nepieciešamajā apjomā.

1.8.   Uzņēmumam jānodrošina personas datu apstrādi:

1.8.1.     konkrēti, skaidri un leģitīmos nolūkos;

1.8.2.     adekvāti un atbilstoši to apstrādes nolūkiem (“datu minimizēšana”);

1.8.3.     precīzi un, ja vajadzīgs, atjaunināti;

1.8.4.     veikt saprātīgus pasākumus, nodrošinot neprecīzu personas datu labošanu vai dzēšanu (“precizitāte”);

1.8.5.     glabāšanas veidu, pieļaujot datu subjektu identifikāciju, ne ilgāk kā nepieciešams nolūkiem, kādos attiecīgos personas datus apstrādā (“glabāšanas ierobežojums”);

1.8.6.     tādā veidā, lai tiktu nodrošināta atbilstoša personas datu drošība, aizsardzība pret neatļautu vai nelikumīgu apstrādi un pret nejaušu nozaudēšanu, iznīcināšanu vai sabojāšanu, izmantojot atbilstošus tehniskos vai organizatoriskos pasākumus (“integritāte un konfidencialitāte”).

1.9.                       Noteikumi ir saistoši visiem, kas savu darba pienākumu un pilnvaru ietvaros pastāvīgi vai laicīgi veic personas datu apstrādi un ir attiecināmi uz visiem personas datiem, kas attiecas uz identificētu vai identificējamu fizisko personu.

1.10.                   Struktūrvienību un nodaļu vadītāji iepazīstina personas datu saņēmējus – Uzņēmuma darbiniekus, kuru darba pienākumos ietilpts personu datu apstrāde, ar šiem noteikumiem un atbild par šo noteikumu izskaidrošanu jaunajiem darbiniekiem. Katrs darbinieks, struktūrvienību un nodaļu vadītāji ir atbildīgi par šo noteikumu ievērošanu.

1.11.                   Uzņēmuma valdes loceklis, struktūrvienību/iecirkņu/nodaļu vadītāji nodrošina darbiniekus ar atbilstošu tehnisko un materiālo aprīkojumu un līdzekļiem, kuri nodrošina datu apstrādes, t.sk. bet ne tikai radīšanas, saņemšanas, reģistrēšanas, glabāšanas, izmantošanas, iznīcināšanas drošību.

1.12.                   Uzņēmuma darbinieks atbild par personas datu drošību, ikdienā nodrošinot dokumentu (t.sk. elektronisku dokumentu, informācijas), kas satur personas datus kārtošanu, glabāšanu, kas izslēdz nepiederošo personu piekļuvi dokumentiem un informācijai.

1.13.                   Uzņēmuma darbinieks atbild par datu drošību, nepieļaujot nepiederošo personu piekļuvi savam darba datoram, programmām, datu bāzei. Darbiniekam ir pienākums nodrošināt datora un datu bāzes piekļuves paroles drošību atbilstoši Informācijas sistēmas lietošanas noteikumiem Uzņēmumā.

1.14.                   Datora paroli un datu bāzes piekļuves paroli izveido atbilstoši Uzņēmuma Informācijas sistēmas lietošanas noteikumos paredzētajai kartībai.

1.15.                   Ja rodas aizdomas par personas datu nesankcionētu noplūdi (pazuda vai tika iznīcināti papīra/ elektroniskie dokumenti/ datu bāze ar personas datiem vai notika elektroniskā informācijas noplūde), par to nekavējoties jāinformē struktūrvienības/ iecirkņa/ nodaļas vadītāju un Uzņēmuma valdes locekli. 

1.16.                   Gadījumā, ja izvērtējot personas datu aizsardzības pārkāpumu, tika secināts, ka šis pārkāpums varētu radīt risku fizisku personu tiesībām un brīvībām, Uzņēmumam ir pienākums 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņot par to uzraudzības iestādei.

1.17.                   Par informācijas drošību un personas datu apstrādi Uzņēmumā atbild Uzņēmuma valdes loceklis.

2.      Informācijas klasifikācija

2.1.                Ierobežotas pieejamības informācija – ikdienas informācija, kas paredzēta tikai noteiktam darbinieku lokam darba pienākumu izpildei, ka arī informācija par fiziskās personas privāto dzīvi. Šīs informācijas izpaušana vai nozagšana var radīt Uzņēmumam un to darbiniekiem, iekšējās un ārējas neērtības, zaudējumus, kā arī datu subjektam zaudējumus un morālo kaitējumu. Piekļuvi šai informācijai piešķir tikai tiem darbiniekiem, kuru darba pienākumu izpildei tā ir nepieciešama.

2.2.                     Neklasificēta informācija – informācija, kas jau Uzņēmumam ir zināma, ko brīvi izplata, vai kas pieejama visiem Uzņēmuma darbiniekiem un trešajām personām. Šī informācijas izpaušana neietekmē Uzņēmuma darbu un reputāciju, neaizskar datu subjekta tiesības.

3.      Personāla datu apstrāde

3.1.                Uzņēmuma (turpmāk arī Darba devējs) darbiniekiem sniedzamā informācija par viņu personas datu apstrādi pie Darba devēja, tajā skaitā, darbinieka tiesības sakarā ar viņa personas datu apstrādi pie Darba devēja, kā arī kārtība, kādā darbinieks var Darba devējam iesniegt pieprasījumu ar saviem personas datiem un ar tiem saistītajām tiesībām ir noteikta Darba devēja personāla datu apstrādes noteikumos.

3.2.                Darbinieki ir informēti, ka Uzņēmumā tiek veikts audioieraksts sarunām, kuras tiek veiktas,  izmantojot fiksēto telefona līniju ar mērķi veikt kontroli pār pakalpojumu sniegšanas kvalitāti. Audioieraksti tiek veikti telefona numuriem, kuri ir saistīti  ar Uzņēmuma sekretariātu, Rituālo pakalpojumu iecirkni un Energosistēmas iecirkni.

3.3.                     Audioierakstu noklausīšanos Darba devējs veic tikai pamatotu aizdomu gadījumos par darbinieka pieļautu ārēju vai iekšējo normatīvo aktu vai darba līguma noteikumu pārkāpumu, klientu sūdzību izskatīšanas gadījumos, kā arī, gadījumos, kad nepieciešams veikt sniegto pakalpojumu sniegšanas kvalitātes kontroli.

3.4.                     Lai aizsargātu Darba devēja ar likumu pamatotas intereses (tostarp, bet ne tikai, drošības intereses un Darba devēja materiālo resursu lietderīgu izmantošanu), Darba devējam ir tiesības kontrolēt tā resursu izmantošanu arī tad, ja darbinieki Darba devēja resursus izmanto privātām vajadzībām. Darba devēja kontrole pār tā resursu izmantošana neietver darbinieka darbību nepārtrauktu monitoringu, izmantojot Darba devēja rīcībā esošos tehniskos līdzekļus.

3.5.                     Darba devējam ir tiesības savus transporta līdzekļus aprīkot ar GPS sistēmām, kā arī pārbaudīt darbinieku iesniegtās maršruta lapas, lai pārliecinātos par transporta līdzekļu lietošanu saskaņā ar noslēgto līgumu un spēkā esošajiem normatīvajiem aktiem. Darba devējs nodrošina, ka darbinieki tiek informēti par automašīnu aprīkošanu ar GPS sistēmām.

3.6.                     Darba devējs ir tiesīgs kontrolēt mobilo sarunu limitu, ja darbiniekam tiek iedalīts darba mobilais telefons un/vai darba numura SIM-karte. Mobilā telefona izdrukas un e-pasta saraksti Darba devējs ir tiesīgs analizēt tikai pamatotu aizdomu gadījumos par darbinieka pieļautu ārēju vai iekšējo normatīvo aktu vai darba līguma noteikumu pārkāpumu, kura rezultātā Darba devēja vai klientu interesēm ir tikušās radītas vai var tikt radītas negatīvas sekas.

3.7.                     Lai nodrošinātu efektīvu darba procesu un drošas darba vides pasākumu īstenošanu, Uzņēmumā ir izveidota informācijas aprites sistēma, ar kuras starpniecību darbinieki tiek informēti par aktualitātēm Uzņēmumā, kā arī par organizatorisko struktūru, darbinieku kontaktinformāciju (tajā skaitā, vārdu, uzvārdu, amatu, struktūrvienību)  un viņa prombūtni un kontaktpersonu prombūtnes laikā.

3.8.                     Darbinieks ir atbildīgs par iekšējās komunikācijas līdzekļos un citos veidos Darba devējam iesniegtās un publiskotās informācijas un datu pareizību.

3.9.                     Lai nodrošinātu korporatīvo kultūru, tādējādi rūpējoties par labvēlīgu darba vidi un Uzņēmuma konkurētspēju, Darba devējs var organizēt korporatīvus pasākumus saviem darbiniekiem.

3.10.                 Darba devēja rīkotajos pasākumos, kas tiek rīkoti Darba devēja darbiniekiem var tikt veikta to apmeklētāju foto un videofiksācija. Foto un videomateriāli var tikt izvietoti Darba devēja iekšējos informācijas kanālos. Foto attēli un videomateriāli no Darba devēja  pasākumiem var tikt izvietoti arī Darba devēja interneta vietnē ar mērķi nodrošināt Darba devēja popularizēšanu. Ja darbinieku pasākumā pavada trešā persona, darbinieks viņu  informē par šajā punktā minēto. Pirms veikt foto un videofiksāciju Darba devējs atkārtoti par to informē darbiniekus. 

3.11.                 Darbinieku viedokļa noskaidrošana var tika rīkotas aptaujas, par kuru noteikumiem un nolūku darbinieki tiek informēti katrā aptaujas reizē.

3.12.                 Darba devējs nodrošina darbiniekiem veselības apdrošināšanu, līdz ar ko, darbinieku personas dati tiek nodoti apdrošināšanas kompānijai (ar kuru tika noslēgts līgums atbilstoši iepirkuma rezultātiem), lai nodrošinātu pakalpojuma sniegšanu. Darba devējs pieprasa no apdrošināšanas kompānijas nodrošināt personas datu apstrādes drošību atbilstoši spēkā esošajiem normatīvajiem aktiem. Darbiniekiem ir tiesības aizliegt nodot savus datus apdrošināšanas kompānijai (iesniedzot rakstisku iesniegumu), tad Darba dēvējam nav pienākuma nodrošināt darbinieku ar veselības apdrošināšanas polisi.

3.13.                 Darba devējs, lai atbalstītu savus darbiniekus ir tiesīgs pieprasīt darbinieku iesniegt informāciju par viņa ģimenes locekļiem (piemēram, nepilngadīgiem bērniem – Ziemassvētku dāvanas pasniegšanai vai brīvas dienas piešķiršanai darbiniekam zinības dienā 1.septembrī), vai uzrādīt ģimenes locekļa miršanas apliecību, bēru pabalsta izmaksai. Šis informācijas iesniegšana ir pilnīgi brīvprātīga. Darbinieks sniedz šo informāciju tikai gadījumos, ja vēlās saņemt atbalstu no Darba devēja, un ja Darba devējs par to viņu iepriekš informē. Nepieciešamības gadījumā darbinieka piekrišanu viņa datu apstrādei noformē rakstveidā.

3.14.                 Darbinieku datu apstrāde, kas nav saistīta ar darba līgumā noteikto pienākumu izpildi (piemēram, atpūtas, sporta un izklaides pasākumu organizēšanai) tiek veikta tikai, pamatojoties uz darbinieka piekrišanu.

4.      Datu apstrādes organizatoriskie un tehniskie līdzekļi

4.1.      Dokumentus, kas satur informāciju, kura vērtējamā kā personas dati, apstrādā, t.sk. sakārto, glabā tā, lai tie nebūtu tieši pieejami trešajām personām, t.sk. lai informācija, kuru satur šie dokumenti, nebūtu pieejama pat vizuālai apskatei (piemēram: slēgti skapji, slēdzamas atvilktnes).

4.2.      Papīra dokumentiem lietu veido un glabā, dokumentus nodalot mapēs, slēdzamos dokumentu plauktos un skapjos, kuri nav tieši pieejami nepiederošajām personām. Lietas vāku noformē ar uzrakstu, kas ļauj identificēt dokumentu piederību, bet ne to saturu. Gadījumā, ja personas dati vai datu kopums tiek anonimizēts, anonimizācijas metodes netiek izpaustas nepiederošajām personām. Atslēgām no skapjiem, kur glabājas dokumenti un personu datu saturoša informācija, jāatrodas tikai to darbinieku rīcībā, kuru amata pienākumos tas ietilpst. Darbinieks pastāvīgi nodrošina, ka skapji ir pienācīgi aizslēgtas. Gadījumā, ja 4.1. un 4.2. punktos norādīto prasību izpilde tehniski nav nodrošināta, darbiniekam jānodrošina, lai obligāti būtu izpildīts Datu apstrādes drošības politikas 4.3.punkts.

4.3.      Telpām, kur glabājās ierobežotas pieejamības informācija jābūt slēdzamām. Lai tām nepiekļūst ne vien svešas personas, kas nav Uzņēmuma darbinieki, bet arī Uzņēmuma darbinieki, kuru amata pienākumos neietilpst saskare ar ierobežotas pieejamības informāciju un personas datiem. (piemēram, apkopēja jāveic telpas uzkopšanu tikai darbinieka (kurš ir atbildīgs par šo kabinetu) klātbūtnē, un tai nav jābūt atslēgas un pieejas telpai, kur glabājas dokumenti un informācija ar personas datiem vai arī dokumentiem jāglabājas atbilstoši šo noteikumu 4.1. un 4.2.punktam, ja 4.3. punkta nosacījumi objektīvu iemeslu dēļ nav īstenojami Uzņēmumā).

4.4.      Atstājot darba vietu (kabinetu) Uzņēmuma darbinieka pienākums ir pārliecināties, ka dokumenti, kas  satur personas datus, nav pieejami un nevar būt pieejami trešajām personām, vai personām, kuras nav pilnvarotas apstrādāt personas datus (piemēram, pabeidzot darbu vai atstājot darba vietu uz laiku nedrīkst atstāt kabinetā nepiederošas personas, atstāt kabinetu vaļā, ja tajā nepaliek neviens no darbiniekiem, kuram ir tiesības apstrādāt personāla personas datus).

4.5.                     Īpaša uzmanība personas datu apstrādē un aizsardzībā pievēršama personas identifikācijas koda un sensitīvo datu, bērnu personas datu neizpaušanai trešajām personām. 

4.6.                     Ievācot no datu subjekta personas datus, Uzņēmuma atbildīgajām darbiniekam jāievēro datu aizsardzības proporcionalitātes principu, proti, vākt tikai tos datus, kas Uzņēmumam (Darba dēvējam)  ir nepieciešami darba tiesisko attiecību nodibināšanai un uzturēšanai.

4.7.                     Ievācot no datu subjekta personas datus, nepieciešams viņam sniegt informāciju par Uzņēmumu, reģistrācijas numuru, juridisko adresi, kontaktinformāciju saziņai, informācijas pieprasīšanas mērķi un apstrādes nolūkus.

4.8.                     Aizliegts pieprasīt pases kopiju, pat ja persona piekrīt tās izsniegšanai, lai pārliecināties par personas identitāti un veikt personas precīzu identifikāciju, ir pietiekoši, lai persona uzrādīšanas kārtībā iesniegtu pasi, lai varētu nepieciešamības gadījumā, piemēram, līguma noslēgšanai norakstīt nepieciešamus personas datus. 

4.9.                     Personas datu saturošus dokumentus jāiznīcina tā, lai šos personas datus neviens vairs nevarētu  identificēt - tie var tikt gan sasmalcināti, gan sadedzināti, u.tml.

4.10.                 Ja personas datu apstrāde pamatojas uz piekrišanu, ir jāņem vērā, ka tieši Uzņēmuma (pārziņa) pienākums ir pierādīt, ka datu subjekts ir devis savu  piekrišanu datu apstrādei.

4.11.                 Datu subjekta piekrišanai ir jābūt paziņojuma vai skaidri apstiprinošas darbības formā.

4.12.                 Uzņēmumam ir jāglabā katra piekrišana, kas ir saņemta no datu subjekta.

4.13.                 Saņemot mutisku piekrišanu, ieteicams veikt tam rakstisku apstiprinājumu, lai varētu izpildīt Datu Regulas nosacījumu spēt pierādīt datu subjekta piekrišanas saņemšanu.

4.14.                 Ja piekrišana ir rakstiska, piekrišanas formu var saglabāt papīra formātā. Savukārt, elektroniski pieprasītas piekrišanas gadījumā pārzinim jāspēj pierādīt saņemto datu integritāti (nemainīgumu).

4.15.                 Uzņēmumam kā datu pārzinim jānodrošina, ka ierakstos par datu subjekta piekrišanu ir norādīts, kurš datu subjekts ir piekritis, kad ir piekritis, kam ir piekritis, kādā formā ir sniedzis piekrišanu un vai datu subjekts nav atsaucis savu piekrišanu.

4.16.                 Piekrišanai, ko sniedz datu subjekts, ir jābūt viennozīmīgai. Piekrišana nevar tikt veidota tā, ka ir iespējams to interpretēt dažādos veidos, līdz ar to radot pārpratumus par to, kādam tieši nolūkam datu subjekts ir devis savu piekrišanu. Tādējādi viennozīmīga piekrišana nozīmē, ka tā ir skaidra datu subjekta norāde tam, ka viņš piekrīt, ka viņa attiecīgos personas datus apstrādās konkrēts datu pārzinis konkrētiem mērķiem.

4.17.                 Lūgumu dot piekrišanu jānorāda tā, lai to varētu skaidri atšķirt no citiem jautājumiem, saprotamā un viegli pieejamā veidā, izmantojot skaidru un vienkāršu valodu.  

Piemēram: “Es, _________________(datu subjekta vārds un uzvārds), piekrītu, ka sabiedrība ar ierobežotu atbildību “FIZIOFIT” (reģ. Nr. 41503079048, juridiskā adrese Muitas 3e, Daugavpils, LV-5401,xxxxxxxxxxxx veiks manu personas datu apstrādi saskaņā ar man sniegto un Uzņēmuma datu apstrādes drošības politikā un privātuma politikā iekļauto informāciju ______________________________________.

Paraksts ___________________________ /atšifrējums – vārds/ uzvārds/” 

4.18.                 Datu subjektam ir tiesības atsaukt savu piekrišanu jebkurā laikā. Piekrišanas atsaukums neietekmē apstrādes likumību, kas pamatojas uz piekrišanu pirms atsaukuma. Datu subjektam jābūt par to informētam, pirms viņš dod savu piekrišanu.

4.19.            Piekrišanas atsaukšanai jābūt tikpat vieglai darbībai kā tās došanai. Ja piekrišana ir atsaukta, Uzņēmums vairs nedrīkst apstrādāt attiecīgos datus. Kad piekrišana ir atsaukta, Uzņēmumam jānodrošina, ka dati tiek izdzēsti, ja vien to apstrādei nav cita juridiskā pamata (piemēram, glabāšanas prasības vai ciktāl apstrāde nepieciešama līgumsaistību pildīšanai).

4.20.            Darbiniekiem jānodrošina, lai papīra dokumentus, kas satur personas datus, un kurus atstāj otrreizējai izmantošanai, piemēram dokumentu drukāšanai no abām pusēm, netiktu izsniegtas trešajām personām un nenotiktu nesankcionēta informācijas izpaušana. Ieteicams dokumentus, kas satur personas datus, neizmantot atkārtoti, bet nevajadzīgus dokumentus savlaicīgi un atbilstošā kārtībā iznīcināt.

4.21.            Uzņēmuma darbiniekiem nav atļauts Uzņēmumā vārdā sniegt intervijas, piedalīties raidījumos bez iepriekšējas saskaņošanas ar Uzņēmuma valdes locekļi.

4.22.            Uzņēmuma administratīvo ēku, tas teritoriju, darbinieku un apmeklētāju filmēšana bez iepriekšējas rakstiskas saskaņošanas ar Uzņēmuma valdes locekli nav atļauta.

5.     Informācijas sniegšanas kārtība

5.1.      Informācijai, kura vērtējama, kā personas dati, ir noteikts ierobežotas pieejamības informācijas statuss. To  apstrādā, tai skaitā arī izsniedz tikai tie Uzņēmuma darbinieki, kuru tiešo darba pienākumos tas ietilpst.

5.2.      Informāciju, kura vērtējama, kā personas dati var pieprasīt un saņemt tikai rakstveidā.

5.3.      Ierobežotas pieejamības informācija tiek sagatavota un izsniegta tikai ar Uzņēmuma valdes locekļa mutisku vai rakstisku rīkojumu.

5.4.      Vispārpieejamās informācijas pieprasījuma gadījumā Uzņēmuma darbinieks pārliecinās vai pieprasītā informācija neietver arī informāciju, kura vērtējama kā personas dati.

5.5.      Ja pieprasītā informācija ietver arī informāciju, kura vērtējama, kā trešās personas dati Uzņēmuma darbinieks izsniedz tikai to informācijas daļu, kas ir vispārpieejama, ja ierobežotas pieejamības informācijas izsniegšanai nav tiesiskā pamata.

5.6.      Dokumentus, kurus apstrādā elektroniski un/vai manuāli, un kuri satur personas datus, izsniedzami tikai datu subjektam, kuram tas pieder, vai likumā noteiktajā kartībā pilnvarotai personai (notariālā pilnvara), kurai ir tiesības saņemt šī veida dokumentus, informāciju. Pirms dokumentu/ informācijas izsniegšanas jāpārliecinās par personas identitāti, kurai tiks izsniegta informācija (piemēram, jāpalūdz uzrādīt personas apliecinošo dokumentu).

5.7.      AIZLIEGTS izsniegt, izpaust, nodot, tai skaitā rādīt trešajām personām informāciju, kas satur personas datus, ja tam nav tiesiskā pamata. Personas datus saturošus dokumentus -  dokumenti (to oriģināli, kopijas), izziņas ir izsniedzamas un informācija tajās sniedzama tikai datu subjektam uz kuru šī informācija attiecas, pēc tā, kad šīs datu subjekts tika identificēts, proti, atbildīgais Uzņēmuma darbinieks pārliecinās par viņa identitāti (persona, kura lūdz izsniegt informāciju uzrāda personas apliecinošo dokumentu) vai normatīvajos aktos paredzētajā kārtībā, ja datu saņēmējiem ir tiesiskais pamats informācijas saņemšanai.  

5.8.      AIZLIEGTS dokumentus, kas satur personas datus izsniegt, nodot, nosūtīt personām, kam šie personas dati nepieder, ja tam nav tiesiskā pamata (piemēram: datu subjekta piekrišana; tiesībaizsargājošo iestāžu tiesiski pamatota pieprasījuma par dokumentu izsniegšanu utt.).

5.9.      Dokumenti, kas satur personas datus, ir nosūtāmi, tikai pēc attiecīga datu subjekta norādītas deklarētas dzīvesvietas adreses vai e-pasta adreses, ja tāds saziņas veids apmierina abas puses un Uzņēmuma rīcībā pamatojoties uz datu subjekta iesniegumu ir e-pasta adrese un datu subjekts ir piekritis informācijas saņemšanai tādā veidā.

5.10.  Telefonsarunās nav iespējams identificēt personu, līdz ar ko ir aizliegts telefoniski izpaust personas datus, ja vien šāds identificēšanas mehānisms nav iepriekš atrunāts un ir iegūta datu subjekta, kura dati tiek apstrādāti, piekrišana.

5.11.  Normatīvajos aktos noteiktajos gadījumos Uzņēmuma darbiniekiem, kuru tiešajos pienākumos ietilpst Uzņēmuma personas datu apstrāde, ir pienākums izpaust personas datus valsts un pašvaldību amatpersonām. Tad atbildīgais darbinieks, pārliecinās, ka informācijas pieprasījumā ir norādīts informācijas pieprasīšanas pamats, informācijas pieprasītājs (valsts vai pašvaldības amatpersona) ir identificēts un pastāv tiesiskais pamats personas datu izpaušanai.

5.12.  Datu subjektam ir tiesības saņemt visu informāciju, kas savākta par viņu atbilstoši Datu regulas 15.pantu nosacījumiem. Pirms informācijas izsniegšanas jāpārliecinās par datu subjekta identitāti.

6.    Atbildība par personas datu apstrādes aizsardzības noteikumu pārkāpšanu

6.1.                       Noteikumi ir obligāti izpildei visiem Uzņēmuma darbiniekiem, kuru rīcībā atrodas personas dati.

6.2.                       Neviens Uzņēmuma darbinieks, kas savu darba pienākumu un pilnvaru ietvaros pastāvīgi vai laicīgi veic personas datu apstrādi, nevar aizbildināties ar datu apstrādes drošības noteikumu nezināšanu.

6.3.                       Visiem Uzņēmuma darbiniekiem, kuru rīcībā atrodas personas dati, ir pienākums saglabāt informācijas konfidencialitāti arī pēc darba tiesisko attiecību izbeigšanas.  

6.4.                       Par šo noteikumu neievērošanu un/ vai pārkāpšanu, darbiniekam var tikt izteikta rakstveida piezīme vai rājiens, minot tos apstākļus, kas norāda uz pārkāpuma izdarīšanu.

6.5.                       Gadījumā, ja Uzņēmuma darbinieks, kura rīcībā atrodas personas dati, nepienācīgi veicot savu darbu vai citādi prettiesiski rīkojoties ir nodarījis zaudējumus Uzņēmumam un/vai datu subjektam ir pienākums atlīdzināt Darba devējam radušos zaudējumus.

7.      Noslēguma jautājumi

7.1.                       Datu apstrādes drošības politikā paredzētās drošības prasības tiek pārskatītas pēc nepieciešamības, tai skaitā, ja ir notikušas izmaiņas ārējos normatīvajos aktos.

7.2.                       Datu apstrādes drošības politika stājas spēkā ar to apstiprināšanas dienu.